Microsoft Defender dla Chmury zabezpieczenia danych
Aby ułatwić klientom zapobieganie zagrożeniom, wykrywanie i reagowanie na nie, Microsoft Defender dla Chmury zbiera i przetwarza dane związane z zabezpieczeniami, w tym informacje o konfiguracji, metadane, dzienniki zdarzeń i nie tylko. Firma Microsoft przestrzega surowych wymogów z zakresu zabezpieczeń i zgodności — od kodu po działanie usługi.
W tym artykule wyjaśniono, jak dane są zarządzane i chronione w Defender dla Chmury.
Źródła danych
Defender dla Chmury analizuje dane z następujących źródeł, aby zapewnić wgląd w stan zabezpieczeń, zidentyfikować luki w zabezpieczeniach i zalecić środki zaradcze oraz wykryć aktywne zagrożenia:
- Usługi platformy Azure: używa informacji o konfiguracji wdrożonych usług platformy Azure, komunikując się z dostawcą zasobów tej usługi.
- Ruch sieciowy: używa przykładowych metadanych ruchu sieciowego z infrastruktury firmy Microsoft, takich jak źródłowy/docelowy adres IP/port, rozmiar pakietu i protokół sieciowy.
- Rozwiązania partnerskie: korzysta z alertów zabezpieczeń zintegrowanych rozwiązań partnerskich, takich jak zapory i rozwiązania chroniące przed złośliwym kodem.
- Maszyny: używa szczegółów konfiguracji i informacji o zdarzeniach zabezpieczeń, takich jak zdarzenia systemu Windows i dzienniki inspekcji oraz komunikaty dziennika systemowego z maszyn.
Udostępnianie danych
Po włączeniu skanowania w poszukiwaniu złośliwego oprogramowania w usłudze Defender for Storage może ona udostępniać metadane, w tym metadane sklasyfikowane jako dane klienta (np. skrót SHA-256) z Ochrona punktu końcowego w usłudze Microsoft Defender.
Microsoft Defender dla Chmury uruchamiania planu zarządzania stanem zabezpieczeń Defender dla Chmury (CSPM) udostępnia dane zintegrowane z zaleceniami rozwiązania Microsoft Security Exposure Management.
Uwaga
Microsoft Security Exposure Management jest obecnie w publicznej wersji zapoznawczej.
Ochrona danych
Podział danych
Dane są logicznie oddzielone od każdego składnika w całej usłudze. Wszystkie dane są otagowane informacjami o organizacji. To tagowanie jest utrwalane w całym cyklu życia danych i jest wymuszane w każdej warstwie usługi.
Dostęp do danych
Aby zapewnić zalecenia dotyczące zabezpieczeń i zbadać potencjalne zagrożenia bezpieczeństwa, personel firmy Microsoft może uzyskać dostęp do informacji zebranych lub przeanalizowanych przez usługi platformy Azure, w tym zdarzeń tworzenia procesów i innych artefaktów, które mogą przypadkowo obejmować dane klienta lub dane osobowe z maszyn.
Stosujemy się do dodatku Microsoft Online Services Data Protection, który wskazuje, że firma Microsoft nie będzie używać danych klienta ani uzyskiwać od nich informacji do celów reklamowych ani podobnych celów komercyjnych. Danych klienta używamy tylko w razie potrzeby w celu świadczenia usług platformy Azure, włączając w to cele zgodne ze świadczeniem tych usług. Użytkownik zachowuje wszystkie uprawnienia do danych klienta.
Użycie danych
Firma Microsoft używa wzorców i analizy zagrożeń widocznych w wielu dzierżawach, aby zwiększyć nasze możliwości zapobiegania i wykrywania; Robimy to zgodnie z zobowiązaniami dotyczącymi prywatności opisanymi w naszym oświadczeniu o ochronie prywatności.
Zarządzanie zbieraniem danych z maszyn
Po włączeniu Defender dla Chmury na platformie Azure zbieranie danych jest włączone dla każdej subskrypcji platformy Azure. Możesz również włączyć zbieranie danych dla subskrypcji w Defender dla Chmury. Po włączeniu zbierania danych Defender dla Chmury aprowizować agenta usługi Log Analytics na wszystkich istniejących obsługiwanych maszynach wirtualnych platformy Azure i wszystkich nowych utworzonych.
Agent usługi Log Analytics skanuje pod kątem różnych konfiguracji związanych z zabezpieczeniami i zdarzeń w ślady śledzenia zdarzeń systemu Windows (ETW). Ponadto system operacyjny zgłasza zdarzenia dziennika zdarzeń podczas uruchamiania maszyny. Przykłady takich danych to typ systemu operacyjnego i jego wersja, dzienniki systemu operacyjnego (dzienniki zdarzeń systemu Windows), uruchomione procesy, nazwa maszyny, adresy IP, zalogowany użytkownik i identyfikator dzierżawy. Agent usługi Log Analytics odczytuje wpisy dziennika zdarzeń i ślady ETW i kopiuje je do obszarów roboczych na potrzeby analizy. Agent usługi Log Analytics umożliwia również wykonywanie zdarzeń tworzenia procesów i inspekcję wiersza polecenia.
Jeśli nie używasz rozszerzonych funkcji zabezpieczeń Microsoft Defender dla Chmury, możesz również wyłączyć zbieranie danych z maszyn wirtualnych w zasadach zabezpieczeń. Zbieranie danych jest wymagane w przypadku subskrypcji chronionych przez ulepszone funkcje zabezpieczeń. Kolekcja artefaktów i migawki dysków maszyny wirtualnej będzie nadal włączona, nawet jeśli wyłączono zbieranie danych.
Możesz określić obszar roboczy i region, w którym są przechowywane dane zebrane z maszyn. Wartością domyślną jest przechowywanie danych zebranych z maszyn w najbliższym obszarze roboczym, jak pokazano w poniższej tabeli:
| Lokalizacja geograficzna maszyny wirtualnej | Lokalizacja geograficzna obszaru roboczego |
|---|---|
| Stany Zjednoczone, Brazylia, Republika Południowej Afryki | Stany Zjednoczone |
| Kanada | Kanada |
| Europa (z wyłączeniem Zjednoczonego Królestwa) | Europa |
| Zjednoczone Królestwo | Zjednoczone Królestwo |
| Azja (z wyłączeniem Indii, Japonii, Korei, Chin) | Azja i Pacyfik |
| Korea Południowa | Azja i Pacyfik |
| Indie | Indie |
| Japonia | Japonia |
| Chiny | Chiny |
| Australia | Australia |
Uwaga
Usługa Microsoft Defender for Storage przechowuje artefakty w regionie zgodnie z lokalizacją powiązanego zasobu platformy Azure. Dowiedz się więcej w temacie Omówienie usługi Microsoft Defender for Storage.
Zużycie danych
Klienci mogą uzyskiwać dostęp do Defender dla Chmury powiązanych danych z następujących strumieni danych:
| Stream | Typy danych |
|---|---|
| Dziennik aktywności platformy Azure | Wszystkie alerty zabezpieczeń zatwierdzone Defender dla Chmury żądania dostępu just in time. |
| Dzienniki usługi Azure Monitor | Wszystkie alerty zabezpieczeń. |
| Azure Resource Graph | Alerty zabezpieczeń, zalecenia dotyczące zabezpieczeń, wyniki oceny luk w zabezpieczeniach, informacje o wskaźniku bezpieczeństwa, stan kontroli zgodności i nie tylko. |
| Interfejs API REST usługi Microsoft Defender for Cloud | Alerty zabezpieczeń, zalecenia dotyczące zabezpieczeń i inne. |
Uwaga
Jeśli w ramach subskrypcji nie włączono planów usługi Defender, dane zostaną usunięte z usługi Azure Resource Graph po upływie 30 dni braku aktywności w portalu Microsoft Defender dla Chmury. Po interakcji z artefaktami w portalu powiązanym z subskrypcją dane powinny być widoczne ponownie w ciągu 24 godzin.
Przechowywanie danych
Gdy wykres zabezpieczeń w chmurze zbiera dane ze środowisk platformy Azure i wielu chmur i innych źródeł danych, przechowuje dane przez 14 dni. Po upływie 14 dni dane zostaną usunięte.
Dane obliczeniowe, takie jak ścieżki ataków, mogą być przechowywane przez dodatkowe 14 dni. Obliczone dane składają się z danych pochodzących z danych pierwotnych zebranych ze środowiska. Na przykład ścieżka ataku pochodzi z danych pierwotnych zebranych ze środowiska.
Te informacje są zbierane zgodnie z zobowiązaniami dotyczącymi ochrony prywatności opisanymi w naszym oświadczeniu o ochronie prywatności.
integracja Defender dla Chmury i usługi Microsoft Defender 365 Defender
Po włączeniu dowolnego z płatnych planów Defender dla Chmury automatycznie uzyskasz wszystkie korzyści z usługi Microsoft Defender XDR. Informacje z Defender dla Chmury zostaną udostępnione usłudze Microsoft Defender XDR. Te dane mogą zawierać dane klientów i będą przechowywane zgodnie z wytycznymi dotyczącymi obsługi danych platformy Microsoft 365.