Delen via


Defender voor Cloud-Nieuw archief

Op deze pagina vindt u informatie over functies, oplossingen en afschaffingen die ouder zijn dan zes maanden. Lees wat er nieuw is in Defender voor Cloud voor de nieuwste updates.

April 2024

Datum Categorie Bijwerken
16 april Geplande update Wijziging in CIEM-evaluatie-id's.

Geschatte update: mei 2024.
15 april GA Defender for Containers is nu beschikbaar voor AWS en GCP.
3 april Bijwerken Risico prioritering is nu de standaardervaring in Defender voor Cloud
3 april Bijwerken Defender voor opensource-relationele databases wordt bijgewerkt.

Update: Wijziging in CIEM-evaluatie-id's

16 april 2024

Geschatte datum voor wijziging: mei 2024

De volgende aanbevelingen zijn gepland voor het herbouwen, wat leidt tot wijzigingen in hun evaluatie-id's:

  • Azure overprovisioned identities should have only the necessary permissions
  • AWS Overprovisioned identities should have only the necessary permissions
  • GCP overprovisioned identities should have only the necessary permissions
  • Super identities in your Azure environment should be removed
  • Unused identities in your Azure environment should be removed

GA: Defender for Containers voor AWS en GCP

15 april 2024

Detectie van runtimerisico's en detectie zonder agent voor AWS en GCP in Defender for Containers zijn nu algemeen beschikbaar. Daarnaast is er een nieuwe verificatiemogelijkheid in AWS die het inrichten vereenvoudigt.

Meer informatie over ondersteuningsmatrix voor containers in Defender voor Cloud en het configureren van Defender for Containers-onderdelen.

Update: Prioriteitstelling van risico's

3 april 2024

Risico prioritering is nu de standaardervaring in Defender voor Cloud. Met deze functie kunt u zich richten op de meest kritieke beveiligingsproblemen in uw omgeving door aanbevelingen te prioriteren op basis van de risicofactoren van elke resource. De risicofactoren omvatten de mogelijke impact van het beveiligingsprobleem dat wordt geschonden, de risicocategorieën en het aanvalspad waarvan het beveiligingsprobleem deel uitmaakt. Meer informatie over risico prioritering.

Update: Defender voor opensource-relationele databases

3 april 2024

  • Updates na algemene beschikbaarheid van Defender for PostgreSQL Flexibele servers: met de update kunnen klanten beveiliging afdwingen voor bestaande flexibele PostgreSQL-servers op abonnementsniveau, waardoor volledige flexibiliteit mogelijk is om beveiliging per resource in te schakelen of voor automatische beveiliging van alle resources op abonnementsniveau.
  • Beschikbaarheid en algemene beschikbaarheid van Flexibele Servers van Defender for MySQL: Defender voor Cloud de ondersteuning voor relationele Azure-databases uitgebreid door MySQL Flexibele servers op te nemen.

Deze release omvat:

  • Waarschuwingscompatibiliteit met bestaande waarschuwingen voor Defender for MySQL Enkele servers.
  • Het inschakelen van afzonderlijke resources.
  • Inschakelen op abonnementsniveau.
  • Updates voor flexibele Azure Database for MySQL-servers worden de komende weken geïmplementeerd. Als u de fout The server <servername> is not compatible with Advanced Threat Protectionziet, kunt u wachten op de update of een ondersteuningsticket openen om de server sneller bij te werken naar een ondersteunde versie.

Als u uw abonnement al beveiligt met Defender voor opensource-relationele databases, worden uw flexibele serverresources automatisch ingeschakeld, beveiligd en gefactureerd. Er zijn specifieke factureringsmeldingen verzonden via e-mail voor betrokken abonnementen.

Meer informatie over Microsoft Defender voor opensource-relationele databases.

Maart 2024

Datum Categorie Bijwerken
31 maart GA Scannen van Windows-containerinstallatiekopieën
25 maart Bijwerken Continue export bevat nu aanvalspadgegevens
21 maart Preview uitvoeren Scannen zonder agent ondersteunt versleutelde CMK-VM's in Azure
17 maart Preview uitvoeren Aangepaste aanbevelingen op basis van KQL voor Azure.
13 maart Bijwerken Opname van DevOps-aanbevelingen in de Microsoft-cloudbeveiligingsbenchmark
13 maart GA ServiceNow-integratie.
13 maart Preview uitvoeren Bescherming van kritieke activa in Microsoft Defender voor Cloud.
12 maart Bijwerken Verbeterde AANBEVELINGEN voor AWS en GCP met geautomatiseerde herstelscripts
6 maart Preview uitvoeren Nalevingsstandaarden toegevoegd aan het nalevingsdashboard
6 maart Geplande update Updates voor opensource-relationele databases in Defender

Verwacht: april 2024
3 maart Geplande update Wijzigingen in waar u toegang krijgt tot nalevingsaanbiedingen en Microsoft-acties

Verwacht: september 2025
3 maart Afschaffing Defender voor Cloud Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door qualys buitengebruikstelling
3 maart Geplande update Wijzigingen in waar u toegang krijgt tot complianceaanbiedingen en Microsoft-acties.

Geschatte afschaffing: 30 september 2025.

ALGEMENE BESCHIKBAARHEID: Scannen van Windows-containerinstallatiekopieën

31 maart 2024

We kondigen de algemene beschikbaarheid (GA) aan van de ondersteuning voor Windows-containerinstallatiekopieën voor scannen door Defender for Containers.

Update: Continue export bevat nu aanvalspadgegevens

25 maart 2024

We kondigen aan dat continue export nu aanvalspadgegevens bevat. Met deze functie kunt u beveiligingsgegevens streamen naar Log Analytics in Azure Monitor, naar Azure Event Hubs of naar een andere SIEM (Security Information and Event Management), Security Orchestration Automated Response (SOAR) of een klassieke IT-implementatiemodeloplossing.

Meer informatie over continue export.

Preview: scannen zonder agent ondersteunt versleutelde CMK-VM's in Azure

21 maart 2024

Tot nu toe werd het scannen zonder agent gedekt door CMK versleutelde VM's in AWS en GCP. Met deze release wordt ook ondersteuning voor Azure voltooid. De mogelijkheid maakt gebruik van een unieke scanbenadering voor CMK in Azure:

  • Defender voor Cloud verwerkt het sleutel- of ontsleutelingsproces niet. Sleutels en ontsleuteling worden naadloos verwerkt door Azure Compute en is transparant voor Defender voor Cloud scanservice zonder agent.
  • De niet-versleutelde VM-schijfgegevens worden nooit gekopieerd of opnieuw versleuteld met een andere sleutel.
  • De oorspronkelijke sleutel wordt niet gerepliceerd tijdens het proces. Als u deze opschoont, worden de gegevens op zowel uw productie-VM als de tijdelijke momentopname van Defender voor Cloud verwijderd.

Tijdens de openbare preview is deze functie niet automatisch ingeschakeld. Als u Defender voor Servers P2 of Defender CSPM gebruikt en uw omgeving VM's met DOOR CMK versleutelde schijven heeft, kunt u deze nu laten scannen op beveiligingsproblemen, geheimen en malware volgens deze stappen.

Preview: Aangepaste aanbevelingen op basis van KQL voor Azure

17 maart 2024

Aangepaste aanbevelingen op basis van KQL voor Azure zijn nu beschikbaar als openbare preview en worden ondersteund voor alle clouds. Zie Aangepaste beveiligingsstandaarden en aanbevelingen maken voor meer informatie.

Update: Opname van DevOps-aanbevelingen in de Microsoft-cloudbeveiligingsbenchmark

13 maart 2024

Vandaag kondigen we aan dat u uw DevOps-beveiligings- en nalevingspostuur kunt bewaken in de Microsoft-cloudbeveiligingsbenchmark (MCSB) naast Azure, AWS en GCP. DevOps-evaluaties maken deel uit van het DevOps-beveiligingsbeheer in de MCSB.

De MCSB is een framework dat fundamentele principes voor cloudbeveiliging definieert op basis van algemene industriestandaarden en nalevingsframeworks. MCSB biedt beschrijvende informatie over het implementeren van cloudagnostische beveiligingsaanbevelingen.

Meer informatie over de DevOps-aanbevelingen die worden opgenomen en de Microsoft-benchmark voor cloudbeveiliging.

GA: ServiceNow-integratie is nu algemeen beschikbaar

12 maart 2024

We kondigen de algemene beschikbaarheid (GA) van de ServiceNow-integratie aan.

Preview: Bescherming van kritieke assets in Microsoft Defender voor Cloud

12 maart 2024

Defender voor Cloud bevat nu een functie voor bedrijfskritiek, met behulp van de engine voor kritieke activa van Microsoft Security Exposure Management, om belangrijke assets te identificeren en te beveiligen via risico-prioriteitstelling, analyse van aanvalspaden en cloudbeveiligingsverkenner. Zie Bescherming van kritieke assets in Microsoft Defender voor Cloud (preview) voor meer informatie.

Update: Verbeterde AWS- en GCP-aanbevelingen met geautomatiseerde herstelscripts

12 maart 2024

We verbeteren de AANBEVELINGEN van AWS en GCP met geautomatiseerde herstelscripts waarmee u deze programmatisch en op schaal kunt herstellen. Meer informatie over geautomatiseerde herstelscripts.

Preview: Nalevingsstandaarden toegevoegd aan het nalevingsdashboard

6 maart 2024

Op basis van feedback van klanten hebben we nalevingsstandaarden in preview toegevoegd aan Defender voor Cloud.

Bekijk de volledige lijst met ondersteunde nalevingsstandaarden

We werken voortdurend aan het toevoegen en bijwerken van nieuwe standaarden voor Azure-, AWS- en GCP-omgevingen.

Meer informatie over het toewijzen van een beveiligingsstandaard.

Update: Updates voor opensource-relationele databases

6 maart 2024**

Geschatte datum voor wijziging: april 2024

Updates na algemene beschikbaarheid van Defender for PostgreSQL Flexibele servers: met de update kunnen klanten beveiliging afdwingen voor bestaande flexibele PostgreSQL-servers op abonnementsniveau, waardoor volledige flexibiliteit mogelijk is om beveiliging per resource in te schakelen of voor automatische beveiliging van alle resources op abonnementsniveau.

Beschikbaarheid en ALGEMENE beschikbaarheid van Defender for MySQL Flexibele servers: Defender voor Cloud is ingesteld om de ondersteuning voor relationele Azure-databases uit te breiden door MySQL Flexibele servers op te nemen. Deze release bevat:

  • Waarschuwingscompatibiliteit met bestaande waarschuwingen voor Defender for MySQL Enkele servers.
  • Het inschakelen van afzonderlijke resources.
  • Inschakelen op abonnementsniveau.

Als u uw abonnement al beveiligt met Defender voor opensource-relationele databases, worden uw flexibele serverresources automatisch ingeschakeld, beveiligd en gefactureerd. Er zijn specifieke factureringsmeldingen verzonden via e-mail voor betrokken abonnementen.

Meer informatie over Microsoft Defender voor opensource-relationele databases.

Update: Wijzigingen in nalevingsaanbiedingen en Instellingen voor Microsoft-acties

3 maart 2024

Geschatte datum voor wijziging: 30 september 2025

Op 30 september 2025 worden de locaties waar u toegang hebt tot twee preview-functies, complianceaanbiedingen en Microsoft Actions, gewijzigd.

De tabel met de nalevingsstatus van Microsoft-producten (toegankelijk via de knop Nalevingsaanbiedingen op de werkbalk van het dashboard voor naleving van regelgeving van Defender). Nadat deze knop uit Defender voor Cloud is verwijderd, hebt u nog steeds toegang tot deze informatie via de Service Trust Portal.

Voor een subset besturingselementen was Microsoft Actions toegankelijk via de knop Microsoft Actions (preview) in het detailvenster besturingselementen. Nadat deze knop is verwijderd, kunt u Microsoft-acties bekijken door naar de Service Trust Portal van Microsoft voor FedRAMP te gaan en toegang te krijgen tot het document van het Azure System Security Plan.

Update: Wijzigingen in waar u toegang krijgt tot nalevingsaanbiedingen en Microsoft-acties

3 maart 2024**

Geschatte datum voor wijziging: september 2025

Op 30 september 2025 worden de locaties waar u toegang hebt tot twee preview-functies, complianceaanbiedingen en Microsoft Actions, gewijzigd.

De tabel met de nalevingsstatus van Microsoft-producten (toegankelijk via de knop Nalevingsaanbiedingen op de werkbalk van het dashboard voor naleving van regelgeving van Defender). Nadat deze knop uit Defender voor Cloud is verwijderd, hebt u nog steeds toegang tot deze informatie via de Service Trust Portal.

Voor een subset besturingselementen was Microsoft Actions toegankelijk via de knop Microsoft Actions (preview) in het detailvenster besturingselementen. Nadat deze knop is verwijderd, kunt u Microsoft-acties bekijken door naar de Service Trust Portal van Microsoft voor FedRAMP te gaan en toegang te krijgen tot het document van het Azure System Security Plan.

Afschaffing: Defender voor Cloud Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door qualys buitengebruikstelling

3 maart 2024

De Defender voor Cloud Evaluatie van beveiligingsproblemen van containers, mogelijk gemaakt door Qualys, wordt buiten gebruik gesteld. De buitengebruikstelling wordt op 6 maart voltooid en tot die tijd kunnen gedeeltelijke resultaten nog steeds worden weergegeven in de Qualys-aanbevelingen en Qualys resulteert in de beveiligingsgrafiek. Klanten die deze evaluatie eerder gebruikten, moeten upgraden naar evaluaties van beveiligingsproblemen voor Azure met Microsoft Defender Vulnerability Management. Zie Overgang van Qualys naar Microsoft Defender Vulnerability Management voor informatie over de overgang naar de evaluatie van beveiligingsproblemen in containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management.

Februari 2024

Datum Categorie Bijwerken
28 februari Afschaffing Microsoft Security Code Analysis (MSCA) is niet meer operationeel.
28 februari Bijwerken Bijgewerkt beveiligingsbeleidsbeheer breidt de ondersteuning uit naar AWS en GCP.
26 februari Bijwerken Cloudondersteuning voor Defender for Containers
20 februari Bijwerken Nieuwe versie van Defender-sensor voor Defender for Containers
18 februari Bijwerken Ondersteuning voor indelingsspecificatie van Open Container Initiative (OCI)
13 februari Afschaffing Evaluatie van beveiligingsproblemen in AWS-containers mogelijk gemaakt door Trivy buiten gebruik gesteld.
5 februari Geplande update De resourceprovider Microsoft.SecurityDevOps buiten gebruik stellen

Verwacht: 6 maart 2024

Afschaffing: Microsoft Security Code Analysis (MSCA) is niet meer operationeel

28 februari 2024

In februari 2021 werd de afschaffing van de MSCA-taak doorgegeven aan alle klanten en is sinds maart 2022 beëindigd. Vanaf 26 februari 2024 is MSCA officieel niet meer operationeel.

Klanten kunnen de nieuwste DevOps-beveiligingshulpprogramma's downloaden van Defender voor Cloud via Microsoft Security DevOps en meer beveiligingshulpprogramma's via GitHub Advanced Security for Azure DevOps.

Update: Beveiligingsbeleidsbeheer breidt de ondersteuning uit naar AWS en GCP

28 februari 2024

De bijgewerkte ervaring voor het beheren van beveiligingsbeleid, in eerste instantie uitgebracht in preview voor Azure, breidt de ondersteuning uit naar AWS- en GCP-omgevingen (cross-cloud). Deze preview-versie omvat:

Update: Cloudondersteuning voor Defender for Containers

26 februari 2024

Azure Kubernetes Service (AKS)-functies voor detectie van bedreigingen in Defender for Containers worden nu volledig ondersteund in commerciële, Azure Government- en Azure China 21Vianet-clouds. Bekijk ondersteunde functies.

Update: Nieuwe versie van Defender-sensor voor Defender for Containers

20 februari 2024

Er is een nieuwe versie van de Defender-sensor voor Defender for Containers beschikbaar. Het omvat prestatie- en beveiligingsverbeteringen, ondersteuning voor zowel AMD64- als Arm64-boogknooppunten (alleen Linux) en maakt gebruik van Inspektor Gadget als de procesverzamelingsagent in plaats van Sysdig. De nieuwe versie wordt alleen ondersteund in Linux-kernelversie 5.4 en hoger, dus als u oudere versies van de Linux-kernel hebt, moet u een upgrade uitvoeren. Ondersteuning voor Arm64 is alleen beschikbaar via AKS V1.29 en hoger. Zie Ondersteunde hostbesturingssystemen voor meer informatie.

Update: Ondersteuning voor indelingsspecificatie van open Container Initiative (OCI)

18 februari 2024

De indelingsspecificatie van de OCI-installatiekopie (Open Container Initiative) wordt nu ondersteund door evaluatie van beveiligingsproblemen, mogelijk gemaakt door Microsoft Defender Vulnerability Management voor AWS- en Azure & GCP-clouds.

Afschaffing: EVALUATIE van beveiligingsproblemen van AWS-containers mogelijk gemaakt door Trivy buiten gebruik gesteld

13 februari 2024

De evaluatie van beveiligingsproblemen van containers, mogelijk gemaakt door Trivy, is buiten gebruik gesteld. Klanten die deze evaluatie eerder gebruikten, moeten upgraden naar de nieuwe AWS-container-evaluatie van beveiligingsproblemen, mogelijk gemaakt door Microsoft Defender Vulnerability Management. Zie Hoe kan ik upgrade van de buiten gebruik gestelde Evaluatie van beveiligingsproblemen van Trivy naar de AWS-evaluatie van beveiligingsproblemen die mogelijk wordt gemaakt door Microsoft Defender Vulnerability Management voor instructies voor het upgraden?

Update: Microsoft.SecurityDevOps-resourceprovider buiten gebruik stellen

5 februari 2024

Geschatte datum voor wijziging: 6 maart 2024

Microsoft Defender voor Cloud de resourceprovider Microsoft.SecurityDevOps buiten gebruik stellen die is gebruikt tijdens de openbare preview van DevOps-beveiliging, nadat deze is gemigreerd naar de bestaande Microsoft.Security provider. De reden voor de wijziging is om de klantervaringen te verbeteren door het aantal resourceproviders dat is gekoppeld aan DevOps-connectors te verminderen.

Klanten die nog steeds gebruikmaken van de API-versie 2022-09-01-preview Microsoft.SecurityDevOps om query's uit te voeren op Defender voor Cloud DevOps-beveiligingsgegevens worden beïnvloed. Om onderbreking van hun service te voorkomen, moet de klant bijwerken naar de nieuwe API-versie 2023-09-01-preview onder de Microsoft.Security provider.

Klanten die momenteel gebruikmaken van Defender voor Cloud DevOps-beveiliging vanuit Azure Portal, worden niet beïnvloed.

Januari 2024

Datum Categorie Bijwerken
31 januari Bijwerken Nieuw inzicht voor actieve opslagplaatsen in Cloud Security Explorer
januari 30 Geplande update Prijswijziging voor detectie van bedreigingen voor meerdere cloudcontainers

Verwacht: april 2024
januari 29 Geplande update Afdwingen van Defender CSPM voor Premium DevOps-beveiligingsmogelijkheden.

Verwacht: maart 2024
24 januari Preview uitvoeren Containerpostuur zonder agent voor GCP in Defender for Containers en Defender CSPM.
januari 16 Preview uitvoeren Malwarescans zonder agent voor servers.
Januari 15 GA Defender voor Cloud is geïntegreerd met Microsoft Defender XDR.
14 januari Bijwerken Bijwerken naar een ingebouwde Azure-rol voor het scannen van virtuele machines zonder agent

Verwacht: maart 2024
12 januari Bijwerken Aantekeningen voor Pull-aanvragen voor DevOps-beveiliging zijn nu standaard ingeschakeld voor Azure DevOps-connectors.
9 januari Afschaffing Buitengebruikstellingspad van Defender for Servers ingebouwde evaluatie van beveiligingsproblemen (Qualys).

Verwacht: mei 2024
3 januari Geplande update Aanstaande wijziging voor de netwerkvereisten voor meerdere clouds van de Defender voor Cloud.

Verwacht: mei 2024.

Update: Nieuw inzicht voor actieve opslagplaatsen in Cloud Security Explorer

31 januari 2024

Er is een nieuw inzicht voor Azure DevOps-opslagplaatsen toegevoegd aan Cloud Security Explorer om aan te geven of opslagplaatsen actief zijn. Dit inzicht geeft aan dat de codeopslagplaats niet is gearchiveerd of uitgeschakeld, wat betekent dat schrijftoegang tot code, builds en pull-aanvragen nog steeds beschikbaar is voor gebruikers. Gearchiveerde en uitgeschakelde opslagplaatsen worden mogelijk beschouwd als lagere prioriteit, omdat de code doorgaans niet wordt gebruikt in actieve implementaties.

Gebruik deze querykoppeling om de query uit te testen via Cloud Security Explorer.

Update: Prijswijziging voor detectie van bedreigingen voor meerdere cloudcontainers

30 januari 2024**

Geschatte datum voor wijziging: april 2024

Wanneer detectie van bedreigingen voor meerdere cloudcontainers naar ALGEMENE beschikbaarheid wordt verplaatst, is deze niet meer gratis. Zie Microsoft Defender voor Cloud prijzen voor meer informatie.

Update: Afdwingen van Defender CSPM voor Premium DevOps-beveiligingswaarde

29 januari 2024**

Geschatte datum voor wijziging: 7 maart 2024

Defender voor Cloud begint met het afdwingen van de Defender CSPM-plancontrole op premium DevOps-beveiligingswaarde vanaf het begin 7 maart 2024. Als u het Defender CSPM-plan hebt ingeschakeld voor een cloudomgeving (Azure, AWS, GCP) binnen dezelfde tenant waarin uw DevOps-connectors zijn gemaakt, blijft u premium DevOps-mogelijkheden zonder extra kosten ontvangen. Als u geen Defender CSPM-klant bent, hebt u tot 7 maart 2024 om Defender CSPM in te schakelen voordat u toegang tot deze beveiligingsfuncties verliest. Als u Defender CSPM wilt inschakelen voor een verbonden cloudomgeving vóór 7 maart 2024, volgt u de documentatie over de activering die hier wordt beschreven.

Voor meer informatie over welke DevOps-beveiligingsfuncties beschikbaar zijn in zowel de Foundational CSPM- als Defender CSPM-abonnementen, raadpleegt u onze documentatie met een overzicht van de beschikbaarheid van functies.

Zie de overzichtsdocumentatie voor meer informatie over DevOps Security in Defender voor Cloud.

Zie voor meer informatie over de code voor cloudbeveiligingsmogelijkheden in Defender CSPM hoe u uw resources beveiligt met Defender CSPM.

Preview: Containerpostuur zonder agent voor GCP in Defender for Containers en Defender CSPM

24 januari 2024

De nieuwe mogelijkheden voor containerpostuur zonder agent (preview) zijn beschikbaar voor GCP, inclusief evaluaties van beveiligingsproblemen voor GCP met Microsoft Defender Vulnerability Management. Zie De postuur van containers zonder agent in Defender CSPM en mogelijkheden zonder agent in Defender for Containers voor meer informatie over alle mogelijkheden.

In dit blogbericht kunt u ook lezen over beheer van containerpostuur zonder agent voor meerdere clouds.

Preview: Scannen op malware zonder agent voor servers

16 januari 2024

We kondigen de release aan van de detectie van malware zonder agent van Defender voor Cloud voor virtuele Azure-machines (VM), AWS EC2-exemplaren en GCP VM-exemplaren, als een nieuwe functie die is opgenomen in Defender for Servers Plan 2.

Detectie van malware zonder agent voor VM's is nu opgenomen in ons scanplatform zonder agent. Malwarescans zonder agent maken gebruik van de antimalware-engine van Microsoft Defender Antivirus om schadelijke bestanden te scannen en te detecteren. Gedetecteerde bedreigingen, trigger beveiligingswaarschuwingen rechtstreeks in Defender voor Cloud en Defender XDR, waar ze kunnen worden onderzocht en hersteld. De scanner voor malware zonder agent vormt een aanvulling op de dekking op basis van agents met een tweede laag bedreigingsdetectie met probleemloze onboarding en heeft geen invloed op de prestaties van uw computer.

Meer informatie over het scannen van malware zonder agent voor servers en het scannen zonder agent voor VM's.

Algemene beschikbaarheid van de integratie van Defender voor Cloud met Microsoft Defender XDR

15 januari 2024

We kondigen de algemene beschikbaarheid (GA) aan van de integratie tussen Defender voor Cloud en Microsoft Defender XDR (voorheen Microsoft 365 Defender).

De integratie biedt dagelijkse concurrentiemogelijkheden voor cloudbeveiliging in het Security Operations Center (SOC). Met Microsoft Defender voor Cloud en de Integratie van Defender XDR kunnen SOC-teams aanvallen detecteren die detecties van meerdere pijlers combineren, waaronder cloud, eindpunt, identiteit, Office 365 en meer.

Meer informatie over waarschuwingen en incidenten in Microsoft Defender XDR.

Update: Ingebouwde Azure-rol scannen van vm's zonder agent

14 januari 2024**

Geschatte wijzigingsdatum: februari 2024

In Azure maakt scannen zonder agent voor VM's gebruik van een ingebouwde rol (VM-scanneroperator genoemd) met de minimaal benodigde machtigingen om uw VM's te scannen en te beoordelen op beveiligingsproblemen. Als u voortdurend relevante aanbevelingen voor scanstatus en configuratie wilt bieden voor VM's met versleutelde volumes, wordt een update van de machtigingen van deze rol gepland. De update bevat de toevoeging van de Microsoft.Compute/DiskEncryptionSets/read machtiging. Deze machtiging maakt alleen een verbeterde identificatie mogelijk van versleuteld schijfgebruik in VM's. Het biedt geen Defender voor Cloud meer mogelijkheden om de inhoud van deze versleutelde volumes te ontsleutelen of te openen buiten de versleutelingsmethoden die al vóór deze wijziging worden ondersteund. Deze wijziging vindt naar verwachting plaats in februari 2024 en er is geen actie vereist aan uw einde.

Update: Aantekeningen voor DevOps-beveiligingsaanvragen die standaard zijn ingeschakeld voor Azure DevOps-connectors

12 januari 2024

DevOps-beveiliging stelt beveiligingsresultaten beschikbaar als aantekeningen in pull-aanvragen (PR) om ontwikkelaars te helpen potentiële beveiligingsproblemen en onjuiste configuraties te voorkomen en op te lossen voordat ze in productie gaan. Vanaf 12 januari 2024 zijn pr-aantekeningen standaard ingeschakeld voor alle nieuwe en bestaande Azure DevOps-opslagplaatsen die zijn verbonden met Defender voor Cloud.

Pr-aantekeningen zijn standaard alleen ingeschakeld voor resultaten van Infrastructuur met hoge ernst als code (IaC). Klanten moeten Microsoft Security for DevOps (MSDO) nog steeds configureren om uit te voeren in PULL-builds en het buildvalidatiebeleid in te schakelen voor CI-builds in de instellingen van de Azure DevOps-opslagplaats. Klanten kunnen de functie PULL-aantekening uitschakelen voor specifieke opslagplaatsen vanuit de configuratieopties van de DevOps-beveiligingsbladeopslagplaats.

Meer informatie over het inschakelen van aantekeningen voor pull-aanvragen voor Azure DevOps.

Afschaffing: Het buitengebruikstellingspad van Defender for Servers ingebouwde evaluatie van beveiligingsproblemen (Qualys)

9 januari 2024**

Geschatte datum voor wijziging: mei 2024

De ingebouwde oplossing voor evaluatie van beveiligingsproblemen van Defender for Servers, mogelijk gemaakt door Qualys, bevindt zich op een buitengebruikstellingspad, dat naar schatting op 1 mei 2024 is voltooid. Als u momenteel de oplossing voor evaluatie van beveiligingsproblemen gebruikt die wordt mogelijk gemaakt door Qualys, moet u uw overgang plannen naar de geïntegreerde Microsoft Defender-oplossing voor beveiligingsbeheer.

Lees dit blogbericht voor meer informatie over onze beslissing om onze evaluatie van beveiligingsproblemen te samenvoegen met Microsoft Defender Vulnerability Management.

U kunt ook de veelgestelde vragen over de overgang naar de microsoft Defender-oplossing voor beveiligingsproblemen bekijken.

Update: netwerkvereisten voor Defender voor Cloud met meerdere clouds

3 januari 2024**

Geschatte datum voor wijziging: mei 2024

Vanaf mei 2024 zullen we de oude IP-adressen die zijn gekoppeld aan onze multiclouddetectieservices buiten gebruik stellen om verbeteringen aan te passen en een veiligere en efficiëntere ervaring voor alle gebruikers te garanderen.

Om ononderbroken toegang tot onze services te garanderen, moet u uw IP-acceptatielijst bijwerken met de nieuwe bereiken in de volgende secties. U moet de benodigde aanpassingen aanbrengen in uw firewallinstellingen, beveiligingsgroepen of andere configuraties die van toepassing kunnen zijn op uw omgeving.

De lijst is van toepassing op alle plannen en voldoende voor volledige mogelijkheden van de CSPM foundational (gratis) aanbieding.

IP-adressen die buiten gebruik moeten worden gesteld:

  • Detectie GCP: 104.208.29.200, 52.232.56.127
  • Detectie AWS: 52.165.47.219, 20.107.8.204
  • Onboarding: 13.67.139.3

Nieuwe regiospecifieke IP-bereiken die moeten worden toegevoegd:

  • Europa - west: 52.178.17.48/28
  • Europa - noord: 13.69.233.80/28
  • VS - centraal: 20.44.10.240/28
  • VS - oost 2: 20.44.19.128/28

December 2023

Datum Bijwerken
30 december Consolidatie van de serviceniveau 2-namen van Defender voor Cloud
24 december Defender voor Servers op resourceniveau dat beschikbaar is als GA
21 december Buitengebruikstelling van klassieke connectors voor multicloud
21 december Release van de werkmap Dekking
14 december Algemene beschikbaarheid van De evaluatie van beveiligingsproblemen van containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management in Azure Government en Azure beheerd door 21Vianet
14 december Openbare preview van Windows-ondersteuning voor evaluatie van beveiligingsproblemen in containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management
13 december De evaluatie van beveiligingsproblemen van AWS-containers wordt buiten gebruik gesteld door Trivy
13 december Containerpostuur zonder agent voor AWS in Defender for Containers en Defender CSPM (preview)
13 december Algemene beschikbaarheid (GA) voor PostgreSQL Flexible Server in Defender voor een opensource-plan voor relationele databases
12 december Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management biedt nu ondersteuning voor Google Distroless

Consolidatie van de serviceniveau 2-namen van Defender voor Cloud

30 december 2023

We consolideren de verouderde serviceniveau 2-namen voor alle Defender voor Cloud-plannen in één nieuwe serviceniveau 2-naam, Microsoft Defender voor Cloud.

Tegenwoordig zijn er vier serviceniveau 2-namen: Azure Defender, Advanced Threat Protection, Advanced Data Security en Security Center. De verschillende meters voor Microsoft Defender voor Cloud worden gegroepeerd in deze afzonderlijke serviceniveau 2-namen, waardoor complexiteit ontstaat bij het gebruik van Kostenbeheer en facturering, facturering en andere hulpprogramma's met betrekking tot Azure-facturering.

De wijziging vereenvoudigt het proces van het controleren van Defender voor Cloud kosten en biedt een betere duidelijkheid in kostenanalyse.

Om een soepele overgang te garanderen, hebben we maatregelen genomen om de consistentie van de product-/servicenaam, SKU en meter-id's te behouden. Betrokken klanten ontvangen een informatieve Azure-servicemelding om de wijzigingen te communiceren.

Organisaties die kostengegevens ophalen door onze API's aan te roepen, moeten de waarden in hun aanroepen bijwerken om tegemoet te komen aan de wijziging. In deze filterfunctie retourneren de waarden bijvoorbeeld geen informatie:

"filter": {
          "dimensions": {
              "name": "MeterCategory",
              "operator": "In",
              "values": [
                  "Advanced Threat Protection",
                  "Advanced Data Security",
                  "Azure Defender",
                  "Security Center"
                ]
          }
      }
OUDE naam van serviceniveau 2 NAAM VAN NIEUW serviceniveau 2 Servicelaag - Serviceniveau 4 (geen wijziging)
Advanced Data Security Microsoft Defender for Cloud Defender voor SQL
Advanced Threat Protection Microsoft Defender for Cloud Defender voor containerregisters
Advanced Threat Protection Microsoft Defender for Cloud Defender voor DNS
Advanced Threat Protection Microsoft Defender for Cloud Defender voor Key Vault
Advanced Threat Protection Microsoft Defender for Cloud Defender voor Kubernetes
Advanced Threat Protection Microsoft Defender for Cloud Defender for MySQL
Advanced Threat Protection Microsoft Defender for Cloud Defender for PostgreSQL
Advanced Threat Protection Microsoft Defender for Cloud Defender voor Resource Manager
Advanced Threat Protection Microsoft Defender for Cloud Defender for Storage
Azure Defender Microsoft Defender for Cloud Defender for External Attack Surface Management
Azure Defender Microsoft Defender for Cloud Defender voor Azure Cosmos DB
Azure Defender Microsoft Defender for Cloud Defender voor Containers
Azure Defender Microsoft Defender for Cloud Defender for MariaDB
Beveiligingscentrum Microsoft Defender for Cloud Defender voor App Service
Beveiligingscentrum Microsoft Defender for Cloud Defender voor Servers
Beveiligingscentrum Microsoft Defender for Cloud Defender CSPM

Defender voor Servers op resourceniveau dat beschikbaar is als GA

24 december 2023

Het is nu mogelijk om Defender for Servers te beheren op specifieke resources binnen uw abonnement, zodat u volledige controle hebt over uw beveiligingsstrategie. Met deze mogelijkheid kunt u specifieke resources configureren met aangepaste configuraties die verschillen van de instellingen die op abonnementsniveau zijn geconfigureerd.

Meer informatie over het inschakelen van Defender voor Servers op resourceniveau.

Buitengebruikstelling van klassieke connectors voor multicloud

21 december 2023

De klassieke multicloudconnectorervaring wordt buiten gebruik gesteld en gegevens worden niet meer gestreamd naar connectors die via dat mechanisme zijn gemaakt. Deze klassieke connectors zijn gebruikt om aanbevelingen voor AWS Security Hub en GCP Security Command Center te verbinden om AWS EC2's te Defender voor Cloud en onboarden voor Defender for Servers.

De volledige waarde van deze connectors is vervangen door de systeemeigen multicloudbeveiligingsconnectorservaring, die sinds maart 2022 algemeen beschikbaar is voor AWS en GCP.

De nieuwe systeemeigen connectors zijn opgenomen in uw plan en bieden een geautomatiseerde onboarding-ervaring met opties voor het onboarden van één account, meerdere accounts (met Terraform) en onboarding van organisaties met automatische inrichting voor de volgende Defender-abonnementen: gratis fundamentele CSPM-mogelijkheden, Defender Cloud Security Posture Management (CSPM), Defender for Servers, Defender for SQL en Defender for Containers.

Release van de werkmap Dekking

21 december 2023

Met de werkmap Dekking kunt u bijhouden welke Defender voor Cloud plannen actief zijn op welke onderdelen van uw omgevingen. Deze werkmap kan u helpen ervoor te zorgen dat uw omgevingen en abonnementen volledig zijn beveiligd. Door toegang te hebben tot gedetailleerde dekkingsgegevens, kunt u ook alle gebieden identificeren die andere beveiliging nodig hebben en actie ondernemen om deze gebieden aan te pakken.

Meer informatie over de werkmap Dekking.

Algemene beschikbaarheid van De evaluatie van beveiligingsproblemen van containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management in Azure Government en Azure beheerd door 21Vianet

14 december 2023

Evaluatie van beveiligingsproblemen (VA) voor Linux-containerinstallatiekopieën in Azure-containerregisters die mogelijk worden gemaakt door Microsoft Defender Vulnerability Management, wordt uitgebracht voor algemene beschikbaarheid (GA) in Azure Government en Azure beheerd door 21Vianet. Deze nieuwe release is beschikbaar onder de abonnementen Defender for Containers en Defender for ContainerRegistries.

  • Als onderdeel van deze wijziging zijn nieuwe aanbevelingen uitgebracht voor algemene beschikbaarheid en opgenomen in de berekening van de beveiligingsscore. Nieuwe en bijgewerkte beveiligingsaankopen bekijken
  • Bij het scannen van containerinstallatiekopieën, mogelijk gemaakt door Microsoft Defender Vulnerability Management, worden nu ook kosten in rekening gebracht op basis van de abonnementsprijzen. Houd er rekening mee dat installatiekopieën die door onze container-VA-aanbieding worden gescand, mogelijk gemaakt door Qualys en Container VA, mogelijk gemaakt door Microsoft Defender Vulnerability Management, slechts eenmaal worden gefactureerd.

Qualys-aanbevelingen voor evaluatie van beveiligingsproblemen in containers zijn hernoemd en blijven beschikbaar voor klanten die Defender for Containers hebben ingeschakeld voor een van hun abonnementen vóór deze release. Nieuwe klanten die Defender for Containers onboarden na deze release, zien alleen de nieuwe aanbevelingen voor evaluatie van beveiligingsproblemen van containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management.

Openbare preview van Windows-ondersteuning voor evaluatie van beveiligingsproblemen in containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management

14 december 2023

Ondersteuning voor Windows-installatiekopieën is uitgebracht in openbare preview als onderdeel van evaluatie van beveiligingsproblemen (VA), mogelijk gemaakt door Microsoft Defender Vulnerability Management voor Azure-containerregisters en Azure Kubernetes Services.

De evaluatie van beveiligingsproblemen van AWS-containers wordt buiten gebruik gesteld door Trivy

13 december 2023

De evaluatie van beveiligingsproblemen van containers die door Trivy wordt mogelijk gemaakt, is nu op een buitengebruikstellingspad dat op 13 februari moet worden voltooid. Deze mogelijkheid is nu afgeschaft en blijft beschikbaar voor bestaande klanten die deze mogelijkheid gebruiken tot 13 februari. We raden klanten aan deze mogelijkheid te gebruiken om tegen 13 februari een upgrade uit te voeren naar de nieuwe EVALUATIE van beveiligingsproblemen van AWS-containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management .

Containerpostuur zonder agent voor AWS in Defender for Containers en Defender CSPM (preview)

13 december 2023

De nieuwe mogelijkheden voor containerpostuur zonder agent (preview) zijn beschikbaar voor AWS. Zie De postuur van containers zonder agent in Defender CSPM en mogelijkheden zonder agents in Defender for Containers voor meer informatie.

Ondersteuning voor algemene beschikbaarheid voor PostgreSQL Flexible Server in Defender voor een opensource-plan voor relationele databases

13 december 2023

We kondigen de algemene beschikbaarheidsrelease van PostgreSQL Flexible Server-ondersteuning aan in het microsoft Defender voor opensource-databasesplan . Microsoft Defender voor opensource-relationele databases biedt geavanceerde bedreigingsbeveiliging voor PostgreSQL Flexibele servers door afwijkende activiteiten te detecteren en beveiligingswaarschuwingen te genereren.

Meer informatie over het inschakelen van Microsoft Defender voor opensource-relationele databases.

Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management biedt nu ondersteuning voor Google Distroless

12 december 2023

Evaluaties van beveiligingsproblemen in containers die mogelijk worden gemaakt door Microsoft Defender Vulnerability Management, zijn uitgebreid met extra dekking voor Linux-besturingssysteempakketten, waarbij Google Ditroless wordt ondersteund.

Voor een lijst met alle ondersteunde besturingssystemen raadpleegt u ondersteuning voor registers en installatiekopieën voor Azure - Evaluatie van beveiligingsproblemen mogelijk gemaakt door Microsoft Defender Vulnerability Management.

November 2023

Datum Bijwerken
30 november Vier waarschuwingen zijn afgeschaft
27 november Algemene beschikbaarheid van scannen van geheimen zonder agent in Defender voor Servers en Defender CSPM
22 november Machtigingenbeheer inschakelen met Defender voor Cloud (preview)
22 november Defender voor Cloud integratie met ServiceNow
20 november Algemene beschikbaarheid van het automatische inrichtingsproces voor SQL-servers op computers
15 november Algemene beschikbaarheid van Defender voor API's
15 november Defender voor Cloud is nu geïntegreerd met Microsoft 365 Defender (preview)
15 november Algemene beschikbaarheid van Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender for Containers en Defender for Container Registries
15 november Naam van aanbevelingsnamen voor evaluaties van beveiligingsproblemen in containers wijzigen
15 november Prioriteitstelling van risico's is nu beschikbaar voor aanbevelingen
15 november Analyse van aanvalspaden nieuwe engine en uitgebreide verbeteringen
15 november Wijzigingen in het Azure Resource Graph-tabelschema van het Azure Resource Graph-pad
15 november Release van algemene beschikbaarheid van GCP-ondersteuning in Defender CSPM
15 november Algemene beschikbaarheidsrelease van dashboard voor gegevensbeveiliging
15 november Algemene beschikbaarheid van detectie van gevoelige gegevens voor databases
6 november Nieuwe versie van de aanbeveling om ontbrekende systeemupdates te vinden, is nu algemeen beschikbaar

Vier waarschuwingen zijn afgeschaft

30 november 2023

Als onderdeel van ons kwaliteitsverbeteringsproces worden de volgende beveiligingswaarschuwingen afgeschaft:

  • Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
  • Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
  • Suspicious process termination burst (VM_TaskkillBurst)
  • PsExec execution detected (VM_RunByPsExec)

Algemene beschikbaarheid van scannen van geheimen zonder agent in Defender voor Servers en Defender CSPM

27 november 2023

Scannen van geheimen zonder agent verbetert de beveiliging van virtuele machines in de cloud (VM) door geheimen zonder opmaak op VM-schijven te identificeren. Scannen van geheimen zonder agent biedt uitgebreide informatie om prioriteit te geven aan gedetecteerde bevindingen en risico's voor laterale verplaatsing te beperken voordat ze optreden. Deze proactieve benadering voorkomt onbevoegde toegang, zodat uw cloudomgeving veilig blijft.

We kondigen de algemene beschikbaarheid (GA) aan van het scannen van geheimen zonder agent, die is opgenomen in zowel de Defender voor Servers P2 - als de Defender CSPM-abonnementen .

Scannen van geheimen zonder agent maakt gebruik van cloud-API's om momentopnamen van uw schijven vast te leggen, waarbij out-of-band-analyses worden uitgevoerd om ervoor te zorgen dat er geen effect is op de prestaties van uw VM. Scannen zonder agents vergroot de dekking die wordt geboden door Defender voor Cloud over cloudassets in Azure-, AWS- en GCP-omgevingen om uw cloudbeveiliging te verbeteren.

Met deze release bieden Defender voor Cloud detectiemogelijkheden nu ondersteuning voor andere databasetypen, ondertekende URL's voor gegevensopslag, toegangstokens en meer.

Meer informatie over het beheren van geheimen met scannen van geheimen zonder agent.

Machtigingenbeheer inschakelen met Defender voor Cloud (preview)

22 november 2023

Microsoft biedt nu zowel CLOUD-Native Application Protection Platforms (CNAPP) als CIEM-oplossingen (Cloud Infrastructure Entitlement Management) met Microsoft Defender voor Cloud (CNAPP) en Microsoft Entra-machtigingenbeheer (CIEM).

Beveiligingsbeheerders kunnen een gecentraliseerde weergave krijgen van hun ongebruikte of overmatige toegangsmachtigingen binnen Defender voor Cloud.

Beveiligingsteams kunnen de besturingselementen voor toegang met minimale bevoegdheden voor cloudresources stimuleren en aanbevelingen ontvangen voor het oplossen van risico's voor machtigingen in Azure-, AWS- en GCP-cloudomgevingen als onderdeel van hun Defender Cloud Security Posture Management (CSPM), zonder extra licentievereisten.

Meer informatie over het inschakelen van machtigingenbeheer in Microsoft Defender voor Cloud (preview).

Defender voor Cloud integratie met ServiceNow

22 november 2023

ServiceNow is nu geïntegreerd met Microsoft Defender voor Cloud, waarmee klanten ServiceNow kunnen verbinden met hun Defender voor Cloud-omgeving om prioriteit te geven aan herstel van aanbevelingen die van invloed zijn op uw bedrijf. Microsoft Defender voor Cloud integreert met de ITSM-module (incidentbeheer). Als onderdeel van deze verbinding kunnen klanten ServiceNow-tickets (gekoppeld aan aanbevelingen) maken/weergeven vanuit Microsoft Defender voor Cloud.

Meer informatie over de integratie van Defender voor Cloud met ServiceNow.

Algemene beschikbaarheid van het proces voor automatische inrichting voor SQL-servers op machinesplan

20 november 2023

Ter voorbereiding op de afschaffing van Microsoft Monitoring Agent (MMA) in augustus 2024 heeft Defender voor Cloud een automatisch inrichtingsproces (Azure Monitoring Agent) op SQL Server uitgebracht. Het nieuwe proces wordt automatisch ingeschakeld en geconfigureerd voor alle nieuwe klanten en biedt ook de mogelijkheid voor het inschakelen op resourceniveau voor Azure SQL-VM's en SQL-servers met Arc.

Klanten die het MMA-proces voor automatische inrichting gebruiken, worden gevraagd om te migreren naar de nieuwe Azure Monitoring Agent voor SQL Server op machines die automatisch inrichten. Het migratieproces is naadloos en biedt continue beveiliging voor alle machines.

Algemene beschikbaarheid van Defender voor API's

15 november 2023

We kondigen de algemene beschikbaarheid (GA) van Microsoft Defender voor API's aan. Defender voor API's is ontworpen om organisaties te beschermen tegen API-beveiligingsrisico's.

Met Defender voor API's kunnen organisaties hun API's en gegevens beschermen tegen kwaadwillende actoren. Organisaties kunnen hun API-beveiligingspostuur onderzoeken en verbeteren, beveiligingsoplossingen prioriteren en snel actieve realtime bedreigingen detecteren en erop reageren. Organisaties kunnen beveiligingswaarschuwingen ook rechtstreeks integreren in hun SIEM-platform (Security Incident and Event Management), bijvoorbeeld Microsoft Sentinel, om problemen te onderzoeken en te classificeren.

U kunt leren hoe u uw API's beveiligt met Defender voor API's. U kunt ook meer informatie vinden over Microsoft Defender voor API's.

U kunt deze blog ook lezen voor meer informatie over de algemene beschikbaarheidsaankondiging.

Defender voor Cloud is nu geïntegreerd met Microsoft 365 Defender (preview)

15 november 2023

Bedrijven kunnen hun cloudresources en -apparaten beschermen met de nieuwe integratie tussen Microsoft Defender voor Cloud en Microsoft Defender XDR. Deze integratie verbindt de punten tussen cloudresources, apparaten en identiteiten, die eerder meerdere ervaringen vereist.

De integratie biedt ook dagelijkse concurrentiemogelijkheden voor cloudbeveiliging in het Security Operations Center (SOC). Met Microsoft Defender XDR kunnen SOC-teams eenvoudig aanvallen detecteren die detecties van meerdere pijlers combineren, waaronder cloud, eindpunt, identiteit, Office 365 en meer.

Enkele van de belangrijkste voordelen zijn:

  • Eén gebruiksvriendelijke interface voor SOC-teams: Met de waarschuwingen en cloudcorrelaties van Defender voor Cloud die zijn geïntegreerd in M365D, hebben SOC-teams nu toegang tot alle beveiligingsinformatie vanaf één interface, waardoor de operationele efficiëntie aanzienlijk wordt verbeterd.

  • Eén aanvalsverhaal: klanten kunnen het volledige aanvalsverhaal begrijpen, inclusief hun cloudomgeving, met behulp van vooraf gemaakte correlaties die beveiligingswaarschuwingen uit meerdere bronnen combineren.

  • Nieuwe cloudentiteiten in Microsoft Defender XDR: Microsoft Defender XDR ondersteunt nu nieuwe cloudentiteiten die uniek zijn voor Microsoft Defender voor Cloud, zoals cloudresources. Klanten kunnen entiteiten van virtuele machines (VM's) koppelen aan apparaatentiteiten, zodat ze een uniforme weergave bieden van alle relevante informatie over een machine, inclusief waarschuwingen en incidenten die erop zijn geactiveerd.

  • Geïntegreerde API voor Microsoft-beveiligingsproducten: klanten kunnen nu hun beveiligingswaarschuwingsgegevens exporteren naar hun eigen systemen met behulp van één API, omdat Microsoft Defender voor Cloud waarschuwingen en incidenten nu deel uitmaken van de openbare API van Microsoft Defender XDR.

De integratie tussen Defender voor Cloud en Microsoft Defender XDR is beschikbaar voor alle nieuwe en bestaande Defender voor Cloud klanten.

Algemene beschikbaarheid van Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management (MDVM) in Defender for Containers en Defender for Container Registries

15 november 2023

Evaluatie van beveiligingsproblemen (VA) voor Linux-containerinstallatiekopieën in Azure-containerregisters die mogelijk worden gemaakt door Microsoft Defender Vulnerability Management (MDVM) wordt uitgebracht voor algemene beschikbaarheid (GA) in Defender for Containers en Defender for Container-registers.

Als onderdeel van deze wijziging zijn de volgende aanbevelingen uitgebracht voor algemene beschikbaarheid en hernoemd en zijn nu opgenomen in de berekening van de beveiligingsscore:

Naam van huidige aanbeveling Nieuwe aanbevelingsnaam Beschrijving Evaluatiesleutel
Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) Evaluaties van beveiligingsproblemen van containerinstallatiekopieën scannen uw register op bekende beveiligingsproblemen (CVE's) en bieden een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
Bij het uitvoeren van containerinstallatiekopieën moeten de resultaten van beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Voor een containerinstallatiekopieënscan die mogelijk wordt gemaakt door MDVM worden nu ook kosten in rekening gebracht volgens de prijs van een abonnement.

Notitie

Installatiekopieën gescand door onze container VA-aanbieding mogelijk gemaakt door Qualys en Container VA-aanbieding mogelijk gemaakt door MDVM, worden slechts eenmaal gefactureerd.

De onderstaande Qualys-aanbevelingen voor evaluatie van beveiligingsproblemen van containers zijn hernoemd en blijven beschikbaar voor klanten die Defender for Containers vóór 15 november hebben ingeschakeld voor hun abonnementen. Nieuwe klanten die Defender for Containers onboarden na 15 november, zien alleen de nieuwe aanbevelingen voor evaluatie van beveiligingsproblemen van containers, mogelijk gemaakt door Microsoft Defender Vulnerability Management.

Naam van huidige aanbeveling Nieuwe aanbevelingsnaam Beschrijving Evaluatiesleutel
Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys) Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys) Evaluatie van beveiligingsproblemen van de containerinstallatiekopie scant uw register op beveiligingsproblemen en toont gedetailleerde resultaten voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. dbd0cb49-b563-45e7-9724-889e799fa648
Bij het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Qualys) Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost ( mogelijk gemaakt door Qualys) Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant containerinstallatiekopieën die worden uitgevoerd op uw Kubernetes-clusters op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. 41503391-efa5-47ee-9282-4eff6131462c

Naam van aanbevelingsnamen voor evaluaties van beveiligingsproblemen in containers wijzigen

De volgende aanbevelingen voor evaluaties van beveiligingsproblemen in containers zijn hernoemd:

Naam van huidige aanbeveling Nieuwe aanbevelingsnaam Beschrijving Evaluatiesleutel
Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys) Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys) Evaluatie van beveiligingsproblemen van de containerinstallatiekopie scant uw register op beveiligingsproblemen en toont gedetailleerde resultaten voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. dbd0cb49-b563-45e7-9724-889e799fa648
Bij het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Qualys) Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost ( mogelijk gemaakt door Qualys) Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant containerinstallatiekopieën die worden uitgevoerd op uw Kubernetes-clusters op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. 41503391-efa5-47ee-9282-4eff6131462c
Installatiekopieën van elastische containerregisters moeten problemen hebben opgelost AWS-registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost - (mogelijk gemaakt door Trivy) Evaluatie van beveiligingsproblemen van de containerinstallatiekopie scant uw register op beveiligingsproblemen en toont gedetailleerde resultaten voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. 03587042-5d4b-44ff-af42-ae99e3c71c87

Prioriteitstelling van risico's is nu beschikbaar voor aanbevelingen

15 november 2023

U kunt nu prioriteit geven aan uw beveiligingsaanbeveling op basis van het risiconiveau dat ze vormen, waarbij rekening wordt gehouden met zowel de exploiteerbaarheid als het potentiële bedrijfseffect van elk onderliggend beveiligingsprobleem.

Door uw aanbevelingen te organiseren op basis van hun risiconiveau (kritiek, hoog, gemiddeld, laag), kunt u de meest kritieke risico's binnen uw omgeving aanpakken en efficiënt prioriteit geven aan het oplossen van beveiligingsproblemen op basis van het werkelijke risico, zoals blootstelling aan internet, gegevensgevoeligheid, mogelijkheden voor laterale verplaatsing en mogelijke aanvalspaden die kunnen worden beperkt door de aanbevelingen op te lossen.

Meer informatie over risico prioritering.

Analyse van aanvalspaden nieuwe engine en uitgebreide verbeteringen

15 november 2023

We brengen verbeteringen uit aan de mogelijkheden voor analyse van aanvalspaden in Defender voor Cloud.

  • Nieuwe engine : analyse van aanvalspaden heeft een nieuwe engine, die gebruikmaakt van padzoekingsalgoritmen om elk mogelijk aanvalspad te detecteren dat bestaat in uw cloudomgeving (op basis van de gegevens die we in onze grafiek hebben). We kunnen veel meer aanvalspaden in uw omgeving vinden en complexere en geavanceerdere aanvalspatronen detecteren die aanvallers kunnen gebruiken om uw organisatie te schenden.

  • Verbeteringen : de volgende verbeteringen worden uitgebracht:

    • Prioriteitsaanduiding van risico's: lijst met prioriteit van aanvalspaden op basis van risico 'exploitability & business affect'.
    • Verbeterd herstel : het aanwijzen van de specifieke aanbevelingen die moeten worden opgelost om de keten daadwerkelijk te verbreken.
    • Aanvalspaden in meerdere clouds: detectie van aanvalspaden die meerdere clouds zijn (paden die in de ene cloud beginnen en eindigen in een andere).
    • MITRE : alle aanvalspaden toewijzen aan het MITRE-framework.
    • Vernieuwde gebruikerservaring : vernieuwde ervaring met sterkere mogelijkheden: geavanceerde filters, zoeken en groeperen van aanvalspaden om eenvoudiger te kunnen worden gesorteerd.

Meer informatie over het identificeren en herstellen van aanvalspaden.

Wijzigingen in het Azure Resource Graph-tabelschema van het Azure Resource Graph-pad

15 november 2023

Het azure Resource Graph-tabelschema van het aanvalspad wordt bijgewerkt. De attackPathType eigenschap wordt verwijderd en andere eigenschappen worden toegevoegd.

Release van algemene beschikbaarheid van GCP-ondersteuning in Defender CSPM

15 november 2023

We kondigen de ga-release (algemene beschikbaarheid) van de contextuele cloudbeveiligingsgrafiek en aanvalspadanalyse van Defender CSPM aan met ondersteuning voor GCP-resources. U kunt de kracht van Defender CSPM toepassen voor uitgebreide zichtbaarheid en intelligente cloudbeveiliging in GCP-resources.

Belangrijke functies van onze GCP-ondersteuning zijn:

  • Analyse van aanvalspaden : krijg inzicht in de mogelijke routes die aanvallers kunnen nemen.
  • Cloud Security Explorer : proactief beveiligingsrisico's identificeren door op grafieken gebaseerde query's uit te voeren op de beveiligingsgrafiek.
  • Scannen zonder agent: scan servers en identificeer geheimen en beveiligingsproblemen zonder een agent te installeren.
  • Gegevensbewuste beveiligingspostuur : risico's detecteren en oplossen voor gevoelige gegevens in Google Cloud Storage-buckets.

Meer informatie over opties voor Defender CSPM-plannen.

Notitie

De facturering voor de GA-release van GCP-ondersteuning in Defender CSPM begint op 1 februari 2024.

Algemene beschikbaarheidsrelease van dashboard voor gegevensbeveiliging

15 november 2023

Het dashboard voor gegevensbeveiliging is nu beschikbaar in algemene beschikbaarheid (GA) als onderdeel van het Defender CSPM-abonnement.

Met het dashboard voor gegevensbeveiliging kunt u de gegevensomgeving van uw organisatie, risico's voor gevoelige gegevens en inzichten over uw gegevensbronnen bekijken.

Meer informatie over het dashboard voor gegevensbeveiliging.

Algemene beschikbaarheid van detectie van gevoelige gegevens voor databases

15 november 2023

Detectie van gevoelige gegevens voor beheerde databases, waaronder Azure SQL-databases en AWS RDS-exemplaren (alle RDBMS-varianten) is nu algemeen beschikbaar en maakt automatische detectie mogelijk van kritieke databases die gevoelige gegevens bevatten.

Als u deze functie wilt inschakelen in alle ondersteunde gegevensarchieven in uw omgevingen, moet u defender CSPM inschakelen Sensitive data discovery . Meer informatie over het inschakelen van detectie van gevoelige gegevens in Defender CSPM.

U kunt ook leren hoe gevoelige gegevensdetectie wordt gebruikt in de beveiligingspostuur voor gegevensbewust.

Aankondiging van openbare preview: Nieuwe uitgebreide zichtbaarheid van gegevensbeveiliging in meerdere clouds in Microsoft Defender voor Cloud.

Nieuwe versie van de aanbeveling om ontbrekende systeemupdates te vinden, is nu algemeen beschikbaar

6 november 2023

Er is geen extra agent meer nodig op uw Azure-VM's en Azure Arc-machines om ervoor te zorgen dat de machines alle meest recente beveiligingsupdates of essentiële systeemupdates hebben.

De aanbeveling voor nieuwe systeemupdates is System updates should be installed on your machines (powered by Azure Update Manager) in het Apply system updates besturingselement gebaseerd op Updatebeheer en is nu volledig BESCHIKBAAR. De aanbeveling is afhankelijk van een systeemeigen agent die is ingesloten in elke Azure-VM en Azure Arc-machines in plaats van een geïnstalleerde agent. Met de snelle oplossing in de nieuwe aanbeveling gaat u naar een eenmalige installatie van de ontbrekende updates in de Update Manager-portal.

De oude en de nieuwe versies van de aanbevelingen om ontbrekende systeemupdates te vinden, zijn beide beschikbaar tot augustus 2024. Dit is wanneer de oudere versie wordt afgeschaft. Beide aanbevelingen: System updates should be installed on your machines (powered by Azure Update Manager)en System updates should be installed on your machines zijn beschikbaar onder hetzelfde besturingselement: Apply system updates en hebben dezelfde resultaten. Er is dus geen duplicatie in het effect op de beveiligingsscore.

U wordt aangeraden te migreren naar de nieuwe aanbeveling en de oude te verwijderen door het uit te schakelen van het ingebouwde initiatief van Defender voor Cloud in Azure Policy.

De aanbeveling is ook algemeen beschikbaar [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) en is een vereiste, die een negatief effect heeft op uw beveiligingsscore. U kunt het negatieve effect herstellen met de beschikbare oplossing.

Als u de nieuwe aanbeveling wilt toepassen, moet u het volgende doen:

  1. Verbind uw niet-Azure-machines met Arc.
  2. Schakel de periodieke evaluatie-eigenschap in. U kunt de snelle oplossing in de nieuwe aanbeveling [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) gebruiken om de aanbeveling op te lossen.

Notitie

Het inschakelen van periodieke evaluaties voor machines met Arc waarvoor Defender for Servers Plan 2 niet is ingeschakeld voor hun gerelateerde abonnement of connector, is onderhevig aan prijzen van Azure Update Manager. Arc-machines waarvoor Defender for Servers Plan 2 is ingeschakeld op hun gerelateerde abonnement of connectors, of een azure-VM, komen zonder extra kosten in aanmerking voor deze mogelijkheid.

Oktober 2023

Datum Bijwerken
30 oktober De ernst van de beveiligingswaarschuwing van adaptief toepassingsbeheer wijzigen
25 oktober Offline azure API Management-revisies verwijderd uit Defender voor API's
19 oktober Aanbevelingen voor het beheer van DevOps-beveiligingspostuur die beschikbaar zijn in openbare preview
18 oktober CIS Azure Foundations Benchmark v2.0.0 vrijgeven in het dashboard Naleving van regelgeving

De ernst van beveiligingswaarschuwingen voor adaptieve toepassingen wijzigen

Aankondigingsdatum: 30 oktober 2023

Als onderdeel van het kwaliteitsverbeteringsproces voor beveiligingswaarschuwingen van Defender voor Servers en als onderdeel van de functie adaptieve toepassingsregelaars wordt de ernst van de volgende beveiligingswaarschuwing gewijzigd in 'Informatielijk':

Waarschuwing [Waarschuwingstype] Beschrijving van waarschuwing
Er is een schending van het adaptieve toepassingsbeheerbeleid gecontroleerd. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] De onderstaande gebruikers hebben toepassingen uitgevoerd die het toepassingsbeheerbeleid van uw organisatie op deze computer schenden. Het kan de machine mogelijk blootstellen aan malware of toepassingsproblemen.

Als u deze waarschuwing wilt blijven weergeven op de pagina Beveiligingswaarschuwingen in de Microsoft Defender voor Cloud-portal, wijzigt u de standaardweergavefilter Ernst zodat deze informatieve waarschuwingen in het raster bevat.

Schermopname die laat zien waar u de ernst van informatie voor waarschuwingen kunt toevoegen.

Offline azure API Management-revisies verwijderd uit Defender voor API's

25 oktober 2023

Defender voor API's heeft de ondersteuning voor azure API Management API-revisies bijgewerkt. Offlinerevisies worden niet meer weergegeven in de inventaris van onboarding van Defender voor API's en lijken niet meer te worden toegevoegd aan Defender voor API's. Offlinerevisies staan niet toe dat er verkeer naar hen wordt verzonden en vormt geen risico vanuit een beveiligingsperspectief.

Aanbevelingen voor het beheer van DevOps-beveiligingspostuur die beschikbaar zijn in openbare preview

19 oktober 2023

Nieuwe aanbevelingen voor het beheer van DevOps-postuur zijn nu beschikbaar in openbare preview voor alle klanten met een connector voor Azure DevOps of GitHub. Met DevOps-houdingsbeheer kunt u de kwetsbaarheid voor aanvallen van DevOps-omgevingen verminderen door zwakke plekken in beveiligingsconfiguraties en toegangsbeheer bloot te leggen. Meer informatie over Het beheer van DevOps-postuur.

CIS Azure Foundations Benchmark v2.0.0 vrijgeven in het nalevingsdashboard voor regelgeving

18 oktober 2023

Microsoft Defender voor Cloud ondersteunt nu de meest recente CIS Azure Security Foundations Benchmark - versie 2.0.0 in het dashboard Naleving van regelgeving en een ingebouwd beleidsinitiatief in Azure Policy. De release van versie 2.0.0 in Microsoft Defender voor Cloud is een gezamenlijke samenwerking tussen Microsoft, het Center for Internet Security (CIS) en de gebruikerscommunities. De versie 2.0.0 breidt het evaluatiebereik aanzienlijk uit. Dit omvat nu 90+ ingebouwde Azure-beleidsregels en slaagt in eerdere versies 1.4.0 en 1.3.0 en 1.0 in Microsoft Defender voor Cloud en Azure Policy. Voor meer informatie kunt u dit blogbericht bekijken.

September 2023

Datum Bijwerken
30 september Overschakelen naar de dagelijkse limiet van Log Analytics
27 september Dashboard voor gegevensbeveiliging beschikbaar in openbare preview
21 september Preview-release: Nieuw proces voor automatisch inrichten voor SQL Server op computers
20 september GitHub Advanced Security for Azure DevOps-waarschuwingen in Defender voor Cloud
11 september Vrijgestelde functionaliteit nu beschikbaar voor aanbevelingen voor Defender for API's
11 september Voorbeeldwaarschuwingen maken voor Defender voor API-detecties
6 september Preview-versie: Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management ondersteunt nu scannen op pull
6 september Naamgevingsindeling van CIS-standaarden (Center for Internet Security) bijgewerkt in naleving van regelgeving
5 september Detectie van gevoelige gegevens voor PaaS-databases (preview)
1 september Algemene beschikbaarheid (GA): scannen van malware in Defender for Storage

Overschakelen naar de dagelijkse limiet van Log Analytics

Azure Monitor biedt de mogelijkheid om een dagelijkse limiet in te stellen voor de gegevens die worden opgenomen in uw Log Analytics-werkruimten. Defenders for Cloud-beveiligingsevenementen worden momenteel echter niet ondersteund in deze uitsluitingen.

De dagelijkse limiet van Log Analytics sluit de volgende set gegevenstypen niet meer uit:

  • WindowsEvent
  • SecurityAlert
  • SecurityBaseline
  • SecurityBaselineSummary
  • SecurityDetection
  • SecurityEvent
  • WindowsFirewall
  • MaliciousIPCommunication
  • LinuxAuditLog
  • SysmonEvent
  • ProtectionStatus
  • Bijwerken
  • UpdateSummary
  • CommonSecurityLog
  • Syslog

Alle factureerbare gegevenstypen worden beperkt als aan de daglimiet wordt voldaan. Deze wijziging verbetert het vermogen om volledig kosten te bevatten van gegevensopname die hoger is dan verwacht.

Meer informatie over werkruimten met Microsoft Defender voor Cloud.

Dashboard voor gegevensbeveiliging beschikbaar in openbare preview

27 september 2023

Het dashboard voor gegevensbeveiliging is nu beschikbaar in de openbare preview als onderdeel van het Defender CSPM-abonnement. Het dashboard voor gegevensbeveiliging is een interactief, gegevensgericht dashboard dat aanzienlijke risico's voor gevoelige gegevens verlicht, waarschuwingen en mogelijke aanvalspaden voor gegevens in hybride cloudworkloads prioriteert. Meer informatie over het dashboard voor gegevensbeveiliging.

Preview-release: Nieuw proces voor automatisch inrichten voor SQL Server op machinesplan

21 september 2023

Microsoft Monitoring Agent (MMA) wordt in augustus 2024 afgeschaft. Defender voor Cloud de strategie is bijgewerkt door MMA te vervangen door de release van een automatisch inrichtingsproces voor azure Monitoring Agent waarop SQL Server is gericht.

Tijdens de preview worden klanten die het MMA-proces voor automatische inrichting gebruiken met de optie Azure Monitor Agent (preview) aangevraagd om te migreren naar de nieuwe Azure Monitoring Agent voor SQL Server op machines (preview) voor automatische inrichting. Het migratieproces is naadloos en biedt continue beveiliging voor alle machines.

Zie Migrate to SQL Server-targeted Azure Monitoring Agent autoprovisioning process (Automatisch inrichten van Azure Monitoring Agent) voor meer informatie.

GitHub Advanced Security for Azure DevOps-waarschuwingen in Defender voor Cloud

20 september 2023

U kunt nu Waarschuwingen van GitHub Advanced Security for Azure DevOps (GHAzDO) weergeven met betrekking tot CodeQL, geheimen en afhankelijkheden in Defender voor Cloud. Resultaten worden weergegeven op de DevOps-pagina en in Aanbevelingen. Als u deze resultaten wilt zien, onboardt u uw opslagplaatsen met GHAzDO-functionaliteit naar Defender voor Cloud.

Meer informatie over GitHub Advanced Security voor Azure DevOps.

Vrijgestelde functionaliteit nu beschikbaar voor aanbevelingen voor Defender for API's

11 september 2023

U kunt nu aanbevelingen uitsluiten voor de volgende beveiligingsaanaanvelingen voor Defender for API's.

Aanbeveling Beschrijving en gerelateerd beleid Ernst
(Preview) API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service Api-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen, worden als ongebruikt beschouwd en moeten worden verwijderd uit de Azure API Management-service. Het behouden van ongebruikte API-eindpunten kan een beveiligingsrisico vormen. Dit kunnen API's zijn die moeten zijn afgeschaft vanuit de Azure API Management-service, maar die per ongeluk actief zijn gebleven. Dergelijke API's ontvangen doorgaans niet de meest recente beveiligingsdekking. Beperkt
(Preview) API-eindpunten in Azure API Management moeten worden geverifieerd API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Voor API's die zijn gepubliceerd in Azure API Management, beoordeelt deze aanbeveling de uitvoering van verificatie via abonnementssleutels, JWT en clientcertificaat dat is geconfigureerd in Azure API Management. Als geen van deze verificatiemechanismen wordt uitgevoerd tijdens de API-aanroep, ontvangt de API deze aanbeveling. Hoog

Meer informatie over het uitsluiten van aanbevelingen in Defender voor Cloud.

Voorbeeldwaarschuwingen maken voor Defender voor API-detecties

11 september 2023

U kunt nu voorbeeldwaarschuwingen genereren voor de beveiligingsdetecties die zijn uitgebracht als onderdeel van de openbare preview van Defender voor API's. Meer informatie over het genereren van voorbeeldwaarschuwingen in Defender voor Cloud.

Preview-versie: evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management ondersteunt nu scannen op pull

6 september 2023

Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management, ondersteunt nu een extra trigger voor het scannen van installatiekopieën die zijn opgehaald uit een ACR. Deze nieuw toegevoegde trigger biedt extra dekking voor actieve installatiekopieën, naast de bestaande triggers die installatiekopieën scannen die in de afgelopen 90 dagen naar een ACR zijn gepusht en installatiekopieën die momenteel worden uitgevoerd in AKS.

De nieuwe trigger wordt vandaag geïmplementeerd en is naar verwachting eind september beschikbaar voor alle klanten.

Meer informatie.

Naamgevingsindeling van CIS-standaarden (Center for Internet Security) bijgewerkt in naleving van regelgeving

6 september 2023

De naamgevingsindeling van CIS-basisbenchmarks (Center for Internet Security) in het nalevingsdashboard wordt gewijzigd van [Cloud] CIS [version number] in CIS [Cloud] Foundations v[version number]. Raadpleeg de volgende tabel:

Huidige naam Nieuwe naam
Azure CIS 1.1.0 CIS Azure Foundations v1.1.0
Azure CIS 1.3.0 CIS Azure Foundations v1.3.0
Azure CIS 1.4.0 CIS Azure Foundations v1.4.0
AWS CIS 1.2.0 CIS AWS Foundations v1.2.0
AWS CIS 1.5.0 CIS AWS Foundations v1.5.0
GCP CIS 1.1.0 CIS GCP Foundations v1.1.0
GCP CIS 1.2.0 CIS GCP Foundations v1.2.0

Meer informatie over het verbeteren van uw naleving van regelgeving.

Detectie van gevoelige gegevens voor PaaS-databases (preview)

5 september 2023

Mogelijkheden voor gegevensbewuste beveiligingspostuur voor probleemloze detectie van gevoelige gegevens voor PaaS-databases (Azure SQL Databases en Amazon RDS-exemplaren van elk type) zijn nu beschikbaar als openbare preview. Met deze openbare preview kunt u een kaart maken van uw kritieke gegevens, waar deze zich ook bevinden, en het type gegevens dat in deze databases wordt gevonden.

Detectie van gevoelige gegevens voor Azure- en AWS-databases, voegt toe aan de gedeelde taxonomie en configuratie, die al openbaar beschikbaar is voor cloudobjectopslagresources (Azure Blob Storage, AWS S3-buckets en GCP-opslagbuckets) en biedt één configuratie- en activeringservaring.

Databases worden wekelijks gescand. Als u deze optie inschakelt sensitive data discovery, wordt detectie binnen 24 uur uitgevoerd. De resultaten kunnen worden weergegeven in Cloud Security Explorer of door de nieuwe aanvalspaden voor beheerde databases met gevoelige gegevens te bekijken.

Gegevensbewuste beveiligingspostuur voor databases is beschikbaar via het Defender CSPM-abonnement en wordt automatisch ingeschakeld voor abonnementen waarvoor sensitive data discovery de optie is ingeschakeld.

In de volgende artikelen vindt u meer informatie over gegevensbewuste beveiligingspostuur:

Algemene beschikbaarheid (GA): scannen van malware in Defender for Storage

1 september 2023

Malwarescans zijn nu algemeen beschikbaar als een invoegtoepassing voor Defender for Storage. Met malwarescans in Defender for Storage kunt u uw opslagaccounts beschermen tegen schadelijke inhoud door in bijna realtime een volledige malwarescan uit te voeren op geüploade inhoud, met behulp van De mogelijkheden van Microsoft Defender Antivirus. Het is ontworpen om te voldoen aan de beveiligings- en nalevingsvereisten voor het verwerken van niet-vertrouwde inhoud. De scanfunctie voor malware is een SaaS-oplossing zonder agent die installatie op schaal mogelijk maakt en ondersteuning biedt voor het automatiseren van reacties op schaal.

Meer informatie over het scannen van malware in Defender for Storage.

Scannen op malware is geprijsd op basis van uw gegevensgebruik en budget. De facturering begint op 3 september 2023. Ga naar de pagina met prijzen voor meer informatie.

Als u het vorige plan gebruikt, moet u proactief migreren naar het nieuwe plan om malwarescans in te schakelen.

Lees het blogbericht Microsoft Defender voor Cloud aankondiging.

Augustus 2023

De updates in augustus zijn onder meer:

Datum Bijwerken
30 augustus Defender for Containers: Detectie zonder agent voor Kubernetes
22 augustus Aanbevelingsrelease: Microsoft Defender for Storage moet zijn ingeschakeld met malwarescans en detectie van gevoelige gegevensrisico's
17 augustus Uitgebreide eigenschappen in Defender voor Cloud beveiligingswaarschuwingen worden gemaskeerd uit activiteitenlogboeken
15 augustus Preview-versie van GCP-ondersteuning in Defender CSPM
7 augustus Nieuwe beveiligingswaarschuwingen in Defender for Servers Plan 2: Potentiële aanvallen detecteren die extensies van virtuele Azure-machines misbruiken
1 augustus Bedrijfsmodel- en prijsupdates voor Defender voor Cloud-abonnementen

Defender for Containers: Detectie zonder agent voor Kubernetes

30 augustus 2023

We zijn verheugd om Defender for Containers te introduceren: detectie zonder agent voor Kubernetes. Deze release markeert een belangrijke stap voorwaarts in containerbeveiliging, waardoor u geavanceerde inzichten en uitgebreide inventarismogelijkheden voor Kubernetes-omgevingen krijgt. De nieuwe containeraanbiedingen worden mogelijk gemaakt door de Defender voor Cloud contextuele beveiligingsgrafiek. Dit is wat u kunt verwachten van deze nieuwste update:

  • Kubernetes-detectie zonder agent
  • Uitgebreide inventarismogelijkheden
  • Kubernetes-specifieke beveiligingsinzichten
  • Verbeterde opsporing van risico's met Cloud Security Explorer

Detectie zonder agent voor Kubernetes is nu beschikbaar voor alle Klanten van Defender For Containers. U kunt vandaag nog aan de slag met deze geavanceerde mogelijkheden. We raden u aan uw abonnementen bij te werken zodat de volledige set extensies is ingeschakeld en profiteren van de nieuwste toevoegingen en functies. Ga naar het deelvenster Omgeving en instellingen van uw Defender for Containers-abonnement om de extensie in te schakelen.

Notitie

Als u de nieuwste toevoegingen inschakelt, worden er geen nieuwe kosten in rekening gebracht voor actieve Defender for Containers-klanten.

Zie Overzicht van Container security Microsoft Defender for Containers voor meer informatie.

Aanbevelingsrelease: Microsoft Defender for Storage moet zijn ingeschakeld met malwarescans en detectie van gevoelige gegevensrisico's

dinsdag 22 augustus 2023

Er is een nieuwe aanbeveling uitgebracht in Defender for Storage. Deze aanbeveling zorgt ervoor dat Defender for Storage is ingeschakeld op abonnementsniveau met mogelijkheden voor het scannen van malware en detectie van gevoelige gegevensrisico's.

Aanbeveling Beschrijving
Microsoft Defender voor Storage moet zijn ingeschakeld met malwarescans en detectie van gevoelige gegevensrisico's Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. Met een eenvoudige configuratie zonder agent op schaal, wanneer deze is ingeschakeld op abonnementsniveau, worden alle bestaande en nieuw gemaakte opslagaccounts onder dat abonnement automatisch beveiligd. U kunt ook specifieke opslagaccounts uitsluiten van beveiligde abonnementen.

Deze nieuwe aanbeveling vervangt de huidige aanbeveling Microsoft Defender for Storage should be enabled (evaluatiesleutel 1be22853-8ed1-4005-9907-ddad64cb1417). Deze aanbeveling is echter nog steeds beschikbaar in Azure Government-clouds.

Meer informatie over Microsoft Defender voor Storage.

Uitgebreide eigenschappen in Defender voor Cloud beveiligingswaarschuwingen worden gemaskeerd uit activiteitenlogboeken

17 augustus 2023

We hebben onlangs de manier gewijzigd waarop beveiligingswaarschuwingen en activiteitenlogboeken worden geïntegreerd. Om gevoelige klantgegevens beter te beveiligen, nemen we deze informatie niet meer op in activiteitenlogboeken. In plaats daarvan maskeren we het met sterretjes. Deze informatie is echter nog steeds beschikbaar via de waarschuwingen-API, continue export en de Defender voor Cloud-portal.

Klanten die afhankelijk zijn van activiteitenlogboeken om waarschuwingen naar hun SIEM-oplossingen te exporteren, moeten overwegen om een andere oplossing te gebruiken, omdat dit niet de aanbevolen methode is voor het exporteren van Defender voor Cloud beveiligingswaarschuwingen.

Zie Stream-waarschuwingen voor een SIEM-, SOAR- of IT-servicebeheeroplossing voor instructies over het exporteren van Defender voor Cloud beveiligingswaarschuwingen naar SIEM-, SOAR- en SOAR-toepassingen.

Preview-versie van GCP-ondersteuning in Defender CSPM

15 augustus 2023

We kondigen de preview-versie van de contextuele cloudbeveiligingsgrafiek en aanvalspadanalyse van Defender CSPM aan met ondersteuning voor GCP-resources. U kunt de kracht van Defender CSPM toepassen voor uitgebreide zichtbaarheid en intelligente cloudbeveiliging in GCP-resources.

Belangrijke functies van onze GCP-ondersteuning zijn:

  • Analyse van aanvalspaden : krijg inzicht in de mogelijke routes die aanvallers kunnen nemen.
  • Cloud Security Explorer : proactief beveiligingsrisico's identificeren door op grafieken gebaseerde query's uit te voeren op de beveiligingsgrafiek.
  • Scannen zonder agent: scan servers en identificeer geheimen en beveiligingsproblemen zonder een agent te installeren.
  • Gegevensbewuste beveiligingspostuur : risico's detecteren en oplossen voor gevoelige gegevens in Google Cloud Storage-buckets.

Meer informatie over opties voor Defender CSPM-plannen.

Nieuwe beveiligingswaarschuwingen in Defender for Servers Plan 2: Potentiële aanvallen detecteren die extensies van virtuele Azure-machines misbruiken

7 aug. 2023

Deze nieuwe reeks waarschuwingen is gericht op het detecteren van verdachte activiteiten van extensies van virtuele Azure-machines en biedt inzicht in pogingen van aanvallers om inbreuk te maken en schadelijke activiteiten uit te voeren op uw virtuele machines.

Microsoft Defender voor Servers kan nu verdachte activiteiten van de extensies van de virtuele machines detecteren, zodat u een betere dekking van de beveiliging van workloads krijgt.

Extensies van virtuele Azure-machines zijn kleine toepassingen die na de implementatie op virtuele machines worden uitgevoerd en die mogelijkheden bieden, zoals configuratie, automatisering, bewaking, beveiliging en meer. Hoewel extensies een krachtig hulpprogramma zijn, kunnen ze worden gebruikt door bedreigingsactoren voor verschillende schadelijke intenties, bijvoorbeeld:

  • Voor het verzamelen en bewaken van gegevens.
  • Voor code-uitvoering en configuratie-implementatie met hoge bevoegdheden.
  • Voor het opnieuw instellen van referenties en het maken van gebruikers met beheerdersrechten.
  • Voor het versleutelen van schijven.

Hier volgt een tabel met de nieuwe waarschuwingen.

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken Ernst
Verdachte fout bij het installeren van de GPU-extensie in uw abonnement (preview)
(VM_GPUExtensionSuspiciousFailure)
Suspicious intent of installing a GPU extension on unsupported VM's (Verdachte intentie van het installeren van een GPU-extensie op niet-ondersteunde VM's). Deze extensie moet worden geïnstalleerd op virtuele machines die zijn uitgerust met een grafische processor, en in dit geval zijn de virtuele machines niet uitgerust met een dergelijke extensie. Deze fouten kunnen worden gezien wanneer kwaadwillende kwaadwillende aanvallers meerdere installaties van een dergelijke extensie uitvoeren voor cryptoanalysedoeleinden. Impact Gemiddeld
Er is een verdachte installatie van een GPU-extensie gedetecteerd op uw virtuele machine (preview)
(VM_GPUDriverExtensionUnusualExecution)
Deze waarschuwing is uitgebracht in juli 2023.
Er is een verdachte installatie van een GPU-extensie op uw virtuele machine gedetecteerd door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de GPU-stuurprogramma-extensie gebruiken om GPU-stuurprogramma's op uw virtuele machine te installeren via Azure Resource Manager om cryptojacking uit te voeren. Deze activiteit wordt verdacht geacht omdat het gedrag van de principal afwijkt van de gebruikelijke patronen. Impact Beperkt
Opdracht uitvoeren met een verdacht script is gedetecteerd op uw virtuele machine (preview)
(VM_RunCommandSuspiciousScript)
Er is een opdracht uitvoeren met een verdacht script gedetecteerd op uw virtuele machine door de Bewerkingen van Azure Resource Manager in uw abonnement te analyseren. Aanvallers kunnen Run Command gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machine via Azure Resource Manager. Het script wordt verdacht geacht omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk. Uitvoering Hoog
Verdacht gebruik van niet-geautoriseerde run-opdrachten is gedetecteerd op uw virtuele machine (preview)
(VM_RunCommandSuspiciousFailure)
Suspicious unauthorized usage of Run Command has failed and is detected on your virtual machine by analysis the Azure Resource Manager operations in your subscription (Verdachte niet-geautoriseerde uitvoeringsopdracht is mislukt) en is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen proberen de opdracht Uitvoeren te gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machines via Azure Resource Manager. Deze activiteit wordt verdacht geacht omdat deze nog niet eerder is gezien. Uitvoering Gemiddeld
Verdacht gebruik van opdracht uitvoeren is gedetecteerd op uw virtuele machine (preview)
(VM_RunCommandSuspiciousUsage)
Suspicious usage of Run Command is detected on your virtual machine by analysis the Azure Resource Manager operations in your subscription (Verdachte uitvoeringsopdracht op uw virtuele machine gedetecteerd door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren). Aanvallers kunnen De opdracht Uitvoeren gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machines via Azure Resource Manager. Deze activiteit wordt verdacht geacht omdat deze nog niet eerder is gezien. Uitvoering Beperkt
Er is verdacht gebruik van meerdere bewakings- of gegevensverzamelingsextensies gedetecteerd op uw virtuele machines (preview)
(VM_SuspiciousMultiExtensionUsage)
Suspicious usage of multiple monitoring or data collection extensions is detected on your virtual machines by analysis the Azure Resource Manager operations in your subscription (Verdacht gebruik van meerdere extensies voor bewaking of gegevensverzameling op uw virtuele machines) door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen dergelijke extensies misbruiken voor gegevensverzameling, bewaking van netwerkverkeer en meer in uw abonnement. Dit gebruik wordt verdacht geacht omdat dit nog niet eerder is gezien. Verkenning Gemiddeld
Er is een verdachte installatie van schijfversleutelingsextensies gedetecteerd op uw virtuele machines (preview)
(VM_DiskEncryptionSuspiciousUsage)
Er is een verdachte installatie van schijfversleutelingsextensies op uw virtuele machines gedetecteerd door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de schijfversleutelingsextensie misbruiken om volledige schijfversleuteling op uw virtuele machines te implementeren via Azure Resource Manager in een poging om ransomware-activiteit uit te voeren. Deze activiteit wordt verdacht geacht omdat deze niet eerder is gezien en vanwege het grote aantal extensie-installaties. Impact Gemiddeld
Verdacht gebruik van vm-toegangsextensie is gedetecteerd op uw virtuele machines (preview)
(VM_VMAccessSuspiciousUsage)
Suspicious usage of VM Access extension is detected on your virtual machines (Verdacht gebruik van vm-toegangsuitbreiding gedetecteerd op uw virtuele machines). Aanvallers kunnen misbruik maken van de VM-toegangsextensie om toegang te krijgen en inbreuk te maken op uw virtuele machines met hoge bevoegdheden door toegangsrechten opnieuw in te stellen of gebruikers met beheerdersrechten te beheren. Deze activiteit wordt verdacht geacht omdat het gedrag van de principal afwijkt van de gebruikelijke patronen en vanwege het hoge aantal extensie-installaties. Persistentie Gemiddeld
De DSC-extensie (Desired State Configuration) met een verdacht script is gedetecteerd op uw virtuele machine (preview)
(VM_DSCExtensionSuspiciousScript)
De DSC-extensie (Desired State Configuration) met een verdacht script is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de DSC-extensie (Desired State Configuration) gebruiken om schadelijke configuraties te implementeren, zoals persistentiemechanismen, schadelijke scripts en meer, met hoge bevoegdheden, op uw virtuele machines. Het script wordt verdacht geacht omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk. Uitvoering Hoog
Verdacht gebruik van een DSC-extensie (Desired State Configuration) is gedetecteerd op uw virtuele machines (preview)
(VM_DSCExtensionSuspiciousUsage)
Verdacht gebruik van een DSC-extensie (Desired State Configuration) is gedetecteerd op uw virtuele machines door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de DSC-extensie (Desired State Configuration) gebruiken om schadelijke configuraties te implementeren, zoals persistentiemechanismen, schadelijke scripts en meer, met hoge bevoegdheden, op uw virtuele machines. Deze activiteit wordt verdacht geacht omdat het gedrag van de principal afwijkt van de gebruikelijke patronen en vanwege het hoge aantal extensie-installaties. Impact Beperkt
Aangepaste scriptextensie met een verdacht script is gedetecteerd op uw virtuele machine (preview)
(VM_CustomScriptExtensionSuspiciousCmd)
(Deze waarschuwing bestaat al en is verbeterd met meer verbeterde logica- en detectiemethoden.)
Aangepaste scriptextensie met een verdacht script is gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de aangepaste scriptextensie gebruiken om schadelijke code uit te voeren met hoge bevoegdheden op uw virtuele machine via Azure Resource Manager. Het script wordt verdacht geacht omdat bepaalde onderdelen zijn geïdentificeerd als mogelijk schadelijk. Uitvoering Hoog

Bekijk de waarschuwingen op basis van extensies in Defender voor Servers.

Zie de referentietabel voor alle beveiligingswaarschuwingen in Microsoft Defender voor Cloud voor een volledige lijst met waarschuwingen.

Bedrijfsmodel- en prijsupdates voor Defender voor Cloud-abonnementen

1 augustus 2023

Microsoft Defender voor Cloud heeft drie abonnementen die servicelaagbeveiliging bieden:

  • Defender voor Key Vault

  • Defender voor Resource Manager

  • Defender voor DNS

Deze plannen zijn overgestapt op een nieuw bedrijfsmodel met verschillende prijzen en pakketten om feedback van klanten met betrekking tot de voorspelbaarheid van bestedingen aan te pakken en de algehele kostenstructuur te vereenvoudigen.

Samenvatting van wijzigingen in bedrijfsmodel en prijzen:

Bestaande klanten van Defender voor Key-Vault, Defender voor Resource Manager en Defender voor DNS behouden hun huidige bedrijfsmodel en prijzen, tenzij ze actief overschakelen naar het nieuwe bedrijfsmodel en de prijs.

  • Defender voor Resource Manager: dit abonnement heeft een vaste prijs per abonnement per maand. Klanten kunnen overschakelen naar het nieuwe bedrijfsmodel door het nieuwe Defender for Resource Manager-model per abonnementsmodel te selecteren.

Bestaande klanten van Defender voor Key-Vault, Defender voor Resource Manager en Defender voor DNS behouden hun huidige bedrijfsmodel en prijzen, tenzij ze actief overschakelen naar het nieuwe bedrijfsmodel en de prijs.

  • Defender voor Resource Manager: dit abonnement heeft een vaste prijs per abonnement per maand. Klanten kunnen overschakelen naar het nieuwe bedrijfsmodel door het nieuwe Defender for Resource Manager-model per abonnementsmodel te selecteren.
  • Defender voor Key Vault: Dit abonnement heeft een vaste prijs per kluis, per maand zonder overschrijdingskosten. Klanten kunnen overschakelen naar het nieuwe bedrijfsmodel door het nieuwe Defender voor Key Vault-model per kluismodel te selecteren
  • Defender voor DNS: Klanten van Defender for Servers Plan 2 krijgen zonder extra kosten toegang tot Defender voor DNS-waarde als onderdeel van Defender for Servers Plan 2. Klanten die zowel Defender voor Server-abonnement 2 als Defender voor DNS hebben, worden niet meer in rekening gebracht voor Defender voor DNS. Defender voor DNS is niet meer beschikbaar als zelfstandig abonnement.

Meer informatie over de prijzen voor deze abonnementen vindt u op de pagina met Defender voor Cloud prijzen.

Juli 2023

De updates in juli zijn onder meer:

Datum Bijwerken
31 juli Preview-versie van containers Vulnerability Assessment mogelijk gemaakt door Microsoft Defender Vulnerability Management in Defender for Containers en Defender for Container Registries
30 juli De postuur van containers zonder agent in Defender CSPM is nu algemeen beschikbaar
20 juli Beheer van automatische updates voor Defender voor Eindpunt voor Linux
18 juli Geheimen zonder agent scannen op virtuele machines in Defender voor servers P2 & Defender CSPM
12 juli Nieuwe beveiligingswaarschuwing in Defender for Servers plan 2: Potentiële aanvallen detecteren die gebruikmaken van gpu-stuurprogramma-extensies van Azure VM
9 juli Ondersteuning voor het uitschakelen van specifieke resultaten van beveiligingsproblemen
1 juli Gegevensbewuste beveiligingspostuur is nu algemeen beschikbaar

Preview-versie van evaluatie van beveiligingsproblemen in containers met Microsoft Defender Vulnerability Management

31 juli 2023

We kondigen de release van Evaluatie van beveiligingsproblemen (VA) voor Linux-containerinstallatiekopieën aan in Azure-containerregisters die mogelijk worden gemaakt door Microsoft Defender Vulnerability Management in Defender for Containers en Defender for Container Registries. De nieuwe container VA-aanbieding wordt geleverd naast onze bestaande Container VA-aanbieding mogelijk gemaakt door Qualys in zowel Defender for Containers als Defender for Container Registries, en bevat dagelijkse herscans van containerinstallatiekopieën, exploitabiliteitsinformatie, ondersteuning voor os en programmeertalen (SCA) en meer.

Deze nieuwe aanbieding wordt vandaag uitgerold en is naar verwachting tegen 7 augustus beschikbaar voor alle klanten.

Meer informatie over evaluatie van beveiligingsproblemen in containers met Microsoft Defender Vulnerability Management.

De postuur van containers zonder agent in Defender CSPM is nu algemeen beschikbaar

30 juli 2023

Mogelijkheden voor containerpostuur zonder agent zijn nu algemeen beschikbaar (GA) als onderdeel van het Defender CSPM-plan (Cloud Security Posture Management).

Meer informatie over containerpostuur zonder agent in Defender CSPM.

Beheer van automatische updates voor Defender voor Eindpunt voor Linux

20 juli 2023

Standaard probeert Defender voor Cloud uw Defender voor Eindpunt voor Linux-agents bij te werken die zijn toegevoegd aan de MDE.Linux extensie. Met deze release kunt u deze instelling beheren en afmelden bij de standaardconfiguratie om uw updatecycli handmatig te beheren.

Meer informatie over het beheren van de configuratie van automatische updates voor Linux.

Geheimen zonder agent scannen op virtuele machines in Defender voor servers P2 & Defender CSPM

18 juli 2023

Geheimen scannen is nu beschikbaar als onderdeel van het scannen zonder agent in Defender voor Servers P2 en Defender CSPM. Deze mogelijkheid helpt bij het detecteren van onbeheerde en onveilige geheimen die zijn opgeslagen op virtuele machines in Azure- of AWS-resources die kunnen worden gebruikt om lateraal in het netwerk te worden verplaatst. Als er geheimen worden gedetecteerd, kan Defender voor Cloud helpen bij het prioriteren en uitvoeren van actiebare herstelstappen om het risico op laterale verplaatsing te minimaliseren, allemaal zonder dat dit van invloed is op de prestaties van uw machine.

Zie Geheimen beheren met scannen zonder agent voor meer informatie over het beveiligen van uw geheimen met het scannen van geheimen.

Nieuwe beveiligingswaarschuwing in Defender for Servers-abonnement 2: potentiële aanvallen detecteren die gebruikmaken van gpu-stuurprogramma-extensies voor Azure-VM's

12 juli 2023

Deze waarschuwing is gericht op het identificeren van verdachte activiteiten die gebruikmaken van GPU-stuurprogramma-extensies voor virtuele Azure-machines en biedt inzicht in pogingen van aanvallers om inbreuk te maken op uw virtuele machines. De waarschuwing is gericht op verdachte implementaties van GPU-stuurprogramma-extensies; dergelijke extensies worden vaak misbruikt door bedreigingsactoren om de volledige kracht van de GPU-kaart te gebruiken en cryptojacking uit te voeren.

Weergavenaam van waarschuwing
(Waarschuwingstype)
Beschrijving Ernst MITRE-tactiek
Verdachte installatie van GPU-extensie op uw virtuele machine (preview)
(VM_GPUDriverExtensionUnusualExecution)
Er is een verdachte installatie van een GPU-extensie gedetecteerd op uw virtuele machine door de Azure Resource Manager-bewerkingen in uw abonnement te analyseren. Aanvallers kunnen de GPU-stuurprogramma-extensie gebruiken om GPU-stuurprogramma's op uw virtuele machine te installeren via Azure Resource Manager om cryptojacking uit te voeren. Beperkt Impact

Zie de referentietabel voor alle beveiligingswaarschuwingen in Microsoft Defender voor Cloud voor een volledige lijst met waarschuwingen.

Ondersteuning voor het uitschakelen van specifieke resultaten van beveiligingsproblemen

9 juli 2023

Release van ondersteuning voor het uitschakelen van resultaten van beveiligingsproblemen voor uw containerregisterinstallatiekopieën of het uitvoeren van installatiekopieën als onderdeel van de postuur van containers zonder agent. Als u een organisatie hebt die een beveiligingsprobleem moet negeren in uw containerregisterinstallatiekopie in plaats van deze te herstellen, kunt u deze desgewenst uitschakelen. Uitgeschakelde bevindingen hebben geen invloed op uw beveiligingsscore of genereren ongewenste ruis.

Meer informatie over het uitschakelen van resultaten van evaluatie van beveiligingsproblemen in containerregisterinstallatiekopieën.

Gegevensbewuste beveiligingspostuur is nu algemeen beschikbaar

1 juli 2023

Gegevensbewuste beveiligingspostuur in Microsoft Defender voor Cloud is nu algemeen beschikbaar. Het helpt klanten om gegevensrisico's te verminderen en te reageren op gegevensschendingen. Met gegevensbewuste beveiligingspostuur kunt u het volgende doen:

  • Automatisch gevoelige gegevensbronnen detecteren in Azure en AWS.
  • Evalueer gegevensgevoeligheid, gegevensblootstelling en hoe gegevens in de hele organisatie stromen.
  • Proactief en continu risico's blootleggen die kunnen leiden tot gegevensschendingen.
  • Detect suspicious activities that might indicate ongoing threats to sensitive data resources (Verdachte activiteiten detecteren die kunnen wijzen op lopende bedreigingen voor gevoelige gegevensbronnen)

Zie Gegevensbewuste beveiligingspostuur in Microsoft Defender voor Cloud voor meer informatie.

Juni 2023

De updates in juni zijn onder meer:

Datum Bijwerken
26 juni Gestroomlijnde onboarding van meerdere cloudaccounts met verbeterde instellingen
25 juni Ondersteuning voor privé-eindpunten voor malwarescans in Defender voor Opslag
15 juni Controle-updates zijn aangebracht in de NIST 800-53-standaarden in naleving van regelgeving
11 juni Het plannen van cloudmigratie met een Azure Migrate-bedrijfscase bevat nu Defender voor Cloud
7 juni Snelle configuratie voor evaluaties van beveiligingsproblemen in Defender voor SQL is nu algemeen beschikbaar
6 juni Meer bereiken toegevoegd aan bestaande Azure DevOps-connectors
4 juni Detectie op basis van agents vervangen door detectie zonder agent voor mogelijkheden voor containers in Defender CSPM

Gestroomlijnde onboarding van meerdere cloudaccounts met verbeterde instellingen

26 juni 2023

Defender voor Cloud heeft de onboarding-ervaring verbeterd met een nieuwe gestroomlijnde gebruikersinterface en instructies, naast nieuwe mogelijkheden waarmee u uw AWS- en GCP-omgevingen kunt onboarden terwijl u toegang verleent tot geavanceerde onboardingfuncties.

Voor organisaties die Hashicorp Terraform hebben aangenomen voor automatisering, biedt Defender voor Cloud nu de mogelijkheid om Terraform te gebruiken als de implementatiemethode naast AWS CloudFormation of GCP Cloud Shell. U kunt nu de vereiste rolnamen aanpassen bij het maken van de integratie. U kunt ook kiezen tussen:

  • Standaardtoegang: hiermee kunt Defender voor Cloud uw resources scannen en automatisch toekomstige mogelijkheden opnemen.

  • Minst bevoegde toegang - verleent Defender voor Cloud toegang alleen tot de huidige machtigingen die nodig zijn voor de geselecteerde plannen.

Als u de minst bevoegde machtigingen selecteert, ontvangt u alleen meldingen over nieuwe rollen en machtigingen die nodig zijn om volledige functionaliteit op de connectorstatus te krijgen.

Defender voor Cloud kunt u onderscheid maken tussen uw cloudaccounts op basis van hun eigen namen van de cloudleveranciers. Bijvoorbeeld AWS-accountaliassen en GCP-projectnamen.

Ondersteuning voor privé-eindpunten voor malwarescans in Defender voor Opslag

25 juni 2023

Ondersteuning voor privé-eindpunten is nu beschikbaar als onderdeel van de openbare preview van malwarescans in Defender for Storage. Met deze mogelijkheid kunt u malwarescans inschakelen voor opslagaccounts die gebruikmaken van privé-eindpunten. Er is geen andere configuratie nodig.

Met malwarescans (preview) in Defender for Storage kunt u uw opslagaccounts beschermen tegen schadelijke inhoud door een volledige malwarescan uit te voeren op geüploade inhoud in bijna realtime, met behulp van de mogelijkheden van Microsoft Defender Antivirus. Het is ontworpen om te voldoen aan de beveiligings- en nalevingsvereisten voor het verwerken van niet-vertrouwde inhoud. Het is een SaaS-oplossing zonder agent die eenvoudige installatie op schaal mogelijk maakt, zonder onderhoud en ondersteuning biedt voor het automatiseren van reacties op schaal.

Privé-eindpunten bieden beveiligde connectiviteit met uw Azure Storage-services, waardoor blootstelling aan openbaar internet effectief wordt geëlimineerd en worden beschouwd als een aanbevolen beveiligingspraktijk.

Voor opslagaccounts met privé-eindpunten waarvoor malwarescans al zijn ingeschakeld, moet u het plan met malwarescans uitschakelen en inschakelen om dit te laten werken.

Meer informatie over het gebruik van privé-eindpunten in Defender for Storage en hoe u uw opslagservices verder kunt beveiligen.

Aanbeveling die is uitgebracht voor preview: het uitvoeren van containerinstallatiekopieën moet beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)

21 juni 2023

Er wordt een nieuwe containeraan aanbeveling uitgebracht in Defender CSPM, mogelijk gemaakt door Microsoft Defender Vulnerability Management, voor preview:

Aanbeveling Beschrijving Evaluatiesleutel
Als u containerinstallatiekopieën uitvoert, moeten de resultaten van beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)(preview) Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Deze nieuwe aanbeveling vervangt de huidige aanbeveling van dezelfde naam, mogelijk gemaakt door Qualys, alleen in Defender CSPM (vervang evaluatiesleutel 41503391-efa5-47ee-9282-4eff6131462c).

Controle-updates zijn aangebracht in de NIST 800-53-standaarden in naleving van regelgeving

15 juni 2023

De NIST 800-53-standaarden (zowel R4 als R5) zijn onlangs bijgewerkt met controlewijzigingen in Microsoft Defender voor Cloud naleving van regelgeving. De door Microsoft beheerde besturingselementen zijn verwijderd uit de standaard en de informatie over de implementatie van Microsoft-verantwoordelijkheid (als onderdeel van het model voor gedeelde verantwoordelijkheid in de cloud) is nu alleen beschikbaar in het detailvenster voor besturingselementen onder Microsoft Actions.

Deze besturingselementen zijn eerder berekend als doorgegeven besturingselementen, dus u ziet mogelijk een aanzienlijke dip in uw nalevingsscore voor NIST-standaarden tussen april 2023 en mei 2023.

Zie zelfstudie: Controles voor naleving van regelgeving - Microsoft Defender voor Cloud voor meer informatie over nalevingscontroles.

Het plannen van cloudmigratie met een Azure Migrate-bedrijfscase bevat nu Defender voor Cloud

11 juni 2023

U kunt nu potentiële kostenbesparingen in beveiliging ontdekken door Defender voor Cloud toe te passen binnen de context van een Azure Migrate-bedrijfscase.

Snelle configuratie voor evaluaties van beveiligingsproblemen in Defender voor SQL is nu algemeen beschikbaar

7 juni 2023

Snelle configuratie voor evaluaties van beveiligingsproblemen in Defender voor SQL is nu algemeen beschikbaar. Express-configuratie biedt een gestroomlijnde onboarding-ervaring voor evaluaties van SQL-beveiligingsproblemen met behulp van een configuratie met één klik (of een API-aanroep). Er zijn geen extra instellingen of afhankelijkheden van beheerde opslagaccounts nodig.

Bekijk deze blog voor meer informatie over snelle configuratie.

U kunt de verschillen tussen snelle en klassieke configuratie leren.

Meer bereiken toegevoegd aan bestaande Azure DevOps-connectors

6 juni 2023

Defender voor DevOps heeft de volgende extra bereiken toegevoegd aan de Azure DevOps-toepassing (ADO):

  • Geavanceerde beveiligingsbeheer: vso.advsec_manage. Dit is nodig om u in staat te stellen Om GitHub Advanced Security for ADO in te schakelen, uit te schakelen en te beheren.

  • Containertoewijzing: vso.extension_manage, ; vso.gallery_manager Dit is nodig om u in staat te stellen de decoratorextensie te delen met de ADO-organisatie.

Alleen nieuwe Defender voor DevOps-klanten die ADO-resources willen onboarden voor Microsoft Defender voor Cloud worden beïnvloed door deze wijziging.

Onboarding rechtstreeks (zonder Azure Arc) naar Defender for Servers is nu algemeen beschikbaar

5 juni 2023

Voorheen moest Azure Arc niet-Azure-servers onboarden naar Defender for Servers. Met de nieuwste release kunt u uw on-premises servers echter ook onboarden naar Defender for Servers met alleen de Microsoft Defender voor Eindpunt-agent.

Deze nieuwe methode vereenvoudigt het onboardingproces voor klanten die zich richten op de kerneindpuntbeveiliging en stelt u in staat om te profiteren van facturering op basis van het verbruik van Defender for Servers voor zowel cloud- als niet-cloudactiva. De directe onboarding-optie via Defender voor Eindpunt is nu beschikbaar, met facturering voor onboardingcomputers vanaf 1 juli.

Zie Uw niet-Azure-machines verbinden met Microsoft Defender voor Cloud met Defender voor Eindpunt voor meer informatie.

Detectie op basis van agents vervangen door detectie zonder agent voor mogelijkheden voor containers in Defender CSPM

4 juni 2023

Met mogelijkheden voor containerpostuur zonder agent die beschikbaar zijn in Defender CSPM, worden de detectiemogelijkheden op basis van agents nu buiten gebruik gesteld. Als u momenteel containermogelijkheden in Defender CSPM gebruikt, moet u ervoor zorgen dat de relevante extensies zijn ingeschakeld om containergerelateerde waarde te blijven ontvangen van de nieuwe mogelijkheden zonder agent, zoals containergerelateerde aanvalspaden, inzichten en inventaris. (Het kan tot 24 uur duren voordat de uitbreidingen worden ingeschakeld).

Meer informatie over de postuur van containers zonder agent.

Mei 2023

De updates in mei zijn onder meer:

Nieuwe waarschuwing in Defender voor Key Vault

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken Ernst
Ongebruikelijke toegang tot de sleutelkluis vanaf een verdacht IP-adres (niet-Microsoft of extern)
(KV_UnusualAccessSuspiciousIP)
Een gebruiker of service-principal heeft in de afgelopen 24 uur geprobeerd afwijkende toegang te krijgen tot sleutelkluizen vanaf een niet-Microsoft IP-adres. Dit afwijkende toegangspatroon kan legitieme activiteit zijn. Het kan een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen daarin. We raden verder onderzoek aan. Referentietoegang Gemiddeld

Zie Waarschuwingen voor Azure Key Vault voor alle beschikbare waarschuwingen.

Scannen zonder agent ondersteunt nu versleutelde schijven in AWS

Scannen zonder agent voor VM's ondersteunt nu het verwerken van exemplaren met versleutelde schijven in AWS, met zowel CMK als PMK.

Deze uitgebreide ondersteuning verhoogt de dekking en zichtbaarheid van uw cloudomgeving zonder dat dit van invloed is op uw actieve workloads. Ondersteuning voor versleutelde schijven onderhoudt dezelfde nuleffectmethode voor actieve exemplaren.

  • Voor nieuwe klanten die scannen zonder agent in AWS inschakelen, is de dekking van versleutelde schijven ingebouwd en wordt standaard ondersteund.
  • Voor bestaande klanten die al een AWS-connector hebben waarvoor scannen zonder agent is ingeschakeld, moet u de CloudFormation-stack opnieuw toepassen op uw onboarded AWS-accounts om de nieuwe machtigingen bij te werken en toe te voegen die nodig zijn om versleutelde schijven te verwerken. De bijgewerkte CloudFormation-sjabloon bevat nieuwe toewijzingen waarmee Defender voor Cloud versleutelde schijven kan verwerken.

Meer informatie over de machtigingen die worden gebruikt om AWS-exemplaren te scannen.

Uw CloudFormation-stack opnieuw toepassen:

  1. Ga naar Defender voor Cloud omgevingsinstellingen en open uw AWS-connector.
  2. Navigeer naar het tabblad Toegang configureren.
  3. Selecteer Klik om de CloudFormation-sjabloon te downloaden.
  4. Navigeer naar uw AWS-omgeving en pas de bijgewerkte sjabloon toe.

Meer informatie over scannen zonder agent en het inschakelen van scannen zonder agent in AWS.

Herziene naamconventies voor JIT-regels (Just-In-Time) in Defender voor Cloud

We hebben de JIT-regels (Just-In-Time) aangepast aan de Microsoft Defender voor Cloud merk. We hebben de naamconventies voor regels voor Azure Firewall en NSG (Netwerkbeveiligingsgroep) gewijzigd.

De wijzigingen worden als volgt weergegeven:

Beschrijving Oude naam Nieuwe naam
JIT-regelnamen (toestaan en weigeren) in NSG (netwerkbeveiligingsgroep) SecurityCenter-JITRule MicrosoftDefenderForCloud-JITRule
JIT-regelbeschrijvingen in NSG ASC JIT-netwerktoegangsregel MDC JIT-netwerktoegangsregel
Verzamelingsnamen van JIT-firewallregels ASC-JIT MDC-JIT
Namen van JIT-firewallregels ASC-JIT MDC-JIT

Meer informatie over het beveiligen van uw beheerpoorten met Just-In-Time-toegang.

Geselecteerde AWS-regio's onboarden

Om u te helpen bij het beheren van uw AWS CloudTrail-kosten en nalevingsbehoeften, kunt u nu selecteren welke AWS-regio's moeten worden gescand wanneer u een cloudconnector toevoegt of bewerkt. U kunt nu geselecteerde SPECIFIEKE AWS-regio's of alle beschikbare regio's (standaard) scannen wanneer u uw AWS-accounts onboardt voor Defender voor Cloud. Meer informatie vindt u in Uw AWS-account verbinden met Microsoft Defender voor Cloud.

Meerdere wijzigingen in identiteitsaanaanveling

De volgende aanbevelingen worden nu uitgebracht als algemene beschikbaarheid (GA) en vervangen de V1-aanbevelingen die nu zijn afgeschaft.

Algemene beschikbaarheid (GA) release van identiteitsaanaanveling V2

In de V2-versie van identiteitsaanaanvelingen worden de volgende verbeteringen geïntroduceerd:

  • Het bereik van de scan is uitgebreid met alle Azure-resources, niet alleen abonnementen. Hierdoor kunnen beveiligingsbeheerders roltoewijzingen per account weergeven.
  • Specifieke accounts kunnen nu worden uitgesloten van evaluatie. Accounts zoals break glass of serviceaccounts kunnen worden uitgesloten door beveiligingsbeheerders.
  • De scanfrequentie is verhoogd van 24 uur tot 12 uur, waardoor de identiteitsaanbeveling beter up-to-date en nauwkeurig is.

De volgende beveiligingsaankopen zijn beschikbaar in algemene beschikbaarheid en vervangen de V1-aanbevelingen:

Aanbeveling Evaluatiesleutel
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld 6240402e-f77c-46fa-9060-a7ce53997754
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld c0cb17b2-0607-48a7-b0e0-903ed22de39b
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd 20606e75-05c4-48c0-9d97-add6daa2109a
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd 050ac097-3dda-4d24-ab6d-82568e7a50cf
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Afschaffing van identiteitsaanbevelingen V1

De volgende beveiligingsaanbevelingen zijn nu afgeschaft:

Aanbeveling Evaluatiesleutel
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor abonnementen. 94290b00-4d0c-d7b4-7cea-064a9554e681
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor abonnementen. 57e98606-6b1e-6193-0e3d-fe621387c16b
MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor abonnementen. 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen. c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
Externe accounts met schrijfmachtigingen moeten worden verwijderd uit abonnementen. 04e7147b-0deb-9796-2e5c-0336343ceb3d
Externe accounts met leesmachtigingen moeten worden verwijderd uit abonnementen. a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen. e52064aa-6853-e252-a11e-dffc675689c2
Afgeschafte accounts moeten worden verwijderd uit abonnementen 00c6d40b-e990-6acf-d4f3-471e747a27c4

Het is raadzaam om uw aangepaste scripts, werkstromen en governanceregels bij te werken zodat deze overeenkomen met de V2-aanbevelingen.

Afschaffing van verouderde standaarden in nalevingsdashboard

Verouderde PCI DSS v3.2.1 en verouderde SOC TSP zijn volledig afgeschaft in het Defender voor Cloud nalevingsdashboard en vervangen door SOC 2 Type 2-initiatief en PCI DSS v4-nalevingsstandaarden. We hebben de ondersteuning van PCI DSS Standard/Initiative volledig afgeschaft in Microsoft Azure beheerd door 21Vianet.

Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.

Defender voor DevOps bevat azure DevOps-scanresultaten

Defender voor DevOps Code en IaC heeft de dekking van aanbevelingen uitgebreid in Microsoft Defender voor Cloud om azure DevOps-beveiligingsresultaten op te nemen voor de volgende twee aanbevelingen:

  • Code repositories should have code scanning findings resolved

  • Code repositories should have infrastructure as code scanning findings resolved

Voorheen bevatte dekking voor Azure DevOps-beveiligingsscans alleen de aanbeveling voor geheimen.

Meer informatie over Defender voor DevOps.

Nieuwe standaardinstelling voor de oplossing voor evaluatie van beveiligingsproblemen van Defender for Servers

Oplossingen voor evaluatie van beveiligingsproblemen (VA) zijn essentieel om machines te beschermen tegen cyberaanvallen en gegevensschendingen.

Microsoft Defender Vulnerability Management is nu ingeschakeld als de standaard, ingebouwde oplossing voor alle abonnementen die worden beveiligd door Defender voor Servers waarvoor nog geen VA-oplossing is geselecteerd.

Als voor een abonnement een VA-oplossing is ingeschakeld op een van de VM's, worden er geen wijzigingen aangebracht en wordt Microsoft Defender Vulnerability Management niet standaard ingeschakeld op de resterende VM's in dat abonnement. U kunt ervoor kiezen om een VA-oplossing in te schakelen op de resterende VM's in uw abonnementen.

Meer informatie over het vinden van beveiligingsproblemen en het verzamelen van software-inventaris met scannen zonder agent (preview).

Een CSV-rapport van de queryresultaten van cloud security Explorer downloaden (preview)

Defender voor Cloud heeft de mogelijkheid toegevoegd om een CSV-rapport van de queryresultaten van cloud security Explorer te downloaden.

Nadat u een zoekopdracht naar een query hebt uitgevoerd, kunt u de knop CSV-rapport downloaden (preview) selecteren op de pagina Cloud Security Explorer in Defender voor Cloud.

Meer informatie over het bouwen van query's met Cloud Security Explorer

De release van evaluatie van beveiligingsproblemen in containers met Microsoft Defender Vulnerability Management

We kondigen de release van Evaluatie van beveiligingsproblemen voor Linux-installatiekopieën in Azure-containerregisters aan, mogelijk gemaakt door Microsoft Defender Vulnerability Management in Defender CSPM. Deze release omvat het dagelijks scannen van afbeeldingen. Bevindingen die worden gebruikt in Security Explorer en aanvalspaden zijn afhankelijk van Microsoft Defender Vulnerability Assessment, in plaats van de Qualys-scanner.

De bestaande aanbeveling Container registry images should have vulnerability findings resolved wordt vervangen door een nieuwe aanbeveling:

Aanbeveling Beschrijving Evaluatiesleutel
Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. dbd0cb49-b563-45e7-9724-889e799fa648 wordt vervangen door c0b7cfc6-3172-465a-b378-53c7ff2cc0d5.

Meer informatie over postuur van containers zonder agent in Defender CSPM.

Meer informatie over Microsoft Defender Vulnerability Management.

Naam wijzigen van containeraanbevelingen mogelijk gemaakt door Qualys

De huidige aanbevelingen voor containers in Defender for Containers worden als volgt gewijzigd:

Aanbeveling Beschrijving Evaluatiesleutel
Containerregisterinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys) Evaluatie van beveiligingsproblemen van de containerinstallatiekopie scant uw register op beveiligingsproblemen en toont gedetailleerde resultaten voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. dbd0cb49-b563-45e7-9724-889e799fa648
Bij het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Qualys) Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant containerinstallatiekopieën die worden uitgevoerd op uw Kubernetes-clusters op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. 41503391-efa5-47ee-9282-4eff6131462c

Update van Defender voor DevOps GitHub-toepassing

Microsoft Defender voor DevOps houdt voortdurend wijzigingen aan en updates die vereisen dat Defender voor DevOps-klanten die hun GitHub-omgevingen hebben toegevoegd in Defender voor Cloud om machtigingen te bieden als onderdeel van de toepassing die is geïmplementeerd in hun GitHub-organisatie. Deze machtigingen zijn nodig om ervoor te zorgen dat alle beveiligingsfuncties van Defender voor DevOps normaal en zonder problemen werken.

We raden u aan om de machtigingen zo snel mogelijk bij te werken om ervoor te zorgen dat alle beschikbare functies van Defender voor DevOps blijven werken.

Machtigingen kunnen op twee verschillende manieren worden verleend:

  • Selecteer GitHub-apps in uw organisatie. Zoek uw organisatie en selecteer Beoordelingsaanvraag.

  • U ontvangt een geautomatiseerd e-mailbericht van GitHub Support. Selecteer in het e-mailbericht de machtigingsaanvraag controleren om deze wijziging te accepteren of af te wijzen.

Nadat u een van deze opties hebt gevolgd, gaat u naar het controlescherm waar u de aanvraag moet controleren. Selecteer Nieuwe machtigingen accepteren om de aanvraag goed te keuren.

Als u hulp nodig hebt bij het bijwerken van machtigingen, kunt u een ondersteuning voor Azure aanvraag maken.

U kunt ook meer informatie vinden over Defender voor DevOps. Als voor een abonnement een VA-oplossing is ingeschakeld op een van de VM's, worden er geen wijzigingen aangebracht en wordt Microsoft Defender Vulnerability Management niet standaard ingeschakeld op de resterende VM's in dat abonnement. U kunt ervoor kiezen om een VA-oplossing in te schakelen op de resterende VM's in uw abonnementen.

Meer informatie over het vinden van beveiligingsproblemen en het verzamelen van software-inventaris met scannen zonder agent (preview).

Aantekeningen in Azure DevOps-pull-aanvragen in Azure DevOps-opslagplaatsen bevatten nu infrastructuur als onjuiste configuraties van code

Defender voor DevOps heeft de annotatiedekking voor pull-aanvragen (PR) in Azure DevOps uitgebreid met onjuiste configuraties van Infrastructure as Code (IaC) die zijn gedetecteerd in Azure Resource Manager- en Bicep-sjablonen.

Ontwikkelaars kunnen nu aantekeningen zien voor onjuiste configuraties van IaC rechtstreeks in hun pull-aanvragen. Ontwikkelaars kunnen ook kritieke beveiligingsproblemen oplossen voordat de infrastructuur wordt ingericht in cloudworkloads. Om het herstel te vereenvoudigen, krijgen ontwikkelaars een ernstniveau, een beschrijving van onjuiste configuratie en instructies voor herstel binnen elke aantekening.

Voorheen bevatte dekking voor Defender voor DevOps PR-aantekeningen in Azure DevOps alleen geheimen.

Meer informatie over defender voor DevOps - en pull-aanvraagaantekeningen.

April 2023

De updates in april zijn onder meer:

Containerpostuur zonder agent in Defender CSPM (preview)

De nieuwe mogelijkheden voor containerpostuur zonder agent (preview) zijn beschikbaar als onderdeel van het Defender CSPM-plan (Cloud Security Posture Management).

Met containerpostuur zonder agent kunnen beveiligingsteams beveiligingsrisico's in containers en Kubernetes-realms identificeren. Met een aanpak zonder agents kunnen beveiligingsteams inzicht krijgen in hun Kubernetes- en containersregisters in SDLC en runtime, waardoor wrijving en footprint van de workloads worden verwijderd.

Containerpostuur zonder agent biedt evaluaties van beveiligingsproblemen in containers die, in combinatie met analyse van aanvalspaden, beveiligingsteams in staat stellen prioriteit te geven aan en in te zoomen op specifieke beveiligingsproblemen in containers. U kunt cloudbeveiligingsverkenner ook gebruiken om risico's te ontdekken en op containerpostuurinzichten te zoeken, zoals de detectie van toepassingen waarop kwetsbare afbeeldingen worden uitgevoerd of die worden blootgesteld aan internet.

Meer informatie vindt u op Agentless Container Posture (preview).

Aanbeveling voor Unified Disk Encryption (preview)

Er zijn nieuwe aanbevelingen voor geïntegreerde schijfversleuteling in preview.

  • Wndows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
  • Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.

Deze aanbevelingen vervangen Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, die Azure Disk Encryption en het beleid Virtual machines and virtual machine scale sets should have encryption at host enabledhebben gedetecteerd, waardoor EncryptionAtHost is gedetecteerd. ADE en EncryptionAtHost bieden vergelijkbare versleuteling-at-rest-dekking en we raden u aan een van deze versleuteling in te schakelen op elke virtuele machine. Met de nieuwe aanbevelingen wordt gedetecteerd of ADE of EncryptionAtHost is ingeschakeld en wordt alleen gewaarschuwd als geen van beide is ingeschakeld. We waarschuwen ook als ADE is ingeschakeld op sommige, maar niet alle schijven van een VIRTUELE machine (deze voorwaarde is niet van toepassing op EncryptionAtHost).

Voor de nieuwe aanbevelingen is azure Automanage Machine Configuration vereist.

Deze aanbevelingen zijn gebaseerd op het volgende beleid:

Meer informatie over ADE en EncryptionAtHost en hoe u een van deze kunt inschakelen.

Wijzigingen in de aanbevelingsmachines moeten veilig worden geconfigureerd

De aanbeveling Machines should be configured securely is bijgewerkt. De update verbetert de prestaties en stabiliteit van de aanbeveling en is afgestemd op het algemene gedrag van de aanbevelingen van Defender voor Cloud.

Als onderdeel van deze update is de id van de aanbeveling gewijzigd van 181ac480-f7c4-544b-9865-11b8ffe87f47 in c476dc48-8110-4139-91af-c8d940896b98.

Er is geen actie vereist aan de kant van de klant en er is geen verwacht effect op de beveiligingsscore.

Afschaffing van app Service-beleid voor taalbewaking

Het volgende App Service-beleid voor taalbewaking is afgeschaft vanwege de mogelijkheid om fout-negatieven te genereren en omdat ze geen betere beveiliging bieden. Zorg ervoor dat u altijd een taalversie gebruikt zonder bekende beveiligingsproblemen.

Beleidsnaam Beleids-id
App Service-apps die gebruikmaken van Java, moeten de nieuwste Java-versie gebruiken 496223c3-ad65-4ecd-878a-bae78737e9ed
App Service-apps die gebruikmaken van Python, moeten de nieuwste Python-versie gebruiken 7008174a-fd10-4ef0-817e-fc820a951d73
Functie-apps die gebruikmaken van Java, moeten de nieuwste Java-versie gebruiken 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
Functie-apps die gebruikmaken van Python, moeten de nieuwste Python-versie gebruiken 7238174a-fd10-4ef0-817e-fc820a951d73
App Service-apps die PHP gebruiken, moeten de nieuwste PHP-versie gebruiken 7261b898-8a84-4db8-9e04-18527132abb3

Klanten kunnen alternatieve ingebouwde beleidsregels gebruiken om elke opgegeven taalversie voor hun App Services te bewaken.

Deze beleidsregels zijn niet meer beschikbaar in de ingebouwde aanbevelingen van Defender voor Cloud. U kunt ze toevoegen als aangepaste aanbevelingen om ze te laten controleren Defender voor Cloud.

Nieuwe waarschuwing in Defender voor Resource Manager

Defender voor Resource Manager heeft de volgende nieuwe waarschuwing:

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken Ernst
PREVIEW: verdachte creatie van rekenresources gedetecteerd
(ARM_SuspiciousComputeCreation)
Microsoft Defender voor Resource Manager heeft een verdachte creatie van rekenresources in uw abonnement geïdentificeerd met behulp van virtuele machines/Azure-schaalset. De geïdentificeerde bewerkingen zijn ontworpen om beheerders in staat te stellen hun omgevingen efficiënt te beheren door nieuwe resources te implementeren wanneer dat nodig is. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om cryptoanalyse uit te voeren.
De activiteit wordt verdacht geacht omdat de schaal van rekenresources hoger is dan eerder in het abonnement is waargenomen.
Dit kan erop wijzen dat de principal is aangetast en wordt gebruikt met schadelijke bedoelingen.
Impact Gemiddeld

U ziet een lijst met alle waarschuwingen die beschikbaar zijn voor Resource Manager.

Drie waarschuwingen in het Defender for Resource Manager-plan zijn afgeschaft

De volgende drie waarschuwingen voor het Defender for Resource Manager-abonnement zijn afgeschaft:

  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

In een scenario waarin activiteit van een verdacht IP-adres wordt gedetecteerd, is er een van de volgende Defenders for Resource Manager-planwaarschuwingen Azure Resource Manager operation from suspicious IP address of Azure Resource Manager operation from suspicious proxy IP address aanwezig.

Waarschuwingen voor automatische export naar Log Analytics-werkruimte zijn afgeschaft

Defenders for Cloud-beveiligingswaarschuwingen worden automatisch geëxporteerd naar een standaard Log Analytics-werkruimte op resourceniveau. Dit veroorzaakt een deterministisch gedrag en daarom hebben we deze functie afgeschaft.

In plaats daarvan kunt u uw beveiligingswaarschuwingen exporteren naar een toegewezen Log Analytics-werkruimte met continue export.

Als u al continue export van uw waarschuwingen naar een Log Analytics-werkruimte hebt geconfigureerd, is er geen verdere actie vereist.

Afschaffing en verbetering van geselecteerde waarschuwingen voor Windows- en Linux-servers

Het kwaliteitsverbeteringsproces voor beveiligingswaarschuwingen voor Defender voor Servers omvat de afschaffing van sommige waarschuwingen voor zowel Windows- als Linux-servers. De afgeschafte waarschuwingen zijn nu afkomstig van en worden gedekt door Waarschuwingen voor bedreigingen van Defender voor Eindpunt.

Als u de integratie van Defender voor Eindpunt al hebt ingeschakeld, is er geen verdere actie vereist. In april 2023 kan het aantal waarschuwingen afnemen.

Als u de integratie van Defender voor Eindpunt niet hebt ingeschakeld in Defender voor Servers, moet u de integratie van Defender voor Eindpunt inschakelen om uw waarschuwingsdekking te behouden en te verbeteren.

Alle Klanten van Defender voor Servers hebben volledige toegang tot de integratie van Defender voor Eindpunt als onderdeel van het Defender for Servers-plan.

Meer informatie over Microsoft Defender voor Eindpunt opties voor onboarding.

U kunt ook de volledige lijst met waarschuwingen bekijken die zijn ingesteld om te worden afgeschaft.

Lees het Microsoft Defender voor Cloud blog.

We hebben vier nieuwe aanbevelingen voor Azure Active Directory-verificatie toegevoegd voor Azure Data Services.

Naam van aanbeveling Beschrijving van aanbeveling Beleid
Verificatiemodus van Azure SQL Managed Instance moet alleen Azure Active Directory zijn Door lokale verificatiemethoden uit te schakelen en alleen Azure Active Directory-verificatie toe te staan, wordt de beveiliging verbeterd door ervoor te zorgen dat Azure SQL Managed Instances uitsluitend toegankelijk zijn voor Azure Active Directory-identiteiten. Voor Azure SQL Managed Instance moet alleen verificatie van Azure Active Directory zijn ingeschakeld
Verificatiemodus voor Azure Synapse-werkruimte moet alleen Azure Active Directory zijn Alleen verificatiemethoden van Azure Active Directory verbeteren de beveiliging door ervoor te zorgen dat Synapse-werkruimten uitsluitend Azure AD-identiteiten vereisen voor verificatie. Meer informatie. Synapse-werkruimten mogen alleen Azure Active Directory-identiteiten gebruiken voor verificatie
Azure Database for MySQL moet een Azure Active Directory-beheerder hebben ingericht Richt een Azure AD-beheerder in voor uw Azure Database for MySQL om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk Een Azure Active Directory-beheerder moet worden ingericht voor MySQL-servers
Azure Database for PostgreSQL moet een Azure Active Directory-beheerder hebben ingericht Richt een Azure AD-beheerder in voor uw Azure Database for PostgreSQL om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk Een Azure Active Directory-beheerder moet worden ingericht voor PostgreSQL-servers

De aanbevelingen System updates should be installed on your machines (powered by Azure Update Manager) en Machines should be configured to periodically check for missing system updates zijn vrijgegeven voor algemene beschikbaarheid.

Als u de nieuwe aanbeveling wilt gebruiken, moet u het volgende doen:

  • Verbind uw niet-Azure-machines met Arc.
  • Schakel de periodieke evaluatie-eigenschap in. U kunt de knop Herstellen gebruiken. in de nieuwe aanbeveling Machines should be configured to periodically check for missing system updates om de aanbeveling op te lossen.

Nadat u deze stappen hebt voltooid, kunt u de oude aanbeveling System updates should be installed on your machinesverwijderen door deze uit te schakelen uit het ingebouwde initiatief van Defender voor Cloud in Azure Policy.

De twee versies van de aanbevelingen:

Beide zijn beschikbaar totdat de Log Analytics-agent op 31 augustus 2024 is afgeschaft. Dit is het moment waarop de oudere versie (System updates should be installed on your machines) van de aanbeveling ook wordt afgeschaft. Beide aanbevelingen retourneren dezelfde resultaten en zijn beschikbaar onder hetzelfde besturingselement Apply system updates.

De nieuwe aanbeveling System updates should be installed on your machines (powered by Azure Update Manager) bevat een herstelstroom die beschikbaar is via de knop Fix, die kan worden gebruikt om eventuele resultaten te herstellen via Updatebeheer (preview). Dit herstelproces is nog in preview.

De nieuwe aanbeveling System updates should be installed on your machines (powered by Azure Update Manager) is niet van invloed op uw beveiligingsscore, omdat deze dezelfde resultaten heeft als de oude aanbeveling System updates should be installed on your machines.

De vereiste aanbeveling (de eigenschap periodieke evaluatie inschakelen) heeft een negatief effect op uw beveiligingsscore. U kunt het negatieve effect herstellen met de beschikbare knop Herstellen.

Defender voor API's (preview)

De Defender voor Cloud van Microsoft kondigt aan dat de nieuwe Defender voor API's beschikbaar zijn in de preview-versie.

Defender voor API's biedt volledige levenscyclusbeveiliging, detectie en responsdekking voor API's.

Defender voor API's helpt u inzicht te krijgen in bedrijfskritieke API's. U kunt uw API-beveiligingspostuur onderzoeken en verbeteren, oplossingen voor beveiligingsproblemen prioriteren en snel actieve realtime bedreigingen detecteren.

Meer informatie over Defender voor API's.

Maart 2023

Updates in maart zijn onder andere:

Er is een nieuw Defender for Storage-abonnement beschikbaar, waaronder bijna realtime malwarescans en detectie van gevoelige gegevensbedreigingen

Cloudopslag speelt een belangrijke rol in de organisatie en slaat grote hoeveelheden waardevolle en gevoelige gegevens op. Vandaag kondigen we een nieuw Defender for Storage-abonnement aan. Als u het vorige abonnement gebruikt (nu hernoemd naar Defender for Storage (klassiek)), moet u proactief migreren naar het nieuwe abonnement om de nieuwe functies en voordelen te kunnen gebruiken.

Het nieuwe plan bevat geavanceerde beveiligingsmogelijkheden ter bescherming tegen schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het biedt ook een meer voorspelbare en flexibele prijsstructuur voor betere controle over dekking en kosten.

Het nieuwe plan heeft nu nieuwe mogelijkheden in de openbare preview:

  • Detectie van blootstelling van gevoelige gegevens en exfiltratie-gebeurtenissen

  • Bijna realtime blob bij het uploaden van malware scannen op alle bestandstypen

  • Entiteiten zonder identiteiten detecteren met behulp van SAS-tokens

Deze mogelijkheden verbeteren de bestaande mogelijkheid voor activiteitenbewaking, op basis van analyse van controle- en gegevensvlaklogboeken en gedragsmodellering om vroege tekenen van inbreuk te identificeren.

Al deze mogelijkheden zijn beschikbaar in een nieuw voorspelbaar en flexibel prijsplan dat gedetailleerde controle biedt over gegevensbeveiliging op abonnements- en resourceniveau.

Meer informatie vindt u in Overzicht van Microsoft Defender for Storage.

Gegevensbewuste beveiligingspostuur (preview)

Microsoft Defender voor Cloud helpt beveiligingsteams productiever te zijn bij het verminderen van risico's en het reageren op gegevensschendingen in de cloud. Hiermee kunnen ze de ruis doornemen met gegevenscontext en prioriteit geven aan de meest kritieke beveiligingsrisico's, waardoor kostbare gegevenslekken worden voorkomen.

  • Automatisch gegevensresources detecteren in cloudomgevingen en hun toegankelijkheid, gegevensgevoeligheid en geconfigureerde gegevensstromen evalueren. -Risico's voor gegevensschendingen van gevoelige gegevensresources, blootstellings- of aanvalspaden die kunnen leiden tot een gegevensresource met behulp van een zijdelingse verplaatsingstechniek.
  • Detecteer verdachte activiteiten die duiden op een voortdurende bedreiging voor gevoelige gegevensbronnen.

Meer informatie over gegevensbewuste beveiligingspostuur.

Verbeterde ervaring voor het beheren van het standaardbeveiligingsbeleid van Azure

We introduceren een verbeterde azure-ervaring voor beveiligingsbeleidsbeheer voor ingebouwde aanbevelingen die de manier vereenvoudigt waarop Defender voor Cloud klanten hun beveiligingsvereisten nauwkeurig kunnen afstemmen. De nieuwe ervaring bevat de volgende nieuwe mogelijkheden:

  • Een eenvoudige interface biedt betere prestaties en ervaring bij het beheren van standaardbeveiligingsbeleid binnen Defender voor Cloud.
  • Eén weergave van alle ingebouwde beveiligingsaanbeveling die wordt aangeboden door de Microsoft-cloudbeveiligingsbenchmark (voorheen de Azure-beveiligingsbenchmark). Aanbevelingen zijn ingedeeld in logische groepen, waardoor het gemakkelijker is om inzicht te krijgen in de typen resources die worden behandeld en de relatie tussen parameters en aanbevelingen.
  • Er zijn nieuwe functies toegevoegd, zoals filters en zoeken.

Meer informatie over het beheren van beveiligingsbeleid.

Lees het Microsoft Defender voor Cloud blog.

Defender CSPM (Cloud Security Posture Management) is nu algemeen beschikbaar (GA)

We kondigen aan dat Defender CSPM nu algemeen beschikbaar is (GA). Defender CSPM biedt alle services die beschikbaar zijn onder de Foundational CSPM-mogelijkheden en voegt de volgende voordelen toe:

  • Analyse van aanvalspaden en ARG-API : analyse van aanvalspaden maakt gebruik van een algoritme op basis van grafieken dat de cloudbeveiligingsgrafiek scant om aanvalspaden beschikbaar te maken en aanbevelingen te doen voor het beste oplossen van problemen die het aanvalspad breken en geslaagde schendingen voorkomen. U kunt ook programmatisch aanvalspaden gebruiken door een query uit te voeren op de AZURE Resource Graph-API (ARG). Meer informatie over het gebruik van analyse van aanvalspaden
  • Cloud Security Explorer : gebruik Cloud Security Explorer om op grafieken gebaseerde query's uit te voeren op de cloudbeveiligingsgrafiek om proactief beveiligingsrisico's in uw omgevingen met meerdere clouds te identificeren. Meer informatie over cloudbeveiligingsverkenner.

Meer informatie over Defender CSPM.

Optie voor het maken van aangepaste aanbevelingen en beveiligingsstandaarden in Microsoft Defender voor Cloud

Microsoft Defender voor Cloud biedt de mogelijkheid om aangepaste aanbevelingen en standaarden te maken voor AWS en GCP met behulp van KQL-query's. U kunt een queryeditor gebruiken om query's over uw gegevens te bouwen en te testen. Deze functie maakt deel uit van het Defender CSPM-plan (Cloud Security Posture Management). Meer informatie over het maken van aangepaste aanbevelingen en standaarden.

Microsoft Cloud Security Benchmark (MCSB) versie 1.0 is nu algemeen beschikbaar (GA)

Microsoft Defender voor Cloud kondigt aan dat microsoft cloudbeveiligingsbenchmark (MCSB) versie 1.0 nu algemeen beschikbaar is.

MCSB versie 1.0 vervangt azure Security Benchmark (ASB) versie 3 als het standaardbeveiligingsbeleid van Defender voor Cloud. MCSB versie 1.0 wordt weergegeven als de standaardnalevingsstandaard in het nalevingsdashboard en is standaard ingeschakeld voor alle Defender voor Cloud klanten.

U kunt ook leren hoe Microsoft Cloud Security Benchmark (MCSB) u helpt uw cloudbeveiligingstraject te voltooien.

Meer informatie over MCSB.

Sommige nalevingsstandaarden voor regelgeving zijn nu beschikbaar in overheidsclouds

Deze standaarden worden bijgewerkt voor klanten in Azure Government en Microsoft Azure beheerd door 21Vianet.

Azure Government:

Microsoft Azure beheerd door 21Vianet:

Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.

Nieuwe preview-aanbeveling voor Azure SQL-servers

We hebben een nieuwe aanbeveling toegevoegd voor Azure SQL-servers. Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)

De aanbeveling is gebaseerd op het bestaande beleid Azure SQL Database should have Azure Active Directory Only Authentication enabled

Met deze aanbeveling worden lokale verificatiemethoden uitgeschakeld en wordt alleen Azure Active Directory-verificatie toegestaan, waardoor de beveiliging wordt verbeterd door ervoor te zorgen dat Azure SQL Databases uitsluitend toegankelijk zijn voor Azure Active Directory-identiteiten.

Meer informatie over het maken van servers met alleen Azure AD-verificatie ingeschakeld in Azure SQL.

Nieuwe waarschuwing in Defender voor Key Vault

Defender voor Key Vault heeft de volgende nieuwe waarschuwing:

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken Ernst
Toegang geweigerd vanaf een verdacht IP-adres naar een sleutelkluis
(KV_SuspiciousIPAccessDenied)
Er is een mislukte toegang tot de sleutelkluis geprobeerd door een IP-adres dat is geïdentificeerd door Microsoft Threat Intelligence als een verdacht IP-adres. Hoewel deze poging mislukt is, geeft dit aan dat uw infrastructuur mogelijk is aangetast. We raden verder onderzoek aan. Referentietoegang Beperkt

U ziet een lijst met alle waarschuwingen die beschikbaar zijn voor Key Vault.

2023 februari

Updates in februari zijn onder andere:

Verbeterde Cloud Security Explorer

Een verbeterde versie van de cloudbeveiligingsverkenner bevat een vernieuwde gebruikerservaring waarmee query's aanzienlijk worden verwijderd, de mogelijkheid is toegevoegd om query's met meerdere clouds en meerdere resources uit te voeren, en ingesloten documentatie voor elke queryoptie.

Met Cloud Security Explorer kunt u nu cloudabstraheerde query's uitvoeren op resources. U kunt de vooraf gemaakte querysjablonen gebruiken of de aangepaste zoekopdracht gebruiken om filters toe te passen om uw query te bouwen. Meer informatie over het beheren van Cloud Security Explorer.

Beveiligingsproblemen van Defender for Containers scannen op het uitvoeren van Linux-installatiekopieën nu ALGEMEEN

Defender for Containers detecteert beveiligingsproblemen in actieve containers. Zowel Windows- als Linux-containers worden ondersteund.

In augustus 2022 is deze mogelijkheid uitgebracht in preview voor Windows en Linux. We brengen deze nu uit voor algemene beschikbaarheid (GA) voor Linux.

Wanneer beveiligingsproblemen worden gedetecteerd, genereert Defender voor Cloud de volgende beveiligingsaanbeveling met de bevindingen van de scan: Het uitvoeren van containerinstallatiekopieën moet resultaten voor beveiligingsproblemen hebben opgelost.

Meer informatie over het weergeven van beveiligingsproblemen voor het uitvoeren van installatiekopieën.

Aankondiging van ondersteuning voor de NALEVINGsstandaard AWS CIS 1.5.0

Defender voor Cloud ondersteunt nu de nalevingsstandaard CIS Amazon Web Services Foundations v1.5.0. De standaard kan worden toegevoegd aan uw dashboard voor naleving van regelgeving en bouwt voort op de bestaande aanbiedingen van MDC voor aanbevelingen en standaarden voor meerdere clouds.

Deze nieuwe standaard omvat zowel bestaande als nieuwe aanbevelingen die de dekking van Defender voor Cloud uitbreiden naar nieuwe AWS-services en -resources.

Meer informatie over het beheren van AWS-evaluaties en -standaarden.

Microsoft Defender voor DevOps (preview) is nu beschikbaar in andere regio's

Microsoft Defender voor DevOps heeft de preview-versie uitgebreid en is nu beschikbaar in de regio's Europa - west en Australië - oost wanneer u uw Azure DevOps- en GitHub-resources onboardt.

Meer informatie over Microsoft Defender voor DevOps.

Het ingebouwde beleid [preview]: privé-eindpunt moet worden geconfigureerd voor Key Vault is afgeschaft

Het ingebouwde beleid [Preview]: Private endpoint should be configured for Key Vault is afgeschaft en vervangen door het [Preview]: Azure Key Vaults should use private link beleid.

Meer informatie over het integreren van Azure Key Vault met Azure Policy.

Januari 2023

Updates in januari zijn onder andere:

Het onderdeel Endpoint Protection (Microsoft Defender voor Eindpunt) wordt nu geopend op de pagina Instellingen en bewaking

Als u toegang wilt krijgen tot Endpoint Protection, gaat u naar Instellingen voor defender-plannen>en bewaking van omgevingsinstellingen.> Hier kunt u Endpoint Protection instellen op Aan. U kunt ook de andere onderdelen zien die worden beheerd.

Meer informatie over het inschakelen van Microsoft Defender voor Eindpunt op uw servers met Defender for Servers.

Nieuwe versie van de aanbeveling om ontbrekende systeemupdates te vinden (preview)

U hebt geen agent meer nodig op uw Azure-VM's en Azure Arc-machines om ervoor te zorgen dat de machines alle meest recente beveiligingsupdates of essentiële systeemupdates hebben.

De aanbeveling voor nieuwe systeemupdates is System updates should be installed on your machines (powered by Azure Update Manager) in het Apply system updates besturingselement gebaseerd op Updatebeheer (preview). De aanbeveling is afhankelijk van een systeemeigen agent die is ingesloten in elke Azure-VM en Azure Arc-machines in plaats van een geïnstalleerde agent. De snelle oplossing in de nieuwe aanbeveling leidt u naar een eenmalige installatie van de ontbrekende updates in de Update Manager-portal.

Als u de nieuwe aanbeveling wilt gebruiken, moet u het volgende doen:

  • Uw niet-Azure-machines verbinden met Arc
  • Schakel de periodieke evaluatie-eigenschap in. U kunt de snelle oplossing in de nieuwe aanbeveling Machines should be configured to periodically check for missing system updates gebruiken om de aanbeveling op te lossen.

De aanbeveling 'Systeemupdates moeten op uw computers worden geïnstalleerd', die afhankelijk is van de Log Analytics-agent, is nog steeds beschikbaar onder hetzelfde beheer.

Opschonen van verwijderde Azure Arc-machines in verbonden AWS- en GCP-accounts

Een computer die is verbonden met een AWS- en GCP-account dat wordt gedekt door Defender voor Servers of Defender voor SQL op computers, wordt in Defender voor Cloud weergegeven als een Azure Arc-machine. Tot nu toe is die machine niet uit de inventaris verwijderd toen de machine uit het AWS- of GCP-account werd verwijderd. Leidend tot onnodige Azure Arc-resources die in Defender voor Cloud staan die verwijderde machines vertegenwoordigen.

Defender voor Cloud verwijdert nu automatisch Azure Arc-machines wanneer deze machines worden verwijderd in een verbonden AWS- of GCP-account.

Continue export naar Event Hubs achter een firewall toestaan

U kunt nu de continue export van waarschuwingen en aanbevelingen inschakelen als een vertrouwde service voor Event Hubs die worden beveiligd door een Azure-firewall.

U kunt continue export inschakelen wanneer de waarschuwingen of aanbevelingen worden gegenereerd. U kunt ook een schema definiëren voor het verzenden van periodieke momentopnamen van alle nieuwe gegevens.

Meer informatie over het inschakelen van continue export naar een Event Hubs achter een Azure-firewall.

De naam van het besturingselement Secure Score Protect your applications with Azure advanced networking solutions is changed

Het besturingselement Protect your applications with Azure advanced networking solutions voor de beveiligingsscore wordt gewijzigd in Protect applications against DDoS attacks.

De bijgewerkte naam wordt weergegeven in Azure Resource Graph (ARG), Secure Score Controls-API en de Download CSV report.

De beleidsinstellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapporten is afgeschaft

Het beleid Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports is afgeschaft.

Het e-mailrapport voor evaluatie van beveiligingsproblemen van Defender voor SQL is nog steeds beschikbaar en bestaande e-mailconfiguraties zijn niet gewijzigd.

Aanbeveling voor het inschakelen van diagnostische logboeken voor virtuele-machineschaalsets is afgeschaft

De aanbeveling Diagnostic logs in Virtual Machine Scale Sets should be enabled is afgeschaft.

De gerelateerde beleidsdefinitie is ook afgeschaft op basis van alle standaarden die worden weergegeven in het dashboard voor naleving van regelgeving.

Aanbeveling Beschrijving Ernst
Diagnostische logboeken in Microsoft Azure Virtual Machine Scale Sets moeten zijn ingeschakeld Schakel logboeken in en bewaar ze maximaal een jaar, zodat u activiteitenpaden voor onderzoeksdoeleinden opnieuw kunt maken wanneer er een beveiligingsincident optreedt of uw netwerk wordt aangetast. Beperkt

December 2022

Updates in december omvatten:

Aankondiging van snelle configuratie voor evaluatie van beveiligingsproblemen in Defender voor SQL

De snelle configuratie voor evaluatie van beveiligingsproblemen in Microsoft Defender voor SQL biedt beveiligingsteams een gestroomlijnde configuratie-ervaring in Azure SQL Databases en Toegewezen SQL-pools buiten Synapse-werkruimten.

Met de snelle configuratie-ervaring voor evaluatie van beveiligingsproblemen kunnen beveiligingsteams het volgende doen:

  • Voltooi de configuratie van de evaluatie van beveiligingsproblemen in de beveiligingsconfiguratie van de SQL-resource, zonder andere instellingen of afhankelijkheden van door de klant beheerde opslagaccounts.
  • Voeg onmiddellijk scanresultaten toe aan basislijnen, zodat de status van de gevonden wijzigingen van Beschadigd in In orde is zonder een database opnieuw te scannen.
  • Voeg meerdere regels tegelijk toe aan basislijnen en gebruik de meest recente scanresultaten.
  • Schakel evaluatie van beveiligingsproblemen in voor alle Azure SQL-servers wanneer u Microsoft Defender voor databases inschakelt op abonnementsniveau.

Meer informatie over de evaluatie van beveiligingsproblemen van Defender voor SQL.

november 2022

Updates in november omvatten:

Containers beveiligen binnen uw GCP-organisatie met Defender for Containers

U kunt nu Defender for Containers inschakelen voor uw GCP-omgeving om standaard GKE-clusters in een hele GCP-organisatie te beveiligen. Maak een nieuwe GCP-connector waarvoor Defender for Containers is ingeschakeld of schakel Defender for Containers in op een bestaande GCP-connector op organisatieniveau.

Meer informatie over het verbinden van GCP-projecten en organisaties met Defender voor Cloud.

Defender for Containers-beveiliging valideren met voorbeeldwaarschuwingen

U kunt nu ook voorbeeldwaarschuwingen maken voor het Defender for Containers-plan. De nieuwe voorbeeldwaarschuwingen worden weergegeven als afkomstig van AKS-, Arc-verbonden clusters, EKS- en GKE-resources met verschillende ernst- en MITRE-tactieken. U kunt de voorbeeldwaarschuwingen gebruiken om configuraties van beveiligingswaarschuwingen te valideren, zoals SIEM-integraties, werkstroomautomatisering en e-mailmeldingen.

Meer informatie over waarschuwingsvalidatie.

Governanceregels op schaal (preview)

We kondigen graag de nieuwe mogelijkheid aan om governanceregels op schaal toe te passen (preview) in Defender voor Cloud.

Met deze nieuwe ervaring kunnen beveiligingsteams governanceregels bulksgewijs definiëren voor verschillende bereiken (abonnementen en connectors). Beveiligingsteams kunnen deze taak uitvoeren met behulp van beheerbereiken zoals Azure-beheergroepen, AWS-accounts op het hoogste niveau of GCP-organisaties.

Daarnaast worden op de pagina Governanceregels (preview) alle beschikbare governanceregels weergegeven die effectief zijn in de omgevingen van de organisatie.

Meer informatie over de nieuwe governanceregels op schaal.

Notitie

Vanaf 1 januari 2023 moet het Defender CSPM-plan zijn ingeschakeld voor uw abonnement of connector om de mogelijkheden van Governance te kunnen ervaren.

De mogelijkheid om aangepaste evaluaties te maken in AWS en GCP (preview) is afgeschaft

De mogelijkheid om aangepaste evaluaties te maken voor AWS-accounts en GCP-projecten, die een preview-functie was, is afgeschaft.

De aanbeveling voor het configureren van wachtrijen met dode letters voor Lambda-functies is afgeschaft

De aanbeveling Lambda functions should have a dead-letter queue configured is afgeschaft.

Aanbeveling Beschrijving Ernst
Lambda-functies moeten een wachtrij met dode letters hebben geconfigureerd Met dit besturingselement wordt gecontroleerd of een Lambda-functie is geconfigureerd met een wachtrij met dode letters. Het besturingselement mislukt als de lambda-functie niet is geconfigureerd met een wachtrij met onbestelbare letters. Als alternatief voor een on-failure-bestemming kunt u uw functie configureren met een wachtrij met dode letters om verwijderde gebeurtenissen op te slaan voor verdere verwerking. Een wachtrij met dead-letter fungeert hetzelfde als een on-failure-bestemming. Deze wordt gebruikt wanneer een gebeurtenis alle verwerkingspogingen mislukt of verloopt zonder te worden verwerkt. Met een wachtrij met dode letters kunt u terugkijken naar fouten of mislukte aanvragen voor uw Lambda-functie om fouten op te sporen of ongebruikelijk gedrag te identificeren. Vanuit beveiligingsperspectief is het belangrijk om te begrijpen waarom uw functie is mislukt en om ervoor te zorgen dat uw functie geen gegevens verwijdert of gegevensbeveiliging in gevaar brengt. Als uw functie bijvoorbeeld niet kan communiceren met een onderliggende resource die een symptoom kan zijn van een DoS-aanval (Denial of Service) elders in het netwerk. Gemiddeld

Oktober 2022

De updates in oktober omvatten:

Aankondiging van de Microsoft-cloudbeveiligingsbenchmark

De Microsoft Cloud Security Benchmark (MCSB) is een nieuw framework dat fundamentele principes voor cloudbeveiliging definieert op basis van algemene industriestandaarden en nalevingsframeworks. Samen met gedetailleerde technische richtlijnen voor het implementeren van deze best practices op cloudplatforms. MCSB vervangt de Azure Security Benchmark. MCSB biedt beschrijvende informatie over het implementeren van de cloudagnostische beveiligingsaanbevelingen op meerdere cloudserviceplatforms, die in eerste instantie Betrekking hebben op Azure en AWS.

U kunt nu uw nalevingspostuur voor cloudbeveiliging per cloud bewaken in één geïntegreerd dashboard. U kunt MCSB zien als de standaardnalevingsstandaard wanneer u naar het dashboard voor naleving van regelgeving van Defender voor Cloud navigeert.

Microsoft Cloud Security Benchmark wordt automatisch toegewezen aan uw Azure-abonnementen en AWS-accounts wanneer u onboarding Defender voor Cloud.

Meer informatie over de Microsoft-cloudbeveiligingsbenchmark.

Analyse van aanvalspaden en contextuele beveiligingsmogelijkheden in Defender voor Cloud (preview)

De nieuwe cloudbeveiligingsgrafiek, analyse van aanvalspaden en contextuele cloudbeveiligingsmogelijkheden zijn nu beschikbaar in Defender voor Cloud in preview.

Een van de grootste uitdagingen waarmee beveiligingsteams tegenwoordig te maken hebben, is het aantal beveiligingsproblemen waarmee ze dagelijks worden geconfronteerd. Er zijn talloze beveiligingsproblemen die moeten worden opgelost en nooit genoeg resources om ze allemaal op te lossen.

Defender voor Cloud nieuwe mogelijkheden voor cloudbeveiligings- en aanvalspadanalyse biedt beveiligingsteams de mogelijkheid om het risico achter elk beveiligingsprobleem te beoordelen. Beveiligingsteams kunnen ook de problemen met het hoogste risico identificeren die binnenkort moeten worden opgelost. Defender voor Cloud werkt met beveiligingsteams om het risico op een nadelige schending van hun omgeving op de meest effectieve manier te verminderen.

Meer informatie over de nieuwe grafiek voor cloudbeveiliging, analyse van aanvalspaden en cloudbeveiligingsverkenner.

Scannen zonder agent voor Azure- en AWS-machines (preview)

Tot nu toe Defender voor Cloud de houdingsevaluaties voor VM's gebaseerd op oplossingen op basis van agents. Om klanten te helpen de dekking te maximaliseren en de wrijving van onboarding en beheer te verminderen, brengen we het scannen zonder agent uit voor VM's om een preview-versie uit te voeren.

Met scannen zonder agent voor VM's krijgt u een brede zichtbaarheid van geïnstalleerde software- en software-CV's. U krijgt de zichtbaarheid zonder de uitdagingen van agentinstallatie en -onderhoud, vereisten voor netwerkconnectiviteit en prestaties die van invloed zijn op uw workloads. De analyse wordt mogelijk gemaakt door Microsoft Defender Vulnerability Management.

Scannen op beveiligingsproblemen zonder agent is beschikbaar in zowel Defender Cloud Security Posture Management (CSPM) als in Defender for Servers P2, met systeemeigen ondersteuning voor AWS- en Azure-VM's.

Defender voor DevOps (preview)

Microsoft Defender voor Cloud biedt uitgebreide zichtbaarheid, postuurbeheer en bedreigingsbeveiliging in hybride en multicloudomgevingen, waaronder Azure-, AWS-, Google- en on-premises resources.

Het nieuwe Defender for DevOps-plan integreert nu broncodebeheersystemen, zoals GitHub en Azure DevOps, in Defender voor Cloud. Met deze nieuwe integratie stellen we beveiligingsteams in staat om hun resources te beschermen tegen code naar de cloud.

Met Defender voor DevOps kunt u inzicht krijgen in uw verbonden ontwikkelomgevingen en codebronnen en deze beheren. Op dit moment kunt u Azure DevOps- en GitHub-systemen verbinden met Defender voor Cloud en DevOps-opslagplaatsen onboarden met Inventory en de nieuwe DevOps-beveiligingspagina. Het biedt beveiligingsteams een overzicht op hoog niveau van de gedetecteerde beveiligingsproblemen die erin bestaan op een uniforme DevOps-beveiligingspagina.

U kunt aantekeningen configureren voor pull-aanvragen om ontwikkelaars te helpen bij het rechtstreeks verwerken van geheimen die in Azure DevOps worden gevonden bij hun pull-aanvragen.

U kunt de Microsoft Security DevOps-hulpprogramma's configureren in Azure Pipelines en GitHub-werkstromen om de volgende beveiligingsscans in te schakelen:

Naam Taal Licentie
Bandiet Python Apache License 2.0
BinSkim Binair – Windows, ELF MIT-licentie
ESlint JavaScript MIT-licentie
CredScan (alleen Azure DevOps) Referentiescanner (ook wel CredScan genoemd) is een hulpprogramma dat door Microsoft is ontwikkeld en onderhouden om referentielekken te identificeren, zoals die in broncode en configuratiebestanden veelvoorkomende typen: standaardwachtwoorden, SQL verbindingsreeks s, certificaten met persoonlijke sleutels Niet open source
Sjabloon analyseren ARM-sjabloon, Bicep-bestand MIT-licentie
Terrascan Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, CloudFormatie Apache License 2.0
Trivy Containerinstallatiekopieën, bestandssystemen, Git-opslagplaatsen Apache License 2.0

De volgende nieuwe aanbevelingen zijn nu beschikbaar voor DevOps:

Aanbeveling Beschrijving Ernst
(Preview) In codeopslagplaatsen moeten de resultaten van codescans zijn opgelost Defender voor DevOps heeft beveiligingsproblemen in codeopslagplaatsen gevonden. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen deze beveiligingsproblemen op te heffen. (Geen gerelateerd beleid) Gemiddeld
(Preview) Codeopslagplaatsen moeten geheime scanresultaten hebben opgelost Defender voor DevOps heeft een geheim gevonden in codeopslagplaatsen.  Dit moet onmiddellijk worden hersteld om een beveiligingsschending te voorkomen.  Geheimen in opslagplaatsen kunnen worden gelekt of gedetecteerd door kwaadwillende personen, wat leidt tot inbreuk op een toepassing of service. Voor Azure DevOps scant het hulpprogramma Microsoft Security DevOps CredScan alleen builds waarop deze is geconfigureerd om uit te voeren. De resultaten geven daarom mogelijk niet de volledige status van geheimen in uw opslagplaatsen weer. (Geen gerelateerd beleid) Hoog
(Preview) De resultaten van het scannen van Dependabot in codeopslagplaatsen moeten zijn opgelost Defender voor DevOps heeft beveiligingsproblemen in codeopslagplaatsen gevonden. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen deze beveiligingsproblemen op te heffen. (Geen gerelateerd beleid) Gemiddeld
(Preview) Codeopslagplaatsen moeten infrastructuur hebben als het scannen van code is opgelost (Preview) Codeopslagplaatsen moeten infrastructuur hebben als het scannen van code is opgelost Gemiddeld
(Preview) Voor GitHub-opslagplaatsen moet codescans zijn ingeschakeld GitHub maakt gebruik van codescans om code te analyseren om beveiligingsproblemen en fouten in code te vinden. Codescans kunnen worden gebruikt voor het vinden, classificeren en prioriteren van oplossingen voor bestaande problemen in uw code. Codescans kunnen ook voorkomen dat ontwikkelaars nieuwe problemen introduceren. Scans kunnen worden gepland voor specifieke dagen en tijden, of scans kunnen worden geactiveerd wanneer een specifieke gebeurtenis plaatsvindt in de opslagplaats, zoals een push. Als codescans een mogelijk beveiligingsprobleem of een mogelijke fout in code vinden, wordt in GitHub een waarschuwing weergegeven in de opslagplaats. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project te beschadigen. (Geen gerelateerd beleid) Gemiddeld
(Preview) Voor GitHub-opslagplaatsen moet geheimscans zijn ingeschakeld GitHub scant opslagplaatsen voor bekende typen geheimen om frauduleus gebruik van geheimen te voorkomen die per ongeluk zijn doorgevoerd in opslagplaatsen. Scannen van geheimen scant de volledige Git-geschiedenis op alle vertakkingen die aanwezig zijn in de GitHub-opslagplaats voor geheimen. Voorbeelden van geheimen zijn tokens en persoonlijke sleutels die een serviceprovider kan uitgeven voor verificatie. Als een geheim is ingecheckt in een opslagplaats, kan iedereen die leestoegang tot de opslagplaats heeft, het geheim gebruiken om toegang te krijgen tot de externe service met deze bevoegdheden. Geheimen moeten worden opgeslagen op een toegewezen, veilige locatie buiten de opslagplaats voor het project. (Geen gerelateerd beleid) Hoog
(Preview) Voor GitHub-opslagplaatsen moet het scannen van Dependabot zijn ingeschakeld GitHub verzendt Dependabot-waarschuwingen wanneer beveiligingsproblemen in codeafhankelijkheden worden gedetecteerd die van invloed zijn op opslagplaatsen. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project of andere projecten die de bijbehorende code gebruiken, te beschadigen. Beveiligingsproblemen variëren per type, ernst en aanvalsmethode. Wanneer code afhankelijk is van een pakket met een beveiligingsprobleem, kan deze kwetsbare afhankelijkheid een reeks problemen veroorzaken. (Geen gerelateerd beleid) Gemiddeld

De aanbevelingen van Defender voor DevOps hebben de afgeschafte scanner voor beveiligingsproblemen vervangen voor CI/CD-werkstromen die zijn opgenomen in Defender for Containers.

Meer informatie over Defender voor DevOps

Dashboard Naleving van regelgeving ondersteunt nu handmatig beheer en gedetailleerde informatie over de nalevingsstatus van Microsoft

Het nalevingsdashboard in Defender voor Cloud is een belangrijk hulpmiddel voor klanten om hen te helpen hun nalevingsstatus te begrijpen en bij te houden. Klanten kunnen omgevingen continu bewaken in overeenstemming met de vereisten van veel verschillende standaarden en voorschriften.

Nu kunt u uw nalevingspostuur volledig beheren door handmatig te attesteren aan operationele en andere besturingselementen. U kunt nu bewijs leveren van naleving voor besturingselementen die niet zijn geautomatiseerd. Samen met de geautomatiseerde evaluaties kunt u nu een volledig nalevingsrapport genereren binnen een geselecteerd bereik, waarbij de volledige set controles voor een bepaalde standaard wordt aangepakt.

Bovendien hebt u nu, met uitgebreidere controle-informatie, uitgebreidere details en bewijsmateriaal voor de nalevingsstatus van Microsoft, alle informatie die nodig is voor controles binnen handbereik.

Dit zijn enkele nieuwe voordelen:

  • Handmatige klantacties bieden een mechanisme voor het handmatig controleren van naleving van niet-geautomatiseerde controles. Inclusief de mogelijkheid om bewijs te koppelen, een nalevingsdatum en vervaldatum instellen.

  • Uitgebreidere controledetails voor ondersteunde standaarden waarin Microsoft-acties en handmatige klantacties worden weergegeven, naast de reeds bestaande geautomatiseerde klantacties.

  • Microsoft-acties bieden transparantie in de nalevingsstatus van Microsoft, waaronder controlebeoordelingsprocedures, testresultaten en Microsoft-reacties op afwijkingen.

  • Nalevingsaanbiedingen bieden een centrale locatie om Azure-, Dynamics 365- en Power Platform-producten en hun respectieve nalevingscertificeringen voor regelgeving te controleren.

Meer informatie over het verbeteren van uw naleving van regelgeving met Defender voor Cloud.

Automatische inrichting wordt hernoemd naar Instellingen en bewaking en heeft een bijgewerkte ervaring

De naam van de pagina Voor automatisch inrichten is gewijzigd in Instellingen en bewaking.

Automatische inrichting is bedoeld om het inschakelen van vereisten op schaal toe te staan, die nodig zijn voor de geavanceerde functies en mogelijkheden van Defender voor Cloud. Om onze uitgebreide mogelijkheden beter te ondersteunen, starten we een nieuwe ervaring met de volgende wijzigingen:

De pagina met abonnementen van de Defender voor Cloud bevat nu:

  • Wanneer u een Defender-plan inschakelt waarvoor bewakingsonderdelen zijn vereist, worden deze onderdelen ingeschakeld voor automatische inrichting met standaardinstellingen. Deze instellingen kunnen op elk gewenst moment worden bewerkt.
  • U hebt toegang tot de instellingen voor bewakingsonderdelen voor elk Defender-plan vanaf de pagina Defender-plan.
  • Op de pagina Defender-plannen wordt duidelijk aangegeven of alle bewakingsonderdelen aanwezig zijn voor elk Defender-plan of dat uw bewakingsdekking onvolledig is.

De pagina Instellingen en bewaking:

  • Elk bewakingsonderdeel geeft de Defender-plannen aan waaraan het is gerelateerd.

Meer informatie over het beheren van uw bewakingsinstellingen.

Defender Cloud Security Posture Management (CSPM)

Een van de belangrijkste pijlers van Microsoft Defender voor Cloud voor cloudbeveiliging is Cloud Security Posture Management (CSPM). CSPM biedt u richtlijnen voor beveiliging waarmee u uw beveiliging efficiënt en effectief kunt verbeteren. CSPM geeft u ook inzicht in uw huidige beveiligingssituatie.

We kondigen een nieuw Defender-abonnement aan: Defender CSPM. Dit plan verbetert de beveiligingsmogelijkheden van Defender voor Cloud en bevat de volgende nieuwe en uitgebreide functies:

  • Continue evaluatie van de beveiligingsconfiguratie van uw cloudresources
  • Aanbevelingen voor beveiliging om onjuiste configuraties en zwakke plekken op te lossen
  • Beveiligingsscore
  • Beheer
  • Naleving van regelgeving
  • Cloudbeveiligingsgrafiek
  • Analyse van aanvalspad
  • Scannen zonder agent voor machines

Meer informatie over het Defender CSPM-plan.

Toewijzing van MITRE ATT&CK-framework is nu ook beschikbaar voor AANBEVELINGEN voor AWS- en GCP-beveiliging

Voor beveiligingsanalisten is het essentieel om de potentiële risico's te identificeren die zijn gekoppeld aan beveiligingsaanbevelingen en inzicht te krijgen in de aanvalsvectoren, zodat ze hun taken efficiënt kunnen prioriteren.

Defender voor Cloud maakt prioritering eenvoudiger door de azure-, AWS- en GCP-beveiligingsaanbevelingen toe te passen aan het MITRE ATT&CK-framework. Het MITRE ATT&CK-framework is een wereldwijd toegankelijke knowledge base van kwaadwillende tactieken en technieken op basis van praktijkobservaties, zodat klanten de veilige configuratie van hun omgevingen kunnen versterken.

Het MITRE ATT&CK-framework is op drie manieren geïntegreerd:

  • Aanbevelingen zijn toegewezen aan MITRE ATT&CK-tactieken en -technieken.
  • Query's uitvoeren op MITRE ATT&CK-tactieken en -technieken voor aanbevelingen met behulp van Azure Resource Graph.

Schermopname van waar de MITRE-aanval bestaat in Azure Portal.

Defender for Containers ondersteunt nu evaluatie van beveiligingsproblemen voor Elastic Container Registry (preview)

Microsoft Defender for Containers biedt nu scannen op evaluatie van beveiligingsproblemen zonder agent voor Elastic Container Registry (ECR) in Amazon AWS. Uitbreiden van dekking voor omgevingen met meerdere clouds, voortbouwend op de release eerder dit jaar van geavanceerde bedreigingsbeveiliging en Kubernetes-omgevingbeveiliging voor AWS en Google GCP. Met het model zonder agent worden AWS-resources in uw accounts gemaakt om uw afbeeldingen te scannen zonder afbeeldingen uit uw AWS-accounts te extraheren en zonder footprint op uw workload.

Het scannen van evaluatie van beveiligingsproblemen zonder agent op installatiekopieën in ECR-opslagplaatsen helpt het kwetsbaarheid voor aanvallen van uw containeromgeving te verminderen door continu installatiekopieën te scannen om beveiligingsproblemen in containers te identificeren en te beheren. Met deze nieuwe release scant Defender voor Cloud containerinstallatiekopieën nadat deze naar de opslagplaats zijn gepusht en voortdurend de ECR-containerinstallatiekopieën in het register opnieuw evalueert. De bevindingen zijn beschikbaar in Microsoft Defender voor Cloud als aanbevelingen en u kunt de ingebouwde geautomatiseerde werkstromen van Defender voor Cloud gebruiken om actie te ondernemen op de bevindingen, zoals het openen van een ticket voor het oplossen van een beveiligingsprobleem met hoge ernst in een afbeelding.

Meer informatie over evaluatie van beveiligingsproblemen voor Amazon ECR-installatiekopieën.

September 2022

De updates in september zijn onder meer:

Waarschuwingen onderdrukken op basis van container- en Kubernetes-entiteiten

  • Kubernetes-naamruimte
  • Kubernetes-pod
  • Kubernetes-geheim
  • Kubernetes ServiceAccount
  • Kubernetes ReplicaSet
  • Kubernetes StatefulSet
  • Kubernetes DaemonSet
  • Kubernetes-taak
  • Kubernetes CronJob

Meer informatie over regels voor waarschuwingsonderdrukking.

Defender for Servers ondersteunt bewaking van bestandsintegriteit met Azure Monitor-agent

Fim (File Integrity Monitoring) onderzoekt besturingssysteembestanden en registers op wijzigingen die kunnen duiden op een aanval.

FIM is nu beschikbaar in een nieuwe versie op basis van Azure Monitor Agent (AMA), die u kunt implementeren via Defender voor Cloud.

Meer informatie over bewaking van bestandsintegriteit met de Azure Monitor-agent.

Verouderde evaluaties-API's afschaffen

De volgende API's zijn afgeschaft:

  • Beveiligingstaken
  • Beveiligingsstatussen
  • Beveiligingssamenvattingen

Deze drie API's hebben oude indelingen van evaluaties weergegeven en worden vervangen door de Evaluaties-API's en SubAssessments-API's. Alle gegevens die beschikbaar worden gesteld door deze verouderde API's, zijn ook beschikbaar in de nieuwe API's.

Extra aanbevelingen toegevoegd aan identiteit

Defender voor Cloud aanbevelingen voor het verbeteren van het beheer van gebruikers en accounts.

Nieuwe aanbevelingen

De nieuwe release bevat de volgende mogelijkheden:

  • Uitgebreid evaluatiebereik : dekking wordt verbeterd voor identiteitsaccounts zonder MFA en externe accounts op Azure-resources (in plaats van alleen abonnementen), zodat uw beveiligingsbeheerders roltoewijzingen per account kunnen bekijken.

  • Verbeterd vernieuwingsinterval : de identiteitsaanbeveling heeft nu een vernieuwingsinterval van 12 uur.

  • Mogelijkheid voor accountvrijstelling: Defender voor Cloud heeft veel functies die u kunt gebruiken om uw ervaring aan te passen en ervoor te zorgen dat uw beveiligingsscore overeenkomt met de beveiligingsprioriteiten van uw organisatie. U kunt bijvoorbeeld resources en aanbevelingen uitsluiten van uw beveiligingsscore.

    Met deze update kunt u specifieke accounts uitsluiten van evaluatie met de zes aanbevelingen die in de volgende tabel worden vermeld.

    Normaal gesproken zou u accounts voor 'break glass' uitsluiten van MFA-aanbevelingen, omdat dergelijke accounts vaak opzettelijk worden uitgesloten van de MFA-vereisten van een organisatie. U kunt ook externe accounts hebben waartoe u toegang wilt toestaan, waarvoor MFA niet is ingeschakeld.

    Tip

    Wanneer u een account uitzond, wordt dit niet weergegeven als beschadigd en wordt een abonnement ook niet in orde weergegeven.

    Aanbeveling Evaluatiesleutel
    Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld 6240402e-f77c-46fa-9060-a7ce53997754
    Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld c0cb17b2-0607-48a7-b0e0-903ed22de39b
    Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
    Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd 20606e75-05c4-48c0-9d97-add6daa2109a
    Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
    Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
    Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd 050ac097-3dda-4d24-ab6d-82568e7a50cf
    Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

De aanbevelingen worden weliswaar in de preview-versie weergegeven naast de aanbevelingen die momenteel in algemene beschikbaarheid zijn opgenomen.

Beveiligingswaarschuwingen verwijderd voor machines die rapporteren aan Log Analytics-werkruimten voor meerdere tenants

In het verleden kunt u Defender voor Cloud de werkruimte kiezen waarnaar uw Log Analytics-agents rapporteren. Wanneer een machine behoort tot één tenant (tenant A), maar de Log Analytics-agent die is gerapporteerd aan een werkruimte in een andere tenant (tenant B), zijn beveiligingswaarschuwingen over de machine gerapporteerd aan de eerste tenant (tenant A).

Met deze wijziging worden waarschuwingen op computers die zijn verbonden met de Log Analytics-werkruimte in een andere tenant niet meer weergegeven in Defender voor Cloud.

Als u de waarschuwingen in Defender voor Cloud wilt blijven ontvangen, verbindt u de Log Analytics-agent van de relevante machines met de werkruimte in dezelfde tenant als de computer.

Meer informatie over beveiligingswaarschuwingen.

Augustus 2022

De updates in augustus zijn onder meer:

Beveiligingsproblemen voor het uitvoeren van installatiekopieën zijn nu zichtbaar met Defender for Containers in uw Windows-containers

Defender for Containers toont nu beveiligingsproblemen voor het uitvoeren van Windows-containers.

Wanneer beveiligingsproblemen worden gedetecteerd, genereert Defender voor Cloud de volgende beveiligingsaanbeveling, waarin de gedetecteerde problemen worden vermeld: het uitvoeren van containerinstallatiekopieën moet resultaten voor beveiligingsproblemen hebben opgelost.

Meer informatie over het weergeven van beveiligingsproblemen voor het uitvoeren van installatiekopieën.

Integratie van Azure Monitor-agent nu in preview

Defender voor Cloud bevat nu preview-ondersteuning voor de Azure Monitor Agent (AMA). AMA is bedoeld om de verouderde Log Analytics-agent (ook wel de Microsoft Monitoring Agent (MMA) genoemd) te vervangen, die zich op een pad naar afschaffing bevindt. AMA biedt veel voordelen ten opzichte van verouderde agents.

Wanneer u in Defender voor Cloud automatische inrichting voor AMA inschakelt, wordt de agent geïmplementeerd op bestaande en nieuwe VM's en machines met Azure Arc die zijn gedetecteerd in uw abonnementen. Als Defenders for Cloud-abonnementen zijn ingeschakeld, verzamelt AMA configuratiegegevens en gebeurtenislogboeken van Azure-VM's en Azure Arc-machines. De AMA-integratie is in preview, dus we raden u aan deze te gebruiken in testomgevingen in plaats van in productieomgevingen.

De volgende tabel bevat de waarschuwingen die zijn afgeschaft:

Naam van waarschuwing Beschrijving Tactieken Ernst
Docker-buildbewerking gedetecteerd op een Kubernetes-knooppunt
(VM_ImageBuildOnNode)
Machinelogboeken geven een build-bewerking van een containerinstallatiekopieën op een Kubernetes-knooppunt aan. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers hun schadelijke installatiekopieën lokaal bouwen om detectie te voorkomen. Verdedigingsontduiking Beperkt
Suspicious request to Kubernetes API (Verdachte aanvraag voor Kubernetes-API)
(VM_KubernetesAPI)
Computerlogboeken geven aan dat er een verdachte aanvraag is verstuurd naar de Kubernetes-API. De aanvraag is verzonden vanaf een Kubernetes-knooppunt, mogelijk vanuit een van de containers die op het knooppunt worden uitgevoerd. Hoewel dit gedrag opzettelijk kan zijn, kan dit erop wijzen dat op het knooppunt een geïnfecteerde container wordt uitgevoerd. Lateral Movement (Zijdelingse verplaatsing) Gemiddeld
SSH server is running inside a container (SSH-server wordt uitgevoerd in een container)
(VM_ContainerSSH)
Computerlogboeken geven aan dat een SSH-server wordt uitgevoerd in een Docker-container. Hoewel dit gedrag opzettelijk kan zijn, geeft dit vaak aan dat een container onjuist is geconfigureerd of wordt geschonden. Uitvoering Gemiddeld

Deze waarschuwingen worden gebruikt om een gebruiker op de hoogte te stellen van verdachte activiteiten die zijn verbonden met een Kubernetes-cluster. De waarschuwingen worden vervangen door overeenkomende waarschuwingen die deel uitmaken van de Microsoft Defender voor Cloud containerwaarschuwingen (K8S.NODE_ImageBuildOnNodeK8S.NODE_ KubernetesAPIenK8S.NODE_ ContainerSSH) die een verbeterde kwaliteit en uitgebreide context bieden om de waarschuwingen te onderzoeken en erop te reageren. Meer informatie over waarschuwingen voor Kubernetes-clusters.

Beveiligingsproblemen in containers bevatten nu gedetailleerde pakketinformatie

Defender for Container's vulnerability assessment (VA) bevat nu gedetailleerde pakketinformatie voor elke bevindingen, waaronder: pakketnaam, pakkettype, pad, geïnstalleerde versie en vaste versie. Met de pakketinformatie kunt u kwetsbare pakketten vinden, zodat u het beveiligingsprobleem kunt oplossen of het pakket kunt verwijderen.

Deze gedetailleerde pakketinformatie is beschikbaar voor nieuwe scans van afbeeldingen.

Schermopname van de pakketgegevens voor beveiligingsproblemen in containers.

Juli 2022

De updates in juli zijn onder meer:

Algemene beschikbaarheid (GA) van de cloudeigen beveiligingsagent voor Kubernetes Runtime-beveiliging

We delen graag dat de cloudeigen beveiligingsagent voor Kubernetes Runtime-beveiliging nu algemeen beschikbaar is (GA)!

De productie-implementaties van Kubernetes-clusters blijven groeien naarmate klanten hun toepassingen blijven containeriseren. Ter ondersteuning van deze groei heeft het team van Defender for Containers een cloudeigen Kubernetes-beveiligingsagent ontwikkeld.

De nieuwe beveiligingsagent is een Kubernetes DaemonSet, gebaseerd op eBPF-technologie en is volledig geïntegreerd in AKS-clusters als onderdeel van het AKS-beveiligingsprofiel.

De activering van de beveiligingsagent is beschikbaar via automatische inrichting, aanbevelingenstroom, AKS RP of op schaal met behulp van Azure Policy.

U kunt de Defender-agent vandaag implementeren op uw AKS-clusters.

Met deze aankondiging is de runtimebeveiliging - bedreigingsdetectie (workload) nu ook algemeen beschikbaar.

Meer informatie over de beschikbaarheid van functies van Defender for Container.

U kunt ook alle beschikbare waarschuwingen bekijken.

Als u de preview-versie gebruikt, is de AKS-AzureDefender functievlag niet meer vereist.

Defender for Container's VA voegt ondersteuning toe voor de detectie van taalspecifieke pakketten (preview)

De evaluatie van beveiligingsproblemen van Defender for Container (VA) kan beveiligingsproblemen detecteren in besturingssysteempakketten die zijn geïmplementeerd via os-pakketbeheer. We hebben nu de mogelijkheden van VA uitgebreid om beveiligingsproblemen te detecteren die zijn opgenomen in taalspecifieke pakketten.

Deze functie is in preview en is alleen beschikbaar voor Linux-installatiekopieën.

Als u alle opgenomen taalspecifieke pakketten wilt zien die zijn toegevoegd, bekijkt u de volledige lijst met functies en de beschikbaarheid van Defender for Container.

Bescherming tegen het beveiligingsprobleem van de Operations Management-infrastructuur CVE-2022-29149

Operations Management Infrastructure (OMI) is een verzameling cloudservices voor het beheren van on-premises en cloudomgevingen vanaf één locatie. In plaats van on-premises resources te implementeren en te beheren, worden OMI-onderdelen volledig gehost in Azure.

Log Analytics geïntegreerd met Azure HDInsight met OMI versie 13 vereist een patch om CVE-2022-29149 te herstellen. Raadpleeg het rapport over dit beveiligingsprobleem in de Handleiding voor Microsoft Security Update voor informatie over het identificeren van resources die worden beïnvloed door dit beveiligingsprobleem en herstelstappen.

Als Defender for Servers is ingeschakeld met Evaluatie van beveiligingsproblemen, kunt u deze werkmap gebruiken om betrokken resources te identificeren.

Integratie met Entra Permissions Management

Defender voor Cloud is geïntegreerd met Microsoft Entra-machtigingsbeheer, een CIEM-oplossing (Cloud Infrastructure Entitlement Management) die uitgebreide zichtbaarheid en controle biedt over machtigingen voor elke identiteit en elke resource in Azure, AWS en GCP.

Elk Azure-abonnement, AWS-account en GCP-project dat u onboardt, toont nu een weergave van uw Pci (Permission Creep Index).

Meer informatie over Entra Permission Management (voorheen Cloudknox)

Key Vault-aanbevelingen zijn gewijzigd in 'controle'

Het effect voor de key Vault-aanbevelingen die hier worden vermeld, is gewijzigd in 'controle':

Naam van aanbeveling Aanbevelings-id
De geldigheidsperiode van certificaten die in Azure Key Vault zijn opgeslagen, mag niet langer zijn dan twaalf maanden fc84abc0-eee6-4758-8372-a7681965ca44
Key Vault-geheimen moeten een vervaldatum hebben 14257785-9437-97fa-11ae-898cfb24302b
Key Vault-sleutels moeten een vervaldatum hebben 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

API-app-beleid voor App Service verwijderen

We hebben het volgende beleid afgeschaft voor overeenkomende beleidsregels die al bestaan om API-apps op te nemen:

Afgeschaft Wijzigen in
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

Juni 2022

De updates in juni zijn onder meer:

Algemene beschikbaarheid (GA) voor Microsoft Defender voor Azure Cosmos DB

Microsoft Defender voor Azure Cosmos DB is nu algemeen beschikbaar (GA) en biedt ondersteuning voor sql-API-accounttypen (core).

Deze nieuwe release voor GA maakt deel uit van de Microsoft Defender voor Cloud databasebeveiligingssuite, die verschillende typen SQL-databases en MariaDB bevat. Microsoft Defender voor Azure Cosmos DB is een systeemeigen Azure-beveiligingslaag die pogingen detecteert om databases in uw Azure Cosmos DB-accounts te misbruiken.

Door dit plan in te schakelen, wordt u gewaarschuwd voor mogelijke SQL-injecties, bekende slechte actoren, verdachte toegangspatronen en mogelijke verkenningen van uw database via gecompromitteerde identiteiten of schadelijke insiders.

Wanneer mogelijk schadelijke activiteiten worden gedetecteerd, worden beveiligingswaarschuwingen gegenereerd. Deze waarschuwingen bieden details van verdachte activiteiten, samen met de relevante onderzoeksstappen, herstelacties en aanbevelingen voor beveiliging.

Microsoft Defender voor Azure Cosmos DB analyseert continu de telemetriestroom die wordt gegenereerd door de Azure Cosmos DB-services en kruist deze met Microsoft Threat Intelligence en gedragsmodellen om verdachte activiteiten te detecteren. Defender voor Azure Cosmos DB heeft geen toegang tot de azure Cosmos DB-accountgegevens en heeft geen invloed op de prestaties van uw database.

Meer informatie over Microsoft Defender voor Azure Cosmos DB.

Dankzij de toevoeging van ondersteuning voor Azure Cosmos DB biedt Defender voor Cloud nu een van de meest uitgebreide workloadbeveiligingsaanbiedingen voor clouddatabases. Beveiligingsteams en database-eigenaren kunnen nu een gecentraliseerde ervaring hebben om hun databasebeveiliging van hun omgevingen te beheren.

Meer informatie over het inschakelen van beveiliging voor uw databases.

Algemene beschikbaarheid (GA) van Defender voor SQL op machines voor AWS- en GCP-omgevingen

De databasebeveiligingsmogelijkheden van Microsoft Defender voor Cloud hebben ondersteuning toegevoegd voor uw SQL-servers die worden gehost in AWS- of GCP-omgevingen.

Defender voor SQL, ondernemingen kunnen nu hun volledige database-estate beveiligen, gehost in Azure, AWS, GCP en on-premises machines.

Microsoft Defender voor SQL biedt een uniforme multicloud-ervaring voor het weergeven van beveiligingsaanbevelingen, beveiligingswaarschuwingen en bevindingen voor evaluatie van beveiligingsproblemen voor zowel de SQL-server als het onderstreepte Windows-besturingssysteem.

Met de onboarding-ervaring voor meerdere clouds kunt u databasesbeveiliging inschakelen en afdwingen voor SQL-servers die worden uitgevoerd op AWS EC2, RDS Custom voor SQL Server en GCP-rekenengine. Zodra u een van deze abonnementen hebt ingeschakeld, worden alle ondersteunde resources in het abonnement beveiligd. Toekomstige resources die in hetzelfde abonnement zijn gemaakt, worden ook beveiligd.

Meer informatie over het beveiligen en verbinden van uw AWS-omgeving en uw GCP-organisatie met Microsoft Defender voor Cloud.

De implementatie van beveiligingsaanveling stimuleren om uw beveiligingspostuur te verbeteren

De huidige toenemende bedreigingen voor organisaties strekken de limieten van beveiligingspersoneel uit om hun groeiende workloads te beschermen. Beveiligingsteams worden uitgedaagd om de beveiligingen te implementeren die zijn gedefinieerd in hun beveiligingsbeleid.

Met de governance-ervaring in preview kunnen beveiligingsteams nu herstel van beveiligingsaanbeveling toewijzen aan de resource-eigenaren en een herstelschema vereisen. Ze kunnen volledige transparantie hebben in de voortgang van het herstel en op de hoogte worden gesteld wanneer taken te laat zijn.

Meer informatie over de governance-ervaring in het stimuleren van uw organisatie om beveiligingsproblemen met aanbevelingsbeheer op te lossen.

Beveiligingswaarschuwingen filteren op IP-adres

In veel gevallen van aanvallen wilt u waarschuwingen bijhouden op basis van het IP-adres van de entiteit die betrokken is bij de aanval. Tot nu toe werd het IP-adres alleen weergegeven in de sectie Gerelateerde entiteiten in het deelvenster met één waarschuwing. U kunt nu de waarschuwingen filteren op de pagina beveiligingswaarschuwingen om de waarschuwingen te bekijken die betrekking hebben op het IP-adres en u kunt zoeken naar een specifiek IP-adres.

Schermopname van filter voor I P-adres in Defender voor Cloud waarschuwingen.

Waarschuwingen per resourcegroep

De mogelijkheid om te filteren, sorteren en groeperen op resourcegroep wordt toegevoegd aan de pagina Beveiligingswaarschuwingen.

Er wordt een resourcegroepkolom toegevoegd aan het waarschuwingenraster.

Schermopname van de zojuist toegevoegde resourcegroepkolom.

Er wordt een nieuw filter toegevoegd waarmee u alle waarschuwingen voor specifieke resourcegroepen kunt bekijken.

Schermopname van het nieuwe resourcegroepfilter.

U kunt nu ook uw waarschuwingen per resourcegroep groeperen om al uw waarschuwingen voor elk van uw resourcegroepen weer te geven.

Schermopname die laat zien hoe u uw waarschuwingen kunt weergeven wanneer ze zijn gegroepeerd op resourcegroep.

Automatisch inrichten van Microsoft Defender voor Eindpunt geïntegreerde oplossing

Tot nu toe bevatte de integratie met Microsoft Defender voor Eindpunt (MDE) automatische installatie van de nieuwe geïntegreerde MDE-oplossing voor machines (Azure-abonnementen en connectors met meerdere clouds) waarvoor Defender for Servers Plan 1 is ingeschakeld en voor connectors met meerdere clouds waarvoor Defender for Servers Plan 2 is ingeschakeld. Abonnement 2 voor Azure-abonnementen heeft alleen de geïntegreerde oplossing voor Linux-machines en Windows 2019- en 2022-servers ingeschakeld. Windows-servers 2012R2 en 2016 hebben de verouderde MDE-oplossing gebruikt die afhankelijk is van de Log Analytics-agent.

De nieuwe geïntegreerde oplossing is nu beschikbaar voor alle machines in beide abonnementen, voor zowel Azure-abonnementen als connectors met meerdere clouds. Voor Azure-abonnementen met Servers Abonnement 2 waarvoor MDE-integratie na 20 juni 2022 is ingeschakeld, is de geïntegreerde oplossing standaard ingeschakeld voor alle machines waarop Azure-abonnementen met Defender for Servers Plan 2 zijn ingeschakeld voor MDE-integratie vóór 20 juni 2022, kan de geïntegreerde oplossing nu worden geïnstalleerd voor Windows-servers 2012R2 en 2016 via de toegewezen knop op de pagina Integraties:

Meer informatie over MDE-integratie met Defender for Servers.

De afschaffing van het beleid 'API-app mag alleen toegankelijk zijn via HTTPS'-beleid

Het beleid API App should only be accessible over HTTPS is afgeschaft. Dit beleid wordt vervangen door het beleid, waarvan de Web Application should only be accessible over HTTPS naam is gewijzigd in App Service apps should only be accessible over HTTPS.

Zie ingebouwde Azure Policy-definities voor Azure-app Service voor meer informatie over beleidsdefinities voor Azure-app Service.

Nieuwe Key Vault-waarschuwingen

Om de bedreigingsbeveiligingen van Microsoft Defender voor Key Vault uit te breiden, hebben we twee nieuwe waarschuwingen toegevoegd.

Deze waarschuwingen informeren u over een anomalie voor toegang geweigerd, wordt gedetecteerd voor een van uw sleutelkluizen.

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken Ernst
Ongebruikelijke toegang geweigerd - Gebruiker heeft toegang tot een groot aantal sleutelkluizen geweigerd
(KV_DeniedAccountVolumeAnomaly)
Een gebruiker of service-principal heeft in de afgelopen 24 uur geprobeerd toegang te krijgen tot afwijkende grote hoeveelheden sleutelkluizen. Dit afwijkende toegangspatroon kan legitieme activiteit zijn. Hoewel deze poging mislukt, kan het een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen erin. We raden verder onderzoek aan. Detectie Beperkt
Ongebruikelijke toegang geweigerd - Ongebruikelijke gebruikerstoegang tot sleutelkluis geweigerd
(KV_UserAccessDeniedAnomaly)
Een sleutelkluistoegang is geprobeerd door een gebruiker die deze normaal gesproken niet opent. Dit afwijkende toegangspatroon kan legitieme activiteit zijn. Hoewel deze poging mislukt, kan het een indicatie zijn van een mogelijke poging om toegang te krijgen tot de sleutelkluis en de geheimen erin. Eerste toegang, detectie Beperkt

Mei 2022

De updates in mei zijn onder meer:

Multicloud-instellingen van het Servers-abonnement zijn nu beschikbaar op connectorniveau

Er zijn nu instellingen op connectorniveau voor Defender for Servers in meerdere clouds.

De nieuwe instellingen op connectorniveau bieden granulariteit voor de configuratie van prijzen en automatisch inrichten per connector, onafhankelijk van het abonnement.

Alle onderdelen voor automatisch inrichten die beschikbaar zijn op connectorniveau (Azure Arc, MDE en evaluatie van beveiligingsproblemen) zijn standaard ingeschakeld en de nieuwe configuratie ondersteunt zowel de prijscategorieën Abonnement 1 als Abonnement 2.

Updates in de gebruikersinterface bevatten een weerspiegeling van de geselecteerde prijscategorie en de vereiste onderdelen die zijn geconfigureerd.

Schermopname van de hoofdpagina van het plan met de instellingen voor meerdere clouds voor serverabonnementen.

Schermopname van de pagina voor automatisch inrichten met de connector voor meerdere clouds ingeschakeld.

Wijzigingen in evaluatie van beveiligingsproblemen

Defender for Containers geeft nu beveiligingsproblemen weer met een gemiddelde en lage ernst die niet kunnen worden gepatcht.

Als onderdeel van deze update worden beveiligingsproblemen met gemiddeld en laag ernst nu weergegeven, ongeacht of er patches beschikbaar zijn. Deze update biedt maximale zichtbaarheid, maar u kunt nog steeds ongewenste beveiligingsproblemen filteren met behulp van de opgegeven regel Uitschakelen.

Schermopname van het scherm Regel uitschakelen.

Meer informatie over beveiligingsproblemen beheren

JIT-toegang (Just-In-Time) voor VM's is nu beschikbaar voor AWS EC2-exemplaren (preview)

Wanneer u AWS-accounts verbindt, evalueert JIT automatisch de netwerkconfiguratie van de beveiligingsgroepen van uw exemplaar en raadt u aan welke exemplaren beveiliging nodig hebben voor hun blootgestelde beheerpoorten. Dit is vergelijkbaar met hoe JIT werkt met Azure. Wanneer u onbeveiligde EC2-exemplaren onboardt, blokkeert JIT openbare toegang tot de beheerpoorten en opent deze alleen met geautoriseerde aanvragen gedurende een beperkte periode.

Meer informatie over hoe JIT uw AWS EC2-exemplaren beveiligt

De Defender-sensor voor AKS-clusters toevoegen en verwijderen met behulp van de CLI

De Defender-agent is vereist voor Defender for Containers om de runtimebeveiligingen te bieden en signalen van knooppunten te verzamelen. U kunt nu de Azure CLI gebruiken om de Defender-agent voor een AKS-cluster toe te voegen en te verwijderen.

Notitie

Deze optie is opgenomen in Azure CLI 3.7 en hoger.

April 2022

De updates in april zijn onder meer:

Nieuwe abonnementen voor Defender voor Servers

Microsoft Defender voor Servers wordt nu aangeboden in twee incrementele abonnementen:

  • Defender for Servers Plan 2, voorheen Defender for Servers
  • Defender for Servers Plan 1 biedt alleen ondersteuning voor Microsoft Defender voor Eindpunt

Defender for Servers Plan 2 blijft bescherming bieden tegen bedreigingen en beveiligingsproblemen voor uw cloud- en on-premises workloads, maar Defender for Servers Plan 1 biedt alleen eindpuntbeveiliging, mogelijk gemaakt door de systeemeigen geïntegreerde Defender voor Eindpunt. Lees meer over de defender voor servers-abonnementen.

Als u Defender voor Servers tot nu toe hebt gebruikt, is er geen actie vereist.

Daarnaast begint Defender voor Cloud ook geleidelijk ondersteuning voor de geïntegreerde Defender for Endpoint-agent voor Windows Server 2012 R2 en 2016. Defender for Servers Plan 1 implementeert de nieuwe geïntegreerde agent in Windows Server 2012 R2- en 2016-workloads.

Herlocatie van aangepaste aanbevelingen

Aangepaste aanbevelingen zijn de aanbevelingen die door gebruikers zijn gemaakt en hebben geen invloed op de beveiligingsscore. De aangepaste aanbevelingen vindt u nu op het tabblad Alle aanbevelingen.

Gebruik het nieuwe filter aanbevelingstype om aangepaste aanbevelingen te vinden.

Meer informatie vindt u in Aangepaste beveiligingsinitiatieven en -beleidsregels maken.

PowerShell-script voor het streamen van waarschuwingen naar Splunk en IBM QRadar

U wordt aangeraden Event Hubs en een ingebouwde connector te gebruiken om beveiligingswaarschuwingen te exporteren naar Splunk en IBM QRadar. U kunt nu een PowerShell-script gebruiken om de Azure-resources in te stellen die nodig zijn voor het exporteren van beveiligingswaarschuwingen voor uw abonnement of tenant.

Download en voer het PowerShell-script uit. Nadat u enkele details van uw omgeving hebt opgegeven, configureert het script de resources voor u. Het script produceert vervolgens uitvoer die u in het SIEM-platform gebruikt om de integratie te voltooien.

Zie Stream-waarschuwingen voor Splunk en QRadar voor meer informatie.

De aanbeveling Azure Cache voor Redis afgeschaft

De aanbeveling Azure Cache for Redis should reside within a virtual network (preview) is afgeschaft. We hebben onze richtlijnen voor het beveiligen van Azure Cache voor Redis exemplaren gewijzigd. U wordt aangeraden een privé-eindpunt te gebruiken om de toegang tot uw Azure Cache voor Redis exemplaar te beperken in plaats van een virtueel netwerk.

Nieuwe waarschuwingsvariant voor Microsoft Defender voor Storage (preview) om blootstelling van gevoelige gegevens te detecteren

De waarschuwingen van Microsoft Defender for Storage geven u een waarschuwing wanneer bedreigingsactoren proberen om gevoelige informatie te scannen en beschikbaar te maken, met succes of niet, onjuist geconfigureerd, openbaar geopende opslagcontainers om gevoelige informatie te exfiltreren.

Om een snellere triatatie- en reactietijd mogelijk te maken, hebben we een nieuwe variatie op de bestaande Publicly accessible storage containers have been exposed waarschuwing uitgebracht wanneer exfiltratie van mogelijk gevoelige gegevens is opgetreden.

De nieuwe waarschuwing, wordt Publicly accessible storage containers with potentially sensitive data have been exposedgeactiveerd met een High ernstniveau, na een geslaagde detectie van een openbaar geopende opslagcontainer(s) met namen die statistisch zelden openbaar zijn blootgesteld, wat suggereert dat ze gevoelige informatie kunnen bevatten.

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactiek Ernst
PREVIEW: openbaar toegankelijke opslagcontainers met mogelijk gevoelige gegevens zijn beschikbaar gesteld
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)
Iemand heeft uw Azure Storage-account gescand en een of meer containers weergegeven die openbare toegang toestaan. Een of meer van de weergegeven containers hebben namen die aangeven dat ze gevoelige gegevens kunnen bevatten.

Dit duidt meestal op reconnaissance door een bedreigingsacteur die scant op onjuist geconfigureerde openbaar toegankelijke opslagcontainers die gevoelige gegevens kunnen bevatten.

Nadat een bedreigingsacteur een container heeft gedetecteerd, kunnen ze doorgaan door de gegevens te exfiltreren.
✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Verzameling Hoog

Titel van containerscanwaarschuwing uitgebreid met IP-adresreputatie

De reputatie van een IP-adres kan aangeven of de scanactiviteit afkomstig is van een bekende bedreigingsacteur of van een actor die het Tor-netwerk gebruikt om hun identiteit te verbergen. Beide indicatoren suggereren dat er schadelijke bedoelingen zijn. De reputatie van het IP-adres wordt geleverd door Microsoft Threat Intelligence.

De toevoeging van de reputatie van het IP-adres aan de waarschuwingstitel biedt een manier om snel de intentie van de actor te evalueren, en dus de ernst van de bedreiging.

De volgende waarschuwingen bevatten deze informatie:

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

De toegevoegde informatie aan de titel van de Publicly accessible storage containers have been exposed waarschuwing ziet er bijvoorbeeld als volgt uit:

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

Alle waarschuwingen voor Microsoft Defender for Storage blijven informatie over bedreigingsinformatie in de IP-entiteit opnemen in de sectie Gerelateerde entiteiten van de waarschuwing.

Bekijk de activiteitenlogboeken die betrekking hebben op een beveiligingswaarschuwing

Als onderdeel van de acties die u kunt ondernemen om een beveiligingswaarschuwing te evalueren, kunt u de gerelateerde platformlogboeken vinden in Resourcecontext inspecteren om context te krijgen over de betreffende resource. Microsoft Defender voor Cloud identificeert platformlogboeken die zich binnen één dag na de waarschuwing bevinden.

De platformlogboeken kunnen u helpen bij het evalueren van de beveiligingsrisico's en het identificeren van stappen die u kunt ondernemen om het geïdentificeerde risico te beperken.

Maart 2022

Updates in maart zijn onder andere:

Wereldwijde beschikbaarheid van Veiligheidsscore voor AWS- en GCP-omgevingen

De beheermogelijkheden voor cloudbeveiligingspostuur die door Microsoft Defender voor Cloud worden geboden, hebben nu ondersteuning toegevoegd voor uw AWS- en GCP-omgevingen binnen uw Beveiligingsscore.

Ondernemingen kunnen nu hun algehele beveiligingspostuur bekijken in verschillende omgevingen, zoals Azure, AWS en GCP.

De pagina Secure Score wordt vervangen door het dashboard Beveiligingspostuur. Met het dashboard Beveiligingspostuur kunt u een algemene gecombineerde score voor al uw omgevingen bekijken of een uitsplitsing van uw beveiligingspostuur op basis van elke combinatie van omgevingen die u kiest.

De pagina Aanbevelingen is ook opnieuw ontworpen om nieuwe mogelijkheden te bieden, zoals: selectie van cloudomgevingen, geavanceerde filters op basis van inhoud (resourcegroep, AWS-account, GCP-project en meer), verbeterde gebruikersinterface op lage resolutie, ondersteuning voor open query's in resourcegrafiek en meer. Meer informatie over uw algehele beveiligingspostuur en beveiligingsaanbeveling.

De aanbevelingen voor het installeren van de gegevensverzamelingsagent voor netwerkverkeer afgeschaft

Wijzigingen in onze roadmap en prioriteiten hebben de noodzaak voor de agent voor het verzamelen van netwerkverkeersgegevens verwijderd. De volgende twee aanbevelingen en het bijbehorende beleid zijn afgeschaft.

Aanbeveling Beschrijving Ernst
De gegevensverzamelingsagent voor het netwerkverkeer moet zijn geïnstalleerd op virtuele machines van Linux Defender voor Cloud de Microsoft Dependency Agent gebruikt om netwerkverkeersgegevens van uw virtuele Azure-machines te verzamelen om geavanceerde functies voor netwerkbeveiliging in te schakelen, zoals verkeersvisualisatie op de netwerkkaart, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. Gemiddeld
De gegevensverzamelingsagent voor het netwerkverkeer moet worden geïnstalleerd op virtuele Windows-machines Defender voor Cloud de Microsoft Dependency Agent gebruikt om netwerkverkeersgegevens van uw virtuele Azure-machines te verzamelen om geavanceerde functies voor netwerkbeveiliging in te schakelen, zoals verkeersvisualisatie op de netwerkkaart, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. Gemiddeld

Defender for Containers kan nu scannen op beveiligingsproblemen in Windows-installatiekopieën (preview)

Defender for Container-installatiekopiescan ondersteunt nu Windows-installatiekopieën die worden gehost in Azure Container Registry. Deze functie is gratis tijdens de preview-versie en brengt kosten met zich mee wanneer deze algemeen beschikbaar is.

Meer informatie in Microsoft Defender voor Container gebruiken om uw installatiekopieën te scannen op beveiligingsproblemen.

Nieuwe waarschuwing voor Microsoft Defender voor Storage (preview)

Om de bedreigingsbeveiligingen van Microsoft Defender for Storage uit te breiden, hebben we een nieuwe preview-waarschuwing toegevoegd.

Bedreigingsactoren gebruiken toepassingen en hulpprogramma's om opslagaccounts te detecteren en te openen. Microsoft Defender voor Storage detecteert deze toepassingen en hulpprogramma's, zodat u deze kunt blokkeren en uw houding kunt herstellen.

Deze preview-waarschuwing wordt aangeroepen Access from a suspicious application. De waarschuwing is alleen relevant voor Azure Blob Storage en ALLEEN ADLS Gen2.

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactiek Ernst
PREVIEW - Toegang vanuit een verdachte toepassing
(Storage.Blob_SuspiciousApp)
Geeft aan dat een verdachte toepassing toegang heeft tot een container van een opslagaccount met verificatie.
Dit kan erop wijzen dat een aanvaller de referenties heeft verkregen die nodig zijn om toegang te krijgen tot het account en misbruik maakt van het account. Dit kan ook een indicatie zijn van een penetratietest die in uw organisatie wordt uitgevoerd.
Van toepassing op: Azure Blob Storage, Azure Data Lake Storage Gen2
Initial Access Gemiddeld

Instellingen voor e-mailmeldingen configureren vanuit een waarschuwing

Er is een nieuwe sectie toegevoegd aan de gebruikersinterface (UI) voor waarschuwingen, waarmee u kunt bekijken en bewerken wie e-mailmeldingen ontvangt voor waarschuwingen die worden geactiveerd in het huidige abonnement.

Schermopname van de nieuwe gebruikersinterface waarin wordt getoond hoe u e-mailmeldingen configureert.

Meer informatie over het configureren van e-mailmeldingen voor beveiligingswaarschuwingen.

Afgeschafte preview-waarschuwing: ARM. MCAS_ActivityFromAnonymousIPAddresses

De volgende preview-waarschuwing is afgeschaft:

Naam van waarschuwing Beschrijving
PREVIEW - Activity from a risky IP address (PREVIEW: activiteit vanaf een riskant IP-adres)
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
Er is gebruikersactiviteit gedetecteerd vanaf een IP-adres dat is geïdentificeerd als het IP-adres van een anonieme proxy.
Deze proxy's worden gebruikt door mensen die het IP-adres van hun apparaat willen verbergen en kunnen worden gebruikt voor kwaadaardige doeleinden. Deze detectie maakt gebruik van een algoritme voor machine learning dat het aantal fout-positieven vermindert, zoals verkeerd gelabelde IP-adressen die veel worden gebruikt door gebruikers in de organisatie.
Hiervoor is een actieve Microsoft Defender voor Cloud Apps-licentie vereist.

Er is een nieuwe waarschuwing gemaakt die deze informatie levert en eraan toevoegt. Bovendien is voor de nieuwere waarschuwingen (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) geen licentie vereist voor Microsoft Defender voor Cloud Apps (voorheen Bekend als Microsoft Cloud App Security).

Bekijk meer waarschuwingen voor Resource Manager.

De aanbeveling beveiligingsproblemen in containerbeveiligingsconfiguraties zijn verplaatst, moeten worden hersteld van de beveiligingsscore naar aanbevolen procedures

De aanbeveling Vulnerabilities in container security configurations should be remediated is verplaatst van de sectie secure score naar de sectie best practices.

De huidige gebruikerservaring biedt alleen de score wanneer alle nalevingscontroles zijn geslaagd. De meeste klanten hebben problemen met het voldoen aan alle vereiste controles. We werken aan een verbeterde ervaring voor deze aanbeveling en zodra de aanbeveling is uitgebracht, wordt deze teruggezet naar de beveiligingsscore.

De aanbeveling voor het gebruik van service-principals afgeschaft om uw abonnementen te beveiligen

Naarmate organisaties niet meer gebruikmaken van beheercertificaten voor het beheren van hun abonnementen en onze recente aankondiging dat we het cloudservicesimplementatiemodel (klassiek) buiten gebruik stellen, hebben we de volgende Defender voor Cloud aanbeveling en het bijbehorende beleid afgeschaft:

Aanbeveling Beschrijving Ernst
In plaats van beheercertificaten moeten service-principals worden gebruikt om uw abonnementen te beschermen Met beheercertificaten kan iedereen die met hen wordt geverifieerd, de abonnementen beheren waaraan ze zijn gekoppeld. Als u abonnementen veiliger wilt beheren, wordt het aangeraden om service-principals te gebruiken met Resource Manager om de gevolgen in het geval van een inbreuk op een certificaat te beperken. Ook wordt het resourcebeheer geautomatiseerd.
(Gerelateerd beleid: Service-principals moeten worden gebruikt om uw abonnementen te beveiligen in plaats van beheercertificaten)
Gemiddeld

Meer informatie:

Verouderde implementatie van ISO 27001 vervangen door nieuw ISO 27001:2013-initiatief

De verouderde implementatie van ISO 27001 is verwijderd uit het nalevingsdashboard van Defender voor Cloud. Als u uw ISO 27001-naleving bijhoudt met Defender voor Cloud, onboardt u de nieuwe ISO 27001:2013-standaard voor alle relevante beheergroepen of abonnementen.

Defender voor Cloud dashboard voor naleving van regelgeving met het bericht over het verwijderen van de verouderde implementatie van ISO 27001.

Aanbevelingen voor Microsoft Defender for IoT-apparaten afgeschaft

Aanbevelingen voor Microsoft Defender for IoT-apparaten zijn niet meer zichtbaar in Microsoft Defender voor Cloud. Deze aanbevelingen zijn nog steeds beschikbaar op de pagina Aanbevelingen van Microsoft Defender for IoT.

De volgende aanbevelingen zijn afgeschaft:

Evaluatiesleutel Aanbevelingen
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT-apparaten Poorten openen op apparaat
ba975338-f956-41e7-a9f2-7614832d382d: IoT-apparaten Er is een permissieve firewallregel gevonden in de invoerketen
beb62be3-5e78-49bd-ac5f-099250ef3c7c7c: IoT-apparaten Het permissieve firewallbeleid in een van de ketens is gevonden
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT-apparaten Er is een permissieve firewallregel gevonden in de uitvoerketen
5f65e47f-7a00-4bf3-acae-90e441ee876: IoT-apparaten Validatiefout in basislijn van besturingssysteem
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT-apparaten Agent die onderbenutte berichten verzendt
2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT-apparaten Upgrade van TLS-coderingssuite vereist
d74d2738-2485-4103-9919-69c7e63776ec: IoT-apparaten Auditd het verzenden van gebeurtenissen is gestopt

Waarschuwingen voor Microsoft Defender for IoT-apparaten afgeschaft

Alle waarschuwingen van Microsoft Defender for IoT-apparaten zijn niet meer zichtbaar in Microsoft Defender voor Cloud. Deze waarschuwingen zijn nog steeds beschikbaar op de waarschuwingspagina van Microsoft Defender for IoT en in Microsoft Sentinel.

Postuurbeheer en bedreigingsbeveiliging voor AWS en GCP uitgebracht voor algemene beschikbaarheid (GA)

  • de CSPM-functies van Defender voor Cloud worden uitgebreid naar uw AWS- en GCP-resources. Met dit plan zonder agent worden uw resources met meerdere clouds beoordeeld op basis van cloudspecifieke beveiligingsaanbeveling die zijn opgenomen in uw beveiligingsscore. De resources worden beoordeeld op naleving met behulp van de ingebouwde standaarden. Defender voor Cloud's assetinventarispagina is een functie met meerdere clouds waarmee u uw AWS-resources naast uw Azure-resources kunt beheren.

  • Microsoft Defender voor Servers brengt bedreigingsdetectie en geavanceerde verdediging naar uw rekeninstanties in AWS en GCP. Het Defender for Servers-abonnement bevat een geïntegreerde licentie voor Microsoft Defender voor Eindpunt, scannen op beveiligingsproblemen en meer. Meer informatie over alle ondersteunde functies voor virtuele machines en servers. Met automatische onboardingmogelijkheden kunt u eenvoudig verbinding maken met bestaande of nieuwe rekeninstanties die in uw omgeving zijn gedetecteerd.

Meer informatie over het beveiligen en verbinden van uw AWS-omgeving en GCP-organisatie met Microsoft Defender voor Cloud.

Registerscan voor Windows-installatiekopieën in ACR heeft ondersteuning toegevoegd voor nationale clouds

Registerscan voor Windows-installatiekopieën wordt nu ondersteund in Azure Government en Microsoft Azure beheerd door 21Vianet. Deze toevoeging is momenteel beschikbaar als preview-versie.

Meer informatie over de beschikbaarheid van onze functie.

Februari 2022

Updates in februari zijn onder andere:

Kubernetes-workloadbeveiliging voor Kubernetes-clusters met Arc

Defender for Containers heeft eerder alleen Kubernetes-workloads beveiligd die worden uitgevoerd in Azure Kubernetes Service. We hebben nu de beschermingsdekking uitgebreid met Kubernetes-clusters met Azure Arc.

Meer informatie over het instellen van uw Kubernetes-workloadbeveiliging voor AKS- en Kubernetes-clusters met Azure Arc.

Systeemeigen CSPM voor GCP en bedreigingsbeveiliging voor GCP-rekeninstanties

Met de nieuwe geautomatiseerde onboarding van GCP-omgevingen kunt u GCP-workloads beveiligen met Microsoft Defender voor Cloud. Defender voor Cloud uw resources beveiligt met de volgende abonnementen:

  • de CSPM-functies van Defender voor Cloud worden uitgebreid naar uw GCP-resources. Met dit plan zonder agent worden uw GCP-resources beoordeeld op basis van de GCP-specifieke beveiligingsaanbeveling, die worden geleverd met Defender voor Cloud. GCP-aanbevelingen worden opgenomen in uw beveiligingsscore en de resources worden beoordeeld op naleving van de ingebouwde GCP CIS-standaard. Defender voor Cloud's pagina assetinventaris is een functie met meerdere clouds waarmee u uw resources in Azure, AWS en GCP kunt beheren.

  • Microsoft Defender voor Servers brengt bedreigingsdetectie en geavanceerde verdediging naar uw GCP-rekeninstanties. Dit plan omvat de geïntegreerde licentie voor Microsoft Defender voor Eindpunt, scannen van beveiligingsproblemen en meer.

    Zie Ondersteunde functies voor virtuele machines en servers voor een volledige lijst met beschikbare functies. Met automatische onboardingmogelijkheden kunt u eenvoudig bestaande en nieuwe rekeninstanties in uw omgeving verbinden.

Meer informatie over het beveiligen en verbinden van uw GCP-projecten met Microsoft Defender voor Cloud.

Microsoft Defender voor Azure Cosmos DB-plan uitgebracht voor preview

We hebben de databasedekking van Microsoft Defender voor Cloud uitgebreid. U kunt nu beveiliging inschakelen voor uw Azure Cosmos DB-databases.

Microsoft Defender voor Azure Cosmos DB is een systeemeigen Azure-beveiligingslaag waarmee elke poging om databases in uw Azure Cosmos DB-accounts te misbruiken wordt gedetecteerd. Microsoft Defender voor Azure Cosmos DB detecteert potentiële SQL-injecties, bekende slechte actoren op basis van Microsoft Threat Intelligence, verdachte toegangspatronen en mogelijke exploitatie van uw database via verdachte identiteiten of kwaadwillende insiders.

Het analyseert continu de gegevensstroom van de klant die wordt gegenereerd door de Azure Cosmos DB-services.

Wanneer mogelijk schadelijke activiteiten worden gedetecteerd, worden beveiligingswaarschuwingen gegenereerd. Deze waarschuwingen worden weergegeven in Microsoft Defender voor Cloud samen met de details van de verdachte activiteit, samen met de relevante onderzoeksstappen, herstelacties en beveiligingsaanbeveling.

Er is geen invloed op databaseprestaties bij het inschakelen van de service, omdat Defender voor Azure Cosmos DB geen toegang heeft tot de azure Cosmos DB-accountgegevens.

Meer informatie vindt u in Overzicht van Microsoft Defender voor Azure Cosmos DB.

We introduceren ook een nieuwe activeringservaring voor databasebeveiliging. U kunt nu Microsoft Defender voor Cloud beveiliging inschakelen voor uw abonnement om alle databasetypen te beveiligen, zoals Azure Cosmos DB, Azure SQL Database, Azure SQL-servers op computers en Microsoft Defender voor opensource-relationele databases via één activeringsproces. Specifieke resourcetypen kunnen worden opgenomen of uitgesloten door uw plan te configureren.

Meer informatie over het inschakelen van uw databasebeveiliging op abonnementsniveau.

Bedreigingsbeveiliging voor GKE-clusters (Google Kubernetes Engine)

Na onze recente aankondiging heeft Native CSPM voor GCP en bedreigingsbeveiliging voor GCP-rekenexemplaren de Kubernetes-bedreigingsbeveiliging, gedragsanalyse en ingebouwd toegangsbeheerbeleid uitgebreid naar GKE Standard-clusters (Kubernetes Engine) van Google. U kunt eenvoudig bestaande of nieuwe GKE Standard-clusters in uw omgeving onboarden via onze mogelijkheden voor automatische onboarding. Bekijk containerbeveiliging met Microsoft Defender voor Cloud voor een volledige lijst met beschikbare functies.

Januari 2022

Updates in januari zijn onder andere:

Microsoft Defender voor Resource Manager is bijgewerkt met nieuwe waarschuwingen en meer nadruk op bewerkingen met een hoog risico die zijn toegewezen aan MITRE ATT&CK® Matrix

De cloudbeheerlaag is een cruciale service die is verbonden met al uw cloudresources. Daarom is het ook een potentieel doelwit voor aanvallers. We raden beveiligingsteams aan om de resourcebeheerlaag nauwkeurig te bewaken.

Microsoft Defender voor Resource Manager bewaakt automatisch de bewerkingen voor resourcebeheer in uw organisatie, ongeacht of deze worden uitgevoerd via Azure Portal, Azure REST API's, Azure CLI of andere programmatische Azure-clients. Defender voor Cloud voert geavanceerde beveiligingsanalyses uit om bedreigingen en waarschuwingen over verdachte activiteiten te detecteren.

De beveiligingen van het plan verbeteren de tolerantie van een organisatie aanzienlijk tegen aanvallen van bedreigingsactoren en verhogen het aantal Azure-resources dat wordt beveiligd door Defender voor Cloud aanzienlijk.

In december 2020 hebben we de preview van Defender voor Resource Manager geïntroduceerd en in mei 2021 werd het plan uitgebracht voor algemene beschikbaarheid.

Met deze update hebben we de focus van het Microsoft Defender voor Resource Manager-plan uitgebreid herzien. Het bijgewerkte plan bevat veel nieuwe waarschuwingen die zijn gericht op het identificeren van verdachte aanroep van bewerkingen met een hoog risico. Deze nieuwe waarschuwingen bieden uitgebreide bewaking voor aanvallen in de volledige MITRE ATT&CK-matrix® voor cloudtechnieken.

Deze matrix omvat het volgende bereik van mogelijke intenties van bedreigingsactoren die mogelijk gericht zijn op de resources van uw organisatie: eerste toegang, uitvoering, persistentie, escalatie van bevoegdheden, verdedigingsontduiking, referentietoegang, detectie, laterale verplaatsing, verzameling, exfiltratie en impact.

De nieuwe waarschuwingen voor dit Defender-plan hebben betrekking op deze intenties, zoals wordt weergegeven in de volgende tabel.

Tip

Deze waarschuwingen worden ook weergegeven op de referentiepagina voor waarschuwingen.

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken (intenties) Ernst
Suspicious invocation of a high-risk 'Initial Access' operation detected (preview)
(ARM_AnomalousOperation.InitialAccess)
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om toegang te krijgen tot beperkte resources. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders efficiënt toegang hebben tot hun omgevingen. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om initiële toegang te krijgen tot beperkte resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. Initial Access Gemiddeld
Suspicious invocation of a high-risk 'Execution' operation detected (preview)
(ARM_AnomalousOperation.Execution)
Microsoft Defender voor Resource Manager heeft een verdachte aanroep geïdentificeerd van een bewerking met een hoog risico op een computer in uw abonnement. Dit kan duiden op een poging om code uit te voeren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. Uitvoering Gemiddeld
Suspicious invocation of a high-risk 'Persistence' operation detected (preview)
(ARM_AnomalousOperation.Persistentie)
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om persistentie tot stand te brengen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om persistentie in uw omgeving tot stand te brengen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. Persistentie Gemiddeld
Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (preview)
(ARM_AnomalousOperation.PrivilegeEscalation)
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om bevoegdheden te escaleren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om bevoegdheden te escaleren terwijl resources in uw omgeving in gevaar komen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. Escalatie van bevoegdheden Gemiddeld
Suspicious invocation of a high-risk 'Defense Evasion' operation detected (preview)
(ARM_AnomalousOperation.DefenseEvasion)
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om de verdediging te omzeilen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders de beveiligingspostuur van hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om te voorkomen dat deze worden gedetecteerd terwijl resources in uw omgeving in gevaar komen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. Verdedigingsontduiking Gemiddeld
Suspicious invocation of a high-risk 'Credential Access' operation detected (preview)
(ARM_AnomalousOperation.CredentialAccess)
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om toegang te krijgen tot referenties. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders efficiënt toegang hebben tot hun omgevingen. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. Referentietoegang Gemiddeld
Suspicious invocation of a high-risk 'Lateral Movement' operation detected (preview)
(ARM_AnomalousOperation.LateralMovement)
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om laterale verplaatsingen uit te voeren. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om extra resources in uw omgeving te compromitteren. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. Zijwaartse beweging Gemiddeld
Suspicious invocation of a high-risk 'Data Collection' operation detected (preview)
(ARM_AnomalousOperation.Collection)
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging om gegevens te verzamelen. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken om gevoelige gegevens over resources in uw omgeving te verzamelen. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. Verzameling Gemiddeld
Suspicious invocation of a high-risk 'Impact' operation detected (preview)
(ARM_AnomalousOperation.Impact)
Microsoft Defender voor Resource Manager heeft een verdachte aanroep van een bewerking met een hoog risico in uw abonnement geïdentificeerd. Dit kan duiden op een poging tot configuratiewijziging. De geïdentificeerde bewerkingen zijn zodanig ontworpen dat beheerders hun omgevingen efficiënt kunnen beheren. Hoewel deze activiteit legitiem kan zijn, kan een bedreigingsacteur dergelijke bewerkingen gebruiken voor toegang tot beperkte referenties en inbreuk maken op resources in uw omgeving. Dit kan erop wijzen dat het account is aangetast en wordt gebruikt met schadelijke bedoelingen. Impact Gemiddeld

Bovendien zijn deze twee waarschuwingen van dit plan uit de preview-fase gekomen:

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken (intenties) Ernst
Azure Resource Manager-bewerking vanaf verdacht IP-adres
(ARM_OperationFromSuspiciousIP)
Microsoft Defender voor Resource Manager heeft een bewerking gedetecteerd vanaf een IP-adres dat is gemarkeerd als verdacht in feeds voor bedreigingsinformatie. Uitvoering Gemiddeld
Azure Resource Manager-bewerking vanaf verdacht IP-adres van proxy
(ARM_OperationFromSuspiciousProxyIP)
Microsoft Defender voor Resource Manager heeft een bewerking voor resourcebeheer gedetecteerd vanaf een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt dit vaak gezien in schadelijke activiteiten, wanneer bedreigingsactoren proberen hun bron-IP te verbergen. Verdedigingsontduiking Gemiddeld

Aanbevelingen voor het inschakelen van Microsoft Defender-plannen voor werkruimten (in preview)

Als u wilt profiteren van alle beveiligingsfuncties die beschikbaar zijn in Microsoft Defender voor Servers en Microsoft Defender voor SQL op computers, moeten de abonnementen zijn ingeschakeld op zowel het abonnement als de werkruimteniveaus.

Wanneer een machine deel uitmaakt van een abonnement waarvoor een van deze abonnementen is ingeschakeld, wordt u gefactureerd voor de volledige beveiliging. Als die machine echter rapporteert aan een werkruimte zonder dat het plan is ingeschakeld, ontvangt u deze voordelen niet.

We hebben twee aanbevelingen toegevoegd waarmee werkruimten worden gemarkeerd zonder dat deze plannen zijn ingeschakeld, maar dat er machines zijn die aan hen rapporteren vanuit abonnementen waarvoor het plan wel is ingeschakeld.

De twee aanbevelingen, die beide geautomatiseerd herstel bieden (de actie Herstellen), zijn:

Aanbeveling Beschrijving Ernst
Microsoft Defender voor Servers moet zijn ingeschakeld voor werkruimten Microsoft Defender voor Servers biedt bedreigingsdetectie en geavanceerde verdediging voor uw Windows- en Linux-machines.
Als dit Defender-abonnement is ingeschakeld voor uw abonnementen, maar niet in uw werkruimten, betaalt u voor de volledige functionaliteit van Microsoft Defender voor Servers, maar mist u een aantal voordelen.
Wanneer u Microsoft Defender voor Servers inschakelt in een werkruimte, worden alle computers die rapporteren aan die werkruimte gefactureerd voor Microsoft Defender voor Servers, zelfs als ze zich in abonnementen bevinden zonder Defender-abonnementen ingeschakeld. Tenzij u Microsoft Defender for Servers in het abonnement ook inschakelt, kunnen deze machines niet profiteren van Just-In-Time-VM-toegang, adaptieve toepassingsregelaars en netwerkdetecties voor Azure-resources.
Meer informatie vindt u in Overzicht van Microsoft Defender voor Servers.
(Geen gerelateerd beleid)
Gemiddeld
Microsoft Defender voor SQL op computers moet zijn ingeschakeld voor werkruimten Microsoft Defender voor Servers biedt bedreigingsdetectie en geavanceerde verdediging voor uw Windows- en Linux-machines.
Als dit Defender-abonnement is ingeschakeld voor uw abonnementen, maar niet in uw werkruimten, betaalt u voor de volledige functionaliteit van Microsoft Defender voor Servers, maar mist u een aantal voordelen.
Wanneer u Microsoft Defender voor Servers inschakelt in een werkruimte, worden alle computers die rapporteren aan die werkruimte gefactureerd voor Microsoft Defender voor Servers, zelfs als ze zich in abonnementen bevinden zonder Defender-abonnementen ingeschakeld. Tenzij u Microsoft Defender for Servers in het abonnement ook inschakelt, kunnen deze machines niet profiteren van Just-In-Time-VM-toegang, adaptieve toepassingsregelaars en netwerkdetecties voor Azure-resources.
Meer informatie vindt u in Overzicht van Microsoft Defender voor Servers.
(Geen gerelateerd beleid)
Gemiddeld

Log Analytics-agent automatisch inrichten voor machines met Azure Arc (preview)

Defender voor Cloud gebruikt de Log Analytics-agent om beveiligingsgerelateerde gegevens van computers te verzamelen. De agent leest verschillende beveiligingsconfiguraties en gebeurtenislogboeken en kopieert de gegevens naar uw werkruimte voor analyse.

de instellingen voor automatische inrichting van Defender voor Cloud hebben een wisselknop voor elk type ondersteunde extensie, inclusief de Log Analytics-agent.

In een verdere uitbreiding van onze hybride cloudfuncties hebben we een optie toegevoegd om de Log Analytics-agent automatisch in te richten op machines die zijn verbonden met Azure Arc.

Net als bij de andere opties voor automatisch inrichten, wordt dit geconfigureerd op abonnementsniveau.

Wanneer u deze optie inschakelt, wordt u gevraagd om de werkruimte.

Notitie

Voor dit voorbeeld kunt u niet de standaardwerkruimten selecteren die door Defender voor Cloud zijn gemaakt. Om ervoor te zorgen dat u de volledige set beveiligingsfuncties ontvangt die beschikbaar zijn voor de servers met Azure Arc, controleert u of u de relevante beveiligingsoplossing hebt geïnstalleerd in de geselecteerde werkruimte.

Schermopname van het automatisch inrichten van de Log Analytics-agent voor uw machines met Azure Arc.

De aanbeveling voor het classificeren van gevoelige gegevens in SQL-databases afgeschaft

We hebben de aanbeveling gevoelige gegevens in uw SQL-databases verwijderd als onderdeel van een revisie van de wijze waarop Defender voor Cloud gevoelige datum in uw cloudresources identificeert en beveiligt.

Voorafgaande kennisgeving van deze wijziging is weergegeven voor de afgelopen zes maanden op de pagina Belangrijke aanstaande wijzigingen in Microsoft Defender voor Cloud pagina.

De volgende waarschuwing was eerder alleen beschikbaar voor organisaties die het Microsoft Defender voor DNS-abonnement hadden ingeschakeld.

Met deze update wordt de waarschuwing ook weergegeven voor abonnementen waarvoor het Microsoft Defender voor Servers - of Defender voor App Service-plan is ingeschakeld.

Bovendien heeft Microsoft Threat Intelligence de lijst met bekende schadelijke domeinen uitgebreid met domeinen die zijn gekoppeld aan het misbruiken van de algemeen openbare beveiligingsproblemen die zijn gekoppeld aan Log4j.

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken Ernst
Communicatie met verdacht domein geïdentificeerd door bedreigingsinformatie
(AzureDNS_ThreatIntelSuspectDomain)
Communicatie met verdacht domein is gedetecteerd door DNS-transacties van uw resource te analyseren en te vergelijken met bekende schadelijke domeinen die worden geïdentificeerd door feeds voor bedreigingsinformatie. Communicatie met schadelijke domeinen wordt vaak uitgevoerd door aanvallers en kan betekenen dat uw resource wordt aangetast. Initiële toegang/persistentie/uitvoering/opdracht en beheer/exploitatie Gemiddeld

De knop Waarschuwings-JSON kopiëren die is toegevoegd aan het detailvenster voor beveiligingswaarschuwingen

Om onze gebruikers te helpen snel de details van een waarschuwing met anderen te delen (bijvoorbeeld SOC-analisten, resource-eigenaren en ontwikkelaars) hebben we de mogelijkheid toegevoegd om eenvoudig alle details van een specifieke waarschuwing te extraheren met één knop uit het detailvenster van de beveiligingswaarschuwing.

Met de nieuwe JSON-knop Waarschuwing kopiëren worden de details van de waarschuwing in JSON-indeling op het klembord van de gebruiker geplaatst.

Schermopname van de knop Waarschuwings-JSON kopiëren in het deelvenster Waarschuwingsdetails.

Naam van twee aanbevelingen gewijzigd

Voor consistentie met andere aanbevelingsnamen hebben we de volgende twee aanbevelingen gewijzigd:

  • Aanbeveling om beveiligingsproblemen op te lossen die zijn gedetecteerd bij het uitvoeren van containerinstallatiekopieën

    • Vorige naam: Beveiligingsproblemen in het uitvoeren van containerinstallatiekopieën moeten worden hersteld (mogelijk gemaakt door Qualys)
    • Nieuwe naam: bij het uitvoeren van containerinstallatiekopieën moeten beveiligingsproblemen zijn opgelost
  • Aanbeveling voor het inschakelen van diagnostische logboeken voor Azure-app Service

    • Vorige naam: Diagnostische logboeken moeten zijn ingeschakeld in App Service
    • Nieuwe naam: Diagnostische logboeken in App Service moeten zijn ingeschakeld

Kubernetes-clustercontainers moeten alleen luisteren naar beleid voor toegestane poorten

De Kubernetes-clustercontainers moeten alleen luisteren naar de aanbeveling voor toegestane poorten .

Beleidsnaam Beschrijving Gevolg(en) Versie
Kubernetes-clustercontainers mogen alleen luisteren op toegestane poorten Beperk containers om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS), en als preview voor AKS Engine en Kubernetes met Azure Arc. Zie Inzicht in Azure Policy voor Kubernetes-clusters voor meer informatie. controleren, weigeren, uitgeschakeld 6.1.2

De Services moeten luisteren naar toegestane poorten , maar alleen aanbevelingen moeten worden gebruikt om poorten te beperken die een toepassing beschikbaar maakt voor internet.

Werkmap Actieve waarschuwing toegevoegd

Om onze gebruikers te helpen bij het begrijpen van de actieve bedreigingen voor hun omgevingen en prioriteit te geven tussen actieve waarschuwingen tijdens het herstelproces, hebben we de werkmap Actieve waarschuwingen toegevoegd.

Schermopname van de toevoeging van de werkmap Actieve waarschuwingen.

Met de werkmap actieve waarschuwingen kunnen gebruikers een geïntegreerd dashboard van hun samengevoegde waarschuwingen weergeven op ernst, type, tag, MITRE ATT&CK-tactiek en locatie. Meer informatie vindt u in de werkmap Actieve waarschuwingen gebruiken.

Aanbeveling 'Systeemupdate' toegevoegd aan de overheidscloud

De aanbeveling 'Systeemupdates moeten worden geïnstalleerd op uw computers' is nu beschikbaar in alle overheidsclouds.

De kans is groot dat deze wijziging van invloed is op de beveiligingsscore van uw cloudabonnement voor uw overheid. We verwachten dat de wijziging leidt tot een verminderde score, maar het is mogelijk dat de opname van de aanbeveling in sommige gevallen tot een hogere score kan leiden.

December 2021

Updates in december omvatten:

Microsoft Defender for Containers-abonnement uitgebracht voor algemene beschikbaarheid (GA)

Meer dan twee jaar geleden hebben we Defender voor Kubernetes en Defender voor containerregisters geïntroduceerd als onderdeel van de Azure Defender-aanbieding binnen Microsoft Defender voor Cloud.

Met de release van Microsoft Defender for Containers hebben we deze twee bestaande Defender-abonnementen samengevoegd.

Het nieuwe plan:

  • Combineert de functies van de twee bestaande plannen : bedreigingsdetectie voor Kubernetes-clusters en evaluatie van beveiligingsproblemen voor installatiekopieën die zijn opgeslagen in containerregisters
  • Nieuwe en verbeterde functies , waaronder ondersteuning voor meerdere clouds, detectie van bedreigingen op hostniveau met meer dan zestig nieuwe Kubernetes-bewuste analyses en evaluatie van beveiligingsproblemen voor het uitvoeren van installatiekopieën
  • Introduceert systeemeigen onboarding van Kubernetes op schaal. Wanneer u het plan inschakelt, worden standaard alle relevante onderdelen geconfigureerd om automatisch te worden geïmplementeerd

Met deze release is de beschikbaarheid en presentatie van Defender voor Kubernetes en Defender voor containerregisters als volgt gewijzigd:

  • Nieuwe abonnementen: de twee vorige containerplannen zijn niet meer beschikbaar
  • Bestaande abonnementen: waar ze ook worden weergegeven in Azure Portal, worden de plannen weergegeven als Afgeschaft met instructies voor het upgraden naar het nieuwere abonnement Defender voor containerregisters en Defender voor Kubernetes-abonnementen met 'Afgeschaft' en upgradegegevens.

Het nieuwe abonnement is gratis voor de maand december 2021. Voor de mogelijke wijzigingen in de facturering van de oude abonnementen in Defender for Containers en voor meer informatie over de voordelen die met dit abonnement zijn geïntroduceerd, raadpleegt u Inleiding tot Microsoft Defender for Containers.

Zie voor meer informatie:

Nieuwe waarschuwingen voor Microsoft Defender voor Storage die zijn uitgebracht voor algemene beschikbaarheid (GA)

Bedreigingsactoren gebruiken hulpprogramma's en scripts om te scannen op openbaar geopende containers in de hoop dat er onjuist geconfigureerde open opslagcontainers met gevoelige gegevens worden gevonden.

Microsoft Defender voor Storage detecteert deze scanners, zodat u deze kunt blokkeren en uw houding kunt herstellen.

De preview-waarschuwing die heeft gedetecteerd, heet 'Anonieme scan van openbare opslagcontainers'. Om meer duidelijkheid te bieden over de gedetecteerde verdachte gebeurtenissen, hebben we dit onderverdeeld in twee nieuwe waarschuwingen. Deze waarschuwingen zijn alleen relevant voor Azure Blob Storage.

We hebben de detectielogica verbeterd, de metagegevens van de waarschuwing bijgewerkt en de naam en het waarschuwingstype gewijzigd.

Dit zijn de nieuwe waarschuwingen:

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactiek Ernst
Openbaar toegankelijke opslagcontainers gedetecteerd
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Een geslaagde detectie van openbaar geopende opslagcontainers in uw opslagaccount is in het afgelopen uur uitgevoerd door een scanscript of hulpprogramma.

Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat verkeerd geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden.

De bedreigingsacteur kan hun eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Verzameling Gemiddeld
Openbaar toegankelijke opslagcontainers zijn niet gescand
(Storage.Blob_OpenContainersScanning.FailedAttempt)
Het afgelopen uur is een reeks mislukte pogingen uitgevoerd om te scannen op openbaar geopende opslagcontainers.

Dit duidt meestal op een reconnaissance-aanval, waarbij de bedreigingsacteur probeert blobs weer te geven door containernamen te raden, in de hoop dat verkeerd geconfigureerde open opslagcontainers met gevoelige gegevens erin worden gevonden.

De bedreigingsacteur kan hun eigen script gebruiken of bekende scanhulpprogramma's zoals Microburst gebruiken om te scannen op openbaar geopende containers.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Verzameling Beperkt

Zie voor meer informatie:

Verbeteringen in waarschuwingen voor Microsoft Defender voor Storage

De eerste toegangswaarschuwingen hebben nu een verbeterde nauwkeurigheid en meer gegevens ter ondersteuning van onderzoek.

Bedreigingsactoren gebruiken verschillende technieken in de eerste toegang om een voet aan de grond te krijgen binnen een netwerk. Twee van de Waarschuwingen van Microsoft Defender for Storage die gedragsafwijkingen in deze fase detecteren, hebben nu verbeterde detectielogica en aanvullende gegevens ter ondersteuning van onderzoeken.

Als u automatiseringen hebt geconfigureerd of regels voor waarschuwingsonderdrukking hebt gedefinieerd voor deze waarschuwingen in het verleden, werkt u deze bij overeenkomstig deze wijzigingen.

Toegang detecteren vanaf een Tor-afsluitknooppunt

Toegang vanaf een Tor-afsluitknooppunt kan duiden op een bedreigingsacteur die zijn identiteit probeert te verbergen.

De waarschuwing is nu afgestemd om alleen te genereren voor geverifieerde toegang, wat resulteert in een hogere nauwkeurigheid en betrouwbaarheid dat de activiteit schadelijk is. Deze verbetering vermindert de goedaardige positieve snelheid.

Een outlying-patroon heeft een hoge ernst, terwijl minder afwijkende patronen een gemiddelde ernst hebben.

De naam en beschrijving van de waarschuwing zijn bijgewerkt. Het AlertType blijft ongewijzigd.

  • Waarschuwingsnaam (oud): Toegang van een Tor-afsluitknooppunt naar een opslagaccount
  • Waarschuwingsnaam (nieuw): Geverifieerde toegang vanaf een Tor-afsluitknooppunt
  • Waarschuwingstypen: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
  • Beschrijving: Een of meer opslagcontainers/bestandsshares in uw opslagaccount zijn geopend vanaf een IP-adres dat bekend staat als een actief afsluitknooppunt van Tor (een geanonimiseerde proxy). Bedreigingsactoren gebruiken Tor om het moeilijk te maken om de activiteit naar hen terug te traceren. Geverifieerde toegang vanaf een Tor-afsluitknooppunt is waarschijnlijk een indicatie dat een bedreigingsacteur zijn identiteit probeert te verbergen. Van toepassing op: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
  • MITRE-tactiek: Initiële toegang
  • Ernst: hoog/gemiddeld

Ongebruikelijke niet-geverifieerde toegang

Een wijziging in toegangspatronen kan erop wijzen dat een bedreigings actor openbare leestoegang tot opslagcontainers kan benutten door misbruik te maken van een fout in toegangsconfiguraties of door de toegangsmachtigingen te wijzigen.

Deze waarschuwing voor gemiddelde ernst is nu afgestemd op verbeterde gedragslogica, hogere nauwkeurigheid en betrouwbaarheid dat de activiteit schadelijk is. Deze verbetering vermindert de goedaardige positieve snelheid.

De naam en beschrijving van de waarschuwing zijn bijgewerkt. Het AlertType blijft ongewijzigd.

  • Waarschuwingsnaam (oud): Anonieme toegang tot een opslagaccount
  • Waarschuwingsnaam (nieuw): Ongebruikelijke niet-geverifieerde toegang tot een opslagcontainer
  • Waarschuwingstypen: Storage.Blob_AnonymousAccessAnomaly
  • Beschrijving: Dit opslagaccount is geopend zonder verificatie. Dit is een wijziging in het algemene toegangspatroon. Leestoegang tot deze container wordt meestal geverifieerd. Dit kan erop wijzen dat een bedreigings actor openbare leestoegang tot opslagcontainer(s) in deze opslagaccount(s) kan benutten. Van toepassing op: Azure Blob Storage
  • MITRE-tactiek: Verzameling
  • Urgentie: Gemiddeld

Zie voor meer informatie:

Waarschuwing 'PortSweeping' verwijderd uit netwerklaagwaarschuwingen

De volgende waarschuwing is verwijderd uit onze netwerklaagwaarschuwingen vanwege inefficiëntie:

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken Ernst
Possible outgoing port scanning activity detected (Mogelijke activiteit voor het scannen van uitgaande poorten gedetecteerd)
(PortSweeping)
Analyse van netwerkverkeer heeft aangetoond dat er verdacht uitgaand verkeer afkomstig is van %{Compromised Host}. Dit verkeer kan het gevolg zijn van een activiteit om poorten te scannen. Wanneer de geïnfecteerde resource een load balancer is of een toepassingsgateway, is het verdachte uitgaande verkeer afkomstig van een of meer van de resources in de back-endpool (van de load balancer of toepassingsgateway). Als dit gedrag opzettelijk is, is het belangrijk om te weten dat het scannen van poorten in strijd is met de servicevoorwaarden van Azure. Als dit gedrag niet opzettelijk is, kan dit betekenen dat uw resource is geïnfecteerd. Detectie Gemiddeld

November 2021

Onze Ignite-release omvat:

Andere wijzigingen in november zijn:

Azure Security Center en Azure Defender worden Microsoft Defender voor Cloud

Volgens het rapport 2021 State of the Cloud hebben 92% van de organisaties nu een strategie voor meerdere clouds. Bij Microsoft is het onze doel om de beveiliging in omgevingen te centraliseren en beveiligingsteams effectiever te helpen werken.

Microsoft Defender voor Cloud is een CWP-oplossing (Cloud Security Posture Management) en CWP (Cloud Security Posture Management) die zwakke plekken in uw cloudconfiguratie detecteert, helpt de algehele beveiligingspostuur van uw omgeving te versterken en beschermt workloads in meerdere clouds en hybride omgevingen.

Op Ignite 2019 hebben we onze visie gedeeld om de meest complete benadering te creëren voor het beveiligen van uw digitale activa en het integreren van XDR-technologieën onder het merk Microsoft Defender. De integratie van Azure Security Center en Azure Defender onder de nieuwe naam Microsoft Defender voor Cloud weerspiegelt de geïntegreerde mogelijkheden van ons beveiligingsaanbod en onze mogelijkheid om elk cloudplatform te ondersteunen.

Systeemeigen CSPM voor AWS en bedreigingsbeveiliging voor Amazon EKS en AWS EC2

Een nieuwe pagina met omgevingsinstellingen biedt meer zichtbaarheid en controle over uw beheergroepen, abonnementen en AWS-accounts. De pagina is ontworpen om AWS-accounts op schaal te onboarden: verbind uw AWS-beheeraccount en u gaat automatisch bestaande en toekomstige accounts onboarden.

Gebruik de nieuwe pagina omgevingsinstellingen om uw AWS-accounts te verbinden.

Wanneer u uw AWS-accounts hebt toegevoegd, beveiligt Defender voor Cloud uw AWS-resources met een of meer van de volgende abonnementen:

  • de CSPM-functies van Defender voor Cloud worden uitgebreid naar uw AWS-resources. Dit plan zonder agent evalueert uw AWS-resources op basis van aws-specifieke beveiligingsaanbevelingen en deze zijn opgenomen in uw beveiligingsscore. De resources worden ook beoordeeld op naleving van ingebouwde standaarden die specifiek zijn voor AWS (AWS CIS, AWS PCI DSS en AWS Foundational Security Best Practices). Defender voor Cloud's pagina assetinventaris is een functie met meerdere clouds waarmee u uw AWS-resources naast uw Azure-resources kunt beheren.
  • Microsoft Defender voor Kubernetes breidt de detectie van containerbedreigingen en geavanceerde verdediging uit naar uw Amazon EKS Linux-clusters.
  • Microsoft Defender voor Servers brengt bedreigingsdetectie en geavanceerde verdediging naar uw Exemplaren van Windows en Linux EC2. Dit plan omvat de geïntegreerde licentie voor Microsoft Defender voor Eindpunt, beveiligingsbasislijnen en evaluaties op besturingssysteemniveau, scannen op evaluatie van beveiligingsproblemen, adaptieve toepassingsregelaars (AAC), bewaking van bestandsintegriteit (FIM) en meer.

Meer informatie over het verbinden van uw AWS-accounts met Microsoft Defender voor Cloud.

Prioriteit geven aan beveiligingsacties op basis van gegevensgevoeligheid (mogelijk gemaakt door Microsoft Purview) (in preview)

Gegevensbronnen blijven een populair doelwit voor bedreigingsactoren. Het is dus van cruciaal belang dat beveiligingsteams gevoelige gegevensresources in hun cloudomgevingen identificeren, prioriteren en beveiligen.

Om deze uitdaging aan te pakken, integreert Microsoft Defender voor Cloud nu vertrouwelijkheidsinformatie van Microsoft Purview. Microsoft Purview is een geïntegreerde service voor gegevensbeheer die uitgebreide inzichten biedt in de gevoeligheid van uw gegevens binnen meerdere clouds en on-premises workloads.

De integratie met Microsoft Purview breidt uw zichtbaarheid van beveiliging uit in Defender voor Cloud van het infrastructuurniveau tot aan de gegevens, waardoor een volledig nieuwe manier wordt ingeschakeld om prioriteit te geven aan resources en beveiligingsactiviteiten voor uw beveiligingsteams.

Meer informatie over beveiligingsacties prioriteren op basis van gegevensgevoeligheid.

Uitgebreide evaluaties van beveiligingsbeheer met Azure Security Benchmark v3

Aanbevelingen voor beveiliging in Defender voor Cloud worden ondersteund door de Azure Security Benchmark.

Azure Security Benchmark is de door Microsoft geschreven, azure-specifieke set richtlijnen voor best practices voor beveiliging en naleving op basis van algemene nalevingsframeworks. Deze algemeen gerespecteerde benchmark bouwt voort op de controles van het Center for Internet Security (CIS) en het National Institute of Standards and Technology (NIST) met een focus op cloudgerichte beveiliging.

Vanuit Ignite 2021 is Azure Security Benchmark v3 beschikbaar in het nalevingsdashboard van Defender voor Cloud en ingeschakeld als het nieuwe standaardinitiatief voor alle Azure-abonnementen die zijn beveiligd met Microsoft Defender voor Cloud.

Verbeteringen voor v3 zijn onder andere:

  • Aanvullende toewijzingen aan industrieframeworks PCI-DSS v3.2.1 en CIS Controls v8.

  • Meer gedetailleerde en bruikbare richtlijnen voor besturingselementen met de introductie van:

    • Beveiligingsprincipes : inzicht geven in de algemene beveiligingsdoelstellingen die de basis vormen voor onze aanbevelingen.
    • Azure-richtlijnen : de technische instructies voor het voldoen aan deze doelstellingen.
  • Nieuwe besturingselementen omvatten DevOps-beveiliging voor problemen zoals threat modeling en beveiliging van software-toeleveringsketens, evenals sleutel- en certificaatbeheer voor best practices in Azure.

Meer informatie vindt u in Inleiding tot Azure Security Benchmark.

De optionele synchronisatie van waarschuwingen in twee richtingen van de Microsoft Sentinel-connector die is vrijgegeven voor algemene beschikbaarheid (GA)

In juli hebben we een preview-functie, bidirectionele waarschuwingssynchronisatie aangekondigd voor de ingebouwde connector in Microsoft Sentinel (de cloudeigen SIEM- en SOAR-oplossing van Microsoft). Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).

Wanneer u Microsoft Defender voor Cloud verbindt met Microsoft Sentinel, wordt de status van beveiligingswaarschuwingen gesynchroniseerd tussen de twee services. Als een waarschuwing bijvoorbeeld wordt gesloten in Defender voor Cloud, wordt die waarschuwing ook weergegeven als gesloten in Microsoft Sentinel. Het wijzigen van de status van een waarschuwing in Defender voor Cloud heeft geen invloed op de status van Microsoft Sentinel-incidenten die de gesynchroniseerde Microsoft Sentinel-waarschuwing bevatten, alleen die van de gesynchroniseerde waarschuwing zelf.

Wanneer u synchronisatie van bidirectionele waarschuwingen inschakelt, synchroniseert u automatisch de status van de oorspronkelijke Defender voor Cloud waarschuwingen met Microsoft Sentinel-incidenten die de kopieën van deze waarschuwingen bevatten. Wanneer bijvoorbeeld een Microsoft Sentinel-incident met een Defender voor Cloud waarschuwing wordt gesloten, sluit Defender voor Cloud automatisch de bijbehorende oorspronkelijke waarschuwing.

Meer informatie vindt u in Azure Defender-waarschuwingen van Azure Security Center en Stream-waarschuwingen verbinden met Azure Sentinel.

Nieuwe aanbeveling voor het pushen van AKS-logboeken (Azure Kubernetes Service) naar Sentinel

In een verdere verbetering van de gecombineerde waarde van Defender voor Cloud en Microsoft Sentinel gaan we nu Azure Kubernetes Service-exemplaren markeren die geen logboekgegevens naar Microsoft Sentinel verzenden.

SecOps-teams kunnen de relevante Microsoft Sentinel-werkruimte rechtstreeks kiezen vanaf de pagina met aanbevelingsgegevens en direct het streamen van onbewerkte logboeken inschakelen. Dankzij deze naadloze verbinding tussen de twee producten kunnen beveiligingsteams eenvoudig de volledige dekking van logboekregistratie voor hun workloads garanderen, zodat ze hun volledige omgeving kunnen blijven gebruiken.

De nieuwe aanbeveling 'Diagnostische logboeken in Kubernetes-services moeten worden ingeschakeld' bevat de optie Herstellen voor snellere herstel.

We hebben ook de aanbeveling 'Controle op SQL-server moet worden ingeschakeld' verbeterd met dezelfde Sentinel-streamingmogelijkheden.

Aanbevelingen die zijn toegewezen aan het MITRE ATT&CK-framework® - uitgebracht voor algemene beschikbaarheid (GA)

We hebben de beveiligingsaanbeveling van Defender voor Cloud uitgebreid om hun positie in het MITRE ATT&CK-framework® weer te geven. Deze wereldwijd toegankelijke knowledge base van tactieken en technieken van bedreigingsactoren op basis van praktijkobservaties biedt meer context om u inzicht te geven in de bijbehorende risico's van de aanbevelingen voor uw omgeving.

U vindt deze tactieken waar u ook toegang hebt tot aanbevelingsgegevens:

  • Azure Resource Graph-queryresultaten voor relevante aanbevelingen omvatten de MITRE ATT&CK-tactieken® en -technieken.

  • Pagina's met aanbevelingsdetails tonen de toewijzing voor alle relevante aanbevelingen:

  • De pagina met aanbevelingen in Defender voor Cloud heeft een nieuw filter om aanbevelingen te selecteren op basis van de bijbehorende tactiek:

Meer informatie vindt u in Aanbevelingen voor beveiliging controleren.

Microsoft Threat and Vulnerability Management toegevoegd als oplossing voor evaluatie van beveiligingsproblemen, uitgebracht voor algemene beschikbaarheid (GA)

In oktober hebben we een uitbreiding aangekondigd voor de integratie tussen Microsoft Defender voor Servers en Microsoft Defender voor Eindpunt, ter ondersteuning van een nieuwe provider voor evaluatie van beveiligingsproblemen voor uw computers: Microsoft Threat and Vulnerability Management. Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).

Gebruik bedreigings- en beveiligingsbeheer om beveiligingsproblemen en onjuiste configuraties in bijna realtime te detecteren met de integratie met Microsoft Defender voor Eindpunt ingeschakeld, en zonder dat er extra agents of periodieke scans nodig zijn. Bedreigings- en beveiligingsbeheer geeft prioriteit aan beveiligingsproblemen op basis van het bedreigingslandschap en detecties in uw organisatie.

Gebruik de beveiligingsaanbeveling 'Een oplossing voor evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw virtuele machines' om de beveiligingsproblemen weer te geven die zijn gedetecteerd door bedreigings- en beveiligingsproblemenbeheer voor uw ondersteunde machines.

Als u de beveiligingsproblemen automatisch wilt weergeven op bestaande en nieuwe machines, zonder dat u de aanbeveling handmatig hoeft op te lossen, raadpleegt u oplossingen voor evaluatie van beveiligingsproblemen nu automatisch worden ingeschakeld (in preview).

Meer informatie over zwakke punten onderzoeken met het beheer van bedreigingen en beveiligingsproblemen van Microsoft Defender voor Eindpunt.

Microsoft Defender voor Eindpunt voor Linux nu ondersteund door Microsoft Defender voor Servers - uitgebracht voor algemene beschikbaarheid (GA)

In augustus hebben we preview-ondersteuning aangekondigd voor het implementeren van de Defender voor Eindpunt voor Linux-sensor op ondersteunde Linux-machines . Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).

Microsoft Defender voor Servers bevat een geïntegreerde licentie voor Microsoft Defender voor Eindpunt. Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR).

Wanneer Defender voor Eindpunten een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Defender voor Cloud. Vanuit Defender voor Cloud kunt u ook naar de Defender voor Eindpunt-console draaien en een gedetailleerd onderzoek uitvoeren om het bereik van de aanval te ontdekken.

Meer informatie in Uw eindpunten beveiligen met de geïntegreerde EDR-oplossing van Security Center: Microsoft Defender voor Eindpunt.

Momentopname exporteren voor aanbevelingen en beveiligingsresultaten (in preview)

Defender voor Cloud gedetailleerde beveiligingswaarschuwingen en aanbevelingen genereert. U kunt ze bekijken in de portal of via programmatische hulpprogramma's. Mogelijk moet u ook bepaalde of alle informatie exporteren voor het bijhouden met andere bewakingshulpprogramma's in uw omgeving.

met de functie voor continue export van Defender voor Cloud kunt u volledig aanpassen wat er wordt geëxporteerd en waar deze wordt uitgevoerd. Meer informatie over continu exporteren Microsoft Defender voor Cloud gegevens.

Hoewel de functie doorlopend wordt genoemd, is er ook een optie om wekelijkse momentopnamen te exporteren. Tot nu toe waren deze wekelijkse momentopnamen beperkt tot beveiligingsscore- en nalevingsgegevens voor regelgeving. We hebben de mogelijkheid toegevoegd om aanbevelingen en beveiligingsresultaten te exporteren.

Automatische inrichting van oplossingen voor evaluatie van beveiligingsproblemen die zijn uitgebracht voor algemene beschikbaarheid (GA)

In oktober hebben we aangekondigd dat er oplossingen voor evaluatie van beveiligingsproblemen zijn toegevoegd aan de pagina voor automatische inrichting van Defender voor Cloud. Dit is relevant voor virtuele Azure-machines en Azure Arc-machines op abonnementen die worden beveiligd door Azure Defender voor Servers. Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).

Als de integratie met Microsoft Defender voor Eindpunt is ingeschakeld, biedt Defender voor Cloud een keuze aan oplossingen voor evaluatie van beveiligingsproblemen:

  • (NIEUW) De module bedreigings- en beveiligingsbeheer van Microsoft van Microsoft Defender voor Eindpunt (zie de releasenotitie)
  • De geïntegreerde Qualys-agent

De gekozen oplossing wordt automatisch ingeschakeld op ondersteunde machines.

Meer informatie vindt u in De evaluatie van beveiligingsproblemen automatisch configureren voor uw computers.

Software-inventarisfilters in assetinventaris die zijn vrijgegeven voor algemene beschikbaarheid (GA)

In oktober hebben we nieuwe filters aangekondigd voor de pagina assetinventaris om machines met specifieke software te selecteren en zelfs de gewenste versies op te geven. Deze functie is nu beschikbaar voor algemene beschikbaarheid (GA).

U kunt een query uitvoeren op de software-inventarisgegevens in Azure Resource Graph Explorer.

Als u deze functies wilt gebruiken, moet u de integratie met Microsoft Defender voor Eindpunt inschakelen.

Zie Access a software inventory (Toegang tot een software-inventaris) voor meer informatie, waaronder voorbeeldquery's voor Kusto-query's voor Azure Resource Graph.

Nieuw AKS-beveiligingsbeleid toegevoegd aan standaardinitiatief

Om ervoor te zorgen dat Kubernetes-workloads standaard beveiligd zijn, bevat Defender voor Cloud beleidsregels op Kubernetes-niveau en aanbevelingen voor beveiliging, waaronder afdwingingsopties met Kubernetes-toegangsbeheer.

Als onderdeel van dit project hebben we een beleid en aanbeveling (standaard uitgeschakeld) toegevoegd voor het beperken van implementatie op Kubernetes-clusters. Het beleid bevindt zich in het standaardinitiatief, maar is alleen relevant voor organisaties die zich registreren voor de gerelateerde preview.

U kunt het beleid en de aanbeveling ('Kubernetes-clusters moeten de implementatie van kwetsbare installatiekopieën' veilig negeren en er is geen invloed op uw omgeving.

Als u wilt deelnemen aan de preview,moet u lid zijn van de preview-ring. Als u nog geen lid bent, dient u hier een aanvraag in. Leden ontvangen een melding wanneer de preview begint.

Inventarisweergave van on-premises machines past een andere sjabloon toe voor de resourcenaam

Om de presentatie van resources in de assetinventaris te verbeteren, hebben we het element source-computer-IP verwijderd uit de sjabloon voor het benoemen van on-premises machines.

  • Vorige indeling: machine-name_source-computer-id_VMUUID
  • Vanaf deze update: machine-name_VMUUID

Oktober 2021

De updates in oktober omvatten:

Microsoft Threat and Vulnerability Management toegevoegd als oplossing voor evaluatie van beveiligingsproblemen (in preview)

We hebben de integratie tussen Azure Defender voor Servers en Microsoft Defender voor Eindpunt uitgebreid om een nieuwe provider voor evaluatie van beveiligingsproblemen voor uw computers te ondersteunen: Microsoft Threat and Vulnerability Management.

Gebruik bedreigings- en beveiligingsbeheer om beveiligingsproblemen en onjuiste configuraties in bijna realtime te detecteren met de integratie met Microsoft Defender voor Eindpunt ingeschakeld, en zonder dat er extra agents of periodieke scans nodig zijn. Bedreigings- en beveiligingsbeheer geeft prioriteit aan beveiligingsproblemen op basis van het bedreigingslandschap en detecties in uw organisatie.

Gebruik de beveiligingsaanbeveling 'Een oplossing voor evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw virtuele machines' om de beveiligingsproblemen weer te geven die zijn gedetecteerd door bedreigings- en beveiligingsproblemenbeheer voor uw ondersteunde machines.

Als u de beveiligingsproblemen automatisch wilt weergeven op bestaande en nieuwe machines, zonder dat u de aanbeveling handmatig hoeft op te lossen, raadpleegt u oplossingen voor evaluatie van beveiligingsproblemen nu automatisch worden ingeschakeld (in preview).

Meer informatie over zwakke punten onderzoeken met het beheer van bedreigingen en beveiligingsproblemen van Microsoft Defender voor Eindpunt.

Oplossingen voor evaluatie van beveiligingsproblemen kunnen nu automatisch worden ingeschakeld (in preview)

De pagina voor automatisch inrichten van Security Center bevat nu de optie om automatisch een oplossing voor evaluatie van beveiligingsproblemen in te schakelen voor virtuele Azure-machines en Azure Arc-machines op abonnementen die worden beveiligd door Azure Defender voor Servers.

Als de integratie met Microsoft Defender voor Eindpunt is ingeschakeld, biedt Defender voor Cloud een keuze aan oplossingen voor evaluatie van beveiligingsproblemen:

  • (NIEUW) De module bedreigings- en beveiligingsbeheer van Microsoft van Microsoft Defender voor Eindpunt (zie de releasenotitie)
  • De geïntegreerde Qualys-agent

Configureer automatische inrichting van bedreigings- en beveiligingsproblemenbeheer van Microsoft vanuit Azure Security Center.

De gekozen oplossing wordt automatisch ingeschakeld op ondersteunde machines.

Meer informatie vindt u in De evaluatie van beveiligingsproblemen automatisch configureren voor uw computers.

Software-inventarisfilters toegevoegd aan assetinventaris (in preview)

De pagina assetinventaris bevat nu een filter om machines met specifieke software te selecteren en zelfs de gewenste versies op te geven.

Daarnaast kunt u query's uitvoeren op de software-inventarisgegevens in Azure Resource Graph Explorer.

Als u deze nieuwe functies wilt gebruiken, moet u de integratie met Microsoft Defender voor Eindpunt inschakelen.

Zie Access a software inventory (Toegang tot een software-inventaris) voor meer informatie, waaronder voorbeeldquery's voor Kusto-query's voor Azure Resource Graph.

Als u de oplossing voor bedreigingen en beveiligingsproblemen hebt ingeschakeld, biedt de inventaris van assets van Security Center een filter om resources te selecteren op basis van hun geïnstalleerde software.

Het voorvoegsel van sommige waarschuwingstypen is gewijzigd van 'ARM_' in 'VM_'

In juli 2021 hebben we een logische reorganisatie van Waarschuwingen van Azure Defender voor Resource Manager aangekondigd

Tijdens de reorganisatie van Defender-plannen hebben we waarschuwingen van Azure Defender voor Resource Manager verplaatst naar Azure Defender voor Servers.

Met deze update hebben we de voorvoegsels van deze waarschuwingen gewijzigd zodat deze overeenkomen met deze toewijzing en hebben we 'ARM_' vervangen door 'VM_', zoals wordt weergegeven in de volgende tabel:

Oorspronkelijke naam Van deze wijziging
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

Meer informatie over de abonnementen Azure Defender voor Resource Manager en Azure Defender for Servers .

Wijzigingen in de logica van een beveiligingsaanbeveling voor Kubernetes-clusters

De aanbeveling 'Kubernetes-clusters mogen de standaardnaamruimte niet gebruiken' voorkomt het gebruik van de standaardnaamruimte voor een bereik van resourcetypen. Twee van de resourcetypen die in deze aanbeveling zijn opgenomen, zijn verwijderd: ConfigMap en Secret.

Meer informatie over deze aanbeveling en het beveiligen van uw Kubernetes-clusters in Meer informatie over Azure Policy voor Kubernetes-clusters.

Om de relaties tussen verschillende aanbevelingen te verduidelijken, hebben we een gebied gerelateerde aanbevelingen toegevoegd aan de detailpagina's van veel aanbevelingen.

De drie relatietypen die op deze pagina's worden weergegeven, zijn:

  • Vereiste : een aanbeveling die moet worden voltooid vóór de geselecteerde aanbeveling
  • Alternatief : een andere aanbeveling die een andere manier biedt om de doelstellingen van de geselecteerde aanbeveling te bereiken
  • Afhankelijk : een aanbeveling waarvoor de geselecteerde aanbeveling een vereiste is

Voor elke gerelateerde aanbeveling wordt het aantal beschadigde resources weergegeven in de kolom Betrokken resources.

Tip

Als een gerelateerde aanbeveling grijs wordt weergegeven, is de afhankelijkheid nog niet voltooid en is deze niet beschikbaar.

Een voorbeeld van gerelateerde aanbevelingen:

  1. Security Center controleert uw machines op ondersteunde oplossingen voor evaluatie van beveiligingsproblemen:
    A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)

  2. Als er een is gevonden, krijgt u een melding over gedetecteerde beveiligingsproblemen:
    Beveiligingsproblemen op uw virtuele machines moeten worden hersteld

Security Center kan u uiteraard niet op de hoogte stellen van gedetecteerde beveiligingsproblemen, tenzij er een ondersteunde oplossing voor evaluatie van beveiligingsproblemen wordt gevonden.

Daarom:

  • Aanbeveling 1 is een vereiste voor aanbeveling 2
  • Aanbeveling 2 is afhankelijk van aanbeveling 1

Schermopname van aanbeveling voor het implementeren van de oplossing voor evaluatie van beveiligingsproblemen.

Schermopname van aanbeveling om gedetecteerde beveiligingsproblemen op te lossen.

Nieuwe waarschuwingen voor Azure Defender voor Kubernetes (in preview)

Om de bedreigingsbeveiligingen van Azure Defender voor Kubernetes uit te breiden, hebben we twee preview-waarschuwingen toegevoegd.

Deze waarschuwingen worden gegenereerd op basis van een nieuw machine learning-model en geavanceerde analyses van Kubernetes, waarbij meerdere kenmerken voor implementatie en roltoewijzing worden gemeten op basis van eerdere activiteiten in het cluster en in alle clusters die worden bewaakt door Azure Defender.

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactiek Ernst
Afwijkende podimplementatie (preview)
(K8S_AnomalousPodDeployment)
Bij analyse van het auditlogboek van Kubernetes is een podimplementatie gedetecteerd die afwijkend is, op basis van de vorige podimplementatieactiviteit. Deze activiteit wordt beschouwd als een anomalie wanneer rekening wordt gehouden met de manier waarop de verschillende functies die in de implementatiebewerking worden gezien zich in relatie tot elkaar bevinden. De functies die door deze analyse worden bewaakt, zijn het containerinstallatiekopieënregister dat wordt gebruikt, het account dat de implementatie uitvoert, de dag van de week, hoe vaak dit account podimplementaties uitvoert, de gebruikersagent die in de bewerking wordt gebruikt, is dit een naamruimte die podimplementatie vaak of een andere functie is. De belangrijkste bijdragende redenen voor het indienen van deze waarschuwing als afwijkende activiteit worden beschreven onder de uitgebreide eigenschappen van de waarschuwing. Uitvoering Gemiddeld
Overmatige rolmachtigingen die zijn toegewezen in kubernetes-cluster (preview)
(K8S_ServiceAcountPermissionAnomaly)
Bij analyse van de Kubernetes-auditlogboeken is een overmatige toewijzing van machtigingen aan uw cluster gedetecteerd. Bij het onderzoeken van roltoewijzingen zijn de vermelde machtigingen ongebruikelijk voor het specifieke serviceaccount. Deze detectie beschouwt eerdere roltoewijzingen voor hetzelfde serviceaccount in clusters die worden bewaakt door Azure, volume per machtiging en de impact van de specifieke machtiging. Het anomaliedetectiemodel dat voor deze waarschuwing wordt gebruikt, houdt rekening met hoe deze machtiging wordt gebruikt in alle clusters die worden bewaakt door Azure Defender. Escalatie van bevoegdheden Beperkt

Zie Waarschuwingen voor Kubernetes-clusters voor een volledige lijst met kubernetes-waarschuwingen.

September 2021

In september is de volgende update uitgebracht:

Twee nieuwe aanbevelingen voor het controleren van besturingssysteemconfiguraties voor naleving van de Azure-beveiligingsbasislijn (in preview)

De volgende twee aanbevelingen zijn uitgebracht om te beoordelen of uw computers voldoen aan de Windows-beveiligingsbasislijn en de Linux-beveiligingsbasislijn:

Deze aanbevelingen maken gebruik van de gastconfiguratiefunctie van Azure Policy om de configuratie van het besturingssysteem van een machine te vergelijken met de basislijn die is gedefinieerd in de Azure Security Benchmark.

Meer informatie over het gebruik van deze aanbevelingen in de besturingssysteemconfiguratie van een machine beveiligen met behulp van gastconfiguratie.

Augustus 2021

De updates in augustus zijn onder meer:

Microsoft Defender voor Eindpunt voor Linux nu ondersteund door Azure Defender voor Servers (in preview)

Azure Defender voor Servers bevat een geïntegreerde licentie voor Microsoft Defender voor Eindpunt. Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR).

Wanneer Defender voor Eindpunten een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Security Center. Vanuit Security Center kunt u ook naar de Defender voor Eindpunten-console draaien en een gedetailleerd onderzoek uitvoeren om het bereik van de aanval te ontdekken.

Tijdens de preview-periode implementeert u de Defender voor Eindpunt voor Linux-sensor op ondersteunde Linux-machines op een van twee manieren, afhankelijk van of u deze al op uw Windows-computers hebt geïmplementeerd:

Meer informatie in Uw eindpunten beveiligen met de geïntegreerde EDR-oplossing van Security Center: Microsoft Defender voor Eindpunt.

Twee nieuwe aanbevelingen voor het beheren van endpoint protection-oplossingen (in preview)

We hebben twee preview-aanbevelingen toegevoegd voor het implementeren en onderhouden van de eindpuntbeveiligingsoplossingen op uw computers. Beide aanbevelingen omvatten ondersteuning voor virtuele Azure-machines en machines die zijn verbonden met servers met Azure Arc.

Aanbeveling Beschrijving Ernst
Endpoint Protection moet worden geïnstalleerd op uw computers Installeer een ondersteunde oplossing voor eindpuntbeveiliging om uw machines tegen bedreigingen en beveiligingsproblemen te beschermen. Meer informatie over het evalueren van Endpoint Protection voor machines.
(Gerelateerd beleid: Ontbrekende Endpoint Protection bewaken in Azure Security Center)
Hoog
Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Azure Security Center ondersteunde eindpuntbeveiligingsoplossingen worden hier beschreven. De eindpuntbeveiligingsevaluatie wordt hier beschreven.
(Gerelateerd beleid: Ontbrekende Endpoint Protection bewaken in Azure Security Center)
Gemiddeld

Notitie

De aanbevelingen tonen hun versheidsinterval als 8 uur, maar er zijn enkele scenario's waarin dit aanzienlijk langer kan duren. Wanneer een on-premises machine bijvoorbeeld wordt verwijderd, duurt het 24 uur voordat Security Center de verwijdering identificeert. Daarna duurt het maximaal 8 uur om de informatie te retourneren. In die specifieke situatie kan het daarom 32 uur duren voordat de machine uit de lijst met betrokken resources is verwijderd.

Indicator voor vernieuwingsinterval voor deze twee nieuwe Aanbevelingen van Security Center

Ingebouwde probleemoplossing en richtlijnen voor het oplossen van veelvoorkomende problemen

Een nieuw, speciaal gebied van de Security Center-pagina's in Azure Portal biedt een gesorteerde, steeds groeiende set zelfhulpmaterialen voor het oplossen van veelvoorkomende uitdagingen met Security Center en Azure Defender.

Wanneer u een probleem ondervindt of advies zoekt van ons ondersteuningsteam, is diagnose en oplossing van problemen een ander hulpmiddel om u te helpen de oplossing te vinden:

De pagina Problemen vaststellen en oplossen in Security Center

De Azure Audit-rapporten van het Dashboard voor naleving van regelgeving die zijn vrijgegeven voor algemene beschikbaarheid (GA)

De werkbalk van het dashboard naleving van regelgeving biedt Azure- en Dynamics-certificeringsrapporten voor de standaarden die zijn toegepast op uw abonnementen.

De werkbalk van het dashboard Naleving van regelgeving met de knop voor het genereren van controlerapporten.

U kunt het tabblad selecteren voor de relevante rapportentypen (PCI, SOC, ISO en andere) en filters gebruiken om de specifieke rapporten te vinden die u nodig hebt.

Zie Rapporten en certificaten voor nalevingsstatus genereren voor meer informatie.

Lijsten met tabbladen met beschikbare Azure Audit-rapporten. Dit zijn tabbladen voor ISO-rapporten, SOC-rapporten, PCI en meer.

De aanbeveling 'Statusproblemen met Log Analytics-agent moeten worden opgelost op uw computers' afgeschaft

We hebben vastgesteld dat problemen met de status van de Log Analytics-agent moeten worden opgelost op uw computers , op manieren die niet overeenkomen met de focus van Security Center Cloud Security Posture Management (CSPM). CsPM heeft meestal betrekking op het identificeren van onjuiste configuraties van beveiliging. Statusproblemen van de agent passen niet in deze categorie problemen.

De aanbeveling is ook een anomalie in vergelijking met de andere agents met betrekking tot Security Center: dit is de enige agent met een aanbeveling met betrekking tot statusproblemen.

De aanbeveling is afgeschaft.

Als gevolg van deze afschaffing hebben we ook kleine wijzigingen aangebracht in de aanbevelingen voor het installeren van de Log Analytics-agent (Log Analytics-agent moet worden geïnstalleerd op...).

De kans is groot dat deze wijziging van invloed is op uw beveiligingsscores. Voor de meeste abonnementen verwachten we dat de wijziging leidt tot een hogere score, maar het is mogelijk dat de updates van de installatieaanaanveling in sommige gevallen leiden tot lagere scores.

Tip

De inventarispagina van activa is ook beïnvloed door deze wijziging, omdat deze de bewaakte status weergeeft voor machines (bewaakt, niet bewaakt of gedeeltelijk bewaakt: een status die verwijst naar een agent met statusproblemen).

Azure Defender voor containerregisters bevat een scanner voor beveiligingsproblemen om installatiekopieën in uw Azure Container Registry-registers te scannen. Lees hoe u uw registers scant en bevindingen herstelt in Azure Defender voor containerregisters om uw installatiekopieën te scannen op beveiligingsproblemen.

Als u de toegang tot een register wilt beperken dat wordt gehost in Azure Container Registry, wijst u privé-IP-adressen van een virtueel netwerk toe aan de registereindpunten en gebruikt u Azure Private Link, zoals wordt uitgelegd in Privé verbinden met een Azure-containerregister met behulp van Azure Private Link.

Als onderdeel van onze voortdurende inspanningen ter ondersteuning van extra omgevingen en use cases scant Azure Defender nu ook containerregisters die zijn beveiligd met Azure Private Link.

Security Center kan nu de gastconfiguratie-extensie van Azure Policy automatisch inrichten (in preview)

Azure Policy kan instellingen binnen een machine controleren, zowel voor machines die worden uitgevoerd in met Azure verbonden machines als met Arc verbonden machines. De validatie wordt uitgevoerd door de extensie en client voor gastconfiguratie. Meer informatie vindt u in de gastconfiguratie van Azure Policy.

Met deze update kunt u Security Center nu instellen om deze extensie automatisch in te richten op alle ondersteunde computers.

Schakel automatische implementatie van de gastconfiguratie-extensie in.

Meer informatie over hoe automatisch inrichten werkt in Automatische inrichting configureren voor agents en extensies.

Aanbevelingen bieden nu ondersteuning voor Afdwingen

Security Center bevat twee functies waarmee u ervoor kunt zorgen dat nieuw gemaakte resources op een veilige manier worden ingericht: afdwingen en weigeren. Wanneer een aanbeveling deze opties biedt, kunt u ervoor zorgen dat aan uw beveiligingsvereisten wordt voldaan wanneer iemand probeert een resource te maken:

  • Weigeren voorkomt dat beschadigde resources worden gemaakt
  • Automatisch niet-compatibele resources afdwingen wanneer ze worden gemaakt

Met deze update is de optie afdwingen nu beschikbaar in de aanbevelingen voor het inschakelen van Azure Defender-abonnementen (zoals Azure Defender voor App Service moet zijn ingeschakeld, Azure Defender voor Key Vault moet zijn ingeschakeld, Azure Defender voor Storage moet zijn ingeschakeld).

Meer informatie over deze opties vindt u in Onjuiste configuraties voorkomen met aanbevelingen voor afdwingen/weigeren.

CSV-exports van aanbevelingsgegevens zijn nu beperkt tot 20 MB

We stellen een limiet van 20 MB in bij het exporteren van aanbevelingen van Security Center.

De knop CSV-rapport downloaden van Security Center om aanbevelingsgegevens te exporteren.

Als u grotere hoeveelheden gegevens wilt exporteren, gebruikt u de beschikbare filters voordat u deze selecteert of selecteert u subsets van uw abonnementen en downloadt u de gegevens in batches.

Abonnementen filteren in Azure Portal.

Meer informatie over het uitvoeren van een CSV-export van uw beveiligingsaan aanbevelingen.

De pagina Aanbevelingen bevat nu meerdere weergaven

De pagina aanbevelingen bevat nu twee tabbladen om alternatieve manieren te bieden om de aanbevelingen weer te geven die relevant zijn voor uw resources:

  • Aanbevelingen voor beveiligingsscore : gebruik dit tabblad om de lijst met aanbevelingen weer te geven die zijn gegroepeerd op beveiligingsbeheer. Meer informatie over deze besturingselementen vindt u in beveiligingscontroles en hun aanbevelingen.
  • Alle aanbevelingen : gebruik dit tabblad om de lijst met aanbevelingen weer te geven als een platte lijst. Dit tabblad is ook handig om te begrijpen welk initiatief (inclusief standaarden voor naleving van regelgeving) de aanbeveling heeft gegenereerd. Meer informatie over initiatieven en hun relatie met aanbevelingen in Wat zijn beveiligingsbeleid, initiatieven en aanbevelingen?

Tabbladen om de weergave van de lijst met aanbevelingen in Azure Security Center te wijzigen.

Juli 2021

De updates in juli zijn onder meer:

Azure Sentinel-connector bevat nu optionele bidirectionele waarschuwingssynchronisatie (in preview)

Security Center integreert systeemeigen met Azure Sentinel, de cloudeigen SIEM- en SOAR-oplossing van Azure.

Azure Sentinel bevat ingebouwde connectors voor Azure Security Center op abonnements- en tenantniveau. Meer informatie in Stream-waarschuwingen voor Azure Sentinel.

Wanneer u Azure Defender verbindt met Azure Sentinel, wordt de status van Azure Defender-waarschuwingen die worden opgenomen in Azure Sentinel gesynchroniseerd tussen de twee services. Als een waarschuwing bijvoorbeeld wordt gesloten in Azure Defender, wordt die waarschuwing ook weergegeven als gesloten in Azure Sentinel. Het wijzigen van de status van een waarschuwing in Azure Defender heeft geen invloed op de status van Azure Sentinel-incidenten die de gesynchroniseerde Azure Sentinel-waarschuwing bevatten, alleen die van de gesynchroniseerde waarschuwing zelf.

Wanneer u synchronisatie van preview-functies voor bidirectionele waarschuwingen inschakelt, wordt de status van de oorspronkelijke Azure Defender-waarschuwingen automatisch gesynchroniseerd met Azure Sentinel-incidenten die kopieën van deze Azure Defender-waarschuwingen bevatten. Wanneer bijvoorbeeld een Azure Sentinel-incident met een Azure Defender-waarschuwing wordt gesloten, sluit Azure Defender automatisch de bijbehorende oorspronkelijke waarschuwing.

Meer informatie vindt u in Azure Defender-waarschuwingen verbinden vanuit Azure Security Center.

Logische reorganisatie van Azure Defender voor Resource Manager-waarschuwingen

De onderstaande waarschuwingen zijn opgegeven als onderdeel van het Azure Defender for Resource Manager-plan .

Als onderdeel van een logische reorganisatie van sommige Azure Defender-abonnementen hebben we enkele waarschuwingen van Azure Defender voor Resource Manager verplaatst naar Azure Defender voor Servers.

De waarschuwingen zijn ingedeeld op basis van twee hoofdprincipes:

  • Waarschuwingen die beveiliging op besturingsvlak bieden , in veel Azure-resourcetypen, maken deel uit van Azure Defender voor Resource Manager
  • Waarschuwingen die specifieke workloads beveiligen, bevinden zich in het Azure Defender-plan dat betrekking heeft op de bijbehorende workload

Dit zijn de waarschuwingen die deel uitmaken van Azure Defender voor Resource Manager en die als gevolg van deze wijziging nu deel uitmaken van Azure Defender voor Servers:

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

Meer informatie over de abonnementen Azure Defender voor Resource Manager en Azure Defender for Servers .

Verbeteringen aan aanbeveling om Azure Disk Encryption (ADE) in te schakelen

Na feedback van gebruikers hebben we de naam van de aanbeveling Schijfversleuteling op virtuele machines toegepast.

De nieuwe aanbeveling maakt gebruik van dezelfde evaluatie-id en wordt virtuele machines genoemd , moeten tijdelijke schijven, caches en gegevensstromen tussen compute- en opslagresources versleutelen.

De beschrijving is ook bijgewerkt om het doel van deze harding aanbeveling beter uit te leggen:

Aanbeveling Beschrijving Ernst
Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld in rust met behulp van door platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Zie de vergelijking van verschillende schijfversleutelingstechnologieën in Azure voor meer informatie.
Gebruik Azure Disk Encryption om al deze gegevens te versleutelen. Negeer deze aanbeveling als: (1) u de functie voor versleuteling op de host gebruikt of (2) versleuteling aan de serverzijde op beheerde schijven voldoet aan uw beveiligingsvereisten. Meer informatie over versleuteling aan de serverzijde van Azure Disk Storage.
Hoog

Continue export van beveiligingsscore- en regelgevingsnalevingsgegevens die zijn vrijgegeven voor algemene beschikbaarheid (GA)

Continue export biedt het mechanisme voor het exporteren van uw beveiligingswaarschuwingen en aanbevelingen voor het bijhouden met andere bewakingshulpprogramma's in uw omgeving.

Wanneer u uw continue export instelt, configureert u wat er wordt geëxporteerd en waar deze naartoe gaat. Meer informatie vindt u in het overzicht van continue export.

We hebben deze functie in de loop van de tijd uitgebreid en uitgebreid:

  • In november 2020 hebben we de preview-optie toegevoegd om wijzigingen in uw beveiligingsscore te streamen.

  • In december 2020 hebben we de preview-optie toegevoegd om wijzigingen in uw nalevingsbeoordelingsgegevens voor regelgeving te streamen.

Met deze update worden deze twee opties uitgebracht voor algemene beschikbaarheid (GA).

Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving (GA)

In februari 2021 hebben we een derde voorbeeldgegevenstype toegevoegd aan de triggeropties voor uw werkstroomautomatiseringen: wijzigingen in nalevingsevaluaties voor regelgeving. Meer informatie in werkstroomautomatiseringen kan worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving.

Met deze update wordt deze triggeroptie voor algemene beschikbaarheid (GA) uitgebracht.

Meer informatie over het gebruik van de hulpprogramma's voor werkstroomautomatisering in Reacties op Security Center-triggers automatiseren.

Wijzigingen in nalevingsevaluaties voor regelgeving gebruiken om een werkstroomautomatisering te activeren.

Evaluaties-API-veld FirstEvaluationDate en StatusChangeDate zijn nu beschikbaar in werkruimteschema's en logische apps

In mei 2021 hebben we de evaluatie-API bijgewerkt met twee nieuwe velden, FirstEvaluationDate en StatusChangeDate. Zie Evaluaties-API uitgebreid met twee nieuwe velden voor meer informatie.

Deze velden waren toegankelijk via de REST API, Azure Resource Graph, continue export en in CSV-exports.

Met deze wijziging maken we de informatie beschikbaar in het Log Analytics-werkruimteschema en van logische apps.

In maart hebben we de geïntegreerde Azure Monitor Workbooks-ervaring aangekondigd in Security Center (zie Azure Monitor Workbooks geïntegreerd in Security Center en drie sjablonen).

De eerste release bevat drie sjablonen voor het maken van dynamische en visuele rapporten over de beveiligingspostuur van uw organisatie.

We hebben nu een werkmap toegevoegd die is toegewezen aan het bijhouden van de naleving van een abonnement met de regelgevings- of branchestandaarden die erop zijn toegepast.

Meer informatie over het gebruik van deze rapporten of het bouwen van uw eigen rapporten in Uitgebreide, interactieve rapporten van Security Center-gegevens.

De naleving van Azure Security Center in de loop van de tijdswerkmap

Juni 2021

De updates in juni zijn onder meer:

Nieuwe waarschuwing voor Azure Defender voor Key Vault

Om de bedreigingsbeveiligingen van Azure Defender voor Key Vault uit te breiden, hebben we de volgende waarschuwing toegevoegd:

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactiek Ernst
Toegang vanaf een verdacht IP-adres naar een sleutelkluis
(KV_SuspiciousIPAccess)
Een sleutelkluis is geopend door een IP-adres dat is geïdentificeerd door Microsoft Threat Intelligence als een verdacht IP-adres. Dit kan erop wijzen dat uw infrastructuur is aangetast. We raden verder onderzoek aan. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. Referentietoegang Gemiddeld

Zie voor meer informatie:

Aanbevelingen voor het versleutelen met door de klant beheerde sleutels (CMK's) zijn standaard uitgeschakeld

Security Center bevat meerdere aanbevelingen voor het versleutelen van data-at-rest met door de klant beheerde sleutels, zoals:

  • Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
  • Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
  • Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)

Gegevens in Azure worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit vereist is voor naleving van een specifiek beleid dat uw organisatie kiest om af te dwingen.

Met deze wijziging worden de aanbevelingen voor het gebruik van CMK's nu standaard uitgeschakeld. Wanneer dit relevant is voor uw organisatie, kunt u deze inschakelen door de parameter Effect voor het bijbehorende beveiligingsbeleid te wijzigen in AuditIfNotExists of Afdwingen. Meer informatie vindt u in Een beveiligingsaanaanveling inschakelen.

Deze wijziging wordt weerspiegeld in de namen van de aanbeveling met een nieuw voorvoegsel , [Indien nodig inschakelen], zoals wordt weergegeven in de volgende voorbeelden:

  • [Inschakelen indien nodig] Opslagaccounts moeten door de klant beheerde sleutel gebruiken om data-at-rest te versleutelen
  • [Inschakelen indien nodig] Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
  • [Inschakelen indien nodig] Azure Cosmos DB-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen

Cmk-aanbevelingen van Security Center worden standaard uitgeschakeld.

Voorvoegsel voor Kubernetes-waarschuwingen is gewijzigd van 'AKS_' in 'K8S_'

Azure Defender voor Kubernetes is onlangs uitgebreid om Kubernetes-clusters te beveiligen die on-premises en in omgevingen met meerdere clouds worden gehost. Meer informatie in Azure Defender voor Kubernetes gebruiken voor het beveiligen van hybride kubernetes-implementaties met meerdere clouds (in preview).

Om aan te geven dat de beveiligingswaarschuwingen van Azure Defender voor Kubernetes niet langer zijn beperkt tot clusters in Azure Kubernetes Service, hebben we het voorvoegsel voor de waarschuwingstypen gewijzigd van 'AKS_' in 'K8S_'. Indien nodig zijn de namen en beschrijvingen ook bijgewerkt. Bijvoorbeeld deze waarschuwing:

Waarschuwing (waarschuwingstype) Beschrijving
Kubernetes-hulpprogramma voor penetratietests gedetecteerd
(AKS_PenTestToolsKubeHunter)
Kubernetes-auditlogboekanalyse heeft het gebruik van het kubernetes-hulpprogramma voor penetratietests in het AKS-cluster gedetecteerd. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers dergelijke openbare hulpprogramma's gebruiken voor schadelijke doeleinden.

Gewijzigd in deze waarschuwing:

Waarschuwing (waarschuwingstype) Beschrijving
Kubernetes-hulpprogramma voor penetratietests gedetecteerd
(K8S_PenTestToolsKubeHunter)
Kubernetes-auditlogboekanalyse heeft het gebruik van het kubernetes-hulpprogramma voor penetratietests in het Kubernetes-cluster gedetecteerd. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers dergelijke openbare hulpprogramma's gebruiken voor schadelijke doeleinden.

Onderdrukkingsregels die verwijzen naar waarschuwingen die beginnen met 'AKS_', worden automatisch geconverteerd. Als u SIEM-exports of aangepaste automatiseringsscripts hebt ingesteld die verwijzen naar Kubernetes-waarschuwingen op waarschuwingstype, moet u deze bijwerken met de nieuwe waarschuwingstypen.

Zie Waarschuwingen voor Kubernetes-clusters voor een volledige lijst met kubernetes-waarschuwingen.

Twee aanbevelingen van beveiligingsupdates toepassen van systeemupdates afgeschaft

De volgende twee aanbevelingen zijn afgeschaft:

  • De versie van het besturingssysteem moet worden bijgewerkt voor uw cloudservicerollen . Azure werkt uw gastbesturingssysteem standaard regelmatig bij naar de meest recente ondersteunde installatiekopieën binnen de besturingssysteemfamilie die u hebt opgegeven in uw serviceconfiguratie (.cscfg), zoals Windows Server 2016.
  • Kubernetes Services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie . De evaluaties van deze aanbeveling zijn niet zo breed als we willen. We zijn van plan de aanbeveling te vervangen door een verbeterde versie die beter is afgestemd op uw beveiligingsbehoeften.

Mei 2021

De updates in mei zijn onder meer:

Azure Defender voor DNS en Azure Defender voor Resource Manager uitgebracht voor algemene beschikbaarheid (GA)

Deze twee cloudeigen breedtebeveiligingsplannen voor bedreigingsbeveiliging zijn nu algemeen beschikbaar.

Deze nieuwe beschermingen verbeteren uw tolerantie tegen aanvullen van bedreigende actoren en vergroten het aantal Azure-resources dat wordt beschermd door Azure Defender.

Gebruik de aanbevelingen om het proces van het inschakelen van deze plannen te vereenvoudigen:

  • Azure Defender voor Resource Manager moet zijn ingeschakeld
  • Azure Defender voor DNS moet zijn ingeschakeld

Notitie

Als u Azure Defender-abonnementen inschakelt, worden kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center.

Azure Defender voor opensource relationele databases die zijn uitgebracht voor algemene beschikbaarheid (GA)

Azure Security Center breidt de aanbieding voor SQL-beveiliging uit met een nieuwe bundel voor uw opensource-relationele databases:

  • Azure Defender voor Azure SQL-databaseservers: hiermee beveiligt u uw systeemeigen SQL-servers in Azure
  • Azure Defender voor SQL-servers op computers: hiermee breidt u dezelfde beveiliging uit naar SQL-servers in hybride, multicloud- en on-premises omgevingen
  • Azure Defender voor opensource-relationele databases - verdedigt uw Azure Databases for MySQL-, PostgreSQL- en MariaDB-individuele servers

Azure Defender voor opensource relationele databases bewaakt voortdurend uw servers op beveiligingsrisico's en detecteert afwijkende databaseactiviteiten die potentiële bedreigingen voor Azure Database for MySQL, PostgreSQL en MariaDB aangeven. Enkele voorbeelden:

  • Gedetailleerde detectie van beveiligingsaanvallen : Azure Defender voor opensource-relationele databases biedt gedetailleerde informatie over pogingen en geslaagde beveiligingsaanvallen. Hiermee kunt u de aard en status van de aanval op uw omgeving onderzoeken en erop reageren.
  • Detectie van gedragswaarschuwingen : Azure Defender voor opensource-relationele databases waarschuwt u voor verdacht en onverwacht gedrag op uw servers, zoals wijzigingen in het toegangspatroon voor uw database.
  • Detectie op basis van bedreigingsinformatie: Azure Defender past de bedreigingsinformatie van Microsoft en de uitgebreide knowledge base toe om bedreigingswaarschuwingen weer te geven, zodat u er actie op kunt ondernemen.

Meer informatie vindt u in Inleiding tot Azure Defender voor opensource-relationele databases.

Nieuwe waarschuwingen voor Azure Defender voor Resource Manager

Om de bedreigingsbeveiligingen van Azure Defender voor Resource Manager uit te breiden, hebben we de volgende waarschuwingen toegevoegd:

Waarschuwing (waarschuwingstype) Beschrijving MITRE-tactieken Ernst
Machtigingen verleend voor een RBAC-rol op een ongebruikelijke manier voor uw Azure-omgeving (preview)
(ARM_AnomalousRBACRoleAssignment)
Azure Defender voor Resource Manager heeft een RBAC-roltoewijzing gedetecteerd die ongebruikelijk is in vergelijking met andere toewijzingen die worden uitgevoerd door dezelfde toegewezen/uitgevoerd voor dezelfde toegewezen gebruiker/in uw tenant vanwege de volgende afwijkingen: toewijzingstijd, toewijzingslocatie, toegewezen locatie, verificatiemethode, toegewezen entiteiten, gebruikte clientsoftware, toewijzingsbereik. Deze bewerking is mogelijk uitgevoerd door een legitieme gebruiker in uw organisatie. Het kan ook aangeven dat een account in uw organisatie is geschonden en dat de bedreigingsacteur machtigingen probeert te verlenen aan een extra gebruikersaccount dat hij/zij bezit. Laterale beweging, defensieontduiking Gemiddeld
Bevoorrechte aangepaste rol gemaakt voor uw abonnement op een verdachte manier (preview)
(ARM_PrivilegedRoleDefinitionCreation)
Azure Defender voor Resource Manager heeft een verdachte definitie van een aangepaste rol met bevoegdheden in uw abonnement gedetecteerd. Deze bewerking is mogelijk uitgevoerd door een legitieme gebruiker in uw organisatie. Het kan ook aangeven dat een account in uw organisatie is geschonden en dat de bedreigingsacteur probeert een bevoorrechte rol te maken die in de toekomst moet worden gebruikt om detectie te omzeilen. Laterale beweging, defensieontduiking Beperkt
Azure Resource Manager-bewerking vanaf verdacht IP-adres (preview)
(ARM_OperationFromSuspiciousIP)
Azure Defender voor Resource Manager heeft een bewerking gedetecteerd vanaf een IP-adres dat is gemarkeerd als verdacht in feeds voor bedreigingsinformatie. Uitvoering Gemiddeld
Azure Resource Manager-bewerking vanaf verdacht IP-adres van proxy (preview)
(ARM_OperationFromSuspiciousProxyIP)
Azure Defender voor Resource Manager heeft een bewerking voor resourcebeheer gedetecteerd vanaf een IP-adres dat is gekoppeld aan proxyservices, zoals TOR. Hoewel dit gedrag legitiem kan zijn, wordt dit vaak gezien in schadelijke activiteiten, wanneer bedreigingsactoren proberen hun bron-IP te verbergen. Verdedigingsontduiking Gemiddeld

Zie voor meer informatie:

CI/CD-beveiligingsproblemen scannen van containerinstallatiekopieën met GitHub-werkstromen en Azure Defender (preview)

Azure Defender voor containerregisters biedt nu de waarneembaarheid van DevSecOps-teams in GitHub Actions-werkstromen.

De nieuwe functie voor het scannen van beveiligingsproblemen voor containerinstallatiekopieën, waarbij Trivy wordt gebruikt, helpt u bij het scannen op veelvoorkomende beveiligingsproblemen in hun containerinstallatiekopieën voordat u installatiekopieën naar containerregisters pusht.

Containerscanrapporten worden samengevat in Azure Security Center, zodat beveiligingsteams beter inzicht krijgen in en inzicht krijgen in de bron van kwetsbare containerinstallatiekopieën en de werkstromen en opslagplaatsen van waaruit ze afkomstig zijn.

Meer informatie over het identificeren van kwetsbare containerinstallatiekopieën in uw CI/CD-werkstromen.

Meer Resource Graph-query's beschikbaar voor enkele aanbevelingen

Alle aanbevelingen van Security Center hebben de mogelijkheid om de informatie over de status van betrokken resources weer te geven met behulp van Azure Resource Graph vanuit de Open-query. Zie Aanbevelingsgegevens bekijken in Azure Resource Graph Explorer voor meer informatie over deze krachtige functie.

Security Center bevat ingebouwde scanners voor beveiligingsproblemen om uw VM's, SQL-servers en hun hosts en containerregisters te scannen op beveiligingsproblemen. De resultaten worden geretourneerd als aanbevelingen met alle afzonderlijke bevindingen voor elk resourcetype dat in één weergave is verzameld. De aanbevelingen zijn:

  • Beveiligingsproblemen met installatiekopieën in Azure Container Registry moeten worden hersteld (mogelijk gemaakt door Qualys)
  • Beveiligingsproblemen op uw virtuele machines moeten worden hersteld
  • SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost
  • SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost

Met deze wijziging kunt u de knop Query openen gebruiken om ook de query te openen met de beveiligingsresultaten.

De knop Query openen biedt nu opties voor een diepere query met de beveiligingsresultaten voor aanbevelingen voor beveiligingsscanners.

De knop Query openen biedt aanvullende opties voor enkele andere aanbevelingen, indien relevant.

Meer informatie over de scanners voor beveiligingsproblemen van Security Center:

De ernst van de aanbeveling voor SQL-gegevensclassificatie is gewijzigd

De ernst van de aanbeveling gevoelige gegevens in uw SQL-databases moet worden geclassificeerd van Hoog naar Laag.

Dit maakt deel uit van een doorlopende wijziging van deze aanbeveling die wordt aangekondigd op onze aanstaande pagina met wijzigingen.

Nieuwe aanbevelingen voor het inschakelen van vertrouwde startmogelijkheden (in preview)

Azure biedt vertrouwde lancering als een naadloze manier om de beveiliging van VM's van de tweede generatie te verbeteren. Vertrouwde lancering beschermt tegen geavanceerde en permanente aanvalstechnieken. Vertrouwde lancering bestaat uit verschillende, gecoördineerde infrastructuurtechnologieën die onafhankelijk van elkaar kunnen worden ingeschakeld. Elke technologie biedt een andere verdedigingslaag tegen geavanceerde bedreigingen. Meer informatie over vertrouwde lancering voor virtuele Azure-machines.

Belangrijk

Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist. U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze.

Vertrouwde start is momenteel beschikbaar als openbare preview. De preview wordt geleverd zonder service level agreement en wordt niet aanbevolen voor productieworkloads. Misschien worden bepaalde functies niet ondersteund of zijn de mogelijkheden ervan beperkt.

De aanbeveling van Security Center, vTPM moet zijn ingeschakeld op ondersteunde virtuele machines, zorgt ervoor dat uw Virtuele Azure-machines een vTPM gebruiken. Deze gevirtualiseerde versie van een vertrouwde platformmodule voor hardware maakt attestation mogelijk door de volledige opstartketen van uw VM (UEFI, BESTURINGSSYSTEEM, systeem en stuurprogramma's) te meten.

Als de vTPM is ingeschakeld, kan de extensie Voor gastat attestation de beveiligde opstart op afstand valideren. De volgende aanbevelingen zorgen ervoor dat deze extensie wordt geïmplementeerd:

  • Beveiligd opstarten moet zijn ingeschakeld op ondersteunde virtuele Windows-machines
  • De Gast attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Windows-machines
  • De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde Windows Virtual Machine Scale Sets
  • De Gastat attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines
  • De gastattestextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machineschaalsets

Meer informatie over vertrouwde lancering voor virtuele Azure-machines.

Nieuwe aanbevelingen voor het beveiligen van Kubernetes-clusters (in preview)

Met de volgende aanbevelingen kunt u uw Kubernetes-clusters verder beveiligen

  • Kubernetes-clusters mogen de standaardnaamruimte niet gebruiken: om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen, voorkomt u het gebruik van de standaardnaamruimte in Kubernetes-clusters.
  • Kubernetes-clusters moeten automatisch koppelen van API-referenties uitschakelen: als u wilt voorkomen dat een mogelijk aangetaste Pod-resource API-opdrachten uitvoert op Kubernetes-clusters, schakelt u automatisch koppelen van API-referenties uit.
  • Kubernetes-clusters mogen geen CAPSYSADMIN-beveiligingsmogelijkheden verlenen

Meer informatie over hoe Security Center uw containeromgevingen kan beveiligen in containerbeveiliging in Security Center.

Evaluaties-API uitgebreid met twee nieuwe velden

We hebben de volgende twee velden toegevoegd aan de Evaluaties REST API:

  • FirstEvaluationDate : de tijd dat de aanbeveling is gemaakt en voor het eerst is geëvalueerd. Geretourneerd als UTC-tijd in ISO 8601-indeling.
  • StatusChangeDate : het tijdstip waarop de status van de aanbeveling voor het laatst is gewijzigd. Geretourneerd als UTC-tijd in ISO 8601-indeling.

De initiële standaardwaarde voor deze velden , voor alle aanbevelingen , is 2021-03-14T00:00:00+0000000Z.

Voor toegang tot deze informatie kunt u een van de methoden in de onderstaande tabel gebruiken.

Hulpprogramma DETAILS
REST API-aanroep GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph securityresources
where type == "microsoft.security/assessments"
Continue export De twee toegewezen velden zijn beschikbaar voor de Log Analytics-werkruimtegegevens
CSV-export De twee velden zijn opgenomen in de CSV-bestanden

Meer informatie over de EVALUATIES REST API.

Asset-inventaris haalt een cloudomgevingsfilter op

De inventarispagina van Security Center biedt veel filters om de weergegeven lijst met resources snel te verfijnen. Voor meer informatie raadpleegt u Uw resources verkennen en beheren met assetvoorraad.

Een nieuw filter biedt de mogelijkheid om de lijst te verfijnen op basis van de cloudaccounts die u hebt verbonden met de functies voor meerdere clouds van Security Center:

Omgevingsfilter van inventaris

Meer informatie over de mogelijkheden voor meerdere clouds:

April 2021

De updates in april zijn onder meer:

Pagina voor vernieuwde resourcestatus (in preview)

Resourcestatus is uitgebreid, verbeterd en verbeterd om een momentopnameweergave te bieden van de algehele status van één resource.

U kunt gedetailleerde informatie bekijken over de resource en alle aanbevelingen die van toepassing zijn op die resource. Als u gebruikmaakt van de geavanceerde beveiligingsplannen van Microsoft Defender, ziet u ook openstaande beveiligingswaarschuwingen voor die specifieke resource.

Als u de resourcestatuspagina voor een resource wilt openen, selecteert u een resource op de pagina assetinventaris.

Deze voorbeeldpagina op de portalpagina's van Security Center toont:

  1. Resourcegegevens : de resourcegroep en het abonnement waaraan deze is gekoppeld, de geografische locatie en meer.
  2. Toegepaste beveiligingsfunctie : of Azure Defender is ingeschakeld voor de resource.
  3. Aantal openstaande aanbevelingen en waarschuwingen : het aantal openstaande beveiligingsaanbevelingen en Azure Defender-waarschuwingen.
  4. Bruikbare aanbevelingen en waarschuwingen : op twee tabbladen worden de aanbevelingen en waarschuwingen vermeld die van toepassing zijn op de resource.

De resourcestatuspagina van Azure Security Center met de statusgegevens voor een virtuele machine

Meer informatie in zelfstudie: De status van uw resources onderzoeken.

Containerregisterinstallatiekopieën die onlangs zijn opgehaald, worden nu wekelijks opnieuw gescand (vrijgegeven voor algemene beschikbaarheid ))

Azure Defender voor containerregisters bevat een ingebouwde scanner voor beveiligingsproblemen. Deze scanner scant onmiddellijk elke installatiekopie die u naar uw register pusht en elke installatiekopie die in de afgelopen 30 dagen is opgehaald.

Er worden elke dag nieuwe beveiligingsproblemen gedetecteerd. Met deze update worden containerinstallatiekopieën die tijdens de afgelopen 30 dagen zijn opgehaald uit uw registers, elke week opnieuw gescand . Dit zorgt ervoor dat nieuw gedetecteerde beveiligingsproblemen worden geïdentificeerd in uw installatiekopieën.

Scannen wordt per afbeelding in rekening gebracht, dus er worden geen extra kosten in rekening gebracht voor deze nieuwe scans.

Meer informatie over deze scanner in Azure Defender gebruiken voor containerregisters om uw installatiekopieën te scannen op beveiligingsproblemen.

Azure Defender voor Kubernetes gebruiken om kubernetes-implementaties met meerdere clouds te beveiligen (in preview)

Azure Defender voor Kubernetes breidt de mogelijkheden voor bedreigingsbeveiliging uit om uw clusters te beschermen waar ze ook worden geïmplementeerd. Dit is ingeschakeld door integratie met Kubernetes met Azure Arc en de nieuwe uitbreidingsmogelijkheden.

Wanneer u Azure Arc hebt ingeschakeld voor uw niet-Azure Kubernetes-clusters, wordt met slechts enkele klikken een nieuwe aanbeveling van Azure Security Center aangeboden om de Azure Defender-agent hierop te implementeren.

Gebruik de aanbeveling (Kubernetes-clusters met Azure Arc moeten de extensie van Azure Defender hebben geïnstalleerd) en de extensie om Kubernetes-clusters te beveiligen die zijn geïmplementeerd in andere cloudproviders, maar niet op hun beheerde Kubernetes-services.

Deze integratie tussen Azure Security Center, Azure Defender en Kubernetes met Azure Arc biedt:

  • Eenvoudig inrichten van de Azure Defender-agent voor niet-beveiligde Kubernetes-clusters met Azure Arc (handmatig en op schaal)
  • Bewaking van de Azure Defender-agent en de inrichtingsstatus van de Azure Arc-portal
  • Beveiligingsaan aanbevelingen van Security Center worden gerapporteerd op de nieuwe beveiligingspagina van Azure Arc Portal
  • Geïdentificeerde beveiligingsrisico's van Azure Defender worden gerapporteerd op de nieuwe pagina Beveiliging van azure Arc Portal
  • Kubernetes-clusters met Azure Arc zijn geïntegreerd in het Azure Security Center-platform en -ervaring

Meer informatie in Azure Defender voor Kubernetes gebruiken met uw on-premises kubernetes-clusters en multicloudclusters.

De aanbeveling van Azure Security Center voor het implementeren van de Azure Defender-agent voor Kubernetes-clusters met Azure Arc.

Microsoft Defender voor Eindpunt integratie met Azure Defender ondersteunt nu Windows Server 2019 en Windows 10 op Windows Virtual Desktop die zijn uitgebracht voor algemene beschikbaarheid (GA)

Microsoft Defender voor Eindpunt is een holistische cloudoplossing voor eindpuntbeveiliging. Het biedt risicogebaseerd beveiligingsbeheer en -evaluatie, evenals eindpuntdetectie en -respons (EDR). Zie Uw eindpunten beveiligen met de geïntegreerde EDR-oplossing van Security Center: Microsoft Defender voor Eindpunt voor een volledige lijst met de voordelen van het gebruik van Defender voor Eindpunt in combinatie met Azure Security Center.

Wanneer u Azure Defender voor Servers met Windows Server inschakelt, wordt er een licentie voor Defender voor Eindpunt opgenomen in het plan. Als u Azure Defender voor Servers al hebt ingeschakeld en u Windows Server 2019-servers in uw abonnement hebt, ontvangen ze automatisch Defender voor Eindpunt met deze update. Er is geen handmatige actie vereist.

De ondersteuning is nu uitgebreid met Windows Server 2019 en Windows 10 op Windows Virtual Desktop.

Notitie

Als u Defender voor Eindpunt inschakelt op een Windows Server 2019-server, controleert u of deze voldoet aan de vereisten die worden beschreven in De integratie van de Microsoft Defender voor Eindpunt inschakelen.

Aanbevelingen voor het inschakelen van Azure Defender voor DNS en Resource Manager (in preview)

Er zijn twee nieuwe aanbevelingen toegevoegd om het proces voor het inschakelen van Azure Defender voor Resource Manager en Azure Defender voor DNS te vereenvoudigen:

  • Azure Defender voor Resource Manager moet zijn ingeschakeld : Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten.
  • Azure Defender voor DNS moet zijn ingeschakeld : Defender voor DNS biedt een extra beveiligingslaag voor uw cloudresources door voortdurend alle DNS-query's van uw Azure-resources te bewaken. Azure Defender waarschuwt u voor verdachte activiteiten op de DNS-laag.

Als u Azure Defender-abonnementen inschakelt, worden kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center.

Tip

Preview-aanbevelingen zorgen er niet voor dat een resource als beschadigd wordt weergegeven en ze worden niet opgenomen in de berekeningen van uw beveiligde score. Herstel ze waar mogelijk, zodat zij wanneer de preview-periode afloopt zullen bijdragen aan uw score. Zie Aanbevelingen oplossen in Azure Security Center voor meer informatie over hoe u kunt reageren op deze aanbevelingen.

Er zijn drie nalevingsstandaarden toegevoegd voor regelgeving: Azure CIS 1.3.0, CMMC Level 3 en New Zealand ISM Restricted

We hebben drie standaarden toegevoegd voor gebruik met Azure Security Center. Met behulp van het dashboard voor naleving van regelgeving kunt u nu uw naleving bijhouden met:

U kunt deze toewijzen aan uw abonnementen, zoals beschreven in De set standaarden aanpassen in uw nalevingsdashboard voor regelgeving.

Er zijn drie standaarden toegevoegd voor gebruik met het nalevingsdashboard voor regelgeving van Azure Security Center.

Meer informatie vindt u in:

De gastconfiguratie-extensie van Azure rapporteert aan Security Center om ervoor te zorgen dat de in-gastinstellingen van uw virtuele machines worden beveiligd. De extensie is niet vereist voor Arc-servers omdat de extensie is opgenomen in de Arc Connected Machine-agent. Voor de extensie is een door het systeem beheerde identiteit op de computer vereist.

We hebben vier nieuwe aanbevelingen toegevoegd aan Security Center om optimaal gebruik te maken van deze extensie.

  • In twee aanbevelingen wordt u gevraagd om de extensie en de vereiste door het systeem beheerde identiteit te installeren:

    • De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd
    • De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit
  • Wanneer de extensie is geïnstalleerd en wordt uitgevoerd, wordt u gevraagd uw computers te controleren en wordt u gevraagd om instellingen te beveiligen, zoals de configuratie van het besturingssysteem en de omgevingsinstellingen. Deze twee aanbevelingen vragen u om uw Windows- en Linux-machines te beveiligen zoals beschreven:

    • Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers
    • Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist

Meer informatie vindt u in de gastconfiguratie van Azure Policy.

CMK-aanbevelingen zijn verplaatst naar aanbevolen procedures voor beveiligingsbeheer

Het beveiligingsprogramma van elke organisatie bevat vereisten voor gegevensversleuteling. Standaard worden de gegevens van Azure-klanten in rust versleuteld met door de service beheerde sleutels. Door de klant beheerde sleutels (CMK) zijn echter vaak vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met CMK's kunt u uw gegevens versleutelen met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. Dit geeft u volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, inclusief rotatie en beheer.

De beveiligingscontroles van Azure Security Center zijn logische groepen gerelateerde beveiligingsaanbevelingen en weerspiegelen uw kwetsbare kwetsbaarheid voor aanvallen. Elk besturingselement heeft een maximum aantal punten dat u aan uw beveiligingsscore kunt toevoegen als u alle aanbevelingen in het besturingselement herstelt voor al uw resources. Het beveiligingsbeheer voor aanbevolen beveiligingsprocedures implementeren is nul punten waard. Aanbevelingen in dit besturingselement hebben dus geen invloed op uw beveiligingsscore.

De onderstaande aanbevelingen worden verplaatst naar het beveiligingsbeheer voor aanbevolen beveiligingsprocedures implementeren om hun optionele aard beter weer te geven. Deze verplaatsing zorgt ervoor dat deze aanbevelingen zich in de meest geschikte controle bevinden om te voldoen aan hun doelstelling.

  • Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
  • Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
  • Azure AI-servicesaccounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel (CMK)
  • Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
  • Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
  • Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
  • Voor opslagaccounts moet een CMK (door de klant beheerde sleutel) worden gebruikt voor versleuteling

Voor meer informatie over welke aanbevelingen zich in elk beveiligingsbeheer bevinden, raadpleegt u Beveiligingscontroles en de bijbehorende aanbevelingen.

11 Azure Defender-waarschuwingen afgeschaft

De hieronder vermelde elf Azure Defender-waarschuwingen zijn afgeschaft.

  • Nieuwe waarschuwingen vervangen deze twee waarschuwingen en bieden een betere dekking:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo PREVIEW - De functie Get-AzureDomainInfo van de MicroBurst-toolkit gedetecteerd
    ARM_MicroBurstRunbook PREVIEW - De functie Get-AzurePasswords van de MicroBurst-toolkit gedetecteerd
  • Deze negen waarschuwingen hebben betrekking op een Azure Active Directory Identity Protection-connector (IPC) die al is afgeschaft:

    AlertType AlertDisplayName
    UnfamiliarLocation Onbekende aanmeldingseigenschappen
    AnonymousLogin Anoniem IP-adres
    InfectedDeviceLogin Aan malware gekoppeld IP-adres
    ImpossibleTravel Ongewoon traject
    MaliciousIP Schadelijk IP-adres
    GelekteCredentials Gelekte referenties
    PasswordSpray Wachtwoordspray
    GelekteCredentials Azure AD-bedreigingsinformatie
    AADAI Azure AD AI

    Tip

    Deze negen IPC-waarschuwingen waren nooit Security Center-waarschuwingen. Ze maken deel uit van de Azure Active Directory (AAD) Identity Protection-connector (IPC) die ze naar Security Center heeft verzonden. De afgelopen twee jaar zijn de enige klanten die deze waarschuwingen zien organisaties die de export (van de connector naar ASC) in 2019 of eerder hebben geconfigureerd. AAD IPC heeft deze blijven weergeven in zijn eigen waarschuwingssystemen en ze zijn nog steeds beschikbaar in Azure Sentinel. De enige wijziging is dat ze niet meer worden weergegeven in Security Center.

Er zijn twee aanbevelingen van beveiligingsupdates voor het toepassen van systeemupdates afgeschaft

De volgende twee aanbevelingen zijn afgeschaft en de wijzigingen kunnen leiden tot een lichte impact op uw beveiligingsscore:

  • Uw machines moeten opnieuw worden opgestart om systeemupdates toe te passen
  • De bewakingsagent moet op uw machines worden geïnstalleerd. Deze aanbeveling heeft alleen betrekking op on-premises machines en een deel van de logica wordt overgedragen naar een andere aanbeveling. Problemen met de status van de Log Analytics-agent moeten worden opgelost op uw computers

U wordt aangeraden uw configuraties voor continue export en werkstroomautomatisering te controleren om te zien of deze aanbevelingen erin zijn opgenomen. Daarnaast moeten dashboards of andere hulpprogramma's voor bewaking die hiervan gebruik kunnen maken, dienovereenkomstig worden bijgewerkt.

Tegel Van Azure Defender voor SQL op machine verwijderd uit het Azure Defender-dashboard

Het dekkingsgebied van het Azure Defender-dashboard bevat tegels voor de relevante Azure Defender-abonnementen voor uw omgeving. Vanwege een probleem met het rapporteren van het aantal beveiligde en niet-beveiligde resources, hebben we besloten om tijdelijk de status van de resourcedekking voor Azure Defender voor SQL op computers te verwijderen totdat het probleem is opgelost.

Aanbevelingen die zijn verplaatst tussen beveiligingscontroles

De volgende aanbevelingen zijn verplaatst naar verschillende beveiligingscontroles. Beveiligingscontroles zijn logische groepen gerelateerde beveiligingsaanbevelingen en weerspiegelen uw kwetsbare kwetsbaarheid voor aanvallen. Deze stap zorgt ervoor dat elk van deze aanbevelingen zich in de meest geschikte controle bevindt om te voldoen aan het doel ervan.

Voor meer informatie over welke aanbevelingen zich in elk beveiligingsbeheer bevinden, raadpleegt u Beveiligingscontroles en de bijbehorende aanbevelingen.

Aanbeveling Wijziging en impact
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers
De evaluatie van beveiligingsproblemen moet worden ingeschakeld voor uw beheerde SQL-exemplaren
Beveiligingsproblemen in uw SQL-databases moeten worden hersteld
Beveiligingsproblemen op uw SQL-databases in VM's moeten worden hersteld
Overstappen van beveiligingsproblemen herstellen (zes punten waard)
om beveiligingsconfiguraties te herstellen (vier punten waard).
Afhankelijk van uw omgeving hebben deze aanbevelingen een verminderde impact op uw score.
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement
Automation-accountvariabelen moeten worden versleuteld
IoT-apparaten : het gecontroleerde proces heeft het verzenden van gebeurtenissen gestopt
IoT-apparaten: validatiefout voor besturingssysteembasislijn
IoT-apparaten : upgrade van TLS-coderingssuite vereist
IoT-apparaten - Poorten op apparaat openen
IoT-apparaten : het permissieve firewallbeleid in een van de ketens is gevonden
IoT-apparaten: een missieve firewallregel in de invoerketen is gevonden
IoT-apparaten: er is een permissieve firewallregel in de uitvoerketen gevonden
Diagnostische logboeken in IoT Hub moeten zijn ingeschakeld
IoT-apparaten - Agent die onderbenutte berichten verzendt
IoT-apparaten: standaard-IP-filterbeleid moet worden geweigerd
IoT-apparaten - IP-filterregel groot IP-bereik
IoT-apparaten: intervallen en grootte van agentberichten moeten worden aangepast
IoT-apparaten - Identieke verificatiereferenties
IoT-apparaten : gecontroleerd proces stopt met het verzenden van gebeurtenissen
IoT-apparaten: de basislijnconfiguratie van het besturingssysteem (OS) moet worden opgelost
Overstappen op het implementeren van best practices voor beveiliging.
Wanneer een aanbeveling wordt verplaatst naar het beveiligingsbeheer voor aanbevolen beveiligingsprocedures implementeren, wat geen punten waard is, heeft de aanbeveling geen invloed meer op uw beveiligingsscore.

Maart 2021

Updates in maart zijn onder andere:

Azure Firewall-beheer geïntegreerd in Security Center

Wanneer u Azure Security Center opent, wordt als eerste de overzichtspagina weergegeven.

Dit interactieve dashboard biedt een uniforme weergave van de beveiligingspostuur van uw hybride cloudworkloads. Bovendien worden er naast andere informatie beveiligingswaarschuwingen en informatie over de dekking weergegeven.

Als onderdeel van het helpen bekijken van uw beveiligingsstatus vanuit een centrale ervaring, hebben we Azure Firewall Manager geïntegreerd in dit dashboard. U kunt nu de firewalldekkingsstatus controleren in alle netwerken en azure Firewall-beleid centraal beheren vanaf Security Center.

Meer informatie over dit dashboard vindt u op de overzichtspagina van Azure Security Center.

Overzichtsdashboard van Security Center met een tegel voor Azure Firewall

Evaluatie van SQL-beveiligingsproblemen bevat nu de ervaring 'Regel uitschakelen' (preview)

Security Center bevat een ingebouwde scanner voor beveiligingsproblemen om potentiële beveiligingsproblemen te detecteren, bij te houden en op te lossen. De resultaten van uw evaluatiescans bieden een overzicht van de beveiligingsstatus van uw SQL-machines en details van eventuele beveiligingsresultaten.

Als u een organisatorische behoefte hebt om een resultaat te negeren in plaats van dit te herstellen, kunt u het eventueel uitschakelen. Uitgeschakelde resultaten hebben geen invloed op uw beveiligingsscore en genereren geen ongewenste ruis.

Meer informatie vindt u in Specifieke bevindingen uitschakelen.

Azure Monitor-werkmappen geïntegreerd in Security Center en drie sjablonen

Als onderdeel van Ignite Spring 2021 hebben we een geïntegreerde Azure Monitor Workbooks-ervaring aangekondigd in Security Center.

U kunt de nieuwe integratie gebruiken om de standaardsjablonen uit de galerie van Security Center te gebruiken. Met behulp van werkmapsjablonen kunt u dynamische en visuele rapporten openen en bouwen om het beveiligingspostuur van uw organisatie bij te houden. Daarnaast kunt u nieuwe werkmappen maken op basis van Security Center-gegevens of andere ondersteunde gegevenstypen en snel communitywerkmappen implementeren vanuit de GitHub-community van Security Center.

Er zijn drie sjablonenrapporten beschikbaar:

  • Beveiligingsscore in de loop van de tijd : de scores en wijzigingen van uw abonnementen bijhouden in aanbevelingen voor uw resources
  • Systeemupdates : ontbrekende systeemupdates weergeven op resources, besturingssysteem, ernst en meer
  • Resultaten van evaluatie van beveiligingsproblemen - Bekijk de bevindingen van beveiligingsscans van uw Azure-resources

Meer informatie over het gebruik van deze rapporten of het bouwen van uw eigen rapporten in Uitgebreide, interactieve rapporten van Security Center-gegevens.

Beveiligingsscore in de loop van de tijd.

Dashboard naleving van regelgeving bevat nu Azure Audit-rapporten (preview)

Via de werkbalk van het dashboard voor naleving van regelgeving kunt u nu Azure- en Dynamics-certificeringsrapporten downloaden.

De werkbalk van het dashboard Naleving van regelgeving

U kunt het tabblad selecteren voor de relevante rapportentypen (PCI, SOC, ISO en andere) en filters gebruiken om de specifieke rapporten te vinden die u nodig hebt.

Meer informatie over het beheren van de standaarden in uw dashboard voor naleving van regelgeving.

De lijst met beschikbare Azure Audit-rapporten filteren.

Aanbevelingsgegevens kunnen worden weergegeven in Azure Resource Graph met Verkennen in ARG

De pagina's met aanbevelingsgegevens bevatten nu de werkbalkknop Verkennen in ARG. Gebruik deze knop om een Azure Resource Graph-query te openen en de gegevens van de aanbeveling te verkennen, exporteren en delen.

Azure Resource Graph (ARG) biedt directe toegang tot resourcegegevens in uw cloudomgevingen met robuuste filter-, groeperings- en sorteermogelijkheden. Het is een snelle en efficiënte manier om programmatisch of vanuit De Azure-portal query's uit te voeren op informatie over Azure-abonnementen.

Meer informatie over Azure Resource Graph.

Verken aanbevelingsgegevens in Azure Resource Graph.

Updates voor het beleid voor het implementeren van werkstroomautomatisering

Het automatiseren van de processen voor bewaking en reageren op incidenten van uw organisatie kan de tijd die nodig is om beveiligingsincidenten te onderzoeken en te verhelpen aanzienlijk verbeteren.

We bieden drie Azure Policy DeployIfNotExist-beleidsregels waarmee werkstroomautomatiseringsprocedures worden gemaakt en geconfigureerd, zodat u uw automatiseringen in uw organisatie kunt implementeren:

Goal Beleid Beleids-id
Werkstroomautomatisering voor beveiligingswaarschuwingen Werkstroomautomatisering implementeren voor Azure Security Center-waarschuwingen f1525828-9a90-4fcf-be48-268cdd02361e
Werkstroomautomatisering voor beveiligingsaanbevelingen Werkstroomautomatisering implementeren voor Azure Security Center-aanbevelingen 73d6ab6c-2475-4850-afd6-43795f3492ef
Werkstroomautomatisering voor wijzigingen in naleving van regelgeving Werkstroomautomatisering implementeren voor naleving van regelgeving in Azure Security Center 509122b9-ddd9-47ba-a5f1-d0dac20be63c

Er zijn twee updates voor de functies van dit beleid:

  • Wanneer ze worden toegewezen, blijven ze ingeschakeld door afdwinging.
  • U kunt deze beleidsregels nu aanpassen en alle parameters bijwerken, zelfs nadat ze al zijn geïmplementeerd. U kunt bijvoorbeeld een evaluatiesleutel toevoegen of bewerken.

Aan de slag met sjablonen voor werkstroomautomatisering.

Meer informatie over het automatiseren van reacties op Security Center-triggers.

Twee verouderde aanbevelingen schrijven geen gegevens meer rechtstreeks naar het Azure-activiteitenlogboek

Security Center geeft de gegevens door aan Azure Advisor, die op zijn beurt naar het Azure-activiteitenlogboek schrijft.

Voor twee aanbevelingen worden de gegevens tegelijkertijd rechtstreeks naar het Azure-activiteitenlogboek geschreven. Met deze wijziging stopt Security Center met het schrijven van gegevens voor deze verouderde beveiligingsaanaanvelingsaankopen rechtstreeks naar activiteitenlogboek. In plaats daarvan exporteren we de gegevens naar Azure Advisor, net als voor alle andere aanbevelingen.

De twee verouderde aanbevelingen zijn:

  • Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines
  • Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld

Als u toegang hebt tot gegevens voor deze twee aanbevelingen in de categorie Aanbeveling van het type TaskDiscovery van het activiteitenlogboek, is dit niet meer beschikbaar.

Verbeteringen op de pagina Aanbevelingen

We hebben een verbeterde versie van de lijst met aanbevelingen uitgebracht om in één oogopslag meer informatie weer te geven.

Nu ziet u op de pagina het volgende:

  1. De maximumscore en huidige score voor elk beveiligingsbeheer.
  2. Pictogrammen die tags vervangen, zoals Fix en Preview.
  3. Een nieuwe kolom met het beleidsinitiatief met betrekking tot elke aanbeveling, zichtbaar wanneer Groeperen op besturingselementen is uitgeschakeld.

Verbeteringen op de pagina met aanbevelingen van Azure Security Center - maart 2021

Verbeteringen aan de aanbevelingen van Azure Security Center - maart 2021

Meer informatie in Beveiligingsaanbevelingen in Azure Security Center.

Februari 2021

Updates in februari zijn onder andere:

De pagina Nieuwe beveiligingswaarschuwingen in Azure Portal die is uitgebracht voor algemene beschikbaarheid (GA)

De pagina beveiligingswaarschuwingen van Azure Security Center is opnieuw ontworpen om het volgende te bieden:

  • Verbeterde triage-ervaring voor waarschuwingen: om de vermoeidheid van waarschuwingen te verminderen en u te richten op de meest relevante bedreigingen, bevat de lijst aanpasbare filters en groeperingsopties.
  • Meer informatie in de lijst met waarschuwingen, zoals MITRE ATT&ACK-tactieken.
  • Knop voor het maken van voorbeeldwaarschuwingen : om de mogelijkheden van Azure Defender te evalueren en uw waarschuwingen te testen. configuratie (voor SIEM-integratie, e-mailmeldingen en werkstroomautomatiseringen), kunt u voorbeeldwaarschuwingen maken van alle Azure Defender-abonnementen.
  • Afstemming op de incidentervaring van Azure Sentinel: voor klanten die beide producten gebruiken, is het nu een eenvoudigere ervaring en is het eenvoudig om er een te leren.
  • Betere prestaties voor grote lijsten met waarschuwingen.
  • Toetsenbordnavigatie via de lijst met waarschuwingen.
  • Waarschuwingen van Azure Resource Graph: u kunt query's uitvoeren op waarschuwingen in Azure Resource Graph, de Kusto-achtige API voor al uw resources. Dit is ook handig als u uw eigen waarschuwingendashboards bouwt. Meer informatie over Azure Resource Graph.
  • Voorbeeldwaarschuwingenfunctie maken: zie Voorbeeldwaarschuwingen van Azure Defender genereren als u voorbeeldwaarschuwingen wilt maken op basis van de nieuwe waarschuwingen.

Aanbevelingen voor Kubernetes-workloadbeveiliging die zijn uitgebracht voor algemene beschikbaarheid (GA)

We kondigen de algemene beschikbaarheid (GA) van de set aanbevelingen voor Kubernetes-workloadbeveiligingen aan.

Om ervoor te zorgen dat Kubernetes-workloads standaard beveiligd zijn, heeft Security Center aanbevelingen voor beveiliging op Kubernetes-niveau toegevoegd, waaronder afdwingingsopties met Kubernetes-toegangsbeheer.

Wanneer Azure Policy voor Kubernetes is geïnstalleerd op uw AKS-cluster (Azure Kubernetes Service), wordt elke aanvraag naar de Kubernetes-API-server gecontroleerd op basis van de vooraf gedefinieerde set aanbevolen procedures ( weergegeven als 13 beveiligingsaanbevelingen) voordat deze wordt bewaard in het cluster. Vervolgens kunt u instellingen configureren om de aanbevolen procedures af te dwingen en ze te verplichten voor toekomstige workloads.

U kunt er bijvoorbeeld voor zorgen dat containers met machtigingen niet moeten worden gemaakt, en toekomstige aanvragen hiervoor worden dan geblokkeerd.

Meer informatie vindt u in Aanbevolen procedures voor workloadbeveiliging met behulp van Kubernetes Admission Control.

Notitie

Hoewel de aanbevelingen in preview waren, hebben ze geen AKS-clusterresource in orde gemaakt en zijn ze niet opgenomen in de berekeningen van uw beveiligingsscore. met deze algemene beschikbaarheidsaankondiging worden deze opgenomen in de scoreberekening. Als u ze nog niet hebt hersteld, kan dit leiden tot een lichte impact op uw beveiligingsscore. Herstel ze waar mogelijk, zoals beschreven in Aanbevelingen herstellen in Azure Security Center.

Microsoft Defender voor Eindpunt integratie met Azure Defender ondersteunt nu Windows Server 2019 en Windows 10 op Windows Virtual Desktop (in preview)

Microsoft Defender voor Eindpunt is een holistische cloudoplossing voor eindpuntbeveiliging. Het biedt risicogebaseerd beveiligingsbeheer en -evaluatie, evenals eindpuntdetectie en -respons (EDR). Zie Uw eindpunten beveiligen met de geïntegreerde EDR-oplossing van Security Center: Microsoft Defender voor Eindpunt voor een volledige lijst met de voordelen van het gebruik van Defender voor Eindpunt in combinatie met Azure Security Center.

Wanneer u Azure Defender voor Servers met Windows Server inschakelt, wordt er een licentie voor Defender voor Eindpunt opgenomen in het plan. Als u Azure Defender voor Servers al hebt ingeschakeld en u Windows Server 2019-servers in uw abonnement hebt, ontvangen ze automatisch Defender voor Eindpunt met deze update. Er is geen handmatige actie vereist.

De ondersteuning is nu uitgebreid met Windows Server 2019 en Windows 10 op Windows Virtual Desktop.

Notitie

Als u Defender voor Eindpunt inschakelt op een Windows Server 2019-server, controleert u of deze voldoet aan de vereisten die worden beschreven in De integratie van de Microsoft Defender voor Eindpunt inschakelen.

Wanneer u de details van een aanbeveling bekijkt, is het vaak handig om het onderliggende beleid te kunnen zien. Voor elke aanbeveling die wordt ondersteund door een beleid, is er een nieuwe koppeling op de pagina met aanbevelingsgegevens:

Koppeling naar de Azure Policy-pagina voor het specifieke beleid dat een aanbeveling ondersteunt.

Gebruik deze koppeling om de beleidsdefinitie weer te geven en de evaluatielogica te controleren.

Aanbeveling voor SQL-gegevensclassificatie heeft geen invloed meer op uw beveiligingsscore

De aanbeveling Gevoelige gegevens in uw SQL-databases moeten worden geclassificeerd , heeft geen invloed meer op uw beveiligingsscore. Het beveiligingsbeheer Gegevensclassificatie toepassen die deze bevat, heeft nu een beveiligingsscorewaarde van 0.

Zie Beveiligingscontroles en hun aanbevelingen voor een volledige lijst met alle beveiligingscontroles, samen met hun scores en een lijst met de aanbevelingen.

Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in nalevingsevaluaties voor regelgeving (in preview)

We hebben een derde gegevenstype toegevoegd aan de triggeropties voor uw werkstroomautomatiseringen: wijzigingen in nalevingsbeoordelingen voor regelgeving.

Meer informatie over het gebruik van de hulpprogramma's voor werkstroomautomatisering in Reacties op Security Center-triggers automatiseren.

Wijzigingen in nalevingsevaluaties voor regelgeving gebruiken om een werkstroomautomatisering te activeren.

Verbeteringen op de pagina Assetinventaris

De inventarispagina van Security Center is verbeterd:

  • Samenvattingen boven aan de pagina bevatten nu niet-geregistreerde abonnementen, met het aantal abonnementen waarvoor Security Center niet is ingeschakeld.

    Het aantal niet-geregistreerde abonnementen in de samenvattingen boven aan de pagina assetinventaris.

  • Filters zijn uitgebreid en uitgebreid om het volgende op te nemen:

    • Aantal- Elk filter geeft het aantal resources weer dat voldoet aan de criteria van elke categorie

      Telt in de filters op de pagina assetinventaris van Azure Security Center.

    • Bevat het filter uitzonderingen (optioneel): beperkt de resultaten tot resources die geen uitzonderingen hebben. Dit filter wordt niet standaard weergegeven, maar is toegankelijk via de knop Filter toevoegen.

      Het filter 'bevat uitzondering' toevoegen op de inventarispagina van Azure Security Center

Meer informatie over het verkennen en beheren van uw resources met assetinventaris.

Januari 2021

Updates in januari zijn onder andere:

Azure Security Benchmark is nu het standaard beleidsinitiatief voor Azure Beveiligingscentrum

Azure Security Benchmark is de door Microsoft ontworpen, Azure-specifieke set richtlijnen voor best practices voor beveiliging en naleving op basis van algemene nalevingsframeworks. Deze algemeen gerespecteerde benchmark bouwt voort op de controles van het Center for Internet Security (CIS) en het National Institute of Standards and Technology (NIST) met een focus op cloudgerichte beveiliging.

De afgelopen maanden is de lijst met ingebouwde beveiligingsaanbevelingen van Security Center aanzienlijk gegroeid om onze dekking van deze benchmark uit te breiden.

Vanuit deze release vormt de benchmark de basis voor de aanbevelingen van Security Center en volledig geïntegreerd als het standaardbeleidsinitiatief.

Alle Azure-services hebben een beveiligingsbasislijnpagina in hun documentatie. Deze basislijnen zijn gebaseerd op Azure Security Benchmark.

Als u het dashboard voor naleving van regelgeving van Security Center gebruikt, ziet u twee exemplaren van de benchmark tijdens een overgangsperiode:

Het dashboard voor naleving van regelgeving in Azure Security Center met de Azure Security Benchmark

Bestaande aanbevelingen worden niet beïnvloed en naarmate de benchmark groeit, worden wijzigingen automatisch doorgevoerd in Security Center.

Zie de volgende pagina's voor meer informatie:

Evaluatie van beveiligingsproblemen voor on-premises en multicloudmachines wordt uitgebracht voor algemene beschikbaarheid (GA)

In oktober hebben we een preview aangekondigd voor het scannen van servers met Azure Arc met de geïntegreerde scanner voor evaluatie van beveiligingsproblemen van Azure Defender for Servers (mogelijk gemaakt door Qualys).

Het wordt nu uitgebracht voor algemene beschikbaarheid (GA).

Wanneer u Azure Arc op uw niet-Azure-machines hebt ingeschakeld, kan de geïntegreerde scanner voor beveiligingsproblemen handmatig en op schaal worden geïmplementeerd.

Met deze update kunt u de kracht van Azure Defender voor Servers ontketenen om uw programma voor beveiligingsproblemen te consolideren voor al uw Azure- en niet-Azure-assets.

Belangrijkste functies:

  • Bewaken van de inrichtingsstatus van de scanner voor de evaluatie van beveiligingsproblemen van Azure Arc-machines
  • Inrichten van de geïntegreerde agent voor de evaluatie van beveiligingsproblemen op niet-beveiligde Azure Arc-machines onder Windows en Linux (handmatig en op schaal)
  • Ontvangen en analyseren van gedetecteerde beveiligingsproblemen afkomstig van geïmplementeerde agents (handmatig en op schaal)
  • Geïntegreerde ervaring voor Azure-VM's en Azure Arc-machines

Meer informatie over het implementeren van de geïntegreerde Qualys-scanner voor beveiligingsproblemen op uw hybride machines.

Meer informatie over servers met Azure Arc.

Veiligheidsscore voor beheergroepen is nu beschikbaar als preview-versie

Op de pagina secure score worden nu de geaggregeerde beveiligde scores voor uw beheergroepen weergegeven, naast het abonnementsniveau. U kunt nu dus de lijst met beheergroepen in uw organisatie en de score voor elke beheergroep bekijken.

Bekijk de beveiligde scores voor uw beheergroepen.

Meer informatie over beveiligingsscore en besturingselementen voor beveiliging in Azure Security Center.

Secure Score-API wordt uitgebracht voor algemene beschikbaarheid (GA)

U hebt nu toegang tot uw score via de secure score-API. De API-methoden bieden de flexibiliteit om query's uit te voeren op de gegevens en uw eigen rapportagemechanisme te bouwen van uw beveiligingsscores in de loop van de tijd. Voorbeeld:

  • de SECURE Scores-API gebruiken om de score voor een specifiek abonnement op te halen
  • de API voor Secure Score Controls gebruiken om de beveiligingsbesturingselementen en de huidige score van uw abonnementen weer te geven

Meer informatie over externe hulpprogramma's die mogelijk zijn gemaakt met de API voor secure score in het gebied voor beveiligingsscores van onze GitHub-community.

Meer informatie over beveiligingsscore en besturingselementen voor beveiliging in Azure Security Center.

Zwevende DNS-beveiliging toegevoegd aan Azure Defender voor App Service

Overnames van subdomeinen zijn een veelvoorkomende bedreiging met hoge ernst voor organisaties. Een overname van subdomeinen kan optreden wanneer u een DNS-record hebt die verwijst naar een niet-ingerichte website. Dergelijke DNS-records worden ook wel 'zwevende DNS-vermeldingen' genoemd. Met name CNAME-records zijn kwetsbaar voor deze bedreiging.

Met overnames van subdomeinen kunnen bedreigingsactoren verkeer dat is bedoeld voor het domein van een organisatie, omleiden naar een site die schadelijke activiteiten uitvoert.

Azure Defender voor App Service detecteert nu zwevende DNS-vermeldingen wanneer een App Service-website buiten gebruik wordt gesteld. Dit is het moment waarop de DNS-vermelding verwijst naar een resource die niet bestaat en uw website kwetsbaar is voor een overname van subdomeinen. Deze beveiligingen zijn beschikbaar, ongeacht of uw domeinen worden beheerd met Azure DNS of een externe domeinregistrar en van toepassing zijn op zowel App Service in Windows als App Service op Linux.

Meer informatie:

Connectors met meerdere clouds worden uitgebracht voor algemene beschikbaarheid (GA)

Veel workloads in de cloud beslaan meerdere cloudplatforms, dus moeten cloudbeveiligingsservices hetzelfde doen.

Azure Security Center biedt bescherming voor workloads in Azure, Amazon Web Services (AWS) en Google Cloud Platform (GCP).

Het verbinden van uw AWS- of GCP-projecten integreert hun systeemeigen beveiligingshulpprogramma's zoals AWS Security Hub en GCP Security Command Center in Azure Security Center.

Deze mogelijkheid betekent dat Security Center zichtbaarheid en beveiliging biedt in alle belangrijke cloudomgevingen. Enkele voordelen van deze integratie:

  • Automatische inrichting van agents - Security Center maakt gebruik van Azure Arc om de Log Analytics-agent te implementeren in uw AWS-exemplaren
  • Beleidsbeheer
  • Beheer van beveiligingsproblemen
  • Geïntegreerde eindpuntdetectie en -respons (EDR)
  • Detectie van onjuiste beveiligingsconfiguraties
  • Eén weergave met beveiligingsaanaanveling van alle cloudproviders
  • Al uw resources opnemen in de berekeningen van beveiligingsscores van Security Center
  • Evaluaties van naleving van regelgeving van uw AWS- en GCP-resources

Selecteer in Defender voor Cloud menu Multicloud-connectors en u ziet de opties voor het maken van nieuwe connectors:

Knop AWS-account toevoegen op de pagina met connectors voor meerdere clouds van Security Center

Meer informatie vindt u in:

Volledige aanbevelingen uitsluiten van uw beveiligingsscore voor abonnementen en beheergroepen

De uitzonderingsmogelijkheid wordt uitgebreid met volledige aanbevelingen. Biedt verdere opties om de beveiligingsaanbeveling af te stemmen die Security Center doet voor uw abonnementen, beheergroep of resources.

Af en toe wordt een resource vermeld als beschadigd wanneer u weet dat het probleem wordt opgelost door een hulpprogramma van derden dat door Security Center niet is gedetecteerd. Of een aanbeveling wordt weergegeven in een bereik waar u denkt dat het niet hoort. De aanbeveling is mogelijk ongepast voor een specifiek abonnement. Of misschien heeft uw organisatie besloten de risico's met betrekking tot de specifieke resource of aanbeveling te accepteren.

Met deze preview-functie kunt u nu een uitzondering maken voor een aanbeveling voor het volgende:

  • Sluit een resource uit om ervoor te zorgen dat deze niet wordt vermeld met de beschadigde resources in de toekomst en heeft geen invloed op uw beveiligingsscore. De resource wordt weergegeven als niet van toepassing en de reden wordt weergegeven als 'uitgesloten' met de specifieke reden die u selecteert.

  • Sluit een abonnement of beheergroep uit om ervoor te zorgen dat de aanbeveling geen invloed heeft op uw beveiligingsscore en in de toekomst niet meer wordt weergegeven voor het abonnement of de beheergroep. Dit heeft betrekking op bestaande resources en alle resources die u in de toekomst maakt. De aanbeveling wordt gemarkeerd met de specifieke reden die u selecteert voor het bereik dat u hebt geselecteerd.

Meer informatie over het uitsluiten van resources en aanbevelingen van uw beveiligingsscore.

Gebruikers kunnen nu tenantbrede zichtbaarheid aanvragen bij hun globale beheerder

Als een gebruiker geen machtigingen heeft om Security Center-gegevens te zien, ziet deze nu een koppeling om machtigingen aan te vragen van de globale beheerder van de organisatie. De aanvraag bevat de gewenste rol en de reden waarom dit nodig is.

Banner die een gebruiker informeert dat hij of zij machtigingen voor de hele tenant kan aanvragen.

Meer informatie over machtigingen voor de hele tenant aanvragen wanneer uw machtigingen onvoldoende zijn.

Er zijn 35 preview-aanbevelingen toegevoegd om de dekking van Azure Security Benchmark te verhogen

Azure Security Benchmark is het standaardbeleidsinitiatief in Azure Security Center.

Om de dekking van deze benchmark te verhogen, zijn de volgende 35 preview-aanbevelingen toegevoegd aan Security Center.

Tip

Preview-aanbevelingen zorgen er niet voor dat een resource als beschadigd wordt weergegeven en ze worden niet opgenomen in de berekeningen van uw beveiligde score. Herstel ze waar mogelijk, zodat zij wanneer de preview-periode afloopt zullen bijdragen aan uw score. Zie Aanbevelingen oplossen in Azure Security Center voor meer informatie over hoe u kunt reageren op deze aanbevelingen.

Beveiligingsbeheer Nieuwe aanbevelingen
Versleuteling at-rest inschakelen - Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
- Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- BYOK-gegevensversleuteling moet zijn ingeschakeld voor MySQL-servers
- BYOK-gegevensversleuteling moet zijn ingeschakeld voor PostgreSQL-servers
- Azure AI-servicesaccounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel (CMK)
- Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- Voor SQL Managed Instance moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
- Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
- Voor opslagaccounts moet een door de klant beheerde sleutel (CMK) worden gebruikt voor versleuteling
Best practices voor beveiliging implementeren - Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten
- Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement
- E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld
- E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld
- Beveiliging tegen leegmaken moet zijn ingeschakeld voor sleutelkluizen
- Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen
Toegang en machtigingen beheren - Clientcertificaten (binnenkomende clientcertificaten) moeten voor functie-apps zijn ingeschakeld
Toepassingen beschermen tegen DDoS-aanvallen - WAF (Web Application Firewall) moet zijn ingeschakeld voor Application Gateway
- WaF (Web Application Firewall) moet zijn ingeschakeld voor de Azure Front Door Service-service
Onbevoegde netwerktoegang beperken - De firewall moet zijn ingeschakeld in Key Vault
- Er moet een privé-eindpunt worden geconfigureerd voor Key Vault
- Voor App Configuration moeten privékoppelingen worden gebruikt
- Azure Cache voor Redis moet zich in een virtueel netwerk bevinden
- Voor Azure Event Grid-domeinen moet Private Link worden gebruikt
- Voor Azure Event Grid-onderwerpen moete Private Link worden gebruikt
- Voor Azure Machine Learning-werkruimten moet Private Link worden gebruikt
- Voor Azure SignalR Service moet Private Link worden gebruikt
- Azure Spring Cloud moet netwerkinjectie gebruiken
- Containerregisters mogen geen onbeperkte netwerktoegang toestaan
- Voor containerregisters moet Private Link worden gebruikt
- Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers
- Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers
- Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers
- Voor een opslagaccount moet een Private Link-verbinding worden gebruikt
- Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken
- Voor VM Image Builder-sjablonen moet Private Link worden gebruikt

Gerelateerde links:

CSV-export van een gefilterde lijst met aanbevelingen

In november 2020 hebben we filters toegevoegd aan de pagina met aanbevelingen.

Met deze aankondiging veranderen we het gedrag van de knop Downloaden naar CSV, zodat de CSV-export alleen de aanbevelingen omvat die momenteel worden weergegeven in de gefilterde lijst.

In de onderstaande afbeelding ziet u bijvoorbeeld dat de lijst is gefilterd op twee aanbevelingen. Het gegenereerde CSV-bestand omvat de statusgegevens voor elke resource die door deze twee aanbevelingen wordt beïnvloed.

Gefilterde aanbevelingen exporteren naar een CSV-bestand.

Meer informatie in Beveiligingsaanbevelingen in Azure Security Center.

Resources die 'Niet van toepassing' zijn, worden in Azure Policy-beoordelingen nu gerapporteerd als 'Compatibel'

Eerder werden resources die zijn geëvalueerd voor een aanbeveling en gevonden dat ze niet van toepassing waren, weergegeven in Azure Policy als 'Niet-compatibel'. Gebruikersacties kunnen hun status niet wijzigen in 'Compatibel'. Met deze wijziging worden ze gerapporteerd als 'Compatibel' voor een betere duidelijkheid.

Dit is alleen van invloed op Azure Policy, waar het aantal compatibele resources zal toenemen. Het is niet van invloed om uw beveiligingsscore in Azure Security Center.

Wekelijkse momentopnamen van veiligheidsscores en nalevingsgegevens van de regelgeving exporteren met doorlopend exporteren (preview-versie)

We hebben een nieuwe preview-functie toegevoegd aan de hulpprogramma's voor continue export voor het exporteren van wekelijkse momentopnamen van beveiligingsscore- en nalevingsgegevens voor regelgeving.

Wanneer u een continue export definieert, stelt u de exportfrequentie in:

Kies de frequentie van uw continue export.

  • Streaming : evaluaties worden verzonden wanneer de status van een resource wordt bijgewerkt (als er geen updates plaatsvinden, worden er geen gegevens verzonden).
  • Momentopnamen: een momentopname van de huidige status van alle nalevingsevaluaties voor regelgeving wordt elke week verzonden (dit is een preview-functie voor wekelijkse momentopnamen van beveiligde scores en nalevingsgegevens voor regelgeving).

Meer informatie over de volledige mogelijkheden van deze functie in het continu exporteren van Security Center-gegevens.

December 2020

Updates in december omvatten:

Azure Defender voor SQL-servers op computers is algemeen beschikbaar

Azure Security Center biedt twee Azure Defender-abonnementen voor SQL-servers:

  • Azure Defender voor Azure SQL-databaseservers: hiermee beveiligt u uw systeemeigen SQL-servers in Azure
  • Azure Defender voor SQL-servers op computers: hiermee breidt u dezelfde beveiliging uit naar SQL-servers in hybride, multicloud- en on-premises omgevingen

Voortaan beveiligt Azure Defender voor SQL uw databases en de bijbehorende gegevens, waar ze zich ook bevinden.

Azure Defender voor SQL bevat functies voor de evaluatie van beveiligingsproblemen. Het hulpprogramma voor de evaluatie van beveiligingsproblemen biedt de volgende geavanceerde functies:

  • Basislijnconfiguratie (nieuw!) om de resultaten van het scannen naar beveiligingsproblemen op intelligente wijze te verfijnen, zodat alleen de problemen overblijven die een daadwerkelijk beveiligingsrisico vormen. Nadat u de beveiligingsstatus van uw basislijn hebt ingesteld, worden door het hulpprogramma voor de evaluatie van beveiligingsproblemen alleen afwijkingen van die basislijnstatus gerapporteerd. Resultaten die overeenkomen met de basislijn, worden niet meer meegenomen in vervolgscans. Zo kunnen u en uw analisten zich volledig richten op de belangrijkste problemen.
  • Gedetailleerde benchmarkgegevens om u meer inzicht te geven in de gedetecteerde problemen en in hoe deze gerelateerd zijn aan uw resources.
  • Herstelscripts om u te helpen bij het oplossen van geïdentificeerde risico's.

Lees meer informatie over Azure Defender voor SQL.

Azure Defender voor SQL-ondersteuning voor een toegewezen SQL-pool in Azure Synapse Analytics is algemeen beschikbaar

Azure Synapse Analytics (voorheen SQL DW) is een analyseservice die datawarehousing voor ondernemingen en big data-analyses combineert. In Azure Synapse bieden toegewezen SQL-pools de functionaliteit voor datawarehousing voor ondernemingen. Meer informatie leest u in Wat is Azure Synapse Analytics (voorheen SQL DW)?.

Azure Defender voor SQL beveiligt uw toegewezen SQL-pools met:

  • Geavanceerde bescherming tegen bedreigingen om bedreigingen en aanvallen te detecteren
  • Functionaliteit voor de evaluatie van beveiligingsproblemen om onjuiste beveiligingsconfiguraties te identificeren en te herstellen

Azure Defender voor SQL-ondersteuning voor SQL-pools in Azure Synapse Analytics wordt automatisch toegevoegd aan de bundel Azure SQL-databases in Azure Security Center. Er is een nieuw tabblad Azure Defender voor SQL op de pagina van uw Synapse-werkruimte in Azure Portal.

Lees meer informatie over Azure Defender voor SQL.

Globale beheerders kunnen nu machtigingen op tenantniveau aan zichzelf verlenen

Een gebruiker met de Azure Active Directory-rol Globale beheerder kan verantwoordelijkheden hebben voor de hele tenant, maar geen Azure-machtigingen om deze organisatiebrede informatie te bekijken in Azure Security Center.

Volg de instructies in Tenantbrede machtigingen toewijzen aan uzelf om machtigingen op tenantniveau toe te wijzen aan uzelf.

Twee nieuwe Azure Defender-abonnementen: Azure Defender voor DNS en Azure Defender voor Resource Manager (in preview)

We hebben twee nieuwe, cloudeigen beschermingsmogelijkheden tegen bedreigingen toegevoegd voor uw Azure-omgeving.

Deze nieuwe beschermingen verbeteren uw tolerantie tegen aanvullen van bedreigende actoren en vergroten het aantal Azure-resources dat wordt beschermd door Azure Defender.

Pagina Nieuwe beveiligingswaarschuwingen in Azure Portal (preview)

De pagina beveiligingswaarschuwingen van Azure Security Center is opnieuw ontworpen om het volgende te bieden:

  • Verbeterde sorteerervaring voor waarschuwingen: hiermee wordt de alertheid op waarschuwingen verbeterd en de focus meer gericht op de meest relevante bedreigingen; de lijst bevat aanpasbare opties voor filters en groeperingen
  • Meer informatie in de lijst met waarschuwingen, bijvoorbeeld MITRE ATT&ACK-tactieken
  • Knop om voorbeeldwaarschuwingen te maken: voor het evalueren van de mogelijkheden van Azure Defender en het testen van de configuratie van uw waarschuwingen (voor SIEM-integratie, e-mailmeldingen en werkstroomautomatisering), kunt u voorbeeldwaarschuwingen maken in alle Azure Defender-abonnementen
  • Overeenstemming met de incidentervaring van Azure Sentinel: klanten die beide producten gebruiken, kunnen deze nu eenvoudiger afwisselen en het ene leren op basis van het andere
  • Betere prestaties voor lange lijsten met waarschuwingen
  • Toetsenbordnavigatie via de lijst met waarschuwingen
  • Waarschuwingen van Azure Resource Graph: u kunt query's uitvoeren op waarschuwingen in Azure Resource Graph, de Kusto-achtige API voor al uw resources. Dit is ook handig als u uw eigen waarschuwingendashboards bouwt. Meer informatie over Azure Resource Graph.

Als u toegang wilt krijgen tot de nieuwe ervaring, gebruikt u de koppeling Nu proberen in de banner boven aan de pagina met beveiligingswaarschuwingen.

Banner met koppeling naar de nieuwe preview-ervaring voor waarschuwingen.

Zie Azure Defender-voorbeeldwaarschuwingen genereren als u voorbeeldwaarschuwingen wilt maken vanuit het nieuwe waarschuwingenproces.

Revitalized Security Center-ervaring in Azure SQL Database & SQL Managed Instance

De Security Center-ervaring in SQL biedt toegang tot de volgende Security Center-functies en Azure Defender voor SQL-functies:

  • Beveiligingsaanbevelingen: Security Center analyseert periodiek de beveiligingsstatus van alle Azure-resources om mogelijke beveiligingsproblemen op te sporen. Vervolgens worden aanbevelingen geboden voor het oplossen van deze beveiligingsproblemen en het verbeteren van de beveiligingspostuur van organisaties.
  • Beveiligingswaarschuwingen: een detectieservice die Azure SQL-activiteiten continu bewaakt als het gaat om bedreigingen (zoals SQL-injectie, brute-force-aanvallen en misbruik van bevoegdheden). Deze service activeert gedetailleerde en actiegerichte beveiligingswaarschuwingen in Security Center en biedt opties voor continue onderzoeken met Azure Sentinel, de systeemeigen SIEM-oplossing van Microsoft.
  • Bevindingen: een service voor evaluatie van beveiligingsproblemen die continu Azure SQL-configuraties bewaakt en beveiligingsproblemen helpt op te lossen. Evaluatiescans bieden een overzicht van de Azure SQL-beveiligingsstatussen met gedetailleerde beveiligingsresultaten.

De beveiligingsfuncties van Azure Security Center voor SQL zijn beschikbaar vanuit Azure SQL

Tools en filters voor inventarisatie van activa bijgewerkt

De inventarispagina in Azure Security Center is vernieuwd met de volgende wijzigingen:

  • Hulplijnen en feedback toegevoegd aan de werkbalk. Hiermee opent u een deelvenster met koppelingen naar gerelateerde informatie en hulpprogramma's.

  • Het filter abonnementen is toegevoegd aan de standaardfilters die beschikbaar zijn voor uw resources.

  • Open query-koppeling om de huidige filteropties te openen als een Azure Resource Graph-query (voorheen 'Weergeven in Resource Graph Explorer' genoemd).

  • Operatoropties voor elke filter. U kunt nu kiezen uit meer logische operatoren dan '='. U kunt bijvoorbeeld alle resources zoeken met actieve aanbevelingen waarvan de titels de tekenreeks 'versleutelen' bevatten.

    Besturingselementen voor de operatoroptie in de filters van assetinventarisatie

Voor meer informatie over voorraad, zie Uw resources verkennen en beheren met assetvoorraad.

Aanbeveling over web-apps die SSL-certificaten aanvragen die geen deel meer uitmaken van beveiligde score

De aanbeveling 'Web-apps moeten een SSL-certificaat aanvragen voor alle binnenkomende aanvragen' is verplaatst van het beveiligingsbeheer Toegang en machtigingen beheren (maximaal 4 ptn) in aanbevolen procedures voor beveiliging implementeren (wat geen punten waard is).

Door ervoor te zorgen dat een web-app een certificaat aanvraagt, is het zeker veiliger. Voor openbare web-apps is het echter irrelevant. Als u toegang tot uw site hebt via HTTP en niet HTTPS, ontvangt u geen clientcertificaat. Als voor uw toepassing clientcertificaten zijn vereist, moet u dus geen aanvragen voor uw toepassing via HTTP toestaan. Voor meer informatie raadpleegt u Wederzijdse TLS-verificatie voor Azure App Service configureren.

Met deze wijziging is de aanbeveling nu een aanbevolen best practice die geen invloed heeft op uw score.

Voor meer informatie over welke aanbevelingen zich in elk beveiligingsbeheer bevinden, raadpleegt u Beveiligingscontroles en de bijbehorende aanbevelingen.

De aanbevelingspagina bevat nieuwe filters voor omgeving, ernst en beschikbare reacties

Azure Security Center bewaakt alle verbonden bronnen en genereert beveiligingsaanbevelingen. Gebruik deze aanbevelingen om uw hybride cloudpostuur te versterken en naleving van de beleidsregels en standaarden bij te houden die relevant zijn voor uw organisatie, branche en land/regio.

Naarmate Security Center de dekking en functies blijft uitbreiden, neemt de lijst van beveiligingsaanbevelingen elke maand toe. Zie bijvoorbeeld 24 preview-aanbevelingen toegevoegd om de dekking van Azure Security Benchmark te vergroten.

Met de groeiende lijst moet u de aanbevelingen filteren om de aanbevelingen te vinden die het meest interessant zijn. In november hebben we filters toegevoegd aan de aanbevelingspagina (zie Lijst met aanbevelingen bevat nu filters).

De filters die deze maand zijn toegevoegd bieden opties om de lijst met aanbevelingen te verfijnen op basis van:

  • Omgeving: aanbevelingen weergeven voor uw AWS, GCP of Azure-resources (of een combinatie hiervan)

  • Ernst: aanbevelingen weergeven op basis van de ernstclassificatie die is ingesteld door Security Center

  • Reactieacties : aanbevelingen weergeven op basis van de beschikbaarheid van security Center-antwoordopties: Herstellen, Weigeren en Afdwingen

    Tip

    Het filter voor antwoordacties vervangt het filter Snelle oplossing beschikbaar (Ja/Nee).

    Meer informatie over elk van deze antwoordopties:

Aanbevelingen gegroepeerd op beveiligingsbeheer.

Continue export haalt nieuwe gegevenstypen en verbeterde deployifnotexist-beleidsregels op

Met de hulpprogramma's van Azure Security Center voor continue export kunt u de aanbevelingen en waarschuwingen van Security Center exporteren voor gebruik met andere controle hulpprogramma's in uw omgeving.

Met continue export kunt u volledig aanpassen wat waarheen wordt geëxporteerd. Voor meer informatie, zie Security Center-gegevens continu exporteren.

Deze hulpprogramma's zijn verbeterd en uitgebreid op de volgende manieren:

  • Het deployifnotexist-beleid van continue export is verbeterd. Het beleid is nu:

    • Controleer of de configuratie is ingeschakeld. Als dat niet het geval is, wordt het beleid weergegeven als niet-compatibel en wordt er een compatibele resource gemaakt. Meer informatie over de opgegeven Azure Policy-sjablonen vindt u op het tabblad Implementeren op schaal met Azure Policy in Een continue export instellen.

    • Ondersteuning voor het exporteren van beveiligingsresultaten. Wanneer u de Azure Policy sjablonen gebruikt, kunt u uw continue export configureren om bevindingen op te stellen. Dit is relevant bij het exporteren van aanbevelingen met 'subaanbevelingen' (zoals bevindingen van scanners voor beveiligingsevaluatie) of specifieke systeemupdates voor de 'hoofdaanbeveling': "Systeemupdates moeten op uw computers worden geïnstalleerd".

    • Ondersteuning voor het exporteren van beveiligingsscoregegevens.

  • Gegevens over reglementaire nalevingsbeoordeling toegevoegd (in preview). U kunt nu continu updates exporteren naar nalevingsevaluaties voor regelgeving, inclusief voor aangepaste initiatieven, naar een Log Analytics-werkruimte of Event Hubs. Deze functie is niet beschikbaar in nationale clouds.

    De opties voor het opnemen van informatie over naleving van regelgeving met uw continue exportgegevens.

November 2020

Updates in november omvatten:

Er zijn 29 preview-aanbevelingen toegevoegd om de dekking van Azure Security Benchmark te verhogen

Azure Security Benchmark is de door Microsoft geschreven, azure-specifieke set richtlijnen voor aanbevolen procedures voor beveiliging en naleving op basis van algemene nalevingsframeworks. Meer informatie over Azure Security-benchmark.

De volgende 29 preview-aanbevelingen zijn toegevoegd aan Security Center om de dekking van deze benchmark te verhogen.

Preview-aanbevelingen zorgen er niet voor dat een resource als beschadigd wordt weergegeven en ze worden niet opgenomen in de berekeningen van uw beveiligde score. Herstel ze waar mogelijk, zodat zij wanneer de preview-periode afloopt zullen bijdragen aan uw score. Zie Aanbevelingen oplossen in Azure Security Center voor meer informatie over hoe u kunt reageren op deze aanbevelingen.

Beveiligingsbeheer Nieuwe aanbevelingen
Actieve gegevens versleutelen - SSL-verbinding afdwingen moet zijn ingeschakeld voor PostgreSQL-databaseservers
- SSL-verbinding afdwingen moet zijn ingeschakeld voor MySQL-databaseservers
- TLS moet zijn bijgewerkt naar de nieuwste versie van uw API-app
- TLS moet zijn bijgewerkt naar de nieuwste versie van uw functie-app
- TLS moet zijn bijgewerkt naar de nieuwste versie van uw web-app
- FTPS moet zijn vereist in uw API-app
- FTPS moet zijn vereist in uw functie-app
- FTPS moet zijn vereist in uw web-app
Toegang en machtigingen beheren - Web-apps moeten een SSL-certificaat aanvragen voor alle inkomende aanvragen
- Er moet een beheerde identiteit worden gebruikt in uw API-app
- Er moet een beheerde identiteit worden gebruikt in uw functie-app
- Er moet een beheerde identiteit worden gebruikt in uw web-app
Onbevoegde netwerktoegang beperken - Het privé-eindpunt moet zijn ingeschakeld voor PostgreSQL-servers
- Het privé-eindpunt moet zijn ingeschakeld voor MariaDB-servers
- Het privé-eindpunt moet zijn ingeschakeld voor MySQL-servers
Controle en logboekregistratie inschakelen - Diagnostische logboeken in App Services moeten zijn ingeschakeld
Best practices voor beveiliging implementeren - Azure Backup moet zijn ingeschakeld voor virtuele machines
- Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB
- Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL
- Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL
- PHP moet zijn bijgewerkt naar de nieuwste versie van uw API-app
- PHP moet zijn bijgewerkt naar de nieuwste versie van uw web-app
- Java moet zijn bijgewerkt naar de nieuwste versie van uw API-app
- Java moet zijn bijgewerkt naar de nieuwste versie van uw functie-app
- Java moet zijn bijgewerkt naar de nieuwste versie van uw web-app
- Python moet zijn bijgewerkt naar de nieuwste versie van uw API-app
- Python moet zijn bijgewerkt naar de nieuwste versie van uw functie-app
- Python moet zijn bijgewerkt naar de nieuwste versie van uw web-app
- Retentie voor controle voor SQL-servers moet zijn ingesteld op minstens 90 dagen

Gerelateerde links:

NIST SP 800 171 R2 is toegevoegd aan het nalevingsdashboard van Security Center

De NIST SP 800-171 R2-standaard is nu beschikbaar als ingebouwd initiatief voor gebruik met het nalevingsdashboard voor Azure Security Center. De toewijzingen voor de controles worden beschreven in Details van het ingebouwde NIST SP 800-171 R2-nalevingsinitiatief.

Als u de standaard wilt toepassen op uw abonnementen en uw nalevingsstatus continu wilt bewaken, gebruikt u de instructies in Het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.

De NIST SP 800 171 R2-standaard in het nalevingsdashboard van Security Center

Zie NIST SP 800-171 R2voor meer informatie over deze nalevingsstandaard.

Er zijn filters opgenomen in de lijst met aanbevelingen

U kunt de lijst met aanbevelingen voor de beveiliging nu filteren op verschillende criteria. In het volgende voorbeeld wordt de lijst met aanbevelingen gefilterd om aanbevelingen weer te geven die:

  • zijn algemeen beschikbaar (niet in preview)
  • Ze zijn bedoeld voor opslagaccounts
  • Ze bieden ondersteuning voor snelle oplossingen voor herstel

Filters voor de lijst met aanbevelingen.

Verbeterde en uitgebreide ervaring voor automatisch inrichten

De functie voor automatisch inrichten helpt de beheeroverhead te verminderen door de vereiste extensies te installeren op nieuwe en bestaande Azure-VM's, zodat ze kunnen profiteren van de beveiliging van Security Center.

Naarmate Azure Security Center is gegroeid, zijn er meer extensies ontwikkeld en kan Security Center een grotere lijst met resourcetypen bewaken. De hulpprogramma's voor automatisch inrichten zijn nu uitgebreid ter ondersteuning van andere extensies en resourcetypen door gebruik te maken van de mogelijkheden van Azure Policy.

U kunt nu de automatische inrichting van:

  • Log Analytics-agent
  • (Nieuw) Azure Policy voor Kubernetes
  • (Nieuw) Microsoft Dependency Agent

Meer informatie over het automatisch inrichten van agents en extensies van Azure Security Center.

Beveiligingsscore is nu beschikbaar in continue export (preview)

Met continue export van de beveiligingsscore kunt u wijzigingen in uw score in realtime streamen naar Azure Event Hubs of een Log Analytics-werkruimte. Gebruik deze mogelijkheid om:

  • uw beveiligingsscore na verloop van tijd bij te houden met dynamische rapporten
  • gegevens van de beveiligingsscore exporteren naar Azure Sentinel (of een andere SIEM)
  • deze gegevens integreren met andere processen die u mogelijk al gebruikt om de beveiligingsscore in uw organisatie te bewaken

Meer informatie over hoe u Security Center-gegevens continue exporteert.

Aanbeveling 'Systeemupdates moeten worden geïnstalleerd op uw computers' bevat nu subaanbevelingen

De systeemupdates moeten worden geïnstalleerd op uw computers aanbeveling is verbeterd. De nieuwe versie bevat subommendations voor elke ontbrekende update en brengt de volgende verbeteringen met zich mee:

  • Een opnieuw ontworpen ervaring op de Azure Security Center-pagina's van Azure Portal. De pagina met aanbevelingsinformatie voor Er moeten systeemupdates worden geïnstalleerd op uw computer bevat de lijst met resultaten zoals hieronder wordt weergegeven. Wanneer u één resultaat selecteert, wordt het deelvenster Details geopend met een koppeling naar de herstelgegevens en een lijst met betrokken resources.

    Het openen van een van de subaanbevelingen in de portalervaring voor de bijgewerkte aanbeveling.

  • Uitgebreide gegevens voor de aanbeveling van Azure Resource Graph (ARG). ARG is een Azure-service die is ontworpen voor efficiëntere resourceverkenning. U kunt ARG gebruiken om op schaal een query uit te voeren in een bepaalde set abonnementen, zodat u uw omgeving effectief kunt beheren.

    Voor Azure Security Center kunt u gebruikmaken van ARG en de Kusto Query Language (KQL) om query's uit te voeren op een breed scala aan postuurgegevens.

    Als u in ARG eerder deze query uitvoerde op deze aanbeveling, was de enige beschikbare informatie dat de aanbeveling moet worden herstel op een machine. De volgende query van de verbeterde versie retourneert elke ontbrekende systeemupdate, gegroepeerd op machine.

    securityresources
    | where type =~ "microsoft.security/assessments/subassessments"
    | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
    | where properties.status.code == "Unhealthy"
    

Op de pagina Beleidsbeheer in de Azure-portal wordt nu de status van standaardbeleidstoewijzingen weergegeven

U kunt nu zien of het standaard Security Center-beleid is toegewezen aan uw abonnementen op de pagina Beveiligingsbeleid van het Security Center in de Azure-portal.

De pagina Beleidsbeheer van Azure Security Center met de standaardbeleidstoewijzingen.

October 2020

De updates in oktober omvatten:

Evaluatie van beveiligingsproblemen voor on-premises en multicloudmachines (preview)

De geïntegreerde scanner voor evaluatie van beveiligingsproblemen van Azure Defender for Servers (mogelijk gemaakt door Qualys) scant nu servers met Azure Arc.

Wanneer u Azure Arc op uw niet-Azure-machines hebt ingeschakeld, kan de geïntegreerde scanner voor beveiligingsproblemen handmatig en op schaal worden geïmplementeerd.

Met deze update kunt u de kracht van Azure Defender voor Servers ontketenen om uw programma voor beveiligingsproblemen te consolideren voor al uw Azure- en niet-Azure-assets.

Belangrijkste functies:

  • Bewaken van de inrichtingsstatus van de scanner voor de evaluatie van beveiligingsproblemen van Azure Arc-machines
  • Inrichten van de geïntegreerde agent voor de evaluatie van beveiligingsproblemen op niet-beveiligde Azure Arc-machines onder Windows en Linux (handmatig en op schaal)
  • Ontvangen en analyseren van gedetecteerde beveiligingsproblemen afkomstig van geïmplementeerde agents (handmatig en op schaal)
  • Geïntegreerde ervaring voor Azure-VM's en Azure Arc-machines

Meer informatie over het implementeren van de geïntegreerde Qualys-scanner voor beveiligingsproblemen op uw hybride machines.

Meer informatie over servers met Azure Arc.

Azure Firewall-aanbeveling toegevoegd (preview)

Er is een nieuwe aanbeveling toegevoegd om al uw virtuele netwerken te beveiligen met Azure Firewall.

De aanbeveling, Virtuele netwerken moeten worden beveiligd met Azure Firewall, adviseert u om de toegang tot uw virtuele netwerken te beperken en mogelijke dreigingen te voorkomen door gebruik te maken van Azure Firewall.

Meer informatie over Azure Firewall.

De aanbeveling Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services is bijgewerkt met een snelle oplossing

De aanbeveling Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services bevat nu een snelle oplossing.

De geautoriseerde IP-bereiken moeten worden gedefinieerd in de aanbeveling kubernetes Services met de optie snelle oplossing.

Het dashboard Naleving van regelgeving bevat nu een optie voor het verwijderen van standaarden

Het Dashboard Naleving van regelgeving van Security Center biedt inzicht in uw nalevingsstatus op basis van in hoeverre u aan specifieke nalevingsmechanismen en -vereisten voldoet.

Het dashboard bevat een vaste set reglementaire standaarden. Als een van de opgegeven standaarden niet relevant is voor uw organisatie, is het nu een eenvoudig proces om ze uit de gebruikersinterface voor een abonnement te verwijderen. Standaarden kunnen alleen worden verwijderd op het niveau van het abonnement, niet in het bereik van de beheergroep.

Meer informatie in Een standaard verwijderen uit uw dashboard.

Tabel Microsoft.Security/securityStatuses is verwijderd uit Azure Resource Graph (ARG)

Azure Resource Graph is een service in Azure. Het is ontworpen voor een efficiënte resourceverkenning en biedt de mogelijkheid query's op schaal uit te voeren binnen een bepaalde groep abonnementen, zodat u uw omgeving effectief kunt beheren.

Voor Azure Security Center kunt u gebruikmaken van ARG en de Kusto Query Language (KQL) om query's uit te voeren op een breed scala aan postuurgegevens. Voorbeeld:

Binnen ARG zijn er tabellen met gegevens die u kunt gebruiken in uw query's.

Azure Resource Graph Explorer en de beschikbare tabellen.

Tip

In de ARG-documentatie vindt u een overzicht van alle beschikbare tabellen in de Azure Resource Graph-tabel en de resourcetypeverwijzing.

Uit deze update is de tabel Microsoft.Security/securityStatuses verwijderd. De securityStatuses-API is nog steeds beschikbaar.

De tabel Microsoft.Security/Assessments kan gebruikmaken van gegevensvervanging.

Het belangrijkste verschil tussen Microsoft.Security/securityStatuses en Microsoft.Security/Assessments is dat de eerste een aggregatie van evaluaties toont en de tweede één record voor elke evaluatie bevat.

Zo retourneert bijvoorbeeld Microsoft.Security/securityStatuses een resultaat met een matrix met twee policyAssessments:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

Terwijl Microsoft.Security/Assessments een record voor elke beleidsevaluatie als volgt bevat:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

Voorbeeld van het converteren van een bestaande ARG-query met behulp van securityStatuses om nu de tabel met evaluaties te kunnen gebruiken:

Query die verwijst naar SecurityStatuses:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Vervangingsquery voor de tabel met evaluaties:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

Meer informatie vindt u via de volgende koppelingen:

September 2020

De updates in september zijn onder meer:

Security Center krijgt een nieuw uiterlijk

We hebben een vernieuwde gebruikersinterface voor de portalpagina's van Security Center uitgebracht. De nieuwe pagina's bevatten een nieuwe overzichtspagina en dashboards voor veilige score, assetinventaris en Azure Defender.

De opnieuw ontworpen overzichtspagina heeft nu een tegel voor toegang tot de dashboards voor de beveiligingsscore, assetinventarisatie en Azure Defender. Het bevat ook een tegel met een koppeling naar het dashboard voor naleving van regelgeving.

Meer informatie over de overzichtspagina.

Azure Defender uitgebracht

Azure Defender is het Cloud Workload Protection Platform (CWPP) dat is geïntegreerd in Security Center voor geavanceerde, intelligente beveiliging van uw Azure- en hybride workloads. Het vervangt de standaardprijscategorie van Security Center.

Als u Azure Defender inschakelt in het gedeelte Prijzen en instellingen van Azure Security Center, worden de volgende Defender-abonnementen allemaal tegelijkertijd ingeschakeld en kunt u gebruikmaken van een totaaloplossing voor de bescherming van de berekenings-, gegevens- en servicelagen in uw omgeving:

Elk van deze abonnementen wordt afzonderlijk beschreven in de documentatie voor Security Center.

Met zijn speciale dashboard biedt Azure Defender beveiligingswaarschuwingen en geavanceerde bescherming tegen dreigingen voor virtuele machines, SQL databases, containers, webtoepassingen, uw netwerk en meer.

Meer informatie over Azure Defender

Azure Defender voor Key Vault is algemeen verkrijgbaar

Azure Key Vault is een cloudservice die versleutelingssleutels en geheimen, zoals certificaten, verbindingsreeksen en wachtwoorden, beveiligt.

Azure Defender voor Key Vault biedt voor Azure systeemeigen, geavanceerde beveiliging tegen bedreigingen voor Azure Key Vault, waarmee u een extra laag beveiligingsinformatie kunt leveren. Als uitbreiding biedt Azure Defender voor Key Vault consequent bescherming aan veel van de resources die afhankelijk zijn van uw Key Vault-accounts.

Het optionele abonnement is nu algemeen beschikbaar. Deze functie was in preview als 'Advanced Threat Protection voor Azure Key Vault'.

Daarnaast bevatten de Key Vault-pagina's in Azure Portal nu een speciale pagina Beveiliging voor aanbevelingen en waarschuwingen van Security Center.

Meer informatie vindt u in Azure Defender voor Key Vault.

Azure Defender voor opslagbeveiliging voor bestanden en ADLS Gen2 is algemeen beschikbaar

Azure Defender for Storage detecteert potentieel schadelijke activiteiten in uw Azure Storage-accounts. Uw gegevens kunnen worden beschermd, ongeacht of deze zijn opgeslagen als blobcontainers, bestandsshares of data lakes.

Ondersteuning voor Azure Files en Azure Data Lake Storage Gen2 is nu algemeen beschikbaar.

Vanaf 1 oktober 2020 gaan we kosten in rekening brengen voor het beveiligen van resources voor deze services.

Meer informatie vindt u in Azure Defender voor Storage.

Hulpprogramma's voor assetinventarisatie zijn nu algemeen beschikbaar

De pagina voor assetinventarisatie van Azure Security Center biedt één pagina voor het weergeven van het beveiligingspostuur van de resources die u hebt verbonden met Security Center.

Security Center analyseert periodiek de beveiligingsstatus van uw Azure-resources om mogelijke beveiligingsproblemen op te sporen. Vervolgens krijgt u aanbevelingen voor het oplossen van deze beveiligingsproblemen.

Wanneer een resource openstaande aanbevelingen heeft, worden deze weergegeven in de inventarisatie.

Voor meer informatie raadpleegt u Uw resources verkennen en beheren met assetvoorraad.

Een specifiek gevonden beveiligingsprobleem voor scans van containerregisters en virtuele machines uitschakelen

Azure Defender bevat scanners voor beveiligingsproblemen om installatiekopieën in uw Azure Container Registry en uw virtuele machines te scannen.

Als u een organisatorische behoefte hebt om een resultaat te negeren in plaats van dit te herstellen, kunt u het eventueel uitschakelen. Uitgeschakelde resultaten hebben geen invloed op uw beveiligingsscore en genereren geen ongewenste ruis.

Wanneer een resultaat overeenkomt met de criteria die u hebt gedefinieerd in de regels voor uitschakelen, wordt dit niet weergegeven in de lijst met resultaten.

Deze optie is beschikbaar op de pagina met aanbevelingsdetails voor:

  • Beveiligingsproblemen met installatiekopieën in Azure Container Registry moeten worden hersteld
  • Beveiligingsproblemen op uw virtuele machines moeten worden hersteld

Meer informatie vindt u in Specifieke resultaten voor uw containerinstallatiekopieën uitschakelen en Specifieke resultaten voor uw virtuele machines uitschakelen.

Een resource uitsluiten van een aanbeveling

In sommige gevallen wordt een resource vermeld als niet in orde met betrekking tot een specifieke aanbeveling (en waardoor uw beveiligingsscore lager wordt), zelfs als u denkt dat dit niet zo zou moeten zijn. Dit kan zijn opgelost door een proces dat niet wordt bijgehouden door Security Center. Of misschien heeft uw organisatie besloten het risico voor die specifieke resource te accepteren.

In dergelijke gevallen kunt u een uitzonderingsregel maken en ervoor zorgen dat de resource in de toekomst niet wordt vermeld als een resource die niet in orde is. Deze regels kunnen gedocumenteerde redenen bevatten, zoals hieronder wordt beschreven.

Meer informatie vindt u in Een resource uitsluiten van aanbevelingen en de beveiligingsscore.

AWS- en GCP-connectors in Security Center bieden een multicloud-ervaring

Veel workloads in de cloud beslaan meerdere cloudplatforms, dus moeten cloudbeveiligingsservices hetzelfde doen.

Azure Security Center biedt nu bescherming voor workloads in Azure, Amazon Web Services (AWS) en Google Cloud Platform (GCP).

Wanneer u AWS- en GCP-projecten onboardt in Security Center, worden AWS Security Hub, GCP Security Command en Azure Security Center geïntegreerd.

Meer informatie in Uw AWS-accounts verbinden met Azure Security Center en uw GCP-projecten verbinden met Azure Security Center.

Bundel met aanbevelingen voor Kubernetes-workloadbeveiliging

Om ervoor te zorgen dat Kubernetes-workloads standaard veilig zijn, voegt Security Center aanbevelingen voor beveiliging op Kubernetes-niveau toe, met inbegrip van afdwingingsopties met Kubernetes Admission Control.

Wanneer u Azure Policy voor Kubernetes op uw AKS-cluster hebt geïnstalleerd, wordt elke aanvraag naar de Kubernetes-API-server gecontroleerd op basis van de vooraf gedefinieerde set aanbevolen procedures voordat deze naar het cluster wordt bewaard. Vervolgens kunt u instellingen configureren om de aanbevolen procedures af te dwingen en ze te verplichten voor toekomstige workloads.

U kunt er bijvoorbeeld voor zorgen dat containers met machtigingen niet moeten worden gemaakt, en toekomstige aanvragen hiervoor worden dan geblokkeerd.

Meer informatie vindt u in Aanbevolen procedures voor workloadbeveiliging met behulp van Kubernetes Admission Control.

Resultaten van evaluatie van beveiligingsproblemen zijn nu beschikbaar in continue export

Gebruik continue export om uw waarschuwingen en aanbevelingen te streamen naar Azure Event Hubs, Log Analytics-werkruimten of Azure Monitor. Daar kunt u deze gegevens integreren met SIEM's (zoals Azure Sentinel, Power BI, Azure Data Explorer en meer).

De hulpprogramma's voor evaluatie van beveiligingsproblemen van Security Center retourneren informatie over uw resources als aanbevelingen voor het uitvoeren van acties in een 'hoofdaanbeveling', zoals 'beveiligingsproblemen op uw virtuele machines, moeten worden hersteld'.

De beveiligingsresultaten zijn nu beschikbaar voor export door middel van continue export wanneer u aanbevelingen selecteert en de optie Beveiligingsresultaten insluiten in te schakelen.

Schakel beveiligingsresultaten in voor continue exportconfiguratie.

Gerelateerde pagina's:

Onjuiste beveiligingsconfiguraties voorkomen door aanbevelingen af te dwingen bij het maken van nieuwe resources

Onjuiste beveiligingsconfiguraties zijn een belangrijke oorzaak van beveiligingsincidenten. Security Center biedt nu de mogelijkheid om onjuiste configuratie van nieuwe resources met betrekking tot specifieke aanbevelingen te helpen voorkomen.

Deze functie kan u helpen uw workloads veilig te houden en uw beveiligingsscore stabiel te houden.

U kunt een beveiligde configuratie afdwingen, op basis van een specifieke aanbeveling, in twee modi:

  • Met de modus Geweigerd van Azure Policy kunt u voorkomen dat beschadigde resources worden gemaakt

  • Met behulp van de afgedwongen optie kunt u profiteren van het effect DeployIfNotExist van Azure Policy en automatisch niet-compatibele resources herstellen bij het maken

Dit is beschikbaar voor geselecteerde beveiligingsaanbevelingen en is bovenaan de pagina met resourcedetails te vinden.

Meer informatie vindt u in Onjuiste configuraties voorkomen met de aanbevelingen voor afdwingen/weigeren.

Aanbevelingen voor netwerkbeveiligingsgroep verbeterd

De volgende beveiligingsaanbevelingen met betrekking tot netwerkbeveiligingsgroepen zijn verbeterd om enkele gevallen van fout-positieven te verminderen.

  • Alle netwerkpoorten moeten worden beperkt voor de netwerkbeveiligingsgroep die is gekoppeld aan uw VM
  • Beheerpoorten moeten gesloten zijn op uw virtuele machines
  • Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen
  • Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep

Aanbeveling AKS-preview 'Beveiligingsbeleid voor pods moet worden gedefinieerd voor Kubernetes Services' afgeschaft'

De preview-aanbeveling 'Beveiligingsbeleid voor pods moet worden gedefinieerd voor Kubernetes Services' wordt afgeschaft zoals beschreven in de documentatie van Azure Kubernetes Service.

De functie voor het beveiligingsbeleid voor pods (preview) is ingesteld voor afschaffing en is niet meer beschikbaar na 15 oktober 2020 ten gunste van Azure Policy voor AKS.

Nadat de functie voor beveiligingsbeleid voor pods (preview) is afgeschaft, moet u de functie op alle bestaande clusters uitschakelen met behulp van de afgeschafte functie om toekomstige clusterupgrades uit te voeren en de ondersteuning van Azure te kunnen blijven gebruiken.

E-mailmeldingen van Azure Security Center verbeterd

E-mailmeldingen met betrekking tot beveiligingswaarschuwingen zijn als volgt verbeterd:

  • De mogelijkheid voor het verzenden van e-mailmeldingen over waarschuwingen voor alle ernstniveaus is toegevoegd
  • De mogelijkheid om gebruikers op de hoogte te stellen van verschillende Azure-rollen in het abonnement is toegevoegd
  • We informeren abonnementseigenaren standaard proactief over waarschuwingen met een hoge urgentie (die een hoge waarschijnlijkheid hebben een echte inbreuk te zijn)
  • Het telefoonnummerveld is verwijderd van de configuratiepagina voor e-mailmeldingen

Meer informatie vindt u in E-mailmeldingen instellen voor beveiligingswaarschuwingen.

Beveiligingsscore bevat geen preview-aanbevelingen

Security Center controleert uw resources, abonnementen en organisatie doorlopend op beveiligingsproblemen. Vervolgens worden alle bevindingen tot één enkele score samengevoegd, zodat u in een oogopslag uw huidige beveiligingssituatie kunt zien: hoe hoger de score, hoe lager het geïdentificeerde risiconiveau is.

Als er nieuwe bedreigingen worden gedetecteerd, wordt nieuw beveiligingsadvies beschikbaar gesteld in Security Center via nieuwe aanbevelingen. Om te voorkomen dat uw beveiligingsscore plotseling verandert, en om een respijtperiode te bieden waarin u nieuwe aanbevelingen kunt verkennen voordat ze van invloed zijn op uw scores, worden de aanbevelingen die zijn gemarkeerd als Preview niet meer opgenomen in de berekeningen van uw beveiligingsscore. Ze moeten, waar mogelijk, nog steeds worden hersteld. Wanneer de preview-periode is afgelopen, worden ze dus meegerekend in uw score.

Daarnaast worden in Preview-aanbevelingen resources niet als 'Niet in orde' weergegeven.

Een voorbeeld van een preview-aanbeveling:

Aanbeveling met de preview-vlag.

Meer informatie over de beveiligingsscore.

Aanbevelingen bevatten nu een ernst-indicator en vernieuwingsinterval

De detailpagina voor aanbevelingen bevat nu een indicator voor het vernieuwingsinterval (indien relevant) en een duidelijke weergave van de ernst van de aanbeveling.

Aanbevelingspagina met frisheid en ernst.

Augustus 2020

De updates in augustus zijn onder meer:

Inventarisatie van activa - krachtige nieuwe weergave van het beveiligingspostuur van uw assets

Assetinventarisatie van Azure Security Center (momenteel in preview) biedt een manier om het beveiligingspostuur weer te geven van de resources die u hebt verbonden met Security Center.

Security Center analyseert periodiek de beveiligingsstatus van uw Azure-resources om mogelijke beveiligingsproblemen op te sporen. Vervolgens krijgt u aanbevelingen voor het oplossen van deze beveiligingsproblemen. Wanneer een resource openstaande aanbevelingen heeft, worden deze weergegeven in de inventarisatie.

U kunt de weergave en de filters gebruiken om uw beveiligingspostuur te verkennen en verdere acties uit te voeren op basis van uw bevindingen.

Meer informatie over assetinventarisatie.

Ondersteuning toegevoegd voor standaardinstellingen voor Azure Active Directory-beveiliging (voor meervoudige verificatie)

Security Center heeft volledige ondersteuning toegevoegd voor standaardinstellingen voor beveiliging, de gratis beveiliging van identiteiten van Microsoft.

Standaardwaarden voor beveiliging bieden vooraf geconfigureerde instellingen voor identiteitsbeveiliging om uw organisatie te beschermen tegen algemene identiteitsgerelateerde aanvallen. Standaardinstellingen voor beveiliging beschermen al meer dan 5 miljoen tenants in totaal; 50.000-tenants worden ook beveiligd door Security Center.

Security Center biedt nu een beveiligingsaanbeveling wanneer een Azure-abonnement wordt geïdentificeerd waarvoor geen standaardinstellingen voor beveiliging zijn ingeschakeld. Tot nu toe heeft Security Center aanbevolen meervoudige verificatie in te schakelen met behulp van voorwaardelijke toegang, die deel uitmaakt van de Premium-licentie van Azure Active Directory (AD). Klanten die gratis Azure AD gebruiken, raden we nu aan om de standaardinstellingen voor beveiliging in te schakelen.

Ons doel is om meer klanten te stimuleren om hun cloudomgevingen met meervoudige verificatie te beveiligen en een van de grootste risico's te beperken die ook het meest van invloed zijn op uw beveiligingsscore.

Meer informatie over standaardinstellingen voor beveiliging.

Aanbeveling voor service-principals toegevoegd

Er is een nieuwe aanbeveling toegevoegd om aan te bevelen dat Security Center-klanten die beheercertificaten gebruiken om hun abonnementen te beheren, overstappen op service-principals.

De aanbeveling, Gebruik service-principals om uw abonnementen te beschermen, geen beheercertificaten, adviseert u service-principals of Azure Resource Manager te gebruiken om uw abonnementen veiliger te beheren.

Meer informatie vindt u in Toepassings- en service-principal-objecten in Azure Active Directory.

Evaluatie van beveiligingsproblemen op VM's - aanbevelingen en beleidsregels geconsolideerd

Security Center inspecteert uw VM's om te detecteren of ze een oplossing voor de evaluatie van beveiligingsproblemen uitvoeren. Als er geen oplossing voor de evaluatie van beveiligingsproblemen wordt gevonden, biedt Security Center een aanbeveling om de implementatie te vereenvoudigen.

Als er beveiligingsproblemen worden gevonden, wordt in Security Center een aanbeveling gegeven waarin de resultaten worden beschreven die u zo nodig kunt onderzoeken en herstellen.

Om ervoor te zorgen dat alle gebruikers een consistente ervaring hebben, ongeacht het type scanner dat ze gebruiken, hebben we vier aanbevelingen geïntegreerd in de volgende twee:

Uniforme aanbeveling Wijzigingsbeschrijving
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) Vervangt de volgende twee aanbevelingen:
De ingebouwde oplossing voor evaluatie van beveiligingsproblemen inschakelen op virtuele machines (mogelijk gemaakt door Qualys (nu afgeschaft) (opgenomen in de standard-laag)
De oplossing voor evaluatie van beveiligingsproblemen moet worden geïnstalleerd op uw virtuele machines (nu afgeschaft) (Standard- en gratis lagen)
Beveiligingsproblemen op uw virtuele machines moeten worden hersteld Vervangt de volgende twee aanbevelingen:
Beveiligingsproblemen herstellen die zijn gevonden op uw virtuele machines (mogelijk gemaakt door Qualys) (nu afgeschaft)
Beveiligingsproblemen moeten worden opgelost door een oplossing voor evaluatie van beveiligingsproblemen (nu afgeschaft)

Nu gebruikt u dezelfde aanbeveling om de extensie voor evaluatie van beveiligingsproblemen van Security Center of een privé gelicentieerde oplossing (BYOL) te implementeren van een partner zoals Qualys of Rapid 7.

Wanneer er beveiligingsproblemen worden gevonden en gerapporteerd aan Security Center, wordt u door één aanbeveling gewaarschuwd voor de bevindingen, ongeacht de oplossing voor de evaluatie van beveiligingsproblemen die deze heeft gesignaleerd.

Afhankelijkheden bijwerken

Als u scripts, query's of automatiseringen hebt die verwijzen naar de vorige aanbevelingen of beleidssleutels/-namen, gebruikt u de onderstaande tabellen om de verwijzingen bij te werken:

Vóór augustus 2020
Aanbeveling Bereik
De ingebouwde oplossing voor evaluatie van beveiligingsproblemen inschakelen op virtuele machines (mogelijk gemaakt door Qualys)
Sleutel: 550e890b-e652-4d22-8274-60b3bdb24c63
Ingebouwd
Beveiligingsproblemen op uw virtuele machines herstellen (mogelijk gemaakt door Qualys)
Sleutel: 1195afff-c881-495e-9bc5-1486211ae03f
Ingebouwd
Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines moeten worden geïnstalleerd
Sleutel: 01b1ed4c-b733-4fee-b145-f23236e70cf3
BYOL (Bring Your Own License)
Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen
Sleutel: 71992a2a-d168-42e0-b10e-6b45fa2ecddb
BYOL (Bring Your Own License)
Beleid Bereik
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op virtuele machines
Beleids-id: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Ingebouwd
Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen
Beleids-id: 760a85ff-6162-42b3-8d70-698e268f648c
BYOL (Bring Your Own License)
Vanaf augustus 2020
Aanbeveling Bereik
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)
Sleutel: ffff0522-1e88-47fc-8382-2a80ba848f5d
Ingebouwd en BYOL
Beveiligingsproblemen op uw virtuele machines moeten worden hersteld
Sleutel: 1195afff-c881-495e-9bc5-1486211ae03f
Ingebouwd en BYOL
Beleid Bereik
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op virtuele machines
Beleids-id: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Ingebouwd en BYOL

Nieuw AKS-beveiligingsbeleid toegevoegd aan ASC_default initiatief

Om ervoor te zorgen dat Kubernetes-workloads standaard veilig zijn, voegt Security Center beleid en aanbevelingen voor beveiliging op Kubernetes-niveau toe, met inbegrip van afdwingingsopties met Kubernetes Admission Control.

De vroege fase van dit project bevat een preview en het toevoegen van nieuwe (standaard uitgeschakelde) beleidsregels aan het ASC_default initiatief.

U kunt dit beleid veilig negeren en dit heeft geen invloed op uw omgeving. Als u ze wilt inschakelen, meldt u zich aan voor de preview via de privécommunity van Microsoft Cloud Security en selecteert u een van de volgende opties:

  1. Eén preview : alleen deze preview toevoegen. Vermeld 'ASC Continuous Scan' expliciet als de preview-versie waaraan u wilt deelnemen.
  2. Doorlopend programma: om deel te nemen aan deze en toekomstige beperkte previews. U moet een profiel- en privacyovereenkomst voltooien.

Juli 2020

De updates in juli zijn onder meer:

De evaluatie van beveiligingsproblemen voor virtuele machines is nu beschikbaar voor niet-Marketplace-installatiekopieën

Toen u een oplossing voor evaluatie van beveiligingsproblemen hebt geïmplementeerd, heeft Security Center eerder een validatiecontrole uitgevoerd vóór de implementatie. De controle was om te bevestigen dat de virtuele doelmachine een Marketplace-SKU bevatte.

Vanaf deze update wordt de controle verwijderd en kunt u nu hulpprogramma's voor evaluatie van beveiligingsproblemen implementeren op 'aangepaste' Windows- en Linux-machines. Aangepaste installatiekopieën zijn bestanden die u hebt gewijzigd op basis van de standaardinstellingen voor Marketplace.

Hoewel u nu de geïntegreerde uitbreiding van de evaluatie van beveiligingsproblemen kunt implementeren (mogelijk gemaakt door Qualys) op veel meer computers, is ondersteuning alleen beschikbaar als u een besturingssysteem gebruikt dat wordt vermeld in De geïntegreerde scanner voor beveiligingsproblemen implementeren op virtuele machines van de Standaard-laag

Meer informatie over de geïntegreerde beveiligingsscanner voor virtuele machines (vereist Azure Defender).

Meer informatie over het gebruik van uw eigen oplossing voor evaluatie van beveiligingsproblemen met een persoonlijke licentie van Qualys of Rapid7 in het implementeren van een oplossing voor het scannen van beveiligingsproblemen van partners.

Beveiliging tegen bedreigingen voor Azure Storage is uitgebreid tot Azure Files en Azure Data Lake Storage Gen2 (preview)

Beveiliging tegen bedreigingen voor Azure Storage detecteert potentieel schadelijke activiteiten in uw Azure Storage-accounts. Security Center geeft waarschuwingen weer wanneer er wordt geprobeerd toegang te krijgen tot uw opslagaccounts.

Uw gegevens kunnen worden beschermd, ongeacht of deze zijn opgeslagen als blobcontainers, bestandsshares of data lakes.

Acht nieuwe aanbevelingen voor het inschakelen van beveiligingsfuncties voor bedreigingen

Er zijn acht nieuwe aanbevelingen toegevoegd om een eenvoudige manier te bieden om beveiligingsfuncties van Azure Security Center voor de volgende typen resources in te schakelen: virtuele machines, App Service-abonnementen, Azure SQL Database-servers, SQL-servers op computers, Azure Storage-accounts, Azure Kubernetes Service-clusters, Azure Container Registry-registers en Azure Key Vault-kluizen.

De nieuwe aanbevelingen zijn:

  • Advanced Data Security moet zijn ingeschakeld voor Azure SQL Database-servers
  • Advanced Data Security moet zijn ingeschakeld voor SQL-servers op computers
  • Advanced Threat Protection moet zijn ingeschakeld voor Azure App Service-plannen
  • Advanced Threat Protection moet zijn ingeschakeld voor Azure Container Registry-registers
  • Advanced Threat Protection moet zijn ingeschakeld voor Azure Key Vault-kluizen
  • Advanced Threat Protection moet zijn ingeschakeld voor Azure Kubernetes Service-clusters
  • Advanced Threat Protection moet zijn ingeschakeld voor Azure Storage-accounts
  • Advanced Thread Protection moet zijn ingeschakeld op virtuele machines

De aanbevelingen bevatten ook de mogelijkheid voor snelle oplossingen.

Belangrijk

Als u een van deze aanbevelingen herstelt, worden er kosten in rekening gebracht voor de beveiliging van de relevante resources. Deze kosten worden onmiddellijk van kracht als er gerelateerde resources zijn in het huidige abonnement. Of in de toekomst, als u ze op een later tijdstip toevoegt.

Als u bijvoorbeeld geen Azure Kubernetes Service-clusters in uw abonnement hebt en u de beveiliging tegen bedreigingen inschakelt, worden er geen kosten in rekening gebracht. Als u in de toekomst een cluster toevoegt aan dit abonnement, wordt dit automatisch beveiligd en worden de kosten op dat moment gestart.

Meer informatie over bescherming tegen bedreigingen in Azure Security Center.

Verbeteringen in de containerbeveiliging - sneller zoeken in het register en vernieuwde documentatie

Als onderdeel van de continue investeringen in het domein van containerbeveiliging zijn we blij een aanzienlijke prestatieverbetering in de dynamische scans van Security Center-containerinstallatiekopieën die zijn opgeslagen in Azure Container Registry te kunnen delen. Scans zijn nu doorgaans in ongeveer twee minuten voltooid. In sommige gevallen kunnen ze maximaal 15 minuten duren.

Ter verbetering van de duidelijkheid en richtlijnen met betrekking tot de beveiligingsmogelijkheden van containers van Azure Security Center, hebben we ook de pagina's met documentatie over containerbeveiliging vernieuwd.

Adaptieve toepassingsregelaars bijgewerkt met een nieuwe aanbeveling en ondersteuning voor jokertekens in padregels

De functie voor adaptieve toepassingsregelaars heeft twee belangrijke updates ontvangen:

  • Een nieuwe aanbeveling duidt mogelijk legitiem gedrag aan dat nog niet is toegestaan. De nieuwe aanbeveling, De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt, vraagt u om nieuwe regels aan het bestaande beleid toe te voegen om het aantal fout-positieven in adaptieve toepassingsregelaars te verminderen.

  • Padregels ondersteunen nu jokertekens. Vanaf deze update kunt u regels voor toegestane paden configureren met behulp van jokertekens. Er zijn twee ondersteunde scenario's:

    • Gebruik een jokerteken aan het einde van een pad om alle uitvoerbare bestanden in deze map en submappen toe te staan.

    • Een jokerteken in het midden van een pad gebruiken om het mogelijk te maken een bekende naam van een uitvoerbaar bestand te gebruiken met een veranderende mapnaam (bijvoorbeeld persoonlijke gebruikersmappen met een bekend uitvoerbaar bestand, automatisch gegenereerde mapnamen, etc.).

Zes beleidsregels voor Advanced Data Security van SQL afgeschaft

Er worden zes beleidsregels met betrekking tot geavanceerde gegevensbeveiliging voor SQL-machines afgeschaft:

  • Advanced Threat Protection-typen moeten zijn ingesteld op 'Alles' in de Advanced Data Security-instellingen van SQL Managed Instance
  • Advanced Threat Protection-typen moeten worden ingesteld op 'Alles' in de Advanced Data Security-instellingen van SQL Server
  • De Advanced Data Security-instellingen voor SQL Managed Instance moeten een e-mailadres bevatten om beveiligingswaarschuwingen te ontvangen
  • De Advanced Data Security-instellingen voor SQL Server moeten een e-mailadres bevatten om beveiligingswaarschuwingen te ontvangen
  • E-mailmeldingen aan beheerders en abonnementseigenaren moeten zijn ingeschakeld in de Advanced Data Security-instellingen voor het beheerde SQL-exemplaar
  • E-mailmeldingen aan beheerders en abonnementseigenaren moeten zijn ingeschakeld in de Advanced Data Security-instellingen van de SQL-server

Meer informatie over ingebouwd beleid.

Juni 2020

De updates in juni zijn onder meer:

Beveiligingsscore-API (preview)

U hebt nu toegang tot uw score via de Beveiligingsscore-API (momenteel als preview). De API-methoden bieden de flexibiliteit om query's uit te voeren op de gegevens en uw eigen rapportagemechanisme te bouwen van uw beveiligingsscores in de loop van de tijd. U kunt bijvoorbeeld de Beveiligingsscore-API gebruiken om de score voor een specifiek abonnement op te halen. Daarnaast kunt u de API voor besturingselementen van de beveiligingsscore gebruiken om de besturingselementen voor beveiliging en de huidige score van uw abonnementen weer te geven.

Zie het gebied voor beveiligingsscores van onze GitHub-community voor voorbeelden van externe hulpprogramma's die mogelijk zijn gemaakt met de Beveiligingsscore-API.

Meer informatie over beveiligingsscore en besturingselementen voor beveiliging in Azure Security Center.

Geavanceerde gegevensbeveiliging voor SQL-machines (Azure, andere clouds en on-premises) (preview)

De geavanceerde gegevensbeveiliging van Azure Security Center voor SQL-machines biedt nu beveiliging voor SQL-servers die worden gehost op Azure, in andere cloudomgevingen en zelfs op on-premises machines. Hiermee wordt de beveiliging voor uw systeemeigen SQL-servers van Azure uitgebreid om hybride omgevingen volledig te ondersteunen.

Geavanceerde gegevensbeveiliging biedt evaluatie van beveiligingsproblemen en geavanceerde beveiliging tegen bedreigingen voor uw SQL-machines, waar ze zich ook bevinden.

Het instellen bestaat uit twee stappen:

  1. De Log Analytics-agent implementeren op de hostcomputer van uw SQL Server om verbinding te maken met het Azure-account.

  2. Het inschakelen van de optionele bundel op de pagina met prijzen en instellingen van Security Center.

Meer informatie over geavanceerde gegevensbeveiliging voor SQL-machines.

Twee nieuwe aanbevelingen voor het implementeren van de Log Analytics-agent op Azure Arc-machines (preview)

Er zijn twee nieuwe aanbevelingen toegevoegd om de Log Analytics-agent te implementeren op uw Azure Arc-machines en ervoor te zorgen dat ze worden beveiligd door Azure Security Center:

  • De Log Analytics-agent moet zijn geïnstalleerd op uw Windows Azure Arc-machines (preview)
  • De Log Analytics-agent moet zijn geïnstalleerd op uw Linux Azure Arc-machines (preview)

Deze nieuwe aanbevelingen worden weergegeven in dezelfde vier besturingselementen voor beveiliging als de bestaande (gerelateerde) aanbeveling, De bewakingsagent moet op uw computers worden geïnstalleerd: beveiligingsconfiguraties herstellen, adaptieve toepassingsregelaars toepassen, systeemupdates toepassen en eindpuntbeveiliging inschakelen.

De aanbevelingen omvatten ook de functie Snelle oplossing om het implementatieproces te versnellen.

Meer informatie over hoe Azure Security Center de agent gebruikt, vindt u in Wat is de Log Analytics-agent?.

Meer informatie over extensies voor Azure Arc-machines.

Nieuw beleid voor het maken van configuraties voor continue export en werkstroomautomatisering op schaal

Het automatiseren van de processen voor bewaking en reageren op incidenten van uw organisatie kan de tijd die nodig is om beveiligingsincidenten te onderzoeken en te verhelpen aanzienlijk verbeteren.

Als u uw automatiseringsconfiguraties in uw organisatie wilt implementeren, gebruikt u deze ingebouwde DeployIfdNotExist-beleidsregels van Azure voor het maken en configureren van procedures voor continue export en werkstroomautomatisering:

De beleidsdefinities vindt u in Azure Policy:

Goal Beleid Beleids-id
Continue export naar Event Hubs Export implementeren naar Event Hubs voor Waarschuwingen en aanbevelingen van Azure Security Center cdfcce10-4578-4ecd-9703-530938e4abcb
Continue export naar Log Analytics-werkruimte Export implementeren in Log Analytics-werkruimte voor Azure Security Center-waarschuwingen en -aanbevelingen ffb6f416-7bd2-4488-8828-56585fef2be9
Werkstroomautomatisering voor beveiligingswaarschuwingen Werkstroomautomatisering implementeren voor Azure Security Center-waarschuwingen f1525828-9a90-4fcf-be48-268cdd02361e
Werkstroomautomatisering voor beveiligingsaanbevelingen Werkstroomautomatisering implementeren voor Azure Security Center-aanbevelingen 73d6ab6c-2475-4850-afd6-43795f3492ef

Aan de slag met sjablonen voor werkstroomautomatisering.

Meer informatie over het gebruik van de twee exportbeleidsregels vindt u in Configure workflow automation at scale using the supplied policies (Werkstroomautomatisering op schaal configureren met de meegeleverde beleidsregels) en Set up a continuous export (Continue export instellen).

Nieuwe aanbeveling voor het gebruik van netwerkbeveiligingsgroepen om niet op internet gerichte virtuele machines te beveiligen

Het besturingselement voor beveiliging 'aanbevolen procedures voor beveiliging implementeren' bevat nu de volgende nieuwe aanbeveling:

  • Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen

In een bestaande aanbeveling, Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen, werd geen onderscheid gemaakt tussen op internet gerichte en niet op internet gerichte virtuele machines. Voor beide werd een aanbeveling met een hoge urgentie gegenereerd als een virtuele machine niet aan een netwerkbeveiligingsgroep was toegewezen. In deze nieuwe aanbeveling wordt een onderscheid gemaakt met niet op internet gerichte machines om de fout-positieven te verminderen en onnodige waarschuwingen met hoge urgentie te voorkomen.

Nieuw beleid voor het inschakelen van beveiliging tegen bedreigingen en geavanceerde gegevensbeveiliging

De nieuwe beleidsdefinities hieronder zijn toegevoegd aan het ASC-standaardinitiatief en zijn ontworpen om te helpen bij het inschakelen van bedreigingsbeveiliging of geavanceerde gegevensbeveiliging voor de relevante resourcetypen.

De beleidsdefinities vindt u in Azure Policy:

Beleid Beleids-id
Advanced Data Security moet zijn ingeschakeld voor Azure SQL Database-servers 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
Advanced Data Security moet zijn ingeschakeld voor SQL-servers op computers 6581d072-105e-4418-827f-bd446d56421b
Advanced Threat Protection moet zijn ingeschakeld voor Azure Storage-accounts 308fbb08-4ab8-4e67-9b29-592e93fb94fa
Advanced Threat Protection moet zijn ingeschakeld voor Azure Key Vault-kluizen 0e6763cc-5078-4e64-889d-ff4d9a839047
Advanced Threat Protection moet zijn ingeschakeld voor Azure App Service-plannen 2913021d-f2fd-4f3d-b958-22354e2bdbcb
Advanced Threat Protection moet zijn ingeschakeld voor Azure Container Registry-registers c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
Advanced Threat Protection moet zijn ingeschakeld voor Azure Kubernetes Service-clusters 523b5cd1-3e23-492f-a539-13118b6d1e3a
Advanced Thread Protection moet zijn ingeschakeld op virtuele machines 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Meer informatie over bescherming tegen bedreigingen in Azure Security Center.

Mei 2020

De updates in mei zijn onder meer:

Regels voor waarschuwingsonderdrukking (preview)

Met deze nieuwe functie (momenteel in preview) kunt u overbodige waarschuwingen verminderen. Gebruik regels om waarschuwingen waarvan bekend is dat ze onschuldig of gerelateerd zijn aan normale activiteiten in uw organisatie automatisch te verbergen. Zo kunt u zich richten op de meest relevante bedreigingen.

Waarschuwingen die overeenkomen met uw ingeschakelde onderdrukkingsregels worden nog steeds gegenereerd, maar de status wordt ingesteld op 'Genegeerd'. U kunt de status bekijken in Azure Portal of de manier waarop u uw Security Center beveiligingswaarschuwingen bekijkt.

Met onderdrukkingsregels worden de criteria gedefinieerd waarvoor waarschuwingen automatisch moeten worden genegeerd. Normaal gesproken gebruikt u een onderdrukkingsregel voor het volgende:

  • waarschuwingen onderdrukken die u als fout-positieven hebt geïdentificeerd

  • waarschuwingen onderdrukken die te vaak worden geactiveerd om nuttig te zijn

Meer informatie over het onderdrukken van waarschuwingen voor beveiliging tegen bedreigingen van Azure Security Center.

Evaluatie van beveiligingsproblemen van virtuele machines is nu algemeen beschikbaar

De Standaard-laag van Security Center bevat nu een geïntegreerde evaluatie van beveiligingsproblemen voor virtuele machines zonder extra kosten. Deze uitbreiding wordt mogelijk gemaakt door Qualys, maar rapporteert de resultaten direct terug naar Security Center. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center.

De nieuwe oplossing kan voortdurend uw virtuele machines scannen om beveiligingsproblemen op te sporen en de bevindingen in Security Center weergeven.

Als u de oplossing wilt implementeren, gebruikt u de nieuwe beveiligingsaanbeveling:

'De ingebouwde oplossing voor evaluatie van beveiligingsproblemen inschakelen op virtuele machines (mogelijk gemaakt door Qualys)'

Meer informatie over De geïntegreerde evaluatie van beveiligingsproblemen voor virtuele machines van Security Center.

Wijzigingen in de Just-In-Time-toegang van virtuele machines (VM)

Security Center bevat een optionele functie waarmee u de beheerpoorten van uw virtuele machines kunt beveiligen. Dit biedt een verdediging tegen de meest voorkomende vorm van beveiligingsaanvallen.

Met deze update worden de volgende wijzigingen doorgevoerd in deze functie:

  • De aanbeveling die u adviseert om JIT in te schakelen op een virtuele machine, is gewijzigd. Voorheen moet 'Just-In-Time-netwerktoegangsbeheer worden toegepast op virtuele machines' het is nu: 'Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer'.

  • De aanbeveling wordt alleen geactiveerd als er open beheerpoorten zijn.

Meer informatie over de JIT-toegangsfunctie.

Aangepaste aanbevelingen zijn verplaatst naar een afzonderlijk besturingselement voor beveiliging

Eén beveiligingsbeheer dat is geïntroduceerd met de verbeterde beveiligingsscore, was 'Best practices voor beveiliging implementeren'. Aangepaste aanbevelingen die zijn gemaakt voor uw abonnementen, worden automatisch in dat besturingselement geplaatst.

Om het gemakkelijker te maken om uw aangepaste aanbevelingen te vinden, hebben we deze verplaatst naar een speciaal beveiligingsbeheer, 'Aangepaste aanbevelingen'. Dit besturingselement heeft geen invloed op uw beveiligingsscore.

Meer informatie over besturingselementen voor beveiliging vindt u in Verbeterde beveiligingsscore (preview) in Azure Security Center.

Schakeloptie toegevoegd om aanbevelingen weer te geven in besturingselementen of als een platte lijst

Besturingselementen voor beveiliging zijn logische groepen van gerelateerde beveiligingsaanbevelingen. Ze zijn gebaseerd op gebieden waar u kwetsbaar bent voor aanvallen. Een besturingselement is een reeks beveiligingsaanbevelingen met instructies die u helpen bij het implementeren van deze aanbevelingen.

Als u onmiddellijk wilt zien hoe goed uw organisatie een afzonderlijke kwetsbaarheid beveiligt, controleert u de scores voor elk besturingselement voor beveiliging.

Uw aanbevelingen worden standaard weergegeven in de besturingselementen voor beveiliging. Vanaf deze update kunt u ze ook als een lijst weergeven. Als u ze wilt weergeven als een eenvoudige lijst, gesorteerd op de status van de betrokken resources, gebruikt u de nieuwe schakeloptie 'Groeperen op besturingselementen'. De schakeloptie bevindt zich boven de lijst in de portal.

De besturingselementen voor beveiliging - en deze schakeloptie - maken deel uit van de vernieuwde beveiligingsscore. Vergeet niet om ons uw feedback te sturen vanuit de portal.

Meer informatie over besturingselementen voor beveiliging vindt u in Verbeterde beveiligingsscore (preview) in Azure Security Center.

Groeperen op besturingselementen om aanbevelingen te doen.

Besturingselement voor beveiliging 'Aanbevolen procedures voor beveiliging implementeren' uitgebreid

Eén beveiligingsbeheer dat is geïntroduceerd met de verbeterde beveiligingsscore, is 'Best practices voor beveiliging implementeren'. Wanneer een aanbeveling zich in dit besturingselement bevindt, heeft dit geen invloed op de beveiligingsscore.

Met deze update zijn drie aanbevelingen uit de besturingselementen waarin deze oorspronkelijk zijn geplaatst naar dit besturingselement voor aanbevolen procedures verplaatst. We hebben deze stap doorgevoerd omdat er is vastgesteld dat het risico van deze drie aanbevelingen lager is dan oorspronkelijk werd aangenomen.

Daarnaast zijn er twee nieuwe aanbevelingen geïntroduceerd en toegevoegd aan dit besturingselement.

De drie aanbevelingen die zijn verplaatst, zijn:

  • MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnement (oorspronkelijk in het besturingselement 'MFA inschakelen')
  • Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement (oorspronkelijk in het besturingselement 'Toegang en machtigingen beheren')
  • Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnement (oorspronkelijk in het besturingselement 'Toegang en machtigingen beheren')

De twee nieuwe aanbevelingen die aan het besturingselement zijn toegevoegd, zijn:

  • De Gastconfiguratie-extensie moet op virtuele Windows-machines zijn geïnstalleerd (preview): het gebruik van Azure Policy-gastconfiguratie biedt inzicht in de instellingen van de virtuele machines op de server en toepassing (alleen Windows).

  • Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers (preview): Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows).

Meer informatie over Windows Defender Exploit Guard vindt u in Een Exploit Guard-beleid maken en implementeren.

Meer informatie over besturingselementen voor beveiliging vindt u in Verbeterde beveiligingsscore (preview).

Aangepaste beleidsregels met aangepaste metagegevens zijn nu algemeen beschikbaar

Aangepaste beleidsregels maken nu deel uit van de Security Center-aanbevelingen, de beveiligingsscore en het dashboard voor naleving van regelgeving. Deze functie is nu algemeen beschikbaar en biedt u de mogelijkheid om de dekking van de evaluatie van beveiligingsproblemen van uw organisatie in Security Center uit te breiden.

Maak een aangepast initiatief in Azure Policy, voeg er beleidsregels aan toe en onboard het naar Azure Security Center en visualiseer het als aanbevelingen.

We hebben nu ook de optie toegevoegd voor het bewerken van de aangepaste metagegevens voor aanbevelingen. Opties voor metagegevens zijn ernst, herstelstappen, informatie over bedreigingen en meer.

Meer informatie over uw aangepaste aanbevelingen verbeteren met gedetailleerde informatie.

Mogelijkheden voor crashdumpanalyse migreren naar detectie van bestandsloze aanvallen

De detectiemogelijkheden van Windows Crash Dump Analysis (CDA) worden geïntegreerd in detectie van bestandsloze aanvallen. Analyse van detectie van bestandsloze aanvallen biedt verbeterde versies van de volgende beveiligingswaarschuwingen voor Windows-machines: Code-injectie gedetecteerd, Masquerading Windows-module gedetecteerd, Shell-code gedetecteerd en Verdacht codesegment gedetecteerd.

Enkele voordelen hiervan:

  • Proactieve en tijdige detectie van malware: bij de CDA-benadering werd gewacht op een crash, en werden vervolgens analyses uitgevoerd om schadelijke artefacten te vinden. Bij het gebruik van detectie van bestandsloze aanvallen worden bedreigingen in het geheugen proactief geïdentificeerd terwijl ze worden uitgevoerd.

  • Verrijkte waarschuwingen: de beveiligingswaarschuwingen van detectie van bestandsloze aanvallen bevatten verrijkingen die niet beschikbaar zijn via CDA, zoals informatie over actieve netwerkverbindingen.

  • Waarschuwingsaggregatie: wanneer CDA meerdere aanvalspatronen in één crashdump heeft gedetecteerd, worden er meerdere beveiligingswaarschuwingen geactiveerd. Bij detectie van bestandsloze aanvallen worden alle geïdentificeerde aanvalspatronen uit hetzelfde proces gecombineerd tot één waarschuwing, waardoor de noodzaak om meerdere waarschuwingen met elkaar in verband te brengen, wordt weggenomen.

  • Minder vereisten voor uw Log Analytics-werkruimte: crashdumps met mogelijk gevoelige gegevens worden niet meer geüpload naar uw Log Analytics-werkruimte.

April 2020

De updates in april zijn onder meer:

Dynamische nalevingspakketten zijn nu algemeen beschikbaar

Het dashboard voor naleving van regelgeving van Azure Security Center bevat nu dynamische nalevingspakketten (nu algemeen beschikbaar) om aanvullende regelgevende en bedrijfstakstandaarden bij te houden.

Dynamische nalevingspakketten kunnen worden toegevoegd aan uw abonnement of beheergroep via de pagina met beveiligingsbeleid van Security Center. Wanneer u een standaard of benchmark hebt geïntroduceerd, wordt de standaard weergegeven in het dashboard voor naleving van regelgeving met alle gekoppelde nalevingsgegevens die zijn gekoppeld als evaluaties. Er kan een overzichtsrapport voor alle geïntroduceerde standaarden worden gedownload.

U kunt nu standaarden toevoegen zoals:

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • UK OFFICIAL en UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0 (nieuw) (een meer volledige weergave van Azure CIS 1.1.0)

Daarnaast hebben we onlangs de Azure Security-benchmark toegevoegd, de door Microsoft ontworpen, voor Azure specifieke richtlijnen voor aanbevolen procedures voor beveiliging en naleving op basis van algemene nalevingskaders. Er worden extra standaarden ondersteund in het dashboard zodra deze beschikbaar komen.

Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.

Identiteitsaanbevelingen nu opgenomen in de gratis laag van Azure Security Center

Beveiligingsaanbevelingen voor identiteit en toegang in de gratis laag van Azure Security Center zijn nu algemeen beschikbaar. Dit maakt deel uit van de inspanningen om de CSPM-functies (Cloud Security Posture Management) gratis te maken. Tot nu toe zijn deze aanbevelingen alleen beschikbaar in de prijscategorie Standaard.

Voorbeelden van aanbevelingen voor identiteit en toegang zijn onder meer:

  • 'Meervoudige verificatie moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnement.'
  • 'Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnement.'
  • 'Afgeschafte accounts moeten worden verwijderd uit uw abonnement.'

Als u abonnementen hebt in de gratis laag, worden de beveiligingsscores ervan beïnvloed door deze wijziging omdat ze nooit zijn geëvalueerd op hun identiteits- en toegangsbeveiliging.

Maart 2020

Updates in maart zijn onder andere:

Werkstroomautomatisering is nu algemeen beschikbaar

De functie voor werkstroomautomatisering van Azure Security Center is nu algemeen beschikbaar. Gebruik deze functie om automatisch Logic Apps te activeren voor beveiligingswaarschuwingen en -aanbevelingen. Daarnaast zijn er handmatige triggers beschikbaar voor waarschuwingen en alle aanbevelingen met de optie voor snel oplossen.

Elk beveiligingsprogramma bevat meerdere werkstromen voor reacties op incidenten. Deze processen kunnen het melden aan relevante belanghebbenden, het starten van een wijzigingsbeheerproces en het toepassen van specifieke herstelstappen bevatten. Beveiligingsexperts raden u aan zo veel mogelijk stappen van deze procedures te automatiseren. Met automatisering vermindert u de overhead en kunt u de beveiliging verbeteren door ervoor te zorgen dat de processtappen snel, consistent en volgens uw vooraf gedefinieerde vereisten worden uitgevoerd.

Zie Werkstroomautomatisering voor meer informatie over de automatische en handmatige Security Center-mogelijkheden voor het uitvoeren van werkstromen.

Meer informatie over het maken van Logic Apps.

Integratie van Azure Security Center met Windows Admin Center

Het is nu mogelijk om uw on-premises Windows-servers rechtstreeks van het Windows-beheercentrum naar Azure Security Center te verplaatsen. Azure Security Center wordt dan de centrale locatie voor het weergeven van beveiligingsgegevens voor al uw Windows Admin Center-resources, waaronder on-premises servers, virtuele machines en extra PaaS-workloads.

Nadat u een server hebt verplaatst van Het Windows-beheercentrum naar Azure Security Center, kunt u het volgende doen:

  • Beveiligingswaarschuwingen en -aanbevelingen weergeven in de Security Center-extensie van Windows Admin Center.
  • De beveiligingsstructuur weergeven en extra details ophalen van uw door Windows Admin Center beheerde servers in Security Center in Azure Portal (or via een API).

Meer informatie over het integreren van Azure Security Center met Windows Admin Center.

Beveiliging voor Azure Kubernetes Service

De functies voor containerbeveiliging van Azure Security Center worden uitgebreid ter beveiliging van Azure Kubernetes Service (AKS).

Het populaire opensource-platform Kubernetes wordt zo breed gebruikt dat het nu een industriestandaard is voor containerindeling. Ondanks deze wijdverspreide implementatie is er nog steeds geen begrip over het beveiligen van een Kubernetes-omgeving. Het verdedigen van de aanvalsoppervlakken van een toepassing die in een container is geplaatst, vereist ervaring om ervoor te zorgen dat de infrastructuur veilig wordt geconfigureerd en continu wordt bewaakt op mogelijke bedreigingen.

De verdediging van Security Center omvat het volgende:

  • Detectie en zichtbaarheid : continue detectie van beheerde AKS-exemplaren binnen de abonnementen die zijn geregistreerd bij Security Center.
  • Beveiligingsaanbeveling : aanbevelingen die kunnen worden uitgevoerd om u te helpen te voldoen aan de aanbevolen beveiligingsprocedures voor AKS. Deze aanbevelingen worden opgenomen in uw beveiligingsscore om ervoor te zorgen dat ze worden bekeken als onderdeel van de beveiligingspostuur van uw organisatie. Een voorbeeld van een AKS-gerelateerde aanbeveling die u ziet, is 'Op rollen gebaseerd toegangsbeheer moet worden gebruikt om de toegang tot een Kubernetes-servicecluster te beperken'.
  • Bedreigingsbeveiliging : door continue analyse van uw AKS-implementatie waarschuwt Security Center u voor bedreigingen en schadelijke activiteiten die zijn gedetecteerd op host- en AKS-clusterniveau.

Meer informatie over de integratie van Azure Kubernetes Services met Security Center.

Meer informatie over de beveiligingsfuncties van containers in Security Center.

Verbeterde Just-In-Time-ervaring

De functies, bewerkingen en gebruikersinterface voor Just-In-Time-hulpprogramma's van Azure Security Center die uw beheerpoorten beveiligen, zijn als volgt verbeterd:

  • Redenveld : wanneer u toegang tot een virtuele machine (VM) aanvraagt via de Just-In-Time-pagina van Azure Portal, is er een nieuw optioneel veld beschikbaar om een reden voor de aanvraag in te voeren. De informatie die in dit veld wordt ingevoerd, kan worden bijgehouden in het activiteitenlogboek.
  • Automatisch opschonen van redundante Just-In-Time-regels (JIT): wanneer u een JIT-beleid bijwerkt, wordt er automatisch een opschoonprogramma uitgevoerd om de geldigheid van uw hele regelset te controleren. Er wordt met het hulpprogramma gecontroleerd of de regels in uw beleid en de regels in de netwerkbeveiligingsgroep (NSG) overeenkomen. Als het hulpprogramma voor opschonen een onjuiste overeenkomst vindt, wordt de oorzaak bepaald. Wanneer het veilig is om dit te doen, worden ingebouwde regels verwijderd die niet meer nodig zijn. Regels die u hebt gemaakt, worden nooit verwijderd door het opschoningsprogramma.

Meer informatie over de JIT-toegangsfunctie.

Twee beveiligingsaanbeveling voor webtoepassingen afgeschaft

Twee beveiligingsaanbevelingen met betrekking tot webtoepassingen worden afgeschaft:

  • De regels voor webtoepassingen op IaaS NSG's moeten strenger worden. (Gerelateerd beleid: de NSG-regels voor webtoepassingen op IaaS moeten worden beperkt)

  • Toegang tot App Services moet worden beperkt. (Gerelateerd beleid: Toegang tot App Services moet worden beperkt [preview])

Deze aanbevelingen worden niet meer weergegeven in de lijst met aanbevelingen van Security Center. Het gerelateerde beleid wordt niet meer opgenomen in het initiatief 'Security Center Default'.

Februari 2020

Detectie van bestandsloze aanvallen voor Linux (preview)

Omdat aanvallers steeds vaker onopvallendere methoden gebruiken om detectie te voorkomen, wordt Azure Security Center uitgebreid met detectie van bestandsloze aanvallen voor Linux, naast Windows. Bij bestandsloze aanvallen wordt misbruik gemaakt van beveiligingsproblemen in software, worden schadelijke nettoladingen ingevoerd in goedaardige systeemprocessen en worden items verborgen in het geheugen. Deze technieken:

  • traceringen van malware op schijf minimaliseren of elimineren
  • aanzienlijk verminderen van de kans op detectie door op schijf gebaseerde malwarescanoplossingen

Als middel tegen deze bedreiging is in oktober 2018 detectie van bestandsloze aanvallen voor Windows uitgebracht in Azure Security Center. Deze detectie is nu uitgebreid naar Linux.

Januari 2020

Verbeterde beveiligingsscore (preview)

Een verbeterde versie van de functie Secure Score van Azure Security Center is nu beschikbaar als preview-versie. In deze versie zijn meerdere aanbevelingen gegroepeerd in besturingselementen voor beveiliging die beter aansluiten op uw kwetsbaarheden voor aanvallen (bijvoorbeeld de toegang tot beheerpoorten beperken).

Maak uzelf tijdens de preview-fase vertrouwd met de wijzigingen die in de beveiligingsscores zijn doorgevoerd, en bepaal met welke andere herstelbewerkingen u uw omgeving verder kunt beveiligen.

Meer informatie over verbeterde beveiligingsscore (preview).

November 2019

Updates in november omvatten:

Threat Protection voor Azure Key Vault in Noord-Amerika regio's (preview)

Azure Key Vault is een essentiële service voor het beschermen van gegevens en verbeteren van de prestaties van cloudtoepassingen doordat de oplossing de mogelijkheid biedt om sleutels, geheimen, cryptografische sleutels en beleidsregels in de cloud centraal te beheren. Aangezien Azure Key Vault gevoelige en bedrijfskritieke gegevens opslaat, is maximale beveiliging voor de sleutelkluizen en de gegevens die erin zijn opgeslagen vereist.

De ondersteuning van Azure Security Center voor Threat Protection voor Azure Key Vault biedt een extra beveiligingslaag waarmee ongebruikelijke en mogelijk schadelijke pogingen worden gedetecteerd om toegang te krijgen tot of misbruik te maken van sleutelkluizen. Dankzij deze nieuwe beschermingslaag kunnen klanten bedreigingen tegen hun sleutelkluizen afhandelen zonder een beveiligingsexpert te zijn of beveiligingsbewakingssystemen te moeten beheren. De functie is beschikbaar als openbare preview in regio's van Noord-Amerika.

Threat Protection voor Azure Storage omvat reputatiescreening voor malware

Threat Protection voor Azure Storage biedt nieuwe detecties mogelijk gemaakt door Microsoft Threat Intelligence om uploads van malware naar Azure Storage te detecteren met reputatie-analyse van hashes en verdachte toegang via een actief Tor-eindknooppunt (een anonimiserende proxy). U kunt gedetecteerde malware in opslagaccounts weergeven met behulp van Azure Security Center.

Werkstroomautomatisering met Logic Apps (preview)

Organisaties met centraal beheerde beveiliging en IT/operations implementeren interne werkstroomprocessen om aan te zetten tot de vereiste actie binnen de organisatie wanneer discrepanties worden ontdekt in hun omgevingen. In veel gevallen zijn deze werkstromen herhaalbare processen en automatisering kan processen binnen de organisatie aanzienlijk stroomlijnen.

We introduceren vandaag een nieuwe mogelijkheid in Security Center waarmee klanten automatiseringsconfiguraties kunnen maken met gebruikmaking van Azure Logic Apps en om beleidsregels te maken die deze automatisch activeren op basis van specifieke ASC-bevindingen zoals Aanbevelingen of Waarschuwingen. Azure Logic App kan worden geconfigureerd om aangepaste acties uit te voeren ondersteund door de enorme gemeenschap van Logic App-connectors, of door een van de sjablonen van Security Center te gebruiken, zoals het verzenden van een e-mail of openen van een ServiceNow™-ticket.

Zie Werkstroomautomatisering voor meer informatie over de automatische en handmatige Security Center-mogelijkheden voor het uitvoeren van werkstromen.

Zie Azure Logic Apps voor informatie over het maken van logische apps.

Snelle oplossing voor bulkbronnen algemeen beschikbaar

Het kan een uitdaging zijn om problemen in een grote fleet effectief te herstellen omdat een gebruiker zo veel taken krijgt te verwerken als onderdeel van Secure Score.

Gebruik Snelle oplossing voor herstel om onjuiste configuraties van beveiliging op te lossen, aanbevelingen voor meerdere resources op te lossen en uw beveiligingsscore te verbeteren.

Hiermee kunt u de resources selecteren waarop u het herstel wilt toepassen en een herstelactie starten waarmee de instelling voor u wordt gestart.

Snelle oplossing is algemeen beschikbaar voor klanten als onderdeel van de aanbevelingenpagina van Security Center.

Containerinstallatiekopieën scannen op beveiligingsproblemen (preview)

Azure Security Center kan nu containerinstallatiekopieën in Azure Container Registry scannen op beveiligingsproblemen.

Tijdens de installatiekopiescan wordt de containerinstallatiekopie geparseerd en vervolgens wordt gecontroleerd of er bekende beveiligingsproblemen zijn (mogelijk gemaakt door Qualys).

De scan zelf wordt automatisch geactiveerd wanneer nieuwe containerinstallatiekopieën naar Azure Container Registry worden gepusht. Gevonden beveiligingsproblemen worden weergegeven als Security Center-aanbevelingen en opgenomen in de beveiligingsscore, samen met informatie over het patchen van beveiligingsproblemen om het toegestane kwetsbaarheid voor aanvallen te verminderen.

Aanvullende nalevingsstandaarden voor regelgeving (preview)

Het dashboard Naleving van regelgeving biedt inzicht in uw compliancepostuur op basis van evaluaties van Security Center. Op het dashboard ziet u hoe uw omgeving voldoet aan bedieningen en vereisten ontworpen door specifieke regelgevende standaarden en benchmarks van de branche en biedt normatieve aanbevelingen met betrekking tot hoe deze vereisten moeten worden behandeld.

Het dashboard naleving van regelgeving ondersteunt tot nu toe vier ingebouwde standaarden: Azure CIS 1.1.0, PCI-DSS, ISO 27001 en SOC-TSP. We kondigen nu de openbare preview-release van aanvullende ondersteunde standaarden aan: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM en UK Official samen met UK NHS. We kondigen ook een bijgewerkte versie van Azure CIS 1.1.0 aan, met meer bedieningen van de standaard en verbeterde uitbreidbaarheid.

Meer informatie over het aanpassen van de set standaarden in uw dashboard voor naleving van regelgeving.

Threat Protection voor Azure Kubernetes Service (preview)

Kubernetes wordt in hoog tempo de nieuwe standaard voor het implementeren en beheren van software in de cloud. Maar weinig mensen hebben veel ervaring met Kubernetes en velen richten zich dan alleen op algemene engineering en beheer en zien het beveiligingsaspect over het hoofd. De Kubernetes-omgeving moet zorgvuldig worden geconfigureerd om veilig te zijn, waarbij moet worden gecontroleerd of er geen op containers gerichte aanvallen mogelijk zijn door deuren die open staan en zichtbaar zijn voor aanvallers. Security Center breidt de ondersteuning in de containerruimte uit naar een van de snelst groeiende services in Azure - Azure Kubernetes Service (AKS).

De nieuwe mogelijkheden in deze openbare preview-release zijn onder andere:

  • Detectie en zichtbaarheid : continue detectie van beheerde AKS-exemplaren binnen de geregistreerde abonnementen van Security Center.
  • Aanbevelingen voor beveiligingsscore: actie-items om klanten te helpen voldoen aan de aanbevolen beveiligingsprocedures voor AKS en hun beveiligingsscore te verhogen. Aanbevelingen omvatten items zoals op rollen gebaseerd toegangsbeheer om de toegang tot een Kubernetes Service-cluster te beperken.
  • Detectie van bedreigingen: host- en clusteranalyses, zoals 'Een bevoegde container gedetecteerd'.

Evaluatie van beveiligingsproblemen van virtuele machines (preview)

Toepassingen die zijn geïnstalleerd in virtuele machines kunnen vaak beveiligingsproblemen hebben die kunnen leiden tot een schending van de virtuele machine. We kondigen aan dat de Standard-laag van Security Center ingebouwde evaluatie van beveiligingsproblemen bevat voor virtuele machines zonder extra kosten. Met de evaluatie van beveiligingsproblemen, mogelijk gemaakt door Qualys in de openbare preview, kunt u continu alle geïnstalleerde toepassingen op een virtuele machine scannen om kwetsbare toepassingen te vinden en de bevindingen in de Security Center-portal te presenteren. Security Center zorgt voor alle implementatiebewerkingen, waardoor er geen extra werk wordt vereist van de gebruiker. In de toekomst zijn we van plan om evaluatieopties voor beveiligingsproblemen te bieden ter ondersteuning van de unieke bedrijfsbehoeften van onze klanten.

Meer informatie over evaluatie van beveiligingsproblemen voor uw virtuele Azure-machines.

Geavanceerde gegevensbeveiliging voor SQL-servers op virtuele Azure-machines (preview)

De ondersteuning van Azure Security Center voor bedreigingsbeveiliging en evaluatie van beveiligingsproblemen voor SQL DB's die worden uitgevoerd op IaaS-VM's, is nu in preview.

Evaluatie van beveiligingsproblemen is een eenvoudig te configureren service waarmee u potentiële zwakke plekken in de beveiliging van de database kunt detecteren, volgen en verhelpen. Het biedt inzicht in uw beveiligingspostuur als onderdeel van een beveiligingsscore en bevat de stappen voor het oplossen van beveiligingsproblemen en het verbeteren van uw databaseversterkingen.

Advanced Threat Protection detecteert vreemde activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te verkrijgen tot of op aanvallen op uw SQL-server. Met deze functie wordt uw database continu gecontroleerd op verdachte activiteiten en bij afwijkende databasetoegangspatronen worden beveiligingswaarschuwingen gegenereerd waarop acties kunnen worden ondernomen. Deze waarschuwingen bevatten detailinformatie over verdachte activiteiten en aanbevelingen voor het onderzoeken en tegenhouden ervan.

Ondersteuning voor aangepast beleid (preview)

Azure Security Center biedt nu ondersteuning voor aangepast beleid (preview-versie).

Onze klanten wilden hun huidige dekking van beveiligingsevaluaties in Security Center met hun eigen beveiligingsevaluaties uitbreiden op basis van beleidsregels die zij maken in Azure Policy. Met de ondersteuning voor aangepast beleid is dit nu mogelijk.

Deze nieuwe beleidsregels gaan deel uitmaken van de aanbevelingen van Security Center, Secure Score en het dashboard wettelijke nalevingstandaarden. Met de ondersteuning voor aangepast beleid kunt u nu een aangepast initiatief maken in Azure Policy, het toevoegen als een beleid in Security Center en deze visualiseren als een aanbeveling.

Azure Security Center-bereik wordt uitgebreid met platform voor community en partners

Gebruik Security Center om niet alleen aanbevelingen van Microsoft te ontvangen, maar ook van bestaande oplossingen van partners zoals Check Point, Tenable en CyberArk met nog veel meer integraties. De eenvoudige onboardingstroom van Security Center kan uw bestaande oplossingen verbinden met Security Center, zodat u uw aanbevelingen voor beveiligingspostuur op één plaats kunt bekijken, geïntegreerde rapporten kunt uitvoeren en alle mogelijkheden van Security Center kunt gebruiken op basis van zowel ingebouwde als partneraanbeveling. U kunt ook Security Center-aanbevelingen naar producten van partners exporteren.

Meer informatie over Microsoft Intelligent Security Association.

Geavanceerde integraties met export van aanbevelingen en waarschuwingen (preview)

Om scenario's op ondernemingsniveau boven op Security Center in te schakelen, is het nu mogelijk om Waarschuwingen en aanbevelingen van Security Center te gebruiken op extra plaatsen, behalve de Azure-portal of API. Deze kunnen rechtstreeks worden geëxporteerd naar een Event Hub en naar Log Analytics-werkruimten. Hierna volgen enkele werkstromen die u kunt maken met betrekking tot deze nieuwe mogelijkheden:

  • Met exporteren naar Log Analytics-werkruimte kunt u aangepaste dashboards maken met Power BI.
  • Met exporteren naar Event Hubs kunt u Security Center-waarschuwingen en -aanbevelingen exporteren naar uw externe SIEM's, naar een oplossing van derden of Azure Data Explorer.

On-premises servers onboarden naar Security Center vanuit Het Windows-beheercentrum (preview)

Windows Admin Center is een beheerportal voor Windows Servers die niet zijn geïmplementeerd in Azure. Deze portal biedt verschillende Azure-beheermogelijkheden zoals back-up en systeemupdates. We hebben onlangs een mogelijkheid toegevoegd om deze niet-Azure-servers te onboarden om rechtstreeks te worden beveiligd door ASC directly vanaf Windows Admin Center.

Gebruikers kunnen nu een WAC-server onboarden naar Azure Security Center en de beveiligingswaarschuwingen en aanbevelingen rechtstreeks inschakelen in het Windows-beheercentrum.

September 2019

De updates in september zijn onder meer:

Verbeteringen voor het beheren van regels met adaptieve toepassingsregelaars

De ervaring van het beheren van regels voor virtuele machines met behulp van adaptieve toepassingsregelaars is verbeterd. Met de adaptieve toepassingsbesturingselementen van Azure Security Center kunt u bepalen welke toepassingen op uw virtuele machines kunnen worden uitgevoerd. Naast een algemene verbetering voor het beheren van regels kunt u met een nieuw voordeel beheren welke bestandstypen worden beveiligd wanneer u een nieuwe regel toevoegt.

Meer informatie over adaptieve toepassingsregelaars.

Aanbeveling voor containerbeveiliging beheren met behulp van Azure Policy

De aanbeveling van Azure Security Center voor het oplossen van beveiligingsproblemen in containers kan nu worden ingeschakeld of uitgeschakeld via Azure Policy.

Als u uw ingeschakelde beveiligingsbeleid wilt weergeven, opent u vanuit Security Center de pagina Beveiligingsbeleid.

Augustus 2019

De updates in augustus zijn onder meer:

Just-In-Time-VM-toegang (JIT) voor Azure Firewall

Just-In-Time-toegang voor virtuele machines voor Azure Firewall is nu algemeen beschikbaar. Hiermee kunt u uw door Azure Firewall en door NSG beveiligde omgevingen beveiligen.

Met Just-In-Time-toegang voor virtuele machines verkleint u het risico van netwerkvolumeaanvallen door middel van gecontroleerde toegang tot virtuele machines wanneer dit nodig is met behulp van uw NSG- en Azure Firewall-regels.

Als u Just-In-Time inschakelt voor uw virtuele machines, maakt u een beleid waarmee wordt bepaald welke poorten worden beveiligd, hoe lang de poorten open blijven staan en vanaf welke IP-adressen deze poorten kunnen worden benaderd. Met dit beleid kunt u bepalen wat gebruikers kunnen doen wanneer ze toegang aanvragen.

Deze aanvragen worden vastgelegd in het Azure-activiteitenlogboek, zodat u de toegang eenvoudig kunt bewaken en controleren. Op de Just-In-Time-pagina kunt u ook snel bestaande VM's identificeren waarvoor JIT is ingeschakeld en VM's waarvoor JIT wordt aanbevolen.

Meer informatie over Azure Firewall.

Herstel met één klik om uw beveiligingspostuur te verbeteren (preview)

Secure Score is een hulpprogramma waarmee u de beveiligingsstatus van uw workload kunt bepalen. Dit hulpprogramma geeft u aanbevelingen voor beveiliging en bepaalt de volgorde van deze voor u, zodat u weet welke aanbevelingen het eerst moeten worden uitgevoerd. Hiermee ziet u direct de belangrijkste beveiligingsproblemen, zodat u weet wat prioriteit heeft.

Om het herstel van onjuiste beveiligingsconfiguraties te vereenvoudigen en u te helpen uw beveiligingsscore snel te verbeteren, hebben we een nieuwe mogelijkheid toegevoegd waarmee u in één klik een aanbeveling kunt herstellen voor een groot aantal resources.

Hiermee kunt u de resources selecteren waarop u het herstel wilt toepassen en een herstelactie starten waarmee de instelling voor u wordt gestart.

Beheer in meerdere tenants

Security Center ondersteunt nu scenario's voor beheer van meerdere tenants als onderdeel van Azure Lighthouse. Hiermee kunt u zichtbaarheid vergroten en beveiligingspostuur beheren voor meerdere tenants in Security Center.

Meer informatie over beheerervaringen voor meerdere tenants.

Juli 2019

Updates voor netwerkaan aanbevelingen

Er zijn voor Azure Security Center (ASC) nieuwe netwerkaanbevelingen geïntroduceerd en een aantal bestaande aanbevelingen zijn verbeterd. Als u nu Security Center gebruikt, zorgt dit voor een nog betere netwerkbeveiliging van uw resources.

2019 juni

Adaptieve netwerkbeveiliging - algemeen beschikbaar

Een van de grootste aanvalsoppervlakken voor workloads in de openbare cloud zijn verbindingen van en naar het openbare internet. Onze klanten vinden het moeilijk om te weten welke NSG-regels (Network Security Group) er moeten zijn om ervoor te zorgen dat Azure-workloads alleen beschikbaar zijn voor het vereiste bronbereik. Met deze functie leert Security Center het netwerkverkeer en de connectiviteitspatronen van Azure-workloads en biedt het aanbevelingen voor NSG-regels voor internetgerichte virtuele machines. Dit helpt onze klanten hun beleid voor netwerktoegang beter te configureren en de blootstelling aan aanvallen te beperken.