Archiwum nowości w usłudze Defender for Cloud?

Podstawowa strona Co nowego w usłudze Defender for Cloud? zawiera aktualizacje z ostatnich sześciu miesięcy, a ta strona zawiera starsze elementy.

Ta strona zawiera informacje o:

  • Nowe funkcje
  • Poprawki błędów
  • Funkcje uznane za przestarzałe

Marzec 2022 r.

Aktualizacje w marcu obejmują:

Globalna dostępność wskaźnika bezpieczeństwa dla środowisk AWS i GCP

Funkcje zarządzania stanem zabezpieczeń w chmurze zapewniane przez usługę Microsoft Defender dla Chmury dodały teraz obsługę środowisk AWS i GCP w ramach wskaźnika bezpieczeństwa.

Przedsiębiorstwa mogą teraz wyświetlać ogólny stan zabezpieczeń w różnych środowiskach, takich jak Azure, AWS i GCP.

Strona Wskaźnik bezpieczeństwa została zastąpiona pulpitem nawigacyjnym Stan zabezpieczeń. Pulpit nawigacyjny Stan zabezpieczeń pozwala wyświetlić ogólny łączny wynik dla wszystkich środowisk lub podział stanu zabezpieczeń na podstawie dowolnej kombinacji środowisk, które wybierzesz.

Strona Zalecenia została również przeprojektowana w celu zapewnienia nowych możliwości, takich jak wybór środowiska w chmurze, zaawansowane filtry oparte na zawartości (grupa zasobów, konto AWS, projekt GCP i inne), ulepszony interfejs użytkownika w niskiej rozdzielczości, obsługa otwierania zapytań na grafie zasobów i nie tylko. Możesz dowiedzieć się więcej na temat ogólnego stanu zabezpieczeń i zaleceń dotyczących zabezpieczeń.

Wycofane zalecenia dotyczące instalowania agenta zbierania danych ruchu sieciowego

Zmiany w harmonogramie działania i priorytetach usunęły potrzebę agenta zbierania danych ruchu sieciowego. Następujące dwa zalecenia i powiązane z nimi zasady zostały uznane za przestarzałe.

Zalecenie Opis Ważność
Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux Usługa Defender for Cloud używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. Śred.
Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows Usługa Defender for Cloud używa agenta Zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. Śred.

Usługa Defender for Containers może teraz skanować pod kątem luk w zabezpieczeniach obrazów systemu Windows (wersja zapoznawcza)

Skanowanie obrazów usługi Defender for Container obsługuje teraz obrazy systemu Windows hostowane w Azure Container Registry. Ta funkcja jest bezpłatna w wersji zapoznawczej i wiąże się z kosztami, gdy stanie się ogólnie dostępna.

Dowiedz się więcej w artykule Używanie usługi Microsoft Defender dla kontenera do skanowania obrazów pod kątem luk w zabezpieczeniach.

Nowy alert dla usługi Microsoft Defender for Storage (wersja zapoznawcza)

Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Microsoft Defender for Storage, dodaliśmy nowy alert w wersji zapoznawczej.

Aktorzy zagrożeń używają aplikacji i narzędzi do odnajdywania kont magazynu i uzyskiwania do nich dostępu. Usługa Microsoft Defender for Storage wykrywa te aplikacje i narzędzia, aby można je było zablokować i skorygować stan.

Ten alert w wersji zapoznawczej nosi nazwę Access from a suspicious application. Alert dotyczy tylko Azure Blob Storage i usługi ADLS Gen2.

Alert (typ alertu) Opis Taktyka MITRE Ważność
WERSJA ZAPOZNAWCZA — dostęp z podejrzanej aplikacji
(Storage.Blob_SuspiciousApp)
Wskazuje, że podejrzana aplikacja pomyślnie uzyskuje dostęp do kontenera konta magazynu z uwierzytelnianiem.
Może to wskazywać, że osoba atakująca uzyskała poświadczenia niezbędne do uzyskania dostępu do konta i wykorzystuje je. Może to być również wskazanie testu penetracyjnego przeprowadzonego w organizacji.
Dotyczy: Azure Blob Storage, Azure Data Lake Storage Gen2
Dostęp początkowy Śred.

Konfigurowanie ustawień powiadomień e-mail z poziomu alertu

Do interfejsu użytkownika alertu dodano nową sekcję, która umożliwia wyświetlanie i edytowanie osób, które będą otrzymywać powiadomienia e-mail dotyczące alertów wyzwalanych w bieżącej subskrypcji.

Zrzut ekranu przedstawiający nowy interfejs użytkownika przedstawiający sposób konfigurowania powiadomień e-mail.

Dowiedz się, jak skonfigurować powiadomienia e-mail dotyczące alertów zabezpieczeń.

Alert o przestarzałej wersji zapoznawczej: ARM. MCAS_ActivityFromAnonymousIPAddresses

Następujący alert w wersji zapoznawczej został uznany za przestarzały:

Nazwa alertu Opis
WERSJA ZAPOZNAWCZA — działanie z ryzykownego adresu IP
(ARM. MCAS_ActivityFromAnonymousIPAddresses)
Wykryto aktywność użytkowników z adresu IP, który został zidentyfikowany jako anonimowy adres IP serwera proxy.
Te serwery proxy są używane przez osoby, które chcą ukryć adres IP urządzenia i mogą być używane do złośliwych intencji. To wykrywanie używa algorytmu uczenia maszynowego, który zmniejsza liczbę wyników fałszywie dodatnich, takich jak nieprawidłowo oznakowane adresy IP, które są powszechnie używane przez użytkowników w organizacji.
Wymaga aktywnej licencji Microsoft Defender for Cloud Apps.

Utworzono nowy alert zawierający te informacje i dodawany do niego. Ponadto nowsze alerty (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) nie wymagają licencji na Microsoft Defender for Cloud Apps (wcześniej znanej jako Microsoft Cloud App Security).

Zobacz więcej alertów dotyczących Resource Manager.

Przeniesiono rekomendację Luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenerów powinny zostać skorygowane z wskaźnika bezpieczeństwa do najlepszych rozwiązań

Zalecenie Vulnerabilities in container security configurations should be remediated zostało przeniesione z sekcji wskaźnika bezpieczeństwa do sekcji najlepszych rozwiązań.

Bieżące środowisko użytkownika zapewnia tylko ocenę po zakończeniu wszystkich testów zgodności. Większość klientów ma trudności ze spełnieniem wszystkich wymaganych kontroli. Pracujemy nad ulepszonym środowiskiem dla tego zalecenia i po wydaniu zalecenia zostanie przywrócone do wskaźnika bezpieczeństwa.

Przestarzałe zalecenie dotyczące używania jednostek usługi do ochrony subskrypcji

Ponieważ organizacje odchodzą od używania certyfikatów zarządzania do zarządzania subskrypcjami, a nasze ostatnie ogłoszenie, że przechodzimy na emeryturę modelu wdrażania Cloud Services (klasycznego), wycofaliśmy następujące rekomendacje usługi Defender for Cloud i powiązane z nią zasady:

Zalecenie Opis Ważność
Jednostki usługi powinny być używane do ochrony subskrypcji zamiast certyfikatów zarządzania Certyfikaty zarządzania umożliwiają każdemu, kto uwierzytelnia się za ich pomocą, do zarządzania subskrypcjami, z którymi są skojarzone. Aby bezpieczniej zarządzać subskrypcjami, zaleca się użycie jednostek usługi z Resource Manager w celu ograniczenia promienia wybuchu w przypadku naruszenia certyfikatu. Automatyzuje również zarządzanie zasobami.
(Powiązane zasady: Jednostki usług powinny być używane do ochrony subskrypcji zamiast certyfikatów zarządzania)
Śred.

Więcej informacji:

Starsza implementacja iso 27001 zastąpiona nową inicjatywą ISO 27001:2013

Starsza implementacja standardu ISO 27001 została usunięta z pulpitu nawigacyjnego zgodności z przepisami usługi Defender for Cloud. Jeśli śledzisz zgodność iso 27001 z usługą Defender for Cloud, dołącz nowy standard ISO 27001:2013 dla wszystkich odpowiednich grup zarządzania lub subskrypcji.

Pulpit nawigacyjny zgodności z przepisami usługi Defender for Cloud przedstawiający komunikat o usunięciu starszej implementacji standardu ISO 27001.

Przestarzałe rekomendacje dotyczące urządzeń w usłudze Microsoft Defender dla IoT

Rekomendacje dotyczące urządzeń w usłudze Microsoft Defender dla IoT nie są już widoczne w usłudze Microsoft Defender for Cloud. Te zalecenia są nadal dostępne na stronie Rekomendacje usługi Microsoft Defender dla IoT.

Następujące zalecenia są przestarzałe:

Klucz oceny Zalecenia
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Urządzenia IoT Otwieranie portów na urządzeniu
ba975338-f956-41e7-a9f2-7614832d382d: Urządzenia IoT Znaleziono regułę zapory permissive w łańcuchu danych wejściowych
beb62be3-5e78-49bd-ac5f-099250ef3c7c: Urządzenia IoT Znaleziono zasady zapory permissywnej w jednym z łańcuchów
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Urządzenia IoT Znaleziono regułę zapory permissywnej w łańcuchu danych wyjściowych
5f65e47f-7a00-4bf3-acae-90ee441ee876: Urządzenia IoT Niepowodzenie weryfikacji punktu odniesienia systemu operacyjnego
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Urządzenia IoT Agent wysyłający nie w pełni wykorzystywane komunikaty
2acc27c6-5fdb-405e-9080-cb66b850c8f5: Urządzenia IoT Wymagane jest uaktualnienie pakietu szyfrowania TLS
d74d2738-2485-4103-9919-69c7e63776ec: Urządzenia IoT Proces inspekcji przestał wysyłać zdarzenia

Przestarzałe alerty dotyczące urządzeń w usłudze Microsoft Defender dla IoT

Wszystkie alerty urządzeń usługi Defender for IoT firmy Microsoft nie są już widoczne w usłudze Microsoft Defender for Cloud. Te alerty są nadal dostępne na stronie Alert usługi Microsoft Defender dla IoT i w usłudze Microsoft Sentinel.

Zarządzanie stanem i ochrona przed zagrożeniami dla platform AWS i GCP wydane na potrzeby ogólnej dostępności

  • Funkcje CSPM usługi Defender for Cloud rozszerzają zasoby platform AWS i GCP. Ten plan bez agenta ocenia zasoby wielochmurowe zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla chmury, które są uwzględnione w wskaźniku bezpieczeństwa. Zasoby są oceniane pod kątem zgodności przy użyciu wbudowanych standardów. Strona spisu zasobów usługi Defender for Cloud to funkcja z obsługą wielu chmur, która umożliwia zarządzanie zasobami platformy AWS obok zasobów platformy Azure.

  • Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę wystąpień obliczeniowych na platformach AWS i GCP. Plan usługi Defender for Servers obejmuje zintegrowaną licencję na potrzeby Ochrona punktu końcowego w usłudze Microsoft Defender, skanowania oceny luk w zabezpieczeniach i nie tylko. Dowiedz się więcej o wszystkich obsługiwanych funkcjach dla maszyn wirtualnych i serwerów. Funkcje automatycznego dołączania umożliwiają łatwe łączenie wszystkich istniejących lub nowych wystąpień obliczeniowych odnalezionych w środowisku.

Dowiedz się, jak chronić i łączyć środowisko AWS oraz organizację GCP za pomocą usługi Microsoft Defender for Cloud.

Skanowanie rejestru pod kątem obrazów systemu Windows w usłudze ACR dodano obsługę chmur krajowych

Skanowanie rejestru pod kątem obrazów systemu Windows jest teraz obsługiwane w usługach Azure Government i Azure China 21Vianet. Ten dodatek jest obecnie w wersji zapoznawczej.

Dowiedz się więcej o dostępności naszej funkcji.

Luty 2022 r.

Aktualizacje w lutym obejmują:

Ochrona obciążeń Kubernetes dla klastrów Kubernetes z obsługą usługi Arc

Usługa Defender for Containers chroniła wcześniej tylko obciążenia Kubernetes uruchomione w Azure Kubernetes Service. Teraz rozszerzyliśmy ochronę w celu uwzględnienia klastrów Kubernetes z włączoną usługą Azure Arc.

Dowiedz się, jak skonfigurować ochronę obciążeń Kubernetes dla klastrów Kubernetes z obsługą usług AKS i Azure Arc.

Natywny CSPM dla GCP i ochrony przed zagrożeniami dla wystąpień obliczeniowych GCP

Nowe automatyczne dołączanie środowisk GCP umożliwia ochronę obciążeń GCP za pomocą usługi Microsoft Defender for Cloud. Usługa Defender for Cloud chroni zasoby przy użyciu następujących planów:

  • Funkcje CSPM usługi Defender for Cloud rozszerzają się na zasoby GCP. Ten plan bez agenta ocenia zasoby GCP zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla platformy GCP, które są dostarczane z usługą Defender for Cloud. Rekomendacje GCP są uwzględniane w wskaźniku bezpieczeństwa, a zasoby zostaną ocenione pod kątem zgodności z wbudowanym standardem GCP CIS. Strona spisu zasobów usługi Defender for Cloud to funkcja z obsługą wielu chmur, która ułatwia zarządzanie zasobami na platformie Azure, AWS i GCP.

  • Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę wystąpień obliczeniowych GCP. Ten plan obejmuje zintegrowaną licencję na potrzeby Ochrona punktu końcowego w usłudze Microsoft Defender, skanowania pod kątem luk w zabezpieczeniach i nie tylko.

    Aby uzyskać pełną listę dostępnych funkcji, zobacz Obsługiwane funkcje dla maszyn wirtualnych i serwerów. Funkcje automatycznego dołączania umożliwiają łatwe łączenie wszystkich istniejących i nowych wystąpień obliczeniowych odnalezionych w danym środowisku.

Dowiedz się, jak chronić projekty GCP i łączyć je z usługą Microsoft Defender for Cloud.

Plan usługi Microsoft Defender dla usługi Azure Cosmos DB wydany w wersji zapoznawczej

Rozszerzyliśmy zasięg bazy danych usługi Microsoft Defender for Cloud. Teraz możesz włączyć ochronę baz danych usługi Azure Cosmos DB.

Usługa Microsoft Defender dla usługi Azure Cosmos DB to natywna dla platformy Azure warstwa zabezpieczeń, która wykrywa wszelkie próby wykorzystania baz danych na kontach usługi Azure Cosmos DB. Usługa Microsoft Defender dla usługi Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złe podmioty oparte na usłudze Microsoft Threat Intelligence, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości, których bezpieczeństwo jest naruszone, lub złośliwych testerów.

Stale analizuje strumień danych klienta generowany przez usługi Azure Cosmos DB.

Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty są wyświetlane w usłudze Microsoft Defender dla Chmury wraz ze szczegółami podejrzanych działań wraz z odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń.

Nie ma to wpływu na wydajność bazy danych podczas włączania usługi, ponieważ usługa Defender dla usługi Azure Cosmos DB nie uzyskuje dostępu do danych konta usługi Azure Cosmos DB.

Dowiedz się więcej na stronie Omówienie usługi Microsoft Defender dla usługi Azure Cosmos DB.

Wprowadzamy również nowe środowisko włączania zabezpieczeń bazy danych. Teraz możesz włączyć ochronę usługi Microsoft Defender dla Chmury w ramach subskrypcji, aby chronić wszystkie typy baz danych, takie jak Azure Cosmos DB, Azure SQL Database, Azure SQL serwerów na maszynach, oraz usługę Microsoft Defender dla relacyjnych baz danych typu open source za pomocą jednego procesu włączania. Określone typy zasobów można uwzględnić lub wykluczyć, konfigurując plan.

Dowiedz się, jak włączyć zabezpieczenia bazy danych na poziomie subskrypcji.

Ochrona przed zagrożeniami dla klastrów google Kubernetes Engine (GKE)

Po niedawnym ogłoszeniu Native CSPM dla GCP i ochrony przed zagrożeniami dla wystąpień obliczeniowych GCP usługa Microsoft Defender for Containers rozszerzyła swoją ochronę przed zagrożeniami kubernetes, analizę behawioralną i wbudowane zasady kontroli wpływu danych do klastrów Usługi Kubernetes Engine (GKE) Firmy Google. Możesz łatwo dołączyć istniejące lub nowe klastry GKE Standard do środowiska za pomocą naszych funkcji automatycznego dołączania. Zobacz Zabezpieczenia kontenerów w usłudze Microsoft Defender for Cloud, aby uzyskać pełną listę dostępnych funkcji.

Styczeń 2022 r.

Aktualizacje w styczniu obejmują:

Usługa Microsoft Defender dla Resource Manager zaktualizowana o nowe alerty i większy nacisk na operacje wysokiego ryzyka mapowane na macierz MITRE ATT&CK® Matrix

Warstwa zarządzania chmurą to kluczowa usługa połączona ze wszystkimi zasobami w chmurze. Z tego powodu jest to również potencjalny cel dla atakujących. Zalecamy ścisłe monitorowanie warstwy zarządzania zasobami przez zespoły ds. operacji zabezpieczeń.

Usługa Microsoft Defender for Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji, niezależnie od tego, czy są wykonywane za pośrednictwem Azure Portal, interfejsów API REST platformy Azure, interfejsu wiersza polecenia platformy Azure lub innych klientów programistycznych platformy Azure. Usługa Defender for Cloud uruchamia zaawansowaną analizę zabezpieczeń w celu wykrywania zagrożeń i alertów dotyczących podejrzanych działań.

Ochrona planu znacznie zwiększa odporność organizacji na ataki przed zagrożeniami i znacznie zwiększa liczbę zasobów platformy Azure chronionych przez usługę Defender for Cloud.

W grudniu 2020 r. wprowadziliśmy wersję zapoznawcza usługi Defender for Resource Manager, a w maju 2021 r. plan został wydany pod kątem ogólnej dostępności.

Dzięki tej aktualizacji kompleksowo zmieniliśmy fokus usługi Microsoft Defender dla Resource Manager planu. Zaktualizowany plan obejmuje wiele nowych alertów skoncentrowanych na identyfikowaniu podejrzanych wywołań operacji wysokiego ryzyka. Te nowe alerty zapewniają rozbudowane monitorowanie ataków w pełnejmacierzy MITRE ATT&CK® na potrzeby technik opartych na chmurze.

Ta macierz obejmuje następujący zakres potencjalnych intencji podmiotów zagrożeń, które mogą być skierowane do zasobów organizacji: początkowy dostęp, wykonywanie, trwałość, eskalacja uprawnień, uchylanie się od obrony, dostęp do poświadczeń, odnajdywanie, ruch boczny, kolekcja, eksfiltracja i wpływ.

Nowe alerty dla tego planu usługi Defender obejmują te intencje, jak pokazano w poniższej tabeli.

Porada

Te alerty są również wyświetlane na stronie referencyjnej alertów.

Alert (typ alertu) Opis TAKTYKA MITRE (intencje) Ważność
Wykryto podejrzane wywołanie operacji "wstępny dostęp" wysokiego ryzyka (wersja zapoznawcza)
(ARM_AnomalousOperation.InitialAccess)
Usługa Microsoft Defender dla Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę uzyskania dostępu do ograniczonych zasobów. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać początkowy dostęp do ograniczonych zasobów w środowisku. Może to wskazywać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. Dostęp początkowy Śred.
Wykryto podejrzane wywołanie operacji "Wykonywanie" wysokiego ryzyka (wersja zapoznawcza)
(ARM_AnomalousOperation.Execution)
Usługa Microsoft Defender dla Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka na maszynie w subskrypcji, co może wskazywać na próbę wykonania kodu. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w danym środowisku. Może to wskazywać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. Wykonanie Śred.
Wykryto podejrzane wywołanie operacji "Trwałość" wysokiego ryzyka (wersja zapoznawcza)
(ARM_AnomalousOperation.Persistence)
Usługa Microsoft Defender for Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę ustanowienia trwałości. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do ustanowienia trwałości w danym środowisku. Może to wskazywać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. Trwałość Śred.
Wykryto podejrzane wywołanie operacji "Eskalacja uprawnień" wysokiego ryzyka (wersja zapoznawcza)
(ARM_AnomalousOperation.PrivilegeEscalation)
Usługa Microsoft Defender dla Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę eskalacji uprawnień. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do eskalacji uprawnień podczas naruszania zasobów w środowisku. Może to wskazywać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. Eskalacja uprawnień Śred.
Wykryto podejrzane wywołanie operacji "Uchylanie się od obrony" (wersja zapoznawcza)
(ARM_AnomalousOperation.DefenseEvasion)
Usługa Microsoft Defender dla Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę uniknięcia obrony. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie stanem zabezpieczeń swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uniknąć wykrycia podczas naruszania zasobów w środowisku. Może to wskazywać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. Uchylanie się od obrony Śred.
Wykryto podejrzane wywołanie operacji "Dostęp poświadczeń" wysokiego ryzyka (wersja zapoznawcza)
(ARM_AnomalousOperation.CredentialAccess)
Usługa Microsoft Defender dla Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę uzyskania dostępu do poświadczeń. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w danym środowisku. Może to wskazywać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. Dostęp poświadczeń Śred.
Wykryto podejrzane wywołanie operacji "ruch boczny" wysokiego ryzyka (wersja zapoznawcza)
(ARM_AnomalousOperation.LateralMovement)
Usługa Microsoft Defender for Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę przeprowadzenia przenoszenia bocznego. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby naruszyć bezpieczeństwo dodatkowych zasobów w środowisku. Może to wskazywać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. Penetracja sieci Śred.
Wykryto podejrzane wywołanie operacji "Zbieranie danych" o wysokim ryzyku (wersja zapoznawcza)
(ARM_AnomalousOperation.Collection)
Usługa Microsoft Defender dla Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę zebrania danych. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do zbierania poufnych danych na zasobach w środowisku. Może to wskazywać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. Kolekcja Śred.
Wykryto podejrzane wywołanie operacji "Impact" o wysokim ryzyku (wersja zapoznawcza)
(ARM_AnomalousOperation.Impact)
Usługa Microsoft Defender for Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę zmiany konfiguracji. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w danym środowisku. Może to wskazywać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. Wpływ Śred.

Ponadto te dwa alerty z tego planu wyszły z wersji zapoznawczej:

Alert (typ alertu) Opis TAKTYKA MITRE (intencje) Ważność
Operacja Resource Manager platformy Azure z podejrzanego adresu IP
(ARM_OperationFromSuspiciousIP)
Usługa Microsoft Defender dla Resource Manager wykryła operację z adresu IP oznaczonego jako podejrzane w kanałach informacyjnych analizy zagrożeń. Wykonanie Śred.
Operacja Resource Manager platformy Azure z podejrzanego adresu IP serwera proxy
(ARM_OperationFromSuspiciousProxyIP)
Usługa Microsoft Defender dla Resource Manager wykryła operację zarządzania zasobami z adresu IP skojarzonego z usługami proxy, takimi jak TOR. Chociaż to zachowanie może być uzasadnione, często występuje w złośliwych działaniach, gdy aktorzy zagrożeń próbują ukryć źródłowy adres IP. Uchylanie się od obrony Śred.

Zalecenia dotyczące włączania planów usługi Microsoft Defender w obszarach roboczych (w wersji zapoznawczej)

Aby korzystać ze wszystkich funkcji zabezpieczeń dostępnych w usłudze Microsoft Defender dla serwerów i usługi Microsoft Defender for SQL na maszynach, plany muszą być włączone zarówno na poziomie subskrypcji, jak i obszaru roboczego.

Jeśli maszyna znajduje się w subskrypcji z włączonym jednym z tych planów, zostanie naliczona opłata za pełne zabezpieczenia. Jeśli jednak ta maszyna raportuje do obszaru roboczego bez włączonego planu, nie otrzymasz tych korzyści.

Dodaliśmy dwie rekomendacje dotyczące obszarów roboczych bez włączenia tych planów, które jednak mają maszyny raportowane z subskrypcji, które mają włączony plan.

Dwa zalecenia, które oferują automatyczne korygowanie (akcja "Napraw") to:

Zalecenie Opis Ważność
Usługa Microsoft Defender dla serwerów powinna być włączona w obszarach roboczych Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn z systemami Windows i Linux.
Dzięki włączeniu tego planu usługi Defender w subskrypcjach, ale nie w obszarach roboczych, płacisz za pełną możliwość usługi Microsoft Defender dla serwerów, ale brakuje niektórych korzyści.
Po włączeniu usługi Microsoft Defender dla serwerów w obszarze roboczym wszystkie maszyny raportujące do tego obszaru roboczego będą naliczane opłaty za usługę Microsoft Defender dla serwerów — nawet jeśli znajdują się w subskrypcjach bez włączenia planów usługi Defender. Jeśli nie włączysz również usługi Microsoft Defender dla serwerów w ramach subskrypcji, te maszyny nie będą mogły korzystać z dostępu just in time do maszyn wirtualnych, adaptacyjnego sterowania aplikacjami i wykrywania sieci dla zasobów platformy Azure.
Dowiedz się więcej w temacie Omówienie usługi Microsoft Defender dla serwerów.
(Brak powiązanych zasad)
Śred.
Usługa Microsoft Defender for SQL na maszynach powinna być włączona w obszarach roboczych Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn z systemami Windows i Linux.
Dzięki włączeniu tego planu usługi Defender w subskrypcjach, ale nie w obszarach roboczych, płacisz za pełną możliwość usługi Microsoft Defender dla serwerów, ale brakuje niektórych korzyści.
Po włączeniu usługi Microsoft Defender dla serwerów w obszarze roboczym wszystkie maszyny raportujące do tego obszaru roboczego będą naliczane opłaty za usługę Microsoft Defender dla serwerów — nawet jeśli znajdują się w subskrypcjach bez włączenia planów usługi Defender. Jeśli nie włączysz również usługi Microsoft Defender dla serwerów w ramach subskrypcji, te maszyny nie będą mogły korzystać z dostępu just in time do maszyn wirtualnych, adaptacyjnego sterowania aplikacjami i wykrywania sieci dla zasobów platformy Azure.
Dowiedz się więcej w temacie Omówienie usługi Microsoft Defender dla serwerów.
(Brak powiązanych zasad)
Śred.

Automatyczna aprowizacja agenta usługi Log Analytics na maszynach z obsługą usługi Azure Arc (wersja zapoznawcza)

Usługa Defender for Cloud używa agenta usługi Log Analytics do zbierania danych związanych z zabezpieczeniami z maszyn. Agent odczytuje różne konfiguracje związane z zabezpieczeniami i dzienniki zdarzeń oraz kopiuje dane do obszaru roboczego na potrzeby analizy.

Ustawienia automatycznej aprowizacji usługi Defender for Cloud mają przełącznik dla każdego typu obsługiwanego rozszerzenia, w tym agenta usługi Log Analytics.

W dalszej ekspansji funkcji chmury hybrydowej dodaliśmy opcję automatycznego aprowizowania agenta usługi Log Analytics na maszynach połączonych z usługą Azure Arc.

Podobnie jak w przypadku innych opcji automatycznej aprowizacji, jest to konfigurowane na poziomie subskrypcji.

Po włączeniu tej opcji zostanie wyświetlony monit o podanie obszaru roboczego.

Uwaga

W tej wersji zapoznawczej nie można wybrać domyślnych obszarów roboczych utworzonych przez usługę Defender for Cloud. Aby upewnić się, że otrzymasz pełny zestaw funkcji zabezpieczeń dostępnych dla serwerów z obsługą usługi Azure Arc, sprawdź, czy masz zainstalowane odpowiednie rozwiązanie zabezpieczeń w wybranym obszarze roboczym.

Zrzut ekranu przedstawiający sposób automatycznej aprowizacji agenta usługi Log Analytics na maszynach z obsługą usługi Azure Arc.

Przestarzałe zalecenie dotyczące klasyfikowania poufnych danych w bazach danych SQL

Usunęliśmy zalecenie Poufne dane w bazach danych SQL, które należy sklasyfikować w ramach przeglądu sposobu identyfikowania i ochrony poufnych danych w zasobach w chmurze przez usługę Defender for Cloud.

Powiadomienie o tej zmianie z wyprzedzeniem pojawiło się przez ostatnie sześć miesięcy na stronie Ważne nadchodzące zmiany w usłudze Microsoft Defender for Cloud .

Poniższy alert był wcześniej dostępny tylko dla organizacji, które włączyły plan usługi Microsoft Defender for DNS .

Dzięki tej aktualizacji alert będzie również wyświetlany dla subskrypcji z włączonym planem usługi Microsoft Defender dla serwerów lub usługi Defender for App Service.

Ponadto usługa Microsoft Threat Intelligence rozszerzyła listę znanych złośliwych domen w celu uwzględnienia domen skojarzonych z wykorzystaniem szeroko nagłośnionych luk w zabezpieczeniach skojarzonych z usługą Log4j.

Alert (typ alertu) Opis Taktyka MITRE Ważność
Komunikacja z podejrzaną domeną zidentyfikowaną przez analizę zagrożeń
(AzureDNS_ThreatIntelSuspectDomain)
Wykryto komunikację z podejrzaną domeną przez analizowanie transakcji DNS z zasobu i porównywanie z znanymi złośliwymi domenami zidentyfikowanymi przez źródła danych analizy zagrożeń. Komunikacja ze złośliwymi domenami jest często wykonywana przez osoby atakujące i może oznaczać, że zasób został naruszony. Dostęp początkowy / Trwałość / Wykonywanie / Kontrola i kontrola / Wykorzystanie Śred.

Przycisk "Kopiuj alert JSON" dodany do okienka szczegółów alertu zabezpieczeń

Aby ułatwić naszym użytkownikom szybkie udostępnianie szczegółów alertu innym (na przykład analitykom SOC, właścicielom zasobów i deweloperom), dodaliśmy możliwość łatwego wyodrębnienia wszystkich szczegółów określonego alertu za pomocą jednego przycisku z okienka szczegółów alertu zabezpieczeń.

Nowy przycisk Kopiuj alert JSON umieszcza szczegóły alertu w formacie JSON do schowka użytkownika.

Zrzut ekranu przedstawiający przycisk

Zmieniono nazwę dwóch zaleceń

Aby zapewnić spójność z innymi nazwami rekomendacji, zmieniliśmy nazwę następujących dwóch zaleceń:

  • Zalecenie dotyczące rozwiązywania wykrytych luk w zabezpieczeniach podczas uruchamiania obrazów kontenerów

    • Poprzednia nazwa: Należy skorygować luki w zabezpieczeniach podczas uruchamiania obrazów kontenerów (obsługiwane przez firmę Qualys)
    • Nowa nazwa: Uruchamianie obrazów kontenerów powinno mieć rozwiązane problemy z lukami w zabezpieczeniach
  • Zalecenie dotyczące włączania dzienników diagnostycznych dla Azure App Service

    • Poprzednia nazwa: dzienniki diagnostyczne powinny być włączone w App Service
    • Nowa nazwa: dzienniki diagnostyczne w App Service powinny być włączone

Przestarzałe kontenery klastra Kubernetes powinny nasłuchiwać tylko w zasadach dozwolonych portów

Oznaczyliśmy jako przestarzałe kontenery klastra Kubernetes, które powinny nasłuchiwać tylko na dozwolonych portach .

Nazwa zasady Opis Efekty Wersja
Kontenery klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach Ogranicz kontenery do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) oraz w wersji zapoznawczej dla aparatu AKS i platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, odmowa, wyłączone 6.1.2

Usługi powinny nasłuchiwać na dozwolonych portach należy używać tylko w celu ograniczenia portów udostępnianych przez aplikację do Internetu.

Dodano skoroszyt "Aktywny alert"

Aby pomóc naszym użytkownikom w zrozumieniu aktywnych zagrożeń w ich środowiskach i nadaniu priorytetów między aktywnymi alertami podczas procesu korygowania, dodaliśmy skoroszyt Aktywne alerty.

Zrzut ekranu przedstawiający dodanie skoroszytu Aktywne alerty.

Aktywny skoroszyt alertów umożliwia użytkownikom wyświetlanie ujednoliconego pulpitu nawigacyjnego zagregowanych alertów według ważności, typu, tagu, taktyki MITRE ATT&CK i lokalizacji. Dowiedz się więcej w temacie Korzystanie ze skoroszytu "Aktywne alerty".

Zalecenie "Aktualizacja systemu" dodane do chmury dla instytucji rządowych

Zalecenie "Aktualizacje systemu powinny być zainstalowane na maszynach" jest teraz dostępne we wszystkich chmurach dla instytucji rządowych.

Prawdopodobnie ta zmiana wpłynie na wskaźnik bezpieczeństwa subskrypcji chmury dla instytucji rządowych. Oczekujemy, że zmiana doprowadzi do zmniejszenia wyniku, ale w niektórych przypadkach włączenie rekomendacji może spowodować zwiększenie wyniku.

Grudzień 2021 r.

Aktualizacje w grudniu obejmują:

Plan usługi Microsoft Defender for Containers wydany na potrzeby ogólnej dostępności

Ponad dwa lata temu wprowadziliśmy usługę Defender dla platformy Kubernetes i usługę Defender dla rejestrów kontenerów w ramach oferty usługi Azure Defender w usłudze Microsoft Defender for Cloud.

Wraz z wydaniem usługi Microsoft Defender for Containers scaliliśmy te dwa istniejące plany usługi Defender.

Nowy plan:

  • Łączy funkcje dwóch istniejących planów — wykrywanie zagrożeń dla klastrów Kubernetes i ocenę luk w zabezpieczeniach dla obrazów przechowywanych w rejestrach kontenerów
  • Oferuje nowe i ulepszone funkcje — w tym obsługę wielochmurową, wykrywanie zagrożeń na poziomie hosta z ponad sześcioma nowymi analizami obsługującymi platformę Kubernetes oraz ocenę luk w zabezpieczeniach na potrzeby uruchamiania obrazów
  • Wprowadza dołączanie natywne dla platformy Kubernetes na dużą skalę — domyślnie po włączeniu planu skonfigurowano automatyczne wdrażanie wszystkich odpowiednich składników

W tej wersji dostępność i prezentacja usługi Defender dla platformy Kubernetes i usługi Defender dla rejestrów kontenerów uległa zmianie w następujący sposób:

  • Nowe subskrypcje — dwa poprzednie plany kontenerów nie są już dostępne
  • Istniejące subskrypcje — wszędzie tam, gdzie pojawiają się w Azure Portal, plany są wyświetlane jako przestarzałe z instrukcjami dotyczącymi uaktualniania do nowszego planu usługi Defender dla rejestrów kontenerów i planów usługi Defender for Kubernetes z informacją o wycofaniu i uaktualnieniu.

Nowy plan jest bezpłatny w miesiącu grudnia 2021 r. Aby zapoznać się z potencjalnymi zmianami rozliczeń ze starych planów usługi Defender for Containers i uzyskać więcej informacji na temat korzyści wprowadzonych w tym planie, zobacz Wprowadzenie do usługi Microsoft Defender for Containers.

Aby uzyskać więcej informacji, zobacz:

Nowe alerty dotyczące usługi Microsoft Defender for Storage wydane w celu zapewnienia ogólnej dostępności

Aktorzy zagrożeń używają narzędzi i skryptów do skanowania pod kątem publicznie otwartych kontenerów w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi.

Usługa Microsoft Defender for Storage wykrywa te skanery, dzięki czemu można je zablokować i skorygować stan.

Alert w wersji zapoznawczej, który wykrył tę opcję, nosi nazwę "Anonimowe skanowanie kontenerów magazynu publicznego". Aby zapewnić większą przejrzystość wykrytych podejrzanych zdarzeń, podzieliliśmy to na dwa nowe alerty. Te alerty są istotne tylko dla Azure Blob Storage.

Ulepszyliśmy logikę wykrywania, zaktualizowaliśmy metadane alertu i zmieniliśmy nazwę alertu i typ alertu.

Są to nowe alerty:

Alert (typ alertu) Opis TAKTYKA MITRE Ważność
Pomyślnie odnaleziono dostępne publicznie kontenery magazynu
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
Pomyślne odnajdywanie publicznie otwartych kontenerów magazynu na koncie magazynu zostało wykonane w ciągu ostatniej godziny przez skrypt skanowania lub narzędzie.

Zwykle oznacza to atak rekonesansu, w którym aktor zagrożeń próbuje wyświetlić listę obiektów blob, odgadając nazwy kontenerów, w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi w nich.

Aktor zagrożeń może używać własnego skryptu lub używać znanych narzędzi do skanowania, takich jak Microburst, do skanowania pod kątem publicznie otwartych kontenerów.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Kolekcja Śred.
Publicznie dostępne kontenery magazynu nie powiodło się przeskanowane
(Storage.Blob_OpenContainersScanning.FailedAttempt)
W ciągu ostatniej godziny wykonano serię nieudanych prób skanowania pod kątem publicznie otwartych kontenerów magazynu.

Zwykle oznacza to atak rekonesansu, w którym aktor zagrożeń próbuje wyświetlić listę obiektów blob, odgadając nazwy kontenerów, w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi w nich.

Aktor zagrożeń może używać własnego skryptu lub używać znanych narzędzi do skanowania, takich jak Microburst, do skanowania pod kątem publicznie otwartych kontenerów.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Kolekcja Niski

Aby uzyskać więcej informacji, zobacz:

Ulepszenia alertów dla usługi Microsoft Defender for Storage

Alerty dostępu początkowego mają teraz lepszą dokładność i więcej danych do obsługi badania.

Aktorzy zagrożeń używają różnych technik w początkowym dostępie, aby uzyskać przyczółek w sieci. Dwa alerty usługi Microsoft Defender for Storage , które wykrywają anomalie behawioralne na tym etapie, mają teraz ulepszoną logikę wykrywania i dodatkowe dane do obsługi badań.

Jeśli w przeszłości skonfigurowano automatyzacje lub zdefiniowane reguły pomijania alertów dla tych alertów, zaktualizuj je zgodnie z tymi zmianami.

Wykrywanie dostępu z węzła wyjścia Tor

Dostęp z węzła wyjścia Tor może wskazywać, że aktor zagrożeń próbuje ukryć swoją tożsamość.

Alert jest teraz dostrojony do generowania tylko w celu uwierzytelnienia dostępu, co powoduje większą dokładność i pewność, że działanie jest złośliwe. To ulepszenie zmniejsza łagodny wskaźnik dodatni.

Wzorzec outlying będzie miał wysoką ważność, podczas gdy mniej nietypowe wzorce będą miały średnią ważność.

Zaktualizowano nazwę alertu i opis. Typ alertu pozostaje niezmieniony.

  • Nazwa alertu (stary): dostęp z węzła wyjścia Tor do konta magazynu
  • Nazwa alertu (nowy): uwierzytelniony dostęp z węzła wyjścia Tor
  • Typy alertów: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
  • Opis: Co najmniej jeden kontener magazynu /udziały plików na koncie magazynu zostały pomyślnie dostępne z adresu IP znanego jako aktywny węzeł wyjścia Tor (anonimizujący serwer proxy). Aktorzy zagrożeń używają Tor, aby utrudnić śledzenie aktywności z powrotem do nich. Uwierzytelniony dostęp z węzła wyjścia Tor jest prawdopodobnie wskazaniem, że aktor zagrożeń próbuje ukryć swoją tożsamość. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
  • Taktyka MITRE: Wstępny dostęp
  • Ważność: wysoka/średnia

Nieuwierzytelniony dostęp

Zmiana wzorców dostępu może wskazywać, że aktor zagrożeń mógł wykorzystać publiczny dostęp do odczytu do kontenerów magazynu, wykorzystując błąd w konfiguracjach dostępu lub zmieniając uprawnienia dostępu.

Ten alert o średniej ważności jest teraz dostrojony z ulepszoną logiką behawioralną, większą dokładnością i ufnością, że działanie jest złośliwe. To ulepszenie zmniejsza łagodny wskaźnik dodatni.

Zaktualizowano nazwę alertu i opis. Typ alertu pozostaje niezmieniony.

  • Nazwa alertu (stary): anonimowy dostęp do konta magazynu
  • Nazwa alertu (nowy): nieuwierzytelniony dostęp do kontenera magazynu
  • Typy alertów: Storage.Blob_AnonymousAccessAnomaly
  • Opis: To konto magazynu było dostępne bez uwierzytelniania, co jest zmianą wspólnego wzorca dostępu. Dostęp do odczytu do tego kontenera jest zwykle uwierzytelniany. Może to wskazywać, że aktor zagrożeń mógł wykorzystać publiczny dostęp do odczytu do kontenerów magazynu na tych kontach magazynu. Dotyczy: Azure Blob Storage
  • TAKTYKA MITRE: Kolekcja
  • Ważność: Średni

Aby uzyskać więcej informacji, zobacz:

Alert "PortSweeping" usunięty z alertów warstwy sieciowej

Następujący alert został usunięty z alertów warstwy sieciowej z powodu nieefektywności:

Alert (typ alertu) Opis TAKTYKA MITRE Ważność
Wykryto możliwe działanie skanowania portów wychodzących
(PortSweeping)
Analiza ruchu sieciowego wykryła podejrzany ruch wychodzący z hosta %{Naruszone zabezpieczenia}. Ten ruch może być wynikiem działania skanowania portów. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z jednego lub większej liczby zasobów w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). Jeśli to zachowanie jest zamierzone, należy pamiętać, że skanowanie portów jest wykonywane względem warunków użytkowania usługi platformy Azure. Jeśli to zachowanie jest niezamierzone, może to oznaczać, że bezpieczeństwo zasobu zostało naruszone. Odnajdywanie Śred.

Listopad 2021 r.

Nasze wydanie Ignite obejmuje następujące elementy:

Inne zmiany w listopadzie obejmują:

Azure Security Center i Azure Defender stają się usługą Microsoft Defender dla Chmury

Zgodnie z raportem stanu chmury w 2021 r. 92% organizacji ma teraz strategię wielochmurową. W firmie Microsoft naszym celem jest scentralizowanie zabezpieczeń w tych środowiskach i zwiększenie efektywnego działania zespołów ds. zabezpieczeń.

Usługa Microsoft Defender for Cloud (wcześniej znana jako Azure Security Center i Azure Defender) to rozwiązanie do zarządzania stanem zabezpieczeń w chmurze (CSPM) i ochrony obciążeń w chmurze (CWP), które wykrywa słabe strony konfiguracji chmury, pomaga zwiększyć ogólny poziom zabezpieczeń środowiska i chroni obciążenia w środowiskach wielochmurowych i hybrydowych.

Na konferencji Ignite 2019 udostępniliśmy naszą wizję stworzenia najbardziej kompletnego podejścia do zabezpieczania majątku cyfrowego i integracji technologii XDR pod marką Microsoft Defender. Ujednolicenie Azure Security Center i usługi Azure Defender pod nową nazwą usługi Microsoft Defender for Cloud odzwierciedla zintegrowane możliwości naszej oferty zabezpieczeń i możliwości obsługi dowolnej platformy w chmurze.

Natywny CSPM dla platform AWS i ochrony przed zagrożeniami dla usług Amazon EKS i AWS EC2

Strona ustawień nowego środowiska zapewnia większą widoczność i kontrolę nad grupami zarządzania, subskrypcjami i kontami platformy AWS. Strona jest przeznaczona do dołączania kont platformy AWS na dużą skalę: łączenie konta zarządzania platformy AWS i automatyczne dołączanie istniejących i przyszłych kont.

Użyj nowej strony ustawień środowiska, aby połączyć konta platformy AWS.

Po dodaniu kont platformy AWS usługa Defender for Cloud chroni zasoby platformy AWS przy użyciu dowolnego lub wszystkich następujących planów:

  • Funkcje CSPM usługi Defender for Cloud rozszerzają zasoby platformy AWS. Ten plan bez agenta ocenia zasoby platformy AWS zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla platformy AWS i są one uwzględniane w wskaźniku bezpieczeństwa. Zasoby zostaną również ocenione pod kątem zgodności z wbudowanymi standardami specyficznymi dla usług AWS (AWS CIS, AWS PCI DSS i AWS Foundational Security Best Practices). Strona spisu zasobów usługi Defender for Cloud to funkcja z obsługą wielu chmur, która ułatwia zarządzanie zasobami platformy AWS obok zasobów platformy Azure.
  • Usługa Microsoft Defender dla platformy Kubernetes rozszerza wykrywanie zagrożeń kontenerów i zaawansowane zabezpieczenia klastrów amazon EKS Linux.
  • Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę wystąpień systemu Windows i Linux EC2. Ten plan obejmuje zintegrowaną licencję na potrzeby Ochrona punktu końcowego w usłudze Microsoft Defender, punktów odniesienia zabezpieczeń i ocen na poziomie systemu operacyjnego, skanowania oceny luk w zabezpieczeniach, adaptacyjnego sterowania aplikacjami (AAC), monitorowania integralności plików (FIM) i nie tylko.

Dowiedz się więcej na temat łączenia kont platformy AWS z usługą Microsoft Defender for Cloud.

Określanie priorytetów akcji zabezpieczeń według poufności danych (obsługiwanej przez usługę Microsoft Purview) (w wersji zapoznawczej)

Zasoby danych pozostają popularnym celem dla podmiotów zagrożeń. Dlatego ważne jest, aby zespoły ds. zabezpieczeń identyfikowały, ustalały priorytety i zabezpieczały poufne zasoby danych w środowiskach chmury.

Aby rozwiązać to wyzwanie, usługa Microsoft Defender dla Chmury integruje teraz informacje o poufności z usługi Microsoft Purview. Microsoft Purview to ujednolicona usługa zapewniania ładu danych, która zapewnia szczegółowe informacje na temat poufności danych w wielu chmurach i obciążeniach lokalnych.

Integracja z usługą Microsoft Purview rozszerza widoczność zabezpieczeń w usłudze Defender for Cloud od poziomu infrastruktury w dół do danych, umożliwiając zupełnie nowy sposób określania priorytetów zasobów i działań zabezpieczeń dla zespołów ds. zabezpieczeń.

Dowiedz się więcej w temacie Określanie priorytetów akcji zabezpieczeń według poufności danych.

Rozszerzone oceny kontroli zabezpieczeń za pomocą testu porównawczego zabezpieczeń platformy Azure w wersji 3

Rekomendacje dotyczące zabezpieczeń usługi Microsoft Defender for Cloud są włączone i obsługiwane przez test porównawczy zabezpieczeń platformy Azure.

Test porównawczy zabezpieczeń platformy Azure to utworzony przez firmę Microsoft zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności na podstawie typowych struktur zgodności. Ten powszechnie szanowany punkt odniesienia opiera się na mechanizmach kontroli z Centrum zabezpieczeń internetowych (CIS) i Narodowego Instytutu Standardów i Technologii (NIST) z naciskiem na zabezpieczenia skoncentrowane na chmurze.

Z konferencji Ignite 2021 test porównawczy zabezpieczeń platformy Azure w wersji 3 jest dostępny na pulpicie nawigacyjnym zgodności z przepisami usługi Defender for Cloud i włączony jako nowa domyślna inicjatywa dla wszystkich subskrypcji platformy Azure chronionych za pomocą usługi Microsoft Defender for Cloud.

Ulepszenia dla wersji 3 obejmują:

  • Dodatkowe mapowania na platformy branżowe PCI-DSS w wersji 3.2.1 i kontrolek CIS w wersji 8.

  • Bardziej szczegółowe i możliwe do działania wskazówki dotyczące kontrolek z wprowadzeniem:

    • Zasady zabezpieczeń — zapewnianie wglądu w ogólne cele zabezpieczeń, które tworzą podstawę naszych zaleceń.
    • Wskazówki dotyczące platformy Azure — techniczne instrukcje dotyczące realizacji tych celów.
  • Nowe mechanizmy kontroli obejmują zabezpieczenia Metodyki DevOps dotyczące problemów, takich jak modelowanie zagrożeń i zabezpieczenia łańcucha dostaw oprogramowania, a także zarządzanie kluczami i certyfikatami w celu uzyskania najlepszych rozwiązań na platformie Azure.

Dowiedz się więcej w artykule Wprowadzenie do testu porównawczego zabezpieczeń platformy Azure.

Opcjonalna synchronizacja alertów dwukierunkowych łącznika usługi Microsoft Sentinel wydana na potrzeby ogólnej dostępności

W lipcu ogłosiliśmy funkcję w wersji zapoznawczej, dwukierunkową synchronizację alertów dla wbudowanego łącznika w usłudze Microsoft Sentinel (rozwiązanie SIEM i SOAR firmy Microsoft natywne dla chmury). Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.

Po połączeniu usługi Microsoft Defender for Cloud z usługą Microsoft Sentinel stan alertów zabezpieczeń jest synchronizowany między dwiema usługami. Na przykład po zamknięciu alertu w usłudze Defender for Cloud ten alert będzie również wyświetlany jako zamknięty w usłudze Microsoft Sentinel. Zmiana stanu alertu w usłudze Defender for Cloud nie wpłynie na stan zdarzeń usługi Microsoft Sentinel, które zawierają zsynchronizowany alert usługi Microsoft Sentinel, tylko ten, który dotyczy samego zsynchronizowanego alertu.

Po włączeniu synchronizacji alertów dwukierunkowych automatycznie zsynchronizuj stan oryginalnych alertów usługi Defender for Cloud ze zdarzeniami usługi Microsoft Sentinel zawierającymi kopie alertów usługi Defender for Cloud. Na przykład po zamknięciu zdarzenia usługi Microsoft Sentinel zawierającego alert usługi Defender for Cloud usługa Defender for Cloud automatycznie zamknie odpowiedni oryginalny alert.

Dowiedz się więcej w artykule Connect Azure Defender alerts from Azure Security Center and Stream alerts to Azure Sentinel (Łączenie alertów usługi Azure Defender z alertami Azure Security Center i przesyłaniem strumieniowym do usługi Azure Sentinel).

Nowe zalecenie wypychania dzienników Azure Kubernetes Service (AKS) do usługi Sentinel

W kolejnym ulepszeniu połączonej wartości usług Defender for Cloud i Microsoft Sentinel wyróżnimy teraz Azure Kubernetes Service wystąpienia, które nie wysyłają danych dziennika do usługi Microsoft Sentinel.

Zespoły SecOps mogą wybrać odpowiedni obszar roboczy usługi Microsoft Sentinel bezpośrednio na stronie szczegółów rekomendacji i natychmiast włączyć przesyłanie strumieniowe nieprzetworzonych dzienników. To bezproblemowe połączenie między dwoma produktami ułatwia zespołom ds. zabezpieczeń zapewnienie pełnego pokrycia rejestrowania w ramach obciążeń, aby pozostać na bieżąco z całym środowiskiem.

Nowe zalecenie "Dzienniki diagnostyczne w usługach Kubernetes powinny być włączone" zawiera opcję "Napraw" w celu szybszego korygowania.

Ulepszyliśmy również zalecenie "Inspekcja na serwerze SQL powinno być włączone" z tymi samymi funkcjami przesyłania strumieniowego usługi Sentinel.

Rekomendacje zamapowane na strukturę MITRE ATT&CK® — wydane na potrzeby ogólnej dostępności

Ulepszyliśmy zalecenia dotyczące zabezpieczeń usługi Defender for Cloud, aby pokazać swoje stanowisko w strukturze MITRE ATT&CK®. Ta globalnie dostępna baza wiedzy taktyki i technik podmiotów zagrożeń w oparciu o rzeczywiste obserwacje, zapewnia więcej kontekstu, aby ułatwić zrozumienie powiązanych zagrożeń związanych z zaleceniami dotyczącymi danego środowiska.

Te taktyki znajdziesz wszędzie tam, gdzie uzyskujesz dostęp do informacji o rekomendacjach:

  • Wyniki zapytań usługi Azure Resource Graph dla odpowiednich zaleceń obejmują mitRE ATT& Taktyka i techniki CK®.

  • Strony szczegółów rekomendacji pokazują mapowanie dla wszystkich odpowiednich zaleceń:

    Zrzut ekranu przedstawiający mapowanie taktyk MITRE dla zalecenia.

  • Strona zaleceń w usłudze Defender for Cloud zawiera nowy filtr umożliwiający wybór zaleceń zgodnie z ich powiązaną taktyką:

Dowiedz się więcej w artykule Przeglądanie zaleceń dotyczących zabezpieczeń.

Zarządzanie zagrożeniami i lukami w zabezpieczeniach firmy Microsoft dodano jako rozwiązanie do oceny luk w zabezpieczeniach — wydane na potrzeby ogólnej dostępności

W październiku ogłosiliśmy rozszerzenie integracji między usługą Microsoft Defender for Servers i Ochrona punktu końcowego w usłudze Microsoft Defender w celu obsługi nowego dostawcy oceny luk w zabezpieczeniach dla maszyn: Microsoft Zarządzanie zagrożeniami i lukami . Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.

Użyj Zarządzanie zagrożeniami i lukami, aby wykryć luki w zabezpieczeniach i błędy konfiguracji niemal w czasie rzeczywistym z włączoną integracją z Ochrona punktu końcowego w usłudze Microsoft Defender i bez konieczności wykonywania dodatkowych agentów lub okresowych skanowań. Zarządzanie zagrożeniami i lukami w zabezpieczeniach określa priorytety luk w zabezpieczeniach na podstawie krajobrazu zagrożeń i wykrywania w organizacji.

Użyj zalecenia dotyczącego zabezpieczeń "Na maszynach wirtualnych powinno być włączone rozwiązanie do oceny luk w zabezpieczeniach", aby wyświetlić luki w zabezpieczeniach wykryte przez Zarządzanie zagrożeniami i lukami dla obsługiwanych maszyn.

Aby automatycznie uwidocznieć luki w zabezpieczeniach, na istniejących i nowych maszynach bez konieczności ręcznego korygowania zalecenia, zobacz Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączyć (w wersji zapoznawczej).

Dowiedz się więcej w artykule Badanie słabych stron za pomocą Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender.

Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux jest teraz obsługiwana przez usługę Microsoft Defender dla serwerów — wydana w celu zapewnienia ogólnej dostępności

W sierpniu ogłosiliśmy obsługę wersji zapoznawczej wdrażania czujnika usługi Defender for Linux na obsługiwanych maszynach z systemem Linux. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.

Usługa Microsoft Defender dla serwerów zawiera zintegrowaną licencję dla Ochrona punktu końcowego w usłudze Microsoft Defender. Razem zapewniają kompleksowe możliwości wykrywania i reagowania na punkty końcowe (EDR).

Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w usłudze Defender for Cloud. Z poziomu usługi Defender dla Chmury możesz również przejść do konsoli usługi Defender dla punktu końcowego i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku.

Dowiedz się więcej w temacie Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Security Center: Ochrona punktu końcowego w usłudze Microsoft Defender.

Eksportowanie migawek dla zaleceń i wyników zabezpieczeń (w wersji zapoznawczej)

Usługa Defender for Cloud generuje szczegółowe alerty zabezpieczeń i zalecenia. Można je wyświetlić w portalu lub za pomocą narzędzi programowych. Może być również konieczne wyeksportowanie niektórych lub wszystkich tych informacji do śledzenia za pomocą innych narzędzi do monitorowania w środowisku.

Funkcja ciągłego eksportowania w usłudze Defender for Cloud umożliwia pełne dostosowanie eksportowanych danych i ich lokalizacji. Dowiedz się więcej w temacie Ciągłe eksportowanie danych usługi Microsoft Defender for Cloud.

Mimo że funkcja jest nazywana ciągłą, istnieje również opcja eksportowania migawek tygodniowych. Do tej pory te cotygodniowe migawki były ograniczone do zabezpieczania wyników i danych zgodności z przepisami. Dodaliśmy możliwość eksportowania zaleceń i wyników zabezpieczeń.

Automatyczne aprowizowanie rozwiązań do oceny luk w zabezpieczeniach wydanych na potrzeby ogólnej dostępności

W październiku ogłosiliśmy dodanie rozwiązań do oceny luk w zabezpieczeniach na stronie automatycznego aprowizowania w usłudze Defender for Cloud. Jest to istotne dla maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc w subskrypcjach chronionych przez usługę Azure Defender for Servers. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.

Jeśli integracja z Ochrona punktu końcowego w usłudze Microsoft Defender jest włączona, usługa Defender for Cloud przedstawia wybór rozwiązań do oceny luk w zabezpieczeniach:

  • (NOWY) Moduł microsoft Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender (zobacz informacje o wersji)
  • Zintegrowany agent Qualys

Wybrane rozwiązanie zostanie automatycznie włączone na obsługiwanych maszynach.

Dowiedz się więcej w temacie Automatyczne konfigurowanie oceny luk w zabezpieczeniach dla maszyn.

Filtry spisu oprogramowania w spisie zasobów wydane dla ogólnej dostępności (GA)

W październiku ogłosiliśmy nowe filtry dla strony spisu zasobów , aby wybrać maszyny z określonym oprogramowaniem , a nawet określić interesujące wersje. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.

Możesz wykonywać zapytania dotyczące danych spisu oprogramowania w Eksploratorze usługi Azure Resource Graph.

Aby korzystać z tych funkcji, należy włączyć integrację z Ochrona punktu końcowego w usłudze Microsoft Defender.

Aby uzyskać szczegółowe informacje, w tym przykładowe zapytania Kusto dotyczące usługi Azure Resource Graph, zobacz Uzyskiwanie dostępu do spisu oprogramowania.

Nowe zasady zabezpieczeń usługi AKS dodane do domyślnej inicjatywy — do użytku tylko przez klientów prywatnych w wersji zapoznawczej

Aby upewnić się, że obciążenia Kubernetes są domyślnie bezpieczne, usługa Defender for Cloud obejmuje zasady na poziomie kubernetes i zalecenia dotyczące wzmacniania zabezpieczeń, w tym opcje wymuszania z kontrolą dostępu platformy Kubernetes.

W ramach tego projektu dodaliśmy zasady i zalecenia (domyślnie wyłączone) dotyczące gating deployment w klastrach Kubernetes. Zasady są w domyślnej inicjatywie, ale dotyczą tylko organizacji, które rejestrują się w powiązanej prywatnej wersji zapoznawczej.

Możesz bezpiecznie zignorować zasady i zalecenia ("Klastry Kubernetes powinny stosować bramę wdrożenia obrazów podatnych na zagrożenia") i nie będzie miało to wpływu na środowisko.

Jeśli chcesz uczestniczyć w prywatnej wersji zapoznawczej, musisz być członkiem prywatnego pierścienia podglądu. Jeśli nie jesteś jeszcze członkiem, prześlij tutaj żądanie. Członkowie zostaną powiadomieni o rozpoczęciu wersji zapoznawczej.

Wyświetlanie spisu maszyn lokalnych stosuje inny szablon dla nazwy zasobu

Aby ulepszyć prezentację zasobów w spisie zasobów, usunęliśmy element "source-computer-IP" z szablonu na potrzeby nazewnictwa maszyn lokalnych.

  • Poprzedni format:machine-name_source-computer-id_VMUUID
  • Z tej aktualizacji:machine-name_VMUUID

Październik 2021 r.

Aktualizacje w październiku obejmują:

Zarządzanie zagrożeniami i lukami w zabezpieczeniach firmy Microsoft dodano jako rozwiązanie do oceny luk w zabezpieczeniach (w wersji zapoznawczej)

Rozszerzyliśmy integrację między usługą Azure Defender for Servers i Ochrona punktu końcowego w usłudze Microsoft Defender, aby zapewnić obsługę nowego dostawcy oceny luk w zabezpieczeniach dla maszyn: Microsoft Zarządzanie zagrożeniami i lukami.

Użyj Zarządzanie zagrożeniami i lukami, aby wykryć luki w zabezpieczeniach i błędy konfiguracji niemal w czasie rzeczywistym z włączoną integracją z Ochrona punktu końcowego w usłudze Microsoft Defender i bez konieczności wykonywania dodatkowych agentów lub okresowych skanowań. Zarządzanie zagrożeniami i lukami w zabezpieczeniach określa priorytety luk w zabezpieczeniach na podstawie krajobrazu zagrożeń i wykrywania w organizacji.

Użyj zalecenia dotyczącego zabezpieczeń "Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych", aby wyświetlić luki w zabezpieczeniach wykryte przez Zarządzanie zagrożeniami i lukami dla obsługiwanych maszyn.

Aby automatycznie uwidocznieć luki w zabezpieczeniach, na istniejących i nowych maszynach bez konieczności ręcznego korygowania zalecenia, zobacz Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączyć (w wersji zapoznawczej).

Dowiedz się więcej w artykule Badanie słabych stron za pomocą Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender.

Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączyć (w wersji zapoznawczej)

Strona automatycznego aprowizowania usługi Security Center zawiera teraz opcję automatycznego włączania rozwiązania do oceny luk w zabezpieczeniach maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc w subskrypcjach chronionych przez usługę Azure Defender for Servers.

Jeśli integracja z Ochrona punktu końcowego w usłudze Microsoft Defender jest włączona, usługa Defender for Cloud przedstawia wybór rozwiązań do oceny luk w zabezpieczeniach:

  • (NOWY) Moduł microsoft Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender (zobacz informacje o wersji)
  • Zintegrowany agent Qualys

Skonfiguruj automatyczne aprowizowanie Zarządzanie zagrożeniami i lukami firmy Microsoft z Azure Security Center.

Wybrane rozwiązanie zostanie automatycznie włączone na obsługiwanych maszynach.

Dowiedz się więcej w temacie Automatyczne konfigurowanie oceny luk w zabezpieczeniach dla maszyn.

Filtry spisu oprogramowania dodane do spisu zasobów (w wersji zapoznawczej)

Strona spisu zasobów zawiera teraz filtr umożliwiający wybranie maszyn z określonym oprogramowaniem — a nawet określenie interesujących ich wersji.

Ponadto możesz wykonywać zapytania dotyczące danych spisu oprogramowania w eksploratorze usługi Azure Resource Graph Explorer.

Aby korzystać z tych nowych funkcji, należy włączyć integrację z Ochrona punktu końcowego w usłudze Microsoft Defender.

Aby uzyskać szczegółowe informacje, w tym przykładowe zapytania Kusto dotyczące usługi Azure Resource Graph, zobacz Uzyskiwanie dostępu do spisu oprogramowania.

Jeśli włączono rozwiązanie do zagrożeń i luk w zabezpieczeniach, spis zasobów usługi Security Center oferuje filtr umożliwiający wybranie zasobów według zainstalowanego oprogramowania.

Zmieniono prefiks niektórych typów alertów z "ARM_" na "VM_"

W lipcu 2021 r. ogłosiliśmy logiczną reorganizację alertów usługi Azure Defender dla Resource Manager

W ramach logicznej reorganizacji niektórych planów usługi Azure Defender przenieśliśmy dwadzieścia jeden alert z usługi Azure Defender dla Resource Manager do usługi Azure Defender dla serwerów.

W tej aktualizacji zmieniliśmy prefiksy tych alertów tak, aby były zgodne z tym ponownym przypisaniem i zamieniliśmy ciąg "ARM_" na "VM_", jak pokazano w poniższej tabeli:

Pierwotna nazwa Z tej zmiany
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

Dowiedz się więcej na temat planów usługi Azure Defender for Resource Manager i usługi Azure Defender for Servers.

Zmiany logiki zalecenia dotyczącego zabezpieczeń dla klastrów Kubernetes

Zalecenie "Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw" uniemożliwia użycie domyślnej przestrzeni nazw dla zakresu typów zasobów. Usunięto dwa typy zasobów uwzględnione w tym rekomendacji: ConfigMap i Secret.

Dowiedz się więcej na temat tego zalecenia i wzmacniania zabezpieczeń klastrów Kubernetes w temacie Understand Azure Policy for Kubernetes clusters (Omówienie Azure Policy dla klastrów Kubernetes).

Aby wyjaśnić relacje między różnymi zaleceniami, dodaliśmy obszar Powiązane zalecenia do stron szczegółów wielu zaleceń.

Trzy typy relacji wyświetlane na tych stronach to:

  • Wymaganie wstępne — zalecenie, które należy wykonać przed wybraną rekomendacją
  • Alternatywa — inne zalecenie, które zapewnia inny sposób osiągnięcia celów wybranej rekomendacji
  • Zależne — zalecenie, dla którego wybrane zalecenie jest wymaganiem wstępnym

Dla każdego powiązanego zalecenia liczba zasobów w złej kondycji jest wyświetlana w kolumnie "Zasoby, których dotyczy problem".

Porada

Jeśli powiązane zalecenie jest wyszarywane, jego zależność nie została jeszcze ukończona i tak nie jest dostępna.

Przykład powiązanych zaleceń:

  1. Usługa Security Center sprawdza maszyny pod kątem obsługiwanych rozwiązań do oceny luk w zabezpieczeniach:
    Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych

  2. Jeśli zostanie znaleziony, otrzymasz powiadomienie o wykrytych lukach w zabezpieczeniach:
    Luki w zabezpieczeniach maszyn wirtualnych powinny zostać skorygowane

Oczywiście usługa Security Center nie może powiadomić Cię o wykrytych lukach w zabezpieczeniach, chyba że znajdzie obsługiwane rozwiązanie do oceny luk w zabezpieczeniach.

Zatem:

  • Zalecenie nr 1 jest wymaganiem wstępnym dla zalecenia nr 2
  • Zalecenie nr 2 zależy od zalecenia #1

Zrzut ekranu przedstawiający zalecenie dotyczące wdrażania rozwiązania do oceny luk w zabezpieczeniach.

Zrzut ekranu przedstawiający zalecenie dotyczące rozwiązywania wykrytych luk w zabezpieczeniach.

Nowe alerty dotyczące usługi Azure Defender dla platformy Kubernetes (w wersji zapoznawczej)

Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Azure Defender dla platformy Kubernetes, dodaliśmy dwa alerty w wersji zapoznawczej.

Te alerty są generowane na podstawie nowego modelu uczenia maszynowego i zaawansowanej analizy kubernetes, mierzenia wielu atrybutów wdrażania i przypisywania ról względem poprzednich działań w klastrze i we wszystkich klastrach monitorowanych przez usługę Azure Defender.

Alert (typ alertu) Opis TAKTYKA MITRE Ważność
Nietypowe wdrażanie zasobników (wersja zapoznawcza)
(K8S_AnomalousPodDeployment)
Analiza dzienników inspekcji platformy Kubernetes wykryła wdrożenie zasobnika, które jest nietypowe na podstawie poprzedniego działania wdrażania zasobnika. To działanie jest uważane za anomalię, biorąc pod uwagę, jak różne funkcje widoczne w operacji wdrażania są w relacjach ze sobą. Funkcje monitorowane przez tę analizę obejmują używany rejestr obrazów kontenera, konto wykonujące wdrożenie, dzień tygodnia, jak często to konto wykonuje wdrożenia zasobników, agent użytkownika używany w operacji, jest to przestrzeń nazw, która jest wdrażanie zasobnika często lub inną funkcją. Najważniejsze przyczyny zgłaszania tego alertu jako nietypowe działania są szczegółowo opisane we właściwościach rozszerzonych alertu. Wykonanie Śred.
Nadmierne uprawnienia roli przypisane w klastrze Kubernetes (wersja zapoznawcza)
(K8S_ServiceAcountPermissionAnomaly)
Analiza dzienników inspekcji platformy Kubernetes wykryła nadmierne przypisanie roli uprawnień do klastra. Podczas badania przypisań ról wymienione uprawnienia są rzadkie dla określonego konta usługi. To wykrywanie uwzględnia poprzednie przypisania ról do tego samego konta usługi w klastrach monitorowanych przez platformę Azure, wolumin na uprawnienie i wpływ określonego uprawnienia. Model wykrywania anomalii używany dla tego alertu uwzględnia sposób użycia tego uprawnienia we wszystkich klastrach monitorowanych przez usługę Azure Defender. Eskalacja uprawnień Niski

Aby uzyskać pełną listę alertów platformy Kubernetes, zobacz Alerty dla klastrów Kubernetes.

Wrzesień 2021

We wrześniu wydano następującą aktualizację:

Dwie nowe zalecenia dotyczące inspekcji konfiguracji systemu operacyjnego pod kątem zgodności punktu odniesienia zabezpieczeń platformy Azure (w wersji zapoznawczej)

Wydano następujące dwa zalecenia dotyczące oceny zgodności maszyn z punktem odniesienia zabezpieczeń systemu Windows i punktem odniesienia zabezpieczeń systemu Linux:

Te zalecenia korzystają z funkcji konfiguracji gościa Azure Policy w celu porównania konfiguracji systemu operacyjnego maszyny z punktem odniesienia zdefiniowanym w teście porównawczym zabezpieczeń platformy Azure.

Dowiedz się więcej na temat używania tych zaleceń w temacie Wzmacnianie konfiguracji systemu operacyjnego maszyny przy użyciu konfiguracji gościa.

Sierpień 2021 r.

Aktualizacje w sierpniu obejmują:

Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux jest teraz obsługiwane przez usługę Azure Defender for Servers (w wersji zapoznawczej)

Usługa Azure Defender dla serwerów zawiera zintegrowaną licencję dla Ochrona punktu końcowego w usłudze Microsoft Defender. Razem zapewniają one kompleksowe możliwości wykrywania i reagowania na punkty końcowe (EDR).

Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w usłudze Security Center. W usłudze Security Center możesz również przechylić się do konsoli usługi Defender for Endpoint i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku.

W okresie obowiązywania wersji zapoznawczej wdrożysz czujnik usługi Defender for Endpoint for Linux na obsługiwane maszyny z systemem Linux na jeden z dwóch sposobów w zależności od tego, czy został on już wdrożony na maszynach z systemem Windows:

Dowiedz się więcej w artykule Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Security Center: Ochrona punktu końcowego w usłudze Microsoft Defender.

Dwie nowe zalecenia dotyczące zarządzania rozwiązaniami ochrony punktu końcowego (w wersji zapoznawczej)

Dodaliśmy dwie rekomendacje w wersji zapoznawczej , aby wdrożyć i obsługiwać rozwiązania ochrony punktu końcowego na Twoich maszynach. Oba zalecenia obejmują obsługę maszyn wirtualnych i maszyn platformy Azure połączonych z serwerami z obsługą usługi Azure Arc.

Zalecenie Opis Ważność
Program Endpoint Protection powinien być zainstalowany na maszynach Aby chronić maszyny przed zagrożeniami i lukami w zabezpieczeniach, zainstaluj obsługiwane rozwiązanie ochrony punktu końcowego.
Dowiedz się więcej na temat oceniania programu Endpoint Protection dla maszyn.
(Powiązane zasady: Monitorowanie braku programu Endpoint Protection w Azure Security Center)
Wys.
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach Rozwiąż problemy z kondycją programu Endpoint Protection na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Azure Security Center obsługiwane rozwiązania ochrony punktu końcowego zostały opisane tutaj. Ocena programu Endpoint Protection jest udokumentowana tutaj.
(Powiązane zasady: Monitorowanie braku programu Endpoint Protection w Azure Security Center)
Śred.

Uwaga

Zalecenia pokazują swój interwał aktualności jako 8 godzin, ale istnieją pewne scenariusze, w których może to potrwać znacznie dłużej. Na przykład usunięcie maszyny lokalnej trwa 24 godziny, aby usługa Security Center zidentyfikowała usunięcie. Następnie ocena potrwa do 8 godzin, aby zwrócić informacje. W związku z tym w tej konkretnej sytuacji usunięcie maszyny z listy zasobów, których dotyczy problem, może potrwać 32 godziny.

Wskaźnik interwału aktualności dla tych dwóch nowych zaleceń usługi Security Center

Wbudowane procedury rozwiązywania problemów i wskazówki dotyczące rozwiązywania typowych problemów

Nowy, dedykowany obszar stron usługi Security Center w Azure Portal zawiera stale rosnący zestaw materiałów samodzielnej pomocy do rozwiązywania typowych problemów z usługami Security Center i Azure Defender.

Jeśli masz problem lub szukasz porady od naszego zespołu pomocy technicznej, Diagnozowanie i rozwiązywanie problemów to inne narzędzie ułatwiające znalezienie rozwiązania:

Strona

Raporty inspekcji platformy Azure na pulpicie nawigacyjnym zgodności z przepisami wydane dla ogólnej dostępności

Pasek narzędzi pulpitu nawigacyjnego zgodności z przepisami oferuje raporty dotyczące certyfikacji platformy Azure i usługi Dynamics dla standardów stosowanych do Twoich subskrypcji.

Pasek narzędzi pulpitu nawigacyjnego zgodności z przepisami przedstawiający przycisk służący do generowania raportów inspekcji.

Możesz wybrać kartę odpowiednich typów raportów (PCI, SOC, ISO i innych) i użyć filtrów, aby znaleźć potrzebne raporty.

Aby uzyskać więcej informacji, zobacz Generowanie raportów o stanie zgodności i certyfikatów.

Listy z kartami dostępnych raportów inspekcji platformy Azure. Wyświetlane są karty raportów ISO, raportów SOC, PCI i innych.

Przestarzałe zalecenie "Problemy z kondycją agenta usługi Log Analytics powinny zostać rozwiązane na maszynach"

Odkryliśmy, że na maszynach powinny zostać rozwiązane problemy z kondycją agenta usługi Log Analytics , które mają wpływ na wyniki bezpieczeństwa w sposób niezgodny z fokusem zarządzania stanem zabezpieczeń w chmurze (CSPM) usługi Security Center. Zazwyczaj CSPM odnosi się do identyfikowania błędów konfiguracji zabezpieczeń. Problemy z kondycją agenta nie pasują do tej kategorii problemów.

Ponadto zalecenie jest anomalią w porównaniu z innymi agentami związanymi z usługą Security Center: jest to jedyny agent z zaleceniem związanym z problemami z kondycją.

Zalecenie zostało uznane za przestarzałe.

W wyniku tego wycofania wprowadziliśmy również drobne zmiany w zaleceniach dotyczących instalowania agenta usługi Log Analytics (agent usługi Log Analytics powinien być zainstalowany na...).

Prawdopodobnie ta zmiana wpłynie na twoje wyniki bezpieczeństwa. W przypadku większości subskrypcji spodziewamy się, że zmiana doprowadzi do zwiększenia oceny, ale w niektórych przypadkach aktualizacje rekomendacji dotyczącej instalacji mogą spowodować zmniejszenie wyników.

Porada

Ta zmiana dotyczyła również strony spisu zasobów , ponieważ wyświetla ona monitorowany stan maszyn (monitorowany, niemonitorowany lub częściowo monitorowany — stan, który odwołuje się do agenta z problemami z kondycją).

Usługa Azure Defender dla rejestrów kontenerów zawiera skaner luk w zabezpieczeniach do skanowania obrazów w rejestrach Azure Container Registry. Dowiedz się, jak skanować rejestry i korygować wyniki w artykule Korzystanie z usługi Azure Defender dla rejestrów kontenerów w celu skanowania obrazów pod kątem luk w zabezpieczeniach.

Aby ograniczyć dostęp do rejestru hostowanego w Azure Container Registry, przypisz prywatne adresy IP sieci wirtualnej do punktów końcowych rejestru i użyj Azure Private Link, jak wyjaśniono w artykule Łączenie prywatnie z rejestrem kontenerów platformy Azure przy użyciu Azure Private Link.

W ramach naszych ciągłych wysiłków na rzecz obsługi dodatkowych środowisk i przypadków użycia usługa Azure Defender skanuje również rejestry kontenerów chronione za pomocą Azure Private Link.

Usługa Security Center może teraz automatycznie aprowizować rozszerzenie konfiguracji gościa Azure Policy (w wersji zapoznawczej)

Azure Policy można przeprowadzać inspekcję ustawień wewnątrz maszyny, zarówno dla maszyn działających na maszynach połączonych z platformą Azure, jak i z usługą Arc. Taka weryfikacja jest wykonywana przez klienta i rozszerzenie konfiguracji gościa. Dowiedz się więcej w artykule Understand Azure Policy's Guest Configuration (Informacje o konfiguracji gościa Azure Policy).

Dzięki tej aktualizacji można teraz ustawić usługę Security Center tak, aby automatycznie aprowizować to rozszerzenie dla wszystkich obsługiwanych maszyn.

Włącz automatyczne wdrażanie rozszerzenia konfiguracji gościa.

Dowiedz się więcej o tym, jak działa automatyczna aprowizacja, zobacz Konfigurowanie automatycznej aprowizacji dla agentów i rozszerzeń.

Rekomendacje dotyczące włączania planów usługi Azure Defender obsługują teraz opcję "Wymuszaj"

Usługa Security Center zawiera dwie funkcje, które ułatwiają zapewnienie, że nowo utworzone zasoby są aprowidowane w bezpieczny sposób: wymuszanie i odrzucanie. Gdy zalecenie oferuje te opcje, możesz zapewnić spełnienie wymagań dotyczących zabezpieczeń za każdym razem, gdy ktoś spróbuje utworzyć zasób:

  • Odmowa uniemożliwia tworzenie zasobów w złej kondycji
  • Wymuszanie automatycznego korygowania niezgodnych zasobów po ich utworzeniu

Dzięki tej aktualizacji opcja wymuszania jest teraz dostępna w zaleceniach umożliwiających włączenie planów usługi Azure Defender (takich jak usługa Azure Defender dla App Service powinna być włączona, należy włączyć usługę Azure Defender dla Key Vault. Powinna być włączona usługa Azure Defender for Storage).

Dowiedz się więcej o tych opcjach w temacie Zapobieganie błędom konfiguracji przy użyciu zaleceń wymuszania/odmowy.

Eksporty w formacie CSV danych rekomendacji są teraz ograniczone do 20 MB

Wprowadzamy limit wynoszący 20 MB podczas eksportowania danych zaleceń usługi Security Center.

Przycisk

Jeśli musisz wyeksportować większe ilości danych, użyj dostępnych filtrów przed wybraniem lub wybierz podzestawy subskrypcji i pobierz dane w partiach.

Filtrowanie subskrypcji w Azure Portal.

Dowiedz się więcej o wykonywaniu eksportu w formacie CSV zaleceń dotyczących zabezpieczeń.

Strona rekomendacji zawiera teraz wiele widoków

Strona rekomendacji zawiera teraz dwie karty umożliwiające wyświetlenie alternatywnych sposobów wyświetlania zaleceń związanych z zasobami:

Karty, aby zmienić widok listy zaleceń w Azure Security Center.

Lipiec 2021 r.

Aktualizacje w lipcu obejmują:

Łącznik usługi Azure Sentinel obejmuje teraz opcjonalną synchronizację alertów dwukierunkowych (w wersji zapoznawczej)

Usługa Security Center natywnie integruje się z usługą Azure Sentinel, natywnym rozwiązaniem SIEM i SOAR platformy Azure.

Usługa Azure Sentinel zawiera wbudowane łączniki dla Azure Security Center na poziomie subskrypcji i dzierżawy. Dowiedz się więcej w artykule Stream alerts to Azure Sentinel (Alerty usługi Stream do usługi Azure Sentinel).

Po połączeniu usługi Azure Defender z usługą Azure Sentinel stan alertów usługi Azure Defender, które są pozyskiwane do usługi Azure Sentinel, jest synchronizowany między dwiema usługami. Na przykład po zamknięciu alertu w usłudze Azure Defender alert będzie wyświetlany jako zamknięty w usłudze Azure Sentinel. Zmiana stanu alertu w usłudze Azure Defender "nie"* ma wpływ na stan zdarzeń usługi Azure Sentinel, które zawierają zsynchronizowany alert usługi Azure Sentinel, tylko ten, który dotyczy samego zsynchronizowanego alertu.

Włączenie tej funkcji w wersji zapoznawczej dwukierunkowej synchronizacji alertów spowoduje automatyczne zsynchronizowanie stanu oryginalnych alertów usługi Azure Defender z zdarzeniami usługi Azure Sentinel zawierającymi kopie tych alertów usługi Azure Defender. Na przykład po zamknięciu zdarzenia usługi Azure Sentinel zawierającego alert usługi Azure Defender usługa Azure Defender automatycznie zamknie odpowiedni oryginalny alert.

Dowiedz się więcej w artykule Connect Azure Defender alerts from Azure Security Center (Łączenie alertów usługi Azure Defender z Azure Security Center).

Logiczna reorganizacja alertów usługi Azure Defender dla Resource Manager

Alerty wymienione poniżej zostały podane w ramach planu usługi Azure Defender for Resource Manager.

W ramach logicznej reorganizacji niektórych planów usługi Azure Defender przenieśliśmy niektóre alerty z usługi Azure Defender dla Resource Manager do usługi Azure Defender dla serwerów.

Alerty są zorganizowane zgodnie z dwiema głównymi zasadami:

  • Alerty zapewniające ochronę płaszczyzny sterowania — w wielu typach zasobów platformy Azure — są częścią usługi Azure Defender dla Resource Manager
  • Alerty, które chronią określone obciążenia, znajdują się w planie usługi Azure Defender, który odnosi się do odpowiedniego obciążenia

Są to alerty, które były częścią usługi Azure Defender dla Resource Manager i które w wyniku tej zmiany są teraz częścią usługi Azure Defender dla serwerów:

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

Dowiedz się więcej o planach usługi Azure Defender for Resource Manager i usługi Azure Defender for Servers.

Ulepszenia rekomendacji dotyczące włączania usługi Azure Disk Encryption (ADE)

Po przekazaniu opinii użytkowników zmieniliśmy nazwę zalecenia Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych.

Nowe zalecenie używa tego samego identyfikatora oceny i nosi nazwę Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynowymi.

Opis został również zaktualizowany, aby lepiej wyjaśnić cel tego zalecenia dotyczącego wzmacniania zabezpieczeń:

Zalecenie Opis Ważność
Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynowymi Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski tymczasowe i pamięci podręczne danych nie są szyfrowane, a dane nie są szyfrowane podczas przepływu między zasobami obliczeniowymi i magazynowymi. Aby uzyskać więcej informacji, zobacz porównanie różnych technologii szyfrowania dysków na platformie Azure.
Za pomocą usługi Azure Disk Encryption szyfruj wszystkie te dane. Zignoruj to zalecenie, jeśli (1) używasz funkcji szyfrowania na hoście lub (2) szyfrowania po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie Szyfrowanie po stronie serwera usługi Azure Disk Storage.
Wys.

Ciągły eksport danych wskaźnika bezpieczeństwa i zgodności z przepisami opublikowanych na potrzeby ogólnej dostępności

Eksport ciągły zapewnia mechanizm eksportowania alertów zabezpieczeń i zaleceń dotyczących śledzenia za pomocą innych narzędzi do monitorowania w danym środowisku.

Podczas konfigurowania eksportu ciągłego należy skonfigurować eksportowane elementy i miejsca, w których zostanie on wyeksportowany. Dowiedz się więcej w omówieniu eksportu ciągłego.

Rozszerzyliśmy i rozszerzyliśmy tę funkcję w czasie:

W przypadku tej aktualizacji te dwie opcje są udostępniane w celu zapewnienia ogólnej dostępności.

Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (GA)

W lutym 2021 r. dodaliśmy trzeci typ danych w wersji zapoznawczej do opcji wyzwalacza automatyzacji przepływu pracy: zmiany w ocenach zgodności z przepisami. Dowiedz się więcej w temacie Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami.

W przypadku tej aktualizacji ta opcja wyzwalacza jest udostępniana dla ogólnie dostępnej dostępności.

Dowiedz się, jak używać narzędzi automatyzacji przepływu pracy w temacie Automatyzowanie odpowiedzi na wyzwalacze usługi Security Center.

Używanie zmian w ocenach zgodności z przepisami w celu wyzwolenia automatyzacji przepływu pracy.

Pola interfejsu API ocen "FirstEvaluationDate" i "StatusChangeDate" są teraz dostępne w schematach obszaru roboczego i aplikacjach logiki

W maju 2021 r. zaktualizowaliśmy interfejs API oceny o dwa nowe pola : FirstEvaluationDate i StatusChangeDate. Aby uzyskać szczegółowe informacje, zobacz Interfejs API ocen rozszerzony o dwa nowe pola.

Te pola były dostępne za pośrednictwem interfejsu API REST, usługi Azure Resource Graph, eksportu ciągłego i eksportu CSV.

Dzięki tej zmianie udostępniamy informacje w schemacie obszaru roboczego usługi Log Analytics i z aplikacji logiki.

W marcu ogłosiliśmy zintegrowane środowisko skoroszytów usługi Azure Monitor w usłudze Security Center (zobacz Skoroszyty usługi Azure Monitor zintegrowane z usługą Security Center i trzy udostępnione szablony).

Początkowa wersja zawierała trzy szablony do tworzenia dynamicznych i wizualnych raportów dotyczących stanu zabezpieczeń organizacji.

Dodaliśmy skoroszyt przeznaczony do śledzenia zgodności subskrypcji z zastosowanymi do niego normami prawnymi lub branżowymi.

Dowiedz się więcej o korzystaniu z tych raportów lub tworzeniu własnych raportów w temacie Tworzenie zaawansowanych, interaktywnych raportów dotyczących danych usługi Security Center.

Azure Security Center ze skoroszytem zgodności w czasie

Czerwiec 2021 r.

Aktualizacje w czerwcu obejmują:

Nowy alert dla usługi Azure Defender dla Key Vault

Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Azure Defender dla Key Vault, dodaliśmy następujący alert:

Alert (typ alertu) Opis Taktyka MITRE Ważność
Dostęp z podejrzanego adresu IP do magazynu kluczy
(KV_SuspiciousIPAccess)
Dostęp do magazynu kluczy został pomyślnie uzyskiwany przez adres IP, który został zidentyfikowany przez usługę Microsoft Threat Intelligence jako podejrzany adres IP. Może to oznaczać, że bezpieczeństwo infrastruktury zostało naruszone. Zalecamy dalsze badanie. Dowiedz się więcej o możliwościach analizy zagrożeń firmy Microsoft. Dostęp poświadczeń Śred.

Aby uzyskać więcej informacji, zobacz:

Zalecenia dotyczące szyfrowania przy użyciu kluczy zarządzanych przez klienta (CMK) są domyślnie wyłączone

Usługa Security Center zawiera wiele zaleceń dotyczących szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez klienta, takich jak:

  • Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
  • Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
  • Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)

Dane na platformie Azure są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko wtedy, gdy jest to wymagane do zachowania zgodności z określonymi zasadami, które organizacja decyduje się wymusić.

Dzięki tej zmianie rekomendacje dotyczące używania zestawów CMK są teraz domyślnie wyłączone. Jeśli jest to istotne dla twojej organizacji, możesz je włączyć, zmieniając parametr Effect dla odpowiednich zasad zabezpieczeń na AuditIfNotExists lub Enforce. Dowiedz się więcej w temacie Włączanie zasad zabezpieczeń.

Ta zmiana jest odzwierciedlana w nazwach rekomendacji z nowym prefiksem [Włącz, jeśli jest to wymagane], jak pokazano w poniższych przykładach:

  • [Włącz, jeśli jest to wymagane] Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych
  • [Włącz, jeśli jest to wymagane] Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
  • [Włącz, jeśli jest to wymagane] Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych

Rekomendacje dotyczące klucza zarządzanego przez klienta usługi Security Center będą domyślnie wyłączone.

Prefiks alertów kubernetes został zmieniony z "AKS_" na "K8S_"

Usługa Azure Defender dla platformy Kubernetes została niedawno rozszerzona w celu ochrony klastrów Kubernetes hostowanych lokalnie i w środowiskach wielochmurowych. Dowiedz się więcej w artykule Korzystanie z usługi Azure Defender dla platformy Kubernetes w celu ochrony wdrożeń hybrydowych i wielochmurowych platformy Kubernetes (w wersji zapoznawczej).

Aby odzwierciedlić fakt, że alerty zabezpieczeń udostępniane przez usługę Azure Defender for Kubernetes nie są już ograniczone do klastrów w Azure Kubernetes Service, zmieniliśmy prefiks typów alertów z "AKS_" na "K8S_". W razie potrzeby nazwy i opisy również zostały zaktualizowane. Na przykład ten alert:

Alert (typ alertu) Opis
Wykryto narzędzie do testowania penetracyjnego platformy Kubernetes
(AKS_PenTestToolsKubeHunter)
Analiza dzienników inspekcji platformy Kubernetes wykryła użycie narzędzia do testowania penetracyjnego Kubernetes w klastrze usługi AKS . Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą używać takich narzędzi publicznych do złośliwych celów.

zmieniono na:

Alert (typ alertu) Opis
Wykryto narzędzie do testowania penetracyjnego platformy Kubernetes
(K8S_PenTestToolsKubeHunter)
Analiza dzienników inspekcji kubernetes wykryła użycie narzędzia do testowania penetracyjnego Kubernetes w klastrze Kubernetes . Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą używać takich narzędzi publicznych do złośliwych celów.

Wszystkie reguły pomijania odwołujące się do alertów rozpoczynających się od "AKS_" zostały automatycznie przekonwertowane. Jeśli masz skonfigurowane eksporty SIEM lub niestandardowe skrypty automatyzacji odwołujące się do alertów Kubernetes według typu alertów, musisz je zaktualizować przy użyciu nowych typów alertów.

Aby uzyskać pełną listę alertów platformy Kubernetes, zobacz Alerty dla klastrów Kubernetes.

Przestarzałe dwa zalecenia dotyczące kontroli zabezpieczeń "Stosowanie aktualizacji systemu"

Następujące dwa zalecenia były przestarzałe:

  • Wersja systemu operacyjnego powinna zostać zaktualizowana dla ról usługi w chmurze — domyślnie platforma Azure okresowo aktualizuje system operacyjny gościa do najnowszego obsługiwanego obrazu w rodzinie systemu operacyjnego określonego w konfiguracji usługi (cscfg), na przykład Windows Server 2016.
  • Usługi Kubernetes Services powinny zostać uaktualnione do wersji platformy Kubernetes , która nie jest podatna na zagrożenia — oceny tego zalecenia nie są tak szerokie, jak chcemy, aby mogły być. Planujemy zastąpić zalecenie rozszerzoną wersją, która jest lepiej zgodna z twoimi potrzebami w zakresie zabezpieczeń.

Maj 2021 r.

Aktualizacje w maju obejmują:

Usługa Azure Defender dla usług DNS i Azure Defender dla Resource Manager wydana w celu zapewnienia ogólnej dostępności

Te dwa natywne dla chmury plany ochrony przed zagrożeniami są teraz ogólnie dostępne.

Te nowe zabezpieczenia znacznie zwiększają odporność na ataki ze strony podmiotów zagrożeń i znacznie zwiększają liczbę zasobów platformy Azure chronionych przez usługę Azure Defender.

Aby uprościć proces włączania tych planów, skorzystaj z zaleceń:

  • Należy włączyć usługę Azure Defender dla Resource Manager
  • Usługa Azure Defender for DNS powinna być włączona

Uwaga

Włączenie planów usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cen dla regionu na stronie cennika usługi Security Center.

Usługa Azure Defender dla relacyjnych baz danych typu open source wydana na potrzeby ogólnej dostępności

Azure Security Center rozszerza swoją ofertę ochrony SQL za pomocą nowego pakietu w celu pokrycia relacyjnych baz danych typu open source:

  • Usługa Azure Defender dla serwerów baz danych Azure SQL — broni serwerów SQL Natywnych dla platformy Azure
  • Usługa Azure Defender dla serwerów SQL na maszynach — rozszerza te same zabezpieczenia na serwery SQL w środowiskach hybrydowych, wielochmurowych i lokalnych
  • Usługa Azure Defender dla relacyjnych baz danych typu open source — broni pojedynczych serwerów usługi Azure Databases for MySQL, PostgreSQL i MariaDB

Usługa Azure Defender dla relacyjnych baz danych typu open source stale monitoruje serwery pod kątem zagrożeń bezpieczeństwa i wykrywa nietypowe działania bazy danych wskazujące potencjalne zagrożenia dla Azure Database for MySQL, PostgreSQL i MariaDB. Przykłady to:

  • Szczegółowe wykrywanie ataków siłowych — usługa Azure Defender dla relacyjnych baz danych typu open source zawiera szczegółowe informacje na temat prób i udanych ataków siłowych. Dzięki temu można badać i reagować z bardziej kompletnym zrozumieniem charakteru i stanu ataku na środowisko.
  • Wykrywanie alertów behawioralnych — usługa Azure Defender dla relacyjnych baz danych typu open source powiadamia o podejrzanych i nieoczekiwanych zachowaniach na serwerach, takich jak zmiany wzorca dostępu do bazy danych.
  • Wykrywanie oparte na analizach zagrożeń — usługa Azure Defender stosuje analizę zagrożeń firmy Microsoft i ogromne baza wiedzy, aby uwidocznić alerty o zagrożeniach, dzięki czemu można z nimi działać.

Dowiedz się więcej w temacie Wprowadzenie do usługi Azure Defender dla relacyjnych baz danych typu open source.

Nowe alerty dotyczące usługi Azure Defender dla Resource Manager

Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Azure Defender dla Resource Manager, dodaliśmy następujące alerty:

Alert (typ alertu) Opis TAKTYKA MITRE Ważność
Uprawnienia przyznane dla roli RBAC w nietypowy sposób dla środowiska platformy Azure (wersja zapoznawcza)
(ARM_AnomalousRBACRoleAssignment)
Usługa Azure Defender dla Resource Manager wykryła przypisanie roli RBAC, które jest nietypowe w porównaniu z innymi przypisaniami wykonywanymi przez tego samego przypisywania / wykonywane dla tego samego przypisania / w dzierżawie z powodu następujących anomalii: czas przypisywania, lokalizacja przypisywania, osoba przypisujący, metoda uwierzytelniania, przypisane jednostki, używane oprogramowanie klienckie, zakres przydziału. Ta operacja mogła zostać wykonana przez uprawnionego użytkownika w organizacji. Alternatywnie może to wskazywać, że konto w organizacji zostało naruszone i że aktor zagrożeń próbuje udzielić uprawnień do dodatkowego konta użytkownika, którego są właścicielami. Ruch boczny, uchylanie się od obrony Śred.
Uprzywilejowana rola niestandardowa utworzona dla subskrypcji w podejrzany sposób (wersja zapoznawcza)
(ARM_PrivilegedRoleDefinitionCreation)
Usługa Azure Defender dla Resource Manager wykryła podejrzane tworzenie niestandardowej definicji roli uprzywilejowanej w subskrypcji. Ta operacja mogła zostać wykonana przez uprawnionego użytkownika w organizacji. Alternatywnie może to wskazywać, że konto w organizacji zostało naruszone i że aktor zagrożeń próbuje utworzyć uprzywilejowaną rolę do użycia w przyszłości w celu uniknięcia wykrycia. Ruch boczny, uchylanie się od obrony Niski
Operacja usługi Azure Resource Manager z podejrzanego adresu IP (wersja zapoznawcza)
(ARM_OperationFromSuspiciousIP)
Usługa Azure Defender dla Resource Manager wykryła operację z adresu IP oznaczonego jako podejrzane w źródłach danych analizy zagrożeń. Wykonanie Śred.
Operacja Resource Manager platformy Azure z podejrzanego adresu IP serwera proxy (wersja zapoznawcza)
(ARM_OperationFromSuspiciousProxyIP)
Usługa Azure Defender dla Resource Manager wykryła operację zarządzania zasobami z adresu IP skojarzonego z usługami proxy, takimi jak TOR. Chociaż to zachowanie może być uzasadnione, często występuje w złośliwych działaniach, gdy aktorzy zagrożeń próbują ukryć źródłowy adres IP. Uchylanie się od obrony Śred.

Aby uzyskać więcej informacji, zobacz:

Skanowanie luk w zabezpieczeniach ciągłej integracji/ciągłego wdrażania obrazów kontenerów przy użyciu przepływów pracy usługi GitHub i usługi Azure Defender (wersja zapoznawcza)

Usługa Azure Defender dla rejestrów kontenerów zapewnia teraz zespołom DevSecOps wgląd w przepływy pracy GitHub Actions.

Nowa funkcja skanowania luk w zabezpieczeniach dla obrazów kontenerów, korzystająca z rozwiązania Trivy, ułatwia deweloperom skanowanie pod kątem typowych luk w zabezpieczeniach obrazów kontenerów przed wypychaniem obrazów do rejestrów kontenerów.

Raporty skanowania kontenerów są podsumowane w Azure Security Center, zapewniając zespołom ds. zabezpieczeń lepsze informacje o źródle narażonych obrazów kontenerów oraz przepływów pracy i repozytoriów, z których pochodzą.

Dowiedz się więcej w artykule Identyfikowanie obrazów kontenerów podatnych na zagrożenia w przepływach pracy ciągłej integracji/ciągłego wdrażania.

Więcej zapytań Resource Graph dostępnych dla niektórych zaleceń

Wszystkie zalecenia usługi Security Center mają możliwość wyświetlania informacji o stanie zasobów, których dotyczy problem, przy użyciu usługi Azure Resource Graph z poziomu zapytania Otwórz. Aby uzyskać szczegółowe informacje na temat tej zaawansowanej funkcji, zobacz Przeglądanie danych rekomendacji w usłudze Azure Resource Graph Explorer (ARG).

Usługa Security Center obejmuje wbudowane skanery luk w zabezpieczeniach do skanowania maszyn wirtualnych, serwerów SQL i ich hostów oraz rejestrów kontenerów pod kątem luk w zabezpieczeniach. Wyniki są zwracane jako zalecenia dotyczące wszystkich poszczególnych ustaleń dla każdego typu zasobu zebranego w jeden widok. Zalecenia są następujące:

  • Należy skorygować luki w zabezpieczeniach obrazów Azure Container Registry (obsługiwane przez firmę Qualys)
  • Należy skorygować luki w zabezpieczeniach maszyn wirtualnych
  • Bazy danych SQL powinny mieć usunięte wyniki luk w zabezpieczeniach
  • Serwery SQL na maszynach powinny mieć wykryte luki w zabezpieczeniach

Dzięki tej zmianie możesz użyć przycisku Otwórz zapytanie , aby otworzyć również zapytanie przedstawiające wyniki zabezpieczeń.

Przycisk Otwórz zapytanie oferuje teraz opcje dokładniejszego zapytania przedstawiającego wyniki zabezpieczeń dotyczące zaleceń związanych ze skanerem luk w zabezpieczeniach.

Przycisk Otwórz zapytanie oferuje dodatkowe opcje innych zaleceń, jeśli są one istotne.

Dowiedz się więcej o skanerach luk w zabezpieczeniach usługi Security Center:

Ważność zalecenia dotyczącego klasyfikacji danych SQL została zmieniona

Ważność zalecenia Poufne dane w bazach danych SQL powinna zostać sklasyfikowana , została zmieniona z Wysoki na Niski.

Jest to część ciągłej zmiany tej rekomendacji ogłoszonej na naszej nadchodzącej stronie zmian.

Nowe zalecenia dotyczące włączania funkcji zaufanego uruchamiania (w wersji zapoznawczej)

Platforma Azure oferuje zaufane uruchamianie jako bezproblemowy sposób poprawy bezpieczeństwa maszyn wirtualnych generacji 2 . Zaufane uruchamianie chroni przed zaawansowanymi i trwałymi technikami ataków. Zaufane uruchamianie składa się z kilku skoordynowanych technologii infrastruktury, które można włączyć niezależnie. Każda technologia zapewnia kolejną warstwę obrony przed zaawansowanymi zagrożeniami. Dowiedz się więcej w temacie Zaufane uruchamianie maszyn wirtualnych platformy Azure.

Ważne

Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych. Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.

Zaufane uruchamianie jest obecnie dostępne w publicznej wersji zapoznawczej. Wersja zapoznawcza jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone.

Zalecenie usługi Security Center, że maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych, gwarantuje, że maszyny wirtualne platformy Azure używają maszyn wirtualnych vTPM. Ta zwirtualizowana wersja sprzętowego modułu Trusted Platform Module umożliwia zaświadczenie przez pomiar całego łańcucha rozruchu maszyny wirtualnej (UEFI, OS, system i sterowniki).

Po włączeniu funkcji vTPM rozszerzenie zaświadczania gościa może zdalnie zweryfikować bezpieczny rozruch. Następujące zalecenia zapewniają wdrożenie tego rozszerzenia:

  • Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows
  • Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows
  • Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows
  • Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux
  • Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux

Dowiedz się więcej w temacie Zaufane uruchamianie maszyn wirtualnych platformy Azure.

Nowe zalecenia dotyczące wzmacniania zabezpieczeń klastrów Kubernetes (w wersji zapoznawczej)

Poniższe zalecenia umożliwiają dalsze wzmocnienie zabezpieczeń klastrów Kubernetes

  • Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw — aby chronić przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount, zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes.
  • Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API — aby zapobiec potencjalnie naruszonemu zasobowi zasobnika uruchamianie poleceń interfejsu API w klastrach Kubernetes, wyłącz automatyczne instalowanie poświadczeń interfejsu API.
  • Klastry Kubernetes nie powinny udzielać możliwości zabezpieczeń CAPSYSADMIN

Dowiedz się, jak usługa Security Center może chronić środowiska konteneryzowane w zabezpieczeniach kontenerów w usłudze Security Center.

Interfejs API ocen został rozszerzony o dwa nowe pola

Do interfejsu API REST ocen dodaliśmy następujące dwa pola:

  • FirstEvaluationDate — czas utworzenia i oceny zalecenia. Zwrócony jako czas UTC w formacie ISO 8601.
  • StatusChangeDate — czas ostatniej zmiany stanu zalecenia. Zwrócony jako czas UTC w formacie ISO 8601.

Początkowa wartość domyślna dla tych pól — dla wszystkich zaleceń — to 2021-03-14T00:00:00+0000000Z.

Aby uzyskać dostęp do tych informacji, możesz użyć dowolnej z metod w poniższej tabeli.

Narzędzie Szczegóły
Wywołanie interfejsu API REST GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph securityresources
where type == "microsoft.security/assessments"
Eksport ciągły Dwa dedykowane pola będą dostępne dla danych obszaru roboczego usługi Log Analytics
Eksportowanie pliku CSV Te dwa pola są uwzględniane w plikach CSV

Dowiedz się więcej o interfejsie API REST ocen.

Spis zasobów pobiera filtr środowiska chmury

Strona spisu zasobów usługi Security Center oferuje wiele filtrów, które umożliwiają szybkie uściślenie wyświetlanej listy zasobów. Dowiedz się więcej w artykule Eksplorowanie zasobów i zarządzanie nimi za pomocą spisu zasobów.

Nowy filtr oferuje opcję uściślinia listy zgodnie z kontami w chmurze połączonymi z funkcjami wielochmurowymi usługi Security Center:

Filtr środowiska spisu

Dowiedz się więcej o funkcjach wielochmurowych:

Kwiecień 2021 r.

Aktualizacje w kwietniu obejmują:

Odświeżona strona kondycji zasobów (w wersji zapoznawczej)

Kondycja zasobów usługi Security Center została rozszerzona, rozszerzona i ulepszona w celu zapewnienia widoku migawki ogólnej kondycji pojedynczego zasobu.

Możesz przejrzeć szczegółowe informacje o zasobie i wszystkie zalecenia dotyczące tego zasobu. Ponadto, jeśli używasz zaawansowanych planów ochrony usługi Microsoft Defender, możesz również zobaczyć wyjątkowe alerty zabezpieczeń dla tego konkretnego zasobu.

Aby otworzyć stronę kondycji zasobu dla zasobu, wybierz dowolny zasób na stronie spisu zasobów.

Ta strona podglądu na stronach portalu usługi Security Center pokazuje:

  1. Informacje o zasobie — grupa zasobów i subskrypcja, do których jest dołączona, lokalizacja geograficzna i nie tylko.
  2. Zastosowana funkcja zabezpieczeń — czy usługa Azure Defender jest włączona dla zasobu.
  3. Liczba wybitnych zaleceń i alertów — liczba wybitnych zaleceń dotyczących zabezpieczeń i alertów usługi Azure Defender.
  4. Zalecenia i alerty z możliwością działania — dwie karty zawierają zalecenia i alerty dotyczące zasobu.

strona kondycji zasobów Azure Security Center przedstawiająca informacje o kondycji maszyny wirtualnej

Dowiedz się więcej w artykule Samouczek: badanie kondycji zasobów.

Obrazy rejestru kontenerów, które zostały ostatnio pobrane, są teraz ponownie skanowane co tydzień (wydane pod kątem ogólnej dostępności))

Usługa Azure Defender dla rejestrów kontenerów zawiera wbudowany skaner luk w zabezpieczeniach. Ten skaner natychmiast skanuje dowolny obraz wypychany do rejestru i dowolny obraz ściągnięty w ciągu ostatnich 30 dni.

Codziennie są wykrywane nowe luki w zabezpieczeniach. Dzięki tej aktualizacji obrazy kontenerów, które zostały pobrane z rejestrów w ciągu ostatnich 30 dni, zostaną ponownie przeskanowane co tydzień. Dzięki temu nowo odnalezione luki w zabezpieczeniach są identyfikowane na obrazach.

Opłata za skanowanie jest naliczana na podstawie obrazu, więc za te operacje skanowania nie są naliczane dodatkowe opłaty.

Dowiedz się więcej na temat tego skanera w artykule Używanie rejestru kontenerów usługi Azure Defender do skanowania obrazów pod kątem luk w zabezpieczeniach.

Korzystanie z usługi Azure Defender dla platformy Kubernetes w celu ochrony wdrożeń hybrydowych i wielochmurowych platformy Kubernetes (w wersji zapoznawczej)

Usługa Azure Defender dla platformy Kubernetes rozszerza możliwości ochrony przed zagrożeniami, aby bronić klastrów wszędzie tam, gdzie są wdrażane. Umożliwiono to integrację z platformą Kubernetes z włączoną usługą Azure Arc i jej nowymi możliwościami rozszerzeń.

Po włączeniu usługi Azure Arc w klastrach spoza platformy Azure Kubernetes nowe zalecenie z Azure Security Center ofert wdrażania rozszerzenia usługi Azure Defender do nich wystarczy kilka kliknięć.

Użyj zalecenia (klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Defender) i rozszerzenie w celu ochrony klastrów Kubernetes wdrożonych u innych dostawców chmury, chociaż nie w zarządzanych usługach Kubernetes.

Ta integracja między Azure Security Center, usługą Azure Defender i platformą Kubernetes z obsługą usługi Azure Arc zapewnia następujące korzyści:

  • Łatwe aprowizowanie rozszerzenia usługi Azure Defender w celu niechronienia klastrów Kubernetes z obsługą usługi Azure Arc (ręcznie i na dużą skalę)
  • Monitorowanie rozszerzenia usługi Azure Defender i jego stanu aprowizacji w witrynie Azure Arc Portal
  • Zalecenia dotyczące zabezpieczeń z usługi Security Center są zgłaszane na nowej stronie Zabezpieczenia w witrynie Azure Arc Portal
  • Zidentyfikowane zagrożenia bezpieczeństwa z usługi Azure Defender są zgłaszane na nowej stronie Zabezpieczenia w witrynie Azure Arc Portal
  • Klastry Kubernetes z obsługą usługi Azure Arc są zintegrowane z platformą i środowiskiem Azure Security Center

Dowiedz się więcej w temacie Używanie usługi Azure Defender dla platformy Kubernetes z lokalnymi i wielochmurowymi klastrami Kubernetes.

zalecenie Azure Security Center dotyczące wdrażania rozszerzenia usługi Azure Defender dla klastrów Kubernetes z obsługą usługi Azure Arc.

Ochrona punktu końcowego w usłudze Microsoft Defender integracja z usługą Azure Defender obsługuje teraz system Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop wydany w celu zapewnienia ogólnej dostępności (GA)

Usługa Ochrona punktu końcowego w usłudze Microsoft Defender to całościowe, dostępne w chmurze rozwiązanie służące do zabezpieczania punktów końcowych. Zapewnia ona zarządzanie lukami w zabezpieczeniach i ocenę na podstawie ryzyka, a także wykrywanie i reagowanie na punkty końcowe (EDR). Aby uzyskać pełną listę zalet korzystania z usługi Defender dla punktu końcowego wraz z Azure Security Center, zobacz Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Security Center: Ochrona punktu końcowego w usłudze Microsoft Defender.

Po włączeniu usługi Azure Defender dla serwerów z systemem Windows Server licencja dla punktu końcowego usługi Defender jest dołączona do planu. Jeśli włączono już usługę Azure Defender dla serwerów i masz serwery z systemem Windows Server 2019 w subskrypcji, automatycznie otrzymają one usługę Defender for Endpoint z tą aktualizacją. Nie jest wymagana żadna akcja ręczna.

Obsługa została rozszerzona o system Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop.

Uwaga

Jeśli włączasz usługę Defender for Endpoint na serwerze z systemem Windows Server 2019, upewnij się, że spełnia on wymagania wstępne opisane w temacie Włączanie integracji Ochrona punktu końcowego w usłudze Microsoft Defender.

Zalecenia dotyczące włączania usługi Azure Defender dla usługi DNS i Resource Manager (w wersji zapoznawczej)

Dodano dwie nowe zalecenia, aby uprościć proces włączania usługi Azure Defender dla Resource Manager i usługi Azure Defender for DNS:

  • Należy włączyć usługę Azure Defender for Resource Manager — usługa Defender dla Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach.
  • Usługa Azure Defender for DNS powinna być włączona — usługa Defender for DNS zapewnia dodatkową warstwę ochrony zasobów w chmurze przez ciągłe monitorowanie wszystkich zapytań DNS z zasobów platformy Azure. Usługa Azure Defender ostrzega o podejrzanych działaniach w warstwie DNS.

Włączenie planów usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cen dla regionu na stronie cennika usługi Security Center.

Porada

Zalecenia dotyczące wersji zapoznawczej nie renderują złej kondycji zasobu i nie są uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Koryguj je wszędzie tam, gdzie to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku. Dowiedz się więcej na temat reagowania na te zalecenia w temacie Korygowanie zaleceń w Azure Security Center.

Dodano trzy standardy zgodności z przepisami: Azure CIS 1.3.0, CMMC Level 3 i New Zealand ISM Restricted

Dodaliśmy trzy standardy do użycia z Azure Security Center. Korzystając z pulpitu nawigacyjnego zgodności z przepisami, możesz teraz śledzić zgodność z:

Możesz przypisać je do subskrypcji zgodnie z opisem w temacie Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.

Trzy standardy dodane do użycia z pulpitem nawigacyjnym zgodności z przepisami Azure Security Center.

Dowiedz się więcej w:

Rozszerzenia konfiguracji gościa platformy Azure raportuje do usługi Security Center, aby zapewnić, że ustawienia gościa maszyn wirtualnych są wzmocnione. Rozszerzenie nie jest wymagane w przypadku serwerów z włączoną usługą Arc, ponieważ jest ono dostępne w agencie maszyny połączonej z usługą Arc. Rozszerzenie wymaga tożsamości zarządzanej przez system na maszynie.

Dodaliśmy cztery nowe zalecenia do usługi Security Center, aby jak najlepiej wykorzystać to rozszerzenie.

  • Dwa zalecenia monitują o zainstalowanie rozszerzenia i wymaganej tożsamości zarządzanej przez system:

    • Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach
    • Rozszerzenie Konfiguracji gościa maszyn wirtualnych należy wdrożyć przy użyciu przypisanej przez system tożsamości zarządzanej
  • Po zainstalowaniu i uruchomieniu rozszerzenia rozpocznie się inspekcja maszyn i zostanie wyświetlony monit o wzmocnienie ustawień, takich jak konfiguracja systemu operacyjnego i ustawień środowiska. Te dwa zalecenia będą monitować o wzmocnienie zabezpieczeń maszyn z systemami Windows i Linux zgodnie z opisem:

    • Windows Defender Exploit Guard należy włączyć na maszynach
    • Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH

Dowiedz się więcej w temacie Understand Azure Policy's Guest Configuration (Informacje o konfiguracji gościa Azure Policy).

Zalecenia dotyczące klucza cmK zostały przeniesione do najlepszych rozwiązań w zakresie kontroli zabezpieczeń

Każdy program zabezpieczeń organizacji obejmuje wymagania dotyczące szyfrowania danych. Domyślnie dane klientów platformy Azure są szyfrowane za pomocą kluczy zarządzanych przez usługę. Jednak klucze zarządzane przez klienta (CMK) są często wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMK umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Zapewnia to pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie.

Azure Security Center mechanizmów kontroli zabezpieczeń to logiczne grupy powiązanych zaleceń dotyczących zabezpieczeń i odzwierciedlają powierzchnie ataków narażonych na ataki. Każda kontrolka ma maksymalną liczbę punktów, które można dodać do wskaźnika bezpieczeństwa, jeśli korygujesz wszystkie zalecenia wymienione w kontrolce dla wszystkich zasobów. Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń kontroli zabezpieczeń jest warte zero punktów. Dlatego zalecenia w tej kontrolce nie wpływają na wskaźnik bezpieczeństwa.

Zalecenia wymienione poniżej są przenoszone do implementowania kontroli zabezpieczeń najlepszych rozwiązań w celu lepszego odzwierciedlenia ich opcjonalnego charakteru. Dzięki temu zalecenia są najbardziej odpowiednie do osiągnięcia celu.

  • Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
  • Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
  • Konta usług Cognitive Services powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta (CMK)
  • Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
  • Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
  • Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
  • Konta magazynu powinny używać klucza zarządzanego przez klienta (CMK) do szyfrowania

Dowiedz się, które zalecenia znajdują się w każdej kontroli zabezpieczeń w obszarze Mechanizmy kontroli zabezpieczeń i ich rekomendacje.

11 Alerty usługi Azure Defender są przestarzałe

11 Alerty usługi Azure Defender wymienione poniżej zostały przestarzałe.

  • Nowe alerty zastąpią te dwa alerty i zapewniają lepsze pokrycie:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo WERSJA ZAPOZNAWCZA — wykryto uruchomienie funkcji "Get-AzureDomainInfo" zestawu narzędzi MicroBurst
    ARM_MicroBurstRunbook WERSJA ZAPOZNAWCZA — wykryto uruchomienie funkcji "Get-AzurePasswords" zestawu narzędzi MicroBurst
  • Te dziewięć alertów dotyczy łącznika usługi Azure Active Directory Identity Protection (IPC), który został już przestarzały:

    AlertType AlertDisplayName
    Nieznanylokalizacja Nieznane właściwości logowania
    AnonymousLogin Anonimowy adres IP
    InfectedDeviceLogin Połączony adres IP złośliwego oprogramowania
    ImpossibleTravel Nietypowa podróż
    MaliciousIP Złośliwy adres IP
    PrzeciekiCredentials Ujawnione poświadczenia
    PasswordSpray Spray haseł
    PrzeciekiCredentials Analiza zagrożeń w usłudze Azure AD
    AADAI Azure AD sztucznej inteligencji

    Porada

    Te dziewięć alertów IPC nigdy nie były alertami usługi Security Center. Są one częścią łącznika usługi Azure Active Directory (AAD) Identity Protection (IPC), który wysyłał je do usługi Security Center. W ciągu ostatnich dwóch lat jedynymi klientami, którzy widzieli te alerty, są organizacje, które skonfigurowały eksport (z łącznika do usługi ASC) w 2019 r. lub wcześniej. Usługa AAD IPC nadal wyświetlała je we własnych systemach alertów i nadal była dostępna w usłudze Azure Sentinel. Jedyną zmianą jest to, że nie są one już wyświetlane w usłudze Security Center.

Dwie rekomendacje dotyczące kontroli zabezpieczeń "Stosowanie aktualizacji systemu" zostały przestarzałe

Następujące dwa zalecenia zostały wycofane, a zmiany mogą spowodować niewielki wpływ na wskaźnik bezpieczeństwa:

  • Aby zastosować aktualizacje systemowe, należy ponownie uruchomić maszyny
  • Agent monitorowania powinien być zainstalowany na maszynach. To zalecenie dotyczy tylko maszyn lokalnych, a niektóre z jej logiki zostaną przeniesione do innego zalecenia. Problemy z kondycją agenta usługi Log Analytics należy rozwiązać na maszynach

Zalecamy sprawdzenie konfiguracji automatyzacji eksportu ciągłego i przepływu pracy, aby sprawdzić, czy te zalecenia są zawarte w nich. Ponadto wszystkie pulpity nawigacyjne lub inne narzędzia do monitorowania, które mogą być używane, powinny być odpowiednio aktualizowane.

Dowiedz się więcej o tych zaleceniach na stronie referencyjnej zaleceń dotyczących zabezpieczeń.

Kafelek usługi Azure Defender for SQL na maszynie został usunięty z pulpitu nawigacyjnego usługi Azure Defender

Obszar pokrycia pulpitu nawigacyjnego usługi Azure Defender zawiera kafelki dla odpowiednich planów usługi Azure Defender dla danego środowiska. Ze względu na problem z raportowaniem liczby chronionych i niechronionych zasobów postanowiliśmy tymczasowo usunąć stan pokrycia zasobów dla usługi Azure Defender for SQL na maszynach do momentu rozwiązania problemu.

21 zaleceń przeniesionych między mechanizmami kontroli zabezpieczeń

Poniższe zalecenia zostały przeniesione do różnych mechanizmów kontroli zabezpieczeń. Mechanizmy kontroli zabezpieczeń to logiczne grupy powiązanych zaleceń dotyczących zabezpieczeń i odzwierciedlają podatne na ataki powierzchnie. Dzięki temu każda z tych rekomendacji jest w najbardziej odpowiedniej kontroli, aby spełnić swój cel.

Dowiedz się, które zalecenia znajdują się w każdej kontroli zabezpieczeń w obszarze Mechanizmy kontroli zabezpieczeń i ich rekomendacje.

Zalecenie Zmiana i wpływ
Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL
Ocena luk w zabezpieczeniach powinna być włączona w wystąpieniach zarządzanych SQL
Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane
Należy skorygować luki w zabezpieczeniach baz danych SQL na maszynach wirtualnych
Przenoszenie z luk w zabezpieczeniach korygowania (o wartości 6 punktów)
aby skorygować konfiguracje zabezpieczeń (warte 4 punkty).
W zależności od środowiska zalecenia te będą miały ograniczony wpływ na ocenę.
Do subskrypcji powinno być przypisanych więcej niż jeden właściciel
Zmienne konta usługi Automation powinny być szyfrowane
Urządzenia IoT — proces inspekcji przestał wysyłać zdarzenia
Urządzenia IoT — niepowodzenie weryfikacji punktu odniesienia systemu operacyjnego
Urządzenia IoT — wymagane jest uaktualnienie pakietu szyfrowania TLS
Urządzenia IoT — otwieranie portów na urządzeniu
Urządzenia IoT — wykryto zasady zapory permissive w jednym z łańcuchów
Urządzenia IoT — odnaleziono regułę zapory permissywnej w łańcuchu danych wejściowych
Urządzenia IoT — odnaleziono regułę zapory permisywnej w łańcuchu danych wyjściowych
Dzienniki diagnostyczne w IoT Hub powinny być włączone
Urządzenia IoT — agent wysyłający nieumocnione komunikaty
Urządzenia IoT — domyślne zasady filtrowania adresów IP powinny być odrzucane
Urządzenia IoT — reguła filtrowania adresów IP — duży zakres adresów IP
Urządzenia IoT — należy dostosować interwały komunikatów agenta i rozmiar
Urządzenia IoT — identyczne poświadczenia uwierzytelniania
Urządzenia IoT — proces inspekcji przestał wysyłać zdarzenia
Urządzenia IoT — konfiguracja punktu odniesienia systemu operacyjnego (OS) powinna zostać naprawiona
Przejście do implementowania najlepszych rozwiązań w zakresie zabezpieczeń.
Gdy rekomendacja zostanie przeniesiona do sekcji Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń kontroli zabezpieczeń, która nie jest warta żadnych punktów, zalecenie nie ma już wpływu na wskaźnik bezpieczeństwa.

Marzec 2021 r.

Aktualizacje w marcu obejmują:

zarządzanie Azure Firewall zintegrowane z usługą Security Center

Po otwarciu Azure Security Center pierwsza strona do wyświetlenia to strona przeglądu.

Ten interaktywny pulpit nawigacyjny zapewnia ujednolicony widok stanu zabezpieczeń obciążeń chmury hybrydowej. Ponadto wyświetla alerty zabezpieczeń, informacje o zasięgu i nie tylko.

W ramach pomocy w wyświetlaniu stanu zabezpieczeń z poziomu centralnego środowiska zintegrowaliśmy menedżera Azure Firewall z tym pulpitem nawigacyjnym. Teraz możesz sprawdzić stan pokrycia zapory we wszystkich sieciach i centralnie zarządzać zasadami Azure Firewall począwszy od usługi Security Center.

Dowiedz się więcej o tym pulpicie nawigacyjnym na stronie przeglądu Azure Security Center.

Pulpit nawigacyjny przeglądu usługi Security Center z kafelkiem dla Azure Firewall

Ocena luk w zabezpieczeniach SQL obejmuje teraz środowisko "Wyłącz regułę" (wersja zapoznawcza)

Usługa Security Center zawiera wbudowany skaner luk w zabezpieczeniach, który ułatwia odnajdywanie, śledzenie i korygowanie potencjalnych luk w zabezpieczeniach bazy danych. Wyniki skanowania oceny zawierają omówienie stanu zabezpieczeń maszyn SQL oraz szczegóły wszelkich ustaleń dotyczących zabezpieczeń.

Jeśli masz organizację, która musi zignorować znalezienie, a nie skorygować go, możesz ją opcjonalnie wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niepożądanego szumu.

Dowiedz się więcej w temacie Wyłączanie określonych wyników.

Skoroszyty usługi Azure Monitor zintegrowane z usługą Security Center i trzema udostępnionymi szablonami

W ramach konferencji Ignite Spring 2021 ogłosiliśmy zintegrowane środowisko skoroszytów usługi Azure Monitor w usłudze Security Center.

Możesz użyć nowej integracji, aby rozpocząć korzystanie z gotowego szablonu z galerii usługi Security Center. Za pomocą szablonów skoroszytów można uzyskiwać dostęp do dynamicznych i wizualnych raportów oraz tworzyć je w celu śledzenia stanu zabezpieczeń organizacji. Ponadto możesz tworzyć nowe skoroszyty na podstawie danych usługi Security Center lub innych obsługiwanych typów danych i szybko wdrażać skoroszyty społeczności z poziomu społeczności usługi GitHub w usłudze Security Center.

Dostępne są trzy raporty szablonów:

  • Wskaźnik bezpieczeństwa w czasie — śledzenie wyników subskrypcji i zmian w zaleceniach dotyczących zasobów
  • System Aktualizacje — wyświetlanie brakujących aktualizacji systemu według zasobów, systemu operacyjnego, ważności i nie tylko
  • Wyniki oceny luk w zabezpieczeniach — wyświetlanie wyników skanowania luk w zabezpieczeniach zasobów platformy Azure

Dowiedz się więcej o korzystaniu z tych raportów lub tworzeniu własnych w temacie Tworzenie rozbudowanych, interaktywnych raportów dotyczących danych usługi Security Center.

Wskaźnik bezpieczeństwa w czasie.

Pulpit nawigacyjny zgodności z przepisami zawiera teraz raporty inspekcji platformy Azure (wersja zapoznawcza)

Na pasku narzędzi pulpitu nawigacyjnego zgodności z przepisami możesz teraz pobrać raporty dotyczące certyfikacji platformy Azure i usługi Dynamics.

Pasek narzędzi pulpitu nawigacyjnego zgodności z przepisami

Możesz wybrać kartę odpowiednich typów raportów (PCI, SOC, ISO i innych) i użyć filtrów, aby znaleźć potrzebne raporty.

Dowiedz się więcej na temat zarządzania standardami na pulpicie nawigacyjnym zgodności z przepisami.

Filtrowanie listy dostępnych raportów inspekcji platformy Azure.

Dane rekomendacji można wyświetlić w usłudze Azure Resource Graph za pomocą polecenia "Eksploruj w usłudze ARG"

Strony szczegółów rekomendacji zawierają teraz przycisk paska narzędzi "Eksploruj w usłudze ARG". Użyj tego przycisku, aby otworzyć zapytanie usługi Azure Resource Graph i eksplorować, eksportować i udostępniać dane rekomendacji.

Usługa Azure Resource Graph (ARG) zapewnia natychmiastowy dostęp do informacji o zasobach w środowiskach chmury z niezawodnymi możliwościami filtrowania, grupowania i sortowania. Jest to szybki i wydajny sposób wykonywania zapytań o informacje w subskrypcjach platformy Azure programowo lub z poziomu Azure Portal.

Dowiedz się więcej o usłudze Azure Resource Graph (ARG).

Eksploruj dane rekomendacji na platformie Azure Resource Graph.

Aktualizacje do zasad wdrażania automatyzacji przepływu pracy

Automatyzacja procesów monitorowania i reagowania na zdarzenia w organizacji może znacznie poprawić czas potrzebny do zbadania i ograniczenia zdarzeń zabezpieczeń.

Udostępniamy trzy Azure Policy zasady "DeployIfNotExist", które tworzą i konfigurują procedury automatyzacji przepływu pracy, aby umożliwić wdrażanie automatyzacji w całej organizacji:

Cel Zasady Identyfikator zasad
Automatyzacja przepływu pracy dla alertów zabezpieczeń Wdróż automatyzację przepływu pracy dla alertów usługi Azure Security Center f1525828-9a90-4fcf-be48-268cdd02361e
Automatyzacja przepływu pracy dla zaleceń dotyczących zabezpieczeń Wdróż automatyzację przepływów pracy dla zaleceń usługi Azure Security Center 73d6ab6c-2475-4850-afd6-43795f3492ef
Automatyzacja przepływu pracy na potrzeby zmian zgodności z przepisami Wdrażanie automatyzacji przepływu pracy na potrzeby zgodności z przepisami Azure Security Center 509122b9-ddd9-47ba-a5f1-d0dac20be63c

Istnieją dwie aktualizacje tych zasad:

  • Po przypisaniu pozostaną one włączone przez wymuszanie.
  • Teraz można dostosować te zasady i zaktualizować dowolne parametry nawet po ich wdrożeniu. Jeśli na przykład użytkownik chce dodać inny klucz oceny lub edytować istniejący klucz oceny, może to zrobić.

Wprowadzenie do szablonów automatyzacji przepływu pracy.

Dowiedz się więcej na temat automatyzowania odpowiedzi na wyzwalacze usługi Security Center.

Dwie starsze rekomendacje nie zapisują już danych bezpośrednio w dzienniku aktywności platformy Azure

Usługa Security Center przekazuje dane dla prawie wszystkich zaleceń dotyczących zabezpieczeń do usługi Azure Advisor, co z kolei zapisuje je w dzienniku aktywności platformy Azure.

W przypadku dwóch zaleceń dane są jednocześnie zapisywane bezpośrednio w dzienniku aktywności platformy Azure. Dzięki tej zmianie usługa Security Center przestaje zapisywać dane dla tych starszych zaleceń dotyczących zabezpieczeń bezpośrednio w dzienniku aktywności. Zamiast tego eksportujemy dane do usługi Azure Advisor, tak jak w przypadku wszystkich innych zaleceń.

Dwa starsze zalecenia to:

  • Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach
  • Luki w zabezpieczeniach konfiguracji na maszynach powinny zostać skorygowane

Jeśli uzyskujesz dostęp do informacji dotyczących tych dwóch zaleceń w kategorii "Rekomendacja typu TaskDiscovery" dziennika aktywności, ta funkcja nie jest już dostępna.

Ulepszenia strony rekomendacji

Udostępniliśmy ulepszoną wersję listy zaleceń, aby przedstawić więcej informacji na pierwszy rzut oka.

Teraz na stronie zobaczysz:

  1. Maksymalny wynik i bieżący wynik dla każdej kontroli zabezpieczeń.
  2. Ikony zastępujące tagi, takie jak Fix i Preview.
  3. Nowa kolumna przedstawiająca inicjatywę zasad powiązaną z każdym zaleceniem — widoczna, gdy opcja "Grupuj według kontrolek" jest wyłączona.

Ulepszenia strony zaleceń Azure Security Center — marzec 2021 r.

Ulepszenia listy zaleceń Azure Security Center

Dowiedz się więcej w temacie Zalecenia dotyczące zabezpieczeń w Azure Security Center.

Luty 2021 r.

Aktualizacje w lutym obejmują:

Nowa strona alertów zabezpieczeń w Azure Portal wydana dla ogólnej dostępności (GA)

Strona alertów zabezpieczeń Azure Security Center została przeprojektowana w celu zapewnienia:

  • Ulepszone środowisko klasyfikacji alertów — pomaga zmniejszyć zmęczenie alertów i skupić się na najbardziej odpowiednich zagrożeniach, lista zawiera dostosowywalne filtry i opcje grupowania.
  • Więcej informacji na liście alertów — takich jak taktyka MITRE ATT&ACK.
  • Przycisk, aby utworzyć przykładowe alerty — aby ocenić możliwości usługi Azure Defender i przetestować alerty. konfiguracja (w przypadku integracji rozwiązania SIEM, powiadomień e-mail i automatyzacji przepływów pracy) można utworzyć przykładowe alerty ze wszystkich planów usługi Azure Defender.
  • Dopasowanie do środowiska zdarzeń usługi Azure Sentinel — dla klientów korzystających z obu produktów przełączanie się między nimi jest teraz bardziej prostym środowiskiem i łatwo jest nauczyć się ich z drugiej.
  • Lepsza wydajność dla dużych list alertów.
  • Nawigacja za pomocą klawiatury za pośrednictwem listy alertów.
  • Alerty z usługi Azure Resource Graph — możesz wysyłać zapytania o alerty w usłudze Azure Resource Graph— interfejs API przypominający kusto dla wszystkich zasobów. Jest to również przydatne, jeśli tworzysz własne pulpity nawigacyjne alertów. Dowiedz się więcej o usłudze Azure Resource Graph.
  • Tworzenie przykładowej funkcji alertów — aby utworzyć przykładowe alerty z nowego środowiska alertów, zobacz Generowanie przykładowych alertów usługi Azure Defender.

lista alertów zabezpieczeń Azure Security Center

Zalecenia dotyczące ochrony obciążeń platformy Kubernetes wydane pod kątem ogólnej dostępności

Z przyjemnością ogłaszamy ogólną dostępność zestawu zaleceń dotyczących ochrony obciążeń platformy Kubernetes.

Aby upewnić się, że obciążenia Kubernetes są domyślnie bezpieczne, usługa Security Center dodała zalecenia dotyczące wzmacniania zabezpieczeń na poziomie kubernetes, w tym opcje wymuszania z kontrolą dostępu na platformie Kubernetes.

Po zainstalowaniu dodatku Azure Policy dla platformy Kubernetes w klastrze Azure Kubernetes Service (AKS) każde żądanie serwera interfejsu API Kubernetes będzie monitorowane względem wstępnie zdefiniowanego zestawu najlepszych rozwiązań — wyświetlanych jako 13 zaleceń dotyczących zabezpieczeń — przed utrwaliniem klastra. Następnie można skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je dla przyszłych obciążeń.

Można na przykład zastosować mandat, że uprzywilejowane kontenery nie powinny być tworzone, a wszelkie przyszłe żądania do tego zostaną zablokowane.

Dowiedz się więcej w artykule Najlepsze rozwiązania w zakresie ochrony obciążeń przy użyciu kontroli dostępu platformy Kubernetes.

Uwaga

Chociaż zalecenia były w wersji zapoznawczej, nie renderowały złej kondycji zasobu klastra usługi AKS i nie zostały uwzględnione w obliczeniach wskaźnika bezpieczeństwa. wraz z ogłoszeniem ogólnie dostępnym zostaną one uwzględnione w obliczeniu oceny. Jeśli jeszcze ich nie skorygowaliśmy, może to spowodować niewielki wpływ na wskaźnik bezpieczeństwa. Korygowanie ich wszędzie tam, gdzie to możliwe, zgodnie z opisem w temacie Korygowanie zaleceń w Azure Security Center.

Ochrona punktu końcowego w usłudze Microsoft Defender integracja z usługą Azure Defender obsługuje teraz system Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop (w wersji zapoznawczej)

Usługa Ochrona punktu końcowego w usłudze Microsoft Defender to całościowe, dostępne w chmurze rozwiązanie służące do zabezpieczania punktów końcowych. Zapewnia ona zarządzanie lukami w zabezpieczeniach i ocenę na podstawie ryzyka, a także wykrywanie i reagowanie na punkty końcowe (EDR). Aby uzyskać pełną listę zalet korzystania z usługi Defender dla punktu końcowego wraz z Azure Security Center, zobacz Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Security Center: Ochrona punktu końcowego w usłudze Microsoft Defender.

Po włączeniu usługi Azure Defender dla serwerów z systemem Windows Server licencja dla usługi Defender dla punktu końcowego zostanie dołączona do planu. Jeśli włączono już usługę Azure Defender dla serwerów i masz serwery z systemem Windows Server 2019 w subskrypcji, automatycznie otrzymają one usługę Defender for Endpoint z tą aktualizacją. Nie jest wymagana żadna akcja ręczna.

Obsługa została rozszerzona w celu uwzględnienia systemu Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop.

Uwaga

Jeśli włączasz usługę Defender for Endpoint na serwerze z systemem Windows Server 2019, upewnij się, że spełnia on wymagania wstępne opisane w temacie Włączanie integracji Ochrona punktu końcowego w usłudze Microsoft Defender.

Podczas przeglądania szczegółów zalecenia często warto zobaczyć podstawowe zasady. Dla każdej rekomendacji obsługiwanej przez zasady jest dostępny nowy link ze strony szczegółów rekomendacji:

Link do strony Azure Policy dla określonych zasad obsługujących zalecenie.

Użyj tego linku, aby wyświetlić definicję zasad i przejrzeć logikę oceny.

Jeśli przeglądasz listę zaleceń w naszym przewodniku referencyjnym dotyczącym zaleceń dotyczących zabezpieczeń, zobaczysz również linki do stron definicji zasad:

Uzyskiwanie dostępu do strony Azure Policy dla określonych zasad bezpośrednio ze strony referencyjnej zaleceń Azure Security Center.

Zalecenie dotyczące klasyfikacji danych SQL nie ma już wpływu na wskaźnik bezpieczeństwa

Zalecenie Poufne dane w bazach danych SQL powinno już nie wpływać na wskaźnik bezpieczeństwa. Jest to jedyne zalecenie w obszarze Zastosuj kontrolę zabezpieczeń klasyfikacji danych , dzięki czemu kontrolka ma teraz wartość wskaźnika bezpieczeństwa 0.

Aby uzyskać pełną listę wszystkich mechanizmów kontroli zabezpieczeń w usłudze Security Center wraz z ich wynikami i listą zaleceń w każdym z nich, zobacz Mechanizmy kontroli zabezpieczeń i ich zalecenia.

Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany ocen zgodności z przepisami (w wersji zapoznawczej)

Dodaliśmy trzeci typ danych do opcji wyzwalacza automatyzacji przepływu pracy: zmiany w ocenach zgodności z przepisami.

Dowiedz się, jak używać narzędzi automatyzacji przepływu pracy w temacie Automatyzowanie odpowiedzi na wyzwalacze usługi Security Center.

Używanie zmian w ocenach zgodności z przepisami w celu wyzwolenia automatyzacji przepływu pracy.

Ulepszenia strony spisu zasobów

Strona spisu zasobów usługi Security Center została ulepszona w następujący sposób:

  • Podsumowania w górnej części strony obejmują teraz niezarejestrowane subskrypcje z liczbą subskrypcji bez włączonej usługi Security Center.

    Liczba wyrejestrowanych subskrypcji w podsumowaniach w górnej części strony spisu zasobów.

  • Filtry zostały rozwinięte i ulepszone w celu uwzględnienia:

    • Counts — każdy filtr przedstawia liczbę zasobów spełniających kryteria każdej kategorii

      Liczniki w filtrach na stronie spisu zasobów Azure Security Center.

    • Zawiera filtr wykluczeń (opcjonalnie) — zawęża wyniki do zasobów, które nie mają wykluczeń. Ten filtr nie jest wyświetlany domyślnie, ale jest dostępny za pomocą przycisku Dodaj filtr .

      Dodawanie filtru

Dowiedz się więcej o tym, jak eksplorować zasoby i zarządzać nimi za pomocą spisu zasobów.

Styczeń 2021 r.

Aktualizacje w styczniu obejmują:

Test porównawczy zabezpieczeń platformy Azure jest teraz domyślną inicjatywą zasad dla Azure Security Center

Test porównawczy zabezpieczeń platformy Azure to utworzony przez firmę Microsoft zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności na podstawie typowych struktur zgodności. Ten powszechnie szanowany punkt odniesienia opiera się na mechanizmach kontroli z Centrum zabezpieczeń internetowych (CIS) i Narodowego Instytutu Standardów i Technologii (NIST) z naciskiem na zabezpieczenia skoncentrowane na chmurze.

W ostatnich miesiącach lista wbudowanych zaleceń dotyczących zabezpieczeń w usłudze Security Center znacznie wzrosła, aby rozszerzyć nasz zakres tego testu porównawczego.

W tej wersji test porównawczy jest podstawą zaleceń usługi Security Center i w pełni zintegrowanej jako domyślna inicjatywa zasad.

Wszystkie usługi platformy Azure mają stronę punktu odniesienia zabezpieczeń w swojej dokumentacji. Te punkty odniesienia są oparte na te testy porównawcze zabezpieczeń platformy Azure.

Jeśli używasz pulpitu nawigacyjnego zgodności z przepisami usługi Security Center, zobaczysz dwa wystąpienia testu porównawczego w okresie przejściowym:

pulpit nawigacyjny zgodności z przepisami Azure Security Center przedstawiający test porównawczy zabezpieczeń platformy Azure

Istniejące zalecenia nie mają wpływu i wraz ze wzrostem testu porównawczego zmiany zostaną automatycznie odzwierciedlone w usłudze Security Center.

Aby dowiedzieć się więcej, zobacz następujące strony:

Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych została wydana w celu zapewnienia ogólnej dostępności

W październiku ogłosiliśmy wersję zapoznawcza skanowania serwerów z obsługą usługi Azure Arc za pomocą zintegrowanego skanera oceny luk w zabezpieczeniach usługi Azure Defender for Servers (obsługiwanego przez firmę Qualys).

Jest ona teraz dostępna dla ogólnie dostępnej wersji.

Po włączeniu usługi Azure Arc na maszynach spoza platformy Azure usługa Security Center zaoferuje wdrożenie na nich zintegrowanego skanera luk w zabezpieczeniach — ręcznie i na dużą skalę.

Dzięki tej aktualizacji możesz uwolnić możliwości usługi Azure Defender dla serwerów , aby skonsolidować program zarządzania lukami w zabezpieczeniach we wszystkich zasobach platformy Azure i spoza platformy Azure.

Główne możliwości:

  • Monitorowanie stanu aprowizacji skanera oceny luk w zabezpieczeniach na maszynach usługi Azure Arc
  • Aprowizowanie zintegrowanego agenta oceny luk w zabezpieczeniach na maszynach z systemami Windows i Linux w usłudze Azure Arc (ręcznie i na dużą skalę)
  • Odbieranie i analizowanie wykrytych luk w zabezpieczeniach od wdrożonych agentów (ręcznie i na dużą skalę)
  • Ujednolicone środowisko maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc

Dowiedz się więcej o wdrażaniu zintegrowanego skanera luk w zabezpieczeniach qualys na maszynach hybrydowych.

Dowiedz się więcej o serwerach z obsługą usługi Azure Arc.

Wskaźnik bezpieczeństwa dla grup zarządzania jest teraz dostępny w wersji zapoznawczej

Strona wskaźnika bezpieczeństwa zawiera teraz zagregowane wyniki bezpieczeństwa dla grup zarządzania oprócz poziomu subskrypcji. Teraz możesz zobaczyć listę grup zarządzania w organizacji i ocenę dla każdej grupy zarządzania.

Wyświetlanie wyników bezpieczeństwa dla grup zarządzania.

Dowiedz się więcej o wskaźnikach bezpieczeństwa i mechanizmach kontroli zabezpieczeń w Azure Security Center.

Interfejs API wskaźnika bezpieczeństwa został wydany na potrzeby ogólnej dostępności

Teraz możesz uzyskać dostęp do wskaźnika za pośrednictwem interfejsu API wskaźnika bezpieczeństwa. Metody interfejsu API zapewniają elastyczność wykonywania zapytań dotyczących danych i tworzenia własnego mechanizmu raportowania wskaźnika bezpieczeństwa w czasie. Przykład:

  • użyj interfejsu API wskaźnika bezpieczeństwa , aby uzyskać wynik dla określonej subskrypcji
  • użyj interfejsu API kontroli wskaźnika bezpieczeństwa, aby wyświetlić listę mechanizmów kontroli zabezpieczeń i bieżący wynik subskrypcji

Dowiedz się więcej o narzędziach zewnętrznych, które umożliwiły użycie interfejsu API wskaźnika bezpieczeństwa w obszarze wskaźnika bezpieczeństwa w naszej społeczności usługi GitHub.

Dowiedz się więcej o wskaźnikach bezpieczeństwa i mechanizmach kontroli zabezpieczeń w Azure Security Center.

Zwisające zabezpieczenia DNS dodane do usługi Azure Defender dla App Service

Przejęcia poddomeny są typowym zagrożeniem o wysokiej ważności dla organizacji. Przejęcie poddomeny może wystąpić, gdy masz rekord DNS wskazujący na anulowaną aprowizowaną witrynę internetową. Takie rekordy DNS są również znane jako "zwisające wpisy DNS". Rekordy CNAME są szczególnie narażone na to zagrożenie.

Przejęcia poddomeny umożliwiają aktorom zagrożeń przekierowywanie ruchu przeznaczonego dla domeny organizacji do witryny wykonującej złośliwe działania.

Usługa Azure Defender dla App Service wykrywa teraz zwisające wpisy DNS po zlikwidowaniu witryny internetowej App Service. Jest to moment, w którym wpis DNS wskazuje na nieistniejący zasób, a witryna internetowa jest podatna na przejęcie poddomeny. Te zabezpieczenia są dostępne niezależnie od tego, czy domeny są zarządzane za pomocą usługi Azure DNS, czy zewnętrznego rejestratora domen, i mają zastosowanie zarówno do App Service w systemie Windows, jak i App Service dla systemu Linux.

Więcej informacji:

Łączniki z wieloma chmurami są wydawane w celu zapewnienia ogólnej dostępności

W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą zrobić to samo.

Azure Security Center chroni obciążenia na platformie Azure, w usługach Amazon Web Services (AWS) i Google Cloud Platform (GCP).

Łączenie projektów AWS lub GCP integruje swoje natywne narzędzia zabezpieczeń, takie jak AWS Security Hub i GCP Security Command Center w Azure Security Center.

Ta funkcja oznacza, że usługa Security Center zapewnia widoczność i ochronę we wszystkich głównych środowiskach chmury. Niektóre korzyści wynikające z tej integracji:

  • Automatyczna aprowizacja agenta — usługa Security Center używa usługi Azure Arc do wdrażania agenta usługi Log Analytics w wystąpieniach platformy AWS
  • Zarządzanie zasadami
  • Zarządzanie lukami w zabezpieczeniach
  • Wykrywanie i reagowanie osadzonego punktu końcowego (EDR)
  • Wykrywanie błędów konfiguracji zabezpieczeń
  • Pojedynczy widok przedstawiający zalecenia dotyczące zabezpieczeń od wszystkich dostawców usług w chmurze
  • Uwzględnij wszystkie zasoby w obliczeniach wskaźnika bezpieczeństwa usługi Security Center
  • Oceny zgodności z przepisami zasobów platform AWS i GCP

W menu usługi Defender for Cloud wybierz pozycję Łączniki wielochmurowe i zobaczysz opcje tworzenia nowych łączników:

Przycisk Dodaj konto platformy AWS na stronie łączników wielochmurowych usługi Security Center

Dowiedz się więcej w:

Wykluczenie całych zaleceń z wskaźnika bezpieczeństwa dla subskrypcji i grup zarządzania

Rozszerzamy możliwości wykluczania, aby uwzględnić całe zalecenia. Zapewnienie dalszych opcji dostosowywania zaleceń dotyczących zabezpieczeń tworzonych przez usługę Security Center dla subskrypcji, grupy zarządzania lub zasobów.

Czasami zasób będzie wyświetlany jako w złej kondycji, gdy wiadomo, że problem został rozwiązany przez narzędzie innej firmy, którego usługa Security Center nie wykryła. Lub zalecenie będzie wyświetlane w zakresie, w którym czujesz, że nie należy. Zalecenie może być nieodpowiednie dla określonej subskrypcji. Być może twoja organizacja zdecydowała się zaakceptować zagrożenia związane z określonym zasobem lub zaleceniem.

Dzięki tej funkcji w wersji zapoznawczej możesz teraz utworzyć wykluczenie dla zalecenia:

  • Wyklucz zasób , aby upewnić się, że nie znajduje się na liście z zasobami w złej kondycji w przyszłości i nie ma wpływu na wskaźnik bezpieczeństwa. Zasób zostanie wyświetlony jako nie dotyczy, a przyczyna zostanie wyświetlona jako "wykluczony" z określonym uzasadnieniem wybranym przez Ciebie.

  • Wyklucz subskrypcję lub grupę zarządzania , aby upewnić się, że zalecenie nie ma wpływu na wskaźnik bezpieczeństwa i nie będzie wyświetlane dla subskrypcji lub grupy zarządzania w przyszłości. Dotyczy to istniejących zasobów i wszystkich utworzonych w przyszłości. Zalecenie zostanie oznaczone określonym uzasadnieniem wybranym dla wybranego zakresu.

Dowiedz się więcej w temacie Wykluczanie zasobów i zaleceń z wskaźnika bezpieczeństwa.

Użytkownicy mogą teraz żądać wglądu w całą dzierżawę od administratora globalnego

Jeśli użytkownik nie ma uprawnień do wyświetlania danych usługi Security Center, zobaczy teraz link do żądania uprawnień od administratora globalnego organizacji. Żądanie zawiera rolę, którą chcieliby, i uzasadnienie, dlaczego jest to konieczne.

Baner informujący użytkownika, że może zażądać uprawnień dla całej dzierżawy.

Dowiedz się więcej w temacie Żądanie uprawnień dla całej dzierżawy, gdy nie są wystarczające.

35 zaleceń w wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń platformy Azure

Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad w Azure Security Center.

Aby zwiększyć zasięg tego testu porównawczego, następujące 35 zaleceń w wersji zapoznawczej zostało dodanych do usługi Security Center.

Porada

Zalecenia dotyczące wersji zapoznawczej nie renderują złej kondycji zasobu i nie są uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Koryguj je wszędzie tam, gdzie to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku. Dowiedz się więcej na temat reagowania na te zalecenia w temacie Korygowanie zaleceń w Azure Security Center.

Kontrola zabezpieczeń Nowe zalecenia
Włączanie szyfrowania magazynowanych — Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
— Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
— Ochrona danych przy użyciu własnego klucza powinna być włączona dla serwerów MySQL
— Ochrona danych przy użyciu własnego klucza powinna być włączona dla serwerów PostgreSQL
— Konta usług Cognitive Services powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta (CMK)
— Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
— Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
— Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
— Konta magazynu powinny używać klucza zarządzanego przez klienta (CMK) do szyfrowania
Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń — Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami
— Automatyczne aprowizowanie agenta usługi Log Analytics powinno być włączone w ramach subskrypcji
- Email powiadomienia o alertach o wysokiej ważności powinny być włączone
— Email powiadomienia właściciela subskrypcji dla alertów o wysokiej ważności powinny być włączone
— Magazyny kluczy powinny mieć włączoną ochronę przeczyszczania
— Magazyny kluczy powinny mieć włączone usuwanie nietrwałe
Zarządzanie dostępem i uprawnieniami — Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)"
Ochrona aplikacji przed atakami DDoS — Web Application Firewall (zapora aplikacji internetowej) powinna być włączona dla Application Gateway
— Web Application Firewall (zapora aplikacji internetowej) powinna być włączona dla usługi Azure Front Door Service
Ograniczanie nieautoryzowanego dostępu do sieci — Zapora powinna być włączona w Key Vault
— Prywatny punkt końcowy powinien być skonfigurowany dla Key Vault
- App Configuration należy używać łącza prywatnego
— Azure Cache for Redis powinny znajdować się w sieci wirtualnej
- Azure Event Grid domeny powinny używać linku prywatnego
— tematy Azure Event Grid powinny używać linku prywatnego
— Obszary robocze usługi Azure Machine Learning powinny używać linku prywatnego
- Azure SignalR Service należy użyć łącza prywatnego
— Usługa Azure Spring Cloud powinna używać wstrzykiwania sieci
— Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci
— Rejestry kontenerów powinny używać łącza prywatnego
— Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB
— Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL
— Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL
— Konto magazynu powinno używać połączenia z łączem prywatnym
— Konta magazynu powinny ograniczać dostęp do sieci przy użyciu reguł sieci wirtualnej
— Szablony konstruktora obrazów maszyny wirtualnej powinny używać linku prywatnego

Powiązane linki:

Eksportowanie pliku CSV z filtrowaną listą zaleceń

W listopadzie 2020 r. dodaliśmy filtry do strony zaleceń (lista rekomendacji zawiera teraz filtry). W grudniu rozszerzyliśmy te filtry (strona Zalecenia zawiera nowe filtry dla środowiska, ważności i dostępnych odpowiedzi).

Dzięki temu anonsowi zmieniamy zachowanie przycisku Pobierz do pliku CSV , tak aby eksport CSV zawierał tylko zalecenia wyświetlane obecnie na filtrowanej liście.

Na przykład na poniższej ilustracji widać, że lista została odfiltrowana do dwóch zaleceń. Wygenerowany plik CSV zawiera szczegóły stanu dla każdego zasobu objętego tymi dwoma zaleceniami.

Eksportowanie filtrowanych zaleceń do pliku CSV.

Dowiedz się więcej w temacie Zalecenia dotyczące zabezpieczeń w Azure Security Center.

Zasoby "Nie dotyczy" są teraz zgłaszane jako "Zgodne" w ocenach Azure Policy

Wcześniej zasoby, które zostały ocenione pod kątem zalecenia i okazało się, że nie mają zastosowania w Azure Policy jako "Niezgodne". Żadne akcje użytkownika nie mogą zmienić stanu na "Zgodne". Dzięki tej zmianie są one zgłaszane jako "Zgodne" w celu zwiększenia przejrzystości.

Jedyny wpływ będzie widoczny w Azure Policy, w którym liczba zgodnych zasobów wzrośnie. Nie będzie to miało wpływu na wskaźnik bezpieczeństwa w Azure Security Center.

Eksportowanie cotygodniowych migawek wskaźnika bezpieczeństwa i danych zgodności z przepisami przy użyciu eksportu ciągłego (wersja zapoznawcza)

Dodaliśmy nową funkcję w wersji zapoznawczej do narzędzi eksportu ciągłego do eksportowania cotygodniowych migawek wskaźnika bezpieczeństwa i danych zgodności z przepisami.

Podczas definiowania eksportu ciągłego ustaw częstotliwość eksportowania:

Wybieranie częstotliwości eksportu ciągłego.

  • Przesyłanie strumieniowe — oceny będą wysyłane po zaktualizowaniu stanu kondycji zasobu (jeśli nie wystąpią żadne aktualizacje, żadne dane nie zostaną wysłane).
  • Migawki — migawka bieżącego stanu wszystkich ocen zgodności z przepisami będzie wysyłana co tydzień (jest to funkcja w wersji zapoznawczej dla cotygodniowych migawek wyników bezpieczeństwa i danych zgodności z przepisami).

Dowiedz się więcej o pełnych możliwościach tej funkcji w temacie Ciągłe eksportowanie danych usługi Security Center.

Grudzień 2020 r.

Aktualizacje w grudniu obejmują:

Usługa Azure Defender dla serwerów SQL na maszynach jest ogólnie dostępna

Azure Security Center oferuje dwa plany usługi Azure Defender dla serwerów SQL:

  • Usługa Azure Defender dla serwerów baz danych Azure SQL — broni serwerów SQL Natywnych dla platformy Azure
  • Usługa Azure Defender dla serwerów SQL na maszynach — rozszerza te same zabezpieczenia na serwery SQL w środowiskach hybrydowych, wielochmurowych i lokalnych

Dzięki temu anonsowi usługa Azure Defender for SQL chroni teraz bazy danych i ich dane wszędzie tam, gdzie się znajdują.

Usługa Azure Defender for SQL obejmuje możliwości oceny luk w zabezpieczeniach. Narzędzie do oceny luk w zabezpieczeniach obejmuje następujące zaawansowane funkcje:

  • Konfiguracja linii bazowej (New!) w celu inteligentnego uściślinia wyników skanowania luk w zabezpieczeniach do tych, które mogą reprezentować rzeczywiste problemy z zabezpieczeniami. Po ustanowieniu stanu zabezpieczeń punktu odniesienia narzędzie do oceny luk w zabezpieczeniach zgłasza tylko odchylenia od tego stanu punktu odniesienia. Wyniki zgodne z punktem odniesienia są traktowane jako przekazywanie kolejnych skanów. Dzięki temu ty i twoi analitycy skupić uwagę, gdzie ma to znaczenie.
  • Szczegółowe informacje porównawcze ułatwiające zrozumienie odnalezionych wyników i ich powiązania z zasobami.
  • Skrypty korygowania ułatwiające eliminowanie zidentyfikowanych zagrożeń.

Dowiedz się więcej o usłudze Azure Defender for SQL.

Obsługa usługi Azure Defender for SQL dla dedykowanej puli SQL usługi Azure Synapse Analytics jest ogólnie dostępna

Azure Synapse Analytics (dawniej SQL DW) to usługa analityczna łącząca magazynowanie danych przedsiębiorstwa i analizę danych big data. Dedykowane pule SQL to funkcje magazynowania danych przedsiębiorstwa Azure Synapse. Dowiedz się więcej w artykule Co to jest Azure Synapse Analytics (dawniej SQL DW)?.

Usługa Azure Defender for SQL chroni dedykowane pule SQL za pomocą:

  • Zaawansowana ochrona przed zagrożeniami w celu wykrywania zagrożeń i ataków
  • Możliwości oceny luk w zabezpieczeniach w celu identyfikowania i korygowania błędów konfiguracji zabezpieczeń

Obsługa pul SQL usługi Azure Defender for SQL w usłudze Azure Synapse Analytics jest automatycznie dodawana do pakietu baz danych Azure SQL w Azure Security Center. Nową kartę "Azure Defender for SQL" znajdziesz na stronie obszaru roboczego usługi Synapse w Azure Portal.

Dowiedz się więcej o usłudze Azure Defender for SQL.

Administratorzy globalni mogą teraz udzielać sobie uprawnień na poziomie dzierżawy

Użytkownik z rolą administratora globalnego usługi Azure Active Directory może mieć obowiązki w całej dzierżawie, ale nie ma uprawnień platformy Azure do wyświetlania tych informacji w całej organizacji w Azure Security Center.

Aby przypisać sobie uprawnienia na poziomie dzierżawy, postępuj zgodnie z instrukcjami w temacie Udzielanie uprawnień dla całej dzierżawy samodzielnie.

Dwa nowe plany usługi Azure Defender: Azure Defender for DNS i Azure Defender for Resource Manager (w wersji zapoznawczej)

Dodaliśmy dwie nowe natywne dla chmury możliwości ochrony przed zagrożeniami dla twojego środowiska platformy Azure.

Te nowe zabezpieczenia znacznie zwiększają odporność na ataki ze strony podmiotów zagrożeń i znacznie zwiększają liczbę zasobów platformy Azure chronionych przez usługę Azure Defender.

Nowa strona alertów zabezpieczeń w Azure Portal (wersja zapoznawcza)

Strona alertów zabezpieczeń Azure Security Center została przeprojektowana w celu zapewnienia:

  • Ulepszone środowisko klasyfikacji alertów — pomaga zmniejszyć zmęczenie alertów i skupić się na najbardziej odpowiednich zagrożeniach, lista zawiera dostosowywalne filtry i opcje grupowania
  • Więcej informacji na liście alertów — takich jak taktyka MITRE ATT&ACK
  • Przycisk tworzenia przykładowych alertów — aby ocenić możliwości usługi Azure Defender i przetestować konfigurację alertów (w przypadku integracji rozwiązania SIEM, powiadomień e-mail i automatyzacji przepływów pracy), możesz utworzyć przykładowe alerty ze wszystkich planów usługi Azure Defender
  • Dopasowanie do środowiska zdarzeń usługi Azure Sentinel — w przypadku klientów korzystających z obu produktów przełączanie się między nimi jest teraz bardziej proste i łatwo nauczyć się ich z drugiej
  • Lepsza wydajność dla dużych list alertów
  • Nawigacja za pomocą klawiatury na liście alertów
  • Alerty z usługi Azure Resource Graph — możesz wysyłać zapytania o alerty w usłudze Azure Resource Graph— interfejs API przypominający kusto dla wszystkich zasobów. Jest to również przydatne, jeśli tworzysz własne pulpity nawigacyjne alertów. Dowiedz się więcej o usłudze Azure Resource Graph.

Aby uzyskać dostęp do nowego środowiska, użyj linku "wypróbuj teraz" na banerze u góry strony alertów zabezpieczeń.

Baner z linkiem do nowego środowiska alertów w wersji zapoznawczej.

Aby utworzyć przykładowe alerty z nowego środowiska alertów, zobacz Generowanie przykładowych alertów usługi Azure Defender.

Zrewitalizowane środowisko usługi Security Center w usłudze Azure SQL Database & SQL Managed Instance

Środowisko usługi Security Center w programie SQL zapewnia dostęp do następujących funkcji usługi Security Center i Azure Defender for SQL:

  • Zalecenia dotyczące zabezpieczeń — usługa Security Center okresowo analizuje stan zabezpieczeń wszystkich połączonych zasobów platformy Azure, aby zidentyfikować potencjalne błędy konfiguracji zabezpieczeń. Następnie zawiera zalecenia dotyczące sposobu korygowania tych luk w zabezpieczeniach i poprawy stanu zabezpieczeń organizacji.
  • Alerty zabezpieczeń — usługa wykrywania, która stale monitoruje działania Azure SQL pod kątem zagrożeń, takich jak wstrzyknięcie kodu SQL, ataki siłowe i nadużycie uprawnień. Ta usługa wyzwala szczegółowe i zorientowane na działania alerty zabezpieczeń w usłudze Security Center i udostępnia opcje kontynuowania badań za pomocą usługi Azure Sentinel, natywnego dla platformy Azure rozwiązania SIEM firmy Microsoft.
  • Wyniki — usługa oceny luk w zabezpieczeniach, która stale monitoruje konfiguracje Azure SQL i pomaga skorygować luki w zabezpieczeniach. Skanowania oceny zawierają omówienie Azure SQL stanów zabezpieczeń wraz ze szczegółowymi ustaleniami zabezpieczeń.

Funkcje zabezpieczeń Azure Security Center dla języka SQL są dostępne w Azure SQL

Zaktualizowane narzędzia i filtry spisu zasobów

Strona spisu w Azure Security Center została odświeżona z następującymi zmianami:

  • Przewodniki i opinie dodane do paska narzędzi. Spowoduje to otwarcie okienka z linkami do powiązanych informacji i narzędzi.

  • Filtr subskrypcji dodany do domyślnych filtrów dostępnych dla zasobów.

  • Otwórz link zapytania, aby otworzyć bieżące opcje filtru jako zapytanie usługi Azure Resource Graph (wcześniej nazywane "Wyświetlanie w eksploratorze grafów zasobów").

  • Opcje operatora dla każdego filtru. Teraz możesz wybrać spośród większej liczby operatorów logicznych innych niż '='. Na przykład możesz znaleźć wszystkie zasoby z aktywnymi zaleceniami, których tytuły zawierają ciąg "encrypt".

    Kontrolki opcji operatora w filtrach spisu zasobów

Dowiedz się więcej o spisie w artykule Eksploruj zasoby i zarządzaj nimi za pomocą spisu zasobów.

Zalecenie dotyczące aplikacji internetowych żądających certyfikatów SSL nie jest już częścią wskaźnika bezpieczeństwa

Zalecenie "Aplikacje internetowe powinny zażądać certyfikatu SSL dla wszystkich żądań przychodzących" zostało przeniesione z kontroli zabezpieczeń Zarządzanie dostępem i uprawnieniami (o wartości maksymalnie 4 pkt) do implementowania najlepszych rozwiązań w zakresie zabezpieczeń (które nie są warte żadnych punktów).

Zapewnienie, że aplikacja internetowa żąda certyfikatu, z pewnością sprawia, że jest ona bezpieczniejsza. Jednak w przypadku publicznych aplikacji internetowych nie ma znaczenia. Jeśli uzyskujesz dostęp do lokacji za pośrednictwem protokołu HTTP, a nie HTTPS, nie otrzymasz żadnego certyfikatu klienta. Dlatego jeśli aplikacja wymaga certyfikatów klienta, nie należy zezwalać na żądania do aplikacji za pośrednictwem protokołu HTTP. Dowiedz się więcej w temacie Konfigurowanie wzajemnego uwierzytelniania TLS dla Azure App Service.

Dzięki tej zmianie zalecenie jest teraz zalecanym najlepszym rozwiązaniem, które nie ma wpływu na ocenę.

Dowiedz się, które zalecenia znajdują się w poszczególnych mechanizmach kontroli zabezpieczeń w obszarze Mechanizmy kontroli zabezpieczeń i ich zalecenia.

Strona Rekomendacje zawiera nowe filtry dla środowiska, ważności i dostępnych odpowiedzi

Azure Security Center monitoruje wszystkie połączone zasoby i generuje zalecenia dotyczące zabezpieczeń. Skorzystaj z tych zaleceń, aby wzmocnić stan chmury hybrydowej i śledzić zgodność z zasadami i standardami istotnych dla organizacji, branży i kraju.

Ponieważ usługa Security Center nadal rozszerza zakres i funkcje, lista zaleceń dotyczących zabezpieczeń rośnie co miesiąc. Zobacz na przykład 29 zaleceń w wersji zapoznawczej dodanych w celu zwiększenia pokrycia testu porównawczego zabezpieczeń platformy Azure.

Wraz z rosnącą listą istnieje potrzeba filtrowania zaleceń, aby znaleźć zalecenia o największym znaczeniu. W listopadzie dodaliśmy filtry do strony zaleceń (zobacz Lista zaleceń zawiera teraz filtry).

Filtry dodane w tym miesiącu udostępniają opcje uściślinia listy zaleceń zgodnie z następującymi elementami:

  • Środowisko — wyświetlanie zaleceń dotyczących zasobów platformy AWS, GCP lub platformy Azure (lub dowolnej kombinacji)

  • Ważność — wyświetlanie zaleceń zgodnie z klasyfikacją ważności ustawioną przez usługę Security Center

  • Akcje odpowiedzi — wyświetlanie zaleceń zgodnie z dostępnością opcji odpowiedzi usługi Security Center: Poprawka, Odmowa i Wymuszanie

    Porada

    Filtr akcji odpowiedzi zastępuje filtr Szybka poprawka dostępna (Tak/Nie).

    Dowiedz się więcej o każdej z tych opcji odpowiedzi:

Zalecenia pogrupowane według mechanizmów kontroli zabezpieczeń.

Eksport ciągły pobiera nowe typy danych i ulepszone zasady deployifnotexist

narzędzia do ciągłego eksportowania Azure Security Center umożliwiają eksportowanie zaleceń i alertów usługi Security Center do użycia z innymi narzędziami do monitorowania w danym środowisku.

Eksport ciągły pozwala w pełni dostosować, co zostanie wyeksportowane i gdzie nastąpi jego przejście. Aby uzyskać szczegółowe informacje, zobacz Ciągłe eksportowanie danych usługi Security Center.

Te narzędzia zostały rozszerzone i rozwinięte w następujący sposób:

  • Rozszerzone zasady deployifnotexist eksportu ciągłego. Zasady są teraz następujące:

    • Sprawdź, czy konfiguracja jest włączona. Jeśli tak nie jest, zasady będą wyświetlane jako niezgodne i tworzą zgodny zasób. Dowiedz się więcej o podanych szablonach Azure Policy na karcie "Wdrażanie na dużą skalę przy użyciu Azure Policy" w temacie Konfigurowanie eksportu ciągłego.

    • Obsługa eksportowania wyników zabezpieczeń. W przypadku korzystania z szablonów Azure Policy można skonfigurować eksport ciągły w celu uwzględnienia wyników. Jest to istotne w przypadku eksportowania zaleceń z zaleceniami "podrzędnymi", takimi jak wyniki skanerów oceny luk w zabezpieczeniach lub określone aktualizacje systemu dla zalecenia "nadrzędnego" "Aktualizacje systemu powinny być instalowane na maszynach".

    • Obsługa eksportowania danych wskaźnika bezpieczeństwa.

  • Dodane dane oceny zgodności z przepisami (w wersji zapoznawczej). Teraz można stale eksportować aktualizacje do ocen zgodności z przepisami, w tym dla dowolnych inicjatyw niestandardowych, do obszaru roboczego usługi Log Analytics lub usługi Event Hubs. Ta funkcja jest niedostępna w chmurach krajowych.

    Opcje dołączania informacji dotyczących oceny zgodności z przepisami z danymi eksportu ciągłego.

Listopad 2020 r.

Aktualizacje w listopadzie obejmują:

29 zaleceń w wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń platformy Azure

Test porównawczy zabezpieczeń platformy Azure to utworzony przez firmę Microsoft zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności na podstawie typowych struktur zgodności. Dowiedz się więcej o teście porównawczym zabezpieczeń platformy Azure.

Następujące zalecenia dotyczące wersji zapoznawczej 29 zostały dodane do usługi Security Center w celu zwiększenia zasięgu tego testu porównawczego.

Zalecenia dotyczące wersji zapoznawczej nie renderują złej kondycji zasobu i nie są uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Koryguj je wszędzie tam, gdzie to możliwe, aby po zakończeniu okresu obowiązywania wersji zapoznawczej przyczynić się do wyniku. Dowiedz się więcej o tym, jak reagować na te zalecenia, zobacz Remediate recommendations in Azure Security Center (Korygowanie zaleceń w Azure Security Center).

Kontrola zabezpieczeń Nowe zalecenia
Szyfrowanie danych przesyłanych — Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL
— Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL
— Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API
— Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji funkcji
— Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej
— Usługa FTPS powinna być wymagana w aplikacji interfejsu API
— Protokół FTPS powinien być wymagany w aplikacji funkcji
— Usługa FTPS powinna być wymagana w aplikacji internetowej
Zarządzanie dostępem i uprawnieniami — Aplikacje internetowe powinny żądać certyfikatu SSL dla wszystkich żądań przychodzących
— Tożsamość zarządzana powinna być używana w aplikacji interfejsu API
— Tożsamość zarządzana powinna być używana w aplikacji funkcji
— Tożsamość zarządzana powinna być używana w aplikacji internetowej
Ograniczanie nieautoryzowanego dostępu do sieci — Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL
— Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB
— Prywatny punkt końcowy powinien być włączony dla serwerów MySQL
Włączanie inspekcji i rejestrowania - Dzienniki diagnostyczne w usłudze App Services powinny być włączone
Implementowanie najlepszych rozwiązań dotyczących zabezpieczeń — należy włączyć Azure Backup dla maszyn wirtualnych
— Należy włączyć geograficznie nadmiarową kopię zapasową dla Azure Database for MariaDB
— Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla Azure Database for MySQL
— Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla Azure Database for PostgreSQL
— Język PHP powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API
— Język PHP powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej
— Język Java powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API
— Język Java powinien zostać zaktualizowany do najnowszej wersji aplikacji funkcji
— Język Java powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej
— Język Python powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API
— Język Python powinien zostać zaktualizowany do najnowszej wersji aplikacji funkcji
— Język Python powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej
— Przechowywanie inspekcji dla serwerów SQL powinno być ustawione na co najmniej 90 dni

Powiązane linki:

NIST SP 800 171 R2 dodano do pulpitu nawigacyjnego zgodności z przepisami usługi Security Center

Standard NIST SP 800-171 R2 jest teraz dostępny jako wbudowana inicjatywa do użycia z pulpitem nawigacyjnym zgodności z przepisami Azure Security Center. Mapowania kontrolek opisano w temacie Szczegóły wbudowanej inicjatywy zgodności z przepisami NIST SP 800-171 R2.

Aby zastosować standard do subskrypcji i stale monitorować stan zgodności, skorzystaj z instrukcji w temacie Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.

Standard NIST SP 800 171 R2 na pulpicie nawigacyjnym zgodności z przepisami usługi Security Center

Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-171 R2.

Lista zaleceń zawiera teraz filtry

Teraz można filtrować listę zaleceń dotyczących zabezpieczeń zgodnie z zakresem kryteriów. W poniższym przykładzie lista zaleceń została odfiltrowana, aby wyświetlić zalecenia, które:

  • ogólnie dostępne (to nie jest wersja zapoznawcza)
  • są przeznaczone dla kont magazynu
  • obsługa szybkiego korygowania poprawek

Filtry listy zaleceń.

Ulepszono i rozszerzono środowisko automatycznej aprowizacji

Funkcja automatycznej aprowizacji pomaga zmniejszyć nakład pracy związany z zarządzaniem przez zainstalowanie wymaganych rozszerzeń na nowych i istniejących maszynach wirtualnych platformy Azure, dzięki czemu mogą korzystać z ochrony usługi Security Center.

Wraz z rozwojem Azure Security Center opracowano coraz więcej rozszerzeń, a usługa Security Center może monitorować większą listę typów zasobów. Narzędzia automatycznej aprowizacji zostały teraz rozszerzone w celu obsługi innych rozszerzeń i typów zasobów dzięki wykorzystaniu możliwości Azure Policy.

Teraz możesz skonfigurować automatyczną aprowizację:

  • Agent usługi Log Analytics
  • (Nowy) Azure Policy dodatek dla platformy Kubernetes
  • (Nowy) Agent zależności firmy Microsoft

Dowiedz się więcej w artykule Automatyczne aprowizowanie agentów i rozszerzeń z Azure Security Center.

Wskaźnik bezpieczeństwa jest teraz dostępny w eksporcie ciągłym (wersja zapoznawcza)

Dzięki ciągłemu eksportowaniu wskaźnika bezpieczeństwa można przesyłać strumieniowo zmiany wyników w czasie rzeczywistym, aby Azure Event Hubs lub obszar roboczy usługi Log Analytics. Użyj tej możliwości, aby:

  • śledzenie wskaźnika bezpieczeństwa w czasie za pomocą raportów dynamicznych
  • eksportowanie danych wskaźnika bezpieczeństwa do usługi Azure Sentinel (lub innych rozwiązań SIEM)
  • zintegruj te dane z dowolnymi procesami, których już używasz do monitorowania wskaźnika bezpieczeństwa w organizacji

Dowiedz się więcej o tym, jak stale eksportować dane usługi Security Center.

Zalecenie "Aktualizacje systemu powinny być zainstalowane na maszynach" zawiera teraz polecenia podrzędne

Aktualizacje systemu powinny być instalowane na komputerach zalecenie zostało rozszerzone. Nowa wersja zawiera podpoleceń dla każdej brakującej aktualizacji i wprowadza następujące ulepszenia:

  • Przeprojektowane środowisko na stronach Azure Security Center Azure Portal. Strona szczegółów zalecenia dla aktualizacji systemu powinna być zainstalowana na maszynach wraz z listą wyników, jak pokazano poniżej. Po wybraniu pojedynczego znalezienia zostanie otwarte okienko szczegółów z linkiem do informacji korygowania i listy zasobów, których dotyczy problem.

    Otwarcie jednego z poleceń podrzędnych w środowisku portalu dla zaktualizowanego zalecenia.

  • Wzbogacone dane dotyczące rekomendacji z usługi Azure Resource Graph (ARG). ARG to usługa platformy Azure, która została zaprojektowana w celu zapewnienia wydajnej eksploracji zasobów. Za pomocą usługi ARG można wykonywać zapytania na dużą skalę w danym zestawie subskrypcji, aby skutecznie zarządzać środowiskiem.

    W przypadku Azure Security Center można użyć usługi ARG i język zapytań Kusto (KQL) do wykonywania zapytań dotyczących szerokiego zakresu danych stanu zabezpieczeń.

    Wcześniej, jeśli wykonano zapytanie dotyczące tego zalecenia w usłudze ARG, jedynymi dostępnymi informacjami było to, że zalecenie musi zostać skorygowane na maszynie. Następujące zapytanie rozszerzonej wersji zwróci wszystkie brakujące aktualizacje systemu pogrupowane według maszyny.

    securityresources
    | where type =~ "microsoft.security/assessments/subassessments"
    | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
    | where properties.status.code == "Unhealthy"
    

Strona zarządzania zasadami w Azure Portal zawiera teraz stan domyślnych przypisań zasad

Teraz możesz sprawdzić, czy subskrypcje mają przypisane domyślne zasady usługi Security Center, na stronie zasad zabezpieczeń usługi Security Center Azure Portal.

Strona zarządzania zasadami Azure Security Center przedstawiająca domyślne przypisania zasad.

Październik 2020 r.

Aktualizacje w październiku obejmują:

Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych (wersja zapoznawcza)

Zintegrowany skaner oceny luk w zabezpieczeniach usługi Azure Defender for Servers (obsługiwany przez firmę Qualys) skanuje teraz serwery z obsługą usługi Azure Arc.

Po włączeniu usługi Azure Arc na maszynach spoza platformy Azure usługa Security Center zaoferuje wdrożenie na nich zintegrowanego skanera luk w zabezpieczeniach — ręcznie i na dużą skalę.

Dzięki tej aktualizacji możesz uwolnić możliwości usługi Azure Defender dla serwerów , aby skonsolidować program zarządzania lukami w zabezpieczeniach we wszystkich zasobach platformy Azure i spoza platformy Azure.

Główne możliwości:

  • Monitorowanie stanu aprowizacji skanera oceny luk w zabezpieczeniach na maszynach usługi Azure Arc
  • Aprowizowanie zintegrowanego agenta oceny luk w zabezpieczeniach na maszynach z systemami Windows i Linux w usłudze Azure Arc (ręcznie i na dużą skalę)
  • Odbieranie i analizowanie wykrytych luk w zabezpieczeniach od wdrożonych agentów (ręcznie i na dużą skalę)
  • Ujednolicone środowisko maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc

Dowiedz się więcej o wdrażaniu zintegrowanego skanera luk w zabezpieczeniach qualys na maszynach hybrydowych.

Dowiedz się więcej o serwerach z obsługą usługi Azure Arc.

dodano rekomendację Azure Firewall (wersja zapoznawcza)

Dodano nowe zalecenie w celu ochrony wszystkich sieci wirtualnych za pomocą Azure Firewall.

Zalecenie: Sieci wirtualne powinny być chronione przez Azure Firewall zaleca ograniczenie dostępu do sieci wirtualnych i zapobieganie potencjalnym zagrożeniom przy użyciu Azure Firewall.

Dowiedz się więcej o Azure Firewall.

Autoryzowane zakresy adresów IP powinny być zdefiniowane w rekomendacji usług Kubernetes Services zaktualizowanym o szybką poprawkę

Zalecenie Autoryzowane zakresy adresów IP powinno być zdefiniowane w usługach Kubernetes Services teraz ma opcję szybkiej poprawki.

Aby uzyskać więcej informacji na temat tego zalecenia i wszystkich innych zaleceń usługi Security Center, zobacz Zalecenia dotyczące zabezpieczeń — przewodnik referencyjny.

Autoryzowane zakresy adresów IP powinny być zdefiniowane w rekomendacji usług Kubernetes Services z opcją szybkiej poprawki.

Pulpit nawigacyjny zgodności z przepisami zawiera teraz opcję usunięcia standardów

Pulpit nawigacyjny zgodności z przepisami w usłudze Security Center zapewnia wgląd w stan zgodności na podstawie sposobu spełnienia określonych mechanizmów kontroli zgodności i wymagań.

Pulpit nawigacyjny zawiera domyślny zestaw standardów prawnych. Jeśli którykolwiek z podanych standardów nie jest odpowiedni dla Twojej organizacji, teraz jest to prosty proces usuwania ich z interfejsu użytkownika dla subskrypcji. Standardy można usuwać tylko na poziomie subskrypcji ; a nie zakres grupy zarządzania.

Dowiedz się więcej w artykule Usuwanie standardu z pulpitu nawigacyjnego.

Tabela Microsoft.Security/securityStatuses została usunięta z usługi Azure Resource Graph (ARG)

Azure Resource Graph to usługa platformy Azure, która została zaprojektowana w celu zapewnienia wydajnej eksploracji zasobów z możliwością wykonywania zapytań na dużą skalę w danym zestawie subskrypcji, dzięki czemu można skutecznie zarządzać środowiskiem.

W przypadku Azure Security Center można użyć usługi ARG i język zapytań Kusto (KQL) do wykonywania zapytań dotyczących szerokiego zakresu danych stanu zabezpieczeń. Przykład:

W ramach grupy ARG istnieją tabele danych, których można użyć w zapytaniach.

Eksplorator usługi Azure Resource Graph i dostępne tabele.

Porada

Dokumentacja usługi ARG zawiera listę wszystkich dostępnych tabel w tabeli usługi Azure Resource Graph i dokumentacji typu zasobu.

Z tej aktualizacji tabela Microsoft.Security/securityStatuses została usunięta. Interfejs API securityStatuses jest nadal dostępny.

Zastępowanie danych może być używane przez tabelę Microsoft.Security/Assessments.

Główną różnicą między Microsoft.Security/securityStatuses i Microsoft.Security/Assessments jest to, że podczas gdy pierwszy pokazuje agregację ocen, sekundy zawierają jeden rekord dla każdego.

Na przykład Microsoft.Security/securityStatuses zwróci wynik z tablicą dwóch zasadAssessments:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection Standard should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

Microsoft.Security/Assessments będzie przechowywać rekord dla każdej takiej oceny zasad w następujący sposób:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection Standard should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

Przykład konwertowania istniejącego zapytania ARG przy użyciu parametrów securityStatuses w celu użycia tabeli ocen:

Zapytanie odwołujące się do parametru SecurityStatuses:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Zapytanie zastępcze dla tabeli Oceny:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

Aby dowiedzieć się więcej, skorzystaj z następujących linków:

Wrzesień 2020

Aktualizacje we wrześniu obejmują:

Usługa Security Center otrzymuje nowy wygląd

Udostępniliśmy odświeżony interfejs użytkownika dla stron portalu usługi Security Center. Nowe strony zawierają nową stronę przeglądu i pulpity nawigacyjne służące do oceny bezpieczeństwa, spisu zasobów i usługi Azure Defender.

Przeprojektowana strona przeglądu zawiera teraz kafelek umożliwiający uzyskiwanie dostępu do pulpitów nawigacyjnych wskaźnika bezpieczeństwa, spisu zasobów i usługi Azure Defender. Zawiera on również kafelek łączący się z pulpitem nawigacyjnym zgodności z przepisami.

Dowiedz się więcej o stronie przeglądu.

Wydano usługę Azure Defender

Usługa Azure Defender to platforma ochrony obciążeń w chmurze (CWPP) zintegrowana z usługą Security Center na potrzeby zaawansowanych, inteligentnych, ochrony obciążeń platformy Azure i obciążeń hybrydowych. Zastępuje ona standardową opcję warstwy cenowej usługi Security Center.

Po włączeniu usługi Azure Defender w obszarze Cennik i ustawienia Azure Security Center wszystkie następujące plany usługi Defender są włączone jednocześnie i zapewniają kompleksowe zabezpieczenia warstw obliczeniowych, danych i usług środowiska:

Każdy z tych planów jest objaśniony oddzielnie w dokumentacji usługi Security Center.

Dzięki dedykowanemu pulpitowi nawigacyjnemu usługa Azure Defender zapewnia alerty zabezpieczeń i zaawansowaną ochronę przed zagrożeniami dla maszyn wirtualnych, baz danych SQL, kontenerów, aplikacji internetowych, sieci i nie tylko.

Dowiedz się więcej o usłudze Azure Defender

Usługa Azure Defender dla Key Vault jest ogólnie dostępna

Azure Key Vault to usługa w chmurze, która chroni klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła.

Usługa Azure Defender for Key Vault zapewnia natywną, zaawansowaną ochronę przed zagrożeniami dla platformy Azure dla usługi Azure Key Vault, zapewniając dodatkową warstwę analizy zabezpieczeń. Dzięki rozszerzeniu usługa Azure Defender dla Key Vault chroni w związku z tym wiele zasobów zależnych od kont Key Vault.

Opcjonalny plan jest teraz ogólnie dostępny. Ta funkcja była dostępna w wersji zapoznawczej jako "zaawansowana ochrona przed zagrożeniami dla platformy Azure Key Vault".

Ponadto strony Key Vault w Azure Portal teraz zawierają dedykowaną stronę Zabezpieczenia dla zaleceń i alertów usługi Security Center.

Dowiedz się więcej w usłudze Azure Defender dla Key Vault.

Ochrona usługi Azure Defender dla usługi Storage dla plików i usługi ADLS Gen2 jest ogólnie dostępna

Usługa Azure Defender for Storage wykrywa potencjalnie szkodliwe działania na kontach usługi Azure Storage. Dane mogą być chronione niezależnie od tego, czy są przechowywane jako kontenery obiektów blob, udziały plików czy magazyny data lake.

Obsługa Azure Files i Azure Data Lake Storage Gen2 jest teraz ogólnie dostępna.

Od 1 października 2020 r. rozpoczniemy naliczanie opłat za ochronę zasobów w tych usługach.

Dowiedz się więcej w usłudze Azure Defender for Storage.

Narzędzia spisu zasobów są teraz ogólnie dostępne

Strona spisu zasobów Azure Security Center zawiera jedną stronę do wyświetlania stanu zabezpieczeń zasobów połączonych z usługą Security Center.

Usługa Security Center okresowo analizuje stan zabezpieczeń zasobów platformy Azure, aby zidentyfikować potencjalne luki w zabezpieczeniach. Następnie udostępnia zalecenia dotyczące sposobu korygowania tych luk w zabezpieczeniach.

Jeśli dowolny zasób ma zaległe zalecenia, zostaną one wyświetlone w spisie.

Dowiedz się więcej w artykule Eksplorowanie zasobów i zarządzanie nimi za pomocą spisu zasobów.

Wyłączanie określonego wyszukiwania luk w zabezpieczeniach na potrzeby skanowania rejestrów kontenerów i maszyn wirtualnych

Usługa Azure Defender obejmuje skanery luk w zabezpieczeniach do skanowania obrazów w Azure Container Registry i maszynach wirtualnych.

Jeśli organizacja musi zignorować wyniki, zamiast korygować je, możesz ją opcjonalnie wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.

Jeśli wyniki są zgodne z kryteriami zdefiniowanymi w regułach wyłączania, nie będą wyświetlane na liście wyników.

Ta opcja jest dostępna na stronach szczegółów zaleceń dla:

  • Należy skorygować luki w zabezpieczeniach Azure Container Registry obrazów
  • Należy skorygować luki w zabezpieczeniach maszyn wirtualnych

Dowiedz się więcej w artykule Wyłączanie określonych wyników dla obrazów kontenerów i Wyłączanie określonych wyników dla maszyn wirtualnych.

Wykluczanie zasobu z rekomendacji

Czasami zasób będzie wyświetlany jako w złej kondycji w odniesieniu do konkretnej rekomendacji (i w związku z tym obniża wskaźnik bezpieczeństwa), mimo że uważasz, że nie powinien być. Mógł zostać skorygowany przez proces, który nie został śledzony przez usługę Security Center. Być może twoja organizacja zdecydowała się zaakceptować ryzyko dla tego konkretnego zasobu.

W takich przypadkach można utworzyć regułę wykluczania i upewnić się, że zasób nie znajduje się na liście zasobów w złej kondycji w przyszłości. Reguły te mogą zawierać udokumentowane uzasadnienia, jak opisano poniżej.

Dowiedz się więcej w artykule Wyklucz zasób z zaleceń i wskaźnika bezpieczeństwa.

Łączniki usług AWS i GCP w usłudze Security Center przynoszą środowisko wielochmurowe

W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą zrobić to samo.

Azure Security Center chroni teraz obciążenia na platformie Azure, w usługach Amazon Web Services (AWS) i Google Cloud Platform (GCP).

Dołączanie projektów usług AWS i GCP do usługi Security Center integruje usługę AWS Security Hub, polecenie GCP Security Command i Azure Security Center.

Dowiedz się więcej w temacie Connect your AWS accounts to Azure Security Center and Connect your GCP projects to Azure Security Center (Łączenie kont platformy AWS z Azure Security Center).

Pakiet zaleceń dotyczących ochrony obciążeń platformy Kubernetes

Aby upewnić się, że obciążenia Kubernetes są domyślnie bezpieczne, usługa Security Center dodaje zalecenia dotyczące wzmacniania zabezpieczeń na poziomie kubernetes, w tym opcje wymuszania z kontrolą wpływu danych na platformę Kubernetes.

Po zainstalowaniu dodatku Azure Policy dla platformy Kubernetes w klastrze usługi AKS każde żądanie do serwera interfejsu API Kubernetes będzie monitorowane względem wstępnie zdefiniowanego zestawu najlepszych rozwiązań przed utrwalonym w klastrze. Następnie można skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.

Na przykład można wymuś, że uprzywilejowane kontenery nie powinny być tworzone, a wszelkie przyszłe żądania do tego będą blokowane.

Dowiedz się więcej w artykule Najlepsze rozwiązania dotyczące ochrony obciążeń przy użyciu kontroli wpływu danych na platformę Kubernetes.

Wyniki oceny luk w zabezpieczeniach są teraz dostępne w eksporcie ciągłym

Użyj eksportu ciągłego, aby przesłać strumieniowo alerty i zalecenia do Azure Event Hubs, obszarów roboczych usługi Log Analytics lub usługi Azure Monitor. W tym miejscu możesz zintegrować te dane z rozwiązaniami SIEM (takimi jak Azure Sentinel, Power BI, Azure Data Explorer i nie tylko.

Zintegrowane narzędzia do oceny luk w zabezpieczeniach usługi Security Center zwracają wyniki dotyczące zasobów jako rekomendacje z możliwością działania w ramach zalecenia "nadrzędnego", takiego jak "Luki w zabezpieczeniach maszyn wirtualnych powinny zostać skorygowane".

Wyniki zabezpieczeń są teraz dostępne do eksportowania za pośrednictwem eksportu ciągłego po wybraniu zaleceń i włączeniu opcji uwzględnij wyniki zabezpieczeń .

Uwzględnij przełącznik wyników zabezpieczeń w konfiguracji eksportu ciągłego.

Powiązane strony:

Zapobieganie błędom konfiguracji zabezpieczeń przez wymuszanie zaleceń podczas tworzenia nowych zasobów

Błędy konfiguracji zabezpieczeń są główną przyczyną zdarzeń zabezpieczeń. Usługa Security Center ma teraz możliwość zapobiegania błędom konfiguracji nowych zasobów w odniesieniu do konkretnych zaleceń.

Ta funkcja może pomóc zapewnić bezpieczeństwo obciążeń i ustabilizować wskaźnik bezpieczeństwa.

Wymuszanie bezpiecznej konfiguracji na podstawie konkretnego zalecenia jest oferowane w dwóch trybach:

  • Przy użyciu efektu Odmów Azure Policy można zatrzymać tworzenie zasobów w złej kondycji

  • Korzystając z opcji Wymuszaj, możesz skorzystać z efektu DeployIfNotExist Azure Policy i automatycznie skorygować niezgodne zasoby podczas tworzenia

Jest to dostępne dla wybranych zaleceń dotyczących zabezpieczeń i można je znaleźć w górnej części strony szczegółów zasobu.

Dowiedz się więcej w artykule Zapobieganie błędom konfiguracji za pomocą zaleceń wymuszania/odrzucania.

Ulepszono zalecenia dotyczące sieciowej grupy zabezpieczeń

Poniższe zalecenia dotyczące zabezpieczeń związane z sieciowymi grupami zabezpieczeń zostały ulepszone, aby zmniejszyć liczbę wystąpień wyników fałszywie dodatnich.

  • Wszystkie porty sieciowe powinny być ograniczone do sieciowej grupy zabezpieczeń skojarzonej z maszyną wirtualną
  • Porty zarządzania powinny być zamknięte na maszynach wirtualnych
  • Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń
  • Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń

Przestarzałe zalecenie usługi AKS w wersji zapoznawczej "Zasady zabezpieczeń zasobnika powinny być zdefiniowane w usługach Kubernetes Services"

Zalecenie w wersji zapoznawczej "Zasady zabezpieczeń zasobnika powinny być zdefiniowane w usługach Kubernetes Services" jest przestarzałe zgodnie z opisem w dokumentacji Azure Kubernetes Service.

Funkcja zasad zabezpieczeń zasobnika (wersja zapoznawcza) jest ustawiana na potrzeby wycofywania i nie będzie już dostępna po 15 października 2020 r. na rzecz Azure Policy dla usługi AKS.

Po wycofaniu zasad zabezpieczeń zasobnika (wersja zapoznawcza) należy wyłączyć tę funkcję we wszystkich istniejących klastrach przy użyciu przestarzałej funkcji, aby przeprowadzić przyszłe uaktualnienia klastra i pozostać w pomoc techniczna platformy Azure.

Email powiadomienia z Azure Security Center ulepszone

Ulepszono następujące obszary wiadomości e-mail dotyczących alertów zabezpieczeń:

  • Dodano możliwość wysyłania powiadomień e-mail dotyczących alertów dla wszystkich poziomów ważności
  • Dodano możliwość powiadamiania użytkowników o różnych rolach platformy Azure w subskrypcji
  • Aktywnie powiadamiamy właścicieli subskrypcji domyślnie o alertach o wysokiej ważności (z wysokim prawdopodobieństwem bycia prawdziwymi naruszeniami)
  • Usunięto pole numeru telefonu ze strony konfiguracji powiadomień e-mail

Dowiedz się więcej w temacie Konfigurowanie powiadomień e-mail dotyczących alertów zabezpieczeń.

Wskaźnik bezpieczeństwa nie obejmuje zaleceń dotyczących wersji zapoznawczej

Usługa Security Center stale ocenia zasoby, subskrypcje i organizację pod kątem problemów z zabezpieczeniami. Następnie agreguje wszystkie wyniki w jednym wyniku, dzięki czemu możesz powiedzieć, błyskawicznie, bieżąca sytuacja zabezpieczeń: im wyższa ocena, tym niższy zidentyfikowany poziom ryzyka.

W miarę odnajdywane są nowe zagrożenia, nowe porady dotyczące zabezpieczeń są udostępniane w usłudze Security Center za pośrednictwem nowych zaleceń. Aby uniknąć niespodziewanej zmiany wskaźnika bezpieczeństwa i zapewnić okres prolongaty, w którym można eksplorować nowe zalecenia, zanim będą miały wpływ na wyniki, zalecenia oznaczone jako wersja zapoznawcza nie są już uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Powinny one być korygowane wszędzie tam, gdzie to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku.

Ponadto rekomendacje w wersji zapoznawczej nie renderują zasobu "W złej kondycji".

Przykład zalecenia w wersji zapoznawczej:

Zalecenie z flagą podglądu.

Dowiedz się więcej o wskaźniku bezpieczeństwa.

Zalecenia obejmują teraz wskaźnik ważności i interwał aktualności

Strona szczegółów zaleceń zawiera teraz wskaźnik interwału świeżości (za każdym razem, gdy jest to istotne) i jasny wyświetlacz ważności zalecenia.

Strona rekomendacji przedstawiająca świeżość i ważność.

Sierpień 2020 r.

Aktualizacje w sierpniu obejmują:

Spis zasobów — zaawansowany nowy widok stanu zabezpieczeń zasobów

Spis zasobów usługi Security Center (obecnie w wersji zapoznawczej) umożliwia wyświetlanie stanu zabezpieczeń zasobów połączonych z usługą Security Center.

Usługa Security Center okresowo analizuje stan zabezpieczeń zasobów platformy Azure, aby zidentyfikować potencjalne luki w zabezpieczeniach. Następnie zawiera zalecenia dotyczące sposobu korygowania tych luk w zabezpieczeniach. Gdy dowolny zasób ma zaległe zalecenia, zostaną one wyświetlone w spisie.

Możesz użyć widoku i jego filtrów, aby eksplorować dane dotyczące stanu zabezpieczeń i podejmować dalsze działania na podstawie wyników.

Dowiedz się więcej o spisie zasobów.

Dodano obsługę domyślnych ustawień zabezpieczeń usługi Azure Active Directory (w przypadku uwierzytelniania wieloskładnikowego)

Usługa Security Center dodała pełną obsługę domyślnych ustawień zabezpieczeń, czyli bezpłatnych zabezpieczeń tożsamości firmy Microsoft.

Wartości domyślne zabezpieczeń zapewniają wstępnie skonfigurowane ustawienia zabezpieczeń tożsamości, aby chronić organizację przed typowymi atakami związanymi z tożsamościami. Wartości domyślne zabezpieczeń już chronią ponad 5 milionów dzierżaw; 50 000 dzierżaw jest również chronionych przez usługę Security Center.

Usługa Security Center udostępnia teraz zalecenie dotyczące zabezpieczeń za każdym razem, gdy identyfikuje subskrypcję platformy Azure bez włączonej wartości domyślnej zabezpieczeń. Do tej pory usługa Security Center zaleciła włączenie uwierzytelniania wieloskładnikowego przy użyciu dostępu warunkowego, który jest częścią licencji premium usługi Azure Active Directory (AD). W przypadku klientów korzystających z Azure AD bezpłatnie zalecamy włączenie ustawień domyślnych zabezpieczeń.

Naszym celem jest zachęcanie większej liczby klientów do zabezpieczania środowisk w chmurze za pomocą uwierzytelniania wieloskładnikowego i eliminowanie jednego z najwyższych zagrożeń, które jest również najbardziej wpływowym wynikiem bezpieczeństwa.

Dowiedz się więcej o wartościach domyślnych zabezpieczeń.

Dodano zalecenie dotyczące jednostek usługi

Dodano nowe zalecenie, aby zalecić klientom usługi Security Center używanie certyfikatów zarządzania w celu zarządzania subskrypcjami przełączenia się na jednostki usługi.

Zalecenie, jednostki usługi powinny służyć do ochrony subskrypcji zamiast certyfikatów zarządzania zaleca użycie jednostek usługi lub usługi Azure Resource Manager w celu bezpieczniejszego zarządzania subskrypcjami.

Dowiedz się więcej o obiektach aplikacji i jednostki usługi w usłudze Azure Active Directory.

Ocena luk w zabezpieczeniach na maszynach wirtualnych — zalecenia i zasady skonsolidowane

Usługa Security Center sprawdza maszyny wirtualne, aby wykryć, czy uruchamiają rozwiązanie do oceny luk w zabezpieczeniach. Jeśli nie znaleziono rozwiązania do oceny luk w zabezpieczeniach, usługa Security Center udostępnia zalecenie ułatwiające wdrożenie.

Po znalezieniu luk w zabezpieczeniach usługa Security Center zawiera zalecenie podsumowujące wyniki, które należy zbadać i skorygować w razie potrzeby.

Aby zapewnić spójne środowisko dla wszystkich użytkowników, niezależnie od używanego typu skanera, zunifikowaliśmy cztery zalecenia w następujących dwóch:

Ujednolicone zalecenie Zmień opis
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych Zastępuje następujące dwie rekomendacje:
Włącz wbudowane rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwane przez firmę Qualys (teraz przestarzałe) (dołączone do warstwy Standardowa)
Rozwiązanie do oceny luk w zabezpieczeniach powinno być zainstalowane na maszynach wirtualnych (teraz przestarzałe) (warstwy Standardowa i Bezpłatna)
Luki w zabezpieczeniach maszyn wirtualnych powinny zostać skorygowane Zastępuje następujące dwie rekomendacje:
Korygowanie luk w zabezpieczeniach znalezionych na maszynach wirtualnych (obsługiwanych przez firmę Qualys) (teraz przestarzałe)
Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach (teraz przestarzałe)

Teraz użyjesz tego samego zalecenia, aby wdrożyć rozszerzenie oceny luk w zabezpieczeniach usługi Security Center lub prywatnie licencjonowane rozwiązanie ("BYOL") od partnera, takiego jak Qualys lub Rapid7.

Ponadto w przypadku znalezienia i zgłoszenia luk w zabezpieczeniach do usługi Security Center pojedyncze zalecenie powiadomi Cię o wynikach niezależnie od rozwiązania do oceny luk w zabezpieczeniach, które je zidentyfikowało.

Aktualizowanie zależności

Jeśli masz skrypty, zapytania lub automatyzacje odwołujące się do poprzednich zaleceń lub kluczy/nazw zasad, użyj poniższych tabel, aby zaktualizować odwołania:

Przed sierpniem 2020 r.
Zalecenie Zakres
Włączanie wbudowanego rozwiązania do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwanego przez firmę Qualys)
Klucz: 550e890b-e652-4d22-8274-60b3bdb24c63
Wbudowane
Korygowanie luk w zabezpieczeniach znalezionych na maszynach wirtualnych (obsługiwanych przez firmę Qualys)
Klucz: 1195afff-c881-495e-9bc5-1486211ae03f
Wbudowane
Rozwiązanie do oceny luk w zabezpieczeniach powinno być zainstalowane na maszynach wirtualnych
Klucz: 01b1ed4c-b733-4fee-b145-f23236e70cf3
BYOL
Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach
Klucz: 71992a2a-d168-42e0-b10e-6b45fa2ecddb
BYOL
Zasady Zakres
Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych
Identyfikator zasad: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Wbudowane
Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach
Identyfikator zasad: 760a85ff-6162-42b3-8d70-698e268f648c
BYOL
Od sierpnia 2020 r.
Zalecenie Zakres
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych
Klucz: ffff0522-1e88-47fc-8382-2a80ba848f5d
Wbudowane i BYOL
Należy skorygować luki w zabezpieczeniach maszyn wirtualnych
Klucz: 1195afff-c881-495e-9bc5-1486211ae03f
Wbudowane i BYOL
Zasady Zakres
Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych
Identyfikator zasad: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Wbudowane i BYOL

Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy ASC_default — do użytku tylko przez klientów korzystających z prywatnej wersji zapoznawczej

Aby upewnić się, że obciążenia Kubernetes są domyślnie bezpieczne, usługa Security Center dodaje zasady na poziomie kubernetes i zalecenia dotyczące wzmacniania zabezpieczeń, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.

Wczesna faza tego projektu obejmuje prywatną wersję zapoznawcza i dodanie nowych (domyślnie wyłączonych) zasad do inicjatywy ASC_default.

Możesz bezpiecznie zignorować te zasady i nie będzie to miało wpływu na środowisko. Jeśli chcesz je włączyć, zarejestruj się w celu uzyskania wersji zapoznawczej za pośrednictwem prywatnej społeczności zabezpieczeń w chmurze firmy Microsoft i wybierz wersję z następujących opcji:

  1. Pojedyncza wersja zapoznawcza — aby dołączyć tylko do tej prywatnej wersji zapoznawczej. Jawne wzmianki "CIĄGŁE skanowanie usługi ASC" jako wersji zapoznawczej, którą chcesz dołączyć.
  2. Bieżący program — do dodania do tych i przyszłych prywatnych wersji zapoznawczych. Musisz utworzyć profil i umowę o ochronie prywatności.

Lipiec 2020 r.

Aktualizacje w lipcu obejmują:

Ocena luk w zabezpieczeniach dla maszyn wirtualnych jest teraz dostępna dla obrazów spoza witryny Marketplace

Podczas wdrażania rozwiązania do oceny luk w zabezpieczeniach usługa Security Center przeprowadziła wcześniej kontrolę poprawności przed wdrożeniem. Sprawdzenie miało na celu potwierdzenie jednostki SKU platformy handlowej docelowej maszyny wirtualnej.

Z tej aktualizacji kontrola została usunięta i można teraz wdrożyć narzędzia do oceny luk w zabezpieczeniach na maszynach z systemami Windows i Linux. Obrazy niestandardowe to obrazy, które zostały zmodyfikowane z domyślnych ustawień witryny Marketplace.

Mimo że można teraz wdrożyć zintegrowane rozszerzenie oceny luk w zabezpieczeniach (obsługiwane przez firmę Qualys) na wielu innych maszynach, obsługa jest dostępna tylko wtedy, gdy używasz systemu operacyjnego wymienionego w temacie Wdrażanie zintegrowanego skanera luk w zabezpieczeniach na maszynach wirtualnych w warstwie Standardowa

Dowiedz się więcej o zintegrowanym skanerze luk w zabezpieczeniach dla maszyn wirtualnych (wymaga usługi Azure Defender).

Dowiedz się więcej o używaniu własnego rozwiązania do oceny luk w zabezpieczeniach z licencją prywatną firmy Qualys lub Rapid7 w temacie Wdrażanie rozwiązania do skanowania luk w zabezpieczeniach partnera.

Ochrona przed zagrożeniami dla usługi Azure Storage została rozszerzona o Azure Files i Azure Data Lake Storage Gen2 (wersja zapoznawcza)

Ochrona przed zagrożeniami dla usługi Azure Storage wykrywa potencjalnie szkodliwe działania na kontach usługi Azure Storage. Usługa Security Center wyświetla alerty, gdy wykrywa próby uzyskania dostępu do kont magazynu lub wykorzystania ich.

Dane mogą być chronione niezależnie od tego, czy są przechowywane jako kontenery obiektów blob, udziały plików czy magazyny data lake.

Osiem nowych zaleceń dotyczących włączania funkcji ochrony przed zagrożeniami

Dodano osiem nowych zaleceń w celu zapewnienia prostego sposobu włączania funkcji ochrony przed zagrożeniami Azure Security Center dla następujących typów zasobów: maszyn wirtualnych, planów App Service, serwerów bazy danych Azure SQL, serwerów SQL na maszynach, kont usługi Azure Storage, Azure Kubernetes Service klastry, rejestry Azure Container Registry i magazyny usługi Azure Key Vault.

Nowe zalecenia są następujące:

  • Zaawansowane zabezpieczenia danych powinny być włączone na serwerach Azure SQL Database
  • Zaawansowane zabezpieczenia danych powinny być włączone na serwerach SQL na maszynach
  • Zaawansowana ochrona przed zagrożeniami powinna być włączona w planach Azure App Service
  • Zaawansowana ochrona przed zagrożeniami powinna być włączona w rejestrach Azure Container Registry
  • Zaawansowana ochrona przed zagrożeniami powinna być włączona w magazynach usługi Azure Key Vault
  • Zaawansowana ochrona przed zagrożeniami powinna być włączona w klastrach Azure Kubernetes Service
  • Zaawansowana ochrona przed zagrożeniami powinna być włączona na kontach usługi Azure Storage
  • Zaawansowana ochrona przed zagrożeniami powinna być włączona na maszynach wirtualnych

Te nowe zalecenia należą do mechanizmu włączania kontroli zabezpieczeń usługi Azure Defender .

Zalecenia obejmują również możliwość szybkiej poprawki.

Ważne

Skorygowanie któregokolwiek z tych zaleceń spowoduje naliczanie opłat za ochronę odpowiednich zasobów. Te opłaty zaczną się natychmiast, jeśli masz powiązane zasoby w bieżącej subskrypcji. Lub w przyszłości, jeśli dodasz je w późniejszym terminie.

Jeśli na przykład nie masz żadnych klastrów Azure Kubernetes Service w subskrypcji i włączysz ochronę przed zagrożeniami, nie będą naliczane żadne opłaty. Jeśli w przyszłości dodasz klaster w tej samej subskrypcji, zostanie on automatycznie chroniony, a opłaty rozpoczną się w tym czasie.

Dowiedz się więcej na temat każdego z tych elementów na stronie dokumentacji zaleceń dotyczących zabezpieczeń.

Dowiedz się więcej o ochronie przed zagrożeniami w Azure Security Center.

Ulepszenia zabezpieczeń kontenerów — szybsze skanowanie rejestru i odświeżona dokumentacja

W ramach ciągłych inwestycji w domenę zabezpieczeń kontenerów z przyjemnością udostępniamy znaczną poprawę wydajności w dynamicznych skanowaniach obrazów kontenerów przechowywanych w usłudze Security Center w Azure Container Registry. Skanowania są teraz zwykle wykonywane w ciągu około dwóch minut. W niektórych przypadkach może upłynąć do 15 minut.

Aby zwiększyć przejrzystość i wskazówki dotyczące możliwości zabezpieczeń kontenerów Azure Security Center, odświeżyliśmy również strony dokumentacji zabezpieczeń kontenera.

Dowiedz się więcej o zabezpieczeniach kontenerów usługi Security Center w następujących artykułach:

Funkcje adaptacyjnego sterowania aplikacjami zaktualizowano o nowe zalecenie i obsługę symboli wieloznacznych w regułach ścieżki

Funkcja adaptacyjnego sterowania aplikacjami otrzymała dwie istotne aktualizacje:

  • Nowe zalecenie identyfikuje potencjalnie uzasadnione zachowanie, które nie zostało wcześniej dozwolone. Nowe zalecenie , reguły Allowlist w zasadach adaptacyjnego sterowania aplikacjami powinny zostać zaktualizowane, monituje o dodanie nowych reguł do istniejących zasad w celu zmniejszenia liczby fałszywych alarmów w alertach naruszenia adaptacyjnego sterowania aplikacjami.

  • Reguły ścieżek obsługują teraz symbole wieloznaczne. Z tej aktualizacji można skonfigurować dozwolone reguły ścieżek przy użyciu symboli wieloznacznych. Istnieją dwa obsługiwane scenariusze:

    • Używanie symbolu wieloznakowego na końcu ścieżki w celu zezwolenia na wszystkie pliki wykonywalne w tym folderze i podfolderach

    • Użycie symbolu wieloznakowego w środku ścieżki w celu włączenia znanej nazwy pliku wykonywalnego ze zmianą nazwy folderu (np. folderów osobistych użytkowników ze znanym plikiem wykonywalnym, automatycznie wygenerowanych nazw folderów itp.).

Dowiedz się więcej o adaptacyjnych kontrolkach aplikacji.

Sześć zasad dla zaawansowanych zabezpieczeń danych SQL przestarzałych

Sześć zasad związanych z zaawansowanymi zabezpieczeniami danych dla maszyn SQL jest przestarzałych:

  • Dla zaawansowanych typów ochrony przed zagrożeniami należy ustawić wartość "Wszystkie" w zaawansowanych ustawieniach zabezpieczeń danych wystąpienia zarządzanego SQL
  • Dla zaawansowanych typów ochrony przed zagrożeniami należy ustawić wartość "Wszystkie" w ustawieniach zaawansowanych zabezpieczeń danych programu SQL Server
  • Zaawansowane ustawienia zabezpieczeń danych dla wystąpienia zarządzanego SQL powinny zawierać adres e-mail do odbierania alertów zabezpieczeń
  • Zaawansowane ustawienia zabezpieczeń danych dla programu SQL Server powinny zawierać adres e-mail do odbierania alertów zabezpieczeń
  • Email powiadomienia dla administratorów i właścicieli subskrypcji powinny być włączone w zaawansowanych ustawieniach zabezpieczeń danych wystąpienia zarządzanego SQL
  • Email powiadomienia dla administratorów i właścicieli subskrypcji powinny być włączone w zaawansowanych ustawieniach zabezpieczeń danych programu SQL Server

Dowiedz się więcej o wbudowanych zasadach.

Czerwiec 2020 r.

Aktualizacje w czerwcu obejmują:

Interfejs API wskaźnika bezpieczeństwa (wersja zapoznawcza)

Teraz możesz uzyskać dostęp do wskaźnika za pośrednictwem interfejsu API wskaźnika bezpieczeństwa (obecnie w wersji zapoznawczej). Metody interfejsu API zapewniają elastyczność wykonywania zapytań dotyczących danych i tworzenia własnego mechanizmu raportowania wskaźnika bezpieczeństwa w czasie. Na przykład możesz użyć interfejsu API wskaźnika bezpieczeństwa , aby uzyskać ocenę dla określonej subskrypcji. Ponadto możesz użyć interfejsu API kontroli wskaźnika bezpieczeństwa , aby wyświetlić listę mechanizmów kontroli zabezpieczeń i bieżący wynik subskrypcji.

Aby zapoznać się z przykładami narzędzi zewnętrznych, które umożliwiły użycie interfejsu API wskaźnika bezpieczeństwa, zobacz obszar wskaźnika bezpieczeństwa w naszej społeczności usługi GitHub.

Dowiedz się więcej o wskaźnikach bezpieczeństwa i mechanizmach kontroli zabezpieczeń w Azure Security Center.

Zaawansowane zabezpieczenia danych dla maszyn SQL (platforma Azure, inne chmury i środowisko lokalne) (wersja zapoznawcza)

Azure Security Center zaawansowane zabezpieczenia danych maszyn SQL chroni teraz serwery SQL hostowane na platformie Azure, w innych środowiskach w chmurze, a nawet na maszynach lokalnych. Rozszerza to zabezpieczenia serwerów SQL natywnych dla platformy Azure w celu zapewnienia pełnej obsługi środowisk hybrydowych.

Zaawansowane zabezpieczenia danych zapewniają ocenę luk w zabezpieczeniach i zaawansowaną ochronę przed zagrożeniami dla maszyn SQL wszędzie tam, gdzie się znajdują.

Konfiguracja obejmuje dwa kroki:

  1. Wdrażanie agenta usługi Log Analytics na maszynie hosta SQL Server w celu zapewnienia połączenia z kontem platformy Azure.

  2. Włączanie opcjonalnego pakietu na stronie cennika i ustawień usługi Security Center.

Dowiedz się więcej o zaawansowanych zabezpieczeniach danych dla maszyn SQL.

Dwie nowe zalecenia dotyczące wdrażania agenta usługi Log Analytics na maszynach usługi Azure Arc (wersja zapoznawcza)

Dodano dwie nowe zalecenia ułatwiające wdrażanie agenta usługi Log Analytics na maszynach usługi Azure Arc i zapewnienie ich ochrony przez Azure Security Center:

  • Agent usługi Log Analytics powinien być zainstalowany na maszynach usługi Azure Arc z systemem Windows (wersja zapoznawcza)
  • Agent usługi Log Analytics powinien być zainstalowany na maszynach usługi Azure Arc opartych na systemie Linux (wersja zapoznawcza)

Te nowe zalecenia będą wyświetlane w tych samych czterech mechanizmach kontroli zabezpieczeń co istniejące (powiązane) zalecenie. Agent monitorowania powinien być zainstalowany na maszynach: korygowanie konfiguracji zabezpieczeń, stosowanie adaptacyjnej kontroli aplikacji, stosowanie aktualizacji systemu i włączanie ochrony punktu końcowego.

Zalecenia obejmują również funkcję szybkiej poprawki, aby przyspieszyć proces wdrażania.

Dowiedz się więcej o tych dwóch nowych rekomendacjach w tabeli rekomendacji dotyczących zasobów obliczeniowych i aplikacji .

Dowiedz się więcej o tym, jak Azure Security Center używa agenta w temacie Co to jest agent usługi Log Analytics?.

Dowiedz się więcej o rozszerzeniach dla maszyn usługi Azure Arc.

Nowe zasady tworzenia konfiguracji ciągłego eksportu i automatyzacji przepływu pracy na dużą skalę

Automatyzacja procesów monitorowania i reagowania na zdarzenia w organizacji może znacznie poprawić czas potrzebny do zbadania i ograniczenia zdarzeń zabezpieczeń.

Aby wdrożyć konfiguracje automatyzacji w całej organizacji, użyj tych wbudowanych zasad platformy Azure "DeployIfdNotExist", aby utworzyć i skonfigurować procedury automatyzacji eksportu ciągłego i przepływu pracy :

Definicje zasad można znaleźć w Azure Policy:

Cel Zasady Identyfikator zasad
Eksport ciągły do usługi Event Hubs Wdrażanie eksportu do usługi Event Hubs w celu Azure Security Center alertów i zaleceń cdfcce10-4578-4ecd-9703-530938e4abcb
Eksport ciągły do obszaru roboczego usługi Log Analytics Wdróż eksport do obszaru roboczego usługi Log Analytics w celu uzyskania alertów i zaleceń usługi Azure Security Center ffb6f416-7bd2-4488-8828-56585fef2be9
Automatyzacja przepływu pracy dla alertów zabezpieczeń Wdróż automatyzację przepływu pracy dla alertów usługi Azure Security Center f1525828-9a90-4fcf-be48-268cdd02361e
Automatyzacja przepływu pracy dla zaleceń dotyczących zabezpieczeń Wdróż automatyzację przepływów pracy dla zaleceń usługi Azure Security Center 73d6ab6c-2475-4850-afd6-43795f3492ef

Wprowadzenie do szablonów automatyzacji przepływu pracy.

Dowiedz się więcej o korzystaniu z dwóch zasad eksportu w temacie Konfigurowanie automatyzacji przepływu pracy na dużą skalę przy użyciu podanych zasad i Konfigurowanie eksportu ciągłego.

Nowe zalecenie dotyczące używania sieciowych grup zabezpieczeń do ochrony maszyn wirtualnych nienależących do Internetu

Mechanizm kontroli zabezpieczeń "implementowanie najlepszych rozwiązań w zakresie zabezpieczeń" zawiera teraz następujące nowe zalecenie:

  • Maszyny wirtualne nienależące do Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń

Istniejące zalecenie, maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń, nie rozróżniały maszyn wirtualnych dostępnych z Internetu i nienależących do Internetu. W obu przypadkach zostało wygenerowane zalecenie o wysokiej ważności, jeśli maszyna wirtualna nie została przypisana do sieciowej grupy zabezpieczeń. To nowe zalecenie oddziela maszyny nienależące do Internetu, aby zmniejszyć liczbę wyników fałszywie dodatnich i uniknąć niepotrzebnych alertów o wysokiej ważności.

Dowiedz się więcej w tabeli Rekomendacje dotyczące sieci .

Nowe zasady umożliwiające ochronę przed zagrożeniami i zaawansowane zabezpieczenia danych

Nowe definicje zasad poniżej zostały dodane do inicjatywy domyślnej usługi ASC i mają na celu pomoc w włączeniu ochrony przed zagrożeniami lub zaawansowanych zabezpieczeń danych dla odpowiednich typów zasobów.

Definicje zasad można znaleźć w Azure Policy:

Zasady Identyfikator zasad
Zaawansowane zabezpieczenia danych powinny być włączone na serwerach Azure SQL Database 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
Zaawansowane zabezpieczenia danych powinny być włączone na serwerach SQL na maszynach 6581d072-105e-4418-827f-bd446d56421b
Zaawansowana ochrona przed zagrożeniami powinna być włączona na kontach usługi Azure Storage 308fbb08-4ab8-4e67-9b29-592e93fb94fa
Zaawansowana ochrona przed zagrożeniami powinna być włączona w magazynach usługi Azure Key Vault 0e6763cc-5078-4e64-889d-ff4d9a839047
Zaawansowana ochrona przed zagrożeniami powinna być włączona w planach Azure App Service 2913021d-f2fd-4f3d-b958-22354e2bdbcb
Zaawansowana ochrona przed zagrożeniami powinna być włączona w rejestrach Azure Container Registry c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
Zaawansowana ochrona przed zagrożeniami powinna być włączona w klastrach Azure Kubernetes Service 523b5cd1-3e23-492f-a539-13118b6d1e3a
Zaawansowana ochrona przed zagrożeniami powinna być włączona w Virtual Machines 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Dowiedz się więcej o ochronie przed zagrożeniami w Azure Security Center.

Maj 2020 r.

Aktualizacje w maju obejmują:

Reguły pomijania alertów (wersja zapoznawcza)

Ta nowa funkcja (obecnie w wersji zapoznawczej) pomaga zmniejszyć zmęczenie alertów. Reguły umożliwiają automatyczne ukrywanie alertów, które są znane jako nieszkodliwe lub związane z normalnymi działaniami w organizacji. Pozwala to skupić się na najbardziej odpowiednich zagrożeniach.

Alerty zgodne z włączonymi regułami pomijania będą nadal generowane, ale ich stan zostanie ustawiony na odrzucenie. Stan można zobaczyć w Azure Portal lub jednak uzyskujesz dostęp do alertów zabezpieczeń usługi Security Center.

Reguły pomijania definiują kryteria automatycznego odrzucania alertów. Zazwyczaj należy użyć reguły pomijania w celu:

  • pomijanie alertów zidentyfikowanych jako fałszywie dodatnie

  • pomijanie alertów, które są wyzwalane zbyt często, aby były przydatne

Dowiedz się więcej o pomijaniu alertów z ochrony Azure Security Center przed zagrożeniami.

Ocena luk w zabezpieczeniach maszyn wirtualnych jest teraz ogólnie dostępna

Warstwa Standardowa usługi Security Center obejmuje teraz zintegrowaną ocenę luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych opłat. To rozszerzenie jest obsługiwane przez firmę Qualys, ale zgłasza wyniki bezpośrednio do usługi Security Center. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane w usłudze Security Center.

Nowe rozwiązanie może stale skanować maszyny wirtualne, aby znaleźć luki w zabezpieczeniach i przedstawić wyniki w usłudze Security Center.

Aby wdrożyć rozwiązanie, użyj nowego zalecenia dotyczącego zabezpieczeń:

"Włącz wbudowane rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwane przez firmę Qualys)"

Dowiedz się więcej o zintegrowanej ocenie luk w zabezpieczeniach usługi Security Center dla maszyn wirtualnych.

Zmiany dostępu just in time (JIT) do maszyny wirtualnej

Usługa Security Center oferuje opcjonalną funkcję ochrony portów zarządzania maszyn wirtualnych. Zapewnia to ochronę przed najczęstszą formą ataków siłowych.

Ta aktualizacja wprowadza następujące zmiany w tej funkcji:

  • Zmieniono nazwę zalecenia, które zaleca włączenie trybu JIT na maszynie wirtualnej. Wcześniej "Kontrola dostępu do sieci just in time powinna być stosowana na maszynach wirtualnych": "Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time".

  • Zalecenie jest wyzwalane tylko wtedy, gdy istnieją otwarte porty zarządzania.

Dowiedz się więcej o funkcji dostępu JIT.

Zalecenia niestandardowe zostały przeniesione do oddzielnej kontroli zabezpieczeń

Jedną z mechanizmów kontroli zabezpieczeń wprowadzonym za pomocą ulepszonego wskaźnika bezpieczeństwa jest "Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń". Wszystkie zalecenia niestandardowe utworzone dla subskrypcji zostały automatycznie umieszczone w tej kontrolce.

Aby ułatwić znajdowanie niestandardowych zaleceń, przenieśliśmy je do dedykowanej kontroli zabezpieczeń " Zalecenia niestandardowe". Ta kontrola nie ma wpływu na wskaźnik bezpieczeństwa.

Dowiedz się więcej o mechanizmach kontroli zabezpieczeń w obszarze Ulepszony wskaźnik bezpieczeństwa (wersja zapoznawcza) w Azure Security Center.

Przełącz dodane w celu wyświetlenia zaleceń w kontrolkach lub jako listy płaskiej

Mechanizmy kontroli zabezpieczeń to logiczne grupy powiązanych zaleceń dotyczących zabezpieczeń. Odzwierciedlają one twoje podatne na ataki powierzchnie. Kontrolka to zestaw zaleceń dotyczących zabezpieczeń z instrukcjami, które ułatwiają implementowanie tych zaleceń.

Aby natychmiast zobaczyć, jak dobrze organizacja zabezpiecza poszczególne powierzchnie ataków, przejrzyj wyniki dla każdej kontroli zabezpieczeń.

Domyślnie zalecenia są wyświetlane w mechanizmach kontroli zabezpieczeń. W ramach tej aktualizacji można je również wyświetlić jako listę. Aby wyświetlić je jako prostą listę posortowaną według stanu kondycji odpowiednich zasobów, użyj nowego przełącznika "Grupuj według kontrolek". Przełącznik znajduje się nad listą w portalu.

Mechanizmy zabezpieczeń — i ten przełącznik — są częścią nowego środowiska wskaźnika bezpieczeństwa. Pamiętaj, aby wysłać nam swoją opinię z portalu.

Dowiedz się więcej o mechanizmach kontroli zabezpieczeń w obszarze Ulepszony wskaźnik bezpieczeństwa (wersja zapoznawcza) w Azure Security Center.

Grupuj według kontrolek, aby uzyskać zalecenia.

Rozszerzona kontrola zabezpieczeń "Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń"

Jedną z mechanizmów kontroli zabezpieczeń wprowadzonym za pomocą ulepszonego wskaźnika bezpieczeństwa jest "Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń". Jeśli rekomendacja znajduje się w tej kontrolce, nie ma to wpływu na wskaźnik bezpieczeństwa.

Dzięki tej aktualizacji trzy zalecenia zostały przeniesione z kontrolek, w których zostały pierwotnie umieszczone, i do tej kontroli najlepszych rozwiązań. Zrobiliśmy ten krok, ponieważ ustaliliśmy, że ryzyko tych trzech zaleceń jest niższe niż początkowo sądzono.

Ponadto wprowadzono dwa nowe zalecenia i dodano je do tej kontrolki.

Trzy przeniesione zalecenia są następujące:

  • Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu w subskrypcji (pierwotnie w kontrolce "Włączanie uwierzytelniania wieloskładnikowego")
  • Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji (pierwotnie w kontrolce "Zarządzanie dostępem i uprawnieniami")
  • Dla twojej subskrypcji należy wyznaczyć maksymalnie 3 właścicieli (pierwotnie w kontrolce "Zarządzanie dostępem i uprawnieniami")

Dwa nowe zalecenia dodane do kontrolki to:

  • Rozszerzenie konfiguracji gościa należy zainstalować na maszynach wirtualnych z systemem Windows (wersja zapoznawcza) — korzystanie z konfiguracji gościa Azure Policy zapewnia wgląd wewnątrz maszyn wirtualnych w ustawienia serwera i aplikacji (tylko system Windows).

  • Windows Defender Exploit Guard powinna być włączona na maszynach (wersja zapoznawcza) — program Windows Defender Exploit Guard korzysta z agenta konfiguracji gościa Azure Policy. Funkcja Exploit Guard ma cztery składniki, które zostały zaprojektowane do blokowania urządzeń przed różnymi wektorami ataków i zachowaniami blokowania często używanymi w atakach złośliwego oprogramowania, umożliwiając przedsiębiorstwom równoważenie ich wymagań związanych z ryzykiem bezpieczeństwa i produktywnością (tylko system Windows).

Dowiedz się więcej o Windows Defender Exploit Guard w temacie Tworzenie i wdrażanie zasad funkcji Exploit Guard.

Dowiedz się więcej o mechanizmach kontroli zabezpieczeń w rozszerzonym wskaźniku bezpieczeństwa (wersja zapoznawcza).

Zasady niestandardowe z niestandardowymi metadanymi są teraz ogólnie dostępne

Zasady niestandardowe są teraz częścią środowiska zaleceń usługi Security Center, wskaźnika bezpieczeństwa i pulpitu nawigacyjnego standardów zgodności z przepisami. Ta funkcja jest teraz ogólnie dostępna i umożliwia rozszerzenie zasięgu oceny zabezpieczeń organizacji w usłudze Security Center.

Utwórz inicjatywę niestandardową w Azure Policy, dodaj do niej zasady i dołącz ją do Azure Security Center i zwizualizuj ją jako zalecenia.

Dodaliśmy również opcję edytowania niestandardowych metadanych rekomendacji. Opcje metadanych obejmują ważność, kroki korygowania, informacje o zagrożeniach i nie tylko.

Dowiedz się więcej o ulepszaniu niestandardowych zaleceń, aby uzyskać szczegółowe informacje.

Możliwości analizy zrzutu awaryjnego migrowania do wykrywania ataków bez plików

Integrujemy możliwości wykrywania zrzutu awaryjnego systemu Windows (CDA) do wykrywania ataków bez plików. Analiza wykrywania ataków bez plików oferuje ulepszone wersje następujących alertów zabezpieczeń dla maszyn z systemem Windows: wykryto iniekcję kodu, wykryto zamaskowany moduł systemu Windows, wykryto kod powłoki i wykryto podejrzany segment kodu.

Niektóre korzyści wynikające z tego przejścia:

  • Proaktywne i terminowe wykrywanie złośliwego oprogramowania — podejście CDA polegało na oczekiwaniu na wystąpienie awarii, a następnie uruchomieniu analizy w celu znalezienia złośliwych artefaktów. Korzystanie z wykrywania ataków bez plików zapewnia proaktywną identyfikację zagrożeń w pamięci podczas ich działania.

  • Wzbogacone alerty — alerty zabezpieczeń z wykrywania ataków bez plików obejmują wzbogacania, które nie są dostępne z usługi CDA, takie jak informacje o aktywnych połączeniach sieciowych.

  • Agregacja alertów — gdy usługa CDA wykryła wiele wzorców ataków w ramach jednego zrzutu awaryjnego, wyzwoliła wiele alertów zabezpieczeń. Wykrywanie ataków bez plików łączy wszystkie zidentyfikowane wzorce ataków z tego samego procesu w jeden alert, co eliminuje konieczność korelowania wielu alertów.

  • Ograniczone wymagania dotyczące obszaru roboczego usługi Log Analytics — zrzuty awaryjne zawierające potencjalnie poufne dane nie będą już przekazywane do obszaru roboczego usługi Log Analytics.

Kwiecień 2020 r.

Aktualizacje w kwietniu obejmują:

Dynamiczne pakiety zgodności są teraz ogólnie dostępne

Pulpit nawigacyjny zgodności z przepisami Azure Security Center zawiera teraz dynamiczne pakiety zgodności (teraz ogólnie dostępne) do śledzenia dodatkowych standardów branżowych i regulacyjnych.

Dynamiczne pakiety zgodności można dodać do subskrypcji lub grupy zarządzania ze strony zasad zabezpieczeń usługi Security Center. Po dołączeniu standardu lub testu porównawczego standard zostanie wyświetlony na pulpicie nawigacyjnym zgodności z przepisami ze wszystkimi skojarzonymi danymi zgodności zamapowanych jako oceny. Raport podsumowujący dla wszystkich dołączonych standardów będzie dostępny do pobrania.

Teraz możesz dodać standardy, takie jak:

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • UK OFFICIAL i UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0 (nowa) ( która jest bardziej kompletną reprezentacją usługi Azure CIS 1.1.0)

Ponadto niedawno dodaliśmy test porównawczy zabezpieczeń platformy Azure, utworzone przez firmę Microsoft wytyczne dotyczące najlepszych rozwiązań dotyczących zabezpieczeń i zgodności na podstawie typowych struktur zgodności. Dodatkowe standardy będą obsługiwane na pulpicie nawigacyjnym w miarę ich dostępności.

Dowiedz się więcej o dostosowywaniu zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.

Rekomendacje dotyczące tożsamości są teraz uwzględnione w warstwie bezpłatna Azure Security Center

Zalecenia dotyczące zabezpieczeń dotyczące tożsamości i dostępu w warstwie bezpłatna Azure Security Center są teraz ogólnie dostępne. Jest to część starań, aby funkcje zarządzania stanem zabezpieczeń w chmurze (CSPM) są bezpłatne. Do tej pory te zalecenia były dostępne tylko w warstwie cenowej Standardowa.

Przykłady zaleceń dotyczących tożsamości i dostępu obejmują:

  • "Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami właściciela subskrypcji".
  • "Dla Twojej subskrypcji należy wyznaczyć maksymalnie trzech właścicieli".
  • "Przestarzałe konta powinny zostać usunięte z subskrypcji".

Jeśli masz subskrypcje w warstwie cenowej Bezpłatna, ich wyniki bezpieczeństwa będą miały wpływ na tę zmianę, ponieważ nigdy nie zostały ocenione pod kątem ich tożsamości i zabezpieczeń dostępu.

Dowiedz się więcej o zaleceniach dotyczących tożsamości i dostępu.

Dowiedz się więcej o zarządzaniu wymuszaniami uwierzytelniania wieloskładnikowego (MFA) w subskrypcjach.

Marzec 2020 r.

Aktualizacje w marcu obejmują:

Automatyzacja przepływu pracy jest teraz ogólnie dostępna

Funkcja automatyzacji przepływu pracy Azure Security Center jest teraz ogólnie dostępna. Służy do automatycznego wyzwalania usługi Logic Apps dla alertów zabezpieczeń i zaleceń. Ponadto wyzwalacze ręczne są dostępne dla alertów i wszystkich zaleceń, które mają dostępną opcję szybkiej poprawki.

Każdy program zabezpieczeń zawiera wiele przepływów pracy na potrzeby reagowania na zdarzenia. Te procesy mogą obejmować powiadamianie odpowiednich uczestników projektu, uruchamianie procesu zarządzania zmianami i stosowanie określonych kroków korygowania. Eksperci ds. zabezpieczeń zalecają automatyzowanie jak największej liczby kroków tych procedur. Automatyzacja zmniejsza nakład pracy i może zwiększyć bezpieczeństwo dzięki zapewnieniu, że kroki procesu są wykonywane szybko, spójnie i zgodnie ze wstępnie zdefiniowanymi wymaganiami.

Aby uzyskać więcej informacji na temat automatycznych i ręcznych funkcji usługi Security Center na potrzeby uruchamiania przepływów pracy, zobacz Automatyzacja przepływu pracy.

Dowiedz się więcej o tworzeniu usługi Logic Apps.

Integracja Azure Security Center z Windows Admin Center

Teraz można przenieść lokalne serwery z systemem Windows z Windows Admin Center bezpośrednio do Azure Security Center. Następnie usługa Security Center stanie się pojedynczym okienkem, aby wyświetlić informacje o zabezpieczeniach dla wszystkich zasobów Windows Admin Center, w tym serwerów lokalnych, maszyn wirtualnych i dodatkowych obciążeń PaaS.

Po przeniesieniu serwera z Windows Admin Center do Azure Security Center będziesz mieć następujące możliwości:

  • Wyświetl alerty zabezpieczeń i zalecenia w rozszerzeniu usługi Security Center Windows Admin Center.
  • Wyświetl stan zabezpieczeń i pobierz dodatkowe szczegółowe informacje o serwerach zarządzanych Windows Admin Center w usłudze Security Center w Azure Portal (lub za pośrednictwem interfejsu API).

Dowiedz się więcej o sposobie integrowania Azure Security Center z Windows Admin Center.

Ochrona Azure Kubernetes Service

Azure Security Center rozszerza funkcje zabezpieczeń kontenera w celu ochrony Azure Kubernetes Service (AKS).

Popularna platforma Kubernetes typu open source została przyjęta tak powszechnie, że jest to obecnie standard branżowy dla orkiestracji kontenerów. Pomimo tej powszechnej implementacji nadal brakuje zrozumienia sposobu zabezpieczania środowiska Kubernetes. Obrona powierzchni ataków konteneryzowanej aplikacji wymaga wiedzy fachowej w celu zapewnienia, że infrastruktura jest skonfigurowana bezpiecznie i stale monitorowana pod kątem potencjalnych zagrożeń.

Ochrona usługi Security Center obejmuje następujące elementy:

  • Odnajdywanie i widoczność — ciągłe odnajdywanie zarządzanych wystąpień usługi AKS w ramach subskrypcji zarejestrowanych w usłudze Security Center.
  • Zalecenia dotyczące zabezpieczeń — zalecenia z możliwością działania, które ułatwiają przestrzeganie najlepszych rozwiązań w zakresie zabezpieczeń dla usługi AKS. Te zalecenia są uwzględniane w wskaźniku bezpieczeństwa, aby upewnić się, że są one wyświetlane jako część stanu zabezpieczeń organizacji. Przykładem zalecenia dotyczącego usługi AKS, które można zobaczyć, jest "Kontrola dostępu oparta na rolach powinna służyć do ograniczania dostępu do klastra usługi Kubernetes".
  • Ochrona przed zagrożeniami — dzięki ciągłej analizie wdrożenia usługi AKS usługa Security Center powiadamia o zagrożeniach i złośliwych działaniach wykrytych na poziomie hosta i klastra usługi AKS.

Dowiedz się więcej o integracji usług Azure Kubernetes Services z usługą Security Center.

Dowiedz się więcej o funkcjach zabezpieczeń kontenera w usłudze Security Center.

Ulepszone środowisko just in time

Funkcje, operacje i interfejs użytkownika dla narzędzi just in time Azure Security Center, które zabezpieczają porty zarządzania, zostały ulepszone w następujący sposób:

  • Pole uzasadnienia — podczas żądania dostępu do maszyny wirtualnej za pośrednictwem strony just in time Azure Portal dostępne jest nowe pole opcjonalne, aby wprowadzić uzasadnienie żądania. Informacje wprowadzone w tym polu można śledzić w dzienniku aktywności.
  • Automatyczne czyszczenie nadmiarowych reguł just in time (JIT) — za każdym razem, gdy aktualizujesz zasady JIT, narzędzie oczyszczania jest uruchamiane automatycznie w celu sprawdzenia poprawności całego zestawu reguł. Narzędzie wyszukuje niezgodności między regułami w zasadach i regułami w sieciowej grupie zabezpieczeń. Jeśli narzędzie oczyszczania wykryje niezgodność, określa przyczynę i, gdy jest to bezpieczne, usuwa wbudowane reguły, które nie są już potrzebne. Narzędzie czyszczące nigdy nie usuwa utworzonych reguł.

Dowiedz się więcej o funkcji dostępu JIT.

Dwa zalecenia dotyczące zabezpieczeń dla przestarzałych aplikacji internetowych

Dwa zalecenia dotyczące zabezpieczeń związane z aplikacjami internetowymi są przestarzałe:

  • Reguły dotyczące aplikacji internetowych w sieciowych grupach zabezpieczeń IaaS powinny być wzmocnione. (Powiązane zasady: reguły sieciowych grup zabezpieczeń dla aplikacji internetowych w usłudze IaaS powinny być wzmocnione)

  • Dostęp do usług App Services powinien być ograniczony. (Powiązane zasady: Dostęp do usług App Services powinien być ograniczony [wersja zapoznawcza])

Te zalecenia nie będą już wyświetlane na liście zaleceń usługi Security Center. Powiązane zasady nie będą już uwzględniane w inicjatywie o nazwie "Security Center Default".

Dowiedz się więcej o zaleceniach dotyczących zabezpieczeń.

Luty 2020 r.

Wykrywanie ataków bez plików dla systemu Linux (wersja zapoznawcza)

Ponieważ osoby atakujące coraz większa wykorzystują metody niewidzialniejsze w celu uniknięcia wykrywania, Azure Security Center rozszerza wykrywanie ataków bez plików dla systemu Linux oprócz systemu Windows. Ataki bez plików wykorzystują luki w zabezpieczeniach oprogramowania, wprowadzają złośliwe ładunki do łagodnych procesów systemowych i ukrywają się w pamięci. Te techniki:

  • zminimalizować lub wyeliminować ślady złośliwego oprogramowania na dysku
  • znacznie zmniejszyć prawdopodobieństwo wykrycia przez oparte na dysku rozwiązania do skanowania złośliwego oprogramowania

Aby przeciwdziałać temu zagrożeniu, Azure Security Center w październiku 2018 r. wykrył ataki bez plików dla systemu Windows, a także rozszerzył wykrywanie ataków bez plików w systemie Linux.

Styczeń 2020 r.

Ulepszony wskaźnik bezpieczeństwa (wersja zapoznawcza)

Ulepszona wersja funkcji wskaźnika bezpieczeństwa Azure Security Center jest teraz dostępna w wersji zapoznawczej. W tej wersji wiele zaleceń jest pogrupowanych w kontrolki zabezpieczeń, które lepiej odzwierciedlają podatne na ataki powierzchnie (na przykład ograniczają dostęp do portów zarządzania).

Zapoznaj się ze zmianami wskaźnika bezpieczeństwa w fazie wersji zapoznawczej i ustal inne korygowania, które pomogą Ci dodatkowo zabezpieczyć środowisko.

Dowiedz się więcej o rozszerzonym wskaźniku bezpieczeństwa (wersja zapoznawcza).

Listopad 2019 r.

Aktualizacje w listopadzie obejmują:

Ochrona przed zagrożeniami dla usługi Azure Key Vault w regionach Ameryka Północna (wersja zapoznawcza)

Azure Key Vault to podstawowa usługa do ochrony danych i poprawy wydajności aplikacji w chmurze, oferując możliwość centralnego zarządzania kluczami, wpisami tajnymi, kluczami kryptograficznymi i zasadami w chmurze. Ponieważ usługa Azure Key Vault przechowuje poufne i krytyczne dla działania firmy dane, wymaga maksymalnego bezpieczeństwa magazynów kluczy i przechowywanych w nich danych.

Azure Security Center obsługę usługi Threat Protection dla platformy Azure Key Vault zapewnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do magazynów kluczy lub wykorzystania ich. Ta nowa warstwa ochrony umożliwia klientom reagowanie na zagrożenia przed ich magazynami kluczy bez konieczności bycia ekspertem ds. zabezpieczeń ani zarządzaniem systemami monitorowania zabezpieczeń. Funkcja jest dostępna w publicznej wersji zapoznawczej w regionach Ameryka Północna.

Ochrona przed zagrożeniami w usłudze Azure Storage obejmuje kontrolę reputacji złośliwego oprogramowania

Ochrona przed zagrożeniami dla usługi Azure Storage oferuje nowe wykrycia obsługiwane przez usługę Microsoft Threat Intelligence na potrzeby wykrywania złośliwego oprogramowania przekazywanych do usługi Azure Storage przy użyciu analizy reputacji skrótu i podejrzanego dostępu z aktywnego węzła wyjścia Tor (anonimizującego serwera proxy). Teraz możesz wyświetlić wykryte złośliwe oprogramowanie na kontach magazynu przy użyciu Azure Security Center.

Automatyzacja przepływu pracy za pomocą usługi Logic Apps (wersja zapoznawcza)

Organizacje z centralnie zarządzanymi zabezpieczeniami i operacjami IT/operations implementują wewnętrzne procesy przepływu pracy w celu kierowania wymaganych działań w organizacji w przypadku wykrycia rozbieżności w ich środowiskach. W wielu przypadkach te przepływy pracy są powtarzalnymi procesami, a automatyzacja może znacznie usprawnić procesy w organizacji.

Obecnie wprowadzamy nową funkcję w usłudze Security Center, która umożliwia klientom tworzenie konfiguracji automatyzacji korzystających z usługi Azure Logic Apps i tworzenie zasad, które będą automatycznie wyzwalane na podstawie określonych ustaleń usługi ASC, takich jak zalecenia lub alerty. Aplikację logiki platformy Azure można skonfigurować do wykonywania dowolnej akcji niestandardowej obsługiwanej przez ogromną społeczność łączników aplikacji logiki lub użyć jednego z szablonów udostępnianych przez usługę Security Center, takich jak wysyłanie wiadomości e-mail lub otwieranie biletu usługi ServiceNow™.

Aby uzyskać więcej informacji na temat automatycznych i ręcznych funkcji usługi Security Center na potrzeby uruchamiania przepływów pracy, zobacz Automatyzacja przepływu pracy.

Aby dowiedzieć się więcej o tworzeniu usługi Logic Apps, zobacz Azure Logic Apps.

Szybka poprawka dotycząca ogólnie dostępnych zasobów zbiorczych

W przypadku wielu zadań, które użytkownik otrzymuje w ramach wskaźnika bezpieczeństwa, możliwość skutecznego korygowania problemów w dużej flocie może stać się trudna.

Aby uprościć korygowanie błędów konfiguracji zabezpieczeń i umożliwić szybkie korygowanie zaleceń dotyczących większości zasobów i poprawianie wskaźnika bezpieczeństwa, użyj funkcji szybkiego korygowania poprawek.

Ta operacja umożliwi wybranie zasobów, do których chcesz zastosować korygowanie, i uruchomienie akcji korygowania, która skonfiguruje ustawienie w Twoim imieniu.

Szybka poprawka jest obecnie ogólnie dostępna dla klientów w ramach strony zaleceń usługi Security Center.

Zobacz, które zalecenia mają włączoną szybką poprawkę w przewodniku referencyjnym dotyczącym zaleceń dotyczących zabezpieczeń.

Skanowanie obrazów kontenerów pod kątem luk w zabezpieczeniach (wersja zapoznawcza)

Azure Security Center mogą teraz skanować obrazy kontenerów w Azure Container Registry pod kątem luk w zabezpieczeniach.

Skanowanie obrazów działa przez przeanalizowanie pliku obrazu kontenera, a następnie sprawdzenie, czy istnieją znane luki w zabezpieczeniach (obsługiwane przez qualys).

Samo skanowanie jest wyzwalane automatycznie podczas wypychania nowych obrazów kontenerów do Azure Container Registry. Znalezione luki w zabezpieczeniach będą wyświetlane jako zalecenia usługi Security Center i uwzględnione w wskaźniku bezpieczeństwa wraz z informacjami na temat stosowania poprawek w celu zmniejszenia dozwolonego obszaru ataków.

Dodatkowe standardy zgodności z przepisami (wersja zapoznawcza)

Pulpit nawigacyjny zgodność z przepisami zapewnia wgląd w stan zgodności na podstawie ocen usługi Security Center. Na pulpicie nawigacyjnym pokazano, w jaki sposób środowisko jest zgodne z mechanizmami kontroli i wymaganiami określonymi standardami regulacyjnymi i branżowymi testami porównawczymi oraz udostępnia normatywne zalecenia dotyczące sposobu rozwiązywania tych wymagań.

Pulpit nawigacyjny zgodności z przepisami do tej pory obsługiwał cztery wbudowane standardy: Azure CIS 1.1.0, PCI-DSS, ISO 27001 i SOC-TSP. Ogłaszamy publiczną wersję zapoznawcza dodatkowych obsługiwanych standardów: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM i UK Official wraz z UK NHS. Udostępniamy również zaktualizowaną wersję usługi Azure CIS 1.1.0, obejmującą więcej kontrolek ze standardu i zwiększającą rozszerzalność.

Dowiedz się więcej o dostosowywaniu zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.

Ochrona przed zagrożeniami dla Azure Kubernetes Service (wersja zapoznawcza)

Platforma Kubernetes szybko staje się nowym standardem wdrażania oprogramowania i zarządzania nim w chmurze. Niewiele osób ma duże doświadczenie z platformą Kubernetes, a wiele z nich koncentruje się tylko na ogólnej inżynierii i administracji oraz pomija aspekt zabezpieczeń. Środowisko Kubernetes musi być starannie skonfigurowane, aby było bezpieczne, upewniając się, że żadne drzwi powierzchni do ataków skoncentrowanych na kontenerach nie są widoczne dla osób atakujących. Usługa Security Center rozszerza swoją obsługę w przestrzeni kontenerów na jedną z najszybciej rozwijających się usług na platformie Azure — Azure Kubernetes Service (AKS).

Nowe możliwości w tej publicznej wersji zapoznawczej obejmują:

  • Odnajdywania & Widoczność — ciągłe odnajdywanie zarządzanych wystąpień usługi AKS w ramach zarejestrowanych subskrypcji usługi Security Center.
  • Zalecenia dotyczące wskaźnika bezpieczeństwa — elementy z możliwością działania, które ułatwiają klientom zapewnienie zgodności z najlepszymi rozwiązaniami w zakresie zabezpieczeń dla usługi AKS i zwiększanie wskaźnika bezpieczeństwa. Zalecenia obejmują takie elementy jak "Kontrola dostępu oparta na rolach powinna służyć do ograniczania dostępu do klastra usługi Kubernetes Service".
  • Wykrywanie zagrożeń — analiza oparta na hoście i klastrze, taka jak "Wykryto uprzywilejowany kontener".

Ocena luk w zabezpieczeniach maszyny wirtualnej (wersja zapoznawcza)

Aplikacje zainstalowane na maszynach wirtualnych często mogą mieć luki w zabezpieczeniach, które mogą prowadzić do naruszenia zabezpieczeń maszyny wirtualnej. Ogłaszamy, że warstwa Standardowa usługi Security Center obejmuje wbudowaną ocenę luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych opłat. Ocena luk w zabezpieczeniach obsługiwana przez firmę Qualys w publicznej wersji zapoznawczej umożliwia ciągłe skanowanie wszystkich zainstalowanych aplikacji na maszynie wirtualnej w celu znalezienia wrażliwych aplikacji i przedstawienia wyników w środowisku portalu usługi Security Center. Usługa Security Center zajmuje się wszystkimi operacjami wdrażania, aby użytkownik nie wymagał dodatkowej pracy. W przyszłości planujemy udostępnienie opcji oceny luk w zabezpieczeniach w celu obsługi unikatowych potrzeb biznesowych naszych klientów.

Dowiedz się więcej o ocenach luk w zabezpieczeniach dla usługi Azure Virtual Machines.

Zaawansowane zabezpieczenia danych dla serwerów SQL w usłudze Azure Virtual Machines (wersja zapoznawcza)

Azure Security Center obsługa ochrony przed zagrożeniami i oceny luk w zabezpieczeniach baz danych SQL działających na maszynach wirtualnych IaaS jest teraz dostępna w wersji zapoznawczej.

Ocena luk w zabezpieczeniach to łatwa do skonfigurowania usługa umożliwiająca odnajdywanie i śledzenie potencjalnych luk w zabezpieczeniach bazy danych oraz pomagająca w ich usuwaniu. Zapewnia wgląd w stan zabezpieczeń w ramach wskaźnika bezpieczeństwa i obejmuje kroki rozwiązywania problemów z zabezpieczeniami i ulepszania fortyfikacji bazy danych.

Zaawansowana ochrona przed zagrożeniami wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do serwera SQL lub wykorzystania go. Stale monitoruje bazę danych pod kątem podejrzanych działań i udostępnia alerty zabezpieczeń zorientowane na działania dotyczące nietypowych wzorców dostępu do bazy danych. Te alerty zawierają szczegóły podejrzanego działania i zalecane akcje w celu zbadania i ograniczenia zagrożenia.

Obsługa zasad niestandardowych (wersja zapoznawcza)

Azure Security Center obsługuje teraz zasady niestandardowe (w wersji zapoznawczej).

Nasi klienci chcą rozszerzyć swój obecny zakres ocen zabezpieczeń w usłudze Security Center przy użyciu własnych ocen zabezpieczeń na podstawie zasad tworzonych w Azure Policy. Dzięki obsłudze zasad niestandardowych jest to teraz możliwe.

Te nowe zasady będą częścią środowiska zaleceń usługi Security Center, wskaźnika bezpieczeństwa i pulpitu nawigacyjnego standardów zgodności z przepisami. Dzięki obsłudze zasad niestandardowych możesz teraz utworzyć inicjatywę niestandardową w Azure Policy, a następnie dodać ją jako zasady w usłudze Security Center i zwizualizować ją jako rekomendację.

Rozszerzanie zasięgu Azure Security Center za pomocą platformy dla społeczności i partnerów

Skorzystaj z usługi Security Center, aby otrzymywać zalecenia nie tylko od firmy Microsoft, ale także z istniejących rozwiązań od partnerów, takich jak Check Point, Tenable i CyberArk, przy czym dostępnych jest wiele innych integracji. Prosty przepływ dołączania usługi Security Center może łączyć istniejące rozwiązania z usługą Security Center, umożliwiając wyświetlanie zaleceń dotyczących stanu zabezpieczeń w jednym miejscu, uruchamianie ujednoliconych raportów i korzystanie ze wszystkich funkcji usługi Security Center w przypadku wbudowanych i rekomendacji partnerów. Możesz również wyeksportować rekomendacje usługi Security Center do produktów partnerskich.

Dowiedz się więcej o inteligentnym skojarzeniu zabezpieczeń firmy Microsoft.

Zaawansowane integracje z eksportowaniem zaleceń i alertów (wersja zapoznawcza)

W celu włączenia scenariuszy na poziomie przedsiębiorstwa w usłudze Security Center można teraz korzystać z alertów i zaleceń usługi Security Center w dodatkowych miejscach z wyjątkiem Azure Portal lub interfejsu API. Można je wyeksportować bezpośrednio do centrum zdarzeń i do obszarów roboczych usługi Log Analytics. Oto kilka przepływów pracy, które można utworzyć wokół tych nowych możliwości:

  • Eksportowanie do obszaru roboczego usługi Log Analytics umożliwia tworzenie niestandardowych pulpitów nawigacyjnych za pomocą usługi Power BI.
  • Dzięki eksportowaniu do usługi Event Hubs będziesz mieć możliwość eksportowania alertów i zaleceń usługi Security Center do rozwiązania innych firm lub usługi Azure Data Explorer.

Dołączanie serwerów lokalnych do usługi Security Center z Windows Admin Center (wersja zapoznawcza)

Windows Admin Center to portal zarządzania dla serwerów z systemem Windows, które nie zostały wdrożone na platformie Azure, oferując im kilka funkcji zarządzania platformą Azure, takich jak tworzenie kopii zapasowych i aktualizacje systemu. Niedawno dodaliśmy możliwość dołączania tych serwerów spoza platformy Azure do ochrony przez usługę ASC bezpośrednio z poziomu środowiska Windows Admin Center.

Dzięki temu nowemu środowisku użytkownicy będą dołączać serwer WAC do Azure Security Center i włączać wyświetlanie alertów zabezpieczeń i zaleceń bezpośrednio w środowisku Windows Admin Center.

Wrzesień 2019 r.

Aktualizacje we wrześniu obejmują:

Zarządzanie regułami za pomocą ulepszeń adaptacyjnego sterowania aplikacjami

Ulepszono środowisko zarządzania regułami maszyn wirtualnych przy użyciu funkcji adaptacyjnego sterowania aplikacjami. funkcje adaptacyjnego sterowania aplikacjami Azure Security Center pomagają kontrolować, które aplikacje mogą być uruchamiane na maszynach wirtualnych. Oprócz ogólnej poprawy zarządzania regułami nowa korzyść umożliwia kontrolowanie typów plików, które będą chronione podczas dodawania nowej reguły.

Dowiedz się więcej o adaptacyjnych kontrolkach aplikacji.

Kontrolowanie zaleceń dotyczących zabezpieczeń kontenera przy użyciu Azure Policy

Azure Security Center zalecenie dotyczące korygowania luk w zabezpieczeniach kontenera można teraz włączyć lub wyłączyć za pośrednictwem Azure Policy.

Aby wyświetlić włączone zasady zabezpieczeń, w usłudze Security Center otwórz stronę Zasady zabezpieczeń.

Sierpień 2019 r.

Aktualizacje w sierpniu obejmują:

Dostęp just in time (JIT) do maszyny wirtualnej na potrzeby Azure Firewall

Dostęp just in time (JIT) do maszyny wirtualnej dla Azure Firewall jest teraz ogólnie dostępny. Służy do zabezpieczania środowisk chronionych Azure Firewall oprócz środowisk chronionych przez sieciową grupę zabezpieczeń.

Dostęp do maszyn wirtualnych JIT zmniejsza narażenie na ataki wolumetryczne przez zapewnienie kontrolowanego dostępu do maszyn wirtualnych tylko wtedy, gdy jest to konieczne, przy użyciu sieciowej grupy zabezpieczeń i reguł Azure Firewall.

Po włączeniu trybu JIT dla maszyn wirtualnych należy utworzyć zasady określające porty, które mają być chronione, jak długo porty mają pozostać otwarte i zatwierdzone adresy IP, z których można uzyskać dostęp do tych portów. Te zasady pomagają zachować kontrolę nad tym, co użytkownicy mogą robić, gdy żądają dostępu.

Żądania są rejestrowane w dzienniku aktywności platformy Azure, dzięki czemu można łatwo monitorować i przeprowadzać inspekcję dostępu. Strona just in time pomaga również szybko zidentyfikować istniejące maszyny wirtualne z włączonym dostępem JIT i maszynami wirtualnymi, na których zaleca się dostęp JIT.

Dowiedz się więcej o Azure Firewall.

Korygowanie za pomocą jednego kliknięcia w celu zwiększenia poziomu zabezpieczeń (wersja zapoznawcza)

Wskaźnik bezpieczeństwa to narzędzie, które pomaga ocenić stan zabezpieczeń obciążenia. Przegląda rekomendacje dotyczące zabezpieczeń i ustala ich priorytety, aby wiedzieć, które zalecenia należy wykonać jako pierwsze. Ułatwia to znalezienie najpoważniejszych luk w zabezpieczeniach w celu nadania priorytetów badaniom.

Aby uprościć korygowanie błędów konfiguracji zabezpieczeń i pomóc w szybkim ulepszaniu wskaźnika bezpieczeństwa, dodaliśmy nową funkcję umożliwiającą korygowanie rekomendacji dotyczącej większości zasobów w jednym kliknięciu.

Ta operacja umożliwi wybranie zasobów, do których chcesz zastosować korygowanie, i uruchomienie akcji korygowania, która skonfiguruje ustawienie w Twoim imieniu.

Zobacz, które zalecenia mają włączoną szybką poprawkę w przewodniku referencyjnym dotyczącym zaleceń dotyczących zabezpieczeń.

Zarządzanie wieloma dzierżawami

Usługa Security Center obsługuje teraz scenariusze zarządzania między dzierżawami w ramach usługi Azure Lighthouse. Dzięki temu można uzyskać wgląd w stan zabezpieczeń wielu dzierżaw w usłudze Security Center i zarządzać nim.

Dowiedz się więcej o środowiskach zarządzania między dzierżawami.

Lipiec 2019 r.

Aktualizacje do zaleceń dotyczących sieci

Azure Security Center (ASC) wprowadziła nowe zalecenia dotyczące sieci i poprawiła niektóre istniejące. Teraz korzystanie z usługi Security Center zapewnia jeszcze większą ochronę sieci dla zasobów.

Dowiedz się więcej o zaleceniach dotyczących sieci.

Czerwiec 2019 r.

Adaptacyjne wzmocnienie zabezpieczeń sieci — ogólnie dostępne

Jedną z największych powierzchni ataków dla obciążeń działających w chmurze publicznej są połączenia z publicznym Internetem i z internetu publicznego. Nasi klienci trudno ustalić, które reguły sieciowej grupy zabezpieczeń powinny być stosowane, aby upewnić się, że obciążenia platformy Azure są dostępne tylko dla wymaganych zakresów źródłowych. Dzięki tej funkcji usługa Security Center uczy się ruchu sieciowego i wzorców łączności obciążeń platformy Azure oraz udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń dla maszyn wirtualnych, które mają połączenie z Internetem. Pomaga to naszemu klientowi lepiej skonfigurować zasady dostępu do sieci i ograniczyć ich narażenie na ataki.

Dowiedz się więcej o adaptacyjnym wzmacnianiu zabezpieczeń sieci.