Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta strona zawiera informacje o funkcjach, poprawkach i wycofaniu, które są starsze niż sześć miesięcy. Aby uzyskać najnowsze aktualizacje, przeczytaj co nowego w Defender dla Chmury?.
February 2025
Date | Category | Update |
---|---|---|
February 27 | Change | Ulepszona wyświetlana nazwa zasobu usługi AWS EC2 |
February 27 | ogólna dostępność | Skanowanie złośliwego oprogramowania na żądanie w usłudze Microsoft Defender for Storage |
February 27 | ogólna dostępność | Skanowanie w poszukiwaniu złośliwego oprogramowania przez usługę Defender for Storage dla obiektów blob do 50 GB |
February 23 | Preview | Niezależna od rejestru kontenerów, bezagentowa ocena luk w zabezpieczeniach dla kontenerów uruchomieniowych AKS (wersja zapoznawcza) |
February 23 | Preview | Pulpit nawigacyjny zabezpieczeń danych i sztucznej inteligencji (wersja zapoznawcza) |
February 19 | Preview | Kalkulator kosztów MDC (wersja zapoznawcza) |
February 19 | Preview | 31 nowych i ulepszonych standardów regulacyjnych w wielu chmurach |
Ulepszona wyświetlana nazwa zasobu usługi AWS EC2
27 lutego 2025 r.
Szacowana data zmiany: Marzec 2025 r.
Ulepszamy sposób wyświetlania nazw zasobów dla wystąpień usługi AWS EC2 na naszej platformie. If an EC2 instance has a "name" tag defined, the Resource Name field will now display the value of that tag. If no "name" tag is present, the Resource Name field will continue to show the instance ID as before. The Resource ID will still be available in the Resource ID field for reference.
Użycie tagu EC2 "name" umożliwia łatwe identyfikowanie zasobów przy użyciu niestandardowych, znaczących nazw zamiast identyfikatorów. Dzięki temu można szybciej lokalizować i zarządzać określonymi wystąpieniami, skracając czas i nakład pracy poświęcany na wyszukiwanie lub weryfikację szczegółów dotyczących wystąpień.
Skanowanie złośliwego oprogramowania na żądanie w usłudze Microsoft Defender for Storage
27 lutego 2025 r.
Skanowanie złośliwego oprogramowania na żądanie w usłudze Microsoft Defender for Storage, która jest teraz ogólnie dostępna, umożliwia skanowanie istniejących obiektów blob na kontach usługi Azure Storage w dowolnym momencie, gdy jest to potrzebne. Skanowania można inicjować z poziomu interfejsu użytkownika witryny Azure Portal lub za pośrednictwem interfejsu API REST, obsługując automatyzację za pomocą usługi Logic Apps, podręczników usługi Automation i skryptów programu PowerShell. pl-PL: Ta funkcja używa Microsoft Defender Antivirus z najnowszymi definicjami złośliwego oprogramowania dla każdego skanowania i zapewnia wstępne oszacowanie kosztów w portalu Azure przed wykonaniem skanowania.
Use cases:
- Incident response: Scan specific storage accounts after detecting suspicious activity.
- Security baseline: Scan all stored data when first enabling Defender for Storage.
- Compliance: Set automation to schedule scans that help meet regulatory and data protection standards.
Aby uzyskać więcej informacji, zobacz Skanowanie złośliwego oprogramowania na żądanie.
Skanowanie antywirusowe Defender for Storage dla obiektów blob o rozmiarze do 50 GB
27 lutego 2025 r.
Skanowanie złośliwego oprogramowania w usłudze Defender for Storage obsługuje teraz obiekty blob o rozmiarze do 50 GB (wcześniej ograniczone do 2 GB).
Należy pamiętać, że dla kont magazynu, na które są przekazywane duże bloby, zwiększony limit rozmiaru blobów spowoduje wyższe miesięczne opłaty.
Aby uniknąć nieoczekiwanych wysokich opłat, możesz ustawić odpowiedni limit dla całkowitej liczby GB skanowanych miesięcznie. Aby uzyskać więcej informacji, zobacz Kontrola kosztów skanowania złośliwego oprogramowania przy przesyłaniu.
Niezależna od rejestru kontenerów bezagentowa ocena luk w zabezpieczeniach dla kontenerów środowiska uruchomieniowego usługi AKS (wersja zapoznawcza)
23 lutego 2025 r.
Plany usługi Defender for Containers i Defender for Cloud Security Posture Management (CSPM) obejmują teraz niezależną od rejestru kontenerów, bezagentową ocenę luk w zabezpieczeniach dla kontenerów środowiska uruchomieniowego AKS. To usprawnienie rozszerza zakres oceny luk w zabezpieczeniach, uwzględniając uruchomione kontenery z obrazami z dowolnego rejestru (nie ograniczając się do obsługiwanych rejestrów), a także skanowanie dodatków Kubernetes i narzędzi firm trzecich działających w klastrach AKS. Aby włączyć tę funkcję, upewnij się, że skanowanie maszyn bez agenta jest włączone dla twojej subskrypcji w ustawieniach środowiska usługi Defender for Cloud.
Panel zabezpieczeń danych i sztucznej inteligencji (wersja próbna)
23 lutego 2025 r.
Defender for Cloud ulepsza pulpit nawigacyjny zabezpieczeń danych, aby uwzględnić zabezpieczenia sztucznej inteligencji dzięki nowemu pulpitowi nawigacyjnemu zabezpieczeń danych i sztucznej inteligencji w wersji zapoznawczej. Pulpit nawigacyjny udostępnia scentralizowaną platformę do monitorowania danych i zasobów sztucznej inteligencji oraz zarządzania nimi wraz ze skojarzonymi czynnikami ryzyka i stanem ochrony.
Najważniejsze zalety deski rozdzielczej bezpieczeństwa danych i sztucznej inteligencji to:
- Unified view: Gain a comprehensive view of all organizational data and AI resources.
- Data insights: Understand where your data is stored and the types of resources holding it.
- Protection coverage: Assess the protection coverage of your data and AI resources.
- Critical issues: Highlight resources that require immediate attention based on high-severity recommendations, alerts, and attack paths.
- Odnajdywanie poufnych danych: lokalizowanie i podsumowywanie poufnych zasobów danych w chmurze i zasobach sztucznej inteligencji.
- AI workloads: Discover AI application footprints, including services, containers, data sets, and models.
Dowiedz się więcej na temat pulpitu nawigacyjnego zabezpieczeń danych i sztucznej inteligencji.
Kalkulator kosztów MDC (wersja zapoznawcza)
19 lutego 2025 r.
Z przyjemnością przedstawimy nasz nowy kalkulator kosztów MDC, aby ułatwić oszacowanie kosztów związanych z ochroną środowisk chmury. To narzędzie jest dostosowane do zapewnienia jasnego i dokładnego zrozumienia wydatków, zapewniając efektywne planowanie i budżet.
Dlaczego warto używać kalkulatora kosztów?
Nasz kalkulator kosztów upraszcza proces szacowania kosztów, umożliwiając zdefiniowanie zakresu potrzeb związanych z ochroną. Wybierasz środowiska i plany, które chcesz aktywować, a kalkulator automatycznie wypełnia zasoby podlegające rozliczeniu dla każdego planu, w tym wszelkie odpowiednie rabaty. Masz kompleksowy wgląd w potencjalne koszty bez żadnych niespodzianek.
Key Features:
Scope Definition: Select the plans and environments that interest you. Kalkulator wykonuje proces wykrywania, aby automatycznie wypełnić liczbę rozliczanych jednostek dla każdego planu w każdym środowisku.
Automatyczne i ręczne korekty: narzędzie umożliwia zarówno automatyczne zbieranie danych, jak i korekt ręcznych. Możesz zmodyfikować ilość jednostkową i poziomy rabatów, aby zobaczyć, jak zmiany wpływają na całkowity koszt.
Kompleksowe szacowanie kosztów: Kalkulator zawiera oszacowanie dla każdego planu i raportu całkowitego kosztu. Podano szczegółowy podział kosztów, co ułatwia zrozumienie wydatków i zarządzanie nimi.
Multicloud Support: Our solution works for all supported clouds, ensuring that you get accurate cost estimations regardless of your cloud provider.
Eksportowanie i udostępnianie: Po oszacowaniu kosztów można łatwo eksportować i udostępniać je na potrzeby planowania i zatwierdzania budżetu.
31 nowych i ulepszonych standardów regulacyjnych obejmujących środowiska multicloud
19 lutego 2025 r.
Z przyjemnością ogłaszamy ulepszoną i rozszerzoną obsługę ponad 31 ram zabezpieczeń i przepisów w Defender dla Chmury w Azure, AWS i GCP. To ulepszenie upraszcza ścieżkę do osiągnięcia i utrzymania zgodności, zmniejsza ryzyko naruszeń danych i pomaga uniknąć grzywny i uszkodzenia reputacji.
Nowe i ulepszone struktury to:
Standards | Clouds |
---|---|
UE 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
Ogólne rozporządzenie o ochronie danych UE (RODO) 2016 679 | Azure, AWS, GCP |
NIST CSF v2.0 | Azure, AWS, GCP |
NIST 800 171 Rev3 | Azure, AWS, GCP |
NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
PCI DSS v4.0.1 | Azure, AWS, GCP |
CIS AWS Foundations v3.0.0 | AWS |
CIS Azure Foundations v2.1.0 | Azure |
Kontrolki CIS w wersji 8.1 | Azure, AWS, GCP |
CIS GCP Foundations v3.0 | GCP |
HITRUST CSF v11.3.0 | Azure, AWS, GCP |
SOC 2023 | Azure, AWS, GCP |
SWIFT Ramowe Zasady Kontroli Bezpieczeństwa Klienta 2024 | Azure, AWS, GCP |
ISO IEC 27001:2022 | Azure, AWS, GCP |
ISO IEC 27002:2022 | Azure, AWS, GCP |
ISO IEC 27017:2015 | Azure, AWS, GCP |
Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC) poziom 2 w wersji 2.0 | Azure, AWS, GCP |
AwS Well Architected Framework 2024 | AWS |
Canada Federal PBMM 3.2020 | Azure, AWS, GCP |
APRA CPS 234 2019 | Azure, AWS |
CSA Cloud Controls Matrix v4.0.12 | Azure, AWS, GCP |
Cyber Essentials v3.1 | Azure, AWS, GCP |
Polityka bezpieczeństwa systemów informacji o wymiarze sprawiedliwości w sprawach karnych v5.9.5 | Azure, AWS, GCP |
FFIEC CAT 2017 | Azure, AWS, GCP |
Brazylijska ogólna ustawa o ochronie danych (LGPD) 2018 | Azure |
NZISM v3.7 | Azure, AWS, GCP |
Sarbanes Oxley Act 2022 (SOX) | Azure, AWS |
NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
Dołącza to do najnowszych wersji usługi CIS Azure Kubernetes Service (AKS) w wersji 1.5, CIS Google Kubernetes Engine (GKE) w wersji 1.6 i CIS Amazon Elastic Kubernetes Service (EKS) w wersji 15 sprzed kilku miesięcy.
Aby uzyskać więcej informacji na temat oferty zgodności z przepisami Defender for Cloud, dowiedz się więcej>
January 2025
Date | Category | Update |
---|---|---|
January 30 | ogólna dostępność | Aktualizacja kryteriów skanowania dla rejestrów kontenerów |
January 29 | Change | Ulepszenia skanowania oceny luk w zabezpieczeniach kontenerów obsługiwanego przez rozwiązanie MDVM |
January 27 | ogólna dostępność | Uprawnienia dodane do łącznika GCP w celu obsługi platform sztucznej inteligencji |
January 20 | Change | Ulepszenia rekomendacji punktów odniesienia dla systemu Linux, wspieranych przez GC |
Aktualizacja kryteriów skanowania dla rejestrów kontenerów
30 stycznia 2025 r.
We are updating one of the scan criteria for registry images in the preview recommendation for registry images across all clouds and external registries (Azure, AWS, GCP, Docker, JFrog).
What's Changing?
Obecnie ponownie skanujemy obrazy przez 90 dni po przesłaniu ich do rejestru. Ta zmiana zostanie zmieniona, aby obejmować skanowanie danych z ostatnich 30 dni.
Note
Nie ma żadnych zmian w powiązanych rekomendacjach GA dotyczących oceny luk w zabezpieczeniach kontenerów (VA) na obrazach w rejestrze.
Ulepszenia skanowania oceny luk w zabezpieczeniach kontenerów obsługiwane przez rozwiązanie MDVM
29 stycznia 2025 r.
Z przyjemnością ogłaszamy ulepszenia zakresu skanowania pod kątem luk w zabezpieczeniach kontenerów wprowadzając następujące aktualizacje:
Dodatkowe języki programowania: teraz obsługują języki PHP, Ruby i Rust.
Rozszerzona obsługa języka Java: obejmuje skanowanie pod kątem eksplodowanych plików JAR.
Ulepszone użycie pamięci: zoptymalizowana wydajność podczas odczytywania dużych plików obrazów kontenera.
Uprawnienia dodane do łącznika GCP w celu obsługi platform sztucznej inteligencji
27 stycznia 2025 r.
Łącznik GCP ma teraz dodatkowe uprawnienia do obsługi platformy GCP AI (Vertex AI):
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Ulepszenia zaleceń dotyczących konfiguracji systemu Linux, wspomaganych przez GC
20 stycznia 2025 r.
Ulepszamy funkcję Baselines Linux (obsługiwaną przez GC), aby zwiększyć jej dokładność i pokrycie. W lutym możesz zauważyć zmiany, takie jak zaktualizowane nazwy reguł i dodatkowe reguły. Te ulepszenia zostały zaprojektowane tak, aby ocena linii bazowych jest bardziej dokładna i aktualna. For more information about the changes, please refer to the relevant blog
Niektóre zmiany mogą obejmować dodatkowe zmiany w publicznej wersji zapoznawczej. Ta aktualizacja jest dla Ciebie korzystna i chcemy informować Cię o tym. Jeśli wolisz, możesz zrezygnować z tego zalecenia, wykluczając je z zasobu lub usuwając rozszerzenie GC.
December 2024
Date | Category | Update |
---|---|---|
December 31 | ogólna dostępność | Zmiany interwału skanowania istniejących łączników w chmurze |
December 22 | ogólna dostępność | Doświadczenie monitorowania integralności plików (FIM) wymaga aktualizacji wersji klienta usługi Microsoft Defender dla punktu końcowego |
December 17 | Preview | Zintegruj interfejs wiersza polecenia usługi Defender for Cloud z popularnymi narzędziami CI/CD |
December 10 | ogólna dostępność | Środowisko konfiguracji usługi Defender for Cloud |
December 10 | ogólna dostępność | Poprawione opcje interwału skanowania środowiska chmury w usłudze Defender for Cloud |
December 17 | ogólna dostępność | Możliwości skanowania wrażliwości obejmują teraz udostępnianie plików w Azure |
Zmiany interwału skanowania istniejących łączników w chmurze
31 grudnia 2024 r.
Na początku tego miesiąca opublikowano aktualizację dotyczącą zmienionych opcji interwału usługi Defender for Cloud na potrzeby skanowania środowiska w chmurze. Ustawienie interwału skanowania określa, jak często usługi odnajdywania Defender dla Chmury skanują zasoby w chmurze. Ta zmiana zapewnia bardziej zrównoważony proces skanowania, optymalizowanie wydajności i minimalizowanie ryzyka osiągnięcia limitów interfejsu API.
Ustawienia interwału skanowania dla istniejących łączników usług AWS i GCP w chmurze zostaną zaktualizowane, aby zapewnić Defender dla Chmury możliwość skanowania środowisk w chmurze.
Zostaną wprowadzone następujące korekty:
- Interwały ustawione obecnie między 1–3 godzinami zostaną zaktualizowane do 4 godzin.
- Interwały ustawione na 5 godzin zostaną zaktualizowane do 6 godzin.
- Interwały ustawione między 7–11 godzinami zostaną zaktualizowane do 12 godzin.
- Interwały 13 godzin lub więcej zostaną zaktualizowane do 24 godzin.
Jeśli wolisz inny interwał skanowania, możesz dostosować łączniki chmury przy użyciu strony ustawień środowiska. Te zmiany zostaną zastosowane automatycznie do wszystkich klientów na początku lutego 2025 r. i nie są wymagane żadne dalsze działania.
Możliwości skanowania podatności obejmują teraz udziały plików platformy Azure
17 grudnia 2024 r.
Funkcje skanowania wrażliwości zarządzania stanem zabezpieczeń (CSPM) w Defender for Cloud teraz obejmują udziały plików platformy Azure w wersji ogólnie dostępnej, oprócz kontenerów obiektów blob.
Przed tą aktualizacją włączenie planu Defender CSPM w subskrypcji automatycznie skanowało kontenery obiektów blob na kontach magazynowych w poszukiwaniu poufnych danych. Dzięki tej aktualizacji funkcja skanowania pod kątem wrażliwości programu Defender for CSPM obejmuje teraz udziały plików na tych kontach magazynowych. To ulepszenie usprawnia ocenę ryzyka i ochronę poufnych kont magazynu, zapewniając bardziej kompleksową analizę potencjalnych zagrożeń.
Learn more about sensitivity scanning.
Integracja CLI (interfejsu wiersza polecenia) Defender dla Chmury z popularnymi narzędziami CI/CD
Integracja skanowania CLI w Defender dla Chmury z popularnymi narzędziami CI/CD w Microsoft Defender dla Chmury jest teraz dostępna jako publiczna wersja zapoznawcza. CLI można teraz włączyć do potoków CI/CD w celu skanowania oraz identyfikacji luk w zabezpieczeniach w konteneryzowanym kodzie źródłowym. Ta funkcja pomaga zespołom programistycznym wykrywać i usuwać luki w zabezpieczeniach kodu podczas wykonywania procesu. Wymaga uwierzytelniania do Microsoft Defender for Cloud oraz modyfikacji skryptu potoku. Wyniki skanowania zostaną przekazane do Microsoft Defender dla Chmury, co umożliwi zespołom ds. zabezpieczeń wyświetlanie i korelowanie ich z kontenerami w rejestrze kontenerów. To rozwiązanie zapewnia ciągłe i zautomatyzowane szczegółowe informacje w celu przyspieszenia wykrywania i reagowania na ryzyko, zapewniając bezpieczeństwo bez zakłócania przepływów pracy.
Use cases:
- Skanowanie przepływów w narzędziach CI/CD: zapewnij bezpieczne monitorowanie wszystkich przepływów, które wywołują interfejs wiersza polecenia.
- Wczesne wykrywanie luk w zabezpieczeniach: wyniki są publikowane w trakcie i wysyłane do Microsoft Defender dla Chmury.
- Ciągłe szczegółowe informacje o zabezpieczeniach: utrzymywanie widoczności i szybkie reagowanie w cyklach programowania bez zakłócania produktywności.
Aby uzyskać więcej informacji, zobacz Integracja CLI usługi Defender for Cloud z popularnymi narzędziami CI/CD.
Doświadczenie konfiguracji Defender for Cloud
10 grudnia 2024 r.
Środowisko instalacji umożliwia rozpoczęcie początkowych kroków z Microsoft Defender dla Chmury przez połączenie środowisk w chmurze, takich jak infrastruktura chmury, repozytoria kodu i zewnętrzne rejestry kontenerów.
Przeprowadzisz cię przez proces konfigurowania środowiska chmury, aby chronić zasoby za pomocą zaawansowanych planów zabezpieczeń, bez wysiłku wykonywać szybkie akcje w celu zwiększenia pokrycia zabezpieczeń na dużą skalę, znać problemy z łącznością i otrzymywać powiadomienia o nowych możliwościach zabezpieczeń. Możesz przejść do nowego środowiska z menu usługi Defender for Cloud, wybierając pozycję Konfiguracja.
Zaktualizowane opcje interwału skanowania dla usługi Defender dla Chmury w środowisku chmurowym
10 grudnia 2024 r.
Zmieniono opcje interwału skanowania łączników chmury skojarzonych z usługami AWS, GCP, Jfrog i DockerHub. Funkcja interwału skanowania umożliwia kontrolowanie częstotliwości, z jaką Defender dla Chmury inicjuje skanowanie środowiska chmury. Interwał skanowania można ustawić na 4, 6, 12 lub 24 godziny podczas dodawania lub edytowania łącznika chmury. Domyślny interwał skanowania dla nowych łączników nadal trwa 12 godzin.
Aktualizacja wersji klienta Microsoft Defender dla punktu końcowego jest wymagana do uzyskania funkcjonalności monitorowania integralności plików (FIM).
June, 2025
Od czerwca 2025 r. monitorowanie integralności plików (FIM) wymaga minimalnej wersji klienta usługi Defender for Endpoint (MDE). Upewnij się, że masz co najmniej następujące wersje klienta, aby nadal korzystać z środowiska programu FIM w Microsoft Defender dla Chmury: dla systemu Windows: 10.8760 dla systemu Linux: 30.124082. Learn more
November 2024
Funkcje skanowania wrażliwości obejmują teraz udziały plików platformy Azure (wersja próbna)
28 listopada 2024 r.
Możliwości skanowania wrażliwości w Zarządzaniu Stanem Zabezpieczeń (CSPM) w Ochronie Chmury teraz również obejmują udostępniane pliki platformy Azure (w wersji zapoznawczej) oprócz kontenerów obiektów blob.
Przed tą aktualizacją włączenie planu Defender CSPM w subskrypcji automatycznie skanowało kontenery obiektów blob na kontach magazynowych w poszukiwaniu poufnych danych. Dzięki tej aktualizacji funkcja skanowania pod kątem wrażliwości programu Defender for CSPM obejmuje teraz udziały plików na tych kontach magazynowych. To ulepszenie usprawnia ocenę ryzyka i ochronę poufnych kont magazynu, zapewniając bardziej kompleksową analizę potencjalnych zagrożeń.
Learn more about sensitivity scanning.
Zmiany w zgodzie na etykiety wrażliwości
26 listopada 2024 r.
Nie musisz już wybierać specjalnego przycisku zgody w sekcji "Ochrona informacji" na stronie "Etykiety", aby korzystać z niestandardowych typów informacji i etykiet poufności skonfigurowanych w portalu Microsoft 365 Defender lub Microsoft Purview.
Dzięki tej zmianie wszystkie niestandardowe typy informacji i etykiety poufności są automatycznie importowane do portalu Microsoft Defender dla Chmury.
Dowiedz się więcej o ustawieniach poufności danych.
Zmiany etykiety poufności
26 listopada 2024 r.
Do niedawna w usłudze Defender dla Chmury importowano wszystkie etykiety poufności z portalu Microsoft 365 Defender, które spełniały następujące dwa kryteria:
- Etykiety poufności, których zakres jest ustawiony na "Elementy —> pliki" lub "Elementy —> wiadomości e-mail", w sekcji "Definiowanie zakresu etykiety" w sekcji Ochrona informacji.
- Etykieta poufności ma skonfigurowaną regułę automatycznego etykietowania.
Od 26 listopada 2024 r. nazwy zakresów etykiet poufności w interfejsie użytkownika zostały zaktualizowane zarówno w portalu usługi Microsoft 365 Defender, jak i w portalu Microsoft Purview. Teraz Defender dla Chmury będzie importować tylko etykiety poufności, którym nadano zakres "Pliki i inne zasoby danych". Defender dla Chmury nie importuje już etykiet z zastosowanym zakresem "E-maile".
Note
Etykiety skonfigurowane za pomocą opcji "Elementy —> pliki" przed zmianą zostaną automatycznie zmigrowane do nowego zakresu "Pliki i inne zasoby danych".
Dowiedz się więcej na temat konfigurowania etykiet poufności.
Skanowanie antywirusowe Defender for Storage dla obiektów blob o rozmiarze do 50 GB (wersja zapoznawcza)
25 listopada 2024 r.
Szacowana data zmiany: 1 grudnia 2024 r.
Od 1 grudnia 2024 r. skanowanie złośliwego oprogramowania w usłudze Defender for Storage będzie obsługiwać obiekty blob o rozmiarze do 50 GB (wcześniej ograniczone do 2 GB).
Należy pamiętać, że dla kont magazynu, na które są przekazywane duże bloby, zwiększony limit rozmiaru blobów spowoduje wyższe miesięczne opłaty.
Aby uniknąć nieoczekiwanych wysokich opłat, możesz ustawić odpowiedni limit dla całkowitej liczby GB skanowanych miesięcznie. Aby uzyskać więcej informacji, zobacz Kontrola kosztów skanowania złośliwego oprogramowania przy przesyłaniu.
Zaktualizowane wersje standardów CIS dla zarządzanych środowisk Kubernetes i nowych zaleceń
19 listopada 2024 r.
Tablica zgodności z przepisami Defender dla Chmury oferuje teraz zaktualizowane wersje standardów CIS (Center for Internet Security) do oceny stanu zabezpieczeń środowisk zarządzanych Kubernetes.
Na pulpicie nawigacyjnym możesz przypisać następujące standardy do zasobów platformy AWS/EKS/GKE Kubernetes:
- CIS Azure Kubernetes Service (AKS) v1.5.0
- CiS Google Kubernetes Engine (GKE) v1.6.0
- CIS Amazon Elastic Kubernetes Service (EKS) v1.5.0
Aby zapewnić najlepszą możliwą głębię pokrycia tych standardów, wzbogaciliśmy nasz zasięg, publikując również 79 nowych zaleceń skoncentrowanych na platformie Kubernetes.
Aby użyć tych nowych zaleceń, przypisz wymienione powyżej standardy lub utwórz niestandardowy standard i uwzględnij w nim co najmniej jedną nową ocenę.
Publiczna wersja testowa zdarzeń procesów w chmurze Kubernetes w zaawansowanym wyszukiwaniu
Ogłaszamy wersję zapoznawczą zdarzeń procesów chmurowych Kubernetes w zaawansowanym wyszukiwaniu. Ta zaawansowana integracja zawiera szczegółowe informacje o zdarzeniach procesu Kubernetes występujących w środowiskach wielochmurowych. Służy do odnajdywania zagrożeń, które mogą być obserwowane za pośrednictwem szczegółów procesu, takich jak złośliwe procesy wywoływane w infrastrukturze chmury. For more information, see CloudProcessEvents.
Deprecacja funkcji Bring your own License (BYOL) w zarządzaniu lukami w zabezpieczeniach
19 listopada 2024 r.
Szacowana data zmiany:
3 lutego 2025 r.: Funkcja nie będzie już dostępna do dołączania nowych maszyn i subskrypcji.
1 maja 2025 r.: Funkcja będzie w pełni przestarzała i nie będzie już dostępna.
W ramach naszych działań mających na celu poprawę doświadczenia związanego z bezpieczeństwem w programie Defender for Cloud usprawniamy nasze rozwiązania do oceny podatności. Usuwamy funkcję "Bring Your Own License" w usłudze Defender for Cloud. Teraz użyjesz łączników rozwiązania Microsoft Security Exposure Management, aby uzyskać bardziej bezproblemowe, zintegrowane i kompletne rozwiązanie.
Zalecamy przejście na nowe rozwiązanie typu connector w ramach Microsoft Security Exposure Management. Nasz zespół jest tutaj, aby wspierać Cię w ramach tego przejścia.
Aby uzyskać więcej informacji na temat korzystania z łączników, zobacz Omówienie łączenia źródeł danych w rozwiązaniu Microsoft Security Exposure Management — Microsoft Security Exposure Management.
Skanowanie kodu bez agenta w Microsoft Defender dla Chmury (wersja zapoznawcza)
19 listopada 2024 r.
Skanowanie kodu bez agenta w Microsoft Defender dla Chmury jest teraz dostępne w publicznej wersji zapoznawczej. Oferuje ona szybkie i skalowalne zabezpieczenia dla wszystkich repozytoriów w organizacjach usługi Azure DevOps z jednym łącznikiem. To rozwiązanie ułatwia zespołom ds. zabezpieczeń znajdowanie i naprawianie luk w zabezpieczeniach w konfiguracjach kodu i infrastruktury jako kodu (IaC) w środowiskach usługi Azure DevOps. Nie wymaga agentów, zmian potoków ani przerw w przepływach pracy deweloperów, co upraszcza konfigurowanie i konserwację. Działa niezależnie od potoków ciągłej integracji i ciągłego wdrażania (CI/CD). Rozwiązanie zapewnia ciągłe i zautomatyzowane szczegółowe informacje w celu przyspieszenia wykrywania i reagowania na ryzyko, zapewniając bezpieczeństwo bez przerywania przepływów pracy.
Use cases:
- Organization-wide scanning: You can securely monitor all repositories in Azure DevOps organizations with one connector.
- Wczesne wykrywanie luk w zabezpieczeniach: Szybkie znajdowanie kodu i ryzyka IaC na potrzeby proaktywnego zarządzania ryzykiem.
- Ciągłe szczegółowe informacje o zabezpieczeniach: Utrzymaj widoczność i szybko reaguj w cyklach rozwoju bez wpływu na produktywność.
Aby uzyskać więcej informacji, zobacz Skanowanie kodu bez agenta w usłudze Microsoft Defender for Cloud.
Skanowanie złośliwego oprogramowania na żądanie w usłudze Microsoft Defender for Storage (wersja zapoznawcza)
19 listopada 2024 r.
Skanowanie złośliwego oprogramowania na żądanie w usłudze Microsoft Defender for Storage w publicznej wersji zapoznawczej umożliwia skanowanie istniejących obiektów blob na kontach usługi Azure Storage zawsze wtedy, gdy jest to konieczne. Skanowania można inicjować z poziomu interfejsu użytkownika witryny Azure Portal lub za pośrednictwem interfejsu API REST, obsługując automatyzację za pomocą usługi Logic Apps, podręczników usługi Automation i skryptów programu PowerShell. pl-PL: Ta funkcja używa Microsoft Defender Antivirus z najnowszymi definicjami złośliwego oprogramowania dla każdego skanowania i zapewnia wstępne oszacowanie kosztów w portalu Azure przed wykonaniem skanowania.
Use cases:
- Incident response: Scan specific storage accounts after detecting suspicious activity.
- Security baseline: Scan all stored data when first enabling Defender for Storage.
- Compliance: Set automation to schedule scans that help meet regulatory and data protection standards.
Aby uzyskać więcej informacji, zobacz Skanowanie złośliwego oprogramowania na żądanie.
Obsługa rejestru kontenerów JFrog Artifactory przez usługę Defender for Containers (wersja zapoznawcza)
18 listopada 2024 r.
Ta funkcja rozszerza zakres usługi Microsoft Defender dla kontenerów o obsługę zewnętrznych rejestrów, w tym JFrog Artifactory. Obrazy kontenerów JFrog Artifactory są skanowane przy użyciu Microsoft Defender for Vulnerability Management w celu zidentyfikowania zagrożeń bezpieczeństwa i zmniejszenia potencjalnych ryzyk związanych z bezpieczeństwem.
Zarządzanie stanem zabezpieczeń sztucznej inteligencji jest teraz ogólnie dostępne (GA)
18 listopada 2024 r.
Funkcje zarządzania postawą zabezpieczeń chmury przy użyciu sztucznej inteligencji w Defender dla Chmury są teraz ogólnie dostępne (GA).
Defender dla Chmury zmniejsza ryzyko obciążeń AI między chmurami poprzez:
Odkrywanie zestawienia materiałów dla generatywnej sztucznej inteligencji (AI BOM), w tym składników aplikacji, danych i artefaktów sztucznej inteligencji od kodu po chmurę.
Wzmocnienie poziomu zabezpieczeń aplikacji generujących sztuczną inteligencję dzięki wbudowanym rekomendacjom oraz eksplorowaniu i korygowaniu zagrożeń bezpieczeństwa.
Korzystanie z analizy ścieżki ataku w celu identyfikowania i korygowania zagrożeń.
Dowiedz się więcej o zarządzaniu stanem zabezpieczeń sztucznej inteligencji.
Ochrona krytycznych zasobów w Microsoft Defender dla Chmury
18 listopada 2024 r.
Dzisiaj z przyjemnością ogłaszamy ogólną dostępność ochrony krytycznych zasobów w Microsoft Defender dla Chmury. Ta funkcja umożliwia administratorom zabezpieczeń oznaczanie zasobów jako "klejnot korony", które są najbardziej krytyczne dla ich organizacji, co pozwala Defender dla Chmury zapewniać im najwyższy poziom ochrony i nadawać priorytet problemom z zabezpieczeniami dotyczącymi tych zasobów przed wszystkimi innymi. Dowiedz się więcej o ochronie zasobów krytycznych.
Oprócz wersji ogólnie dostępnej udostępniamy również obsługę tagowania platformy Kubernetes i nieludzkich zasobów tożsamości.
Ulepszona ochrona krytycznych zasobów dla kontenerów
18 listopada 2024 r.
Ochrona krytycznych zasobów jest rozszerzona w celu obsługi dodatkowych przypadków użycia kontenerów.
Użytkownicy mogą teraz tworzyć niestandardowe reguły oznaczające zasoby zarządzane przez platformę Kubernetes (obciążenia, kontenery itp.) jako krytyczne na podstawie przestrzeni nazw Kubernetes i/lub etykiety Kubernetes zasobu.
Podobnie jak w przypadku innych krytycznych przypadków użycia ochrony zasobów, Defender dla Chmury uwzględnia krytyczne znaczenie zasobów dla priorytetyzacji ryzyka, analizy ścieżki ataku i eksploratora zabezpieczeń.
Ulepszenia wykrywania zagrożeń kontenera i reagowania na nie
18 listopada 2024 r.
Usługa Defender for Cloud udostępnia zestaw nowych funkcji, dzięki czemu zespoły SOC mogą radzić sobie z zagrożeniami kontenerów w środowiskach natywnych dla chmury z większą szybkością i precyzją. Te ulepszenia obejmują analizę zagrożeń, funkcje GoHunt, odpowiedź prowadzoną przez Microsoft Security Copilot oraz natywne akcje odpowiedzi w chmurze dla zasobników Kubernetes.
Wprowadzenie natywnych w chmurze akcji odpowiedzi dla zasobników Kubernetes (Podgląd)
Defender dla Chmury teraz oferuje działania reakcji w ramach wielochmurowości dla podów Kubernetes, dostępne wyłącznie z portalu Defender XDR. Te możliwości zwiększają reagowanie na zdarzenia dla klastrów AKS, EKS i GKE.
Poniżej przedstawiono nowe akcje odpowiedzi:
Network Isolation - Instantly block all traffic to a pod, preventing lateral movement and data exfiltration. Wymaga konfiguracji zasad sieciowych w twoim klastrze Kubernetes.
Pod Termination - Quickly terminate suspicious pods, stopping malicious activity without disrupting the broader application.
Te działania umożliwiają zespołom SOC efektywne ograniczanie zagrożeń w środowiskach chmury.
Raport usługi Threat Analytics dla kontenerów
Wprowadzamy dedykowany raport usługi Threat Analytics zaprojektowany w celu zapewnienia kompleksowego wglądu w zagrożenia przeznaczone dla środowisk konteneryzowanych. Ten raport udostępnia zespołom SOC szczegółowe informacje w celu wykrywania i reagowania na najnowsze wzorce ataków w klastrach AKS, EKS i GKE.
Key Highlights:
- Szczegółowa analiza najważniejszych zagrożeń i skojarzonych technik ataku w środowiskach Kubernetes.
- Zalecenia umożliwiające podejmowanie działań w celu wzmocnienia poziomu zabezpieczeń natywnego dla chmury i ograniczenia pojawiających się zagrożeń.
GoHunt dla kontenerów Kubernetes i zasobów platformy Azure
Rozwiązanie GoHunt rozszerza teraz swoje możliwości łowieckie, aby uwzględnić zasobniki Kubernetes i zasoby platformy Azure w portalu usługi Defender XDR. Ta funkcja zwiększa proaktywne wyszukiwanie zagrożeń, umożliwiając analitykom SOC przeprowadzanie szczegółowych badań w obciążeniach natywnych dla chmury.
Key Features:
- Zaawansowane możliwości zapytań w celu wykrywania anomalii w zasobnikach Kubernetes i zasobach platformy Azure, oferując bogatszy kontekst analizy zagrożeń.
- Bezproblemowa integracja z jednostkami Kubernetes w celu wydajnego wyszukiwania zagrożeń i badania.
Odpowiedź kierowana przez Security Copilot dla zasobników Kubernetes
Wprowadzenie Przewodzonych Odpowiedzi dla zasobników Kubernetes, funkcję wspieraną przez Security Copilot. Ta nowa funkcja zapewnia wskazówki krok po kroku w czasie rzeczywistym, pomagając zespołom SOC szybko i skutecznie reagować na zagrożenia kontenerów.
Key Benefits:
- Kontekstowe podręczniki odpowiedzi dostosowane do typowych scenariuszy ataku kubernetes.
- Ekspercka pomoc techniczna w czasie rzeczywistym ze strony Security Copilot, zmniejszająca lukę wiedzy i umożliwiająca szybsze rozwiązywanie problemów.
Natywna integracja zarządzania bezpieczeństwem API w ramach planu CSPM Defendera jest teraz dostępna w wersji publicznej.
15 listopada 2024 r.
Funkcje zarządzania stanem zabezpieczeń interfejsu API (w wersji zapoznawczej) są teraz uwzględniane w planie CSPM Defendera i można je włączyć za pomocą rozszerzeń w ramach planu na stronie ustawień środowisk. Aby uzyskać więcej informacji, zobacz Ulepszanie stanu zabezpieczeń interfejsu API (wersja zapoznawcza).
Rozszerzona ochrona kontenerów dzięki ocenie luk w zabezpieczeniach i wykrywaniu złośliwego oprogramowania dla węzłów usługi AKS (wersja zapoznawcza)
13 listopada 2024 r.
Defender for Cloud teraz zapewnia ocenę luk w zabezpieczeniach i wykrywanie złośliwego oprogramowania dla węzłów w usłudze Azure Kubernetes Service (AKS) i daje klientom jasność odnośnie do ich roli we wspólnej odpowiedzialności za zabezpieczenia z zarządzanym dostawcą chmury.
Zapewnienie ochrony zabezpieczeń dla tych węzłów Kubernetes umożliwia klientom zachowanie zabezpieczeń i zgodności w zarządzanej usłudze Kubernetes.
Aby uzyskać nowe możliwości, należy włączyć opcję skanowania bez agenta dla maszyn w planie Defender CSPM, Defender for Containers lub Defender for Servers P2 w ramach subskrypcji.
Vulnerability Assessment
Nowe zalecenie jest teraz dostępne w witrynie Azure Portal: AKS nodes should have vulnerability findings resolved
. Za pomocą tego zalecenia można teraz przeglądać i korygować luki w zabezpieczeniach oraz elementy CVE znalezione w węzłach usługi Azure Kubernetes Service (AKS).
Malware detection
Nowe alerty zabezpieczeń są wyzwalane, gdy funkcja wykrywania złośliwego oprogramowania bez agenta wykryje złośliwe oprogramowanie w węzłach usługi AKS.
Wykrywanie złośliwego oprogramowania bez agenta używa silnika antywirusowego Microsoft Defender do skanowania i wykrywania złośliwych plików. Po wykryciu zagrożeń alerty zabezpieczeń są kierowane do Defender dla Chmury i usługi Defender XDR, gdzie można je zbadać i skorygować.
Important
Wykrywanie złośliwego oprogramowania dla węzłów usługi AKS jest dostępne tylko w środowiskach z obsługą usługi Defender for Containers lub Defender for Servers P2.
Dokumentacja i narzędzie symulacji rozszerzonych alertów Kubernetes (K8s)
7 listopada 2024 r.
Key features
- Dokumentacja alertów opartych na scenariuszach: alerty K8s są teraz udokumentowane na podstawie rzeczywistych scenariuszy, zapewniając jaśniejsze wskazówki dotyczące potencjalnych zagrożeń i zalecanych akcji.
- Integracja z Ochroną punktu końcowego w ramach Microsoft Defender (MDE): alerty są wzbogacane o dodatkowy kontekst i informacje o zagrożeniach z systemu MDE, co poprawia zdolność skutecznego reagowania.
- Nowe narzędzie symulacji: zaawansowane narzędzie symulacji jest dostępne do testowania stanu zabezpieczeń przez symulowanie różnych scenariuszy ataku i generowanie odpowiednich alertów.
Benefits
- Ulepszona wiedza na temat alertów: dokumentacja oparta na scenariuszach zapewnia bardziej intuicyjne zrozumienie alertów K8s.
- Ulepszona odpowiedź na zagrożenia: alerty są wzbogacone o cenny kontekst, umożliwiając szybsze i dokładniejsze odpowiedzi.
- Proaktywne testowanie zabezpieczeń: nowe narzędzie symulacji umożliwia przetestowanie zabezpieczeń i zidentyfikowanie potencjalnych luk w zabezpieczeniach przed ich wykorzystaniem.
Rozszerzona obsługa klasyfikacji poufnych danych API
6 listopada 2024 r.
Microsoft Defender dla Chmury rozszerza możliwości klasyfikacji danych poufnych w zakresie zabezpieczeń API, obejmując ścieżki adresów URL API i parametry zapytań, a także żądania i odpowiedzi API, w tym źródła poufnych informacji znajdujące się we właściwościach API. This information will be available in the Attack Path Analysis experience, the Cloud Security Explorer's Additional Details page when API Management operations with sensitive data are selected, and on the API Security Dashboard under the Workload Protections within API collection details page, with a new side context menu that provides detailed insights into sensitive data found, enabling security teams efficiently locate and mitigate data exposure risks.
Note
Ta zmiana będzie obejmować jednorazowe wdrożenie dla istniejących klientów korzystających z Defender for APIs i Defender CSPM.
Nowa obsługa mapowania punktów końcowych interfejsu API usługi Azure API Management na zasoby obliczeniowe zaplecza
6 listopada 2024 r.
Stan zabezpieczeń interfejsu API Defendera dla Chmury teraz obsługuje mapowanie punktów końcowych API publikowanych przez bramę usługi Azure API Management na zaplecze obliczeniowe, takie jak maszyny wirtualne, w Eksploratorze zabezpieczeń chmury Zarządzania Stanem Zabezpieczeń Chmury Defendera (Defender CSPM). Ta widoczność pomaga zidentyfikować trasowanie ruchu API do docelowych miejsc obliczeniowych w chmurze zaplecza, umożliwiając wykrycie i zaradzenie zagrożeniom związanym z narażeniem skojarzonym z punktami końcowymi API i ich połączonymi zasobami zaplecza.
Rozszerzona obsługa zabezpieczeń interfejsu API dla wdrożeń usługi Azure API Management w wielu regionach i zarządzania poprawkami interfejsu API
6 listopada 2024 r.
Pokrycie zabezpieczeń interfejsu API w ramach funkcji Defender dla Chmury obejmie teraz pełne wsparcie dla wdrożeń usługi Azure API Management w wielu regionach, w tym pełne wsparcie dla stanu zabezpieczeń i wykrywania zagrożeń zarówno w regionach podstawowych, jak i pomocniczych.
Dołączanie i odłączanie interfejsów API do usługi Defender będzie teraz zarządzane na poziomie usługi Azure API Management. Wszystkie skojarzone poprawki usługi Azure API Management zostaną automatycznie uwzględnione w procesie, eliminując konieczność indywidualnego dołączania i odłączania poszczególnych wersji interfejsu API.
Ta zmiana obejmuje jednorazowe wdrożenie dla istniejących klientów usługi Defender dla interfejsów API.
Rollout Details:
- Wdrożenie nastąpi w tygodniu rozpoczynającym się 6 listopada dla obecnych klientów usługi Defender dla API.
- Jeśli "bieżąca" wersja interfejsu API usługi Azure API Management jest już dołączona do usługi Defender dla interfejsów API, wszystkie skojarzone poprawki dla tego interfejsu API również zostaną automatycznie dołączone do usługi Defender dla interfejsów API.
- Jeśli "bieżąca" wersja interfejsu API usługi Azure API Management nie zostanie dołączona do usługi Defender dla interfejsów API, wszystkie skojarzone poprawki interfejsu API dołączone do usługi Defender dla interfejsów API zostaną odłączone.
October 2024
Doświadczenie migracji MMA jest teraz dostępne
28 października 2024 r.
Teraz możesz upewnić się, że wszystkie twoje środowiska są w pełni przygotowane na wycofanie agenta Log Analytics (MMA), które nastąpi pod koniec listopada 2024 roku.
Defender dla Chmury dodał nowe doświadczenie, które umożliwia podejmowanie działań na szeroką skalę dla wszystkich objętych środowisk.
- Brak wymagań wstępnych niezbędnych do uzyskania pełnego pokrycia zabezpieczeń oferowanego przez usługę Defender for Servers Plan 2.
- Jest to połączone z programem Defender for Servers Plan 2 za pomocą starszego podejścia wdrażania poprzez obszar roboczy Log Analytics.
- Ci, którzy używają starej wersji monitorowania integralności plików (FIM) z agentem Log Analytics (MMA), muszą przeprowadzić migrację do nowej, ulepszonej wersji FIM z Defender for Endpoint (MDE).
Dowiedz się, jak korzystać z nowego procesu migracji MMA.
Wyniki zabezpieczeń dla repozytoriów GitHub bez usługi GitHub Advanced Security są teraz ogólnie dostępne
21 października 2024 r.
Możliwość otrzymywania znalezisk dotyczących bezpieczeństwa związanych z błędami konfiguracji infrastruktury jako kodu (IaC), lukami w zabezpieczeniach kontenerów oraz słabościami kodu dla repozytoriów GitHub, bez konieczności posiadania usługi GitHub Advanced Security, jest teraz powszechnie dostępna.
Note that secret scanning, code scanning using GitHub CodeQL, and dependency scanning still require GitHub Advanced Scanning.
Aby dowiedzieć się więcej na temat wymaganych licencji, zobacz stronę pomocy technicznej metodyki DevOps. Aby dowiedzieć się, jak dołączyć środowisko GitHub do Defender dla Chmury, postępuj zgodnie z przewodnikiem dołączania usługi GitHub. Aby dowiedzieć się, jak skonfigurować akcję Microsoft Security DevOps GitHub, zobacz naszą dokumentację akcji GitHub.
Wycofanie trzech standardów zgodności
14 października 2024 r.
Szacowana data zmiany: 17 listopada 2024 r.
Trzy standardy zgodności są usuwane z produktu:
- SWIFT CSP-CSCF v2020 (dla platformy Azure) — została zastąpiona wersją v2022
- CIS Microsoft Azure Foundations Benchmark v1.1.0 i v1.3.0 — mamy dostępne dwie nowsze wersje (wersje 1.4.0 i 2.0.0)
Dowiedz się więcej o standardach zgodności dostępnych w usłudze Defender for Cloud w artykule Dostępne standardy zgodności.
Wycofanie trzech standardów usługi Defender for Cloud
8 października 2024 r.
Szacowana data zmiany: 17 listopada 2024 r.
Aby uprościć zarządzanie Defender dla Chmury przy użyciu kont platformy AWS i projektów GCP, usuwamy następujące trzy standardy Defender dla Chmury:
- For AWS - AWS CSPM
- For GCP - GCP CSPM and GCP Default
Domyślny standard Microsoft Cloud Security Benchmark (MCSB) zawiera teraz wszystkie oceny, które były unikatowe dla tych standardów.
Wykrywanie dryfu binarnego udostępniono jako wersję ogólnodostępną.
9 października 2024 r.
Wykrywanie dryfu binarnego jest teraz wydawane jako ogólna dostępność w planie usługi Defender for Container. Należy pamiętać, że wykrywanie dryfu binarnego działa teraz we wszystkich wersjach usługi AKS.
Zaktualizowane zalecenia dotyczące środowiska uruchomieniowego kontenerów (wersja zapoznawcza)
6 października 2024 r.
Zalecenia dotyczące wersji zapoznawczej "Kontenery uruchomione na platformie AWS/Azure/Azure/GCP powinny mieć rozwiązane luki w zabezpieczeniach" są aktualizowane w celu grupowania wszystkich kontenerów, które są częścią tego samego obciążenia w ramach pojedynczego zalecenia, zmniejszając duplikacje i unikając fluktuacji z powodu nowych i zakończonych kontenerów.
Od 6 października 2024 r. następujące identyfikatory oceny zostały zastąpione w tych zaleceniach:
Recommendation | Poprzedni identyfikator oceny | Nowy identyfikator oceny |
---|---|---|
-- | -- | -- |
Kontenery uruchomione na platformie Azure powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
Kontenery uruchomione na platformie AWS powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
Kontenery uruchomione na platformie GCP powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Jeśli obecnie pobierasz raporty dotyczące luk w zabezpieczeniach z tych zaleceń za pośrednictwem interfejsu API, upewnij się, że zaktualizujesz wywołanie API, używając nowego identyfikatora oceny.
Informacje o tożsamości i dostępie na platformie Kubernetes w grafie zabezpieczeń (wersja zapoznawcza)
6 października 2024 r.
Informacje o tożsamości i dostępie platformy Kubernetes są dodawane do grafu zabezpieczeń, w tym węzły reprezentujące wszystkie jednostki powiązane z kontrolą dostępu na podstawie ról (RBAC) platformy Kubernetes (konta usług, role, powiązania ról itp.) oraz krawędzie reprezentujące uprawnienia między obiektami kubernetes. Klienci mogą teraz wykonywać zapytania dotyczące grafu zabezpieczeń dla Kubernetes RBAC i powiązanych relacji między elementami Kubernetes (Może uwierzytelniać jako, Może personifikować jako, Udziela roli, Dostęp zdefiniowany przez, Udziela dostępu do, Ma uprawnienie do itp.)
Ścieżki ataków oparte na tożsamościach i dostępie na platformie Kubernetes (wersja zapoznawcza)
6 października 2024 r.
Korzystając z danych RBAC platformy Kubernetes na wykresie zabezpieczeń, Defender dla Chmury teraz wykrywa ruchy lateralne w Kubernetes, pomiędzy Kubernetes a Chmurą oraz wewnątrz Kubernetes, a także dostarcza raporty na temat innych ścieżek ataków, w których atakujący mogą wykorzystywać autoryzację Kubernetes i Chmury do ruchów lateralnych do, z i w ramach klastrów Kubernetes.
Ulepszona analiza ścieżki ataku dla kontenerów
6 października 2024 r.
Nowy silnik analizy ścieżek ataku, wydany w listopadzie ubiegłego roku, obsługuje teraz także przypadki użycia kontenerów, dynamicznie wykrywając nowe typy ścieżek ataku w środowiskach chmurowych na podstawie danych dodanych do grafu. Teraz możemy znaleźć więcej ścieżek ataków dla kontenerów i wykryć bardziej złożone i zaawansowane wzorce ataków używane przez osoby atakujące do infiltracji środowisk w chmurze i Kubernetes.
Pełne odnajdywanie obrazów kontenerów w obsługiwanych rejestrach
6 października 2024 r.
Defender for Cloud teraz zbiera dane inwentaryzacyjne dla wszystkich obrazów kontenerów w obsługiwanych rejestrach, zapewniając pełen wgląd w graf bezpieczeństwa z wszystkimi obrazami w środowiskach chmury, w tym obrazów, które aktualnie nie mają żadnych zaleceń dotyczących stanu.
Ulepszono możliwości wykonywania zapytań za pomocą Eksploratora zabezpieczeń w chmurze, dzięki czemu użytkownicy mogą teraz wyszukiwać obrazy kontenerów na podstawie metadanych (skrót, repozytorium, system operacyjny, tag itp.)
Inwentaryzacja oprogramowania kontenerów za pomocą narzędzia Cloud Security Explorer.
6 października 2024 r.
Klienci mogą teraz uzyskać listę oprogramowania zainstalowanego w kontenerach i obrazach kontenerów za pośrednictwem Eksploratora zabezpieczeń w chmurze. Ta lista może również służyć do szybkiego uzyskiwania innych wglądów w środowisko klienta, takich jak znajdowanie wszystkich kontenerów i obrazów kontenerów z oprogramowaniem, którego dotyczy luka typu zero-day, nawet przed opublikowaniem CVE.
September 2024
Ulepszenia środowiska eksploratora zabezpieczeń w chmurze
22 września 2024 r.
Szacowana data zmiany: październik 2024 r.
Eksplorator zabezpieczeń chmury ma zwiększyć wydajność i funkcjonalność siatki, zapewnić więcej wzbogacania danych dla każdego zasobu w chmurze, ulepszyć kategorie wyszukiwania i ulepszyć raport eksportu CSV z bardziej szczegółowymi informacjami na temat wyeksportowanych zasobów w chmurze.
Ogólna dostępność systemu monitorowania integralności plików z wykorzystaniem Microsoft Defender dla punktu końcowego
18 września 2024 r.
Nowa wersja monitorowania integralności plików oparta na Microsoft Defender for Endpoint jest teraz ogólnie dostępna jako część usługi Defender for Servers Plan 2. Program FIM umożliwia:
- Spełnij wymagania dotyczące zgodności, monitorując krytyczne pliki i rejestry w czasie rzeczywistym i przeprowadzając inspekcję zmian.
- Zidentyfikuj potencjalne problemy z zabezpieczeniami, wykrywając podejrzane zmiany zawartości pliku.
Ulepszone środowisko FIM zastępuje istniejące, które jest planowane do wycofania wraz z zakończeniem wsparcia agenta Log Analytics (MMA). Doświadczenie FIM w ramach MMA będzie wspierane do końca listopada 2024 r.
W tej wersji wprowadzono doświadczenie w produkcie, które pozwala na migrację konfiguracji FIM za pośrednictwem MMA do nowej wersji FIM korzystającej z Defender for Endpoint.
Aby uzyskać informacje na temat włączania FIM za pośrednictwem usługi Microsoft Defender dla punktu końcowego, zobacz Monitorowanie integralności plików przy użyciu Microsoft Defender dla punktu końcowego. Aby uzyskać informacje na temat wyłączania poprzednich wersji, zobacz Migracja monitorowania integralności plików z poprzednich wersji.
Doświadczenie migracji FIM jest dostępne w Defender dla Chmury
18 września 2024 r.
Wydano środowisko produktu, aby umożliwić migrację konfiguracji programu FIM za pośrednictwem programu MMA do nowej wersji programu FIM za pośrednictwem usługi Defender for Endpoint. Dzięki temu doświadczeniu możesz:
- Przejrzyj dotknięte środowisko z poprzednią wersją FIM z włączoną obsługą MMA i wymaganą migracją.
- Eksportowanie bieżących reguł programu FIM z doświadczenia opartego na MMA i umieszczenie ich w obszarach roboczych
- Przeprowadź migrację do subskrypcji z obsługą P2, korzystając z nowej funkcji FIM w ramach MDE.
To use the migration experience, navigate to the Environment settings pane and select the MMA migration button in the upper row.
Wycofanie funkcji automatycznego provisioningu MMA
18 września 2024 r. W ramach wycofania agenta MMA, funkcja automatycznej aprowizacji zapewniająca instalację i konfigurację agenta dla klientów MDC również zostanie wycofana w dwóch etapach.
Do końca września 2024 r. automatyczne aprowizowanie programu MMA zostanie wyłączone dla klientów, którzy nie korzystają już z tej możliwości, a także dla nowo utworzonych subskrypcji. Po zakończeniu września możliwości nie będą już mogły zostać ponownie włączone w tych subskrypcjach.
Koniec listopada 2024 r. automatyczne udostępnianie programu MMA zostanie wyłączone w subskrypcjach, które jeszcze go nie wyłączyły. Od tego momentu nie można już włączyć możliwości istniejących subskrypcji.
Integracja z Power BI
15 września 2024 r.
Defender dla Chmury można teraz zintegrować z usługą Power BI. Ta integracja umożliwia tworzenie niestandardowych raportów i pulpitów nawigacyjnych przy użyciu danych z Defender dla Chmury. Usługa Power BI umożliwia wizualizowanie i analizowanie stanu zabezpieczeń, zgodności i zaleceń dotyczących zabezpieczeń.
Dowiedz się więcej o nowej integracji z usługą Power BI.
Aktualizacja wymagań sieciowych CSPM w środowisku wielochmurowym
11 września 2024 r.
Szacowana data zmiany: październik 2024 r.
Od października 2024 r. dodajemy więcej adresów IP do naszych usług odnajdywania w wielu chmurach w celu dostosowania się do ulepszeń i zapewnienia bardziej wydajnego środowiska dla wszystkich użytkowników.
To ensure uninterrupted access from our services, you should update your IP allowlist with the new ranges provided here. Należy wprowadzić niezbędne zmiany w ustawieniach zapory, grupach zabezpieczeń lub innych konfiguracjach, które mogą mieć zastosowanie do danego środowiska. Lista jest wystarczająca do zapewnienia pełnej funkcjonalności podstawowej oferty CSPM (bezpłatnej).
Wycofanie funkcji Defender dla Serwerów
9 września 2024 r.
Funkcje adaptacyjnego sterowania aplikacjami i adaptacyjne wzmocnienie zabezpieczeń sieci są teraz przestarzałe.
Hiszpański Krajowy System Bezpieczeństwa (Esquema Nacional de Seguridad (ENS)) został dodany do pulpitu nawigacyjnego zgodności z przepisami dla platformy Azure.
9 września 2024 r.
Organizacje, które chcą sprawdzić swoje środowiska platformy Azure pod kątem zgodności ze standardem ENS, mogą teraz to zrobić przy użyciu Defender dla Chmury.
Standard ENS ma zastosowanie do całego sektora publicznego w Hiszpanii, a także do dostawców współpracujących z administracją. Ustanawia podstawowe zasady, wymagania i środki bezpieczeństwa w celu ochrony informacji i usług przetwarzanych elektronicznie. Celem jest zapewnienie dostępu, poufności, integralności, możliwości śledzenia, autentyczności, dostępności i zachowywania danych.
Zapoznaj się z pełną listą obsługiwanych standardów zgodności.
Podejmij działania naprawcze zgodnie z zaleceniami dotyczącymi aktualizacji systemu i poprawek na swoich urządzeniach.
8 września 2024 r.
Teraz możesz skorygować zalecenia dotyczące aktualizacji i poprawek systemu na maszynach z obsługą usługi Azure Arc i maszynach wirtualnych platformy Azure. Aktualizacje systemu i poprawki mają kluczowe znaczenie dla zapewnienia bezpieczeństwa i kondycji maszyn. Aktualizacje często zawierają poprawki zabezpieczeń dla luk w zabezpieczeniach, które, jeśli pozostaną niezałatane, mogą być wykorzystywane przez atakujących.
Informacje o braku aktualizacji maszyny są teraz zbierane przy użyciu usługi Azure Update Manager.
Aby zapewnić bezpieczeństwo maszyn w przypadku aktualizacji systemu i poprawek, należy włączyć ustawienia okresowych aktualizacji oceny na maszynach.
Dowiedz się, jak korygować aktualizacje systemu i zalecenia dotyczące poprawek na maszynach.
Integracja usługi ServiceNow obejmuje teraz moduł Configuration Compliance
4 września 2024 r.
Integracja planu CSPM usługi Defender dla Chmury z ServiceNow obejmuje teraz moduł Zgodność Konfiguracji od ServiceNow. Ta funkcja umożliwia identyfikowanie, określanie priorytetów i korygowanie problemów z konfiguracją w zasobach w chmurze przy jednoczesnym zmniejszeniu ryzyka zabezpieczeń i poprawie ogólnej postawy zgodności za pomocą zautomatyzowanych przepływów pracy i szczegółowych informacji w czasie rzeczywistym.
Dowiedz się więcej o integracji usługi ServiceNow z usługą Defender for Cloud.
Plan ochrony transakcji magazynu Defender for Storage (wersja klasyczna) nie jest dostępny dla nowych subskrypcji.
4 września 2024 r.
Szacowana data zmiany: 5 lutego 2025 r.
Po 5 lutego 2025 r. nie będzie można aktywować planu ochrony dla transakcji w usłudze Defender for Storage (klasycznej), chyba że jest już wcześniej włączony w ramach subskrypcji. Aby uzyskać więcej informacji, zobacz Przenoszenie do nowego planu usługi Defender for Storage.
Konfiguracja gościa dla Azure Policy jest teraz ogólnie dostępna (GA)
niedziela, 1 września 2024 r.
Konfiguracja gościa usługi Azure Policy w usłudze Defender for Servers jest teraz ogólnie dostępna (GA) dla wszystkich klientów korzystających z usługi Defender for Servers Plan 2 w środowiskach wielochmurowych. Konfiguracja gości zapewnia ujednolicone doświadczenie zarządzania punktami odniesienia zabezpieczeń w całym Twoim środowisku. Umożliwia ocenianie i wymuszanie zastosowania konfiguracji zabezpieczeń na serwerach, w tym na maszynach z systemami Windows i Linux, maszynach wirtualnych Azure, instancjach AWS EC2 oraz GCP.
Dowiedz się, jak włączyć konfigurację maszynową Azure Policy w swoim środowisku.
Wersja zapoznawcza obsługi rejestru kontenerów usługi Docker Hub przez usługę Defender for Containers
niedziela, 1 września 2024 r.
Wprowadzamy publiczną wersję zapoznawczą rozszerzenia usługi Microsoft Defender for Containers w celu uwzględnienia rejestrów zewnętrznych, począwszy od rejestrów kontenerów usługi Docker Hub. W ramach zarządzania stanem zabezpieczeń w chmurze w organizacji, rozszerzenie pokrycia na rejestry kontenerów Docker Hub zapewnia korzyści ze skanowania obrazów kontenerów Docker Hub przy użyciu Microsoft Defender Vulnerability Management w celu identyfikacji zagrożeń bezpieczeństwa i minimalizacji potencjalnych zagrożeń bezpieczeństwa.
Aby uzyskać więcej informacji na temat tej funkcji, zobacz Ocena luk w zabezpieczeniach dla usługi Docker Hub
August 2024
Date | Category | Update |
---|---|---|
August 28 | Preview | Nowa wersja monitorowania integralności plików oparta na Ochrona punktu końcowego w usłudze Microsoft Defender |
August 22 | Upcoming deprecation | Wycofanie integracji alertów Defender dla Chmury z alertami zapory aplikacji internetowej platformy Azure |
August 1 | ogólna dostępność | Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach na dużą skalę |
Nowa wersja monitorowania integralności plików oparta na Ochrona punktu końcowego w usłudze Microsoft Defender
28 sierpnia 2024 r.
Nowa wersja monitorowania integralności plików oparta na Ochrona punktu końcowego w usłudze Microsoft Defender jest teraz dostępna w publicznej wersji zapoznawczej. Jest to część planu 2 usługi Defender for Servers. Umożliwia on wykonywanie następujących czynności:
- Spełnij wymagania dotyczące zgodności, monitorując krytyczne pliki i rejestry w czasie rzeczywistym i przeprowadzając inspekcję zmian.
- Zidentyfikuj potencjalne problemy z zabezpieczeniami, wykrywając podejrzane zmiany zawartości pliku.
W ramach tej wersji środowisko programu FIM za pośrednictwem usługi AMA nie będzie już dostępne w portalu Defender dla Chmury. Doświadczenie FIM w ramach MMA będzie wspierane do końca listopada 2024 r. Na początku września zostanie wydane środowisko produktu, które umożliwia migrację konfiguracji programu FIM za pośrednictwem programu MMA do nowej wersji programu FIM za pośrednictwem usługi Defender for Endpoint.
Aby uzyskać informacje na temat włączania FIM za pośrednictwem usługi Microsoft Defender dla punktu końcowego, zobacz Monitorowanie integralności plików przy użyciu Microsoft Defender dla punktu końcowego. Aby uzyskać informacje na temat migrowania z poprzednich wersji, zobacz Migrowanie monitorowania integralności plików z poprzednich wersji.
Wycofanie integracji alertów Defender dla Chmury z alertami zapory aplikacji internetowej platformy Azure
22 sierpnia 2024 r.
Szacowana data zmiany: 25 września 2024 r.
Defender for Cloud alert integration with Azure WAF alerts will be retired on September 25, 2024. Na końcu nie jest wymagana żadna akcja. For Microsoft Sentinel customers, you can configure the Azure Web Application Firewall connector.
Włączanie usługi Microsoft Defender dla serwerów SQL na maszynach na dużą skalę
1 sierpnia 2024 r.
Teraz można włączyć usługę Microsoft Defender dla serwerów SQL na maszynach na dużą skalę. Ta funkcja umożliwia włączenie usługi Microsoft Defender for SQL na wielu serwerach jednocześnie, co pozwala zaoszczędzić czas i nakład pracy.
Dowiedz się, jak włączyć usługę Microsoft Defender dla serwerów SQL na maszynach na dużą skalę.
July 2024
Ogólna dostępność rozszerzonych zaleceń dotyczących odnajdywania i konfiguracji dla programu Endpoint Protection
31 lipca 2024 r.
Ulepszone funkcje odnajdywania dla rozwiązań ochrony punktów końcowych i ulepszona identyfikacja problemów z konfiguracją są teraz ogólnie dostępne i dostępne dla serwerów z wieloma chmurami. Te aktualizacje są uwzględniane w usłudze Defender for Servers (Plan 2) i Defender Cloud Security Posture Management (CSPM).
Ulepszona funkcja rekomendacji używa skanowania maszyn bez agenta, umożliwiając kompleksowe odnajdywanie i ocenę konfiguracji obsługiwanych rozwiązań wykrywanie i reagowanie w punktach końcowych. Po zidentyfikowaniu problemów z konfiguracją zostaną podane kroki korygowania.
With this general availability release, the list of supported solutions is expanded to include two more endpoint detection and response tools:
- Liczba pojedyncza platformy by SentinelOne
- Cortex XDR
Wycofanie adaptacyjnego wzmacniania zabezpieczeń sieci
31 lipca 2024 r.
Szacowana data zmiany: 31 sierpnia 2024 r.
Adaptacyjne wzmocnienie zabezpieczeń sieci w usłudze Defender for Server jest przestarzałe.
Wycofanie funkcji obejmuje następujące środowiska:
- Recommendation: Adaptive network hardening recommendations should be applied on internet facing virtual machines [assessment Key: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Alert: Traffic detected from IP addresses recommended for blocking
Wersja zapoznawcza: oceny zabezpieczeń dla usługi GitHub nie wymagają już dodatkowych licencji
22 lipca 2024 r.
Użytkownicy usługi GitHub w Defender dla Chmury nie potrzebują już licencji usługi GitHub Advanced Security, aby wyświetlić wyniki zabezpieczeń. Dotyczy to ocen zabezpieczeń pod kątem słabych stron kodu, błędów konfiguracji infrastruktury jako kodu (IaC) i luk w zabezpieczeniach obrazów kontenerów wykrytych w fazie kompilacji.
Klienci z usługą GitHub Advanced Security będą nadal otrzymywać dodatkowe oceny zabezpieczeń w Defender dla Chmury pod kątem uwidocznionych poświadczeń, luk w zabezpieczeniach w zależnościach typu open source i ustaleń codeQL.
Aby dowiedzieć się więcej na temat zabezpieczeń metodyki DevOps w Defender dla Chmury, zobacz Omówienie zabezpieczeń metodyki DevOps. Aby dowiedzieć się, jak dołączyć środowisko GitHub do Defender dla Chmury, postępuj zgodnie z przewodnikiem dołączania usługi GitHub. To learn how to configure the Microsoft Security DevOps GitHub Action, see our GitHub Action documentation.
Zaktualizowano osie czasu wycofania programu MMA w usłudze Defender for Servers Plan 2
18 lipca 2024 r.
Szacowana data zmiany: sierpień 2024 r.
Wraz z nadchodzącym wycofaniem agenta usługi Log Analytics w sierpniu wszystkie wartości zabezpieczeń ochrony serwera w Defender dla Chmury będą polegać na integracji z Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) jako pojedynczego agenta i na możliwościach bez agenta udostępnianych przez platformę w chmurze i maszynę bez agenta Skanowanie.
Następujące możliwości mają zaktualizowane osie czasu i plany, dzięki czemu wsparcie dla nich w ramach MMA zostanie przedłużone dla klientów Defender dla Chmury do końca listopada 2024 r.:
Monitorowanie integralności plików (FIM): publiczna wersja zapoznawcza dla nowej wersji programu FIM za pośrednictwem rozwiązania MDE jest planowana na sierpień 2024 r. The GA version of FIM powered by Log Analytics agent will continue to be supported for existing customers until the end of November 2024.
Security Baseline: as an alternative to the version based on MMA, the current preview version based on Guest Configuration will be released to general availability in September 2024. OS Security Baselines powered by Log Analytics agent will continue to be supported for existing customers until the end of November 2024.
Aby uzyskać więcej informacji, zobacz Przygotowanie do wycofania agenta usługi Log Analytics.
Wycofanie funkcji związanych z MMA w ramach wycofania agenta
18 lipca 2024 r.
Szacowana data zmiany: sierpień 2024 r.
W ramach wycofania programu Microsoft Monitoring Agent (MMA) i zaktualizowanej strategii wdrażania usługi Defender for Servers wszystkie funkcje zabezpieczeń dla usługi Defender for Servers będą teraz udostępniane za pośrednictwem jednego agenta (Defender for Endpoint) lub za pośrednictwem funkcji skanowania bez agenta. Nie będzie to wymagało zależności od agenta MMA lub agenta monitorowania platformy Azure (AMA).
W miarę zbliżania się do wycofania agenta w sierpniu 2024 r. następujące funkcje związane z mma zostaną usunięte z portalu Defender dla Chmury:
- Display of MMA installation status on the Inventory and Resource Health blades.
- The capability to onboard new non-Azure servers to Defender for Servers via Log Analytics workspaces will be removed from both the Inventory and Getting Started blades.
Note
We recommend that current customers, who have onboarded on-premises servers using the legacy approach, should now connect these machines via Azure Arc-enabled servers. Zalecamy również włączenie planu 2 usługi Defender for Servers w subskrypcjach platformy Azure, z którymi te serwery są połączone.
Jeśli usługa Defender for Servers Plan 2 została włączona selektywnie na określonych maszynach wirtualnych platformy Azure przy użyciu starszego podejścia, włącz usługę Defender for Servers (plan 2) w subskrypcjach platformy Azure tych maszyn. Exclude individual machines from the Defender for Servers coverage using the Defender for Servers per-resource configuration.
Te kroki zapewnią brak utraty pokrycia zabezpieczeń z powodu wycofania agenta usługi Log Analytics.
Aby zachować ciągłość zabezpieczeń, zalecamy klientom korzystanie z usługi Defender for Servers (plan 2) w celu włączenia skanowania bez agenta i integracji z Ochrona punktu końcowego w usłudze Microsoft Defender w ich subskrypcjach.
Możesz użyć tego skoroszytu niestandardowego, aby śledzić majątek agenta usługi Log Analytics (MMA) i monitorować stan wdrażania usługi Defender for Servers na maszynach wirtualnych platformy Azure i maszynach usługi Azure Arc.
Aby uzyskać więcej informacji, zobacz Przygotowanie do wycofania agenta usługi Log Analytics.
Publiczna wersja zapoznawcza usługi Binary Drift jest teraz dostępna w usłudze Defender for Containers
Wprowadzamy publiczną wersję zapoznawcza usługi Binary Drift for Defender for Containers. Ta funkcja ułatwia identyfikowanie i zmniejszanie potencjalnych zagrożeń bezpieczeństwa związanych z nieautoryzowanymi plikami binarnymi w kontenerach. Binary Drift autonomicznie identyfikuje i wysyła alerty dotyczące potencjalnie szkodliwych procesów binarnych w kontenerach. Ponadto umożliwia implementację nowych zasad dryfu binarnego w celu kontrolowania preferencji alertów, oferując możliwość dostosowania powiadomień do określonych potrzeb związanych z zabezpieczeniami. Aby uzyskać więcej informacji na temat tej funkcji, zobacz Wykrywanie dryfu binarnego
Skrypty zautomatyzowanego korygowania dla platform AWS i GCP są teraz ogólnie dostępne
14 lipca 2024 r.
W marcu opublikowaliśmy zautomatyzowane skrypty korygowania dla platform AWS i GCP do publicznej wersji zapoznawczej, które umożliwiają korygowanie zaleceń dotyczących platform AWS i GCP w sposób programowy.
Obecnie udostępniamy tę funkcję do ogólnie dostępnej wersji (GA). Dowiedz się, jak używać skryptów zautomatyzowanego korygowania.
Aktualizacja uprawnień aplikacji usługi GitHub
11 lipca 2024 r.
Szacowana data zmiany: 18 lipca 2024 r.
Zabezpieczenia metodyki DevOps w Defender dla Chmury stale dokonują aktualizacji, które wymagają od klientów łączników usługi GitHub w Defender dla Chmury aktualizacji uprawnień aplikacji Microsoft Security DevOps w usłudze GitHub.
W ramach tej aktualizacji aplikacja GitHub będzie wymagać uprawnień do odczytu w usłudze GitHub Copilot Business. To uprawnienie będzie używane w celu ułatwienia klientom lepszego zabezpieczenia wdrożeń narzędzia GitHub Copilot. Zalecamy jak najszybsze zaktualizowanie aplikacji.
Uprawnienia można przyznać na dwa różne sposoby:
W organizacji usługi GitHub przejdź do aplikacji Microsoft Security DevOps w obszarze Ustawienia > aplikacji GitHub i zaakceptuj żądanie uprawnień.
W automatycznej wiadomości e-mail z działu pomocy technicznej usługi GitHub wybierz pozycję Przejrzyj żądanie uprawnień, aby zaakceptować lub odrzucić tę zmianę.
Standardy zgodności są teraz ogólnie dostępne
10 lipca 2024 r.
W marcu dodaliśmy wersje zapoznawcze wielu nowych standardów zgodności dla klientów w celu zweryfikowania ich zasobów platform AWS i GCP.
Standardy te obejmowały CIS Google Kubernetes Engine (GKE) Benchmark, ISO/IEC 27001 i ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), Brazylijskie ogólne prawo ochrony danych osobowych (LGPD), California Consumer Privacy Act (CCA) i inne.
Te standardy w wersji zapoznawczej są teraz ogólnie dostępne.
Zapoznaj się z pełną listą obsługiwanych standardów zgodności.
Ulepszenie środowiska spisu
9 lipca 2024 r.
Szacowana data zmiany: 11 lipca 2024 r.
Środowisko spisu zostanie zaktualizowane w celu zwiększenia wydajności, w tym ulepszeń logiki zapytań "Otwórz zapytanie" w usłudze Azure Resource Graph. Aktualizacje logiki za obliczeniami zasobów platformy Azure mogą spowodować zliczenie i przedstawienie innych zasobów.
Narzędzie do mapowania kontenerów domyślnie uruchamiane w usłudze GitHub
08 lipca 2024 r.
Szacowana data zmiany: 12 sierpnia 2024 r.
Dzięki funkcjom zabezpieczeń metodyki DevOps w Zarządzanie Stanem Zabezpieczeń Chmury w usłudze Microsoft Defender (CSPM) możesz mapować aplikacje natywne dla chmury z kodu na chmurę, aby łatwo rozpocząć przepływy pracy korygowania deweloperów i skrócić czas korygowania luk w zabezpieczeniach obrazów kontenerów. Obecnie należy ręcznie skonfigurować narzędzie do mapowania obrazów kontenera, aby było uruchamiane w akcji DevOps zabezpieczeń firmy Microsoft w usłudze GitHub. Dzięki tej zmianie mapowanie kontenerów będzie domyślnie uruchamiane w ramach akcji DevOps zabezpieczeń firmy Microsoft. Dowiedz się więcej o akcji DevOps zabezpieczeń firmy Microsoft.
June 2024
Date | Category | Update |
---|---|---|
June 27 | ogólna dostępność | Sprawdzanie skanowania IaC w Defender dla Chmury. |
June 24 | Update | Zmiana cen dla usługi Defender for Containers w wielu chmurach |
June 20 | Upcoming deprecation |
Przypomnienie o wycofaniu zaleceń adaptacyjnych w wycofaniu programu Microsoft Monitoring Agent (MMA). Szacowany wycofanie z sierpnia 2024 r. |
June 10 | Preview | Copilot w Defender dla Chmury |
June 10 | Upcoming update |
Automatyczne włączanie oceny luk w zabezpieczeniach SQL przy użyciu konfiguracji ekspresowej na nieskonfigurowanych serwerach. Szacowana aktualizacja: 10 lipca 2024 r. |
June 3 | Upcoming update |
Zmiany zachowania zaleceń dotyczących tożsamości Szacowana aktualizacja: 10 lipca 2024 r. |
Ogólna dostępność: Sprawdzanie skanowania IaC w Defender dla Chmury
27 czerwca 2024 r.
We're announcing the general availability of the Checkov integration for Infrastructure-as-Code (IaC) scanning through Microsoft Security DevOps (MSDO). W ramach tej wersji Checkov zastąpi narzędzie TerraScan jako domyślny analizator IaC, który działa w ramach interfejsu wiersza polecenia MSDO. TerraScan might still be configured manually through MSDO's environment variables but won't run by default.
Wyniki zabezpieczeń firmy Checkov są obecne jako zalecenia dotyczące repozytoriów usługi Azure DevOps i GitHub w ramach ocen repozytoriów usługi Azure DevOps powinny mieć infrastrukturę, ponieważ ustalenia kodu zostały rozwiązane , a repozytoria GitHub powinny mieć infrastrukturę w miarę rozwiązywania ustaleń kodu.
Aby dowiedzieć się więcej na temat zabezpieczeń metodyki DevOps w Defender dla Chmury, zobacz Omówienie zabezpieczeń metodyki DevOps. To learn how to configure the MSDO CLI, see the Azure DevOps or GitHub documentation.
Aktualizacja: zmiana cen kontenerów usługi Defender for Containers w wielu chmurach
24 czerwca 2024 r.
Ponieważ usługa Defender for Containers w wielu chmurach jest teraz ogólnie dostępna, nie jest już bezpłatna. Aby uzyskać więcej informacji, zobacz Microsoft Defender dla Chmury cennik.
Wycofanie: Przypomnienie o wycofaniu zaleceń adaptacyjnych
20 czerwca 2024 r.
Szacowana data zmiany: sierpień 2024 r.
W ramach wycofania programu MMA i zaktualizowanej strategii wdrażania usługi Defender for Servers funkcje zabezpieczeń usługi Defender for Servers będą udostępniane za pośrednictwem agenta Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) lub za pośrednictwem możliwości skanowania bez agenta. Obie te opcje nie będą zależeć od agenta MMA lub agenta monitorowania platformy Azure (AMA).
Zalecenia dotyczące adaptacyjnego zabezpieczeń, znane jako adaptacyjne mechanizmy kontroli aplikacji i adaptacyjne wzmacnianie zabezpieczeń sieci, zostaną wycofane. Bieżąca wersja ogólnodostępna oparta na mma i wersji zapoznawczej oparta na ama zostanie wycofana w sierpniu 2024 r.
Wersja zapoznawcza: Copilot w Defender dla Chmury
10 czerwca 2024 r.
Ogłaszamy integrację rozwiązania Microsoft Security Copilot z Defender dla Chmury w publicznej wersji zapoznawczej. Osadzone środowisko Copilot w Defender dla Chmury zapewnia użytkownikom możliwość zadawania pytań i uzyskiwania odpowiedzi w języku naturalnym. Copilot może pomóc zrozumieć kontekst rekomendacji, efekt wdrożenia zalecenia, kroki niezbędne do wdrożenia zalecenia, pomóc w delegowaniu zaleceń i pomóc w korygowaniu błędów konfiguracji w kodzie.
Dowiedz się więcej o microsoft Security Copilot w Defender dla Chmury.
Aktualizacja: automatyczne włączanie oceny luk w zabezpieczeniach SQL
10 czerwca 2024 r.
Szacowana data zmiany: 10 lipca 2024 r.
Pierwotnie ocena luk w zabezpieczeniach SQL z usługą Express Configuration została automatycznie włączona tylko na serwerach, na których usługa Microsoft Defender for SQL została aktywowana po wprowadzeniu konfiguracji express w grudniu 2022 roku.
Będziemy aktualizować wszystkie serwery Azure SQL Server, które zostały aktywowane przez usługę Microsoft Defender for SQL przed grudniem 2022 r. i nie miały żadnych istniejących zasad oceny luk w zabezpieczeniach SQL( SQL Vulnerability Assessment) automatycznie włączonej za pomocą usługi Express Configuration.
- Implementacja tej zmiany będzie stopniowa, obejmująca kilka tygodni i nie wymaga żadnej akcji w części użytkownika.
- Ta zmiana dotyczy serwerów Azure SQL Server, na których usługa Microsoft Defender for SQL została aktywowana na poziomie subskrypcji platformy Azure.
- Na serwery z istniejącą konfiguracją klasyczną (niezależnie od tego, czy jest prawidłowa, czy nieprawidłowa) ta zmiana nie będzie miała wpływu.
- Po aktywacji może pojawić się zalecenie "Bazy danych SQL powinny mieć usunięte wyniki luk w zabezpieczeniach" i może mieć potencjalnie wpływ na wskaźnik bezpieczeństwa.
Aktualizacja: zmiany zachowania zaleceń dotyczących tożsamości
3 czerwca 2024 r.
Szacowana data zmiany: lipiec 2024 r.
These changes:
- Oceniony zasób stanie się tożsamością zamiast subskrypcji
- Zalecenia nie będą już miały "podpoleceń"
- Wartość pola "assessmentKey" w interfejsie API zostanie zmieniona dla tych zaleceń
Zostaną zastosowane do następujących zaleceń:
- Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe
- Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe
- Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe
- Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć
- Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte
- Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte
- Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte
- Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte
- Dla subskrypcji należy wyznaczyć maksymalnie trzech właścicieli
- Do Twojej subskrypcji powinien być przypisany więcej niż jeden właściciel
May 2024
Ogólna dostępność: Wykrywanie złośliwego oprogramowania bez agenta w usłudze Defender for Servers (plan 2)
30 maja 2024 r.
wykrywanie złośliwego oprogramowania bez agenta Defender dla Chmury dla maszyn wirtualnych platformy Azure, wystąpień usługi AWS EC2 i wystąpień maszyn wirtualnych GCP jest teraz ogólnie dostępne jako nowa funkcja w programie Defender for Servers (Plan 2).
Wykrywanie złośliwego oprogramowania bez agenta używa aparatu Program antywirusowy Microsoft Defender chroniącego przed złośliwym oprogramowaniem do skanowania i wykrywania złośliwych plików. Wykryte zagrożenia wyzwalają alerty zabezpieczeń bezpośrednio do Defender dla Chmury i usługi Defender XDR, gdzie można je zbadać i skorygować. Dowiedz się więcej na temat skanowania bez agenta złośliwego oprogramowania pod kątem serwerów i skanowania bez agenta dla maszyn wirtualnych.
Aktualizacja: Konfigurowanie powiadomień e-mail dla ścieżek ataków
22 maja 2024 r.
Teraz można skonfigurować powiadomienia e-mail po wykryciu ścieżki ataku z określonym poziomem ryzyka lub wyższym. Dowiedz się, jak skonfigurować powiadomienia e-mail.
Aktualizacja: Zaawansowane wyszukiwanie zagrożeń w usłudze Microsoft Defender XDR obejmuje alerty i zdarzenia Defender dla Chmury
21 maja 2024 r.
alerty i zdarzenia Defender dla Chmury są teraz zintegrowane z usługą Microsoft Defender XDR i mogą być dostępne w witrynie Microsoft Defender Portal. Ta integracja zapewnia bogatszy kontekst do badań obejmujących zasoby, urządzenia i tożsamości w chmurze. Dowiedz się więcej o zaawansowanym wyszukiwaniu zagrożeń w integracji XDR.
Wersja zapoznawcza: sprawdzanie integracji z skanowaniem IaC w Defender dla Chmury
9 maja 2024 r.
Sprawdzanie integracji z zabezpieczeniami metodyki DevOps w usłudze Defender dla Chmury jest teraz dostępne w wersji zapoznawczej. Ta integracja poprawia jakość i łączną liczbę testów infrastruktury jako kodu uruchamianych przez interfejs wiersza polecenia MSDO podczas skanowania szablonów IaC.
W wersji zapoznawczej checkov musi być jawnie wywoływany za pomocą parametru wejściowego "tools" dla interfejsu wiersza polecenia MSDO.
Dowiedz się więcej o zabezpieczeniach metodyki DevOps w Defender dla Chmury i konfigurowaniu interfejsu wiersza polecenia MSDO dla usług Azure DevOps i GitHub.
Ogólna dostępność: Zarządzanie uprawnieniami w Defender dla Chmury
7 maja 2024 r.
Permissions management is now generally available in Defender for Cloud.
Wersja zapoznawcza: zarządzanie stanem zabezpieczeń w wielu chmurach sztucznej inteligencji
6 maja 2024 r.
Zarządzanie stanem zabezpieczeń sztucznej inteligencji jest dostępne w wersji zapoznawczej w Defender dla Chmury. Zapewnia ona możliwości zarządzania stanem zabezpieczeń sztucznej inteligencji dla platformy Azure i platformy AWS w celu zwiększenia bezpieczeństwa potoków i usług sztucznej inteligencji.
Dowiedz się więcej o zarządzaniu stanem zabezpieczeń sztucznej inteligencji.
Ograniczona wersja zapoznawcza: Ochrona przed zagrożeniami dla obciążeń sztucznej inteligencji na platformie Azure
6 maja 2024 r.
Ochrona przed zagrożeniami dla obciążeń sztucznej inteligencji w Defender dla Chmury jest dostępna w ograniczonej wersji zapoznawczej. Ten plan pomaga monitorować aplikacje obsługiwane przez usługę Azure OpenAI w środowisku uruchomieniowym pod kątem złośliwych działań, identyfikowania i korygowania zagrożeń bezpieczeństwa. It provides contextual insights into AI workload threat protection, integrating with Responsible AI and Microsoft Threat Intelligence. Odpowiednie alerty zabezpieczeń są zintegrowane z portalem usługi Defender.
Dowiedz się więcej o ochronie przed zagrożeniami dla obciążeń sztucznej inteligencji.
Ogólna dostępność: Zarządzanie zasadami zabezpieczeń
2 maja 2024 r.
Zarządzanie zasadami zabezpieczeń w chmurach (Azure, AWS, GCP) jest teraz ogólnie dostępne. Dzięki temu zespoły ds. zabezpieczeń mogą zarządzać zasadami zabezpieczeń w spójny sposób i przy użyciu nowych funkcji
Dowiedz się więcej o zasadach zabezpieczeń w Microsoft Defender dla Chmury.
Wersja zapoznawcza: usługa Defender dla baz danych typu open source dostępna na platformie AWS
1 maja 2024 r.
Usługa Defender dla baz danych typu open source na platformie AWS jest teraz dostępna w wersji zapoznawczej. Dodaje obsługę różnych typów wystąpień usługi Amazon Relational Database Service (RDS).
Dowiedz się więcej o bazach danych typu open source w usłudze Defender oraz o tym , jak włączyć usługę Defender dla baz danych typu open source na platformie AWS.
Wycofanie: usuwanie programu FIM (z usługą AMA)
1 maja 2024 r.
Szacowana data zmiany: sierpień 2024 r.
W ramach wycofania programu MMA i zaktualizowanej strategii wdrażania usługi Defender for Servers wszystkie funkcje zabezpieczeń usługi Defender for Servers będą udostępniane za pośrednictwem jednego agenta (MDE) lub za pośrednictwem możliwości skanowania bez agenta i bez zależności od mmA lub AMA.
Nowa wersja programu File Integrity Monitoring (FIM) over Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) umożliwia spełnienie wymagań dotyczących zgodności przez monitorowanie krytycznych plików i rejestrów w czasie rzeczywistym, inspekcję zmian i wykrywanie podejrzanych zmian zawartości plików.
W ramach tej wersji środowisko fim over AMA nie będzie już dostępne za pośrednictwem portalu Defender dla Chmury od sierpnia 2024 r. Aby uzyskać więcej informacji, zobacz Środowisko monitorowania integralności plików — zmiany i wskazówki dotyczące migracji.
Aby uzyskać szczegółowe informacje na temat nowej wersji interfejsu API, zobacz Microsoft Defender dla Chmury interfejsów API REST.
April 2024
Date | Category | Update |
---|---|---|
April 16 | Upcoming update |
Zmiana identyfikatorów ocen CIEM. Szacowana aktualizacja: maj 2024 r. |
April 15 | ogólna dostępność | Usługa Defender for Containers jest teraz dostępna dla platform AWS i GCP. |
April 3 | Update | Priorytetyzacja ryzyka jest teraz domyślnym środowiskiem w Defender dla Chmury |
April 3 | Update | Usługa Defender dla aktualizacji relacyjnych baz danych typu open source. |
Aktualizacja: zmiana identyfikatorów ocen CIEM
16 kwietnia 2024 r.
Szacowana data zmiany: maj 2024 r.
Następujące zalecenia są planowane do ponownego modelowania, co spowoduje zmianę ich identyfikatorów oceny:
Azure overprovisioned identities should have only the necessary permissions
AWS Overprovisioned identities should have only the necessary permissions
GCP overprovisioned identities should have only the necessary permissions
Super identities in your Azure environment should be removed
Unused identities in your Azure environment should be removed
Ogólna dostępność: Defender for Containers for AWS i GCP
15 kwietnia 2024
Wykrywanie zagrożeń w czasie wykonywania i odnajdywanie bez agentów dla platform AWS i GCP w usłudze Defender for Containers są teraz ogólnie dostępne. Ponadto w usłudze AWS dostępna jest nowa funkcja uwierzytelniania, która upraszcza aprowizowanie.
Dowiedz się więcej o macierzy obsługi kontenerów w Defender dla Chmury i sposobie konfigurowania składników usługi Defender for Containers.
Aktualizacja: Priorytetyzacja ryzyka
3 kwietnia 2024 r.
Priorytetyzacja ryzyka jest teraz domyślnym środowiskiem w Defender dla Chmury. Ta funkcja pomaga skupić się na najbardziej krytycznych problemach z zabezpieczeniami w środowisku, ustalając priorytety zaleceń na podstawie czynników ryzyka poszczególnych zasobów. Czynniki ryzyka obejmują potencjalny wpływ naruszenia problemu zabezpieczeń, kategorie ryzyka i ścieżkę ataku, której częścią jest problem z zabezpieczeniami. Learn more about risk prioritization.
Aktualizacja: relacyjne bazy danych usługi Defender for Open Source
3 kwietnia 2024 r.
- Usługa Defender for PostgreSQL — aktualizacje elastyczne — aktualizacja umożliwia klientom wymuszanie ochrony istniejących serwerów elastycznych PostgreSQL na poziomie subskrypcji, co pozwala na pełną elastyczność włączania ochrony dla poszczególnych zasobów lub automatycznej ochrony wszystkich zasobów na poziomie subskrypcji.
- Usługa Defender for MySQL — dostępność elastycznych serwerów i ogólna dostępność — Defender dla Chmury rozszerzyła obsługę relacyjnych baz danych typu open source platformy Azure, włączając serwery elastyczne MySQL.
Ta wersja obejmuje:
- Zgodność alertów z istniejącymi alertami dla pojedynczych serwerów usługi Defender for MySQL.
- Włączanie poszczególnych zasobów.
- Włączanie na poziomie subskrypcji.
- Aktualizacje serwerów elastycznych usługi Azure Database for MySQL są wdrażane w ciągu najbliższych kilku tygodni. Jeśli zostanie wyświetlony błąd
The server <servername> is not compatible with Advanced Threat Protection
, możesz zaczekać na aktualizację lub otworzyć bilet pomocy technicznej, aby zaktualizować serwer wcześniej do obsługiwanej wersji.
Jeśli już chronisz subskrypcję za pomocą usługi Defender dla relacyjnych baz danych typu open source, zasoby serwera elastycznego są automatycznie włączone, chronione i rozliczane. Określone powiadomienia dotyczące rozliczeń zostały wysłane za pośrednictwem poczty e-mail dla subskrypcji, których dotyczy problem.
Dowiedz się więcej o usłudze Microsoft Defender dla relacyjnych baz danych typu open source.
March 2024
Ogólna dostępność: Skanowanie obrazów kontenerów systemu Windows
31 marca 2024 r.
Ogłaszamy ogólną dostępność obrazów kontenerów systemu Windows do skanowania przez usługę Defender for Containers.
Aktualizacja: Eksport ciągły zawiera teraz dane ścieżki ataku
25 marca 2024 r.
Ogłaszamy, że eksport ciągły zawiera teraz dane ścieżki ataku. Ta funkcja umożliwia przesyłanie strumieniowe danych zabezpieczeń do usługi Log Analytics w usłudze Azure Monitor, do usługi Azure Event Hubs lub do innego rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatycznego reagowania na orkiestrację zabezpieczeń (SOAR) lub klasycznego rozwiązania modelu wdrażania IT.
Learn more about continuous export.
Wersja zapoznawcza: skanowanie bez agenta obsługuje zaszyfrowane maszyny wirtualne cmK na platformie Azure
21 marca 2024 r.
Do tej pory skanowanie bez agenta obejmowało zaszyfrowane maszyny wirtualne CMK na platformach AWS i GCP. W tej wersji ukończymy również obsługę platformy Azure. Ta funkcja wykorzystuje unikatowe podejście do skanowania klucza zarządzanego przez klienta na platformie Azure:
- Defender dla Chmury nie obsługuje procesu odszyfrowywania ani klucza. Klucze i odszyfrowywanie są bezproblemowo obsługiwane przez usługę Azure Compute i są niewidoczne dla usługi skanowania bez agenta Defender dla Chmury.
- Niezaszyfrowane dane dysku maszyny wirtualnej nigdy nie są kopiowane ani ponownie szyfrowane przy użyciu innego klucza.
- Oryginalny klucz nie jest replikowany podczas procesu. Przeczyszczanie eliminuje dane zarówno na produkcyjnej maszynie wirtualnej, jak i na tymczasowej migawki Defender dla Chmury.
W publicznej wersji zapoznawczej ta funkcja nie jest automatycznie włączona. If you're using Defender for Servers P2 or Defender CSPM and your environment has VMs with CMK encrypted disks, you can now have them scanned for vulnerabilities, secrets, and malware following these enablement steps.
Wersja zapoznawcza: zalecenia niestandardowe oparte na języku KQL dla platformy Azure
17 marca 2024 r.
Rekomendacje niestandardowe oparte na języku KQL dla platformy Azure są teraz dostępne w publicznej wersji zapoznawczej i obsługiwane dla wszystkich chmur. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych standardów zabezpieczeń i zaleceń.
Aktualizacja: dołączanie zaleceń metodyki DevOps do testu porównawczego zabezpieczeń w chmurze firmy Microsoft
13 marca 2024
Dzisiaj ogłaszamy, że możesz teraz monitorować stan zabezpieczeń i zgodności metodyki DevOps w testach porównawczych zabezpieczeń w chmurze firmy Microsoft (MCSB) oprócz platform Azure, AWS i GCP. Oceny metodyki DevOps są częścią kontroli zabezpieczeń metodyki DevOps w mcSB.
MCSB to struktura definiująca podstawowe zasady zabezpieczeń w chmurze oparte na wspólnych branżowych standardach i strukturach zgodności. McSB zawiera normatywne szczegóły dotyczące implementowania zaleceń dotyczących zabezpieczeń lokalnych dla chmury.
Learn more about the DevOps recommendations that will be included and the Microsoft cloud security benchmark.
Ogólna dostępność: integracja z usługą ServiceNow jest teraz ogólnie dostępna
12 marca 2024 r.
We're announcing the general availability (GA) of the ServiceNow integration.
Wersja zapoznawcza: ochrona krytycznych zasobów w Microsoft Defender dla Chmury
12 marca 2024 r.
Defender dla Chmury teraz obejmuje funkcję krytycznego działania firmy, korzystając z aparatu zasobów krytycznych usługi Microsoft Security Exposure Management, do identyfikowania i ochrony ważnych zasobów dzięki priorytetyzacji ryzyka, analizie ścieżki ataku i eksploratorowi zabezpieczeń w chmurze. Aby uzyskać więcej informacji, zobacz Ochrona zasobów krytycznych w Microsoft Defender dla Chmury (wersja zapoznawcza).
Aktualizacja: Ulepszone rekomendacje dotyczące platform AWS i GCP za pomocą skryptów zautomatyzowanego korygowania
12 marca 2024 r.
Ulepszamy rekomendacje platform AWS i GCP za pomocą skryptów zautomatyzowanego korygowania, które umożliwiają korygowanie ich programowo i na dużą skalę. Dowiedz się więcej o skryptach zautomatyzowanego korygowania.
Wersja zapoznawcza: standardy zgodności dodane do pulpitu nawigacyjnego zgodności
6 marca 2024 r.
Na podstawie opinii klientów dodaliśmy standardy zgodności w wersji zapoznawczej do Defender dla Chmury.
Zapoznaj się z pełną listą obsługiwanych standardów zgodności
Nieustannie pracujemy nad dodawaniem i aktualizowaniem nowych standardów dla środowisk platform Azure, AWS i GCP.
Dowiedz się, jak przypisać standard zabezpieczeń.
Aktualizacja: aktualizacje relacyjnych baz danych typu open source w usłudze Defender
6 marca 2024 r. **
Szacowana data zmiany: kwiecień 2024 r.
Usługa Defender for PostgreSQL — aktualizacje elastyczne — aktualizacja umożliwia klientom wymuszanie ochrony istniejących serwerów elastycznych PostgreSQL na poziomie subskrypcji, co pozwala na pełną elastyczność włączania ochrony dla poszczególnych zasobów lub automatycznej ochrony wszystkich zasobów na poziomie subskrypcji.
Usługa Defender for MySQL — dostępność elastycznych serwerów i ogólna dostępność — Defender dla Chmury jest ustawiona na rozszerzenie obsługi relacyjnych baz danych typu open source platformy Azure przez włączenie serwerów elastycznych MySQL. Ta wersja będzie obejmować następujące elementy:
- Zgodność alertów z istniejącymi alertami dla pojedynczych serwerów usługi Defender for MySQL.
- Włączanie poszczególnych zasobów.
- Włączanie na poziomie subskrypcji.
Jeśli już chronisz subskrypcję za pomocą usługi Defender dla relacyjnych baz danych typu open source, zasoby serwera elastycznego są automatycznie włączone, chronione i rozliczane. Określone powiadomienia dotyczące rozliczeń zostały wysłane za pośrednictwem poczty e-mail dla subskrypcji, których dotyczy problem.
Dowiedz się więcej o usłudze Microsoft Defender dla relacyjnych baz danych typu open source.
Aktualizacja: zmiany w ofertach zgodności i ustawieniach programu Microsoft Actions
3 marca 2024 r.
Szacowana data zmiany: 30 września 2025 r.
30 września 2025 r. zmienią się lokalizacje, w których uzyskujesz dostęp do dwóch funkcji w wersji zapoznawczej, oferty zgodności i funkcji Microsoft Actions.
The table that lists the compliance status of Microsoft's products (accessed from the Compliance offerings button in the toolbar of Defender's regulatory compliance dashboard). Po usunięciu tego przycisku z Defender dla Chmury nadal będziesz mieć dostęp do tych informacji przy użyciu portalu zaufania usług.
W przypadku podzbioru kontrolek program Microsoft Actions był dostępny z poziomu przycisku Microsoft Actions (wersja zapoznawcza) w okienku szczegółów kontrolek. Po usunięciu tego przycisku możesz wyświetlić program Microsoft Actions, odwiedzając portal zaufania usług firmy Microsoft dla usługi FedRAMP i dostęp do dokumentu Plan zabezpieczeń systemu Azure.
Aktualizacja: zmiany w miejscu uzyskiwania dostępu do ofert zgodności i akcji Microsoft Actions
3 marca 2024 r. **
Szacowana data zmiany: wrzesień 2025 r.
30 września 2025 r. zmienią się lokalizacje, w których uzyskujesz dostęp do dwóch funkcji w wersji zapoznawczej, oferty zgodności i funkcji Microsoft Actions.
The table that lists the compliance status of Microsoft's products (accessed from the Compliance offerings button in the toolbar of Defender's regulatory compliance dashboard). Po usunięciu tego przycisku z Defender dla Chmury nadal będziesz mieć dostęp do tych informacji przy użyciu portalu zaufania usług.
W przypadku podzbioru kontrolek program Microsoft Actions był dostępny z poziomu przycisku Microsoft Actions (wersja zapoznawcza) w okienku szczegółów kontrolek. Po usunięciu tego przycisku możesz wyświetlić program Microsoft Actions, odwiedzając portal zaufania usług firmy Microsoft dla usługi FedRAMP i dostęp do dokumentu Plan zabezpieczeń systemu Azure.
Wycofanie: ocena luk w zabezpieczeniach kontenerów Defender dla Chmury obsługiwana przez wycofanie rozwiązania Qualys
3 marca 2024 r.
Ocena luk w zabezpieczeniach kontenerów Defender dla Chmury obsługiwana przez firmę Qualys jest wycofywana. Wycofanie zostanie ukończone do 6 marca, a do tego czasu częściowe wyniki mogą nadal występować zarówno w rekomendacjach Qualys, jak i qualys powoduje wyświetlenie wykresu zabezpieczeń. Wszyscy klienci, którzy wcześniej korzystali z tej oceny, powinni przeprowadzić uaktualnienie do ocen luk w zabezpieczeniach dla platformy Azure przy użyciu Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender. Aby uzyskać informacje o przejściu do oferty oceny luk w zabezpieczeniach kontenerów obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, zobacz Przejście z rozwiązania Qualys do Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
February 2024
Date | Category | Update |
---|---|---|
February 28 | Deprecation | Analiza kodu zabezpieczeń firmy Microsoft (MSCA) nie działa już. |
February 28 | Update | Zaktualizowane zarządzanie zasadami zabezpieczeń rozszerza obsługę usług AWS i GCP. |
February 26 | Update | Obsługa chmury dla kontenerów usługi Defender for Containers |
February 20 | Update | Nowa wersja czujnika usługi Defender for Defender for Containers |
February 18 | Update | Obsługa specyfikacji formatu obrazu Open Container Initiative (OCI) |
February 13 | Deprecation | Ocena luk w zabezpieczeniach kontenera platformy AWS obsługiwana przez program Trivy została wycofana. |
February 5 | Upcoming update |
Likwidowanie dostawcy zasobów Microsoft.SecurityDevOps Oczekiwano: 6 marca 2024 r. |
Wycofanie: Analiza kodu zabezpieczeń firmy Microsoft (MSCA) nie działa już
28 lutego 2024 r.
In February 2021, the deprecation of the MSCA task was communicated to all customers and has been past end of life support since March 2022. Od 26 lutego 2024 r. MSCA oficjalnie nie działa.
Klienci mogą uzyskać najnowsze narzędzia zabezpieczeń DevOps z Defender dla Chmury za pośrednictwem usługi Microsoft Security DevOps i innych narzędzi zabezpieczeń za pośrednictwem usługi GitHub Advanced Security for Azure DevOps.
Aktualizacja: Zarządzanie zasadami zabezpieczeń rozszerza obsługę usług AWS i GCP
28 lutego 2024 r.
Zaktualizowane środowisko zarządzania zasadami zabezpieczeń, początkowo wydane w wersji zapoznawczej dla platformy Azure, rozszerza obsługę środowisk między chmurami (AWS i GCP). Ta wersja zapoznawcza obejmuje następujące elementy:
- Zarządzanie standardami zgodności z przepisami w Defender dla Chmury w środowiskach platform Azure, AWS i GCP.
- To samo środowisko interfejsu między chmurami służące do tworzenia niestandardowych zaleceń dotyczących testów porównawczych zabezpieczeń w chmurze (MCSB) i zarządzania nimi.
- Zaktualizowane środowisko jest stosowane do platform AWS i GCP do tworzenia niestandardowych zaleceń za pomocą zapytania KQL.
Aktualizacja: obsługa chmury dla kontenerów usługi Defender for Containers
26 lutego 2024 r.
Funkcje wykrywania zagrożeń usługi Azure Kubernetes Service (AKS) w usłudze Defender for Containers są teraz w pełni obsługiwane w chmurach komercyjnych, Azure Government i Azure (Chiny 21Vianet). Review supported features.
Aktualizacja: nowa wersja czujnika usługi Defender dla kontenerów usługi Defender for Containers
20 lutego 2024 r.
Dostępna jest nowa wersja czujnika usługi Defender dla usługi Defender for Containers . It includes performance and security improvements, support for both AMD64 and Arm64 arch nodes (Linux only), and uses Inspektor Gadget as the process collection agent instead of Sysdig. Nowa wersja jest obsługiwana tylko w jądrach systemu Linux w wersji 5.4 lub nowszej, więc jeśli masz starsze wersje jądra systemu Linux, musisz przeprowadzić uaktualnienie. Obsługa arm64 jest dostępna tylko w usłudze AKS w wersji 1.29 lub nowszej. Aby uzyskać więcej informacji, zobacz Obsługiwane systemy operacyjne hosta.
Aktualizacja: obsługa specyfikacji formatu obrazu Open Container Initiative (OCI)
18 lutego 2024 r.
Specyfikacja formatu obrazu Open Container Initiative (OCI) jest teraz obsługiwana przez ocenę luk w zabezpieczeniach obsługiwaną przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender dla chmur AWS, Azure i GCP.
Wycofanie: ocena luk w zabezpieczeniach kontenera platformy AWS obsługiwana przez wycofaną usługę Trivy
13 lutego 2024 r.
Ocena luk w zabezpieczeniach kontenera obsługiwana przez program Trivy została wycofana. Wszyscy klienci, którzy wcześniej korzystali z tej oceny, powinni przeprowadzić uaktualnienie do nowej oceny luk w zabezpieczeniach kontenera platformy AWS obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender. Aby uzyskać instrukcje dotyczące uaktualniania, zobacz Jak mogę uaktualnienie z wycofanej oceny luk w zabezpieczeniach Trivy do oceny luk w zabezpieczeniach platformy AWS obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender?
Aktualizacja: likwidowanie dostawcy zasobów Microsoft.SecurityDevOps
5 lutego 2024 r.
Szacowana data zmiany: 6 marca 2024 r.
Microsoft Defender dla Chmury likwiduje dostawcę Microsoft.SecurityDevOps
zasobów, który był używany podczas publicznej wersji zapoznawczej zabezpieczeń metodyki DevOps, po przeprowadzeniu migracji do istniejącego Microsoft.Security
dostawcy. Przyczyną zmiany jest ulepszenie środowiska klienta przez zmniejszenie liczby dostawców zasobów skojarzonych z łącznikami DevOps.
Customers that are still using the API version 2022-09-01-preview under Microsoft.SecurityDevOps
to query Defender for Cloud DevOps security data will be impacted. To avoid disruption to their service, customer will need to update to the new API version 2023-09-01-preview under the Microsoft.Security
provider.
Klienci korzystający obecnie z zabezpieczeń Defender dla Chmury DevOps z witryny Azure Portal nie będą mieć wpływu.
January 2024
Aktualizacja: Nowe szczegółowe informacje dotyczące aktywnych repozytoriów w Eksploratorze zabezpieczeń w chmurze
31 stycznia 2024 r.
Nowy wgląd w repozytoria usługi Azure DevOps został dodany do Eksploratora zabezpieczeń w chmurze, aby wskazać, czy repozytoria są aktywne. Ta analiza wskazuje, że repozytorium kodu nie jest zarchiwizowane ani wyłączone, co oznacza, że dostęp do zapisu w kodzie, kompilacjach i żądaniach ściągnięcia jest nadal dostępny dla użytkowników. Zarchiwizowane i wyłączone repozytoria mogą być traktowane jako niższe priorytety, ponieważ kod nie jest zwykle używany w aktywnych wdrożeniach.
Aby przetestować zapytanie za pomocą Eksploratora zabezpieczeń w chmurze, użyj tego linku zapytania.
Aktualizacja: zmiana cen wykrywania zagrożeń w kontenerze z wieloma chmurami
30 stycznia 2024 r. **
Szacowana data zmiany: kwiecień 2024 r.
Gdy wykrywanie zagrożeń w wielu chmurach zostanie przeniesione do ogólnie dostępnej wersji, nie będzie już bezpłatne. Aby uzyskać więcej informacji, zobacz Microsoft Defender dla Chmury cennik.
Aktualizacja: wymuszanie CSPM w usłudze Defender dla wartości zabezpieczeń Usługi DevOps w warstwie Premium
29 stycznia 2024 r. **
Szacowana data zmiany: 7 marca 2024 r.
Defender dla Chmury rozpocznie wymuszanie sprawdzania planu CSPM w usłudze Defender pod kątem wartości zabezpieczeń Usługi DevOps w warstwie Premium od 7 marca 2024 r. Jeśli masz włączony plan CSPM w usłudze Defender w środowisku chmury (Azure, AWS, GCP) w tej samej dzierżawie, w której są tworzone łączniki DevOps, nadal będziesz otrzymywać możliwości DevOps w warstwie Premium bez dodatkowych kosztów. Jeśli nie jesteś klientem CSPM w usłudze Defender, masz do 7 marca 2024 r., aby włączyć CSPM w usłudze Defender przed utratą dostępu do tych funkcji zabezpieczeń. To enable Defender CSPM on a connected cloud environment before March 7, 2024, follow the enablement documentation outlined here.
Aby uzyskać więcej informacji na temat funkcji zabezpieczeń metodyki DevOps dostępnych zarówno w podstawowych planach CSPM, jak i CSPM w usłudze Defender, zobacz naszą dokumentację przedstawiającą dostępność funkcji.
For more information about DevOps Security in Defender for Cloud, see the overview documentation.
Aby uzyskać więcej informacji na temat kodu funkcji zabezpieczeń w chmurze w CSPM w usłudze Defender, zobacz jak chronić zasoby za pomocą CSPM w usłudze Defender.
Wersja zapoznawcza: stan kontenera bez agenta dla platformy GCP w usłudze Defender for Containers i CSPM w usłudze Defender
24 stycznia 2024 r.
Nowe funkcje stanu kontenera bez agenta (wersja zapoznawcza) są dostępne dla platformy GCP, w tym oceny luk w zabezpieczeniach dla platformy GCP z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender. Aby uzyskać więcej informacji na temat wszystkich możliwości, zobacz Stan kontenera bez agenta w CSPM w usłudze Defender i możliwości bez agenta w usłudze Defender for Containers.
Więcej informacji na temat zarządzania stanem kontenera bez agenta dla wielu chmur można również przeczytać w tym wpisie w blogu.
Wersja zapoznawcza: skanowanie złośliwego oprogramowania bez agenta dla serwerów
16 stycznia 2024 r.
Ogłaszamy wydanie bez agentów wykrywania złośliwego oprogramowania Defender dla Chmury dla maszyn wirtualnych platformy Azure, wystąpień usługi AWS EC2 i wystąpień maszyn wirtualnych GCP jako nowej funkcji dostępnej w planie 2 usługi Defender for Servers.
Wykrywanie złośliwego oprogramowania bez agenta dla maszyn wirtualnych jest teraz uwzględniane na naszej platformie skanowania bez agentów. Skanowanie złośliwego oprogramowania bez agenta wykorzystuje Program antywirusowy Microsoft Defender aparat ochrony przed złośliwym oprogramowaniem do skanowania i wykrywania złośliwych plików. Wszelkie wykryte zagrożenia, wyzwalać alerty zabezpieczeń bezpośrednio do Defender dla Chmury i usługi Defender XDR, gdzie można je zbadać i skorygować. Skaner złośliwego oprogramowania bez agenta uzupełnia pokrycie oparte na agencie przy użyciu drugiej warstwy wykrywania zagrożeń bez problemów i nie ma wpływu na wydajność maszyny.
Dowiedz się więcej na temat skanowania bez agenta złośliwego oprogramowania pod kątem serwerów i skanowania bez agenta dla maszyn wirtualnych.
Ogólna dostępność integracji Defender dla Chmury z usługą Microsoft Defender XDR
15 stycznia 2024 r.
Ogłaszamy ogólną dostępność integracji między Defender dla Chmury i usługą Microsoft Defender XDR (dawniej Microsoft 365 Defender).
Integracja zapewnia konkurencyjną ochronę w chmurze do codziennego działania usługi Security Operations Center (SOC). Dzięki Microsoft Defender dla Chmury i integracji usługi Defender XDR zespoły SOC mogą odnajdywać ataki łączące wykrywanie z wielu filarów, w tym chmury, punktu końcowego, tożsamości, usługi Office 365 i nie tylko.
Dowiedz się więcej o alertach i zdarzeniach w usłudze Microsoft Defender XDR.
Aktualizacja: Wbudowana rola platformy Azure skanowania maszyn wirtualnych bez agenta
14 stycznia 2024 r. **
Szacowana data zmiany: luty 2024 r.
Na platformie Azure skanowanie bez agenta dla maszyn wirtualnych używa wbudowanej roli (nazywanej operatorem skanera maszyn wirtualnych) z minimalnymi wymaganymi uprawnieniami wymaganymi do skanowania i oceniania maszyn wirtualnych pod kątem problemów z zabezpieczeniami. Aby stale dostarczać odpowiednie zalecenia dotyczące kondycji i konfiguracji skanowania dla maszyn wirtualnych z zaszyfrowanymi woluminami, planowana jest aktualizacja uprawnień tej roli. Aktualizacja obejmuje dodanie Microsoft.Compute/DiskEncryptionSets/read
uprawnienia. To uprawnienie umożliwia wyłącznie ulepszoną identyfikację zaszyfrowanego użycia dysku na maszynach wirtualnych. It doesn't provide Defender for Cloud any more capabilities to decrypt or access the content of these encrypted volumes beyond the encryption methods already supported before this change. Ta zmiana ma się odbyć w lutym 2024 r. i na końcu nie jest wymagana żadna akcja.
Aktualizacja: adnotacje żądania ściągnięcia zabezpieczeń DevOps są domyślnie włączone dla łączników usługi Azure DevOps
12 stycznia 2024
Zabezpieczenia metodyki DevOps uwidaczniają wyniki zabezpieczeń jako adnotacje w żądaniach ściągnięcia, aby pomóc deweloperom w zapobieganiu i usuwaniu potencjalnych luk w zabezpieczeniach i błędnych konfiguracji przed wejściem do środowiska produkcyjnego. Od 12 stycznia 2024 r. adnotacje żądań ściągnięcia są teraz domyślnie włączone dla wszystkich nowych i istniejących repozytoriów usługi Azure DevOps połączonych z Defender dla Chmury.
Domyślnie adnotacje żądań ściągnięcia są włączone tylko dla wyników infrastruktury o wysokiej ważności jako kodu (IaC). Klienci będą nadal musieli skonfigurować zabezpieczenia firmy Microsoft dla metodyki DevOps (MSDO) do uruchamiania w kompilacjach żądania ściągnięcia i włączyć zasady weryfikacji kompilacji dla kompilacji ciągłej integracji w ustawieniach repozytorium Usługi Azure DevOps. Klienci mogą wyłączyć funkcję adnotacji żądania ściągnięcia dla określonych repozytoriów z poziomu opcji konfiguracji repozytorium zabezpieczeń DevOps.
Dowiedz się więcej na temat włączania adnotacji żądania ściągnięcia dla usługi Azure DevOps.
Wycofanie: ścieżka wycofania wbudowanej oceny luk w zabezpieczeniach usługi Defender for Servers (Qualys)
9 stycznia 2024 r. **
Szacowana data zmiany: maj 2024 r.
Wbudowane rozwiązanie do oceny luk w zabezpieczeniach usługi Defender for Servers obsługiwane przez firmę Qualys znajduje się na ścieżce wycofania, która ma zostać ukończona 1 maja 2024 r. Jeśli obecnie używasz rozwiązania do oceny luk w zabezpieczeniach obsługiwanego przez firmę Qualys, należy zaplanować przejście do zintegrowanego rozwiązania do zarządzania lukami w zabezpieczeniach w usłudze Microsoft Defender.
Aby uzyskać więcej informacji na temat naszej decyzji o ujednoliceniu oferty oceny luk w zabezpieczeniach za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, możesz przeczytać ten wpis w blogu.
Możesz również zapoznać się z typowymi pytaniami dotyczącymi przejścia do rozwiązania Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Aktualizacja: wymagania dotyczące sieci wielochmurowej Defender dla Chmury
3 stycznia 2024 r. **
Szacowana data zmiany: maj 2024 r.
Od maja 2024 r. wycofamy stare adresy IP skojarzone z naszymi usługami odnajdywania w wielu chmurach w celu dostosowania się do ulepszeń i zapewnienia bezpieczniejszego i wydajnego środowiska dla wszystkich użytkowników.
Aby zapewnić nieprzerwany dostęp do naszych usług, należy zaktualizować listę dozwolonych adresów IP przy użyciu nowych zakresów podanych w poniższych sekcjach. Należy wprowadzić niezbędne zmiany w ustawieniach zapory, grupach zabezpieczeń lub innych konfiguracjach, które mogą mieć zastosowanie do danego środowiska.
Lista ma zastosowanie do wszystkich planów i wystarczającej do pełnej możliwości oferty podstawowej CSPM (bezpłatna).
Adresy IP do wycofania:
- Odnajdywanie GCP: 104.208.29.200, 52.232.56.127
- Odnajdywanie platformy AWS: 52.165.47.219, 20.107.8.204
- Onboarding: 13.67.139.3
Nowe zakresy adresów IP specyficzne dla regionu do dodania:
- Europa Zachodnia: 52.178.17.48/28
- Europa Północna: 13.69.233.80/28
- Środkowe stany USA: 20.44.10.240/28
- Wschodnie stany USA 2: 20.44.19.128/28
December 2023
Konsolidacja nazw poziomu usług Defender dla Chmury 2
30 grudnia 2023 r.
Konsolidujemy starsze nazwy poziomu usługi 2 dla wszystkich planów Defender dla Chmury w jedną nową nazwę poziomu usługi 2, Microsoft Defender dla Chmury.
Obecnie istnieją cztery nazwy poziomu usług: Azure Defender, Advanced Threat Protection, Advanced Data Security i Security Center. Różne mierniki dla Microsoft Defender dla Chmury są grupowane w tych oddzielnych nazwach poziomu usług 2, tworząc złożoność podczas korzystania z usługi Cost Management + Billing, fakturowania i innych narzędzi związanych z rozliczeniami platformy Azure.
Zmiana upraszcza proces przeglądania opłat Defender dla Chmury i zapewnia lepszą przejrzystość analizy kosztów.
Aby zapewnić bezproblemowe przejście, podjęliśmy działania w celu zachowania spójności nazw produktów/usług, jednostek SKU i identyfikatorów mierników. Klienci, których to dotyczy, otrzymają informacyjne powiadomienie o usłudze platformy Azure w celu komunikowania się ze zmianami.
Organizacje, które pobierają dane kosztów, wywołując nasze interfejsy API, będą musiały zaktualizować wartości w wywołaniach, aby uwzględnić zmiany. Na przykład w tej funkcji filter wartości nie będą zwracać żadnych informacji:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
STARA nazwa poziomu usługi 2 | NOWA nazwa poziomu usługi 2 | Warstwa usługi — poziom usługi 4 (bez zmian) |
---|---|---|
Advanced Data Security | Microsoft Defender dla Chmury | Defender dla SQL |
Advanced Threat Protection | Microsoft Defender dla Chmury | Usługa Defender dla rejestrów kontenerów |
Advanced Threat Protection | Microsoft Defender dla Chmury | Obrońca dla DNS |
Advanced Threat Protection | Microsoft Defender dla Chmury | Obrońca dla Key Vault |
Advanced Threat Protection | Microsoft Defender dla Chmury | Defender for Kubernetes |
Advanced Threat Protection | Microsoft Defender dla Chmury | Defender for MySQL |
Advanced Threat Protection | Microsoft Defender dla Chmury | Defender for PostgreSQL |
Advanced Threat Protection | Microsoft Defender dla Chmury | Ochrona dla Menedżera Zasobów |
Advanced Threat Protection | Microsoft Defender dla Chmury | Defender dla magazynowania |
Azure Defender | Microsoft Defender dla Chmury | Zarządzanie obszarem ataków zewnętrznych w usłudze Defender |
Azure Defender | Microsoft Defender dla Chmury | Defender dla Azure Cosmos DB |
Azure Defender | Microsoft Defender dla Chmury | Defender dla Kontenerów |
Azure Defender | Microsoft Defender dla Chmury | Defender for MariaDB |
Security Center | Microsoft Defender dla Chmury | Usługa Defender dla usługi App Service |
Security Center | Microsoft Defender dla Chmury | Defender dla Serwerów |
Security Center | Microsoft Defender dla Chmury | Defender CSPM |
Defender for Servers na poziomie zasobu dostępnym jako ogólna dostępność
24 grudnia 2023 r.
Teraz można zarządzać usługą Defender for Servers na określonych zasobach w ramach subskrypcji, zapewniając pełną kontrolę nad strategią ochrony. Dzięki tej funkcji można skonfigurować określone zasoby z konfiguracjami niestandardowymi, które różnią się od ustawień skonfigurowanych na poziomie subskrypcji.
Dowiedz się więcej o włączaniu usługi Defender for Servers na poziomie zasobu.
Wycofanie łączników klasycznych dla wielu chmur
21 grudnia 2023 r.
Klasyczne środowisko łącznika wielochmurowego jest wycofywane, a dane nie są już przesyłane strumieniowo do łączników utworzonych za pomocą tego mechanizmu. Te łączniki klasyczne były używane do łączenia zaleceń usług AWS Security Hub i GCP Security Command Center w celu Defender dla Chmury i dołączania usługi AWS EC2s do usługi Defender for Servers.
Pełna wartość tych łączników została zastąpiona natywnym środowiskiem łączników zabezpieczeń z wieloma chmurami, które od marca 2022 r. jest ogólnie dostępne dla platform AWS i GCP bez dodatkowych kosztów.
Nowe łączniki natywne są uwzględniane w planie i oferują zautomatyzowane środowisko dołączania z opcjami dołączania pojedynczych kont, wielu kont (z programem Terraform) oraz dołączania organizacji z automatycznym aprowizowaniem dla następujących planów usługi Defender: bezpłatne podstawowe funkcje CSPM, Defender Cloud Security Posture Management (CSPM), Defender for Servers, Defender for SQL i Defender for Containers.
Wydanie skoroszytu Pokrycie
21 grudnia 2023 r.
Skoroszyt Pokrycie umożliwia śledzenie, które plany Defender dla Chmury są aktywne w jakich częściach środowiska. Ten skoroszyt może pomóc w zapewnieniu, że środowiska i subskrypcje są w pełni chronione. Mając dostęp do szczegółowych informacji dotyczących pokrycia, można również zidentyfikować wszelkie obszary, które mogą wymagać innej ochrony i podjąć działania w celu rozwiązania tych obszarów.
Learn more about the Coverage workbook.
Ogólna dostępność oceny luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w usługach Azure Government i Azure obsługiwanych przez firmę 21Vianet
14 grudnia 2023 r.
Ocena luk w zabezpieczeniach dla obrazów kontenerów systemu Linux w rejestrach kontenerów platformy Azure obsługiwanych przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender jest udostępniana na potrzeby ogólnej dostępności (GA) na platformie Azure Government i na platformie Azure obsługiwanej przez firmę 21Vianet. Ta nowa wersja jest dostępna w ramach planów Usługi Defender for Containers i Defender for Container Registries.
- W ramach tej zmiany nowe zalecenia zostały wydane dla ogólnie dostępnej wersji i uwzględnione w obliczeniach wskaźnika bezpieczeństwa. Przeglądanie nowych i zaktualizowanych zaleceń dotyczących zabezpieczeń
- Container image scan powered by Microsoft Defender Vulnerability Management now also incurs charges according to plan pricing. Obrazy skanowane zarówno przez naszą ofertę oceny luk w zabezpieczeniach kontenerów obsługiwane przez firmę Qualys, jak i ofertę oceny luk w zabezpieczeniach kontenerów obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender będą naliczane tylko raz.
Firma Qualys rekomendacje dotyczące oceny luk w zabezpieczeniach kontenerów została zmieniona i nadal będzie dostępna dla klientów, którzy włączyli usługę Defender for Containers w dowolnej subskrypcji przed tą wersją. Nowi klienci dołączający usługę Defender for Containers po tej wersji będą widzieć tylko nowe zalecenia dotyczące oceny luk w zabezpieczeniach kontenerów obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Publiczna wersja zapoznawcza obsługi systemu Windows dotycząca oceny luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
14 grudnia 2023 r.
Obsługa obrazów systemu Windows została wydana w publicznej wersji zapoznawczej w ramach oceny luk w zabezpieczeniach obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender dla rejestrów kontenerów platformy Azure i usług Azure Kubernetes Services.
Wycofanie oceny luk w zabezpieczeniach kontenera platformy AWS obsługiwanej przez program Trivy
13 grudnia 2023 r.
Ocena luk w zabezpieczeniach kontenera obsługiwana przez program Trivy jest teraz na ścieżce wycofania do ukończenia do 13 lutego. Ta funkcja jest teraz przestarzała i będzie nadal dostępna dla istniejących klientów korzystających z tej funkcji do 13 lutego. Zachęcamy klientów korzystających z tej możliwości do uaktualnienia do nowej oceny luk w zabezpieczeniach kontenera platformy AWS obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender do 13 lutego.
Stan kontenera bez agenta dla platformy AWS w usłudze Defender for Containers i CSPM w usłudze Defender (wersja zapoznawcza)
13 grudnia 2023 r.
Nowe funkcje stanu kontenera bez agenta (wersja zapoznawcza) są dostępne dla platformy AWS. Aby uzyskać więcej informacji, zobacz Stan kontenera bez agenta w CSPM w usłudze Defender i możliwości bez agentów w usłudze Defender for Containers.
Ogólna obsługa dostępności dla serwera elastycznego PostgreSQL w usłudze Defender dla planu relacyjnych baz danych typu open source
13 grudnia 2023 r.
Ogłaszamy ogólnie dostępną wersję serwera elastycznego PostgreSQL w planie relacyjnych baz danych usługi Microsoft Defender dla relacyjnych baz danych typu open source. Microsoft Defender for open-source relational databases provides advanced threat protection to PostgreSQL Flexible Servers, by detecting anomalous activities and generating security alerts.
Dowiedz się, jak włączyć usługę Microsoft Defender dla relacyjnych baz danych typu open source.
Ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender obsługuje teraz usługę Google Distroless
12 grudnia 2023 r.
Oceny luk w zabezpieczeniach kontenerów obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender zostały rozszerzone o większe pokrycie dla pakietów systemu operacyjnego Linux, które obsługują teraz usługi Google Distroless.
Aby uzyskać listę wszystkich obsługiwanych systemów operacyjnych, zobacz Obsługa rejestrów i obrazów dla platformy Azure — ocena luk w zabezpieczeniach obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
November 2023
Cztery alerty są przestarzałe
30 listopada 2023 r.
W ramach naszego procesu poprawy jakości następujące alerty zabezpieczeń są przestarzałe:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
Suspicious process termination burst (VM_TaskkillBurst)
PsExec execution detected (VM_RunByPsExec)
Ogólna dostępność wpisów tajnych bez agenta skanowania w usłudze Defender for Servers i CSPM w usłudze Defender
27 listopada 2023 r.
Skanowanie wpisów tajnych bez agenta zwiększa zabezpieczenia maszyn wirtualnych opartych na chmurze, identyfikując wpisy tajne w postaci zwykłego tekstu na dyskach maszyn wirtualnych. Skanowanie wpisów tajnych bez agenta zapewnia kompleksowe informacje ułatwiające ustalanie priorytetów wykrytych wyników i eliminowanie zagrożeń związanych z przenoszeniem bocznym przed ich wystąpieniem. Takie proaktywne podejście zapobiega nieautoryzowanemu dostępowi, zapewniając bezpieczeństwo środowiska chmury.
Ogłaszamy ogólną dostępność skanowania wpisów tajnych bez agenta, które są uwzględniane zarówno w planach usługi Defender for Servers P2, jak i CSPM w usłudze Defender.
Skanowanie wpisów tajnych bez agenta wykorzystuje interfejsy API chmury do przechwytywania migawek dysków, przeprowadzając analizę poza pasmem, która gwarantuje, że nie ma wpływu na wydajność maszyny wirtualnej. Skanowanie wpisów tajnych bez agentów rozszerza zakres oferowany przez Defender dla Chmury zasobów w chmurze w środowiskach platformy Azure, AWS i GCP w celu zwiększenia bezpieczeństwa chmury.
W tej wersji funkcje wykrywania Defender dla Chmury obsługują teraz inne typy baz danych, podpisane adresy URL magazynu danych, tokeny dostępu i inne.
Dowiedz się, jak zarządzać wpisami tajnymi za pomocą skanowania wpisów tajnych bez agenta.
Włączanie zarządzania uprawnieniami przy użyciu Defender dla Chmury (wersja zapoznawcza)
22 listopada 2023 r.
Firma Microsoft oferuje teraz rozwiązania cloud-native Application Protection Platforms (CNAPP) i Cloud Infrastructure Entitlement Management (CIEM) z Microsoft Defender dla Chmury (CNAPP) i zarządzanie uprawnieniami firmy Microsoft Entra (CIEM).
Administratorzy zabezpieczeń mogą uzyskać scentralizowany widok nieużywanych lub nadmiernych uprawnień dostępu w Defender dla Chmury.
Zespoły ds. zabezpieczeń mogą sterować kontrolami dostępu z najmniejszymi uprawnieniami dla zasobów w chmurze i otrzymywać zalecenia umożliwiające podejmowanie działań dotyczących rozwiązywania zagrożeń związanych z uprawnieniami w środowiskach platformy Azure, AWS i GCP w ramach zarządzania stanem zabezpieczeń w chmurze (CSPM) usługi Defender bez dodatkowych wymagań licencyjnych.
Dowiedz się, jak włączyć zarządzanie uprawnieniami w Microsoft Defender dla Chmury (wersja zapoznawcza).
integracja Defender dla Chmury z usługą ServiceNow
22 listopada 2023 r.
Usługa ServiceNow jest teraz zintegrowana z Microsoft Defender dla Chmury, co umożliwia klientom łączenie usługi ServiceNow ze środowiskiem Defender dla Chmury w celu nadania priorytetów korygowaniu zaleceń, które mają wpływ na Twoją firmę. Microsoft Defender dla Chmury jest zintegrowany z modułem ITSM (zarządzanie zdarzeniami). W ramach tego połączenia klienci mogą tworzyć/wyświetlać bilety usługi ServiceNow (połączone z zaleceniami) z Microsoft Defender dla Chmury.
Więcej informacji na temat integracji Defender dla Chmury z usługą ServiceNow.
Ogólna dostępność procesu automatycznego aprowizowania dla serwerów SQL Server w planie maszyn
20 listopada 2023 r.
W ramach przygotowań do wycofania programu Microsoft Monitoring Agent (MMA) w sierpniu 2024 r. Defender dla Chmury wydała proces automatycznego aprowizowania programu SQL Server przeznaczony dla programu Azure Monitoring Agent (AMA). Nowy proces jest automatycznie włączany i konfigurowany dla wszystkich nowych klientów, a także zapewnia możliwość włączania na poziomie zasobów dla maszyn wirtualnych Azure SQL i serwerów SQL z obsługą usługi Arc.
Klienci korzystający z procesu automatycznego aprowizowania MMA są proszeni o migrację do nowego agenta monitorowania platformy Azure dla programu SQL Server na maszynach, w ramach procesu automatycznego aprowizowania maszyn. Proces migracji jest bezproblemowy i zapewnia ciągłą ochronę wszystkich maszyn.
Ogólna dostępność interfejsów API usługi Defender dla
15 listopada 2023 r.
Ogłaszamy ogólną dostępność interfejsów API w usłudze Microsoft Defender. Usługa Defender dla interfejsów API została zaprojektowana w celu ochrony organizacji przed zagrożeniami bezpieczeństwa interfejsu API.
Usługa Defender dla interfejsów API umożliwia organizacjom ochronę swoich interfejsów API i danych przed złośliwymi podmiotami. Organizacje mogą badać i ulepszać stan zabezpieczeń interfejsu API, ustalać priorytety poprawek luk w zabezpieczeniach oraz szybko wykrywać i reagować na aktywne zagrożenia w czasie rzeczywistym. Organizacje mogą również integrować alerty zabezpieczeń bezpośrednio z platformą SIEM (Security Incident and Event Management), na przykład Microsoft Sentinel, w celu zbadania i klasyfikacji problemów.
Możesz dowiedzieć się, jak chronić swoje interfejsy API za pomocą usługi Defender dla interfejsów API. Możesz również dowiedzieć się więcej na temat usługi Microsoft Defender dla interfejsów API.
You can also read this blog to learn more about the GA announcement.
Defender dla Chmury jest teraz zintegrowana z usługą Microsoft 365 Defender (wersja zapoznawcza)
15 listopada 2023 r.
Firmy mogą chronić swoje zasoby i urządzenia w chmurze dzięki nowej integracji między Microsoft Defender dla Chmury i usługą Microsoft Defender XDR. Ta integracja łączy kropki między zasobami w chmurze, urządzeniami i tożsamościami, które wcześniej wymagały wielu środowisk.
Integracja zapewnia również konkurencyjne możliwości ochrony w chmurze do codziennego centrum operacji zabezpieczeń (SOC). Dzięki usłudze Microsoft Defender XDR zespoły SOC mogą łatwo odnajdywać ataki łączące wykrywanie z wielu filarów, w tym chmury, punktu końcowego, tożsamości, usługi Office 365 i nie tylko.
Oto niektóre z kluczowych korzyści:
Jeden łatwy w użyciu interfejs dla zespołów SOC: dzięki alertom Defender dla Chmury i korelacjom w chmurze zintegrowanym z usługą M365D zespoły SOC mogą teraz uzyskiwać dostęp do wszystkich informacji o zabezpieczeniach z jednego interfejsu, co znacznie poprawia wydajność operacyjną.
Jedna historia ataku: klienci mogą zrozumieć kompletną historię ataku, w tym środowisko chmury, korzystając ze wstępnie utworzonych korelacji łączących alerty zabezpieczeń z wielu źródeł.
Nowe jednostki w chmurze w usłudze Microsoft Defender XDR: usługa Microsoft Defender XDR obsługuje teraz nowe jednostki w chmurze, które są unikatowe dla Microsoft Defender dla Chmury, takich jak zasoby w chmurze. Klienci mogą dopasować jednostki maszyny wirtualnej do jednostek urządzeń, zapewniając ujednolicony widok wszystkich istotnych informacji o maszynie, w tym alertów i zdarzeń, które zostały na nim wyzwolone.
Ujednolicony interfejs API dla produktów zabezpieczeń firmy Microsoft: klienci mogą teraz eksportować swoje dane alertów zabezpieczeń do swoich systemów przy użyciu jednego interfejsu API, ponieważ alerty i zdarzenia Microsoft Defender dla Chmury są teraz częścią publicznego interfejsu API usługi Microsoft Defender XDR.
Integracja między Defender dla Chmury i usługą Microsoft Defender XDR jest dostępna dla wszystkich nowych i istniejących klientów Defender dla Chmury.
Ogólna dostępność funkcji Oceny luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender (MDVM) w usłudze Defender for Containers i usłudze Defender for Container Registries
15 listopada 2023 r.
Ocena luk w zabezpieczeniach (VA) dla obrazów kontenerów systemu Linux w rejestrach kontenerów platformy Azure obsługiwanych przez usługę Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender (MDVM) została wydana na potrzeby ogólnej dostępności w usłudze Defender for Containers i usłudze Defender for Container Registries.
W ramach tej zmiany zostały wydane następujące zalecenia dotyczące ogólnie dostępnej wersji i zmieniono jej nazwę, a teraz są uwzględniane w obliczeniu wskaźnika bezpieczeństwa:
Bieżąca nazwa rekomendacji | Nowa nazwa rekomendacji | Description | Assessment key |
---|---|---|---|
Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Oceny luk w zabezpieczeniach obrazów kontenera skanują rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępniają szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
Uruchamianie obrazów kontenerów powinno mieć rozwiązane problemy z lukami w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Container image scan powered by MDVM now also incur charges as per plan pricing.
Note
Obrazy skanowane zarówno przez naszą ofertę oceny luk w zabezpieczeniach kontenerów obsługiwane przez firmę Qualys, jak i ofertę oceny luk w zabezpieczeniach kontenerów obsługiwane przez rozwiązanie MDVM, będą rozliczane tylko raz.
Poniższe zalecenia dotyczące oceny luk w zabezpieczeniach w kontenerach zostały zmienione i będą nadal dostępne dla klientów, którzy włączyli usługę Defender for Containers w dowolnej subskrypcji przed 15 listopada. Nowi klienci dołączający usługę Defender for Containers po 15 listopada zobaczą tylko nowe zalecenia dotyczące oceny luk w zabezpieczeniach kontenerów obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Bieżąca nazwa rekomendacji | Nowa nazwa rekomendacji | Description | Assessment key |
---|---|---|---|
Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | dbd0cb49-b563-45e7-9724-889e799fa648 |
Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach — (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje obrazy kontenerów uruchomione w klastrach Kubernetes pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | 41503391-efa5-47ee-9282-4eff6131462c |
Zmień na nazwy zaleceń dotyczących ocen luk w zabezpieczeniach kontenerów
Zmieniono nazwy następujących zaleceń dotyczących ocen luk w zabezpieczeniach kontenerów:
Bieżąca nazwa rekomendacji | Nowa nazwa rekomendacji | Description | Assessment key |
---|---|---|---|
Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | dbd0cb49-b563-45e7-9724-889e799fa648 |
Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach — (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje obrazy kontenerów uruchomione w klastrach Kubernetes pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | 41503391-efa5-47ee-9282-4eff6131462c |
Obrazy rejestru kontenerów elastycznych powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Obrazy kontenerów rejestru platformy AWS powinny mieć rozwiązane luki w zabezpieczeniach — (obsługiwane przez program Trivy) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Priorytetyzacja ryzyka jest teraz dostępna dla zaleceń
15 listopada 2023 r.
Teraz możesz określić priorytety zaleceń dotyczących zabezpieczeń zgodnie z poziomem ryzyka, który stwarza, biorąc pod uwagę zarówno możliwości wykorzystania, jak i potencjalny wpływ biznesowy każdego bazowego problemu z zabezpieczeniami.
Organizując rekomendacje na podstawie ich poziomu ryzyka (krytyczne, wysokie, średnie, niskie), możesz rozwiązać najbardziej krytyczne zagrożenia w danym środowisku i efektywnie określić priorytety korygowania problemów zabezpieczeń na podstawie rzeczywistego ryzyka, takiego jak narażenie na internet, wrażliwość danych, możliwości przenoszenia bocznego i potencjalne ścieżki ataku, które mogą zostać złagodzone przez rozwiązanie zaleceń.
Learn more about risk prioritization.
Analiza ścieżki ataku — nowy aparat i rozbudowane ulepszenia
15 listopada 2023 r.
Udostępniamy ulepszenia funkcji analizy ścieżki ataku w Defender dla Chmury.
New engine - attack path analysis has a new engine, which uses path-finding algorithm to detect every possible attack path that exists in your cloud environment (based on the data we have in our graph). Możemy znaleźć wiele innych ścieżek ataków w twoim środowisku i wykryć bardziej złożone i zaawansowane wzorce ataków, których osoby atakujące mogą używać do naruszenia organizacji.
Improvements - The following improvements are released:
- Risk prioritization - prioritized list of attack paths based on risk (exploitability & business affect).
- Enhanced remediation - pinpointing the specific recommendations that should be resolved to actually break the chain.
- Ścieżki ataków między chmurami — wykrywanie ścieżek ataków obejmujących wiele chmur (ścieżek rozpoczynających się w jednej chmurze i kończących się na innej).
- MITRE – Mapping all attack paths to the MITRE framework.
- Odświeżone środowisko użytkownika — odświeżone środowisko z silniejszymi możliwościami: zaawansowane filtry, wyszukiwanie i grupowanie ścieżek ataków w celu ułatwienia klasyfikacji.
Dowiedz się , jak identyfikować i korygować ścieżki ataków.
Zmiany schematu tabeli usługi Azure Resource Graph ścieżki ataku
15 listopada 2023 r.
Schemat tabeli usługi Azure Resource Graph ścieżki ataku został zaktualizowany. Właściwość zostanie usunięta attackPathType
i zostaną dodane inne właściwości.
Ogólna dostępność obsługi platformy GCP w CSPM w usłudze Defender
15 listopada 2023 r.
Ogłaszamy wydanie ogólnie dostępnej wersji CSPM w usłudze Defender kontekstowego grafu zabezpieczeń w chmurze i analizy ścieżki ataków z obsługą zasobów GCP. Możesz zastosować możliwości CSPM w usłudze Defender w celu uzyskania kompleksowego wglądu i inteligentnych zabezpieczeń chmury w zasobach GCP.
Najważniejsze funkcje naszej obsługi platformy GCP obejmują:
- Analiza ścieżki ataku — informacje na temat potencjalnych tras, które mogą podjąć osoby atakujące.
- Eksplorator zabezpieczeń w chmurze — proaktywnie identyfikowanie zagrożeń bezpieczeństwa przez uruchamianie zapytań opartych na grafie zabezpieczeń.
- Agentless scanning - Scan servers and identify secrets and vulnerabilities without installing an agent.
- Stan zabezpieczeń uwzględniający dane — odnajdywanie i korygowanie zagrożeń związanych z poufnymi danymi w zasobnikach usługi Google Cloud Storage.
Dowiedz się więcej o opcjach planu CSPM w usłudze Defender.
Note
Rozliczenia dla ogólnodostępnej wersji wsparcia GCP w CSPM w usłudze Defender rozpocznie się 1 lutego 2024 r.
Ogólnie dostępna wersja pulpitu nawigacyjnego zabezpieczeń danych
15 listopada 2023 r.
Pulpit nawigacyjny zabezpieczeń danych jest teraz dostępny w ramach planu CSPM w usłudze Defender.
Pulpit nawigacyjny zabezpieczeń danych umożliwia wyświetlanie majątku danych organizacji, zagrożeń dla poufnych danych i szczegółowych informacji o zasobach danych.
Dowiedz się więcej o pulpicie nawigacyjnym zabezpieczeń danych.
Ogólnie dostępna wersja odnajdywania poufnych danych dla baz danych
15 listopada 2023 r.
Odnajdywanie poufnych danych dla zarządzanych baz danych, w tym baz danych Azure SQL Database i wystąpień usług AWS RDS (wszystkie smaki RDBMS) jest teraz ogólnie dostępne i umożliwia automatyczne odnajdywanie krytycznych baz danych zawierających poufne dane.
Aby włączyć tę funkcję we wszystkich obsługiwanych magazynach danych w środowiskach, należy włączyć Sensitive data discovery
tę funkcję w CSPM w usłudze Defender. Dowiedz się, jak włączyć odnajdywanie poufnych danych w CSPM w usłudze Defender.
Możesz również dowiedzieć się, jak poufne odnajdywanie danych jest używane w stanie zabezpieczeń obsługującym dane.
Ogłoszenie publicznej wersji zapoznawczej: nowy rozszerzony wgląd w zabezpieczenia danych w wielu chmurach w Microsoft Defender dla Chmury.
Nowa wersja zalecenia dotyczącego znajdowania brakujących aktualizacji systemu jest teraz ogólnie dostępna
6 listopada 2023 r.
Dodatkowy agent nie jest już potrzebny na maszynach wirtualnych platformy Azure i na maszynach usługi Azure Arc, aby upewnić się, że maszyny mają wszystkie najnowsze aktualizacje systemu zabezpieczeń lub krytyczne.
The new system updates recommendation, System updates should be installed on your machines (powered by Azure Update Manager)
in the Apply system updates
control, is based on the Update Manager and is now fully GA. Zalecenie opiera się na natywnym agencie osadzonym na każdej maszynie wirtualnej platformy Azure i maszynach usługi Azure Arc zamiast zainstalowanego agenta. Szybka poprawka w nowej rekomendacji powoduje przejście do jednorazowej instalacji brakujących aktualizacji w portalu programu Update Manager.
Stare i nowe wersje zaleceń dotyczących znajdowania brakujących aktualizacji systemu będą dostępne do sierpnia 2024 r., czyli wtedy, gdy starsza wersja jest przestarzała. Oba zalecenia: System updates should be installed on your machines (powered by Azure Update Manager)
i System updates should be installed on your machines
są dostępne pod tą samą kontrolą: Apply system updates
i mają te same wyniki. W związku z tym nie ma duplikacji w wyniku wskaźnika bezpieczeństwa.
Zalecamy migrację do nowej rekomendacji i usunięcie starej, wyłączając ją z wbudowanej inicjatywy Defender dla Chmury w usłudze Azure Policy.
Zalecenie [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)
jest również ogólnie dostępne i jest warunkiem wstępnym, które będzie miało negatywny wpływ na wskaźnik bezpieczeństwa. Możesz skorygować negatywny efekt za pomocą dostępnej poprawki.
Aby zastosować nowe zalecenie, należy wykonać następujące działania:
- Połącz maszyny spoza platformy Azure z usługą Arc.
- Włącz właściwość oceny okresowej. Aby rozwiązać ten problem,
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)
możesz użyć szybkiej poprawki w nowej rekomendacji.
Note
Włączanie okresowych ocen dla maszyn z obsługą usługi Arc, które usługa Defender for Servers (plan 2) nie jest włączona w powiązanej subskrypcji lub łączniku, podlega cennikowi usługi Azure Update Manager. Maszyny z obsługą usługi Arc, które usługa Defender for Servers (plan 2 ) jest włączona na powiązanych subskrypcjach lub łącznikach albo dowolnej maszynie wirtualnej platformy Azure, kwalifikują się do tej możliwości bez dodatkowych kosztów.
October 2023
Zmiana ważności alertu zabezpieczeń funkcji adaptacyjnego sterowania aplikacjami
Data ogłoszenia: 30 października 2023 r.
W ramach procesu poprawy jakości alertów zabezpieczeń usługi Defender dla serwerów i w ramach funkcji adaptacyjnego sterowania aplikacjami ważność następującego alertu zabezpieczeń zmienia się na "Informational":
Alert [Typ alertu] | Alert Description |
---|---|
Naruszenie zasad adaptacyjnego sterowania aplikacjami zostało poddane inspekcji. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Poniżej użytkownicy uruchamiali aplikacje naruszające zasady kontroli aplikacji organizacji na tym komputerze. Może on potencjalnie uwidocznić maszynę w poszukiwaniu złośliwego oprogramowania lub luk w zabezpieczeniach aplikacji. |
To keep viewing this alert in the "Security alerts" page in the Microsoft Defender for Cloud portal, change the default view filter Severity to include informational alerts in the grid.
Poprawki usługi Azure API Management w trybie offline usunięte z interfejsów API usługi Defender dla interfejsów API
25 października 2023 r.
Usługa Defender dla interfejsów API zaktualizowała obsługę poprawek interfejsu API usługi Azure API Management. Wersje offline nie są już wyświetlane w spisie dołączonych interfejsów API usługi Defender dla interfejsów API i nie są już dołączane do usługi Defender dla interfejsów API. Poprawki w trybie offline nie zezwalają na wysyłanie do nich żadnego ruchu i nie stanowią ryzyka z punktu widzenia zabezpieczeń.
Zalecenia dotyczące zarządzania stanem zabezpieczeń usługi DevOps dostępne w publicznej wersji zapoznawczej
19 października 2023 r.
Nowe zalecenia dotyczące zarządzania stanem metodyki DevOps są teraz dostępne w publicznej wersji zapoznawczej dla wszystkich klientów z łącznikiem dla usługi Azure DevOps lub GitHub. Zarządzanie stanem metodyki DevOps pomaga zmniejszyć obszar ataków środowisk DevOps, odkrywając słabe punkty w konfiguracjach zabezpieczeń i kontrolach dostępu. Dowiedz się więcej na temat zarządzania stanem metodyki DevOps.
Wydawanie ciS Azure Foundations Benchmark w wersji 2.0.0 na pulpicie nawigacyjnym zgodności z przepisami
18 października 2023 r.
Microsoft Defender dla Chmury obsługuje teraz najnowszą wersję CiS Azure Security Foundations Benchmark — wersja 2.0.0 na pulpicie nawigacyjnym Zgodności z przepisami oraz wbudowana inicjatywa zasad w usłudze Azure Policy. Wydanie wersji 2.0.0 w Microsoft Defender dla Chmury jest wspólnym wysiłkiem między firmą Microsoft, centrum zabezpieczeń internetowych (CIS) i społeczności użytkowników. Wersja 2.0.0 znacznie rozszerza zakres oceny, który obejmuje teraz wbudowane zasady platformy Azure w wersji 90 i pomyślne poprzednie wersje 1.4.0 i 1.3.0 i 1.0 w Microsoft Defender dla Chmury i usłudze Azure Policy. For more information, you can check out this blog post.
September 2023
Zmiana dziennego limitu usługi Log Analytics
Usługa Azure Monitor oferuje możliwość ustawiania dziennego limitu danych pozyskanych w obszarach roboczych usługi Log Analytics. Jednak zdarzenia zabezpieczeń usługi Defenders for Cloud nie są obecnie obsługiwane w tych wykluczeniach.
Dzienny limit usługi Log Analytics nie wyklucza już następującego zestawu typów danych:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Wszystkie rozliczane typy danych zostaną ograniczone, jeśli dzienny limit zostanie osiągnięty. Ta zmiana zwiększa możliwość pełnego przechowywania kosztów z większego niż oczekiwano pozyskiwania danych.
Dowiedz się więcej o obszarach roboczych za pomocą Microsoft Defender dla Chmury.
Pulpit nawigacyjny zabezpieczeń danych dostępny w publicznej wersji zapoznawczej
27 września 2023 r.
Pulpit nawigacyjny zabezpieczeń danych jest teraz dostępny w publicznej wersji zapoznawczej w ramach planu CSPM w usłudze Defender. Pulpit nawigacyjny zabezpieczeń danych jest interaktywnym, skoncentrowanym na danych pulpitem nawigacyjnym, który zapewnia znaczne ryzyko dla poufnych danych, priorytetyzuje alerty i potencjalne ścieżki ataków dla danych w obciążeniach chmury hybrydowej. Dowiedz się więcej o pulpicie nawigacyjnym zabezpieczeń danych.
Wersja zapoznawcza: Nowy proces automatycznego aprowizowania dla programu SQL Server w planie maszyn
21 Wrzesień 2023
Program Microsoft Monitoring Agent (MMA) jest przestarzały w sierpniu 2024 r. Defender dla Chmury zaktualizować strategię, zastępując program MMA wydaniem docelowego procesu automatycznego aprowizowania agenta monitorowania platformy Azure programu SQL Server.
W wersji zapoznawczej klienci korzystający z procesu automatycznego aprowizowania MMA z opcją Agent usługi Azure Monitor (wersja zapoznawcza) są proszeni o migrację do nowego agenta monitorowania platformy Azure dla programu SQL Server na maszynach (wersja zapoznawcza). Proces migracji jest bezproblemowy i zapewnia ciągłą ochronę wszystkich maszyn.
Aby uzyskać więcej informacji, zobacz Migrowanie do procesu automatycznego aprowizowania agenta monitorowania platformy Azure przeznaczonego do programu SQL Server.
Alerty usługi GitHub Advanced Security dla usługi Azure DevOps w Defender dla Chmury
20 września 2023 r.
Teraz możesz wyświetlać alerty usługi GitHub Advanced Security dla usługi Azure DevOps (GHAzDO) związane z językiem CodeQL, wpisami tajnymi i zależnościami w Defender dla Chmury. Wyniki są wyświetlane na stronie DevOps i w obszarze Zalecenia. Aby wyświetlić te wyniki, dołącz repozytoria z obsługą ghAzDO, aby Defender dla Chmury.
Dowiedz się więcej o usłudze GitHub Advanced Security dla usługi Azure DevOps.
Wykluczone funkcje są teraz dostępne dla rekomendacji usługi Defender dla interfejsów API
11 września 2023 r.
Teraz możesz wykluczyć zalecenia dotyczące następujących zaleceń dotyczących zabezpieczeń usługi Defender dla interfejsów API.
Recommendation | Opis i powiązane zasady | Severity |
---|---|---|
(Wersja zapoznawcza) Nieużywane punkty końcowe interfejsu API powinny zostać wyłączone i usunięte z usługi Azure API Management | Najlepszym rozwiązaniem w zakresie zabezpieczeń punkty końcowe interfejsu API, które nie odebrały ruchu przez 30 dni, są uznawane za nieużywane i powinny zostać usunięte z usługi Azure API Management. Utrzymywanie nieużywanych punktów końcowych interfejsu API może stanowić zagrożenie bezpieczeństwa. Mogą to być interfejsy API, które powinny być przestarzałe z usługi Azure API Management, ale zostały przypadkowo aktywne. Takie interfejsy API zwykle nie otrzymują najbardziej aktualnego pokrycia zabezpieczeń. | Low |
(Wersja zapoznawcza) Punkty końcowe interfejsu API w usłudze Azure API Management powinny być uwierzytelniane | Punkty końcowe interfejsu API opublikowane w usłudze Azure API Management powinny wymuszać uwierzytelnianie, aby zminimalizować ryzyko bezpieczeństwa. Mechanizmy uwierzytelniania są czasami implementowane niepoprawnie lub brakuje. Dzięki temu osoby atakujące mogą wykorzystywać wady implementacji i uzyskiwać dostęp do danych. W przypadku interfejsów API opublikowanych w usłudze Azure API Management to zalecenie ocenia wykonywanie uwierzytelniania za pośrednictwem kluczy subskrypcji, JWT i certyfikatu klienta skonfigurowanego w usłudze Azure API Management. Jeśli żaden z tych mechanizmów uwierzytelniania nie zostanie wykonany podczas wywołania interfejsu API, interfejs API otrzyma to zalecenie. | High |
Dowiedz się więcej na temat wykluczania zaleceń w Defender dla Chmury.
Tworzenie przykładowych alertów dla wykrywania interfejsów API usługi Defender dla interfejsów API
11 września 2023 r.
Teraz możesz wygenerować przykładowe alerty dla wykryć zabezpieczeń, które zostały wydane w ramach publicznej wersji zapoznawczej interfejsów API usługi Defender dla interfejsów API. Dowiedz się więcej na temat generowania przykładowych alertów w Defender dla Chmury.
Wersja zapoznawcza: ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender obsługuje teraz skanowanie przy ściąganiu
6 września 2023 r.
Ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender obsługuje teraz dodatkowy wyzwalacz skanowania obrazów ściągniętych z usługi ACR. Ten nowo dodany wyzwalacz zapewnia dodatkowe pokrycie aktywnych obrazów oprócz istniejących wyzwalaczy skanowania obrazów wypychanych do usługi ACR w ciągu ostatnich 90 dni i obrazów aktualnie uruchomionych w usłudze AKS.
Nowy wyzwalacz rozpocznie się dzisiaj i ma być dostępny dla wszystkich klientów do końca września.
Zaktualizowano format nazewnictwa standardów usługi Center for Internet Security (CIS) w zakresie zgodności z przepisami
6 września 2023 r.
Format nazewnictwa podstaw ciS (Center for Internet Security) testów porównawczych na pulpicie nawigacyjnym zgodności został zmieniony z [Cloud] CIS [version number]
na CIS [Cloud] Foundations v[version number]
. Zapoznaj się z następującą tabelą:
Current Name | New Name |
---|---|
Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Dowiedz się, jak poprawić zgodność z przepisami.
Odnajdywanie poufnych danych dla baz danych PaaS (wersja zapoznawcza)
5 Wrzesień 2023
Funkcje stanu zabezpieczeń obsługujące dane na potrzeby bezproblemowego odnajdywania poufnych danych dla baz danych PaaS (Azure SQL Databases i Amazon RDS Instances dowolnego typu) są teraz dostępne w publicznej wersji zapoznawczej. Ta publiczna wersja zapoznawcza umożliwia utworzenie mapy danych krytycznych wszędzie tam, gdzie się znajdują, oraz typ danych znalezionych w tych bazach danych.
Odnajdywanie poufnych danych dla baz danych platform Azure i AWS dodaje współdzieloną taksonomię i konfigurację, która jest już publicznie dostępna dla zasobów magazynu obiektów w chmurze (azure Blob Storage, zasobników usług AWS S3 i zasobników magazynu GCP) oraz zapewnia jedną konfigurację i środowisko włączania.
Bazy danych są skanowane co tydzień. Jeśli włączysz sensitive data discovery
funkcję , odnajdywanie jest uruchamiane w ciągu 24 godzin. Wyniki można wyświetlić w Eksploratorze zabezpieczeń w chmurze lub przeglądając nowe ścieżki ataków dla zarządzanych baz danych z danymi poufnymi.
Stan zabezpieczeń obsługujący dane dla baz danych jest dostępny za pośrednictwem planu CSPM w usłudze Defender i jest automatycznie włączony w subskrypcjach, w których sensitive data discovery
jest włączona opcja.
Więcej informacji na temat stanu zabezpieczeń obsługujących dane można dowiedzieć się w następujących artykułach:
- Obsługa i wymagania wstępne dotyczące stanu zabezpieczeń z obsługą danych
- Włączanie stanu zabezpieczeń obsługujących dane
- Eksplorowanie zagrożeń dla poufnych danych
Ogólna dostępność: skanowanie złośliwego oprogramowania w usłudze Defender for Storage
1 Wrzesień 2023
Skanowanie w poszukiwaniu złośliwego oprogramowania jest teraz ogólnie dostępne jako dodatek do usługi Defender for Storage. Skanowanie złośliwego oprogramowania w usłudze Defender for Storage pomaga chronić konta magazynu przed złośliwą zawartością, wykonując pełne skanowanie w poszukiwaniu zawartości przekazanej w czasie niemal rzeczywistym przy użyciu funkcji Program antywirusowy Microsoft Defender. Została zaprojektowana tak, aby ułatwić spełnienie wymagań dotyczących zabezpieczeń i zgodności na potrzeby obsługi niezaufanej zawartości. Możliwość skanowania złośliwego oprogramowania to rozwiązanie SaaS bez agenta, które umożliwia konfigurowanie na dużą skalę i obsługuje automatyzowanie odpowiedzi na dużą skalę.
Dowiedz się więcej o skanowaniu złośliwego oprogramowania w usłudze Defender for Storage.
Skanowanie złośliwego oprogramowania jest wyceniane zgodnie z użyciem danych i budżetem. Rozliczenia rozpoczynają się 3 września 2023 r. Visit the pricing page for more information.
Jeśli używasz poprzedniego planu, musisz aktywnie przeprowadzić migrację do nowego planu , aby umożliwić skanowanie złośliwego oprogramowania.
Przeczytaj wpis w blogu z ogłoszeniem Microsoft Defender dla Chmury.
August 2023
Aktualizacje w sierpniu obejmują:
Defender For Containers: odnajdywanie bez agenta dla platformy Kubernetes
30 sierpnia 2023 r.
Z przyjemnością przedstawiamy usługę Defender For Containers: odnajdywanie bez agentów dla platformy Kubernetes. Ta wersja stanowi znaczący krok naprzód w zakresie zabezpieczeń kontenerów, umożliwiając uzyskiwanie zaawansowanych szczegółowych informacji i kompleksowych możliwości spisu dla środowisk Kubernetes. Nowa oferta kontenera jest obsługiwana przez Defender dla Chmury kontekstowy wykres zabezpieczeń. Oto, czego można oczekiwać od tej najnowszej aktualizacji:
- Odnajdywanie rozwiązania Kubernetes bez agenta
- Kompleksowe możliwości spisu
- Szczegółowe informacje o zabezpieczeniach specyficzne dla platformy Kubernetes
- Ulepszone wyszukiwanie zagrożeń za pomocą Eksploratora zabezpieczeń w chmurze
Odnajdywanie bez agenta dla platformy Kubernetes jest teraz dostępne dla wszystkich klientów usługi Defender For Containers. Teraz możesz zacząć korzystać z tych zaawansowanych funkcji. Zachęcamy do zaktualizowania subskrypcji w celu włączenia pełnego zestawu rozszerzeń oraz skorzystania z najnowszych dodatków i funkcji. Odwiedź okienko Środowisko i ustawienia subskrypcji usługi Defender for Containers, aby włączyć rozszerzenie.
Note
Włączenie najnowszych dodatków nie spowoduje ponoszenia nowych kosztów dla aktywnych klientów usługi Defender for Containers.
Aby uzyskać więcej informacji, zobacz Overview of Container security Microsoft Defender for Containers (Omówienie zabezpieczeń kontenerów w usłudze Microsoft Defender dla kontenerów).
Wydanie zalecenia: usługa Microsoft Defender for Storage powinna być włączona z funkcją skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych
wtorek, 22 sierpnia 2023 r.
Wydano nowe zalecenie w usłudze Defender for Storage. To zalecenie gwarantuje, że usługa Defender for Storage jest włączona na poziomie subskrypcji dzięki możliwościom skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych.
Recommendation | Description |
---|---|
Usługa Microsoft Defender for Storage powinna być włączona z funkcją skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. W przypadku prostej konfiguracji bez agenta na dużą skalę po włączeniu na poziomie subskrypcji wszystkie istniejące i nowo utworzone konta magazynu w ramach tej subskrypcji będą automatycznie chronione. Możesz również wykluczyć określone konta magazynu z chronionych subskrypcji. |
To nowe zalecenie zastępuje bieżące zalecenie Microsoft Defender for Storage should be enabled
(klucz oceny 1be22853-8ed1-4005-9907-ddad64cb1417). Jednak to zalecenie będzie nadal dostępne w chmurach platformy Azure Government.
Dowiedz się więcej o usłudze Microsoft Defender for Storage.
Rozszerzone właściwości w alertach zabezpieczeń Defender dla Chmury są maskowane z dzienników aktywności
17 sierpnia 2023 r.
Ostatnio zmieniliśmy sposób integracji alertów zabezpieczeń i dzienników aktywności. Aby lepiej chronić poufne informacje o klientach, nie uwzględniamy już tych informacji w dziennikach aktywności. Zamiast tego maskujemy go gwiazdkami. Jednak te informacje są nadal dostępne za pośrednictwem interfejsu API alertów, eksportu ciągłego i portalu Defender dla Chmury.
Klienci korzystający z dzienników aktywności w celu eksportowania alertów do rozwiązań SIEM powinni rozważyć użycie innego rozwiązania, ponieważ nie jest to zalecana metoda eksportowania alertów zabezpieczeń Defender dla Chmury.
Aby uzyskać instrukcje dotyczące eksportowania alertów zabezpieczeń Defender dla Chmury do rozwiązań SIEM, SOAR i innych aplikacji innych firm, zobacz Przesyłanie alertów strumieniowych do rozwiązania SIEM, SOAR lub IT Service Management.
Wersja zapoznawcza obsługi platformy GCP w CSPM w usłudze Defender
15 sierpnia 2023 r.
Ogłaszamy wydanie wersji zapoznawczej wykresu zabezpieczeń chmury CSPM w usłudze Defender i analizy ścieżki ataku z obsługą zasobów GCP. Możesz zastosować możliwości CSPM w usłudze Defender w celu uzyskania kompleksowego wglądu i inteligentnych zabezpieczeń chmury w zasobach GCP.
Najważniejsze funkcje naszej obsługi platformy GCP obejmują:
- Analiza ścieżki ataku — informacje na temat potencjalnych tras, które mogą podjąć osoby atakujące.
- Eksplorator zabezpieczeń w chmurze — proaktywnie identyfikowanie zagrożeń bezpieczeństwa przez uruchamianie zapytań opartych na grafie zabezpieczeń.
- Agentless scanning - Scan servers and identify secrets and vulnerabilities without installing an agent.
- Stan zabezpieczeń uwzględniający dane — odnajdywanie i korygowanie zagrożeń związanych z poufnymi danymi w zasobnikach usługi Google Cloud Storage.
Dowiedz się więcej o opcjach planu CSPM w usłudze Defender.
Nowe alerty zabezpieczeń w usłudze Defender for Servers (plan 2): wykrywanie potencjalnych ataków z powodu nadużywania rozszerzeń maszyn wirtualnych platformy Azure
7 sierpnia 2023 r.
Ta nowa seria alertów koncentruje się na wykrywaniu podejrzanych działań rozszerzeń maszyn wirtualnych platformy Azure i zapewnia wgląd w próby naruszenia zabezpieczeń i wykonywania złośliwych działań na maszynach wirtualnych.
Usługa Microsoft Defender dla serwerów może teraz wykrywać podejrzane działania rozszerzeń maszyn wirtualnych, co pozwala uzyskać lepszy zakres zabezpieczeń obciążeń.
Rozszerzenia maszyn wirtualnych platformy Azure to małe aplikacje, które są uruchamiane po wdrożeniu na maszynach wirtualnych i zapewniają możliwości, takie jak konfiguracja, automatyzacja, monitorowanie, zabezpieczenia i inne. Rozszerzenia są zaawansowanym narzędziem, ale mogą być używane przez podmioty zagrożeń dla różnych złośliwych intencji, na przykład:
- W przypadku zbierania i monitorowania danych.
- W przypadku wykonywania kodu i wdrażania konfiguracji z wysokimi uprawnieniami.
- Aby zresetować poświadczenia i utworzyć użytkowników administracyjnych.
- Do szyfrowania dysków.
Oto tabela nowych alertów.
Alert (typ alertu) | Description | MITRE tactics | Severity |
---|---|---|---|
Podejrzany błąd podczas instalowania rozszerzenia procesora GPU w ramach subskrypcji (wersja zapoznawcza) (VM_GPUExtensionSuspiciousFailure) |
Podejrzana intencja instalowania rozszerzenia procesora GPU na nieobsługiwanych maszynach wirtualnych. To rozszerzenie powinno być zainstalowane na maszynach wirtualnych wyposażonych w procesor graficzny, a w tym przypadku maszyny wirtualne nie są wyposażone w takie. Te błędy można zobaczyć, gdy złośliwi przeciwnicy wykonują wiele instalacji takiego rozszerzenia w celach kryptograficznych. | Impact | Medium |
Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza) (VM_GPUDriverExtensionUnusualExecution) Ten alert został wydany w lipcu 2023 r. |
Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców. | Impact | Low |
Uruchom polecenie z podejrzanym skryptem wykryto na maszynie wirtualnej (wersja zapoznawcza) (VM_RunCommandSuspiciousScript) |
Na maszynie wirtualnej wykryto polecenie Uruchom z podejrzanym skryptem, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe. | Execution | High |
Wykryto podejrzane nieautoryzowane użycie polecenia uruchamiania na maszynie wirtualnej (wersja zapoznawcza) (VM_RunCommandSuspiciousFailure) |
Podejrzane nieautoryzowane użycie polecenia uruchamiania nie powiodło się i zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą próbować użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager. To działanie jest uważane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej. | Execution | Medium |
Wykryto podejrzane użycie polecenia uruchamiania na maszynie wirtualnej (wersja zapoznawcza) (VM_RunCommandSuspiciousUsage) |
Wykryto podejrzane użycie polecenia Uruchom na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager. To działanie jest uważane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej. | Execution | Low |
Wykryto podejrzane użycie wielu rozszerzeń monitorowania lub zbierania danych na maszynach wirtualnych (wersja zapoznawcza) (VM_SuspiciousMultiExtensionUsage) |
Wykryto podejrzane użycie wielu rozszerzeń monitorowania lub zbierania danych na maszynach wirtualnych, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą nadużywać takich rozszerzeń na potrzeby zbierania danych, monitorowania ruchu sieciowego i nie tylko w ramach subskrypcji. To użycie jest uznawane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej. | Reconnaissance | Medium |
Wykryto podejrzaną instalację rozszerzeń szyfrowania dysków na maszynach wirtualnych (wersja zapoznawcza) (VM_DiskEncryptionSuspiciousUsage) |
Wykryto podejrzaną instalację rozszerzeń szyfrowania dysków na maszynach wirtualnych, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą nadużywać rozszerzenia szyfrowania dysku, aby wdrożyć pełne szyfrowanie dysków na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager w celu wykonania działania wymuszającego okup. To działanie jest uznawane za podejrzane, ponieważ nie było powszechnie spotykane przed i ze względu na dużą liczbę instalacji rozszerzeń. | Impact | Medium |
Wykryto podejrzane użycie rozszerzenia vm Access na maszynach wirtualnych (wersja zapoznawcza) (VM_VMAccessSuspiciousUsage) |
Wykryto podejrzane użycie rozszerzenia vm Access na maszynach wirtualnych. Osoby atakujące mogą nadużywać rozszerzenia dostępu do maszyn wirtualnych w celu uzyskania dostępu i naruszenia zabezpieczeń maszyn wirtualnych z wysokimi uprawnieniami przez zresetowanie dostępu lub zarządzanie użytkownikami administracyjnymi. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców i ze względu na dużą liczbę instalacji rozszerzeń. | Persistence | Medium |
Wykryto rozszerzenie Desired State Configuration (DSC) z podejrzanym skryptem na maszynie wirtualnej (wersja zapoznawcza) (VM_DSCExtensionSuspiciousScript) |
Rozszerzenie Desired State Configuration (DSC) z podejrzanym skryptem zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia Desired State Configuration (DSC) do wdrażania złośliwych konfiguracji, takich jak mechanizmy trwałości, złośliwe skrypty i inne, z wysokimi uprawnieniami, na maszynach wirtualnych. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe. | Execution | High |
Wykryto podejrzane użycie rozszerzenia Desired State Configuration (DSC) na maszynach wirtualnych (wersja zapoznawcza) (VM_DSCExtensionSuspiciousUsage) |
Wykryto podejrzane użycie rozszerzenia Desired State Configuration (DSC) na maszynach wirtualnych, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia Desired State Configuration (DSC) do wdrażania złośliwych konfiguracji, takich jak mechanizmy trwałości, złośliwe skrypty i inne, z wysokimi uprawnieniami, na maszynach wirtualnych. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców i ze względu na dużą liczbę instalacji rozszerzeń. | Impact | Low |
Na maszynie wirtualnej wykryto rozszerzenie niestandardowego skryptu z podejrzanym skryptem (wersja zapoznawcza) (VM_CustomScriptExtensionSuspiciousCmd) (Ten alert już istnieje i został ulepszony przy użyciu bardziej ulepszonych metod logiki i wykrywania). |
Na maszynie wirtualnej wykryto rozszerzenie niestandardowego skryptu z podejrzanym skryptem, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia niestandardowego skryptu do wykonywania złośliwego kodu z wysokimi uprawnieniami na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe. | Execution | High |
Zobacz alerty oparte na rozszerzeniach w usłudze Defender for Servers.
Aby uzyskać pełną listę alertów, zobacz tabelę referencyjną dla wszystkich alertów zabezpieczeń w Microsoft Defender dla Chmury.
Aktualizacje modelu biznesowego i cen dla planów Defender dla Chmury
1 sierpnia 2023 r.
Microsoft Defender dla Chmury ma trzy plany, które oferują ochronę warstwy usług:
Obrońca dla Key Vault
Ochrona dla Menedżera Zasobów
Obrońca dla DNS
Plany te przeszły do nowego modelu biznesowego z różnymi cenami i pakietami, aby rozwiązać problemy z opiniami klientów dotyczącymi przewidywalności wydatków i uprościć ogólną strukturę kosztów.
Podsumowanie zmian modelu biznesowego i cen:
Istniejący klienci usługi Defender for Key-Vault, Defender for Resource Manager i Defender for DNS zachowają bieżący model biznesowy i ceny, chyba że aktywnie zdecydują się przełączyć się na nowy model biznesowy i cenę.
- Defender for Resource Manager: ten plan ma stałą cenę za subskrypcję miesięcznie. Klienci mogą przełączyć się na nowy model biznesowy, wybierając usługę Defender for Resource Manager nową dla modelu subskrypcji.
Istniejący klienci usługi Defender for Key-Vault, Defender for Resource Manager i Defender for DNS zachowają bieżący model biznesowy i ceny, chyba że aktywnie zdecydują się przełączyć się na nowy model biznesowy i cenę.
- Defender for Resource Manager: ten plan ma stałą cenę za subskrypcję miesięcznie. Klienci mogą przełączyć się na nowy model biznesowy, wybierając usługę Defender for Resource Manager nową dla modelu subskrypcji.
- Defender for Key Vault: ten plan ma stałą cenę za magazyn, miesięcznie bez opłat za nadwyżkę. Klienci mogą przełączyć się do nowego modelu biznesowego, wybierając usługę Defender for Key Vault nową dla modelu magazynu
- Defender for DNS: Usługa Defender dla serwerów (plan 2) — klienci uzyskują dostęp do usługi Defender for DNS w ramach planu 2 usługi Defender for Servers bez dodatkowych kosztów. Klienci, którzy mają zarówno usługę Defender for Server Plan 2, jak i usługę Defender dla systemu DNS, nie są już naliczani opłaty za usługę Defender dla systemu DNS. Usługa Defender for DNS nie jest już dostępna jako plan autonomiczny.
Dowiedz się więcej o cenach tych planów na stronie cennika Defender dla Chmury.
July 2023
Aktualizacje w lipcu obejmują:
Wersja zapoznawcza oceny luk w zabezpieczeniach kontenerów z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
31 lipca 2023 roku
Ogłaszamy wydanie oceny luk w zabezpieczeniach (VA) dla obrazów kontenerów systemu Linux w rejestrach kontenerów platformy Azure obsługiwanych przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w usługach Defender for Containers i Defender for Container Registries. Nowa oferta oceny luk w zabezpieczeniach kontenerów zostanie udostępniona wraz z naszą istniejącą ofertą oceny luk w zabezpieczeniach kontenerów obsługiwaną przez firmę Qualys zarówno w usłudze Defender for Containers, jak i defender for Container Registries oraz obejmuje codzienne ponowne skanowanie obrazów kontenerów, informacje o możliwości wykorzystania, obsługę systemów operacyjnych i języków programowania (SCA) i nie tylko.
Ta nowa oferta rozpocznie się dzisiaj i oczekuje się, że będzie dostępna dla wszystkich klientów do 7 sierpnia.
Dowiedz się więcej o ocenie luk w zabezpieczeniach kontenerów za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Stan kontenera bez agenta w CSPM w usłudze Defender jest teraz ogólnie dostępny
30 lipca 2023 r.
Funkcje stanu kontenera bez agenta są teraz ogólnie dostępne w ramach planu CSPM w usłudze Defender (Zarządzanie stanem zabezpieczeń w chmurze).
Dowiedz się więcej na temat stanu kontenera bez agenta w CSPM w usłudze Defender.
Zarządzanie automatycznymi aktualizacjami w usłudze Defender dla punktu końcowego dla systemu Linux
20 lipca 2023 r.
Domyślnie Defender dla Chmury próbuje zaktualizować agentów usługi Defender for Linux dołączonych do MDE.Linux
rozszerzenia. W tej wersji możesz zarządzać tym ustawieniem i zrezygnować z konfiguracji domyślnej w celu ręcznego zarządzania cyklami aktualizacji.
Wpisy tajne bez agenta skanowane pod kątem maszyn wirtualnych w usłudze Defender dla serwerów P2 i CSPM w usłudze Defender
18 lipca 2023 roku
Skanowanie wpisów tajnych jest teraz dostępne w ramach skanowania bez agenta w usłudze Defender for Servers P2 i CSPM w usłudze Defender. Ta funkcja ułatwia wykrywanie niezarządzanych i niezabezpieczonych wpisów tajnych zapisanych na maszynach wirtualnych na platformie Azure lub w zasobach platformy AWS, których można użyć do późniejszego przenoszenia w sieci. Jeśli wpisy tajne zostaną wykryte, Defender dla Chmury może pomóc w określaniu priorytetów i podjęciu kroków korygowania możliwych do podjęcia działań w celu zminimalizowania ryzyka przenoszenia bocznego, a wszystko to bez wpływu na wydajność maszyny.
Aby uzyskać więcej informacji na temat ochrony wpisów tajnych za pomocą skanowania wpisów tajnych, zobacz Zarządzanie wpisami tajnymi za pomocą skanowania wpisów tajnych bez agenta.
Nowy alert zabezpieczeń w planie 2 usługi Defender for Servers: wykrywanie potencjalnych ataków przy użyciu rozszerzeń sterowników procesora GPU maszyny wirtualnej platformy Azure
12 lipca 2023 roku
Ten alert koncentruje się na identyfikowaniu podejrzanych działań korzystających z rozszerzeń sterowników procesora GPU maszyny wirtualnej platformy Azure i zapewnia wgląd w próby naruszenia zabezpieczeń maszyn wirtualnych przez osoby atakujące. Alert dotyczy podejrzanych wdrożeń rozszerzeń sterowników procesora GPU; takie rozszerzenia są często nadużywane przez podmioty zagrożeń, aby wykorzystać pełną moc karty GPU i wykonać cryptojacking.
Nazwa wyświetlana alertu (Alert Type) |
Description | Severity | MITRE Tactic |
---|---|---|---|
Podejrzana instalacja rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza) (VM_GPUDriverExtensionUnusualExecution) |
Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego. | Low | Impact |
Aby uzyskać pełną listę alertów, zobacz tabelę referencyjną dla wszystkich alertów zabezpieczeń w Microsoft Defender dla Chmury.
Obsługa wyłączania określonych luk w zabezpieczeniach
9 lipca 2023 r.
Wydanie obsługi wyłączania wyników luk w zabezpieczeniach obrazów rejestru kontenerów lub uruchamiania obrazów w ramach stanu kontenera bez agenta. Jeśli masz organizację, musisz zignorować znalezienie luki w zabezpieczeniach na obrazie rejestru kontenerów, a nie skorygować go, możesz opcjonalnie go wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.
Dowiedz się, jak wyłączyć wyniki oceny luk w zabezpieczeniach na obrazach rejestru kontenerów.
Stan zabezpieczeń obsługujący dane jest teraz ogólnie dostępny
1 lipca 2023 r.
Stan zabezpieczeń obsługujący dane w Microsoft Defender dla Chmury jest teraz ogólnie dostępny. Pomaga klientom zmniejszyć ryzyko związane z danymi i reagować na naruszenia zabezpieczeń danych. Stan zabezpieczeń obsługujących dane umożliwia:
- Automatyczne odnajdywanie poufnych zasobów danych na platformie Azure i na platformie AWS.
- Ocena poufności danych, ekspozycji danych i sposobu przepływu danych w całej organizacji.
- Proaktywnie i stale odkrywaj zagrożenia, które mogą prowadzić do naruszeń danych.
- Wykrywanie podejrzanych działań, które mogą wskazywać na bieżące zagrożenia dla poufnych zasobów danych
Aby uzyskać więcej informacji, zobacz Stan zabezpieczeń obsługujący dane w Microsoft Defender dla Chmury.
June 2023
Aktualizacje w czerwcu obejmują:
Uproszczone dołączanie konta wielochmurowego przy użyciu rozszerzonych ustawień
26 czerwca 2023 roku
Defender dla Chmury ulepszono środowisko dołączania w celu uwzględnienia nowego usprawnionego interfejsu użytkownika i instrukcji oprócz nowych funkcji, które umożliwiają dołączanie środowisk AWS i GCP przy jednoczesnym zapewnieniu dostępu do zaawansowanych funkcji dołączania.
W przypadku organizacji, które przyjęły narzędzie Hashicorp Terraform do automatyzacji, Defender dla Chmury teraz obejmuje możliwość używania narzędzia Terraform jako metody wdrażania obok platformy AWS CloudFormation lub GCP Cloud Shell. Teraz można dostosować wymagane nazwy ról podczas tworzenia integracji. Możesz również wybrać między:
Default access - Allows Defender for Cloud to scan your resources and automatically include future capabilities.
Najmniej uprzywilejowany dostęp — przyznaje Defender dla Chmury dostęp tylko do bieżących uprawnień wymaganych dla wybranych planów.
W przypadku wybrania najniższych uprawnień będziesz otrzymywać powiadomienia tylko o nowych rolach i uprawnieniach wymaganych do uzyskania pełnej funkcjonalności kondycji łącznika.
Defender dla Chmury umożliwia odróżnienie kont chmury od ich natywnych nazw od dostawców usług w chmurze. Na przykład aliasy kont platformy AWS i nazwy projektów GCP.
Obsługa prywatnego punktu końcowego na potrzeby skanowania złośliwego oprogramowania w usłudze Defender for Storage
25 czerwca 2023 r.
Obsługa prywatnego punktu końcowego jest teraz dostępna w ramach skanowania złośliwego oprogramowania w publicznej wersji zapoznawczej w usłudze Defender for Storage. Ta funkcja umożliwia włączanie skanowania złośliwego oprogramowania na kontach magazynu korzystających z prywatnych punktów końcowych. Nie jest wymagana żadna inna konfiguracja.
Skanowanie złośliwego oprogramowania (wersja zapoznawcza) w usłudze Defender for Storage pomaga chronić konta magazynu przed złośliwą zawartością, wykonując pełne skanowanie w poszukiwaniu zawartości przekazanej w czasie niemal rzeczywistym przy użyciu funkcji Program antywirusowy Microsoft Defender. Została zaprojektowana tak, aby ułatwić spełnienie wymagań dotyczących zabezpieczeń i zgodności na potrzeby obsługi niezaufanej zawartości. Jest to rozwiązanie SaaS bez agenta, które umożliwia prostą konfigurację na dużą skalę, z zerową konserwacją i obsługuje automatyzowanie odpowiedzi na dużą skalę.
Prywatne punkty końcowe zapewniają bezpieczną łączność z usługami Azure Storage, skutecznie eliminując publiczne narażenie na internet i są uważane za najlepsze rozwiązanie w zakresie zabezpieczeń.
W przypadku kont magazynu z prywatnymi punktami końcowymi, które mają już włączone skanowanie złośliwego oprogramowania, należy wyłączyć i włączyć plan ze skanowaniem złośliwego oprogramowania, aby to działało.
Learn more about using private endpoints in Defender for Storage and how to secure your storage services further.
Zalecenie wydane w wersji zapoznawczej: uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender)
21 czerwca 2023 r.
Nowe zalecenie dotyczące kontenera w CSPM w usłudze Defender obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender jest wydawane w wersji zapoznawczej:
Recommendation | Description | Assessment Key |
---|---|---|
Uruchamianie obrazów kontenerów powinno mieć rozwiązane problemy z lukami w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender)(wersja zapoznawcza) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
To nowe zalecenie zastępuje bieżącą rekomendację o tej samej nazwie, obsługiwanej przez firmę Qualys, tylko w CSPM w usłudze Defender (zastępując klucz oceny 41503391-efa5-47ee-9282-4eff6131462c).
Wprowadzono aktualizacje kontroli dotyczące standardów NIST 800-53 w zakresie zgodności z przepisami
15 czerwca 2023 r.
Standardy NIST 800-53 (zarówno R4, jak i R5) zostały niedawno zaktualizowane o zmiany kontroli w Microsoft Defender dla Chmury zgodności z przepisami. The Microsoft-managed controls have been removed from the standard, and the information on the Microsoft responsibility implementation (as part of the cloud shared responsibility model) is now available only in the control details pane under Microsoft Actions.
Te kontrolki zostały wcześniej obliczone jako przekazane mechanizmy kontroli, więc w latach 2023–2023 może wystąpić znaczny spadek wskaźnika zgodności dla standardów NIST z kwietnia 2023 r. do maja 2023 r.
Aby uzyskać więcej informacji na temat mechanizmów kontroli zgodności, zobacz Samouczek: kontrole zgodności z przepisami — Microsoft Defender dla Chmury.
Planowanie migracji do chmury przy użyciu przypadku biznesowego usługi Azure Migrate obejmuje teraz Defender dla Chmury
11 czerwca 2023 r.
Teraz możesz odkryć potencjalne oszczędności kosztów w zabezpieczeniach, stosując Defender dla Chmury w kontekście przypadku biznesowego usługi Azure Migrate.
Konfiguracja ekspresowa dla ocen luk w zabezpieczeniach w usłudze Defender for SQL jest teraz ogólnie dostępna
7 czerwca 2023 roku
Konfiguracja ekspresowa dla ocen luk w zabezpieczeniach w usłudze Defender for SQL jest teraz ogólnie dostępna. Konfiguracja ekspresowa zapewnia usprawnione środowisko dołączania do ocen luk w zabezpieczeniach SQL przy użyciu konfiguracji jednym kliknięciem (lub wywołania interfejsu API). Nie ma dodatkowych ustawień ani zależności dla zarządzanych kont magazynu.
Check out this blog to learn more about express configuration.
Różnice między konfiguracją ekspresową i klasyczną można poznać.
Więcej zakresów dodanych do istniejących łączników usługi Azure DevOps
6 czerwca 2023 r.
Usługa Defender for DevOps dodała następujące dodatkowe zakresy do aplikacji Usługi Azure DevOps (ADO):
Zaawansowane zarządzanie zabezpieczeniami:
vso.advsec_manage
. Jest to wymagane w celu umożliwienia włączania, wyłączania i zarządzania usługą GitHub Advanced Security for ADO.Container Mapping:
vso.extension_manage
,vso.gallery_manager
; Which is needed in order to allow you to share the decorator extension with the ADO organization.
Ta zmiana ma wpływ tylko na nowych klientów usługi Defender for DevOps, którzy próbują dołączyć zasoby ADO do Microsoft Defender dla Chmury.
Dołączanie bezpośrednio (bez usługi Azure Arc) do usługi Defender dla serwerów jest teraz ogólnie dostępne
5 czerwca 2023 r.
Wcześniej usługa Azure Arc była wymagana do dołączenia serwerów spoza platformy Azure do usługi Defender for Servers. Jednak w najnowszej wersji można również dołączyć serwery lokalne do usługi Defender for Servers przy użyciu tylko agenta Ochrona punktu końcowego w usłudze Microsoft Defender.
Ta nowa metoda upraszcza proces dołączania dla klientów skoncentrowanych na podstawowej ochronie punktu końcowego i umożliwia korzystanie z rozliczeń opartych na użyciu usługi Defender for Servers dla zasobów w chmurze i niechmurowych. Opcja bezpośredniego dołączania za pośrednictwem usługi Defender dla punktu końcowego jest teraz dostępna z rozliczeniami dla dołączonych maszyn począwszy od 1 lipca.
Aby uzyskać więcej informacji, zobacz Connect your non-Azure machines to Microsoft Defender dla Chmury with Defender for Endpoint (Łączenie maszyn spoza platformy Azure z usługą Defender for Endpoint).
Zastępowanie odnajdywania opartego na agencie funkcją odnajdywania bez agenta dla funkcji kontenerów w CSPM w usłudze Defender
4 czerwca 2023 r.
Dzięki możliwościom stan kontenera bez agenta dostępnym w CSPM w usłudze Defender możliwości odnajdywania opartego na agencie są teraz wycofane. If you currently use container capabilities within Defender CSPM, please make sure that the relevant extensions are enabled to continue receiving container-related value of the new agentless capabilities such as container-related attack paths, insights, and inventory. (Może upłynąć do 24 godzin, aby zobaczyć efekty włączania rozszerzeń).
Dowiedz się więcej na temat stanu kontenera bez agenta.
May 2023
Aktualizacje w maju obejmują:
- Nowy alert w usłudze Defender for Key Vault.
- Obsługa bez agenta skanowania zaszyfrowanych dysków na platformie AWS.
- Zmiany konwencji nazewnictwa JIT (Just In Time) w Defender dla Chmury.
- Dołączanie wybranych regionów platformy AWS.
- Zmiany w zaleceniach dotyczących tożsamości.
- Wycofanie starszych standardów na pulpicie nawigacyjnym zgodności.
- Aktualizacja dwóch zaleceń usługi Defender for DevOps w celu uwzględnienia wyników skanowania usługi Azure DevOps
- Nowe ustawienie domyślne dla rozwiązania do oceny luk w zabezpieczeniach usługi Defender for Servers.
- Możliwość pobierania raportu CSV wyników zapytań eksploratora zabezpieczeń w chmurze (wersja zapoznawcza).
- Wydanie oceny luk w zabezpieczeniach kontenerów przy użyciu Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
- Zmiana nazwy zaleceń dotyczących kontenerów obsługiwanych przez firmę Qualys.
- Aktualizacja aplikacji GitHub usługi Defender for DevOps.
- Zmień wartość na Adnotacje żądania ściągnięcia w usłudze Defender for DevOps w repozytoriach usługi Azure DevOps, które zawierają teraz błędną konfigurację infrastruktury jako kodu.
Nowy alert w usłudze Defender for Key Vault
Alert (typ alertu) | Description | MITRE tactics | Severity |
---|---|---|---|
Nietypowy dostęp do magazynu kluczy z podejrzanego adresu IP (firmy innej niż Microsoft lub zewnętrzna) (KV_UnusualAccessSuspiciousIP) |
Użytkownik lub jednostka usługi próbowała nietypowego dostępu do magazynów kluczy z adresu IP innego niż Microsoft w ciągu ostatnich 24 godzin. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania. | Credential Access | Medium |
Aby uzyskać wszystkie dostępne alerty, zobacz Alerty dla usługi Azure Key Vault.
Skanowanie bez agenta obsługuje teraz zaszyfrowane dyski na platformie AWS
Skanowanie bez agenta dla maszyn wirtualnych obsługuje teraz przetwarzanie wystąpień z zaszyfrowanymi dyskami na platformie AWS przy użyciu zarówno klucza cmk, jak i klucza PMK.
Ta rozszerzona obsługa zwiększa zasięg i widoczność majątku w chmurze bez wpływu na uruchomione obciążenia. Obsługa zaszyfrowanych dysków utrzymuje tę samą metodę zerowego wpływu na uruchomione wystąpienia.
- W przypadku nowych klientów, którzy włączają skanowanie bez agenta na platformie AWS — pokrycie zaszyfrowanych dysków jest domyślnie wbudowane i obsługiwane.
- W przypadku istniejących klientów, którzy mają już łącznik platformy AWS z włączonym skanowaniem bez agenta, należy ponownie zastosować stos CloudFormation do dołączonych kont platformy AWS w celu zaktualizowania i dodania nowych uprawnień wymaganych do przetwarzania zaszyfrowanych dysków. Zaktualizowany szablon CloudFormation zawiera nowe przypisania, które umożliwiają Defender dla Chmury przetwarzania zaszyfrowanych dysków.
Możesz dowiedzieć się więcej o uprawnieniach używanych do skanowania wystąpień platformy AWS.
Aby ponownie zastosować stos CloudFormation:
- Przejdź do Defender dla Chmury ustawień środowiska i otwórz łącznik platformy AWS.
- Navigate to the Configure Access tab.
- Wybierz pozycję Kliknij, aby pobrać szablon CloudFormation.
- Przejdź do środowiska platformy AWS i zastosuj zaktualizowany szablon.
Learn more about agentless scanning and enabling agentless scanning in AWS.
Poprawione konwencje nazewnictwa reguł JIT (just in time) w Defender dla Chmury
Zmieniliśmy reguły JIT (Just In Time), aby były zgodne z marką Microsoft Defender dla Chmury. Zmieniliśmy konwencje nazewnictwa dla reguł usługi Azure Firewall i sieciowej grupy zabezpieczeń (sieciowej grupy zabezpieczeń).
Zmiany są wymienione w następujący sposób:
Description | Old Name | New Name |
---|---|---|
Nazwy reguł JIT (zezwalaj i odmawiaj) w sieciowej grupie zabezpieczeń (sieciowej grupie zabezpieczeń) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
Opisy reguł JIT w sieciowej grupie zabezpieczeń | Reguła dostępu sieciowego JIT usługi ASC | Reguła dostępu sieciowego JIT usługi MDC |
Nazwy kolekcji reguł zapory JIT | ASC-JIT | MDC-JIT |
Nazwy reguł zapory JIT | ASC-JIT | MDC-JIT |
Dowiedz się, jak zabezpieczyć porty zarządzania za pomocą dostępu just in time.
Dołączanie wybranych regionów platformy AWS
Aby ułatwić zarządzanie kosztami platformy AWS CloudTrail i potrzebami w zakresie zgodności, możesz teraz wybrać regiony platformy AWS do skanowania podczas dodawania lub edytowania łącznika chmury. Teraz możesz skanować wybrane określone regiony platformy AWS lub wszystkie dostępne regiony (ustawienie domyślne) podczas dołączania kont platformy AWS do Defender dla Chmury. Dowiedz się więcej na stronie Łączenie konta platformy AWS z Microsoft Defender dla Chmury.
Wiele zmian w zaleceniach dotyczących tożsamości
Poniższe zalecenia są teraz wydawane jako ogólna dostępność i zastępują rekomendacje w wersji 1, które są teraz przestarzałe.
Ogólnie dostępna wersja zaleceń dotyczących tożsamości w wersji 2
W wersji 2 zaleceń dotyczących tożsamości wprowadzono następujące ulepszenia:
- Zakres skanowania został rozszerzony w celu uwzględnienia wszystkich zasobów platformy Azure, a nie tylko subskrypcji. Dzięki temu administratorzy zabezpieczeń mogą wyświetlać przypisania ról na konto.
- Określone konta można teraz wykluczyć z oceny. Konta takie jak break glass lub konta usług mogą być wykluczone przez administratorów zabezpieczeń.
- Częstotliwość skanowania została zwiększona z 24 godzin do 12 godzin, dzięki czemu zalecenia dotyczące tożsamości są bardziej aktualne i dokładne.
Następujące zalecenia dotyczące zabezpieczeń są dostępne w ogólnie dostępnej wersji i zastępują zalecenia dotyczące wersji 1:
Recommendation | Assessment Key |
---|---|
Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | 6240402e-f77c-46fa-9060-a7ce53997754 |
Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | 20606e75-05c4-48c0-9d97-add6daa2109a |
Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Wycofanie zaleceń dotyczących tożsamości w wersji 1
Następujące zalecenia dotyczące zabezpieczeń są teraz przestarzałe:
Recommendation | Assessment Key |
---|---|
Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami właściciela subskrypcji. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do zapisu w subskrypcjach. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu w subskrypcjach. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. | e52064aa-6853-e252-a11e-dffc675689c2 |
Przestarzałe konta powinny zostać usunięte z subskrypcji | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Zalecamy zaktualizowanie niestandardowych skryptów, przepływów pracy i reguł ładu w celu odpowiadania rekomendacjom w wersji 2.
Wycofanie starszych standardów na pulpicie nawigacyjnym zgodności
Starsze wersje PCI DSS w wersji 3.2.1 i starszej wersji TSP SOC zostały w pełni przestarzałe na pulpicie nawigacyjnym zgodności Defender dla Chmury i zastąpione inicjatywą SOC 2 Typu 2 oraz standardami zgodności opartymi na inicjatywie PCI DSS w wersji 4. We have fully deprecated support of PCI DSS standard/initiative in Microsoft Azure operated by 21Vianet.
Dowiedz się, jak dostosować zestaw standardów na pulpicie nawigacyjnym zgodności z przepisami.
Usługa Defender for DevOps obejmuje wyniki skanowania usługi Azure DevOps
Usługa Defender for DevOps Code i IaC rozszerzyła zakres rekomendacji w Microsoft Defender dla Chmury, aby uwzględnić wyniki zabezpieczeń usługi Azure DevOps dla następujących dwóch zaleceń:
Code repositories should have code scanning findings resolved
Code repositories should have infrastructure as code scanning findings resolved
Wcześniej pokrycie skanowania zabezpieczeń usługi Azure DevOps obejmowało tylko zalecenie dotyczące wpisów tajnych.
Dowiedz się więcej o usłudze Defender for DevOps.
Nowe ustawienie domyślne dla rozwiązania do oceny luk w zabezpieczeniach usługi Defender for Servers
Rozwiązania do oceny luk w zabezpieczeniach są niezbędne do ochrony maszyn przed atakami cybernetycznymi i naruszeniami danych.
Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender jest teraz włączona jako domyślne, wbudowane rozwiązanie dla wszystkich subskrypcji chronionych przez usługę Defender for Servers, które nie ma jeszcze wybranego rozwiązania do oceny luk w zabezpieczeniach.
Jeśli subskrypcja ma włączone rozwiązanie do zarządzania aktywacją zbiorczą na dowolnej maszynie wirtualnej, żadne zmiany nie zostaną wprowadzone i Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender nie zostaną domyślnie włączone na pozostałych maszynach wirtualnych w tej subskrypcji. Możesz włączyć rozwiązanie va na pozostałych maszynach wirtualnych w Twoich subskrypcjach.
Dowiedz się, jak znaleźć luki w zabezpieczeniach i zebrać spis oprogramowania za pomocą skanowania bez agenta (wersja zapoznawcza).
Pobieranie raportu CSV wyników zapytania eksploratora zabezpieczeń w chmurze (wersja zapoznawcza)
Defender dla Chmury dodano możliwość pobierania raportu CSV wyników zapytań eksploratora zabezpieczeń w chmurze.
Po uruchomieniu wyszukiwania zapytania możesz wybrać przycisk Pobierz raport CSV (wersja zapoznawcza) na stronie Eksploratora zabezpieczeń w chmurze w Defender dla Chmury.
Dowiedz się, jak tworzyć zapytania za pomocą eksploratora zabezpieczeń w chmurze
Wydanie oceny luk w zabezpieczeniach kontenerów za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Ogłaszamy wydanie oceny luk w zabezpieczeniach dla obrazów systemu Linux w rejestrach kontenerów platformy Azure obsługiwanych przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w CSPM w usłudze Defender. Ta wersja obejmuje codzienne skanowanie obrazów. Wyniki używane w Eksploratorze zabezpieczeń i ścieżkach ataków polegają na ocenie luk w zabezpieczeniach usługi Microsoft Defender zamiast skanera Qualys.
Istniejące zalecenie Container registry images should have vulnerability findings resolved
jest zastępowane przez nowe zalecenie:
Recommendation | Description | Assessment Key |
---|---|---|
Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | dbd0cb49-b563-45e7-9724-889e799fa648 został zastąpiony przez c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Dowiedz się więcej na temat stanu kontenerów bez agentów w CSPM w usłudze Defender.
Dowiedz się więcej o Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Zmiana nazwy zaleceń dotyczących kontenerów obsługiwanych przez firmę Qualys
Nazwy bieżących zaleceń dotyczących kontenerów w usłudze Defender for Containers zostaną zmienione w następujący sposób:
Recommendation | Description | Assessment Key |
---|---|---|
Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | dbd0cb49-b563-45e7-9724-889e799fa648 |
Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje obrazy kontenerów uruchomione w klastrach Kubernetes pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | 41503391-efa5-47ee-9282-4eff6131462c |
Aktualizacja aplikacji Usługi GitHub w usłudze Defender for DevOps
Usługa Microsoft Defender for DevOps stale wprowadza zmiany i aktualizacje, które wymagają usługi Defender dla klientów usługi DevOps, którzy dołączyli swoje środowiska GitHub w Defender dla Chmury w celu zapewnienia uprawnień w ramach aplikacji wdrożonej w organizacji usługi GitHub. Te uprawnienia są niezbędne do zapewnienia, że wszystkie funkcje zabezpieczeń usługi Defender for DevOps działają normalnie i bez problemów.
Zalecamy jak najszybsze zaktualizowanie uprawnień, aby zapewnić stały dostęp do wszystkich dostępnych funkcji usługi Defender for DevOps.
Uprawnienia można przyznać na dwa różne sposoby:
In your organization, select GitHub Apps. Locate Your organization, and select Review request.
Otrzymasz automatyczną wiadomość e-mail od pomocy technicznej usługi GitHub. W wiadomości e-mail wybierz pozycję Przejrzyj żądanie uprawnień, aby zaakceptować lub odrzucić tę zmianę.
Po wykonaniu jednej z tych opcji nastąpi przejście do ekranu przeglądu, na którym należy przejrzeć żądanie. Wybierz pozycję Zaakceptuj nowe uprawnienia , aby zatwierdzić żądanie.
Jeśli potrzebujesz pomocy przy aktualizowaniu uprawnień, możesz utworzyć żądanie pomoc techniczna platformy Azure.
Możesz również dowiedzieć się więcej o usłudze Defender for DevOps. Jeśli subskrypcja ma włączone rozwiązanie do zarządzania aktywacją zbiorczą na dowolnej maszynie wirtualnej, żadne zmiany nie zostaną wprowadzone i Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender nie zostaną domyślnie włączone na pozostałych maszynach wirtualnych w tej subskrypcji. Możesz włączyć rozwiązanie va na pozostałych maszynach wirtualnych w Twoich subskrypcjach.
Dowiedz się, jak znaleźć luki w zabezpieczeniach i zebrać spis oprogramowania za pomocą skanowania bez agenta (wersja zapoznawcza).
Adnotacje żądania ściągnięcia w usłudze Defender for DevOps w repozytoriach usługi Azure DevOps zawierają teraz błędną konfigurację infrastruktury jako kodu
Usługa Defender for DevOps rozszerzyła zakres adnotacji żądania ściągnięcia w usłudze Azure DevOps, aby uwzględnić błędy konfiguracji infrastruktury jako kodu (IaC), które są wykrywane w szablonach usługi Azure Resource Manager i Bicep.
Deweloperzy mogą teraz wyświetlać adnotacje dotyczące błędów konfiguracji IaC bezpośrednio w żądaniach ściągnięcia. Deweloperzy mogą również korygować krytyczne problemy z zabezpieczeniami, zanim infrastruktura zostanie aprowizowana w obciążeniach w chmurze. Aby uprościć korygowanie, deweloperzy są dostarczani z opisem ważności, błędną konfiguracją i instrukcjami korygowania w ramach każdej adnotacji.
Wcześniej pokrycie adnotacji żądania ściągnięcia usługi Defender for DevOps w usłudze Azure DevOps obejmowało tylko wpisy tajne.
Dowiedz się więcej o adnotacjach usługi Defender for DevOps i żądań ściągnięcia.
April 2023
Aktualizacje w kwietniu obejmują:
- Stan kontenera bez agenta w CSPM w usłudze Defender (wersja zapoznawcza)
- Nowe zalecenie dotyczące ujednoliconego szyfrowania dysków w wersji zapoznawczej
- Zmiany w rekomendacji Maszyny powinny być skonfigurowane bezpiecznie
- Wycofanie zasad monitorowania języka usługi App Service
- Nowy alert w usłudze Defender for Resource Manager
- Trzy alerty w planie usługi Defender for Resource Manager zostały wycofane
- Automatyczne eksportowanie alertów do obszaru roboczego usługi Log Analytics zostało przestarzałe
- Wycofanie i ulepszenie wybranych alertów dla serwerów z systemami Windows i Linux
- Nowe zalecenia dotyczące uwierzytelniania usługi Azure Active Directory dla usług Azure Data Services
- Dwa zalecenia związane z brakującymi aktualizacjami systemu operacyjnego zostały wydane ogólnie dostępne
- Defender dla interfejsów API (wersja zapoznawcza)
Stan kontenera bez agenta w CSPM w usłudze Defender (wersja zapoznawcza)
Nowe funkcje stan kontenera bez agenta (wersja zapoznawcza) są dostępne w ramach planu CSPM w usłudze Defender (zarządzanie stanem zabezpieczeń w chmurze).
Stan kontenera bez agenta umożliwia zespołom ds. zabezpieczeń identyfikowanie zagrożeń bezpieczeństwa w kontenerach i obszarze Kubernetes. Podejście bez agenta umożliwia zespołom ds. zabezpieczeń uzyskanie wglądu w rejestry platformy Kubernetes i kontenerów w środowisku SDLC i środowisku uruchomieniowym, co pozwala zespołom ds. zabezpieczeń na uzyskanie wglądu w rejestry platformy Kubernetes i kontenerów w środowisku uruchomieniowym, co pozwala usunąć tarcie i ślad z obciążeń.
Stan kontenera bez agenta oferuje oceny luk w zabezpieczeniach kontenerów, które w połączeniu z analizą ścieżki ataku umożliwiają zespołom ds. zabezpieczeń określanie priorytetów i powiększanie określonych luk w zabezpieczeniach kontenerów. Eksplorator zabezpieczeń w chmurze umożliwia również wykrywanie zagrożeń i wyszukiwanie szczegółowych informacji o stanie kontenera, takich jak odnajdywanie aplikacji z narażonymi obrazami lub uwidocznione w Internecie.
Dowiedz się więcej na temat stanu kontenera bez agenta (wersja zapoznawcza).
Zalecenie dotyczące ujednoliconego szyfrowania dysków (wersja zapoznawcza)
W wersji zapoznawczej są dostępne nowe zalecenia dotyczące ujednoliconego szyfrowania dysków.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
-
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost
.
Te zalecenia zastępują usługę Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources
, która wykryła usługę Azure Disk Encryption i zasady Virtual machines and virtual machine scale sets should have encryption at host enabled
, które wykryły metodę EncryptionAtHost. Usługi ADE i EncryptionAtHost zapewniają porównywalne szyfrowanie w spoczynku i zalecamy włączenie jednego z nich na każdej maszynie wirtualnej. Nowe zalecenia wykrywają, czy usługa ADE lub EncryptionAtHost są włączone i ostrzegają tylko wtedy, gdy żadna z nich nie jest włączona. Ostrzegamy również, czy usługa ADE jest włączona na niektórych, ale nie we wszystkich dyskach maszyny wirtualnej (ten warunek nie ma zastosowania do szyfrowaniaAtHost).
Nowe zalecenia wymagają usługi Azure Automanage Machine Configuration.
Te zalecenia są oparte na następujących zasadach:
- (Wersja zapoznawcza) Maszyny wirtualne z systemem Windows powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost
- (Wersja zapoznawcza) Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost
Dowiedz się więcej o programach ADE i EncryptionAtHost oraz o tym, jak włączyć jedną z nich.
Zmiany w rekomendacji Maszyny powinny być skonfigurowane bezpiecznie
Zalecenie Machines should be configured securely
zostało zaktualizowane. Aktualizacja poprawia wydajność i stabilność rekomendacji oraz dostosowuje swoje doświadczenie z ogólnym zachowaniem zaleceń Defender dla Chmury.
W ramach tej aktualizacji identyfikator rekomendacji został zmieniony z 181ac480-f7c4-544b-9865-11b8ffe87f47
na c476dc48-8110-4139-91af-c8d940896b98
.
Po stronie klienta nie jest wymagana żadna akcja i nie ma oczekiwanego wpływu na wskaźnik bezpieczeństwa.
Wycofanie zasad monitorowania języka usługi App Service
Następujące zasady monitorowania języka usługi App Service zostały uznane za przestarzałe ze względu na możliwość generowania wyników fałszywie ujemnych i dlatego, że nie zapewniają one lepszych zabezpieczeń. Zawsze należy upewnić się, że używasz wersji językowej bez żadnych znanych luk w zabezpieczeniach.
Policy name | Policy ID |
---|---|
Aplikacje usługi App Service korzystające z języka Java powinny używać najnowszej wersji języka Java | 496223c3-ad65-4ecd-878a-bae78737e9ed |
Aplikacje usługi App Service korzystające z języka Python powinny używać najnowszej wersji języka Python | 7008174a-fd10-4ef0-817e-fc820a951d73 |
Aplikacje funkcji korzystające z języka Java powinny używać najnowszej wersji języka Java | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
Aplikacje funkcji korzystające z języka Python powinny używać najnowszej wersji języka Python | 7238174a-fd10-4ef0-817e-fc820a951d73 |
Aplikacje usługi App Service korzystające z języka PHP powinny używać najnowszej wersji języka PHP | 7261b898-8a84-4db8-9e04-18527132abb3 |
Klienci mogą używać alternatywnych wbudowanych zasad do monitorowania dowolnej określonej wersji językowej dla swoich usług App Services.
Te zasady nie są już dostępne we wbudowanych zaleceniach Defender dla Chmury. Możesz dodać je jako zalecenia niestandardowe, aby Defender dla Chmury je monitorować.
Nowy alert w usłudze Defender for Resource Manager
Usługa Defender dla usługi Resource Manager ma następujący nowy alert:
Alert (typ alertu) | Description | MITRE tactics | Severity |
---|---|---|---|
WERSJA ZAPOZNAWCZA — wykryto podejrzane tworzenie zasobów obliczeniowych (ARM_SuspiciousComputeCreation) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane tworzenie zasobów obliczeniowych w ramach subskrypcji korzystającej z zestawu skalowania maszyn wirtualnych/platformy Azure. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami przez wdrożenie nowych zasobów w razie potrzeby. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie operacje do prowadzenia wyszukiwania kryptograficznego. Działanie jest uznawane za podejrzane, ponieważ skala zasobów obliczeniowych jest wyższa niż wcześniej obserwowana w ramach subskrypcji. Może to oznaczać, że podmiot zabezpieczeń jest naruszony i jest używany ze złośliwymi intencjami. |
Impact | Medium |
Zostanie wyświetlona lista wszystkich alertów dostępnych dla usługi Resource Manager.
Trzy alerty w planie usługi Defender for Resource Manager zostały wycofane
Następujące trzy alerty dla planu usługi Defender for Resource Manager zostały wycofane:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
W scenariuszu, w którym wykryto działanie z podejrzanego adresu IP, jeden z następujących alertów Azure Resource Manager operation from suspicious IP address
planu usługi Defender dla usługi Resource Manager lub Azure Resource Manager operation from suspicious proxy IP address
będzie obecny.
Automatyczne eksportowanie alertów do obszaru roboczego usługi Log Analytics zostało przestarzałe
Alerty zabezpieczeń usługi Defenders for Cloud są automatycznie eksportowane do domyślnego obszaru roboczego usługi Log Analytics na poziomie zasobu. Powoduje to nieokreślone zachowanie i dlatego przestarzała ta funkcja.
Instead, you can export your security alerts to a dedicated Log Analytics workspace with Continuous Export.
Jeśli skonfigurowano już ciągły eksport alertów do obszaru roboczego usługi Log Analytics, nie jest wymagana żadna dalsza akcja.
Wycofanie i ulepszenie wybranych alertów dla serwerów z systemami Windows i Linux
Proces poprawy jakości alertów zabezpieczeń dla usługi Defender dla serwerów obejmuje wycofanie niektórych alertów dla serwerów z systemami Windows i Linux. Przestarzałe alerty są teraz pozyskiwane z alertów zagrożenia usługi Defender for Endpoint i objęte usługą Defender for Endpoint.
Jeśli masz już włączoną integrację z usługą Defender for Endpoint, nie jest wymagana żadna dalsza akcja. W kwietniu 2023 r. może wystąpić spadek liczby alertów.
Jeśli nie masz włączonej integracji z usługą Defender for Endpoint w usłudze Defender for Servers, musisz włączyć integrację usługi Defender for Endpoint, aby zachować i poprawić pokrycie alertów.
Wszyscy klienci usługi Defender for Servers mają pełny dostęp do integracji usługi Defender for Endpoint w ramach planu usługi Defender for Servers.
Możesz dowiedzieć się więcej na temat opcji dołączania Ochrona punktu końcowego w usłudze Microsoft Defender.
Możesz również wyświetlić pełną listę alertów , które są ustawione jako przestarzałe.
Przeczytaj blog Microsoft Defender dla Chmury.
Nowe zalecenia dotyczące uwierzytelniania usługi Azure Active Directory dla usług Azure Data Services
Dodaliśmy cztery nowe zalecenia dotyczące uwierzytelniania usługi Azure Active Directory dla usług Azure Data Services.
Recommendation Name | Recommendation Description | Policy |
---|---|---|
Tryb uwierzytelniania usługi Azure SQL Managed Instance powinien być tylko w usłudze Azure Active Directory | Wyłączenie lokalnych metod uwierzytelniania i zezwolenie tylko na uwierzytelnianie usługi Azure Active Directory zwiększa bezpieczeństwo, zapewniając, że dostęp do usługi Azure SQL Managed Instances można uzyskać wyłącznie za pomocą tożsamości usługi Azure Active Directory. | Usługa Azure SQL Managed Instance powinna mieć włączone tylko uwierzytelnianie usługi Azure Active Directory |
Tryb uwierzytelniania obszaru roboczego usługi Azure Synapse powinien być tylko w usłudze Azure Active Directory | Metody uwierzytelniania tylko w usłudze Azure Active Directory zwiększają bezpieczeństwo, zapewniając, że obszary robocze usługi Synapse wymagają wyłącznie tożsamości usługi Azure AD na potrzeby uwierzytelniania. Learn more. | Obszary robocze usługi Synapse powinny używać tylko tożsamości usługi Azure Active Directory do uwierzytelniania |
Usługa Azure Database for MySQL powinna mieć zainicjowaną aprowizację administratora usługi Azure Active Directory | Aprowizuj administratora usługi Azure AD dla usługi Azure Database for MySQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów MySQL |
Usługa Azure Database for PostgreSQL powinna mieć zainicjowaną aprowizację administratora usługi Azure Active Directory | Aprowizuj administratora usługi Azure AD dla usługi Azure Database for PostgreSQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów PostgreSQL |
Dwa zalecenia związane z brakującymi aktualizacjami systemu operacyjnego zostały wydane ogólnie dostępne
System updates should be installed on your machines (powered by Azure Update Manager)
Zalecenia i Machines should be configured to periodically check for missing system updates
zostały wydane pod kątem ogólnej dostępności.
Aby użyć nowego zalecenia, należy wykonać następujące działania:
- Połącz maszyny spoza platformy Azure z usługą Arc.
-
Włącz właściwość oceny okresowej. You can use the Fix button.
w nowym poleceniu,
Machines should be configured to periodically check for missing system updates
aby naprawić zalecenie.
Po wykonaniu tych kroków możesz usunąć starą rekomendację System updates should be installed on your machines
, wyłączając ją z wbudowanej inicjatywy Defender dla Chmury w usłudze Azure Policy.
Dwie wersje zaleceń:
System updates should be installed on your machines
System updates should be installed on your machines (powered by Azure Update Manager)
Oba te elementy będą dostępne do czasu wycofania agenta usługi Log Analytics 31 sierpnia 2024 r., co oznacza, że starsza wersja (System updates should be installed on your machines
) zalecenia również zostanie wycofana. Oba zalecenia zwracają te same wyniki i są dostępne w ramach tej samej kontrolki Apply system updates
.
Nowe zalecenie System updates should be installed on your machines (powered by Azure Update Manager)
ma przepływ korygowania dostępny za pośrednictwem przycisku Napraw, który może służyć do korygowania dowolnych wyników za pośrednictwem Menedżera aktualizacji (wersja zapoznawcza). Ten proces korygowania jest nadal w wersji zapoznawczej.
Nowe zalecenie System updates should be installed on your machines (powered by Azure Update Manager)
nie ma wpływu na wskaźnik bezpieczeństwa, ponieważ ma takie same wyniki jak stare zalecenie System updates should be installed on your machines
.
Zalecenie dotyczące wymagań wstępnych (Włącz właściwość okresowej oceny) ma negatywny wpływ na wskaźnik bezpieczeństwa. You can remediate the negative effect with the available Fix button.
Defender dla interfejsów API (wersja zapoznawcza)
Defender dla Chmury firmy Microsoft ogłasza, że nowa usługa Defender dla interfejsów API jest dostępna w wersji zapoznawczej.
Usługa Defender dla interfejsów API oferuje pełną ochronę, wykrywanie i pokrycie odpowiedzi dla interfejsów API.
Usługa Defender dla interfejsów API ułatwia uzyskanie wglądu w interfejsy API krytyczne dla działania firmy. Możesz badać i ulepszać stan zabezpieczeń interfejsu API, ustalać priorytety poprawek luk w zabezpieczeniach i szybko wykrywać aktywne zagrożenia w czasie rzeczywistym.
Dowiedz się więcej o usłudze Defender dla interfejsów API.
March 2023
Aktualizacje w marcu obejmują:
- Dostępny jest nowy plan usługi Defender for Storage, w tym skanowanie złośliwego oprogramowania niemal w czasie rzeczywistym i wykrywanie zagrożeń poufnych danych
- Stan zabezpieczeń obsługujący dane (wersja zapoznawcza)
- Ulepszone środowisko zarządzania domyślnymi zasadami zabezpieczeń platformy Azure
- CSPM w usłudze Defender (zarządzanie stanem zabezpieczeń w chmurze) jest teraz ogólnie dostępne (ogólna dostępność)
- Opcja tworzenia niestandardowych zaleceń i standardów zabezpieczeń w Microsoft Defender dla Chmury
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) w wersji 1.0 jest teraz ogólnie dostępny (OGÓLNIE)
- Niektóre standardy zgodności z przepisami są teraz dostępne w chmurach dla instytucji rządowych
- Nowe zalecenie dotyczące wersji zapoznawczej dla serwerów Azure SQL Server
- Nowy alert w usłudze Defender for Key Vault
Dostępny jest nowy plan usługi Defender for Storage, w tym skanowanie złośliwego oprogramowania niemal w czasie rzeczywistym i wykrywanie zagrożeń poufnych danych
Magazyn w chmurze odgrywa kluczową rolę w organizacji i przechowuje duże ilości cennych i poufnych danych. Dziś ogłaszamy nowy plan usługi Defender for Storage. Jeśli używasz poprzedniego planu (teraz zmieniono nazwę na "Defender for Storage (wersja klasyczna)"), musisz aktywnie przeprowadzić migrację do nowego planu , aby korzystać z nowych funkcji i korzyści.
Nowy plan obejmuje zaawansowane funkcje zabezpieczeń, które ułatwiają ochronę przed złośliwymi przekazywaniem plików, eksfiltracją poufnych danych i uszkodzeniem danych. Zapewnia również bardziej przewidywalną i elastyczną strukturę cenową, aby lepiej kontrolować pokrycie i koszty.
Nowy plan ma teraz nowe możliwości w publicznej wersji zapoznawczej:
Wykrywanie ujawnienia poufnych danych i zdarzeń eksfiltracji
Skanowanie złośliwego oprogramowania niemal w czasie rzeczywistym na obiekt blob podczas przekazywania we wszystkich typach plików
Wykrywanie jednostek bez tożsamości przy użyciu tokenów SAS
Te możliwości zwiększają istniejące możliwości monitorowania aktywności na podstawie analizy dzienników kontroli i płaszczyzny danych oraz modelowania behawioralnego w celu zidentyfikowania wczesnych oznak naruszenia.
Wszystkie te możliwości są dostępne w nowym przewidywalnym i elastycznym planie cenowym, który zapewnia szczegółową kontrolę nad ochroną danych na poziomie subskrypcji i zasobów.
Dowiedz się więcej na stronie Omówienie usługi Microsoft Defender for Storage.
Stan zabezpieczeń obsługujący dane (wersja zapoznawcza)
Microsoft Defender dla Chmury pomaga zespołom ds. zabezpieczeń zwiększyć produktywność w zmniejszaniu ryzyka i reagowaniu na naruszenia danych w chmurze. Pozwala im to na wycinanie szumu z kontekstem danych i określanie priorytetów najbardziej krytycznych zagrożeń bezpieczeństwa, zapobiegając kosztownemu naruszeniu danych.
- Automatycznie odnajdywanie zasobów danych w infrastrukturze w chmurze i ocenianie ich ułatwień dostępu, poufności danych i skonfigurowanych przepływów danych. — Ciągłe ujawnianie zagrożeń związanych z naruszeniami danych poufnych zasobów danych, ekspozycją lub ścieżkami ataków, które mogą prowadzić do zasobu danych przy użyciu techniki przenoszenia bocznego.
- Wykrywanie podejrzanych działań, które mogą wskazywać na bieżące zagrożenie dla poufnych zasobów danych.
Learn more about data-aware security posture.
Ulepszone środowisko zarządzania domyślnymi zasadami zabezpieczeń platformy Azure
Wprowadzamy ulepszone środowisko zarządzania zasadami zabezpieczeń platformy Azure dla wbudowanych zaleceń, które upraszczają sposób, w jaki klienci Defender dla Chmury dostosować ich wymagania dotyczące zabezpieczeń. Nowe środowisko obejmuje następujące nowe możliwości:
- Prosty interfejs umożliwia lepszą wydajność i środowisko podczas zarządzania domyślnymi zasadami zabezpieczeń w Defender dla Chmury.
- Pojedynczy widok wszystkich wbudowanych zaleceń dotyczących zabezpieczeń oferowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft (dawniej test porównawczy zabezpieczeń platformy Azure). Rekomendacje są zorganizowane w grupy logiczne, co ułatwia zrozumienie typów omówionych zasobów oraz relację między parametrami i zaleceniami.
- Dodano nowe funkcje, takie jak filtry i wyszukiwanie.
Dowiedz się, jak zarządzać zasadami zabezpieczeń.
Przeczytaj blog Microsoft Defender dla Chmury.
CSPM w usłudze Defender (zarządzanie stanem zabezpieczeń w chmurze) jest teraz ogólnie dostępne (ogólna dostępność)
Ogłaszamy, że CSPM w usłudze Defender jest teraz ogólnie dostępny (GA). CSPM w usłudze Defender oferuje wszystkie usługi dostępne w ramach podstawowych funkcji CSPM i dodaje następujące korzyści:
- Analiza ścieżki ataków i interfejs API ARG — analiza ścieżki ataku używa algorytmu opartego na grafie, który skanuje wykres zabezpieczeń chmury w celu uwidocznienia ścieżek ataków i sugeruje zalecenia dotyczące najlepszego rozwiązywania problemów, które przerywają ścieżkę ataku i uniemożliwiają pomyślne naruszenie. Ścieżki ataków można również używać programowo, wysyłając zapytanie do interfejsu API usługi Azure Resource Graph (ARG). Dowiedz się, jak używać analizy ścieżki ataku
- Cloud Security Explorer — użyj Eksploratora zabezpieczeń chmury do uruchamiania zapytań opartych na grafie zabezpieczeń w chmurze, aby aktywnie identyfikować zagrożenia bezpieczeństwa w środowiskach wielochmurowych. Dowiedz się więcej o eksploratorze zabezpieczeń w chmurze.
Learn more about Defender CSPM.
Opcja tworzenia niestandardowych zaleceń i standardów zabezpieczeń w Microsoft Defender dla Chmury
Microsoft Defender dla Chmury umożliwia tworzenie niestandardowych zaleceń i standardów dla platform AWS i GCP przy użyciu zapytań KQL. Edytor zapytań umożliwia kompilowanie i testowanie zapytań dotyczących danych. Ta funkcja jest częścią planu CSPM w usłudze Defender (Zarządzanie stanem zabezpieczeń w chmurze). Dowiedz się, jak tworzyć niestandardowe rekomendacje i standardy.
Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) w wersji 1.0 jest teraz ogólnie dostępny (OGÓLNIE)
Microsoft Defender dla Chmury ogłasza, że test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) w wersji 1.0 jest teraz ogólnie dostępny (OGÓLNIE).
Program MCSB w wersji 1.0 zastępuje domyślną zasadę zabezpieczeń platformy Azure (ASB) Defender dla Chmury w wersji 3. Aplikacja MCSB w wersji 1.0 jest wyświetlana jako domyślny standard zgodności na pulpicie nawigacyjnym zgodności i jest domyślnie włączona dla wszystkich klientów Defender dla Chmury.
Możesz również dowiedzieć się , w jaki sposób test porównawczy zabezpieczeń w chmurze (MCSB) firmy Microsoft pomaga odnieść sukces w podróży po zabezpieczeniach w chmurze.
Learn more about MCSB.
Niektóre standardy zgodności z przepisami są teraz dostępne w chmurach dla instytucji rządowych
Aktualizujemy te standardy dla klientów platformy Azure Government i platformy Microsoft Azure obsługiwanych przez firmę 21Vianet.
Azure Government:
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:
Dowiedz się, jak dostosować zestaw standardów na pulpicie nawigacyjnym zgodności z przepisami.
Nowe zalecenie dotyczące wersji zapoznawczej dla serwerów Azure SQL Server
Dodaliśmy nowe zalecenie dotyczące serwerów Azure SQL Server, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)
.
Zalecenie jest oparte na istniejących zasadach Azure SQL Database should have Azure Active Directory Only Authentication enabled
To zalecenie wyłącza lokalne metody uwierzytelniania i zezwala tylko na uwierzytelnianie usługi Azure Active Directory, co zwiększa bezpieczeństwo, zapewniając, że dostęp do baz danych Azure SQL Database można uzyskiwać wyłącznie za pomocą tożsamości usługi Azure Active Directory.
Dowiedz się, jak tworzyć serwery z włączonym uwierzytelnianiem tylko w usłudze Azure AD w usłudze Azure SQL.
Nowy alert w usłudze Defender for Key Vault
Usługa Defender for Key Vault ma następujący nowy alert:
Alert (typ alertu) | Description | MITRE tactics | Severity |
---|---|---|---|
Odmowa dostępu z podejrzanego adresu IP do magazynu kluczy (KV_SuspiciousIPAccessDenied) |
Nieudany dostęp do magazynu kluczy został podjęty przez adres IP, który został zidentyfikowany przez usługę Microsoft Threat Intelligence jako podejrzany adres IP. Mimo że ta próba nie powiodła się, oznacza to, że bezpieczeństwo infrastruktury mogło zostać naruszone. Zalecamy dalsze badania. | Credential Access | Low |
Zostanie wyświetlona lista wszystkich alertów dostępnych dla usługi Key Vault.
February 2023
Aktualizacje w lutym obejmują:
- Ulepszony Eksplorator zabezpieczeń chmury
- Skanowania luk w zabezpieczeniach usługi Defender for Containers dotyczące uruchamiania obrazów systemu Linux są teraz ogólnie dostępne
- Ogłoszenie obsługi standardu zgodności usługi AWS CIS 1.5.0
- Usługa Microsoft Defender dla metodyki DevOps (wersja zapoznawcza) jest teraz dostępna w innych regionach
- Wbudowane zasady [wersja zapoznawcza]: Prywatny punkt końcowy powinien być skonfigurowany dla usługi Key Vault jest przestarzały
Ulepszony Eksplorator zabezpieczeń chmury
Ulepszona wersja eksploratora zabezpieczeń w chmurze zawiera odświeżone środowisko użytkownika, które znacznie eliminuje problemy z zapytaniami, dodano możliwość uruchamiania zapytań wielochmurowych i wielosóbowych oraz osadzonej dokumentacji dla każdej opcji zapytania.
Eksplorator zabezpieczeń chmury umożliwia teraz uruchamianie zapytań abstrakcyjnych w chmurze między zasobami. Możesz użyć wstępnie utworzonych szablonów zapytań lub użyć wyszukiwania niestandardowego, aby zastosować filtry w celu skompilowania zapytania. Dowiedz się , jak zarządzać Eksploratorem zabezpieczeń w chmurze.
Skanowania luk w zabezpieczeniach usługi Defender for Containers dotyczące uruchamiania obrazów systemu Linux są teraz ogólnie dostępne
Usługa Defender for Containers wykrywa luki w zabezpieczeniach w uruchomionych kontenerach. Obsługiwane są kontenery zarówno systemu Windows, jak i Linux.
W sierpniu 2022 r. ta funkcja została udostępniona w wersji zapoznawczej dla systemów Windows i Linux. Teraz publikujemy ją w celu zapewnienia ogólnej dostępności dla systemu Linux.
Po wykryciu luk w zabezpieczeniach Defender dla Chmury generuje następujące zalecenie dotyczące zabezpieczeń zawierające wyniki skanowania: Uruchomienie obrazów kontenerów powinno mieć rozwiązane problemy z lukami w zabezpieczeniach.
Dowiedz się więcej o wyświetlaniu luk w zabezpieczeniach dla uruchomionych obrazów.
Ogłoszenie obsługi standardu zgodności usługi AWS CIS 1.5.0
Defender dla Chmury obsługuje teraz standard zgodności CIS Amazon Web Services Foundations w wersji 1.5.0. Standard można dodać do pulpitu nawigacyjnego zgodności z przepisami i opierać się na istniejących ofertach rozwiązania MDC dla rekomendacji i standardów wielochmurowych.
Ten nowy standard obejmuje zarówno istniejące, jak i nowe zalecenia, które rozszerzają zasięg Defender dla Chmury na nowe usługi i zasoby platformy AWS.
Dowiedz się, jak zarządzać ocenami i standardami platformy AWS.
Usługa Microsoft Defender dla metodyki DevOps (wersja zapoznawcza) jest teraz dostępna w innych regionach
Usługa Microsoft Defender for DevOps rozszerzyła swoją wersję zapoznawcza i jest teraz dostępna w regionach Europa Zachodnia i Australia Wschodnia po dołączeniu zasobów usługi Azure DevOps i GitHub.
Dowiedz się więcej o usłudze Microsoft Defender for DevOps.
Wbudowane zasady [wersja zapoznawcza]: Prywatny punkt końcowy powinien być skonfigurowany dla usługi Key Vault jest przestarzały
Wbudowane zasady [Preview]: Private endpoint should be configured for Key Vault
są przestarzałe i zastępowane zasadami [Preview]: Azure Key Vaults should use private link
.
Dowiedz się więcej o integracji usługi Azure Key Vault z usługą Azure Policy.
January 2023
Aktualizacje w styczniu obejmują:
- Dostęp do składnika Endpoint Protection (Ochrona punktu końcowego w usłudze Microsoft Defender) jest teraz dostępny na stronie Ustawienia i monitorowanie
- Nowa wersja zalecenia dotyczącego znajdowania brakujących aktualizacji systemowych (wersja zapoznawcza)
- Czyszczenie usuniętych maszyn usługi Azure Arc na połączonych kontach platform AWS i GCP
- Zezwalaj na eksport ciągły do usługi Event Hubs za zaporą
- Nazwa kontrolki Wskaźnik bezpieczeństwa Ochrona aplikacji za pomocą zaawansowanych rozwiązań sieciowych platformy Azure uległa zmianie
- Ustawienia oceny luk w zabezpieczeniach zasad dla programu SQL Server powinny zawierać adres e-mail do odbierania raportów skanowania jest przestarzały
- Zalecenie dotyczące włączania dzienników diagnostycznych dla zestawów skalowania maszyn wirtualnych jest przestarzałe
Dostęp do składnika Endpoint Protection (Ochrona punktu końcowego w usłudze Microsoft Defender) jest teraz dostępny na stronie Ustawienia i monitorowanie
To access Endpoint protection, navigate to Environment settings>Defender plans>Settings and monitoring. From here you can set Endpoint protection to On. Można również wyświetlić inne zarządzane składniki.
Dowiedz się więcej o włączaniu Ochrona punktu końcowego w usłudze Microsoft Defender na serwerach za pomocą usługi Defender for Servers.
Nowa wersja zalecenia dotyczącego znajdowania brakujących aktualizacji systemowych (wersja zapoznawcza)
Nie potrzebujesz już agenta na maszynach wirtualnych platformy Azure i maszynach usługi Azure Arc, aby upewnić się, że maszyny mają wszystkie najnowsze aktualizacje zabezpieczeń lub krytycznych systemów.
Nowe zalecenie dotyczące System updates should be installed on your machines (powered by Azure Update Manager)
aktualizacji systemu w kontrolce Apply system updates
jest oparte na Menedżerze aktualizacji (wersja zapoznawcza). Zalecenie opiera się na natywnym agencie osadzonym na każdej maszynie wirtualnej platformy Azure i maszynach usługi Azure Arc zamiast zainstalowanego agenta. Szybka poprawka w nowej rekomendacji prowadzi do jednorazowej instalacji brakujących aktualizacji w portalu programu Update Manager.
Aby użyć nowego zalecenia, należy wykonać następujące działania:
- Łączenie maszyn spoza platformy Azure z usługą Arc
- Włącz właściwość oceny okresowej. Aby rozwiązać ten problem,
Machines should be configured to periodically check for missing system updates
możesz użyć szybkiej poprawki w nowej rekomendacji.
Zalecenie "Aktualizacje systemu należy zainstalować na maszynach", które opiera się na agencie usługi Log Analytics, jest nadal dostępne pod tą samą kontrolą.
Czyszczenie usuniętych maszyn usługi Azure Arc na połączonych kontach platform AWS i GCP
Maszyna połączona z kontem usług AWS i GCP, które jest objęte usługą Defender for Servers lub Defender for SQL na maszynach, jest reprezentowana w Defender dla Chmury jako maszyna usługi Azure Arc. Do tej pory ta maszyna nie została usunięta ze spisu, gdy maszyna została usunięta z konta platformy AWS lub GCP. Co prowadzi do niepotrzebnych zasobów usługi Azure Arc pozostawionych w Defender dla Chmury reprezentujących usunięte maszyny.
Defender dla Chmury teraz automatycznie usunie maszyny usługi Azure Arc, gdy te maszyny zostaną usunięte na połączonym koncie platformy AWS lub GCP.
Zezwalaj na eksport ciągły do usługi Event Hubs za zaporą
Teraz możesz włączyć ciągły eksport alertów i zaleceń jako zaufaną usługę do usługi Event Hubs, które są chronione przez zaporę platformy Azure.
Eksport ciągły można włączyć w miarę generowania alertów lub zaleceń. Można również zdefiniować harmonogram wysyłania okresowych migawek wszystkich nowych danych.
Dowiedz się, jak włączyć eksport ciągły do usługi Event Hubs za zaporą platformy Azure.
Nazwa kontrolki Wskaźnik bezpieczeństwa Ochrona aplikacji za pomocą zaawansowanych rozwiązań sieciowych platformy Azure została zmieniona
Kontrolka Protect your applications with Azure advanced networking solutions
wskaźnika bezpieczeństwa została zmieniona na Protect applications against DDoS attacks
.
Zaktualizowana nazwa jest odzwierciedlana w usłudze Azure Resource Graph (ARG), interfejsie API kontrolek wskaźnika bezpieczeństwa i interfejsie Download CSV report
.
Ustawienia oceny luk w zabezpieczeniach zasad dla programu SQL Server powinny zawierać adres e-mail do odbierania raportów skanowania jest przestarzały
Zasady Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports
są przestarzałe.
Raport e-mail oceny luk w zabezpieczeniach usługi Defender for SQL jest nadal dostępny, a istniejące konfiguracje poczty e-mail nie uległy zmianie.
Zalecenie dotyczące włączania dzienników diagnostycznych dla zestawów skalowania maszyn wirtualnych jest przestarzałe
Zalecenie Diagnostic logs in Virtual Machine Scale Sets should be enabled
jest przestarzałe.
The related policy definition has also been deprecated from any standards displayed in the regulatory compliance dashboard.
Recommendation | Description | Severity |
---|---|---|
Dzienniki diagnostyczne w zestawach skalowania maszyn wirtualnych powinny być włączone | Włącz dzienniki i zachowaj je przez maksymalnie rok, umożliwiając ponowne tworzenie śladów aktywności na potrzeby badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. | Low |
December 2022
Aktualizacje w grudniu obejmują:
Ogłoszenie ekspresowej konfiguracji oceny luk w zabezpieczeniach w usłudze Defender for SQL
Konfiguracja ekspresowa do oceny luk w zabezpieczeniach w usłudze Microsoft Defender for SQL zapewnia zespołom ds. zabezpieczeń usprawnione środowisko konfiguracji baz danych Azure SQL Database i dedykowanych pul SQL poza obszarami roboczymi usługi Synapse.
Dzięki funkcji ekspresowej konfiguracji do oceny luk w zabezpieczeniach zespoły ds. zabezpieczeń mogą wykonywać następujące czynności:
- Ukończ konfigurację oceny luk w zabezpieczeniach w konfiguracji zabezpieczeń zasobu SQL bez żadnych innych ustawień ani zależności na kontach magazynu zarządzanych przez klienta.
- Immediately add scan results to baselines so that the status of the finding changes from Unhealthy to Healthy without rescanning a database.
- Dodaj wiele reguł do punktów odniesienia jednocześnie i użyj najnowszych wyników skanowania.
- Włącz ocenę luk w zabezpieczeniach dla wszystkich serwerów Azure SQL Server po włączeniu usługi Microsoft Defender dla baz danych na poziomie subskrypcji.
Dowiedz się więcej o ocenie luk w zabezpieczeniach usługi Defender for SQL.
November 2022
Aktualizacje w listopadzie obejmują:
- Ochrona kontenerów w organizacji GCP za pomocą usługi Defender for Containers
- Weryfikowanie ochrony usługi Defender for Containers przy użyciu przykładowych alertów
- Reguły ładu na dużą skalę (wersja zapoznawcza)
- Możliwość tworzenia niestandardowych ocen na platformach AWS i GCP (wersja zapoznawcza) jest przestarzała
- Zalecenie dotyczące konfigurowania kolejek utraconych komunikatów dla funkcji lambda jest przestarzałe
Ochrona kontenerów w organizacji GCP za pomocą usługi Defender for Containers
Teraz możesz włączyć usługę Defender for Containers dla środowiska GCP, aby chronić standardowe klastry GKE w całej organizacji GCP. Wystarczy utworzyć nowy łącznik GCP z włączoną usługą Defender for Containers lub włączyć usługę Defender for Containers na istniejącym łączniku GCP na poziomie organizacji.
Dowiedz się więcej na temat łączenia projektów GCP i organizacji z Defender dla Chmury.
Weryfikowanie ochrony usługi Defender for Containers przy użyciu przykładowych alertów
Teraz możesz tworzyć przykładowe alerty dla planu usługi Defender for Containers. Nowe przykładowe alerty są prezentowane jako pochodzące z usług AKS, klastrów połączonych z usługą Arc, eks i zasobów GKE z różnymi ważnościami i taktyką MITRE. Przykładowe alerty umożliwiają weryfikowanie konfiguracji alertów zabezpieczeń, takich jak integracje rozwiązania SIEM, automatyzacja przepływu pracy i powiadomienia e-mail.
Learn more about alert validation.
Reguły ładu na dużą skalę (wersja zapoznawcza)
Z przyjemnością ogłaszamy nową możliwość stosowania reguł ładu na dużą skalę (wersja zapoznawcza) w Defender dla Chmury.
Dzięki temu nowemu środowisku zespoły ds. zabezpieczeń mogą zbiorczo definiować reguły ładu dla różnych zakresów (subskrypcji i łączników). Zespoły ds. zabezpieczeń mogą wykonać to zadanie przy użyciu zakresów zarządzania, takich jak grupy zarządzania platformy Azure, konta najwyższego poziomu platformy AWS lub organizacje GCP.
Ponadto strona Reguły ładu (wersja zapoznawcza) zawiera wszystkie dostępne reguły ładu, które są skuteczne w środowiskach organizacji.
Dowiedz się więcej o nowych regułach ładu na dużą skalę.
Note
Od 1 stycznia 2023 r., aby móc korzystać z możliwości oferowanych przez ład, musisz mieć włączony plan CSPM w usłudze Defender dla subskrypcji lub łącznika.
Możliwość tworzenia niestandardowych ocen na platformach AWS i GCP (wersja zapoznawcza) jest przestarzała
The ability to create custom assessments for AWS accounts and GCP projects, which was a Preview feature, is deprecated.
Zalecenie dotyczące konfigurowania kolejek utraconych komunikatów dla funkcji lambda jest przestarzałe
Zalecenie Lambda functions should have a dead-letter queue configured
jest przestarzałe.
Recommendation | Description | Severity |
---|---|---|
Funkcje lambda powinny mieć skonfigurowaną kolejkę utraconych komunikatów | Ta kontrolka sprawdza, czy funkcja lambda jest skonfigurowana z kolejką utraconych komunikatów. Kontrolka kończy się niepowodzeniem, jeśli funkcja Lambda nie jest skonfigurowana z kolejką utraconych komunikatów. Alternatywą dla miejsca docelowego awarii jest skonfigurowanie funkcji z kolejką utraconych komunikatów w celu zapisania odrzuconych zdarzeń w celu dalszego przetwarzania. Kolejka utraconych komunikatów działa tak samo jak miejsce docelowe awarii. Jest używany, gdy zdarzenie zakończy się niepowodzeniem, wszystkie próby przetwarzania lub wygaśnie bez przetwarzania. Kolejka utraconych komunikatów pozwala spojrzeć wstecz na błędy lub nieudane żądania do funkcji Lambda w celu debugowania lub identyfikowania nietypowego zachowania. Z punktu widzenia zabezpieczeń ważne jest, aby zrozumieć, dlaczego funkcja nie powiodła się, i upewnić się, że funkcja nie usuwa danych ani nie narusza zabezpieczeń danych w wyniku. Jeśli na przykład funkcja nie może komunikować się z bazowym zasobem, który może być objawem ataku typu "odmowa usługi" (DoS) w innym miejscu w sieci. | Medium |
October 2022
Aktualizacje w październiku obejmują:
- Ogłoszenie testu porównawczego zabezpieczeń w chmurze firmy Microsoft
- Analiza ścieżki ataku i możliwości zabezpieczeń kontekstowych w Defender dla Chmury (wersja zapoznawcza)
- Skanowanie bez agenta dla maszyn platformy Azure i platformy AWS (wersja zapoznawcza)
- Defender for DevOps (wersja zapoznawcza)
- Pulpit nawigacyjny zgodności z przepisami obsługuje teraz ręczne zarządzanie kontrolą i szczegółowe informacje na temat stanu zgodności firmy Microsoft
- Nazwa automatycznego aprowizacji została zmieniona na Ustawienia i monitorowanie i ma zaktualizowane środowisko
- Zarządzanie stanem zabezpieczeń w chmurze w usłudze Defender (CSPM) (wersja zapoznawcza)
- Mapowanie struktury MITRE ATT&CK jest teraz dostępne również dla zaleceń dotyczących zabezpieczeń platform AWS i GCP
- Usługa Defender for Containers obsługuje teraz ocenę luk w zabezpieczeniach dla usługi Elastic Container Registry (wersja zapoznawcza)
Ogłoszenie testu porównawczego zabezpieczeń w chmurze firmy Microsoft
Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) to nowa struktura definiująca podstawowe zasady zabezpieczeń chmury oparte na wspólnych branżowych standardach i strukturach zgodności. Wraz ze szczegółowymi wskazówkami technicznymi dotyczącymi implementowania tych najlepszych rozwiązań na różnych platformach w chmurze. McSB zastępuje test porównawczy zabezpieczeń platformy Azure. McSB zawiera preskrypcyjne szczegóły dotyczące implementowania zaleceń dotyczących zabezpieczeń niezależnie od chmury na wielu platformach usług w chmurze, które początkowo obejmują platformę Azure i platformę AWS.
Teraz możesz monitorować stan zgodności z zabezpieczeniami chmury na chmurę w jednym zintegrowanym pulpicie nawigacyjnym. Podczas przechodzenia do pulpitu nawigacyjnego zgodności Defender dla Chmury pulpit nawigacyjny zgodności z przepisami można zobaczyć mcSB jako domyślny standard zgodności.
Test porównawczy zabezpieczeń w chmurze firmy Microsoft jest automatycznie przypisywany do subskrypcji platformy Azure i kont platformy AWS podczas dołączania Defender dla Chmury.
Dowiedz się więcej na temat testu porównawczego zabezpieczeń w chmurze firmy Microsoft.
Analiza ścieżki ataku i możliwości zabezpieczeń kontekstowych w Defender dla Chmury (wersja zapoznawcza)
Nowy wykres zabezpieczeń chmury, analiza ścieżki ataku i kontekstowe możliwości zabezpieczeń w chmurze są teraz dostępne w Defender dla Chmury w wersji zapoznawczej.
Jednym z największych wyzwań, przed którymi stoją obecnie zespoły ds. zabezpieczeń, jest liczba problemów z zabezpieczeniami, z którymi borykają się codziennie. Istnieje wiele problemów z zabezpieczeniami, które należy rozwiązać i nigdy nie są wystarczające zasoby, aby rozwiązać je wszystkie.
Defender dla Chmury nowego grafu zabezpieczeń w chmurze i możliwości analizy ścieżki ataku zapewniają zespołom ds. zabezpieczeń możliwość oceny ryzyka związanego z każdym problemem z zabezpieczeniami. Zespoły ds. zabezpieczeń mogą również zidentyfikować problemy o najwyższym ryzyku, które należy rozwiązać najszybciej. Defender dla Chmury współpracuje z zespołami ds. zabezpieczeń, aby zmniejszyć ryzyko naruszenia zabezpieczeń mającego wpływ na środowisko w najbardziej efektywny sposób.
Dowiedz się więcej o nowym grafie zabezpieczeń chmury, analizie ścieżki ataku i eksploratorze zabezpieczeń w chmurze.
Skanowanie bez agenta dla maszyn platformy Azure i platformy AWS (wersja zapoznawcza)
Do tej pory Defender dla Chmury na podstawie ocen stanu maszyn wirtualnych na rozwiązaniach opartych na agentach. Aby pomóc klientom zmaksymalizować pokrycie i zmniejszyć problemy z dołączaniem i zarządzaniem, udostępniamy skanowanie bez agenta dla maszyn wirtualnych w wersji zapoznawczej.
Dzięki skanowaniu bez agenta dla maszyn wirtualnych można uzyskać szeroki wgląd w zainstalowane oprogramowanie i oprogramowanie CVEs. Widoczność można uzyskać bez wyzwań związanych z instalacją i konserwacją agenta, wymaganiami dotyczącymi łączności sieciowej i wydajnością obciążeń. Analiza jest obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Skanowanie luk w zabezpieczeniach bez agenta jest dostępne zarówno w usłudze Defender Cloud Security Posture Management (CSPM), jak i w usłudze Defender for Servers P2, z natywną obsługą usług AWS i maszyn wirtualnych platformy Azure.
- Learn more about agentless scanning.
- Dowiedz się, jak włączyć ocenę luk w zabezpieczeniach bez agentów.
Defender for DevOps (wersja zapoznawcza)
Microsoft Defender dla Chmury umożliwia kompleksową widoczność, zarządzanie stanem i ochronę przed zagrożeniami w środowiskach hybrydowych i wielochmurowych, takich jak azure, AWS, Google i zasoby lokalne.
Teraz nowy plan usługi Defender for DevOps integruje systemy zarządzania kodem źródłowym, takie jak GitHub i Azure DevOps, w Defender dla Chmury. Dzięki tej nowej integracji umożliwiamy zespołom ds. zabezpieczeń ochronę zasobów przed kodem do chmury.
Usługa Defender for DevOps umożliwia uzyskanie wglądu w połączone środowiska deweloperskie i zasoby kodu oraz zarządzanie nimi. Currently, you can connect Azure DevOps and GitHub systems to Defender for Cloud and onboard DevOps repositories to Inventory and the new DevOps Security page. Zapewnia zespołom ds. zabezpieczeń ogólne omówienie odnalezionych problemów z zabezpieczeniami, które istnieją w nich na ujednoliconej stronie zabezpieczeń metodyki DevOps.
Możesz skonfigurować adnotacje dotyczące żądań ściągnięcia, aby ułatwić deweloperom rozwiązywanie problemów ze skanowaniem wpisów tajnych w usłudze Azure DevOps bezpośrednio na żądaniach ściągnięcia.
Aby włączyć następujące skanowania zabezpieczeń, można skonfigurować narzędzia Microsoft Security DevOps w usłudze Azure Pipelines i przepływach pracy usługi GitHub:
Name | Język | License |
---|---|---|
Bandit | Python | Licencja apache 2.0 |
BinSkim | Binary — Windows, ELF | MIT License |
ESlint | JavaScript | MIT License |
CredScan (Azure DevOps Only) | Skaner poświadczeń (znany również jako CredScan) to narzędzie opracowane i obsługiwane przez firmę Microsoft do identyfikowania przecieków poświadczeń, takich jak te w kodzie źródłowym i plikach konfiguracji typowych typów: hasła domyślne, parametry połączenia SQL, certyfikaty z kluczami prywatnymi | Nie open source |
Template Analyze | Szablon usługi ARM, plik Bicep | MIT License |
Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Tworzenie chmury | Licencja apache 2.0 |
Trivy | Obrazy kontenerów, systemy plików, repozytoria git | Licencja apache 2.0 |
Następujące nowe zalecenia są teraz dostępne dla metodyki DevOps:
Recommendation | Description | Severity |
---|---|---|
(Wersja zapoznawcza) Repozytoria kodu powinny mieć rozpoznane wyniki skanowania kodu | Usługa Defender for DevOps wykryła luki w zabezpieczeniach w repozytoriach kodu. Aby poprawić stan zabezpieczeń repozytoriów, zdecydowanie zaleca się skorygowanie tych luk w zabezpieczeniach. (Brak powiązanych zasad) | Medium |
(Wersja zapoznawcza) Repozytoria kodu powinny mieć rozpoznane wyniki skanowania wpisów tajnych | Usługa Defender for DevOps znalazła wpis tajny w repozytoriach kodu. Powinno to zostać natychmiast skorygowane, aby zapobiec naruszeniu zabezpieczeń. Wpisy tajne znalezione w repozytoriach mogą być ujawnione lub wykryte przez przeciwników, co prowadzi do naruszenia zabezpieczeń aplikacji lub usługi. W przypadku usługi Azure DevOps narzędzie Microsoft Security DevOps CredScan skanuje tylko kompilacje, na których jest skonfigurowany do uruchomienia. W związku z tym wyniki mogą nie odzwierciedlać pełnego stanu wpisów tajnych w repozytoriach. (Brak powiązanych zasad) | High |
(Wersja zapoznawcza) Repozytoria kodu powinny mieć rozpoznane wyniki skanowania dependabot | Usługa Defender for DevOps wykryła luki w zabezpieczeniach w repozytoriach kodu. Aby poprawić stan zabezpieczeń repozytoriów, zdecydowanie zaleca się skorygowanie tych luk w zabezpieczeniach. (Brak powiązanych zasad) | Medium |
(Wersja zapoznawcza) Repozytoria kodu powinny mieć infrastrukturę w miarę rozwiązywania ustaleń skanowania kodu | (Wersja zapoznawcza) Repozytoria kodu powinny mieć infrastrukturę w miarę rozwiązywania ustaleń skanowania kodu | Medium |
(Wersja zapoznawcza) Repozytoria GitHub powinny mieć włączone skanowanie kodu | Usługa GitHub używa skanowania kodu do analizowania kodu w celu znalezienia luk w zabezpieczeniach i błędów w kodzie. Skanowanie kodu może służyć do znajdowania, klasyfikowania i określania priorytetów poprawek istniejących problemów w kodzie. Skanowanie kodu może również uniemożliwić deweloperom wprowadzanie nowych problemów. Skanowania mogą być zaplanowane przez określone dni i godziny lub skanowania mogą być wyzwalane, gdy w repozytorium wystąpi określone zdarzenie, takie jak wypychanie. Jeśli skanowanie kodu wykryje potencjalną lukę w zabezpieczeniach lub błąd w kodzie, usługa GitHub wyświetli alert w repozytorium. Luka w zabezpieczeniach jest problemem w kodzie projektu, który może zostać wykorzystany w celu uszkodzenia poufności, integralności lub dostępności projektu. (Brak powiązanych zasad) | Medium |
(Wersja zapoznawcza) Repozytoria GitHub powinny mieć włączone skanowanie wpisów tajnych | Usługa GitHub skanuje repozytoria pod kątem znanych typów wpisów tajnych, aby zapobiec fałszywemu użyciu wpisów tajnych, które zostały przypadkowo zatwierdzone w repozytoriach. Skanowanie wpisów tajnych spowoduje skanowanie całej historii usługi Git we wszystkich gałęziach znajdujących się w repozytorium GitHub pod kątem wszystkich wpisów tajnych. Przykłady wpisów tajnych to tokeny i klucze prywatne, które dostawca usług może wystawiać na potrzeby uwierzytelniania. Jeśli wpis tajny zostanie zaewidencjonowany w repozytorium, każdy, kto ma dostęp do odczytu do repozytorium, może użyć wpisu tajnego, aby uzyskać dostęp do usługi zewnętrznej z tymi uprawnieniami. Wpisy tajne powinny być przechowywane w dedykowanej, bezpiecznej lokalizacji poza repozytorium projektu. (Brak powiązanych zasad) | High |
(Wersja zapoznawcza) Repozytoria GitHub powinny mieć włączone skanowanie dependabotów | Usługa GitHub wysyła alerty Dependabot, gdy wykrywa luki w zabezpieczeniach zależności kodu, które mają wpływ na repozytoria. Luka w zabezpieczeniach jest problemem w kodzie projektu, który może zostać wykorzystany w celu uszkodzenia poufności, integralności lub dostępności projektu lub innych projektów korzystających z jego kodu. Luki w zabezpieczeniach różnią się w zależności od typu, ważności i metody ataku. Gdy kod zależy od pakietu, który ma lukę w zabezpieczeniach, ta zależność podatna na zagrożenia może spowodować szereg problemów. (Brak powiązanych zasad) | Medium |
Zalecenia usługi Defender for DevOps zastąpiły przestarzały skaner luk w zabezpieczeniach dla przepływów pracy ciągłej integracji/ciągłego wdrażania, które zostały uwzględnione w usłudze Defender for Containers.
Dowiedz się więcej o usłudze Defender for DevOps
Pulpit nawigacyjny zgodności z przepisami obsługuje teraz ręczne zarządzanie kontrolą i szczegółowe informacje na temat stanu zgodności firmy Microsoft
Pulpit nawigacyjny zgodności w usłudze Defender dla Chmury to kluczowe narzędzie dla klientów, które ułatwia im zrozumienie i śledzenie ich stanu zgodności. Klienci mogą stale monitorować środowiska zgodnie z wymaganiami z wielu różnych standardów i przepisów.
Teraz możesz w pełni zarządzać stanem zgodności, ręcznie zaświadczając o działaniach i innych mechanizmach kontroli. Teraz możesz podać dowody zgodności dla mechanizmów kontroli, które nie są zautomatyzowane. Wraz ze zautomatyzowanymi ocenami można teraz wygenerować pełny raport zgodności w wybranym zakresie, odnosząc się do całego zestawu mechanizmów kontroli dla danego standardu.
Ponadto dzięki bogatszym informacjom kontrolnym i dokładniejszym szczegółom oraz dowodzie dotyczącym stanu zgodności firmy Microsoft masz teraz wszystkie informacje wymagane do przeprowadzania inspekcji na wyciągnięcie ręki.
Niektóre z nowych korzyści:
Ręczne akcje klienta zapewniają mechanizm ręcznego zaświadczania zgodności z mechanizmami kontroli nieautomazowanych. W tym możliwość łączenia dowodów, ustaw datę zgodności i datę wygaśnięcia.
Richer control details for supported standards that showcase Microsoft actions and manual customer actions in addition to the already existing automated customer actions.
Akcje firmy Microsoft zapewniają przejrzystość stanu zgodności firmy Microsoft, który obejmuje procedury oceny inspekcji, wyniki testów i odpowiedzi firmy Microsoft na odchylenia.
Compliance offerings provide a central location to check Azure, Dynamics 365, and Power Platform products and their respective regulatory compliance certifications.
Dowiedz się więcej, zapoznając się z artykułem Ulepszanie zgodności z przepisami za pomocą usługi Defender dla Chmury.
Nazwa automatycznego aprowizacji została zmieniona na Ustawienia i monitorowanie i ma zaktualizowane środowisko
Zmieniliśmy nazwę strony Automatyczne aprowizowanie na Ustawienia i monitorowanie.
Automatyczne aprowizowanie miało na celu umożliwienie włączenia na dużą skalę wymagań wstępnych, które są wymagane przez zaawansowane funkcje i możliwości Defender dla Chmury. Aby lepiej obsługiwać nasze rozszerzone możliwości, uruchamiamy nowe środowisko z następującymi zmianami:
Strona planów Defender dla Chmury zawiera teraz następujące elementy:
- Po włączeniu planu usługi Defender, który wymaga składników monitorowania, te składniki są włączone do automatycznej aprowizacji przy użyciu ustawień domyślnych. Te ustawienia można opcjonalnie edytować w dowolnym momencie.
- Dostęp do ustawień składnika monitorowania dla każdego planu usługi Defender można uzyskać na stronie plan usługi Defender.
- Strona planów usługi Defender wyraźnie wskazuje, czy wszystkie składniki monitorowania są dostępne dla każdego planu usługi Defender, czy też pokrycie monitorowania jest niekompletne.
Strona Ustawienia i monitorowanie:
- Każdy składnik monitorowania wskazuje plany usługi Defender, do których jest on powiązany.
Dowiedz się więcej o zarządzaniu ustawieniami monitorowania.
Zarządzanie stanem zabezpieczeń w chmurze w usłudze Defender (CSPM)
Jednym z głównych filarów Microsoft Defender dla Chmury w zakresie zabezpieczeń w chmurze jest zarządzanie stanem zabezpieczeń w chmurze (CSPM). CSPM zapewnia wskazówki dotyczące wzmacniania zabezpieczeń, które pomagają efektywnie i skutecznie poprawić bezpieczeństwo. CSPM zapewnia również wgląd w bieżącą sytuację zabezpieczeń.
Ogłaszamy nowy plan usługi Defender: CSPM w usłudze Defender. Ten plan zwiększa możliwości zabezpieczeń Defender dla Chmury i obejmuje następujące nowe i rozszerzone funkcje:
- Ciągła ocena konfiguracji zabezpieczeń zasobów w chmurze
- Zalecenia dotyczące zabezpieczeń w celu naprawienia błędów konfiguracji i słabych stron
- Secure score
- Governance
- Regulatory compliance
- Wykres zabezpieczeń chmury
- Analiza ścieżki ataku
- Skanowanie bez agenta dla maszyn
Dowiedz się więcej o planie CSPM w usłudze Defender.
Mapowanie struktury MITRE ATT&CK jest teraz dostępne również dla zaleceń dotyczących zabezpieczeń platform AWS i GCP
W przypadku analityków zabezpieczeń niezbędne jest zidentyfikowanie potencjalnych zagrożeń związanych z zaleceniami dotyczącymi zabezpieczeń i zrozumienie wektorów ataków, dzięki czemu mogą efektywnie określać priorytety swoich zadań.
Defender dla Chmury ułatwia ustalanie priorytetów dzięki mapowaniu zaleceń dotyczących zabezpieczeń platformy Azure, AWS i GCP dla platformy MITRE ATT&CK. Struktura MITRE ATT&CK to globalnie dostępna baza wiedzy taktyki i technik przeciwników opartych na rzeczywistych obserwacjach, umożliwiając klientom wzmocnienie bezpiecznej konfiguracji swoich środowisk.
Struktura MITRE ATT&CK jest zintegrowana na trzy sposoby:
- Zalecenia są mapowe na taktykę i techniki MITRE ATT&CK.
- Wykonywanie zapytań dotyczących taktyki i technik MITRE ATT&CK dotyczących zaleceń przy użyciu usługi Azure Resource Graph.
Usługa Defender for Containers obsługuje teraz ocenę luk w zabezpieczeniach dla usługi Elastic Container Registry (wersja zapoznawcza)
Usługa Microsoft Defender for Containers udostępnia teraz skanowanie oceny luk w zabezpieczeniach bez agenta dla usługi Elastic Container Registry (ECR) w usłudze Amazon AWS. Rozszerzenie zasięgu dla środowisk wielochmurowych, opierając się na wydaniu na początku tego roku zaawansowanej ochrony przed zagrożeniami i wzmacniania zabezpieczeń środowiska Kubernetes dla platform AWS i Google GCP. Model bez agenta tworzy zasoby platformy AWS na kontach w celu skanowania obrazów bez wyodrębniania obrazów z kont platformy AWS i bez śladu w obciążeniu.
Skanowanie oceny luk w zabezpieczeniach bez agentów pod kątem obrazów w repozytoriach ECR pomaga zmniejszyć obszar ataków konteneryzowanego majątku przez ciągłe skanowanie obrazów w celu identyfikowania luk w zabezpieczeniach kontenerów i zarządzania nimi. W tej nowej wersji Defender dla Chmury skanuje obrazy kontenerów po wypchnięciu do repozytorium i stale ponownie zapisuje obrazy kontenerów ECR w rejestrze. Wyniki są dostępne w Microsoft Defender dla Chmury jako zalecenia i można użyć wbudowanych zautomatyzowanych przepływów pracy Defender dla Chmury do podjęcia działań na temat wyników, takich jak otwarcie biletu w celu naprawienia luki w zabezpieczeniach o wysokiej ważności na obrazie.
Dowiedz się więcej o ocenie luk w zabezpieczeniach dla obrazów usługi Amazon ECR.
September 2022
Aktualizacje we wrześniu obejmują:
- Pomijanie alertów na podstawie jednostek Container i Kubernetes
- Usługa Defender for Servers obsługuje monitorowanie integralności plików za pomocą agenta usługi Azure Monitor
- Wycofanie starszych interfejsów API ocen
- Dodatkowe zalecenia dodane do tożsamości
- Usunięto alerty zabezpieczeń dla maszyn raportujących między dzierżawami obszarów roboczych usługi Log Analytics
Pomijanie alertów na podstawie jednostek Container i Kubernetes
- Kubernetes Namespace
- Kubernetes Pod
- Kubernetes Secret
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Kubernetes Job
- Kubernetes CronJob
Dowiedz się więcej o regułach pomijania alertów.
Usługa Defender for Servers obsługuje monitorowanie integralności plików za pomocą agenta usługi Azure Monitor
Monitorowanie integralności plików (FIM) sprawdza pliki systemu operacyjnego i rejestry pod kątem zmian, które mogą wskazywać na atak.
Program FIM jest teraz dostępny w nowej wersji opartej na agencie usługi Azure Monitor (AMA), który można wdrożyć za pośrednictwem Defender dla Chmury.
Wycofanie starszych interfejsów API ocen
Następujące interfejsy API są przestarzałe:
- Security Tasks
- Security Statuses
- Security Summaries
These three APIs exposed old formats of assessments and are replaced by the Assessments APIs and SubAssessments APIs. Wszystkie dane udostępniane przez te starsze interfejsy API są również dostępne w nowych interfejsach API.
Dodatkowe zalecenia dodane do tożsamości
Defender dla Chmury zalecenia dotyczące poprawy zarządzania użytkownikami i kontami.
New recommendations
Nowa wersja zawiera następujące możliwości:
Rozszerzony zakres oceny — pokrycie jest ulepszone dla kont tożsamości bez uwierzytelniania wieloskładnikowego i kont zewnętrznych w zasobach platformy Azure (zamiast tylko subskrypcji), co umożliwia administratorom zabezpieczeń wyświetlanie przypisań ról na konto.
Ulepszony interwał aktualności — rekomendacje dotyczące tożsamości mają teraz interwał świeżości wynoszący 12 godzin.
Możliwość wykluczania konta — Defender dla Chmury ma wiele funkcji, których można użyć do dostosowywania środowiska i zapewnienia, że wskaźnik bezpieczeństwa odzwierciedla priorytety zabezpieczeń organizacji. Możesz na przykład wykluczyć zasoby i zalecenia z wskaźnika bezpieczeństwa.
Ta aktualizacja umożliwia wykluczenie określonych kont z oceny z sześciu zaleceń wymienionych w poniższej tabeli.
Zazwyczaj konta awaryjne "break glass" są zwalniane z zaleceń uwierzytelniania wieloskładnikowego, ponieważ takie konta są często celowo wykluczane z wymagań uwierzytelniania wieloskładnikowego organizacji. Alternatywnie możesz mieć konta zewnętrzne, do których chcesz zezwolić na dostęp, do których nie włączono uwierzytelniania wieloskładnikowego.
Tip
Jeśli wykluczysz konto, nie będzie ono wyświetlane jako w złej kondycji, a także nie spowoduje, że subskrypcja będzie wyglądać w złej kondycji.
Recommendation Assessment key Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe 6240402e-f77c-46fa-9060-a7ce53997754 Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe c0cb17b2-0607-48a7-b0e0-903ed22de39b Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć 20606e75-05c4-48c0-9d97-add6daa2109a Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte 050ac097-3dda-4d24-ab6d-82568e7a50cf Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Zalecenia są wyświetlane w wersji zapoznawczej obok zaleceń, które są obecnie dostępne.
Usunięto alerty zabezpieczeń dla maszyn raportujących między dzierżawami obszarów roboczych usługi Log Analytics
W przeszłości Defender dla Chmury umożliwić wybranie obszaru roboczego, do którego będą raportować agenci usługi Log Analytics. Gdy maszyna należała do jednej dzierżawy (dzierżawy A), ale jej agent usługi Log Analytics zgłosił się do obszaru roboczego w innej dzierżawie ("Dzierżawa B"), alerty zabezpieczeń dotyczące maszyny zostały zgłoszone do pierwszej dzierżawy (dzierżawy A).
Dzięki tej zmianie alerty dotyczące maszyn połączonych z obszarem roboczym usługi Log Analytics w innej dzierżawie nie są już wyświetlane w Defender dla Chmury.
Jeśli chcesz nadal otrzymywać alerty w Defender dla Chmury, połącz agenta usługi Log Analytics odpowiednich maszyn z obszarem roboczym w tej samej dzierżawie co maszyna.
Learn more about security alerts.
August 2022
Aktualizacje w sierpniu obejmują:
- Luki w zabezpieczeniach dotyczące uruchamiania obrazów są teraz widoczne w usłudze Defender for Containers w kontenerach systemu Windows
- Integracja agenta usługi Azure Monitor jest teraz dostępna w wersji zapoznawczej
- Przestarzałe alerty maszyny wirtualnej dotyczące podejrzanych działań związanych z klastrem Kubernetes
Luki w zabezpieczeniach dotyczące uruchamiania obrazów są teraz widoczne w usłudze Defender for Containers w kontenerach systemu Windows
Usługa Defender for Containers pokazuje teraz luki w zabezpieczeniach dla uruchomionych kontenerów systemu Windows.
Po wykryciu luk w zabezpieczeniach Defender dla Chmury generuje następujące zalecenie dotyczące zabezpieczeń zawierające listę wykrytych problemów: Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach.
Dowiedz się więcej o wyświetlaniu luk w zabezpieczeniach dla uruchomionych obrazów.
Integracja agenta usługi Azure Monitor jest teraz dostępna w wersji zapoznawczej
Defender dla Chmury teraz obejmuje obsługę wersji zapoznawczejAgent usługi Azure Monitor (AMA). Usługa AMA ma zastąpić starszego agenta usługi Log Analytics (nazywanego również programem Microsoft Monitoring Agent ( MMA), który znajduje się na ścieżce do wycofania. Usługa AMA zapewnia wiele korzyści w przypadku starszych agentów.
W Defender dla Chmury po włączeniu automatycznej aprowizacji dla usługi AMA agent jest wdrażany na istniejących i nowych maszynach wirtualnych i maszynach z obsługą usługi Azure Arc wykrytych w subskrypcjach. Jeśli plany usługi Defenders for Cloud są włączone, usługa AMA zbiera informacje o konfiguracji i dzienniki zdarzeń z maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc. Integracja usługi AMA jest dostępna w wersji zapoznawczej, dlatego zalecamy używanie jej w środowiskach testowych, a nie w środowiskach produkcyjnych.
Przestarzałe alerty maszyny wirtualnej dotyczące podejrzanych działań związanych z klastrem Kubernetes
W poniższej tabeli wymieniono alerty, które zostały przestarzałe:
Alert name | Description | Tactics | Severity |
---|---|---|---|
Wykryto operację kompilacji platformy Docker w węźle Kubernetes (VM_ImageBuildOnNode) |
Dzienniki maszyn wskazują operację kompilacji obrazu kontenera w węźle Kubernetes. Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą lokalnie tworzyć złośliwe obrazy, aby uniknąć wykrywania. | Defense Evasion | Low |
Podejrzane żądanie do interfejsu API platformy Kubernetes (VM_KubernetesAPI) |
Dzienniki maszyn wskazują, że do interfejsu API kubernetes zostało wykonane podejrzane żądanie. Żądanie zostało wysłane z węzła Kubernetes, prawdopodobnie z jednego z kontenerów uruchomionych w węźle. Mimo że takie zachowanie może być zamierzone, może to oznaczać, że węzeł uruchamia kontener, którego bezpieczeństwo zostało naruszone. | LateralMovement | Medium |
Serwer SSH działa wewnątrz kontenera (VM_ContainerSSH) |
Dzienniki maszyn wskazują, że serwer SSH działa wewnątrz kontenera platformy Docker. Chociaż to zachowanie może być zamierzone, często wskazuje, że kontener jest nieprawidłowo skonfigurowany lub naruszony. | Execution | Medium |
Te alerty służą do powiadamiania użytkownika o podejrzanych działaniach połączonych z klastrem Kubernetes. Alerty zostaną zastąpione pasującymi alertami, które są częścią alertów kontenera Microsoft Defender dla Chmury (K8S.NODE_ImageBuildOnNode
K8S.NODE_ KubernetesAPI
i K8S.NODE_ ContainerSSH
), które zapewnią lepszą wierność i kompleksowy kontekst do zbadania alertów i działania na nich. Learn more about alerts for Kubernetes Clusters.
Luki w zabezpieczeniach kontenera zawierają teraz szczegółowe informacje o pakiecie
Narzędzie Defender for Container do oceny luk w zabezpieczeniach (VA) zawiera teraz szczegółowe informacje o pakiecie dla każdego znalezienia, w tym: nazwę pakietu, typ pakietu, ścieżkę, zainstalowaną wersję i stałą wersję. Informacje o pakiecie umożliwiają znalezienie pakietów podatnych na zagrożenia, dzięki czemu można skorygować lukę w zabezpieczeniach lub usunąć pakiet.
Te szczegółowe informacje o pakiecie są dostępne dla nowych skanów obrazów.
July 2022
Aktualizacje w lipcu obejmują:
- Ogólna dostępność agenta zabezpieczeń natywnego dla chmury na potrzeby ochrony środowiska uruchomieniowego platformy Kubernetes
- Narzędzie do oceny luk w zabezpieczeniach kontenera w usłudze Defender dodaje obsługę wykrywania pakietów specyficznych dla języka (wersja zapoznawcza)
- Ochrona przed luką w zabezpieczeniach infrastruktury zarządzania operacjami CVE-2022-29149
- Integracja z zarządzaniem uprawnieniami entra
- Rekomendacje usługi Key Vault zmieniły się na "inspekcja"
- Oznaczanie przestarzałych zasad aplikacji interfejsu API dla usługi App Service
Ogólna dostępność agenta zabezpieczeń natywnego dla chmury na potrzeby ochrony środowiska uruchomieniowego kubernetes
Cieszymy się, że agent zabezpieczeń natywny dla chmury na potrzeby ochrony środowiska uruchomieniowego platformy Kubernetes jest teraz ogólnie dostępny (GA)!
Wdrożenia produkcyjne klastrów Kubernetes nadal rosną, ponieważ klienci nadal konteneryzują swoje aplikacje. Aby pomóc w tym rozwoju, zespół usługi Defender for Containers opracował natywny dla chmury agent zabezpieczeń zorientowany na platformę Kubernetes.
Nowy agent zabezpieczeń to platforma Kubernetes DaemonSet oparta na technologii eBPF i jest w pełni zintegrowana z klastrami AKS w ramach profilu zabezpieczeń usługi AKS.
Włączenie agenta zabezpieczeń jest dostępne za pośrednictwem automatycznego aprowizowania, przepływu zaleceń, usługi AKS RP lub na dużą skalę przy użyciu usługi Azure Policy.
Agenta usługi Defender można wdrożyć już dziś w klastrach usługi AKS.
Dzięki temu ogłoszeniu ochrona środowiska uruchomieniowego — wykrywanie zagrożeń (obciążenie) jest teraz również ogólnie dostępne.
Learn more about the Defender for Container's feature availability.
Możesz również przejrzeć wszystkie dostępne alerty.
Uwaga: jeśli używasz wersji zapoznawczej, flaga AKS-AzureDefender
funkcji nie jest już wymagana.
Narzędzie do oceny luk w zabezpieczeniach kontenera w usłudze Defender dodaje obsługę wykrywania pakietów specyficznych dla języka (wersja zapoznawcza)
Ocena luk w zabezpieczeniach (VA) usługi Defender for Container umożliwia wykrywanie luk w zabezpieczeniach pakietów systemu operacyjnego wdrożonych za pośrednictwem menedżera pakietów systemu operacyjnego. Teraz rozszerzyliśmy możliwości oceny luk w zabezpieczeniach w celu wykrywania luk w zabezpieczeniach zawartych w pakietach specyficznych dla języka.
Ta funkcja jest dostępna w wersji zapoznawczej i jest dostępna tylko dla obrazów systemu Linux.
Aby wyświetlić wszystkie dodane pakiety specyficzne dla języka dołączonego, zapoznaj się z pełną listą funkcji i ich dostępności w usłudze Defender for Container.
Ochrona przed luką w zabezpieczeniach infrastruktury zarządzania operacjami CVE-2022-29149
Infrastruktura OMI (Operations Management Infrastructure) to zbiór usług opartych na chmurze do zarządzania środowiskami lokalnymi i chmurowymi z jednego miejsca. Zamiast wdrażać zasoby lokalne i zarządzać nimi, składniki OMI są całkowicie hostowane na platformie Azure.
Log Analytics integrated with Azure HDInsight running OMI version 13 requires a patch to remediate CVE-2022-29149. Zapoznaj się z raportem dotyczącym tej luki w zabezpieczeniach w przewodniku microsoft Security Update, aby uzyskać informacje na temat identyfikowania zasobów, których dotyczy ta luka w zabezpieczeniach i kroki korygowania.
If you have Defender for Servers enabled with Vulnerability Assessment, you can use this workbook to identify affected resources.
Integracja z zarządzaniem uprawnieniami entra
Defender dla Chmury została zintegrowana z Zarządzanie uprawnieniami Microsoft Entra, rozwiązanie do zarządzania upoważnieniami infrastruktury w chmurze (CIEM), które zapewnia kompleksową widoczność i kontrolę nad uprawnieniami dla dowolnej tożsamości i dowolnego zasobu na platformie Azure, AWS i GCP.
Każda subskrypcja platformy Azure, konto platformy AWS i dołączony projekt GCP będą teraz wyświetlać widok indeksu pełzania uprawnień (PCI).
Dowiedz się więcej o usłudze Entra Permission Management (dawniej Cloudknox)
Rekomendacje usługi Key Vault zmieniły się na "inspekcja"
Efekt zaleceń usługi Key Vault wymienionych tutaj został zmieniony na "inspekcja":
Recommendation name | Recommendation ID |
---|---|
Okres ważności certyfikatów przechowywanych w usłudze Azure Key Vault nie powinien przekraczać 12 miesięcy | fc84abc0-eee6-4758-8372-a7681965ca44 |
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia | 14257785-9437-97fa-11ae-898cfb24302b |
Klucze usługi Key Vault powinny mieć datę wygaśnięcia | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Oznaczanie przestarzałych zasad aplikacji interfejsu API dla usługi App Service
Wycofaliśmy następujące zasady z odpowiednimi zasadami, które już istnieją w celu uwzględnienia aplikacji interfejsu API:
Aby być przestarzałym | Changing to |
---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
June 2022
Aktualizacje w czerwcu obejmują:
- Ogólna dostępność dla usługi Microsoft Defender dla usługi Azure Cosmos DB
- Ogólna dostępność usługi Defender for SQL na maszynach dla środowisk AWS i GCP
- Wspieranie implementacji zaleceń dotyczących zabezpieczeń w celu zwiększenia poziomu zabezpieczeń
- Filtrowanie alertów zabezpieczeń według adresu IP
- Alerty według grupy zasobów
- Automatyczne aprowizowanie rozwiązania ujednoliconego Ochrona punktu końcowego w usłudze Microsoft Defender
- Oznaczanie zasad "Aplikacja interfejsu API powinna być dostępna tylko za pośrednictwem protokołu HTTPS"
- Nowe alerty usługi Key Vault
Ogólna dostępność dla usługi Microsoft Defender dla usługi Azure Cosmos DB
Usługa Microsoft Defender dla usługi Azure Cosmos DB jest teraz ogólnie dostępna i obsługuje typy kont interfejsu API SQL (core).
Ta nowa wersja ogólnie dostępna jest częścią pakietu ochrony bazy danych Microsoft Defender dla Chmury, który obejmuje różne typy baz danych SQL i MariaDB. Usługa Microsoft Defender dla usługi Azure Cosmos DB to natywna warstwa zabezpieczeń platformy Azure, która wykrywa próby wykorzystania baz danych na kontach usługi Azure Cosmos DB.
Po włączeniu tego planu otrzymasz alert o potencjalnych wstrzyknięciach kodu SQL, znanych złych podmiotach, podejrzanych wzorcach dostępu i potencjalnych eksploracjach bazy danych za pośrednictwem tożsamości z naruszonymi naruszeniami lub złośliwych testerów.
Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty zawierają szczegółowe informacje o podejrzanych działaniach wraz z odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń.
Usługa Microsoft Defender dla usługi Azure Cosmos DB stale analizuje strumień danych telemetrycznych generowany przez usługi Azure Cosmos DB i przechodzi przez nie za pomocą funkcji Microsoft Threat Intelligence i modeli behawioralnych w celu wykrycia wszelkich podejrzanych działań. Usługa Defender dla usługi Azure Cosmos DB nie uzyskuje dostępu do danych konta usługi Azure Cosmos DB i nie ma żadnego wpływu na wydajność bazy danych.
Dowiedz się więcej o usłudze Microsoft Defender dla usługi Azure Cosmos DB.
Dzięki dodaniu obsługi usługi Azure Cosmos DB Defender dla Chmury teraz zapewnia jedną z najbardziej kompleksowych ofert ochrony obciążeń dla baz danych opartych na chmurze. Zespoły ds. zabezpieczeń i właściciele baz danych mogą teraz mieć scentralizowane środowisko do zarządzania zabezpieczeniami bazy danych w swoich środowiskach.
Learn how to enable protections for your databases.
Ogólna dostępność usługi Defender for SQL na maszynach dla środowisk AWS i GCP
Funkcje ochrony bazy danych zapewniane przez Microsoft Defender dla Chmury dodano obsługę serwerów SQL hostowanych w środowiskach AWS lub GCP.
Usługa Defender for SQL, przedsiębiorstwa mogą teraz chronić całą swoją majątek bazy danych, hostowaną na platformie Azure, w usługach AWS, GCP i na maszynach lokalnych.
Usługa Microsoft Defender for SQL zapewnia ujednolicone środowisko wielochmurowe umożliwiające wyświetlanie zaleceń dotyczących zabezpieczeń, alertów zabezpieczeń i wyników oceny luk w zabezpieczeniach zarówno dla serwera SQL, jak i podkreślenia systemu operacyjnego Windows.
Korzystając ze środowiska dołączania wielochmurowego, można włączyć i wymusić ochronę baz danych dla serwerów SQL działających na platformie AWS EC2, usług pulpitu zdalnego niestandardowego dla programu SQL Server i aparatu obliczeniowego GCP. Po włączeniu jednego z tych planów wszystkie obsługiwane zasoby, które istnieją w ramach subskrypcji, są chronione. Przyszłe zasoby utworzone w ramach tej samej subskrypcji również będą chronione.
Learn how to protect and connect your AWS environment and your GCP organization with Microsoft Defender for Cloud.
Wspieranie implementacji zaleceń dotyczących zabezpieczeń w celu zwiększenia poziomu zabezpieczeń
Dzisiejsze rosnące zagrożenia dla organizacji rozciągają limity pracowników ds. zabezpieczeń, aby chronić swoje rosnące obciążenia. Zespoły ds. zabezpieczeń są kwestionowane w celu zaimplementowania ochrony zdefiniowanych w zasadach zabezpieczeń.
Teraz dzięki środowisku ładu w wersji zapoznawczej zespoły ds. zabezpieczeń mogą przypisywać rekomendacje dotyczące zabezpieczeń do właścicieli zasobów i wymagać harmonogramu korygowania. Mogą one mieć pełną przejrzystość postępu korygowania i otrzymywać powiadomienia, gdy zadania są zaległe.
Dowiedz się więcej o środowisku zapewniania ładu w temacie Ułatwianie organizacji korygowania problemów z zabezpieczeniami za pomocą rekomendacji dotyczących ładu.
Filtrowanie alertów zabezpieczeń według adresu IP
W wielu przypadkach ataków chcesz śledzić alerty na podstawie adresu IP jednostki zaangażowanej w atak. Do tej pory adres IP pojawił się tylko w sekcji "Powiązane jednostki" w okienku pojedynczego alertu. Teraz możesz filtrować alerty na stronie alertów zabezpieczeń, aby wyświetlić alerty związane z adresem IP i wyszukać określony adres IP.
Alerty według grupy zasobów
Możliwość filtrowania, sortowania i grupowania według grupy zasobów jest dodawana do strony Alerty zabezpieczeń.
Kolumna grupy zasobów jest dodawana do siatki alertów.
Dodano nowy filtr, który umożliwia wyświetlanie wszystkich alertów dla określonych grup zasobów.
Możesz teraz również grupować alerty według grupy zasobów, aby wyświetlić wszystkie alerty dla każdej grupy zasobów.
Automatyczne aprowizowanie rozwiązania ujednoliconego Ochrona punktu końcowego w usłudze Microsoft Defender
Do tej pory integracja z usługą Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) obejmowała automatyczną instalację nowego ujednoliconego rozwiązania MDE dla maszyn (subskrypcji platformy Azure i łączników wielochmurowych) z włączoną usługą Defender for Servers (plan 1) oraz w przypadku łączników wielochmurowych z włączoną usługą Defender for Servers (plan 2). Plan 2 dla subskrypcji platformy Azure włączył ujednolicone rozwiązanie tylko dla maszyn z systemem Linux i serwerów z systemem Windows 2019 i 2022. Serwery z systemem Windows 2012R2 i 2016 używały starszego rozwiązania MDE zależnego od agenta usługi Log Analytics.
Teraz nowe ujednolicone rozwiązanie jest dostępne dla wszystkich maszyn w obu planach zarówno dla subskrypcji platformy Azure, jak i łączników wielochmurowych. For Azure subscriptions with Servers Plan 2 that enabled MDE integration after June 20, 2022, the unified solution is enabled by default for all machines Azure subscriptions with the Defender for Servers Plan 2 enabled with MDE integration before June 20, 2022 can now enable unified solution installation for Windows servers 2012R2 and 2016 through the dedicated button in the Integrations page:
Dowiedz się więcej o integracji rozwiązania MDE z usługą Defender for Servers.
Oznaczanie zasad "Aplikacja interfejsu API powinna być dostępna tylko za pośrednictwem protokołu HTTPS"
Zasady API App should only be accessible over HTTPS
są przestarzałe. Te zasady są zastępowane zasadami Web Application should only be accessible over HTTPS
, których nazwa została zmieniona na App Service apps should only be accessible over HTTPS
.
Aby dowiedzieć się więcej na temat definicji zasad dla usługi aplikacja systemu Azure, zobacz Wbudowane definicje usługi Azure Policy dla usługi aplikacja systemu Azure Service.
Nowe alerty usługi Key Vault
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Microsoft Defender dla usługi Key Vault, dodaliśmy dwa nowe alerty.
Te alerty informują o anomalii odmowy dostępu, są wykrywane dla dowolnego magazynu kluczy.
Alert (typ alertu) | Description | MITRE tactics | Severity |
---|---|---|---|
Odmowa nietypowego dostępu — odmowa dostępu użytkownika do dużej liczby magazynów kluczy (KV_DeniedAccountVolumeAnomaly) |
Użytkownik lub jednostka usługi próbowała uzyskać dostęp do nietypowo dużej liczby magazynów kluczy w ciągu ostatnich 24 godzin. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Mimo że ta próba zakończyła się niepowodzeniem, może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania. | Discovery | Low |
Odmowa nietypowego dostępu — nietypowy użytkownik, który uzyskuje dostęp do magazynu kluczy (KV_UserAccessDeniedAnomaly) |
Próba uzyskania dostępu do magazynu kluczy została podjęta przez użytkownika, który zwykle nie uzyskuje do niego dostępu. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Mimo że ta próba zakończyła się niepowodzeniem, może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. | Dostęp początkowy, odnajdywanie | Low |
May 2022
Aktualizacje w maju obejmują:
- Ustawienia wielochmurowe planu serwerów są teraz dostępne na poziomie łącznika
- Dostęp JIT (just in time) dla maszyn wirtualnych jest teraz dostępny dla wystąpień usługi AWS EC2 (wersja zapoznawcza)
- Dodawanie i usuwanie czujnika usługi Defender dla klastrów usługi AKS przy użyciu interfejsu wiersza polecenia
Ustawienia wielochmurowe planu serwerów są teraz dostępne na poziomie łącznika
Istnieją teraz ustawienia na poziomie łącznika dla usługi Defender dla serwerów w wielu chmurach.
Nowe ustawienia na poziomie łącznika zapewniają stopień szczegółowości cen i automatycznej aprowizacji konfiguracji dla łącznika niezależnie od subskrypcji.
Wszystkie składniki automatycznego aprowizowania dostępne na poziomie łącznika (Azure Arc, MDE i oceny luk w zabezpieczeniach) są domyślnie włączone, a nowa konfiguracja obsługuje warstwy cenowe Plan 1 i Plan 2.
Aktualizacje w interfejsie użytkownika obejmują odbicie wybranej warstwy cenowej i skonfigurowanych wymaganych składników.
Zmiany oceny luk w zabezpieczeniach
Usługa Defender for Containers wyświetla teraz luki w zabezpieczeniach, które mają średnie i niskie ważności, które nie są możliwe do stosowania poprawek.
W ramach tej aktualizacji są teraz wyświetlane luki w zabezpieczeniach o średnich i niskich ważnościach, niezależnie od tego, czy są dostępne poprawki. Ta aktualizacja zapewnia maksymalną widoczność, ale nadal umożliwia filtrowanie niepożądanych luk w zabezpieczeniach przy użyciu podanej reguły Wyłącz.
Learn more about vulnerability management
Dostęp JIT (just in time) dla maszyn wirtualnych jest teraz dostępny dla wystąpień usługi AWS EC2 (wersja zapoznawcza)
Po połączeniu kont platformy AWS funkcja JIT automatycznie oceni konfigurację sieci grup zabezpieczeń wystąpienia i zaleci, które wystąpienia wymagają ochrony dla ich uwidocznionych portów zarządzania. Jest to podobne do sposobu działania JIT z platformą Azure. Po dołączeniu niechronionych wystąpień usługi EC2 dostęp JIT będzie blokował publiczny dostęp do portów zarządzania i otwierał je tylko z autoryzowanymi żądaniami przez ograniczony czas.
Dowiedz się, jak usługa JIT chroni wystąpienia usługi AWS EC2
Dodawanie i usuwanie czujnika usługi Defender dla klastrów usługi AKS przy użyciu interfejsu wiersza polecenia
The Defender agent is required for Defender for Containers to provide the runtime protections and collects signals from nodes. Teraz możesz użyć interfejsu wiersza polecenia platformy Azure, aby dodać i usunąć agenta usługi Defender dla klastra usługi AKS.
Note
Ta opcja jest dostępna w interfejsie wiersza polecenia platformy Azure w wersji 3.7 lub nowszej.
April 2022
Aktualizacje w kwietniu obejmują:
- Nowe plany usługi Defender for Servers
- Relokacja niestandardowych zaleceń
- Skrypt programu PowerShell do przesyłania strumieniowego alertów do splunk i QRadar
- Zalecenie dotyczące przestarzałej pamięci podręcznej Azure Cache for Redis
- Nowy wariant alertu dla usługi Microsoft Defender for Storage (wersja zapoznawcza) w celu wykrywania ujawnienia poufnych danych
- Tytuł alertu skanowania kontenera rozszerzony o reputację adresu IP
- Wyświetlanie dzienników aktywności związanych z alertem zabezpieczeń
Nowe plany usługi Defender for Servers
Usługa Microsoft Defender dla serwerów jest teraz oferowana w dwóch planach przyrostowych:
- Defender for Servers (plan 2) — wcześniej Defender for Servers
- Usługa Defender for Servers (plan 1) zapewnia obsługę tylko Ochrona punktu końcowego w usłudze Microsoft Defender
Usługa Defender for Servers (plan 2) nadal zapewnia ochronę przed zagrożeniami i lukami w zabezpieczeniach do obciążeń w chmurze i lokalnych, jednak usługa Defender for Servers (plan 1) zapewnia ochronę punktu końcowego obsługiwaną przez natywnie zintegrowaną usługę Defender for Endpoint. Przeczytaj więcej o planach usługi Defender for Servers.
Jeśli do tej pory używasz usługi Defender for Servers, nie jest wymagana żadna akcja.
Ponadto Defender dla Chmury również rozpoczyna stopniowe wsparcie dla ujednoliconego agenta usługi Defender for Endpoint dla systemu Windows Server 2012 R2 i 2016. Usługa Defender for Servers (plan 1) wdraża nowego ujednoliconego agenta w obciążeniach systemu Windows Server 2012 R2 i 2016.
Relokacja niestandardowych zaleceń
Rekomendacje niestandardowe są tworzone przez użytkowników i nie mają wpływu na wskaźnik bezpieczeństwa. Zalecenia niestandardowe można teraz znaleźć na karcie Wszystkie zalecenia.
Użyj nowego filtru "typ rekomendacji", aby zlokalizować zalecenia niestandardowe.
Dowiedz się więcej w temacie Tworzenie niestandardowych inicjatyw i zasad zabezpieczeń.
Skrypt programu PowerShell do przesyłania strumieniowego alertów do rozwiązania Splunk i IBM QRadar
Zalecamy używanie usługi Event Hubs i wbudowanego łącznika do eksportowania alertów zabezpieczeń do rozwiązania Splunk i IBM QRadar. Teraz możesz użyć skryptu programu PowerShell, aby skonfigurować zasoby platformy Azure potrzebne do wyeksportowania alertów zabezpieczeń dla subskrypcji lub dzierżawy.
Wystarczy pobrać i uruchomić skrypt programu PowerShell. Po podaniu kilku szczegółów środowiska skrypt konfiguruje zasoby. Następnie skrypt generuje dane wyjściowe używane na platformie SIEM do ukończenia integracji.
Aby dowiedzieć się więcej, zobacz Stream alerts to Splunk and QRadar (Alerty usługi Stream do rozwiązania Splunk i QRadar).
Zalecenie dotyczące przestarzałej pamięci podręcznej Azure Cache for Redis
Zalecenie Azure Cache for Redis should reside within a virtual network
(wersja zapoznawcza) jest przestarzałe. Zmieniliśmy nasze wskazówki dotyczące zabezpieczania wystąpień usługi Azure Cache for Redis. Zalecamy użycie prywatnego punktu końcowego w celu ograniczenia dostępu do wystąpienia usługi Azure Cache for Redis zamiast sieci wirtualnej.
Nowy wariant alertu dla usługi Microsoft Defender for Storage (wersja zapoznawcza) w celu wykrywania ujawnienia poufnych danych
Alerty usługi Microsoft Defender for Storage powiadamiają Cię, gdy aktorzy zagrożeń próbują skanować i ujawniać, pomyślnie lub nie, nieprawidłowo skonfigurowane, publicznie otwierać kontenery magazynu, aby spróbować eksfiltrować poufne informacje.
Aby umożliwić szybsze klasyfikowanie i czas odpowiedzi, po wystąpieniu potencjalnie poufnych danych mogliśmy opublikować nową odmianę istniejącego Publicly accessible storage containers have been exposed
alertu.
Nowy alert , Publicly accessible storage containers with potentially sensitive data have been exposed
jest wyzwalany z High
poziomem ważności, po pomyślnym odnalezieniu publicznie otwartych kontenerów magazynu o nazwach, które statystycznie zostały ujawnione publicznie, co sugeruje, że mogą przechowywać poufne informacje.
Alert (typ alertu) | Description | MITRE tactic | Severity |
---|---|---|---|
WERSJA ZAPOZNAWCZA — ujawniono publicznie dostępne kontenery magazynu z potencjalnie poufnymi danymi (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Ktoś przeskanował konto usługi Azure Storage i uwidocznił kontenery, które zezwalają na dostęp publiczny. Co najmniej jeden z uwidocznionych kontenerów ma nazwy wskazujące, że mogą zawierać poufne dane. Zwykle oznacza to rekonesans przez aktora zagrożeń, który skanuje pod kątem nieprawidłowo skonfigurowanych publicznie dostępnych kontenerów magazynu, które mogą zawierać poufne dane. Po pomyślnym odnalezieniu kontenera przez aktora zagrożeń mogą one kontynuować, eksfiltrując dane. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Tytuł alertu skanowania kontenera rozszerzony o reputację adresu IP
Reputacja adresu IP może wskazywać, czy działanie skanowania pochodzi od znanego aktora zagrożenia, czy też od aktora, który używa sieci Tor do ukrycia swojej tożsamości. Oba te wskaźniki sugerują, że istnieje złośliwa intencja. Reputacja adresu IP jest dostarczana przez usługę Microsoft Threat Intelligence.
Dodanie reputacji adresu IP do tytułu alertu umożliwia szybką ocenę intencji aktora, a tym samym ważność zagrożenia.
Następujące alerty będą zawierać następujące informacje:
Publicly accessible storage containers have been exposed
Publicly accessible storage containers with potentially sensitive data have been exposed
Publicly accessible storage containers have been scanned. No publicly accessible data was discovered
Na przykład dodane informacje do tytułu alertu Publicly accessible storage containers have been exposed
będą wyglądać następująco:
Publicly accessible storage containers have been exposed
by a suspicious IP address
Publicly accessible storage containers have been exposed
by a Tor exit node
Wszystkie alerty usługi Microsoft Defender for Storage będą nadal zawierać informacje analizy zagrożeń w jednostce IP w sekcji Powiązane jednostki alertu.
Wyświetlanie dzienników aktywności związanych z alertem zabezpieczeń
W ramach akcji, które można wykonać, aby ocenić alert zabezpieczeń, możesz znaleźć powiązane dzienniki platformy w obszarze Inspekcja kontekstu zasobu, aby uzyskać kontekst dotyczący zasobu, którego dotyczy problem. Microsoft Defender dla Chmury identyfikuje dzienniki platformy, które znajdują się w ciągu jednego dnia alertu.
Dzienniki platformy mogą pomóc ocenić zagrożenie bezpieczeństwa i zidentyfikować kroki, które można wykonać, aby ograniczyć zidentyfikowane ryzyko.
March 2022
Aktualizacje w marcu obejmują:
- Globalna dostępność wskaźnika bezpieczeństwa dla środowisk AWS i GCP
- Przestarzałe zalecenia dotyczące instalowania agenta zbierania danych ruchu sieciowego
- Usługa Defender for Containers może teraz skanować pod kątem luk w zabezpieczeniach obrazów systemu Windows (wersja zapoznawcza)
- Nowy alert dla usługi Microsoft Defender for Storage (wersja zapoznawcza)
- Konfigurowanie ustawień powiadomień e-mail z alertu
- Przestarzały alert w wersji zapoznawczej: ARM. MCAS_ActivityFromAnonymousIPAddresses
- Przeniesiono rekomendację Luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera powinny zostać skorygowane z wskaźnika bezpieczeństwa do najlepszych rozwiązań
- Przestarzałe zalecenie dotyczące używania jednostek usługi do ochrony subskrypcji
- Starsza implementacja iso 27001 została zastąpiona nową inicjatywą ISO 27001:2013
- Przestarzałe zalecenia dotyczące urządzeń w usłudze Microsoft Defender dla IoT
- Przestarzałe alerty dotyczące urządzeń usługi Microsoft Defender dla IoT
- Zarządzanie stanem i ochrona przed zagrożeniami dla platform AWS i GCP wydane w celu zapewnienia ogólnej dostępności
- Skanowanie rejestru pod kątem obrazów systemu Windows w usłudze ACR dodano obsługę chmur krajowych
Globalna dostępność wskaźnika bezpieczeństwa dla środowisk AWS i GCP
Funkcje zarządzania stanem zabezpieczeń w chmurze zapewniane przez Microsoft Defender dla Chmury dodano obsługę środowisk AWS i GCP w ramach wskaźnika bezpieczeństwa.
Przedsiębiorstwa mogą teraz wyświetlać ogólny stan zabezpieczeń w różnych środowiskach, takich jak Azure, AWS i GCP.
Strona Wskaźnik bezpieczeństwa jest zastępowana pulpitem nawigacyjnym Stan zabezpieczeń. Pulpit nawigacyjny Stan zabezpieczeń umożliwia wyświetlenie ogólnego połączonego wyniku dla wszystkich środowisk lub podział stanu zabezpieczeń w oparciu o dowolną kombinację wybranego środowiska.
Strona Zalecenia została również przeprojektowana w celu zapewnienia nowych możliwości, takich jak wybór środowiska w chmurze, zaawansowane filtry oparte na zawartości (grupa zasobów, konto PLATFORMy AWS, projekt GCP i inne), ulepszony interfejs użytkownika w niskiej rozdzielczości, obsługa otwierania zapytania w grafie zasobów i nie tylko. You can learn more about your overall security posture and security recommendations.
Przestarzałe zalecenia dotyczące instalowania agenta zbierania danych ruchu sieciowego
Zmiany w harmonogramie działania i priorytetach usunęły potrzebę agenta zbierania danych ruchu sieciowego. Następujące dwa zalecenia i powiązane z nimi zasady zostały wycofane.
Recommendation | Description | Severity |
---|---|---|
Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Defender dla Chmury używa agenta Zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, zalecenia dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | Medium |
Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Defender dla Chmury używa agenta Microsoft Dependency Agent do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, zalecenia dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | Medium |
Usługa Defender for Containers może teraz skanować pod kątem luk w zabezpieczeniach obrazów systemu Windows (wersja zapoznawcza)
Skanowanie obrazów usługi Defender for Container obsługuje teraz obrazy systemu Windows hostowane w usłudze Azure Container Registry. Ta funkcja jest bezpłatna w wersji zapoznawczej i wiąże się z kosztami, gdy stanie się ogólnie dostępna.
Dowiedz się więcej w artykule Używanie usługi Microsoft Defender dla kontenera do skanowania obrazów pod kątem luk w zabezpieczeniach.
Nowy alert dla usługi Microsoft Defender for Storage (wersja zapoznawcza)
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Microsoft Defender for Storage, dodaliśmy nowy alert w wersji zapoznawczej.
Aktorzy zagrożeń używają aplikacji i narzędzi do odnajdywania kont magazynu i uzyskiwania do nich dostępu. Usługa Microsoft Defender for Storage wykrywa te aplikacje i narzędzia, dzięki czemu można je zablokować i skorygować stan.
Ten alert w wersji zapoznawczej nosi nazwę Access from a suspicious application
. Alert dotyczy tylko usługi Azure Blob Storage i USŁUGI ADLS Gen2.
Alert (typ alertu) | Description | MITRE tactic | Severity |
---|---|---|---|
WERSJA ZAPOZNAWCZA — dostęp z podejrzanej aplikacji (Storage.Blob_SuspiciousApp) |
Wskazuje, że podejrzana aplikacja pomyślnie uzyskała dostęp do kontenera konta magazynu z uwierzytelnianiem. Może to oznaczać, że osoba atakująca uzyskała poświadczenia niezbędne do uzyskania dostępu do konta i wykorzystuje je. Może to być również wskazanie testu penetracyjnego przeprowadzonego w organizacji. Dotyczy: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Initial Access | Medium |
Konfigurowanie ustawień powiadomień e-mail z alertu
Do interfejsu użytkownika alertu dodano nową sekcję, która umożliwia wyświetlanie i edytowanie osób, które będą otrzymywać powiadomienia e-mail o alertach wyzwalanych w bieżącej subskrypcji.
Dowiedz się, jak skonfigurować powiadomienia e-mail dotyczące alertów zabezpieczeń.
Przestarzały alert w wersji zapoznawczej: ARM. MCAS_ActivityFromAnonymousIPAddresses
Następujący alert w wersji zapoznawczej jest przestarzały:
Alert name | Description |
---|---|
WERSJA ZAPOZNAWCZA — działanie z ryzykownego adresu IP (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Wykryto aktywność użytkowników z adresu IP, który został zidentyfikowany jako anonimowy adres IP serwera proxy. Te serwery proxy są używane przez osoby, które chcą ukryć adres IP urządzenia i mogą być używane do złośliwych intencji. To wykrywanie używa algorytmu uczenia maszynowego, który zmniejsza liczbę wyników fałszywie dodatnich, takich jak nieprawidłowo oznakowane adresy IP, które są powszechnie używane przez użytkowników w organizacji. Wymaga aktywnej licencji Microsoft Defender dla Chmury Apps. |
Utworzono nowy alert zawierający te informacje i dodany do niego. Ponadto nowsze alerty (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) nie wymagają licencji dla usługi Microsoft Defender dla Chmury Apps (wcześniej znanej jako Microsoft Cloud App Security).
See more alerts for Resource Manager.
Przeniesiono rekomendację Luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera powinny zostać skorygowane z wskaźnika bezpieczeństwa do najlepszych rozwiązań
Zalecenie Vulnerabilities in container security configurations should be remediated
zostało przeniesione z sekcji wskaźnik bezpieczeństwa do sekcji najlepszych rozwiązań.
Bieżące środowisko użytkownika zapewnia wynik tylko wtedy, gdy wszystkie testy zgodności zostały pomyślnie. Większość klientów ma trudności ze spełnieniem wszystkich wymaganych kontroli. Pracujemy nad ulepszonym środowiskiem dla tego zalecenia, a po wydaniu zalecenia zostaną przeniesione z powrotem do wskaźnika bezpieczeństwa.
Przestarzałe zalecenie dotyczące używania jednostek usługi do ochrony subskrypcji
Ponieważ organizacje odchodzą od używania certyfikatów zarządzania do zarządzania subskrypcjami, a nasze ostatnie ogłoszenie, że przechodzimy na emeryturę modelu wdrażania usług Cloud Services (wersja klasyczna), wycofaliśmy następujące rekomendacje Defender dla Chmury i powiązane z nią zasady:
Recommendation | Description | Severity |
---|---|---|
Jednostki usługi powinny służyć do ochrony subskrypcji zamiast certyfikatów zarządzania | Certyfikaty zarządzania umożliwiają wszystkim osobom uwierzytelniającym się w celu zarządzania subskrypcjami, z którymi są skojarzone. Aby bezpieczniej zarządzać subskrypcjami, zaleca się użycie jednostek usługi z usługą Resource Manager w celu ograniczenia promienia wybuchu w przypadku naruszenia zabezpieczeń certyfikatu. Automatyzuje również zarządzanie zasobami. (Powiązane zasady: Jednostki usługi powinny być używane do ochrony subskrypcji zamiast certyfikatów zarządzania) |
Medium |
Learn more:
- Model wdrażania usług Cloud Services (klasyczny) zostanie wycofany 31 sierpnia 2024 r.
- Omówienie usług Azure Cloud Services (wersja klasyczna)
- Przepływ pracy klasycznej architektury maszyny wirtualnej platformy Microsoft Azure — w tym podstawy przepływu pracy rdFE
Starsza implementacja iso 27001 została zastąpiona nową inicjatywą ISO 27001:2013
Starsza implementacja standardu ISO 27001 została usunięta z pulpitu nawigacyjnego zgodności z przepisami Defender dla Chmury. Jeśli śledzisz zgodność iso 27001 z Defender dla Chmury, dołącz nowy standard ISO 27001:2013 dla wszystkich odpowiednich grup zarządzania lub subskrypcji.
Przestarzałe zalecenia dotyczące urządzeń w usłudze Microsoft Defender dla IoT
Zalecenia dotyczące urządzeń w usłudze Microsoft Defender dla IoT nie są już widoczne w Microsoft Defender dla Chmury. Te zalecenia są nadal dostępne na stronie Rekomendacje usługi Microsoft Defender for IoT.
Następujące zalecenia są przestarzałe:
Assessment key | Recommendations |
---|---|
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Urządzenia IoT | Otwieranie portów na urządzeniu |
ba975338-f956-41e7-a9f2-7614832d382d: Urządzenia IoT | Znaleziono regułę zapory permissive w łańcuchu danych wejściowych |
beb62be3-5e78-49bd-ac5f-099250ef3c7c: Urządzenia IoT | Znaleziono zasady zapory permissive w jednym z łańcuchów |
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Urządzenia IoT | Znaleziono regułę zapory permissive w łańcuchu danych wyjściowych |
5f65e47f-7a00-4bf3-acae-90ee441ee876: Urządzenia IoT | Niepowodzenie weryfikacji punktu odniesienia systemu operacyjnego |
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Urządzenia IoT | Agent wysyłający nie w pełni wykorzystywane komunikaty |
2acc27c6-5fdb-405e-9080-cb66b850c8f5: Urządzenia IoT | Wymagane jest uaktualnienie pakietu szyfrowania TLS |
d74d2738-2485-4103-9919-69c7e63776ec: Urządzenia IoT |
Auditd proces przestał wysyłać zdarzenia |
Przestarzałe alerty dotyczące urządzeń usługi Microsoft Defender dla IoT
Wszystkie alerty urządzeń usługi Defender for IoT firmy Microsoft nie są już widoczne w Microsoft Defender dla Chmury. Te alerty są nadal dostępne na stronie Alert usługi Microsoft Defender for IoT i w usłudze Microsoft Sentinel.
Zarządzanie stanem i ochrona przed zagrożeniami dla platform AWS i GCP wydane w celu zapewnienia ogólnej dostępności
Defender dla Chmury funkcje CSPM rozszerzają się na zasoby platform AWS i GCP. Ten plan bez agenta ocenia zasoby wielochmurowe zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla chmury, które są uwzględnione w wskaźniku bezpieczeństwa. Zasoby są oceniane pod kątem zgodności przy użyciu wbudowanych standardów. strona spisu zasobów Defender dla Chmury to funkcja z obsługą wielu chmur, która umożliwia zarządzanie zasobami platformy AWS obok zasobów platformy Azure.
Usługa Microsoft Defender for Servers zapewnia wykrywanie zagrożeń i zaawansowane zabezpieczenia wystąpień obliczeniowych na platformach AWS i GCP. Plan usługi Defender for Servers obejmuje zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender, skanowanie w celu oceny luk w zabezpieczeniach i nie tylko. Dowiedz się więcej o wszystkich obsługiwanych funkcjach dla maszyn wirtualnych i serwerów. Funkcje automatycznego dołączania umożliwiają łatwe łączenie wszystkich istniejących lub nowych wystąpień obliczeniowych odnalezionych w danym środowisku.
Learn how to protect and connect your AWS environment and GCP organization with Microsoft Defender for Cloud.
Skanowanie rejestru pod kątem obrazów systemu Windows w usłudze ACR dodano obsługę chmur krajowych
Skanowanie rejestru pod kątem obrazów systemu Windows jest teraz obsługiwane w usługach Azure Government i Microsoft Azure obsługiwanych przez firmę 21Vianet. Ten dodatek jest obecnie w wersji zapoznawczej.
Learn more about our feature's availability.
February 2022
Aktualizacje w lutym obejmują:
- Ochrona obciążenia kubernetes dla klastrów Kubernetes z obsługą usługi Arc
- Natywny CSPM dla GCP i ochrony przed zagrożeniami dla wystąpień obliczeniowych GCP
- Plan usługi Microsoft Defender dla usługi Azure Cosmos DB wydany w wersji zapoznawczej
- Ochrona przed zagrożeniami dla klastrów google Kubernetes Engine (GKE)
Ochrona obciążenia kubernetes dla klastrów Kubernetes z obsługą usługi Arc
Usługa Defender for Containers wcześniej chroniła tylko obciążenia Kubernetes uruchomione w usłudze Azure Kubernetes Service. Teraz rozszerzyliśmy pokrycie ochronne, aby uwzględnić klastry Kubernetes z włączoną usługą Azure Arc.
Dowiedz się, jak skonfigurować ochronę obciążenia platformy Kubernetes dla klastrów Kubernetes z obsługą usług AKS i Azure Arc.
Natywny CSPM dla GCP i ochrony przed zagrożeniami dla wystąpień obliczeniowych GCP
Nowe automatyczne dołączanie środowisk GCP umożliwia ochronę obciążeń GCP przy użyciu Microsoft Defender dla Chmury. Defender dla Chmury chroni zasoby przy użyciu następujących planów:
Defender dla Chmury funkcje CSPM rozszerzają się na zasoby GCP. Ten plan bez agenta ocenia zasoby GCP zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla platformy GCP, które są dostarczane z Defender dla Chmury. Zalecenia GCP są uwzględniane w wskaźniku bezpieczeństwa, a zasoby zostaną ocenione pod kątem zgodności z wbudowanym standardem GCP CIS. strona spisu zasobów Defender dla Chmury to funkcja z obsługą wielu chmur, która ułatwia zarządzanie zasobami na platformie Azure, AWS i GCP.
Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowane zabezpieczenia wystąpień obliczeniowych GCP. Ten plan obejmuje zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender, skanowanie w celu oceny luk w zabezpieczeniach i nie tylko.
Aby uzyskać pełną listę dostępnych funkcji, zobacz Obsługiwane funkcje dla maszyn wirtualnych i serwerów. Automatyczne możliwości dołączania umożliwiają łatwe łączenie wszystkich istniejących i nowych wystąpień obliczeniowych odnalezionych w danym środowisku.
Dowiedz się, jak chronić i łączyć projekty GCP za pomocą Microsoft Defender dla Chmury.
Plan usługi Microsoft Defender dla usługi Azure Cosmos DB wydany w wersji zapoznawczej
Rozszerzyliśmy pokrycie bazy danych Microsoft Defender dla Chmury. Teraz możesz włączyć ochronę baz danych usługi Azure Cosmos DB.
Usługa Microsoft Defender dla usługi Azure Cosmos DB to natywna dla platformy Azure warstwa zabezpieczeń, która wykrywa wszelkie próby wykorzystania baz danych na kontach usługi Azure Cosmos DB. Usługa Microsoft Defender dla usługi Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złośliwe podmioty oparte na usłudze Microsoft Threat Intelligence, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości, których bezpieczeństwo jest naruszone, lub złośliwych testerów.
Stale analizuje strumień danych klienta generowany przez usługi Azure Cosmos DB.
Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty są wyświetlane w Microsoft Defender dla Chmury wraz ze szczegółami podejrzanych działań wraz z odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń.
Podczas włączania usługi nie ma wpływu na wydajność bazy danych, ponieważ usługa Defender dla usługi Azure Cosmos DB nie uzyskuje dostępu do danych konta usługi Azure Cosmos DB.
Dowiedz się więcej na stronie Omówienie usługi Microsoft Defender dla usługi Azure Cosmos DB.
Wprowadzamy również nowe środowisko włączania dla zabezpieczeń bazy danych. Teraz możesz włączyć ochronę Microsoft Defender dla Chmury w ramach subskrypcji, aby chronić wszystkie typy baz danych, takie jak Azure Cosmos DB, Azure SQL Database, serwery Azure SQL na maszynach i usługa Microsoft Defender dla relacyjnych baz danych typu open source za pomocą jednego procesu włączania. Określone typy zasobów można uwzględnić lub wykluczyć, konfigurując plan.
Dowiedz się, jak włączyć zabezpieczenia bazy danych na poziomie subskrypcji.
Ochrona przed zagrożeniami dla klastrów google Kubernetes Engine (GKE)
Po niedawnym ogłoszeniu Native CSPM dla GCP i ochrony przed zagrożeniami dla wystąpień obliczeniowych GCP usługa Microsoft Defender for Containers rozszerzyła swoją ochronę przed zagrożeniami Kubernetes, analizę behawioralną i wbudowane zasady kontroli dostępu do klastrów Kubernetes Engine (GKE) firmy Google. Możesz łatwo dołączyć istniejące lub nowe klastry GKE Standard do środowiska za pomocą naszych funkcji automatycznego dołączania. Zapoznaj się z zabezpieczeniami kontenerów z Microsoft Defender dla Chmury, aby uzyskać pełną listę dostępnych funkcji.
January 2022
Aktualizacje w styczniu obejmują:
- Usługa Microsoft Defender dla usługi Resource Manager została zaktualizowana o nowe alerty i większy nacisk na operacje wysokiego ryzyka mapowane na macierz MITRE ATT&CK®
- Zalecenia dotyczące włączania planów w usłudze Microsoft Defender w obszarach roboczych (w wersji zapoznawczej)
- Automatyczne aprowizacja agenta usługi Log Analytics na maszynach z włączoną usługą Azure Arc (wersja zapoznawcza)
- Przestarzałe zalecenie dotyczące klasyfikowania poufnych danych w bazach danych SQL
- Rozszerzono komunikację z podejrzanym alertem domeny, aby uwzględnić znane domeny związane z programem Log4Shell
- Przycisk "Kopiuj kod JSON alertu" dodany do okienka szczegółów alertu zabezpieczeń
- Zmieniono nazwę dwóch zaleceń
- Przestarzałe kontenery klastra Kubernetes powinny nasłuchiwać tylko w zasadach dozwolonych portów
- Dodano skoroszyt "Aktywne alerty"
- Zalecenie "Aktualizacja systemu" dodane do chmury dla instytucji rządowych
Usługa Microsoft Defender dla usługi Resource Manager została zaktualizowana o nowe alerty i większy nacisk na operacje wysokiego ryzyka mapowane na macierz MITRE ATT&CK®
Warstwa zarządzania chmurą to kluczowa usługa połączona ze wszystkimi zasobami w chmurze. Z tego powodu jest to również potencjalny cel dla atakujących. Zalecamy zespołom ds. operacji zabezpieczeń ścisłe monitorowanie warstwy zarządzania zasobami.
Usługa Microsoft Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji, niezależnie od tego, czy są wykonywane za pośrednictwem witryny Azure Portal, interfejsów API REST platformy Azure, interfejsu wiersza polecenia platformy Azure lub innych klientów programistycznych platformy Azure. Defender dla Chmury uruchamia zaawansowaną analizę zabezpieczeń w celu wykrywania zagrożeń i alertów dotyczących podejrzanych działań.
Ochrona planu znacznie zwiększa odporność organizacji na ataki ze strony podmiotów zagrożeń i znacznie zwiększa liczbę zasobów platformy Azure chronionych przez Defender dla Chmury.
W grudniu 2020 r. wprowadziliśmy wersję zapoznawcza usługi Defender for Resource Manager, a w maju 2021 r. plan został wydany pod kątem ogólnej dostępności.
Dzięki tej aktualizacji kompleksowo zmieniliśmy fokus planu usługi Microsoft Defender dla usługi Resource Manager. Zaktualizowany plan zawiera wiele nowych alertów skoncentrowanych na identyfikowaniu podejrzanych wywołań operacji wysokiego ryzyka. These new alerts provide extensive monitoring for attacks across the completeMITRE ATT&CK® matrix for cloud-based techniques.
Ta macierz obejmuje następujący zakres potencjalnych intencji podmiotów zagrożeń, które mogą być przeznaczone dla zasobów organizacji: dostęp początkowy, wykonywanie, trwałość, eskalacja uprawnień, uchylanie się od obrony, dostęp poświadczeń, odnajdywanie, ruch poprzeczny, kolekcja, eksfiltracja i wpływ.
Nowe alerty dla tego planu usługi Defender obejmują te intencje, jak pokazano w poniższej tabeli.
Tip
Te alerty są również wyświetlane na stronie referencyjnej alertów.
Alert (typ alertu) | Description | Taktyka MITRE (intencje) | Severity |
---|---|---|---|
Wykryto podejrzane wywołanie operacji "Dostęp początkowy" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.InitialAccess) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uzyskania dostępu do ograniczonych zasobów. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać początkowy dostęp do ograniczonych zasobów w danym środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Initial Access | Medium |
Wykryto podejrzane wywołanie operacji "Wykonanie" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.Execution) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka na maszynie w subskrypcji, co może wskazywać na próbę wykonania kodu. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Execution | Medium |
Wykryto podejrzane wywołanie operacji "Trwałość" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.Persistence) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę ustanowienia trwałości. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do ustanowienia trwałości w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Persistence | Medium |
Wykryto podejrzane wywołanie operacji wysokiego ryzyka "Eskalacja uprawnień" (wersja zapoznawcza) (ARM_AnomalousOperation.PrivilegeEscalation) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę eskalacji uprawnień. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do eskalacji uprawnień podczas naruszania zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Privilege Escalation | Medium |
Wykryto podejrzane wywołanie operacji "Uchylanie się od obrony" (wersja zapoznawcza) (ARM_AnomalousOperation.DefenseEvasion) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uniknięcia obrony. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie stanem zabezpieczeń swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uniknąć wykrycia podczas kompromitowania zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Defense Evasion | Medium |
Wykryto podejrzane wywołanie operacji "Dostęp poświadczeń" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.CredentialAccess) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę uzyskania dostępu do poświadczeń. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Credential Access | Medium |
Wykryto podejrzane wywołanie operacji "Ruch poprzeczny" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.LateralMovement) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę wykonania przenoszenia bocznego. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby naruszyć dodatkowe zasoby w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Lateral Movement | Medium |
Wykryto podejrzane wywołanie operacji "Zbieranie danych" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.Collection) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę zebrania danych. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do zbierania poufnych danych dotyczących zasobów w danym środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Collection | Medium |
Wykryto podejrzane wywołanie operacji "Impact" o wysokim ryzyku (wersja zapoznawcza) (ARM_AnomalousOperation.Impact) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę zmiany konfiguracji. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Impact | Medium |
Ponadto te dwa alerty z tego planu wyszły z wersji zapoznawczej:
Alert (typ alertu) | Description | Taktyka MITRE (intencje) | Severity |
---|---|---|---|
Operacja usługi Azure Resource Manager z podejrzanego adresu IP (ARM_OperationFromSuspiciousIP) |
Usługa Microsoft Defender dla usługi Resource Manager wykryła operację z adresu IP, który został oznaczony jako podejrzany w źródłach analizy zagrożeń. | Execution | Medium |
Operacja usługi Azure Resource Manager z podejrzanego adresu IP serwera proxy (ARM_OperationFromSuspiciousProxyIP) |
Usługa Microsoft Defender dla usługi Resource Manager wykryła operację zarządzania zasobami z adresu IP skojarzonego z usługami proxy, takimi jak TOR. Chociaż to zachowanie może być uzasadnione, często występuje w złośliwych działaniach, gdy aktorzy zagrożeń próbują ukryć źródłowy adres IP. | Defense Evasion | Medium |
Zalecenia dotyczące włączania planów usługi Microsoft Defender w obszarach roboczych (w wersji zapoznawczej)
Aby korzystać ze wszystkich funkcji zabezpieczeń dostępnych w usłudze Microsoft Defender dla serwerów i usługi Microsoft Defender for SQL na maszynach, plany muszą być włączone zarówno na poziomach subskrypcji, jak i obszaru roboczego.
Jeśli maszyna znajduje się w subskrypcji z włączonym jednym z tych planów, zostanie naliczona opłata za pełne zabezpieczenia. However, if that machine is reporting to a workspace without the plan enabled, you won't actually receive those benefits.
We've added two recommendations that highlight workspaces without these plans enabled, that nevertheless have machines reporting to them from subscriptions that do have the plan enabled.
Dwa zalecenia, które oferują automatyczne korygowanie (akcja "Poprawka") to:
Recommendation | Description | Severity |
---|---|---|
Usługa Microsoft Defender dla serwerów powinna być włączona w obszarach roboczych | Usługa Microsoft Defender for Servers zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn z systemem Windows i Linux. Dzięki włączeniu tego planu usługi Defender w ramach subskrypcji, ale nie w obszarach roboczych, płacisz za pełną funkcję usługi Microsoft Defender dla serwerów, ale brakuje niektórych korzyści. Po włączeniu usługi Microsoft Defender dla serwerów w obszarze roboczym wszystkie maszyny raportujące do tego obszaru roboczego będą naliczane opłaty za usługę Microsoft Defender dla serwerów — nawet jeśli znajdują się w subskrypcjach bez włączenia planów usługi Defender. Jeśli nie włączysz również usługi Microsoft Defender dla serwerów w subskrypcji, te maszyny nie będą mogły korzystać z dostępu just in time do maszyn wirtualnych, adaptacyjnego sterowania aplikacjami i wykrywania sieci dla zasobów platformy Azure. Dowiedz się więcej w temacie Omówienie usługi Microsoft Defender dla serwerów. (Brak powiązanych zasad) |
Medium |
Usługa Microsoft Defender for SQL na maszynach powinna być włączona w obszarach roboczych | Usługa Microsoft Defender for Servers zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn z systemem Windows i Linux. Dzięki włączeniu tego planu usługi Defender w ramach subskrypcji, ale nie w obszarach roboczych, płacisz za pełną funkcję usługi Microsoft Defender dla serwerów, ale brakuje niektórych korzyści. Po włączeniu usługi Microsoft Defender dla serwerów w obszarze roboczym wszystkie maszyny raportujące do tego obszaru roboczego będą naliczane opłaty za usługę Microsoft Defender dla serwerów — nawet jeśli znajdują się w subskrypcjach bez włączenia planów usługi Defender. Jeśli nie włączysz również usługi Microsoft Defender dla serwerów w subskrypcji, te maszyny nie będą mogły korzystać z dostępu just in time do maszyn wirtualnych, adaptacyjnego sterowania aplikacjami i wykrywania sieci dla zasobów platformy Azure. Dowiedz się więcej w temacie Omówienie usługi Microsoft Defender dla serwerów. (Brak powiązanych zasad) |
Medium |
Automatyczne aprowizacja agenta usługi Log Analytics na maszynach z włączoną usługą Azure Arc (wersja zapoznawcza)
Defender dla Chmury używa agenta usługi Log Analytics do zbierania danych związanych z zabezpieczeniami z maszyn. Agent odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami oraz kopiuje dane do obszaru roboczego na potrzeby analizy.
Ustawienia automatycznego aprowizowania Defender dla Chmury mają przełącznik dla każdego typu obsługiwanego rozszerzenia, w tym agenta usługi Log Analytics.
W dalszej ekspansji funkcji chmury hybrydowej dodaliśmy opcję automatycznego aprowizacji agenta usługi Log Analytics do maszyn połączonych z usługą Azure Arc.
Podobnie jak w przypadku innych opcji automatycznego aprowizowania, jest to konfigurowane na poziomie subskrypcji.
Po włączeniu tej opcji zostanie wyświetlony monit o podanie obszaru roboczego.
Note
W tej wersji zapoznawczej nie można wybrać domyślnego obszaru roboczego utworzonego przez Defender dla Chmury. Aby upewnić się, że masz pełny zestaw funkcji zabezpieczeń dostępnych dla serwerów z obsługą usługi Azure Arc, sprawdź, czy masz zainstalowane odpowiednie rozwiązanie zabezpieczeń w wybranym obszarze roboczym.
Przestarzałe zalecenie dotyczące klasyfikowania poufnych danych w bazach danych SQL
Usunęliśmy zalecenie Poufne dane w Twoich bazach danych SQL, które należy sklasyfikować w ramach przeglądu sposobu, w jaki Defender dla Chmury identyfikuje i chroni poufne dane w zasobach w chmurze.
Wcześniejsze powiadomienie o tej zmianie pojawiło się przez ostatnie sześć miesięcy na stronie Ważne nadchodzące zmiany na stronie Microsoft Defender dla Chmury.
Rozszerzono komunikację z podejrzanym alertem domeny, aby uwzględnić znane domeny związane z programem Log4Shell
Poniższy alert był wcześniej dostępny tylko dla organizacji, które włączyły plan usługi Microsoft Defender for DNS .
Po tej aktualizacji alert będzie również wyświetlany dla subskrypcji z włączonym planem usługi Microsoft Defender dla serwerów lub usługi Defender for App Service .
Ponadto usługa Microsoft Threat Intelligence rozszerzyła listę znanych złośliwych domen w celu uwzględnienia domen skojarzonych z wykorzystaniem szeroko nagłośnionych luk w zabezpieczeniach skojarzonych z usługą Log4j.
Alert (typ alertu) | Description | MITRE tactics | Severity |
---|---|---|---|
Komunikacja z podejrzaną domeną zidentyfikowaną przez analizę zagrożeń (AzureDNS_ThreatIntelSuspectDomain) |
Komunikacja z podejrzaną domeną została wykryta przez przeanalizowanie transakcji DNS z zasobu i porównanie ze znanymi złośliwymi domenami zidentyfikowanymi przez źródła danych analizy zagrożeń. Komunikacja ze złośliwymi domenami jest często wykonywana przez osoby atakujące i może oznaczać, że zasób został naruszony. | Wstępny dostęp/trwałość/wykonywanie/sterowanie i kontrola/wykorzystywanie | Medium |
Przycisk "Kopiuj kod JSON alertu" dodany do okienka szczegółów alertu zabezpieczeń
Aby ułatwić naszym użytkownikom szybkie udostępnianie szczegółów alertu innym (na przykład analitykom SOC, właścicielom zasobów i deweloperom), dodaliśmy możliwość łatwego wyodrębnienia wszystkich szczegółów określonego alertu za pomocą jednego przycisku w okienku szczegółów alertu zabezpieczeń.
Nowy przycisk Kopiuj alert JSON umieszcza szczegóły alertu w formacie JSON w schowku użytkownika.
Zmieniono nazwę dwóch zaleceń
Aby zapewnić spójność z innymi nazwami rekomendacji, zmieniliśmy nazwę następujących dwóch zaleceń:
Zalecenie dotyczące rozwiązywania luk w zabezpieczeniach wykrytych w uruchomionych obrazach kontenerów
- Poprzednia nazwa: Luki w zabezpieczeniach w uruchomionych obrazach kontenerów powinny zostać skorygowane (obsługiwane przez firmę Qualys)
- Nowa nazwa: Uruchamianie obrazów kontenerów powinno mieć rozwiązane problemy z lukami w zabezpieczeniach
Zalecenie dotyczące włączania dzienników diagnostycznych dla usługi aplikacja systemu Azure
- Poprzednia nazwa: dzienniki diagnostyczne powinny być włączone w usłudze App Service
- Nowa nazwa: Dzienniki diagnostyczne w usłudze App Service powinny być włączone
Przestarzałe kontenery klastra Kubernetes powinny nasłuchiwać tylko w zasadach dozwolonych portów
Wycofaliśmy kontenery klastra Kubernetes, które powinny nasłuchiwać tylko w zaleceniach dotyczących dozwolonych portów .
Policy name | Description | Effect(s) | Version |
---|---|---|---|
Kontenery klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz kontenery do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla aparatu AKS i platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Policy dla klastrów Kubernetes. | inspekcja, odmowa, wyłączone | 6.1.2 |
Usługi powinny nasłuchiwać tylko dozwolonych portów , aby ograniczyć porty, które aplikacja uwidacznia w Internecie.
Dodano skoroszyt "Aktywny alert"
Aby pomóc naszym użytkownikom w zrozumieniu aktywnych zagrożeń w ich środowiskach i nadaj priorytetowi między aktywnymi alertami podczas procesu korygowania, dodaliśmy skoroszyt Aktywne alerty.
Aktywny skoroszyt alertów umożliwia użytkownikom wyświetlanie ujednoliconego pulpitu nawigacyjnego zagregowanych alertów według ważności, typu, tagu, taktyki MITRE ATT&CK i lokalizacji. Dowiedz się więcej w temacie Używanie skoroszytu "Aktywne alerty".
Zalecenie "Aktualizacja systemu" dodane do chmury dla instytucji rządowych
Zalecenie "Aktualizacje systemu należy zainstalować na maszynach" jest teraz dostępne we wszystkich chmurach dla instytucji rządowych.
Prawdopodobnie ta zmiana wpłynie na wskaźnik bezpieczeństwa subskrypcji chmury dla instytucji rządowych. Oczekujemy, że zmiana doprowadzi do zmniejszenia wyniku, ale jest możliwe, że włączenie rekomendacji może spowodować zwiększenie wyniku w niektórych przypadkach.
December 2021
Aktualizacje w grudniu obejmują:
- Plan usługi Microsoft Defender for Containers wydany pod kątem ogólnej dostępności
- Nowe alerty dotyczące usługi Microsoft Defender for Storage wydane w celu zapewnienia ogólnej dostępności
- Ulepszenia alertów dla usługi Microsoft Defender for Storage
- Alert "PortSweeping" usunięty z alertów warstwy sieciowej
Plan usługi Microsoft Defender for Containers wydany pod kątem ogólnej dostępności
Ponad dwa lata temu wprowadziliśmy usługę Defender dla platformy Kubernetes i usługę Defender dla rejestrów kontenerów w ramach oferty usługi Azure Defender w ramach Microsoft Defender dla Chmury.
Wraz z wydaniem usługi Microsoft Defender for Containers scaliliśmy te dwa istniejące plany usługi Defender.
Nowy plan:
- Łączy funkcje dwóch istniejących planów — wykrywanie zagrożeń dla klastrów Kubernetes i ocenę luk w zabezpieczeniach dla obrazów przechowywanych w rejestrach kontenerów
- Oferuje nowe i ulepszone funkcje — w tym obsługę wielochmurową, wykrywanie zagrożeń na poziomie hosta z ponad sześcioma nowymi analizami obsługującymi platformę Kubernetes oraz ocenę luk w zabezpieczeniach na potrzeby uruchamiania obrazów
- Wprowadza natywne dla platformy Kubernetes dołączanie na dużą skalę — domyślnie po włączeniu planu wszystkie odpowiednie składniki są konfigurowane automatycznie
W tej wersji dostępność i prezentacja usługi Defender dla platformy Kubernetes i usługi Defender dla rejestrów kontenerów uległa zmianie w następujący sposób:
- Nowe subskrypcje — dwa poprzednie plany kontenerów nie są już dostępne
- Existing subscriptions - Wherever they appear in the Azure portal, the plans are shown as Deprecated with instructions for how to upgrade to the newer plan
Nowy plan jest bezpłatny w miesiącu grudnia 2021 r. Aby uzyskać potencjalne zmiany w rozliczeniach ze starych planów usługi Defender for Containers i aby uzyskać więcej informacji na temat korzyści wprowadzonych w tym planie, zobacz Wprowadzenie do usługi Microsoft Defender for Containers.
Aby uzyskać więcej informacji, zobacz:
- Omówienie usługi Microsoft Defender dla Kontenerów
- Włączanie usługi Microsoft Defender dla kontenerów
- Wprowadzenie do usługi Microsoft Defender for Containers — Społeczność techniczna firmy Microsoft
- Usługa Microsoft Defender dla kontenerów | Defender dla Chmury w polu nr 3 — YouTube
Nowe alerty dotyczące usługi Microsoft Defender for Storage wydane w celu zapewnienia ogólnej dostępności
Aktorzy zagrożeń używają narzędzi i skryptów do skanowania pod kątem publicznie otwartych kontenerów w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi.
Usługa Microsoft Defender for Storage wykrywa te skanery, aby można je było zablokować i skorygować stan.
Alert w wersji zapoznawczej, który wykrył tę wersję, nosi nazwę "Anonimowe skanowanie kontenerów magazynu publicznego". To provide greater clarity about the suspicious events discovered, we've divided this into two new alerts. Te alerty dotyczą tylko usługi Azure Blob Storage.
Ulepszyliśmy logikę wykrywania, zaktualizowaliśmy metadane alertu i zmieniliśmy nazwę alertu i typ alertu.
Są to nowe alerty:
Alert (typ alertu) | Description | MITRE tactic | Severity |
---|---|---|---|
Pomyślnie odnaleziono publicznie dostępne kontenery magazynu (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Pomyślne odnajdywanie publicznie otwartych kontenerów magazynu na koncie magazynu zostało wykonane w ciągu ostatniej godziny przez skrypt skanowania lub narzędzie. Zwykle wskazuje to na atak rekonesansu, w którym aktor zagrożenia próbuje wyświetlić listę obiektów blob przez odgadnięcie nazw kontenerów, w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi w nich. Aktor zagrożeń może używać własnego skryptu lub używać znanych narzędzi do skanowania, takich jak Microburst, do skanowania pod kątem publicznie otwartych kontenerów. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
Nie powiodło się skanowanie publicznie dostępnych kontenerów magazynu (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Seria nieudanych prób skanowania pod kątem publicznie otwartych kontenerów magazynu została wykonana w ciągu ostatniej godziny. Zwykle wskazuje to na atak rekonesansu, w którym aktor zagrożenia próbuje wyświetlić listę obiektów blob przez odgadnięcie nazw kontenerów, w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi w nich. Aktor zagrożeń może używać własnego skryptu lub używać znanych narzędzi do skanowania, takich jak Microburst, do skanowania pod kątem publicznie otwartych kontenerów. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
Aby uzyskać więcej informacji, zobacz:
- Macierz zagrożeń dla usług magazynu
- Omówienie usługi Microsoft Defender for Storage
- Lista alertów udostępnianych przez usługę Microsoft Defender for Storage
Ulepszenia alertów dla usługi Microsoft Defender for Storage
Początkowe alerty dostępu mają teraz lepszą dokładność i więcej danych do obsługi badania.
Aktorzy zagrożeń używają różnych technik w początkowym dostępie, aby uzyskać przyczółek w sieci. Dwa alerty usługi Microsoft Defender for Storage , które wykrywają anomalie behawioralne na tym etapie, mają teraz ulepszoną logikę wykrywania i dodatkowe dane do obsługi badań.
If you've configured automations or defined alert suppression rules for these alerts in the past, update them in accordance with these changes.
Wykrywanie dostępu z węzła zakończenia tor
Dostęp z węzła wyjścia Tor może wskazywać, że aktor zagrożenia próbuje ukryć swoją tożsamość.
Alert jest teraz dostrajany do generowania tylko dla uwierzytelnioowanego dostępu, co powoduje większą dokładność i pewność, że działanie jest złośliwe. To ulepszenie zmniejsza łagodny wskaźnik dodatni.
Wzorzec outlying będzie miał wysoką ważność, podczas gdy mniej nietypowe wzorce będą miały średnią ważność.
Nazwa i opis alertu zostały zaktualizowane. Typ alertu pozostaje niezmieniony.
- Nazwa alertu (stara): dostęp z węzła zakończenia tor do konta magazynu
- Nazwa alertu (nowy): Uwierzytelniony dostęp z węzła zakończenia Tor
- Typy alertów: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
- Opis: Co najmniej jeden kontener magazynu/ udziały plików na koncie magazynu zostały pomyślnie udostępnione z adresu IP znanego jako aktywny węzeł wyjścia Tor (anonimizujący serwer proxy). Aktorzy zagrożeń używają platformy Tor, aby utrudnić śledzenie działania z powrotem do nich. Uwierzytelniony dostęp z węzła wyjścia Tor jest prawdopodobnie wskazaniem, że aktor zagrożeń próbuje ukryć swoją tożsamość. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- Taktyka MITRE: Wstępny dostęp
- Severity: High/Medium
Nieuwierzytelniony dostęp
Zmiana wzorców dostępu może wskazywać, że aktor zagrożeń mógł wykorzystać publiczny dostęp do odczytu do kontenerów magazynu, wykorzystując błąd w konfiguracjach dostępu lub zmieniając uprawnienia dostępu.
Ten alert o średniej ważności jest teraz dostrojony z ulepszoną logiką behawioralną, wyższą dokładnością i ufnością, że działanie jest złośliwe. To ulepszenie zmniejsza łagodny wskaźnik dodatni.
Nazwa i opis alertu zostały zaktualizowane. Typ alertu pozostaje niezmieniony.
- Nazwa alertu (stara): anonimowy dostęp do konta magazynu
- Nazwa alertu (nowy): nieuwierzytelniony dostęp do kontenera magazynu
- Typy alertów: Storage.Blob_AnonymousAccessAnomaly
- Opis: To konto magazynu było dostępne bez uwierzytelniania, co stanowi zmianę wspólnego wzorca dostępu. Dostęp do odczytu do tego kontenera jest zwykle uwierzytelniany. Może to wskazywać, że aktor zagrożenia mógł wykorzystać publiczny dostęp do odczytu do kontenerów magazynu na tych kontach magazynu. Dotyczy: Azure Blob Storage
- Taktyka MITRE: Kolekcja
- Severity: Medium
Aby uzyskać więcej informacji, zobacz:
- Macierz zagrożeń dla usług magazynu
- Wprowadzenie do usługi Microsoft Defender for Storage
- Lista alertów udostępnianych przez usługę Microsoft Defender for Storage
Alert "PortSweeping" usunięty z alertów warstwy sieciowej
Następujący alert został usunięty z alertów warstwy sieciowej z powodu nieefektywności:
Alert (typ alertu) | Description | MITRE tactics | Severity |
---|---|---|---|
Wykryto możliwe działanie skanowania portów wychodzących (PortSweeping) |
Analiza ruchu sieciowego wykryła podejrzany ruch wychodzący z hosta %{Naruszone zabezpieczenia}. Ten ruch może być wynikiem działania skanowania portów. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). Jeśli to zachowanie jest zamierzone, należy pamiętać, że skanowanie portów jest sprzeczne z warunkami świadczenia usług platformy Azure. Jeśli to zachowanie jest niezamierzone, może to oznaczać, że bezpieczeństwo zasobu zostało naruszone. | Discovery | Medium |
November 2021
Nasze wydanie konferencji Ignite obejmuje:
- Usługi Azure Security Center i Azure Defender stają się Microsoft Defender dla Chmury
- Natywny CSPM dla platform AWS i ochrony przed zagrożeniami dla usług Amazon EKS i AWS EC2
- Określanie priorytetów akcji zabezpieczeń według poufności danych (obsługiwanej przez usługę Microsoft Purview) (w wersji zapoznawczej)
- Rozszerzone oceny kontroli zabezpieczeń za pomocą testu porównawczego zabezpieczeń platformy Azure w wersji 3
- Opcjonalna synchronizacja alertów dwukierunkowych łącznika usługi Microsoft Sentinel wydana na potrzeby ogólnej dostępności
- Nowe zalecenie dotyczące wypychania dzienników usługi Azure Kubernetes Service (AKS) do usługi Microsoft Sentinel
- Zalecenia mapowane na strukturę MITRE ATT&CK® — wydane w celu zapewnienia ogólnej dostępności
Inne zmiany w listopadzie obejmują:
- Zarządzanie zagrożeniami i lukami w zabezpieczeniach firmy Microsoft dodano jako rozwiązanie do oceny luk w zabezpieczeniach — wydane w celu zapewnienia ogólnej dostępności
- Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux teraz obsługiwane przez usługę Microsoft Defender dla serwerów — wydane w celu zapewnienia ogólnej dostępności
- Eksportowanie migawek dla zaleceń i wyników zabezpieczeń (w wersji zapoznawczej)
- Automatyczne aprowizowanie rozwiązań do oceny luk w zabezpieczeniach wydanych na potrzeby ogólnej dostępności
- Filtry spisu oprogramowania w spisie zasobów wydane w celu uzyskania ogólnej dostępności
- Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy domyślnej — wersja zapoznawcza
- Wyświetlanie spisu maszyn lokalnych stosuje inny szablon dla nazwy zasobu
Usługi Azure Security Center i Azure Defender stają się Microsoft Defender dla Chmury
Zgodnie z raportem o stanie chmury w 2021 r. 92% organizacji ma teraz strategię wielochmurową. W firmie Microsoft naszym celem jest scentralizowanie zabezpieczeń w różnych środowiskach i ułatwienie zespołom ds. zabezpieczeń wydajniejszego działania.
Usługa Microsoft Defender for Cloud to rozwiązanie do zarządzania stanem zabezpieczeń w chmurze (CSPM) i platformy ochrony obciążeń w chmurze (CWPP), które wykrywa słabe punkty w konfiguracji chmury, pomaga zwiększyć ogólny poziom zabezpieczeń środowiska i chroni obciążenia w środowiskach wielochmurowych i hybrydowych.
Na konferencji Ignite 2019 udostępniliśmy naszą wizję, aby stworzyć najbardziej kompletne podejście do zabezpieczania majątku cyfrowego i integrowania technologii XDR pod marką Microsoft Defender. Ujednolicenie usług Azure Security Center i Azure Defender pod nową nazwą Microsoft Defender dla Chmury odzwierciedla zintegrowane możliwości naszej oferty zabezpieczeń i możliwości obsługi dowolnej platformy w chmurze.
Natywny CSPM dla platform AWS i ochrony przed zagrożeniami dla usług Amazon EKS i AWS EC2
A new environment settings page provides greater visibility and control over your management groups, subscriptions, and AWS accounts. The page is designed to onboard AWS accounts at scale: connect your AWS management account, and you'll automatically onboard existing and future accounts.
Po dodaniu kont platformy AWS Defender dla Chmury chroni zasoby platformy AWS przy użyciu dowolnych lub wszystkich następujących planów:
- Defender dla Chmury funkcje CSPM rozszerzają się na zasoby platformy AWS. Ten plan bez agenta ocenia zasoby platformy AWS zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla platformy AWS i są one uwzględnione w wskaźniku bezpieczeństwa. Zasoby zostaną również ocenione pod kątem zgodności z wbudowanymi standardami specyficznymi dla platform AWS (AWS CIS, AWS PCI DSS i AWS Foundational Security Best Practices). strona spisu zasobów Defender dla Chmury to funkcja z obsługą wielu chmur, która ułatwia zarządzanie zasobami platformy AWS wraz z zasobami platformy Azure.
- Usługa Microsoft Defender dla platformy Kubernetes rozszerza wykrywanie zagrożeń kontenerów i zaawansowane zabezpieczenia klastrów amazon EKS Linux.
- Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowane zabezpieczenia wystąpień systemu Windows i Linux EC2. Ten plan obejmuje zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender, punkty odniesienia zabezpieczeń i oceny na poziomie systemu operacyjnego, skanowanie oceny luk w zabezpieczeniach, adaptacyjne kontrole aplikacji (AAC), monitorowanie integralności plików (FIM) i nie tylko.
Dowiedz się więcej na temat łączenia kont platformy AWS z Microsoft Defender dla Chmury.
Określanie priorytetów akcji zabezpieczeń według poufności danych (obsługiwanej przez usługę Microsoft Purview) (w wersji zapoznawczej)
Zasoby danych pozostają popularnym celem dla podmiotów zagrożeń. Dlatego ważne jest, aby zespoły ds. zabezpieczeń identyfikowały, ustalały priorytety i zabezpieczały poufne zasoby danych w swoich środowiskach chmury.
To address this challenge, Microsoft Defender for Cloud now integrates sensitivity information from Microsoft Purview. Microsoft Purview to ujednolicona usługa zapewniania ładu danych, która zapewnia bogaty wgląd w poufność danych w wielu chmurach i obciążeniach lokalnych.
Integracja z usługą Microsoft Purview rozszerza widoczność zabezpieczeń w Defender dla Chmury od poziomu infrastruktury w dół do danych, umożliwiając zupełnie nowy sposób określania priorytetów zasobów i działań zabezpieczeń dla zespołów ds. zabezpieczeń.
Dowiedz się więcej w temacie Określanie priorytetów akcji zabezpieczeń według poufności danych.
Rozszerzone oceny kontroli zabezpieczeń za pomocą testu porównawczego zabezpieczeń platformy Azure w wersji 3
Zalecenia dotyczące zabezpieczeń w Defender dla Chmury są obsługiwane przez test porównawczy zabezpieczeń platformy Azure.
Test porównawczy zabezpieczeń platformy Azure to utworzony przez firmę Microsoft zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności opartych na typowych strukturach zgodności. Ten powszechnie szanowany punkt odniesienia opiera się na kontrolach z Centrum Bezpieczeństwa Internetowego (CIS) i Narodowego Instytutu Standardów i Technologii (NIST) z naciskiem na zabezpieczenia skoncentrowane na chmurze.
From Ignite 2021, Azure Security Benchmark v3 is available in Defender for Cloud's regulatory compliance dashboard and enabled as the new default initiative for all Azure subscriptions protected with Microsoft Defender for Cloud.
Ulepszenia dla wersji 3 obejmują:
Additional mappings to industry frameworks PCI-DSS v3.2.1 and CIS Controls v8.
Bardziej szczegółowe i możliwe do działania wskazówki dotyczące kontrolek z wprowadzeniem:
- Security Principles - Providing insight into the overall security objectives that build the foundation for our recommendations.
- Azure Guidance - The technical "how-to" for meeting these objectives.
Nowe mechanizmy kontroli obejmują zabezpieczenia metodyki DevOps dotyczące problemów, takich jak modelowanie zagrożeń i zabezpieczenia łańcucha dostaw oprogramowania, a także zarządzanie kluczami i certyfikatami w celu uzyskania najlepszych rozwiązań na platformie Azure.
Dowiedz się więcej w artykule Introduction to Azure Security Benchmark (Wprowadzenie do testu porównawczego zabezpieczeń platformy Azure).
Opcjonalna synchronizacja alertów dwukierunkowych łącznika usługi Microsoft Sentinel wydana na potrzeby ogólnej dostępności
In July, we announced a preview feature, bi-directional alert synchronization, for the built-in connector in Microsoft Sentinel (Microsoft's cloud-native SIEM and SOAR solution). Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Po nawiązaniu połączenia Microsoft Defender dla Chmury z usługą Microsoft Sentinel stan alertów zabezpieczeń jest synchronizowany między dwiema usługami. Na przykład po zamknięciu alertu w Defender dla Chmury ten alert będzie również wyświetlany jako zamknięty w usłudze Microsoft Sentinel. Changing the status of an alert in Defender for Cloud won't affect the status of any Microsoft Sentinel incidents that contain the synchronized Microsoft Sentinel alert, only that of the synchronized alert itself.
Po włączeniu synchronizacji alertów dwukierunkowych automatycznie zsynchronizuj stan oryginalnych alertów Defender dla Chmury z incydentami usługi Microsoft Sentinel zawierającymi kopie tych alertów. Na przykład po zamknięciu zdarzenia usługi Microsoft Sentinel zawierającego alert Defender dla Chmury Defender dla Chmury automatycznie zamknie odpowiedni oryginalny alert.
Dowiedz się więcej w artykule Connect Azure Defender alerts from Azure Security Center and Stream alerts to Microsoft Sentinel (Łączenie alertów usługi Azure Defender z usługą Azure Security Center i przesyłanie strumieniowe do usługi Microsoft Sentinel).
Nowe zalecenie dotyczące wypychania dzienników usługi Azure Kubernetes Service (AKS) do usługi Microsoft Sentinel
W kolejnym ulepszeniu połączonej wartości Defender dla Chmury i usługi Microsoft Sentinel wyróżnimy teraz wystąpienia usługi Azure Kubernetes Service, które nie wysyłają danych dziennika do usługi Microsoft Sentinel.
Zespoły SecOps mogą wybrać odpowiedni obszar roboczy usługi Microsoft Sentinel bezpośrednio na stronie szczegółów rekomendacji i natychmiast włączyć przesyłanie strumieniowe nieprzetworzonych dzienników. To bezproblemowe połączenie między dwoma produktami ułatwia zespołom ds. zabezpieczeń zapewnienie pełnego pokrycia rejestrowania w ramach obciążeń, aby pozostać na bieżąco z całym środowiskiem.
Nowe zalecenie "Dzienniki diagnostyczne w usługach Kubernetes powinny być włączone" zawiera opcję "Napraw" w celu szybszego korygowania.
Ulepszyliśmy również zalecenie "Inspekcja na serwerze SQL powinna być włączona" z tymi samymi funkcjami przesyłania strumieniowego usługi Microsoft Sentinel.
Zalecenia mapowane na strukturę MITRE ATT&CK® — wydane w celu zapewnienia ogólnej dostępności
Ulepszyliśmy zalecenia dotyczące zabezpieczeń Defender dla Chmury, aby pokazać swoje stanowisko w strukturze MITRE ATT&CK®. Ta globalnie dostępna baza wiedzy taktyki i technik podmiotów zagrożeń w oparciu o rzeczywiste obserwacje, zapewnia więcej kontekstu, aby ułatwić zrozumienie powiązanych zagrożeń związanych z zaleceniami dotyczącymi danego środowiska.
Te taktyki znajdziesz wszędzie tam, gdzie uzyskujesz dostęp do informacji o rekomendacji:
Wyniki zapytań usługi Azure Resource Graph dla odpowiednich zaleceń obejmują taktykę i techniki MITRE ATT&CK®.
Strony szczegółów rekomendacji zawierają mapowanie wszystkich odpowiednich zaleceń:
Strona zaleceń w Defender dla Chmury ma nowy
filtr do wybierania zaleceń zgodnie z ich powiązaną taktyką:
Dowiedz się więcej w artykule Przeglądanie zaleceń dotyczących zabezpieczeń.
Zarządzanie zagrożeniami i lukami w zabezpieczeniach firmy Microsoft dodano jako rozwiązanie do oceny luk w zabezpieczeniach — wydane w celu zapewnienia ogólnej dostępności
In October, we announced an extension to the integration between Microsoft Defender for Servers and Microsoft Defender for Endpoint, to support a new vulnerability assessment provider for your machines: Microsoft threat and vulnerability management. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Użyj Zarządzanie zagrożeniami i lukami, aby wykryć luki w zabezpieczeniach i błędy konfiguracji niemal w czasie rzeczywistym z włączoną integracją z Ochrona punktu końcowego w usłudze Microsoft Defender i bez konieczności wykonywania dodatkowych agentów lub okresowych skanowań. Zagrożenia i zarządzanie lukami w zabezpieczeniach priorytetyzuje luki w zabezpieczeniach na podstawie poziomów zagrożeń i wykrywania w organizacji.
Użyj zalecenia dotyczącego zabezpieczeń "Na maszynach wirtualnych powinno być włączone rozwiązanie do oceny luk w zabezpieczeniach", aby wyświetlić luki w zabezpieczeniach wykryte przez Zarządzanie zagrożeniami i lukami dla obsługiwanych maszyn.
Aby automatycznie uwidocznieć luki w zabezpieczeniach, na istniejących i nowych maszynach bez konieczności ręcznego korygowania zalecenia, zobacz Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączyć (w wersji zapoznawczej).
Dowiedz się więcej w artykule Badanie słabych stron za pomocą Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender.
Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux teraz obsługiwane przez usługę Microsoft Defender dla serwerów — wydane w celu zapewnienia ogólnej dostępności
In August, we announced preview support for deploying the Defender for Endpoint for Linux sensor to supported Linux machines. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Usługa Microsoft Defender dla serwerów zawiera zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender. Razem zapewniają kompleksowe możliwości wykrywanie i reagowanie w punktach końcowych (EDR).
Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w Defender dla Chmury. Z poziomu Defender dla Chmury możesz również przestawienia się do konsoli usługi Defender dla punktu końcowego i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku.
Dowiedz się więcej w artykule Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Security Center: Ochrona punktu końcowego w usłudze Microsoft Defender.
Eksportowanie migawek dla zaleceń i wyników zabezpieczeń (w wersji zapoznawczej)
Defender dla Chmury generuje szczegółowe alerty zabezpieczeń i zalecenia. Można je wyświetlić w portalu lub za pomocą narzędzi programistycznych. Może być również konieczne wyeksportowanie niektórych lub wszystkich tych informacji w celu śledzenia za pomocą innych narzędzi do monitorowania w danym środowisku.
Defender for Cloud's continuous export feature lets you fully customize what will be exported, and where it will go. Dowiedz się więcej w artykule Ciągłe eksportowanie Microsoft Defender dla Chmury danych.
Even though the feature is called continuous, there's also an option to export weekly snapshots. Do tej pory te cotygodniowe migawki były ograniczone do bezpiecznych wyników i danych zgodności z przepisami. Dodaliśmy możliwość eksportowania zaleceń i wyników zabezpieczeń.
Automatyczne aprowizowanie rozwiązań do oceny luk w zabezpieczeniach wydanych na potrzeby ogólnej dostępności
In October, we announced the addition of vulnerability assessment solutions to Defender for Cloud's autoprovisioning page. Dotyczy to maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc w subskrypcjach chronionych przez usługę Azure Defender for Servers. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Jeśli integracja z Ochrona punktu końcowego w usłudze Microsoft Defender jest włączona, Defender dla Chmury przedstawia wybór rozwiązań do oceny luk w zabezpieczeniach:
- (NEW) The Microsoft threat and vulnerability management module of Microsoft Defender for Endpoint (see the release note)
- Zintegrowany agent Qualys
Wybrane rozwiązanie zostanie automatycznie włączone na obsługiwanych maszynach.
Dowiedz się więcej w temacie Automatyczne konfigurowanie oceny luk w zabezpieczeniach dla maszyn.
Filtry spisu oprogramowania w spisie zasobów wydane w celu uzyskania ogólnej dostępności
In October, we announced new filters for the asset inventory page to select machines running specific software - and even specify the versions of interest. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Dane spisu oprogramowania można wykonywać w Eksploratorze usługi Azure Resource Graph.
Aby korzystać z tych funkcji, należy włączyć integrację z Ochrona punktu końcowego w usłudze Microsoft Defender.
Aby uzyskać szczegółowe informacje, w tym przykładowe zapytania Kusto dla usługi Azure Resource Graph, zobacz Uzyskiwanie dostępu do spisu oprogramowania.
Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy domyślnej
Aby upewnić się, że obciążenia Platformy Kubernetes są domyślnie bezpieczne, Defender dla Chmury zawiera zasady na poziomie platformy Kubernetes i zalecenia dotyczące wzmacniania zabezpieczeń, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.
W ramach tego projektu dodaliśmy zasady i zalecenia (domyślnie wyłączone) dotyczące gating deployment w klastrach Kubernetes. Zasady są w domyślnej inicjatywie, ale dotyczą tylko organizacji, które rejestrują się w powiązanej wersji zapoznawczej.
Możesz bezpiecznie zignorować zasady i rekomendacje ("Klastry Kubernetes powinny bramować wdrożenie obrazów podatnych na zagrożenia") i nie będzie miało to wpływu na środowisko.
Jeśli chcesz wziąć udział w wersji zapoznawczej, musisz być członkiem pierścienia podglądu. If you're not already a member, submit a request here. Członkowie zostaną powiadomieni o rozpoczęciu podglądu.
Wyświetlanie spisu maszyn lokalnych stosuje inny szablon dla nazwy zasobu
To improve the presentation of resources in the Asset inventory, we've removed the "source-computer-IP" element from the template for naming on-premises machines.
-
Previous format:
machine-name_source-computer-id_VMUUID
-
Z tej aktualizacji:
machine-name_VMUUID
October 2021
Aktualizacje w październiku obejmują:
- Narzędzie Microsoft Threat and Vulnerability Management dodano jako rozwiązanie do oceny luk w zabezpieczeniach (w wersji zapoznawczej)
- Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączać (w wersji zapoznawczej)
- Filtry spisu oprogramowania dodane do spisu zasobów (w wersji zapoznawczej)
- Zmieniono prefiks niektórych typów alertów z "ARM_" na "VM_"
- Zmiany logiki zalecenia dotyczącego zabezpieczeń dla klastrów Kubernetes
- Strony szczegółów zaleceń pokazują teraz powiązane zalecenia
- Nowe alerty dla usługi Azure Defender dla platformy Kubernetes (w wersji zapoznawczej)
Narzędzie Microsoft Threat and Vulnerability Management dodano jako rozwiązanie do oceny luk w zabezpieczeniach (w wersji zapoznawczej)
Rozszerzyliśmy integrację między usługą Azure Defender for Servers i Ochrona punktu końcowego w usłudze Microsoft Defender, aby obsługiwać nowego dostawcę oceny luk w zabezpieczeniach dla maszyn: Microsoft Zarządzanie zagrożeniami i lukami.
Użyj Zarządzanie zagrożeniami i lukami, aby wykryć luki w zabezpieczeniach i błędy konfiguracji niemal w czasie rzeczywistym z włączoną integracją z Ochrona punktu końcowego w usłudze Microsoft Defender i bez konieczności wykonywania dodatkowych agentów lub okresowych skanowań. Zagrożenia i zarządzanie lukami w zabezpieczeniach priorytetyzuje luki w zabezpieczeniach na podstawie poziomów zagrożeń i wykrywania w organizacji.
Użyj zalecenia dotyczącego zabezpieczeń "Na maszynach wirtualnych powinno być włączone rozwiązanie do oceny luk w zabezpieczeniach", aby wyświetlić luki w zabezpieczeniach wykryte przez Zarządzanie zagrożeniami i lukami dla obsługiwanych maszyn.
Aby automatycznie uwidocznieć luki w zabezpieczeniach, na istniejących i nowych maszynach bez konieczności ręcznego korygowania zalecenia, zobacz Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączyć (w wersji zapoznawczej).
Dowiedz się więcej w artykule Badanie słabych stron za pomocą Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender.
Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączać (w wersji zapoznawczej)
Strona automatycznego aprowizowania usługi Security Center zawiera teraz opcję automatycznego włączania rozwiązania do oceny luk w zabezpieczeniach na maszynach wirtualnych platformy Azure i maszynach usługi Azure Arc w subskrypcjach chronionych przez usługę Azure Defender for Servers.
Jeśli integracja z Ochrona punktu końcowego w usłudze Microsoft Defender jest włączona, Defender dla Chmury przedstawia wybór rozwiązań do oceny luk w zabezpieczeniach:
- (NEW) The Microsoft threat and vulnerability management module of Microsoft Defender for Endpoint (see the release note)
- Zintegrowany agent Qualys
Wybrane rozwiązanie zostanie automatycznie włączone na obsługiwanych maszynach.
Dowiedz się więcej w temacie Automatyczne konfigurowanie oceny luk w zabezpieczeniach dla maszyn.
Filtry spisu oprogramowania dodane do spisu zasobów (w wersji zapoznawczej)
The asset inventory page now includes a filter to select machines running specific software - and even specify the versions of interest.
Ponadto możesz wykonywać zapytania dotyczące danych spisu oprogramowania w Eksploratorze usługi Azure Resource Graph.
Aby korzystać z tych nowych funkcji, należy włączyć integrację z Ochrona punktu końcowego w usłudze Microsoft Defender.
Aby uzyskać szczegółowe informacje, w tym przykładowe zapytania Kusto dla usługi Azure Resource Graph, zobacz Uzyskiwanie dostępu do spisu oprogramowania.
Zmieniono prefiks niektórych typów alertów z "ARM_" na "VM_"
W lipcu 2021 r. ogłosiliśmy logiczną reorganizację alertów usługi Azure Defender for Resource Manager
Podczas reorganizacji planów usługi Defender przenieśliśmy alerty z usługi Azure Defender for Resource Manager do usługi Azure Defender dla serwerów.
Dzięki tej aktualizacji zmieniliśmy prefiksy tych alertów, aby były zgodne z tym ponownym przypisaniem i zamieniliśmy ciąg "ARM_" na "VM_", jak pokazano w poniższej tabeli:
Original name | Z tej zmiany |
---|---|
ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
ARM_AmDisablement | VM_AmDisablement |
ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Dowiedz się więcej o planach usługi Azure Defender for Resource Manager i usługi Azure Defender for Servers .
Zmiany logiki zalecenia dotyczącego zabezpieczeń dla klastrów Kubernetes
Zalecenie "Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw" uniemożliwia użycie domyślnej przestrzeni nazw dla zakresu typów zasobów. Usunięto dwa typy zasobów uwzględnione w tym poleceniu: ConfigMap i Secret.
Dowiedz się więcej na temat tego zalecenia i wzmacniania zabezpieczeń klastrów Kubernetes w artykule Omówienie usługi Azure Policy dla klastrów Kubernetes.
Strony szczegółów zaleceń pokazują teraz powiązane zalecenia
To clarify the relationships between different recommendations, we've added a Related recommendations area to the details pages of many recommendations.
Trzy typy relacji, które są wyświetlane na tych stronach, to:
- Prerequisite - A recommendation that must be completed before the selected recommendation
- Alternative - A different recommendation which provides another way of achieving the goals of the selected recommendation
- Dependent - A recommendation for which the selected recommendation is a prerequisite
Dla każdego powiązanego zalecenia liczba zasobów w złej kondycji jest wyświetlana w kolumnie "Zasoby, których dotyczy problem".
Tip
Jeśli powiązane zalecenie jest wyszarane, jego zależność nie została jeszcze ukończona i nie jest dostępna.
Przykład powiązanych zaleceń:
Usługa Security Center sprawdza maszyny pod kątem obsługiwanych rozwiązań do oceny luk w zabezpieczeniach:
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnychJeśli zostanie znaleziony, otrzymasz powiadomienie o wykrytych lukach w zabezpieczeniach:
Należy skorygować luki w zabezpieczeniach maszyn wirtualnych
Oczywiście usługa Security Center nie może powiadomić Cię o wykrytych lukach w zabezpieczeniach, chyba że znajdzie obsługiwane rozwiązanie do oceny luk w zabezpieczeniach.
Therefore:
- Zalecenie nr 1 jest wymaganiem wstępnym dla zalecenia #2
- Zalecenie nr 2 zależy od zalecenia #1
Nowe alerty dla usługi Azure Defender dla platformy Kubernetes (w wersji zapoznawczej)
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Azure Defender dla platformy Kubernetes, dodaliśmy dwa alerty w wersji zapoznawczej.
Te alerty są generowane na podstawie nowego modelu uczenia maszynowego i zaawansowanej analizy kubernetes, mierzenia wielu atrybutów wdrażania i przypisywania ról względem poprzednich działań w klastrze i we wszystkich klastrach monitorowanych przez usługę Azure Defender.
Alert (typ alertu) | Description | MITRE tactic | Severity |
---|---|---|---|
Nietypowe wdrażanie zasobników (wersja zapoznawcza) (K8S_AnomalousPodDeployment) |
Analiza dziennika inspekcji platformy Kubernetes wykryła nietypowe wdrożenie zasobnika na podstawie poprzedniego działania wdrożenia zasobnika. To działanie jest uznawane za anomalię, biorąc pod uwagę, w jaki sposób różne funkcje widoczne w operacji wdrażania są w relacjach ze sobą. Funkcje monitorowane przez tę analizę obejmują używany rejestr obrazów kontenerów, konto wykonujące wdrożenie, dzień tygodnia, jak często to konto wykonuje wdrożenia zasobników, agent użytkownika używany w operacji, czy jest to przestrzeń nazw, która jest wdrożeniem zasobnika często lub inną funkcją. Najważniejsze przyczyny zgłaszania tego alertu jako nietypowe działania są szczegółowo opisane we właściwościach rozszerzonych alertu. | Execution | Medium |
Nadmierne uprawnienia roli przypisane w klastrze Kubernetes (wersja zapoznawcza) (K8S_ServiceAcountPermissionAnomaly) |
Analiza dzienników inspekcji platformy Kubernetes wykryła nadmierne przypisanie roli uprawnień do klastra. Podczas badania przypisań ról wymienione uprawnienia są nietypowe dla określonego konta usługi. To wykrywanie uwzględnia wcześniejsze przypisania ról do tego samego konta usługi w klastrach monitorowanych przez platformę Azure, wolumin na uprawnienie i wpływ określonego uprawnienia. Model wykrywania anomalii używany dla tego alertu uwzględnia sposób użycia tego uprawnienia we wszystkich klastrach monitorowanych przez usługę Azure Defender. | Privilege Escalation | Low |
Aby uzyskać pełną listę alertów platformy Kubernetes, zobacz Alerty dla klastrów Kubernetes.
September 2021
We wrześniu wydano następującą aktualizację:
Dwa nowe zalecenia dotyczące inspekcji konfiguracji systemu operacyjnego pod kątem zgodności punktów odniesienia zabezpieczeń platformy Azure (w wersji zapoznawczej)
Wydano następujące dwa zalecenia dotyczące oceny zgodności maszyn z punktem odniesienia zabezpieczeń systemu Windows i punktem odniesienia zabezpieczeń systemu Linux:
- W przypadku maszyn z systemem Windows należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z systemem Windows (obsługiwane przez konfigurację gościa)
- W przypadku maszyn z systemem Linux należy skorygować luki w zabezpieczeniach konfiguracji zabezpieczeń na maszynach z systemem Linux (obsługiwane przez konfigurację gościa)
Te zalecenia korzystają z funkcji konfiguracji gościa usługi Azure Policy, aby porównać konfigurację systemu operacyjnego maszyny z punktem odniesienia zdefiniowanym w teście porównawczym zabezpieczeń platformy Azure.
Dowiedz się więcej o korzystaniu z tych zaleceń w temacie Wzmacnianie zabezpieczeń konfiguracji systemu operacyjnego maszyny przy użyciu konfiguracji gościa.
August 2021
Aktualizacje w sierpniu obejmują:
- Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux są teraz obsługiwane przez usługę Azure Defender dla serwerów (w wersji zapoznawczej)
- Dwie nowe zalecenia dotyczące zarządzania rozwiązaniami ochrony punktu końcowego (w wersji zapoznawczej)
- Wbudowane rozwiązywanie typowych problemów i wskazówki dotyczące rozwiązywania typowych problemów
- Raporty inspekcji platformy Azure pulpitu nawigacyjnego zgodności z przepisami wydane pod kątem ogólnej dostępności
- Przestarzałe zalecenie "Problemy z kondycją agenta usługi Log Analytics należy rozwiązać na maszynach"
- Usługa Azure Defender dla rejestrów kontenerów skanuje teraz pod kątem luk w zabezpieczeniach rejestrów chronionych za pomocą usługi Azure Private Link
- Usługa Security Center może teraz automatycznie aprowizacji rozszerzenia konfiguracji gościa usługi Azure Policy (w wersji zapoznawczej)
- Rekomendacje obsługują teraz "Wymuszanie".
- Eksporty woluminów CSV dotyczące danych rekomendacji są teraz ograniczone do 20 MB
- Strona Rekomendacje zawiera teraz wiele widoków
Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux są teraz obsługiwane przez usługę Azure Defender dla serwerów (w wersji zapoznawczej)
Usługa Azure Defender dla serwerów zawiera zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender. Razem zapewniają kompleksowe możliwości wykrywanie i reagowanie w punktach końcowych (EDR).
Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w usłudze Security Center. Z poziomu usługi Security Center możesz również przestawienia się do konsoli usługi Defender dla punktu końcowego i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku.
W okresie obowiązywania wersji zapoznawczej wdrożysz czujnik usługi Defender dla punktu końcowego dla systemu Linux na maszynach z systemem Linux na jeden z dwóch sposobów, w zależności od tego, czy został on już wdrożony na maszynach z systemem Windows:
- Istniejący użytkownicy z włączonymi rozszerzonymi funkcjami zabezpieczeń Defender dla Chmury i Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows
- Nowi użytkownicy, którzy nigdy nie włączyli integracji z Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows
Dowiedz się więcej w artykule Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Security Center: Ochrona punktu końcowego w usłudze Microsoft Defender.
Dwie nowe zalecenia dotyczące zarządzania rozwiązaniami ochrony punktu końcowego (w wersji zapoznawczej)
We've added two preview recommendations to deploy and maintain the endpoint protection solutions on your machines. Oba zalecenia obejmują obsługę maszyn wirtualnych i maszyn platformy Azure połączonych z serwerami z obsługą usługi Azure Arc.
Recommendation | Description | Severity |
---|---|---|
Program Endpoint Protection powinien być zainstalowany na maszynach | Aby chronić maszyny przed zagrożeniami i lukami w zabezpieczeniach, zainstaluj obsługiwane rozwiązanie ochrony punktu końcowego.
Dowiedz się więcej na temat oceniania programu Endpoint Protection dla maszyn. (Powiązane zasady: Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center) |
High |
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Azure Security Center supported endpoint protection solutions are documented here. Endpoint protection assessment is documented here. (Powiązane zasady: Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center) |
Medium |
Note
Zalecenia pokazują ich interwał świeżości jako 8 godzin, ale istnieją pewne scenariusze, w których może to potrwać znacznie dłużej. Na przykład usunięcie maszyny lokalnej trwa 24 godziny, aby usługa Security Center zidentyfikowała usunięcie. Następnie ocena potrwa do 8 godzin, aby zwrócić informacje. W związku z tym w tej konkretnej sytuacji usunięcie maszyny z listy zasobów, których dotyczy problem, może potrwać 32 godziny.
Wbudowane rozwiązywanie typowych problemów i wskazówki dotyczące rozwiązywania typowych problemów
Nowy, dedykowany obszar stron usługi Security Center w witrynie Azure Portal zapewnia zestaw zestawów materiałów samodzielnej pomocy, które pozwalają rozwiązywać typowe problemy z usługami Security Center i Azure Defender.
Jeśli masz problem lub szukasz porady od naszego zespołu pomocy technicznej, Diagnozowanie i rozwiązywanie problemów to inne narzędzie ułatwiające znalezienie rozwiązania:
Raporty inspekcji platformy Azure pulpitu nawigacyjnego zgodności z przepisami wydane pod kątem ogólnej dostępności
Pasek narzędzi pulpitu nawigacyjnego zgodności z przepisami oferuje raporty dotyczące certyfikacji platformy Azure i usługi Dynamics dla standardów stosowanych do subskrypcji.
Możesz wybrać kartę odpowiednich typów raportów (PCI, SOC, ISO i innych) i użyć filtrów, aby znaleźć potrzebne raporty.
Aby uzyskać więcej informacji, zobacz Generowanie raportów o stanie zgodności i certyfikatów.
Przestarzałe zalecenie "Problemy z kondycją agenta usługi Log Analytics należy rozwiązać na maszynach"
Ustaliliśmy, że zalecenia dotyczące kondycji agenta usługi Log Analytics powinny być rozwiązywane na maszynach , które mają wpływ na wyniki bezpieczeństwa w sposób niezgodny z fokusem zarządzania stanem zabezpieczeń w chmurze (CSPM) usługi Security Center. Zazwyczaj CSPM odnosi się do identyfikowania błędów konfiguracji zabezpieczeń. Problemy z kondycją agenta nie pasują do tej kategorii problemów.
Ponadto zalecenie jest anomalią w porównaniu z innymi agentami związanymi z usługą Security Center: jest to jedyny agent z zaleceniem związanym z problemami z kondycją.
Zalecenie zostało uznane za przestarzałe.
W wyniku tego wycofania wprowadziliśmy również drobne zmiany w zaleceniach dotyczących instalowania agenta usługi Log Analytics (agent usługi Log Analytics powinien być zainstalowany na...).
Prawdopodobnie ta zmiana wpłynie na wyniki bezpieczeństwa. W przypadku większości subskrypcji oczekujemy, że zmiana doprowadzi do zwiększenia oceny, ale w niektórych przypadkach aktualizacje rekomendacji dotyczącej instalacji mogą spowodować zmniejszenie wyników.
Tip
The asset inventory page was also affected by this change as it displays the monitored status for machines (monitored, not monitored, or partially monitored - a state which refers to an agent with health issues).
Usługa Azure Defender dla rejestrów kontenerów skanuje teraz pod kątem luk w zabezpieczeniach rejestrów chronionych za pomocą usługi Azure Private Link
Usługa Azure Defender dla rejestrów kontenerów zawiera skaner luk w zabezpieczeniach do skanowania obrazów w rejestrach usługi Azure Container Registry. Dowiedz się, jak skanować rejestry i korygować wyniki w artykule Używanie usługi Azure Defender dla rejestrów kontenerów do skanowania obrazów pod kątem luk w zabezpieczeniach.
Aby ograniczyć dostęp do rejestru hostowanego w usłudze Azure Container Registry, przypisz prywatne adresy IP sieci wirtualnej do punktów końcowych rejestru i użyj usługi Azure Private Link, jak wyjaśniono w artykule Łączenie prywatnie z rejestrem kontenerów platformy Azure przy użyciu usługi Azure Private Link.
W ramach naszych ciągłych wysiłków w celu obsługi dodatkowych środowisk i przypadków użycia usługa Azure Defender skanuje również rejestry kontenerów chronione za pomocą usługi Azure Private Link.
Usługa Security Center może teraz automatycznie aprowizacji rozszerzenia konfiguracji gościa usługi Azure Policy (w wersji zapoznawczej)
Usługa Azure Policy może przeprowadzać inspekcję ustawień na maszynie, zarówno dla maszyn działających na maszynach połączonych z platformą Azure, jak i z usługą Arc. Taka weryfikacja jest wykonywana przez klienta i rozszerzenie konfiguracji gościa. Dowiedz się więcej w artykule Omówienie konfiguracji gościa usługi Azure Policy.
Dzięki tej aktualizacji można teraz ustawić usługę Security Center tak, aby automatycznie aprowizować to rozszerzenie dla wszystkich obsługiwanych maszyn.
Dowiedz się więcej o tym, jak działa automatyczne aprowizowanie, zobacz Konfigurowanie automatycznej aprowizacji dla agentów i rozszerzeń.
Rekomendacje obsługują teraz "Wymuszanie"
Security Center includes two features that help ensure newly created resources are provisioned in a secure manner: enforce and deny. Gdy zalecenie oferuje te opcje, możesz upewnić się, że wymagania dotyczące zabezpieczeń są spełnione za każdym razem, gdy ktoś spróbuje utworzyć zasób:
- Deny stops unhealthy resources from being created
- Enforce automatically remediates non-compliant resources when they're created
Dzięki tej aktualizacji opcja wymuszania jest teraz dostępna w zaleceniach dotyczących włączania planów usługi Azure Defender (takich jak usługa Azure Defender dla usługi App Service powinna być włączona, należy włączyć usługę Azure Defender for Key Vault, należy włączyć usługę Azure Defender for Storage).
Dowiedz się więcej o tych opcjach w temacie Zapobieganie błędom konfiguracji za pomocą zaleceń wymuszania/odmowy.
Eksporty woluminów CSV dotyczące danych rekomendacji są teraz ograniczone do 20 MB
Wprowadzamy limit wynoszący 20 MB podczas eksportowania danych zaleceń usługi Security Center.
Jeśli musisz wyeksportować większe ilości danych, użyj dostępnych filtrów przed wybraniem lub wybierz podzbióry subskrypcji i pobierz dane w partiach.
Dowiedz się więcej o wykonywaniu eksportu plików CSV zaleceń dotyczących zabezpieczeń.
Strona Rekomendacje zawiera teraz wiele widoków
Strona zaleceń zawiera teraz dwie karty umożliwiające wyświetlanie zaleceń dotyczących zasobów:
- Zalecenia dotyczące wskaźnika bezpieczeństwa — użyj tej karty, aby wyświetlić listę zaleceń pogrupowanych według kontroli zabezpieczeń. Dowiedz się więcej na temat tych mechanizmów kontroli w temacie Mechanizmy kontroli zabezpieczeń i ich zalecenia.
- All recommendations - Use this tab to view the list of recommendations as a flat list. Ta karta doskonale nadaje się również do zrozumienia, która inicjatywa (w tym standardy zgodności z przepisami) wygenerowała zalecenie. Dowiedz się więcej na temat inicjatyw i ich relacji z zaleceniami w artykule Co to są zasady zabezpieczeń, inicjatywy i zalecenia?
July 2021
Aktualizacje w lipcu obejmują:
- Łącznik usługi Microsoft Sentinel obejmuje teraz opcjonalną synchronizację alertów dwukierunkowych (w wersji zapoznawczej)
- Logiczna reorganizacja alertów usługi Azure Defender dla usługi Resource Manager
- Ulepszenia rekomendacji dotyczące włączania usługi Azure Disk Encryption (ADE)
- Ciągły eksport danych dotyczących wskaźnika bezpieczeństwa i zgodności z przepisami wydanych na potrzeby ogólnej dostępności
- Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (GA)
- Pola interfejsu API ocen "FirstEvaluationDate" i "StatusChangeDate" są teraz dostępne w schematach obszaru roboczego i aplikacjach logiki
- Szablon skoroszytu "Zgodność w czasie" dodany do galerii skoroszytów usługi Azure Monitor
Łącznik usługi Microsoft Sentinel obejmuje teraz opcjonalną synchronizację alertów dwukierunkowych (w wersji zapoznawczej)
Security Center natively integrates with Microsoft Sentinel, Azure's cloud-native SIEM and SOAR solution.
Usługa Microsoft Sentinel zawiera wbudowane łączniki usługi Azure Security Center na poziomie subskrypcji i dzierżawy. Dowiedz się więcej w artykule Stream alerts to Microsoft Sentinel (Alerty usługi Stream do usługi Microsoft Sentinel).
Po połączeniu usługi Azure Defender z usługą Microsoft Sentinel stan alertów usługi Azure Defender, które są pozyskiwane do usługi Microsoft Sentinel, jest synchronizowany między dwiema usługami. Na przykład po zamknięciu alertu w usłudze Azure Defender alert będzie wyświetlany jako zamknięty w usłudze Microsoft Sentinel. Changing the status of an alert in Azure Defender "won't"* affect the status of any Microsoft Sentinel incidents that contain the synchronized Microsoft Sentinel alert, only that of the synchronized alert itself.
Po włączeniu synchronizacji alertów dwukierunkowych funkcji w wersji zapoznawczej automatycznie synchronizuje stan oryginalnych alertów usługi Azure Defender z zdarzeniami usługi Microsoft Sentinel zawierającymi kopie tych alertów usługi Azure Defender. Na przykład po zamknięciu zdarzenia usługi Microsoft Sentinel zawierającego alert usługi Azure Defender usługa Azure Defender automatycznie zamknie odpowiedni oryginalny alert.
Dowiedz się więcej w artykule Connect Azure Defender alerts from Azure Security Center (Łączenie alertów usługi Azure Defender z centrum zabezpieczeń Azure).
Logiczna reorganizacja alertów usługi Azure Defender dla usługi Resource Manager
Alerty wymienione poniżej zostały podane w ramach planu usługi Azure Defender dla usługi Resource Manager .
W ramach logicznej reorganizacji niektórych planów usługi Azure Defender przenieśliśmy pewne alerty z usługi Azure Defender dla usługi Resource Manager do usługi Azure Defender dla serwerów.
Alerty są zorganizowane zgodnie z dwiema głównymi zasadami:
- Alerty zapewniające ochronę płaszczyzny sterowania — w wielu typach zasobów platformy Azure — są częścią usługi Azure Defender dla usługi Resource Manager
- Alerty, które chronią określone obciążenia, znajdują się w planie usługi Azure Defender, który odnosi się do odpowiedniego obciążenia
Są to alerty, które były częścią usługi Azure Defender dla usługi Resource Manager i które w wyniku tej zmiany są teraz częścią usługi Azure Defender dla serwerów:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Dowiedz się więcej o planach usługi Azure Defender for Resource Manager i usługi Azure Defender for Servers .
Ulepszenia rekomendacji dotyczące włączania usługi Azure Disk Encryption (ADE)
Po wykonaniu opinii użytkowników zmieniliśmy nazwę zalecenia Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych.
Nowe zalecenie używa tego samego identyfikatora oceny i nazywa się Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem.
Opis został również zaktualizowany, aby lepiej wyjaśnić przeznaczenie tego zalecenia dotyczącego wzmacniania zabezpieczeń:
Recommendation | Description | Severity |
---|---|---|
Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski tymczasowe i pamięci podręczne danych nie są szyfrowane, a dane nie są szyfrowane podczas przepływu między zasobami obliczeniowymi i magazynowymi. Aby uzyskać więcej informacji, zobacz porównanie różnych technologii szyfrowania dysków na platformie Azure. Za pomocą usługi Azure Disk Encryption szyfruj wszystkie te dane. Pomiń to zalecenie, jeśli (1) używasz funkcji szyfrowania na hoście lub (2) szyfrowanie po stronie serwera w Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie Szyfrowanie po stronie serwera usługi Azure Disk Storage. |
High |
Ciągły eksport danych dotyczących wskaźnika bezpieczeństwa i zgodności z przepisami wydanych na potrzeby ogólnej dostępności
Continuous export provides the mechanism for exporting your security alerts and recommendations for tracking with other monitoring tools in your environment.
Podczas konfigurowania eksportu ciągłego należy skonfigurować wyeksportowane elementy i miejsce, w którym zostanie on wyeksportowany. Dowiedz się więcej na temat przeglądu eksportu ciągłego.
Ulepszyliśmy i rozszerzyliśmy tę funkcję z upływem czasu:
In November 2020, we added the preview option to stream changes to your secure score.
In December 2020, we added the preview option to stream changes to your regulatory compliance assessment data.
Dzięki tej aktualizacji te dwie opcje są udostępniane w celu zapewnienia ogólnej dostępności.
Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (GA)
In February 2021, we added a preview third data type to the trigger options for your workflow automations: changes to regulatory compliance assessments. Dowiedz się więcej w temacie Automatyzacje przepływu pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami.
W przypadku tej aktualizacji ta opcja wyzwalacza jest udostępniana w celu zapewnienia ogólnej dostępności.
Dowiedz się, jak używać narzędzi automatyzacji przepływu pracy w temacie Automatyzowanie odpowiedzi na wyzwalacze usługi Security Center.
Pola interfejsu API ocen "FirstEvaluationDate" i "StatusChangeDate" są teraz dostępne w schematach obszaru roboczego i aplikacjach logiki
In May 2021, we updated the Assessment API with two new fields, FirstEvaluationDate and StatusChangeDate. Aby uzyskać szczegółowe informacje, zobacz Interfejs API ocen rozszerzony o dwa nowe pola.
Te pola były dostępne za pośrednictwem interfejsu API REST, usługi Azure Resource Graph, eksportu ciągłego i eksportu csv.
Dzięki tej zmianie udostępniamy informacje w schemacie obszaru roboczego usługi Log Analytics i z aplikacji logiki.
Szablon skoroszytu "Zgodność w czasie" dodany do galerii skoroszytów usługi Azure Monitor
W marcu ogłosiliśmy zintegrowane środowisko skoroszytów usługi Azure Monitor w usłudze Security Center (zobacz Skoroszyty usługi Azure Monitor zintegrowane z usługą Security Center i trzy udostępnione szablony).
W początkowej wersji zawarto trzy szablony umożliwiające tworzenie dynamicznych i wizualnych raportów dotyczących stanu zabezpieczeń organizacji.
Dodaliśmy skoroszyt przeznaczony do śledzenia zgodności subskrypcji z zastosowanymi normami prawnymi lub branżowymi.
Dowiedz się więcej o korzystaniu z tych raportów lub tworzeniu własnych informacji w artykule Tworzenie zaawansowanych, interaktywnych raportów dotyczących danych usługi Security Center.
June 2021
Aktualizacje w czerwcu obejmują:
- Nowy alert dla usługi Azure Defender for Key Vault
- Zalecenia dotyczące szyfrowania przy użyciu kluczy zarządzanych przez klienta (CMKs) są domyślnie wyłączone
- Prefiks alertów platformy Kubernetes został zmieniony z "AKS_" na "K8S_"
- Przestarzałe dwa zalecenia dotyczące kontroli zabezpieczeń "Stosowanie aktualizacji systemu"
Nowy alert dla usługi Azure Defender for Key Vault
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Azure Defender for Key Vault, dodaliśmy następujący alert:
Alert (typ alertu) | Description | MITRE tactic | Severity |
---|---|---|---|
Dostęp z podejrzanego adresu IP do magazynu kluczy (KV_SuspiciousIPAccess) |
Dostęp do magazynu kluczy został pomyślnie uzyskiwany przez adres IP, który został zidentyfikowany przez usługę Microsoft Threat Intelligence jako podejrzany adres IP. Może to oznaczać, że bezpieczeństwo infrastruktury zostało naruszone. Zalecamy dalsze badanie. | Credential Access | Medium |
Aby uzyskać więcej informacji, zobacz:
- Wprowadzenie do usługi Azure Defender dla usługi Key Vault
- Reagowanie na alerty usługi Azure Defender for Key Vault
- Lista alertów udostępnianych przez usługę Azure Defender for Key Vault
Zalecenia dotyczące szyfrowania przy użyciu kluczy zarządzanych przez klienta (CMKs) są domyślnie wyłączone
Usługa Security Center zawiera wiele zaleceń dotyczących szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez klienta, takich jak:
- Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
- Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
- Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
Dane na platformie Azure są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko wtedy, gdy jest to wymagane w celu zachowania zgodności z określonymi zasadami, które organizacja decyduje się wymusić.
Dzięki tej zmianie zalecenia dotyczące używania zestawów CMKs są teraz domyślnie wyłączone. When relevant for your organization, you can enable them by changing the Effect parameter for the corresponding security policy to AuditIfNotExists or Enforce. Dowiedz się więcej w artykule Włączanie rekomendacji dotyczącej zabezpieczeń.
Ta zmiana jest odzwierciedlana w nazwach rekomendacji z nowym prefiksem [Włącz, jeśli jest to wymagane], jak pokazano w następujących przykładach:
- [Włącz, jeśli jest to wymagane] Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych
- [Włącz, jeśli jest to wymagane] Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
- [Włącz, jeśli jest to wymagane] Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
Prefiks alertów platformy Kubernetes został zmieniony z "AKS_" na "K8S_"
Usługa Azure Defender dla platformy Kubernetes została niedawno rozszerzona w celu ochrony klastrów Kubernetes hostowanych lokalnie i w środowiskach wielochmurowych. Dowiedz się więcej w temacie Korzystanie z usługi Azure Defender dla platformy Kubernetes w celu ochrony wdrożeń hybrydowych i wielochmurowych platformy Kubernetes (w wersji zapoznawczej).
Aby odzwierciedlić fakt, że alerty zabezpieczeń udostępniane przez usługę Azure Defender dla platformy Kubernetes nie są już ograniczone do klastrów w usłudze Azure Kubernetes Service, zmieniliśmy prefiks typów alertów z "AKS_" na "K8S_". W razie potrzeby nazwy i opisy również zostały zaktualizowane. Na przykład ten alert:
Alert (typ alertu) | Description |
---|---|
Wykryto narzędzie do testowania penetracyjnego platformy Kubernetes (AKS_PenTestToolsKubeHunter) |
Kubernetes audit log analysis detected usage of Kubernetes penetration testing tool in the AKS cluster. Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą używać takich narzędzi publicznych do złośliwych celów. |
Zmieniono na ten alert:
Alert (typ alertu) | Description |
---|---|
Wykryto narzędzie do testowania penetracyjnego platformy Kubernetes (K8S_PenTestToolsKubeHunter) |
Kubernetes audit log analysis detected usage of Kubernetes penetration testing tool in the Kubernetes cluster. Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą używać takich narzędzi publicznych do złośliwych celów. |
Wszystkie reguły pomijania odwołujące się do alertów rozpoczynających się od "AKS_" zostały automatycznie przekonwertowane. Jeśli skonfigurowaliśmy eksporty rozwiązania SIEM lub niestandardowe skrypty automatyzacji odwołujące się do alertów platformy Kubernetes według typu alertu, należy je zaktualizować przy użyciu nowych typów alertów.
Aby uzyskać pełną listę alertów platformy Kubernetes, zobacz Alerty dla klastrów Kubernetes.
Przestarzałe dwa zalecenia dotyczące kontroli zabezpieczeń "Stosowanie aktualizacji systemu"
Następujące dwa zalecenia zostały uznane za przestarzałe:
- Wersja systemu operacyjnego powinna zostać zaktualizowana dla ról usługi w chmurze — domyślnie platforma Azure okresowo aktualizuje system operacyjny gościa do najnowszego obsługiwanego obrazu w rodzinie systemów operacyjnych określonych w konfiguracji usługi (cscfg), na przykład Windows Server 2016.
- Usługi Kubernetes Services powinny zostać uaktualnione do wersji platformy Kubernetes, która nie jest podatna na zagrożenia — oceny tej rekomendacji nie są tak szerokie, jak chcielibyśmy, aby były. Planujemy zastąpić zalecenie ulepszoną wersją, która jest lepiej zgodna z potrzebami w zakresie zabezpieczeń.
May 2021
Aktualizacje w maju obejmują:
- Usługa Azure Defender dla usług DNS i Azure Defender dla usługi Resource Manager została wydana w celu zapewnienia ogólnej dostępności
- Usługa Azure Defender dla relacyjnych baz danych typu open source wydana w celu zapewnienia ogólnej dostępności
- Nowe alerty dla usługi Azure Defender dla usługi Resource Manager
- Skanowanie w zabezpieczeniach ciągłej integracji/ciągłego wdrażania obrazów kontenerów przy użyciu przepływów pracy usługi GitHub i usługi Azure Defender (wersja zapoznawcza)
- Więcej zapytań usługi Resource Graph dostępnych dla niektórych zaleceń
- Ważność zalecenia dotyczącego klasyfikacji danych SQL została zmieniona
- Nowe zalecenia dotyczące włączania zaufanych funkcji uruchamiania (w wersji zapoznawczej)
- Nowe zalecenia dotyczące wzmacniania zabezpieczeń klastrów Kubernetes (w wersji zapoznawczej)
- Interfejs API ocen został rozszerzony o dwa nowe pola
- Spis zasobów pobiera filtr środowiska chmury
Usługa Azure Defender dla usług DNS i Azure Defender dla usługi Resource Manager została wydana w celu zapewnienia ogólnej dostępności
Te dwa natywne dla chmury plany ochrony przed zagrożeniami są teraz ogólnie dostępne.
Te nowe zabezpieczenia znacznie zwiększają odporność na ataki ze strony podmiotów zagrożeń i znacznie zwiększają liczbę zasobów platformy Azure chronionych przez usługę Azure Defender.
Usługa Azure Defender dla usługi Resource Manager — automatycznie monitoruje wszystkie operacje zarządzania zasobami wykonywane w organizacji. Aby uzyskać więcej informacji, zobacz:
Usługa Azure Defender dla systemu DNS — stale monitoruje wszystkie zapytania DNS z zasobów platformy Azure. Aby uzyskać więcej informacji, zobacz:
Aby uprościć proces włączania tych planów, skorzystaj z zaleceń:
- Usługa Azure Defender dla usługi Resource Manager powinna być włączona
- Usługa Azure Defender dla usługi DNS powinna być włączona
Note
Włączenie planów usługi Azure Defender powoduje naliczanie opłat. Learn about the pricing details per region on Security Center's pricing page.
Usługa Azure Defender dla relacyjnych baz danych typu open source wydana w celu zapewnienia ogólnej dostępności
Usługa Azure Security Center rozszerza ofertę ochrony SQL za pomocą nowego pakietu, aby uwzględnić relacyjne bazy danych typu open source:
- Serwery usługi Azure Defender dla bazy danych Azure SQL Database — broni serwerów SQL natywnych dla platformy Azure
- Usługa Azure Defender dla serwerów SQL na maszynach — rozszerza te same zabezpieczenia na serwery SQL w środowiskach hybrydowych, wielochmurowych i lokalnych
- Usługa Azure Defender dla relacyjnych baz danych typu open source — broni pojedynczych serwerów usługi Azure Databases for MySQL, PostgreSQL i MariaDB
Usługa Azure Defender dla relacyjnych baz danych typu open source stale monitoruje serwery pod kątem zagrożeń bezpieczeństwa i wykrywa nietypowe działania bazy danych wskazujące potencjalne zagrożenia dla usługi Azure Database for MySQL, PostgreSQL i MariaDB. Niektóre przykłady:
- Szczegółowe wykrywanie ataków siłowych — usługa Azure Defender dla relacyjnych baz danych typu open source zawiera szczegółowe informacje na temat prób i pomyślnych ataków siłowych. Dzięki temu można badać i reagować, lepiej rozumiejąc charakter i stan ataku na środowisko.
- Wykrywanie alertów behawioralnych — usługa Azure Defender dla relacyjnych baz danych typu open source powiadamia o podejrzanych i nieoczekiwanych zachowaniach na serwerach, takich jak zmiany wzorca dostępu do bazy danych.
- Wykrywanie oparte na analizie zagrożeń — usługa Azure Defender stosuje analizę zagrożeń firmy Microsoft i ogromne baza wiedzy, aby uwidocznić alerty zagrożeń, dzięki czemu można na nich działać.
Dowiedz się więcej w artykule Wprowadzenie do usługi Azure Defender dla relacyjnych baz danych typu open source.
Nowe alerty dla usługi Azure Defender dla usługi Resource Manager
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Azure Defender dla usługi Resource Manager, dodaliśmy następujące alerty:
Alert (typ alertu) | Description | MITRE tactics | Severity |
---|---|---|---|
Uprawnienia przyznane dla roli RBAC w nietypowy sposób dla środowiska platformy Azure (wersja zapoznawcza) (ARM_AnomalousRBACRoleAssignment) |
Usługa Azure Defender dla usługi Resource Manager wykryła przypisanie roli RBAC, które jest nietypowe w porównaniu z innymi przypisaniami wykonywanymi przez tego samego przypisania /wykonane dla tego samego przypisania / w dzierżawie z powodu następujących anomalii: czas przypisania, lokalizacja przypisania, przypisywanie, metoda uwierzytelniania, przypisane jednostki, używane oprogramowanie klienckie, zakres przypisania. Ta operacja mogła zostać wykonana przez uprawnionego użytkownika w organizacji. Alternatywnie może to wskazywać, że konto w organizacji zostało naruszone i że aktor zagrożeń próbuje udzielić uprawnień do dodatkowego konta użytkownika, którego jest właścicielem. | Ruch poprzeczny, uchylanie się od obrony | Medium |
Rola niestandardowa uprzywilejowana utworzona dla subskrypcji w podejrzany sposób (wersja zapoznawcza) (ARM_PrivilegedRoleDefinitionCreation) |
Usługa Azure Defender dla usługi Resource Manager wykryła podejrzane tworzenie definicji roli niestandardowej uprzywilejowanej w ramach subskrypcji. Ta operacja mogła zostać wykonana przez uprawnionego użytkownika w organizacji. Alternatywnie może to wskazywać, że konto w organizacji zostało naruszone i że aktor zagrożeń próbuje utworzyć uprzywilejowaną rolę do użycia w przyszłości w celu uniknięcia wykrycia. | Ruch poprzeczny, uchylanie się od obrony | Low |
Operacja usługi Azure Resource Manager z podejrzanego adresu IP (wersja zapoznawcza) (ARM_OperationFromSuspiciousIP) |
Usługa Azure Defender dla usługi Resource Manager wykryła operację z adresu IP, który został oznaczony jako podejrzany w źródłach analizy zagrożeń. | Execution | Medium |
Operacja usługi Azure Resource Manager z podejrzanego adresu IP serwera proxy (wersja zapoznawcza) (ARM_OperationFromSuspiciousProxyIP) |
Usługa Azure Defender dla usługi Resource Manager wykryła operację zarządzania zasobami z adresu IP skojarzonego z usługami proxy, takimi jak TOR. Chociaż to zachowanie może być uzasadnione, często występuje w złośliwych działaniach, gdy aktorzy zagrożeń próbują ukryć źródłowy adres IP. | Defense Evasion | Medium |
Aby uzyskać więcej informacji, zobacz:
- Wprowadzenie do usługi Azure Defender dla usługi Resource Manager
- Reagowanie na alerty usługi Azure Defender for Resource Manager
- Lista alertów udostępnianych przez usługę Azure Defender dla usługi Resource Manager
Skanowanie w zabezpieczeniach ciągłej integracji/ciągłego wdrażania obrazów kontenerów przy użyciu przepływów pracy usługi GitHub i usługi Azure Defender (wersja zapoznawcza)
Usługa Azure Defender dla rejestrów kontenerów zapewnia teraz zespołom DevSecOps wgląd w przepływy pracy funkcji GitHub Actions.
The new vulnerability scanning feature for container images, utilizing Trivy, helps you to scan for common vulnerabilities in their container images before pushing images to container registries.
Raporty skanowania kontenerów są podsumowane w usłudze Azure Security Center, zapewniając zespołom ds. zabezpieczeń lepsze informacje o źródle narażonych obrazów kontenerów oraz przepływów pracy i repozytoriów, z których pochodzą.
Dowiedz się więcej w artykule Identyfikowanie obrazów kontenerów podatnych na zagrożenia w przepływach pracy ciągłej integracji/ciągłego wdrażania.
Więcej zapytań usługi Resource Graph dostępnych dla niektórych zaleceń
All of Security Center's recommendations have the option to view the information about the status of affected resources using Azure Resource Graph from the Open query. Aby uzyskać szczegółowe informacje na temat tej zaawansowanej funkcji, zobacz Przeglądanie danych rekomendacji w Eksploratorze usługi Azure Resource Graph.
Usługa Security Center obejmuje wbudowane skanery luk w zabezpieczeniach do skanowania maszyn wirtualnych, serwerów SQL i ich hostów oraz rejestrów kontenerów pod kątem luk w zabezpieczeniach. Wyniki są zwracane jako zalecenia dotyczące wszystkich poszczególnych ustaleń dla każdego typu zasobu zebranego w jeden widok. Zalecenia są następujące:
- Luki w zabezpieczeniach obrazów usługi Azure Container Registry powinny zostać skorygowane (obsługiwane przez firmę Qualys)
- Należy skorygować luki w zabezpieczeniach maszyn wirtualnych
- Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
- Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
With this change, you can use the Open query button to also open the query showing the security findings.
The Open query button offers additional options for some other recommendations where relevant.
Dowiedz się więcej o skanerach luk w zabezpieczeniach usługi Security Center:
- Zintegrowany skaner luk w zabezpieczeniach qualys w usłudze Azure Defender dla platformy Azure i maszyn hybrydowych
- Zintegrowany skaner oceny luk w zabezpieczeniach usługi Azure Defender dla serwerów SQL
- Zintegrowany skaner oceny luk w zabezpieczeniach usługi Azure Defender dla rejestrów kontenerów
Ważność zalecenia dotyczącego klasyfikacji danych SQL została zmieniona
Ważność zalecenia Poufne dane w bazach danych SQL powinna zostać sklasyfikowana , została zmieniona z Wysoki na Niski.
Jest to część ciągłej zmiany tej rekomendacji ogłoszonej na naszej nadchodzącej stronie zmian.
Nowe zalecenia dotyczące włączania zaufanych funkcji uruchamiania (w wersji zapoznawczej)
Azure offers trusted launch as a seamless way to improve the security of generation 2 VMs. Zaufane uruchamianie chroni przed zaawansowanymi i trwałymi technikami ataków. Zaufane uruchamianie składa się z kilku, skoordynowanych technologii infrastruktury, które można włączyć niezależnie. Każda technologia zapewnia kolejną warstwę obrony przed zaawansowanymi zagrożeniami. Dowiedz się więcej w temacie Zaufane uruchamianie maszyn wirtualnych platformy Azure.
Important
Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych. Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.
Zaufane uruchamianie jest obecnie dostępne w publicznej wersji zapoznawczej. Wersja zapoznawcza jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone.
Zalecenie usługi Security Center, że maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych, gwarantuje, że maszyny wirtualne platformy Azure używają maszyn wirtualnych vTPM. Ta zwirtualizowana wersja sprzętowego modułu Trusted Platform Module umożliwia zaświadczenie przez pomiar całego łańcucha rozruchu maszyny wirtualnej (UEFI, OS, system i sterowniki).
Po włączeniu funkcji vTPM rozszerzenie zaświadczania gościa może zdalnie zweryfikować bezpieczny rozruch. Następujące zalecenia zapewniają wdrożenie tego rozszerzenia:
- Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows
- Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows
- Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows
- Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux
- Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux
Dowiedz się więcej w temacie Zaufane uruchamianie maszyn wirtualnych platformy Azure.
Nowe zalecenia dotyczące wzmacniania zabezpieczeń klastrów Kubernetes (w wersji zapoznawczej)
Poniższe zalecenia umożliwiają dalsze wzmacnianie zabezpieczeń klastrów Kubernetes
- Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw — aby chronić przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount, zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes.
- Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API — aby zapobiec potencjalnie naruszonemu zasobowi zasobnika uruchamiania poleceń interfejsu API w klastrach Kubernetes, wyłącz automatyczne instalowanie poświadczeń interfejsu API.
- Klastry Kubernetes nie powinny udzielać możliwości zabezpieczeń CAPSYSADMIN
Dowiedz się, jak usługa Security Center może chronić środowiska konteneryzowane w zabezpieczeniach kontenerów w usłudze Security Center.
Interfejs API ocen został rozszerzony o dwa nowe pola
Do interfejsu API REST ocen dodaliśmy następujące dwa pola:
- FirstEvaluationDate – The time that the recommendation was created and first evaluated. Zwracany jako czas UTC w formacie ISO 8601.
- StatusChangeDate – The time that the status of the recommendation last changed. Zwracany jako czas UTC w formacie ISO 8601.
Początkowa wartość domyślna dla tych pól — dla wszystkich zaleceń — to 2021-03-14T00:00:00+0000000Z
.
Aby uzyskać dostęp do tych informacji, możesz użyć dowolnej z metod w poniższej tabeli.
Tool | Details |
---|---|
Wywołanie interfejsu API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
Azure Resource Graph | securityresources where type == "microsoft.security/assessments" |
Continuous export | Dwa dedykowane pola będą dostępne dla danych obszaru roboczego usługi Log Analytics |
CSV export | Dwa pola są uwzględniane w plikach CSV |
Dowiedz się więcej o interfejsie API REST ocen.
Spis zasobów pobiera filtr środowiska chmury
Strona spisu zasobów usługi Security Center oferuje wiele filtrów, które umożliwiają szybkie uściślenie wyświetlanej listy zasobów. Dowiedz się więcej w artykule Eksplorowanie zasobów i zarządzanie nimi za pomocą spisu zasobów.
Nowy filtr oferuje opcję uściślinia listy zgodnie z kontami w chmurze połączonymi z funkcją wielochmurową usługi Security Center.
Dowiedz się więcej o funkcjach wielochmurowych:
- Łączenie kont platformy AWS z usługą Azure Security Center
- Łączenie projektów GCP z usługą Azure Security Center
April 2021
Aktualizacje w kwietniu obejmują:
- Odświeżona strona kondycji zasobów (w wersji zapoznawczej)
- Obrazy rejestru kontenerów, które zostały ostatnio pobrane, są teraz ponownie skanowane co tydzień (wydane pod kątem ogólnej dostępności))
- Korzystanie z usługi Azure Defender dla platformy Kubernetes w celu ochrony wdrożeń hybrydowych i wielochmurowych platformy Kubernetes (w wersji zapoznawczej)
- Ochrona punktu końcowego w usłudze Microsoft Defender integracja z usługą Azure Defender obsługuje teraz systemy Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop wydane w celu zapewnienia ogólnej dostępności
- Zalecenia dotyczące włączania usługi Azure Defender dla usług DNS i Resource Manager (w wersji zapoznawczej)
- Dodano trzy standardy zgodności z przepisami: Azure CIS 1.3.0, CMMC Level 3 i New Zealand ISM Restricted
- Cztery nowe zalecenia związane z konfiguracją gościa (w wersji zapoznawczej)
- Zalecenia dotyczące klucza zarządzanego przez klienta zostały przeniesione do kontroli zabezpieczeń najlepszych rozwiązań
- Jedenaście alertów usługi Azure Defender jest przestarzałych
- Dwie rekomendacje dotyczące kontroli zabezpieczeń "Zastosuj aktualizacje systemu" zostały uznane za przestarzałe
- Kafelek usługi Azure Defender for SQL na maszynie został usunięty z pulpitu nawigacyjnego usługi Azure Defender
- Zalecenia zostały przeniesione między mechanizmami kontroli zabezpieczeń
Odświeżona strona kondycji zasobów (w wersji zapoznawczej)
Kondycja zasobu została rozszerzona, ulepszona i ulepszona w celu zapewnienia widoku migawki ogólnego stanu pojedynczego zasobu.
Możesz przejrzeć szczegółowe informacje o zasobie i wszystkich zaleceniach, które mają zastosowanie do tego zasobu. Ponadto, jeśli używasz zaawansowanych planów ochrony usługi Microsoft Defender, możesz również zobaczyć wyjątkowe alerty zabezpieczeń dla tego konkretnego zasobu.
Aby otworzyć stronę kondycji zasobu dla zasobu, wybierz dowolny zasób ze strony spisu zasobów.
Ta strona podglądu na stronach portalu usługi Security Center pokazuje:
- Resource information - The resource group and subscription it's attached to, the geographic location, and more.
- Zastosowana funkcja zabezpieczeń — określa, czy usługa Azure Defender jest włączona dla zasobu.
- Liczba wybitnych zaleceń i alertów — liczba wybitnych zaleceń dotyczących zabezpieczeń i alertów usługi Azure Defender.
- Zalecenia i alerty z możliwością działania — dwie karty zawierają zalecenia i alerty dotyczące zasobu.
Dowiedz się więcej w artykule Samouczek: badanie kondycji zasobów.
Obrazy rejestru kontenerów, które zostały ostatnio pobrane, są teraz ponownie skanowane co tydzień (wydane pod kątem ogólnej dostępności))
Usługa Azure Defender dla rejestrów kontenerów zawiera wbudowany skaner luk w zabezpieczeniach. Ten skaner natychmiast skanuje każdy obraz wypychany do rejestru i dowolny obraz ściągnięty w ciągu ostatnich 30 dni.
Nowe luki w zabezpieczeniach są wykrywane codziennie. With this update, container images that were pulled from your registries during the last 30 days will be rescanned every week. Dzięki temu nowo odnalezione luki w zabezpieczeniach zostaną zidentyfikowane na obrazach.
Opłata za skanowanie jest naliczana na podstawie obrazu, więc za te operacje skanowania nie są naliczane dodatkowe opłaty.
Dowiedz się więcej na temat tego skanera w artykule Używanie usługi Azure Defender dla rejestrów kontenerów do skanowania obrazów pod kątem luk w zabezpieczeniach.
Korzystanie z usługi Azure Defender dla platformy Kubernetes w celu ochrony wdrożeń hybrydowych i wielochmurowych platformy Kubernetes (w wersji zapoznawczej)
Usługa Azure Defender dla platformy Kubernetes rozszerza możliwości ochrony przed zagrożeniami, aby bronić klastrów niezależnie od ich wdrożenia. Umożliwiono to integrację z platformą Kubernetes z włączoną usługą Azure Arc i jej nowymi możliwościami rozszerzeń.
Po włączeniu usługi Azure Arc w klastrach spoza platformy Azure Kubernetes nowe zalecenie z usługi Azure Security Center oferuje wdrożenie agenta usługi Azure Defender tylko za pomocą kilku kliknięć.
Użyj zalecenia (klastry Kubernetes z włączoną obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Defender) i rozszerzenie w celu ochrony klastrów Kubernetes wdrożonych u innych dostawców chmury, chociaż nie w zarządzanych usługach Kubernetes.
Ta integracja między usługami Azure Security Center, Azure Defender i Kubernetes z włączoną usługą Azure Arc zapewnia następujące korzyści:
- Łatwe aprowizowanie agenta usługi Azure Defender w celu niechronienia klastrów Kubernetes z włączoną usługą Azure Arc (ręcznie i na dużą skalę)
- Monitorowanie agenta usługi Azure Defender i jego stanu aprowizacji z witryny Azure Arc Portal
- Zalecenia dotyczące zabezpieczeń z usługi Security Center są zgłaszane na nowej stronie Zabezpieczenia w witrynie Azure Arc Portal
- Zidentyfikowane zagrożenia bezpieczeństwa z usługi Azure Defender są zgłaszane na nowej stronie Zabezpieczenia w witrynie Azure Arc Portal
- Klastry Kubernetes z obsługą usługi Azure Arc są zintegrowane z platformą i środowiskiem usługi Azure Security Center
Dowiedz się więcej w artykule Korzystanie z usługi Azure Defender dla platformy Kubernetes z lokalnymi i wielochmurowymi klastrami Kubernetes.
Ochrona punktu końcowego w usłudze Microsoft Defender integracja z usługą Azure Defender obsługuje teraz systemy Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop wydane w celu zapewnienia ogólnej dostępności
Usługa Ochrona punktu końcowego w usłudze Microsoft Defender to całościowe, dostępne w chmurze rozwiązanie służące do zabezpieczania punktów końcowych. Zapewnia on zarządzanie lukami w zabezpieczeniach i ocenę opartą na ryzyku, a także wykrywanie i reagowanie w punktach końcowych (EDR). Aby uzyskać pełną listę zalet korzystania z usługi Defender for Endpoint razem z usługą Azure Security Center, zobacz Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Security Center: Ochrona punktu końcowego w usłudze Microsoft Defender.
Po włączeniu usługi Azure Defender dla serwerów z systemem Windows Server licencja dla usługi Defender dla punktu końcowego jest dołączona do planu. Jeśli usługa Azure Defender dla serwerów została już włączona i masz serwery z systemem Windows Server 2019 w subskrypcji, automatycznie otrzymają one usługę Defender for Endpoint z tą aktualizacją. Nie jest wymagana żadna akcja ręczna.
Obsługa została rozszerzona w celu uwzględnienia systemów Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop.
Note
Jeśli włączasz usługę Defender for Endpoint na serwerze z systemem Windows Server 2019, upewnij się, że spełnia ona wymagania wstępne opisane w artykule Włączanie integracji z Ochrona punktu końcowego w usłudze Microsoft Defender.
Zalecenia dotyczące włączania usługi Azure Defender dla usług DNS i Resource Manager (w wersji zapoznawczej)
Dodano dwie nowe zalecenia, aby uprościć proces włączania usługi Azure Defender dla usługi Resource Manager i usługi Azure Defender dla systemu DNS:
- Należy włączyć usługę Azure Defender dla usługi Resource Manager — usługa Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach.
- Usługa Azure Defender dla usługi DNS powinna być włączona — usługa Defender for DNS zapewnia dodatkową warstwę ochrony zasobów w chmurze, stale monitorując wszystkie zapytania DNS z zasobów platformy Azure. Usługa Azure Defender ostrzega Cię o podejrzanych działaniach w warstwie DNS.
Włączenie planów usługi Azure Defender powoduje naliczanie opłat. Learn about the pricing details per region on Security Center's pricing page.
Tip
Rekomendacje dotyczące wersji zapoznawczej nie renderują zasobu w złej kondycji i nie są uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Koryguj je wszędzie tam, gdzie jest to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku. Dowiedz się więcej o sposobie reagowania na te zalecenia w temacie Korygowanie zaleceń w usłudze Azure Security Center.
Dodano trzy standardy zgodności z przepisami: Azure CIS 1.3.0, CMMC Level 3 i New Zealand ISM Restricted
Dodaliśmy trzy standardy do użycia z usługą Azure Security Center. Korzystając z pulpitu nawigacyjnego zgodności z przepisami, możesz teraz śledzić zgodność z:
Można je przypisać do subskrypcji zgodnie z opisem w temacie Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Dowiedz się więcej w:
- Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami
- Samouczek: ulepszanie zgodności z przepisami
- Często zadawane pytania — pulpit nawigacyjny zgodności z przepisami
Cztery nowe zalecenia związane z konfiguracją gościa (w wersji zapoznawczej)
Rozszerzenie Konfiguracji gościa platformy Azure raportuje do usługi Security Center, aby upewnić się, że ustawienia gościa maszyn wirtualnych są wzmocnione. Rozszerzenie nie jest wymagane w przypadku serwerów z włączoną usługą Arc, ponieważ jest ono dostępne w agencie maszyny połączonej z usługą Arc. Rozszerzenie wymaga tożsamości zarządzanej przez system na maszynie.
Dodaliśmy cztery nowe zalecenia do usługi Security Center, aby jak najlepiej wykorzystać to rozszerzenie.
Dwa zalecenia monitować o zainstalowanie rozszerzenia i jego wymaganej tożsamości zarządzanej przez system:
- Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach
- Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system
Po zainstalowaniu i uruchomieniu rozszerzenia rozpocznie inspekcję maszyn i zostanie wyświetlony monit o wzmocnienie zabezpieczeń ustawień, takich jak konfiguracja systemu operacyjnego i ustawień środowiska. Te dwa zalecenia spowodują wyświetlenie monitu o wzmocnienie zabezpieczeń maszyn z systemami Windows i Linux zgodnie z opisem:
- Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach
- Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH
Dowiedz się więcej w artykule Omówienie konfiguracji gościa usługi Azure Policy.
Zalecenia dotyczące klucza zarządzanego przez klienta zostały przeniesione do kontroli zabezpieczeń najlepszych rozwiązań
Każdy program zabezpieczeń organizacji obejmuje wymagania dotyczące szyfrowania danych. Domyślnie dane klientów platformy Azure są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę. Klucze zarządzane przez klienta są jednak często wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Zapewnia to pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie.
Mechanizmy kontroli zabezpieczeń usługi Azure Security Center to logiczne grupy powiązanych zaleceń dotyczących zabezpieczeń i odzwierciedlają powierzchnie podatne na ataki. Każda kontrolka ma maksymalną liczbę punktów, które można dodać do wskaźnika bezpieczeństwa, jeśli korygujesz wszystkie zalecenia wymienione w kontrolce dla wszystkich zasobów. Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń kontroli zabezpieczeń jest warte zero punktów. Dlatego rekomendacje w tej kontrolce nie wpływają na wskaźnik bezpieczeństwa.
Zalecenia wymienione poniżej są przenoszone do sekcji Implementowanie kontroli zabezpieczeń najlepszych rozwiązań w celu lepszego odzwierciedlenia ich opcjonalnego charakteru. Ten ruch gwarantuje, że te zalecenia znajdują się w najbardziej odpowiedniej kontroli, aby spełnić ich cel.
- Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
- Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
- Konta usług Azure AI powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta (CMK)
- Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
- Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
- Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
- Konta magazynu powinny używać klucza zarządzanego przez klienta (CMK) do szyfrowania
Dowiedz się, które zalecenia znajdują się w każdej kontroli zabezpieczeń w obszarze Mechanizmy kontroli zabezpieczeń i ich zalecenia.
11 Alerty usługi Azure Defender przestarzałe
Jedenaście alertów usługi Azure Defender wymienionych poniżej zostało przestarzałych.
Nowe alerty zastąpią te dwa alerty i zapewniają lepsze pokrycie:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo WERSJA ZAPOZNAWCZA — wykryto uruchomienie funkcji "Get-AzureDomainInfo" zestawu narzędzi MicroBurst ARM_MicroBurstRunbook WERSJA ZAPOZNAWCZA — wykryto uruchomienie funkcji "Get-AzurePasswords" zestawu narzędzi MicroBurst Te dziewięć alertów dotyczy łącznika usługi Azure Active Directory Identity Protection (IPC), który został już przestarzały:
AlertType AlertDisplayName UnfamiliarLocation Nieznane właściwości logowania AnonymousLogin Anonimowy adres IP InfectedDeviceLogin Adres IP połączony ze złośliwym oprogramowaniem ImpossibleTravel Nietypowa podróż MaliciousIP Złośliwy adres IP LeakedCredentials Ujawnione poświadczenia PasswordSpray Password Spray LeakedCredentials Analiza zagrożeń w usłudze Azure AD AADAI Azure AD AI Tip
Te dziewięć alertów IPC nigdy nie były alertami usługi Security Center. Są one częścią łącznika usługi Azure Active Directory Identity Protection (IPC), który wysyłał je do usługi Security Center. W ciągu ostatnich dwóch lat jedynymi klientami, którzy widzieli te alerty, są organizacje, które skonfigurowały eksport (z łącznika do usługi ASC) w 2019 r. lub wcześniej. Usługa Azure Active Directory IPC nadal wyświetla je we własnych systemach alertów i nadal jest dostępna w usłudze Microsoft Sentinel. Jedyną zmianą jest to, że nie są one już wyświetlane w usłudze Security Center.
Dwie rekomendacje dotyczące kontroli zabezpieczeń "Zastosuj aktualizacje systemu" zostały uznane za przestarzałe
Następujące dwa zalecenia zostały uznane za przestarzałe, a zmiany mogą spowodować niewielki wpływ na wskaźnik bezpieczeństwa:
- Aby zastosować aktualizacje systemowe, należy ponownie uruchomić maszyny
- Agent monitorowania powinien być zainstalowany na maszynach. To zalecenie dotyczy tylko maszyn lokalnych, a niektóre z jej logiki zostaną przeniesione do innego zalecenia. Problemy z kondycją agenta usługi Log Analytics powinny zostać rozwiązane na maszynach
Zalecamy sprawdzenie konfiguracji automatyzacji eksportu ciągłego i przepływu pracy, aby sprawdzić, czy te zalecenia są zawarte w nich. Ponadto wszystkie pulpity nawigacyjne lub inne narzędzia do monitorowania, które mogą ich używać, powinny być odpowiednio aktualizowane.
Kafelek usługi Azure Defender for SQL na maszynie został usunięty z pulpitu nawigacyjnego usługi Azure Defender
Obszar pokrycia pulpitu nawigacyjnego usługi Azure Defender zawiera kafelki dla odpowiednich planów usługi Azure Defender dla danego środowiska. Ze względu na problem z raportowaniem liczby chronionych i niechronionych zasobów postanowiliśmy tymczasowo usunąć stan pokrycia zasobów dla usługi Azure Defender for SQL na maszynach , dopóki problem nie zostanie rozwiązany.
Zalecenia przeniesione między mechanizmami kontroli zabezpieczeń
Poniższe zalecenia zostały przeniesione do różnych mechanizmów kontroli zabezpieczeń. Mechanizmy kontroli zabezpieczeń to logiczne grupy powiązanych zaleceń dotyczących zabezpieczeń i odzwierciedlają powierzchnie podatne na ataki. Dzięki temu każda z tych rekomendacji jest w najbardziej odpowiedniej kontroli, aby osiągnąć swój cel.
Dowiedz się, które zalecenia znajdują się w każdej kontroli zabezpieczeń w obszarze Mechanizmy kontroli zabezpieczeń i ich zalecenia.
Recommendation | Zmiana i wpływ |
---|---|
Ocena luk w zabezpieczeniach powinna być włączona na Twoich serwerach SQL Ocena luk w zabezpieczeniach powinna być włączona w wystąpieniach zarządzanych SQL Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane Należy skorygować luki w zabezpieczeniach baz danych SQL na maszynach wirtualnych |
Przechodzenie z korygowania luk w zabezpieczeniach (o wartości sześciu punktów) aby skorygować konfiguracje zabezpieczeń (warte cztery punkty). W zależności od środowiska te zalecenia będą miały ograniczony wpływ na ocenę. |
Do Twojej subskrypcji powinien być przypisany więcej niż jeden właściciel Zmienne konta usługi Automation powinny być szyfrowane Urządzenia IoT — proces inspekcji przestał wysyłać zdarzenia Urządzenia IoT — niepowodzenie weryfikacji punktu odniesienia systemu operacyjnego Urządzenia IoT — wymagane jest uaktualnienie pakietu szyfrowania TLS Urządzenia IoT — otwieranie portów na urządzeniu Urządzenia IoT — znaleziono zasady zapory permissive w jednym z łańcuchów Urządzenia IoT — odnaleziono regułę zapory permissive w łańcuchu danych wejściowych Urządzenia IoT — odnaleziono regułę zapory permissive w łańcuchu danych wyjściowych Dzienniki diagnostyczne w usłudze IoT Hub powinny być włączone Urządzenia IoT — agent wysyłający nie w pełni wykorzystywane komunikaty Urządzenia IoT — domyślne zasady filtrowania adresów IP powinny mieć wartość Odmów Urządzenia IoT — reguła filtrowania adresów IP — duży zakres adresów IP Urządzenia IoT — należy dostosować interwały i rozmiar komunikatów agenta Urządzenia IoT — identyczne poświadczenia uwierzytelniania Urządzenia IoT — proces inspekcji przestał wysyłać zdarzenia Urządzenia IoT — konfiguracja punktu odniesienia systemu operacyjnego (OS) powinna zostać naprawiona |
Przejście do implementowania najlepszych rozwiązań w zakresie zabezpieczeń. Gdy rekomendacja zostanie przeniesiona do pozycji Implementowanie kontroli zabezpieczeń najlepszych rozwiązań w zakresie zabezpieczeń, która nie jest warta żadnych punktów, zalecenie nie ma już wpływu na wskaźnik bezpieczeństwa. |
March 2021
Aktualizacje w marcu obejmują:
- Zarządzanie usługą Azure Firewall zintegrowane z usługą Security Center
- Ocena luk w zabezpieczeniach SQL obejmuje teraz środowisko "Wyłącz regułę" (wersja zapoznawcza)
- Skoroszyty usługi Azure Monitor zintegrowane z usługą Security Center i trzy udostępnione szablony
- Pulpit nawigacyjny zgodności z przepisami zawiera teraz raporty inspekcji platformy Azure (wersja zapoznawcza)
- Dane rekomendacji można wyświetlić w usłudze Azure Resource Graph za pomocą polecenia "Eksploruj w usłudze ARG"
- Aktualizacje zasad wdrażania automatyzacji przepływu pracy
- Dwa starsze zalecenia nie zapisują już danych bezpośrednio w dzienniku aktywności platformy Azure
- Ulepszenia strony rekomendacji
Zarządzanie usługą Azure Firewall zintegrowane z usługą Security Center
Po otwarciu usługi Azure Security Center pierwsza strona, która ma być wyświetlana, to strona przeglądu.
Ten interaktywny pulpit nawigacyjny zapewnia ujednolicony widok stanu zabezpieczeń obciążeń chmury hybrydowej. Ponadto wyświetla alerty zabezpieczeń, informacje o zasięgu i nie tylko.
W ramach pomocy w wyświetlaniu stanu zabezpieczeń z poziomu centralnego środowiska zintegrowaliśmy usługę Azure Firewall Manager z tym pulpitem nawigacyjnym. Teraz możesz sprawdzić stan pokrycia zapory we wszystkich sieciach i centralnie zarządzać zasadami usługi Azure Firewall, począwszy od usługi Security Center.
Dowiedz się więcej o tym pulpicie nawigacyjnym na stronie przeglądu usługi Azure Security Center.
Ocena luk w zabezpieczeniach SQL obejmuje teraz środowisko "Wyłącz regułę" (wersja zapoznawcza)
Usługa Security Center zawiera wbudowany skaner luk w zabezpieczeniach, który ułatwia odnajdywanie, śledzenie i korygowanie potencjalnych luk w zabezpieczeniach bazy danych. Wyniki skanowania oceny zawierają omówienie stanu zabezpieczeń maszyn SQL oraz szczegółowe informacje na temat wszelkich ustaleń dotyczących zabezpieczeń.
Jeśli masz organizacyjną potrzebę ignorowania znajdowania, a nie korygowania, możesz ją opcjonalnie wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.
Dowiedz się więcej w artykule Wyłączanie określonych wyników.
Skoroszyty usługi Azure Monitor zintegrowane z usługą Security Center i trzy udostępnione szablony
W ramach konferencji Ignite Spring 2021 ogłosiliśmy zintegrowane środowisko skoroszytów usługi Azure Monitor w usłudze Security Center.
Możesz użyć nowej integracji, aby rozpocząć korzystanie z wbudowanych szablonów z galerii usługi Security Center. Za pomocą szablonów skoroszytów można uzyskiwać dostęp do dynamicznych i wizualnych raportów oraz tworzyć je w celu śledzenia stanu zabezpieczeń organizacji. Ponadto możesz tworzyć nowe skoroszyty na podstawie danych usługi Security Center lub innych obsługiwanych typów danych i szybko wdrażać skoroszyty społeczności z poziomu społeczności usługi GitHub w usłudze Security Center.
Dostępne są trzy raporty szablonów:
- Wskaźnik bezpieczeństwa w czasie — śledzenie wyników i zmian subskrypcji w zaleceniach dotyczących zasobów
- System Updates - View missing system updates by resources, OS, severity, and more
- Wyniki oceny luk w zabezpieczeniach — wyświetlanie wyników skanowania luk w zabezpieczeniach zasobów platformy Azure
Dowiedz się więcej o korzystaniu z tych raportów lub tworzeniu własnych informacji w artykule Tworzenie zaawansowanych, interaktywnych raportów dotyczących danych usługi Security Center.
Pulpit nawigacyjny zgodności z przepisami zawiera teraz raporty inspekcji platformy Azure (wersja zapoznawcza)
Na pasku narzędzi pulpitu nawigacyjnego zgodności z przepisami można teraz pobrać raporty dotyczące certyfikacji platformy Azure i usługi Dynamics.
Możesz wybrać kartę odpowiednich typów raportów (PCI, SOC, ISO i innych) i użyć filtrów, aby znaleźć potrzebne raporty.
Dowiedz się więcej na temat zarządzania standardami na pulpicie nawigacyjnym zgodności z przepisami.
Dane rekomendacji można wyświetlić w usłudze Azure Resource Graph za pomocą polecenia "Eksploruj w usłudze ARG"
Strony szczegółów rekomendacji zawierają teraz przycisk paska narzędzi "Eksploruj w usłudze ARG". Użyj tego przycisku, aby otworzyć zapytanie usługi Azure Resource Graph i eksplorować, eksportować i udostępniać dane rekomendacji.
Usługa Azure Resource Graph (ARG) zapewnia natychmiastowy dostęp do informacji o zasobach w środowiskach chmury dzięki niezawodnym funkcjom filtrowania, grupowania i sortowania. Jest to szybki i wydajny sposób programowego wykonywania zapytań dotyczących informacji w subskrypcjach platformy Azure lub z poziomu witryny Azure Portal.
Dowiedz się więcej o usłudze Azure Resource Graph.
Aktualizacje zasad wdrażania automatyzacji przepływu pracy
Automatyzacja procesów monitorowania i reagowania na zdarzenia w organizacji może znacznie poprawić czas potrzebny do zbadania i ograniczenia zdarzeń zabezpieczeń.
Udostępniamy trzy zasady usługi Azure Policy "DeployIfNotExist", które tworzą i konfigurują procedury automatyzacji przepływu pracy, aby umożliwić wdrażanie automatyzacji w całej organizacji:
Goal | Policy | Policy ID |
---|---|---|
Automatyzacja przepływu pracy dla alertów zabezpieczeń | Wdróż automatyzację przepływu pracy dla alertów usługi Azure Security Center | f1525828-9a90-4fcf-be48-268cdd02361e |
Automatyzacja przepływu pracy dla zaleceń dotyczących zabezpieczeń | Wdróż automatyzację przepływów pracy dla zaleceń usługi Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Automatyzacja przepływu pracy na potrzeby zmian zgodności z przepisami | Wdrażanie automatyzacji przepływu pracy na potrzeby zgodności z przepisami usługi Azure Security Center | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Istnieją dwie aktualizacje funkcji tych zasad:
- Po przypisaniu pozostaną one włączone przez wymuszanie.
- Teraz można dostosować te zasady i zaktualizować dowolne parametry nawet po ich wdrożeniu. Możesz na przykład dodać lub edytować klucz oceny.
Wprowadzenie do szablonów automatyzacji przepływu pracy.
Dowiedz się więcej na temat automatyzowania odpowiedzi na wyzwalacze usługi Security Center.
Dwa starsze zalecenia nie zapisują już danych bezpośrednio w dzienniku aktywności platformy Azure
Usługa Security Center przekazuje dane dla prawie wszystkich zaleceń dotyczących zabezpieczeń do usługi Azure Advisor, co z kolei zapisuje je w dzienniku aktywności platformy Azure.
W przypadku dwóch zaleceń dane są zapisywane jednocześnie w dzienniku aktywności platformy Azure. Dzięki tej zmianie usługa Security Center przestaje zapisywać dane dla tych starszych zaleceń dotyczących zabezpieczeń bezpośrednio w dzienniku aktywności. Zamiast tego eksportujemy dane do usługi Azure Advisor, tak jak w przypadku wszystkich innych zaleceń.
Dwa starsze zalecenia to:
- Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach
- Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach
Jeśli masz dostęp do informacji dotyczących tych dwóch zaleceń w kategorii "Zalecenie typu TaskDiscovery" dziennika aktywności, nie jest to już dostępne.
Ulepszenia strony rekomendacji
Opublikowaliśmy ulepszoną wersję listy zaleceń, aby na pierwszy rzut oka przedstawić więcej informacji.
Teraz na stronie zobaczysz:
- Maksymalny wynik i bieżący wynik dla każdej kontroli zabezpieczeń.
- Icons replacing tags such as Fix and Preview.
- A new column showing the Policy initiative related to each recommendation - visible when "Group by controls" is disabled.
Dowiedz się więcej w artykule Zalecenia dotyczące zabezpieczeń w usłudze Azure Security Center.
February 2021
Aktualizacje w lutym obejmują:
- Nowa strona alertów zabezpieczeń w witrynie Azure Portal wydana pod kątem ogólnej dostępności
- Zalecenia dotyczące ochrony obciążeń platformy Kubernetes wydane dla ogólnej dostępności
- Ochrona punktu końcowego w usłudze Microsoft Defender integracja z usługą Azure Defender obsługuje teraz systemy Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop (w wersji zapoznawczej)
- Bezpośredni link do zasad ze strony szczegółów rekomendacji
- Zalecenie dotyczące klasyfikacji danych SQL nie wpływa już na wskaźnik bezpieczeństwa
- Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (w wersji zapoznawczej)
- Ulepszenia strony spisu zasobów
Nowa strona alertów zabezpieczeń w witrynie Azure Portal wydana pod kątem ogólnej dostępności
Strona alertów zabezpieczeń usługi Azure Security Center została przeprojektowana w celu zapewnienia:
- Ulepszone środowisko klasyfikacji alertów — pomaga zmniejszyć zmęczenie alertów i skupić się na najbardziej odpowiednich zagrożeniach, lista zawiera dostosowywalne filtry i opcje grupowania.
- Więcej informacji na liście alertów — takich jak taktyka MITRE ATT&ACK.
- Przycisk tworzenia przykładowych alertów — aby ocenić możliwości usługi Azure Defender i przetestować alerty. konfiguracja (w przypadku integracji rozwiązania SIEM, powiadomień e-mail i automatyzacji przepływów pracy) można utworzyć przykładowe alerty ze wszystkich planów usługi Azure Defender.
- Dostosowanie do środowiska zdarzeń usługi Azure Sentinel — dla klientów korzystających z obu produktów przełączanie się między nimi jest teraz bardziej proste i łatwo jest nauczyć się ich z drugiej.
- Better performance for large alerts lists.
- Keyboard navigation through the alert list.
- Alerty z usługi Azure Resource Graph — możesz wykonywać zapytania dotyczące alertów w usłudze Azure Resource Graph , interfejsie API przypominającym usługę Kusto dla wszystkich zasobów. Jest to również przydatne, jeśli tworzysz własne pulpity nawigacyjne alertów. Dowiedz się więcej o usłudze Azure Resource Graph.
- Tworzenie przykładowej funkcji alertów — aby utworzyć przykładowe alerty z nowego środowiska alertów, zobacz Generowanie przykładowych alertów usługi Azure Defender.
Zalecenia dotyczące ochrony obciążeń platformy Kubernetes wydane dla ogólnej dostępności
Z przyjemnością ogłaszamy ogólną dostępność zestawu zaleceń dotyczących ochrony obciążeń platformy Kubernetes.
Aby upewnić się, że obciążenia Platformy Kubernetes są domyślnie bezpieczne, usługa Security Center dodała zalecenia dotyczące wzmacniania zabezpieczeń na poziomie kubernetes, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.
Po zainstalowaniu usługi Azure Policy dla platformy Kubernetes w klastrze usługi Azure Kubernetes Service (AKS) każde żądanie do serwera interfejsu API Kubernetes będzie monitorowane względem wstępnie zdefiniowanego zestawu najlepszych rozwiązań — wyświetlanego jako 13 zaleceń dotyczących zabezpieczeń — przed utrwaleniam klastra. Następnie można skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.
Możesz na przykład wymuś, że uprzywilejowane kontenery nie powinny być tworzone, a wszelkie przyszłe żądania do tego będą blokowane.
Dowiedz się więcej w artykule Najlepsze rozwiązania dotyczące ochrony obciążeń przy użyciu kontroli wpływu danych na platformę Kubernetes.
Note
Chociaż zalecenia były w wersji zapoznawczej, nie renderowały one złej kondycji zasobu klastra usługi AKS i nie zostały uwzględnione w obliczeniach wskaźnika bezpieczeństwa. Wraz z ogłoszeniem ogólnie dostępnym zostaną one uwzględnione w obliczeniu oceny. Jeśli jeszcze ich nie skorygowaliśmy, może to spowodować niewielki wpływ na wskaźnik bezpieczeństwa. Korygowanie ich wszędzie tam, gdzie to możliwe, zgodnie z opisem w temacie Korygowanie zaleceń w usłudze Azure Security Center.
Ochrona punktu końcowego w usłudze Microsoft Defender integracja z usługą Azure Defender obsługuje teraz systemy Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop (w wersji zapoznawczej)
Usługa Ochrona punktu końcowego w usłudze Microsoft Defender to całościowe, dostępne w chmurze rozwiązanie służące do zabezpieczania punktów końcowych. Zapewnia on zarządzanie lukami w zabezpieczeniach i ocenę opartą na ryzyku, a także wykrywanie i reagowanie w punktach końcowych (EDR). Aby uzyskać pełną listę zalet korzystania z usługi Defender for Endpoint razem z usługą Azure Security Center, zobacz Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Security Center: Ochrona punktu końcowego w usłudze Microsoft Defender.
Po włączeniu usługi Azure Defender dla serwerów z systemem Windows Server licencja dla usługi Defender dla punktu końcowego jest dołączona do planu. Jeśli usługa Azure Defender dla serwerów została już włączona i masz serwery z systemem Windows Server 2019 w subskrypcji, automatycznie otrzymają one usługę Defender for Endpoint z tą aktualizacją. Nie jest wymagana żadna akcja ręczna.
Obsługa została rozszerzona w celu uwzględnienia systemów Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop.
Note
Jeśli włączasz usługę Defender for Endpoint na serwerze z systemem Windows Server 2019, upewnij się, że spełnia ona wymagania wstępne opisane w artykule Włączanie integracji z Ochrona punktu końcowego w usłudze Microsoft Defender.
Bezpośredni link do zasad ze strony szczegółów rekomendacji
Podczas przeglądania szczegółów zalecenia często warto zobaczyć podstawowe zasady. Dla każdej rekomendacji obsługiwanej przez zasady jest dostępny nowy link ze strony szczegółów rekomendacji:
Użyj tego linku, aby wyświetlić definicję zasad i przejrzeć logikę oceny.
Zalecenie dotyczące klasyfikacji danych SQL nie wpływa już na wskaźnik bezpieczeństwa
Zalecenie Poufne dane w bazach danych SQL nie powinny już mieć wpływu na wskaźnik bezpieczeństwa. Kontrola zabezpieczeń Zastosuj klasyfikację danych zawierającą ją teraz ma wartość wskaźnika bezpieczeństwa 0.
Aby uzyskać pełną listę wszystkich mechanizmów kontroli zabezpieczeń, wraz z ich wynikami i listą zaleceń w każdej z nich, zobacz Mechanizmy kontroli zabezpieczeń i ich zalecenia.
Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (w wersji zapoznawczej)
Dodaliśmy trzeci typ danych do opcji wyzwalacza automatyzacji przepływu pracy: zmiany w ocenach zgodności z przepisami.
Dowiedz się, jak używać narzędzi automatyzacji przepływu pracy w temacie Automatyzowanie odpowiedzi na wyzwalacze usługi Security Center.
Ulepszenia strony spisu zasobów
Ulepszono stronę spisu zasobów usługi Security Center:
Summaries at the top of the page now include Unregistered subscriptions, showing the number of subscriptions without Security Center enabled.
Filtry zostały rozwinięte i ulepszone w celu uwzględnienia:
Counts - Each filter presents the number of resources that meet the criteria of each category
Zawiera filtr wykluczeń (opcjonalnie) — zawęża wyniki do zasobów, które mają/nie mają wykluczeń. This filter isn't shown by default, but is accessible from the Add filter button.
Dowiedz się więcej o tym, jak eksplorować zasoby i zarządzać nimi za pomocą spisu zasobów.
January 2021
Aktualizacje w styczniu obejmują:
- Test porównawczy zabezpieczeń platformy Azure jest teraz domyślną inicjatywą zasad dla usługi Azure Security Center
- Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych jest udostępniana w celu zapewnienia ogólnej dostępności
- W wersji zapoznawczej jest teraz dostępny wskaźnik bezpieczeństwa dla grup zarządzania
- Interfejs API wskaźnika bezpieczeństwa został wydany w celu zapewnienia ogólnej dostępności
- Do usługi Azure Defender dla usługi App Service dodano mechanizmy ochrony zawieszonych wpisów DNS
- Łączniki z wieloma chmurami są udostępniane w celu zapewnienia ogólnej dostępności
- Wyklucz wszystkie zalecenia z wskaźnika bezpieczeństwa dla subskrypcji i grup zarządzania
- Użytkownicy mogą teraz żądać widoczności całej dzierżawy od administratora globalnego
- 35 zaleceń w wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń platformy Azure
- Eksport w formacie CSV przefiltrowanej listy rekomendacji
- Zasoby „Nie dotyczy” są teraz zgłaszane jako „Zgodne” w ocenach usługi Azure Policy
- Eksportowanie cotygodniowych migawek wskaźnika bezpieczeństwa i danych zgodności z przepisami przy użyciu eksportu ciągłego (wersja zapoznawcza)
Test porównawczy zabezpieczeń platformy Azure jest teraz domyślną inicjatywą zasad dla usługi Azure Security Center
Test porównawczy zabezpieczeń platformy Azure to utworzony przez firmę Microsoft zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności opartych na typowych strukturach zgodności. Ten powszechnie szanowany punkt odniesienia opiera się na kontrolach z Centrum Bezpieczeństwa Internetowego (CIS) i Narodowego Instytutu Standardów i Technologii (NIST) z naciskiem na zabezpieczenia skoncentrowane na chmurze.
W ostatnich miesiącach lista wbudowanych zaleceń dotyczących zabezpieczeń usługi Security Center znacznie wzrosła, aby rozszerzyć nasz zakres tego testu porównawczego.
W tej wersji test porównawczy jest podstawą zaleceń usługi Security Center i w pełni zintegrowanej jako domyślna inicjatywa zasad.
Wszystkie usługi platformy Azure mają stronę punktu odniesienia zabezpieczeń w swojej dokumentacji. Te punkty odniesienia są oparte na testach porównawczych zabezpieczeń platformy Azure.
Jeśli używasz pulpitu nawigacyjnego zgodności z przepisami usługi Security Center, zobaczysz dwa wystąpienia testu porównawczego w okresie przejściowym:
Istniejące zalecenia nie mają wpływu i wraz ze wzrostem testu porównawczego zmiany zostaną automatycznie odzwierciedlone w usłudze Security Center.
Aby dowiedzieć się więcej, zobacz następujące strony:
- Dowiedz się więcej na temat testu porównawczego zabezpieczeń platformy Azure
- Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami
Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych jest udostępniana w celu zapewnienia ogólnej dostępności
W październiku ogłosiliśmy wersję zapoznawcza skanowania serwerów z obsługą usługi Azure Arc za pomocą zintegrowanego skanera oceny luk w zabezpieczeniach usługi Azure Defender for Servers (obsługiwanego przez firmę Qualys).
Jest ona teraz dostępna w wersji ogólnie dostępnej.
Po włączeniu usługi Azure Arc na maszynach spoza platformy Azure usługa Security Center będzie oferować wdrażanie zintegrowanego skanera luk w zabezpieczeniach — ręcznie i na dużą skalę.
Dzięki tej aktualizacji możesz uwolnić możliwości usługi Azure Defender dla serwerów, aby skonsolidować program zarządzanie lukami w zabezpieczeniach we wszystkich zasobach platformy Azure i innych niż azure.
Main capabilities:
- Monitorowanie stanu aprowizacji skanera oceny luk w zabezpieczeniach na maszynach usługi Azure Arc
- Aprowizowanie zintegrowanego agenta oceny luk w zabezpieczeniach na maszynach z systemem Windows i Linux w usłudze Azure Arc (ręcznie i na dużą skalę)
- Odbieranie i analizowanie wykrytych luk w zabezpieczeniach od wdrożonych agentów (ręcznie i na dużą skalę)
- Ujednolicone środowisko maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc
Dowiedz się więcej o serwerach z obsługą usługi Azure Arc.
W wersji zapoznawczej jest teraz dostępny wskaźnik bezpieczeństwa dla grup zarządzania
Strona wskaźnika bezpieczeństwa zawiera teraz zagregowane wyniki bezpieczeństwa dla grup zarządzania oprócz poziomu subskrypcji. Teraz możesz wyświetlić listę grup zarządzania w organizacji i ocenę dla każdej grupy zarządzania.
Dowiedz się więcej o wskaźnikach bezpieczeństwa i mechanizmach kontroli zabezpieczeń w usłudze Azure Security Center.
Interfejs API wskaźnika bezpieczeństwa został wydany w celu zapewnienia ogólnej dostępności
Teraz możesz uzyskać dostęp do wyniku za pośrednictwem interfejsu API wskaźnika bezpieczeństwa. Metody interfejsu API zapewniają elastyczność wykonywania zapytań dotyczących danych i tworzenia własnego mechanizmu raportowania wyników bezpieczeństwa w czasie. For example:
- use the Secure Scores API to get the score for a specific subscription
- użyj interfejsu API kontrolek wskaźnika bezpieczeństwa, aby wyświetlić listę mechanizmów kontroli zabezpieczeń i bieżący wynik subskrypcji
Dowiedz się więcej o narzędziach zewnętrznych, które umożliwiły użycie interfejsu API wskaźnika bezpieczeństwa w obszarze wskaźnika bezpieczeństwa w naszej społeczności usługi GitHub.
Dowiedz się więcej o wskaźnikach bezpieczeństwa i mechanizmach kontroli zabezpieczeń w usłudze Azure Security Center.
Do usługi Azure Defender dla usługi App Service dodano mechanizmy ochrony zawieszonych wpisów DNS
Przejęcia poddomeny są typowym zagrożeniem o wysokiej ważności dla organizacji. Przejęcie poddomeny może wystąpić, gdy masz rekord DNS wskazujący anulowaną aprowizowaną witrynę internetową. Takie rekordy DNS są również znane jako „zwisające wpisy DNS”. Rekordy CNAME są szczególnie narażone na to zagrożenie.
Przejęcia poddomeny umożliwiają aktorom zagrożeń przekierowywanie ruchu przeznaczonego dla domeny organizacji do lokacji wykonującej złośliwe działania.
Usługa Azure Defender for App Service wykrywa teraz zwisające wpisy DNS po zlikwidowaniu witryny internetowej usługi App Service. Jest to moment, w którym wpis DNS wskazuje na zasób, który nie istnieje, a witryna internetowa jest podatna na przejęcie poddomeny. Te zabezpieczenia są dostępne niezależnie od tego, czy domeny są zarządzane za pomocą usługi Azure DNS, czy zewnętrznego rejestratora domen i mają zastosowanie zarówno do usługi App Service w systemie Windows, jak i App Service dla systemu Linux.
Learn more:
- Tabela referencyjna alertów usługi App Service — zawiera dwa nowe alerty usługi Azure Defender wyzwalające po wykryciu zwisającego wpisu DNS
- Zapobieganie zwisaniu wpisów DNS i unikanie przejęcia poddomeny — dowiedz się więcej o zagrożeniu przejęcia poddomeny i zwisającym aspekcie DNS
- Wprowadzenie do usługi Azure Defender for App Service
Łączniki z wieloma chmurami są udostępniane w celu zapewnienia ogólnej dostępności
W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności.
Usługa Azure Security Center chroni obciążenia na platformie Azure, w usługach Amazon Web Services (AWS) i Google Cloud Platform (GCP).
Łączenie projektów AWS lub GCP integruje natywne narzędzia zabezpieczeń, takie jak AWS Security Hub i GCP Security Command Center w usłudze Azure Security Center.
Ta funkcja oznacza, że usługa Security Center zapewnia widoczność i ochronę we wszystkich głównych środowiskach chmury. Niektóre korzyści wynikające z tej integracji:
- Automatyczna aprowizacja agenta — usługa Security Center używa usługi Azure Arc do wdrażania agenta usługi Log Analytics w wystąpieniach platformy AWS
- Policy management
- Vulnerability management
- Wykrywanie i reagowanie na osadzone punkty końcowe (EDR)
- Wykrywanie błędów konfiguracji zabezpieczeń
- Pojedynczy widok przedstawiający zalecenia dotyczące zabezpieczeń od wszystkich dostawców usług w chmurze
- Uwzględnij wszystkie zasoby w obliczeniach wskaźnika bezpieczeństwa usługi Security Center
- Oceny zgodności z przepisami zasobów platform AWS i GCP
From Defender for Cloud's menu, select Multicloud connectors and you'll see the options for creating new connectors:
Dowiedz się więcej w:
- Łączenie kont platformy AWS z usługą Azure Security Center
- Łączenie projektów GCP z usługą Azure Security Center
Wyklucz wszystkie zalecenia z wskaźnika bezpieczeństwa dla subskrypcji i grup zarządzania
Rozszerzamy możliwości wykluczania w celu uwzględnienia całych zaleceń. Dalsze opcje dostosowywania zaleceń dotyczących zabezpieczeń, które usługa Security Center tworzy dla subskrypcji, grupy zarządzania lub zasobów.
Czasami zasób będzie wyświetlany jako w złej kondycji, gdy wiadomo, że problem został rozwiązany przez narzędzie innej firmy, które nie wykryło usługi Security Center. Lub zalecenie będzie wyświetlane w zakresie, w którym czujesz, że nie należy. Zalecenie może być nieodpowiednie dla określonej subskrypcji. Być może organizacja zdecydowała się zaakceptować zagrożenia związane z konkretnym zasobem lub zaleceniem.
Dzięki tej funkcji w wersji zapoznawczej możesz teraz utworzyć wykluczenie dla zalecenia w celu:
Wyklucz zasób , aby upewnić się, że nie znajduje się on na liście z zasobami w złej kondycji w przyszłości i nie ma wpływu na wskaźnik bezpieczeństwa. Zasób zostanie wyświetlony jako nie dotyczy, a przyczyna zostanie wyświetlona jako "wykluczony" z określonym uzasadnieniem wybranym przez Ciebie.
Wyklucz subskrypcję lub grupę zarządzania, aby upewnić się, że zalecenie nie ma wpływu na wskaźnik bezpieczeństwa i nie będzie wyświetlane dla subskrypcji ani grupy zarządzania w przyszłości. Dotyczy to istniejących zasobów i wszelkich utworzonych w przyszłości. Zalecenie zostanie oznaczone konkretnym uzasadnieniem wybranym dla wybranego zakresu.
Dowiedz się więcej w artykule Wykluczanie zasobów i zaleceń z wskaźnika bezpieczeństwa.
Użytkownicy mogą teraz żądać widoczności całej dzierżawy od administratora globalnego
Jeśli użytkownik nie ma uprawnień do wyświetlania danych usługi Security Center, zobaczy teraz link do żądania uprawnień od administratora globalnego organizacji. Żądanie zawiera rolę, którą chcieliby, oraz uzasadnienie, dlaczego jest to konieczne.
Dowiedz się więcej w temacie Żądanie uprawnień dla całej dzierżawy, gdy nie ma wystarczających uprawnień.
35 zaleceń w wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń platformy Azure
Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad w usłudze Azure Security Center.
Aby zwiększyć zasięg tego testu porównawczego, do usługi Security Center dodano następujące zalecenia dotyczące wersji zapoznawczej 35.
Tip
Rekomendacje dotyczące wersji zapoznawczej nie renderują zasobu w złej kondycji i nie są uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Koryguj je wszędzie tam, gdzie jest to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku. Dowiedz się więcej o sposobie reagowania na te zalecenia w temacie Korygowanie zaleceń w usłudze Azure Security Center.
Security control | New recommendations |
---|---|
Włączanie szyfrowania magazynowanych | — Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych — Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK) — Ochrona danych przy użyciu własnego klucza powinna być włączona dla serwerów MySQL — Należy włączyć ochronę danych przy użyciu własnego klucza dla serwerów PostgreSQL — Konta usług Azure AI powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta (CMK) — Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK) — Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych — Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych — Konta magazynu powinny używać klucza zarządzanego przez klienta (CMK) do szyfrowania |
Implementowanie najlepszych rozwiązań dotyczących zabezpieczeń | — Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami — Automatyczne aprowizowanie agenta usługi Log Analytics powinno być włączone w ramach subskrypcji — Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone - Powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności powinno być włączone — Magazyny kluczy powinny mieć włączoną ochronę przed przeczyszczeniem — Magazyny kluczy powinny mieć włączone usuwanie nietrwałe |
Zarządzanie dostępem i uprawnieniami | — Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" |
Ochrona aplikacji przed atakami DDoS | — Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway — Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Azure Front Door Service |
Ograniczanie nieautoryzowanego dostępu do sieci | — Zapora powinna być włączona w usłudze Key Vault — Prywatny punkt końcowy należy skonfigurować dla usługi Key Vault — Usługa App Configuration powinna używać łącza prywatnego — Usługa Azure Cache for Redis powinna znajdować się w sieci wirtualnej — Domeny usługi Azure Event Grid powinny używać łącza prywatnego — Tematy usługi Azure Event Grid powinny używać łącza prywatnego — Obszary robocze usługi Azure Machine Learning powinny używać łącza prywatnego — Usługa Azure SignalR Service powinna używać łącza prywatnego — Usługa Azure Spring Cloud powinna używać iniekcji sieci — Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci — Rejestry kontenerów powinny używać łącza prywatnego - Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB — Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL — Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL — Konto magazynu powinno używać połączenia łącza prywatnego — Konta magazynu powinny ograniczać dostęp do sieci przy użyciu reguł sieci wirtualnej — Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego |
Related links:
- Dowiedz się więcej na temat testu porównawczego zabezpieczeń platformy Azure
- Dowiedz się więcej o usłudze Azure Database for MariaDB
- Dowiedz się więcej o usłudze Azure Database for MySQL
- Dowiedz się więcej o usłudze Azure Database for PostgreSQL
Eksport w formacie CSV przefiltrowanej listy rekomendacji
W listopadzie 2020 r. dodaliśmy filtry do strony zaleceń.
Wraz z tym ogłoszeniem zmieniamy zachowanie przycisku Pobierz do pliku CSV, tak aby eksport CSV zawierał tylko zalecenia wyświetlane obecnie na filtrowanej liście.
Na przykład na poniższej ilustracji widać, że lista jest filtrowana do dwóch zaleceń. Wygenerowany plik CSV zawiera szczegóły stanu dla każdego zasobu, którego dotyczy te dwa zalecenia.
Dowiedz się więcej w artykule Zalecenia dotyczące zabezpieczeń w usłudze Azure Security Center.
Zasoby „Nie dotyczy” są teraz zgłaszane jako „Zgodne” w ocenach usługi Azure Policy
Previously, resources that were evaluated for a recommendation and found to be not applicable appeared in Azure Policy as "Non-compliant". Żadne akcje użytkownika nie mogą zmienić stanu na "Zgodne". Dzięki tej zmianie są one zgłaszane jako "Zgodne" w celu zwiększenia przejrzystości.
Jedyny wpływ będzie widoczny w usłudze Azure Policy, gdzie liczba zgodnych zasobów wzrośnie. Nie będzie to miało wpływu na wskaźnik bezpieczeństwa w usłudze Azure Security Center.
Eksportowanie cotygodniowych migawek wskaźnika bezpieczeństwa i danych zgodności z przepisami przy użyciu eksportu ciągłego (wersja zapoznawcza)
We've added a new preview feature to the continuous export tools for exporting weekly snapshots of secure score and regulatory compliance data.
Podczas definiowania eksportu ciągłego ustaw częstotliwość eksportowania:
- Streaming – assessments will be sent when a resource's health state is updated (if no updates occur, no data will be sent).
- Snapshots – a snapshot of the current state of all regulatory compliance assessments will be sent every week (this is a preview feature for weekly snapshots of secure scores and regulatory compliance data).
Dowiedz się więcej o pełnych możliwościach tej funkcji w artykule Ciągłe eksportowanie danych usługi Security Center.
December 2020
Aktualizacje w grudniu obejmują:
- Usługa Azure Defender dla serwerów SQL na maszynach jest ogólnie dostępna
- Obsługa usługi Azure Defender for SQL dla dedykowanej puli SQL usługi Azure Synapse Analytics jest ogólnie dostępna
- Administratorzy globalni mogą teraz udzielać sobie uprawnień na poziomie dzierżawy
- Dwa nowe plany usługi Azure Defender: Usługa Azure Defender dla usług DNS i Azure Defender dla usługi Resource Manager (w wersji zapoznawczej)
- Nowa strona alertów zabezpieczeń w witrynie Azure Portal (wersja zapoznawcza)
- Ożywione środowisko usługi Security Center w usłudze Azure SQL Database i wystąpieniu zarządzanym SQL
- Zaktualizowane narzędzia i filtry spisu zasobów
- Zalecenie dotyczące aplikacji internetowych żądających certyfikatów SSL nie jest już częścią wskaźnika bezpieczeństwa
- Strona Rekomendacje zawiera nowe filtry dla środowiska, ważności i dostępnych odpowiedzi
- Eksport ciągły pobiera nowe typy danych i ulepszone zasady deployifnotexist
Usługa Azure Defender dla serwerów SQL na maszynach jest ogólnie dostępna
Usługa Azure Security Center oferuje dwa plany usługi Azure Defender dla serwerów SQL:
- Serwery usługi Azure Defender dla bazy danych Azure SQL Database — broni serwerów SQL natywnych dla platformy Azure
- Usługa Azure Defender dla serwerów SQL na maszynach — rozszerza te same zabezpieczenia na serwery SQL w środowiskach hybrydowych, wielochmurowych i lokalnych
Dzięki temu ogłoszeniu usługa Azure Defender dla usługi SQL chroni teraz bazy danych i ich dane wszędzie tam, gdzie się znajdują.
Usługa Azure Defender for SQL obejmuje możliwości oceny luk w zabezpieczeniach. Narzędzie do oceny luk w zabezpieczeniach obejmuje następujące zaawansowane funkcje:
- Baseline configuration (New!) to intelligently refine the results of vulnerability scans to those that might represent real security issues. Po ustanowieniu stanu zabezpieczeń punktu odniesienia narzędzie do oceny luk w zabezpieczeniach zgłasza tylko odchylenia od tego stanu punktu odniesienia. Wyniki zgodne z punktem odniesienia są traktowane jako przekazywanie kolejnych skanowań. Dzięki temu ty i twoi analitycy skupiają uwagę, gdzie ma to znaczenie.
- Szczegółowe informacje dotyczące testów porównawczych ułatwiające zrozumienie odnalezionych wyników i ich powiązania z zasobami.
- Remediation scripts to help you mitigate identified risks.
Dowiedz się więcej o usłudze Azure Defender for SQL.
Obsługa usługi Azure Defender for SQL dla dedykowanej puli SQL usługi Azure Synapse Analytics jest ogólnie dostępna
Azure Synapse Analytics (dawniej SQL DW) to usługa analityczna, która łączy magazynowanie danych przedsiębiorstwa i analizę danych big data. Dedykowane pule SQL to funkcje magazynowania danych przedsiębiorstwa usługi Azure Synapse. Dowiedz się więcej w artykule Co to jest usługa Azure Synapse Analytics (dawniej SQL DW)?.
Usługa Azure Defender for SQL chroni dedykowane pule SQL za pomocą:
- Zaawansowana ochrona przed zagrożeniami w celu wykrywania zagrożeń i ataków
- Możliwości oceny luk w zabezpieczeniach w celu identyfikowania i korygowania błędów konfiguracji zabezpieczeń
Obsługa pul SQL usługi Azure Synapse Analytics w usłudze Azure Defender for SQL jest automatycznie dodawana do pakietu baz danych Azure SQL Database w usłudze Azure Security Center. Na stronie obszaru roboczego usługi Synapse w witrynie Azure Portal znajduje się nowa karta usługi Azure Defender for SQL .
Dowiedz się więcej o usłudze Azure Defender for SQL.
Administratorzy globalni mogą teraz udzielać sobie uprawnień na poziomie dzierżawy
A user with the Azure Active Directory role of Global Administrator might have tenant-wide responsibilities, but lack the Azure permissions to view that organization-wide information in Azure Security Center.
Aby przypisać sobie uprawnienia na poziomie dzierżawy, postępuj zgodnie z instrukcjami w temacie Udzielanie uprawnień dla całej dzierżawy samodzielnie.
Dwa nowe plany usługi Azure Defender: Usługa Azure Defender dla usług DNS i Azure Defender dla usługi Resource Manager (w wersji zapoznawczej)
Dodaliśmy dwie nowe natywne dla chmury możliwości ochrony przed zagrożeniami dla twojego środowiska platformy Azure.
Te nowe zabezpieczenia znacznie zwiększają odporność na ataki ze strony podmiotów zagrożeń i znacznie zwiększają liczbę zasobów platformy Azure chronionych przez usługę Azure Defender.
Usługa Azure Defender dla usługi Resource Manager — automatycznie monitoruje wszystkie operacje zarządzania zasobami wykonywane w organizacji. Aby uzyskać więcej informacji, zobacz:
Usługa Azure Defender dla systemu DNS — stale monitoruje wszystkie zapytania DNS z zasobów platformy Azure. Aby uzyskać więcej informacji, zobacz:
Nowa strona alertów zabezpieczeń w witrynie Azure Portal (wersja zapoznawcza)
Strona alertów zabezpieczeń usługi Azure Security Center została przeprojektowana w celu zapewnienia:
- Ulepszone środowisko klasyfikacji alertów — pomaga zmniejszyć zmęczenie alertów i skupić się na najbardziej odpowiednich zagrożeniach, lista zawiera dostosowywalne filtry i opcje grupowania
- Więcej informacji na liście alertów — takich jak taktyka MITRE ATT&ACK
- Przycisk tworzenia przykładowych alertów — aby ocenić możliwości usługi Azure Defender i przetestować konfigurację alertów (na potrzeby integracji rozwiązania SIEM, powiadomień e-mail i automatyzacji przepływu pracy), możesz utworzyć przykładowe alerty ze wszystkich planów usługi Azure Defender
- Dostosowanie do środowiska zdarzeń usługi Azure Sentinel — w przypadku klientów korzystających z obu produktów przełączanie się między nimi jest teraz bardziej proste i łatwo jest nauczyć się ich z drugiej
- Better performance for large alerts lists
- Keyboard navigation through the alert list
- Alerty z usługi Azure Resource Graph — możesz wykonywać zapytania dotyczące alertów w usłudze Azure Resource Graph , interfejsie API przypominającym usługę Kusto dla wszystkich zasobów. Jest to również przydatne, jeśli tworzysz własne pulpity nawigacyjne alertów. Dowiedz się więcej o usłudze Azure Resource Graph.
Aby uzyskać dostęp do nowego środowiska, użyj linku "Wypróbuj teraz" na banerze w górnej części strony alertów zabezpieczeń.
Aby utworzyć przykładowe alerty z nowego środowiska alertów, zobacz Generowanie przykładowych alertów usługi Azure Defender.
Ożywione środowisko usługi Security Center w usłudze Azure SQL Database i wystąpieniu zarządzanym SQL
Środowisko usługi Security Center w programie SQL zapewnia dostęp do następujących funkcji usług Security Center i Azure Defender for SQL:
- Security recommendations – Security Center periodically analyzes the security state of all connected Azure resources to identify potential security misconfigurations. Następnie zawiera zalecenia dotyczące sposobu korygowania tych luk w zabezpieczeniach i poprawy stanu zabezpieczeń organizacji.
- Security alerts – a detection service that continuously monitors Azure SQL activities for threats such as SQL injection, brute-force attacks, and privilege abuse. Ta usługa wyzwala szczegółowe i zorientowane na akcje alerty zabezpieczeń w usłudze Security Center i udostępnia opcje kontynuowania badań za pomocą rozwiązania SIEM natywnego dla platformy Microsoft Sentinel.
- Findings – a vulnerability assessment service that continuously monitors Azure SQL configurations and helps remediate vulnerabilities. Skany ocen zawierają omówienie stanów zabezpieczeń usługi Azure SQL wraz ze szczegółowymi ustaleniami zabezpieczeń.
Zaktualizowane narzędzia i filtry spisu zasobów
Strona spisu w usłudze Azure Security Center została odświeżona z następującymi zmianami:
Prowadnice i opinie dodane do paska narzędzi. Spowoduje to otwarcie okienka z linkami do powiązanych informacji i narzędzi.
Subscriptions filter added to the default filters available for your resources.
Open query link for opening the current filter options as an Azure Resource Graph query (formerly called "View in resource graph explorer").
Operator options for each filter. Teraz możesz wybrać spośród większej liczby operatorów logicznych innych niż '='. Na przykład możesz znaleźć wszystkie zasoby z aktywnymi zaleceniami, których tytuły zawierają ciąg "encrypt".
Dowiedz się więcej o spisie w temacie Eksplorowanie zasobów i zarządzanie nimi za pomocą spisu zasobów.
Zalecenie dotyczące aplikacji internetowych żądających certyfikatów SSL nie jest już częścią wskaźnika bezpieczeństwa
Zalecenie "Aplikacje internetowe powinny zażądać certyfikatu SSL dla wszystkich żądań przychodzących" zostało przeniesione z kontroli zabezpieczeń Zarządzanie dostępem i uprawnieniami (o wartości maksymalnie 4 pkt) do sekcji Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń (które nie są warte żadnych punktów).
Zapewnienie, że aplikacja internetowa żąda certyfikatu, z pewnością sprawia, że jest ona bezpieczniejsza. Jednak w przypadku publicznych aplikacji internetowych nie ma znaczenia. Jeśli uzyskujesz dostęp do witryny za pośrednictwem protokołu HTTP, a nie https, nie otrzymasz żadnego certyfikatu klienta. Jeśli więc aplikacja wymaga certyfikatów klienta, nie należy zezwalać na żądania do aplikacji za pośrednictwem protokołu HTTP. Dowiedz się więcej w temacie Konfigurowanie wzajemnego uwierzytelniania TLS dla usługi aplikacja systemu Azure.
Dzięki tej zmianie zalecenie jest teraz zalecanym najlepszym rozwiązaniem, które nie ma wpływu na ocenę.
Dowiedz się, które zalecenia znajdują się w każdej kontroli zabezpieczeń w obszarze Mechanizmy kontroli zabezpieczeń i ich zalecenia.
Strona Rekomendacje zawiera nowe filtry dla środowiska, ważności i dostępnych odpowiedzi
Usługa Azure Security Center monitoruje wszystkie połączone zasoby i generuje zalecenia dotyczące zabezpieczeń. Skorzystaj z tych zaleceń, aby wzmocnić stan chmury hybrydowej i śledzić zgodność z zasadami i standardami dotyczącymi organizacji, branży i kraju/regionu.
Ponieważ usługa Security Center nadal rozszerza zakres i funkcje, lista zaleceń dotyczących zabezpieczeń rośnie co miesiąc. Zobacz na przykład dwadzieścia dziewięć zaleceń dotyczących wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń platformy Azure.
Wraz z rosnącą listą istnieje potrzeba filtrowania zaleceń, aby znaleźć zalecenia o największym zainteresowaniu. W listopadzie dodaliśmy filtry do strony zaleceń (zobacz Lista zaleceń zawiera teraz filtry).
Filtry dodane w tym miesiącu udostępniają opcje uściślinia listy zaleceń zgodnie z następującymi elementami:
Environment - View recommendations for your AWS, GCP, or Azure resources (or any combination)
Severity - View recommendations according to the severity classification set by Security Center
Response actions - View recommendations according to the availability of Security Center response options: Fix, Deny, and Enforce
Tip
Filtr akcji odpowiedzi zastępuje filtr Szybkie poprawki dostępne (Tak/Nie).
Dowiedz się więcej o każdej z tych opcji odpowiedzi:
Eksport ciągły pobiera nowe typy danych i ulepszone zasady deployifnotexist
Narzędzia eksportu ciągłego usługi Azure Security Center umożliwiają eksportowanie zaleceń i alertów usługi Security Center do użycia z innymi narzędziami do monitorowania w danym środowisku.
Eksport ciągły pozwala w pełni dostosować wyeksportowane elementy i miejsce, w którym zostanie on wyeksportowany. Aby uzyskać szczegółowe informacje, zobacz Ciągłe eksportowanie danych usługi Security Center.
Te narzędzia zostały ulepszone i rozwinięte w następujący sposób:
Ulepszono zasady deployifnotexist eksportu ciągłego. Zasady są teraz następujące:
Sprawdź, czy konfiguracja jest włączona. Jeśli tak nie jest, zasady będą wyświetlane jako niezgodne i tworzą zgodny zasób. Dowiedz się więcej o dostarczonych szablonach usługi Azure Policy na karcie "Wdrażanie na dużą skalę za pomocą usługi Azure Policy" w temacie Konfigurowanie eksportu ciągłego.
Obsługa eksportowania wyników zabezpieczeń. W przypadku korzystania z szablonów usługi Azure Policy można skonfigurować eksport ciągły w celu uwzględnienia wyników. Jest to istotne w przypadku eksportowania zaleceń z zaleceniami "podrzędnymi", takimi jak wyniki skanerów oceny luk w zabezpieczeniach lub określone aktualizacje systemu dla zalecenia "nadrzędnego" "Aktualizacje systemu powinny być zainstalowane na maszynach".
Obsługa eksportowania danych wskaźnika bezpieczeństwa.
Dodane dane oceny zgodności z przepisami (w wersji zapoznawczej). Teraz można stale eksportować aktualizacje do ocen zgodności z przepisami, w tym dla dowolnych inicjatyw niestandardowych, do obszaru roboczego usługi Log Analytics lub usługi Event Hubs. Ta funkcja jest niedostępna w chmurach krajowych.
November 2020
Aktualizacje w listopadzie obejmują:
- 29 zaleceń w wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń platformy Azure
- Dodatek NIST SP 800 171 R2 do pulpitu nawigacyjnego zgodności z przepisami usługi Security Center
- Lista zaleceń zawiera teraz filtry
- Ulepszono i rozszerzono środowisko automatycznego aprowizowania
- Wskaźnik bezpieczeństwa jest teraz dostępny w eksporcie ciągłym (wersja zapoznawcza)
- Zalecenie "Aktualizacje systemu powinny być zainstalowane na maszynach" zawiera teraz polecenia podrzędne
- Strona zarządzania zasadami w witrynie Azure Portal zawiera teraz stan domyślnych przypisań zasad
29 zaleceń w wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń platformy Azure
Test porównawczy zabezpieczeń platformy Azure to utworzony przez firmę Microsoft zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności opartych na typowych strukturach zgodności. Dowiedz się więcej o teście porównawczym zabezpieczeń platformy Azure.
Następujące 29 zaleceń dotyczących wersji zapoznawczej zostało dodanych do usługi Security Center w celu zwiększenia zasięgu tego testu porównawczego.
Rekomendacje dotyczące wersji zapoznawczej nie renderują zasobu w złej kondycji i nie są uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Koryguj je wszędzie tam, gdzie jest to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku. Dowiedz się więcej o sposobie reagowania na te zalecenia w temacie Korygowanie zaleceń w usłudze Azure Security Center.
Security control | New recommendations |
---|---|
Szyfrowanie danych podczas przesyłania | — Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL — Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL — Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API — Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji funkcji — Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej — Protokół FTPS powinien być wymagany w aplikacji interfejsu API - FTPS powinny być wymagane w aplikacji funkcji — Protokół FTPS powinien być wymagany w aplikacji internetowej |
Zarządzanie dostępem i uprawnieniami | — Aplikacje internetowe powinny żądać certyfikatu SSL dla wszystkich żądań przychodzących — Tożsamość zarządzana powinna być używana w aplikacji interfejsu API — Tożsamość zarządzana powinna być używana w aplikacji funkcji — Tożsamość zarządzana powinna być używana w aplikacji internetowej |
Ograniczanie nieautoryzowanego dostępu do sieci | — Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL — Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB — Prywatny punkt końcowy powinien być włączony dla serwerów MySQL |
Włączanie inspekcji i rejestrowania | — Dzienniki diagnostyczne w usługach App Services powinny być włączone |
Implementowanie najlepszych rozwiązań dotyczących zabezpieczeń | — Usługa Azure Backup powinna być włączona dla maszyn wirtualnych — Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MariaDB — Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL — Dla usługi Azure Database for PostgreSQL należy włączyć geograficznie nadmiarową kopię zapasową — Język PHP powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API — Język PHP powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej — Język Java powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API — Język Java powinien zostać zaktualizowany do najnowszej wersji aplikacji funkcji — Język Java powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej — Język Python powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API — Język Python powinien zostać zaktualizowany do najnowszej wersji aplikacji funkcji — Język Python powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej — Przechowywanie inspekcji dla serwerów SQL powinno być ustawione na co najmniej 90 dni |
Related links:
- Dowiedz się więcej na temat testu porównawczego zabezpieczeń platformy Azure
- Dowiedz się więcej o aplikacjach interfejsu API platformy Azure
- Dowiedz się więcej o aplikacjach funkcji platformy Azure
- Dowiedz się więcej o aplikacjach internetowych platformy Azure
- Dowiedz się więcej o usłudze Azure Database for MariaDB
- Dowiedz się więcej o usłudze Azure Database for MySQL
- Dowiedz się więcej o usłudze Azure Database for PostgreSQL
Dodatek NIST SP 800 171 R2 do pulpitu nawigacyjnego zgodności z przepisami usługi Security Center
Standard NIST SP 800-171 R2 jest teraz dostępny jako wbudowana inicjatywa do użycia z pulpitem nawigacyjnym zgodności z przepisami usługi Azure Security Center. Mapowania kontrolek zostały opisane w sekcji Szczegóły wbudowanej inicjatywy NIST SP 800-171 R2 zgodność z przepisami.
Aby zastosować standard do subskrypcji i stale monitorować stan zgodności, skorzystaj z instrukcji w temacie Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-171 R2.
Lista zaleceń zawiera teraz filtry
Teraz można filtrować listę zaleceń dotyczących zabezpieczeń zgodnie z zakresem kryteriów. W poniższym przykładzie lista zaleceń jest filtrowana w celu wyświetlenia zaleceń, które:
- are generally available (that is, not preview)
- are for storage accounts
- support quick fix remediation
Ulepszono i rozszerzono środowisko automatycznego aprowizowania
Funkcja automatycznego aprowizowania pomaga zmniejszyć obciążenie związane z zarządzaniem przez zainstalowanie wymaganych rozszerzeń na nowych i istniejących maszynach wirtualnych platformy Azure, aby mogły korzystać z ochrony usługi Security Center.
W miarę rozwoju usługi Azure Security Center opracowano więcej rozszerzeń, a usługa Security Center może monitorować większą listę typów zasobów. Narzędzia do automatycznego aprowizowania zostały teraz rozszerzone w celu obsługi innych rozszerzeń i typów zasobów dzięki wykorzystaniu możliwości usługi Azure Policy.
Teraz można skonfigurować automatyczne aprowizowanie:
- Agent Log Analytics
- (Nowy) Usługa Azure Policy dla platformy Kubernetes
- (Nowy) Agent zależności firmy Microsoft
Dowiedz się więcej w temacie Automatyczne aprowizowanie agentów i rozszerzeń z usługi Azure Security Center.
Wskaźnik bezpieczeństwa jest teraz dostępny w eksporcie ciągłym (wersja zapoznawcza)
Dzięki ciągłemu eksportowaniu wskaźnika bezpieczeństwa możesz przesyłać strumieniowo zmiany w wyniku w czasie rzeczywistym do usługi Azure Event Hubs lub obszaru roboczego usługi Log Analytics. Za pomocą tej funkcji możesz wykonywać następujące działania:
- śledzenie wskaźnika bezpieczeństwa w czasie za pomocą dynamicznych raportów
- eksportowanie danych wskaźnika bezpieczeństwa do usługi Microsoft Sentinel (lub dowolnego innego rozwiązania SIEM)
- integrowanie tych danych z dowolnymi procesami, których można już używać do monitorowania wskaźnika bezpieczeństwa w organizacji
Dowiedz się więcej o tym, jak stale eksportować dane usługi Security Center.
Zalecenie "Aktualizacje systemu powinny być zainstalowane na maszynach" zawiera teraz polecenia podrzędne
Aktualizacje systemu powinny być zainstalowane na zalecanych maszynach . Nowa wersja zawiera podpoleceń dla każdej brakującej aktualizacji i wprowadza następujące ulepszenia:
Przeprojektowane środowisko na stronach usługi Azure Security Center w witrynie Azure Portal. Strona szczegółów rekomendacji dotycząca aktualizacji systemu powinna być zainstalowana na maszynach wraz z listą wyników, jak pokazano poniżej. Po wybraniu pojedynczego znalezienia zostanie otwarte okienko szczegółów z linkiem do informacji korygowania i listą zasobów, których dotyczy problem.
Wzbogacone dane dotyczące rekomendacji z usługi Azure Resource Graph (ARG). ARG to usługa platformy Azure zaprojektowana w celu zapewnienia wydajnej eksploracji zasobów. Za pomocą usługi ARG można wykonywać zapytania na dużą skalę w danym zestawie subskrypcji, aby skutecznie zarządzać środowiskiem.
W przypadku usługi Azure Security Center można użyć usługi ARG i język zapytań Kusto (KQL) do wykonywania zapytań dotyczących szerokiego zakresu danych stanu zabezpieczeń.
Wcześniej, jeśli wykonano zapytanie dotyczące tego zalecenia w usłudze ARG, jedynymi dostępnymi informacjami było to, że zalecenie musi zostać skorygowane na maszynie. Następujące zapytanie rozszerzonej wersji zwróci wszystkie brakujące aktualizacje systemu pogrupowane według maszyny.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Strona zarządzania zasadami w witrynie Azure Portal zawiera teraz stan domyślnych przypisań zasad
You can now see whether or not your subscriptions have the default Security Center policy assigned, in the Security Center's security policy page of the Azure portal.
October 2020
Aktualizacje w październiku obejmują:
- Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych (wersja zapoznawcza)
- Dodano zalecenie usługi Azure Firewall (wersja zapoznawcza)
- Autoryzowane zakresy adresów IP powinny być zdefiniowane w rekomendacji usługi Kubernetes Services zaktualizowanym z szybką poprawką
- Pulpit nawigacyjny zgodności z przepisami zawiera teraz opcję usuwania standardów
- Microsoft.Security/securityStatuses tabela usunięta z usługi Azure Resource Graph
Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych (wersja zapoznawcza)
Zintegrowany skaner oceny luk w zabezpieczeniach usługi Azure Defender for Servers (obsługiwany przez firmę Qualys) skanuje teraz serwery z obsługą usługi Azure Arc.
Po włączeniu usługi Azure Arc na maszynach spoza platformy Azure usługa Security Center będzie oferować wdrażanie zintegrowanego skanera luk w zabezpieczeniach — ręcznie i na dużą skalę.
Dzięki tej aktualizacji możesz uwolnić możliwości usługi Azure Defender dla serwerów, aby skonsolidować program zarządzanie lukami w zabezpieczeniach we wszystkich zasobach platformy Azure i innych niż azure.
Main capabilities:
- Monitorowanie stanu aprowizacji skanera oceny luk w zabezpieczeniach na maszynach usługi Azure Arc
- Aprowizowanie zintegrowanego agenta oceny luk w zabezpieczeniach na maszynach z systemem Windows i Linux w usłudze Azure Arc (ręcznie i na dużą skalę)
- Odbieranie i analizowanie wykrytych luk w zabezpieczeniach od wdrożonych agentów (ręcznie i na dużą skalę)
- Ujednolicone środowisko maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc
Dowiedz się więcej o serwerach z obsługą usługi Azure Arc.
Dodano zalecenie usługi Azure Firewall (wersja zapoznawcza)
Dodano nowe zalecenie w celu ochrony wszystkich sieci wirtualnych za pomocą usługi Azure Firewall.
Zalecane jest, aby sieci wirtualne powinny być chronione przez usługę Azure Firewall , zaleca ograniczenie dostępu do sieci wirtualnych i zapobieganie potencjalnym zagrożeniom przy użyciu usługi Azure Firewall.
Learn more about Azure Firewall.
Autoryzowane zakresy adresów IP powinny być zdefiniowane w rekomendacji usługi Kubernetes Services zaktualizowanym z szybką poprawką
Zalecenie Autoryzowane zakresy adresów IP powinno być zdefiniowane w usługach Kubernetes Services ma teraz szybką opcję poprawki.
Pulpit nawigacyjny zgodności z przepisami zawiera teraz opcję usuwania standardów
Pulpit nawigacyjny zgodności z przepisami w usłudze Security Center zapewnia wgląd w stan zgodności na podstawie sposobu spełnienia określonych mechanizmów kontroli zgodności i wymagań.
Pulpit nawigacyjny zawiera domyślny zestaw standardów regulacyjnych. Jeśli którykolwiek z podanych standardów nie jest istotny dla Twojej organizacji, jest to teraz prosty proces usuwania ich z interfejsu użytkownika dla subskrypcji. Standards can be removed only at the subscription level; not the management group scope.
Dowiedz się więcej w artykule Usuwanie standardu z pulpitu nawigacyjnego.
Microsoft.Security/securityStatuses tabela usunięta z usługi Azure Resource Graph (ARG)
Azure Resource Graph to usługa platformy Azure, która została zaprojektowana w celu zapewnienia wydajnej eksploracji zasobów z możliwością wykonywania zapytań na dużą skalę w danym zestawie subskrypcji, dzięki czemu można skutecznie zarządzać środowiskiem.
W przypadku usługi Azure Security Center można użyć usługi ARG i język zapytań Kusto (KQL) do wykonywania zapytań dotyczących szerokiego zakresu danych stanu zabezpieczeń. For example:
- Spis zasobów korzysta z usługi ARG
- Udokumentowaliśmy przykładowe zapytanie ARG dotyczące identyfikowania kont bez włączonego uwierzytelniania wieloskładnikowego (MFA)
W ramach usługi ARG istnieją tabele danych, których można używać w zapytaniach.
Tip
Dokumentacja usługi ARG zawiera listę wszystkich dostępnych tabel w tabeli usługi Azure Resource Graph i dokumentacji typu zasobu.
From this update, the Microsoft.Security/securityStatuses table was removed. Interfejs API securityStatuses jest nadal dostępny.
Zastępowanie danych może być używane przez tabelę Microsoft.Security/Assessments.
Główną różnicą między Microsoft.Security/securityStatuses i Microsoft.Security/Assessments jest to, że podczas gdy pierwszy pokazuje agregację ocen, sekundy zawierają jeden rekord dla każdego.
Na przykład Microsoft.Security/securityStatuses zwróci wynik z tablicą dwóch zasadAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Podczas gdy Microsoft.Security/Assessments przechowuje rekord dla każdej takiej oceny zasad w następujący sposób:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Przykład konwertowania istniejącego zapytania ARG przy użyciu parametrów securityStatuses w celu użycia tabeli ocen:
Zapytanie odwołujące się do parametru SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Zapytanie zastępcze tabeli Oceny:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Dowiedz się więcej na poniższych linkach:
September 2020
Aktualizacje we wrześniu obejmują:
- Usługa Security Center otrzymuje nowy wygląd!
- Usługa Azure Defender została wydana
- Usługa Azure Defender dla usługi Key Vault jest ogólnie dostępna
- Ochrona usługi Azure Defender dla usługi Storage dla plików i usługi ADLS Gen2 jest ogólnie dostępna
- Narzędzia spisu zasobów są teraz ogólnie dostępne
- Wyłączanie określonego znalezienia luk w zabezpieczeniach na potrzeby skanowania rejestrów kontenerów i maszyn wirtualnych
- Wyklucz zasób z zalecenia
- Łączniki usług AWS i GCP w usłudze Security Center przynoszą środowisko wielochmurowe
- Pakiet zaleceń dotyczących ochrony obciążeń platformy Kubernetes
- Wyniki oceny luk w zabezpieczeniach są teraz dostępne w ciągłym eksportowaniu
- Zapobieganie błędom konfiguracji zabezpieczeń przez wymuszanie zaleceń podczas tworzenia nowych zasobów
- Ulepszono zalecenia dotyczące sieciowej grupy zabezpieczeń
- Przestarzałe zalecenie usługi AKS w wersji zapoznawczej "Zasady zabezpieczeń zasobnika powinny być zdefiniowane w usługach Kubernetes Services"
- Ulepszono powiadomienia e-mail z usługi Azure Security Center
- Wskaźnik bezpieczeństwa nie obejmuje zaleceń dotyczących wersji zapoznawczej
- Rekomendacje obejmują teraz wskaźnik ważności i interwał aktualności
Usługa Security Center otrzymuje nowy wygląd
Opublikowaliśmy odświeżony interfejs użytkownika dla stron portalu usługi Security Center. Nowe strony zawierają nową stronę przeglądu i pulpity nawigacyjne na potrzeby wskaźnika bezpieczeństwa, spisu zasobów i usługi Azure Defender.
Przeprojektowana strona przeglądu zawiera teraz kafelek umożliwiający uzyskiwanie dostępu do pulpitów nawigacyjnych wskaźnika bezpieczeństwa, spisu zasobów i usługi Azure Defender. Zawiera on również kafelek łączący się z pulpitem nawigacyjnym zgodności z przepisami.
Learn more about the overview page.
Usługa Azure Defender została wydana
Azure Defender is the cloud workload protection platform (CWPP) integrated within Security Center for advanced, intelligent, protection of your Azure and hybrid workloads. Zastępuje ona opcję warstwy cenowej Standardowa usługi Security Center.
Po włączeniu usługi Azure Defender z obszaru Cennik i ustawienia usługi Azure Security Center wszystkie następujące plany usługi Defender są włączone jednocześnie i zapewniają kompleksową ochronę warstw obliczeniowych, danych i usług środowiska:
- Usługa Azure Defender dla serwerów
- Usługa Azure Defender dla usługi App Service
- Usługa Azure Defender dla magazynu
- Usługa Azure Defender dla SQL
- Usługa Azure Defender dla usługi Key Vault
- Usługa Azure Defender dla platformy Kubernetes
- Usługa Azure Defender dla rejestrów kontenerów
Każdy z tych planów jest objaśniony oddzielnie w dokumentacji usługi Security Center.
Dzięki dedykowanemu pulpitowi nawigacyjnemu usługa Azure Defender zapewnia alerty zabezpieczeń i zaawansowaną ochronę przed zagrożeniami dla maszyn wirtualnych, baz danych SQL, kontenerów, aplikacji internetowych, sieci i nie tylko.
Dowiedz się więcej o usłudze Azure Defender
Usługa Azure Defender dla usługi Key Vault jest ogólnie dostępna
Azure Key Vault to usługa w chmurze, która chroni klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła.
Usługa Azure Defender for Key Vault zapewnia natywną, zaawansowaną ochronę przed zagrożeniami na platformie Azure dla usługi Azure Key Vault, zapewniając dodatkową warstwę analizy zabezpieczeń. Dzięki rozszerzeniu usługa Azure Defender dla usługi Key Vault chroni w związku z tym wiele zasobów zależnych od kont usługi Key Vault.
Opcjonalny plan jest teraz ogólnie dostępny. Ta funkcja była dostępna w wersji zapoznawczej jako "zaawansowana ochrona przed zagrożeniami dla usługi Azure Key Vault".
Also, the Key Vault pages in the Azure portal now include a dedicated Security page for Security Center recommendations and alerts.
Dowiedz się więcej w usłudze Azure Defender for Key Vault.
Ochrona usługi Azure Defender dla usługi Storage dla plików i usługi ADLS Gen2 jest ogólnie dostępna
Usługa Azure Defender for Storage wykrywa potencjalnie szkodliwe działania na kontach usługi Azure Storage. Dane mogą być chronione niezależnie od tego, czy są przechowywane jako kontenery obiektów blob, udziały plików czy magazyny danych.
Support for Azure Files and Azure Data Lake Storage Gen2 is now generally available.
Od 1 października 2020 r. rozpoczniemy naliczanie opłat za ochronę zasobów w tych usługach.
Dowiedz się więcej w usłudze Azure Defender for Storage.
Narzędzia spisu zasobów są teraz ogólnie dostępne
Strona spisu zasobów usługi Azure Security Center zawiera jedną stronę do wyświetlania stanu zabezpieczeń zasobów połączonych z usługą Security Center.
Usługa Security Center okresowo analizuje stan zabezpieczeń zasobów platformy Azure, aby zidentyfikować potencjalne luki w zabezpieczeniach. Następnie udostępnia zalecenia dotyczące sposobu korygowania tych luk w zabezpieczeniach.
Gdy dowolny zasób ma zaległe zalecenia, zostaną one wyświetlone w spisie.
Dowiedz się więcej w artykule Eksplorowanie zasobów i zarządzanie nimi za pomocą spisu zasobów.
Wyłączanie określonego znalezienia luk w zabezpieczeniach na potrzeby skanowania rejestrów kontenerów i maszyn wirtualnych
Usługa Azure Defender obejmuje skanery luk w zabezpieczeniach do skanowania obrazów w usłudze Azure Container Registry i maszynach wirtualnych.
Jeśli masz organizacyjną potrzebę ignorowania znajdowania, a nie korygowania, możesz ją opcjonalnie wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.
Gdy wyszukiwanie jest zgodne z kryteriami zdefiniowanymi w regułach wyłączania, nie będzie ono wyświetlane na liście wyników.
Ta opcja jest dostępna na stronach szczegółów zaleceń dla:
- Należy skorygować luki w zabezpieczeniach obrazów usługi Azure Container Registry
- Należy skorygować luki w zabezpieczeniach maszyn wirtualnych
Wykluczanie zasobu z rekomendacji
Od czasu do czasu zasób będzie wyświetlany jako w złej kondycji w odniesieniu do określonego zalecenia (i w związku z tym obniżenie wskaźnika bezpieczeństwa), mimo że uważasz, że nie powinno być. Być może został skorygowany przez proces, który nie jest śledzony przez usługę Security Center. Być może organizacja zdecydowała się zaakceptować ryzyko dla tego konkretnego zasobu.
W takich przypadkach można utworzyć regułę wykluczania i upewnić się, że zasób nie znajduje się na liście zasobów w złej kondycji w przyszłości. Te reguły mogą zawierać udokumentowane uzasadnienia, jak opisano poniżej.
Dowiedz się więcej w artykule Wyklucz zasób z zaleceń i wskaźnik bezpieczeństwa.
Łączniki usług AWS i GCP w usłudze Security Center przynoszą środowisko wielochmurowe
W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności.
Usługa Azure Security Center chroni teraz obciążenia na platformie Azure, w usługach Amazon Web Services (AWS) i Google Cloud Platform (GCP).
Po dołączeniu projektów AWS i GCP do usługi Security Center integruje ona usługi AWS Security Hub, GCP Security Command i Azure Security Center.
Dowiedz się więcej w temacie Connect your AWS accounts to Azure Security Center and Connect your GCP projects to Azure Security Center (Łączenie kont platformy AWS z usługą Azure Security Center ) i Connect your GCP projects to Azure Security Center (Łączenie projektów GCP z usługą Azure Security Center).
Pakiet zaleceń dotyczących ochrony obciążeń platformy Kubernetes
Aby upewnić się, że obciążenia platformy Kubernetes są domyślnie bezpieczne, usługa Security Center dodaje zalecenia dotyczące wzmacniania zabezpieczeń na poziomie kubernetes, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.
Po zainstalowaniu usługi Azure Policy dla platformy Kubernetes w klastrze usługi AKS każde żądanie do serwera interfejsu API Kubernetes będzie monitorowane przed utrwalonym zestawem najlepszych rozwiązań przed utrwalonym w klastrze. Następnie można skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.
Możesz na przykład wymuś, że uprzywilejowane kontenery nie powinny być tworzone, a wszelkie przyszłe żądania do tego będą blokowane.
Dowiedz się więcej w artykule Najlepsze rozwiązania dotyczące ochrony obciążeń przy użyciu kontroli wpływu danych na platformę Kubernetes.
Wyniki oceny luk w zabezpieczeniach są teraz dostępne w ciągłym eksportowaniu
Użyj eksportu ciągłego, aby przesyłać strumieniowo alerty i zalecenia do usługi Azure Event Hubs, obszarów roboczych usługi Log Analytics lub usługi Azure Monitor. Z tego miejsca możesz zintegrować te dane z rozwiązaniami SIEM, takimi jak Microsoft Sentinel, Power BI, Azure Data Explorer i inne.
Zintegrowane narzędzia do oceny luk w zabezpieczeniach usługi Security Center zwracają wyniki dotyczące zasobów jako rekomendacje z możliwością działania w ramach zalecenia nadrzędnego, takiego jak "Luki w zabezpieczeniach maszyn wirtualnych powinny zostać skorygowane".
Wyniki zabezpieczeń są teraz dostępne do eksportowania za pośrednictwem eksportu ciągłego po wybraniu zaleceń i włączeniu opcji uwzględnij wyniki zabezpieczeń .
Related pages:
- Zintegrowane rozwiązanie do oceny luk w zabezpieczeniach qualys w usłudze Security Center dla maszyn wirtualnych platformy Azure
- Zintegrowane rozwiązanie do oceny luk w zabezpieczeniach usługi Security Center dla obrazów usługi Azure Container Registry
- Continuous export
Zapobieganie błędom konfiguracji zabezpieczeń przez wymuszanie zaleceń podczas tworzenia nowych zasobów
Błędy konfiguracji zabezpieczeń są główną przyczyną zdarzeń zabezpieczeń. Security Center now has the ability to help prevent misconfigurations of new resources with regard to specific recommendations.
Ta funkcja może pomóc zapewnić bezpieczeństwo obciążeń i ustabilizować wskaźnik bezpieczeństwa.
Możesz wymusić bezpieczną konfigurację na podstawie określonego zalecenia w dwóch trybach:
Przy użyciu trybu odmowy usługi Azure Policy można zatrzymać tworzenie zasobów w złej kondycji
Using the enforced option, you can take advantage of Azure Policy's DeployIfNotExist effect and automatically remediate non-compliant resources upon creation
Jest to dostępne dla wybranych zaleceń dotyczących zabezpieczeń i można je znaleźć w górnej części strony szczegółów zasobu.
Dowiedz się więcej w artykule Zapobieganie błędom konfiguracji za pomocą zaleceń wymuszania/odmowy.
Ulepszono zalecenia dotyczące sieciowej grupy zabezpieczeń
Następujące zalecenia dotyczące zabezpieczeń związane z sieciowymi grupami zabezpieczeń zostały ulepszone w celu zmniejszenia niektórych wystąpień wyników fałszywie dodatnich.
- Wszystkie porty sieciowe powinny być ograniczone do sieciowej grupy zabezpieczeń skojarzonej z maszyną wirtualną
- Porty zarządzania powinny być zamknięte na maszynach wirtualnych
- Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń
- Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń
Przestarzałe zalecenie usługi AKS w wersji zapoznawczej "Zasady zabezpieczeń zasobnika powinny być zdefiniowane w usługach Kubernetes Services"
Zalecenie w wersji zapoznawczej "Zasady zabezpieczeń zasobników powinno być zdefiniowane w usługach Kubernetes Services" jest przestarzałe zgodnie z opisem w dokumentacji usługi Azure Kubernetes Service .
Funkcja zasad zabezpieczeń zasobnika (wersja zapoznawcza) jest ustawiona na wycofanie i nie będzie już dostępna po 15 października 2020 r. na rzecz usługi Azure Policy dla usługi AKS.
Po wycofaniu zasad zabezpieczeń zasobnika (wersja zapoznawcza) należy wyłączyć tę funkcję we wszystkich istniejących klastrach przy użyciu przestarzałej funkcji, aby przeprowadzić przyszłe uaktualnienia klastra i pozostać w pomoc techniczna platformy Azure.
Ulepszono powiadomienia e-mail z usługi Azure Security Center
Ulepszono następujące obszary wiadomości e-mail dotyczących alertów zabezpieczeń:
- Dodano możliwość wysyłania powiadomień e-mail dotyczących alertów dla wszystkich poziomów ważności
- Dodano możliwość powiadamiania użytkowników o różnych rolach platformy Azure w subskrypcji
- Proaktywnie powiadamiamy właścicieli subskrypcji domyślnie o alertach o wysokiej ważności (które mają duże prawdopodobieństwo, że są prawdziwe naruszenia)
- Usunęliśmy pole numeru telefonu ze strony konfiguracji powiadomień e-mail
Dowiedz się więcej w temacie Konfigurowanie powiadomień e-mail dotyczących alertów zabezpieczeń.
Wskaźnik bezpieczeństwa nie obejmuje zaleceń dotyczących wersji zapoznawczej
Usługa Security Center stale ocenia zasoby, subskrypcje i organizację pod kątem problemów z zabezpieczeniami. Następnie agreguje wszystkie wyniki w jeden wynik, dzięki czemu można powiedzieć na pierwszy rzut oka bieżącą sytuację bezpieczeństwa: im wyższą ocenę, tym niższy poziom zidentyfikowanego ryzyka.
W miarę odnajdywane są nowe zagrożenia, nowe porady dotyczące zabezpieczeń są udostępniane w usłudze Security Center za pośrednictwem nowych zaleceń. To avoid surprise changes your secure score, and to provide a grace period in which you can explore new recommendations before they impact your scores, recommendations flagged as Preview are no longer included in the calculations of your secure score. Powinny one być nadal korygowane wszędzie tam, gdzie to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku.
Also, Preview recommendations don't render a resource "Unhealthy".
Przykład zalecenia w wersji zapoznawczej:
Dowiedz się więcej o wskaźniku bezpieczeństwa.
Rekomendacje obejmują teraz wskaźnik ważności i interwał aktualności
Strona szczegółów zaleceń zawiera teraz wskaźnik interwału aktualności (zawsze, gdy jest to istotne) i jasny obraz ważności zalecenia.
August 2020
Aktualizacje w sierpniu obejmują:
- Spis zasobów — zaawansowany nowy widok stanu zabezpieczeń zasobów
- Dodano obsługę domyślnych ustawień zabezpieczeń usługi Azure Active Directory (w przypadku uwierzytelniania wieloskładnikowego)
- Dodano zalecenie dotyczące jednostek usługi
- Ocena luk w zabezpieczeniach maszyn wirtualnych — skonsolidowano zalecenia i zasady
- Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy ASC_default
Spis zasobów — zaawansowany nowy widok stanu zabezpieczeń zasobów
Spis zasobów usługi Security Center (obecnie w wersji zapoznawczej) umożliwia wyświetlanie stanu zabezpieczeń zasobów połączonych z usługą Security Center.
Usługa Security Center okresowo analizuje stan zabezpieczeń zasobów platformy Azure, aby zidentyfikować potencjalne luki w zabezpieczeniach. Następnie udostępnia zalecenia dotyczące sposobu korygowania tych luk w zabezpieczeniach. Gdy dowolny zasób ma zaległe zalecenia, zostaną one wyświetlone w spisie.
Możesz użyć widoku i jego filtrów, aby eksplorować dane stanu zabezpieczeń i podejmować dalsze działania na podstawie wyników.
Learn more about asset inventory.
Dodano obsługę domyślnych ustawień zabezpieczeń usługi Azure Active Directory (w przypadku uwierzytelniania wieloskładnikowego)
Security Center has added full support for security defaults, Microsoft's free identity security protections.
Domyślne ustawienia zabezpieczeń zapewniają wstępnie skonfigurowane ustawienia zabezpieczeń tożsamości w celu obrony organizacji przed typowymi atakami związanymi z tożsamościami. Wartości domyślne zabezpieczeń już chronią ponad 5 milionów dzierżaw w sumie; 50 000 dzierżaw jest również chronionych przez usługę Security Center.
Usługa Security Center udostępnia teraz rekomendację zabezpieczeń za każdym razem, gdy identyfikuje subskrypcję platformy Azure bez włączonych ustawień domyślnych zabezpieczeń. Do tej pory usługa Security Center zaleca włączenie uwierzytelniania wieloskładnikowego przy użyciu dostępu warunkowego, który jest częścią licencji premium usługi Azure Active Directory (AD). W przypadku klientów korzystających z bezpłatnej usługi Azure AD zalecamy teraz włączenie domyślnych ustawień zabezpieczeń.
Our goal is to encourage more customers to secure their cloud environments with MFA, and mitigate one of the highest risks that is also the most impactful to your secure score.
Learn more about security defaults.
Dodano zalecenie dotyczące jednostek usługi
Dodano nowe zalecenie, aby zalecić klientom usługi Security Center używanie certyfikatów zarządzania w celu zarządzania subskrypcjami, aby przełączyć się na jednostki usługi.
Zaleca się użycie jednostek usługi w celu ochrony subskrypcji zamiast certyfikatów zarządzania zaleca użycie jednostek usługi lub usługi Azure Resource Manager w celu bezpieczniejszego zarządzania subskrypcjami.
Dowiedz się więcej o obiektach aplikacji i jednostki usługi w usłudze Azure Active Directory.
Ocena luk w zabezpieczeniach maszyn wirtualnych — skonsolidowano zalecenia i zasady
Usługa Security Center sprawdza maszyny wirtualne, aby wykryć, czy uruchamiają rozwiązanie do oceny luk w zabezpieczeniach. Jeśli nie znaleziono rozwiązania do oceny luk w zabezpieczeniach, usługa Security Center udostępnia zalecenie upraszczające wdrażanie.
W przypadku znalezienia luk w zabezpieczeniach usługa Security Center udostępnia zalecenie podsumowujące wyniki, które należy zbadać i skorygować w razie potrzeby.
Aby zapewnić spójne środowisko dla wszystkich użytkowników, niezależnie od typu skanera, z którego korzystają, zunifikowaliśmy cztery zalecenia w następujących dwóch:
Unified recommendation | Change description |
---|---|
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Zastępuje następujące dwie rekomendacje: Włącz wbudowane rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwane przez rozwiązanie Qualys (obecnie przestarzałe) (uwzględnione w warstwie Standardowa) Rozwiązanie do oceny luk w zabezpieczeniach powinno być zainstalowane na maszynach wirtualnych (obecnie przestarzałe) (warstwy Standardowa i Bezpłatna) |
Należy skorygować luki w zabezpieczeniach maszyn wirtualnych | Zastępuje następujące dwie rekomendacje: Korygowanie luk w zabezpieczeniach znalezionych na maszynach wirtualnych (obsługiwanych przez firmę Qualys) (obecnie przestarzałe) Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach (obecnie przestarzałe) |
Teraz użyjesz tego samego zalecenia, aby wdrożyć rozszerzenie oceny luk w zabezpieczeniach usługi Security Center lub prywatnie licencjonowane rozwiązanie ("BYOL") od partnera, takiego jak Qualys lub Rapid 7.
Ponadto po znalezieniu i zgłoszeniu luk w zabezpieczeniach w usłudze Security Center pojedyncze zalecenie powiadomi Cię o wynikach niezależnie od rozwiązania do oceny luk w zabezpieczeniach, które je zidentyfikowało.
Updating dependencies
Jeśli masz skrypty, zapytania lub automatyzacje odwołujące się do poprzednich zaleceń lub kluczy/nazw zasad, użyj poniższych tabel, aby zaktualizować odwołania:
Przed sierpniem 2020 r.
Recommendation | Scope |
---|---|
Włącz wbudowane rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwane przez firmę Qualys) Key: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
Korygowanie luk w zabezpieczeniach znalezionych na maszynach wirtualnych (obsługiwanych przez firmę Qualys) Key: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
Rozwiązanie do oceny luk w zabezpieczeniach powinno być zainstalowane na maszynach wirtualnych Key: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach Key: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
Policy | Scope |
---|---|
Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych Identyfikator zasad: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach Identyfikator zasad: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Od sierpnia 2020 r.
Recommendation | Scope |
---|---|
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych Key: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Wbudowane i BYOL |
Należy skorygować luki w zabezpieczeniach maszyn wirtualnych Key: 1195afff-c881-495e-9bc5-1486211ae03f |
Wbudowane i BYOL |
Policy | Scope |
---|---|
Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych Identyfikator zasad: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Wbudowane i BYOL |
Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy ASC_default
Aby upewnić się, że obciążenia Kubernetes są domyślnie bezpieczne, usługa Security Center dodaje zasady na poziomie platformy Kubernetes i zalecenia dotyczące wzmacniania zabezpieczeń, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.
Wczesna faza tego projektu obejmuje podgląd i dodanie nowych (domyślnie wyłączonych) zasad do inicjatywy ASC_default.
Możesz bezpiecznie zignorować te zasady i nie będzie to miało wpływu na środowisko. Jeśli chcesz je włączyć, zarejestruj się w celu uzyskania wersji zapoznawczej za pośrednictwem prywatnej społeczności usługi Microsoft Cloud Security i wybierz następujące opcje:
- Single Preview – To join only this preview. Jawnie podaj "Ciągłe skanowanie usługi ASC" jako wersję zapoznawcza, którą chcesz dołączyć.
- Ongoing Program – To be added to this and future previews. Musisz ukończyć umowę dotyczącą profilu i prywatności.
July 2020
Aktualizacje w lipcu obejmują:
- Ocena luk w zabezpieczeniach dla maszyn wirtualnych jest teraz dostępna dla obrazów, które nie znajdują się na platformie handlowej
- Ochrona przed zagrożeniami dla usługi Azure Storage została rozszerzona w celu uwzględnienia usług Azure Files i Azure Data Lake Storage Gen2 (wersja zapoznawcza)
- Osiem nowych zaleceń dotyczących włączania funkcji ochrony przed zagrożeniami
- Udoskonalenia zabezpieczeń kontenerów — szybsze skanowanie rejestru i odświeżona dokumentacja
- Funkcje adaptacyjnego sterowania aplikacjami zostały zaktualizowane o nowe zalecenia oraz obsługują teraz symbole wieloznaczne w regułach ścieżek
- Wycofano sześć zasad usługi SQL Advanced Data Security
Ocena luk w zabezpieczeniach dla maszyn wirtualnych jest teraz dostępna dla obrazów spoza witryny Marketplace
Po wdrożeniu rozwiązania do oceny luk w zabezpieczeniach usługa Security Center wcześniej przeprowadziła sprawdzanie poprawności przed wdrożeniem. Sprawdzenie miało na celu potwierdzenie jednostki SKU platformy handlowej docelowej maszyny wirtualnej.
Z tej aktualizacji sprawdzanie jest usuwane i można teraz wdrożyć narzędzia do oceny luk w zabezpieczeniach na maszynach z systemami Windows i Linux. Obrazy niestandardowe to te, które zostały zmodyfikowane z domyślnych ustawień witryny Marketplace.
Mimo że można teraz wdrożyć zintegrowane rozszerzenie oceny luk w zabezpieczeniach (obsługiwane przez firmę Qualys) na wielu innych maszynach, obsługa jest dostępna tylko wtedy, gdy używasz systemu operacyjnego wymienionego w temacie Wdrażanie zintegrowanego skanera luk w zabezpieczeniach na maszynach wirtualnych w warstwie Standardowa
Dowiedz się więcej o zintegrowanym skanerze luk w zabezpieczeniach dla maszyn wirtualnych (wymaga usługi Azure Defender).
Dowiedz się więcej na temat używania własnego rozwiązania do oceny luk w zabezpieczeniach licencjonowanych prywatnie z firmy Qualys lub Rapid7
w temacie Wdrażanie rozwiązania do skanowania luk w zabezpieczeniach partnera.
Ochrona przed zagrożeniami dla usługi Azure Storage została rozszerzona w celu uwzględnienia usług Azure Files i Azure Data Lake Storage Gen2 (wersja zapoznawcza)
Ochrona przed zagrożeniami dla usługi Azure Storage wykrywa potencjalnie szkodliwe działania na kontach usługi Azure Storage. Usługa Security Center wyświetla alerty, gdy wykrywa próby uzyskania dostępu do kont magazynu lub wykorzystania ich.
Dane mogą być chronione niezależnie od tego, czy są przechowywane jako kontenery obiektów blob, udziały plików czy magazyny danych.
Osiem nowych zaleceń dotyczących włączania funkcji ochrony przed zagrożeniami
Dodano osiem nowych zaleceń w celu zapewnienia prostego sposobu włączania funkcji ochrony przed zagrożeniami w usłudze Azure Security Center dla następujących typów zasobów: maszyn wirtualnych, planów usługi App Service, serwerów usługi Azure SQL Database, serwerów SQL na maszynach, kont usługi Azure Storage, klastrów usługi Azure Kubernetes Service, rejestrów usługi Azure Container Registry i magazynów usługi Azure Key Vault.
Nowe zalecenia są następujące:
- Zaawansowane zabezpieczenia danych powinny być włączone na serwerach usługi Azure SQL Database
- Zaawansowane zabezpieczenia danych powinny być włączone na serwerach SQL na maszynach
- Zaawansowana ochrona przed zagrożeniami powinna być włączona w planach usługi aplikacja systemu Azure Service
- Zaawansowana ochrona przed zagrożeniami powinna być włączona w rejestrach usługi Azure Container Registry
- Zaawansowana ochrona przed zagrożeniami powinna być włączona w magazynach usługi Azure Key Vault
- Zaawansowana ochrona przed zagrożeniami powinna być włączona w klastrach usługi Azure Kubernetes Service
- Zaawansowana ochrona przed zagrożeniami powinna być włączona na kontach usługi Azure Storage
- Zaawansowana ochrona przed zagrożeniami powinna być włączona na maszynach wirtualnych
Zalecenia obejmują również funkcję szybkiej poprawki.
Important
Skorygowanie któregokolwiek z tych zaleceń spowoduje naliczanie opłat za ochronę odpowiednich zasobów. Te opłaty będą rozpoczynać się natychmiast, jeśli masz powiązane zasoby w bieżącej subskrypcji. Lub w przyszłości, jeśli dodasz je w późniejszym terminie.
Jeśli na przykład nie masz żadnych klastrów usługi Azure Kubernetes Service w subskrypcji i włączysz ochronę przed zagrożeniami, nie zostaną naliczone żadne opłaty. Jeśli w przyszłości dodasz klaster w tej samej subskrypcji, zostanie on automatycznie chroniony, a opłaty rozpoczną się w tym czasie.
Dowiedz się więcej o ochronie przed zagrożeniami w usłudze Azure Security Center.
Udoskonalenia zabezpieczeń kontenerów — szybsze skanowanie rejestru i odświeżona dokumentacja
W ramach ciągłych inwestycji w domenę zabezpieczeń kontenerów chętnie udostępnimy znaczną poprawę wydajności dynamicznego skanowania obrazów kontenerów przechowywanych w usłudze Azure Container Registry w usłudze Security Center. Skanowania są teraz zwykle wykonywane w ciągu około dwóch minut. W niektórych przypadkach może upłynąć do 15 minut.
Aby zwiększyć przejrzystość i wskazówki dotyczące możliwości zabezpieczeń kontenerów usługi Azure Security Center, odświeżyliśmy również strony dokumentacji zabezpieczeń kontenera.
Funkcje adaptacyjnego sterowania aplikacjami zostały zaktualizowane o nowe zalecenia oraz obsługują teraz symbole wieloznaczne w regułach ścieżek
Funkcja adaptacyjnego sterowania aplikacjami otrzymała dwie istotne aktualizacje:
Nowe zalecenie identyfikuje potencjalnie uzasadnione zachowanie, które nie zostało wcześniej dozwolone. Nowe zalecenie , Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane, monituje o dodanie nowych reguł do istniejących zasad w celu zmniejszenia liczby wyników fałszywie dodatnich w alertach naruszenia funkcji adaptacyjnego sterowania aplikacjami.
Reguły ścieżek obsługują teraz symbole wieloznaczne. Z tej aktualizacji można skonfigurować dozwolone reguły ścieżek przy użyciu symboli wieloznacznych. Istnieją dwa obsługiwane scenariusze:
Użyj symbolu wieloznakowego na końcu ścieżki, aby zezwolić na wszystkie pliki wykonywalne w tym folderze i podfolderach.
Użycie symbolu wieloznakowego w środku ścieżki w celu włączenia znanej nazwy pliku wykonywalnego ze zmianą nazwy folderu (np. folderów osobistych użytkowników ze znanym plikiem wykonywalnym, automatycznie wygenerowanych nazw folderów itp.).
Wycofano sześć zasad usługi SQL Advanced Data Security
Sześć zasad związanych z zaawansowanymi zabezpieczeniami danych dla maszyn SQL jest przestarzałych:
- Zaawansowane typy ochrony przed zagrożeniami powinny być ustawione na wartość "Wszystkie" w zaawansowanych ustawieniach zabezpieczeń danych wystąpienia zarządzanego SQL
- Zaawansowane typy ochrony przed zagrożeniami powinny być ustawione na wartość "Wszystkie" w ustawieniach zaawansowanych zabezpieczeń danych programu SQL Server
- Zaawansowane ustawienia zabezpieczeń danych dla wystąpienia zarządzanego SQL powinny zawierać adres e-mail do odbierania alertów zabezpieczeń
- Zaawansowane ustawienia zabezpieczeń danych dla programu SQL Server powinny zawierać adres e-mail do odbierania alertów zabezpieczeń
- Powiadomienia e-mail dla administratorów i właścicieli subskrypcji powinny być włączone w zaawansowanych ustawieniach zabezpieczeń danych wystąpienia zarządzanego SQL
- W zaawansowanych ustawieniach zabezpieczeń danych serwera SQL powinny być włączone powiadomienia e-mail do administratorów i właścicieli subskrypcji
Learn more about built-in policies.
June 2020
Aktualizacje w czerwcu obejmują:
- Interfejs API wskaźnika bezpieczeństwa (wersja zapoznawcza)
- Zaawansowane zabezpieczenia danych dla maszyn SQL (platforma Azure, inne chmury i środowisko lokalne) (wersja zapoznawcza)
- Dwie nowe zalecenia dotyczące wdrażania agenta usługi Log Analytics na maszynach usługi Azure Arc (wersja zapoznawcza)
- Nowe zasady tworzenia konfiguracji automatyzacji eksportu ciągłego i przepływu pracy na dużą skalę
- Nowe zalecenie dotyczące korzystania z sieciowych grup zabezpieczeń w celu ochrony maszyn wirtualnych bez Internetu
- Nowe zasady umożliwiające ochronę przed zagrożeniami i zaawansowane zabezpieczenia danych
Interfejs API wskaźnika bezpieczeństwa (wersja zapoznawcza)
Teraz możesz uzyskać dostęp do wskaźnika za pośrednictwem interfejsu API wskaźnika bezpieczeństwa (obecnie w wersji zapoznawczej). Metody interfejsu API zapewniają elastyczność wykonywania zapytań dotyczących danych i tworzenia własnego mechanizmu raportowania wyników bezpieczeństwa w czasie. For example, you can use the Secure Scores API to get the score for a specific subscription. Ponadto możesz użyć interfejsu API kontrolek wskaźnika bezpieczeństwa, aby wyświetlić listę mechanizmów kontroli zabezpieczeń i bieżący wynik subskrypcji.
Aby zapoznać się z przykładami narzędzi zewnętrznych, które umożliwiły użycie interfejsu API wskaźnika bezpieczeństwa, zobacz obszar wskaźnika bezpieczeństwa w naszej społeczności usługi GitHub.
Dowiedz się więcej o wskaźnikach bezpieczeństwa i mechanizmach kontroli zabezpieczeń w usłudze Azure Security Center.
Zaawansowane zabezpieczenia danych dla maszyn SQL (platforma Azure, inne chmury i środowisko lokalne) (wersja zapoznawcza)
Zaawansowane zabezpieczenia danych usługi Azure Security Center dla maszyn SQL chroni teraz serwery SQL hostowane na platformie Azure, w innych środowiskach w chmurze, a nawet na maszynach lokalnych. Rozszerza to ochronę serwerów SQL natywnych dla platformy Azure w celu zapewnienia pełnej obsługi środowisk hybrydowych.
Zaawansowane zabezpieczenia danych zapewniają ocenę luk w zabezpieczeniach i zaawansowaną ochronę przed zagrożeniami dla maszyn SQL, gdziekolwiek się znajdują.
Konfiguracja obejmuje dwa kroki:
Wdrożenie agenta usługi Log Analytics na maszynie hosta programu SQL Server w celu zapewnienia połączenia z kontem platformy Azure.
Włączanie opcjonalnego pakietu na stronie cennika i ustawień usługi Security Center.
Dowiedz się więcej o zaawansowanych zabezpieczeniach danych dla maszyn SQL.
Dwie nowe zalecenia dotyczące wdrażania agenta usługi Log Analytics na maszynach usługi Azure Arc (wersja zapoznawcza)
Dodano dwie nowe zalecenia ułatwiające wdrażanie agenta usługi Log Analytics na maszynach usługi Azure Arc i zapewnienie ich ochrony przez usługę Azure Security Center:
- Agent usługi Log Analytics powinien być zainstalowany na maszynach usługi Azure Arc z systemem Windows (wersja zapoznawcza)
- Agent usługi Log Analytics powinien być zainstalowany na maszynach usługi Azure Arc opartych na systemie Linux (wersja zapoznawcza)
Te nowe zalecenia będą wyświetlane w tych samych czterech mechanizmach kontroli zabezpieczeń co istniejące (powiązane) zalecenie, agent monitorowania powinien być zainstalowany na maszynach: korygowanie konfiguracji zabezpieczeń, stosowanie adaptacyjnej kontroli aplikacji, stosowanie aktualizacji systemu i włączanie ochrony punktu końcowego.
Zalecenia obejmują również funkcję szybkiej poprawki, aby przyspieszyć proces wdrażania.
Dowiedz się więcej o tym, jak usługa Azure Security Center używa agenta w temacie Co to jest agent usługi Log Analytics?.
Dowiedz się więcej o rozszerzeniach dla maszyn usługi Azure Arc.
Nowe zasady tworzenia konfiguracji automatyzacji eksportu ciągłego i przepływu pracy na dużą skalę
Automatyzacja procesów monitorowania i reagowania na zdarzenia w organizacji może znacznie poprawić czas potrzebny do zbadania i ograniczenia zdarzeń zabezpieczeń.
To deploy your automation configurations across your organization, use these built-in 'DeployIfdNotExist' Azure policies to create and configure continuous export and workflow automation procedures:
Definicje zasad można znaleźć w usłudze Azure Policy:
Goal | Policy | Policy ID |
---|---|---|
Eksport ciągły do usługi Event Hubs | Wdrażanie eksportu do usługi Event Hubs dla alertów i zaleceń usługi Azure Security Center | cdfcce10-4578-4ecd-9703-530938e4abcb |
Eksport ciągły do obszaru roboczego usługi Log Analytics | Wdróż eksport do obszaru roboczego usługi Log Analytics w celu uzyskania alertów i zaleceń usługi Azure Security Center | ffb6f416-7bd2-4488-8828-56585fef2be9 |
Automatyzacja przepływu pracy dla alertów zabezpieczeń | Wdróż automatyzację przepływu pracy dla alertów usługi Azure Security Center | f1525828-9a90-4fcf-be48-268cdd02361e |
Automatyzacja przepływu pracy dla zaleceń dotyczących zabezpieczeń | Wdróż automatyzację przepływów pracy dla zaleceń usługi Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Wprowadzenie do szablonów automatyzacji przepływu pracy.
Dowiedz się więcej o korzystaniu z dwóch zasad eksportu w temacie Konfigurowanie automatyzacji przepływu pracy na dużą skalę przy użyciu podanych zasad i Konfigurowanie eksportu ciągłego.
Nowe zalecenie dotyczące korzystania z sieciowych grup zabezpieczeń w celu ochrony maszyn wirtualnych bez Internetu
Kontrola zabezpieczeń "implementowanie najlepszych rozwiązań w zakresie zabezpieczeń" obejmuje teraz następujące nowe zalecenie:
- Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń
Istniejące zalecenie, maszyny wirtualne połączone z Internetem powinny być chronione za pomocą sieciowych grup zabezpieczeń, nie rozróżniały maszyn wirtualnych dostępnych z Internetu i nienależących do Internetu. W obu przypadkach wygenerowano zalecenie o wysokiej ważności, jeśli maszyna wirtualna nie została przypisana do sieciowej grupy zabezpieczeń. To nowe zalecenie oddziela maszyny nienależące do Internetu, aby zmniejszyć liczbę wyników fałszywie dodatnich i uniknąć niepotrzebnych alertów o wysokiej ważności.
Nowe zasady umożliwiające ochronę przed zagrożeniami i zaawansowane zabezpieczenia danych
Nowe definicje zasad poniżej zostały dodane do inicjatywy domyślnej usługi ASC i zostały zaprojektowane w celu ułatwienia włączania ochrony przed zagrożeniami lub zaawansowanych zabezpieczeń danych dla odpowiednich typów zasobów.
Definicje zasad można znaleźć w usłudze Azure Policy:
Dowiedz się więcej o ochronie przed zagrożeniami w usłudze Azure Security Center.
May 2020
Aktualizacje w maju obejmują:
- Reguły pomijania alertów (wersja zapoznawcza)
- Ocena luk w zabezpieczeniach maszyny wirtualnej jest teraz ogólnie dostępna
- Zmiany w dostępie just-in-time (JIT) do maszyny wirtualnej
- Niestandardowe zalecenia zostały przeniesione do oddzielnej kontroli zabezpieczeń
- Dodano przełącznik do wyświetlania zaleceń w kontrolkach lub jako płaską listę
- Rozszerzona kontrola zabezpieczeń „implementowanie najlepszych rozwiązań w zakresie zabezpieczeń”
- Zasady niestandardowe z niestandardowymi metadanymi są teraz ogólnie dostępne
- Możliwości analizy zrzutu awaryjnego migrujące do wykrywania ataków bez plików
Reguły pomijania alertów (wersja zapoznawcza)
Ta nowa funkcja (obecnie w wersji zapoznawczej) pomaga zmniejszyć zmęczenie alertami. Reguły umożliwiają automatyczne ukrywanie alertów, które są znane jako nieszkodliwe lub związane z normalnymi działaniami w organizacji. Dzięki temu można skupić się na najbardziej odpowiednich zagrożeniach.
Alerty zgodne z włączonymi regułami pomijania będą nadal generowane, ale ich stan zostanie ustawiony na odrzucone. Stan można zobaczyć w witrynie Azure Portal lub jednak uzyskujesz dostęp do alertów zabezpieczeń usługi Security Center.
Reguły pomijania definiują kryteria automatycznego odrzucania alertów. Zazwyczaj należy użyć reguły pomijania w celu:
pomijanie alertów zidentyfikowanych jako fałszywie dodatnie
pomijanie alertów, które są wyzwalane zbyt często, aby być przydatne
Dowiedz się więcej o pomijaniu alertów z ochrony przed zagrożeniami w usłudze Azure Security Center.
Ocena luk w zabezpieczeniach maszyny wirtualnej jest teraz ogólnie dostępna
Warstwa Standardowa usługi Security Center obejmuje teraz zintegrowaną ocenę luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych opłat. To rozszerzenie jest obsługiwane przez Qualys, ale zgłasza wyniki bezpośrednio do usługi Security Center. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane w usłudze Security Center.
Nowe rozwiązanie może stale skanować maszyny wirtualne, aby znaleźć luki w zabezpieczeniach i przedstawić wyniki w usłudze Security Center.
Aby wdrożyć rozwiązanie, użyj nowego zalecenia dotyczącego zabezpieczeń:
"Włączanie wbudowanego rozwiązania do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwanego przez firmę Qualys)"
Dowiedz się więcej o zintegrowanej ocenie luk w zabezpieczeniach usługi Security Center dla maszyn wirtualnych.
Zmiany w dostępie just-in-time (JIT) do maszyny wirtualnej
Usługa Security Center oferuje opcjonalną funkcję ochrony portów zarządzania maszyn wirtualnych. Zapewnia to ochronę przed najczęstszą formą ataków siłowych.
Ta aktualizacja wprowadza następujące zmiany w tej funkcji:
Zalecenie, które zaleca włączenie trybu JIT na maszynie wirtualnej, zostało zmienione. Wcześniej "Kontrola dostępu do sieci just in time powinna być stosowana na maszynach wirtualnych": "Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time".
Zalecenie jest wyzwalane tylko wtedy, gdy istnieją otwarte porty zarządzania.
Dowiedz się więcej o funkcji dostępu JIT.
Niestandardowe zalecenia zostały przeniesione do oddzielnej kontroli zabezpieczeń
Jedna kontrola zabezpieczeń wprowadzona przy użyciu ulepszonego wskaźnika bezpieczeństwa to "Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń". Wszystkie zalecenia niestandardowe utworzone dla subskrypcji zostały automatycznie umieszczone w tej kontrolce.
Aby ułatwić znajdowanie niestandardowych zaleceń, przenieśliśmy je do dedykowanej kontroli zabezpieczeń "Niestandardowe zalecenia". Ta kontrola nie ma wpływu na wskaźnik bezpieczeństwa.
Dowiedz się więcej o mechanizmach kontroli zabezpieczeń w obszarze Ulepszony wskaźnik bezpieczeństwa (wersja zapoznawcza) w usłudze Azure Security Center.
Dodano przełącznik do wyświetlania zaleceń w kontrolkach lub jako płaską listę
Mechanizmy kontroli zabezpieczeń to logiczne grupy powiązanych zaleceń dotyczących zabezpieczeń. Odzwierciedlają one podatne na ataki powierzchnie. Kontrolka to zestaw zaleceń dotyczących zabezpieczeń z instrukcjami, które ułatwiają implementowanie tych zaleceń.
Aby natychmiast zobaczyć, jak dobrze organizacja zabezpiecza poszczególne powierzchnie ataków, przejrzyj wyniki dla każdej kontroli zabezpieczeń.
Domyślnie zalecenia są wyświetlane w mechanizmach kontroli zabezpieczeń. Z tej aktualizacji można je również wyświetlić jako listę. Aby wyświetlić je jako prostą listę posortowaną według stanu kondycji dotkniętych zasobów, użyj nowego przełącznika "Grupuj według kontrolek". Przełącznik znajduje się powyżej listy w portalu.
Mechanizmy kontroli zabezpieczeń — i ten przełącznik — są częścią nowego środowiska wskaźnika bezpieczeństwa. Pamiętaj, aby wysłać nam swoją opinię z portalu.
Dowiedz się więcej o mechanizmach kontroli zabezpieczeń w obszarze Ulepszony wskaźnik bezpieczeństwa (wersja zapoznawcza) w usłudze Azure Security Center.
Rozszerzona kontrola zabezpieczeń „implementowanie najlepszych rozwiązań w zakresie zabezpieczeń”
Jedna kontrola zabezpieczeń wprowadzona przy użyciu ulepszonego wskaźnika bezpieczeństwa to "Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń". Gdy zalecenie znajduje się w tej kontrolce, nie ma wpływu na wskaźnik bezpieczeństwa.
Dzięki tej aktualizacji trzy zalecenia zostały przeniesione z kontrolek, w których zostały pierwotnie umieszczone, i do tej kontroli najlepszych rozwiązań. Podjęliśmy ten krok, ponieważ ustaliliśmy, że ryzyko tych trzech zaleceń jest niższe niż początkowo sądzono.
Ponadto wprowadzono dwa nowe zalecenia i dodano je do tej kontrolki.
Trzy przeniesione rekomendacje to:
- Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu subskrypcji (pierwotnie w kontrolce "Włącz uwierzytelnianie wieloskładnikowe")
- Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji (pierwotnie w kontrolce "Zarządzanie dostępem i uprawnieniami")
- Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli (pierwotnie w kontrolce "Zarządzanie dostępem i uprawnieniami")
Dwa nowe zalecenia dodane do kontrolki to:
Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach wirtualnych z systemem Windows (wersja zapoznawcza) — korzystanie z konfiguracji gościa usługi Azure Policy zapewnia widoczność wewnątrz maszyn wirtualnych do ustawień serwera i aplikacji (tylko system Windows).
Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach (wersja zapoznawcza) — program Windows Defender Exploit Guard korzysta z agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows).
Dowiedz się więcej o funkcji Windows Defender Exploit Guard w temacie Tworzenie i wdrażanie zasad funkcji Exploit Guard.
Dowiedz się więcej o mechanizmach kontroli zabezpieczeń w rozszerzonym wskaźniku bezpieczeństwa (wersja zapoznawcza).
Zasady niestandardowe z niestandardowymi metadanymi są teraz ogólnie dostępne
Zasady niestandardowe są teraz częścią środowiska zaleceń usługi Security Center, wskaźnika bezpieczeństwa i pulpitu nawigacyjnego standardów zgodności z przepisami. Ta funkcja jest teraz ogólnie dostępna i umożliwia rozszerzenie zasięgu oceny zabezpieczeń organizacji w usłudze Security Center.
Utwórz inicjatywę niestandardową w usłudze Azure Policy, dodaj do niej zasady i dołącz ją do usługi Azure Security Center i zwizualizuj ją jako zalecenia.
Dodaliśmy również opcję edytowania niestandardowych metadanych rekomendacji. Opcje metadanych obejmują ważność, kroki korygowania, informacje o zagrożeniach i nie tylko.
Dowiedz się więcej o ulepszaniu niestandardowych zaleceń, aby uzyskać szczegółowe informacje.
Możliwości analizy zrzutu awaryjnego migrujące do wykrywania ataków bez plików
Integrujemy możliwości wykrywania zrzutu awaryjnego systemu Windows (CDA) do wykrywania ataków bez plików. Analiza wykrywania ataków bez plików oferuje ulepszone wersje następujących alertów zabezpieczeń dla maszyn z systemem Windows: wykryto wstrzyknięcie kodu, wykryto maskowanie modułu systemu Windows, wykryto kod powłoki i wykryto podejrzany segment kodu.
Niektóre korzyści wynikające z tego przejścia:
Proaktywne i terminowe wykrywanie złośliwego oprogramowania — podejście CDA polegało na oczekiwaniu na wystąpienie awarii, a następnie uruchomieniu analizy w celu znalezienia złośliwych artefaktów. Korzystanie z wykrywania ataków bez plików zapewnia proaktywną identyfikację zagrożeń w pamięci podczas ich działania.
Enriched alerts - The security alerts from fileless attack detection include enrichments that aren't available from CDA, such as the active network connections information.
Alert aggregation - When CDA detected multiple attack patterns within a single crash dump, it triggered multiple security alerts. Wykrywanie ataków bez plików łączy wszystkie zidentyfikowane wzorce ataków z tego samego procesu w jeden alert, eliminując konieczność korelowania wielu alertów.
Ograniczone wymagania dotyczące obszaru roboczego usługi Log Analytics — zrzuty awaryjne zawierające potencjalnie poufne dane nie będą już przekazywane do obszaru roboczego usługi Log Analytics.
April 2020
Aktualizacje w kwietniu obejmują:
- Dynamiczne pakiety zgodności są teraz ogólnie dostępne
- Rekomendacje dotyczące tożsamości są teraz uwzględnione w warstwie Bezpłatna usługi Azure Security Center
Dynamiczne pakiety zgodności są teraz ogólnie dostępne
Pulpit nawigacyjny zgodności z przepisami usługi Azure Security Center obejmuje teraz dynamiczne pakiety zgodności (teraz ogólnie dostępne) do śledzenia dodatkowych standardów branżowych i prawnych.
Dynamiczne pakiety zgodności można dodać do subskrypcji lub grupy zarządzania ze strony zasad zabezpieczeń usługi Security Center. Po dodaniu standardu lub testu porównawczego standard pojawia się na pulpicie nawigacyjnym zgodności z przepisami razem ze wszystkimi skojarzonymi danymi zgodności zamapowanymi jako ocenami. Raport podsumowujący dla dowolnych standardów, które zostały dołączone, będzie dostępny do pobrania.
Teraz możesz dodać standardy, takie jak:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- Uk Official i UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0 (nowa) (która jest bardziej kompletną reprezentacją usługi Azure CIS 1.1.0)
Ponadto niedawno dodaliśmy test porównawczy zabezpieczeń platformy Azure, czyli opracowane przez firmę Microsoft wytyczne dotyczące platformy Azure pod kątem najlepszych rozwiązań w zakresie zabezpieczeń i zgodności w oparciu o popularne struktury zgodności. Dodatkowe standardy będą obsługiwane na pulpicie nawigacyjnym, gdy staną się dostępne.
Dowiedz się więcej na temat dostosowywania zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Zalecenia dotyczące tożsamości są teraz dostępne w warstwie Bezpłatna usługi Azure Security Center
Zalecenia dotyczące zabezpieczeń z zakresu tożsamości i dostępu w warstwie Bezpłatna usługi Azure Security Center są teraz ogólnie dostępne. Jest to część starań, aby funkcje zarządzania stanem zabezpieczeń w chmurze (CSPM) są bezpłatne. Do tej pory te zalecenia były dostępne tylko w warstwie cenowej Standardowa.
Przykładowe zalecenia dotyczące tożsamości i dostępu:
- „Uwierzytelnianie wieloskładnikowe powinno być włączone dla kont z uprawnieniami właściciela w ramach subskrypcji”.
- „Dla subskrypcji powinno być wyznaczonych maksymalnie trzech właścicieli”.
- „Przestarzałe konta powinny zostać usunięte z subskrypcji”.
Jeśli masz subskrypcje korzystające z warstwy cenowej Bezpłatna, ta zmiana będzie miała wpływ na ich wskaźnik bezpieczeństwa, ponieważ nigdy nie były oceniane pod kątem bezpieczeństwa tożsamości i dostępu.
March 2020
Aktualizacje w marcu obejmują:
- Automatyzacja przepływu pracy jest teraz ogólnie dostępna
- Integracja usługi Azure Security Center z usługą Windows Admin Center
- Ochrona usługi Azure Kubernetes Service
- Ulepszone środowisko just in time
- Dwa zalecenia dotyczące zabezpieczeń dla przestarzałych aplikacji internetowych
Automatyzacja przepływu pracy jest teraz ogólnie dostępna
Funkcja automatyzacji przepływu pracy usługi Azure Security Center jest teraz ogólnie dostępna. Służy ona do automatycznego wyzwalania aplikacji Logic Apps w przypadku zaleceń i alertów zabezpieczeń. Ponadto dla alertów i wszystkich zaleceń z dostępną opcją szybkiej poprawki są dostępne wyzwalacze ręczne.
Każdy program zabezpieczeń zawiera wiele przepływów pracy reagowania na zdarzenia. Te procesy mogą obejmować powiadamianie właściwych uczestników projektu, uruchamianie procesu zarządzania zmianami i stosowanie określonych instrukcji rozwiązania problemu. Specjaliści ds. zabezpieczeń zalecają zautomatyzowanie jak największej liczby kroków w tych procedurach. Automatyzacja redukuje nakład pracy i może poprawić bezpieczeństwo, zapewniając wykonanie kroków procesu w sposób szybki, spójny i zgodny ze wstępnie zdefiniowanymi wymaganiami.
For more information about the automatic and manual Security Center capabilities for running your workflows, see workflow automation.
Dowiedz się więcej o tworzeniu usługi Logic Apps.
Integracja usługi Azure Security Center z usługą Windows Admin Center
Teraz można przenieść lokalne serwery z systemem Windows z Centrum administracyjnego systemu Windows bezpośrednio do usługi Azure Security Center. Usługa Security Center umożliwi wtedy wyświetlanie w jednym miejscu informacji o zabezpieczeniach dla wszystkich zasobów rozwiązania Windows Admin Center, w tym serwerów lokalnych, maszyn wirtualnych i dodatkowych obciążeń PaaS.
Po przeniesieniu serwera z Centrum administracyjnego systemu Windows do usługi Azure Security Center będzie można wykonywać następujące elementy:
- Wyświetlanie zaleceń i alertów zabezpieczeń w rozszerzeniu Security Center rozwiązania Windows Admin Center.
- Wyświetlanie stanu zabezpieczeń i pobieranie dodatkowych szczegółowych informacji o serwerach zarządzanych w rozwiązaniu Windows Admin Center w usłudze Security Center w ramach witryny Azure Portal (lub za pośrednictwem interfejsu API).
Dowiedz się więcej o tym, jak integrować usługę Azure Security Center z rozwiązaniem Windows Admin Center.
Ochrona usługi Azure Kubernetes Service
Rozszerzono funkcje zabezpieczeń kontenerów usługi Azure Security Center, aby chronić usługę Azure Kubernetes Service (AKS).
Popularna platforma Kubernetes typu open source jest powszechnie stosowana, ponieważ jest obecnie standardem branżowym aranżacji kontenerów. Pomimo tej powszechnej implementacji nadal brakuje zrozumienia sposobu zabezpieczania środowiska Kubernetes. Ochrona obszaru podatnego na ataki konteneryzowanej aplikacji wymaga specjalistycznej wiedzy w celu zapewnienia, że infrastruktura została skonfigurowana bezpiecznie, i stałego monitorowania pod kątem potencjalnych zagrożeń.
Ochrona usługi Security Center obejmuje następujące funkcje:
- Odnajdywanie i widoczność — ciągłe odnajdywanie zarządzanych wystąpień usługi AKS w ramach subskrypcji zarejestrowanych w usłudze Security Center.
- Security recommendations - Actionable recommendations to help you comply with security best-practices for AKS. Te zalecenia są uwzględniane w wskaźniku bezpieczeństwa, aby upewnić się, że są one wyświetlane jako część stanu zabezpieczeń organizacji. Przykładem rekomendacji dotyczącej usługi AKS, którą można zobaczyć, jest "Kontrola dostępu oparta na rolach powinna służyć do ograniczania dostępu do klastra usługi Kubernetes".
- Threat protection - Through continuous analysis of your AKS deployment, Security Center alerts you to threats and malicious activity detected at the host and AKS cluster level.
Dowiedz się więcej o integracji usług Azure Kubernetes Services z usługą Security Center.
Dowiedz się więcej o funkcjach zabezpieczeń kontenera w usłudze Security Center.
Ulepszone środowisko just in time
Funkcje, operacje i interfejs użytkownika dla narzędzi just in time usługi Azure Security Center, które zabezpieczają porty zarządzania, zostały ulepszone w następujący sposób:
- Justification field - When requesting access to a virtual machine (VM) through the just-in-time page of the Azure portal, a new optional field is available to enter a justification for the request. Informacje wprowadzane w tym polu mogą być śledzone w dzienniku aktywności.
- Automatyczne czyszczenie nadmiarowych reguł just in time (JIT) — za każdym razem, gdy aktualizujesz zasady JIT, narzędzie oczyszczania jest uruchamiane automatycznie w celu sprawdzenia poprawności całego zestawu reguł. Narzędzie szuka niezgodności między regułami w zasadach i regułami w sieciowej grupie zabezpieczeń. Jeśli narzędzie oczyszczania znajdzie niezgodność, określa przyczynę i, gdy jest to bezpieczne, usuwa wbudowane reguły, które nie są już potrzebne. Narzędzie do czyszczenia nigdy nie usuwa reguł utworzonych przez Ciebie.
Dowiedz się więcej o funkcji dostępu JIT.
Dwa zalecenia dotyczące zabezpieczeń dla przestarzałych aplikacji internetowych
Dwa zalecenia dotyczące zabezpieczeń związane z aplikacjami internetowymi stają się przestarzałe:
Należy zaostrzyć reguły dla aplikacji internetowych w sieciowych grupach zabezpieczeń IaaS. (Powiązane zasady: reguły sieciowych grup zabezpieczeń dla aplikacji internetowych w usłudze IaaS powinny być wzmocnione)
Dostęp do usługi App Services powinien być ograniczony. (Powiązane zasady: Dostęp do usług App Services powinien być ograniczony [wersja zapoznawcza])
Te zalecenia nie będą już wyświetlane na liście zaleceń usługi Security Center. Powiązane zasady nie będą już uwzględniane w inicjatywie o nazwie "Security Center Default".
February 2020
Wykrywanie ataków bez plików dla systemu Linux (wersja zapoznawcza)
Ponieważ osoby atakujące coraz lepiej ukrywają swoje działania, aby uniknąć wykrycia, usługa Azure Security Center rozszerza wykrywanie ataków bezplikowych. Ta funkcja będzie obsługiwana nie tylko w systemie Windows, ale też w systemie Linux. Ataki bezplikowe wykorzystują luki w zabezpieczeniach oprogramowania, wstrzykują złośliwe ładunki do nieszkodliwych procesów systemu i ukrywają się w pamięci. These techniques:
- zminimalizować lub wyeliminować ślady złośliwego oprogramowania na dysku
- znacznie zmniejsza prawdopodobieństwo wykrycia przez rozwiązania do skanowania złośliwego oprogramowania opartego na dyskach
W ramach walki z tym zagrożeniem w październiku 2018 r. w usłudze Azure Security Center wprowadzono funkcję wykrywania ataków bezplikowych w systemie Windows, a teraz tę funkcję rozszerzono o obsługę systemu Linux.
January 2020
Ulepszony wskaźnik bezpieczeństwa (wersja zapoznawcza)
Rozszerzona wersja funkcji wskaźnika bezpieczeństwa w usłudze Azure Security Center jest teraz dostępna w wersji zapoznawczej. W tej wersji wiele zaleceń zostało pogrupowanych w ramach mechanizmów zabezpieczeń, które lepiej odzwierciedlają obszary narażone na ataki (np. ograniczenie dostępu do portów zarządzania).
Zapoznaj się z informacjami o zmianach wprowadzonych w wersji zapoznawczej wskaźnika bezpieczeństwa i ustal, jakie inne środki mogłyby pomóc Ci w zapewnieniu jeszcze większego bezpieczeństwa środowiska.
Dowiedz się więcej o rozszerzonym wskaźniku bezpieczeństwa (wersja zapoznawcza).
November 2019
Aktualizacje w listopadzie obejmują:
- Ochrona przed zagrożeniami dla usługi Azure Key Vault w regionach Ameryka Północna (wersja zapoznawcza)
- Ochrona przed zagrożeniami dla usługi Azure Storage obejmuje osłonę reputacji złośliwego oprogramowania
- Automatyzacja przepływu pracy za pomocą usługi Logic Apps (wersja zapoznawcza)
- Szybka poprawka dotycząca ogólnie dostępnych zasobów zbiorczych
- Skanowanie obrazów kontenerów pod kątem luk w zabezpieczeniach (wersja zapoznawcza)
- Dodatkowe standardy zgodności z przepisami (wersja zapoznawcza)
- Threat Protection dla usługi Azure Kubernetes Service (wersja zapoznawcza)
- Ocena luk w zabezpieczeniach maszyny wirtualnej (wersja zapoznawcza)
- Zaawansowane zabezpieczenia danych dla serwerów SQL w usłudze Azure Virtual Machines (wersja zapoznawcza)
- Obsługa zasad niestandardowych (wersja zapoznawcza)
- Rozszerzanie zasięgu usługi Azure Security Center za pomocą platformy dla społeczności i partnerów
- Zaawansowane integracje z eksportowaniem zaleceń i alertów (wersja zapoznawcza)
- Dołączanie serwerów lokalnych do usługi Security Center z poziomu Centrum administracyjnego Systemu Windows (wersja zapoznawcza)
Ochrona przed zagrożeniami dla usługi Azure Key Vault w regionach Ameryka Północna (wersja zapoznawcza)
Azure Key Vault to istotna usługa zapewniająca ochronę danych i poprawiająca wydajność aplikacji w chmurze poprzez zapewnianie możliwości centralnego zarządzania kluczami, wpisami tajnymi, kluczami kryptograficznymi i zasadami w chmurze. Ponieważ usługa Azure Key Vault przechowuje dane poufne i krytyczne dla działania firmy, wymaga ona maksymalnego poziomu zabezpieczeń dla magazynów kluczy i danych w nich przechowywanych.
Obsługa usługi Azure Security Center dla usługi Azure Key Vault dla usługi Azure Key Vault zapewnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do magazynów kluczy lub wykorzystania ich. Ta nowa warstwa zabezpieczeń umożliwia klientom reagowanie na zagrożenia dla magazynów kluczy bez potrzeby stosowania specjalistycznej wiedzy z zakresu zabezpieczeń lub zarządzania systemami monitorowania zabezpieczeń. Funkcja jest dostępna w publicznej wersji zapoznawczej w regionach Ameryki Północnej.
Ochrona przed zagrożeniami dla usługi Azure Storage obejmuje sprawdzanie reputacji pod kątem złośliwego oprogramowania
Ochrona przed zagrożeniami dla usługi Azure Storage oferuje nowe metody wykrywania wspierane przez analizę zagrożeń firmy Microsoft, które umożliwiają wykrywanie złośliwego oprogramowania przekazywanego do usługi Azure Storage przy użyciu analizy reputacji wartości skrótu i podejrzanego dostępu z aktywnego węzła wyjściowego sieci Tor (anonimizujący serwer proxy). Teraz możesz wyświetlać złośliwe oprogramowanie wykryte na wielu kontach magazynu przy użyciu usługi Azure Security Center.
Automatyzacja przepływu pracy za pomocą usługi Logic Apps (wersja zapoznawcza)
Organizacje, w których zabezpieczeniami, operacjami i działem IT zarządza się centralnie, wdrażają wewnętrzne procesy przepływów pracy, które pozwalają wykonać wymaganą akcję w przypadku wykrycia rozbieżności w środowisku. W wielu przypadkach te przepływy pracy są powtarzalnymi procesami, a automatyzacja może znacznie usprawnić procesy w organizacji.
Obecnie wprowadzamy nową funkcję w usłudze Security Center, która umożliwia klientom tworzenie konfiguracji automatyzacji korzystających z usługi Azure Logic Apps i tworzenie zasad, które będą automatycznie wyzwalane na podstawie określonych ustaleń usługi ASC, takich jak zalecenia lub alerty. Aplikację Azure Logic App można skonfigurować pod kątem wykonywania dowolnej niestandardowej akcji, obsługiwanej przez szeroką gamę łączników Logic App. Można też skorzystać z jednego z szablonów dostępnych w usłudze Security Center, np. do wysyłania wiadomości e-mail lub otwierania biletu ServiceNow™.
For more information about the automatic and manual Security Center capabilities for running your workflows, see workflow automation.
Aby dowiedzieć się więcej na temat tworzenia aplikacji Logic Apps, zobacz Azure Logic Apps.
Szybka poprawka dotycząca ogólnie dostępnych zasobów zbiorczych
Wiele zadań, które są przydzielane do użytkownika w ramach wskaźnika zabezpieczeń, sprawia, że możliwość efektywnego korygowania problemów w dużej flocie może stanowić poważne wyzwanie.
Użyj funkcji szybkiego korygowania poprawek, aby naprawić błędy konfiguracji zabezpieczeń, skorygować zalecenia dotyczące wielu zasobów i poprawić wskaźnik bezpieczeństwa.
Taka operacja pozwoli na wybranie zasobów, dla których chcesz zastosować działanie naprawcze, a następnie na uruchomienie akcji naprawczej umożliwiającej skonfigurowanie ustawienia w Twoim imieniu.
Szybka poprawka jest obecnie ogólnie dostępna dla klientów w ramach strony zaleceń usługi Security Center.
Skanowanie obrazów kontenerów pod kątem luk w zabezpieczeniach (wersja zapoznawcza)
Teraz usługa Azure Security Center może skanować obrazy kontenerów w usłudze Azure Container Registry w poszukiwaniu luk w zabezpieczeniach.
Skanowanie obrazu polega na analizowaniu pliku obrazu kontenera, a następnie sprawdzeniu, czy występują w nim jakiekolwiek znane luki w zabezpieczeniach (obsługiwane przez rozwiązanie Qualys).
Samo skanowanie jest wyzwalane automatycznie podczas wypychania nowych obrazów kontenera do usługi Azure Container Registry. Znalezione luki w zabezpieczeniach będą wyświetlane jako zalecenia usługi Security Center i uwzględnione w wskaźniku bezpieczeństwa wraz z informacjami na temat stosowania poprawek w celu zmniejszenia dozwolonego obszaru ataków.
Dodatkowe standardy zgodności z przepisami (wersja zapoznawcza)
Pulpit nawigacyjny Zgodność z przepisami daje wgląd w stan zabezpieczeń, bazując na ocenach usługi Security Center. Pulpit nawigacyjny pokazuje stopień zgodności Twojego środowiska z kontrolami i wymaganiami zaprojektowanymi na podstawie konkretnych standardów prawnych i branżowych testów porównawczych. Udostępnia nakazowe rekomendacje dotyczące tego, jak spełnić te wymagania.
Pulpit nawigacyjny zgodności z przepisami do tej pory obsługiwał cztery wbudowane standardy: Azure CIS 1.1.0, PCI-DSS, ISO 27001 i SOC-TSP. Ogłaszamy teraz publiczną wersję zapoznawcza dodatkowych obsługiwanych standardów: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM i UK Official wraz z UK NHS. Udostępniamy również zaktualizowaną wersję usługi Azure CIS 1.1.0, obejmującą więcej kontrolek ze standardowego i zwiększającego rozszerzalność.
Dowiedz się więcej na temat dostosowywania zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Threat Protection dla usługi Azure Kubernetes Service (wersja zapoznawcza)
Usługa Kubernetes szybko staje się nowym standardem wdrażania oprogramowania w chmurze i zarządzania nim. Niewiele osób dobrze zna platformę Kubernetes, a większość użytkowników skupia się tylko na ogólnej obsłudze i administrowaniu, zaniedbując aspekt zabezpieczeń. Zabezpieczenie platformy Kubernetes wymaga jej starannego skonfigurowania z eliminacją wszystkich luk podatnych na ukierunkowane ataki. W usłudze Security Center rozszerzono obsługę kontenerów o jedną z najszybciej rozwijających się usług na platformie Azure — Azure Kubernetes Service (AKS).
Publiczna wersja zapoznawcza zawiera następujące nowe funkcje:
- Odnajdywanie i widoczność — ciągłe odnajdywanie zarządzanych wystąpień usługi AKS w ramach zarejestrowanych subskrypcji usługi Security Center.
- Zalecenia dotyczące wskaźnika bezpieczeństwa — elementy umożliwiające podejmowanie działań, aby ułatwić klientom przestrzeganie najlepszych rozwiązań w zakresie zabezpieczeń usługi AKS i zwiększenie wskaźnika bezpieczeństwa. Zalecenia obejmują elementy, takie jak "Kontrola dostępu oparta na rolach powinna służyć do ograniczania dostępu do klastra usługi Kubernetes Service".
- Threat Detection - Host and cluster-based analytics, such as "A privileged container detected".
Ocena luk w zabezpieczeniach maszyny wirtualnej (wersja zapoznawcza)
Aplikacje instalowane na maszynach wirtualnych często miewają luki w zabezpieczeniach, które mogą prowadzić do naruszenia zabezpieczeń tych maszyn. Ogłaszamy, że warstwa Standardowa usługi Security Center obejmuje wbudowaną ocenę luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych opłat. Ocena luk w zabezpieczeniach obsługiwana przez firmę Qualys w publicznej wersji zapoznawczej umożliwia ciągłe skanowanie wszystkich zainstalowanych aplikacji na maszynie wirtualnej w celu znalezienia wrażliwych aplikacji i przedstawienia wyników w środowisku portalu usługi Security Center. Usługa Security Center przeprowadza wszystkie operacje wdrażania, więc użytkownik nie musi wykonywać żadnej dodatkowej pracy. W przyszłości planujemy udostępnić opcje oceny luk w zabezpieczeniach w celu obsługi unikatowych potrzeb biznesowych naszych klientów.
Dowiedz się więcej o ocenach luk w zabezpieczeniach dla maszyn wirtualnych platformy Azure.
Zaawansowane zabezpieczenia danych dla serwerów SQL w usłudze Azure Virtual Machines (wersja zapoznawcza)
Obsługa usługi Azure Security Center pod kątem ochrony przed zagrożeniami i oceny luk w zabezpieczeniach dla baz danych SQL działających na maszynach wirtualnych IaaS jest teraz dostępna w wersji zapoznawczej.
Vulnerability assessment is an easy to configure service that can discover, track, and help you remediate potential database vulnerabilities. Zapewnia wgląd w stan zabezpieczeń w ramach wskaźnika bezpieczeństwa i obejmuje kroki rozwiązywania problemów z zabezpieczeniami i ulepszania fortyfikacji bazy danych.
Zaawansowana ochrona przed zagrożeniami wykrywa nietypowe działania wskazujące na nieprawidłowe i potencjalnie szkodliwe próby uzyskania dostępu do serwerów SQL lub wykorzystania ich. Stale monitoruje ona Twoją bazę danych pod kątem podejrzanych działań i zapewnia zorientowane na akcje alerty zabezpieczeń dotyczące anomalii we wzorcach dostępu do bazy danych. Te alerty zawierają szczegółowe informacje o podejrzanych działaniach i zalecane akcje dotyczące sposobu badania i ograniczenia zagrożenia.
Obsługa zasad niestandardowych (wersja zapoznawcza)
Usługa Azure Security Center obsługuje teraz zasady niestandardowe (w wersji zapoznawczej).
Nasi klienci oczekiwali możliwości rozszerzenia obecnego zakresu oceny zabezpieczeń w usłudze Security Center o własne oceny zabezpieczeń bazujące na zasadach utworzonych samodzielnie w usłudze Azure Policy. Dzięki obsłudze zasad niestandardowych jest to teraz możliwe.
Te nowe zasady będą częścią funkcji rekomendacji w usłudze Security Center, Wskaźnika bezpieczeństwa i pulpitu nawigacyjnego standardów zgodności z przepisami. Dzięki obsłudze zasad niestandardowych możesz teraz utworzyć inicjatywę niestandardową w usłudze Azure Policy, a następnie dodać ją jako zasady w usłudze Security Center i zwizualizować ją jako zalecenie.
Rozszerzanie zakresu działania usługi Azure Security Center dzięki platformie dla społeczności i partnerów
Skorzystaj z usługi Security Center, aby otrzymywać rekomendacje nie tylko od firmy Microsoft, ale także z istniejących rozwiązań partnerów, takich jak Check Point, Tenable i CyberArk z wieloma nadchodzącymi integracją. Prosty przepływ dołączania usługi Security Center może łączyć istniejące rozwiązania z usługą Security Center, umożliwiając wyświetlanie zaleceń dotyczących stanu zabezpieczeń w jednym miejscu, uruchamianie ujednoliconych raportów i korzystanie ze wszystkich funkcji usługi Security Center zarówno w przypadku wbudowanych, jak i rekomendacji partnerów. Rekomendacje z usługi Security Center można również wyeksportować do produktów partnerów.
Dowiedz się więcej o inteligentnym skojarzeniu zabezpieczeń firmy Microsoft.
Zaawansowane integracje z eksportowaniem zaleceń i alertów (wersja zapoznawcza)
W celu włączenia scenariuszy na poziomie przedsiębiorstwa w usłudze Security Center można teraz korzystać z alertów i zaleceń usługi Security Center w dodatkowych miejscach z wyjątkiem witryny Azure Portal lub interfejsu API. Można je wyeksportować bezpośrednio do centrum zdarzeń i do obszarów roboczych usługi Log Analytics. Oto kilka przepływów pracy, które można utworzyć dzięki tym nowym możliwościom:
- Eksportowanie do obszaru roboczego usługi Log Analytics umożliwia tworzenie niestandardowych pulpitów nawigacyjnych za pomocą usługi Power BI.
- W przypadku eksportowania do usługi Event Hubs będziesz mieć możliwość eksportowania alertów i zaleceń usługi Security Center do rozwiązania innych firm lub usługi Azure Data Explorer.
Dołączanie serwerów lokalnych do usługi Security Center z poziomu Centrum administracyjnego Systemu Windows (wersja zapoznawcza)
Centrum Windows Admin Center to portal zarządzania dla serwerów z systemem Windows, które nie są wdrożone na platformie Azure, oferujący im kilka funkcji zarządzania platformy Azure, takich jak kopia zapasowa i aktualizacje systemu. Niedawno udostępniliśmy możliwość dodawania tych serwerów spoza platformy Azure w celu objęcia ich ochroną przez usługę ASC bezpośrednio ze środowiska centrum Windows Admin Center.
Użytkownicy mogą teraz dołączać serwer WAC do usługi Azure Security Center i włączać wyświetlanie alertów zabezpieczeń i zaleceń bezpośrednio w środowisku centrum administracyjnego systemu Windows.
September 2019
Aktualizacje we wrześniu obejmują:
- Ulepszenia zarządzania regułami za pomocą adaptacyjnych kontrolek aplikacji
- Kontrolowanie rekomendacji dotyczących zabezpieczeń kontenera przy użyciu usługi Azure Policy
Ulepszenia zarządzania regułami za pomocą adaptacyjnych kontrolek aplikacji
Ulepszono środowisko zarządzania regułami maszyn wirtualnych za pomocą funkcji adaptacyjnego sterowania aplikacjami. Funkcje adaptacyjnego sterowania aplikacjami usługi Azure Security Center ułatwiają kontrolowanie, które aplikacje mogą być uruchamiane na maszynach wirtualnych. Oprócz ogólnego ulepszenia zarządzania regułami wprowadzono nową korzyść, która pozwala kontrolować, które typy plików będą chronione po dodaniu nowej reguły.
Dowiedz się więcej o adaptacyjnych kontrolkach aplikacji.
Kontrolowanie rekomendacji dotyczących zabezpieczeń kontenera przy użyciu usługi Azure Policy
Zalecenie usługi Azure Security Center w celu skorygowania luk w zabezpieczeniach kontenera można teraz włączyć lub wyłączyć za pośrednictwem usługi Azure Policy.
Aby wyświetlić włączone zasady zabezpieczeń, w usłudze Security Center otwórz stronę Zasady zabezpieczeń.
August 2019
Aktualizacje w sierpniu obejmują:
- Dostęp just in time (JIT) do maszyny wirtualnej dla usługi Azure Firewall
- Korygowanie za pomocą jednego kliknięcia w celu zwiększenia poziomu zabezpieczeń (wersja zapoznawcza)
- Cross-tenant management
Dostęp just in time (JIT) do maszyny wirtualnej dla usługi Azure Firewall
Dostęp just-in-time (JIT) na potrzeby usługi Azure Firewall jest teraz ogólnie dostępny. Użyj go do zabezpieczenia środowisk chronionych za pomocą usługi Azure Firewall oprócz środowisk chronionych za pomocą sieciowych grup zabezpieczeń.
Dostęp JIT do maszyny wirtualnej ogranicza narażenie na sieciowe ataki wolumetryczne dzięki zapewnieniu dostępu do maszyny wirtualnej tylko wtedy, gdy jest on potrzebny, za pomocą reguł sieciowych grup zabezpieczeń i usługi Azure Firewall.
Gdy włączysz dostęp JIT na potrzeby swoich maszyn wirtualnych, utworzone zostaną zasady określające chronione porty, okres, przez który porty mają pozostać otwarte, oraz zatwierdzone adresy IP, z poziomu których można uzyskać dostęp do tych portów. Te zasady ułatwiają kontrolowanie działań użytkowników po zażądaniu przez nich dostępu.
Żądania są rejestrowane w dzienniku aktywności platformy Azure, dzięki czemu możesz w łatwy sposób monitorować dostęp i dokonywać jego inspekcji. Strona just in time pomaga również szybko zidentyfikować istniejące maszyny wirtualne z włączonym dostępem JIT i maszynami wirtualnymi, na których jest zalecany dostęp JIT.
Dowiedz się więcej o usłudze Azure Firewall.
Korygowanie za pomocą jednego kliknięcia w celu zwiększenia poziomu zabezpieczeń (wersja zapoznawcza)
Wskaźnik bezpieczeństwa ułatwia ocenę poziomu bezpieczeństwa zasobów. Za pomocą tego narzędzia możesz przeglądać zalecenia dotyczące działań naprawczych i je priorytetyzować, dzięki czemu wiesz, które zalecenie najpierw wprowadzić. Ułatwia to znalezienie najbardziej istotnych luk w zabezpieczeniach w celu ustalenia priorytetów badania.
Aby uprościć korygowanie błędów konfiguracji zabezpieczeń i pomóc w szybkim ulepszaniu wskaźnika bezpieczeństwa, dodaliśmy nową funkcję, która pozwala skorygować rekomendację dotyczącą dużej ilości zasobów w jednym kliknięciu.
Taka operacja pozwoli na wybranie zasobów, dla których chcesz zastosować działanie naprawcze, a następnie na uruchomienie akcji naprawczej umożliwiającej skonfigurowanie ustawienia w Twoim imieniu.
Cross-tenant management
Usługa Security Center obsługuje teraz zarządzanie różnymi dzierżawcami w ramach usługi Azure Lighthouse. Umożliwia to uzyskiwanie wglądu w informacje na temat wielu dzierżawców i zarządzanie ich stanem bezpieczeństwa w usłudze Security Center.
Dowiedz się więcej o środowiskach zarządzania między dzierżawami.
July 2019
Aktualizacje zaleceń dotyczących sieci
Udostępniono nowe zalecenia dotyczące sieci dla usługi Azure Security Center (ASC) i ulepszono istniejące zalecenia. Teraz usługa Security Center zapewnia jeszcze lepszą ochronę zasobów w sieci.
June 2019
Adaptacyjne wzmacnianie zabezpieczeń sieci — ogólnie dostępne
Jednym z najczęstszych obszarów ataków w przypadku obciążeń działających w chmurze publicznej są połączenia z publicznym Internetem. Nasi klienci często nie wiedzą, które zasady sieciowych grup zabezpieczeń należy zastosować, aby zagwarantować, że obciążenia platformy Azure będą dostępne wyłącznie w wymaganych zakresach źródłowych. Dzięki tej funkcji usługa Security Center uzyskuje informacje na temat ruchu sieciowego i wzorców łączności dla obciążeń platformy Azure i udostępnia zalecenia dotyczące zasad sieciowych grup zabezpieczeń dla maszyn wirtualnych mających połączenie z Internetem. Pomaga to klientom lepiej skonfigurować zasady dostępu do sieci i ograniczyć ryzyko ataków.