Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta strona zawiera informacje o funkcjach, poprawkach i wycofaniu, które są starsze niż sześć miesięcy. Aby zapoznać się z najnowszymi aktualizacjami, przeczytaj Co nowego w Defender dla Chmury?.
Czerwiec 2025 r.
| Date | Category | Update |
|---|---|---|
| 30 czerwca | Preview | Defender wykrywania dns kontenera na podstawie programu Helm (wersja zapoznawcza) |
| 25 czerwca | Preview | Opcjonalne tagi indeksu do przechowywania wyników skanowania złośliwego oprogramowania (wersja zapoznawcza) |
| 25 czerwca | Preview | Odnajdywanie interfejsów API i poziom bezpieczeństwa dla API hostowanych w Function Apps i Logic Apps (wersja próbna) |
| 25 czerwca | Preview | Monitorowanie integralności plików bez agenta (wersja zapoznawcza) |
| 18 czerwca | Preview | skanowanie kodu Agentless — obsługa GitHub i możliwość dostosowywania pokrycia jest teraz dostępna (wersja zapoznawcza) |
Defender wykrywania dns kontenera na podstawie narzędzia Helm (wersja zapoznawcza)
Co jest zawarte:
Obsługa wdrażania opartego na usłudze Helm
Aby uzyskać instrukcje dotyczące instalacji i więcej szczegółów, zobacz Install Defender for Containers sensor using Helm (
Wykrywanie zagrożeń DNS
Zwiększa wydajność pamięci i zmniejsza zużycie procesora w przypadku dużych wdrożeń klastra.
Aby uzyskać więcej informacji, zobacz: Sensor for Defender for Containers Changelog.
Opcjonalne tagi indeksu do przechowywania wyników skanowania złośliwego oprogramowania (wersja zapoznawcza)
25 czerwca 2025 r.
Defender skanowania złośliwego oprogramowania w usłudze Storage wprowadzono opcjonalne tagi indeksów zarówno na potrzeby skanowania lokalnego, jak i na żądanie. Dzięki tej nowej funkcji użytkownicy mogą zdecydować, czy publikować wyniki w tagach indeksowych obiektu blob, gdy obiekt blob jest skanowany (ustawienie domyślne), lub zrezygnować z użycia tagów indeksowych. Tagi indeksów można włączać lub wyłączać na poziomie subskrypcji i konta magazynu za pośrednictwem portalu Azure lub za pośrednictwem interfejsu API.
Odkrywanie interfejsów API i stan zabezpieczeń dla interfejsów API hostowanych w Aplikacjach Funkcji i Aplikacjach Logicznych (wersja zapoznawcza)
25 czerwca 2025 r.
Defender dla Chmury teraz rozszerza możliwości odnajdywania i stanu zabezpieczeń interfejsu API w celu uwzględnienia interfejsów API hostowanych w aplikacjach funkcji Azure i Logic Apps oprócz istniejącej obsługi interfejsów API opublikowanych w Azure API Management.
To ulepszenie umożliwia zespołom ds. zabezpieczeń kompleksowy i stale aktualizowany widok obszaru ataków interfejsu API organizacji. Kluczowe możliwości to:
- Centralized API Inventory: Automatyczne odnajdywanie i katalogowanie interfejsów API w obsługiwanych usługach Azure.
- Oceny ryzyka zabezpieczeń: identyfikowanie i określanie priorytetów zagrożeń, w tym identyfikację uśpionych interfejsów API, które mogą uzasadniać usunięcie, a także niezaszyfrowane interfejsy API, które mogą uwidaczniać poufne dane.
Te możliwości są automatycznie dostępne do wszystkich Defender dla Chmury zarządzanie stanem zabezpieczeń (DCSPM) klientów, którzy włączyli rozszerzenie zarządzania stanem zabezpieczeń API.
Oś czasu wdrożenia: wdrożenie tych aktualizacji rozpocznie się 25 czerwca 2025 r. i ma dotrzeć do wszystkich obsługiwanych regionów w ciągu jednego tygodnia.
Monitorowanie integralności plików bez agenta (wersja zapoznawcza)
25 czerwca 2025 r.
Monitorowanie integralności plików bez agenta (FIM) jest teraz dostępne w wersji zapoznawczej. Ta funkcja uzupełnia ogólnie dostępne (GA) rozwiązanie FIM oparte na agencie Ochrona punktu końcowego w usłudze Microsoft Defender i wprowadza obsługę niestandardowego monitorowania plików i rejestru.
Program FIM bez agenta umożliwia organizacjom monitorowanie zmian plików i rejestru w całym środowisku bez wdrażania innych agentów. Zapewnia uproszczoną, skalowalną alternatywę przy zachowaniu zgodności z istniejącym rozwiązaniem opartym na agencie.
Kluczowe możliwości to:
- Monitorowanie niestandardowe: spełniają określone wymagania dotyczące zgodności i zabezpieczeń, definiując i monitorując niestandardowe ścieżki plików i klucze rejestru.
- Ujednolicone środowisko: Zdarzenia zarówno bezagentowe, jak i oparte na MDE FIM są przechowywane w tej samej tabeli przestrzeni roboczej, z jasnymi wskaźnikami źródłowymi.
Dowiedz się więcej o monitorowaniu integralności plików i sposobie włączania monitorowania integralności plików.
Skanowanie kodu bez agenta — obsługa GitHub i możliwość dostosowywania pokrycia jest teraz dostępna (wersja zapoznawcza)
18 czerwca 2025 r.
Zaktualizowaliśmy funkcję skanowania kodu bez agenta, aby zawierała kluczowe możliwości, które rozszerzają zarówno pokrycie, jak i kontrolę. Te aktualizacje obejmują:
- Obsługa repozytoriów GitHub oprócz Azure DevOps
- Wybór skanera z możliwością dostosowywania — wybierz narzędzia (np. Bandit, Checkov, ESLint) do uruchomienia
- Szczegółowa konfiguracja zakresu — dołączanie lub wykluczanie określonych organizacji, projektów lub repozytoriów
Skanowanie kodu bez agenta zapewnia skalowalne skanowanie bezpieczeństwa dla kodu i infrastruktury jako kodu (IaC) bez konieczności wprowadzania zmian w procesach ciągłej integracji i ciągłego wdrażania (CI/CD). Pomaga to zespołom ds. zabezpieczeń wykrywać luki w zabezpieczeniach i błędy konfiguracji bez przerywania przepływów pracy deweloperów.
Dowiedz się więcej na temat konfigurowanie skanowania kodu bez agenta w Azure DevOps lub GitHub.
Maj 2025 r.
| Date | Category | Update |
|---|---|---|
| 28 maja | ogólna dostępność | Ogólna dostępność w celu dostosowania filtrów skanowania złośliwego oprogramowania w Defender dla magazynu |
| 5 maja | Preview | Aktywny użytkownik (publiczna wersja zapoznawcza) |
| 1 maja | ogólna dostępność | Ogólne dostępność dla Defender dla usług AI |
| 1 maja | ogólna dostępność | Microsoft Security Copilot jest teraz ogólnie dostępny w Defender dla Chmury |
| 1 maja | ogólna dostępność | Dashboard zabezpieczeń danych, ogólnej dostępności i sztucznej inteligencji |
| 1 maja | Nadchodząca zmiana | CSPM w usłudze Defender rozpoczyna naliczanie opłat za serwer elastyczny Azure Database for MySQL i zasoby serwera elastycznego Azure Database for PostgreSQL |
Ogólna dostępność do dostosowywania filtrów skanowania złośliwego oprogramowania podczas przekazywania w Defender dla magazynu
28 maja 2025 r.
Skanowanie złośliwego oprogramowania podczas przesyłania obsługuje teraz filtry z możliwością dostosowywania. Użytkownicy mogą ustawiać reguły wykluczania skanowania złośliwego oprogramowania na podstawie prefiksów, sufiksów ścieżek blob oraz ich rozmiaru. Wykluczając określone ścieżki i typy obiektów blob, takie jak dzienniki lub pliki tymczasowe, można uniknąć niepotrzebnych skanowań i zmniejszyć koszty.
Dowiedz się, jak skonfigurować możliwe do dostosowania filtry do skanowania malware podczas przesyłania plików.
Aktywny użytkownik (publiczna wersja zapoznawcza)
Funkcja Aktywny użytkownik pomaga administratorom zabezpieczeń szybko identyfikować i przypisywać rekomendacje najbardziej odpowiednim użytkownikom na podstawie ostatnich działań w płaszczyźnie kontrolnej. Dla każdego zalecenia sugerowane są maksymalnie trzy potencjalne aktywne użytkowników na poziomie zasobu, grupy zasobów lub subskrypcji. Administratorzy mają możliwość wyboru użytkownika z listy, przypisania zalecenia i ustawienia terminu realizacji, po czym nastąpi wysłanie powiadomienia do przypisanego użytkownika. Usprawnia to przepływy pracy poprawy, zmniejsza czas potrzebny na analizę i wzmacnia ogólną postawę bezpieczeństwa.
Ogólna dostępność Defender dla usług AI
1 maja 2025 r.
Defender dla Chmury obsługuje teraz ochronę środowiska uruchomieniowego dla Azure AI services (wcześniej nazywaną ochroną przed zagrożeniami dla obciążeń sztucznej inteligencji).
Ochrona Azure AI services obejmuje zagrożenia specyficzne dla usług i aplikacji sztucznej inteligencji, takich jak jailbreak, nadużycie portfela, narażenie na dane, podejrzane wzorce dostępu i inne. Wykrycia używają sygnałów z Microsoft analizy zagrożeń i Azure osłon monitów dotyczących sztucznej inteligencji oraz stosowania uczenia maszynowego i sztucznej inteligencji w celu zabezpieczenia usług sztucznej inteligencji.
Dowiedz się więcej o Defender dla usług AI.
Microsoft Security Copilot jest teraz ogólnie dostępna w Defender dla Chmury
1 maja 2025 r.
Microsoft Security Copilot jest teraz ogólnie dostępna w Defender dla Chmury.
Security Copilot przyspiesza korygowanie ryzyka dla zespołów ds. zabezpieczeń, dzięki czemu administratorzy mogą szybciej i łatwiej rozwiązywać zagrożenia w chmurze. Udostępnia on podsumowania generowane przez sztuczną inteligencję, akcje korygowania i wiadomości e-mail z delegowaniem, prowadząc użytkowników przez każdy etap procesu redukcji ryzyka.
Administratorzy zabezpieczeń mogą szybko podsumowywać zalecenia, generować skrypty korygowania i delegować zadania za pośrednictwem poczty e-mail do właścicieli zasobów. Te możliwości skracają czas badania, pomagają zespołom ds. zabezpieczeń zrozumieć zagrożenia w kontekście i zidentyfikować zasoby na potrzeby szybkiego korygowania.
Dowiedz się więcej o Microsoft Security Copilot w Defender dla Chmury.
Panel sterowania zabezpieczeniami danych i sztucznej inteligencji ogólnej dostępności
1 maja 2025 r.
Defender dla Chmury usprawnia pulpit nawigacyjny zabezpieczeń danych, aby uwzględnić zabezpieczenia sztucznej inteligencji przy użyciu nowego pulpitu nawigacyjnego zabezpieczeń danych i sztucznej inteligencji w ogólnie dostępnej wersji. Pulpit nawigacyjny udostępnia scentralizowaną platformę do monitorowania danych i zasobów sztucznej inteligencji oraz zarządzania nimi wraz ze skojarzonymi czynnikami ryzyka i stanem ochrony.
Kluczowe korzyści z pulpitu nawigacyjnego zabezpieczeń danych i sztucznej inteligencji obejmują:
- Ujednolicony widok: uzyskaj kompleksowy widok wszystkich danych organizacji i zasobów sztucznej inteligencji.
- Szczegółowe informacje o danych: informacje o tym, gdzie są przechowywane dane, oraz typy zasobów, w których są przechowywane.
- Pokrycie ochrony: ocena pokrycia ochrony danych i zasobów sztucznej inteligencji.
- Krytyczne problemy: wyróżnianie zasobów wymagających natychmiastowej uwagi na podstawie zaleceń o wysokiej ważności, alertów i ścieżek ataków.
- Odnajdywanie poufnych danych: lokalizowanie i podsumowywanie poufnych zasobów danych w chmurze i zasobach sztucznej inteligencji.
- Obciążenia sztucznej inteligencji: odnajdywanie śladów aplikacji sztucznej inteligencji, w tym usług, kontenerów, zestawów danych i modeli.
Dowiedz się więcej na temat pulpitu nawigacyjnego zabezpieczeń danych i sztucznej inteligencji.
CSPM w usłudze Defender rozpoczyna naliczanie opłat za Azure Database for MySQL serwer elastyczny i zasoby serwera elastycznego Azure Database for PostgreSQL
1 maja 2025 r.
Szacowana data zmiany: Czerwiec 2025 r.
Od 1 czerwca 2025 r. usługa Microsoft CSPM w usłudze Defender rozpocznie naliczanie opłat za Azure Database for MySQL serwer elastyczny i Azure Database for PostgreSQL serwer elastyczny zasoby w ramach subskrypcji, w której CSPM w usłudze Defender jest włączona. Te zasoby są już chronione przez CSPM w usłudze Defender i nie jest wymagana żadna akcja użytkownika. Po rozpoczęciu rozliczeń rachunek może wzrosnąć.
Aby uzyskać więcej informacji, zobacz Cennik planu CSPM
Kwiecień 2025 r.
| Date | Category | Update |
|---|---|---|
| 29 kwietnia | Preview | Zarządzanie stanem sztucznej inteligencji w AI wierzchołka GCP (wersja zapoznawcza) |
| 29 kwietnia | Preview | Defender dla Chmury integracja z.io (wersja zapoznawcza) |
| 29 kwietnia | Change | Aktualizowanie uprawnień aplikacji GitHub |
| 28 kwietnia | Change | Aktualizuj Defender dla serwerów SQL w planie maszyn |
| 27 kwietnia | ogólna dostępność | Nowy domyślny limit skanowania złośliwego oprogramowania podczas przekazywania w Microsoft Defender w usłudze Storage |
| 24 kwietnia | ogólna dostępność | Ogólne dostępność natywnej integracji zarządzania stanem zabezpieczeń interfejsu API w ramach planu CSPM w usłudze Defender |
| 7 kwietnia | Zbliżająca się zmiana | Enhancements for Defender for app service alerts |
Zarządzanie stanem AI w GCP Vertex AI (wersja przeglądowa)
29 kwietnia 2025 r.
funkcje zarządzania stanem zabezpieczeń sztucznej inteligencji Defender dla Chmury obsługują teraz obciążenia sztucznej inteligencji w usłudze Google Cloud Platform (GCP) Vertex AI (wersja zapoznawcza).
Najważniejsze funkcje tej wersji to:
- Nowoczesne odnajdywanie aplikacji sztucznej inteligencji: automatycznie odnajdywanie i katalogowanie składników aplikacji sztucznej inteligencji, danych i artefaktów sztucznej inteligencji wdrożonych w usłudze GCP Vertex AI.
- Wzmocnienie poziomu zabezpieczeń: wykrywanie błędów konfiguracji i otrzymywanie wbudowanych zaleceń i akcji korygujących w celu zwiększenia stanu zabezpieczeń aplikacji sztucznej inteligencji.
- Analiza ścieżki ataku: identyfikowanie i korygowanie zagrożeń przy użyciu zaawansowanej analizy ścieżki ataku w celu ochrony obciążeń sztucznej inteligencji przed potencjalnymi zagrożeniami.
Te funkcje zostały zaprojektowane, aby zapewnić kompleksową widoczność, wykrywanie błędnej konfiguracji i wzmacnianie bezpieczeństwa zasobów AI, zapewniając jednocześnie zmniejszenie ryzyka dla obciążeń AI opracowanych na platformie GCP Vertex AI.
Dowiedz się więcej o zarządzaniu stanem zabezpieczeń sztucznej inteligencji.
integracja Defender dla Chmury z usługą.io (wersja zapoznawcza)
29 kwietnia 2025 r.
Defender dla Chmury jest teraz zintegrowana z.io w wersji zapoznawczej. Ta integracja poprawia bezpieczeństwo aplikacji software'owych poprzez identyfikację i ograniczanie luk w zabezpieczeniach zależności partnerskich. Ta integracja usprawnia procesy odnajdywania i korygowania, poprawiając ogólne zabezpieczenia.
Dowiedz się więcej o integracji Mend.io.
aktualizacja uprawnień aplikacji GitHub
29 kwietnia 2025 r.
GitHub łączniki w Defender dla Chmury zostaną zaktualizowane w celu uwzględnienia uprawnień administratora dla [Właściwości niestandardowe]. To uprawnienie służy do zapewniania nowych możliwości kontekstowych i jest ograniczone do zarządzania niestandardowym schematem właściwości. Uprawnienia można przyznać na dwa różne sposoby:
W organizacji GitHub przejdź do aplikacji rozwiązania zabezpieczające firmy Microsoft DevOps w Ustawienia > GitHub Apps i zaakceptuj żądanie uprawnień.
W automatycznej wiadomości e-mail z działu pomocy technicznej GitHub wybierz pozycję Review żądanie uprawnień aby zaakceptować lub odrzucić tę zmianę.
Uwaga: Istniejące łączniki nadal działają bez nowych funkcji, jeśli powyższe działanie nie zostanie wykonane.
Aktualizacja do Defender dla serwerów SQL w planie maszyn
28 kwietnia 2025
Plan Defender SQL Server na maszynach w Microsoft Defender dla Chmury chroni wystąpienia SQL Server hostowane na maszynach Azure, AWS, GCP i lokalnych.
Począwszy od dzisiaj, stopniowo publikujemy ulepszone rozwiązanie agenta dla planu. Rozwiązanie oparte na agencie eliminuje konieczność wdrożenia agenta Azure Monitor (AMA) i zamiast tego używa istniejącej infrastruktury SQL. Rozwiązanie zostało zaprojektowane w celu ułatwienia procesów wdrażania i poprawy zakresu ochrony.
Wymagane akcje klienta:
Aktualizuj Defender dla serwerów SQL Server w konfiguracji planu maszyn: Klienci, którzy włączyli Defender dla planu SQL Server na maszynach przed dzisiaj, muszą postępować zgodnie z tymi instrukcjami w celu zaktualizowania konfiguracji, zgodnie z rozszerzoną wersją agenta.
Weryfikuj stan ochrony wystąpień SQL Server: z szacowaną datą początkową z maja 2025 r. klienci muszą zweryfikować stan ochrony wystąpień SQL Server w różnych środowiskach. Dowiedz się, jak troubleshoot wszelkie problemy z wdrażaniem Defender dla programu SQL w konfiguracji maszyn.
Note
Po uaktualnieniu agenta może wystąpić wzrost rozliczeń, jeśli dodatkowe wystąpienia SQL Server są chronione przy użyciu włączonego Defender dla serwerów SQL w planie maszyn. Aby uzyskać informacje dotyczące rozliczeń, zapoznaj się ze stroną cennika Defender dla Chmury.
Nowy domyślny limit skanowania złośliwego oprogramowania podczas przekazywania w Microsoft Defender dla usługi Storage
27 kwietnia 2025 r.
Domyślna wartość limitu dla skanowania pod kątem złośliwego oprogramowania podczas przekazywania została zaktualizowana z 5000 GB do 10 000 GB. Ten nowy limit dotyczy następujących scenariuszy:
Nowe subskrypcje: subskrypcje, w których Defender dla magazynu jest włączona po raz pierwszy.
Re-enabled Subscriptions: subskrypcje, w których Defender dla magazynu została wcześniej wyłączona i jest teraz ponownie włączona.
Po włączeniu Defender skanowania złośliwego oprogramowania magazynu dla tych subskrypcji domyślny limit skanowania złośliwego oprogramowania podczas przekazywania złośliwego oprogramowania zostanie ustawiony na 10 000 GB. Ten limit można dostosować do konkretnych potrzeb.
Aby uzyskać bardziej szczegółowe informacje, zapoznaj się z sekcją dotyczącą skanowania złośliwego oprogramowania — rozliczenia na GB, miesięczne ograniczenie i konfiguracja
Ogólna dostępność natywnej integracji zarządzania stanem zabezpieczeń interfejsu API w ramach planu CSPM w usłudze Defender
24 kwietnia 2025 r.
Zarządzanie stanem zabezpieczeń interfejsu API jest teraz ogólnie dostępne w ramach planu CSPM w usłudze Defender. W tej wersji wprowadzono ujednolicony spis interfejsów API wraz ze szczegółowymi informacjami o stanie, ułatwiając bardziej efektywne identyfikowanie i określanie priorytetów zagrożeń interfejsu API bezpośrednio z planu CSPM w usłudze Defender. Możliwość tę możesz włączyć na stronie ustawień środowiska, uruchamiając rozszerzenie dotyczące zabezpieczeń interfejsu API.
Dzięki tej aktualizacji dodano nowe czynniki ryzyka, w tym czynniki ryzyka dla nieuwierzytelnionych interfejsów API (AllowsAnonymousAccess) i interfejsów API, które nie mają szyfrowania (UnencryptedAccess). Ponadto interfejsy API opublikowane za pośrednictwem Azure API Management umożliwiają teraz mapowanie z powrotem na wszystkie połączone wejścia i maszyny wirtualne Kubernetes, zapewniając pełny wgląd w ekspozycję interfejsu API i obsługę korygowania ryzyka za pomocą analizy ścieżki ataku.
Ulepszenia Defender alertów usługi App Service
7 kwietnia 2025
30 kwietnia 2025 r. Defender możliwości alertów usługi App Service zostaną rozszerzone. Dodamy alerty dotyczące podejrzanych wykonań kodu i dostępu do wewnętrznych lub zdalnych punktów końcowych. Ponadto ulepszyliśmy pokrycie i zmniejszyliśmy liczbę szumów z odpowiednich alertów, rozszerzając naszą logikę i usuwając alerty powodujące niepotrzebne szumy. W ramach tego procesu alert "Wykryto podejrzane użycie motywu WordPress" zostanie wycofany.
Marzec 2025 r.
| Date | Category | Update |
|---|---|---|
| 30 marca | ogólna dostępność | Rozszerzona ochrona kontenerów dzięki ocenie luk w zabezpieczeniach i wykrywaniu złośliwego oprogramowania dla węzłów usługi AKS jest teraz ogólnie dostępna |
| 27 marca | Preview | Kontrolowane wdrożenie Kubernetes (wersja testowa) |
| 27 marca | Preview | Dostosowywalne filtry skanowania złośliwego oprogramowania w Defender dla usługi Storage (wersja zapoznawcza) |
| 26 marca | ogólna dostępność | Ogólne dostępność na potrzeby obsługi skanowania maszyn wirtualnych bez agenta na potrzeby zarządzania kluczami w Azure |
| 11 marca | Zbliżająca się zmiana | Nadchodząca zmiana stopnia istotności rekomendacji |
| Marzec 03 | ogólna dostępność | Ogólne dostępność monitorowania integralności plików (FIM) na podstawie Ochrona punktu końcowego w usłudze Microsoft Defender w Azure Government |
Rozszerzona ochrona kontenerów dzięki ocenie luk w zabezpieczeniach i wykrywaniu złośliwego oprogramowania dla węzłów usługi AKS jest teraz ogólnie dostępna
30 marca 2025 r.
Defender dla Chmury teraz zapewnia ocenę luk w zabezpieczeniach i wykrywanie złośliwego oprogramowania dla węzłów w Azure Kubernetes Service (AKS) jako ogólna dostępność. Zapewnienie ochrony zabezpieczeń dla tych węzłów Kubernetes umożliwia klientom zachowanie zabezpieczeń i zgodności w zarządzanej usłudze Kubernetes oraz zrozumienie ich części wspólnej odpowiedzialności za zabezpieczenia, które mają z zarządzanym dostawcą usług w chmurze. Aby uzyskać nowe możliwości, musisz włączyć skanowanie Agentless dla maszyn" w ramach CSPM w usłudze Defender, Defender dla kontenerów lub Defender dla serwerów P2 planu w ramach subskrypcji.
Ocena luk w zabezpieczeniach
Nowe zalecenie jest teraz dostępne w portalu Azure: węzły AKS powinny mieć rozwiązane wyniki luk w zabezpieczeniach. Korzystając z tego zalecenia, można teraz przeglądać i korygować luki w zabezpieczeniach oraz elementy CVE znalezione w węzłach Azure Kubernetes Service (AKS).
Wykrywanie złośliwego oprogramowania
Nowe alerty zabezpieczeń są wyzwalane, gdy funkcja wykrywania złośliwego oprogramowania bez agenta wykryje złośliwe oprogramowanie w węzłach usługi AKS. Wykrywanie złośliwego oprogramowania bez agenta używa aparatu ochrony przed złośliwym oprogramowaniem antywirusowego Microsoft Defender do skanowania i wykrywania złośliwych plików. Po wykryciu zagrożeń alerty zabezpieczeń są kierowane do Defender dla Chmury i Defender XDR, gdzie można je zbadać i skorygować.
Note: Wykrywanie złośliwego oprogramowania dla węzłów usługi AKS jest dostępne tylko dla Defender dla kontenerów lub Defender w środowiskach z obsługą P2 serwerów.
Wdrożenie kontrolowane Kubernetes (wersja próbna)
27 marca 2025 r.
Wprowadzamy funkcję wdrażania platformy Kubernetes (wersja zapoznawcza) do planu Defender for Containers. Kontrolowane wdrożenie na platformie Kubernetes to mechanizm zwiększania zabezpieczeń poprzez kontrolowanie wdrażania obrazów kontenerów, które naruszają polityki bezpieczeństwa organizacji.
Ta funkcja jest oparta na dwóch nowych funkcjach:
- Artefakt znajdowania luk w zabezpieczeniach: generowanie wyników dla każdego obrazu kontenera zeskanowanego pod kątem oceny luk w zabezpieczeniach.
- Reguły zabezpieczeń: dodawanie reguł zabezpieczeń w celu alertowania lub zapobiegania wdrażaniu podatnych obrazów kontenerów w klastrach Kubernetes.
Dostosowane reguły zabezpieczeń: klienci mogą dostosowywać reguły zabezpieczeń dla różnych środowisk, dla klastrów Kubernetes w organizacji lub przestrzeni nazw, aby umożliwić mechanizmy kontroli zabezpieczeń dostosowane do określonych potrzeb i wymagań dotyczących zgodności.
Konfigurowalne akcje dla reguły zabezpieczeń:
Inspekcja: Próba wdrożenia obrazu kontenera podatnego na zagrożenia wyzwala akcję "Inspekcja", generując zalecenie ze szczegółami naruszenia obrazu kontenera.
Odmowa: Próba wdrożenia obrazu kontenera podatnego na zagrożenia wyzwala akcję "Odmów", aby zapobiec wdrożeniu obrazu kontenera, zapewniając wdrożenie tylko bezpiecznych i zgodnych obrazów.
Kompleksowe zabezpieczenia: Definiując ochronę przed wdrożeniem obrazów kontenerów obarczonych podatnościami jako pierwszą regułę zabezpieczeń, wprowadzamy kompleksowy mechanizm zabezpieczający gating platformy Kubernetes, zapewniając, że kontenery obarczone podatnościami nie wchodzą w środowisko Kubernetes klienta.
Aby uzyskać więcej informacji na temat tej funkcji, zobacz Omówienie rozwiązania gated Deployment.
Możliwe do dostosowania filtry skanowania złośliwego oprogramowania w Defender dla usługi Storage (wersja zapoznawcza)
27 marca 2025 r.
Skanowanie złośliwego oprogramowania podczas przesyłania obsługuje teraz filtry z możliwością dostosowywania. Użytkownicy mogą ustawiać reguły wykluczania skanowania złośliwego oprogramowania na podstawie prefiksów, sufiksów ścieżek blob oraz ich rozmiaru. Wykluczając określone ścieżki i typy obiektów blob, takie jak dzienniki lub pliki tymczasowe, można uniknąć niepotrzebnych skanowań i zmniejszyć koszty.
Dowiedz się, jak skonfigurować możliwe do dostosowania filtry do skanowania malware podczas przesyłania plików.
Ogólna dostępność obsługi skanowania maszyn wirtualnych bez agenta dla klucza zarządzanego przez klienta w Azure
26 marca 2025 r.
Skanowanie bez agenta dla maszyn wirtualnych Azure z zaszyfrowanymi dyskami CMK jest teraz ogólnie dostępne. Zarówno plan CSPM w usłudze Defender, jak i Defender dla serwerów P2 zapewniają obsługę skanowania bez agenta dla maszyn wirtualnych, teraz z obsługą klucza zarządzanego przez klienta we wszystkich chmurach
Dowiedz się, jak włączenie bez agenta skanowania dla maszyn wirtualnych Azure przy użyciu szyfrowanych dysków CMK.
Zbliżająca się zmiana poziomów surowości rekomendacji
11 marca 2025 r.
Zwiększamy poziomy ważności zaleceń w celu poprawy oceny ryzyka i priorytetyzacji. W ramach tej aktualizacji przeszacowaliśmy wszystkie klasyfikacje ważności i wprowadziliśmy nowy poziom — Krytyczny. Wcześniej rekomendacje zostały podzielone na trzy poziomy: Niski, Średni i Wysoki. Dzięki tej aktualizacji istnieją teraz cztery odrębne poziomy: Niski, Średni, Wysoki i Krytyczny, zapewniając bardziej szczegółową ocenę ryzyka, aby pomóc klientom skupić się na najpilniejszych problemach z zabezpieczeniami.
W związku z tym klienci mogą zauważyć zmiany w stopniu nasilenia istniejących zaleceń. Ponadto ocena poziomu ryzyka, która jest dostępna tylko dla CSPM w usłudze Defender klientów, może również mieć wpływ zarówno na ważność rekomendacji, jak i kontekst zasobu. Korekty te mogą mieć wpływ na ogólny poziom ryzyka.
Przewidywane zmiany odbędą się 25 marca 2025 r.
Ogólna dostępność monitorowania integralności plików (FIM) na podstawie Ochrona punktu końcowego w usłudze Microsoft Defender w Azure Government
3 marca 2025 r.
Monitorowanie integralności plików na podstawie Ochrona punktu końcowego w usłudze Microsoft Defender jest teraz ogólnie dostępne w Azure Government (GCCH) w ramach Defender dla serwerów Plan 2.
- Spełnij wymagania dotyczące zgodności, monitorując krytyczne pliki i rejestry w czasie rzeczywistym i przeprowadzając inspekcję zmian.
- Zidentyfikuj potencjalne problemy z zabezpieczeniami, wykrywając podejrzane zmiany zawartości pliku.
To ulepszone środowisko programu FIM zastępuje istniejącą, która jest ustawiona na wycofanie agenta Log Analytics (MMA). Środowisko FIM w programie MMA pozostanie obsługiwane w Azure Government do końca marca 2023 r.
W tej wersji zostanie wydane środowisko produktu, aby umożliwić migrację konfiguracji programu FIM za pośrednictwem programu MMA do nowej wersji programu FIM za pośrednictwem Defender wersji punktu końcowego.
Aby uzyskać informacje na temat włączania programu FIM za pośrednictwem Defender dla punktu końcowego, zobacz Monitorowanie integralności plików przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender. Aby uzyskać informacje na temat wyłączania poprzednich wersji i używania narzędzia do migracji, zobacz Migrowanie monitorowania integralności plików z poprzednich wersji.
Important
Dostępność monitorowania integralności plików w Azure obsługiwanych przez firmę 21Vianet i w chmurach GCCM nie jest obecnie planowana.
Luty 2025 rok
| Date | Category | Update |
|---|---|---|
| 27 lutego | Change | Ulepszona wyświetlana nazwa zasobu usługi AWS EC2 |
| 27 lutego | ogólna dostępność | Na żądanie skanowania złośliwego oprogramowania w Microsoft Defender w usłudze Storage |
| 27 lutego | ogólna dostępność | Defender w przypadku skanowania złośliwego oprogramowania magazynu dla obiektów blob do 50 GB |
| 23 lutego | Preview | Niezależna od rejestru kontenerów, bezagentowa ocena luk w zabezpieczeniach dla kontenerów uruchomieniowych AKS (wersja zapoznawcza) |
| 23 lutego | Preview | Pulpit nawigacyjny zabezpieczeń danych i sztucznej inteligencji (wersja zapoznawcza) |
| 19 lutego | Preview | Kalkulator kosztów MDC (wersja zapoznawcza) |
| 19 lutego | Preview | 31 nowych i ulepszonych standardów regulacyjnych w wielu chmurach |
Ulepszona wyświetlana nazwa zasobu usługi AWS EC2
27 lutego 2025 r.
Szacowana data zmiany: Marzec 2025 r.
Ulepszamy sposób wyświetlania nazw zasobów dla wystąpień usługi AWS EC2 na naszej platformie. Jeśli wystąpienie usługi EC2 ma zdefiniowany tag "name", pole Nazwa zasobu wyświetli teraz wartość tego tagu. Jeśli nie ma tagu "name", pole Nazwa zasobu będzie nadal pokazywać identyfikator wystąpienia tak jak poprzednio. Identyfikator zasobu będzie nadal dostępny w polu Identyfikator zasobu do celów referencyjnych.
Użycie tagu EC2 "name" umożliwia łatwe identyfikowanie zasobów przy użyciu niestandardowych, znaczących nazw zamiast identyfikatorów. Dzięki temu można szybciej lokalizować i zarządzać określonymi wystąpieniami, skracając czas i nakład pracy poświęcany na wyszukiwanie lub weryfikację szczegółów dotyczących wystąpień.
Skanowanie złośliwego oprogramowania na żądanie w Microsoft Defender w usłudze Storage
27 lutego 2025 r.
Skanowanie złośliwego oprogramowania na żądanie w Microsoft Defender dla usługi Storage, teraz w ogólnie dostępnej wersji, umożliwia skanowanie istniejących obiektów blob na kontach Azure Storage zawsze wtedy, gdy jest to konieczne. Skanowania można inicjować z poziomu interfejsu użytkownika portalu Azure lub za pośrednictwem interfejsu API REST, obsługując automatyzację za pośrednictwem usługi Logic Apps, podręczników usługi Automation i skryptów programu PowerShell. Ta funkcja używa programu antywirusowego Microsoft Defender z najnowszymi definicjami złośliwego oprogramowania dla każdego skanowania i zapewnia szacowanie kosztów z góry w portalu Azure przed skanowaniem.
Przypadki użycia:
- Reagowanie na zdarzenia: skanuj określone konta magazynu po wykryciu podejrzanych działań.
- Punkt odniesienia zabezpieczeń: Skanuj wszystkie przechowywane dane po pierwszym włączeniu Defender dla usługi Storage.
- Zgodność: ustaw automatyzację, aby zaplanować skanowania, które pomagają spełnić standardy zgodności z przepisami i ochroną danych.
Aby uzyskać więcej informacji, zobacz Skanowanie złośliwego oprogramowania na żądanie.
Defender skanowania złośliwego oprogramowania magazynu pod kątem obiektów blob do 50 GB
27 lutego 2025 r.
Defender skanowania złośliwego oprogramowania magazynu obsługuje teraz obiekty blob o rozmiarze do 50 GB (wcześniej ograniczone do 2 GB).
Należy pamiętać, że dla kont magazynu, na które są przekazywane duże bloby, zwiększony limit rozmiaru blobów spowoduje wyższe miesięczne opłaty.
Aby uniknąć nieoczekiwanych wysokich opłat, możesz ustawić odpowiedni limit dla całkowitej liczby GB skanowanych miesięcznie. Aby uzyskać więcej informacji, zobacz Kontrola kosztów skanowania złośliwego oprogramowania przy przesyłaniu.
Niezależna od rejestru kontenerów bezagentowa ocena luk w zabezpieczeniach dla kontenerów środowiska uruchomieniowego usługi AKS (wersja zapoznawcza)
23 lutego 2025 r.
Defender dla kontenerów i planów zarządzania stanem zabezpieczeń Defender dla Chmury (CSPM), teraz obejmują niezależne od agenta ocenę luk w zabezpieczeniach rejestru kontenerów dla kontenerów środowiska uruchomieniowego usługi AKS. To usprawnienie rozszerza zakres oceny luk w zabezpieczeniach, uwzględniając uruchomione kontenery z obrazami z dowolnego rejestru (nie ograniczając się do obsługiwanych rejestrów), a także skanowanie dodatków Kubernetes i narzędzi firm trzecich działających w klastrach AKS. Aby włączyć tę funkcję, upewnij się, że skanowanie Agentless jest włączone dla twojej subskrypcji w ustawieniach środowiska Defender dla Chmury.
Panel zabezpieczeń danych i sztucznej inteligencji (wersja próbna)
23 lutego 2025 r.
Defender dla Chmury usprawnia pulpit nawigacyjny zabezpieczeń danych, aby uwzględnić zabezpieczenia sztucznej inteligencji przy użyciu nowego pulpitu nawigacyjnego zabezpieczeń danych i sztucznej inteligencji w wersji zapoznawczej. Pulpit nawigacyjny udostępnia scentralizowaną platformę do monitorowania danych i zasobów sztucznej inteligencji oraz zarządzania nimi wraz ze skojarzonymi czynnikami ryzyka i stanem ochrony.
Najważniejsze zalety deski rozdzielczej bezpieczeństwa danych i sztucznej inteligencji to:
- Ujednolicony widok: uzyskaj kompleksowy widok wszystkich danych organizacji i zasobów sztucznej inteligencji.
- Szczegółowe informacje o danych: informacje o tym, gdzie są przechowywane dane, oraz typy zasobów, w których są przechowywane.
- Pokrycie ochrony: ocena pokrycia ochrony danych i zasobów sztucznej inteligencji.
- Krytyczne problemy: wyróżnianie zasobów wymagających natychmiastowej uwagi na podstawie zaleceń o wysokiej ważności, alertów i ścieżek ataków.
- Odnajdywanie poufnych danych: lokalizowanie i podsumowywanie poufnych zasobów danych w chmurze i zasobach sztucznej inteligencji.
- Obciążenia sztucznej inteligencji: odnajdywanie śladów aplikacji sztucznej inteligencji, w tym usług, kontenerów, zestawów danych i modeli.
Dowiedz się więcej na temat pulpitu nawigacyjnego zabezpieczeń danych i sztucznej inteligencji.
Kalkulator kosztów MDC (wersja zapoznawcza)
19 lutego 2025 r.
Z przyjemnością przedstawimy nasz nowy kalkulator kosztów MDC, aby ułatwić oszacowanie kosztów związanych z ochroną środowisk chmury. To narzędzie jest dostosowane do zapewnienia jasnego i dokładnego zrozumienia wydatków, zapewniając efektywne planowanie i budżet.
Dlaczego warto używać kalkulatora kosztów?
Nasz kalkulator kosztów upraszcza proces szacowania kosztów, umożliwiając zdefiniowanie zakresu potrzeb związanych z ochroną. Wybierasz środowiska i plany, które chcesz aktywować, a kalkulator automatycznie wypełnia zasoby podlegające rozliczeniu dla każdego planu, w tym wszelkie odpowiednie rabaty. Masz kompleksowy wgląd w potencjalne koszty bez żadnych niespodzianek.
Najważniejsze funkcje:
Definicja zakresu: Wybierz plany i środowiska, które Cię interesują. Kalkulator wykonuje proces wykrywania, aby automatycznie wypełnić liczbę rozliczanych jednostek dla każdego planu w każdym środowisku.
Automatyczne i ręczne korekty: narzędzie umożliwia zarówno automatyczne zbieranie danych, jak i korekt ręcznych. Możesz zmodyfikować ilość jednostkową i poziomy rabatów, aby zobaczyć, jak zmiany wpływają na całkowity koszt.
Kompleksowe szacowanie kosztów: Kalkulator zawiera oszacowanie dla każdego planu i raportu całkowitego kosztu. Podano szczegółowy podział kosztów, co ułatwia zrozumienie wydatków i zarządzanie nimi.
Obsługa wielu chmur: Nasze rozwiązanie działa w przypadku wszystkich obsługiwanych chmur, zapewniając dokładne szacowanie kosztów niezależnie od dostawcy usług w chmurze.
Eksportowanie i udostępnianie: Po oszacowaniu kosztów można łatwo eksportować i udostępniać je na potrzeby planowania i zatwierdzania budżetu.
31 nowych i ulepszonych standardów regulacyjnych obejmujących środowiska multicloud
19 lutego 2025 r.
Z przyjemnością ogłaszamy rozszerzone i rozszerzone wsparcie ponad 31 ram zabezpieczeń i przepisów w Defender dla Chmury w Azure, AWS & GCP. To ulepszenie upraszcza ścieżkę do osiągnięcia i utrzymania zgodności, zmniejsza ryzyko naruszeń danych i pomaga uniknąć grzywny i uszkodzenia reputacji.
Nowe i ulepszone struktury to:
| Standards | Clouds |
|---|---|
| UE 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| Ogólne rozporządzenie o ochronie danych UE (RODO) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| Kontrolki CIS w wersji 8.1 | Azure, AWS, GCP |
| CIS GCP Foundations v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| SWIFT Ramowe Zasady Kontroli Bezpieczeństwa Klienta 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC) poziom 2 w wersji 2.0 | Azure, AWS, GCP |
| AwS Well Architected Framework 2024 | AWS |
| Kanada Federal PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| CSA Cloud Controls Matrix v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Polityka bezpieczeństwa systemów informacji o wymiarze sprawiedliwości w sprawach karnych v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Brazylijska ogólna ustawa o ochronie danych (LGPD) 2018 | Azure |
| NZISM v3.7 | Azure, AWS, GCP |
| Sarbanes Oxley Act 2022 (SOX) | Azure, AWS |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
Dołącza to do ostatnich wersji CIS Azure Kubernetes Service (AKS) 1.5, CIS Google Kubernetes Engine (GKE) w wersji 1.6 i CIS Amazon Elastic Kubernetes Service (EKS) v.15 od kilku miesięcy temu.
Aby uzyskać więcej informacji na temat oferty zgodności z przepisami Defender dla Chmury, Dowiedz się więcej>
Styczeń 2025 r.
| Date | Category | Update |
|---|---|---|
| 30 stycznia | ogólna dostępność | Aktualizacja kryteriów skanowania dla rejestrów kontenerów |
| 29 stycznia | Change | Ulepszenia skanowania oceny luk w zabezpieczeniach kontenerów obsługiwanego przez rozwiązanie MDVM |
| 27 stycznia | ogólna dostępność | Uprawnienia dodane do łącznika GCP w celu obsługi platform sztucznej inteligencji |
| 20 stycznia | Change | Ulepszenia rekomendacji punktów odniesienia dla systemu Linux, wspieranych przez GC |
Aktualizacja kryteriów skanowania dla rejestrów kontenerów
30 stycznia 2025 r.
Aktualizujemy jedno z kryteriów skanowania obrazów rejestru w rekomendacji zapoznawczej dla obrazów rejestru we wszystkich chmurach i rejestrach zewnętrznych (Azure, AWS, GCP, Docker, JFrog).
Co się zmienia?
Obecnie ponownie skanujemy obrazy przez 90 dni po przesłaniu ich do rejestru. Ta zmiana zostanie zmieniona, aby obejmować skanowanie danych z ostatnich 30 dni.
Note
Nie ma żadnych zmian w powiązanych rekomendacjach GA dotyczących oceny luk w zabezpieczeniach kontenerów (VA) na obrazach w rejestrze.
Ulepszenia skanowania oceny luk w zabezpieczeniach kontenerów obsługiwane przez rozwiązanie MDVM
29 stycznia 2025 r.
Z przyjemnością ogłaszamy ulepszenia zakresu skanowania pod kątem luk w zabezpieczeniach kontenerów wprowadzając następujące aktualizacje:
Dodatkowe języki programowania: teraz obsługują języki PHP, Ruby i Rust.
Extended Java Language Support: obejmuje skanowanie eksplodowanych jednostek JAR.
Ulepszone użycie pamięci: zoptymalizowana wydajność podczas odczytywania dużych plików obrazów kontenera.
Uprawnienia dodane do łącznika GCP w celu obsługi platform sztucznej inteligencji
27 stycznia 2025 r.
Łącznik GCP ma teraz dodatkowe uprawnienia do obsługi platformy GCP AI (Vertex AI):
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Ulepszenia zaleceń dotyczących konfiguracji systemu Linux, wspomaganych przez GC
20 stycznia 2025 r.
Ulepszamy funkcję Baselines Linux (obsługiwaną przez GC), aby zwiększyć jej dokładność i pokrycie. W lutym możesz zauważyć zmiany, takie jak zaktualizowane nazwy reguł i dodatkowe reguły. Te ulepszenia zostały zaprojektowane tak, aby ocena linii bazowych jest bardziej dokładna i aktualna. Aby uzyskać więcej informacji na temat zmian, zapoznaj się z odpowiednim blogem
Niektóre zmiany mogą obejmować dodatkowe zmiany w publicznej wersji zapoznawczej. Ta aktualizacja jest dla Ciebie korzystna i chcemy informować Cię o tym. Jeśli wolisz, możesz zrezygnować z tego zalecenia, wykluczając je z zasobu lub usuwając rozszerzenie GC.
Grudzień 2024 r.
| Date | Category | Update |
|---|---|---|
| 31 grudnia | ogólna dostępność | Zmiany interwału skanowania istniejących łączników w chmurze |
| 22 grudnia | ogólna dostępność | Ochrona punktu końcowego w usłudze Microsoft Defender aktualizacja wersji klienta jest wymagana do odbierania środowiska monitorowania integralności plików |
| 17 grudnia | Preview | interfejs wiersza polecenia Integrate Defender dla Chmury z popularnymi narzędziami ciągłej integracji/ciągłego wdrażania |
| 10 grudnia | ogólna dostępność | środowisko konfiguracji Defender dla Chmury |
| 10 grudnia | ogólna dostępność | Opcje interwału Defender dla Chmury skanowania środowiska chmury |
| 17 grudnia | ogólna dostępność | funkcje skanowania Sensitivity obejmują teraz udziały plików Azure |
Zmiany interwału skanowania istniejących łączników w chmurze
31 grudnia 2024 r.
Na początku tego miesiąca opublikowano update dotyczące zmienionych opcji interwału Defender dla Chmury skanowania środowiska w chmurze. Ustawienie interwału skanowania określa, jak często usługi odnajdywania Defender dla Chmury skanują zasoby w chmurze. Ta zmiana zapewnia bardziej zrównoważony proces skanowania, optymalizowanie wydajności i minimalizowanie ryzyka osiągnięcia limitów interfejsu API.
Ustawienia interwału skanowania dla istniejących łączników usług AWS i GCP w chmurze zostaną zaktualizowane, aby zapewnić Defender dla Chmury możliwość skanowania środowisk w chmurze.
Zostaną wprowadzone następujące korekty:
- Interwały ustawione obecnie między 1–3 godzinami zostaną zaktualizowane do 4 godzin.
- Interwały ustawione na 5 godzin zostaną zaktualizowane do 6 godzin.
- Interwały ustawione między 7–11 godzinami zostaną zaktualizowane do 12 godzin.
- Interwały 13 godzin lub więcej zostaną zaktualizowane do 24 godzin.
Jeśli wolisz inny interwał skanowania, możesz dostosować łączniki chmury przy użyciu strony ustawień środowiska. Te zmiany zostaną zastosowane automatycznie do wszystkich klientów na początku lutego 2025 r. i nie są wymagane żadne dalsze działania.
Funkcje skanowania poufności obejmują teraz udziały plików Azure
17 grudnia 2024 r.
Defender dla Chmury możliwości skanowania poufności zarządzania stanem zabezpieczeń (CSPM) obejmują teraz Azure udziały plików w ogólnie dostępnej wersji oprócz kontenerów obiektów blob.
Przed tą aktualizacją włączenie planu CSPM w usłudze Defender w ramach subskrypcji spowoduje automatyczne skanowanie kontenerów obiektów blob w ramach kont magazynu pod kątem poufnych danych. Dzięki tej aktualizacji funkcja skanowania poufności csPM Defender teraz obejmuje udziały plików na tych kontach magazynu. To ulepszenie usprawnia ocenę ryzyka i ochronę poufnych kont magazynu, zapewniając bardziej kompleksową analizę potencjalnych zagrożeń.
Dowiedz się więcej o skanowaniu poufności.
Integrowanie interfejsu wiersza polecenia Defender dla Chmury z popularnymi narzędziami ciągłej integracji/ciągłego wdrażania
Defender dla Chmury integracja skanowania interfejsu wiersza polecenia z popularnymi narzędziami ciągłej integracji/ciągłego wdrażania w Microsoft Defender dla Chmury jest teraz dostępna w publicznej wersji zapoznawczej. CLI można teraz włączyć do potoków CI/CD w celu skanowania oraz identyfikacji luk w zabezpieczeniach w konteneryzowanym kodzie źródłowym. Ta funkcja pomaga zespołom programistycznym wykrywać i usuwać luki w zabezpieczeniach kodu podczas wykonywania procesu. Wymaga uwierzytelniania, aby Microsoft Defender dla Chmury i modyfikacje skryptu potoku. Wyniki skanowania zostaną przekazane do Microsoft Defender dla Chmury, co umożliwi zespołom ds. zabezpieczeń wyświetlanie i korelowanie ich z kontenerami w rejestrze kontenerów. To rozwiązanie zapewnia ciągłe i zautomatyzowane szczegółowe informacje w celu przyspieszenia wykrywania i reagowania na ryzyko, zapewniając bezpieczeństwo bez zakłócania przepływów pracy.
Przypadki użycia:
- Skanowanie przepływów w narzędziach CI/CD: zapewnij bezpieczne monitorowanie wszystkich przepływów, które wywołują interfejs wiersza polecenia.
- Wczesne wykrywanie luk w zabezpieczeniach: wyniki są publikowane w potoku i wysyłane do Microsoft Defender dla Chmury.
- Ciągłe szczegółowe informacje o zabezpieczeniach: utrzymywanie widoczności i szybkie reagowanie w cyklach programowania bez zakłócania produktywności.
Aby uzyskać więcej informacji, zobacz interfejs wiersza polecenia Integrate Defender dla Chmury z popularnymi narzędziami ciągłej integracji/ciągłego wdrażania.
środowisko konfiguracji Defender dla Chmury
10 grudnia 2024 r.
Środowisko instalacji umożliwia rozpoczęcie początkowych kroków z Microsoft Defender dla Chmury przez połączenie środowisk w chmurze, takich jak infrastruktura chmury, repozytoria kodu i zewnętrzne rejestry kontenerów.
Przeprowadzisz cię przez proces konfigurowania środowiska chmury, aby chronić zasoby za pomocą zaawansowanych planów zabezpieczeń, bez wysiłku wykonywać szybkie akcje w celu zwiększenia pokrycia zabezpieczeń na dużą skalę, znać problemy z łącznością i otrzymywać powiadomienia o nowych możliwościach zabezpieczeń. Możesz przejść do nowego środowiska z menu Defender dla Chmury wybierając pozycję Setup.
Poprawione opcje interwału skanowania Defender dla Chmury środowiska w chmurze
10 grudnia 2024 r.
Zmieniono opcje interwału skanowania łączników chmury skojarzonych z usługami AWS, GCP, Jfrog i DockerHub. Funkcja interwału skanowania umożliwia kontrolowanie częstotliwości, z jaką Defender dla Chmury inicjuje skanowanie środowiska chmury. Interwał skanowania można ustawić na 4, 6, 12 lub 24 godziny podczas dodawania lub edytowania łącznika chmury. Domyślny interwał skanowania dla nowych łączników nadal trwa 12 godzin.
Ochrona punktu końcowego w usłudze Microsoft Defender aktualizacja wersji klienta jest wymagana do odbierania środowiska monitorowania integralności plików (FIM)
Czerwiec 2025 r.
Od czerwca 2025 r. monitorowanie integralności plików (FIM) wymaga minimalnej Defender dla wersji klienta punktu końcowego (MDE). Upewnij się, że masz co najmniej następujące wersje klienta, aby nadal korzystać ze środowiska programu FIM w Microsoft Defender dla Chmury: dla Windows: 10.8760, dla systemu Linux: 30.124082. Dowiedz się więcej
Listopad 2024 r.
Funkcje skanowania poufności obejmują teraz udziały plików Azure (wersja zapoznawcza)
28 listopada 2024 r.
Funkcje skanowania poufności zarządzania stanem zabezpieczeń (CSPM) Defender dla Chmury teraz obejmują Azure udziały plików (w wersji zapoznawczej) oprócz kontenerów obiektów blob.
Przed tą aktualizacją włączenie planu CSPM w usłudze Defender w ramach subskrypcji spowoduje automatyczne skanowanie kontenerów obiektów blob w ramach kont magazynu pod kątem poufnych danych. Dzięki tej aktualizacji funkcja skanowania poufności csPM Defender teraz obejmuje udziały plików na tych kontach magazynu. To ulepszenie usprawnia ocenę ryzyka i ochronę poufnych kont magazynu, zapewniając bardziej kompleksową analizę potencjalnych zagrożeń.
Dowiedz się więcej o skanowaniu poufności.
Zmiany w zgodzie na etykiety wrażliwości
26 listopada 2024 r.
Nie musisz już wybierać dedykowanego przycisku zgody w sekcji "Information Protection" na stronie "Etykiety", aby korzystać z niestandardowych typów informacji i etykiet poufności skonfigurowanych w portalu Microsoft 365 Defender lub portal Microsoft Purview.
Dzięki tej zmianie wszystkie niestandardowe typy informacji i etykiety poufności są automatycznie importowane do portalu Microsoft Defender dla Chmury.
Dowiedz się więcej o ustawieniach poufności danych.
Zmiany etykiety poufności
26 listopada 2024 r.
Do niedawna Defender dla Chmury zaimportował wszystkie etykiety poufności z portalu Microsoft 365 Defender, które spełniają dwa następujące warunki:
- Etykiety poufności, które mają ich zakres ustawiony na "Elementy -> Files" lub "Elementy -> Wiadomości e-mail", w sekcji "Zdefiniuj zakres etykiety" w sekcji Information Protection.
- Etykieta poufności ma skonfigurowaną regułę automatycznego etykietowania.
Od 26 listopada 2024 r. nazwy zakresów etykiet poufności w interfejsie użytkownika zostały zaktualizowane zarówno w portalu Microsoft 365 Defender, jak i w portal Microsoft Purview. Defender dla Chmury teraz importuje tylko etykiety poufności z zakresem "Pliki i inne zasoby danych" zastosowanym do nich. Defender dla Chmury nie importuje już etykiet z zastosowanym zakresem "Wiadomości e-mail".
Note
Etykiety skonfigurowane za pomocą opcji "Elementy —> pliki" przed zmianą zostaną automatycznie zmigrowane do nowego zakresu "Pliki i inne zasoby danych".
Dowiedz się więcej na temat konfigurowania etykiet poufności.
Defender na potrzeby skanowania złośliwego oprogramowania magazynu pod kątem obiektów blob do 50 GB (wersja zapoznawcza)
25 listopada 2024 r.
Szacowana data zmiany: 1 grudnia 2024 r.
Począwszy od 1 grudnia 2024 r., Defender skanowanie złośliwego oprogramowania magazynu będzie obsługuje obiekty blob o rozmiarze do 50 GB (wcześniej ograniczone do 2 GB).
Należy pamiętać, że dla kont magazynu, na które są przekazywane duże bloby, zwiększony limit rozmiaru blobów spowoduje wyższe miesięczne opłaty.
Aby uniknąć nieoczekiwanych wysokich opłat, możesz ustawić odpowiedni limit dla całkowitej liczby GB skanowanych miesięcznie. Aby uzyskać więcej informacji, zobacz Kontrola kosztów skanowania złośliwego oprogramowania przy przesyłaniu.
Zaktualizowane wersje standardów CIS dla zarządzanych środowisk Kubernetes i nowych zaleceń
19 listopada 2024 r.
pulpit nawigacyjny zgodności z przepisami Defender dla Chmury oferuje teraz zaktualizowane wersje standardów CIS (Center for Internet Security) dotyczących oceny stanu zabezpieczeń zarządzanych środowisk Kubernetes.
Na pulpicie nawigacyjnym możesz przypisać następujące standardy do zasobów platformy AWS/EKS/GKE Kubernetes:
- CIS Azure Kubernetes Service (AKS) 1.5.0
- CiS Google Kubernetes Engine (GKE) v1.6.0
- CIS Amazon Elastic Kubernetes Service (EKS) v1.5.0
Aby zapewnić najlepszą możliwą głębię pokrycia tych standardów, wzbogaciliśmy nasz zasięg, publikując również 79 nowych zaleceń skoncentrowanych na platformie Kubernetes.
Aby użyć tych nowych zaleceń, przypisz wymienione powyżej standardy lub utwórz niestandardowy standard i uwzględnij w nim co najmniej jedną nową ocenę.
Publiczna wersja testowa zdarzeń procesów w chmurze Kubernetes w zaawansowanym wyszukiwaniu
Ogłaszamy wersję zapoznawczą zdarzeń procesów chmurowych Kubernetes w zaawansowanym wyszukiwaniu. Ta zaawansowana integracja zawiera szczegółowe informacje o zdarzeniach procesu Kubernetes występujących w środowiskach wielochmurowych. Służy do odnajdywania zagrożeń, które mogą być obserwowane za pośrednictwem szczegółów procesu, takich jak złośliwe procesy wywoływane w infrastrukturze chmury. Aby uzyskać więcej informacji, zobacz CloudProcessEvents.
Deprecacja funkcji Bring your own License (BYOL) w zarządzaniu lukami w zabezpieczeniach
19 listopada 2024 r.
Szacowana data zmiany:
3 lutego 2025 r.: Funkcja nie będzie już dostępna do dołączania nowych maszyn i subskrypcji.
1 maja 2025 r.: Funkcja będzie w pełni przestarzała i nie będzie już dostępna.
W ramach naszych wysiłków na rzecz poprawy Defender dla Chmury środowiska zabezpieczeń usprawniamy nasze rozwiązania do oceny luk w zabezpieczeniach. Usuwamy funkcję "Bring Your Own License" w Defender dla Chmury. Teraz użyjesz łączników rozwiązania zabezpieczające firmy Microsoft Exposure Management, aby uzyskać bardziej bezproblemowe, zintegrowane i kompletne rozwiązanie.
Zalecamy przejście do nowego rozwiązania łącznika w usłudze rozwiązania zabezpieczające firmy Microsoft Exposure Management. Nasz zespół jest tutaj, aby wspierać Cię w ramach tego przejścia.
Aby uzyskać więcej informacji na temat używania łączników, zobacz Przegląd łączenia źródeł danych w usłudze rozwiązania zabezpieczające firmy Microsoft Exposure Management — rozwiązania zabezpieczające firmy Microsoft Exposure Management.
Skanowanie kodu bez agenta w Microsoft Defender dla Chmury (wersja zapoznawcza)
19 listopada 2024 r.
Skanowanie kodu bez agenta w Microsoft Defender dla Chmury jest teraz dostępne w publicznej wersji zapoznawczej. Oferuje ona szybkie i skalowalne zabezpieczenia dla wszystkich repozytoriów w organizacjach Azure DevOps z jednym łącznikiem. To rozwiązanie ułatwia zespołom ds. zabezpieczeń znajdowanie i naprawianie luk w zabezpieczeniach w konfiguracjach kodu i infrastruktury jako kodu (IaC) w środowiskach Azure DevOps. Nie wymaga agentów, zmian potoków ani przerw w przepływach pracy deweloperów, co upraszcza konfigurowanie i konserwację. Działa niezależnie od potoków ciągłej integracji i ciągłego wdrażania (CI/CD). Rozwiązanie zapewnia ciągłe i zautomatyzowane szczegółowe informacje w celu przyspieszenia wykrywania i reagowania na ryzyko, zapewniając bezpieczeństwo bez przerywania przepływów pracy.
Przypadki użycia:
- Skanowanie obejmujące całą organizację: Można bezpiecznie monitorować wszystkie repozytoria w organizacjach Azure DevOps za pomocą jednego łącznika.
- Wczesne wykrywanie luk w zabezpieczeniach: Szybkie znajdowanie kodu i ryzyka IaC na potrzeby proaktywnego zarządzania ryzykiem.
- Ciągłe szczegółowe informacje o zabezpieczeniach: Utrzymaj widoczność i szybko reaguj w cyklach rozwoju bez wpływu na produktywność.
Aby uzyskać więcej informacji, zobacz Agentless skanowanie kodu w Microsoft Defender dla Chmury.
Skanowanie złośliwego oprogramowania na żądanie w Microsoft Defender w usłudze Storage (wersja zapoznawcza)
19 listopada 2024 r.
Skanowanie złośliwego oprogramowania na żądanie w Microsoft Defender dla usługi Storage, teraz w publicznej wersji zapoznawczej, umożliwia skanowanie istniejących obiektów blob na kontach Azure Storage zawsze wtedy, gdy jest to konieczne. Skanowania można inicjować z poziomu interfejsu użytkownika portalu Azure lub za pośrednictwem interfejsu API REST, obsługując automatyzację za pośrednictwem usługi Logic Apps, podręczników usługi Automation i skryptów programu PowerShell. Ta funkcja używa programu antywirusowego Microsoft Defender z najnowszymi definicjami złośliwego oprogramowania dla każdego skanowania i zapewnia szacowanie kosztów z góry w portalu Azure przed skanowaniem.
Przypadki użycia:
- Reagowanie na zdarzenia: skanuj określone konta magazynu po wykryciu podejrzanych działań.
- Punkt odniesienia zabezpieczeń: Skanuj wszystkie przechowywane dane po pierwszym włączeniu Defender dla usługi Storage.
- Zgodność: ustaw automatyzację, aby zaplanować skanowania, które pomagają spełnić standardy zgodności z przepisami i ochroną danych.
Aby uzyskać więcej informacji, zobacz Skanowanie złośliwego oprogramowania na żądanie.
Obsługa rejestru kontenerów JFrog Artifactory przez Defender dla kontenerów (wersja zapoznawcza)
18 listopada 2024 r.
Ta funkcja rozszerza Microsoft Defender dla kontenerów pokrycia rejestrów zewnętrznych w celu uwzględnienia JFrog Artifactory. Obrazy kontenerów JFrog Artifactory są skanowane przy użyciu Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w celu zidentyfikowania zagrożeń bezpieczeństwa i ograniczenia potencjalnych zagrożeń bezpieczeństwa.
Zarządzanie stanem zabezpieczeń sztucznej inteligencji jest teraz ogólnie dostępne (GA)
18 listopada 2024 r.
funkcje zarządzania stanem zabezpieczeń sztucznej inteligencji Defender dla Chmury są teraz ogólnie dostępne.
Defender dla Chmury zmniejsza ryzyko obciążeń sztucznej inteligencji między chmurami przez:
Odkrywanie zestawienia materiałów dla generatywnej sztucznej inteligencji (AI BOM), w tym składników aplikacji, danych i artefaktów sztucznej inteligencji od kodu po chmurę.
Wzmocnienie poziomu zabezpieczeń aplikacji generujących sztuczną inteligencję dzięki wbudowanym rekomendacjom oraz eksplorowaniu i korygowaniu zagrożeń bezpieczeństwa.
Korzystanie z analizy ścieżki ataku w celu identyfikowania i korygowania zagrożeń.
Dowiedz się więcej o zarządzaniu stanem zabezpieczeń sztucznej inteligencji.
Ochrona krytycznych zasobów w Microsoft Defender dla Chmury
18 listopada 2024 r.
Dzisiaj z przyjemnością ogłaszamy ogólną dostępność ochrony krytycznych zasobów w Microsoft Defender dla Chmury. Ta funkcja umożliwia administratorom zabezpieczeń tagowanie zasobów "klejnot korony", które są najbardziej krytyczne dla ich organizacji, dzięki czemu Defender dla Chmury zapewnić im najwyższy poziom ochrony i określić priorytety problemów z zabezpieczeniami nad tymi zasobami ponad wszystkimi innymi. Dowiedz się więcej o ochronie zasobów krytycznych.
Oprócz wersji ogólnie dostępnej rozszerzamy również obsługę tagowania platformy Kubernetes i nieludzkich zasobów tożsamości.
Ulepszona ochrona krytycznych zasobów dla kontenerów
18 listopada 2024 r.
Ochrona krytycznych zasobów jest rozszerzona w celu obsługi dodatkowych przypadków użycia kontenerów.
Użytkownicy mogą teraz tworzyć niestandardowe reguły oznaczające zasoby zarządzane przez platformę Kubernetes (obciążenia, kontenery itp.) jako krytyczne na podstawie przestrzeni nazw Kubernetes i/lub etykiety Kubernetes zasobu.
Podobnie jak w przypadku innych krytycznych przypadków użycia ochrony zasobów, Defender dla Chmury uwzględnia krytyczne znaczenie zasobów dla priorytetyzacji ryzyka, analizy ścieżki ataku i eksploratora zabezpieczeń.
Ulepszenia wykrywania zagrożeń kontenera i reagowania na nie
18 listopada 2024 r.
Defender dla Chmury oferuje zestaw nowych funkcji, które umożliwiają zespołom SOC tackle zagrożeń kontenerów w środowiskach natywnych dla chmury z większą szybkością i precyzją. Te ulepszenia obejmują usługę Threat Analytics, funkcje GoHunt, Microsoft Security Copilot odpowiedź z przewodnikiem i akcje odpowiedzi natywne dla chmury dla zasobników Kubernetes.
Wprowadzenie natywnych w chmurze akcji odpowiedzi dla zasobników Kubernetes (Podgląd)
Defender dla Chmury teraz oferuje akcje odpowiedzi w wielu chmurach dla zasobników Kubernetes, dostępne wyłącznie z portalu Defender XDR. Te możliwości zwiększają reagowanie na zdarzenia dla klastrów AKS, EKS i GKE.
Poniżej przedstawiono nowe akcje odpowiedzi:
Izolacja sieci — natychmiast blokuje cały ruch do zasobnika, uniemożliwiając przenoszenie boczne i eksfiltrację danych. Wymaga konfiguracji zasad sieciowych w twoim klastrze Kubernetes.
Kończenie działania zasobnika — szybkie kończenie podejrzanych zasobników, zatrzymywanie złośliwych działań bez zakłócania szerszej aplikacji.
Te działania umożliwiają zespołom SOC efektywne ograniczanie zagrożeń w środowiskach chmury.
Raport usługi Threat Analytics dla kontenerów
Wprowadzamy dedykowany raport usługi Threat Analytics zaprojektowany w celu zapewnienia kompleksowego wglądu w zagrożenia przeznaczone dla środowisk konteneryzowanych. Ten raport udostępnia zespołom SOC szczegółowe informacje w celu wykrywania i reagowania na najnowsze wzorce ataków w klastrach AKS, EKS i GKE.
Najważniejsze najważniejsze elementy:
- Szczegółowa analiza najważniejszych zagrożeń i skojarzonych technik ataku w środowiskach Kubernetes.
- Zalecenia umożliwiające podejmowanie działań w celu wzmocnienia poziomu zabezpieczeń natywnego dla chmury i ograniczenia pojawiających się zagrożeń.
GoHunt dla zasobników Kubernetes & zasoby Azure
Usługa GoHunt rozszerza teraz możliwości wyszukiwania zagrożeń, aby uwzględnić zasobniki Kubernetes i Azure zasoby w portalu Defender XDR. Ta funkcja zwiększa proaktywne wyszukiwanie zagrożeń, umożliwiając analitykom SOC przeprowadzanie szczegółowych badań w obciążeniach natywnych dla chmury.
Najważniejsze funkcje:
- Zaawansowane możliwości zapytań w celu wykrywania anomalii w zasobnikach Kubernetes i zasobów Azure, oferując bogatszy kontekst analizy zagrożeń.
- Bezproblemowa integracja z jednostkami Kubernetes w celu wydajnego wyszukiwania zagrożeń i badania.
Security Copilot odpowiedź z przewodnikiem dla zasobników Kubernetes
Wprowadzenie do odpowiedzi z przewodnikiem dla zasobników Kubernetes, czyli funkcji obsługiwanej przez Security Copilot. Ta nowa funkcja zapewnia wskazówki krok po kroku w czasie rzeczywistym, pomagając zespołom SOC szybko i skutecznie reagować na zagrożenia kontenerów.
Najważniejsze korzyści:
- Kontekstowe podręczniki odpowiedzi dostosowane do typowych scenariuszy ataku kubernetes.
- Ekspert, obsługa w czasie rzeczywistym z Security Copilot, pomostowanie luki wiedzy i umożliwienie szybszego rozwiązywania problemów.
Natywna integracja zarządzania stanem zabezpieczeń interfejsu API w ramach planu CSPM w usłudze Defender jest teraz dostępna w publicznej wersji zapoznawczej
15 listopada 2024 r.
Funkcje zarządzania stanem zabezpieczeń interfejsu API (wersja zapoznawcza) są teraz uwzględniane w planie CSPM w usłudze Defender i można je włączyć za pośrednictwem rozszerzeń w ramach planu na stronie ustawień środowiska. Aby uzyskać więcej informacji, zobacz Ulepszanie stanu zabezpieczeń interfejsu API (wersja zapoznawcza).
Rozszerzona ochrona kontenerów dzięki ocenie luk w zabezpieczeniach i wykrywaniu złośliwego oprogramowania dla węzłów usługi AKS (wersja zapoznawcza)
13 listopada 2024 r.
Defender dla Chmury teraz zapewnia ocenę luk w zabezpieczeniach i wykrywanie złośliwego oprogramowania dla węzłów w Azure Kubernetes Service (AKS) oraz zapewnia czytelność klientom w ramach wspólnej odpowiedzialności za zabezpieczenia, które mają z zarządzanym dostawcą usług w chmurze.
Zapewnienie ochrony zabezpieczeń dla tych węzłów Kubernetes umożliwia klientom zachowanie zabezpieczeń i zgodności w zarządzanej usłudze Kubernetes.
Aby uzyskać nowe możliwości, musisz włączyć skanowanie agentne skanowanie maszyn w CSPM w usłudze Defender, Defender dla kontenerów lub Defender dla serwerów P2 planu w ramach subskrypcji.
Ocena luk w zabezpieczeniach
Nowe zalecenie jest teraz dostępne w portalu Azure: AKS nodes should have vulnerability findings resolved. Za pomocą tego zalecenia można teraz przejrzeć i skorygować luki w zabezpieczeniach oraz elementy CVE znalezione w węzłach Azure Kubernetes Service (AKS).
Wykrywanie złośliwego oprogramowania
Nowe alerty zabezpieczeń są wyzwalane, gdy funkcja wykrywania złośliwego oprogramowania bez agenta wykryje złośliwe oprogramowanie w węzłach usługi AKS.
Wykrywanie złośliwego oprogramowania bez agenta używa aparatu ochrony przed złośliwym oprogramowaniem antywirusowego Microsoft Defender do skanowania i wykrywania złośliwych plików. Po wykryciu zagrożeń alerty zabezpieczeń są kierowane do Defender dla Chmury i Defender XDR, gdzie można je zbadać i skorygować.
Important
Wykrywanie złośliwego oprogramowania dla węzłów usługi AKS jest dostępne tylko w przypadku Defender dla kontenerów lub Defender dla środowisk z obsługą P2 serwerów.
Dokumentacja i narzędzie symulacji rozszerzonych alertów Kubernetes (K8s)
7 listopada 2024 r.
Kluczowe funkcje
- Dokumentacja alertów opartych na scenariuszach: alerty K8s są teraz udokumentowane na podstawie rzeczywistych scenariuszy, zapewniając jaśniejsze wskazówki dotyczące potencjalnych zagrożeń i zalecanych akcji.
- integracja Ochrona punktu końcowego w usłudze Microsoft Defender (MDE): alerty są wzbogacone o dodatkowy kontekst i analizę zagrożeń z rozwiązania MDE, co zwiększa możliwość efektywnego reagowania.
- Nowe narzędzie symulacji: zaawansowane narzędzie symulacji jest dostępne do testowania stanu zabezpieczeń przez symulowanie różnych scenariuszy ataku i generowanie odpowiednich alertów.
Benefits
- Ulepszona wiedza na temat alertów: dokumentacja oparta na scenariuszach zapewnia bardziej intuicyjne zrozumienie alertów K8s.
- Ulepszona odpowiedź na zagrożenia: alerty są wzbogacone o cenny kontekst, umożliwiając szybsze i dokładniejsze odpowiedzi.
- Proaktywne testowanie zabezpieczeń: nowe narzędzie symulacji umożliwia przetestowanie zabezpieczeń i zidentyfikowanie potencjalnych luk w zabezpieczeniach przed ich wykorzystaniem.
Rozszerzona obsługa klasyfikacji poufnych danych API
6 listopada 2024 r.
Microsoft Defender dla Chmury rozszerza możliwości klasyfikacji poufnych danych interfejsu API na ścieżkę adresu URL interfejsu API i parametry zapytania wraz z żądaniami interfejsu API i odpowiedziami, w tym źródłem poufnych informacji znalezionych we właściwościach interfejsu API. Te informacje będą dostępne w środowisku analizy ścieżki ataku, stronie Dodatkowe szczegóły eksploratora zabezpieczeń w chmurze po wybraniu operacji usługi API Management z danymi poufnymi oraz na pulpicie nawigacyjnym zabezpieczeń interfejsu API w obszarze Zabezpieczenia obciążenia na stronie Szczegółów kolekcji interfejsu API z nowym menu kontekstowym, które zapewnia szczegółowe szczegółowe informacje na temat znalezionych danych poufnych, efektywne lokalizowanie i eliminowanie zagrożeń związanych z ujawnieniem danych przez zespoły ds. zabezpieczeń.
Note
Ta zmiana będzie obejmować jednorazowe wdrożenie istniejących Defender dla interfejsów API i CSPM w usłudze Defender klientów.
Nowa obsługa mapowania punktów końcowych interfejsu API Azure API Management na zasoby obliczeniowe zaplecza
6 listopada 2024 r.
Stan zabezpieczeń interfejsu API Defender dla Chmury obsługuje teraz mapowanie punktów końcowych interfejsu API publikowanych za pośrednictwem bramy Azure API Management do zasobów obliczeniowych zaplecza, takich jak maszyny wirtualne, w eksploratorze zabezpieczeń chmury Defender Cloud Security Management (CSPM w usłudze Defender). Ta widoczność pomaga zidentyfikować trasowanie ruchu API do docelowych miejsc obliczeniowych w chmurze zaplecza, umożliwiając wykrycie i zaradzenie zagrożeniom związanym z narażeniem skojarzonym z punktami końcowymi API i ich połączonymi zasobami zaplecza.
Ulepszona obsługa zabezpieczeń interfejsu API dla wdrożeń Azure API Management w wielu regionach i zarządzania poprawkami interfejsu API
6 listopada 2024 r.
Pokrycie zabezpieczeń interfejsu API w ramach Defender dla Chmury będzie teraz mieć pełną obsługę wdrożeń Azure API Management w wielu regionach, w tym pełnej obsługi stanu zabezpieczeń i wykrywania zagrożeń zarówno w regionach podstawowych, jak i pomocniczych
Dołączanie i odłączanie interfejsów API do Defender dla interfejsów API będzie teraz zarządzane na poziomie interfejsu API Azure API Management. Wszystkie skojarzone Azure API Management poprawki zostaną automatycznie uwzględnione w procesie, eliminując konieczność indywidualnego dołączania i odłączania dla każdej poprawki interfejsu API.
Ta zmiana obejmuje jednorazowe wdrożenie dla istniejących Defender dla klientów interfejsów API.
Szczegóły wdrożenia:
- Wdrożenie nastąpi w tygodniu 6 listopada dla istniejących Defender dla klientów interfejsów API.
- Jeśli "bieżąca" wersja interfejsu API Azure API Management jest już dołączona do Defender dla interfejsów API, wszystkie skojarzone poprawki dla tego interfejsu API również zostaną automatycznie dołączone do Defender dla interfejsów API.
- Jeśli "bieżąca" wersja interfejsu API Azure API Management nie zostanie dołączona do Defender dla interfejsów API, wszystkie skojarzone poprawki interfejsu API, które zostały dołączone do Defender dla interfejsów API, zostaną odłączone.
Październik 2024 r.
Doświadczenie migracji MMA jest teraz dostępne
28 października 2024 r.
Teraz możesz mieć pewność, że wszystkie środowiska są w pełni przygotowane do wycofania agenta Log Analytics (MMA) oczekiwanego pod koniec listopada 2024 r.
Defender dla Chmury dodano nowe środowisko, które umożliwia podejmowanie działań na dużą skalę dla wszystkich środowisk, których dotyczy problem:
- Brak wymagań wstępnych niezbędnych do uzyskania pełnego pokrycia zabezpieczeń oferowanego przez Defender dla planu 2 serwerów.
- Jest to nawiązane połączenie z Defender dla planu 2 serwerów przy użyciu starszego podejścia dołączania za pośrednictwem obszaru roboczego Log Analytics.
- Używa to starej wersji monitorowania integralności plików (FIM) z agentem Log Analytics (MMA) musi przeprowadzić migrację do nowej, improved wersji programu FIM z Defender dla punktu końcowego (MDE).
Dowiedz się, jak korzystać z nowego procesu migracji MMA.
Wyniki zabezpieczeń dla repozytoriów GitHub bez GitHub Advanced Security są teraz ogólnie dostępne
21 października 2024 r.
Możliwość odbierania wyników zabezpieczeń dla błędów konfiguracji infrastruktury jako kodu (IaC), luk w zabezpieczeniach kontenerów i słabości kodu dla repozytoriów GitHub bez GitHub Advanced Security jest teraz ogólnie dostępna.
Należy pamiętać, że skanowanie wpisów tajnych, skanowanie kodu przy użyciu GitHub CodeQL i skanowanie zależności nadal wymaga GitHub zaawansowanego skanowania.
Aby dowiedzieć się więcej na temat wymaganych licencji, zobacz stronę pomocy technicznej metodyki DevOps. Aby dowiedzieć się, jak dołączyć środowisko GitHub do Defender dla Chmury, postępuj zgodnie z przewodnikiem dołączania GitHub. Aby dowiedzieć się, jak skonfigurować akcję GitHub rozwiązania zabezpieczające firmy Microsoft DevOps, zobacz dokumentację GitHub Action.
Wycofanie trzech standardów zgodności
14 października 2024 r.
Szacowana data zmiany: 17 listopada 2024 r.
Trzy standardy zgodności są usuwane z produktu:
- SWIFT CSP-CSCF v2020 (dla Azure) — została zastąpiona wersją v2022
- CIS Microsoft Azure Foundations Benchmark v1.1.0 i v1.3.0 — mamy dostępne dwie nowsze wersje (v1.4.0 i v2.0.0)
Dowiedz się więcej o standardach zgodności dostępnych w Defender dla Chmury w Available compliance standards.
Wycofanie trzech standardów Defender dla Chmury
8 października 2024 r.
Szacowana data zmiany: 17 listopada 2024 r.
Aby uprościć zarządzanie Defender dla Chmury przy użyciu kont platformy AWS i projektów GCP, usuwamy następujące trzy standardy Defender dla Chmury:
- W przypadku platformy AWS — AWS CSPM
- Dla GCP — GCP CSPM i GCP — ustawienie domyślne
Domyślny standard Microsoft Cloud Security Benchmark (MCSB) zawiera teraz wszystkie oceny, które były unikatowe dla tych standardów.
Wykrywanie dryfu binarnego udostępniono jako wersję ogólnodostępną.
9 października 2024 r.
Wykrywanie dryfu binarnego jest teraz wydawane jako ogólna dostępność w Defender dla planu kontenera. Należy pamiętać, że wykrywanie dryfu binarnego działa teraz we wszystkich wersjach usługi AKS.
Zaktualizowane zalecenia dotyczące środowiska uruchomieniowego kontenerów (wersja zapoznawcza)
6 października 2024 r.
Zalecenia dotyczące wersji zapoznawczej "Kontenery uruchomione na platformie AWS/Azure/GCP powinny mieć rozwiązane luki w zabezpieczeniach" są aktualizowane w celu grupowania wszystkich kontenerów, które są częścią tego samego obciążenia w ramach pojedynczego zalecenia, zmniejszając duplikacje i unikając fluktuacji ze względu na nowe i zakończone kontenery.
Od 6 października 2024 r. następujące identyfikatory oceny zostały zastąpione w tych zaleceniach:
| Recommendation | Poprzedni identyfikator oceny | Nowy identyfikator oceny |
|---|---|---|
| -- | -- | -- |
| Kontenery uruchomione w Azure powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| Kontenery uruchomione na platformie AWS powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| Kontenery uruchomione na platformie GCP powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Jeśli obecnie pobierasz raporty dotyczące luk w zabezpieczeniach z tych zaleceń za pośrednictwem interfejsu API, upewnij się, że zaktualizujesz wywołanie API, używając nowego identyfikatora oceny.
Informacje o tożsamości i dostępie na platformie Kubernetes w grafie zabezpieczeń (wersja zapoznawcza)
6 października 2024 r.
Informacje o tożsamości i dostępie platformy Kubernetes są dodawane do grafu zabezpieczeń, w tym do węzłów reprezentujących wszystkie jednostki powiązane Access Control oparte na rolach (RBAC) (konta usług, role, powiązania ról itp.) oraz krawędzie reprezentujące uprawnienia między obiektami Kubernetes. Klienci mogą teraz wykonywać zapytania dotyczące grafu zabezpieczeń dla Kubernetes RBAC i powiązanych relacji między elementami Kubernetes (Może uwierzytelniać jako, Może personifikować jako, Udziela roli, Dostęp zdefiniowany przez, Udziela dostępu do, Ma uprawnienie do itp.)
Ścieżki ataków oparte na tożsamościach i dostępie na platformie Kubernetes (wersja zapoznawcza)
6 października 2024 r.
Korzystając z danych RBAC platformy Kubernetes na wykresie zabezpieczeń, Defender dla Chmury teraz wykrywa platformę Kubernetes, platformę Kubernetes do chmury oraz wewnętrzny ruch boczny kubernetes i raporty na innych ścieżkach ataku, w których osoby atakujące mogą nadużywać autoryzacji kubernetes i chmury do przenoszenia bocznego do klastrów Kubernetes i w obrębie klastrów Kubernetes.
Ulepszona analiza ścieżki ataku dla kontenerów
6 października 2024 r.
Nowy silnik analizy ścieżek ataku, wydany w listopadzie ubiegłego roku, obsługuje teraz także przypadki użycia kontenerów, dynamicznie wykrywając nowe typy ścieżek ataku w środowiskach chmurowych na podstawie danych dodanych do grafu. Teraz możemy znaleźć więcej ścieżek ataków dla kontenerów i wykryć bardziej złożone i zaawansowane wzorce ataków używane przez osoby atakujące do infiltracji środowisk w chmurze i Kubernetes.
Pełne odnajdywanie obrazów kontenerów w obsługiwanych rejestrach
6 października 2024 r.
Defender dla Chmury teraz zbiera dane spisu dla wszystkich obrazów kontenerów w obsługiwanych rejestrach, zapewniając pełny wgląd w graf zabezpieczeń do wszystkich obrazów w środowiskach chmury, w tym obrazów, które obecnie nie mają żadnych zaleceń dotyczących stanu.
Ulepszono możliwości wykonywania zapytań za pomocą Eksploratora zabezpieczeń w chmurze, dzięki czemu użytkownicy mogą teraz wyszukiwać obrazy kontenerów na podstawie metadanych (skrót, repozytorium, system operacyjny, tag itp.)
Inwentaryzacja oprogramowania kontenerów za pomocą narzędzia Cloud Security Explorer.
6 października 2024 r.
Klienci mogą teraz uzyskać listę oprogramowania zainstalowanego w kontenerach i obrazach kontenerów za pośrednictwem Eksploratora zabezpieczeń w chmurze. Ta lista może również służyć do szybkiego uzyskiwania innych wglądów w środowisko klienta, takich jak znajdowanie wszystkich kontenerów i obrazów kontenerów z oprogramowaniem, którego dotyczy luka typu zero-day, nawet przed opublikowaniem CVE.
Wrzesień 2024 r.
Ulepszenia środowiska eksploratora zabezpieczeń w chmurze
22 września 2024 r.
Szacowana data zmiany: październik 2024 r.
Eksplorator zabezpieczeń chmury ma zwiększyć wydajność i funkcjonalność siatki, zapewnić więcej wzbogacania danych dla każdego zasobu w chmurze, ulepszyć kategorie wyszukiwania i ulepszyć raport eksportu CSV z bardziej szczegółowymi informacjami na temat wyeksportowanych zasobów w chmurze.
Ogólna dostępność monitorowania integralności plików na podstawie Ochrona punktu końcowego w usłudze Microsoft Defender
18 września 2024 r.
Nowa wersja monitorowania integralności plików oparta na Ochrona punktu końcowego w usłudze Microsoft Defender jest teraz ogólnie dostępna w ramach Defender dla serwerów Plan 2. Program FIM umożliwia:
- Spełnij wymagania dotyczące zgodności, monitorując krytyczne pliki i rejestry w czasie rzeczywistym i przeprowadzając inspekcję zmian.
- Zidentyfikuj potencjalne problemy z zabezpieczeniami, wykrywając podejrzane zmiany zawartości pliku.
To ulepszone środowisko programu FIM zastępuje istniejącą, która jest ustawiona na wycofanie agenta Log Analytics (MMA). Doświadczenie FIM w ramach MMA będzie wspierane do końca listopada 2024 r.
W tej wersji wydano środowisko produktu, aby umożliwić migrację konfiguracji programu FIM za pośrednictwem programu MMA do nowej wersji programu FIM za pośrednictwem Defender wersji punktu końcowego.
Aby uzyskać informacje na temat włączania programu FIM za pośrednictwem Defender dla punktu końcowego, zobacz Monitorowanie integralności plików przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender. Aby uzyskać informacje na temat wyłączania poprzednich wersji, zobacz Migracja monitorowania integralności plików z poprzednich wersji.
Środowisko migracji programu FIM jest dostępne w Defender dla Chmury
18 września 2024 r.
Wydano środowisko produktu, aby umożliwić migrację konfiguracji programu FIM za pośrednictwem programu MMA do nowej wersji programu FIM za pośrednictwem Defender wersji punktu końcowego. Dzięki temu doświadczeniu możesz:
- Przejrzyj dotknięte środowisko z poprzednią wersją FIM z włączoną obsługą MMA i wymaganą migracją.
- Eksportowanie bieżących reguł programu FIM z doświadczenia opartego na MMA i umieszczenie ich w obszarach roboczych
- Przeprowadź migrację do subskrypcji z obsługą P2, korzystając z nowej funkcji FIM w ramach MDE.
Aby użyć środowiska migracji, przejdź do okienka Ustawienia środowiska i wybierz przycisk migracji MMA w górnym wierszu.
Wycofanie funkcji automatycznego provisioningu MMA
18 września 2024 r. W ramach wycofania agenta MMA, funkcja automatycznej aprowizacji zapewniająca instalację i konfigurację agenta dla klientów MDC również zostanie wycofana w dwóch etapach.
Do końca września 2024 r. automatyczne aprowizowanie programu MMA zostanie wyłączone dla klientów, którzy nie korzystają już z tej możliwości, a także dla nowo utworzonych subskrypcji. Po zakończeniu września możliwości nie będą już mogły zostać ponownie włączone w tych subskrypcjach.
Koniec listopada 2024 r. automatyczne udostępnianie programu MMA zostanie wyłączone w subskrypcjach, które jeszcze go nie wyłączyły. Od tego momentu nie można już włączyć możliwości istniejących subskrypcji.
Integracja z Power BI
15 września 2024 r.
Defender dla Chmury można teraz zintegrować z Power BI. Ta integracja umożliwia tworzenie niestandardowych raportów i pulpitów nawigacyjnych przy użyciu danych z Defender dla Chmury. Za pomocą Power BI można wizualizować i analizować stan zabezpieczeń, zgodność i zalecenia dotyczące zabezpieczeń.
Dowiedz się więcej o nowej integration z Power BI.
Aktualizacja wymagań sieciowych CSPM w środowisku wielochmurowym
11 września 2024 r.
Szacowana data zmiany: październik 2024 r.
Od października 2024 r. dodajemy więcej adresów IP do naszych usług odnajdywania w wielu chmurach w celu dostosowania się do ulepszeń i zapewnienia bardziej wydajnego środowiska dla wszystkich użytkowników.
Aby zapewnić nieprzerwany dostęp z naszych usług, należy zaktualizować listę dozwolonych adresów IP przy użyciu nowych zakresów podanych tutaj. Należy wprowadzić niezbędne zmiany w ustawieniach zapory, grupach zabezpieczeń lub innych konfiguracjach, które mogą mieć zastosowanie do danego środowiska. Lista jest wystarczająca do zapewnienia pełnej funkcjonalności podstawowej oferty CSPM (bezpłatnej).
Defender na potrzeby wycofywania funkcji serwerów
9 września 2024 r.
Funkcje adaptacyjnego sterowania aplikacjami i adaptacyjne wzmocnienie zabezpieczeń sieci są teraz przestarzałe.
Hiszpańskie ramy bezpieczeństwa narodowego (Esquema Nacional de Seguridad (ENS)) dodane do pulpitu nawigacyjnego zgodności z przepisami dla Azure
9 września 2024 r.
Organizacje, które chcą sprawdzić swoje Azure środowiska pod kątem zgodności ze standardem ENS, mogą teraz to zrobić przy użyciu Defender dla Chmury.
Standard ENS ma zastosowanie do całego sektora publicznego w Hiszpanii, a także do dostawców współpracujących z administracją. Ustanawia podstawowe zasady, wymagania i środki bezpieczeństwa w celu ochrony informacji i usług przetwarzanych elektronicznie. Celem jest zapewnienie dostępu, poufności, integralności, możliwości śledzenia, autentyczności, dostępności i zachowywania danych.
Zapoznaj się z pełną listą obsługiwanych standardów zgodności.
Podejmij działania naprawcze zgodnie z zaleceniami dotyczącymi aktualizacji systemu i poprawek na swoich urządzeniach.
8 września 2024 r.
Teraz możesz skorygować zalecenia dotyczące aktualizacji i poprawek systemu na maszynach z obsługą Azure Arc i maszynach wirtualnych Azure. Aktualizacje systemu i poprawki mają kluczowe znaczenie dla zapewnienia bezpieczeństwa i kondycji maszyn. Aktualizacje często zawierają poprawki zabezpieczeń dla luk w zabezpieczeniach, które, jeśli pozostaną niezałatane, mogą być wykorzystywane przez atakujących.
Informacje o braku aktualizacji maszyny są teraz zbierane przy użyciu Menedżer aktualizacji platformy Azure.
Aby zapewnić bezpieczeństwo maszyn w przypadku aktualizacji systemu i poprawek, należy włączyć ustawienia okresowych aktualizacji oceny na maszynach.
Dowiedz się, jak korygować aktualizacje systemu i zalecenia dotyczące poprawek na maszynach.
Integracja usługi ServiceNow obejmuje teraz moduł Configuration Compliance
4 września 2024 r.
Defender dla Chmury integracja planu CSPM z usługą ServiceNow obejmuje teraz moduł zgodności konfiguracji usługi ServiceNow. Ta funkcja umożliwia identyfikowanie, określanie priorytetów i korygowanie problemów z konfiguracją w zasobach w chmurze przy jednoczesnym zmniejszeniu ryzyka zabezpieczeń i poprawie ogólnej postawy zgodności za pomocą zautomatyzowanych przepływów pracy i szczegółowych informacji w czasie rzeczywistym.
Dowiedz się więcej o integracji ServiceNow z Defender dla Chmury.
Defender dla magazynu (klasycznego) planu ochrony magazynu dla transakcji nie jest dostępny dla nowych subskrypcji
4 września 2024 r.
Szacowana data zmiany: 5 lutego 2025 r.
Po 5 lutego 2025 r. nie będzie można aktywować starszej wersji Defender dla magazynu (klasycznego) dla planu ochrony magazynu dla transakcji, chyba że jest on już włączony w ramach subskrypcji. Aby uzyskać więcej informacji, zobacz Move to the new Defender for Storage plan.
Azure Policy konfiguracja gościa jest teraz ogólnie dostępna (ogólna dostępność)
niedziela, 1 września 2024 r.
Defender konfiguracji gościa Azure Policy serwera jest teraz ogólnie dostępna dla wszystkich klientów z wieloma chmurami Defender dla klientów z planem 2 serwerów. Konfiguracja gości zapewnia ujednolicone doświadczenie zarządzania punktami odniesienia zabezpieczeń w całym Twoim środowisku. Umożliwia ona ocenę i wymuszanie konfiguracji zabezpieczeń na serwerach, w tym maszyn Windows i Linux, maszyn wirtualnych Azure, usług AWS EC2 i wystąpień GCP.
Dowiedz się, jak w konfiguracji maszyny Azure Policy w środowisku.
Wersja zapoznawcza obsługi rejestru kontenerów Docker Hub przez Defender for Containers
niedziela, 1 września 2024 r.
Wprowadzamy publiczną wersję zapoznawczą rozszerzenia Microsoft Defender dla kontenerów w celu uwzględnienia rejestrów zewnętrznych, począwszy od rejestrów kontenerów Docker Hub. W ramach zarządzania stanem zabezpieczeń Microsoft Cloud organizacji rozszerzenie zakresu do rejestrów kontenerów Docker Hub zapewnia korzyści ze skanowania obrazów kontenerów Docker Hub przy użyciu polecenia Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, aby zidentyfikować zagrożenia bezpieczeństwa i ograniczyć potencjalne zagrożenia bezpieczeństwa.
Aby uzyskać więcej informacji na temat tej funkcji, zobacz ocena Vulnerability Assessment for Docker Hub
Sierpień 2024 r.
| Date | Category | Update |
|---|---|---|
| 28 sierpnia | Preview | Nowa wersja monitorowania integralności plików oparta na Ochrona punktu końcowego w usłudze Microsoft Defender |
| Sierpień 22 | Zbliżająca się wycofanie | Retirement integracji alertów Defender dla Chmury z alertami zapory aplikacji internetowej Azure |
| 1 sierpnia | ogólna dostępność | Enable Microsoft Defender dla serwerów SQL na maszynach na dużą skalę |
Nowa wersja monitorowania integralności plików oparta na Ochrona punktu końcowego w usłudze Microsoft Defender
28 sierpnia 2024 r.
Nowa wersja monitorowania integralności plików oparta na Ochrona punktu końcowego w usłudze Microsoft Defender jest teraz dostępna w publicznej wersji zapoznawczej. Jest to część Defender dla serwerów Plan 2. Umożliwia on wykonywanie następujących czynności:
- Spełnij wymagania dotyczące zgodności, monitorując krytyczne pliki i rejestry w czasie rzeczywistym i przeprowadzając inspekcję zmian.
- Zidentyfikuj potencjalne problemy z zabezpieczeniami, wykrywając podejrzane zmiany zawartości pliku.
W ramach tej wersji środowisko fim over AMA nie będzie już dostępne w portalu Defender dla Chmury. Doświadczenie FIM w ramach MMA będzie wspierane do końca listopada 2024 r. Na początku września zostanie wydane środowisko produktu, które umożliwia migrację konfiguracji programu FIM za pośrednictwem programu MMA do nowej wersji programu FIM za pośrednictwem Defender wersji punktu końcowego.
Aby uzyskać informacje na temat włączania programu FIM za pośrednictwem Defender dla punktu końcowego, zobacz Monitorowanie integralności plików przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender. Aby uzyskać informacje na temat migrowania z poprzednich wersji, zobacz Migrowanie monitorowania integralności plików z poprzednich wersji.
Wycofanie integracji alertów Defender dla Chmury z alertami zapory aplikacji internetowej Azure
22 sierpnia 2024 r.
Szacowana data zmiany: 25 września 2024 r.
alert Defender dla Chmury integration z alertami zapory aplikacji internetowej Azure zostaną wycofane 25 września 2024 r. Na końcu nie jest wymagana żadna akcja. W przypadku klientów Microsoft Sentinel można skonfigurować Azure Web Application Firewall connector.
Włączanie Microsoft Defender dla serwerów SQL na maszynach na dużą skalę
1 sierpnia 2024 r.
Teraz można włączyć Microsoft Defender dla serwerów SQL na maszynach na dużą skalę w chmurach dla instytucji rządowych. Ta funkcja umożliwia włączenie Microsoft Defender dla programu SQL na wielu serwerach jednocześnie, co pozwala zaoszczędzić czas i nakład pracy.
Dowiedz się, jak enable Microsoft Defender dla serwerów SQL na maszynach na dużą skalę.
Lipiec 2024 r.
Ogólna dostępność rozszerzonych zaleceń dotyczących odnajdywania i konfiguracji dla programu Endpoint Protection
31 lipca 2024 r.
Ulepszone funkcje odnajdywania dla rozwiązań ochrony punktów końcowych i ulepszona identyfikacja problemów z konfiguracją są teraz ogólnie dostępne i dostępne dla serwerów z wieloma chmurami. Te aktualizacje są zawarte w Defender dla serwerów Plan 2 i Defender Zarządzanie stanem zabezpieczeń w chmurze (CSPM).
Ulepszona funkcja rekomendacji używa skanowania maszyn bez agenta, umożliwiając kompleksowe odnajdywanie i ocenę konfiguracji obsługiwanych rozwiązań wykrywanie i reagowanie w punktach końcowych. Po zidentyfikowaniu problemów z konfiguracją zostaną podane kroki korygowania.
W tej wersji ogólnej dostępności lista obsługiwanych rozwiązań jest rozszerzona, aby uwzględnić jeszcze dwa narzędzia do wykrywania punktów końcowych i reagowania:
- Liczba pojedyncza platformy by SentinelOne
- Cortex XDR
Wycofanie adaptacyjnego wzmacniania zabezpieczeń sieci
31 lipca 2024 r.
Szacowana data zmiany: 31 sierpnia 2024 r.
Defender dla adaptacyjnego wzmacniania zabezpieczeń sieci serwera jest przestarzałe.
Wycofanie funkcji obejmuje następujące środowiska:
- Zalecenie: Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu [klucz oceny: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Alert: Ruch wykryty z adresów IP zalecanych do blokowania
Wersja zapoznawcza: oceny zabezpieczeń dla GitHub nie wymagają już dodatkowych licencji
22 lipca 2024 r.
GitHub użytkownicy w usłudze Defender dla Chmury nie potrzebują już licencji GitHub Advanced Security, aby wyświetlić wyniki zabezpieczeń. Dotyczy to ocen zabezpieczeń pod kątem słabych stron kodu, błędów konfiguracji infrastruktury jako kodu (IaC) i luk w zabezpieczeniach obrazów kontenerów wykrytych w fazie kompilacji.
Klienci z GitHub Advanced Security będą nadal otrzymywać dodatkowe oceny zabezpieczeń w Defender dla Chmury pod kątem uwidocznionych poświadczeń, luk w zabezpieczeniach open source zależności i wyników codeQL.
Aby dowiedzieć się więcej na temat zabezpieczeń metodyki DevOps w Defender dla Chmury, zobacz omówienie zabezpieczeń DevOps. Aby dowiedzieć się, jak dołączyć środowisko GitHub do Defender dla Chmury, postępuj zgodnie z przewodnikiem dołączania GitHub. Aby dowiedzieć się, jak skonfigurować akcję GitHub rozwiązania zabezpieczające firmy Microsoft DevOps, zobacz naszą dokumentację GitHub Action.
Zaktualizowano osie czasu wycofania programu MMA w Defender dla planu 2 serwerów
18 lipca 2024 r.
Szacowana data zmiany: sierpień 2024 r.
Wraz z przejmuje wycofanie agenta Log Analytics w sierpniu wszystkie wartości zabezpieczeń ochrony serwera w Defender dla Chmury będą polegać na integracji z Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) jako pojedynczy agent i funkcje bez agenta udostępniane przez platformę w chmurze i skanowanie maszyn bez agenta.
Następujące możliwości mają zaktualizowane osie czasu i plany, dzięki czemu wsparcie dla nich w ramach MMA zostanie rozszerzone na Defender dla Chmury klientów do końca listopada 2024 r.:
Monitorowanie integralności plików (FIM): publiczna wersja zapoznawcza dla nowej wersji programu FIM za pośrednictwem rozwiązania MDE jest planowana na sierpień 2024 r. Ogólnie dostępna wersja programu FIM obsługiwana przez agenta Log Analytics będzie nadal obsługiwana dla istniejących klientów do końca November 2024.
Security Baseline: jako alternatywa dla wersji opartej na programie MMA, Bieżąca wersja zapoznawcza oparta na konfiguracji gościa zostanie udostępniona ogólnie w September 2024. Punkty odniesienia zabezpieczeń systemu operacyjnego obsługiwane przez agenta Log Analytics będą nadal obsługiwane dla istniejących klientów do końca November 2024.
Aby uzyskać więcej informacji, zobacz Przygotowanie do wycofania agenta Log Analytics.
Wycofanie funkcji związanych z MMA w ramach wycofania agenta
18 lipca 2024 r.
Szacowana data zmiany: sierpień 2024 r.
W ramach przygotowanie agenta monitorowania Microsoft (MMA) oraz zaktualizowane Defender strategii wdrażania serwerów wszystkie funkcje zabezpieczeń Defender dla serwerów będą teraz udostępniane za pośrednictwem jednego agenta (Defender dla punktu końcowego) lub za pośrednictwem funkcji skanowania bez agenta. Nie będzie to wymagać zależności od agenta MMA lub Azure Monitoring Agent (AMA).
W miarę zbliżania się do wycofania agenta w sierpniu 2024 r. następujące funkcje związane z MMA zostaną usunięte z portalu Defender dla Chmury:
- Wyświetlanie stanu instalacji programu MMA w blokach Inventory i Resource Health.
- Możliwość dołączania nowych serwerów innych niż Azure do Defender dla serwerów za pośrednictwem obszarów roboczych Log Analytics zostanie usunięta z bloków Inventory i Getting Started.
Note
Zalecamy, aby obecni klienci, którzy dołączyli serwery lokalne przy użyciu podejścia legacy, powinni teraz łączyć te maszyny za pośrednictwem serwerów z obsługą Azure Arc. Zalecamy również włączenie Defender dla serwerów (plan 2) w subskrypcjach Azure, z którymi te serwery są połączone.
Jeśli selektywnie włączono Defender dla serwerów (plan 2) na określonych maszynach wirtualnych Azure przy użyciu starszej wersji, włącz Defender dla planu serwerów 2 w ramach subskrypcji Azure tych maszyn. Wyklucz poszczególne maszyny z Defender pokrycia serwerów przy użyciu Defender dla serwerów per-resource configuration.
Te kroki zapewnią brak utraty pokrycia zabezpieczeń z powodu wycofania agenta Log Analytics.
Aby zachować ciągłość zabezpieczeń, zalecamy klientom Defender dla serwerów (plan 2) w celu włączenia skanowania >agentless i integracji z Ochrona punktu końcowego w usłudze Microsoft Defender w swoich subskrypcjach.
Możesz użyć this skoroszytu niestandardowego, aby śledzić majątek agenta Log Analytics (MMA) i monitorować stan wdrażania Defender dla serwerów na maszynach Azure i maszynach Azure Arc.
Aby uzyskać więcej informacji, zobacz Przygotowanie do wycofania agenta Log Analytics.
Publiczna wersja zapoznawcza aplikacji Binary Drift jest teraz dostępna w Defender for Containers
Wprowadzamy publiczną wersję zapoznawcza aplikacji Binary Drift dla Defender dla kontenerów. Ta funkcja ułatwia identyfikowanie i zmniejszanie potencjalnych zagrożeń bezpieczeństwa związanych z nieautoryzowanymi plikami binarnymi w kontenerach. Binary Drift autonomicznie identyfikuje i wysyła alerty dotyczące potencjalnie szkodliwych procesów binarnych w kontenerach. Ponadto umożliwia implementację nowych zasad dryfu binarnego w celu kontrolowania preferencji alertów, oferując możliwość dostosowania powiadomień do określonych potrzeb związanych z zabezpieczeniami. Aby uzyskać więcej informacji na temat tej funkcji, zobacz Wykrywanie dryfu binarnego
Skrypty zautomatyzowanego korygowania dla platform AWS i GCP są teraz ogólnie dostępne
14 lipca 2024 r.
W marcu opublikowaliśmy zautomatyzowane skrypty korygowania dla platform AWS i GCP do publicznej wersji zapoznawczej, które umożliwiają korygowanie zaleceń dotyczących platform AWS i GCP w sposób programowy.
Obecnie udostępniamy tę funkcję do ogólnie dostępnej wersji (GA). Dowiedz się, jak używać skryptów zautomatyzowanego korygowania.
aktualizacja uprawnień aplikacji GitHub
11 lipca 2024 r.
Szacowana data zmiany: 18 lipca 2024 r.
Zabezpieczenia metodyki DevOps w usłudze Defender dla Chmury stale dokonują aktualizacji, które wymagają od klientów z łącznikami GitHub w usłudze Defender dla Chmury w celu zaktualizowania uprawnień aplikacji rozwiązania zabezpieczające firmy Microsoft DevOps w GitHub.
W ramach tej aktualizacji aplikacja GitHub będzie wymagać uprawnień do odczytu GitHub Copilot Business. To uprawnienie będzie używane w celu ułatwienia klientom lepszego zabezpieczenia wdrożeń GitHub Copilot. Zalecamy jak najszybsze zaktualizowanie aplikacji.
Uprawnienia można przyznać na dwa różne sposoby:
W organizacji GitHub przejdź do aplikacji rozwiązania zabezpieczające firmy Microsoft DevOps w Settings > GitHub Apps i zaakceptuj żądanie uprawnień.
W automatycznej wiadomości e-mail z działu pomocy technicznej GitHub wybierz pozycję Review żądanie uprawnień aby zaakceptować lub odrzucić tę zmianę.
Standardy zgodności są teraz ogólnie dostępne
10 lipca 2024 r.
W marcu dodaliśmy wersje zapoznawcze wielu nowych standardów zgodności dla klientów w celu zweryfikowania ich zasobów platform AWS i GCP.
Standardy te obejmowały CIS Google Kubernetes Engine (GKE) Benchmark, ISO/IEC 27001 i ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), Brazylijskie ogólne prawo ochrony danych osobowych (LGPD), California Consumer Privacy Act (CCA) i inne.
Te standardy w wersji zapoznawczej są teraz ogólnie dostępne.
Zapoznaj się z pełną listą obsługiwanych standardów zgodności.
Ulepszenie środowiska spisu
9 lipca 2024 r.
Szacowana data zmiany: 11 lipca 2024 r.
Środowisko spisu zostanie zaktualizowane w celu zwiększenia wydajności, w tym ulepszeń logiki zapytania "Otwórz zapytanie" w okienku w Azure Resource Graph. Aktualizacje logiki za Azure obliczenia zasobów mogą spowodować zliczenie i przedstawienie innych zasobów.
Narzędzie do mapowania kontenerów domyślnie uruchamiane w GitHub
08 lipca 2024 r.
Szacowana data zmiany: 12 sierpnia 2024 r.
Dzięki możliwościom zabezpieczeń metodyki DevOps w Zarządzanie Stanem Zabezpieczeń Chmury w usłudze Microsoft Defender (CSPM) możesz mapować aplikacje natywne dla chmury z kodu na chmurę, aby łatwo rozpocząć przepływy pracy korygowania deweloperów i skrócić czas korygowania luk w zabezpieczeniach obrazów kontenerów. Obecnie należy ręcznie skonfigurować narzędzie do mapowania obrazów kontenera, aby było uruchamiane w akcji rozwiązania zabezpieczające firmy Microsoft DevOps w GitHub. Dzięki tej zmianie mapowanie kontenerów będzie domyślnie uruchamiane w ramach akcji rozwiązania zabezpieczające firmy Microsoft DevOps. Dowiedz się więcej o akcji rozwiązania zabezpieczające firmy Microsoft DevOps.
Czerwiec 2024 r.
| Date | Category | Update |
|---|---|---|
| 27 czerwca | ogólna dostępność | Checkov Skanowanie IaC w Defender dla Chmury. |
| 24 czerwca | Update | Change w cenniku wielochmurowych Defender dla kontenerów |
| 20 czerwca | Zbliżająca się wycofanie |
Reminder wycofania zaleceń adaptacyjnych przy wycofaniu agenta monitorowania Microsoft (MMA. Szacowany wycofanie z sierpnia 2024 r. |
| 10 czerwca | Preview | Copilot w Defender dla Chmury |
| 10 czerwca | Zbliżająca się aktualizacja |
Automatyczne włączanie oceny luk w zabezpieczeniach SQL przy użyciu konfiguracji ekspresowej na nieskonfigurowanych serwerach. Szacowana aktualizacja: 10 lipca 2024 r. |
| 3 czerwca | Zbliżająca się aktualizacja |
Zmiany zachowania zaleceń dotyczących tożsamości Szacowana aktualizacja: 10 lipca 2024 r. |
Ogólna dostępność: Sprawdzanie skanowania IaC w Defender dla Chmury
27 czerwca 2024 r.
Ogłaszamy ogólną dostępność funkcji integracji Checkov dla skanowania infrastruktury jako kodu (IaC) za pośrednictwem rozwiązania zabezpieczające firmy Microsoft DevOps (MSDO). W ramach tej wersji Checkov zastąpi narzędzie TerraScan jako domyślny analizator IaC, który działa w ramach interfejsu wiersza polecenia MSDO. Narzędzie TerraScan może być nadal konfigurowane ręcznie za pomocą zmiennych środowiskowych MSDO, ale nie będzie domyślnie uruchamiane.
Wyniki zabezpieczeń checkov są obecne jako zalecenia zarówno dla repozytoriów Azure DevOps, jak i GitHub w ramach ocen Azure DevOps repozytoria powinny mieć infrastrukturę, ponieważ ustalenia kodu zostały rozwiązane i GitHub repozytoria powinny mieć infrastrukturę w miarę rozwiązywania ustaleń kodu.
Aby dowiedzieć się więcej na temat zabezpieczeń metodyki DevOps w Defender dla Chmury, zobacz omówienie zabezpieczeń DevOps. Aby dowiedzieć się, jak skonfigurować interfejs wiersza polecenia MSDO, zobacz dokumentację Azure DevOps lub GitHub.
Aktualizacja: zmiana cen Defender dla kontenerów w wielu chmurach
24 czerwca 2024 r.
Ponieważ Defender dla kontenerów w wielu chmurach jest teraz ogólnie dostępna, nie jest już bezpłatna. Aby uzyskać więcej informacji, zobacz cennik Microsoft Defender dla Chmury.
Wycofanie: Przypomnienie o wycofaniu zaleceń adaptacyjnych
20 czerwca 2024 r.
Szacowana data zmiany: sierpień 2024 r.
W ramach wycofania MMA i Defender dla serwerów zaktualizowanej strategii wdrażania Defender dla funkcji zabezpieczeń serwerów zostaną udostępnione za pośrednictwem agenta Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) lub za pośrednictwem agentne możliwości skanowania. Obie te opcje nie będą zależeć od agenta MMA lub Azure Monitoring Agent (AMA).
Zalecenia dotyczące adaptacyjnego zabezpieczeń, znane jako adaptacyjne mechanizmy kontroli aplikacji i adaptacyjne wzmacnianie zabezpieczeń sieci, zostaną wycofane. Bieżąca wersja ogólnodostępna oparta na mma i wersji zapoznawczej oparta na ama zostanie wycofana w sierpniu 2024 r.
Wersja zapoznawcza: Copilot w Defender dla Chmury
10 czerwca 2024 r.
Ogłaszamy integrację Microsoft Security Copilot z Defender dla Chmury w publicznej wersji zapoznawczej. Copilot osadzone środowisko w Defender dla Chmury zapewnia użytkownikom możliwość zadawania pytań i uzyskiwania odpowiedzi w języku naturalnym. Copilot może pomóc zrozumieć kontekst rekomendacji, efekt wdrożenia rekomendacji, kroki niezbędne do wykonania w celu wdrożenia zalecenia, pomoc w delegowaniu zaleceń i pomoc w korygowaniu błędów konfiguracji w kodzie.
Dowiedz się więcej o Microsoft Security Copilot w Defender dla Chmury.
Aktualizacja: automatyczne włączanie oceny luk w zabezpieczeniach SQL
10 czerwca 2024 r.
Szacowana data zmiany: 10 lipca 2024 r.
Pierwotnie ocena luk w zabezpieczeniach SQL z usługą Express Configuration została automatycznie włączona tylko na serwerach, na których Microsoft Defender dla bazy danych SQL została aktywowana po wprowadzeniu konfiguracji express w grudniu 2022 r.
Będziemy aktualizować wszystkie serwery Azure SQL, które zostały Microsoft Defender dla programu SQL aktywowane przed grudniem 2022 r. i nie miały żadnych istniejących zasad oceny luk w zabezpieczeniach SQL, aby program SQL Vulnerability Assessment (SQL VA) był automatycznie włączony za pomocą usługi Express Configuration.
- Implementacja tej zmiany będzie stopniowa, obejmująca kilka tygodni i nie wymaga żadnej akcji w części użytkownika.
- Ta zmiana dotyczy serwerów Azure SQL, na których Microsoft Defender dla usługi SQL został aktywowany na poziomie subskrypcji Azure.
- Na serwery z istniejącą konfiguracją klasyczną (niezależnie od tego, czy jest prawidłowa, czy nieprawidłowa) ta zmiana nie będzie miała wpływu.
- Po aktywacji może pojawić się zalecenie "Bazy danych SQL powinny mieć usunięte wyniki luk w zabezpieczeniach" i może mieć potencjalnie wpływ na wskaźnik bezpieczeństwa.
Aktualizacja: zmiany zachowania zaleceń dotyczących tożsamości
3 czerwca 2024 r.
Szacowana data zmiany: lipiec 2024 r.
Te zmiany:
- Oceniony zasób stanie się tożsamością zamiast subskrypcji
- Zalecenia nie będą już miały "podpoleceń"
- Wartość pola "assessmentKey" w interfejsie API zostanie zmieniona dla tych zaleceń
Zostaną zastosowane do następujących zaleceń:
- Konta z uprawnieniami właściciela do zasobów Azure powinny być włączone uwierzytelnianie wieloskładnikowe
- Konta z uprawnieniami do zapisu w zasobach Azure powinny być włączone uwierzytelnianie wieloskładnikowe
- Konta z uprawnieniami do odczytu dla zasobów Azure powinny być włączone uwierzytelnianie wieloskładnikowe
- Konta gości z uprawnieniami właściciela do zasobów Azure powinny zostać usunięte
- Konta gości z uprawnieniami do zapisu w zasobach Azure powinny zostać usunięte
- Konta gości z uprawnieniami do odczytu Azure zasobów powinny zostać usunięte
- Zablokowane konta z uprawnieniami właściciela do zasobów Azure powinny zostać usunięte
- Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach Azure powinny zostać usunięte
- Dla subskrypcji należy wyznaczyć maksymalnie trzech właścicieli
- Do Twojej subskrypcji powinien być przypisany więcej niż jeden właściciel
maj 2024
| Date | Category | Update |
|---|---|---|
| 30 maja | ogólna dostępność | Agentless malware detection in Defender for Servers Plan 2 |
| 22 maja | Update | Konfigurowanie powiadomień e-mail dla ścieżek ataków |
| 21 maja | Update | Zaawansowane wyszukiwanie zagrożeń w Microsoft Defender XDR obejmuje alerty i zdarzenia Defender dla Chmury |
| 9 maja | Preview | integracja Checkov na potrzeby skanowania IaC w Defender dla Chmury |
| 7 maja | ogólna dostępność | zarządzanie Permissions w Defender dla Chmury |
| 6 maja | Preview | AI — wielochmurowe zarządzanie stanem zabezpieczeń jest dostępne dla platform Azure i AWS. |
| 6 maja | Ograniczona wersja zapoznawcza | Ochrona obciążeń sztucznej inteligencji w Azure. |
| 2 maja | Update | Zarządzanie zasadami zabezpieczeń. |
| 1 maja | Preview | Defender dla baz danych typu open source jest teraz dostępny na platformie AWS dla wystąpień amazon. |
| 1 maja | Zbliżająca się wycofanie |
Removal programu FIM za pośrednictwem usługi AMA i wydania nowej wersji przez Defender dla punktu końcowego. Szacowana wycofanie z sierpnia 2024 r. |
Ogólna dostępność: Wykrywanie złośliwego oprogramowania bez agenta w Defender dla serwerów (plan 2)
30 maja 2024 r.
wykrywanie złośliwego oprogramowania bez agenta Defender dla Chmury dla maszyn wirtualnych Azure, wystąpień usługi AWS EC2 i wystąpień maszyn wirtualnych GCP jest teraz ogólnie dostępne jako nowa funkcja w Defender dla serwerów (plan 2.
Wykrywanie złośliwego oprogramowania bez agenta używa Microsoft Defender Antivirus aparatu chroniącego przed złośliwym oprogramowaniem do skanowania i wykrywania złośliwych plików. Wykryte zagrożenia wyzwalają alerty zabezpieczeń bezpośrednio do Defender dla Chmury i Defender XDR, gdzie można je zbadać i skorygować. Dowiedz się więcej na temat skanowania bez agenta złośliwego oprogramowania pod kątem serwerów i skanowania bez agenta dla maszyn wirtualnych.
Aktualizacja: Konfigurowanie powiadomień e-mail dla ścieżek ataków
22 maja 2024 r.
Teraz można skonfigurować powiadomienia e-mail po wykryciu ścieżki ataku z określonym poziomem ryzyka lub wyższym. Dowiedz się, jak skonfigurować powiadomienia e-mail.
Aktualizacja: Zaawansowane wyszukiwanie zagrożeń w Microsoft Defender XDR obejmuje alerty i zdarzenia Defender dla Chmury
21 maja 2024 r.
alerty i zdarzenia Defender dla Chmury są teraz zintegrowane z Microsoft Defender XDR i mogą być dostępne w portalu Microsoft Defender. Ta integracja zapewnia bogatszy kontekst do badań obejmujących zasoby, urządzenia i tożsamości w chmurze. Dowiedz się więcej o zaawansowanym wyszukiwaniu zagrożeń w integracji XDR.
Wersja zapoznawcza: sprawdzanie integracji z skanowaniem IaC w usłudze Defender dla Chmury
9 maja 2024 r.
Sprawdzanie integracji z zabezpieczeniami metodyki DevOps w Defender dla Chmury jest teraz dostępne w wersji zapoznawczej. Ta integracja poprawia jakość i łączną liczbę testów infrastruktury jako kodu uruchamianych przez interfejs wiersza polecenia MSDO podczas skanowania szablonów IaC.
W wersji zapoznawczej checkov musi być jawnie wywoływany za pomocą parametru wejściowego "tools" dla interfejsu wiersza polecenia MSDO.
Dowiedz się więcej o zabezpieczeniach DevOps w Defender dla Chmury i konfigurowaniu interfejsu wiersza polecenia MSDO dla Azure DevOps i GitHub.
Ogólna dostępność: Zarządzanie uprawnieniami w Defender dla Chmury
7 maja 2024 r.
zarządzanie Permissions jest teraz ogólnie dostępne w Defender dla Chmury.
Wersja zapoznawcza: zarządzanie stanem zabezpieczeń w wielu chmurach sztucznej inteligencji
6 maja 2024 r.
Zarządzanie stanem zabezpieczeń sztucznej inteligencji jest dostępne w wersji zapoznawczej w Defender dla Chmury. Zapewnia ona możliwości zarządzania stanem zabezpieczeń sztucznej inteligencji dla Azure i usług AWS w celu zwiększenia bezpieczeństwa potoków i usług sztucznej inteligencji.
Dowiedz się więcej o zarządzaniu stanem zabezpieczeń sztucznej inteligencji.
Ograniczona wersja zapoznawcza: ochrona przed zagrożeniami dla obciążeń sztucznej inteligencji w Azure
6 maja 2024 r.
Ochrona przed zagrożeniami dla obciążeń sztucznej inteligencji w Defender dla Chmury jest dostępna w ograniczonej wersji zapoznawczej. Ten plan pomaga monitorować aplikacje oparte na platformie OpenAI Azure w czasie wykonywania pod kątem złośliwych działań, identyfikowania i korygowania zagrożeń bezpieczeństwa. Zapewnia ona kontekstowy wgląd w ochronę przed zagrożeniami obciążenia sztucznej inteligencji, integrując się z Responsible AI i Microsoft Threat Intelligence. Odpowiednie alerty zabezpieczeń są zintegrowane z portalem Defender.
Dowiedz się więcej o ochronie przed zagrożeniami dla obciążeń sztucznej inteligencji.
Ogólna dostępność: Zarządzanie zasadami zabezpieczeń
2 maja 2024 r.
Zarządzanie zasadami zabezpieczeń w chmurach (Azure, AWS, GCP) jest teraz ogólnie dostępne. Dzięki temu zespoły ds. zabezpieczeń mogą zarządzać zasadami zabezpieczeń w spójny sposób i przy użyciu nowych funkcji
Dowiedz się więcej o zasadach zabezpieczenia w Microsoft Defender dla Chmury.
Wersja zapoznawcza: Defender dla baz danych typu open source dostępnych na platformie AWS
1 maja 2024 r.
Defender dla baz danych typu open source na platformie AWS jest teraz dostępna w wersji zapoznawczej. Dodaje obsługę różnych typów wystąpień usługi Amazon Relational Database Service (RDS).
Dowiedz się więcej na temat Defender dla baz danych typu open source oraz instrukcji enable Defender dla baz danych typu open source na platformie AWS.
Wycofanie: usuwanie programu FIM (z usługą AMA)
1 maja 2024 r.
Szacowana data zmiany: sierpień 2024 r.
W ramach wycofania MMA i Defender dla serwerów zaktualizowanej strategii wdrażania wszystkie Defender dla serwerów funkcje zabezpieczeń zostaną udostępnione za pośrednictwem jednego agenta (MDE) lub za pośrednictwem możliwości skanowania bez agenta i bez zależności od mmA lub AMA.
Nowa wersja programu File Integrity Monitoring (FIM) over Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) umożliwia spełnienie wymagań zgodności przez monitorowanie krytycznych plików i rejestrów w czasie rzeczywistym, inspekcję zmian i wykrywanie podejrzanych zmian zawartości plików.
W ramach tej wersji środowisko fim over AMA nie będzie już dostępne za pośrednictwem portalu Defender dla Chmury od sierpnia 2024 r. Aby uzyskać więcej informacji, zobacz Środowisko monitorowania integralności plików — zmiany i wskazówki dotyczące migracji.
Aby uzyskać szczegółowe informacje na temat nowej wersji interfejsu API, zobacz interfejsy API REST Microsoft Defender dla Chmury.
Kwiecień 2024 r.
| Date | Category | Update |
|---|---|---|
| 16 kwietnia | Zbliżająca się aktualizacja |
Zmiana identyfikatorów ocen CIEM. Szacowana aktualizacja: maj 2024 r. |
| 15 kwietnia | ogólna dostępność | Defender for Containers jest teraz dostępny dla platform AWS i GCP. |
| 3 kwietnia | Update | Risk priorytetyzacja jest teraz domyślnym środowiskiem w Defender dla Chmury |
| 3 kwietnia | Update | Defender aktualizacje relacyjnych baz danych typu open source. |
Aktualizacja: zmiana identyfikatorów ocen CIEM
16 kwietnia 2024 r.
Szacowana data zmiany: maj 2024 r.
Następujące zalecenia są planowane do ponownego modelowania, co spowoduje zmianę ich identyfikatorów oceny:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
Ogólna dostępność: Defender dla kontenerów dla platform AWS i GCP
15 kwietnia 2024
Wykrywanie zagrożeń w czasie wykonywania i odnajdywanie bez agentów dla platform AWS i GCP w usłudze Defender dla kontenerów są teraz ogólnie dostępne. Ponadto w usłudze AWS dostępna jest nowa funkcja uwierzytelniania, która upraszcza aprowizowanie.
Dowiedz się więcej o macierzy obsługi containers w Defender dla Chmury oraz o tym, jak konfigurowanie Defender składników kontenerów.
Aktualizacja: Priorytetyzacja ryzyka
3 kwietnia 2024 r.
Priorytetyzacja ryzyka jest teraz domyślnym środowiskiem w Defender dla Chmury. Ta funkcja pomaga skupić się na najbardziej krytycznych problemach z zabezpieczeniami w środowisku, ustalając priorytety zaleceń na podstawie czynników ryzyka poszczególnych zasobów. Czynniki ryzyka obejmują potencjalny wpływ naruszenia problemu zabezpieczeń, kategorie ryzyka i ścieżkę ataku, której częścią jest problem z zabezpieczeniami. Dowiedz się więcej o priorytetyzacji ryzyka.
Aktualizacja: Defender dla relacyjnych baz danych Open-Source
3 kwietnia 2024 r.
- Defender dla serwerów elastycznych PostgreSQL po aktualizacji ga — aktualizacja umożliwia klientom wymuszanie ochrony istniejących serwerów elastycznych PostgreSQL na poziomie subskrypcji, co pozwala na pełną elastyczność włączania ochrony dla poszczególnych zasobów lub automatycznej ochrony wszystkich zasobów na poziomie subskrypcji.
- Defender dostępności serwerów elastycznych MySQL i ogólnie dostępnej dostępności — Defender dla Chmury rozszerzył obsługę Azure relacyjnych baz danych typu open source, włączając serwery elastyczne MySQL.
Ta wersja obejmuje:
- Zgodność alertów z istniejącymi alertami dla Defender dla pojedynczych serwerów MySQL.
- Włączanie poszczególnych zasobów.
- Włączanie na poziomie subskrypcji.
- Aktualizacje Azure Database for MySQL serwerów elastycznych są wdrażane w ciągu najbliższych kilku tygodni. Jeśli zostanie wyświetlony błąd
The server <servername> is not compatible with Advanced Threat Protection, możesz poczekać na aktualizację lub otworzyć bilet pomocy technicznej, aby zaktualizować serwer wcześniej do obsługiwanej wersji.
Jeśli już chronisz subskrypcję za pomocą Defender dla relacyjnych baz danych typu open source, zasoby serwera elastycznego są automatycznie włączone, chronione i rozliczane. Określone powiadomienia dotyczące rozliczeń zostały wysłane za pośrednictwem poczty e-mail dla subskrypcji, których dotyczy problem.
Dowiedz się więcej o Microsoft Defender dla relacyjnych baz danych typu open source.
marzec 2024
Ogólna dostępność: skanowanie obrazów kontenerów Windows
31 marca 2024 r.
Ogłaszamy ogólną dostępność obrazów kontenerów Windows do skanowania przez Defender dla kontenerów.
Aktualizacja: Eksport ciągły zawiera teraz dane ścieżki ataku
25 marca 2024 r.
Ogłaszamy, że eksport ciągły zawiera teraz dane ścieżki ataku. Ta funkcja umożliwia przesyłanie strumieniowe danych zabezpieczeń do Log Analytics in Azure Monitor, Azure Event Hubs lub do innego rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), automatycznego reagowania na orkiestrację zabezpieczeń (SOAR) lub klasycznego rozwiązania modelu wdrażania IT.
Dowiedz się więcej na temat eksportu ciągłego.
Wersja zapoznawcza: skanowanie bez agenta obsługuje zaszyfrowane maszyny wirtualne cmK w Azure
21 marca 2024 r.
Do tej pory skanowanie bez agenta obejmowało zaszyfrowane maszyny wirtualne CMK na platformach AWS i GCP. W tej wersji ukończymy również obsługę Azure. Ta funkcja wykorzystuje unikatowe podejście do skanowania klucza zarządzanego przez klienta w Azure:
- Defender dla Chmury nie obsługuje procesu odszyfrowywania ani klucza. Klucze i odszyfrowywanie są bezproblemowo obsługiwane przez usługę Azure Compute i są niewidoczne dla usługi skanowania bez agenta Defender dla Chmury.
- Niezaszyfrowane dane dysku maszyny wirtualnej nigdy nie są kopiowane ani ponownie szyfrowane przy użyciu innego klucza.
- Oryginalny klucz nie jest replikowany podczas procesu. Przeczyszczanie eliminuje dane zarówno na produkcyjnej maszynie wirtualnej, jak i na tymczasowej migawki Defender dla Chmury.
W publicznej wersji zapoznawczej ta funkcja nie jest automatycznie włączona. Jeśli używasz Defender dla serwerów P2 lub CSPM w usłudze Defender, a środowisko ma maszyny wirtualne z zaszyfrowanymi dyskami CMK, można je teraz skanować pod kątem luk w zabezpieczeniach, wpisów tajnych i złośliwego oprogramowania zgodnie z tymi krokami włączenia.
Wersja zapoznawcza: zalecenia niestandardowe oparte na języku KQL dla Azure
17 marca 2024 r.
Rekomendacje niestandardowe oparte na języku KQL dla Azure są teraz dostępne w publicznej wersji zapoznawczej i obsługiwane dla wszystkich chmur. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych standardów zabezpieczeń i zaleceń.
Aktualizacja: dołączenie zaleceń usługi DevOps do testu porównawczego zabezpieczeń chmury Microsoft
13 marca 2024
Dzisiaj ogłaszamy, że możesz teraz monitorować stan zabezpieczeń i zgodności devOps w Microsoft test porównawczy zabezpieczeń chmury (MCSB) oprócz Azure, AWS i GCP. Oceny metodyki DevOps są częścią kontroli zabezpieczeń metodyki DevOps w mcSB.
MCSB to struktura definiująca podstawowe zasady zabezpieczeń w chmurze oparte na wspólnych branżowych standardach i strukturach zgodności. McSB zawiera normatywne szczegóły dotyczące implementowania zaleceń dotyczących zabezpieczeń lokalnych dla chmury.
Dowiedz się więcej na temat zaleceń dotyczących DevOps które zostaną uwzględnione, a Microsoft test porównawczy zabezpieczeń w chmurze.
Ogólna dostępność: integracja z usługą ServiceNow jest teraz ogólnie dostępna
12 marca 2024 r.
Ogłaszamy ogólną dostępność integracji z usługą ServiceNow.
Wersja zapoznawcza: ochrona krytycznych zasobów w Microsoft Defender dla Chmury
12 marca 2024 r.
Defender dla Chmury teraz obejmuje funkcję krytycznego działania firmy, korzystając z aparatu zasobów krytycznych usługi rozwiązania zabezpieczające firmy Microsoft Exposure Management w celu identyfikowania i ochrony ważnych zasobów dzięki priorytetyzacji ryzyka, analizie ścieżki ataku i eksploratorowi zabezpieczeń w chmurze. Aby uzyskać więcej informacji, zobacz Krytyczna ochrona zasobów w Microsoft Defender dla Chmury (wersja zapoznawcza).
Aktualizacja: Ulepszone rekomendacje dotyczące platform AWS i GCP za pomocą skryptów zautomatyzowanego korygowania
12 marca 2024 r.
Ulepszamy rekomendacje platform AWS i GCP za pomocą skryptów zautomatyzowanego korygowania, które umożliwiają korygowanie ich programowo i na dużą skalę. Dowiedz się więcej o skryptach zautomatyzowanego korygowania.
Wersja zapoznawcza: standardy zgodności dodane do pulpitu nawigacyjnego zgodności
6 marca 2024 r.
W oparciu o opinie klientów dodaliśmy standardy zgodności w wersji zapoznawczej do Defender dla Chmury.
Zapoznaj się z pełną listą obsługiwanych standardów zgodności
Nieustannie pracujemy nad dodawaniem i aktualizowaniem nowych standardów dla środowisk Azure, AWS i GCP.
Dowiedz się, jak przypisać standard zabezpieczeń.
Aktualizacja: Defender aktualizacji relacyjnych baz danych typu open source
6 marca 2024 r. **
Szacowana data zmiany: kwiecień 2024 r.
Defender dla serwerów elastycznych PostgreSQL po aktualizacji ga — aktualizacja umożliwia klientom wymuszanie ochrony istniejących serwerów elastycznych PostgreSQL na poziomie subskrypcji, co pozwala na pełną elastyczność włączania ochrony dla poszczególnych zasobów lub automatycznej ochrony wszystkich zasobów na poziomie subskrypcji.
Defender dostępności serwerów elastycznych MySQL i ogólnie dostępnej dostępności — Defender dla Chmury jest ustawiona na rozszerzenie obsługi Azure relacyjnych baz danych typu open source przez włączenie serwerów elastycznych MySQL. Ta wersja będzie obejmować następujące elementy:
- Zgodność alertów z istniejącymi alertami dla Defender dla pojedynczych serwerów MySQL.
- Włączanie poszczególnych zasobów.
- Włączanie na poziomie subskrypcji.
Jeśli już chronisz subskrypcję za pomocą Defender dla relacyjnych baz danych typu open source, zasoby serwera elastycznego są automatycznie włączone, chronione i rozliczane. Określone powiadomienia dotyczące rozliczeń zostały wysłane za pośrednictwem poczty e-mail dla subskrypcji, których dotyczy problem.
Dowiedz się więcej o Microsoft Defender dla relacyjnych baz danych typu open source.
Aktualizacja: zmiany w ofertach zgodności i ustawieniach akcji Microsoft
3 marca 2024 r.
Szacowana data zmiany: 30 września 2025 r.
30 września 2025 r. zmienią się lokalizacje, w których uzyskujesz dostęp do dwóch funkcji w wersji zapoznawczej, oferty zgodności i Microsoft Actions.
Tabela zawierająca listę stanu zgodności produktów Microsoft (dostępnych z poziomu Ostawienia zgodności na pasku narzędzi Defender regulatory compliance dashboard). Po usunięciu tego przycisku z Defender dla Chmury nadal będziesz mieć dostęp do tych informacji przy użyciu Service Trust Portal.
W przypadku podzbioru kontrolek Microsoft Actions był dostępny z poziomu Microsoft Actions (Wersja zapoznawcza) w okienku szczegółów kontrolek. Po usunięciu tego przycisku można wyświetlić akcje Microsoft, odwiedzając Microsoft Service Trust Portal for FedRAMP i uzyskać dostęp do dokumentu plan zabezpieczeń systemu Azure.
Aktualizacja: zmiany w miejscu uzyskiwania dostępu do ofert zgodności i akcji Microsoft
3 marca 2024 r. **
Szacowana data zmiany: wrzesień 2025 r.
30 września 2025 r. zmienią się lokalizacje, w których uzyskujesz dostęp do dwóch funkcji w wersji zapoznawczej, oferty zgodności i Microsoft Actions.
Tabela zawierająca listę stanu zgodności produktów Microsoft (dostępnych z poziomu Ostawienia zgodności na pasku narzędzi Defender regulatory compliance dashboard). Po usunięciu tego przycisku z Defender dla Chmury nadal będziesz mieć dostęp do tych informacji przy użyciu Service Trust Portal.
W przypadku podzbioru kontrolek Microsoft Actions był dostępny z poziomu Microsoft Actions (Wersja zapoznawcza) w okienku szczegółów kontrolek. Po usunięciu tego przycisku można wyświetlić akcje Microsoft, odwiedzając Microsoft Service Trust Portal for FedRAMP i uzyskać dostęp do dokumentu plan zabezpieczeń systemu Azure.
Wycofanie: ocena luk w zabezpieczeniach kontenerów Defender dla Chmury obsługiwana przez wycofanie rozwiązania Qualys
3 marca 2024 r.
Ocena luk w zabezpieczeniach kontenerów Defender dla Chmury obsługiwana przez firmę Qualys jest wycofywana. Wycofanie zostanie ukończone do 6 marca, a do tego czasu częściowe wyniki mogą nadal występować zarówno w rekomendacjach Qualys, jak i qualys powoduje wyświetlenie wykresu zabezpieczeń. Wszyscy klienci, którzy wcześniej korzystali z tej oceny, powinni przeprowadzić uaktualnienie do oceny Vulnerability dla Azure z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender. Aby uzyskać informacje na temat przechodzenia do oferty oceny luk w zabezpieczeniach kontenerów obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, zobacz Transition from Qualys to Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender .
luty 2024 r.
| Date | Category | Update |
|---|---|---|
| 28 lutego | Deprecation | rozwiązania zabezpieczające firmy Microsoft Code Analysis (MSCA) nie działa już. |
| 28 lutego | Update | Zaktualizowane zarządzanie zasadami zabezpieczeń rozszerza obsługę usług AWS i GCP. |
| 26 lutego | Update | obsługa Cloud dla kontenerów Defender |
| 20 lutego | Update | Nowa wersja czujnika Defender dla Defender dla kontenerów |
| 18 lutego | Update | Obsługa specyfikacji formatu obrazu Open Container Initiative (OCI) |
| 13 lutego | Deprecation | Ocena luk w zabezpieczeniach kontenera platformy AWS obsługiwana przez program Trivy została wycofana. |
| 5 lutego | Zbliżająca się aktualizacja |
Decommissioning Microsoft. Dostawca zasobów SecurityDevOps Oczekiwano: 6 marca 2024 r. |
Wycofanie: rozwiązania zabezpieczające firmy Microsoft Code Analysis (MSCA) nie działa już
28 lutego 2024 r.
W lutym 2021 r. wycofanie zadania MSCA zostało przekazane wszystkim klientom i minęło od marca 2022 r. wsparcie techniczne. Od 26 lutego 2024 r. MSCA oficjalnie nie działa.
Klienci mogą uzyskać najnowsze narzędzia zabezpieczeń DevOps od Defender dla Chmury do rozwiązania zabezpieczające firmy Microsoft DevOps i innych narzędzi zabezpieczeń za pośrednictwem GitHub Advanced Security dla Azure DevOps.
Aktualizacja: Zarządzanie zasadami zabezpieczeń rozszerza obsługę usług AWS i GCP
28 lutego 2024 r.
Zaktualizowane środowisko zarządzania zasadami zabezpieczeń, początkowo wydane w wersji zapoznawczej dla Azure, rozszerza obsługę środowisk między chmurami (AWS i GCP). Ta wersja zapoznawcza obejmuje następujące elementy:
- Zarządzanie standardami zgodności regulatory w Defender dla Chmury w środowiskach Azure, AWS i GCP.
- To samo środowisko interfejsu między chmurami służące do tworzenia niestandardowych zaleceń dotyczących testów porównawczych zabezpieczeń (MCSB) < i zarządzania nimi>Microsoft Cloud.
- Zaktualizowane środowisko jest stosowane do platform AWS i GCP do tworzenia niestandardowych zaleceń za pomocą zapytania KQL.
Aktualizacja: obsługa chmury dla Defender dla kontenerów
26 lutego 2024 r.
funkcje wykrywania zagrożeń Azure Kubernetes Service (AKS) w usłudze Defender dla kontenerów są teraz w pełni obsługiwane w chmurach komercyjnych, Azure Government i Azure (Chiny) — 21Vianet. Przejrzyj obsługiwane funkcje.
Aktualizacja: nowa wersja czujnika Defender dla Defender dla kontenerów
20 lutego 2024 r.
A nowa wersja czujnika Defender dla Defender kontenerów jest dostępna. Obejmuje ona wydajność i ulepszenia zabezpieczeń, obsługę zarówno węzłów arch AMD64, jak i Arm64 (tylko system Linux) i używa inspektora gadżetu jako agenta zbierania procesów zamiast sysdig. Nowa wersja jest obsługiwana tylko w jądrach systemu Linux w wersji 5.4 lub nowszej, więc jeśli masz starsze wersje jądra systemu Linux, musisz przeprowadzić uaktualnienie. Obsługa arm64 jest dostępna tylko w usłudze AKS w wersji 1.29 lub nowszej. Aby uzyskać więcej informacji, zobacz Obsługiwane systemy operacyjne hosta.
Aktualizacja: obsługa specyfikacji formatu obrazu Open Container Initiative (OCI)
18 lutego 2024 r.
Specyfikacja formatu obrazu
Wycofanie: ocena luk w zabezpieczeniach kontenera platformy AWS obsługiwana przez wycofaną usługę Trivy
13 lutego 2024 r.
Ocena luk w zabezpieczeniach kontenera obsługiwana przez program Trivy została wycofana. Wszyscy klienci, którzy wcześniej korzystali z tej oceny, powinni przeprowadzić uaktualnienie do nowej oceny luk w zabezpieczeniach kontenera AWS obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender. Aby uzyskać instrukcje dotyczące uaktualniania, zobacz Jak przeprowadzić uaktualnienie z wycofanej oceny luk w zabezpieczeniach Trivy do oceny luk w zabezpieczeniach platformy AWS obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender?
Aktualizacja: likwidowanie Microsoft. Dostawca zasobów SecurityDevOps
5 lutego 2024 r.
Szacowana data zmiany: 6 marca 2024 r.
Microsoft Defender dla Chmury likwiduje dostawcę zasobów Microsoft.SecurityDevOps, który był używany podczas publicznej wersji zapoznawczej zabezpieczeń metodyki DevOps, po przeprowadzeniu migracji do istniejącego dostawcy Microsoft.Security. Przyczyną zmiany jest ulepszenie środowiska klienta przez zmniejszenie liczby dostawców zasobów skojarzonych z łącznikami DevOps.
Klienci, którzy nadal korzystają z wersji interfejsu API 2022-09-01-preview w obszarze Microsoft.SecurityDevOps, aby wysyłać zapytania o dane zabezpieczeń Defender dla Chmury DevOps, będą mieć wpływ. Aby uniknąć zakłóceń w działaniu usługi, klient będzie musiał zaktualizować nową wersję interfejsu API 2023-09-01-preview w ramach dostawcy Microsoft.Security.
Klienci korzystający obecnie z zabezpieczeń Defender dla Chmury DevOps z portalu Azure nie będą mieć wpływu.
Styczeń 2024 r.
Aktualizacja: Nowe szczegółowe informacje dotyczące aktywnych repozytoriów w Eksploratorze zabezpieczeń w chmurze
31 stycznia 2024 r.
Nowe szczegółowe informacje dotyczące repozytoriów Azure DevOps zostały dodane do Eksploratora zabezpieczeń w chmurze, aby wskazać, czy repozytoria są aktywne. Ta analiza wskazuje, że repozytorium kodu nie jest zarchiwizowane ani wyłączone, co oznacza, że dostęp do zapisu w kodzie, kompilacjach i żądaniach ściągnięcia jest nadal dostępny dla użytkowników. Zarchiwizowane i wyłączone repozytoria mogą być traktowane jako niższe priorytety, ponieważ kod nie jest zwykle używany w aktywnych wdrożeniach.
Aby przetestować zapytanie za pomocą Eksploratora zabezpieczeń w chmurze, użyj tego linku zapytania.
Aktualizacja: zmiana cen wykrywania zagrożeń w kontenerze z wieloma chmurami
30 stycznia 2024 r. **
Szacowana data zmiany: kwiecień 2024 r.
Gdy wykrywanie zagrożeń w wielu chmurach zostanie przeniesione do ogólnie dostępnej wersji, nie będzie już bezpłatne. Aby uzyskać więcej informacji, zobacz cennik Microsoft Defender dla Chmury.
Aktualizacja: wymuszanie CSPM w usłudze Defender dla wartości zabezpieczeń Usługi DevOps w warstwie Premium
29 stycznia 2024 r. **
Szacowana data zmiany: 7 marca 2024 r.
Defender dla Chmury rozpocznie wymuszanie sprawdzania planu CSPM w usłudze Defender dla wartości zabezpieczeń DevOps w warstwie Premium rozpoczynającej się March 7th, 2024. Jeśli masz włączony plan CSPM w usłudze Defender w środowisku chmury (Azure, AWS, GCP) w tej samej dzierżawie, w której są tworzone łączniki DevOps, nadal będziesz otrzymywać możliwości DevOps w warstwie Premium bez dodatkowych kosztów. Jeśli nie jesteś klientem CSPM w usłudze Defender, masz do March 7th, 2024 aby włączyć CSPM w usłudze Defender przed utratą dostępu do tych funkcji zabezpieczeń. Aby włączyć CSPM w usłudze Defender w połączonym środowisku chmury przed 7 marca 2024 r., postępuj zgodnie z dokumentacją włączania opisaną here.
Aby uzyskać więcej informacji na temat funkcji zabezpieczeń metodyki DevOps dostępnych zarówno w podstawowych planach CSPM, jak i CSPM w usłudze Defender, zobacz our dokumentacja przedstawiająca dostępność funkcji.
Aby uzyskać więcej informacji na temat usługi DevOps Security w Defender dla Chmury, zobacz dokumentację overview.
Aby uzyskać więcej informacji na temat kodu funkcji zabezpieczeń w chmurze w CSPM w usłudze Defender, zobacz Jak chronić zasoby za pomocą CSPM w usłudze Defender.
Wersja zapoznawcza: stan kontenera bez agenta dla platformy GCP w Defender dla kontenerów i CSPM w usłudze Defender
24 stycznia 2024 r.
Nowe funkcje stanu kontenera bez agenta (wersja zapoznawcza) są dostępne dla platformy GCP, w tym oceny Vulnerability dla platformy GCP z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender. Aby uzyskać więcej informacji na temat wszystkich funkcji, zobacz Agentless stan kontenera w CSPM w usłudze Defender i Agentless capabilities in Defender for Containers.
Więcej informacji na temat zarządzania stanem kontenera bez agenta dla wielu chmur można również przeczytać w tym wpisie w blogu.
Wersja zapoznawcza: skanowanie złośliwego oprogramowania bez agenta dla serwerów
16 stycznia 2024 r.
Ogłaszamy wydanie bez agentów wykrywania złośliwego oprogramowania Defender dla Chmury dla maszyn wirtualnych Azure, wystąpień usługi AWS EC2 i wystąpień maszyn wirtualnych GCP jako nowej funkcji dostępnej w Defender dla serwerów (plan 2.
Wykrywanie złośliwego oprogramowania bez agenta dla maszyn wirtualnych jest teraz uwzględniane na naszej platformie skanowania bez agentów. Skanowanie złośliwego oprogramowania bez agenta wykorzystuje Microsoft Defender Antivirus aparat ochrony przed złośliwym oprogramowaniem do skanowania i wykrywania złośliwych plików. Wszelkie wykryte zagrożenia, wyzwalać alerty zabezpieczeń bezpośrednio do Defender dla Chmury i Defender XDR, gdzie można je zbadać i skorygować. Skaner złośliwego oprogramowania bez agenta uzupełnia pokrycie oparte na agencie przy użyciu drugiej warstwy wykrywania zagrożeń bez problemów i nie ma wpływu na wydajność maszyny.
Dowiedz się więcej na temat skanowania bez agenta złośliwego oprogramowania pod kątem serwerów i skanowania bez agenta dla maszyn wirtualnych.
Ogólna dostępność integracji Defender dla Chmury z Microsoft Defender XDR
15 stycznia 2024 r.
Ogłaszamy ogólną dostępność integracji między Defender dla Chmury i Microsoft Defender XDR (wcześniej Office 365 Defender).
Integracja zapewnia konkurencyjną ochronę w chmurze do codziennego działania usługi Security Operations Center (SOC). Dzięki Microsoft Defender dla Chmury i integracji Defender XDR zespoły SOC mogą odnajdywać ataki łączące wykrywanie z wielu filarów, w tym chmury, punktu końcowego, tożsamości, Microsoft 365 i nie tylko.
Dowiedz się więcej o alerts i zdarzeniach w Microsoft Defender XDR.
Aktualizacja: Wbudowana rola Azure skanowania maszyn wirtualnych bez agenta
14 stycznia 2024 r. **
Szacowana data zmiany: luty 2024 r.
W Azure skanowanie bez agenta dla maszyn wirtualnych używa wbudowanej roli (nazywanej operatorem skanera VM) z minimalnymi niezbędnymi uprawnieniami wymaganymi do skanowania i oceny maszyn wirtualnych w przypadku problemów z zabezpieczeniami. Aby stale dostarczać odpowiednie zalecenia dotyczące kondycji i konfiguracji skanowania dla maszyn wirtualnych z zaszyfrowanymi woluminami, planowana jest aktualizacja uprawnień tej roli. Aktualizacja zawiera dodanie uprawnienia Microsoft.Compute/DiskEncryptionSets/read. To uprawnienie umożliwia wyłącznie ulepszoną identyfikację zaszyfrowanego użycia dysku na maszynach wirtualnych. Nie zapewnia Defender dla Chmury więcej możliwości odszyfrowywania lub uzyskiwania dostępu do zawartości tych zaszyfrowanych woluminów poza metodami szyfrowania already obsługiwane przed tą zmianą. Ta zmiana ma się odbyć w lutym 2024 r. i na końcu nie jest wymagana żadna akcja.
Aktualizacja: adnotacje żądania ściągnięcia zabezpieczeń DevOps są domyślnie włączone dla łączników Azure DevOps
12 stycznia 2024
Zabezpieczenia metodyki DevOps uwidaczniają wyniki zabezpieczeń jako adnotacje w żądaniach ściągnięcia, aby pomóc deweloperom w zapobieganiu i usuwaniu potencjalnych luk w zabezpieczeniach i błędnych konfiguracji przed wejściem do środowiska produkcyjnego. Od 12 stycznia 2024 r. adnotacje żądań ściągnięcia są domyślnie włączone dla wszystkich nowych i istniejących repozytoriów Azure DevOps połączonych z Defender dla Chmury.
Domyślnie adnotacje żądań ściągnięcia są włączone tylko dla wyników infrastruktury o wysokiej ważności jako kodu (IaC). Klienci nadal będą musieli skonfigurować rozwiązania zabezpieczające firmy Microsoft dla metodyki DevOps (MSDO) do uruchamiania w kompilacjach żądania ściągnięcia i włączyć zasady weryfikacji kompilacji dla kompilacji ciągłej integracji w ustawieniach repozytorium Azure DevOps. Klienci mogą wyłączyć funkcję adnotacji żądania ściągnięcia dla określonych repozytoriów z poziomu opcji konfiguracji repozytorium zabezpieczeń DevOps.
Dowiedz się więcej o adnotacjach enabling żądania ściągnięcia dla Azure DevOps.
Wycofanie: Defender dla wbudowanych ścieżek wycofania oceny luk w zabezpieczeniach serwerów (Qualys)
9 stycznia 2024 r. **
Szacowana data zmiany: maj 2024 r.
Wbudowane rozwiązanie do oceny luk w zabezpieczeniach Defender dla serwerów obsługiwane przez firmę Qualys znajduje się na ścieżce wycofania, która jest szacowana na May 1st, 2024. Jeśli obecnie używasz rozwiązania do oceny luk w zabezpieczeniach obsługiwanego przez firmę Qualys, należy zaplanować transition do zintegrowanego rozwiązania do zarządzania lukami w zabezpieczeniach Microsoft Defender.
Aby uzyskać więcej informacji na temat naszej decyzji o ujednoliceniu oferty oceny luk w zabezpieczeniach za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, możesz przeczytać this wpis w blogu.
Możesz również zapoznać się z pytaniami common dotyczącymi przejścia do rozwiązania Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Aktualizacja: wymagania dotyczące sieci wielochmurowej Defender dla Chmury
3 stycznia 2024 r. **
Szacowana data zmiany: maj 2024 r.
Od maja 2024 r. wycofamy stare adresy IP skojarzone z naszymi usługami odnajdywania w wielu chmurach w celu dostosowania się do ulepszeń i zapewnienia bezpieczniejszego i wydajnego środowiska dla wszystkich użytkowników.
Aby zapewnić nieprzerwany dostęp do naszych usług, należy zaktualizować listę dozwolonych adresów IP przy użyciu nowych zakresów podanych w poniższych sekcjach. Należy wprowadzić niezbędne zmiany w ustawieniach zapory, grupach zabezpieczeń lub innych konfiguracjach, które mogą mieć zastosowanie do danego środowiska.
Lista ma zastosowanie do wszystkich planów i wystarczającej do pełnej możliwości oferty podstawowej CSPM (bezpłatna).
Adresy IP do wycofania:
- Odnajdywanie GCP: 104.208.29.200, 52.232.56.127
- Odnajdywanie platformy AWS: 52.165.47.219, 20.107.8.204
- Dołączanie: 13.67.139.3
Nowe zakresy adresów IP specyficzne dla regionu do dodania:
- Europa Zachodnia: 52.178.17.48/28
- Europa Północna: 13.69.233.80/28
- Środkowe stany USA: 20.44.10.240/28
- Wschodnie stany USA 2: 20.44.19.128/28
Grudzień 2023 r.
Konsolidacja nazw poziomu usług 2 Defender dla Chmury
30 grudnia 2023 r.
Konsolidujemy starsze nazwy poziomu usług 2 dla wszystkich planów Defender dla Chmury w jedną nową nazwę poziomu usług Microsoft Defender dla Chmury.
Obecnie istnieją cztery nazwy poziomu usług: Azure Defender, Advanced Threat Protection, Advanced Data Security i Security Center. Różne mierniki dla Microsoft Defender dla Chmury są grupowane w tych oddzielnych nazwach poziomu usług 2, tworząc złożoność podczas korzystania z usługi Cost Management + Billing, fakturowania i innych narzędzi Azure związanych z rozliczeniami.
Zmiana upraszcza proces przeglądania opłat Defender dla Chmury i zapewnia lepszą przejrzystość analizy kosztów.
Aby zapewnić bezproblemowe przejście, podjęliśmy działania w celu zachowania spójności nazw produktów/usług, jednostek SKU i identyfikatorów mierników. Klienci, których to dotyczy, otrzymają informacje Azure powiadomienia o usłudze w celu przekazania zmian.
Organizacje, które pobierają dane kosztów, wywołując nasze interfejsy API, będą musiały zaktualizować wartości w wywołaniach, aby uwzględnić zmiany. Na przykład w tej funkcji filter wartości nie będą zwracać żadnych informacji:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| STARA nazwa poziomu usługi 2 | NOWA nazwa poziomu usługi 2 | Warstwa usługi — poziom usługi 4 (bez zmian) |
|---|---|---|
| Advanced Data Security | Microsoft Defender dla Chmury | Defender dla języka SQL |
| Advanced Threat Protection | Microsoft Defender dla Chmury | Defender dla rejestrów kontenerów |
| Advanced Threat Protection | Microsoft Defender dla Chmury | Defender dla systemu DNS |
| Advanced Threat Protection | Microsoft Defender dla Chmury | Defender dla Key Vault |
| Advanced Threat Protection | Microsoft Defender dla Chmury | Defender dla platformy Kubernetes |
| Advanced Threat Protection | Microsoft Defender dla Chmury | Defender for MySQL |
| Advanced Threat Protection | Microsoft Defender dla Chmury | Defender for PostgreSQL |
| Advanced Threat Protection | Microsoft Defender dla Chmury | Defender dla Resource Manager |
| Advanced Threat Protection | Microsoft Defender dla Chmury | Defender dla magazynu |
| Azure Defender | Microsoft Defender dla Chmury | Defender do zarządzania atakami zewnętrznymi Surface |
| Azure Defender | Microsoft Defender dla Chmury | Defender dla Azure Cosmos DB |
| Azure Defender | Microsoft Defender dla Chmury | Defender dla kontenerów |
| Azure Defender | Microsoft Defender dla Chmury | Defender for MariaDB |
| Security Center | Microsoft Defender dla Chmury | Defender dla usługi App Service |
| Security Center | Microsoft Defender dla Chmury | Defender dla serwerów |
| Security Center | Microsoft Defender dla Chmury | CSPM w usłudze Defender |
Defender dla serwerów na poziomie zasobu dostępnym jako ogólna dostępność
24 grudnia 2023 r.
Teraz można zarządzać Defender dla serwerów na określonych zasobach w ramach subskrypcji, zapewniając pełną kontrolę nad strategią ochrony. Dzięki tej funkcji można skonfigurować określone zasoby z konfiguracjami niestandardowymi, które różnią się od ustawień skonfigurowanych na poziomie subskrypcji.
Dowiedz się więcej o enabling Defender dla serwerów na poziomie zasobu.
Wycofanie łączników klasycznych dla wielu chmur
21 grudnia 2023 r.
Klasyczne środowisko łącznika wielochmurowego jest wycofywane, a dane nie są już przesyłane strumieniowo do łączników utworzonych za pomocą tego mechanizmu. Te łączniki klasyczne były używane do łączenia zaleceń usług AWS Security Hub i GCP Security Command Center w celu Defender dla Chmury i dołączenia usługi AWS EC2s do Defender dla serwerów.
Pełna wartość tych łączników została zastąpiona natywnym środowiskiem łączników zabezpieczeń z wieloma chmurami, które od marca 2022 r. jest ogólnie dostępne dla platform AWS i GCP bez dodatkowych kosztów.
Nowe łączniki natywne są uwzględnione w planie i oferują zautomatyzowane środowisko dołączania z opcjami dołączania pojedynczych kont, wielu kont (z programem Terraform) i dołączania organizacji z automatyczną aprowizowaniem dla następujących planów Defender: bezpłatne podstawowe funkcje CSPM, Defender Zarządzanie stanem zabezpieczeń w chmurze (CSPM), Defender dla serwerów, Defender dla języka SQL i Defender dla kontenerów.
Wydanie skoroszytu Pokrycie
21 grudnia 2023 r.
Skoroszyt Pokrycie umożliwia śledzenie, które Defender dla Chmury plany są aktywne w jakich częściach środowiska. Ten skoroszyt może pomóc w zapewnieniu, że środowiska i subskrypcje są w pełni chronione. Mając dostęp do szczegółowych informacji dotyczących pokrycia, można również zidentyfikować wszelkie obszary, które mogą wymagać innej ochrony i podjąć działania w celu rozwiązania tych obszarów.
Dowiedz się więcej o skoroszycie pokrycie.
Ogólna dostępność oceny luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w Azure Government i Azure obsługiwana przez firmę 21Vianet
14 grudnia 2023 r.
Ocena luk w zabezpieczeniach (VA) dla obrazów kontenerów systemu Linux w rejestrach kontenerów Azure obsługiwanych przez usługę Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender jest dostępna dla ogólnej dostępności (GA) w Azure Government i Azure obsługiwanych przez firmę 21Vianet. Ta nowa wersja jest dostępna w ramach Defender dla kontenerów i planów Defender dla rejestrów kontenerów.
- W ramach tej zmiany nowe zalecenia zostały wydane dla ogólnie dostępnej wersji i uwzględnione w obliczeniach wskaźnika bezpieczeństwa. Przeglądanie nowych i zaktualizowanych zaleceń dotyczących zabezpieczeń
- Skanowanie obrazu kontenera obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender powoduje również naliczanie opłat zgodnie z cennikiem plan. Obrazy skanowane zarówno przez naszą ofertę oceny luk w zabezpieczeniach kontenerów obsługiwane przez firmę Qualys, jak i ofertę oceny luk w zabezpieczeniach kontenerów obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender będą naliczane tylko raz.
Firma Qualys rekomendacje dotyczące oceny luk w zabezpieczeniach kontenerów została zmieniona i nadal będzie dostępna dla klientów, którzy włączyli Defender dla kontenerów w dowolnej subskrypcji przed tą wersją. Nowi klienci dołączania Defender dla kontenerów po tej wersji będą widzieć tylko nowe zalecenia dotyczące oceny luk w zabezpieczeniach kontenerów obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Publiczna wersja zapoznawcza Windows obsługi oceny luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
14 grudnia 2023 r.
Obsługa obrazów Windows została wydana w publicznej wersji zapoznawczej w ramach oceny luk w zabezpieczeniach obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender dla rejestrów kontenerów Azure i usług Azure Kubernetes Services.
Wycofanie oceny luk w zabezpieczeniach kontenera platformy AWS obsługiwanej przez program Trivy
13 grudnia 2023 r.
Ocena luk w zabezpieczeniach kontenera obsługiwana przez program Trivy jest teraz na ścieżce wycofania do ukończenia do 13 lutego. Ta funkcja jest teraz przestarzała i będzie nadal dostępna dla istniejących klientów korzystających z tej funkcji do 13 lutego. Zachęcamy klientów korzystających z tej możliwości do uaktualnienia do nowej oceny luk w zabezpieczeniach kontenera AWS obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender do 13 lutego.
Stan kontenera bez agenta dla platformy AWS w usłudze Defender dla kontenerów i CSPM w usłudze Defender (wersja zapoznawcza)
13 grudnia 2023 r.
Nowe funkcje stanu kontenera bez agenta (wersja zapoznawcza) są dostępne dla platformy AWS. Aby uzyskać więcej informacji, zobacz Agentless stan kontenera w CSPM w usłudze Defender i Agentless capabilities in Defender for Containers.
Ogólna obsługa dostępności serwera elastycznego PostgreSQL w programie Defender dla planu relacyjnych baz danych typu open source
13 grudnia 2023 r.
Ogłaszamy ogólnie dostępną wersję serwera elastycznego PostgreSQL w Microsoft Defender dla relacyjnych baz danych typu open source. Microsoft Defender dla relacyjnych baz danych typu open source zapewnia zaawansowaną ochronę przed zagrożeniami dla serwerów elastycznych PostgreSQL, wykrywając nietypowe działania i generując alerty zabezpieczenia.
Dowiedz się, jak Enable Microsoft Defender dla relacyjnych baz danych typu open source.
Ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender obsługuje teraz usługę Google Distroless
12 grudnia 2023 r.
Oceny luk w zabezpieczeniach kontenerów obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender zostały rozszerzone o większe pokrycie dla pakietów systemu operacyjnego Linux, które obsługują teraz dystrybucję google.
Aby uzyskać listę wszystkich obsługiwanych systemów operacyjnych, zobacz Registries i obsługa obrazów Azure — ocena luk w zabezpieczeniach obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Listopad 2023
Cztery alerty są przestarzałe
30 listopada 2023 r.
W ramach naszego procesu poprawy jakości następujące alerty zabezpieczeń są przestarzałe:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Ogólna dostępność wpisów tajnych bez agenta skanowania w Defender dla serwerów i CSPM w usłudze Defender
27 listopada 2023 r.
Skanowanie wpisów tajnych bez agenta zwiększa zabezpieczenia oparte na chmurze Virtual Machines (VM), identyfikując wpisy tajne w postaci zwykłego tekstu na dyskach maszyn wirtualnych. Skanowanie wpisów tajnych bez agenta zapewnia kompleksowe informacje ułatwiające ustalanie priorytetów wykrytych wyników i eliminowanie zagrożeń związanych z przenoszeniem bocznym przed ich wystąpieniem. Takie proaktywne podejście zapobiega nieautoryzowanemu dostępowi, zapewniając bezpieczeństwo środowiska chmury.
Ogłaszamy ogólną dostępność skanowania wpisów tajnych bez agenta, które są uwzględnione w planach Defender dla serwerów P2 i CSPM w usłudze Defender.
Skanowanie wpisów tajnych bez agenta wykorzystuje interfejsy API chmury do przechwytywania migawek dysków, przeprowadzając analizę poza pasmem, która gwarantuje, że nie ma wpływu na wydajność maszyny wirtualnej. Skanowanie wpisów tajnych bez agentów rozszerza zakres oferowany przez Defender dla Chmury zasobów w chmurze w środowiskach Azure, AWS i GCP w celu zwiększenia bezpieczeństwa chmury.
W tej wersji funkcje wykrywania Defender dla Chmury obsługują teraz inne typy baz danych, podpisane adresy URL magazynu danych, tokeny dostępu i inne.
Dowiedz się, jak zarządzać wpisami tajnymi za pomocą skanowania wpisów tajnych bez agenta.
Włączanie zarządzania uprawnieniami przy użyciu Defender dla Chmury (wersja zapoznawcza)
22 listopada 2023 r.
Microsoft teraz oferuje rozwiązania Cloud-Native Application Protection Platforms (CNAPP) i Cloud Infrastructure Entitlement Management (CIEM) z Microsoft Defender dla Chmury (CNAPP) i Microsoft Entra zarządzanie uprawnieniami (CIEM).
Administratorzy zabezpieczeń mogą uzyskać scentralizowany widok nieużywanych lub nadmiernych uprawnień dostępu w Defender dla Chmury.
Zespoły ds. zabezpieczeń mogą sterować kontrolami dostępu z najmniejszymi uprawnieniami dla zasobów w chmurze i otrzymywać zalecenia umożliwiające podejmowanie działań dotyczących rozwiązywania zagrożeń związanych z uprawnieniami w środowiskach Azure, AWS i GCP w chmurze w ramach Defender Cloud Security Posture Management (CSPM), bez dodatkowych wymagań dotyczących licencjonowania.
Dowiedz się, jak Włączanie zarządzania uprawnieniami w Microsoft Defender dla Chmury (wersja zapoznawcza).
integracja Defender dla Chmury z usługą ServiceNow
22 listopada 2023 r.
Usługa ServiceNow jest teraz zintegrowana z Microsoft Defender dla Chmury, co umożliwia klientom łączenie usługi ServiceNow ze środowiskiem Defender dla Chmury w celu nadania priorytetów korygowaniu zaleceń, które mają wpływ na Twoją firmę. Microsoft Defender dla Chmury integruje się z modułem ITSM (zarządzanie zdarzeniami). W ramach tego połączenia klienci mogą tworzyć/wyświetlać bilety usługi ServiceNow (połączone z zaleceniami) z Microsoft Defender dla Chmury.
Więcej informacji na temat integracji Defender dla Chmury z usługą ServiceNow.
Ogólna dostępność procesu automatycznego aprowizowania dla serwerów SQL Server w planie maszyn
20 listopada 2023 r.
W ramach przygotowań do wycofania agenta monitorowania Microsoft (MMA) w sierpniu 2024 r. Defender dla Chmury wydała proces automatycznego aprowizowania SQL Server ukierunkowanego agenta monitorowania Azure (AMA). Nowy proces jest automatycznie włączany i konfigurowany dla wszystkich nowych klientów, a także zapewnia możliwość włączania na poziomie zasobów dla maszyn wirtualnych Azure SQL i serwerów SQL z obsługą usługi Arc.
Klienci korzystający z procesu automatycznego aprowizowania MMA są proszeni o migrowanie do nowego agenta monitorowania Azure dla programu SQL Server na maszynach. Proces migracji jest bezproblemowy i zapewnia ciągłą ochronę wszystkich maszyn.
Ogólna dostępność Defender dla interfejsów API
15 listopada 2023 r.
Ogłaszamy ogólną dostępność Microsoft Defender dla interfejsów API. Defender dla interfejsów API zaprojektowano w celu ochrony organizacji przed zagrożeniami bezpieczeństwa interfejsu API.
Defender dla interfejsów API umożliwia organizacjom ochronę swoich interfejsów API i danych przed złośliwymi podmiotami. Organizacje mogą badać i ulepszać stan zabezpieczeń interfejsu API, ustalać priorytety poprawek luk w zabezpieczeniach oraz szybko wykrywać i reagować na aktywne zagrożenia w czasie rzeczywistym. Organizacje mogą również integrować alerty zabezpieczeń bezpośrednio z platformą SIEM (Security Incident and Event Management), na przykład Microsoft Sentinel, w celu zbadania i klasyfikacji problemów.
Dowiesz się, jak
Możesz również przeczytać ten blog , aby dowiedzieć się więcej o ogłoszeniu ogólnie dostępnym.
Defender dla Chmury jest teraz zintegrowana z Microsoft 365 Defender (wersja zapoznawcza)
15 listopada 2023 r.
Firmy mogą chronić swoje zasoby i urządzenia w chmurze dzięki nowej integracji między Microsoft Defender dla Chmury i Microsoft Defender XDR. Ta integracja łączy kropki między zasobami w chmurze, urządzeniami i tożsamościami, które wcześniej wymagały wielu środowisk.
Integracja zapewnia również konkurencyjne możliwości ochrony w chmurze do codziennego centrum operacji zabezpieczeń (SOC). Dzięki Microsoft Defender XDR zespoły SOC mogą łatwo odnajdywać ataki łączące wykrywanie z wielu filarów, w tym chmury, punktu końcowego, tożsamości, Microsoft 365 i nie tylko.
Oto niektóre z kluczowych korzyści:
One łatwy w użyciu interfejs dla zespołów SOC: Dzięki alertom Defender dla Chmury i korelacjom w chmurze zintegrowanym z usługą M365D zespoły SOC mogą teraz uzyskiwać dostęp do wszystkich informacji o zabezpieczeniach z jednego interfejsu, co znacznie poprawia wydajność operacyjną.
Jedna historia ataku: klienci mogą zrozumieć kompletną historię ataku, w tym środowisko chmury, korzystając ze wstępnie utworzonych korelacji łączących alerty zabezpieczeń z wielu źródeł.
Nowe jednostki w chmurze w Microsoft Defender XDR: Microsoft Defender XDR teraz obsługuje nowe jednostki w chmurze, które są unikatowe dla Microsoft Defender dla Chmury, takich jak zasoby w chmurze. Klienci mogą dopasować jednostki maszyny wirtualnej do jednostek urządzeń, zapewniając ujednolicony widok wszystkich istotnych informacji o maszynie, w tym alertów i zdarzeń, które zostały na nim wyzwolone.
Unified API for rozwiązania zabezpieczające firmy Microsoft products: Klienci mogą teraz eksportować dane alertów zabezpieczeń do swoich systemów przy użyciu pojedynczego interfejsu API, ponieważ alerty i zdarzenia Microsoft Defender dla Chmury są teraz częścią publicznego interfejsu API Microsoft Defender XDR.
Integracja między Defender dla Chmury i Microsoft Defender XDR jest dostępna dla wszystkich nowych i istniejących klientów Defender dla Chmury.
Ogólna dostępność oceny luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender (MDVM) w usłudze Defender dla kontenerów i Defender dla rejestrów kontenerów
15 listopada 2023 r.
Ocena luk w zabezpieczeniach (VA) dla obrazów kontenerów systemu Linux w rejestrach kontenerów Azure obsługiwanych przez usługę Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender (MDVM) jest udostępniana na potrzeby ogólnej dostępności (GA) w Defender dla kontenerów i Defender dla rejestrów kontenerów.
W ramach tej zmiany zostały wydane następujące zalecenia dotyczące ogólnie dostępnej wersji i zmieniono jej nazwę, a teraz są uwzględniane w obliczeniu wskaźnika bezpieczeństwa:
| Bieżąca nazwa rekomendacji | Nowa nazwa rekomendacji | Description | Klucz oceny |
|---|---|---|---|
| Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Azure obrazy kontenerów rejestru powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Oceny luk w zabezpieczeniach obrazów kontenera skanują rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępniają szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Uruchamianie obrazów kontenerów powinno mieć rozwiązane problemy z lukami w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Azure uruchamiania obrazów kontenerów powinny zostać rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Skanowanie obrazów kontenera obsługiwane przez rozwiązanie MDVM powoduje teraz również naliczanie opłat zgodnie z cennikiem planu.
Note
Obrazy skanowane zarówno przez naszą ofertę oceny luk w zabezpieczeniach kontenerów obsługiwane przez firmę Qualys, jak i ofertę oceny luk w zabezpieczeniach kontenerów obsługiwane przez rozwiązanie MDVM, będą rozliczane tylko raz.
Poniższe zalecenia dotyczące oceny luk w zabezpieczeniach kontenerów zostały zmienione i będą nadal dostępne dla klientów, którzy włączyli Defender dla kontenerów w dowolnej subskrypcji przed 15 listopada. Nowi klienci dołączania Defender dla kontenerów po 15 listopada zobaczą tylko nowe zalecenia dotyczące oceny luk w zabezpieczeniach kontenerów obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
| Bieżąca nazwa rekomendacji | Nowa nazwa rekomendacji | Description | Klucz oceny |
|---|---|---|---|
| Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Azure obrazy kontenerów rejestru powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Azure uruchamiania obrazów kontenerów powinny zostać rozwiązane luki w zabezpieczeniach — (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje obrazy kontenerów uruchomione w klastrach Kubernetes pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | 41503391-efa5-47ee-9282-4eff6131462c |
Zmień na nazwy zaleceń dotyczących ocen luk w zabezpieczeniach kontenerów
Zmieniono nazwy następujących zaleceń dotyczących ocen luk w zabezpieczeniach kontenerów:
| Bieżąca nazwa rekomendacji | Nowa nazwa rekomendacji | Description | Klucz oceny |
|---|---|---|---|
| Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Azure obrazy kontenerów rejestru powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Azure uruchamiania obrazów kontenerów powinny zostać rozwiązane luki w zabezpieczeniach — (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje obrazy kontenerów uruchomione w klastrach Kubernetes pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | 41503391-efa5-47ee-9282-4eff6131462c |
| Obrazy rejestru kontenerów elastycznych powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Obrazy kontenerów rejestru platformy AWS powinny mieć rozwiązane luki w zabezpieczeniach — (obsługiwane przez program Trivy) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Priorytetyzacja ryzyka jest teraz dostępna dla zaleceń
15 listopada 2023 r.
Teraz możesz określić priorytety zaleceń dotyczących zabezpieczeń zgodnie z poziomem ryzyka, który stwarza, biorąc pod uwagę zarówno możliwości wykorzystania, jak i potencjalny wpływ biznesowy każdego bazowego problemu z zabezpieczeniami.
Organizując rekomendacje na podstawie ich poziomu ryzyka (krytyczne, wysokie, średnie, niskie), możesz rozwiązać najbardziej krytyczne zagrożenia w danym środowisku i efektywnie określić priorytety korygowania problemów zabezpieczeń na podstawie rzeczywistego ryzyka, takiego jak narażenie na internet, wrażliwość danych, możliwości przenoszenia bocznego i potencjalne ścieżki ataku, które mogą zostać złagodzone przez rozwiązanie zaleceń.
Dowiedz się więcej o priorytetyzacji ryzyka.
Analiza ścieżki ataku — nowy aparat i rozbudowane ulepszenia
15 listopada 2023 r.
Udostępniamy ulepszenia funkcji analizy ścieżki ataku w Defender dla Chmury.
Nowy aparat — analiza ścieżki ataku ma nowy aparat, który używa algorytmu znajdowania ścieżek do wykrywania każdej możliwej ścieżki ataku, która istnieje w środowisku chmury (na podstawie danych, które znajdują się w naszym grafie). Możemy znaleźć wiele innych ścieżek ataków w twoim środowisku i wykryć bardziej złożone i zaawansowane wzorce ataków, których osoby atakujące mogą używać do naruszenia organizacji.
Ulepszenia — wydano następujące ulepszenia:
- Priorytetyzacja ryzyka — priorytetowa lista ścieżek ataków na podstawie ryzyka (wpływ na wykorzystanie i działalność).
- Ulepszone korygowanie — wskazuje konkretne zalecenia, które należy rozwiązać, aby rzeczywiście przerwać łańcuch.
- Ścieżki ataków między chmurami — wykrywanie ścieżek ataków obejmujących wiele chmur (ścieżek rozpoczynających się w jednej chmurze i kończących się na innej).
- MITRE — mapowanie wszystkich ścieżek ataków na platformę MITRE.
- Odświeżone środowisko użytkownika — odświeżone środowisko z silniejszymi możliwościami: zaawansowane filtry, wyszukiwanie i grupowanie ścieżek ataków w celu ułatwienia klasyfikacji.
Dowiedz się , jak identyfikować i korygować ścieżki ataków.
Zmiany schematu tabeli Azure Resource Graph ścieżki ataku
15 listopada 2023 r.
Zaktualizowano schemat tabeli Azure Resource Graph ścieżki ataku. Właściwość zostanie usunięta attackPathType i zostaną dodane inne właściwości.
Ogólna dostępność obsługi platformy GCP w CSPM w usłudze Defender
15 listopada 2023 r.
Ogłaszamy wydanie ogólnie dostępnej wersji CSPM w usłudze Defender kontekstowego grafu zabezpieczeń w chmurze i analizy ścieżki ataku z obsługą zasobów GCP. Możesz zastosować możliwości CSPM w usłudze Defender w celu uzyskania kompleksowego wglądu i inteligentnych zabezpieczeń chmury w zasobach GCP.
Najważniejsze funkcje naszej obsługi platformy GCP obejmują:
- Analiza ścieżki ataku — informacje na temat potencjalnych tras, które mogą podjąć osoby atakujące.
- Eksplorator zabezpieczeń w chmurze — proaktywnie identyfikowanie zagrożeń bezpieczeństwa przez uruchamianie zapytań opartych na grafie zabezpieczeń.
- Skanowanie bez agenta — skanuj serwery i identyfikuje wpisy tajne i luki w zabezpieczeniach bez instalowania agenta.
- Stan zabezpieczeń uwzględniający dane — odnajdywanie i korygowanie zagrożeń związanych z poufnymi danymi w zasobnikach usługi Google Cloud Storage.
Dowiedz się więcej o opcjach planu CSPM w usłudze Defender.
Note
Rozliczenia dla wersji ogólnodostępnej pomocy technicznej GCP w CSPM w usłudze Defender rozpocznie się 1 lutego 2024 r.
Ogólnie dostępna wersja pulpitu nawigacyjnego zabezpieczeń danych
15 listopada 2023 r.
Pulpit nawigacyjny zabezpieczeń danych jest teraz dostępny w wersji ogólnie dostępnej w ramach planu CSPM w usłudze Defender.
Pulpit nawigacyjny zabezpieczeń danych umożliwia wyświetlanie majątku danych organizacji, zagrożeń dla poufnych danych i szczegółowych informacji o zasobach danych.
Dowiedz się więcej o pulpicie nawigacyjnym zabezpieczeń danych.
Ogólnie dostępna wersja odnajdywania poufnych danych dla baz danych
15 listopada 2023 r.
Odnajdywanie poufnych danych dla zarządzanych baz danych, w tym Azure SQL baz danych i wystąpień usług AWS RDS (wszystkie smaki RDBMS) jest teraz ogólnie dostępne i umożliwia automatyczne odnajdywanie krytycznych baz danych zawierających poufne dane.
Aby włączyć tę funkcję we wszystkich obsługiwanych magazynach danych w środowiskach, należy włączyć Sensitive data discovery w CSPM w usłudze Defender. Dowiedz się Jak włączyć odnajdywanie poufnych danych w CSPM w usłudze Defender.
Możesz również dowiedzieć się, jak poufne odnajdywanie danych jest używane w stanie zabezpieczeń obsługującym dane.
Ogłoszenie publicznej wersji zapoznawczej: Nowy rozszerzony wgląd w zabezpieczenia danych w wielu chmurach w Microsoft Defender dla Chmury.
Nowa wersja zalecenia dotyczącego znajdowania brakujących aktualizacji systemu jest teraz ogólnie dostępna
6 listopada 2023 r.
Dodatkowy agent nie jest już potrzebny na maszynach wirtualnych Azure i Azure Arc, aby zapewnić, że maszyny mają wszystkie najnowsze aktualizacje zabezpieczeń lub krytycznych systemów.
Nowe zalecenie dotyczące aktualizacji systemu, System updates should be installed on your machines (powered by Menedżer aktualizacji platformy Azure) w kontrolce Apply system updates, jest oparte na Update Manager i jest teraz w pełni ogólnie dostępne. Zalecenie opiera się na natywnym agencie osadzonym na każdej maszynie wirtualnej Azure i Azure Arc maszynach zamiast zainstalowanego agenta. Szybka poprawka w nowej rekomendacji powoduje przejście do jednorazowej instalacji brakujących aktualizacji w portalu programu Update Manager.
Stare i nowe wersje zaleceń dotyczących znajdowania brakujących aktualizacji systemu będą dostępne do sierpnia 2024 r., czyli wtedy, gdy starsza wersja jest przestarzała. Oba zalecenia: System updates should be installed on your machines (powered by Menedżer aktualizacji platformy Azure)and System updates should be installed on your machines są dostępne pod tą samą kontrolą: Apply system updates i ma te same wyniki. W związku z tym nie ma duplikacji w wyniku wskaźnika bezpieczeństwa.
Zalecamy migrację do nowej rekomendacji i usunięcie starej, wyłączając ją z wbudowanej inicjatywy Defender dla Chmury w zasadach Azure.
Zalecenie [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) jest również ogólnie dostępne i jest warunkiem wstępnym, które będzie miało negatywny wpływ na wskaźnik bezpieczeństwa. Możesz skorygować negatywny efekt za pomocą dostępnej poprawki.
Aby zastosować nowe zalecenie, należy wykonać następujące działania:
- Połącz maszyny inne niż Azure z usługą Arc.
- Włącz właściwość oceny okresowej. Aby rozwiązać ten problem,
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)możesz użyć szybkiej poprawki w nowej rekomendacji.
Note
Włączenie okresowych ocen dla maszyn z obsługą usługi Arc, które Defender dla serwerów (plan 2) nie jest włączone w powiązanej subskrypcji lub łączniku, podlega Menedżer aktualizacji platformy Azure cenniku. Maszyny z obsługą usługi Arc, które Defender dla planów serwerów 2 są włączone w powiązanej subskrypcji lub łącznikach lub dowolnej maszynie wirtualnej Azure, kwalifikują się do tej możliwości bez dodatkowych kosztów.
Październik 2023
Zmiana ważności alertu zabezpieczeń funkcji adaptacyjnego sterowania aplikacjami
Data ogłoszenia: 30 października 2023 r.
W ramach procesu poprawy jakości alertów zabezpieczeń Defender dla serwerów i w ramach adaptive kontroli aplikacji ważność następującego alertu zabezpieczeń zmienia się na "Informational":
| Alert [Typ alertu] | Opis alertu |
|---|---|
| Naruszenie zasad adaptacyjnego sterowania aplikacjami zostało poddane inspekcji. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Poniżej użytkownicy uruchamiali aplikacje naruszające zasady kontroli aplikacji organizacji na tym komputerze. Może on potencjalnie uwidocznić maszynę w poszukiwaniu złośliwego oprogramowania lub luk w zabezpieczeniach aplikacji. |
Aby nadal wyświetlać ten alert na stronie "Alerty zabezpieczeń" w portalu Microsoft Defender dla Chmury, zmień domyślny filtr widoku Severity aby uwzględnić alerty informational w siatce.
Poprawki Azure API Management offline usunięte z Defender dla interfejsów API
25 października 2023 r.
Defender dla interfejsów API zaktualizowała obsługę poprawek interfejsu API Azure API Management. Wersje offline nie są już wyświetlane w dołączonym Defender spisu interfejsów API i nie są już dołączane do Defender dla interfejsów API. Poprawki w trybie offline nie zezwalają na wysyłanie do nich żadnego ruchu i nie stanowią ryzyka z punktu widzenia zabezpieczeń.
Zalecenia dotyczące zarządzania stanem zabezpieczeń usługi DevOps dostępne w publicznej wersji zapoznawczej
19 października 2023 r.
Nowe zalecenia dotyczące zarządzania stanem metodyki DevOps są teraz dostępne w publicznej wersji zapoznawczej dla wszystkich klientów z łącznikiem dla Azure DevOps lub GitHub. Zarządzanie stanem metodyki DevOps pomaga zmniejszyć obszar ataków środowisk DevOps, odkrywając słabe punkty w konfiguracjach zabezpieczeń i kontrolach dostępu. Dowiedz się więcej na temat zarządzania stanem metodyki DevOps.
Wydawanie ciS Azure Foundations Benchmark w wersji 2.0.0 na pulpicie nawigacyjnym zgodności z przepisami
18 października 2023 r.
Microsoft Defender dla Chmury obsługuje teraz najnowszą CIS Azure Security Foundations Benchmark — wersję 2.0.0 w dashboard oraz wbudowaną inicjatywę zasad w Azure Policy. Wydanie wersji 2.0.0 w Microsoft Defender dla Chmury jest wspólnym wysiłkiem między Microsoft, Centrum zabezpieczeń internetowych (CIS) i społeczności użytkowników. Wersja 2.0.0 znacznie rozszerza zakres oceny, który obejmuje teraz wbudowane zasady Azure w wersji 90 i pomyślne poprzednie wersje 1.4.0 i 1.3.0 i 1.0 w Microsoft Defender dla Chmury i Azure Policy. Aby uzyskać więcej informacji, możesz zapoznać się z tym wpisem w blogu.
Wrzesień 2023
Zmień na dzienny limit Log Analytics
monitor Azure oferuje możliwość ustaw dzienny limit danych pozyskanych w obszarach roboczych usługi Log Analytics. Jednak zdarzenia zabezpieczeń usługi Defenders for Cloud nie są obecnie obsługiwane w tych wykluczeniach.
Dzienny limit Log Analytics nie wyklucza już następującego zestawu typów danych:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Wszystkie rozliczane typy danych zostaną ograniczone, jeśli dzienny limit zostanie osiągnięty. Ta zmiana zwiększa możliwość pełnego przechowywania kosztów z większego niż oczekiwano pozyskiwania danych.
Dowiedz się więcej o workspaces z Microsoft Defender dla Chmury.
Pulpit nawigacyjny zabezpieczeń danych dostępny w publicznej wersji zapoznawczej
27 września 2023 r.
Pulpit nawigacyjny zabezpieczeń danych jest teraz dostępny w publicznej wersji zapoznawczej w ramach planu CSPM w usłudze Defender. Pulpit nawigacyjny zabezpieczeń danych jest interaktywnym, skoncentrowanym na danych pulpitem nawigacyjnym, który zapewnia znaczne ryzyko dla poufnych danych, priorytetyzuje alerty i potencjalne ścieżki ataków dla danych w obciążeniach chmury hybrydowej. Dowiedz się więcej o pulpicie nawigacyjnym zabezpieczeń danych.
Wersja zapoznawcza: Nowy proces automatycznego aprowizowania dla SQL Server w planie maszyn
21 Wrzesień 2023
program Microsoft Monitoring Agent (MMA) jest przestarzały w sierpniu 2024 r. Defender dla Chmury aktualizował, że jest to strategia zastępując program MMA wydaniem SQL Server docelowego procesu automatycznego aprowizowania agenta monitorowania Azure.
W wersji zapoznawczej klienci korzystający z procesu automatycznego aprowizowania MMA z opcją agenta Azure Monitor (wersja zapoznawcza) są proszeni o migrować do nowego agenta monitorowania Azure dla programu SQL Server na maszynach (wersja zapoznawcza) procesu automatycznego aprowizacji. Proces migracji jest bezproblemowy i zapewnia ciągłą ochronę wszystkich maszyn.
Aby uzyskać więcej informacji, zobacz Migrate to SQL Server-targeted Azure Monitoring Agent autoprovisioning process.
GitHub Advanced Security dla alertów Azure DevOps w Defender dla Chmury
20 września 2023 r.
Teraz możesz wyświetlać alerty GitHub Advanced Security for Azure DevOps (GHAzDO) dotyczące koduQL, wpisów tajnych i zależności w Defender dla Chmury. Wyniki są wyświetlane na stronie DevOps i w obszarze Zalecenia. Aby wyświetlić te wyniki, dołącz repozytoria z obsługą ghAzDO, aby Defender dla Chmury.
Dowiedz się więcej o GitHub Advanced Security for Azure DevOps.
Funkcja wykluczania jest teraz dostępna dla Defender dla zaleceń dotyczących interfejsów API
11 września 2023 r.
Teraz możesz wykluczyć zalecenia dotyczące następujących Defender dla zaleceń dotyczących zabezpieczeń interfejsów API.
| Recommendation | Opis i powiązane zasady | Severity |
|---|---|---|
| (Wersja zapoznawcza) Punkty końcowe interfejsu API, które są nieużywane, powinny być wyłączone i usunięte z usługi Azure API Management | Najlepszym rozwiązaniem w zakresie zabezpieczeń punkty końcowe interfejsu API, które nie odebrały ruchu przez 30 dni, są uznawane za nieużywane i powinny zostać usunięte z usługi Azure API Management. Utrzymywanie nieużywanych punktów końcowych interfejsu API może stanowić zagrożenie bezpieczeństwa. Mogą to być interfejsy API, które powinny zostać wycofane z usługi Azure API Management, ale zostały przypadkowo pozostawione aktywne. Takie interfejsy API zwykle nie otrzymują najbardziej aktualnego pokrycia zabezpieczeń. | Low |
| (Wersja zapoznawcza) Punkty końcowe interfejsu API w Azure API Management powinny być uwierzytelniane | Punkty końcowe interfejsu API opublikowane w Azure API Management powinny wymuszać uwierzytelnianie, aby zminimalizować ryzyko bezpieczeństwa. Mechanizmy uwierzytelniania są czasami implementowane niepoprawnie lub brakuje. Dzięki temu osoby atakujące mogą wykorzystywać wady implementacji i uzyskiwać dostęp do danych. W przypadku interfejsów API opublikowanych w Azure API Management to zalecenie ocenia wykonywanie uwierzytelniania za pośrednictwem kluczy subskrypcji, JWT i certyfikatu klienta skonfigurowanego w Azure API Management. Jeśli żaden z tych mechanizmów uwierzytelniania nie zostanie wykonany podczas wywołania interfejsu API, interfejs API otrzyma to zalecenie. | High |
Dowiedz się więcej o zaleceniach dotyczących exempting w Defender dla Chmury.
Tworzenie przykładowych alertów dla Defender wykrywania interfejsów API
11 września 2023 r.
Teraz możesz wygenerować przykładowe alerty dla wykryć zabezpieczeń, które zostały wydane w ramach Defender dla interfejsów API w publicznej wersji zapoznawczej. Dowiedz się więcej o generowaniu przykładowych alertów w Defender dla Chmury.
Wersja zapoznawcza: ocena luk w zabezpieczeniach kontenerów obsługiwana przez program Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender obsługuje teraz skanowanie przy ściąganiu
6 września 2023 r.
Ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender obsługuje teraz dodatkowy wyzwalacz skanowania obrazów ściągniętych z usługi ACR. Ten nowo dodany wyzwalacz zapewnia dodatkowe pokrycie aktywnych obrazów oprócz istniejących wyzwalaczy skanowania obrazów wypychanych do usługi ACR w ciągu ostatnich 90 dni i obrazów aktualnie uruchomionych w usłudze AKS.
Nowy wyzwalacz rozpocznie się dzisiaj i ma być dostępny dla wszystkich klientów do końca września.
Zaktualizowano format nazewnictwa standardów usługi Center for Internet Security (CIS) w zakresie zgodności z przepisami
6 września 2023 r.
Format nazewnictwa podstaw ciS (Center for Internet Security) testów porównawczych na pulpicie nawigacyjnym zgodności został zmieniony z [Cloud] CIS [version number] na CIS [Cloud] Foundations v[version number]. Zapoznaj się z następującą tabelą:
| Bieżąca nazwa | Nowa nazwa |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Dowiedz się, jak poprawić zgodność z przepisami.
Odnajdywanie poufnych danych dla baz danych PaaS (wersja zapoznawcza)
5 Wrzesień 2023
Funkcje stanu zabezpieczeń obsługujące dane na potrzeby bezproblemowego odnajdywania poufnych danych dla baz danych PaaS (Azure SQL Database i Amazon RDS Instances dowolnego typu) są teraz dostępne w publicznej wersji zapoznawczej. Ta publiczna wersja zapoznawcza umożliwia utworzenie mapy danych krytycznych wszędzie tam, gdzie się znajdują, oraz typ danych znalezionych w tych bazach danych.
Odnajdywanie poufnych danych dla baz danych platformy Azure i AWS dodaje współdzieloną taksonomię i konfigurację, która jest już publicznie dostępna dla zasobów magazynu obiektów w chmurze (Azure Blob Storage, zasobników usług AWS S3 i zasobników magazynu GCP) oraz zapewnia jedną konfigurację i środowisko włączania.
Bazy danych są skanowane co tydzień. Jeśli włączysz sensitive data discoveryfunkcję , odnajdywanie jest uruchamiane w ciągu 24 godzin. Wyniki można wyświetlić w Eksploratorze zabezpieczeń w chmurze lub przeglądając nowe ścieżki ataków dla zarządzanych baz danych z danymi poufnymi.
Stan zabezpieczeń obsługujący dane dla baz danych jest dostępny za pośrednictwem planu CSPM w usłudze Defender i jest automatycznie włączony w subskrypcjach, w których włączono opcję sensitive data discovery.
Więcej informacji na temat stanu zabezpieczeń obsługujących dane można dowiedzieć się w następujących artykułach:
- Obsługa i wymagania wstępne dotyczące stanu zabezpieczeń z obsługą danych
- Włączanie stanu zabezpieczeń obsługujących dane
- Eksplorowanie zagrożeń dla poufnych danych
Ogólna dostępność: skanowanie złośliwego oprogramowania w Defender w usłudze Storage
1 Wrzesień 2023
Skanowanie w poszukiwaniu złośliwego oprogramowania jest teraz ogólnie dostępne jako dodatek do Defender for Storage. Skanowanie złośliwego oprogramowania w Defender w usłudze Storage pomaga chronić konta magazynu przed złośliwą zawartością, wykonując pełne skanowanie w poszukiwaniu zawartości przekazanej w czasie niemal rzeczywistym przy użyciu funkcji Microsoft Defender Antywirusowych. Została zaprojektowana tak, aby ułatwić spełnienie wymagań dotyczących zabezpieczeń i zgodności na potrzeby obsługi niezaufanej zawartości. Możliwość skanowania złośliwego oprogramowania to rozwiązanie SaaS bez agenta, które umożliwia konfigurowanie na dużą skalę i obsługuje automatyzowanie odpowiedzi na dużą skalę.
Dowiedz się więcej o skanowaniu malware w Defender dla usługi Storage.
Skanowanie złośliwego oprogramowania jest wyceniane zgodnie z użyciem danych i budżetem. Rozliczenia rozpoczynają się 3 września 2023 r. Odwiedź stronę cennika , aby uzyskać więcej informacji.
Jeśli używasz poprzedniego planu, musisz aktywnie przeprowadzić migrację do nowego planu , aby umożliwić skanowanie złośliwego oprogramowania.
Przeczytaj wpis w blogu Microsoft Defender dla Chmury .
Sierpień 2023
Aktualizacje w sierpniu obejmują:
Defender dla kontenerów: odnajdywanie bez agenta dla platformy Kubernetes
30 sierpnia 2023 r.
Z przyjemnością przedstawiamy Defender for Containers: odnajdywanie bez agenta dla platformy Kubernetes. Ta wersja stanowi znaczący krok naprzód w zakresie zabezpieczeń kontenerów, umożliwiając uzyskiwanie zaawansowanych szczegółowych informacji i kompleksowych możliwości spisu dla środowisk Kubernetes. Nowa oferta kontenera jest obsługiwana przez Defender dla Chmury kontekstowy wykres zabezpieczeń. Oto, czego można oczekiwać od tej najnowszej aktualizacji:
- Odnajdywanie rozwiązania Kubernetes bez agenta
- Kompleksowe możliwości spisu
- Szczegółowe informacje o zabezpieczeniach specyficzne dla platformy Kubernetes
- Ulepszone wyszukiwanie zagrożeń za pomocą Eksploratora zabezpieczeń w chmurze
Odnajdywanie bez agenta dla platformy Kubernetes jest teraz dostępne dla wszystkich klientów usługi Defender For Containers. Teraz możesz zacząć korzystać z tych zaawansowanych funkcji. Zachęcamy do zaktualizowania subskrypcji w celu włączenia pełnego zestawu rozszerzeń oraz skorzystania z najnowszych dodatków i funkcji. Odwiedź okienko Środowisko i ustawienia Defender subskrypcji kontenerów, aby włączyć rozszerzenie.
Note
Włączenie najnowszych dodatków nie spowoduje ponoszenia nowych kosztów dla aktywnych Defender dla klientów usługi Containers.
Aby uzyskać więcej informacji, zobacz Przegląd zabezpieczeń kontenera Microsoft Defender dla kontenerów.
Wydanie zalecenia: Microsoft Defender dla usługi Storage należy włączyć skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych
wtorek, 22 sierpnia 2023 r.
Wydano nowe zalecenie w Defender dla usługi Storage. To zalecenie gwarantuje, że Defender dla usługi Storage jest włączona na poziomie subskrypcji z funkcjami skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych.
| Recommendation | Description |
|---|---|
| Microsoft Defender dla magazynu należy włączyć skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych | Microsoft Defender dla usługi Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy Defender planu usługi Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. W przypadku prostej konfiguracji bez agenta na dużą skalę po włączeniu na poziomie subskrypcji wszystkie istniejące i nowo utworzone konta magazynu w ramach tej subskrypcji będą automatycznie chronione. Możesz również wykluczyć określone konta magazynu z chronionych subskrypcji. |
To nowe zalecenie zastępuje bieżące zalecenie Microsoft Defender for Storage should be enabled (klucz oceny 1be22853-8ed1-4005-9907-ddad64cb1417). Jednak to zalecenie będzie nadal dostępne w chmurach Azure Government.
Dowiedz się więcej na temat Microsoft Defender for Storage.
Rozszerzone właściwości w alertach zabezpieczeń Defender dla Chmury są maskowane z dzienników aktywności
17 sierpnia 2023 r.
Ostatnio zmieniliśmy sposób integracji alertów zabezpieczeń i dzienników aktywności. Aby lepiej chronić poufne informacje o klientach, nie uwzględniamy już tych informacji w dziennikach aktywności. Zamiast tego maskujemy go gwiazdkami. Jednak te informacje są nadal dostępne za pośrednictwem interfejsu API alertów, eksportu ciągłego i portalu Defender dla Chmury.
Klienci korzystający z dzienników aktywności w celu eksportowania alertów do rozwiązań SIEM powinni rozważyć użycie innego rozwiązania, ponieważ nie jest to zalecana metoda eksportowania alertów zabezpieczeń Defender dla Chmury.
Aby uzyskać instrukcje dotyczące eksportowania alertów zabezpieczeń Defender dla Chmury do rozwiązań SIEM, SOAR i innych aplikacji innych firm, zobacz Stream alerts to a SIEM, SOAR lub IT Service Management solution.
Wersja zapoznawcza obsługi platformy GCP w CSPM w usłudze Defender
15 sierpnia 2023 r.
Ogłaszamy wydanie wersji zapoznawczej CSPM w usłudze Defender kontekstowego grafu zabezpieczeń w chmurze i analizy ścieżki ataku z obsługą zasobów GCP. Możesz zastosować możliwości CSPM w usłudze Defender w celu uzyskania kompleksowego wglądu i inteligentnych zabezpieczeń chmury w zasobach GCP.
Najważniejsze funkcje naszej obsługi platformy GCP obejmują:
- Analiza ścieżki ataku — informacje na temat potencjalnych tras, które mogą podjąć osoby atakujące.
- Eksplorator zabezpieczeń w chmurze — proaktywnie identyfikowanie zagrożeń bezpieczeństwa przez uruchamianie zapytań opartych na grafie zabezpieczeń.
- Skanowanie bez agenta — skanuj serwery i identyfikuje wpisy tajne i luki w zabezpieczeniach bez instalowania agenta.
- Stan zabezpieczeń uwzględniający dane — odnajdywanie i korygowanie zagrożeń związanych z poufnymi danymi w zasobnikach usługi Google Cloud Storage.
Dowiedz się więcej o opcjach planu CSPM w usłudze Defender.
Nowe alerty zabezpieczeń w Defender dla serwerów Plan 2: Wykrywanie potencjalnych ataków nadużywających rozszerzeń maszyn wirtualnych Azure
7 sierpnia 2023 r.
Ta nowa seria alertów koncentruje się na wykrywaniu podejrzanych działań Azure rozszerzeniach maszyny wirtualnej i zapewnia wgląd w próby naruszenia zabezpieczeń i wykonywania złośliwych działań na maszynach wirtualnych.
Microsoft Defender dla serwerów mogą teraz wykrywać podejrzane działania rozszerzeń maszyn wirtualnych, co pozwala uzyskać lepszy zakres zabezpieczeń obciążeń.
Azure rozszerzenia maszyn wirtualnych to małe aplikacje, które są uruchamiane po wdrożeniu na maszynach wirtualnych i zapewniają możliwości, takie jak konfiguracja, automatyzacja, monitorowanie, zabezpieczenia i nie tylko. Rozszerzenia są zaawansowanym narzędziem, ale mogą być używane przez podmioty zagrożeń dla różnych złośliwych intencji, na przykład:
- W przypadku zbierania i monitorowania danych.
- W przypadku wykonywania kodu i wdrażania konfiguracji z wysokimi uprawnieniami.
- Aby zresetować poświadczenia i utworzyć użytkowników administracyjnych.
- Do szyfrowania dysków.
Oto tabela nowych alertów.
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
|
Podejrzany błąd podczas instalowania rozszerzenia procesora GPU w ramach subskrypcji (wersja zapoznawcza) (VM_GPUExtensionSuspiciousFailure) |
Podejrzana intencja instalowania rozszerzenia procesora GPU na nieobsługiwanych maszynach wirtualnych. To rozszerzenie powinno być zainstalowane na maszynach wirtualnych wyposażonych w procesor graficzny, a w tym przypadku maszyny wirtualne nie są wyposażone w takie. Te błędy można zobaczyć, gdy złośliwi przeciwnicy wykonują wiele instalacji takiego rozszerzenia w celach kryptograficznych. | Impact | Medium |
|
Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza) (VM_GPUDriverExtensionUnusualExecution) Ten alert został wydany w lipcu 2023 r. |
Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców. | Impact | Low |
|
Uruchom polecenie z podejrzanym skryptem wykryto na maszynie wirtualnej (wersja zapoznawcza) (VM_RunCommandSuspiciousScript) |
Na maszynie wirtualnej wykryto polecenie Uruchom z podejrzanym skryptem, analizując operacje Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynie wirtualnej za pośrednictwem Azure Resource Manager. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe. | Execution | High |
|
Wykryto podejrzane nieautoryzowane użycie polecenia uruchamiania na maszynie wirtualnej (wersja zapoznawcza) (VM_RunCommandSuspiciousFailure) |
Podejrzane nieautoryzowane użycie polecenia uruchamiania nie powiodło się i zostało wykryte na maszynie wirtualnej, analizując operacje Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą próbować użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynach wirtualnych za pośrednictwem Azure Resource Manager. To działanie jest uważane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej. | Execution | Medium |
|
Wykryto podejrzane użycie polecenia uruchamiania na maszynie wirtualnej (wersja zapoznawcza) (VM_RunCommandSuspiciousUsage) |
Wykryto podejrzane użycie polecenia Uruchom na maszynie wirtualnej, analizując operacje Azure Resource Manager w subskrypcji. Osoby atakujące mogą użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynach wirtualnych za pośrednictwem Azure Resource Manager. To działanie jest uważane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej. | Execution | Low |
|
Wykryto podejrzane użycie wielu rozszerzeń monitorowania lub zbierania danych na maszynach wirtualnych (wersja zapoznawcza) (VM_SuspiciousMultiExtensionUsage) |
Wykryto podejrzane użycie wielu rozszerzeń monitorowania lub zbierania danych na maszynach wirtualnych, analizując operacje Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą nadużywać takich rozszerzeń na potrzeby zbierania danych, monitorowania ruchu sieciowego i nie tylko w ramach subskrypcji. To użycie jest uznawane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej. | Reconnaissance | Medium |
|
Wykryto podejrzaną instalację rozszerzeń szyfrowania dysków na maszynach wirtualnych (wersja zapoznawcza) (VM_DiskEncryptionSuspiciousUsage) |
Wykryto podejrzaną instalację rozszerzeń szyfrowania dysków na maszynach wirtualnych, analizując operacje Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą nadużywać rozszerzenia szyfrowania dysku, aby wdrożyć pełne szyfrowanie dysków na maszynach wirtualnych za pośrednictwem Azure Resource Manager w celu wykonania działania wymuszającego okup. To działanie jest uznawane za podejrzane, ponieważ nie było powszechnie spotykane przed i ze względu na dużą liczbę instalacji rozszerzeń. | Impact | Medium |
|
Wykryto podejrzane użycie rozszerzenia vm Access na maszynach wirtualnych (wersja zapoznawcza) (VM_VMAccessSuspiciousUsage) |
Wykryto podejrzane użycie rozszerzenia vm Access na maszynach wirtualnych. Osoby atakujące mogą nadużywać rozszerzenia dostępu do maszyn wirtualnych w celu uzyskania dostępu i naruszenia zabezpieczeń maszyn wirtualnych z wysokimi uprawnieniami przez zresetowanie dostępu lub zarządzanie użytkownikami administracyjnymi. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców i ze względu na dużą liczbę instalacji rozszerzeń. | Persistence | Medium |
| rozszerzenie Desired State Configuration (DSC) z podejrzanym skryptem zostało wykryte na maszynie wirtualnej (wersja zapoznawcza) (VM_DSCExtensionSuspiciousScript) |
Desired State Configuration (DSC) rozszerzenie z podejrzanym skryptem zostało wykryte na maszynie wirtualnej, analizując operacje Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia Desired State Configuration (DSC) do wdrażania złośliwych konfiguracji, takich jak mechanizmy trwałości, złośliwe skrypty i inne, z wysokimi uprawnieniami na maszynach wirtualnych. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe. | Execution | High |
|
Suspicious użycie rozszerzenia Desired State Configuration (DSC) zostało wykryte na maszynach wirtualnych (wersja zapoznawcza) (VM_DSCExtensionSuspiciousUsage) |
Wykryto podejrzane użycie rozszerzenia Desired State Configuration (DSC) na maszynach wirtualnych, analizując operacje Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia Desired State Configuration (DSC) do wdrażania złośliwych konfiguracji, takich jak mechanizmy trwałości, złośliwe skrypty i inne, z wysokimi uprawnieniami na maszynach wirtualnych. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców i ze względu na dużą liczbę instalacji rozszerzeń. | Impact | Low |
|
Na maszynie wirtualnej wykryto rozszerzenie niestandardowego skryptu z podejrzanym skryptem (wersja zapoznawcza) (VM_CustomScriptExtensionSuspiciousCmd) (Ten alert już istnieje i został ulepszony przy użyciu bardziej ulepszonych metod logiki i wykrywania). |
Na maszynie wirtualnej wykryto niestandardowe rozszerzenie skryptu z podejrzanym skryptem, analizując operacje Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia niestandardowego skryptu do wykonywania złośliwego kodu z wysokimi uprawnieniami na maszynie wirtualnej za pośrednictwem Azure Resource Manager. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe. | Execution | High |
Zobacz alerty oparte na extension w Defender dla serwerów.
Aby uzyskać pełną listę alertów, zobacz tabelę reference dla wszystkich alertów zabezpieczeń w Microsoft Defender dla Chmury.
Aktualizacje modelu biznesowego i cen dla planów Defender dla Chmury
1 sierpnia 2023 r.
Microsoft Defender dla Chmury ma trzy plany, które oferują ochronę warstwy usług:
Defender dla Key Vault
Defender dla Resource Manager
Defender dla systemu DNS
Plany te przeszły do nowego modelu biznesowego z różnymi cenami i pakietami, aby rozwiązać problemy z opiniami klientów dotyczącymi przewidywalności wydatków i uprościć ogólną strukturę kosztów.
Podsumowanie zmian modelu biznesowego i cen:
Istniejący klienci Defender dla usługi Key-Vault, Defender dla Resource Manager i Defender dla systemu DNS zachowają bieżący model biznesowy i ceny, chyba że aktywnie zdecydują się przełączyć się na nowy model biznesowy i cenę.
- Defender dla Resource Manager: Ten plan ma stałą cenę za subskrypcję miesięcznie. Klienci mogą przełączyć się na nowy model biznesowy, wybierając Defender dla Resource Manager nowego modelu subskrypcji.
Istniejący klienci Defender dla usługi Key-Vault, Defender dla Resource Manager i Defender dla systemu DNS zachowają bieżący model biznesowy i ceny, chyba że aktywnie zdecydują się przełączyć się na nowy model biznesowy i cenę.
- Defender dla Resource Manager: Ten plan ma stałą cenę za subskrypcję miesięcznie. Klienci mogą przełączyć się na nowy model biznesowy, wybierając Defender dla Resource Manager nowego modelu subskrypcji.
- Defender dla Key Vault: Ten plan ma stałą cenę za magazyn, za miesiąc bez opłaty nadwyżkowej. Klienci mogą przełączyć się do nowego modelu biznesowego, wybierając Defender dla Key Vault nowego modelu magazynu
- Defender dla systemu DNS: Defender dla klientów plan 2 serwerów uzyskuje dostęp do Defender dla wartości DNS w ramach planu Defender dla serwerów Plan 2 bez dodatkowych kosztów. Klienci, którzy mają zarówno Defender dla planu serwera 2, jak i Defender dla systemu DNS, nie są już obciążani opłatami za Defender dla systemu DNS. Defender dla systemu DNS nie jest już dostępny jako plan autonomiczny.
Dowiedz się więcej o cenach tych planów na stronie cennika Defender dla Chmury.
Lipiec 2023
Aktualizacje w lipcu obejmują:
| Date | Update |
|---|---|
| 31 lipca | Przegląd wersji oceny luk w zabezpieczeniach kontenerów obsługiwanych przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w Defender dla kontenerów i Defender dla rejestrów kontenerów |
| 30 lipca | Ogentless stan kontenera w CSPM w usłudze Defender jest teraz ogólnie dostępny |
| 20 lipca | Zarządzanie aktualizacjami automatycznymi w celu Defender dla punktu końcowego dla systemu Linux |
| 18 lipca | |
| 12 lipca | Nowy alert zabezpieczeń w planie Defender dla serwerów 2: Wykrywanie potencjalnych ataków korzystających z rozszerzeń sterowników procesora GPU maszyny wirtualnej Azure |
| 9 lipca | Obsługa wyłączania określonych luk w zabezpieczeniach |
| 1 lipca | Stan zabezpieczeń obsługujący dane jest teraz ogólnie dostępny |
Wersja zapoznawcza oceny luk w zabezpieczeniach kontenerów z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
31 lipca 2023 roku
Ogłaszamy wydanie oceny luk w zabezpieczeniach (VA) dla obrazów kontenerów systemu Linux w rejestrach kontenerów Azure obsługiwanych przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w Defender dla kontenerów i Defender dla rejestrów kontenerów. Nowa oferta oceny luk w zabezpieczeniach kontenerów zostanie udostępniona wraz z naszą istniejącą ofertą oceny luk w zabezpieczeniach kontenerów obsługiwaną przez firmę Qualys zarówno w Defender dla kontenerów, jak i Defender dla rejestrów kontenerów oraz obejmuje codzienne ponowne skanowanie obrazów kontenerów, informacje o możliwości wykorzystania, obsługę systemów operacyjnych i języków programowania (SCA) i nie tylko.
Ta nowa oferta rozpocznie się dzisiaj i oczekuje się, że będzie dostępna dla wszystkich klientów do 7 sierpnia.
Dowiedz się więcej na temat oceny luk w zabezpieczeniach container za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Stan kontenera bez agenta w CSPM w usłudze Defender jest teraz ogólnie dostępny
30 lipca 2023 r.
Możliwości stanu kontenera bez agenta są teraz ogólnie dostępne w ramach planu CSPM w usłudze Defender (zarządzanie stanem zabezpieczeń w chmurze).
Dowiedz się więcej o agentless stan kontenera w CSPM w usłudze Defender.
Zarządzanie aktualizacjami automatycznymi w celu Defender dla punktu końcowego dla systemu Linux
20 lipca 2023 r.
Domyślnie Defender dla Chmury próbuje zaktualizować Defender dla agentów programu Endpoint for Linux dołączonych do rozszerzenia MDE.Linux. W tej wersji możesz zarządzać tym ustawieniem i zrezygnować z konfiguracji domyślnej w celu ręcznego zarządzania cyklami aktualizacji.
Wpisy tajne bez agenta skanowane pod kątem maszyn wirtualnych w Defender dla serwerów P2 i P2 CSPM w usłudze Defender
18 lipca 2023 roku
Skanowanie wpisów tajnych jest teraz dostępne w ramach skanowania bez agenta w Defender dla serwerów P2 i CSPM w usłudze Defender. Ta funkcja ułatwia wykrywanie niezarządzanych i niezabezpieczonych wpisów tajnych zapisanych na maszynach wirtualnych w Azure lub zasobach platformy AWS, których można użyć do późniejszego przenoszenia w sieci. W przypadku wykrycia wpisów tajnych Defender dla Chmury może pomóc w określaniu priorytetów i podjęciu kroków korygowania możliwych do podjęcia działań w celu zminimalizowania ryzyka przenoszenia bocznego, a wszystko to bez wpływu na wydajność maszyny.
Aby uzyskać więcej informacji na temat ochrony wpisów tajnych za pomocą skanowania wpisów tajnych, zobacz Zarządzanie wpisami tajnymi za pomocą skanowania wpisów tajnych bez agenta.
Nowy alert zabezpieczeń w Defender dla serwerów plan 2: wykrywanie potencjalnych ataków korzystających z rozszerzeń sterowników procesora GPU maszyny wirtualnej Azure
12 lipca 2023 roku
Ten alert koncentruje się na identyfikowaniu podejrzanych działań korzystających z Azure maszyny wirtualnej rozszerzenia sterownikówGPU i zapewnia wgląd w próby naruszenia zabezpieczeń maszyn wirtualnych przez osoby atakujące. Alert dotyczy podejrzanych wdrożeń rozszerzeń sterowników procesora GPU; takie rozszerzenia są często nadużywane przez podmioty zagrożeń, aby wykorzystać pełną moc karty GPU i wykonać cryptojacking.
| Nazwa wyświetlana alertu (Typ alertu) |
Description | Severity | TAKTYKA MITRE |
|---|---|---|---|
| Podejrzana instalacja rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza) (VM_GPUDriverExtensionUnusualExecution) |
Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego. | Low | Impact |
Aby uzyskać pełną listę alertów, zobacz tabelę reference dla wszystkich alertów zabezpieczeń w Microsoft Defender dla Chmury.
Obsługa wyłączania określonych luk w zabezpieczeniach
9 lipca 2023 r.
Wydanie obsługi wyłączania wyników luk w zabezpieczeniach obrazów rejestru kontenerów lub uruchamiania obrazów w ramach stanu kontenera bez agenta. Jeśli masz organizację, musisz zignorować znalezienie luki w zabezpieczeniach na obrazie rejestru kontenerów, a nie skorygować go, możesz opcjonalnie go wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.
Dowiedz się, jak wyłączyć wyniki oceny luk w zabezpieczeniach na obrazach rejestru kontenerów.
Stan zabezpieczeń obsługujący dane jest teraz ogólnie dostępny
1 lipca 2023 r.
Stan zabezpieczeń obsługujący dane w Microsoft Defender dla Chmury jest teraz ogólnie dostępny. Pomaga klientom zmniejszyć ryzyko związane z danymi i reagować na naruszenia zabezpieczeń danych. Stan zabezpieczeń obsługujących dane umożliwia:
- Automatyczne odnajdywanie poufnych zasobów danych w usługach Azure i AWS.
- Ocena poufności danych, ekspozycji danych i sposobu przepływu danych w całej organizacji.
- Proaktywnie i stale odkrywaj zagrożenia, które mogą prowadzić do naruszeń danych.
- Wykrywanie podejrzanych działań, które mogą wskazywać na bieżące zagrożenia dla poufnych zasobów danych
Aby uzyskać więcej informacji, zobacz Stan zabezpieczeń obsługujący dane w Microsoft Defender dla Chmury.
Czerwiec 2023
Aktualizacje w czerwcu obejmują:
Uproszczone dołączanie konta wielochmurowego przy użyciu rozszerzonych ustawień
26 czerwca 2023 roku
Defender dla Chmury ulepszono środowisko dołączania w celu uwzględnienia nowego usprawnionego interfejsu użytkownika i instrukcji oprócz nowych funkcji, które umożliwiają dołączanie środowisk AWS i GCP przy jednoczesnym zapewnieniu dostępu do zaawansowanych funkcji dołączania.
W przypadku organizacji, które przyjęły narzędzie Terraform hashicorp do automatyzacji, Defender dla Chmury teraz obejmuje możliwość używania narzędzia Terraform jako metody wdrażania obok platformy AWS CloudFormation lub GCP Cloud Shell. Teraz można dostosować wymagane nazwy ról podczas tworzenia integracji. Możesz również wybrać między:
Domyślny dostęp — umożliwia Defender dla Chmury skanowanie zasobów i automatyczne uwzględnianie przyszłych możliwości.
Least uprzywilejowany dostęp -Grants Defender dla Chmury dostęp tylko do bieżących uprawnień wymaganych dla wybranych planów.
W przypadku wybrania najniższych uprawnień będziesz otrzymywać powiadomienia tylko o nowych rolach i uprawnieniach wymaganych do uzyskania pełnej funkcjonalności kondycji łącznika.
Defender dla Chmury umożliwia odróżnienie kont chmury od ich natywnych nazw od dostawców usług w chmurze. Na przykład aliasy kont platformy AWS i nazwy projektów GCP.
Obsługa prywatnego punktu końcowego na potrzeby skanowania złośliwego oprogramowania w Defender dla magazynu
25 czerwca 2023 r.
Obsługa prywatnego punktu końcowego jest teraz dostępna w ramach skanowania złośliwego oprogramowania w publicznej wersji zapoznawczej w Defender dla usługi Storage. Ta funkcja umożliwia włączanie skanowania złośliwego oprogramowania na kontach magazynu korzystających z prywatnych punktów końcowych. Nie jest wymagana żadna inna konfiguracja.
Skanowanie (wersja zapoznawcza) w Defender for Storage pomaga chronić konta magazynu przed złośliwą zawartością, wykonując pełne skanowanie w poszukiwaniu złośliwego oprogramowania na przekazanej zawartości niemal w czasie rzeczywistym przy użyciu funkcji Microsoft Defender Antywirusowej. Została zaprojektowana tak, aby ułatwić spełnienie wymagań dotyczących zabezpieczeń i zgodności na potrzeby obsługi niezaufanej zawartości. Jest to rozwiązanie SaaS bez agenta, które umożliwia prostą konfigurację na dużą skalę, z zerową konserwacją i obsługuje automatyzowanie odpowiedzi na dużą skalę.
Prywatne punkty końcowe zapewniają bezpieczną łączność z usługami Azure Storage, skutecznie eliminując publiczne narażenie na internet i są uważane za najlepsze rozwiązanie w zakresie zabezpieczeń.
W przypadku kont magazynu z prywatnymi punktami końcowymi, które mają już włączone skanowanie złośliwego oprogramowania, należy wyłączyć i włączyć plan ze skanowaniem złośliwego oprogramowania, aby to działało.
Dowiedz się więcej o korzystaniu z punktów końcowych private w Defender for Storage i sposobie zabezpieczania usług magazynu.
Zalecenie wydane w wersji zapoznawczej: Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender)
21 czerwca 2023 r.
Nowe zalecenie dotyczące kontenera w CSPM w usłudze Defender obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender jest wydawane w wersji zapoznawczej:
| Recommendation | Description | Klucz oceny |
|---|---|---|
| Uruchamianie obrazów kontenerów powinno mieć rozwiązane problemy z lukami w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender)(wersja zapoznawcza) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
To nowe zalecenie zastępuje bieżące zalecenie o tej samej nazwie, obsługiwanej przez firmę Qualys tylko w CSPM w usłudze Defender (zastępując klucz oceny 41503391-efa5-47ee-9282-4eff6131462c).
Wprowadzono aktualizacje kontroli dotyczące standardów NIST 800-53 w zakresie zgodności z przepisami
15 czerwca 2023 r.
Standardy NIST 800-53 (zarówno R4, jak i R5) zostały niedawno zaktualizowane o zmiany kontroli w Microsoft Defender dla Chmury zgodności z przepisami. Kontrolki zarządzane Microsoft zostały usunięte ze standardu, a informacje na temat implementacji Microsoft odpowiedzialności (w ramach modelu wspólnej odpowiedzialności w chmurze) są teraz dostępne tylko w okienku szczegółów kontroli w obszarze Microsoft Actions.
Te kontrolki zostały wcześniej obliczone jako przekazane mechanizmy kontroli, więc w latach 2023–2023 może wystąpić znaczny spadek wskaźnika zgodności dla standardów NIST z kwietnia 2023 r. do maja 2023 r.
Aby uzyskać więcej informacji na temat mechanizmów kontroli zgodności, zobacz Tutorial: Kontrole zgodności z przepisami — Microsoft Defender dla Chmury.
Planowanie migracji do chmury przy użyciu Azure Migrate przypadku biznesowego obejmuje teraz Defender dla Chmury
11 czerwca 2023 r.
Teraz możesz odkryć potencjalne oszczędności kosztów w zabezpieczeniach, stosując Defender dla Chmury w kontekście Azure Migrate przypadku biznesowego.
Konfiguracja ekspresowa dla ocen luk w zabezpieczeniach w Defender dla języka SQL jest teraz ogólnie dostępna
7 czerwca 2023 roku
Konfiguracja ekspresowa dla ocen luk w zabezpieczeniach w Defender dla języka SQL jest teraz ogólnie dostępna. Konfiguracja ekspresowa zapewnia usprawnione środowisko dołączania do ocen luk w zabezpieczeniach SQL przy użyciu konfiguracji jednym kliknięciem (lub wywołania interfejsu API). Nie ma dodatkowych ustawień ani zależności dla zarządzanych kont magazynu.
Zapoznaj się z tym blogem , aby dowiedzieć się więcej na temat konfiguracji ekspresowej.
Różnice między konfiguracją ekspresową i klasyczną można poznać.
Więcej zakresów dodanych do istniejących łączników Azure DevOps
6 czerwca 2023 r.
Defender dla DevOps dodano następujące dodatkowe zakresy do aplikacji Azure DevOps (ADO):
Zaawansowane zarządzanie zabezpieczeniami:
vso.advsec_manage. Co jest potrzebne w celu umożliwienia włączania, wyłączania i zarządzania GitHub Advanced Security for ADO.Mapowanie kontenera:
vso.extension_manage,vso.gallery_manager; Co jest potrzebne, aby umożliwić udostępnianie rozszerzenia dekoratora organizacji ADO.
Ta zmiana ma wpływ tylko na nowych Defender dla DevOps klientów, którzy próbują dołączyć zasoby ADO do Microsoft Defender dla Chmury.
Dołączanie bezpośrednio (bez Azure Arc) do Defender dla serwerów jest teraz ogólnie dostępne
5 czerwca 2023 r.
Wcześniej Azure Arc było wymagane do dołączenia serwerów innych niż Azure, aby Defender dla serwerów. Jednak w najnowszej wersji można również dołączyć serwery lokalne do Defender dla serwerów przy użyciu tylko agenta Ochrona punktu końcowego w usłudze Microsoft Defender.
Ta nowa metoda upraszcza proces dołączania dla klientów skoncentrowanych na podstawowej ochronie punktu końcowego i umożliwia korzystanie z Defender na potrzeby rozliczeń opartych na użyciu serwerów zarówno dla zasobów w chmurze, jak i niechmurowych. Opcja bezpośredniego dołączania za pośrednictwem Defender dla punktu końcowego jest teraz dostępna z rozliczeniami dla dołączonych maszyn począwszy od 1 lipca.
Aby uzyskać więcej informacji, zobacz Łączenie maszyn innych niż Azure w celu Microsoft Defender dla Chmury za pomocą Defender dla punktu końcowego.
Zastępowanie odnajdywania opartego na agencie funkcją odnajdywania bez agenta dla funkcji kontenerów w CSPM w usłudze Defender
4 czerwca 2023 r.
Dzięki możliwościom stan kontenera bez agenta dostępnym w CSPM w usłudze Defender możliwości odnajdywania opartego na agencie są teraz wycofyzowane. Jeśli obecnie używasz funkcji kontenera w CSPM w usłudze Defender, upewnij się, że wymagalności rozszerzeń są włączone, aby nadal otrzymywać wartość związaną z kontenerem nowych funkcji bez agentów, takich jak ścieżki ataków związanych z kontenerem, szczegółowe informacje i spis. (Może upłynąć do 24 godzin, aby zobaczyć efekty włączania rozszerzeń).
Dowiedz się więcej na temat stanu kontenera bez agenta.
Maj 2023
Aktualizacje w maju obejmują:
- A nowy alert w Defender dla Key Vault.
- Obsługa bez agenta skanowania zaszyfrowanych dysków na platformie AWS.
- Changes in JIT (Just-In-Time) konwencje nazewnictwa w Defender dla Chmury.
- Dołączanie wybranych regionów platformy AWS.
- Zmiany w zaleceniach dotyczących tożsamości.
- Wycofanie starszych standardów na pulpicie nawigacyjnym zgodności.
- Aktualizuj dwa zalecenia dotyczące Defender dla DevOps, aby uwzględnić wyniki skanowania Azure DevOps
- Nowe ustawienie domyślne dla rozwiązania Defender do oceny luk w zabezpieczeniach serwerów.
- Możliwość pobierania raportu CSV wyników zapytań eksploratora zabezpieczeń w chmurze (wersja zapoznawcza).
- Popuszczenie oceny luk w zabezpieczeniach kontenerów za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
- Zmiana nazwy zaleceń dotyczących kontenerów obsługiwanych przez firmę Qualys.
- An update to Defender dla DevOps GitHub Application.
- Zmień adnotacje Defender dla DevOps żądania ściągnięcia w repozytoriach Azure DevOps, które zawierają teraz błędną konfigurację infrastruktury jako kodu.
Nowy alert w Defender dla Key Vault
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
|
Unusual dostęp do magazynu kluczy z podejrzanego adresu IP (bez Microsoft lub zewnętrznego) (KV_UnusualAccessSuspiciousIP) |
Użytkownik lub jednostka usługi próbowała nietypowego dostępu do magazynów kluczy z adresu IP innego niż Microsoft w ciągu ostatnich 24 godzin. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania. | Dostęp poświadczeń | Medium |
Aby uzyskać wszystkie dostępne alerty, zobacz Alerts dla Azure Key Vault.
Skanowanie bez agenta obsługuje teraz zaszyfrowane dyski na platformie AWS
Skanowanie bez agenta dla maszyn wirtualnych obsługuje teraz przetwarzanie wystąpień z zaszyfrowanymi dyskami na platformie AWS przy użyciu zarówno klucza cmk, jak i klucza PMK.
Ta rozszerzona obsługa zwiększa zasięg i widoczność majątku w chmurze bez wpływu na uruchomione obciążenia. Obsługa zaszyfrowanych dysków utrzymuje tę samą metodę zerowego wpływu na uruchomione wystąpienia.
- W przypadku nowych klientów, którzy włączają skanowanie bez agenta na platformie AWS — pokrycie zaszyfrowanych dysków jest domyślnie wbudowane i obsługiwane.
- W przypadku istniejących klientów, którzy mają już łącznik platformy AWS z włączonym skanowaniem bez agenta, należy ponownie zastosować stos CloudFormation do dołączonych kont platformy AWS w celu zaktualizowania i dodania nowych uprawnień wymaganych do przetwarzania zaszyfrowanych dysków. Zaktualizowany szablon CloudFormation zawiera nowe przypisania, które umożliwiają Defender dla Chmury przetwarzania zaszyfrowanych dysków.
Możesz dowiedzieć się więcej o uprawnieniach używanych do skanowania wystąpień platformy AWS.
Aby ponownie zastosować stos CloudFormation:
- Przejdź do Defender dla Chmury ustawień środowiska i otwórz łącznik platformy AWS.
- Przejdź do karty Konfigurowanie dostępu .
- Wybierz pozycję Kliknij, aby pobrać szablon CloudFormation.
- Przejdź do środowiska platformy AWS i zastosuj zaktualizowany szablon.
Dowiedz się więcej na temat skanowania bez agenta i włączania skanowania bez agenta na platformie AWS.
Poprawiony tryb JIT (Just-In-Time) konwencje nazewnictwa reguł w Defender dla Chmury
Zmieniliśmy reguły JIT (Just-In-Time) w celu dostosowania ich do marki Microsoft Defender dla Chmury. Zmieniliśmy konwencje nazewnictwa dla reguł Azure Firewall i sieciowej grupy zabezpieczeń (sieciowej grupy zabezpieczeń).
Zmiany są wymienione w następujący sposób:
| Description | Stara nazwa | Nowa nazwa |
|---|---|---|
| Nazwy reguł JIT (zezwalaj i odmawiaj) w sieciowej grupie zabezpieczeń (sieciowej grupie zabezpieczeń) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Opisy reguł JIT w sieciowej grupie zabezpieczeń | Reguła dostępu sieciowego JIT usługi ASC | Reguła dostępu sieciowego JIT usługi MDC |
| Nazwy kolekcji reguł zapory JIT | ASC-JIT | MDC-JIT |
| Nazwy reguł zapory JIT | ASC-JIT | MDC-JIT |
Dowiedz się, jak zabezpieczyć porty zarządzania za pomocą dostępu just in time.
Dołączanie wybranych regionów platformy AWS
Aby ułatwić zarządzanie kosztami platformy AWS CloudTrail i potrzebami w zakresie zgodności, możesz teraz wybrać regiony platformy AWS do skanowania podczas dodawania lub edytowania łącznika chmury. Teraz możesz skanować wybrane określone regiony platformy AWS lub wszystkie dostępne regiony (ustawienie domyślne) podczas dołączania kont platformy AWS do Defender dla Chmury. Dowiedz się więcej na stronie Łączenie konta platformy AWS z Microsoft Defender dla Chmury.
Wiele zmian w zaleceniach dotyczących tożsamości
Poniższe zalecenia są teraz wydawane jako ogólna dostępność i zastępują rekomendacje w wersji 1, które są teraz przestarzałe.
Ogólnie dostępna wersja zaleceń dotyczących tożsamości w wersji 2
W wersji 2 zaleceń dotyczących tożsamości wprowadzono następujące ulepszenia:
- Zakres skanowania został rozszerzony, aby uwzględnić wszystkie zasoby Azure, a nie tylko subskrypcje. Dzięki temu administratorzy zabezpieczeń mogą wyświetlać przypisania ról na konto.
- Określone konta można teraz wykluczyć z oceny. Konta takie jak break glass lub konta usług mogą być wykluczone przez administratorów zabezpieczeń.
- Częstotliwość skanowania została zwiększona z 24 godzin do 12 godzin, dzięki czemu zalecenia dotyczące tożsamości są bardziej aktualne i dokładne.
Następujące zalecenia dotyczące zabezpieczeń są dostępne w ogólnie dostępnej wersji i zastępują zalecenia dotyczące wersji 1:
| Recommendation | Klucz oceny |
|---|---|
| Konta z uprawnieniami właściciela do zasobów Azure powinny być włączone uwierzytelnianie wieloskładnikowe | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Konta z uprawnieniami do zapisu w zasobach Azure powinny być włączone uwierzytelnianie wieloskładnikowe | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Konta z uprawnieniami do odczytu dla zasobów Azure powinny być włączone uwierzytelnianie wieloskładnikowe | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Konta gości z uprawnieniami właściciela do zasobów Azure powinny zostać usunięte | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Konta gości z uprawnieniami do zapisu w zasobach Azure powinny zostać usunięte | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Konta gości z uprawnieniami do odczytu Azure zasobów powinny zostać usunięte | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Zablokowane konta z uprawnieniami właściciela do zasobów Azure powinny zostać usunięte | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach Azure powinny zostać usunięte | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Wycofanie zaleceń dotyczących tożsamości w wersji 1
Następujące zalecenia dotyczące zabezpieczeń są teraz przestarzałe:
| Recommendation | Klucz oceny |
|---|---|
| Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami właściciela subskrypcji. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do zapisu w subskrypcjach. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu w subskrypcjach. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Przestarzałe konta powinny zostać usunięte z subskrypcji | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Zalecamy zaktualizowanie niestandardowych skryptów, przepływów pracy i reguł ładu w celu odpowiadania rekomendacjom w wersji 2.
Wycofanie starszych standardów na pulpicie nawigacyjnym zgodności
Starsze wersje PCI DSS w wersji 3.2.1 i starszej wersji TSP SOC zostały w pełni przestarzałe na pulpicie nawigacyjnym zgodności Defender dla Chmury i zastąpione przez SOC 2 typ 2 inicjatywy i PCI DSS v4 oparte na inicjatywie standardy zgodności. Mamy w pełni przestarzałe wsparcie PCI DSS standard/initiative w Microsoft Azure obsługiwane przez firmę 21Vianet.
Dowiedz się, jak dostosować zestaw standardów na pulpicie nawigacyjnym zgodności z przepisami.
Defender dla DevOps obejmuje wyniki skanowania Azure DevOps
Defender dla DevOps Code i IaC rozszerzyły zakres zaleceń w Microsoft Defender dla Chmury, aby uwzględnić Azure DevOps ustalenia zabezpieczeń dla następujących dwóch zaleceń:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Wcześniej pokrycie skanowania zabezpieczeń Azure DevOps obejmowało tylko zalecenie dotyczące wpisów tajnych.
Dowiedz się więcej o Defender dla DevOps.
Nowe ustawienie domyślne dla Defender dla rozwiązania do oceny luk w zabezpieczeniach serwerów
Rozwiązania do oceny luk w zabezpieczeniach są niezbędne do ochrony maszyn przed atakami cybernetycznymi i naruszeniami danych.
Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender jest teraz włączone jako domyślne, wbudowane rozwiązanie dla wszystkich subskrypcji chronionych przez Defender dla serwerów, które nie mają jeszcze wybranego rozwiązania oceny luk w zabezpieczeniach.
Jeśli subskrypcja ma włączone rozwiązanie va na dowolnej maszynie wirtualnej, żadne zmiany nie zostaną wprowadzone i Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender nie zostaną domyślnie włączone na pozostałych maszynach wirtualnych w tej subskrypcji. Możesz włączyć rozwiązanie va na pozostałych maszynach wirtualnych w Twoich subskrypcjach.
Dowiedz się, jak znaleźć luki w zabezpieczeniach i zebrać spis oprogramowania za pomocą skanowania bez agenta (wersja zapoznawcza).
Pobieranie raportu CSV wyników zapytania eksploratora zabezpieczeń w chmurze (wersja zapoznawcza)
Defender dla Chmury dodano możliwość pobierania raportu CSV wyników zapytań eksploratora zabezpieczeń w chmurze.
Po uruchomieniu wyszukiwania zapytania możesz wybrać przycisk Pobierz raport CSV (wersja zapoznawcza) na stronie Cloud Security Explorer w Defender dla Chmury.
Dowiedz się, jak tworzyć zapytania za pomocą eksploratora zabezpieczeń w chmurze
Wydanie oceny luk w zabezpieczeniach kontenerów za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Ogłaszamy wydanie oceny luk w zabezpieczeniach dla obrazów systemu Linux w rejestrach kontenerów Azure obsługiwanych przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w CSPM w usłudze Defender. Ta wersja obejmuje codzienne skanowanie obrazów. Wyniki używane w Eksploratorze zabezpieczeń i ścieżkach ataków polegają na Microsoft Defender ocenie luk w zabezpieczeniach zamiast skanera Qualys.
Istniejące zalecenie Container registry images should have vulnerability findings resolved jest zastępowane przez nowe zalecenie:
| Recommendation | Description | Klucz oceny |
|---|---|---|
| Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | dbd0cb49-b563-45e7-9724-889e799fa648 został zastąpiony przez c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Dowiedz się więcej na temat stanu kontenerów Agentless w CSPM w usłudze Defender.
Dowiedz się więcej o Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Zmiana nazwy zaleceń dotyczących kontenerów obsługiwanych przez firmę Qualys
Bieżące zalecenia dotyczące kontenera w Defender dla kontenerów zostaną zmienione w następujący sposób:
| Recommendation | Description | Klucz oceny |
|---|---|---|
| Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje obrazy kontenerów uruchomione w klastrach Kubernetes pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | 41503391-efa5-47ee-9282-4eff6131462c |
Defender dla DevOps GitHub Aktualizacja aplikacji
Microsoft Defender dla DevOps stale wprowadza zmiany i aktualizacje, które wymagają Defender dla DevOps klientów, którzy dołączyli swoje środowiska GitHub w Defender dla Chmury w celu zapewnienia uprawnień w ramach aplikacji wdrożonej w GitHub Organizacji. Te uprawnienia są niezbędne do zapewnienia, że wszystkie funkcje zabezpieczeń Defender dla DevOps działają normalnie i bez problemów.
Zalecamy jak najszybsze zaktualizowanie uprawnień, aby zapewnić stały dostęp do wszystkich dostępnych funkcji Defender dla DevOps.
Uprawnienia można przyznać na dwa różne sposoby:
W organizacji wybierz pozycję GitHub Aplikacje. Znajdź swoją organizację i wybierz pozycję Przejrzyj żądanie.
Otrzymasz automatyczną wiadomość e-mail od działu pomocy technicznej GitHub. W wiadomości e-mail wybierz pozycję Przejrzyj żądanie uprawnień, aby zaakceptować lub odrzucić tę zmianę.
Po wykonaniu jednej z tych opcji nastąpi przejście do ekranu przeglądu, na którym należy przejrzeć żądanie. Wybierz pozycję Zaakceptuj nowe uprawnienia , aby zatwierdzić żądanie.
Jeśli potrzebujesz pomocy w aktualizowaniu uprawnień, możesz utworzyć żądanie pomoc techniczna platformy Azure.
Możesz również dowiedzieć się więcej o Defender dla DevOps. Jeśli subskrypcja ma włączone rozwiązanie va na dowolnej maszynie wirtualnej, żadne zmiany nie zostaną wprowadzone i Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender nie zostaną domyślnie włączone na pozostałych maszynach wirtualnych w tej subskrypcji. Możesz włączyć rozwiązanie va na pozostałych maszynach wirtualnych w Twoich subskrypcjach.
Dowiedz się, jak znaleźć luki w zabezpieczeniach i zebrać spis oprogramowania za pomocą skanowania bez agenta (wersja zapoznawcza).
adnotacje Defender dla DevOps żądania ściągnięcia w repozytoriach Azure DevOps zawierają teraz błędną konfigurację infrastruktury jako kodu
Defender dla DevOps rozszerzył zakres adnotacji żądania ściągnięcia (PR) w Azure DevOps w celu uwzględnienia błędów konfiguracji infrastruktury jako kodu (IaC), które są wykrywane w szablonach Azure Resource Manager i Bicep.
Deweloperzy mogą teraz wyświetlać adnotacje dotyczące błędów konfiguracji IaC bezpośrednio w żądaniach ściągnięcia. Deweloperzy mogą również korygować krytyczne problemy z zabezpieczeniami, zanim infrastruktura zostanie aprowizowana w obciążeniach w chmurze. Aby uprościć korygowanie, deweloperzy są dostarczani z opisem ważności, błędną konfiguracją i instrukcjami korygowania w ramach każdej adnotacji.
Wcześniej pokrycie adnotacji żądania ściągnięcia Defender dla DevOps w Azure DevOps zawierało tylko wpisy tajne.
Dowiedz się więcej o Defender dla DevOps i Pull Adnotacje żądań.
Kwiecień 2023 r.
Aktualizacje w kwietniu obejmują:
- Agentless Stan kontenera w CSPM w usłudze Defender (wersja zapoznawcza)
- Nowe zalecenie dotyczące ujednoliconego szyfrowania dysków w wersji zapoznawczej
- Zmiany w rekomendacji Maszyny powinny być skonfigurowane bezpiecznie
- Wycofanie zasad monitorowania języka usługi App Service
- Nowy alert w Defender dla Resource Manager
- alerty Three w Defender planu Resource Manager zostały wycofane
- Alerty automatyczne eksportowanie do obszaru roboczego Log Analytics zostały uznane za przestarzałe
- Preprecation and improvement of selected alerts for Windows and Linux Servers
- N Microsoft Entra owe zalecenia dotyczące uwierzytelniania Azure Data Services
- Dwa zalecenia związane z brakującymi aktualizacjami systemu operacyjnego zostały wydane ogólnie dostępne
- Defender dla interfejsów API (wersja zapoznawcza)
Stan kontenera bez agenta w CSPM w usłudze Defender (wersja zapoznawcza)
Nowe funkcje stan kontenera bez agenta (wersja zapoznawcza) są dostępne w ramach planu CSPM w usłudze Defender (zarządzanie stanem zabezpieczeń w chmurze).
Stan kontenera bez agenta umożliwia zespołom ds. zabezpieczeń identyfikowanie zagrożeń bezpieczeństwa w kontenerach i obszarze Kubernetes. Podejście bez agenta umożliwia zespołom ds. zabezpieczeń uzyskanie wglądu w rejestry platformy Kubernetes i kontenerów w środowisku SDLC i środowisku uruchomieniowym, co pozwala zespołom ds. zabezpieczeń na uzyskanie wglądu w rejestry platformy Kubernetes i kontenerów w środowisku uruchomieniowym, co pozwala usunąć tarcie i ślad z obciążeń.
Stan kontenera bez agenta oferuje oceny luk w zabezpieczeniach kontenerów, które w połączeniu z analizą ścieżki ataku umożliwiają zespołom ds. zabezpieczeń określanie priorytetów i powiększanie określonych luk w zabezpieczeniach kontenerów. Eksplorator zabezpieczeń w chmurze umożliwia również wykrywanie zagrożeń i wyszukiwanie szczegółowych informacji o stanie kontenera, takich jak odnajdywanie aplikacji z narażonymi obrazami lub uwidocznione w Internecie.
Dowiedz się więcej na temat stanu kontenera bez agenta (wersja zapoznawcza).
Zalecenie dotyczące ujednoliconego szyfrowania dysków (wersja zapoznawcza)
W wersji zapoznawczej są dostępne nowe zalecenia dotyczące ujednoliconego szyfrowania dysków.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Te zalecenia zastępują Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, które wykryły Azure Disk Encryption i zasady Virtual machines and virtual machine scale sets should have encryption at host enabled, które wykryły encryptionAtHost. Usługi ADE i EncryptionAtHost zapewniają porównywalne szyfrowanie w spoczynku i zalecamy włączenie jednego z nich na każdej maszynie wirtualnej. Nowe zalecenia wykrywają, czy usługa ADE lub EncryptionAtHost są włączone i ostrzegają tylko wtedy, gdy żadna z nich nie jest włączona. Ostrzegamy również, czy usługa ADE jest włączona na niektórych, ale nie we wszystkich dyskach maszyny wirtualnej (ten warunek nie ma zastosowania do szyfrowaniaAtHost).
Nowe zalecenia wymagają Azure Automanage Konfiguracja maszyny.
Te zalecenia są oparte na następujących zasadach:
- (wersja zapoznawcza) maszyn wirtualnych Windows powinny włączyć Azure Disk Encryption lub EncryptionAtHost
- (wersja zapoznawcza) Maszyny wirtualne z systemem Linux powinny włączyć Azure Disk Encryption lub EncryptionAtHost
Dowiedz się więcej o programach ADE i EncryptionAtHost oraz o tym, jak włączyć jedną z nich.
Zmiany w rekomendacji Maszyny powinny być skonfigurowane bezpiecznie
Zalecenie Machines should be configured securely zostało zaktualizowane. Aktualizacja poprawia wydajność i stabilność rekomendacji oraz dostosowuje swoje doświadczenie z ogólnym zachowaniem zaleceń Defender dla Chmury.
W ramach tej aktualizacji identyfikator rekomendacji został zmieniony z 181ac480-f7c4-544b-9865-11b8ffe87f47 na c476dc48-8110-4139-91af-c8d940896b98.
Po stronie klienta nie jest wymagana żadna akcja i nie ma oczekiwanego wpływu na wskaźnik bezpieczeństwa.
Wycofanie zasad monitorowania języka usługi App Service
Następujące zasady monitorowania języka usługi App Service zostały uznane za przestarzałe ze względu na możliwość generowania wyników fałszywie ujemnych i dlatego, że nie zapewniają one lepszych zabezpieczeń. Zawsze należy upewnić się, że używasz wersji językowej bez żadnych znanych luk w zabezpieczeniach.
| Nazwa zasady | Identyfikator zasad |
|---|---|
| aplikacje usługi App Service korzystające z Java powinny używać najnowszej wersji Java | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| Aplikowanie usługiApp Service używające Python powinno używać najnowszej wersji Python | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| aplikacje Function korzystające z Java powinny używać najnowszej wersji Java | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Funkcje korzystające z Python powinny używać najnowszej wersji Python | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Aplikacje usługi App Service korzystające z języka PHP powinny używać najnowszej wersji języka PHP | 7261b898-8a84-4db8-9e04-18527132abb3 |
Klienci mogą używać alternatywnych wbudowanych zasad do monitorowania dowolnej określonej wersji językowej dla swoich usług App Services.
Te zasady nie są już dostępne we wbudowanych zaleceniach Defender dla Chmury. Możesz dodać je jako zalecenia niestandardowe aby Defender dla Chmury je monitorować.
Nowy alert w Defender dla Resource Manager
Defender dla Resource Manager ma następujący nowy alert:
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
|
WERSJA ZAPOZNAWCZA — wykryto podejrzane tworzenie zasobów obliczeniowych (ARM_SuspiciousComputeCreation) |
Microsoft Defender dla Resource Manager zidentyfikowano podejrzane tworzenie zasobów obliczeniowych w ramach subskrypcji przy użyciu zestawu skalowania Virtual Machines/Azure. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami przez wdrożenie nowych zasobów w razie potrzeby. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie operacje do prowadzenia wyszukiwania kryptograficznego. Działanie jest uznawane za podejrzane, ponieważ skala zasobów obliczeniowych jest wyższa niż wcześniej obserwowana w ramach subskrypcji. Może to oznaczać, że podmiot zabezpieczeń jest naruszony i jest używany ze złośliwymi intencjami. |
Impact | Medium |
Zostanie wyświetlona lista wszystkich alerts dostępnych dla Resource Manager.
Trzy alerty w Defender dla planu Resource Manager zostały wycofane
Następujące trzy alerty dotyczące Defender planu Resource Manager zostały wycofane:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
W scenariuszu, w którym wykryto działanie z podejrzanego adresu IP, jeden z następujących alertów usługi Defenders for Resource Manager plan Azure Resource Manager operation from suspicious IP address lub Azure Resource Manager operation from suspicious proxy IP address będzie obecny.
Alerty automatyczne eksportowanie do obszaru roboczego Log Analytics zostały przestarzałe
Alerty zabezpieczeń usługi Defenders for Cloud są automatycznie eksportowane do domyślnego obszaru roboczego Log Analytics na poziomie zasobu. Powoduje to nieokreślone zachowanie i dlatego przestarzała ta funkcja.
Zamiast tego możesz wyeksportować alerty zabezpieczeń do dedykowanego obszaru roboczego Log Analytics z Kontynualizację eksportu.
Jeśli skonfigurowano już ciągły eksport alertów do obszaru roboczego Log Analytics, nie jest wymagana żadna dalsza akcja.
Wycofywanie i ulepszanie wybranych alertów dla serwerów Windows i Linux
Proces poprawy jakości alertów zabezpieczeń dla Defender dla serwerów obejmuje wycofanie niektórych alertów dla serwerów Windows i Linux. Przestarzałe alerty są teraz pozyskiwane z alertów zagrożenia punktu końcowego i objęte Defender.
Jeśli masz już włączoną Defender integracji z punktem końcowym, nie jest wymagana żadna dalsza akcja. W kwietniu 2023 r. może wystąpić spadek liczby alertów.
Jeśli nie masz włączonej integracji Defender dla punktu końcowego w Defender dla serwerów, musisz włączyć Defender integracji punktu końcowego, aby zachować i poprawić pokrycie alertów.
Wszystkie Defender dla klientów serwerów mają pełny dostęp do Defender integracji punktu końcowego w ramach planu Defender for Servers.
Więcej informacji na temat opcji dołączania Ochrona punktu końcowego w usłudze Microsoft Defender.
Możesz również wyświetlić pełną listę alertów , które są ustawione jako przestarzałe.
Przeczytaj blog Microsoft Defender dla Chmury.
Nowe zalecenia dotyczące uwierzytelniania Microsoft Entra dla usług Azure Data Services
Dodaliśmy cztery nowe zalecenia dotyczące uwierzytelniania Microsoft Entra dla usług Azure Data Services.
| Nazwa zalecenia | Opis rekomendacji | Policy |
|---|---|---|
| Tryb uwierzytelniania Azure SQL Managed Instance powinien być tylko Microsoft Entra ID | Wyłączenie lokalnych metod uwierzytelniania i umożliwienie tylko Microsoft Entra uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że Azure SQL wystąpienia zarządzane mogą być dostępne wyłącznie przez Microsoft Entra ID tożsamości. | Azure SQL Managed Instance powinno być włączone tylko uwierzytelnianie Microsoft Entra ID |
| Tryb uwierzytelniania obszaru roboczego Azure Synapse powinien być tylko Microsoft Entra ID | Microsoft Entra ID tylko metody uwierzytelniania zwiększają bezpieczeństwo, zapewniając, że obszary robocze usługi Synapse wymagają wyłącznie Microsoft Entra ID tożsamości na potrzeby uwierzytelniania. Dowiedz się więcej. | Synapse Workspaces powinny używać tylko tożsamości Microsoft Entra ID do uwierzytelniania |
| Azure Database for MySQL powinien mieć zainicjowaną aprowizację administratora Microsoft Entra | Aprowizuj administratora Microsoft Entra dla Azure Database for MySQL, aby włączyć uwierzytelnianie Microsoft Entra. Microsoft Entra uwierzytelnianie umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | A administrator Microsoft Entra powinien być aprowizowany dla serwerów MySQL |
| Azure Database for PostgreSQL powinien być aprowizowany administrator Microsoft Entra | Aprowizuj administratora Microsoft Entra dla Azure Database for PostgreSQL, aby włączyć uwierzytelnianie Microsoft Entra. Microsoft Entra uwierzytelnianie umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | A administrator Microsoft Entra powinien być aprowizowany dla serwerów PostgreSQL |
Dwa zalecenia związane z brakującymi aktualizacjami systemu operacyjnego zostały wydane ogólnie dostępne
Zalecenia System updates should be installed on your machines (powered by Menedżer aktualizacji platformy Azure) i Machines should be configured to periodically check for missing system updates zostały wydane dla ogólnej dostępności.
Aby użyć nowego zalecenia, należy wykonać następujące działania:
- Połącz maszyny inne niż Azure z usługą Arc.
-
Włącz właściwość oceny okresowej. Możesz użyć przycisku Napraw.
w nowym poleceniu,
Machines should be configured to periodically check for missing system updatesaby naprawić zalecenie.
Po wykonaniu tych kroków możesz usunąć starą rekomendację System updates should be installed on your machines, wyłączając ją z wbudowanej inicjatywy Defender dla Chmury w zasadach Azure.
Dwie wersje zaleceń:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Oba będą dostępne do czasu, aż agent Log Analytics zostanie wycofany 31 sierpnia 2024 r., czyli gdy starsza wersja (System updates should be installed on your machines) zalecenia również zostanie wycofana. Oba zalecenia zwracają te same wyniki i są dostępne w ramach tej samej kontrolki Apply system updates.
Nowe zalecenie System updates should be installed on your machines (powered by Menedżer aktualizacji platformy Azure) ma przepływ korygowania dostępny za pośrednictwem przycisku Napraw, który może służyć do korygowania dowolnych wyników za pośrednictwem Menedżera aktualizacji (wersja zapoznawcza). Ten proces korygowania jest nadal w wersji zapoznawczej.
Nowe zalecenie System updates should be installed on your machines (powered by Menedżer aktualizacji platformy Azure) nie ma wpływu na wskaźnik bezpieczeństwa, ponieważ ma takie same wyniki jak stara rekomendacja System updates should be installed on your machines.
Zalecenie dotyczące wymagań wstępnych (Włącz właściwość okresowej oceny) ma negatywny wpływ na wskaźnik bezpieczeństwa. Możesz skorygować negatywny efekt za pomocą dostępnego przycisku Napraw.
Defender dla interfejsów API (wersja zapoznawcza)
Microsoft Defender dla Chmury ogłasza nowe Defender dla interfejsów API są dostępne w wersji zapoznawczej.
Defender dla interfejsów API oferuje pełną ochronę, wykrywanie i pokrycie odpowiedzi dla interfejsów API.
Defender dla interfejsów API ułatwia uzyskanie wglądu w interfejsy API krytyczne dla działania firmy. Możesz badać i ulepszać stan zabezpieczeń interfejsu API, ustalać priorytety poprawek luk w zabezpieczeniach i szybko wykrywać aktywne zagrożenia w czasie rzeczywistym.
Dowiedz się więcej o Defender dla interfejsów API.
Marzec 2023 r.
Aktualizacje w marcu obejmują:
- A jest dostępna nowa Defender dla planu magazynu, w tym skanowanie złośliwego oprogramowania niemal w czasie rzeczywistym i wykrywanie zagrożeń poufnych danych
- Stan zabezpieczeń obsługujący dane (wersja zapoznawcza)
- Improved środowisko zarządzania domyślnymi zasadami zabezpieczeń Azure
- CSPM w usłudze Defender (zarządzanie stanem zabezpieczeń w chmurze) jest teraz ogólnie dostępna
- Option w celu utworzenia niestandardowych zaleceń i standardów zabezpieczeń w Microsoft Defender dla Chmury
- Microsoft test porównawczy zabezpieczeń w chmurze (MCSB) w wersji 1.0 jest teraz ogólnie dostępny (GA)
- Niektóre standardy zgodności z przepisami są teraz dostępne w chmurach dla instytucji rządowych
- Nowa rekomendacja w wersji zapoznawczej dla serwerów Azure SQL
- Nowy alert w Defender dla Key Vault
Dostępny jest nowy Defender planu magazynu, w tym skanowanie złośliwego oprogramowania niemal w czasie rzeczywistym i wykrywanie zagrożeń poufnych danych
Magazyn w chmurze odgrywa kluczową rolę w organizacji i przechowuje duże ilości cennych i poufnych danych. Dzisiaj ogłaszamy nowe Defender planu usługi Storage. Jeśli używasz poprzedniego planu (teraz zmieniono nazwę na "Defender dla usługi Storage (wersja klasyczna)"), musisz aktywnie migrate do nowego planu aby korzystać z nowych funkcji i korzyści.
Nowy plan obejmuje zaawansowane funkcje zabezpieczeń, które ułatwiają ochronę przed złośliwymi przekazywaniem plików, eksfiltracją poufnych danych i uszkodzeniem danych. Zapewnia również bardziej przewidywalną i elastyczną strukturę cenową, aby lepiej kontrolować pokrycie i koszty.
Nowy plan ma teraz nowe możliwości w publicznej wersji zapoznawczej:
Wykrywanie ujawnienia poufnych danych i zdarzeń eksfiltracji
Skanowanie złośliwego oprogramowania niemal w czasie rzeczywistym na obiekt blob podczas przekazywania we wszystkich typach plików
Wykrywanie jednostek bez tożsamości przy użyciu tokenów SAS
Te możliwości zwiększają istniejące możliwości monitorowania aktywności na podstawie analizy dzienników kontroli i płaszczyzny danych oraz modelowania behawioralnego w celu zidentyfikowania wczesnych oznak naruszenia.
Wszystkie te możliwości są dostępne w nowym przewidywalnym i elastycznym planie cenowym, który zapewnia szczegółową kontrolę nad ochroną danych na poziomie subskrypcji i zasobów.
Dowiedz się więcej na stronie Przegląd Microsoft Defender dla usługi Storage.
Stan zabezpieczeń obsługujący dane (wersja zapoznawcza)
Microsoft Defender dla Chmury pomaga zespołom ds. zabezpieczeń zwiększyć produktywność w zmniejszaniu ryzyka i reagowaniu na naruszenia zabezpieczeń danych w chmurze. Pozwala im to na wycinanie szumu z kontekstem danych i określanie priorytetów najbardziej krytycznych zagrożeń bezpieczeństwa, zapobiegając kosztownemu naruszeniu danych.
- Automatycznie odnajdywanie zasobów danych w infrastrukturze w chmurze i ocenianie ich ułatwień dostępu, poufności danych i skonfigurowanych przepływów danych. — Ciągłe ujawnianie zagrożeń związanych z naruszeniami danych poufnych zasobów danych, ekspozycją lub ścieżkami ataków, które mogą prowadzić do zasobu danych przy użyciu techniki przenoszenia bocznego.
- Wykrywanie podejrzanych działań, które mogą wskazywać na bieżące zagrożenie dla poufnych zasobów danych.
Dowiedz się więcej o poziomie zabezpieczeń obsługującym dane.
Ulepszone środowisko zarządzania domyślnymi zasadami zabezpieczeń Azure
Wprowadzamy ulepszone środowisko zarządzania zasadami zabezpieczeń Azure dla wbudowanych zaleceń, które upraszczają sposób, w jaki Defender dla Chmury klienci dostrajają swoje wymagania dotyczące zabezpieczeń. Nowe środowisko obejmuje następujące nowe możliwości:
- Prosty interfejs umożliwia lepszą wydajność i środowisko podczas zarządzania domyślnymi zasadami zabezpieczeń w Defender dla Chmury.
- Pojedynczy widok wszystkich wbudowanych zaleceń dotyczących zabezpieczeń oferowanych przez test porównawczy zabezpieczeń chmury Microsoft (dawniej test porównawczy zabezpieczeń Azure). Rekomendacje są zorganizowane w grupy logiczne, co ułatwia zrozumienie typów omówionych zasobów oraz relację między parametrami i zaleceniami.
- Dodano nowe funkcje, takie jak filtry i wyszukiwanie.
Dowiedz się, jak zarządzać zasadami zabezpieczeń.
Przeczytaj blog Microsoft Defender dla Chmury.
CSPM w usłudze Defender (zarządzanie stanem zabezpieczeń w chmurze) jest teraz ogólnie dostępne (ogólna dostępność)
Ogłaszamy, że CSPM w usłudze Defender jest teraz ogólnie dostępny (GA). CSPM w usłudze Defender oferuje wszystkie usługi dostępne w ramach podstawowych funkcji CSPM i dodaje następujące korzyści:
- Analiza ścieżki ataków i interfejs API ARG — analiza ścieżki ataku używa algorytmu opartego na grafie, który skanuje wykres zabezpieczeń chmury w celu uwidocznienia ścieżek ataków i sugeruje zalecenia dotyczące najlepszego rozwiązywania problemów, które przerywają ścieżkę ataku i uniemożliwiają pomyślne naruszenie. Ścieżki ataków można również używać programowo, wysyłając zapytanie do interfejsu API Azure Resource Graph (ARG). Dowiedz się, jak używać analizy ścieżki ataku
- Cloud Security Explorer — użyj Eksploratora zabezpieczeń chmury do uruchamiania zapytań opartych na grafie zabezpieczeń w chmurze, aby aktywnie identyfikować zagrożenia bezpieczeństwa w środowiskach wielochmurowych. Dowiedz się więcej o eksploratorze zabezpieczeń w chmurze.
Dowiedz się więcej o CSPM w usłudze Defender.
Opcja tworzenia niestandardowych zaleceń i standardów zabezpieczeń w Microsoft Defender dla Chmury
Microsoft Defender dla Chmury umożliwia tworzenie niestandardowych zaleceń i standardów dla platform AWS i GCP przy użyciu zapytań KQL. Edytor zapytań umożliwia kompilowanie i testowanie zapytań dotyczących danych. Ta funkcja jest częścią planu CSPM w usłudze Defender (Zarządzanie stanem zabezpieczeń w chmurze). Dowiedz się, jak tworzyć niestandardowe rekomendacje i standardy.
Microsoft test porównawczy zabezpieczeń w chmurze (MCSB) w wersji 1.0 jest teraz ogólnie dostępny (GA)
Microsoft Defender dla Chmury ogłasza, że Microsoft test porównawczy zabezpieczeń w chmurze (MCSB) w wersji 1.0 jest teraz ogólnie dostępny (GA).
McSB w wersji 1.0 zastępuje Azure Security Benchmark (ASB) w wersji 3 jako domyślne zasady zabezpieczeń Defender dla Chmury. Program MCSB w wersji 1.0 jest wyświetlany jako domyślny standard zgodności na pulpicie nawigacyjnym zgodności i jest domyślnie włączony dla wszystkich klientów Defender dla Chmury.
Możesz również dowiedzieć się, Jak Microsoft test porównawczy zabezpieczeń w chmurze (MCSB) pomaga ci odnieść sukces w podróży zabezpieczeń w chmurze.
Dowiedz się więcej o usłudze MCSB.
Niektóre standardy zgodności z przepisami są teraz dostępne w chmurach dla instytucji rządowych
Aktualizujemy te standardy dla klientów w Azure Government i Microsoft Azure obsługiwanych przez firmę 21Vianet.
Azure Government:
Microsoft Azure obsługiwane przez firmę 21Vianet:
Dowiedz się, jak dostosować zestaw standardów na pulpicie nawigacyjnym zgodności z przepisami.
Nowe zalecenie dotyczące wersji zapoznawczej dla serwerów Azure SQL
Dodaliśmy nowe zalecenie dotyczące serwerów Azure SQL, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
Zalecenie jest oparte na istniejących zasadach Azure SQL Database should have Azure Active Directory Only Authentication enabled
To zalecenie wyłącza lokalne metody uwierzytelniania i zezwala tylko na uwierzytelnianie Microsoft Entra, co zwiększa bezpieczeństwo, zapewniając, że Azure SQL Bazy danych mogą uzyskiwać dostęp wyłącznie przez Microsoft Entra ID tożsamości.
Dowiedz się, jak tworzenie serwerów przy użyciu uwierzytelniania tylko usługi AD Azure włączonego w Azure SQL.
Nowy alert w Defender dla Key Vault
Defender dla Key Vault ma następujący nowy alert:
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
|
Odmowa dostępu z podejrzanego adresu IP do magazynu kluczy (KV_SuspiciousIPAccessDenied) |
Nieudany dostęp do magazynu kluczy został podjęty przez adres IP, który został zidentyfikowany przez Microsoft Threat Intelligence jako podejrzany adres IP. Mimo że ta próba nie powiodła się, oznacza to, że bezpieczeństwo infrastruktury mogło zostać naruszone. Zalecamy dalsze badania. | Dostęp poświadczeń | Low |
Zostanie wyświetlona lista wszystkich alerts dostępnych dla Key Vault.
luty 2023
Aktualizacje w lutym obejmują:
- Ulepszony Eksplorator zabezpieczeń chmury
- Defender na potrzeby skanowania luk w zabezpieczeniach kontenerów podczas uruchamiania obrazów systemu Linux
- Ogłoszenie obsługi standardu zgodności usługi AWS CIS 1.5.0
- Microsoft Defender dla DevOps (wersja zapoznawcza) jest teraz dostępna w innych regionach
- Włączone zasady [wersja zapoznawcza]: Prywatny punkt końcowy powinien zostać skonfigurowany dla Key Vault jest przestarzały
Ulepszony Eksplorator zabezpieczeń chmury
Ulepszona wersja eksploratora zabezpieczeń w chmurze zawiera odświeżone środowisko użytkownika, które znacznie eliminuje problemy z zapytaniami, dodano możliwość uruchamiania zapytań wielochmurowych i wielosóbowych oraz osadzonej dokumentacji dla każdej opcji zapytania.
Eksplorator zabezpieczeń chmury umożliwia teraz uruchamianie zapytań abstrakcyjnych w chmurze między zasobami. Możesz użyć wstępnie utworzonych szablonów zapytań lub użyć wyszukiwania niestandardowego, aby zastosować filtry w celu skompilowania zapytania. Dowiedz się , jak zarządzać Eksploratorem zabezpieczeń w chmurze.
Defender skanowania luk w zabezpieczeniach kontenerów na potrzeby uruchamiania obrazów systemu Linux są teraz ogólnie dostępne
Defender dla kontenerów wykrywa luki w zabezpieczeniach uruchomionych kontenerów. Obsługiwane są zarówno kontenery Windows, jak i Linux.
W sierpniu 2022 r. ta funkcja została udostępniona w wersji zapoznawczej dla Windows i Systemu Linux. Teraz publikujemy ją w celu zapewnienia ogólnej dostępności dla systemu Linux.
Po wykryciu luk w zabezpieczeniach Defender dla Chmury generuje następujące zalecenie dotyczące zabezpieczeń zawierające listę wyników skanowania: Running obrazów kontenerów powinny zostać rozwiązane.
Dowiedz się więcej o wyświetlaniu luk w zabezpieczeniach dla uruchomionych obrazów.
Ogłoszenie obsługi standardu zgodności usługi AWS CIS 1.5.0
Defender dla Chmury obsługuje teraz standard zgodności CIS Amazon Web Services Foundations w wersji 1.5.0. Standard można dodać do pulpitu nawigacyjnego zgodności z przepisami i opierać się na istniejących ofertach rozwiązania MDC dla rekomendacji i standardów wielochmurowych.
Ten nowy standard obejmuje zarówno istniejące, jak i nowe zalecenia, które rozszerzają zasięg Defender dla Chmury na nowe usługi i zasoby platformy AWS.
Dowiedz się, jak zarządzać ocenami i standardami platformy AWS.
Microsoft Defender dla DevOps (wersja zapoznawcza) jest teraz dostępna w innych regionach
Microsoft Defender dla DevOps rozszerzyła swoją wersję zapoznawcza i jest teraz dostępna w regionach Europa Zachodnia i Australia Wschodnia po dołączeniu zasobów Azure DevOps i GitHub.
Dowiedz się więcej o Microsoft Defender dla DevOps.
Wbudowane zasady [wersja zapoznawcza]: Prywatny punkt końcowy powinien być skonfigurowany dla Key Vault jest przestarzały
Wbudowane zasady [Preview]: Private endpoint should be configured for Key Vault są przestarzałe i zastępowane zasadami [Preview]: Azure Key Vaults should use private link.
Dowiedz się więcej o integrowaniu Azure Key Vault za pomocą Azure Policy.
Styczeń 2023 r.
Aktualizacje w styczniu obejmują:
- Składnik programu Endpoint Protection (Ochrona punktu końcowego w usłudze Microsoft Defender) jest teraz dostępny na stronie Ustawienia i monitorowanie
- Nowa wersja zalecenia dotyczącego znajdowania brakujących aktualizacji systemowych (wersja zapoznawcza)
- Cleanup usuniętych maszyn Azure Arc na połączonych kontach platform AWS i GCP
- Zezwalaj na eksport ciągły do usługi Event Hubs za zaporą
- Nazwa kontroli wskaźnika bezpieczeństwa Ochrona aplikacji za pomocą zaawansowanych rozwiązań sieciowych Azure została zmieniona
- Ustawienia oceny luk w zabezpieczeniach zasad dla programu SQL Server powinny zawierać adres e-mail do odbierania raportów skanowania jest przestarzały
- Poleceń włączenie dzienników diagnostycznych dla Virtual Machine Scale Sets jest przestarzałe
Dostęp do składnika Endpoint Protection (Ochrona punktu końcowego w usłudze Microsoft Defender) jest teraz dostępny na stronie Ustawienia i monitorowanie
Aby uzyskać dostęp do programu Endpoint Protection, przejdź do Ustawienia środowiska>Defender plany>Ustawienia i monitorowanie. W tym miejscu możesz ustawić opcję Endpoint Protection na Wł. Można również wyświetlić inne zarządzane składniki.
Dowiedz się więcej o enabling Ochrona punktu końcowego w usłudze Microsoft Defender na serwerach przy użyciu Defender dla serwerów.
Nowa wersja zalecenia dotyczącego znajdowania brakujących aktualizacji systemowych (wersja zapoznawcza)
Nie potrzebujesz już agenta na maszynach wirtualnych Azure i maszynach Azure Arc, aby upewnić się, że maszyny mają wszystkie najnowsze aktualizacje systemu zabezpieczeń lub krytyczne.
Zalecenie dotyczące nowych aktualizacji systemu System updates should be installed on your machines (powered by Menedżer aktualizacji platformy Azure) w kontrolce Apply system updates jest oparte na Update Manager (wersja zapoznawcza). Zalecenie opiera się na natywnym agencie osadzonym na każdej maszynie wirtualnej Azure i Azure Arc maszynach zamiast zainstalowanego agenta. Szybka poprawka w nowej rekomendacji prowadzi do jednorazowej instalacji brakujących aktualizacji w portalu programu Update Manager.
Aby użyć nowego zalecenia, należy wykonać następujące działania:
- Łączenie maszyn innych niż Azure z usługą Arc
- Włącz właściwość oceny okresowej. Aby rozwiązać ten problem,
Machines should be configured to periodically check for missing system updatesmożesz użyć szybkiej poprawki w nowej rekomendacji.
Zalecenie "Aktualizacje systemu należy zainstalować na maszynach", które opiera się na agencie Log Analytics, jest nadal dostępne pod tą samą kontrolą.
Czyszczenie usuniętych maszyn Azure Arc na połączonych kontach platform AWS i GCP
Maszyna połączona z kontem platform AWS i GCP, które jest objęte Defender dla serwerów lub Defender dla usługi SQL na maszynach, jest reprezentowana w Defender dla Chmury jako maszyna Azure Arc. Do tej pory ta maszyna nie została usunięta ze spisu, gdy maszyna została usunięta z konta platformy AWS lub GCP. Co prowadzi do niepotrzebnych Azure Arc zasobów pozostawionych w Defender dla Chmury reprezentujących usunięte maszyny.
Defender dla Chmury teraz automatycznie usuwa Azure Arc maszyny, gdy te maszyny zostaną usunięte na połączonym koncie platformy AWS lub GCP.
Zezwalaj na eksport ciągły do usługi Event Hubs za zaporą
Teraz możesz włączyć ciągły eksport alertów i zaleceń jako zaufaną usługę do usługi Event Hubs, które są chronione przez zaporę Azure.
Eksport ciągły można włączyć w miarę generowania alertów lub zaleceń. Można również zdefiniować harmonogram wysyłania okresowych migawek wszystkich nowych danych.
Dowiedz się, jak włączyć kontynualne eksportowanie do usługi Event Hubs za zaporą Azure.
Nazwa kontrolki Wskaźnik bezpieczeństwa Chroń aplikacje przy użyciu zaawansowanych rozwiązań sieciowych Azure została zmieniona
Kontrolka wskaźnika bezpieczeństwa Protect your applications with Azure advanced networking solutions jest zmieniana na Protect applications against DDoS attacks.
Zaktualizowana nazwa jest odzwierciedlana w Azure Resource Graph (ARG), interfejsie API kontrolek wskaźnika bezpieczeństwa i interfejsie API Download CSV report.
Ustawienia oceny luk w zabezpieczeniach zasad dla programu SQL Server powinny zawierać adres e-mail do odbierania raportów skanowania jest przestarzały
Zasady Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports są przestarzałe.
Raport e-mail Defender oceny luk w zabezpieczeniach SQL jest nadal dostępny, a istniejące konfiguracje poczty e-mail nie uległy zmianie.
Zalecenie dotyczące włączania dzienników diagnostycznych dla Virtual Machine Scale Sets jest przestarzałe
Zalecenie Diagnostic logs in Virtual Machine Scale Sets should be enabled jest przestarzałe.
Powiązana definicja zasad została również wycofana ze wszystkich standardów wyświetlanych na pulpicie nawigacyjnym zgodności z przepisami.
| Recommendation | Description | Severity |
|---|---|---|
| Dzienniki diagnostyczne w Virtual Machine Scale Sets powinny być włączone | Włącz dzienniki i zachowaj je przez maksymalnie rok, umożliwiając ponowne tworzenie śladów aktywności na potrzeby badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. | Low |
Grudzień 2022
Aktualizacje w grudniu obejmują:
Ogłoszenie ekspresowej konfiguracji oceny luk w zabezpieczeniach w programie Defender dla bazy danych SQL
Konfiguracja ekspresowa do oceny luk w zabezpieczeniach w Microsoft Defender dla programu SQL zapewnia zespołom ds. zabezpieczeń usprawnione środowisko konfiguracji Azure SQL Database and Dedicated SQL Pools poza obszarami roboczymi usługi Synapse.
Dzięki funkcji ekspresowej konfiguracji do oceny luk w zabezpieczeniach zespoły ds. zabezpieczeń mogą wykonywać następujące czynności:
- Ukończ konfigurację oceny luk w zabezpieczeniach w konfiguracji zabezpieczeń zasobu SQL bez żadnych innych ustawień ani zależności na kontach magazynu zarządzanych przez klienta.
- Natychmiast dodaj wyniki skanowania do punktów odniesienia, aby stan znajdowania zmian ze złej kondycji do dobrej kondycji bez ponownego skanowania bazy danych.
- Dodaj wiele reguł do punktów odniesienia jednocześnie i użyj najnowszych wyników skanowania.
- Włącz ocenę luk w zabezpieczeniach dla wszystkich serwerów Azure SQL po włączeniu Microsoft Defender dla baz danych na poziomie subskrypcji.
Dowiedz się więcej o Defender oceny luk w zabezpieczeniach SQL.
Listopad 2022
Aktualizacje w listopadzie obejmują:
- Protect kontenerów w organizacji GCP za pomocą Defender for Containers
- Validate Defender for Containers protections with sample alerts
- Reguły ładu na dużą skalę (wersja zapoznawcza)
- Możliwość tworzenia niestandardowych ocen na platformach AWS i GCP (wersja zapoznawcza) jest przestarzała
- Zalecenie dotyczące konfigurowania kolejek utraconych komunikatów dla funkcji lambda jest przestarzałe
Ochrona kontenerów w organizacji GCP za pomocą Defender for Containers
Teraz możesz włączyć Defender dla kontenerów dla środowiska GCP w celu ochrony standardowych klastrów GKE w całej organizacji GCP. Wystarczy utworzyć nowy łącznik GCP z włączonym Defender dla kontenerów lub włączyć Defender dla kontenerów na istniejącym łączniku GCP na poziomie organizacji.
Dowiedz się więcej o łączenie projektów I organizacji GCP aby Defender dla Chmury.
Weryfikowanie Defender pod kątem ochrony kontenerów przy użyciu przykładowych alertów
Teraz możesz utworzyć przykładowe alerty dla planu Defender dla kontenerów. Nowe przykładowe alerty są prezentowane jako pochodzące z usług AKS, klastrów połączonych z usługą Arc, eks i zasobów GKE z różnymi ważnościami i taktyką MITRE. Przykładowe alerty umożliwiają weryfikowanie konfiguracji alertów zabezpieczeń, takich jak integracje rozwiązania SIEM, automatyzacja przepływu pracy i powiadomienia e-mail.
Dowiedz się więcej o walidacji alertów.
Reguły ładu na dużą skalę (wersja zapoznawcza)
Z przyjemnością ogłaszamy nową możliwość stosowania reguł ładu na dużą skalę (wersja zapoznawcza) w Defender dla Chmury.
Dzięki temu nowemu środowisku zespoły ds. zabezpieczeń mogą zbiorczo definiować reguły ładu dla różnych zakresów (subskrypcji i łączników). Zespoły ds. zabezpieczeń mogą wykonać to zadanie przy użyciu zakresów zarządzania, takich jak Azure grupy zarządzania, konta najwyższego poziomu platformy AWS lub organizacje GCP.
Ponadto strona Reguły ładu (wersja zapoznawcza) zawiera wszystkie dostępne reguły ładu, które są skuteczne w środowiskach organizacji.
Dowiedz się więcej o nowych regułach ładu na dużą skalę.
Note
Od 1 stycznia 2023 r., aby móc korzystać z możliwości oferowanych przez ład, musisz mieć plan CSPM w usłudze Defender włączony w ramach subskrypcji lub łącznika.
Możliwość tworzenia niestandardowych ocen na platformach AWS i GCP (wersja zapoznawcza) jest przestarzała
Możliwość tworzenia niestandardowych ocen dla kont platformy AWS i projektów GCP, która była funkcją w wersji zapoznawczej, jest przestarzała.
Zalecenie dotyczące konfigurowania kolejek utraconych komunikatów dla funkcji lambda jest przestarzałe
Zalecenie Lambda functions should have a dead-letter queue configured jest przestarzałe.
| Recommendation | Description | Severity |
|---|---|---|
| Funkcje lambda powinny mieć skonfigurowaną kolejkę utraconych komunikatów | Ta kontrolka sprawdza, czy funkcja lambda jest skonfigurowana z kolejką utraconych komunikatów. Kontrolka kończy się niepowodzeniem, jeśli funkcja Lambda nie jest skonfigurowana z kolejką utraconych komunikatów. Alternatywą dla miejsca docelowego awarii jest skonfigurowanie funkcji z kolejką utraconych komunikatów w celu zapisania odrzuconych zdarzeń w celu dalszego przetwarzania. Kolejka utraconych komunikatów działa tak samo jak miejsce docelowe awarii. Jest używany, gdy zdarzenie zakończy się niepowodzeniem, wszystkie próby przetwarzania lub wygaśnie bez przetwarzania. Kolejka utraconych komunikatów pozwala spojrzeć wstecz na błędy lub nieudane żądania do funkcji Lambda w celu debugowania lub identyfikowania nietypowego zachowania. Z punktu widzenia zabezpieczeń ważne jest, aby zrozumieć, dlaczego funkcja nie powiodła się, i upewnić się, że funkcja nie usuwa danych ani nie narusza zabezpieczeń danych w wyniku. Jeśli na przykład funkcja nie może komunikować się z bazowym zasobem, który może być objawem ataku typu "odmowa usługi" (DoS) w innym miejscu w sieci. | Medium |
Październik 2022
Aktualizacje w październiku obejmują:
- Announcing testu porównawczego zabezpieczeń Microsoft w chmurze
- Attack path analysis and contextual security capabilities in Defender dla Chmury (Preview)
- Agentless skanowanie maszyn Azure i AWS (wersja zapoznawcza)
- Defender dla DevOps (wersja zapoznawcza)
- Regulatory Compliance Dashboard obsługuje teraz ręczne zarządzanie kontrolą i szczegółowe informacje na temat stanu zgodności Microsoft
- Nazwa automatycznego aprowizacji została zmieniona na Ustawienia i monitorowanie i ma zaktualizowane środowisko
- Defender Zarządzanie stanem zabezpieczeń w chmurze (CSPM) (wersja zapoznawcza)
- Mapowanie struktury MITRE ATT&CK jest teraz dostępne również dla zaleceń dotyczących zabezpieczeń platform AWS i GCP
- Defender dla kontenerów obsługuje teraz ocenę luk w zabezpieczeniach dla usługi Elastic Container Registry (wersja zapoznawcza)
Ogłoszenie testu porównawczego zabezpieczeń chmury Microsoft
Test porównawczy zabezpieczeń chmury Microsoft (MCSB) to nowa struktura definiująca podstawowe zasady zabezpieczeń chmury oparte na wspólnych standardach branżowych i strukturach zgodności. Wraz ze szczegółowymi wskazówkami technicznymi dotyczącymi implementowania tych najlepszych rozwiązań na różnych platformach w chmurze. MCSB zastępuje test porównawczy zabezpieczeń Azure. McSB zawiera normatywne szczegóły dotyczące implementowania zaleceń dotyczących zabezpieczeń niezależnie od chmury na wielu platformach usług w chmurze, które początkowo obejmują Azure i AWS.
Teraz możesz monitorować stan zgodności z zabezpieczeniami chmury na chmurę w jednym zintegrowanym pulpicie nawigacyjnym. Podczas przechodzenia do pulpitu nawigacyjnego zgodności Defender dla Chmury pulpitu nawigacyjnego zgodności z przepisami można zobaczyć mcSB jako domyślny standard zgodności.
Microsoft test porównawczy zabezpieczeń w chmurze jest automatycznie przypisywany do subskrypcji Azure i kont platformy AWS podczas dołączania Defender dla Chmury.
Dowiedz się więcej na temat testu porównawczego zabezpieczeń w chmurze Microsoft.
Analiza ścieżki ataku i możliwości zabezpieczeń kontekstowych w Defender dla Chmury (wersja zapoznawcza)
Nowy wykres zabezpieczeń chmury, analiza ścieżki ataku i kontekstowe możliwości zabezpieczeń w chmurze są teraz dostępne w Defender dla Chmury w wersji zapoznawczej.
Jednym z największych wyzwań, przed którymi stoją obecnie zespoły ds. zabezpieczeń, jest liczba problemów z zabezpieczeniami, z którymi borykają się codziennie. Istnieje wiele problemów z zabezpieczeniami, które należy rozwiązać i nigdy nie są wystarczające zasoby, aby rozwiązać je wszystkie.
Defender dla Chmury nowego grafu zabezpieczeń chmury i możliwości analizy ścieżki ataku zapewniają zespołom ds. zabezpieczeń możliwość oceny ryzyka związanego z każdym problemem z zabezpieczeniami. Zespoły ds. zabezpieczeń mogą również zidentyfikować problemy o najwyższym ryzyku, które należy rozwiązać najszybciej. Defender dla Chmury współpracuje z zespołami ds. zabezpieczeń w celu zmniejszenia ryzyka naruszenia naruszenia zabezpieczeń w ich środowisku w najbardziej efektywny sposób.
Dowiedz się więcej o nowym grafie zabezpieczeń chmury, analizie ścieżki ataku i eksploratorze zabezpieczeń w chmurze.
Skanowanie bez agenta dla maszyn Azure i AWS (wersja zapoznawcza)
Do tej pory Defender dla Chmury na podstawie ocen stanu maszyn wirtualnych na rozwiązaniach opartych na agentach. Aby pomóc klientom zmaksymalizować pokrycie i zmniejszyć problemy z dołączaniem i zarządzaniem, udostępniamy skanowanie bez agenta dla maszyn wirtualnych w wersji zapoznawczej.
Dzięki skanowaniu bez agenta dla maszyn wirtualnych można uzyskać szeroki wgląd w zainstalowane oprogramowanie i oprogramowanie CVEs. Widoczność można uzyskać bez wyzwań związanych z instalacją i konserwacją agenta, wymaganiami dotyczącymi łączności sieciowej i wydajnością obciążeń. Analiza jest obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Skanowanie luk w zabezpieczeniach bez agentów jest dostępne zarówno w programie Defender Cloud Security Posture Management (CSPM), jak i w Defender dla serwerów P2 z natywną obsługą platform AWS i maszyn wirtualnych Azure.
- Dowiedz się więcej o skanowaniu bez agenta.
- Dowiedz się, jak włączyć ocenę luk w zabezpieczeniach bez agentów.
Defender dla DevOps (wersja zapoznawcza)
Microsoft Defender dla Chmury umożliwia kompleksową widoczność, zarządzanie stanem i ochronę przed zagrożeniami w środowiskach hybrydowych i wielochmurowych, w tym Azure, AWS, Google i zasobów lokalnych.
Teraz nowy plan Defender dla DevOps integruje systemy zarządzania kodem źródłowym, takie jak GitHub i Azure DevOps, w Defender dla Chmury. Dzięki tej nowej integracji umożliwiamy zespołom ds. zabezpieczeń ochronę zasobów przed kodem do chmury.
Defender dla DevOps umożliwia uzyskanie wglądu w połączone środowiska deweloperskie i zasoby kodu oraz zarządzanie nimi. Obecnie można połączyć Azure DevOps i GitHub systemy, aby Defender dla Chmury i dołączyć repozytoria DevOps do spisu i nową stronę usługi DevOps Security. Zapewnia zespołom ds. zabezpieczeń ogólne omówienie odnalezionych problemów z zabezpieczeniami, które istnieją w nich na ujednoliconej stronie zabezpieczeń metodyki DevOps.
Możesz skonfigurować adnotacje dotyczące żądań ściągnięcia, aby ułatwić deweloperom rozwiązywanie problemów ze skanowaniem wpisów tajnych w Azure DevOps bezpośrednio na żądaniach ściągnięcia.
Narzędzia rozwiązania zabezpieczające firmy Microsoft DevOps można skonfigurować w przepływach pracy Azure Pipelines i GitHub, aby umożliwić następujące skanowania zabezpieczeń:
| Name | Język | License |
|---|---|---|
| Bandit | Python | Licencja apache 2.0 |
| BinSkim | Binary — Windows, ELF | Licencja X11 |
| ESlint | JavaScript | Licencja X11 |
| CredScan (tylko Azure DevOps) | Skaner poświadczeń (znany również jako CredScan) to narzędzie opracowane i obsługiwane przez Microsoft w celu zidentyfikowania przecieków poświadczeń, takich jak te w kodzie źródłowym i plikach konfiguracji typowych typów: hasła domyślne, parametry połączenia SQL, certyfikaty z kluczami prywatnymi | Nie open source |
| Template Analyze | Szablon usługi ARM, plik Bicep | Licencja X11 |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Tworzenie chmury | Licencja apache 2.0 |
| Trivy | Obrazy kontenerów, systemy plików, repozytoria git | Licencja apache 2.0 |
Następujące nowe zalecenia są teraz dostępne dla metodyki DevOps:
| Recommendation | Description | Severity |
|---|---|---|
| (Wersja zapoznawcza) Repozytoria kodu powinny mieć rozpoznane wyniki skanowania kodu | Defender dla DevOps wykryła luki w zabezpieczeniach w repozytoriach kodu. Aby poprawić stan zabezpieczeń repozytoriów, zdecydowanie zaleca się skorygowanie tych luk w zabezpieczeniach. (Brak powiązanych zasad) | Medium |
| (Wersja zapoznawcza) Repozytoria kodu powinny mieć rozpoznane wyniki skanowania wpisów tajnych | Defender dla DevOps znalazł wpis tajny w repozytoriach kodu. Powinno to zostać natychmiast skorygowane, aby zapobiec naruszeniu zabezpieczeń. Wpisy tajne znalezione w repozytoriach mogą być ujawnione lub wykryte przez przeciwników, co prowadzi do naruszenia zabezpieczeń aplikacji lub usługi. W przypadku Azure DevOps narzędzie rozwiązania zabezpieczające firmy Microsoft DevOps CredScan skanuje tylko kompilacje, na których jest skonfigurowany do uruchomienia. W związku z tym wyniki mogą nie odzwierciedlać pełnego stanu wpisów tajnych w repozytoriach. (Brak powiązanych zasad) | High |
| (Wersja zapoznawcza) Repozytoria kodu powinny mieć rozpoznane wyniki skanowania dependabot | Defender dla DevOps wykryła luki w zabezpieczeniach w repozytoriach kodu. Aby poprawić stan zabezpieczeń repozytoriów, zdecydowanie zaleca się skorygowanie tych luk w zabezpieczeniach. (Brak powiązanych zasad) | Medium |
| (Wersja zapoznawcza) Repozytoria kodu powinny mieć infrastrukturę w miarę rozwiązywania ustaleń skanowania kodu | (Wersja zapoznawcza) Repozytoria kodu powinny mieć infrastrukturę w miarę rozwiązywania ustaleń skanowania kodu | Medium |
| (Wersja zapoznawcza) repozytoria GitHub powinny mieć włączone skanowanie kodu | GitHub używa skanowania kodu do analizowania kodu w celu znalezienia luk w zabezpieczeniach i błędów w kodzie. Skanowanie kodu może służyć do znajdowania, klasyfikowania i określania priorytetów poprawek istniejących problemów w kodzie. Skanowanie kodu może również uniemożliwić deweloperom wprowadzanie nowych problemów. Skanowania mogą być zaplanowane przez określone dni i godziny lub skanowania mogą być wyzwalane, gdy w repozytorium wystąpi określone zdarzenie, takie jak wypychanie. Jeśli skanowanie kodu wykryje potencjalną lukę w zabezpieczeniach lub błąd w kodzie, GitHub wyświetli alert w repozytorium. Luka w zabezpieczeniach jest problemem w kodzie projektu, który może zostać wykorzystany w celu uszkodzenia poufności, integralności lub dostępności projektu. (Brak powiązanych zasad) | Medium |
| (Wersja zapoznawcza) GitHub repozytoria powinny mieć włączone skanowanie wpisów tajnych | GitHub skanuje repozytoria pod kątem znanych typów wpisów tajnych, aby zapobiec fałszywemu użyciu wpisów tajnych, które zostały przypadkowo zatwierdzone w repozytoriach. Skanowanie wpisów tajnych spowoduje skanowanie całej historii usługi Git we wszystkich gałęziach znajdujących się w repozytorium GitHub pod kątem wszystkich wpisów tajnych. Przykłady wpisów tajnych to tokeny i klucze prywatne, które dostawca usług może wystawiać na potrzeby uwierzytelniania. Jeśli wpis tajny zostanie zaewidencjonowany w repozytorium, każdy, kto ma dostęp do odczytu do repozytorium, może użyć wpisu tajnego, aby uzyskać dostęp do usługi zewnętrznej z tymi uprawnieniami. Wpisy tajne powinny być przechowywane w dedykowanej, bezpiecznej lokalizacji poza repozytorium projektu. (Brak powiązanych zasad) | High |
| (Wersja zapoznawcza) GitHub repozytoria powinny mieć włączone skanowanie dependabot | GitHub wysyła alerty Dependabot, gdy wykrywa luki w zabezpieczeniach zależności kodu, które mają wpływ na repozytoria. Luka w zabezpieczeniach jest problemem w kodzie projektu, który może zostać wykorzystany w celu uszkodzenia poufności, integralności lub dostępności projektu lub innych projektów korzystających z jego kodu. Luki w zabezpieczeniach różnią się w zależności od typu, ważności i metody ataku. Gdy kod zależy od pakietu, który ma lukę w zabezpieczeniach, ta zależność podatna na zagrożenia może spowodować szereg problemów. (Brak powiązanych zasad) | Medium |
Zalecenia Defender dla DevOps zastąpiły przestarzały skaner luk w zabezpieczeniach dla przepływów pracy ciągłej integracji/ciągłego wdrażania, które zostały uwzględnione w Defender dla kontenerów.
Dowiedz się więcej o Defender dla DevOps
Pulpit nawigacyjny zgodności z przepisami obsługuje teraz ręczne zarządzanie kontrolą i szczegółowe informacje na temat stanu zgodności Microsoft
Pulpit nawigacyjny zgodności w Defender dla Chmury to kluczowe narzędzie dla klientów, które ułatwia im zrozumienie i śledzenie stanu zgodności. Klienci mogą stale monitorować środowiska zgodnie z wymaganiami z wielu różnych standardów i przepisów.
Teraz możesz w pełni zarządzać stanem zgodności, ręcznie zaświadczając o działaniach i innych mechanizmach kontroli. Teraz możesz podać dowody zgodności dla mechanizmów kontroli, które nie są zautomatyzowane. Wraz ze zautomatyzowanymi ocenami można teraz wygenerować pełny raport zgodności w wybranym zakresie, odnosząc się do całego zestawu mechanizmów kontroli dla danego standardu.
Ponadto dzięki bogatszym informacjom o kontroli oraz szczegółowym szczegółom i dowodom stanu zgodności Microsoft masz teraz wszystkie informacje wymagane do przeprowadzania inspekcji na wyciągnięcie ręki.
Niektóre z nowych korzyści:
Ręczne akcje klienta zapewniają mechanizm ręcznego zaświadczania zgodności z mechanizmami kontroli nieautomazowanych. W tym możliwość łączenia dowodów, ustaw datę zgodności i datę wygaśnięcia.
Bogatsze szczegóły kontroli dotyczące obsługiwanych standardów, które przedstawiają akcje Microsoft i manualne akcje klienta oprócz już istniejących zautomatyzowanych akcji klienta.
Microsoft akcje zapewniają przejrzystość stanu zgodności Microsoft, który obejmuje procedury oceny inspekcji, wyniki testów i Microsoft odpowiedzi na odchylenia.
Oferty zgodności zapewniają centralną lokalizację do sprawdzania Azure, Dynamics 365 i produktów platformy Power Platform oraz odpowiednich certyfikatów zgodności z przepisami.
Dowiedz się więcej na temat
Nazwa automatycznego aprowizacji została zmieniona na Ustawienia i monitorowanie i ma zaktualizowane środowisko
Zmieniliśmy nazwę strony Automatyczne aprowizowanie na Ustawienia i monitorowanie.
Automatyczne aprowizowanie miało na celu umożliwienie włączania na dużą skalę wymagań wstępnych, które są wymagane przez zaawansowane funkcje i możliwości Defender dla Chmury. Aby lepiej obsługiwać nasze rozszerzone możliwości, uruchamiamy nowe środowisko z następującymi zmianami:
Strona planów Defender dla Chmury zawiera teraz:
- Po włączeniu planu Defender, który wymaga składników monitorowania, te składniki są włączone do automatycznej aprowizacji z ustawieniami domyślnymi. Te ustawienia można opcjonalnie edytować w dowolnym momencie.
- Dostęp do ustawień składnika monitorowania dla każdego planu Defender można uzyskać na stronie planu Defender.
- Strona planów Defender wyraźnie wskazuje, czy wszystkie składniki monitorowania są dostępne dla każdego planu Defender, czy pokrycie monitorowania jest niekompletne.
Strona Ustawienia i monitorowanie:
- Każdy składnik monitorowania wskazuje Defender plany, z którymi jest powiązany.
Dowiedz się więcej o zarządzaniu ustawieniami monitorowania.
Defender zarządzanie stanem zabezpieczeń w chmurze (CSPM)
Jednym z głównych filarów Microsoft Defender dla Chmury w zakresie zabezpieczeń w chmurze jest zarządzanie stanem zabezpieczeń w chmurze (CSPM). CSPM zapewnia wskazówki dotyczące wzmacniania zabezpieczeń, które pomagają efektywnie i skutecznie poprawić bezpieczeństwo. CSPM zapewnia również wgląd w bieżącą sytuację zabezpieczeń.
Ogłaszamy nowy plan Defender: CSPM w usłudze Defender. Ten plan zwiększa możliwości zabezpieczeń Defender dla Chmury i obejmuje następujące nowe i rozszerzone funkcje:
- Ciągła ocena konfiguracji zabezpieczeń zasobów w chmurze
- Zalecenia dotyczące zabezpieczeń w celu naprawienia błędów konfiguracji i słabych stron
- Wskaźnik bezpieczeństwa
- Governance
- Zgodność z przepisami
- Wykres zabezpieczeń chmury
- Analiza ścieżki ataku
- Skanowanie bez agenta dla maszyn
Dowiedz się więcej o planie CSPM w usłudze Defender.
Mapowanie struktury MITRE ATT&CK jest teraz dostępne również dla zaleceń dotyczących zabezpieczeń platform AWS i GCP
W przypadku analityków zabezpieczeń niezbędne jest zidentyfikowanie potencjalnych zagrożeń związanych z zaleceniami dotyczącymi zabezpieczeń i zrozumienie wektorów ataków, dzięki czemu mogą efektywnie określać priorytety swoich zadań.
Defender dla Chmury ułatwia ustalanie priorytetów dzięki mapowaniu Azure, rekomendacji dotyczących zabezpieczeń platform AWS i GCP przed mitRE ATT& Struktura CK. Struktura MITRE ATT&CK to globalnie dostępna baza wiedzy taktyki i technik przeciwników opartych na rzeczywistych obserwacjach, umożliwiając klientom wzmocnienie bezpiecznej konfiguracji swoich środowisk.
Struktura MITRE ATT&CK jest zintegrowana na trzy sposoby:
- Zalecenia są mapowe na taktykę i techniki MITRE ATT&CK.
- Kwerenda MITRE ATT & Taktyka i techniki CK dotyczące zaleceń przy użyciu Azure Resource Graph.
Defender dla kontenerów obsługuje teraz ocenę luk w zabezpieczeniach dla usługi Elastic Container Registry (wersja zapoznawcza)
Microsoft Defender dla kontenerów udostępnia teraz skanowanie oceny luk w zabezpieczeniach bez agenta dla usługi Elastic Container Registry (ECR) w usłudze Amazon AWS. Rozszerzenie zasięgu dla środowisk wielochmurowych, opierając się na wydaniu na początku tego roku zaawansowanej ochrony przed zagrożeniami i wzmacniania zabezpieczeń środowiska Kubernetes dla platform AWS i Google GCP. Model bez agenta tworzy zasoby platformy AWS na kontach w celu skanowania obrazów bez wyodrębniania obrazów z kont platformy AWS i bez śladu w obciążeniu.
Skanowanie oceny luk w zabezpieczeniach bez agentów pod kątem obrazów w repozytoriach ECR pomaga zmniejszyć obszar ataków konteneryzowanego majątku przez ciągłe skanowanie obrazów w celu identyfikowania luk w zabezpieczeniach kontenerów i zarządzania nimi. W tej nowej wersji Defender dla Chmury skanuje obrazy kontenerów po wypchnięciu do repozytorium i stale ponownie zapisuje obrazy kontenerów ECR w rejestrze. Wyniki są dostępne w Microsoft Defender dla Chmury jako zalecenia i można użyć wbudowanych zautomatyzowanych przepływów pracy Defender dla Chmury do podjęcia działań na temat wyników, takich jak otwarcie biletu w celu naprawienia luki w zabezpieczeniach o wysokiej ważności na obrazie.
Dowiedz się więcej o ocenie luk w zabezpieczeniach dla obrazów usługi Amazon ECR.
Wrzesień 2022 r.
Aktualizacje we wrześniu obejmują:
- Pomijanie alertów na podstawie jednostek Container i Kubernetes
- Defender dla serwerów obsługuje monitorowanie integralności plików za pomocą agenta Azure Monitor
- Wycofanie starszych interfejsów API ocen
- Dodatkowe zalecenia dodane do tożsamości
- Usuń alerty zabezpieczeń dotyczące maszyn raportujących do obszarów roboczych Log Analytics między dzierżawami
Pomijanie alertów na podstawie jednostek Container i Kubernetes
- Przestrzeń nazw kubernetes
- Zasobnik Kubernetes
- Wpis tajny platformy Kubernetes
- Kubernetes ServiceAccount
- Zestaw replik Platformy Kubernetes
- Kubernetes StatefulSet
- Zestaw daemon Platformy Kubernetes
- Zadanie platformy Kubernetes
- Kubernetes CronJob
Dowiedz się więcej o regułach pomijania alertów.
Defender dla serwerów obsługuje monitorowanie integralności plików za pomocą agenta Azure Monitor
Monitorowanie integralności plików (FIM) sprawdza pliki systemu operacyjnego i rejestry pod kątem zmian, które mogą wskazywać na atak.
Program FIM jest teraz dostępny w nowej wersji opartej na Azure Monitor Agent (AMA), który można deploy za pośrednictwem Defender dla Chmury.
Wycofanie starszych interfejsów API ocen
Następujące interfejsy API są przestarzałe:
- Zadania zabezpieczeń
- Stany zabezpieczeń
- Podsumowania zabezpieczeń
Te trzy interfejsy API uwidoczniły stare formaty ocen i zostały zastąpione przez interfejsy API ocen i interfejsy API podsieci. Wszystkie dane udostępniane przez te starsze interfejsy API są również dostępne w nowych interfejsach API.
Dodatkowe zalecenia dodane do tożsamości
Defender dla Chmury zalecenia dotyczące poprawy zarządzania użytkownikami i kontami.
Nowe zalecenia
Nowa wersja zawiera następujące możliwości:
Zakres oceny — pokrycie jest ulepszone dla kont tożsamości bez uwierzytelniania wieloskładnikowego i kont zewnętrznych na Azure zasobów (zamiast tylko subskrypcji), co umożliwia administratorom zabezpieczeń wyświetlanie przypisań ról na konto.
Ulepszony interwał aktualności — rekomendacje dotyczące tożsamości mają teraz interwał świeżości wynoszący 12 godzin.
Możliwości wykluczania konta — Defender dla Chmury ma wiele funkcji, których można użyć do dostosowania środowiska i zapewnienia, że wskaźnik bezpieczeństwa odzwierciedla priorytety zabezpieczeń organizacji. Możesz na przykład wykluczyć zasoby i zalecenia z wskaźnika bezpieczeństwa.
Ta aktualizacja umożliwia wykluczenie określonych kont z oceny z sześciu zaleceń wymienionych w poniższej tabeli.
Zazwyczaj konta awaryjne "break glass" są zwalniane z zaleceń uwierzytelniania wieloskładnikowego, ponieważ takie konta są często celowo wykluczane z wymagań uwierzytelniania wieloskładnikowego organizacji. Alternatywnie możesz mieć konta zewnętrzne, do których chcesz zezwolić na dostęp, do których nie włączono uwierzytelniania wieloskładnikowego.
Tip
Jeśli wykluczysz konto, nie będzie ono wyświetlane jako w złej kondycji, a także nie spowoduje, że subskrypcja będzie wyglądać w złej kondycji.
Recommendation Klucz oceny Konta z uprawnieniami właściciela do zasobów Azure powinny być włączone uwierzytelnianie wieloskładnikowe 6240402e-f77c-46fa-9060-a7ce53997754 Konta z uprawnieniami do zapisu w zasobach Azure powinny być włączone uwierzytelnianie wieloskładnikowe c0cb17b2-0607-48a7-b0e0-903ed22de39b Konta z uprawnieniami do odczytu dla zasobów Azure powinny być włączone uwierzytelnianie wieloskładnikowe dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Konta gości z uprawnieniami właściciela do zasobów Azure powinny zostać usunięte 20606e75-05c4-48c0-9d97-add6daa2109a Konta gości z uprawnieniami do zapisu w zasobach Azure powinny zostać usunięte 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Konta gości z uprawnieniami do odczytu Azure zasobów powinny zostać usunięte fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Zablokowane konta z uprawnieniami właściciela do zasobów Azure powinny zostać usunięte 050ac097-3dda-4d24-ab6d-82568e7a50cf Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach Azure powinny zostać usunięte 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Zalecenia są wyświetlane w wersji zapoznawczej obok zaleceń, które są obecnie dostępne.
Usunięto alerty zabezpieczeń dla maszyn raportujących między dzierżawami Log Analytics obszarów roboczych
W przeszłości Defender dla Chmury umożliwić wybranie obszaru roboczego, do którego będą raportować agenci Log Analytics. Gdy maszyna należała do jednej dzierżawy (Dzierżawa A), ale jej agent Log Analytics zgłosił się do obszaru roboczego w innej dzierżawie ("Dzierżawa B"), alerty zabezpieczeń dotyczące maszyny zostały zgłoszone do pierwszej dzierżawy (dzierżawy A).
Dzięki tej zmianie alerty dotyczące maszyn połączonych z obszarem roboczym Log Analytics w innej dzierżawie nie są już wyświetlane w Defender dla Chmury.
Jeśli chcesz nadal otrzymywać alerty w Defender dla Chmury, połącz agenta Log Analytics odpowiednich maszyn z obszarem roboczym w tej samej dzierżawie co maszyna.
Dowiedz się więcej o alertach zabezpieczeń.
Sierpień 2022
Aktualizacje w sierpniu obejmują:
- Vulnerabilities do uruchamiania obrazów są teraz widoczne z Defender for Containers w kontenerach Windows
- integracja agenta Azure Monitor jest teraz dostępna w wersji zapoznawczej
- Przestarzałe alerty maszyny wirtualnej dotyczące podejrzanych działań związanych z klastrem Kubernetes
Luki w zabezpieczeniach dotyczące uruchamiania obrazów są teraz widoczne dla kontenerów Defender for Containers w kontenerach Windows
Defender dla kontenerów pokazuje teraz luki w zabezpieczeniach dotyczące uruchamiania kontenerów Windows.
Po wykryciu luk w zabezpieczeniach Defender dla Chmury generuje następujące zalecenie dotyczące zabezpieczeń zawierające listę wykrytych problemów: Running obrazy kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach.
Dowiedz się więcej o wyświetlaniu luk w zabezpieczeniach dla uruchomionych obrazów.
integracja agenta Azure Monitor teraz w wersji zapoznawczej
Defender dla Chmury teraz obejmuje obsługę wersji zapoznawczej Azure Monitor Agent (AMA). Usługa AMA ma zastąpić starszego agenta Log Analytics (nazywanego również agentem monitorowania Microsoft (MMA), który znajduje się na ścieżce do wycofania. Usługa AMA zapewnia wiele korzyści w przypadku starszych agentów.
W Defender dla Chmury, gdy włączone automatyczne aprowizowanie dla usługi AMA agent jest wdrażany na współistniejących i nowych maszynach wirtualnych i maszynach z obsługą Azure Arc wykrytych w subskrypcjach. Jeśli plany usługi Defenders for Cloud są włączone, usługa AMA zbiera informacje o konfiguracji i dzienniki zdarzeń z maszyn wirtualnych Azure i maszyn Azure Arc. Integracja usługi AMA jest dostępna w wersji zapoznawczej, dlatego zalecamy używanie jej w środowiskach testowych, a nie w środowiskach produkcyjnych.
Przestarzałe alerty maszyny wirtualnej dotyczące podejrzanych działań związanych z klastrem Kubernetes
W poniższej tabeli wymieniono alerty, które zostały przestarzałe:
| Nazwa alertu | Description | Tactics | Severity |
|---|---|---|---|
|
Wykryto operację kompilacji platformy Docker w węźle Kubernetes (VM_ImageBuildOnNode) |
Dzienniki maszyn wskazują operację kompilacji obrazu kontenera w węźle Kubernetes. Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą lokalnie tworzyć złośliwe obrazy, aby uniknąć wykrywania. | Uchylanie się od obrony | Low |
|
Podejrzane żądanie do interfejsu API platformy Kubernetes (VM_KubernetesAPI) |
Dzienniki maszyn wskazują, że do interfejsu API kubernetes zostało wykonane podejrzane żądanie. Żądanie zostało wysłane z węzła Kubernetes, prawdopodobnie z jednego z kontenerów uruchomionych w węźle. Mimo że takie zachowanie może być zamierzone, może to oznaczać, że węzeł uruchamia kontener, którego bezpieczeństwo zostało naruszone. | LateralMovement | Medium |
|
Serwer SSH działa wewnątrz kontenera (VM_ContainerSSH) |
Dzienniki maszyn wskazują, że serwer SSH działa wewnątrz kontenera platformy Docker. Chociaż to zachowanie może być zamierzone, często wskazuje, że kontener jest nieprawidłowo skonfigurowany lub naruszony. | Execution | Medium |
Te alerty służą do powiadamiania użytkownika o podejrzanych działaniach połączonych z klastrem Kubernetes. Alerty zostaną zastąpione zgodnymi alertami, które są częścią alertów kontenera Microsoft Defender dla Chmury (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI i K8S.NODE_ ContainerSSH), co zapewni lepszą wierność i kompleksowy kontekst do zbadania i działania na alerty. Dowiedz się więcej o alertach dotyczących klastrów Kubernetes.
Luki w zabezpieczeniach kontenera zawierają teraz szczegółowe informacje o pakiecie
Defender oceny luk w zabezpieczeniach kontenera (VA) zawiera teraz szczegółowe informacje o pakiecie dla każdego znajdowania, w tym: nazwę pakietu, typ pakietu, ścieżkę, zainstalowaną wersję i stałą wersję. Informacje o pakiecie umożliwiają znalezienie pakietów podatnych na zagrożenia, dzięki czemu można skorygować lukę w zabezpieczeniach lub usunąć pakiet.
Te szczegółowe informacje o pakiecie są dostępne dla nowych skanów obrazów.
Lipiec 2022
Aktualizacje w lipcu obejmują:
- Ogólna dostępność agenta zabezpieczeń natywnego dla chmury na potrzeby ochrony środowiska uruchomieniowego platformy Kubernetes
- Defender dla oceny luk w zabezpieczeniach kontenera dodaje obsługę wykrywania pakietów specyficznych dla języka (wersja zapoznawcza)
- Ochrona przed luką w zabezpieczeniach infrastruktury zarządzania operacjami CVE-2022-29149
- Integracja z zarządzaniem uprawnieniami entra
- Key Vault zalecenia zmieniły się na "audit"
- Oznaczanie przestarzałych zasad aplikacji interfejsu API dla usługi App Service
Ogólna dostępność agenta zabezpieczeń natywnego dla chmury na potrzeby ochrony środowiska uruchomieniowego kubernetes
Cieszymy się, że agent zabezpieczeń natywny dla chmury na potrzeby ochrony środowiska uruchomieniowego platformy Kubernetes jest teraz ogólnie dostępny (GA)!
Wdrożenia produkcyjne klastrów Kubernetes nadal rosną, ponieważ klienci nadal konteneryzują swoje aplikacje. Aby pomóc w tym rozwoju, zespół Defender for Containers opracował natywny dla chmury agent zabezpieczeń zorientowany na platformę Kubernetes.
Nowy agent zabezpieczeń to platforma Kubernetes DaemonSet oparta na technologii eBPF i jest w pełni zintegrowana z klastrami AKS w ramach profilu zabezpieczeń usługi AKS.
Włączenie agenta zabezpieczeń jest dostępne za pośrednictwem automatycznego aprowizowania, przepływu zaleceń, usługi AKS RP lub na dużą skalę przy użyciu Azure Policy.
Obecnie możesz wdróż agenta Defender w klastrach usługi AKS.
Dzięki temu ogłoszeniu ochrona środowiska uruchomieniowego — wykrywanie zagrożeń (obciążenie) jest teraz również ogólnie dostępne.
Dowiedz się więcej na temat Defender dostępności feature.
Możesz również przejrzeć wszystkie dostępne alerty.
Uwaga: jeśli używasz wersji zapoznawczej, flaga AKS-AzureDefender funkcji nie jest już wymagana.
Defender dla oceny luk w zabezpieczeniach kontenera dodaje obsługę wykrywania pakietów specyficznych dla języka (wersja zapoznawcza)
Defender oceny luk w zabezpieczeniach kontenera (VA) umożliwia wykrywanie luk w zabezpieczeniach pakietów systemu operacyjnego wdrożonych za pośrednictwem menedżera pakietów systemu operacyjnego. Teraz rozszerzyliśmy możliwości oceny luk w zabezpieczeniach w celu wykrywania luk w zabezpieczeniach zawartych w pakietach specyficznych dla języka.
Ta funkcja jest dostępna w wersji zapoznawczej i jest dostępna tylko dla obrazów systemu Linux.
Aby wyświetlić wszystkie dołączone pakiety specyficzne dla języka, zapoznaj się z Defender, aby zapoznać się z pełną listą features i ich dostępności.
Ochrona przed luką w zabezpieczeniach infrastruktury zarządzania operacjami CVE-2022-29149
Infrastruktura OMI (Operations Management Infrastructure) to zbiór usług opartych na chmurze do zarządzania środowiskami lokalnymi i chmurowymi z jednego miejsca. Zamiast wdrażać zasoby lokalne i zarządzać nimi, składniki OMI są całkowicie hostowane w Azure.
Log Analytics zintegrowana z Azure HDInsight z systemem OMI w wersji 13 wymaga poprawki w celu skorygowania CVE-2022-29149. Przejrzyj raport dotyczący tej luki w zabezpieczeniach w przewodniku po aktualizacji rozwiązania zabezpieczające firmy Microsoft aby uzyskać informacje na temat identyfikowania zasobów, których dotyczy ta luka w zabezpieczeniach i kroki korygowania.
Jeśli masz Defender dla serwerów z włączoną oceną luk w zabezpieczeniach, możesz użyć this skoroszytu w celu zidentyfikowania dotkniętych zasobów.
Integracja z zarządzaniem uprawnieniami entra
Defender dla Chmury została zintegrowana z rozwiązaniem Zarządzanie uprawnieniami Microsoft Entra, rozwiązaniem do zarządzania upoważnieniami infrastruktury w chmurze (CIEM), które zapewnia kompleksową widoczność i kontrolę nad uprawnieniami dla dowolnej tożsamości i dowolnego zasobu w Azure, AWS i GCP.
Każda subskrypcja Azure, konto platformy AWS i dołączony projekt GCP będą teraz wyświetlać widok Permission Creep Index (PCI).
Dowiedz się więcej o usłudze Entra Permission Management (dawniej Cloudknox)
Key Vault rekomendacje zmienione na "inspekcja"
Efekt zaleceń Key Vault wymienionych tutaj został zmieniony na "inspekcję":
| Nazwa zalecenia | Identyfikator rekomendacji |
|---|---|
| Okres ważności certyfikatów przechowywanych w Azure Key Vault nie powinien przekraczać 12 miesięcy | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Key Vault wpisy tajne powinny mieć datę wygaśnięcia | 14257785-9437-97fa-11ae-898cfb24302b |
| Key Vault klucze powinny mieć datę wygaśnięcia | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Oznaczanie przestarzałych zasad aplikacji interfejsu API dla usługi App Service
Wycofaliśmy następujące zasady z odpowiednimi zasadami, które już istnieją w celu uwzględnienia aplikacji interfejsu API:
| Aby być przestarzałym | Zmiana na |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Czerwiec 2022
Aktualizacje w czerwcu obejmują:
- Ogólne dostępność dla Microsoft Defender dla Azure Cosmos DB
- Ogólne dostępność Defender dla usługi SQL na maszynach dla środowisk AWS i GCP
- Wspieranie implementacji zaleceń dotyczących zabezpieczeń w celu zwiększenia poziomu zabezpieczeń
- Filtrowanie alertów zabezpieczeń według adresu IP
- Alerty według grupy zasobów
- Autoprovisioning rozwiązania ujednoliconego Ochrona punktu końcowego w usłudze Microsoft Defender
- Oznaczanie zasad "Aplikacja interfejsu API powinna być dostępna tylko za pośrednictwem protokołu HTTPS"
- Nowe alerty Key Vault
Ogólna dostępność dla Microsoft Defender dla Azure Cosmos DB
Microsoft Defender dla Azure Cosmos DB jest teraz ogólnie dostępna i obsługuje typy kont interfejsu API SQL (core).
Ta nowa wersja ogólnie dostępna jest częścią pakietu ochrony bazy danych Microsoft Defender dla Chmury, który obejmuje różne typy baz danych SQL i MariaDB. Microsoft Defender dla Azure Cosmos DB to natywna warstwa zabezpieczeń Azure, która wykrywa próby wykorzystania baz danych na kontach Azure Cosmos DB.
Po włączeniu tego planu otrzymasz alert o potencjalnych wstrzyknięciach kodu SQL, znanych złych podmiotach, podejrzanych wzorcach dostępu i potencjalnych eksploracjach bazy danych za pośrednictwem tożsamości z naruszonymi naruszeniami lub złośliwych testerów.
Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty zawierają szczegółowe informacje o podejrzanych działaniach wraz z odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń.
Microsoft Defender dla Azure Cosmos DB stale analizuje strumień telemetrii generowany przez usługi Azure Cosmos DB i przecina je za pomocą Microsoft analizy zagrożeń i modeli behawioralnych w celu wykrycia wszelkich podejrzanych działań. Defender dla Azure Cosmos DB nie uzyskuje dostępu do danych konta Azure Cosmos DB i nie ma żadnego wpływu na wydajność bazy danych.
Dowiedz się więcej o Microsoft Defender dla Azure Cosmos DB.
Dzięki dodaniu obsługi Azure Cosmos DB Defender dla Chmury zapewnia teraz jedną z najbardziej kompleksowych ofert ochrony obciążeń dla baz danych opartych na chmurze. Zespoły ds. zabezpieczeń i właściciele baz danych mogą teraz mieć scentralizowane środowisko do zarządzania zabezpieczeniami bazy danych w swoich środowiskach.
Dowiedz się, jak włączyć ochronę baz danych.
Ogólna dostępność Defender dla usługi SQL na maszynach dla środowisk AWS i GCP
Funkcje ochrony bazy danych udostępniane przez Microsoft Defender dla Chmury dodano obsługę serwerów SQL hostowanych w środowiskach AWS lub GCP.
Defender dla języka SQL przedsiębiorstwa mogą teraz chronić całą swoją infrastruktury bazy danych hostowane na maszynach Azure, AWS, GCP i lokalnych.
Microsoft Defender dla programu SQL zapewnia ujednolicone środowisko wielochmurowe umożliwiające wyświetlanie zaleceń dotyczących zabezpieczeń, alertów zabezpieczeń i wyników oceny luk w zabezpieczeniach zarówno dla serwera SQL, jak i podkreślenia systemu operacyjnego Windows.
Korzystając ze środowiska dołączania wielochmurowego, można włączyć i wymusić ochronę baz danych dla serwerów SQL działających na platformie AWS EC2, niestandardowych usług pulpitu zdalnego dla SQL Server i aparatu obliczeniowego GCP. Po włączeniu jednego z tych planów wszystkie obsługiwane zasoby, które istnieją w ramach subskrypcji, są chronione. Przyszłe zasoby utworzone w ramach tej samej subskrypcji również będą chronione.
Dowiedz się, jak chronić i łączyć środowisko AWS oraz organizację GCP za pomocą Microsoft Defender dla Chmury.
Wspieranie implementacji zaleceń dotyczących zabezpieczeń w celu zwiększenia poziomu zabezpieczeń
Dzisiejsze rosnące zagrożenia dla organizacji rozciągają limity pracowników ds. zabezpieczeń, aby chronić swoje rosnące obciążenia. Zespoły ds. zabezpieczeń są kwestionowane w celu zaimplementowania ochrony zdefiniowanych w zasadach zabezpieczeń.
Teraz dzięki środowisku ładu w wersji zapoznawczej zespoły ds. zabezpieczeń mogą przypisywać rekomendacje dotyczące zabezpieczeń do właścicieli zasobów i wymagać harmonogramu korygowania. Mogą one mieć pełną przejrzystość postępu korygowania i otrzymywać powiadomienia, gdy zadania są zaległe.
Dowiedz się więcej o środowisku zapewniania ładu w temacie Ułatwianie organizacji korygowania problemów z zabezpieczeniami za pomocą rekomendacji dotyczących ładu.
Filtrowanie alertów zabezpieczeń według adresu IP
W wielu przypadkach ataków chcesz śledzić alerty na podstawie adresu IP jednostki zaangażowanej w atak. Do tej pory adres IP pojawił się tylko w sekcji "Powiązane jednostki" w okienku pojedynczego alertu. Teraz możesz filtrować alerty na stronie alertów zabezpieczeń, aby wyświetlić alerty związane z adresem IP i wyszukać określony adres IP.
Alerty według grupy zasobów
Możliwość filtrowania, sortowania i grupowania według grupy zasobów jest dodawana do strony Alerty zabezpieczeń.
Kolumna grupy zasobów jest dodawana do siatki alertów.
Dodano nowy filtr, który umożliwia wyświetlanie wszystkich alertów dla określonych grup zasobów.
Możesz teraz również grupować alerty według grupy zasobów, aby wyświetlić wszystkie alerty dla każdej grupy zasobów.
Automatyczne aprowizowanie rozwiązania ujednoliconego Ochrona punktu końcowego w usłudze Microsoft Defender
Do tej pory integracja z Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) obejmowała automatyczną instalację nowego rozwiązania MDE ujednoliconego rozwiązania dla maszyn (subskrypcje Azure i łączniki wielochmurowe) z włączoną Defender dla serwerów (plan 1) oraz w przypadku łączników wielochmurowych z Defender w przypadku serwerów z włączonym planem 2. Plan 2 dla subskrypcji Azure włączył ujednolicone rozwiązanie tylko dla maszyn z systemem Linux i Windows 2019 i 2022. serwery Windows 2012R2 i 2016 używały starszego rozwiązania MDE zależnego od agenta Log Analytics.
Teraz nowe ujednolicone rozwiązanie jest dostępne dla wszystkich maszyn w obu planach, zarówno dla subskrypcji Azure, jak i łączników wielochmurowych. W przypadku subskrypcji Azure z planem 2 serwerów z włączoną integracją MDE after 20 czerwca, 2022, ujednolicone rozwiązanie jest domyślnie włączone dla wszystkich maszyn Azure subskrypcji z Defender dla serwerów plan 2 z włączoną integracją MDE before 20 czerwca 2022 r. można teraz włączyć ujednoliconą instalację rozwiązania dla Windows serwery 2012R2 i 2016 za pośrednictwem dedykowanego przycisku na stronie Integracje:
Dowiedz się więcej o integracji MDE z Defender dla serwerów.
Oznaczanie zasad "Aplikacja interfejsu API powinna być dostępna tylko za pośrednictwem protokołu HTTPS"
Zasady API App should only be accessible over HTTPS są przestarzałe. Te zasady są zastępowane zasadami Web Application should only be accessible over HTTPS , których nazwa została zmieniona na App Service apps should only be accessible over HTTPS.
Aby dowiedzieć się więcej na temat definicji zasad dla Azure App Service, zobacz Azure Policy wbudowane definicje Azure App Service.
Nowe alerty Key Vault
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez Microsoft Defender dla Key Vault, dodaliśmy dwa nowe alerty.
Te alerty informują o anomalii odmowy dostępu, są wykrywane dla dowolnego magazynu kluczy.
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
|
Odmowa nietypowego dostępu — odmowa dostępu użytkownika do dużej liczby magazynów kluczy (KV_DeniedAccountVolumeAnomaly) |
Użytkownik lub jednostka usługi próbowała uzyskać dostęp do nietypowo dużej liczby magazynów kluczy w ciągu ostatnich 24 godzin. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Mimo że ta próba zakończyła się niepowodzeniem, może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania. | Discovery | Low |
|
Odmowa nietypowego dostępu — nietypowy użytkownik, który uzyskuje dostęp do magazynu kluczy (KV_UserAccessDeniedAnomaly) |
Próba uzyskania dostępu do magazynu kluczy została podjęta przez użytkownika, który zwykle nie uzyskuje do niego dostępu. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Mimo że ta próba zakończyła się niepowodzeniem, może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. | Dostęp początkowy, odnajdywanie | Low |
Maj 2022
Aktualizacje w maju obejmują:
- Ustawienia wielochmurowe planu serwerów są teraz dostępne na poziomie łącznika
- Dostęp JIT (just in time) dla maszyn wirtualnych jest teraz dostępny dla wystąpień usługi AWS EC2 (wersja zapoznawcza)
- Dodaj i usuń czujnik Defender dla klastrów usługi AKS przy użyciu interfejsu wiersza polecenia
Ustawienia wielochmurowe planu serwerów są teraz dostępne na poziomie łącznika
Istnieją teraz ustawienia na poziomie łącznika dla Defender dla serwerów w wielu chmurach.
Nowe ustawienia na poziomie łącznika zapewniają stopień szczegółowości cen i automatycznej aprowizacji konfiguracji dla łącznika niezależnie od subskrypcji.
Wszystkie składniki automatycznego aprowizowania dostępne na poziomie łącznika (Azure Arc, MDE i oceny luk w zabezpieczeniach) są domyślnie włączone, a nowa konfiguracja obsługuje zarówno warstwy cenowe Plan 1, jak i Plan 2.
Aktualizacje w interfejsie użytkownika obejmują odbicie wybranej warstwy cenowej i skonfigurowanych wymaganych składników.
Zmiany oceny luk w zabezpieczeniach
Defender dla kontenerów wyświetla teraz luki w zabezpieczeniach o średniej i niskiej ważności, które nie są możliwe do stosowania poprawek.
W ramach tej aktualizacji są teraz wyświetlane luki w zabezpieczeniach o średnich i niskich ważnościach, niezależnie od tego, czy są dostępne poprawki. Ta aktualizacja zapewnia maksymalną widoczność, ale nadal umożliwia filtrowanie niepożądanych luk w zabezpieczeniach przy użyciu podanej reguły Wyłącz.
Dowiedz się więcej o zarządzaniu lukami w zabezpieczeniach
Dostęp JIT (just in time) dla maszyn wirtualnych jest teraz dostępny dla wystąpień usługi AWS EC2 (wersja zapoznawcza)
Po połączeniu kont platformy AWS funkcja JIT automatycznie oceni konfigurację sieci grup zabezpieczeń wystąpienia i zaleci, które wystąpienia wymagają ochrony dla ich uwidocznionych portów zarządzania. Jest to podobne do sposobu działania JIT z Azure. Po dołączeniu niechronionych wystąpień usługi EC2 dostęp JIT będzie blokował publiczny dostęp do portów zarządzania i otwierał je tylko z autoryzowanymi żądaniami przez ograniczony czas.
Dowiedz się, jak usługa JIT chroni wystąpienia usługi AWS EC2
Dodawanie i usuwanie czujnika Defender dla klastrów usługi AKS przy użyciu interfejsu wiersza polecenia
Agent
Note
Ta opcja jest uwzględniona w Azure CLI 3.7 i nowszych.
Kwiecień 2022
Aktualizacje w kwietniu obejmują:
- Nowy Defender planów serwerów
- Relokacja niestandardowych zaleceń
- Skrypt programu PowerShell do przesyłania strumieniowego alertów do splunk i QRadar
- Odrekrecated zalecenia Azure Cache for Redis
- Nowy wariant alertu dla Microsoft Defender dla usługi Storage (wersja zapoznawcza) w celu wykrywania ujawnienia poufnych danych
- Tytuł alertu skanowania kontenera rozszerzony o reputację adresu IP
- Wyświetlanie dzienników aktywności związanych z alertem zabezpieczeń
Nowe plany Defender dla serwerów
Microsoft Defender dla serwerów jest teraz oferowany w dwóch planach przyrostowych:
- Defender dla serwerów (plan 2), wcześniej Defender dla serwerów
- Defender dla planu 1 serwerów zapewnia obsługę tylko Ochrona punktu końcowego w usłudze Microsoft Defender
Chociaż Defender dla serwerów Plan 2 nadal zapewnia ochronę przed zagrożeniami i lukami w zabezpieczeniach do obciążeń w chmurze i lokalnych, Defender dla serwerów Plan 1 zapewnia tylko ochronę punktu końcowego, obsługiwaną przez natywnie zintegrowane Defender dla punktu końcowego. Przeczytaj więcej na temat planów Defender for Servers.
Jeśli do tej pory używasz Defender dla serwerów, nie jest wymagana żadna akcja.
Ponadto Defender dla Chmury również rozpoczyna stopniowe wsparcie dla Defender dla ujednoliconego agenta punktu końcowego dla Windows Server 2012 R2 i 2016. Defender dla serwerów Plan 1 wdraża nowego ujednoliconego agenta w celu Windows Server 2012 obciążeń R2 i 2016.
Relokacja niestandardowych zaleceń
Rekomendacje niestandardowe są tworzone przez użytkowników i nie mają wpływu na wskaźnik bezpieczeństwa. Zalecenia niestandardowe można teraz znaleźć na karcie Wszystkie zalecenia.
Użyj nowego filtru "typ rekomendacji", aby zlokalizować zalecenia niestandardowe.
Dowiedz się więcej w temacie Tworzenie niestandardowych inicjatyw i zasad zabezpieczeń.
Skrypt programu PowerShell do przesyłania strumieniowego alertów do rozwiązania Splunk i IBM QRadar
Zalecamy używanie usługi Event Hubs i wbudowanego łącznika do eksportowania alertów zabezpieczeń do rozwiązania Splunk i IBM QRadar. Teraz możesz użyć skryptu programu PowerShell, aby skonfigurować zasoby Azure potrzebne do wyeksportowania alertów zabezpieczeń dla subskrypcji lub dzierżawy.
Wystarczy pobrać i uruchomić skrypt programu PowerShell. Po podaniu kilku szczegółów środowiska skrypt konfiguruje zasoby. Następnie skrypt generuje dane wyjściowe używane na platformie SIEM do ukończenia integracji.
Aby dowiedzieć się więcej, zobacz Stream alerts to Splunk and QRadar (Alerty usługi Stream do rozwiązania Splunk i QRadar).
Wycofane zalecenie Azure Cache for Redis
Zalecenie Azure Cache for Redis should reside within a virtual network (wersja zapoznawcza) jest przestarzałe. Zmieniliśmy nasze wskazówki dotyczące zabezpieczania wystąpień Azure Cache for Redis. Zalecamy użycie prywatnego punktu końcowego w celu ograniczenia dostępu do wystąpienia Azure Cache for Redis zamiast sieci wirtualnej.
Nowy wariant alertu dla Microsoft Defender dla usługi Storage (wersja zapoznawcza) w celu wykrycia ujawnienia poufnych danych
Microsoft Defender alertów usługi Storage powiadamia o tym, kiedy aktorzy zagrożeń próbują skanować i ujawniać, pomyślnie lub nie, nieprawidłowo skonfigurowane, publicznie otwierać kontenery magazynu, aby spróbować eksfiltrować poufne informacje.
Aby umożliwić szybsze klasyfikowanie i czas odpowiedzi, po wystąpieniu potencjalnie poufnych danych mogliśmy opublikować nową odmianę istniejącego Publicly accessible storage containers have been exposed alertu.
Nowy alert , Publicly accessible storage containers with potentially sensitive data have been exposedjest wyzwalany z High poziomem ważności, po pomyślnym odnalezieniu publicznie otwartych kontenerów magazynu o nazwach, które statystycznie zostały ujawnione publicznie, co sugeruje, że mogą przechowywać poufne informacje.
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
|
WERSJA ZAPOZNAWCZA — ujawniono publicznie dostępne kontenery magazynu z potencjalnie poufnymi danymi (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Ktoś przeskanował twoje konto Azure Storage i uwidocznił kontenery, które zezwalają na dostęp publiczny. Co najmniej jeden z uwidocznionych kontenerów ma nazwy wskazujące, że mogą zawierać poufne dane. Zwykle oznacza to rekonesans przez aktora zagrożeń, który skanuje pod kątem nieprawidłowo skonfigurowanych publicznie dostępnych kontenerów magazynu, które mogą zawierać poufne dane. Po pomyślnym odnalezieniu kontenera przez aktora zagrożeń mogą one kontynuować, eksfiltrując dane. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Tytuł alertu skanowania kontenera rozszerzony o reputację adresu IP
Reputacja adresu IP może wskazywać, czy działanie skanowania pochodzi od znanego aktora zagrożenia, czy też od aktora, który używa sieci Tor do ukrycia swojej tożsamości. Oba te wskaźniki sugerują, że istnieje złośliwa intencja. Reputacja adresu IP jest dostarczana przez usługę Microsoft Threat Intelligence.
Dodanie reputacji adresu IP do tytułu alertu umożliwia szybką ocenę intencji aktora, a tym samym ważność zagrożenia.
Następujące alerty będą zawierać następujące informacje:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Na przykład dodane informacje do tytułu alertu Publicly accessible storage containers have been exposed będą wyglądać następująco:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Wszystkie alerty dotyczące Microsoft Defender dla usługi Storage będą nadal uwzględniać informacje analizy zagrożeń w jednostce IP w sekcji Powiązane jednostki alertu.
Wyświetlanie dzienników aktywności związanych z alertem zabezpieczeń
W ramach akcji, które można wykonać, aby ocenić alert zabezpieczeń, możesz znaleźć powiązane dzienniki platformy w obszarze Inspekcja kontekstu zasobu, aby uzyskać kontekst dotyczący zasobu, którego dotyczy problem. Microsoft Defender dla Chmury identyfikuje dzienniki platformy, które znajdują się w ciągu jednego dnia alertu.
Dzienniki platformy mogą pomóc ocenić zagrożenie bezpieczeństwa i zidentyfikować kroki, które można wykonać, aby ograniczyć zidentyfikowane ryzyko.
Marzec 2022 r.
Aktualizacje w marcu obejmują:
- Globalna dostępność wskaźnika bezpieczeństwa dla środowisk AWS i GCP
- Przestarzałe zalecenia dotyczące instalowania agenta zbierania danych ruchu sieciowego
- Defender for Containers można teraz skanować pod kątem luk w zabezpieczeniach w obrazach Windows (wersja zapoznawcza)
- Nowy alert dotyczący Microsoft Defender dla usługi Storage (wersja zapoznawcza)
- Konfigurowanie ustawień powiadomień e-mail z alertu
- Przestarzały alert w wersji zapoznawczej: ARM. MCAS_ActivityFromAnonymousIPAddresses
- Przeniesiono rekomendację Luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera powinny zostać skorygowane z wskaźnika bezpieczeństwa do najlepszych rozwiązań
- Przestarzałe zalecenie dotyczące używania jednostek usługi do ochrony subskrypcji
- Starsza implementacja iso 27001 została zastąpiona nową inicjatywą ISO 27001:2013
- Urekrecated Microsoft Defender for IoT zalecenia dotyczące urządzeń
- Wyznane alerty urządzeń Microsoft Defender for IoT
- Zarządzanie stanem i ochrona przed zagrożeniami dla platform AWS i GCP wydane w celu zapewnienia ogólnej dostępności
- Registry skanowanie pod kątem obrazów Windows w usłudze ACR dodano obsługę chmur krajowych
Globalna dostępność wskaźnika bezpieczeństwa dla środowisk AWS i GCP
Funkcje zarządzania stanem zabezpieczeń w chmurze udostępniane przez Microsoft Defender dla Chmury dodano obsługę środowisk AWS i GCP w ramach wskaźnika bezpieczeństwa.
Przedsiębiorstwa mogą teraz wyświetlać ogólny stan zabezpieczeń w różnych środowiskach, takich jak Azure, AWS i GCP.
Strona Wskaźnik bezpieczeństwa jest zastępowana pulpitem nawigacyjnym Stan zabezpieczeń. Pulpit nawigacyjny Stan zabezpieczeń umożliwia wyświetlenie ogólnego połączonego wyniku dla wszystkich środowisk lub podział stanu zabezpieczeń w oparciu o dowolną kombinację wybranego środowiska.
Strona Zalecenia została również przeprojektowana w celu zapewnienia nowych możliwości, takich jak wybór środowiska w chmurze, zaawansowane filtry oparte na zawartości (grupa zasobów, konto PLATFORMy AWS, projekt GCP i inne), ulepszony interfejs użytkownika w niskiej rozdzielczości, obsługa otwierania zapytania w grafie zasobów i nie tylko. Więcej informacji na temat ogólnego poziomu zabezpieczeń i zaleceń dotyczących zabezpieczeń można dowiedzieć się więcej.
Przestarzałe zalecenia dotyczące instalowania agenta zbierania danych ruchu sieciowego
Zmiany w harmonogramie działania i priorytetach usunęły potrzebę agenta zbierania danych ruchu sieciowego. Następujące dwa zalecenia i powiązane z nimi zasady zostały wycofane.
| Recommendation | Description | Severity |
|---|---|---|
| Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Defender dla Chmury używa agenta zależności Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, zalecenia dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | Medium |
| Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych Windows | Defender dla Chmury używa agenta zależności Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, zalecenia dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | Medium |
Defender dla kontenerów można teraz skanować pod kątem luk w zabezpieczeniach w obrazach Windows (wersja zapoznawcza)
Defender skanowania obrazów kontenera obsługuje teraz obrazy Windows hostowane w Azure Container Registry. Ta funkcja jest bezpłatna w wersji zapoznawczej i wiąże się z kosztami, gdy stanie się ogólnie dostępna.
Dowiedz się więcej w Użyj Microsoft Defender dla kontenera, aby skanować obrazy pod kątem luk w zabezpieczeniach.
Nowy alert dotyczący Microsoft Defender dla usługi Storage (wersja zapoznawcza)
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez Microsoft Defender dla usługi Storage, dodaliśmy nowy alert w wersji zapoznawczej.
Aktorzy zagrożeń używają aplikacji i narzędzi do odnajdywania kont magazynu i uzyskiwania do nich dostępu. Microsoft Defender dla usługi Storage wykrywa te aplikacje i narzędzia, dzięki czemu można je zablokować i skorygować stan.
Ten alert w wersji zapoznawczej nosi nazwę Access from a suspicious application. Alert dotyczy tylko Azure Blob Storage i usługi ADLS Gen2.
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
|
WERSJA ZAPOZNAWCZA — dostęp z podejrzanej aplikacji (Storage.Blob_SuspiciousApp) |
Wskazuje, że podejrzana aplikacja pomyślnie uzyskała dostęp do kontenera konta magazynu z uwierzytelnianiem. Może to oznaczać, że osoba atakująca uzyskała poświadczenia niezbędne do uzyskania dostępu do konta i wykorzystuje je. Może to być również wskazanie testu penetracyjnego przeprowadzonego w organizacji. Dotyczy: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Dostęp początkowy | Medium |
Konfigurowanie ustawień powiadomień e-mail z alertu
Do interfejsu użytkownika alertu dodano nową sekcję, która umożliwia wyświetlanie i edytowanie osób, które będą otrzymywać powiadomienia e-mail o alertach wyzwalanych w bieżącej subskrypcji.
Dowiedz się, jak skonfigurować powiadomienia e-mail dotyczące alertów zabezpieczeń.
Przestarzały alert w wersji zapoznawczej: ARM. MCAS_ActivityFromAnonymousIPAddresses
Następujący alert w wersji zapoznawczej jest przestarzały:
| Nazwa alertu | Description |
|---|---|
|
WERSJA ZAPOZNAWCZA — działanie z ryzykownego adresu IP (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Wykryto aktywność użytkowników z adresu IP, który został zidentyfikowany jako anonimowy adres IP serwera proxy. Te serwery proxy są używane przez osoby, które chcą ukryć adres IP urządzenia i mogą być używane do złośliwych intencji. To wykrywanie używa algorytmu uczenia maszynowego, który zmniejsza liczbę wyników fałszywie dodatnich, takich jak nieprawidłowo oznakowane adresy IP, które są powszechnie używane przez użytkowników w organizacji. Wymaga aktywnej licencji Microsoft Defender for Cloud Apps. |
Utworzono nowy alert zawierający te informacje i dodany do niego. Ponadto nowsze alerty (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) nie wymagają licencji na Microsoft Defender for Cloud Apps (wcześniej znanej jako Microsoft Cloud App Security).
Zobacz więcej alertów dotyczących Resource Manager.
Przeniesiono rekomendację Luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera powinny zostać skorygowane z wskaźnika bezpieczeństwa do najlepszych rozwiązań
Zalecenie Vulnerabilities in container security configurations should be remediated zostało przeniesione z sekcji wskaźnik bezpieczeństwa do sekcji najlepszych rozwiązań.
Bieżące środowisko użytkownika zapewnia wynik tylko wtedy, gdy wszystkie testy zgodności zostały pomyślnie. Większość klientów ma trudności ze spełnieniem wszystkich wymaganych kontroli. Pracujemy nad ulepszonym środowiskiem dla tego zalecenia, a po wydaniu zalecenia zostaną przeniesione z powrotem do wskaźnika bezpieczeństwa.
Przestarzałe zalecenie dotyczące używania jednostek usługi do ochrony subskrypcji
W miarę jak organizacje odchodzą od używania certyfikatów zarządzania do zarządzania subskrypcjami, a odśwież najnowsze ogłoszenie, że przechodzimy na emeryturę modelu wdrażania usług Cloud Services (wersja klasyczna), wycofaliśmy następujące rekomendacje Defender dla Chmury i powiązane z nią zasady:
| Recommendation | Description | Severity |
|---|---|---|
| Jednostki usługi powinny służyć do ochrony subskrypcji zamiast certyfikatów zarządzania | Certyfikaty zarządzania umożliwiają wszystkim osobom uwierzytelniającym się w celu zarządzania subskrypcjami, z którymi są skojarzone. Aby bezpieczniej zarządzać subskrypcjami, zaleca się użycie jednostek usługi z Resource Manager w celu ograniczenia promienia wybuchu w przypadku naruszenia certyfikatu. Automatyzuje również zarządzanie zasobami. (Powiązane zasady: Jednostki usługi powinny być używane do ochrony subskrypcji zamiast certyfikatów zarządzania) |
Medium |
Więcej informacji:
- Model wdrażania usług Cloud Services (klasyczny) zostanie wycofany 31 sierpnia 2024 r.
- Przegląd Azure Cloud Services (klasyczny)
- Workflow klasycznej architektury maszyny wirtualnej Microsoft Azure — w tym podstawowe informacje o przepływie pracy rdFE
Starsza implementacja iso 27001 została zastąpiona nową inicjatywą ISO 27001:2013
Starsza implementacja standardu ISO 27001 została usunięta z pulpitu nawigacyjnego zgodności z przepisami Defender dla Chmury. Jeśli śledzisz zgodność iso 27001 z Defender dla Chmury, dołącz nowy standard ISO 27001:2013 dla wszystkich odpowiednich grup zarządzania lub subskrypcji.
Przestarzałe zalecenia dotyczące urządzeń Microsoft Defender for IoT
Microsoft Defender for IoT rekomendacje dotyczące urządzeń nie są już widoczne w Microsoft Defender dla Chmury. Te zalecenia są nadal dostępne na stronie zalecenia Microsoft Defender for IoT.
Następujące zalecenia są przestarzałe:
| Klucz oceny | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Urządzenia IoT | Otwieranie portów na urządzeniu |
| ba975338-f956-41e7-a9f2-7614832d382d: Urządzenia IoT | Znaleziono regułę zapory permissive w łańcuchu danych wejściowych |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: Urządzenia IoT | Znaleziono zasady zapory permissive w jednym z łańcuchów |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Urządzenia IoT | Znaleziono regułę zapory permissive w łańcuchu danych wyjściowych |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: Urządzenia IoT | Niepowodzenie weryfikacji punktu odniesienia systemu operacyjnego |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Urządzenia IoT | Agent wysyłający nie w pełni wykorzystywane komunikaty |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: Urządzenia IoT | Wymagane jest uaktualnienie pakietu szyfrowania TLS |
| d74d2738-2485-4103-9919-69c7e63776ec: Urządzenia IoT |
Auditd proces przestał wysyłać zdarzenia |
Przestarzałe alerty urządzeń Microsoft Defender for IoT
Wszystkie Microsoft Defender dla alertów urządzeń IoT nie są już widoczne w Microsoft Defender dla Chmury. Te alerty są nadal dostępne na stronie Alert Microsoft Defender for IoT i w Microsoft Sentinel.
Zarządzanie stanem i ochrona przed zagrożeniami dla platform AWS i GCP wydane w celu zapewnienia ogólnej dostępności
Defender dla Chmury funkcje CSPM rozszerzać na zasoby platform AWS i GCP. Ten plan bez agenta ocenia zasoby wielochmurowe zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla chmury, które są uwzględnione w wskaźniku bezpieczeństwa. Zasoby są oceniane pod kątem zgodności przy użyciu wbudowanych standardów. strona spisu zasobów Defender dla Chmury to funkcja z obsługą wielu chmur, która umożliwia zarządzanie zasobami platformy AWS wraz z zasobami Azure.
Microsoft Defender dla serwerów umożliwia wykrywanie zagrożeń i zaawansowaną ochronę wystąpień obliczeniowych na platformach AWS i GCP. Plan Defender for Servers zawiera zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender, skanowanie oceny luk w zabezpieczeniach i nie tylko. Dowiedz się więcej o wszystkich obsługiwanych funkcjach dla maszyn wirtualnych i serwerów. Funkcje automatycznego dołączania umożliwiają łatwe łączenie wszystkich istniejących lub nowych wystąpień obliczeniowych odnalezionych w danym środowisku.
Dowiedz się, jak chronić i łączyć środowisko AWS i GCP za pomocą Microsoft Defender dla Chmury.
Skanowanie rejestru pod kątem obrazów Windows w usłudze ACR dodało obsługę chmur krajowych
Skanowanie rejestru pod kątem obrazów Windows jest teraz obsługiwane w Azure Government i Microsoft Azure obsługiwane przez firmę 21Vianet. Ten dodatek jest obecnie w wersji zapoznawczej.
Dowiedz się więcej o dostępności naszej funkcji.
luty 2022
Aktualizacje w lutym obejmują:
- Ochrona obciążenia kubernetes dla klastrów Kubernetes z obsługą usługi Arc
- Natywny CSPM dla GCP i ochrony przed zagrożeniami dla wystąpień obliczeniowych GCP
- Microsoft Defender dla planu Azure Cosmos DB wydanego w wersji zapoznawczej
- Ochrona przed zagrożeniami dla klastrów google Kubernetes Engine (GKE)
Ochrona obciążenia kubernetes dla klastrów Kubernetes z obsługą usługi Arc
Defender dla kontenerów wcześniej chronionych tylko obciążeń Platformy Kubernetes uruchomionych w Azure Kubernetes Service. Rozszerzyliśmy teraz ochronę, aby uwzględnić klastry Kubernetes z włączoną obsługą Azure Arc.
Dowiedz się, jak skonfigurować ochronę obciążenia Platformy Kubernetes dla usługi AKS i klastrów Kubernetes z włączoną obsługą Azure Arc.
Natywny CSPM dla GCP i ochrony przed zagrożeniami dla wystąpień obliczeniowych GCP
Nowe zautomatyzowane dołączanie środowisk GCP umożliwia ochronę obciążeń GCP przy użyciu Microsoft Defender dla Chmury. Defender dla Chmury chroni zasoby przy użyciu następujących planów:
Defender dla Chmury CSPM rozszerzają się na zasoby GCP. Ten plan bez agenta ocenia zasoby GCP zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla platformy GCP, które są dostarczane z Defender dla Chmury. Zalecenia GCP są uwzględniane w wskaźniku bezpieczeństwa, a zasoby zostaną ocenione pod kątem zgodności z wbudowanym standardem GCP CIS. strona spisu zasobów Defender dla Chmury to funkcja z obsługą wielu chmur, która ułatwia zarządzanie zasobami w Azure, AWS i GCP.
Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę wystąpień obliczeniowych GCP. Ten plan obejmuje zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender, skanowanie w celu oceny luk w zabezpieczeniach i nie tylko.
Aby uzyskać pełną listę dostępnych funkcji, zobacz Obsługiwane funkcje dla maszyn wirtualnych i serwerów. Automatyczne możliwości dołączania umożliwiają łatwe łączenie wszystkich istniejących i nowych wystąpień obliczeniowych odnalezionych w danym środowisku.
Dowiedz się, jak chronić i połączyć projekty GCP za pomocą Microsoft Defender dla Chmury.
Microsoft Defender dla planu Azure Cosmos DB wydanego w wersji zapoznawczej
Rozszerzyliśmy pokrycie bazy danych Microsoft Defender dla Chmury. Teraz możesz włączyć ochronę baz danych Azure Cosmos DB.
Microsoft Defender dla Azure Cosmos DB to natywna warstwa zabezpieczeń Azure, która wykrywa wszelkie próby wykorzystania baz danych na kontach Azure Cosmos DB. Microsoft Defender dla Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złośliwe podmioty oparte na Microsoft Threat Intelligence, podejrzanych wzorcach dostępu i potencjalnym wykorzystaniu bazy danych za pośrednictwem tożsamości z naruszonymi naruszeniami lub złośliwych testerów.
Stale analizuje strumień danych klienta wygenerowany przez usługi Azure Cosmos DB.
Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty są wyświetlane w Microsoft Defender dla Chmury wraz ze szczegółami podejrzanych działań wraz z odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń.
Podczas włączania usługi nie ma wpływu na wydajność bazy danych, ponieważ Defender dla Azure Cosmos DB nie uzyskuje dostępu do danych konta Azure Cosmos DB.
Dowiedz się więcej na stronie Przegląd Microsoft Defender dla Azure Cosmos DB.
Wprowadzamy również nowe środowisko włączania dla zabezpieczeń bazy danych. Teraz możesz włączyć ochronę Microsoft Defender dla Chmury w ramach subskrypcji, aby chronić wszystkie typy baz danych, takie jak Azure Cosmos DB, Azure SQL Database, serwery Azure SQL na maszynach i Microsoft Defender w przypadku relacyjnych baz danych typu open source za pomocą jednego procesu włączania. Określone typy zasobów można uwzględnić lub wykluczyć, konfigurując plan.
Dowiedz się, jak włączyć zabezpieczenia bazy danych na poziomie subskrypcji.
Ochrona przed zagrożeniami dla klastrów google Kubernetes Engine (GKE)
Po niedawnym ogłoszeniu Native CSPM dla GCP i ochrony przed zagrożeniami dla wystąpień obliczeniowych GCP Microsoft Defender for Containers rozszerzyła swoją ochronę przed zagrożeniami Kubernetes, analizę behawioralną i wbudowane zasady kontroli dostępu do klastrów Kubernetes Engine (GKE) firmy Google. Możesz łatwo dołączyć istniejące lub nowe klastry GKE Standard do środowiska za pomocą naszych funkcji automatycznego dołączania. Zapoznaj się z zabezpieczeniami Container z Microsoft Defender dla Chmury, aby uzyskać pełną listę dostępnych funkcji.
Styczeń 2022
Aktualizacje w styczniu obejmują:
Microsoft Defender dla Resource Manager zaktualizowane o nowe alerty i większy nacisk na operacje wysokiego ryzyka mapowane na MITRE ATT& Macierz CK® - Recommendations w celu włączenia planów w Microsoft Defender w obszarach roboczych (w wersji zapoznawczej)
- Autoprovision agenta Log Analytics do maszyn z obsługą Azure Arc (wersja zapoznawcza)
- Przestarzałe zalecenie dotyczące klasyfikowania poufnych danych w bazach danych SQL
- Rozszerzono komunikację z podejrzanym alertem domeny, aby uwzględnić znane domeny związane z programem Log4Shell
- Przycisk "Kopiuj kod JSON alertu" dodany do okienka szczegółów alertu zabezpieczeń
- Zmieniono nazwę dwóch zaleceń
- Przestarzałe kontenery klastra Kubernetes powinny nasłuchiwać tylko w zasadach dozwolonych portów
- Dodano skoroszyt "Aktywne alerty"
- Zalecenie "Aktualizacja systemu" dodane do chmury dla instytucji rządowych
Microsoft Defender dla Resource Manager zaktualizowane o nowe alerty i większy nacisk na operacje wysokiego ryzyka mapowane na MITRE ATT& Macierz CK®
Warstwa zarządzania chmurą to kluczowa usługa połączona ze wszystkimi zasobami w chmurze. Z tego powodu jest to również potencjalny cel dla atakujących. Zalecamy zespołom ds. operacji zabezpieczeń ścisłe monitorowanie warstwy zarządzania zasobami.
Microsoft Defender dla Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji, niezależnie od tego, czy są wykonywane za pośrednictwem portalu Azure, Azure interfejsów API REST, Azure CLI lub innych klientów programistycznych Azure. Defender dla Chmury uruchamia zaawansowaną analizę zabezpieczeń w celu wykrywania zagrożeń i alertów dotyczących podejrzanych działań.
Ochrona planu znacznie zwiększa odporność organizacji na ataki ze strony podmiotów zagrożeń i znacznie zwiększa liczbę zasobów Azure chronionych przez Defender dla Chmury.
W grudniu 2020 r. wprowadziliśmy wersję zapoznawcza Defender dla Resource Manager, a w maju 2021 r. plan został wydany pod kątem ogólnej dostępności.
Dzięki tej aktualizacji zrewidowaliśmy kompleksowo fokus Microsoft Defender planu Resource Manager. Zaktualizowany plan zawiera wiele nowych alertów skoncentrowanych na identyfikowaniu podejrzanych wywołań operacji wysokiego ryzyka. Te nowe alerty zapewniają rozbudowane monitorowanie ataków w całejmacierzy MITRE ATT&CK® na potrzeby technik opartych na chmurze.
Ta macierz obejmuje następujący zakres potencjalnych intencji podmiotów zagrożeń, które mogą być przeznaczone dla zasobów organizacji: dostęp początkowy, wykonywanie, trwałość, eskalacja uprawnień, uchylanie się od obrony, dostęp poświadczeń, odnajdywanie, ruch poprzeczny, kolekcja, eksfiltracja i wpływ.
Nowe alerty dla tego planu Defender obejmują te intencje, jak pokazano w poniższej tabeli.
Tip
Te alerty są również wyświetlane na stronie referencyjnej alertów.
| Alert (typ alertu) | Description | Taktyka MITRE (intencje) | Severity |
|---|---|---|---|
|
Wykryto podejrzane wywołanie operacji "Dostęp początkowy" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender dla Resource Manager zidentyfikowano podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uzyskania dostępu do ograniczonych zasobów. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać początkowy dostęp do ograniczonych zasobów w danym środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Dostęp początkowy | Medium |
|
Wykryto podejrzane wywołanie operacji "Wykonanie" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.Execution) |
Microsoft Defender dla Resource Manager zidentyfikowano podejrzane wywołanie operacji wysokiego ryzyka na maszynie w subskrypcji, co może wskazywać na próbę wykonania kodu. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Execution | Medium |
|
Wykryto podejrzane wywołanie operacji "Trwałość" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender dla Resource Manager zidentyfikował podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę ustanowienia trwałości. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do ustanowienia trwałości w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Persistence | Medium |
|
Wykryto podejrzane wywołanie operacji wysokiego ryzyka "Eskalacja uprawnień" (wersja zapoznawcza) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender dla Resource Manager zidentyfikowano podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę eskalacji uprawnień. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do eskalacji uprawnień podczas naruszania zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Eskalacja uprawnień | Medium |
|
Wykryto podejrzane wywołanie operacji "Uchylanie się od obrony" (wersja zapoznawcza) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender dla Resource Manager zidentyfikowano podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uniknięcia obrony. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie stanem zabezpieczeń swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uniknąć wykrycia podczas kompromitowania zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Uchylanie się od obrony | Medium |
|
Wykryto podejrzane wywołanie operacji "Dostęp poświadczeń" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender dla Resource Manager zidentyfikował podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę uzyskania dostępu do poświadczeń. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Dostęp poświadczeń | Medium |
|
Wykryto podejrzane wywołanie operacji "Ruch poprzeczny" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender dla Resource Manager zidentyfikowano podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę wykonania przenoszenia bocznego. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby naruszyć dodatkowe zasoby w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Ruch poprzeczny | Medium |
|
Wykryto podejrzane wywołanie operacji "Zbieranie danych" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.Collection) |
Microsoft Defender dla Resource Manager zidentyfikował podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę zebrania danych. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do zbierania poufnych danych dotyczących zasobów w danym środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Collection | Medium |
|
Wykryto podejrzane wywołanie operacji "Impact" o wysokim ryzyku (wersja zapoznawcza) (ARM_AnomalousOperation.Impact) |
Microsoft Defender dla Resource Manager zidentyfikował podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę zmiany konfiguracji. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Impact | Medium |
Ponadto te dwa alerty z tego planu wyszły z wersji zapoznawczej:
| Alert (typ alertu) | Description | Taktyka MITRE (intencje) | Severity |
|---|---|---|---|
|
Azure Resource Manager operacja z podejrzanego adresu IP (ARM_OperationFromSuspiciousIP) |
Microsoft Defender dla Resource Manager wykrył operację z adresu IP, który został oznaczony jako podejrzany w źródłach analizy zagrożeń. | Execution | Medium |
|
Azure Resource Manager operacja z podejrzanego adresu IP serwera proxy (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender dla Resource Manager wykrył operację zarządzania zasobami z adresu IP skojarzonego z usługami proxy, takimi jak TOR. Chociaż to zachowanie może być uzasadnione, często występuje w złośliwych działaniach, gdy aktorzy zagrożeń próbują ukryć źródłowy adres IP. | Uchylanie się od obrony | Medium |
Zalecenia dotyczące włączania planów Microsoft Defender w obszarach roboczych (w wersji zapoznawczej)
Aby korzystać ze wszystkich funkcji zabezpieczeń dostępnych w Microsoft Defender dla serwerów i Microsoft Defender dla programu SQL na maszynach plany muszą być włączone na poziomie both subskrypcji i obszaru roboczego.
Jeśli maszyna znajduje się w subskrypcji z włączonym jednym z tych planów, zostanie naliczona opłata za pełne zabezpieczenia. Jeśli jednak ten komputer raportuje do obszaru roboczego bez włączonego planu, nie otrzymasz tych korzyści.
Dodaliśmy dwie rekomendacje, które podkreślają obszary robocze bez włączenia tych planów, które jednak mają maszyny raportujące je z subskrypcji, które mają włączony plan.
Dwa zalecenia, które oferują automatyczne korygowanie (akcja "Poprawka") to:
| Recommendation | Description | Severity |
|---|---|---|
| Microsoft Defender dla serwerów należy włączyć w obszarach roboczych | Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn Windows i Linux. Dzięki temu planowi Defender włączonego w subskrypcjach, ale nie w obszarach roboczych, płacisz za pełną możliwość Microsoft Defender dla serwerów, ale brakuje niektórych korzyści. Po włączeniu Microsoft Defender dla serwerów w obszarze roboczym wszystkie maszyny raportujące ten obszar roboczy będą rozliczane za Microsoft Defender dla serwerów — nawet jeśli znajdują się w subskrypcjach bez włączenia planów Defender. Jeśli nie włączysz również Microsoft Defender dla serwerów w subskrypcji, te maszyny nie będą mogły korzystać z dostępu just in time do maszyn wirtualnych, adaptacyjnego sterowania aplikacjami i wykrywania sieci dla Azure zasobów. Dowiedz się więcej w Przegląd Microsoft Defender dla serwerów. (Brak powiązanych zasad) |
Medium |
| Microsoft Defender dla programu SQL na maszynach należy włączyć w obszarach roboczych | Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn Windows i Linux. Dzięki temu planowi Defender włączonego w subskrypcjach, ale nie w obszarach roboczych, płacisz za pełną możliwość Microsoft Defender dla serwerów, ale brakuje niektórych korzyści. Po włączeniu Microsoft Defender dla serwerów w obszarze roboczym wszystkie maszyny raportujące ten obszar roboczy będą rozliczane za Microsoft Defender dla serwerów — nawet jeśli znajdują się w subskrypcjach bez włączenia planów Defender. Jeśli nie włączysz również Microsoft Defender dla serwerów w subskrypcji, te maszyny nie będą mogły korzystać z dostępu just in time do maszyn wirtualnych, adaptacyjnego sterowania aplikacjami i wykrywania sieci dla Azure zasobów. Dowiedz się więcej w Przegląd Microsoft Defender dla serwerów. (Brak powiązanych zasad) |
Medium |
Automatyczna aprowizacja agenta Log Analytics na maszynach z obsługą Azure Arc (wersja zapoznawcza)
Defender dla Chmury używa agenta Log Analytics do zbierania danych związanych z zabezpieczeniami z maszyn. Agent odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami oraz kopiuje dane do obszaru roboczego na potrzeby analizy.
Ustawienia automatycznego aprowizowania Defender dla Chmury mają przełącznik dla każdego typu obsługiwanego rozszerzenia, w tym agenta Log Analytics.
W dalszej ekspansji funkcji chmury hybrydowej dodaliśmy opcję automatycznego aprowizacji agenta Log Analytics do maszyn połączonych z Azure Arc.
Podobnie jak w przypadku innych opcji automatycznego aprowizowania, jest to konfigurowane na poziomie subskrypcji.
Po włączeniu tej opcji zostanie wyświetlony monit o podanie obszaru roboczego.
Note
W tej wersji zapoznawczej nie można wybrać domyślnego obszaru roboczego utworzonego przez Defender dla Chmury. Aby zapewnić pełny zestaw funkcji zabezpieczeń dostępnych dla serwerów z obsługą Azure Arc, sprawdź, czy masz zainstalowane odpowiednie rozwiązanie zabezpieczeń w wybranym obszarze roboczym.
Przestarzałe zalecenie dotyczące klasyfikowania poufnych danych w bazach danych SQL
Usunęliśmy zalecenie Sensitive dane w bazach danych SQL powinny być klasyfikowane w ramach przeglądu Defender dla Chmury sposobu identyfikowania i ochrony poufnych dat w zasobach w chmurze.
Wcześniejsze powiadomienie o tej zmianie pojawiło się w ciągu ostatnich sześciu miesięcy na stronie Important nadchodzące zmiany na stronie Microsoft Defender dla Chmury.
Rozszerzono komunikację z podejrzanym alertem domeny, aby uwzględnić znane domeny związane z programem Log4Shell
Poniższy alert był wcześniej dostępny tylko dla organizacji, które włączyły Microsoft Defender dla systemu DNS.
Po tej aktualizacji alert będzie również wyświetlany dla subskrypcji z włączoną Microsoft Defender dla serwerów lub Defender dla usługi App Service planu.
Ponadto Microsoft Threat Intelligence rozszerzyła listę znanych złośliwych domen w celu uwzględnienia domen skojarzonych z wykorzystaniem szeroko nagłośnionych luk w zabezpieczeniach skojarzonych z usługą Log4j.
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
|
Komunikacja z podejrzaną domeną zidentyfikowaną przez analizę zagrożeń (AzureDNS_ThreatIntelSuspectDomain) |
Komunikacja z podejrzaną domeną została wykryta przez przeanalizowanie transakcji DNS z zasobu i porównanie ze znanymi złośliwymi domenami zidentyfikowanymi przez źródła danych analizy zagrożeń. Komunikacja ze złośliwymi domenami jest często wykonywana przez osoby atakujące i może oznaczać, że zasób został naruszony. | Wstępny dostęp/trwałość/wykonywanie/sterowanie i kontrola/wykorzystywanie | Medium |
Przycisk "Kopiuj kod JSON alertu" dodany do okienka szczegółów alertu zabezpieczeń
Aby ułatwić naszym użytkownikom szybkie udostępnianie szczegółów alertu innym (na przykład analitykom SOC, właścicielom zasobów i deweloperom), dodaliśmy możliwość łatwego wyodrębnienia wszystkich szczegółów określonego alertu za pomocą jednego przycisku w okienku szczegółów alertu zabezpieczeń.
Nowy przycisk Kopiuj alert JSON umieszcza szczegóły alertu w formacie JSON w schowku użytkownika.
Zmieniono nazwę dwóch zaleceń
Aby zapewnić spójność z innymi nazwami rekomendacji, zmieniliśmy nazwę następujących dwóch zaleceń:
Zalecenie dotyczące rozwiązywania luk w zabezpieczeniach wykrytych w uruchomionych obrazach kontenerów
- Poprzednia nazwa: Luki w zabezpieczeniach w uruchomionych obrazach kontenerów powinny zostać skorygowane (obsługiwane przez firmę Qualys)
- Nowa nazwa: Uruchamianie obrazów kontenerów powinno mieć rozwiązane problemy z lukami w zabezpieczeniach
Zalecenie dotyczące włączania dzienników diagnostycznych dla Azure App Service
- Poprzednia nazwa: dzienniki diagnostyczne powinny być włączone w usłudze App Service
- Nowa nazwa: Dzienniki diagnostyczne w usłudze App Service powinny być włączone
Przestarzałe kontenery klastra Kubernetes powinny nasłuchiwać tylko w zasadach dozwolonych portów
Wycofaliśmy kontenery klastra Kubernetes, które powinny nasłuchiwać tylko w zaleceniach dotyczących dozwolonych portów .
| Nazwa zasady | Description | Effect(s) | Version |
|---|---|---|---|
| Kontenery klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz kontenery do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) oraz w wersji zapoznawczej dla aparatu AKS i Azure Arc z włączoną usługą Kubernetes. Aby uzyskać więcej informacji, zobacz Understand Azure Policy dla klastrów Kubernetes. | inspekcja, odmowa, wyłączone | 6.1.2 |
Usługi powinny nasłuchiwać tylko dozwolonych portów , aby ograniczyć porty, które aplikacja uwidacznia w Internecie.
Dodano skoroszyt "Aktywny alert"
Aby pomóc naszym użytkownikom w zrozumieniu aktywnych zagrożeń w ich środowiskach i nadaj priorytetowi między aktywnymi alertami podczas procesu korygowania, dodaliśmy skoroszyt Aktywne alerty.
Aktywny skoroszyt alertów umożliwia użytkownikom wyświetlanie ujednoliconego pulpitu nawigacyjnego zagregowanych alertów według ważności, typu, tagu, taktyki MITRE ATT&CK i lokalizacji. Dowiedz się więcej w temacie Używanie skoroszytu "Aktywne alerty".
Zalecenie "Aktualizacja systemu" dodane do chmury dla instytucji rządowych
Zalecenie "Aktualizacje systemu należy zainstalować na maszynach" jest teraz dostępne we wszystkich chmurach dla instytucji rządowych.
Prawdopodobnie ta zmiana wpłynie na wskaźnik bezpieczeństwa subskrypcji chmury dla instytucji rządowych. Oczekujemy, że zmiana doprowadzi do zmniejszenia wyniku, ale jest możliwe, że włączenie rekomendacji może spowodować zwiększenie wyniku w niektórych przypadkach.
Grudzień 2021
Aktualizacje w grudniu obejmują:
- plan Microsoft Defender for Containers wydany w celu zapewnienia ogólnej dostępności
- Nowe alerty dotyczące Microsoft Defender dla usługi Storage wydane dla ogólnej dostępności
- Improvements do alertów dotyczących Microsoft Defender dla usługi Storage
- Alert "PortSweeping" usunięty z alertów warstwy sieciowej
plan Microsoft Defender for Containers wydany w celu zapewnienia ogólnej dostępności
Ponad dwa lata temu wprowadziliśmy Defender dla platformy Kubernetes i Defender dla rejestrów kontenerów w ramach oferty Azure Defender w Microsoft Defender dla Chmury.
Wraz z wydaniem Microsoft Defender for Containers scaliliśmy te dwa istniejące plany Defender.
Nowy plan:
- Łączy funkcje dwóch istniejących planów — wykrywanie zagrożeń dla klastrów Kubernetes i ocenę luk w zabezpieczeniach dla obrazów przechowywanych w rejestrach kontenerów
- Oferuje nowe i ulepszone funkcje — w tym obsługę wielochmurową, wykrywanie zagrożeń na poziomie hosta z ponad sześcioma nowymi analizami obsługującymi platformę Kubernetes oraz ocenę luk w zabezpieczeniach na potrzeby uruchamiania obrazów
- Wprowadza natywne dla platformy Kubernetes dołączanie na dużą skalę — domyślnie po włączeniu planu wszystkie odpowiednie składniki są konfigurowane automatycznie
W tej wersji dostępność i prezentacja Defender dla platformy Kubernetes i Defender dla rejestrów kontenerów uległa zmianie w następujący sposób:
- Nowe subskrypcje — dwa poprzednie plany kontenerów nie są już dostępne
- Istniejące subskrypcje — wszędzie tam, gdzie są wyświetlane w portalu Azure, plany są wyświetlane jako Rekrecated z instrukcjami dotyczącymi uaktualniania do nowszego planu
Nowy plan jest bezpłatny w miesiącu grudnia 2021 r. Aby uzyskać informacje na temat potencjalnych zmian w rozliczeniach ze starych planów Defender dla kontenerów i aby uzyskać więcej informacji na temat korzyści wprowadzonych w tym planie, zobacz Introducing Microsoft Defender for Containers.
Aby uzyskać więcej informacji, zobacz:
- Przegląd Microsoft Defender dla kontenerów
- Enable Microsoft Defender for Containers
- Introducing Microsoft Defender for Containers — Microsoft Tech Community
- Microsoft Defender dla kontenerów | Defender dla Chmury w polu nr 3 — YouTube
Nowe alerty dotyczące Microsoft Defender dla usługi Storage wydane w celu zapewnienia ogólnej dostępności
Aktorzy zagrożeń używają narzędzi i skryptów do skanowania pod kątem publicznie otwartych kontenerów w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi.
Microsoft Defender dla usługi Storage wykrywa te skanery, dzięki czemu można je zablokować i skorygować stan.
Alert w wersji zapoznawczej, który wykrył tę wersję, nosi nazwę "Anonimowe skanowanie kontenerów magazynu publicznego". Aby zapewnić większą przejrzystość wykrytych podejrzanych zdarzeń, podzieliliśmy je na dwa nowe alerty. Te alerty są istotne tylko dla Azure Blob Storage.
Ulepszyliśmy logikę wykrywania, zaktualizowaliśmy metadane alertu i zmieniliśmy nazwę alertu i typ alertu.
Są to nowe alerty:
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
|
Pomyślnie odnaleziono publicznie dostępne kontenery magazynu (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Pomyślne odnajdywanie publicznie otwartych kontenerów magazynu na koncie magazynu zostało wykonane w ciągu ostatniej godziny przez skrypt skanowania lub narzędzie. Zwykle wskazuje to na atak rekonesansu, w którym aktor zagrożenia próbuje wyświetlić listę obiektów blob przez odgadnięcie nazw kontenerów, w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi w nich. Aktor zagrożeń może używać własnego skryptu lub używać znanych narzędzi do skanowania, takich jak Microburst, do skanowania pod kątem publicznie otwartych kontenerów. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
|
Nie powiodło się skanowanie publicznie dostępnych kontenerów magazynu (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Seria nieudanych prób skanowania pod kątem publicznie otwartych kontenerów magazynu została wykonana w ciągu ostatniej godziny. Zwykle wskazuje to na atak rekonesansu, w którym aktor zagrożenia próbuje wyświetlić listę obiektów blob przez odgadnięcie nazw kontenerów, w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi w nich. Aktor zagrożeń może używać własnego skryptu lub używać znanych narzędzi do skanowania, takich jak Microburst, do skanowania pod kątem publicznie otwartych kontenerów. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
Aby uzyskać więcej informacji, zobacz:
- Macierz zagrożeń dla usług magazynu
- Przegląd Microsoft Defender dla usługi Storage
- List alertów udostępnianych przez Microsoft Defender dla usługi Storage
Ulepszenia alertów dotyczących Microsoft Defender dla usługi Storage
Początkowe alerty dostępu mają teraz lepszą dokładność i więcej danych do obsługi badania.
Aktorzy zagrożeń używają różnych technik w początkowym dostępie, aby uzyskać przyczółek w sieci. Dwa z Microsoft Defender dla usługi Storage alerty wykrywające anomalie behawioralne na tym etapie mają teraz ulepszoną logikę wykrywania i dodatkowe dane do obsługi badań.
Jeśli w przeszłości skonfigurowano automatyzacje lub zdefiniowane reguły pomijania alertów dla tych alertów, zaktualizuj je zgodnie z tymi zmianami.
Wykrywanie dostępu z węzła zakończenia tor
Dostęp z węzła wyjścia Tor może wskazywać, że aktor zagrożenia próbuje ukryć swoją tożsamość.
Alert jest teraz dostrajany do generowania tylko dla uwierzytelnioowanego dostępu, co powoduje większą dokładność i pewność, że działanie jest złośliwe. To ulepszenie zmniejsza łagodny wskaźnik dodatni.
Wzorzec outlying będzie miał wysoką ważność, podczas gdy mniej nietypowe wzorce będą miały średnią ważność.
Nazwa i opis alertu zostały zaktualizowane. Typ alertu pozostaje niezmieniony.
- Nazwa alertu (stara): dostęp z węzła zakończenia tor do konta magazynu
- Nazwa alertu (nowy): Uwierzytelniony dostęp z węzła zakończenia Tor
- Typy alertów: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
- Opis: Co najmniej jeden kontener magazynu/ udziały plików na koncie magazynu zostały pomyślnie udostępnione z adresu IP znanego jako aktywny węzeł wyjścia Tor (anonimizujący serwer proxy). Aktorzy zagrożeń używają platformy Tor, aby utrudnić śledzenie działania z powrotem do nich. Uwierzytelniony dostęp z węzła wyjścia Tor jest prawdopodobnie wskazaniem, że aktor zagrożeń próbuje ukryć swoją tożsamość. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- Taktyka MITRE: Wstępny dostęp
- Ważność: wysoka/średnia
Nieuwierzytelniony dostęp
Zmiana wzorców dostępu może wskazywać, że aktor zagrożeń mógł wykorzystać publiczny dostęp do odczytu do kontenerów magazynu, wykorzystując błąd w konfiguracjach dostępu lub zmieniając uprawnienia dostępu.
Ten alert o średniej ważności jest teraz dostrojony z ulepszoną logiką behawioralną, wyższą dokładnością i ufnością, że działanie jest złośliwe. To ulepszenie zmniejsza łagodny wskaźnik dodatni.
Nazwa i opis alertu zostały zaktualizowane. Typ alertu pozostaje niezmieniony.
- Nazwa alertu (stara): anonimowy dostęp do konta magazynu
- Nazwa alertu (nowy): nieuwierzytelniony dostęp do kontenera magazynu
- Typy alertów: Storage.Blob_AnonymousAccessAnomaly
- Opis: To konto magazynu było dostępne bez uwierzytelniania, co stanowi zmianę wspólnego wzorca dostępu. Dostęp do odczytu do tego kontenera jest zwykle uwierzytelniany. Może to wskazywać, że aktor zagrożenia mógł wykorzystać publiczny dostęp do odczytu do kontenerów magazynu na tych kontach magazynu. Dotyczy: Azure Blob Storage
- Taktyka MITRE: Kolekcja
- Ważność: średni rozmiar
Aby uzyskać więcej informacji, zobacz:
- Macierz zagrożeń dla usług magazynu
- Introduction, aby Microsoft Defender dla usługi Storage
- List alertów udostępnianych przez Microsoft Defender dla usługi Storage
Alert "PortSweeping" usunięty z alertów warstwy sieciowej
Następujący alert został usunięty z alertów warstwy sieciowej z powodu nieefektywności:
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
|
Wykryto możliwe działanie skanowania portów wychodzących (PortSweeping) |
Analiza ruchu sieciowego wykryła podejrzany ruch wychodzący z hosta %{Naruszone zabezpieczenia}. Ten ruch może być wynikiem działania skanowania portów. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). Jeśli to zachowanie jest zamierzone, należy pamiętać, że skanowanie portów jest sprzeczne z Azure Warunki świadczenia usługi. Jeśli to zachowanie jest niezamierzone, może to oznaczać, że bezpieczeństwo zasobu zostało naruszone. | Discovery | Medium |
Listopad 2021 r.
Nasze wydanie konferencji Ignite obejmuje:
- Azure Security Center i Azure Defender stają się Microsoft Defender dla Chmury
- Natywny CSPM dla platform AWS i ochrony przed zagrożeniami dla usług Amazon EKS i AWS EC2
- Prioritize akcji zabezpieczeń według poufności danych (obsługiwanej przez Microsoft Purview) (w wersji zapoznawczej)
- Expanded security control assessments with Azure Security Benchmark v3
- opcjonalna synchronizacja alertów dwukierunkowych łącznika Microsoft Sentinel wydana na potrzeby ogólnej dostępności
- Nowe zalecenie wypychania dzienników Azure Kubernetes Service (AKS) do Microsoft Sentinel
- Zalecenia mapowane na strukturę MITRE ATT&CK® — wydane w celu zapewnienia ogólnej dostępności
Inne zmiany w listopadzie obejmują:
- Microsoft Threat and Vulnerability Management dodano jako rozwiązanie do oceny luk w zabezpieczeniach — wydane na potrzeby ogólnej dostępności
- Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux obsługiwanego przez Microsoft Defender dla serwerów — wydane w celu zapewnienia ogólnej dostępności
- Eksportowanie migawek dla zaleceń i wyników zabezpieczeń (w wersji zapoznawczej)
- Automatyczne aprowizowanie rozwiązań do oceny luk w zabezpieczeniach wydanych na potrzeby ogólnej dostępności
- Filtry spisu oprogramowania w spisie zasobów wydane w celu uzyskania ogólnej dostępności
- Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy domyślnej — wersja zapoznawcza
- Wyświetlanie spisu maszyn lokalnych stosuje inny szablon dla nazwy zasobu
Azure Security Center i Azure Defender stają się Microsoft Defender dla Chmury
Zgodnie z raportem o stanie chmury w 2021 r. 92% organizacji ma teraz strategię wielochmurową. W Microsoft naszym celem jest scentralizowanie zabezpieczeń w środowiskach i ułatwienie zespołom ds. zabezpieczeń wydajniejszego działania.
Microsoft Defender dla Chmury to rozwiązanie do zarządzania stanem zabezpieczeń w chmurze (CSPM) i cloud Workload Protection Platform (CWPP), które wykrywa słabe punkty w konfiguracji chmury, pomaga zwiększyć ogólny poziom zabezpieczeń środowiska i chroni obciążenia w środowiskach wielochmurowych i hybrydowych.
Na konferencji Ignite 2019 udostępniliśmy naszą wizję stworzenia najbardziej kompletnego podejścia do zabezpieczania majątku cyfrowego i integrowania technologii XDR pod marką Microsoft Defender. Ujednolicenie Azure Security Center i Azure Defender pod nową nazwą Microsoft Defender dla Chmury odzwierciedla zintegrowane możliwości naszej oferty zabezpieczeń i możliwości obsługi dowolnej platformy w chmurze.
Natywny CSPM dla platform AWS i ochrony przed zagrożeniami dla usług Amazon EKS i AWS EC2
Nowa strona ustawień środowiska zapewnia większą widoczność i kontrolę nad grupami zarządzania, subskrypcjami i kontami platformy AWS. Strona jest przeznaczona do dołączania kont platformy AWS na dużą skalę: łączenie konta zarządzania platformy AWS i automatyczne dołączanie istniejących i przyszłych kont.
Po dodaniu kont platformy AWS Defender dla Chmury chroni zasoby platformy AWS przy użyciu dowolnych lub wszystkich następujących planów:
- Defender dla Chmury funkcje CSPM rozszerzają się na zasoby platformy AWS. Ten plan bez agenta ocenia zasoby platformy AWS zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla platformy AWS i są one uwzględnione w wskaźniku bezpieczeństwa. Zasoby zostaną również ocenione pod kątem zgodności z wbudowanymi standardami specyficznymi dla platform AWS (AWS CIS, AWS PCI DSS i AWS Foundational Security Best Practices). Defender dla Chmury stronie spisu asset to funkcja z obsługą wielu chmur, która ułatwia zarządzanie zasobami platformy AWS obok zasobów Azure.
- Microsoft Defender dla klastrów Kubernetes rozszerza wykrywanie zagrożeń kontenera i zaawansowane zabezpieczenia do klastrów systemu Linux Amazon EKS linux.
- Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę wystąpień Windows i Linux EC2. Ten plan obejmuje zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender, punkty odniesienia zabezpieczeń i oceny na poziomie systemu operacyjnego, skanowanie oceny luk w zabezpieczeniach, adaptacyjne mechanizmy kontroli aplikacji (AAC), monitorowanie integralności plików (FIM) i nie tylko.
Dowiedz się więcej o łączenie kont platformy AWS z Microsoft Defender dla Chmury.
Określanie priorytetów akcji zabezpieczeń według poufności danych (obsługiwanej przez Microsoft Purview) (w wersji zapoznawczej)
Zasoby danych pozostają popularnym celem dla podmiotów zagrożeń. Dlatego ważne jest, aby zespoły ds. zabezpieczeń identyfikowały, ustalały priorytety i zabezpieczały poufne zasoby danych w swoich środowiskach chmury.
Aby rozwiązać to wyzwanie, Microsoft Defender dla Chmury teraz integruje informacje o poufności z Microsoft Purview. Microsoft Purview to ujednolicona usługa zapewniania ładu danych, która zapewnia bogaty wgląd w poufność danych w wielu chmurach i obciążeniach lokalnych.
Integracja z Microsoft Purview rozszerza widoczność zabezpieczeń w Defender dla Chmury od poziomu infrastruktury w dół do danych, umożliwiając zupełnie nowy sposób określania priorytetów zasobów i działań zabezpieczeń dla zespołów ds. zabezpieczeń.
Dowiedz się więcej w temacie Określanie priorytetów akcji zabezpieczeń według poufności danych.
Rozszerzone oceny kontroli zabezpieczeń za pomocą testu porównawczego zabezpieczeń Azure w wersji 3
Zalecenia dotyczące zabezpieczeń w Defender dla Chmury są obsługiwane przez test porównawczy zabezpieczeń Azure.
Azure Test porównawczy zabezpieczeń jest utworzonym Microsoft, specyficznym dla Azure zestawem wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności opartych na typowych strukturach zgodności. Ten powszechnie szanowany punkt odniesienia opiera się na kontrolach z Centrum Bezpieczeństwa Internetowego (CIS) i Narodowego Instytutu Standardów i Technologii (NIST) z naciskiem na zabezpieczenia skoncentrowane na chmurze.
Z konferencji Ignite 2021 Azure Security Benchmark v3 jest dostępny na pulpicie nawigacyjnym zgodności z przepisami Defender dla Chmury i włączonym jako nowa inicjatywa domyślna dla wszystkich subskrypcji Azure chronionych za pomocą Microsoft Defender dla Chmury.
Ulepszenia dla wersji 3 obejmują:
Dodatkowe mapowania na platformy branżowe PCI-DSS w wersji 3.2.1 i kontrolek CIS w wersji 8.
Bardziej szczegółowe i możliwe do działania wskazówki dotyczące kontrolek z wprowadzeniem:
- Zasady zabezpieczeń — zapewnianie wglądu w ogólne cele zabezpieczeń, które tworzą podstawę naszych zaleceń.
- Azure Guidance - The technical "how-to" for meeting these objectives (Wskazówki techniczne dotyczące realizacji tych celów).
Nowe mechanizmy kontroli obejmują zabezpieczenia metodyki DevOps dotyczące problemów, takich jak modelowanie zagrożeń i zabezpieczenia łańcucha dostaw oprogramowania, a także zarządzanie kluczami i certyfikatami w celu uzyskania najlepszych rozwiązań w Azure.
Dowiedz się więcej w Introduction, aby Azure test porównawczy zabezpieczeń.
Opcjonalna synchronizacja alertów dwukierunkowych łącznika Microsoft Sentinel wydana w celu zapewnienia ogólnej dostępności
W lipcu ogłosano funkcję w wersji zapoznawczej synchronizację alertów kierunkowych dla wbudowanego łącznika w Microsoft Sentinel (rozwiązanie SIEM i SOAR natywne dla chmury Microsoft). Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Po połączeniu Microsoft Defender dla Chmury z Microsoft Sentinel stan alertów zabezpieczeń jest synchronizowany między dwiema usługami. Na przykład po zamknięciu alertu w Defender dla Chmury ten alert będzie również wyświetlany jako zamknięty w Microsoft Sentinel. Zmiana stanu alertu w Defender dla Chmury nie będzie mieć wpływu na stan żadnego Microsoft Sentinel incidents które zawierają zsynchronizowany alert Microsoft Sentinel, tylko ten z zsynchronizowanego alertu.
Po włączeniu synchronizacji alertów automatycznie zsynchronizujesz stan oryginalnych alertów Defender dla Chmury z zdarzeniami Microsoft Sentinel zawierającymi kopie tych alertów. Na przykład po zamknięciu zdarzenia Microsoft Sentinel zawierającego alert Defender dla Chmury Defender dla Chmury automatycznie zamknie odpowiedni alert oryginalny.
Dowiedz się więcej w Łączenie alertów Azure Defender z Azure Security Center i Stream w celu Microsoft Sentinel.
Nowe zalecenie wypychania dzienników Azure Kubernetes Service (AKS) do Microsoft Sentinel
W kolejnym ulepszeniu połączonej wartości Defender dla Chmury i Microsoft Sentinel wyróżnimy teraz Azure Kubernetes Service wystąpienia, które nie wysyłają danych dziennika do Microsoft Sentinel.
Zespoły SecOps mogą wybrać odpowiedni obszar roboczy Microsoft Sentinel bezpośrednio na stronie szczegółów rekomendacji i natychmiast włączyć przesyłanie strumieniowe nieprzetworzonych dzienników. To bezproblemowe połączenie między dwoma produktami ułatwia zespołom ds. zabezpieczeń zapewnienie pełnego pokrycia rejestrowania w ramach obciążeń, aby pozostać na bieżąco z całym środowiskiem.
Nowe zalecenie "Dzienniki diagnostyczne w usługach Kubernetes powinny być włączone" zawiera opcję "Napraw" w celu szybszego korygowania.
Ulepszyliśmy również zalecenie "Inspekcja na serwerze SQL powinna być włączona" z tymi samymi funkcjami przesyłania strumieniowego Microsoft Sentinel.
Zalecenia mapowane na strukturę MITRE ATT&CK® — wydane w celu zapewnienia ogólnej dostępności
Ulepszyliśmy zalecenia dotyczące zabezpieczeń Defender dla Chmury, aby pokazać swoje stanowisko w witrynie MITRE ATT& Struktura CK®. Ta globalnie dostępna baza wiedzy taktyki i technik podmiotów zagrożeń w oparciu o rzeczywiste obserwacje, zapewnia więcej kontekstu, aby ułatwić zrozumienie powiązanych zagrożeń związanych z zaleceniami dotyczącymi danego środowiska.
Te taktyki znajdziesz wszędzie tam, gdzie uzyskujesz dostęp do informacji o rekomendacji:
Azure Resource Graph wyniki zapytań dla odpowiednich zaleceń obejmują MITRE ATT& Taktyka i techniki CK®.Strony szczegółów rekomendacji zawierają mapowanie wszystkich odpowiednich zaleceń:
Strona zaleceń w Defender dla Chmury ma nowy filtr
, aby wybrać zalecenia zgodnie z ich powiązaną taktyką:
Dowiedz się więcej w artykule Przeglądanie zaleceń dotyczących zabezpieczeń.
Microsoft Zarządzanie zagrożeniami i lukami w zabezpieczeniach dodano jako rozwiązanie do oceny luk w zabezpieczeniach — wydane na potrzeby ogólnej dostępności
W październiku ogłosano rozszerzenie integracji między Microsoft Defender dla serwerów i Ochrona punktu końcowego w usłudze Microsoft Defender, aby obsługiwać nowego dostawcę oceny luk w zabezpieczeniach dla maszyn: Microsoft zarządzanie zagrożeniami i lukami w zabezpieczeniach. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Użyj zasady i zarządzania lukami w zabezpieczeniach aby wykryć luki w zabezpieczeniach i błędy konfiguracji niemal w czasie rzeczywistym za pomocą integracji z włączoną Ochrona punktu końcowego w usłudze Microsoft Defender i bez konieczności wykonywania dodatkowych agentów lub okresowych skanowań. Zagrożenia i zarządzanie lukami w zabezpieczeniach priorytetyzuje luki w zabezpieczeniach na podstawie poziomów zagrożeń i wykrywania w organizacji.
Użyj zalecenia dotyczącego zabezpieczeń "Na maszynach wirtualnych powinno być włączone rozwiązanie do oceny luk w zabezpieczeniach", aby wyświetlić luki w zabezpieczeniach wykryte przez Zarządzanie zagrożeniami i lukami dla obsługiwanych maszyn.
Aby automatycznie uwidocznieć luki w zabezpieczeniach, na istniejących i nowych maszynach bez konieczności ręcznego korygowania zalecenia, zobacz Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączyć (w wersji zapoznawczej).
Dowiedz się więcej na temat Właszanie słabych stron Ochrona punktu końcowego w usłudze Microsoft Defender z zarządzaniem zagrożeniami i lukami w zabezpieczeniach.
Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux obsługiwanego przez Microsoft Defender dla serwerów — wydane w celu zapewnienia ogólnej dostępności
W sierpniu ogłosano obsługę wersji zapoznawczej wdrażania Defender dla punktu końcowego dla systemu Linux z obsługiwanymi maszynami z systemem Linux. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Microsoft Defender dla serwerów zawiera zintegrowaną licencję Ochrona punktu końcowego w usłudze Microsoft Defender. Razem zapewniają kompleksowe możliwości wykrywanie i reagowanie w punktach końcowych (EDR).
Gdy Defender dla punktu końcowego wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w Defender dla Chmury. W Defender dla Chmury można również przestawienia się do Defender konsoli punktu końcowego i przeprowadzić szczegółowe badanie w celu odkrycia zakresu ataku.
Dowiedz się więcej w
Eksportowanie migawek dla zaleceń i wyników zabezpieczeń (w wersji zapoznawczej)
Defender dla Chmury generuje szczegółowe alerty zabezpieczeń i zalecenia. Można je wyświetlić w portalu lub za pomocą narzędzi programistycznych. Może być również konieczne wyeksportowanie niektórych lub wszystkich tych informacji w celu śledzenia za pomocą innych narzędzi do monitorowania w danym środowisku.
Defender dla Chmury kontynualne eksportowanie pozwala w pełni dostosować funkcję what zostanie wyeksportowana, a gdziekolwiek będzie działać. Dowiedz się więcej w Kontynuj dane Microsoft Defender dla Chmury.
Mimo że funkcja jest nazywana ciągłą, istnieje również opcja eksportowania cotygodniowych migawek. Do tej pory te cotygodniowe migawki były ograniczone do bezpiecznych wyników i danych zgodności z przepisami. Dodaliśmy możliwość eksportowania zaleceń i wyników zabezpieczeń.
Automatyczne aprowizowanie rozwiązań do oceny luk w zabezpieczeniach wydanych na potrzeby ogólnej dostępności
W październiku we ogłosił dodanie rozwiązań do oceny luk w zabezpieczeniach w celu Defender dla Chmury strony automatycznego aprowizowania. Dotyczy to Azure maszyn wirtualnych i maszyn Azure Arc w subskrypcjach chronionych przez Azure Defender dla serwerów. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Jeśli włączono integrację z Ochrona punktu końcowego w usłudze Microsoft Defender Defender dla Chmury przedstawia wybór rozwiązań do oceny luk w zabezpieczeniach:
- (NEW) Moduł zarządzania zagrożeniami i lukami w zabezpieczeniach Microsoft Ochrona punktu końcowego w usłudze Microsoft Defender (zobacz uwaga dotycząca wersji)
- Zintegrowany agent Qualys
Wybrane rozwiązanie zostanie automatycznie włączone na obsługiwanych maszynach.
Dowiedz się więcej w temacie Automatyczne konfigurowanie oceny luk w zabezpieczeniach dla maszyn.
Filtry spisu oprogramowania w spisie zasobów wydane w celu uzyskania ogólnej dostępności
W październiku ogłosiliśmy nowe filtry strony spisu zasobów , aby wybrać maszyny z określonym oprogramowaniem , a nawet określić interesujące je wersje. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Dane spisu oprogramowania można wykonać w Azure Resource Graph Explorer.
Aby użyć tych funkcji, należy włączyć integration z Ochrona punktu końcowego w usłudze Microsoft Defender.
Aby uzyskać szczegółowe informacje, w tym przykładowe zapytania Kusto dotyczące Azure Resource Graph, zobacz Access a software inventory.
Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy domyślnej
Aby upewnić się, że obciążenia Platformy Kubernetes są domyślnie bezpieczne, Defender dla Chmury zawiera zasady na poziomie platformy Kubernetes i zalecenia dotyczące wzmacniania zabezpieczeń, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.
W ramach tego projektu dodaliśmy zasady i zalecenia (domyślnie wyłączone) dotyczące gating deployment w klastrach Kubernetes. Zasady są w domyślnej inicjatywie, ale dotyczą tylko organizacji, które rejestrują się w powiązanej wersji zapoznawczej.
Możesz bezpiecznie zignorować zasady i rekomendacje ("Klastry Kubernetes powinny bramować wdrożenie obrazów podatnych na zagrożenia") i nie będzie miało to wpływu na środowisko.
Jeśli chcesz wziąć udział w wersji zapoznawczej, musisz być członkiem pierścienia podglądu. Jeśli nie jesteś jeszcze członkiem, prześlij tutaj żądanie. Członkowie zostaną powiadomieni o rozpoczęciu podglądu.
Wyświetlanie spisu maszyn lokalnych stosuje inny szablon dla nazwy zasobu
Aby ulepszyć prezentację zasobów w spisie zasobów, usunęliśmy element "source-computer-IP" z szablonu nazewnictwa maszyn lokalnych.
-
Poprzedni format:
machine-name_source-computer-id_VMUUID -
Z tej aktualizacji:
machine-name_VMUUID
Październik 2021
Aktualizacje w październiku obejmują:
- Microsoft Threat and Vulnerability Management dodano jako rozwiązanie do oceny luk w zabezpieczeniach (w wersji zapoznawczej)
- Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączać (w wersji zapoznawczej)
- Filtry spisu oprogramowania dodane do spisu zasobów (w wersji zapoznawczej)
- Zmieniono prefiks niektórych typów alertów z "ARM_" na "VM_"
- Zmiany logiki zalecenia dotyczącego zabezpieczeń dla klastrów Kubernetes
- Strony szczegółów zaleceń pokazują teraz powiązane zalecenia
- Nowe alerty dotyczące Azure Defender dla platformy Kubernetes (w wersji zapoznawczej)
Microsoft Zarządzanie zagrożeniami i lukami w zabezpieczeniach dodane jako rozwiązanie do oceny luk w zabezpieczeniach (w wersji zapoznawczej)
Rozszerzyliśmy integrację między Azure Defender dla serwerów i Ochrona punktu końcowego w usłudze Microsoft Defender, aby obsługiwać nowego dostawcę oceny luk w zabezpieczeniach dla maszyn: Microsoft zagrożenie i zarządzanie lukami w zabezpieczeniach.
Użyj zasady i zarządzania lukami w zabezpieczeniach aby wykryć luki w zabezpieczeniach i błędy konfiguracji niemal w czasie rzeczywistym za pomocą integracji z włączoną Ochrona punktu końcowego w usłudze Microsoft Defender i bez konieczności wykonywania dodatkowych agentów lub okresowych skanowań. Zagrożenia i zarządzanie lukami w zabezpieczeniach priorytetyzuje luki w zabezpieczeniach na podstawie poziomów zagrożeń i wykrywania w organizacji.
Użyj zalecenia dotyczącego zabezpieczeń "Na maszynach wirtualnych powinno być włączone rozwiązanie do oceny luk w zabezpieczeniach", aby wyświetlić luki w zabezpieczeniach wykryte przez Zarządzanie zagrożeniami i lukami dla obsługiwanych maszyn.
Aby automatycznie uwidocznieć luki w zabezpieczeniach, na istniejących i nowych maszynach bez konieczności ręcznego korygowania zalecenia, zobacz Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączyć (w wersji zapoznawczej).
Dowiedz się więcej na temat Właszanie słabych stron Ochrona punktu końcowego w usłudze Microsoft Defender z zarządzaniem zagrożeniami i lukami w zabezpieczeniach.
Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączać (w wersji zapoznawczej)
Strona automatycznego aprowizowania usługi Security Center zawiera teraz opcję automatycznego włączania rozwiązania do oceny luk w zabezpieczeniach w celu Azure maszyn wirtualnych i maszyn Azure Arc w subskrypcjach chronionych przez usługę Azure Defender dla serwerów.
Jeśli włączono integrację z Ochrona punktu końcowego w usłudze Microsoft Defender Defender dla Chmury przedstawia wybór rozwiązań do oceny luk w zabezpieczeniach:
- (NEW) Moduł zarządzania zagrożeniami i lukami w zabezpieczeniach Microsoft Ochrona punktu końcowego w usłudze Microsoft Defender (zobacz uwaga dotycząca wersji)
- Zintegrowany agent Qualys
Wybrane rozwiązanie zostanie automatycznie włączone na obsługiwanych maszynach.
Dowiedz się więcej w temacie Automatyczne konfigurowanie oceny luk w zabezpieczeniach dla maszyn.
Filtry spisu oprogramowania dodane do spisu zasobów (w wersji zapoznawczej)
Strona spisu zasobów zawiera teraz filtr umożliwiający wybranie maszyn z określonym oprogramowaniem , a nawet określenie interesujących ich wersji.
Ponadto możesz wykonywać zapytania dotyczące danych spisu oprogramowania w Azure Resource Graph Explorer.
Aby korzystać z tych nowych funkcji, należy włączyć integration z Ochrona punktu końcowego w usłudze Microsoft Defender.
Aby uzyskać szczegółowe informacje, w tym przykładowe zapytania Kusto dotyczące Azure Resource Graph, zobacz Access a software inventory.
Zmieniono prefiks niektórych typów alertów z "ARM_" na "VM_"
W lipcu 2021 r. ogłosiliśmy logiczną reorganizację Azure Defender dla alertów Resource Manager
Podczas reorganizacji planów Defender przenieśliśmy alerty z Azure Defender dla Resource Manager do Azure Defender dla serwerów.
Dzięki tej aktualizacji zmieniliśmy prefiksy tych alertów, aby były zgodne z tym ponownym przypisaniem i zamieniliśmy ciąg "ARM_" na "VM_", jak pokazano w poniższej tabeli:
| Oryginalna nazwa | Z tej zmiany |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Dowiedz się więcej o Azure Defender dla planów Resource Manager i Azure Defender for Servers.
Zmiany logiki zalecenia dotyczącego zabezpieczeń dla klastrów Kubernetes
Zalecenie "Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw" uniemożliwia użycie domyślnej przestrzeni nazw dla zakresu typów zasobów. Usunięto dwa typy zasobów uwzględnione w tym poleceniu: ConfigMap i Secret.
Dowiedz się więcej na temat tego zalecenia i wzmacniania zabezpieczeń klastrów Kubernetes w Understand Azure Policy dla klastrów Kubernetes.
Strony szczegółów zaleceń pokazują teraz powiązane zalecenia
Aby wyjaśnić relacje między różnymi zaleceniami, dodaliśmy obszar Powiązane zalecenia do stron szczegółów wielu zaleceń.
Trzy typy relacji, które są wyświetlane na tych stronach, to:
- Wymaganie wstępne — zalecenie, które należy wykonać przed wybraną rekomendacją
- Alternatywa — inne zalecenie, które zapewnia inny sposób osiągnięcia celów wybranego zalecenia
- Zależne — zalecenie, dla którego wybrane zalecenie jest wymaganiem wstępnym
Dla każdego powiązanego zalecenia liczba zasobów w złej kondycji jest wyświetlana w kolumnie "Zasoby, których dotyczy problem".
Tip
Jeśli powiązane zalecenie jest wyszarane, jego zależność nie została jeszcze ukończona i nie jest dostępna.
Przykład powiązanych zaleceń:
Usługa Security Center sprawdza maszyny pod kątem obsługiwanych rozwiązań do oceny luk w zabezpieczeniach:
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnychJeśli zostanie znaleziony, otrzymasz powiadomienie o wykrytych lukach w zabezpieczeniach:
Należy skorygować luki w zabezpieczeniach maszyn wirtualnych
Oczywiście usługa Security Center nie może powiadomić Cię o wykrytych lukach w zabezpieczeniach, chyba że znajdzie obsługiwane rozwiązanie do oceny luk w zabezpieczeniach.
Therefore:
- Zalecenie nr 1 jest wymaganiem wstępnym dla zalecenia #2
- Zalecenie nr 2 zależy od zalecenia #1
Nowe alerty dotyczące Azure Defender dla platformy Kubernetes (w wersji zapoznawczej)
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez Azure Defender dla platformy Kubernetes, dodaliśmy dwa alerty w wersji zapoznawczej.
Te alerty są generowane na podstawie nowego modelu uczenia maszynowego i zaawansowanej analizy platformy Kubernetes, mierzenia wielu atrybutów wdrażania i przypisywania ról względem poprzednich działań w klastrze i we wszystkich klastrach monitorowanych przez Azure Defender.
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
|
Nietypowe wdrażanie zasobników (wersja zapoznawcza) (K8S_AnomalousPodDeployment) |
Analiza dziennika inspekcji kubernetes wykryła nietypowe wdrożenie zasobnika na podstawie poprzedniego działania wdrożenia. To działanie jest uznawane za nietypowe podczas badania, w jaki sposób różne funkcje operacji wdrażania odnoszą się do siebie nawzajem. Monitorowane funkcje obejmują używany rejestr obrazów kontenerów, konto wdrażania, dzień tygodnia, częstotliwość wdrażania dla tego konta, używany agent użytkownika, wzorce wdrażania przestrzeni nazw i inne cechy. Rozszerzone właściwości alertu szczegółowo opisują najważniejsze przyczyny przyczyniające się do zidentyfikowania tego jako nietypowego działania. | Execution | Medium |
|
Nadmierne uprawnienia roli przypisane w klastrze Kubernetes (wersja zapoznawcza) (K8S_ServiceAcountPermissionAnomaly) |
Analiza dzienników inspekcji platformy Kubernetes wykryła nadmierne przypisanie roli uprawnień do klastra. Podczas badania przypisań ról wymienione uprawnienia są nietypowe dla określonego konta usługi. To wykrywanie uwzględnia wcześniejsze przypisania ról do tego samego konta usługi w klastrach monitorowanych przez Azure, wolumin na uprawnienie i wpływ określonego uprawnienia. Model wykrywania anomalii używany dla tego alertu uwzględnia sposób użycia tego uprawnienia we wszystkich klastrach monitorowanych przez Azure Defender. | Eskalacja uprawnień | Low |
Aby uzyskać pełną listę alertów platformy Kubernetes, zobacz Alerty dla klastrów Kubernetes.
Wrzesień 2021
We wrześniu wydano następującą aktualizację:
Dwie nowe zalecenia dotyczące inspekcji konfiguracji systemu operacyjnego pod kątem zgodności punktów odniesienia zabezpieczeń Azure (w wersji zapoznawczej)
W celu oceny zgodności maszyn z Windows punkt odniesienia zabezpieczeń oraz punktu odniesienia zabezpieczeń Linux:
- W przypadku maszyn Windows Vulnerabilities w konfiguracji zabezpieczeń na maszynach Windows powinny zostać skorygowane (obsługiwane przez konfigurację gościa)
- W przypadku maszyn z systemem Linux należy skorygować luki w zabezpieczeniach konfiguracji zabezpieczeń na maszynach z systemem Linux (obsługiwane przez konfigurację gościa)
Te zalecenia korzystają z funkcji konfiguracji gościa Azure Policy w celu porównania konfiguracji systemu operacyjnego maszyny z punktem odniesienia zdefiniowanym w Azure test porównawczy zabezpieczeń.
Dowiedz się więcej o korzystaniu z tych zaleceń w temacie Wzmacnianie zabezpieczeń konfiguracji systemu operacyjnego maszyny przy użyciu konfiguracji gościa.
Sierpień 2021
Aktualizacje w sierpniu obejmują:
- Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux jest teraz obsługiwane przez Azure Defender dla serwerów (w wersji zapoznawczej)
- Dwie nowe zalecenia dotyczące zarządzania rozwiązaniami ochrony punktu końcowego (w wersji zapoznawczej)
- Wbudowane rozwiązywanie typowych problemów i wskazówki dotyczące rozwiązywania typowych problemów
- Raporty inspekcji zgodności Azure Regulatory wydane na potrzeby ogólnej dostępności
- Odrekrecowane zalecenie "Log Analytics problemy z kondycją agenta powinny zostać rozwiązane na maszynach
- Azure Defender dla rejestrów kontenerów skanuje teraz pod kątem luk w zabezpieczeniach w rejestrach chronionych za pomocą Azure Private Link
- Security Center może teraz automatycznie aprowizacji rozszerzenia konfiguracji gościa Azure Policy (w wersji zapoznawczej)
- Rekomendacje obsługują teraz "Wymuszanie".
- Eksporty woluminów CSV dotyczące danych rekomendacji są teraz ograniczone do 20 MB
- Strona Rekomendacje zawiera teraz wiele widoków
Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux są teraz obsługiwane przez Azure Defender dla serwerów (w wersji zapoznawczej)
Azure Defender dla serwerów zawiera zintegrowaną licencję Ochrona punktu końcowego w usłudze Microsoft Defender. Razem zapewniają kompleksowe możliwości wykrywanie i reagowanie w punktach końcowych (EDR).
Gdy Defender dla punktu końcowego wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w usłudze Security Center. W usłudze Security Center możesz również przestawienia się do Defender konsoli punktu końcowego i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku.
W okresie obowiązywania wersji zapoznawczej wdrożysz Defender dla punktu końcowego dla systemu Linux czujnik do obsługi maszyn z systemem Linux na jeden z dwóch sposobów w zależności od tego, czy został już wdrożony na maszynach Windows:
- Existing użytkowników z włączonymi rozszerzonymi funkcjami zabezpieczeń Defender dla Chmury i Ochrona punktu końcowego w usłudze Microsoft Defender dla Windows
- Nowi użytkownicy, którzy nigdy nie włączyli integracji z Ochrona punktu końcowego w usłudze Microsoft Defender dla Windows
Dowiedz się więcej w
Dwie nowe zalecenia dotyczące zarządzania rozwiązaniami ochrony punktu końcowego (w wersji zapoznawczej)
Dodaliśmy dwa zalecenia dotyczące wersji zapoznawczej , aby wdrożyć i obsługiwać rozwiązania ochrony punktu końcowego na maszynach. Oba zalecenia obejmują obsługę maszyn wirtualnych Azure i maszyn połączonych z serwerami obsługującymi Azure Arc.
| Recommendation | Description | Severity |
|---|---|---|
| Program Endpoint Protection powinien być zainstalowany na maszynach | Aby chronić maszyny przed zagrożeniami i lukami w zabezpieczeniach, zainstaluj obsługiwane rozwiązanie ochrony punktu końcowego.
Dowiedz się więcej na temat oceniania programu Endpoint Protection dla maszyn. (Powiązane zasady: Monitorowanie braku programu Endpoint Protection w Azure Security Center) |
High |
| Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Azure Security Center obsługiwane rozwiązania ochrony punktu końcowego są udokumentowane here. Ocena programu Endpoint Protection jest udokumentowana tutaj. (Powiązane zasady: Monitorowanie braku programu Endpoint Protection w Azure Security Center) |
Medium |
Note
Zalecenia pokazują ich interwał świeżości jako 8 godzin, ale istnieją pewne scenariusze, w których może to potrwać znacznie dłużej. Na przykład usunięcie maszyny lokalnej trwa 24 godziny, aby usługa Security Center zidentyfikowała usunięcie. Następnie ocena potrwa do 8 godzin, aby zwrócić informacje. W związku z tym w tej konkretnej sytuacji usunięcie maszyny z listy zasobów, których dotyczy problem, może potrwać 32 godziny.
Wbudowane rozwiązywanie typowych problemów i wskazówki dotyczące rozwiązywania typowych problemów
Nowy, dedykowany obszar stron usługi Security Center w portalu Azure udostępnia zestaw zestawów materiałów samodzielnej pomocy do rozwiązywania typowych problemów z usługą Security Center i Azure Defender.
Jeśli masz problem lub szukasz porady od naszego zespołu pomocy technicznej, Diagnozowanie i rozwiązywanie problemów to inne narzędzie ułatwiające znalezienie rozwiązania:
Raporty inspekcji Azure pulpitu nawigacyjnego zgodności z przepisami wydane pod kątem ogólnej dostępności
Pasek narzędzi pulpitu nawigacyjnego zgodności z przepisami oferuje Azure i Dynamics raporty dotyczące certyfikacji dla standardów stosowanych do subskrypcji.
Możesz wybrać kartę odpowiednich typów raportów (PCI, SOC, ISO i innych) i użyć filtrów, aby znaleźć potrzebne raporty.
Aby uzyskać więcej informacji, zobacz Generowanie raportów o stanie zgodności i certyfikatów.
Zalecenie przestarzałe "problemy z kondycją agenta Log Analytics należy rozwiązać na maszynach"
Odkryliśmy, że na maszynach powinny zostać rozwiązane zalecenia Log Analytics problemy z kondycją agenta wpływają na wyniki bezpieczeństwa w sposób niezgodny z fokusem cloud security posture Management (CSPM) usługi Security Center. Zazwyczaj CSPM odnosi się do identyfikowania błędów konfiguracji zabezpieczeń. Problemy z kondycją agenta nie pasują do tej kategorii problemów.
Ponadto zalecenie jest anomalią w porównaniu z innymi agentami związanymi z usługą Security Center: jest to jedyny agent z zaleceniem związanym z problemami z kondycją.
Zalecenie zostało uznane za przestarzałe.
W wyniku tego wycofania wprowadziliśmy również drobne zmiany w zaleceniach dotyczących instalowania agenta Log Analytics (Log Analytics agent powinien być zainstalowany na... ).
Prawdopodobnie ta zmiana wpłynie na wyniki bezpieczeństwa. W przypadku większości subskrypcji oczekujemy, że zmiana doprowadzi do zwiększenia oceny, ale w niektórych przypadkach aktualizacje rekomendacji dotyczącej instalacji mogą spowodować zmniejszenie wyników.
Tip
Na tę zmianę wpływa również strona spisu zasobów , ponieważ wyświetla ona monitorowany stan maszyn (monitorowany, niemonitorowany lub częściowo monitorowany — stan, który odwołuje się do agenta z problemami z kondycją).
Azure Defender dla rejestrów kontenerów skanuje teraz pod kątem luk w zabezpieczeniach rejestrów chronionych za pomocą Azure Private Link
Azure Defender rejestrów kontenerów zawiera skaner luk w zabezpieczeniach do skanowania obrazów w rejestrach Azure Container Registry. Dowiedz się, jak skanować rejestry i korygować wyniki w Użyj Azure Defender, aby rejestry kontenerów skanowały obrazy pod kątem luk w zabezpieczeniach.
Aby ograniczyć dostęp do rejestru hostowanego w Azure Container Registry, przypisz prywatne adresy IP sieci wirtualnej do punktów końcowych rejestru i użyj Azure Private Link zgodnie z wyjaśnieniem w Połączenie prywatnie z Azure container registry przy użyciu Azure Private Link.
W ramach naszych ciągłych wysiłków w celu obsługi dodatkowych środowisk i przypadków użycia Azure Defender teraz również skanuje rejestry kontenerów chronione za pomocą Azure Private Link.
Usługa Security Center może teraz automatycznie aprowizacji rozszerzenia konfiguracji gościa Azure Policy (w wersji zapoznawczej)
Azure Policy może przeprowadzać inspekcję ustawień wewnątrz maszyny, zarówno dla maszyn działających na maszynach Azure, jak i połączonych z usługą Arc. Taka weryfikacja jest wykonywana przez klienta i rozszerzenie konfiguracji gościa. Dowiedz się więcej w Azure Policy Konfiguracji gościa Azure Policy.
Dzięki tej aktualizacji można teraz ustawić usługę Security Center tak, aby automatycznie aprowizować to rozszerzenie dla wszystkich obsługiwanych maszyn.
Dowiedz się więcej o tym, jak działa automatyczne aprowizowanie, zobacz Konfigurowanie automatycznej aprowizacji dla agentów i rozszerzeń.
Rekomendacje obsługują teraz "Wymuszanie"
Usługa Security Center zawiera dwie funkcje, które ułatwiają zapewnienie, że nowo utworzone zasoby są aprowidowane w bezpieczny sposób: wymuszanie i odrzucanie. Gdy zalecenie oferuje te opcje, możesz upewnić się, że wymagania dotyczące zabezpieczeń są spełnione za każdym razem, gdy ktoś spróbuje utworzyć zasób:
- Odmowa uniemożliwia tworzenie zasobów w złej kondycji
- Wymuszanie automatycznego korygowania niezgodnych zasobów podczas ich tworzenia
W przypadku tej aktualizacji opcja wymuszania jest teraz dostępna w zaleceniach dotyczących włączania planów Azure Defender (takich jak Azure Defender dla usługi App Service powinna być włączonaAzure Defender dla Key Vault należy włączyć Azure Defender dla magazynu należy włączyć).
Dowiedz się więcej o tych opcjach w temacie Zapobieganie błędom konfiguracji za pomocą zaleceń wymuszania/odmowy.
Eksporty woluminów CSV dotyczące danych rekomendacji są teraz ograniczone do 20 MB
Wprowadzamy limit wynoszący 20 MB podczas eksportowania danych zaleceń usługi Security Center.
Jeśli musisz wyeksportować większe ilości danych, użyj dostępnych filtrów przed wybraniem lub wybierz podzbióry subskrypcji i pobierz dane w partiach.
Dowiedz się więcej o wykonywaniu eksportu plików CSV zaleceń dotyczących zabezpieczeń.
Strona Rekomendacje zawiera teraz wiele widoków
Strona zaleceń zawiera teraz dwie karty umożliwiające wyświetlanie zaleceń dotyczących zasobów:
- Zalecenia dotyczące wskaźnika bezpieczeństwa — użyj tej karty, aby wyświetlić listę zaleceń pogrupowanych według kontroli zabezpieczeń. Dowiedz się więcej na temat tych mechanizmów kontroli w temacie Mechanizmy kontroli zabezpieczeń i ich zalecenia.
- Wszystkie zalecenia — ta karta służy do wyświetlania listy zaleceń jako listy płaskiej. Ta karta doskonale nadaje się również do zrozumienia, która inicjatywa (w tym standardy zgodności z przepisami) wygenerowała zalecenie. Dowiedz się więcej na temat inicjatyw i ich relacji z zaleceniami w artykule Co to są zasady zabezpieczeń, inicjatywy i zalecenia?
Lipiec 2021 r.
Aktualizacje w lipcu obejmują:
- łącznik Microsoft Sentinel zawiera teraz opcjonalną synchronizację alertów dwukierunkowych (w wersji zapoznawczej)
- Reorganizowanie Azure Defender dla alertów Resource Manager
- Enhancements w celu włączenia Azure Disk Encryption (ADE)
- Ciągły eksport danych dotyczących wskaźnika bezpieczeństwa i zgodności z przepisami wydanych na potrzeby ogólnej dostępności
- Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (GA)
- Pola interfejsu API ocen "FirstEvaluationDate" i "StatusChangeDate" są teraz dostępne w schematach obszaru roboczego i aplikacjach logiki
- szablon skoroszytu "Zgodność w czasie" dodany do galerii skoroszytów Azure Monitor
łącznik Microsoft Sentinel zawiera teraz opcjonalną synchronizację alertów dwukierunkowych (w wersji zapoznawczej)
Usługa Security Center natywnie integruje się z rozwiązaniem Microsoft Sentinel Azure natywnym dla chmury rozwiązanieM SIEM i SOAR.
Microsoft Sentinel zawiera wbudowane łączniki dla Azure Security Center na poziomie subskrypcji i dzierżawy. Dowiedz się więcej w artykule
Po nawiązaniu połączenia Azure Defender z Microsoft Sentinel stan alertów Azure Defender pozyskiwanych do Microsoft Sentinel jest synchronizowany między dwiema usługami. Na przykład po zamknięciu alertu w Azure Defender ten alert będzie również wyświetlany jako zamknięty w Microsoft Sentinel. Zmiana stanu alertu w Azure Defender "nie"* ma wpływ na stan dowolnego alertu Microsoft Sentinel incidents które zawierają zsynchronizowany alert Microsoft Sentinel, tylko w przypadku samego zsynchronizowanego alertu.
Po włączeniu funkcji w wersji zapoznawczej synchronizacji alertów kierunkowych automatycznie synchronizuje stan oryginalnych alertów Azure Defender z zdarzeniami Microsoft Sentinel zawierającymi kopie tych alertów Azure Defender. Na przykład po zamknięciu zdarzenia Microsoft Sentinel zawierającego alert Azure Defender Azure Defender automatycznie zamknie odpowiedni alert oryginalny.
Dowiedz się więcej w Łączenie alertów Azure Defender z Azure Security Center.
Logiczna reorganizacja Azure Defender dla alertów Resource Manager
Alerty wymienione poniżej zostały podane w ramach planu Azure Defender dla Resource Manager.
W ramach logicznej reorganizacji niektórych planów Azure Defender przenieśliśmy pewne alerty z Azure Defender dla Resource Manager do Azure Defender dla serwerów.
Alerty są zorganizowane zgodnie z dwiema głównymi zasadami:
- Alerty zapewniające ochronę płaszczyzny sterowania — w wielu typach zasobów Azure — są częścią Azure Defender dla Resource Manager
- Alerty chroniące określone obciążenia znajdują się w planie Azure Defender, który odnosi się do odpowiedniego obciążenia
Są to alerty, które były częścią Azure Defender dla Resource Manager i które w wyniku tej zmiany są teraz częścią Azure Defender dla serwerów:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Dowiedz się więcej o Azure Defender dla planów Resource Manager i Azure Defender for Servers.
Ulepszenia rekomendacji dotyczące włączania Azure Disk Encryption (ADE)
Po wykonaniu opinii użytkowników zmieniliśmy nazwę zalecenia Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych.
Nowe zalecenie używa tego samego identyfikatora oceny i nazywa się Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem.
Opis został również zaktualizowany, aby lepiej wyjaśnić przeznaczenie tego zalecenia dotyczącego wzmacniania zabezpieczeń:
| Recommendation | Description | Severity |
|---|---|---|
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski tymczasowe i pamięci podręczne danych nie są szyfrowane, a dane nie są szyfrowane podczas przepływu między zasobami obliczeniowymi i magazynowymi. Aby uzyskać więcej informacji, zobacz comparison różnych technologii szyfrowania dysków w Azure. Użyj Azure Disk Encryption, aby zaszyfrować wszystkie te dane. Zignoruj to zalecenie, jeśli (1) używasz funkcji szyfrowania na hoście lub (2) szyfrowanie po stronie serwera na Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie Szyfrowanie po stronie serwera Azure Disk Storage. |
High |
Ciągły eksport danych dotyczących wskaźnika bezpieczeństwa i zgodności z przepisami wydanych na potrzeby ogólnej dostępności
Eksport ciągły zapewnia mechanizm eksportowania alertów zabezpieczeń i zaleceń dotyczących śledzenia za pomocą innych narzędzi do monitorowania w danym środowisku.
Podczas konfigurowania eksportu ciągłego należy skonfigurować wyeksportowane elementy i miejsce, w którym zostanie on wyeksportowany. Dowiedz się więcej na temat przeglądu eksportu ciągłego.
Ulepszyliśmy i rozszerzyliśmy tę funkcję z upływem czasu:
W listopadzie 2020 r. dodaliśmy opcję podglądu , aby przesyłać strumieniowo zmiany do wskaźnika bezpieczeństwa.
W grudniu 2020 r. dodaliśmy opcję wersji zapoznawczej w celu przesyłania strumieniowego zmian do danych oceny zgodności z przepisami.
Dzięki tej aktualizacji te dwie opcje są udostępniane w celu zapewnienia ogólnej dostępności.
Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (GA)
W lutym 2021 r. dodaliśmy trzeci typ danych w wersji zapoznawczej do opcji wyzwalacza automatyzacji przepływu pracy: zmiany w ocenach zgodności z przepisami. Dowiedz się więcej w temacie Automatyzacje przepływu pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami.
W przypadku tej aktualizacji ta opcja wyzwalacza jest udostępniana w celu zapewnienia ogólnej dostępności.
Dowiedz się, jak używać narzędzi automatyzacji przepływu pracy w temacie Automatyzowanie odpowiedzi na wyzwalacze usługi Security Center.
Pola interfejsu API ocen "FirstEvaluationDate" i "StatusChangeDate" są teraz dostępne w schematach obszaru roboczego i aplikacjach logiki
W maju 2021 r. zaktualizowaliśmy interfejs API oceny o dwa nowe pola : FirstEvaluationDate i StatusChangeDate. Aby uzyskać szczegółowe informacje, zobacz Interfejs API ocen rozszerzony o dwa nowe pola.
Te pola były dostępne za pośrednictwem interfejsu API REST, Azure Resource Graph, eksportu ciągłego i w eksportach CSV.
Dzięki tej zmianie udostępniamy informacje w schemacie obszaru roboczego Log Analytics i z aplikacji logiki.
Szablon skoroszytu "Zgodność w czasie" dodany do galerii skoroszytów Azure Monitor
W marcu ogłosiliśmy zintegrowane środowisko skoroszytów Azure Monitor w usłudze Security Center (zobacz Azure Monitor Skoroszyty zintegrowane z usługą Security Center i trzy udostępnione szablony).
W początkowej wersji zawarto trzy szablony umożliwiające tworzenie dynamicznych i wizualnych raportów dotyczących stanu zabezpieczeń organizacji.
Dodaliśmy skoroszyt przeznaczony do śledzenia zgodności subskrypcji z zastosowanymi normami prawnymi lub branżowymi.
Dowiedz się więcej o korzystaniu z tych raportów lub tworzeniu własnych informacji w artykule Tworzenie zaawansowanych, interaktywnych raportów dotyczących danych usługi Security Center.
Czerwiec 2021
Aktualizacje w czerwcu obejmują:
- Nowy alert dotyczący Azure Defender dla Key Vault
- Zalecenia dotyczące szyfrowania przy użyciu kluczy zarządzanych przez klienta (CMKs) są domyślnie wyłączone
- Prefiks alertów platformy Kubernetes został zmieniony z "AKS_" na "K8S_"
- Przestarzałe dwa zalecenia dotyczące kontroli zabezpieczeń "Stosowanie aktualizacji systemu"
Nowy alert dotyczący Azure Defender dla Key Vault
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez Azure Defender dla Key Vault, dodaliśmy następujący alert:
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
| Dostęp z podejrzanego adresu IP do magazynu kluczy (KV_SuspiciousIPAccess) |
Magazyn kluczy został pomyślnie uzyskiwany przez adres IP, który został zidentyfikowany przez usługę Microsoft Threat Intelligence jako podejrzany adres IP. Może to oznaczać, że bezpieczeństwo infrastruktury zostało naruszone. Zalecamy dalsze badanie. | Dostęp poświadczeń | Medium |
Aby uzyskać więcej informacji, zobacz:
- Introduction, aby Azure Defender dla Key Vault
- Respond do Azure Defender alertów Key Vault
- List alertów udostępnianych przez Azure Defender dla Key Vault
Zalecenia dotyczące szyfrowania przy użyciu kluczy zarządzanych przez klienta (CMKs) są domyślnie wyłączone
Usługa Security Center zawiera wiele zaleceń dotyczących szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez klienta, takich jak:
- Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
- Azure Cosmos DB konta powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
- Azure Machine Learning obszary robocze powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
Dane w Azure są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, dlatego użycie kluczy zarządzanych przez klienta powinno być stosowane tylko wtedy, gdy jest to wymagane w celu zachowania zgodności z określonymi zasadami, które organizacja decyduje się wymusić.
Dzięki tej zmianie zalecenia dotyczące używania zestawów CMKs są teraz domyślnie wyłączone. Jeśli jest to istotne dla organizacji, możesz je włączyć, zmieniając parametr Effect dla odpowiednich zasad zabezpieczeń na AuditIfNotExists lub Enforce. Dowiedz się więcej w artykule Włączanie rekomendacji dotyczącej zabezpieczeń.
Ta zmiana jest odzwierciedlana w nazwach rekomendacji z nowym prefiksem [Włącz, jeśli jest to wymagane], jak pokazano w następujących przykładach:
- [Włącz, jeśli jest to wymagane] Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych
- [Włącz, jeśli jest to wymagane] Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
- [Włącz, jeśli jest to wymagane] Azure Cosmos DB konta powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
Prefiks alertów platformy Kubernetes został zmieniony z "AKS_" na "K8S_"
Azure Defender dla platformy Kubernetes została niedawno rozszerzona w celu ochrony klastrów Kubernetes hostowanych lokalnie i w środowiskach wielochmurowych. Dowiedz się więcej w Użyj Azure Defender dla platformy Kubernetes w celu ochrony wdrożeń hybrydowych i wielochmurowych platform Kubernetes (w wersji zapoznawczej).
Aby odzwierciedlić fakt, że alerty zabezpieczeń udostępniane przez Azure Defender dla platformy Kubernetes nie są już ograniczone do klastrów w Azure Kubernetes Service, zmieniliśmy prefiks typów alertów z "AKS_" na "K8S_". W razie potrzeby nazwy i opisy również zostały zaktualizowane. Na przykład ten alert:
| Alert (typ alertu) | Description |
|---|---|
| Wykryto narzędzie do testowania penetracyjnego platformy Kubernetes (AKS_PenTestToolsKubeHunter) |
Analiza dziennika inspekcji kubernetes wykryła użycie narzędzia do testowania penetracyjnego Kubernetes w klastrze usługi AKS . Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą używać takich narzędzi publicznych do złośliwych celów. |
Zmieniono na ten alert:
| Alert (typ alertu) | Description |
|---|---|
| Wykryto narzędzie do testowania penetracyjnego platformy Kubernetes (K8S_PenTestToolsKubeHunter) |
Analiza dziennika inspekcji platformy Kubernetes wykryła użycie narzędzia do testowania penetracyjnego Kubernetes w klastrze Kubernetes . Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą używać takich narzędzi publicznych do złośliwych celów. |
Wszystkie reguły pomijania odwołujące się do alertów rozpoczynających się od "AKS_" zostały automatycznie przekonwertowane. Jeśli skonfigurowaliśmy eksporty rozwiązania SIEM lub niestandardowe skrypty automatyzacji odwołujące się do alertów platformy Kubernetes według typu alertu, należy je zaktualizować przy użyciu nowych typów alertów.
Aby uzyskać pełną listę alertów platformy Kubernetes, zobacz Alerty dla klastrów Kubernetes.
Przestarzałe dwa zalecenia dotyczące kontroli zabezpieczeń "Stosowanie aktualizacji systemu"
Następujące dwa zalecenia zostały uznane za przestarzałe:
- OS należy zaktualizować dla ról usługi w chmurze — domyślnie system operacyjny gościa Azure okresowo aktualizuje system operacyjny gościa do najnowszej obsługiwanej wersji w ramach rodziny systemów operacyjnych określonych w konfiguracji usługi (cscfg), takiej jak Windows Server 2016.
- Usługi Kubernetes Services powinny zostać uaktualnione do wersji platformy Kubernetes, która nie jest podatna na zagrożenia — oceny tej rekomendacji nie są tak szerokie, jak chcielibyśmy, aby były. Planujemy zastąpić zalecenie ulepszoną wersją, która jest lepiej zgodna z potrzebami w zakresie zabezpieczeń.
Maj 2021
Aktualizacje w maju obejmują:
- Azure Defender dla systemu DNS i Azure Defender dla Resource Manager wydane w celu zapewnienia ogólnej dostępności
- Azure Defender dla relacyjnych baz danych typu open source wydanych na potrzeby ogólnej dostępności
- Nowe alerty dotyczące Azure Defender dla Resource Manager
- CI/CD skanowanie obrazów kontenera przy użyciu przepływów pracy GitHub i Azure Defender (wersja zapoznawcza)
- Więcej zapytań usługi Resource Graph dostępnych dla niektórych zaleceń
- Ważność zalecenia dotyczącego klasyfikacji danych SQL została zmieniona
- Nowe zalecenia dotyczące włączania zaufanych funkcji uruchamiania (w wersji zapoznawczej)
- Nowe zalecenia dotyczące wzmacniania zabezpieczeń klastrów Kubernetes (w wersji zapoznawczej)
- Interfejs API ocen został rozszerzony o dwa nowe pola
- Spis zasobów pobiera filtr środowiska chmury
Azure Defender dla systemu DNS i Azure Defender dla Resource Manager wydane w celu zapewnienia ogólnej dostępności
Te dwa natywne dla chmury plany ochrony przed zagrożeniami są teraz ogólnie dostępne.
Te nowe zabezpieczenia znacznie zwiększają odporność na ataki ze strony podmiotów zagrożeń i znacznie zwiększają liczbę zasobów Azure chronionych przez Azure Defender.
Azure Defender dla Resource Manager — automatycznie monitoruje wszystkie operacje zarządzania zasobami wykonywane w organizacji. Aby uzyskać więcej informacji, zobacz:
Azure Defender dla systemu DNS — stale monitoruje wszystkie zapytania DNS z zasobów Azure. Aby uzyskać więcej informacji, zobacz:
Aby uprościć proces włączania tych planów, skorzystaj z zaleceń:
- Azure Defender dla Resource Manager należy włączyć
- Azure Defender dla systemu DNS należy włączyć
Note
Włączenie planów Azure Defender powoduje naliczanie opłat. Dowiedz się więcej na temat szczegółów cen w poszczególnych regionach na stronie cennika usługi Security Center.
Azure Defender dla relacyjnych baz danych typu open source wydanych w celu zapewnienia ogólnej dostępności
Azure Security Center rozszerza swoją ofertę ochrony SQL za pomocą nowego pakietu, aby uwzględnić relacyjne bazy danych typu open source:
- Azure Defender dla serwerów baz danych Azure SQL — broni Azure natywnych serwerów SQL Server
- Azure Defender dla serwerów SQL na maszynach — rozszerza te same zabezpieczenia na serwery SQL w środowiskach hybrydowych, wielochmurowych i lokalnych
- Azure Defender dla relacyjnych baz danych typu open source — broni Azure Database for MySQL, PostgreSQL i MariaDB pojedynczych serwerów
Azure Defender dla relacyjnych baz danych typu open source stale monitoruje serwery pod kątem zagrożeń bezpieczeństwa i wykrywa nietypowe działania bazy danych wskazujące potencjalne zagrożenia dla Azure Database for MySQL, PostgreSQL i MariaDB. Niektóre przykłady:
- Granular wykrywanie ataków siłowych — Azure Defender dla relacyjnych baz danych typu open source zawiera szczegółowe informacje na temat prób i pomyślnych ataków siłowych. Dzięki temu można badać i reagować, lepiej rozumiejąc charakter i stan ataku na środowisko.
- Będne wykrywanie alertów — Azure Defender w przypadku relacyjnych baz danych typu open source ostrzega o podejrzanych i nieoczekiwanych zachowaniach na serwerach, takich jak zmiany wzorca dostępu do bazy danych.
- Wykrywanie oparte na inteligencji — Azure Defender stosuje analizę zagrożeń Microsoft i ogromną bazę wiedzy, aby wyświetlić alerty o zagrożeniach, aby można było przeciwko nim działać.
Dowiedz się więcej w Introduction, aby Azure Defender dla relacyjnych baz danych typu open source.
Nowe alerty dotyczące Azure Defender dla Resource Manager
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez Azure Defender dla Resource Manager, dodaliśmy następujące alerty:
| Alert (typ alertu) | Description | TAKTYKA MITRE | Severity |
|---|---|---|---|
|
Permissions przyznane dla roli RBAC w nietypowy sposób dla środowiska Azure (wersja zapoznawcza) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender dla Resource Manager wykrył przypisanie roli RBAC, które jest nietypowe w porównaniu z innymi przypisaniami wykonywanymi przez tego samego przypisania / wykonane dla tego samego przypisania / w dzierżawie z powodu następujących anomalii: czas przypisania, lokalizacja przypisywania, przypisywanie, metoda uwierzytelniania, przypisane jednostki, używane oprogramowanie klienckie, zakres przypisania. Ta operacja mogła zostać wykonana przez uprawnionego użytkownika w organizacji. Alternatywnie może to wskazywać, że konto w organizacji zostało naruszone i że aktor zagrożeń próbuje udzielić uprawnień do dodatkowego konta użytkownika, którego jest właścicielem. | Ruch poprzeczny, uchylanie się od obrony | Medium |
|
Rola niestandardowa uprzywilejowana utworzona dla subskrypcji w podejrzany sposób (wersja zapoznawcza) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender dla Resource Manager wykrył podejrzane tworzenie w subskrypcji uprzywilejowanej niestandardowej definicji roli. Ta operacja mogła zostać wykonana przez uprawnionego użytkownika w organizacji. Alternatywnie może to wskazywać, że konto w organizacji zostało naruszone i że aktor zagrożeń próbuje utworzyć uprzywilejowaną rolę do użycia w przyszłości w celu uniknięcia wykrycia. | Ruch poprzeczny, uchylanie się od obrony | Low |
|
Azure Resource Manager operacja z podejrzanego adresu IP (wersja zapoznawcza) (ARM_OperationFromSuspiciousIP) |
Azure Defender dla Resource Manager wykrył operację z adresu IP, który został oznaczony jako podejrzany w źródłach analizy zagrożeń. | Execution | Medium |
|
Azure Resource Manager operacja z podejrzanego adresu IP serwera proxy (wersja zapoznawcza) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender dla Resource Manager wykrył operację zarządzania zasobami z adresu IP skojarzonego z usługami proxy, takimi jak TOR. Chociaż to zachowanie może być uzasadnione, często występuje w złośliwych działaniach, gdy aktorzy zagrożeń próbują ukryć źródłowy adres IP. | Uchylanie się od obrony | Medium |
Aby uzyskać więcej informacji, zobacz:
- Introduction, aby Azure Defender dla Resource Manager
- Respond do Azure Defender alertów Resource Manager
- Lista alertów udostępnianych przez Azure Defender dla Resource Manager
Skanowanie w zabezpieczeniach ciągłej integracji/ciągłego wdrażania obrazów kontenerów przy użyciu przepływów pracy GitHub i Azure Defender (wersja zapoznawcza)
Azure Defender rejestrów kontenerów zapewnia teraz zespołom DevSecOps wgląd w przepływy pracy GitHub Actions.
Nowa funkcja skanowania luk w zabezpieczeniach dla obrazów kontenerów, korzystająca z rozwiązania Trivy, ułatwia skanowanie pod kątem typowych luk w zabezpieczeniach obrazów kontenerów przed wypychaniem obrazów do rejestrów kontenerów.
Raporty skanowania kontenerów są podsumowane w Azure Security Center, zapewniając zespołom ds. zabezpieczeń lepsze informacje o źródle narażonych obrazów kontenerów oraz przepływów pracy i repozytoriów, z których pochodzą.
Dowiedz się więcej w artykule Identyfikowanie obrazów kontenerów podatnych na zagrożenia w przepływach pracy ciągłej integracji/ciągłego wdrażania.
Więcej zapytań usługi Resource Graph dostępnych dla niektórych zaleceń
Wszystkie zalecenia usługi Security Center mają możliwość wyświetlenia informacji o stanie zasobów, których dotyczy problem, przy użyciu Azure Resource Graph z Otwórz zapytanie. Aby uzyskać szczegółowe informacje na temat tej zaawansowanej funkcji, zobacz Review dane rekomendacji w eksploratorze Azure Resource Graph.
Usługa Security Center obejmuje wbudowane skanery luk w zabezpieczeniach do skanowania maszyn wirtualnych, serwerów SQL i ich hostów oraz rejestrów kontenerów pod kątem luk w zabezpieczeniach. Wyniki są zwracane jako zalecenia dotyczące wszystkich poszczególnych ustaleń dla każdego typu zasobu zebranego w jeden widok. Zalecenia są następujące:
- Luki w zabezpieczeniach w obrazach Azure Container Registry powinny zostać skorygowane (obsługiwane przez firmę Qualys)
- Należy skorygować luki w zabezpieczeniach maszyn wirtualnych
- Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
- Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
Dzięki tej zmianie możesz użyć przycisku Otwórz zapytanie , aby otworzyć również zapytanie przedstawiające wyniki zabezpieczeń.
Przycisk Otwórz zapytanie oferuje dodatkowe opcje dla innych zaleceń tam, gdzie jest to istotne.
Dowiedz się więcej o skanerach luk w zabezpieczeniach usługi Security Center:
- Azure Defender zintegrowany skaner luk w zabezpieczeniach qualys dla maszyn Azure i hybrydowych
- Azure Defender zintegrowany skaner oceny luk w zabezpieczeniach dla serwerów SQL
- Azure Defender zintegrowany skaner oceny luk w zabezpieczeniach dla rejestrów kontenerów
Ważność zalecenia dotyczącego klasyfikacji danych SQL została zmieniona
Ważność zalecenia Poufne dane w bazach danych SQL powinna zostać sklasyfikowana , została zmieniona z Wysoki na Niski.
Jest to część ciągłej zmiany tej rekomendacji ogłoszonej na naszej nadchodzącej stronie zmian.
Nowe zalecenia dotyczące włączania zaufanych funkcji uruchamiania (w wersji zapoznawczej)
Azure oferuje zaufane uruchamianie jako bezproblemowy sposób poprawy bezpieczeństwa maszyn wirtualnych generacji 2. Zaufane uruchamianie chroni przed zaawansowanymi i trwałymi technikami ataków. Zaufane uruchamianie składa się z kilku, skoordynowanych technologii infrastruktury, które można włączyć niezależnie. Każda technologia zapewnia kolejną warstwę obrony przed zaawansowanymi zagrożeniami. Dowiedz się więcej na temat Trusted launch for Azure virtual machines .
Important
Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych. Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.
Zaufane uruchamianie jest obecnie dostępne w publicznej wersji zapoznawczej. Wersja zapoznawcza jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone.
Zalecenie usługi Security Center, vTPM powinno być włączone na obsługiwanych maszynach wirtualnych, gwarantuje, że maszyny wirtualne Azure używają maszyn wirtualnych vTPM. Ta zwirtualizowana wersja sprzętowego modułu Trusted Platform Module umożliwia zaświadczenie przez pomiar całego łańcucha rozruchu maszyny wirtualnej (UEFI, OS, system i sterowniki).
Po włączeniu funkcji vTPM rozszerzenie zaświadczania gościa może zdalnie zweryfikować bezpieczny rozruch. Następujące zalecenia zapewniają wdrożenie tego rozszerzenia:
- Secure Boot należy włączyć na obsługiwanych maszynach wirtualnych Windows
- Gast Rozszerzenie zaświadczania powinno być zainstalowane na obsługiwanych maszynach wirtualnych Windows
- Gast Rozszerzenie zaświadczania powinno być zainstalowane na obsługiwanych Windows Virtual Machine Scale Sets
- Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux
- Gast Rozszerzenie zaświadczania powinno być zainstalowane w obsługiwanym systemie Linux Virtual Machine Scale Sets
Dowiedz się więcej na temat Trusted launch for Azure virtual machines .
Nowe zalecenia dotyczące wzmacniania zabezpieczeń klastrów Kubernetes (w wersji zapoznawczej)
Poniższe zalecenia umożliwiają dalsze wzmacnianie zabezpieczeń klastrów Kubernetes
- Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw — aby chronić przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount, zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes.
- Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API — aby zapobiec potencjalnie naruszonemu zasobowi zasobnika uruchamiania poleceń interfejsu API w klastrach Kubernetes, wyłącz automatyczne instalowanie poświadczeń interfejsu API.
- Klastry Kubernetes nie powinny udzielać możliwości zabezpieczeń CAPSYSADMIN
Dowiedz się, jak usługa Security Center może chronić środowiska konteneryzowane w zabezpieczeniach kontenerów w usłudze Security Center.
Interfejs API ocen został rozszerzony o dwa nowe pola
Do interfejsu API REST ocen dodaliśmy następujące dwa pola:
- FirstEvaluationDate — czas utworzenia i oceny rekomendacji. Zwracany jako czas UTC w formacie ISO 8601.
- StatusChangeDate — czas ostatniego zmiany stanu rekomendacji. Zwracany jako czas UTC w formacie ISO 8601.
Początkowa wartość domyślna dla tych pól — dla wszystkich zaleceń — to 2021-03-14T00:00:00+0000000Z.
Aby uzyskać dostęp do tych informacji, możesz użyć dowolnej z metod w poniższej tabeli.
| Tool | Details |
|---|---|
| Wywołanie interfejsu API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Eksport ciągły | Dwa dedykowane pola będą dostępne dla Log Analytics danych obszaru roboczego |
| Eksportowanie pliku CSV | Dwa pola są uwzględniane w plikach CSV |
Dowiedz się więcej o interfejsie API REST ocen.
Spis zasobów pobiera filtr środowiska chmury
Strona spisu zasobów usługi Security Center oferuje wiele filtrów, które umożliwiają szybkie uściślenie wyświetlanej listy zasobów. Dowiedz się więcej w artykule Eksplorowanie zasobów i zarządzanie nimi za pomocą spisu zasobów.
Nowy filtr oferuje opcję uściślinia listy zgodnie z kontami w chmurze połączonymi z funkcją wielochmurową usługi Security Center.
Dowiedz się więcej o funkcjach wielochmurowych:
- Połączenie kont platformy AWS z Azure Security Center
- Połączenie projektów GCP z Azure Security Center
Kwiecień 2021
Aktualizacje w kwietniu obejmują:
- Odświeżona strona kondycji zasobów (w wersji zapoznawczej)
- Obrazy rejestru kontenerów, które zostały ostatnio pobrane, są teraz ponownie skanowane co tydzień (wydane pod kątem ogólnej dostępności))
- Użyj Azure Defender dla platformy Kubernetes w celu ochrony wdrożeń hybrydowych i wielochmurowych platform Kubernetes (w wersji zapoznawczej)
- Ochrona punktu końcowego w usłudze Microsoft Defender integracja z usługą Azure Defender obsługuje teraz Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop wydane w celu zapewnienia ogólnej dostępności
- Recommendations w celu włączenia Azure Defender dla systemu DNS i Resource Manager (w wersji zapoznawczej)
- Three dodano standardy zgodności z przepisami: Azure CIS 1.3.0, CMMC Level 3 i New Zealand ISM Restricted
- Cztery nowe zalecenia związane z konfiguracją gościa (w wersji zapoznawczej)
- Zalecenia dotyczące klucza zarządzanego przez klienta zostały przeniesione do kontroli zabezpieczeń najlepszych rozwiązań
- Eleven Azure Defender alerty przestarzałe
- Dwie rekomendacje dotyczące kontroli zabezpieczeń "Zastosuj aktualizacje systemu" zostały uznane za przestarzałe
- Azure Defender dla kafelka SQL na maszynie usuniętego z pulpitu nawigacyjnego Azure Defender
- Zalecenia zostały przeniesione między mechanizmami kontroli zabezpieczeń
Odświeżona strona kondycji zasobów (w wersji zapoznawczej)
Kondycja zasobu została rozszerzona, ulepszona i ulepszona w celu zapewnienia widoku migawki ogólnego stanu pojedynczego zasobu.
Możesz przejrzeć szczegółowe informacje o zasobie i wszystkich zaleceniach, które mają zastosowanie do tego zasobu. Ponadto, jeśli używasz zaawansowane plany ochrony Microsoft Defender możesz również zobaczyć zaległe alerty zabezpieczeń dla tego konkretnego zasobu.
Aby otworzyć stronę kondycji zasobu dla zasobu, wybierz dowolny zasób ze strony spisu zasobów.
Ta strona podglądu na stronach portalu usługi Security Center pokazuje:
- Informacje o zasobach — grupa zasobów i subskrypcja, do których jest dołączona, lokalizacja geograficzna i nie tylko.
- Aplikowana funkcja zabezpieczeń — czy Azure Defender jest włączona dla zasobu.
- Counts wybitnych zaleceń i alertów — liczba wybitnych zaleceń dotyczących zabezpieczeń i alertów Azure Defender.
- Zalecenia i alerty z możliwością działania — dwie karty zawierają zalecenia i alerty dotyczące zasobu.
Dowiedz się więcej w artykule Samouczek: badanie kondycji zasobów.
Obrazy rejestru kontenerów, które zostały ostatnio pobrane, są teraz ponownie skanowane co tydzień (wydane pod kątem ogólnej dostępności))
Azure Defender dla rejestrów kontenerów zawiera wbudowany skaner luk w zabezpieczeniach. Ten skaner natychmiast skanuje każdy obraz wypychany do rejestru i dowolny obraz ściągnięty w ciągu ostatnich 30 dni.
Nowe luki w zabezpieczeniach są wykrywane codziennie. Dzięki tej aktualizacji obrazy kontenerów, które zostały pobrane z rejestrów w ciągu ostatnich 30 dni, zostaną ponownie zeskanowane co tydzień. Dzięki temu nowo odnalezione luki w zabezpieczeniach zostaną zidentyfikowane na obrazach.
Opłata za skanowanie jest naliczana na podstawie obrazu, więc za te operacje skanowania nie są naliczane dodatkowe opłaty.
Dowiedz się więcej o tym skanerze w Użyj Azure Defender dla rejestrów kontenerów w celu skanowania obrazów pod kątem luk w zabezpieczeniach.
Używanie Azure Defender dla platformy Kubernetes w celu ochrony wdrożeń hybrydowych i wielochmurowych platformy Kubernetes (w wersji zapoznawczej)
Azure Defender dla platformy Kubernetes rozszerza możliwości ochrony przed zagrożeniami, aby bronić klastrów niezależnie od ich wdrożenia. Zostało to włączone dzięki integracji z Azure Arc z włączoną obsługą platformy Kubernetes i jej nowymi funkcjami rozszerzenia.
Po włączeniu Azure Arc w klastrach platformy Kubernetes innych niż Azure nowe zalecenie z oferty Azure Security Center w celu wdrożenia agenta Azure Defender do nich za pomocą zaledwie kilku kliknięć.
Użyj zalecenia (Azure Arc klastry Kubernetes z włączoną obsługą Azure Defender powinny mieć zainstalowane rozszerzenie Azure Defender) oraz rozszerzenie do ochrony klastrów Kubernetes wdrożonych w innych dostawcach chmury, chociaż nie w zarządzanych usługach Kubernetes.
Ta integracja między Azure Security Center, Azure Defender i platformą Kubernetes z obsługą Azure Arc zapewnia następujące korzyści:
- Łatwa aprowizacja agenta Azure Defender do niechronionych klastrów Kubernetes z włączoną obsługą Azure Arc (ręcznie i na dużą skalę)
- Monitorowanie agenta Azure Defender i jego stanu aprowizacji z portalu Azure Arc
- Zalecenia dotyczące zabezpieczeń z usługi Security Center są zgłaszane na nowej stronie Zabezpieczenia w portalu Azure Arc
- Zidentyfikowane zagrożenia bezpieczeństwa z Azure Defender są zgłaszane na nowej stronie Zabezpieczenia portalu Azure Arc
- klastry Kubernetes z obsługą Azure Arc są zintegrowane z platformą i środowiskiem Azure Security Center
Dowiedz się więcej w Użyj Azure Defender dla platformy Kubernetes za pomocą lokalnych i wielochmurowych klastrów Kubernetes.
integracja Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Azure Defender obsługuje teraz Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop wydane w celu zapewnienia ogólnej dostępności
Ochrona punktu końcowego w usłudze Microsoft Defender to całościowe rozwiązanie zabezpieczeń punktu końcowego dostarczane w chmurze. Zapewnia on zarządzanie lukami w zabezpieczeniach i ocenę opartą na ryzyku, a także wykrywanie i reagowanie w punktach końcowych (EDR). Aby uzyskać pełną listę korzyści z używania Defender dla punktu końcowego wraz z Azure Security Center, zobacz
Po włączeniu Azure Defender dla serwerów z systemem Windows Server jest dołączona licencja Defender dla punktu końcowego. Jeśli włączono już Azure Defender dla serwerów i masz serwery Windows Server 2019 w subskrypcji, automatycznie otrzymają one Defender dla punktu końcowego przy użyciu tej aktualizacji. Nie jest wymagana żadna akcja ręczna.
Obsługa została rozszerzona o Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop.
Note
Jeśli włączasz Defender dla punktu końcowego na serwerze Windows Server 2019, upewnij się, że spełnia on wymagania wstępne opisane w Włączenie integracji Ochrona punktu końcowego w usłudze Microsoft Defender.
Zalecenia dotyczące włączania Azure Defender dla systemu DNS i Resource Manager (w wersji zapoznawczej)
Dodano dwie nowe zalecenia, aby uprościć proces włączania Azure Defender dla Resource Manager i Azure Defender dla systemu DNS:
- Azure Defender dla Resource Manager należy włączyć — Defender dla Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach.
- Azure Defender dla systemu DNS należy włączyć — Defender dla systemu DNS zapewnia dodatkową warstwę ochrony zasobów w chmurze, stale monitorując wszystkie zapytania DNS z zasobów Azure. Azure Defender ostrzega o podejrzanych działaniach w warstwie DNS.
Włączenie planów Azure Defender powoduje naliczanie opłat. Dowiedz się więcej na temat szczegółów cen w poszczególnych regionach na stronie cennika usługi Security Center.
Tip
Rekomendacje dotyczące wersji zapoznawczej nie renderują zasobu w złej kondycji i nie są uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Koryguj je wszędzie tam, gdzie jest to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku. Dowiedz się więcej na temat reagowania na te zalecenia w Remediate zaleceń w Azure Security Center.
Dodano trzy standardy zgodności z przepisami: Azure CIS 1.3.0, CMMC Level 3 i New Zealand ISM Restricted
Dodaliśmy trzy standardy do użycia z Azure Security Center. Korzystając z pulpitu nawigacyjnego zgodności z przepisami, możesz teraz śledzić zgodność z:
Można je przypisać do subskrypcji zgodnie z opisem w temacie Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Dowiedz się więcej w:
- Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami
- Samouczek: ulepszanie zgodności z przepisami
- Często zadawane pytania — pulpit nawigacyjny zgodności z przepisami
Cztery nowe zalecenia związane z konfiguracją gościa (w wersji zapoznawczej)
Azure Gast Configuration extension raporty do usługi Security Center w celu zapewnienia bezpieczeństwa ustawień gościa maszyn wirtualnych. Rozszerzenie nie jest wymagane w przypadku serwerów z włączoną usługą Arc, ponieważ jest ono dostępne w agencie maszyny połączonej z usługą Arc. Rozszerzenie wymaga tożsamości zarządzanej przez system na maszynie.
Dodaliśmy cztery nowe zalecenia do usługi Security Center, aby jak najlepiej wykorzystać to rozszerzenie.
Dwa zalecenia monitować o zainstalowanie rozszerzenia i jego wymaganej tożsamości zarządzanej przez system:
- Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach
- Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system
Po zainstalowaniu i uruchomieniu rozszerzenia rozpocznie inspekcję maszyn i zostanie wyświetlony monit o wzmocnienie zabezpieczeń ustawień, takich jak konfiguracja systemu operacyjnego i ustawień środowiska. Te dwa zalecenia spowodują wyświetlenie monitu o wzmocnienie zabezpieczeń maszyn Windows i Linux zgodnie z opisem:
- Microsoft Defender Exploit Guard należy włączyć na maszynach
- Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH
Dowiedz się więcej w Azure Policy Konfiguracji gościa Azure Policy.
Zalecenia dotyczące klucza zarządzanego przez klienta zostały przeniesione do kontroli zabezpieczeń najlepszych rozwiązań
Każdy program zabezpieczeń organizacji obejmuje wymagania dotyczące szyfrowania danych. Domyślnie Azure dane klientów są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę. Klucze zarządzane przez klienta są jednak często wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych za pomocą klucza Azure Key Vault utworzonego i należącego do Ciebie. Zapewnia to pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie.
Azure Security Center mechanizmów kontroli zabezpieczeń to logiczne grupy powiązanych zaleceń dotyczących zabezpieczeń i odzwierciedlają powierzchnie podatne na ataki. Każda kontrolka ma maksymalną liczbę punktów, które można dodać do wskaźnika bezpieczeństwa, jeśli korygujesz wszystkie zalecenia wymienione w kontrolce dla wszystkich zasobów. Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń kontroli zabezpieczeń jest warte zero punktów. Dlatego rekomendacje w tej kontrolce nie wpływają na wskaźnik bezpieczeństwa.
Zalecenia wymienione poniżej są przenoszone do sekcji Implementowanie kontroli zabezpieczeń najlepszych rozwiązań w celu lepszego odzwierciedlenia ich opcjonalnego charakteru. Ten ruch gwarantuje, że te zalecenia znajdują się w najbardziej odpowiedniej kontroli, aby spełnić ich cel.
- Azure Cosmos DB konta powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
- Azure Machine Learning obszary robocze powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
- Azure AI services konta powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta (CMK)
- Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
- Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
- Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
- Konta magazynu powinny używać klucza zarządzanego przez klienta (CMK) do szyfrowania
Dowiedz się, które zalecenia znajdują się w każdej kontroli zabezpieczeń w obszarze Mechanizmy kontroli zabezpieczeń i ich zalecenia.
11 alertów Azure Defender przestarzałych
Jedenaście alertów Azure Defender wymienionych poniżej zostało przestarzałe.
Nowe alerty zastąpią te dwa alerty i zapewniają lepsze pokrycie:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo WERSJA ZAPOZNAWCZA — wykryto uruchomienie funkcji "Get-AzureDomainInfo" zestawu narzędzi MicroBurst ARM_MicroBurstRunbook WERSJA ZAPOZNAWCZA — wykryto uruchomienie funkcji "Get-AzurePasswords" zestawu narzędzi MicroBurst Te dziewięć alertów dotyczy łącznika usługi Microsoft Entra Identity Protection (IPC), który został już przestarzały:
AlertType AlertDisplayName UnfamiliarLocation Nieznane właściwości logowania AnonymousLogin Anonimowy adres IP InfectedDeviceLogin Adres IP połączony ze złośliwym oprogramowaniem ImpossibleTravel Nietypowa podróż MaliciousIP Złośliwy adres IP LeakedCredentials Ujawnione poświadczenia PasswordSpray Spray haseł LeakedCredentials Microsoft Entra ID analiza zagrożeń AADAI Microsoft Entra ID AI Tip
Te dziewięć alertów IPC nigdy nie były alertami usługi Security Center. Są one częścią łącznika Microsoft Entra Identity Protection (IPC), który wysyłał je do usługi Security Center. W ciągu ostatnich dwóch lat jedynymi klientami, którzy widzieli te alerty, są organizacje, które skonfigurowały eksport (z łącznika do usługi ASC) w 2019 r. lub wcześniej. Microsoft Entra ID IPC nadal pokazuje je we własnych systemach alertów i nadal są dostępne w Microsoft Sentinel. Jedyną zmianą jest to, że nie są one już wyświetlane w usłudze Security Center.
Dwie rekomendacje dotyczące kontroli zabezpieczeń "Zastosuj aktualizacje systemu" zostały uznane za przestarzałe
Następujące dwa zalecenia zostały uznane za przestarzałe, a zmiany mogą spowodować niewielki wpływ na wskaźnik bezpieczeństwa:
- Aby zastosować aktualizacje systemowe, należy ponownie uruchomić maszyny
- Agent monitorowania powinien być zainstalowany na maszynach. To zalecenie dotyczy tylko maszyn lokalnych, a niektóre z jego logiki zostaną przeniesione do innego zalecenia, Log Analytics problemy z kondycją agenta powinny zostać rozwiązane na maszynach
Zalecamy sprawdzenie konfiguracji automatyzacji eksportu ciągłego i przepływu pracy, aby sprawdzić, czy te zalecenia są zawarte w nich. Ponadto wszystkie pulpity nawigacyjne lub inne narzędzia do monitorowania, które mogą ich używać, powinny być odpowiednio aktualizowane.
Azure Defender dla usługi SQL na kafelku maszyny usunięte z pulpitu nawigacyjnego Azure Defender
Obszar pokrycia pulpitu nawigacyjnego Azure Defender zawiera kafelki dla odpowiednich planów Azure Defender dla danego środowiska. Ze względu na problem z raportowaniem liczby chronionych i niechronionych zasobów postanowiliśmy tymczasowo usunąć stan pokrycia zasobów dla Azure Defender dla programu SQL na maszynach dopóki problem nie zostanie rozwiązany.
Zalecenia przeniesione między mechanizmami kontroli zabezpieczeń
Poniższe zalecenia zostały przeniesione do różnych mechanizmów kontroli zabezpieczeń. Mechanizmy kontroli zabezpieczeń to logiczne grupy powiązanych zaleceń dotyczących zabezpieczeń i odzwierciedlają powierzchnie podatne na ataki. Dzięki temu każda z tych rekomendacji jest w najbardziej odpowiedniej kontroli, aby osiągnąć swój cel.
Dowiedz się, które zalecenia znajdują się w każdej kontroli zabezpieczeń w obszarze Mechanizmy kontroli zabezpieczeń i ich zalecenia.
| Recommendation | Zmiana i wpływ |
|---|---|
| Ocena luk w zabezpieczeniach powinna być włączona na Twoich serwerach SQL Ocena luk w zabezpieczeniach powinna być włączona w wystąpieniach zarządzanych SQL Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane Należy skorygować luki w zabezpieczeniach baz danych SQL na maszynach wirtualnych |
Przechodzenie z korygowania luk w zabezpieczeniach (o wartości sześciu punktów) aby skorygować konfiguracje zabezpieczeń (warte cztery punkty). W zależności od środowiska te zalecenia będą miały ograniczony wpływ na ocenę. |
| Do Twojej subskrypcji powinien być przypisany więcej niż jeden właściciel Zmienne konta usługi Automation powinny być szyfrowane Urządzenia IoT — proces inspekcji przestał wysyłać zdarzenia Urządzenia IoT — niepowodzenie weryfikacji punktu odniesienia systemu operacyjnego Urządzenia IoT — wymagane jest uaktualnienie pakietu szyfrowania TLS Urządzenia IoT — otwieranie portów na urządzeniu Urządzenia IoT — znaleziono zasady zapory permissive w jednym z łańcuchów Urządzenia IoT — odnaleziono regułę zapory permissive w łańcuchu danych wejściowych Urządzenia IoT — odnaleziono regułę zapory permissive w łańcuchu danych wyjściowych Dzienniki diagnostyczne w IoT Hub powinny być włączone Urządzenia IoT — agent wysyłający nie w pełni wykorzystywane komunikaty Urządzenia IoT — domyślne zasady filtrowania adresów IP powinny mieć wartość Odmów Urządzenia IoT — reguła filtrowania adresów IP — duży zakres adresów IP Urządzenia IoT — należy dostosować interwały i rozmiar komunikatów agenta Urządzenia IoT — identyczne poświadczenia uwierzytelniania Urządzenia IoT — proces inspekcji przestał wysyłać zdarzenia Urządzenia IoT — konfiguracja punktu odniesienia systemu operacyjnego (OS) powinna zostać naprawiona |
Przejście do implementowania najlepszych rozwiązań w zakresie zabezpieczeń. Gdy rekomendacja zostanie przeniesiona do pozycji Implementowanie kontroli zabezpieczeń najlepszych rozwiązań w zakresie zabezpieczeń, która nie jest warta żadnych punktów, zalecenie nie ma już wpływu na wskaźnik bezpieczeństwa. |
Marzec 2021
Aktualizacje w marcu obejmują:
- zarządzanie Azure Firewall zintegrowane z usługą Security Center
- Ocena luk w zabezpieczeniach SQL obejmuje teraz środowisko "Wyłącz regułę" (wersja zapoznawcza)
- Azure Monitor Skoroszyty zintegrowane z usługą Security Center i dostępne trzy szablony
- pulpit nawigacyjny zgodności Regulatory zawiera teraz raporty inspekcji Azure (wersja zapoznawcza)
- dane Poleceń można wyświetlić w Azure Resource Graph za pomocą polecenia "Eksploruj w usłudze ARG"
- Aktualizacje zasad wdrażania automatyzacji przepływu pracy
- Twoje starsze rekomendacje nie zapisują już danych bezpośrednio w dzienniku aktywności Azure
- Ulepszenia strony rekomendacji
zarządzanie Azure Firewall zintegrowane z usługą Security Center
Po otwarciu Azure Security Center pierwsza strona, która ma być wyświetlana, to strona przeglądu.
Ten interaktywny pulpit nawigacyjny zapewnia ujednolicony widok stanu zabezpieczeń obciążeń chmury hybrydowej. Ponadto wyświetla alerty zabezpieczeń, informacje o zasięgu i nie tylko.
W ramach pomocy w wyświetlaniu stanu zabezpieczeń z poziomu centralnego środowiska zintegrowaliśmy Azure Firewall Manager z tym pulpitem nawigacyjnym. Teraz możesz sprawdzić stan pokrycia zapory we wszystkich sieciach i centralnie zarządzać zasadami Azure Firewall począwszy od usługi Security Center.
Dowiedz się więcej o tym pulpicie nawigacyjnym na stronie przeglądu Azure Security Center.
Ocena luk w zabezpieczeniach SQL obejmuje teraz środowisko "Wyłącz regułę" (wersja zapoznawcza)
Usługa Security Center zawiera wbudowany skaner luk w zabezpieczeniach, który ułatwia odnajdywanie, śledzenie i korygowanie potencjalnych luk w zabezpieczeniach bazy danych. Wyniki skanowania oceny zawierają omówienie stanu zabezpieczeń maszyn SQL oraz szczegółowe informacje na temat wszelkich ustaleń dotyczących zabezpieczeń.
Jeśli masz organizacyjną potrzebę ignorowania znajdowania, a nie korygowania, możesz ją opcjonalnie wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.
Dowiedz się więcej w artykule Wyłączanie określonych wyników.
Azure Monitor Skoroszyty zintegrowane z usługą Security Center i trzema udostępnionymi szablonami
W ramach konferencji Ignite Spring 2021 ogłosiliśmy zintegrowane środowisko skoroszytów Azure Monitor w usłudze Security Center.
Możesz użyć nowej integracji, aby rozpocząć korzystanie z wbudowanych szablonów z galerii usługi Security Center. Za pomocą szablonów skoroszytów można uzyskiwać dostęp do dynamicznych i wizualnych raportów oraz tworzyć je w celu śledzenia stanu zabezpieczeń organizacji. Ponadto możesz tworzyć nowe skoroszyty na podstawie danych usługi Security Center lub innych obsługiwanych typów danych i szybko wdrażać skoroszyty społeczności z GitHub społeczności usługi Security Center.
Dostępne są trzy raporty szablonów:
- Wskaźnik bezpieczeństwa w czasie — śledzenie wyników i zmian subskrypcji w zaleceniach dotyczących zasobów
- Aktualizacje systemu — wyświetlanie brakujących aktualizacji systemu według zasobów, systemu operacyjnego, ważności i nie tylko
- Wyniki oceny — wyświetlanie wyników skanowania luk w zabezpieczeniach zasobów Azure
Dowiedz się więcej o korzystaniu z tych raportów lub tworzeniu własnych informacji w artykule Tworzenie zaawansowanych, interaktywnych raportów dotyczących danych usługi Security Center.
Pulpit nawigacyjny zgodności z przepisami zawiera teraz raporty inspekcji Azure (wersja zapoznawcza)
Na pasku narzędzi pulpitu nawigacyjnego zgodności z przepisami można teraz pobrać Azure i Dynamics raporty dotyczące certyfikacji.
Możesz wybrać kartę odpowiednich typów raportów (PCI, SOC, ISO i innych) i użyć filtrów, aby znaleźć potrzebne raporty.
Dowiedz się więcej na temat zarządzania standardami na pulpicie nawigacyjnym zgodności z przepisami.
Dane rekomendacji można wyświetlić w Azure Resource Graph za pomocą polecenia "Eksploruj w usłudze ARG"
Strony szczegółów rekomendacji zawierają teraz przycisk paska narzędzi "Eksploruj w usłudze ARG". Użyj tego przycisku, aby otworzyć zapytanie Azure Resource Graph i eksplorować, eksportować i udostępniać dane rekomendacji.
Azure Resource Graph (ARG) zapewnia natychmiastowy dostęp do informacji o zasobach w środowiskach chmury dzięki niezawodnym funkcjom filtrowania, grupowania i sortowania. Jest to szybki i wydajny sposób wykonywania zapytań o informacje w ramach subskrypcji Azure programowo lub z poziomu portalu Azure.
Dowiedz się więcej o Azure Resource Graph.
Aktualizacje zasad wdrażania automatyzacji przepływu pracy
Automatyzacja procesów monitorowania i reagowania na zdarzenia w organizacji może znacznie poprawić czas potrzebny do zbadania i ograniczenia zdarzeń zabezpieczeń.
Udostępniamy trzy Azure Policy zasady "DeployIfNotExist", które tworzą i konfigurują procedury automatyzacji przepływu pracy, dzięki czemu można wdrażać automatyzacje w całej organizacji:
| Goal | Policy | Identyfikator zasad |
|---|---|---|
| Automatyzacja przepływu pracy dla alertów zabezpieczeń | Deploy Workflow Automation for Azure Security Center alerts | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automatyzacja przepływu pracy dla zaleceń dotyczących zabezpieczeń | Deploy Workflow Automation for Azure Security Center recommendations | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Automatyzacja przepływu pracy na potrzeby zmian zgodności z przepisami | Deploy Workflow Automation for Azure Security Center regulatory compliance | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Istnieją dwie aktualizacje funkcji tych zasad:
- Po przypisaniu pozostaną one włączone przez wymuszanie.
- Teraz można dostosować te zasady i zaktualizować dowolne parametry nawet po ich wdrożeniu. Możesz na przykład dodać lub edytować klucz oceny.
Rozpocznij pracę z szablonami automatyzacji workflow.
Dowiedz się więcej na temat automatyzowania odpowiedzi na wyzwalacze usługi Security Center.
Dwa starsze zalecenia nie zapisują już danych bezpośrednio w dzienniku aktywności Azure
Usługa Security Center przekazuje dane dla prawie wszystkich zaleceń dotyczących zabezpieczeń, aby Azure Advisor, co z kolei zapisuje je w dzienniku aktywności Azure.
W przypadku dwóch zaleceń dane są zapisywane jednocześnie w dzienniku aktywności Azure. Dzięki tej zmianie usługa Security Center przestaje zapisywać dane dla tych starszych zaleceń dotyczących zabezpieczeń bezpośrednio w dzienniku aktywności. Zamiast tego eksportujemy dane do Azure Advisor, tak jak w przypadku wszystkich innych zaleceń.
Dwa starsze zalecenia to:
- Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach
- Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach
Jeśli masz dostęp do informacji dotyczących tych dwóch zaleceń w kategorii "Zalecenie typu TaskDiscovery" dziennika aktywności, nie jest to już dostępne.
Ulepszenia strony rekomendacji
Opublikowaliśmy ulepszoną wersję listy zaleceń, aby na pierwszy rzut oka przedstawić więcej informacji.
Teraz na stronie zobaczysz:
- Maksymalny wynik i bieżący wynik dla każdej kontroli zabezpieczeń.
- Ikony zastępujące tagi, takie jak Fix i Preview.
- Nowa kolumna przedstawiająca inicjatywę zasad powiązaną z każdym zaleceniem — widoczną, gdy opcja "Grupuj według kontrolek" jest wyłączona.
Dowiedz się więcej w Zalecenia dotyczące zabezpieczeń w Azure Security Center.
Luty 2021 r.
Aktualizacje w lutym obejmują:
- Nowa strona alertów zabezpieczeń w portalu Azure wydanym pod kątem ogólnej dostępności
- Zalecenia dotyczące ochrony obciążeń platformy Kubernetes wydane dla ogólnej dostępności
- integracja Ochrona punktu końcowego w usłudze Microsoft Defender z Azure Defender obsługuje teraz Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop (w wersji zapoznawczej)
- Bezpośredni link do zasad ze strony szczegółów rekomendacji
- Zalecenie dotyczące klasyfikacji danych SQL nie wpływa już na wskaźnik bezpieczeństwa
- Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (w wersji zapoznawczej)
- Ulepszenia strony spisu zasobów
Nowa strona alertów zabezpieczeń w portalu Azure wydana w celu zapewnienia ogólnej dostępności
Strona alertów zabezpieczeń Azure Security Center została przeprojektowana w celu zapewnienia:
- Ulepszone środowisko klasyfikacji alertów — pomaga zmniejszyć zmęczenie alertów i skupić się na najbardziej odpowiednich zagrożeniach, lista zawiera dostosowywalne filtry i opcje grupowania.
- Więcej informacji na liście alertów — takich jak taktyka MITRE ATT&ACK.
- Button, aby utworzyć przykładowe alerty — aby ocenić Azure Defender możliwości i przetestować alerty. konfiguracja (w przypadku integracji rozwiązania SIEM, powiadomień e-mail i automatyzacji przepływów pracy) można tworzyć przykładowe alerty ze wszystkich planów Azure Defender.
- Alignment z doświadczeniem Azure zdarzeń usługi Sentinel — dla klientów korzystających z obu produktów przełączanie się między nimi jest teraz bardziej proste i łatwo nauczyć się ich z drugiej.
- Lepsza wydajność dla dużych list alertów.
- Nawigacja za pomocą klawiatury za pośrednictwem listy alertów.
- Alerts z Azure Resource Graph — możesz wykonywać zapytania dotyczące alertów w Azure Resource Graph, interfejsie API przypominającym kusto dla wszystkich zasobów. Jest to również przydatne, jeśli tworzysz własne pulpity nawigacyjne alertów. Dowiedz się więcej o Azure Resource Graph.
- Utwórz przykładową funkcję alertów — aby utworzyć przykładowe alerty z nowego środowiska alertów, zobacz Generate przykładowe alerty Azure Defender.
Zalecenia dotyczące ochrony obciążeń platformy Kubernetes wydane dla ogólnej dostępności
Z przyjemnością ogłaszamy ogólną dostępność zestawu zaleceń dotyczących ochrony obciążeń platformy Kubernetes.
Aby upewnić się, że obciążenia Platformy Kubernetes są domyślnie bezpieczne, usługa Security Center dodała zalecenia dotyczące wzmacniania zabezpieczeń na poziomie kubernetes, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.
Po zainstalowaniu Azure Policy dla platformy Kubernetes w klastrze Azure Kubernetes Service (AKS) każde żądanie na serwerze interfejsu API Kubernetes będzie monitorowane względem wstępnie zdefiniowanego zestawu najlepszych rozwiązań — wyświetlanego jako 13 zaleceń dotyczących zabezpieczeń — przed utrwalone w klastrze. Następnie można skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.
Możesz na przykład wymuś, że uprzywilejowane kontenery nie powinny być tworzone, a wszelkie przyszłe żądania do tego będą blokowane.
Dowiedz się więcej w artykule Najlepsze rozwiązania dotyczące ochrony obciążeń przy użyciu kontroli wpływu danych na platformę Kubernetes.
Note
Chociaż zalecenia były w wersji zapoznawczej, nie renderowały one złej kondycji zasobu klastra usługi AKS i nie zostały uwzględnione w obliczeniach wskaźnika bezpieczeństwa. Wraz z ogłoszeniem ogólnie dostępnym zostaną one uwzględnione w obliczeniu oceny. Jeśli jeszcze ich nie skorygowaliśmy, może to spowodować niewielki wpływ na wskaźnik bezpieczeństwa. Koryguj je wszędzie tam, gdzie to możliwe, zgodnie z opisem w Remediate zaleceń w Azure Security Center.
integracja Ochrona punktu końcowego w usłudze Microsoft Defender z usługą Azure Defender obsługuje teraz Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop (w wersji zapoznawczej)
Ochrona punktu końcowego w usłudze Microsoft Defender to całościowe rozwiązanie zabezpieczeń punktu końcowego dostarczane w chmurze. Zapewnia on zarządzanie lukami w zabezpieczeniach i ocenę opartą na ryzyku, a także wykrywanie i reagowanie w punktach końcowych (EDR). Aby uzyskać pełną listę korzyści z używania Defender dla punktu końcowego wraz z Azure Security Center, zobacz
Po włączeniu Azure Defender dla serwerów z systemem Windows Server jest dołączona licencja Defender dla punktu końcowego. Jeśli włączono już Azure Defender dla serwerów i masz serwery Windows Server 2019 w subskrypcji, automatycznie otrzymają one Defender dla punktu końcowego przy użyciu tej aktualizacji. Nie jest wymagana żadna akcja ręczna.
Obsługa została rozszerzona o Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop.
Note
Jeśli włączasz Defender dla punktu końcowego na serwerze Windows Server 2019, upewnij się, że spełnia on wymagania wstępne opisane w Włączenie integracji Ochrona punktu końcowego w usłudze Microsoft Defender.
Bezpośredni link do zasad ze strony szczegółów rekomendacji
Podczas przeglądania szczegółów zalecenia często warto zobaczyć podstawowe zasady. Dla każdej rekomendacji obsługiwanej przez zasady jest dostępny nowy link ze strony szczegółów rekomendacji:
Użyj tego linku, aby wyświetlić definicję zasad i przejrzeć logikę oceny.
Zalecenie dotyczące klasyfikacji danych SQL nie wpływa już na wskaźnik bezpieczeństwa
Zalecenie Poufne dane w bazach danych SQL nie powinny już mieć wpływu na wskaźnik bezpieczeństwa. Kontrola zabezpieczeń Zastosuj klasyfikację danych zawierającą ją teraz ma wartość wskaźnika bezpieczeństwa 0.
Aby uzyskać pełną listę wszystkich mechanizmów kontroli zabezpieczeń, wraz z ich wynikami i listą zaleceń w każdej z nich, zobacz Mechanizmy kontroli zabezpieczeń i ich zalecenia.
Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (w wersji zapoznawczej)
Dodaliśmy trzeci typ danych do opcji wyzwalacza automatyzacji przepływu pracy: zmiany w ocenach zgodności z przepisami.
Dowiedz się, jak używać narzędzi automatyzacji przepływu pracy w temacie Automatyzowanie odpowiedzi na wyzwalacze usługi Security Center.
Ulepszenia strony spisu zasobów
Ulepszono stronę spisu zasobów usługi Security Center:
Podsumowania w górnej części strony obejmują teraz niezarejestrowane subskrypcje z liczbą subskrypcji bez włączonej usługi Security Center.
Filtry zostały rozwinięte i ulepszone w celu uwzględnienia:
Counts — każdy filtr przedstawia liczbę zasobów spełniających kryteria każdej kategorii
Zawiera filtr wykluczeń (opcjonalnie) — zawęża wyniki do zasobów, które mają/nie mają wykluczeń. Ten filtr nie jest domyślnie wyświetlany, ale jest dostępny za pomocą przycisku Dodaj filtr .
Dowiedz się więcej o tym, jak eksplorować zasoby i zarządzać nimi za pomocą spisu zasobów.
Styczeń 2021
Aktualizacje w styczniu obejmują:
- Azure Test porównawczy zabezpieczeń jest teraz domyślną inicjatywą zasad dla Azure Security Center
- Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych jest udostępniana w celu zapewnienia ogólnej dostępności
- W wersji zapoznawczej jest teraz dostępny wskaźnik bezpieczeństwa dla grup zarządzania
- Interfejs API wskaźnika bezpieczeństwa został wydany w celu zapewnienia ogólnej dostępności
- Wangling ochrony DNS dodane do Azure Defender dla usługi App Service
- Łączniki z wieloma chmurami są udostępniane w celu zapewnienia ogólnej dostępności
- Wyklucz wszystkie zalecenia z wskaźnika bezpieczeństwa dla subskrypcji i grup zarządzania
- Użytkownicy mogą teraz żądać widoczności całej dzierżawy od administratora globalnego
- 35 — zalecenia dotyczące wersji zapoznawczej dodane w celu zwiększenia zasięgu testu porównawczego zabezpieczeń Azure
- Eksport w formacie CSV przefiltrowanej listy rekomendacji
- zasoby "Nie dotyczy" są teraz zgłaszane jako "Zgodne" w ocenach Azure Policy
- Eksportowanie cotygodniowych migawek wskaźnika bezpieczeństwa i danych zgodności z przepisami przy użyciu eksportu ciągłego (wersja zapoznawcza)
test porównawczy zabezpieczeń Azure jest teraz domyślną inicjatywą zasad dla Azure Security Center
Azure Test porównawczy zabezpieczeń to utworzony Microsoft, Azure zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności opartych na typowych strukturach zgodności. Ten powszechnie szanowany punkt odniesienia opiera się na kontrolach z Centrum Bezpieczeństwa Internetowego (CIS) i Narodowego Instytutu Standardów i Technologii (NIST) z naciskiem na zabezpieczenia skoncentrowane na chmurze.
W ostatnich miesiącach lista wbudowanych zaleceń dotyczących zabezpieczeń usługi Security Center znacznie wzrosła, aby rozszerzyć nasz zakres tego testu porównawczego.
W tej wersji test porównawczy jest podstawą zaleceń usługi Security Center i w pełni zintegrowanej jako domyślna inicjatywa zasad.
Wszystkie usługi Azure mają stronę punktu odniesienia zabezpieczeń w dokumentacji. Te punkty odniesienia są oparte na testach porównawczych zabezpieczeń Azure.
Jeśli używasz pulpitu nawigacyjnego zgodności z przepisami usługi Security Center, zobaczysz dwa wystąpienia testu porównawczego w okresie przejściowym:
Istniejące zalecenia nie mają wpływu i wraz ze wzrostem testu porównawczego zmiany zostaną automatycznie odzwierciedlone w usłudze Security Center.
Aby dowiedzieć się więcej, zobacz następujące strony:
- Dowiedz się więcej na temat testu porównawczego zabezpieczeń Azure
- Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami
Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych jest udostępniana w celu zapewnienia ogólnej dostępności
W październiku ogłosiliśmy wersję zapoznawcza skanowania serwerów z obsługą Azure Arc z Azure Defender dla serwerów zintegrowanego skanera oceny luk w zabezpieczeniach (obsługiwanego przez firmę Qualys).
Jest ona teraz dostępna w wersji ogólnie dostępnej.
Po włączeniu Azure Arc na maszynach innych niż Azure usługa Security Center będzie oferować wdrażanie zintegrowanego skanera luk w zabezpieczeniach — ręcznie i na dużą skalę.
Dzięki tej aktualizacji możesz uwolnić możliwości Azure Defender dla serwerów w celu skonsolidowania programu do zarządzania lukami w zabezpieczeniach we wszystkich zasobach Azure i innych niż Azure.
Główne możliwości:
- Monitorowanie stanu aprowizacji skanera oceny luk w zabezpieczeniach na maszynach Azure Arc
- Aprowizowanie zintegrowanego agenta oceny luk w zabezpieczeniach na maszynach Windows i Linux Azure Arc (ręcznie i na dużą skalę)
- Odbieranie i analizowanie wykrytych luk w zabezpieczeniach od wdrożonych agentów (ręcznie i na dużą skalę)
- Ujednolicone środowisko dla maszyn wirtualnych Azure i maszyn Azure Arc
Dowiedz się więcej o serwerach z obsługą Azure Arc.
W wersji zapoznawczej jest teraz dostępny wskaźnik bezpieczeństwa dla grup zarządzania
Strona wskaźnika bezpieczeństwa zawiera teraz zagregowane wyniki bezpieczeństwa dla grup zarządzania oprócz poziomu subskrypcji. Teraz możesz wyświetlić listę grup zarządzania w organizacji i ocenę dla każdej grupy zarządzania.
Dowiedz się więcej o secure score and security controls in Azure Security Center (Zabezpieczenia i mechanizmy kontroli zabezpieczeń).
Interfejs API wskaźnika bezpieczeństwa został wydany w celu zapewnienia ogólnej dostępności
Teraz możesz uzyskać dostęp do wyniku za pośrednictwem interfejsu API wskaźnika bezpieczeństwa. Metody interfejsu API zapewniają elastyczność wykonywania zapytań dotyczących danych i tworzenia własnego mechanizmu raportowania wyników bezpieczeństwa w czasie. Przykład:
- użyj interfejsu API wskaźnika bezpieczeństwa , aby uzyskać ocenę dla określonej subskrypcji
- użyj interfejsu API kontrolek wskaźnika bezpieczeństwa, aby wyświetlić listę mechanizmów kontroli zabezpieczeń i bieżący wynik subskrypcji
Dowiedz się więcej o narzędziach zewnętrznych dostępnych za pomocą interfejsu API wskaźnika bezpieczeństwa w w obszarze wskaźnika bezpieczeństwa naszej społeczności GitHub.
Dowiedz się więcej o secure score and security controls in Azure Security Center (Zabezpieczenia i mechanizmy kontroli zabezpieczeń).
Zwisanie ochrony DNS dodane do Azure Defender dla usługi App Service
Przejęcia poddomeny są typowym zagrożeniem o wysokiej ważności dla organizacji. Przejęcie poddomeny może wystąpić, gdy masz rekord DNS wskazujący anulowaną aprowizowaną witrynę internetową. Takie rekordy DNS są również znane jako „zwisające wpisy DNS”. Rekordy CNAME są szczególnie narażone na to zagrożenie.
Przejęcia poddomeny umożliwiają aktorom zagrożeń przekierowywanie ruchu przeznaczonego dla domeny organizacji do lokacji wykonującej złośliwe działania.
Azure Defender dla usługi App Service wykrywa teraz zwisające wpisy DNS po zlikwidowaniu witryny internetowej usługi App Service. Jest to moment, w którym wpis DNS wskazuje na zasób, który nie istnieje, a witryna internetowa jest podatna na przejęcie poddomeny. Te zabezpieczenia są dostępne niezależnie od tego, czy domeny są zarządzane za pomocą Azure DNS, czy zewnętrznego rejestratora domen, i mają zastosowanie zarówno do usługi App Service w Windows, jak i App Service dla systemu Linux.
Więcej informacji:
- Tabela odwołań alertów usługiApp Service — zawiera dwa nowe alerty Azure Defender wyzwalające po wykryciu wpisu DNS zwisającego
- Zapobieganie zwisaniu wpisów DNS i unikanie przejęcia poddomeny — dowiedz się więcej o zagrożeniu przejęcia poddomeny i zwisającym aspekcie DNS
- Introduction, aby Azure Defender dla usługi App Service
Łączniki z wieloma chmurami są udostępniane w celu zapewnienia ogólnej dostępności
W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności.
Azure Security Center chroni obciążenia w usługach Azure, Amazon Web Services (AWS) i Google Cloud Platform (GCP).
Łączenie projektów AWS lub GCP integruje swoje natywne narzędzia zabezpieczeń, takie jak AWS Security Hub i GCP Security Command Center w Azure Security Center.
Ta funkcja oznacza, że usługa Security Center zapewnia widoczność i ochronę we wszystkich głównych środowiskach chmury. Niektóre korzyści wynikające z tej integracji:
- Automatyczna aprowizacja agenta — usługa Security Center używa Azure Arc do wdrażania agenta Log Analytics w wystąpieniach platformy AWS
- Zarządzanie zasadami
- Zarządzanie lukami w zabezpieczeniach
- Wykrywanie i reagowanie na osadzone punkty końcowe (EDR)
- Wykrywanie błędów konfiguracji zabezpieczeń
- Pojedynczy widok przedstawiający zalecenia dotyczące zabezpieczeń od wszystkich dostawców usług w chmurze
- Uwzględnij wszystkie zasoby w obliczeniach wskaźnika bezpieczeństwa usługi Security Center
- Oceny zgodności z przepisami zasobów platform AWS i GCP
Z menu Defender dla Chmury wybierz pozycję Sulticloud connector i zobaczysz opcje tworzenia nowych łączników:
Dowiedz się więcej w:
- Połączenie kont platformy AWS z Azure Security Center
- Połączenie projektów GCP z Azure Security Center
Wyklucz wszystkie zalecenia z wskaźnika bezpieczeństwa dla subskrypcji i grup zarządzania
Rozszerzamy możliwości wykluczania w celu uwzględnienia całych zaleceń. Dalsze opcje dostosowywania zaleceń dotyczących zabezpieczeń, które usługa Security Center tworzy dla subskrypcji, grupy zarządzania lub zasobów.
Czasami zasób będzie wyświetlany jako w złej kondycji, gdy wiadomo, że problem został rozwiązany przez narzędzie innej firmy, które nie wykryło usługi Security Center. Lub zalecenie będzie wyświetlane w zakresie, w którym czujesz, że nie należy. Zalecenie może być nieodpowiednie dla określonej subskrypcji. Być może organizacja zdecydowała się zaakceptować zagrożenia związane z konkretnym zasobem lub zaleceniem.
Dzięki tej funkcji w wersji zapoznawczej możesz teraz utworzyć wykluczenie dla zalecenia w celu:
Wyklucz zasób , aby upewnić się, że nie znajduje się on na liście z zasobami w złej kondycji w przyszłości i nie ma wpływu na wskaźnik bezpieczeństwa. Zasób zostanie wyświetlony jako nie dotyczy, a przyczyna zostanie wyświetlona jako "wykluczony" z określonym uzasadnieniem wybranym przez Ciebie.
Wyklucz subskrypcję lub grupę zarządzania, aby upewnić się, że zalecenie nie ma wpływu na wskaźnik bezpieczeństwa i nie będzie wyświetlane dla subskrypcji ani grupy zarządzania w przyszłości. Dotyczy to istniejących zasobów i wszelkich utworzonych w przyszłości. Zalecenie zostanie oznaczone konkretnym uzasadnieniem wybranym dla wybranego zakresu.
Dowiedz się więcej w artykule Wykluczanie zasobów i zaleceń z wskaźnika bezpieczeństwa.
Użytkownicy mogą teraz żądać widoczności całej dzierżawy od administratora globalnego
Jeśli użytkownik nie ma uprawnień do wyświetlania danych usługi Security Center, zobaczy teraz link do żądania uprawnień od administratora globalnego organizacji. Żądanie zawiera rolę, którą chcieliby, oraz uzasadnienie, dlaczego jest to konieczne.
Dowiedz się więcej w temacie Żądanie uprawnień dla całej dzierżawy, gdy nie ma wystarczających uprawnień.
35 zaleceń dotyczących wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń Azure
Azure Security Benchmark jest domyślną inicjatywą zasad w Azure Security Center.
Aby zwiększyć zasięg tego testu porównawczego, do usługi Security Center dodano następujące zalecenia dotyczące wersji zapoznawczej 35.
Tip
Rekomendacje dotyczące wersji zapoznawczej nie renderują zasobu w złej kondycji i nie są uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Koryguj je wszędzie tam, gdzie jest to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku. Dowiedz się więcej na temat reagowania na te zalecenia w Remediate zaleceń w Azure Security Center.
| Kontrola zabezpieczeń | Nowe zalecenia |
|---|---|
| Włączanie szyfrowania magazynowanych | — Azure Cosmos DB konta powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych — Azure Machine Learning obszary robocze powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK) — Ochrona danych przy użyciu własnego klucza powinna być włączona dla serwerów MySQL — Należy włączyć ochronę danych przy użyciu własnego klucza dla serwerów PostgreSQL — Azure AI services konta powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta (CMK) — Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK) — Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych — Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych — Konta magazynu powinny używać klucza zarządzanego przez klienta (CMK) do szyfrowania |
| Implementowanie najlepszych rozwiązań dotyczących zabezpieczeń | — Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami — Automatyczne aprowizowanie agenta Log Analytics powinno być włączone w ramach subskrypcji — Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone - Powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności powinno być włączone — Magazyny kluczy powinny mieć włączoną ochronę przed przeczyszczeniem — Magazyny kluczy powinny mieć włączone usuwanie nietrwałe |
| Zarządzanie dostępem i uprawnieniami | — Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" |
| Ochrona aplikacji przed atakami DDoS | — Web Application Firewall (zapora aplikacji internetowej) powinna być włączona dla usługi Application Gateway — Web Application Firewall (zapora aplikacji internetowej) powinna być włączona dla usługi Azure Front Door Service |
| Ograniczanie nieautoryzowanego dostępu do sieci | — Zapora powinna być włączona w Key Vault — Prywatny punkt końcowy należy skonfigurować dla Key Vault — Usługa App Configuration powinna używać łącza prywatnego — Azure Cache for Redis powinny znajdować się w sieci wirtualnej - Azure Event Grid domeny powinny używać łącza prywatnego — Azure Event Grid tematy powinny używać łącza prywatnego — Azure Machine Learning obszary robocze powinny używać łącza prywatnego - Azure SignalR Service należy użyć łącza prywatnego - Azure Spring Cloud powinien używać iniekcji sieci — Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci — Rejestry kontenerów powinny używać łącza prywatnego - Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB — Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL — Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL — Konto magazynu powinno używać połączenia łącza prywatnego — Konta magazynu powinny ograniczać dostęp do sieci przy użyciu reguł sieci wirtualnej — Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego |
Powiązane linki:
- Dowiedz się więcej na temat testu porównawczego zabezpieczeń Azure
- Dowiedz się więcej o Azure Database for MariaDB
- Dowiedz się więcej o Azure Database for MySQL
- Dowiedz się więcej o Azure Database for PostgreSQL
Eksport w formacie CSV przefiltrowanej listy rekomendacji
W listopadzie 2020 r. dodaliśmy filtry do strony zaleceń.
Wraz z tym ogłoszeniem zmieniamy zachowanie przycisku Pobierz do pliku CSV, tak aby eksport CSV zawierał tylko zalecenia wyświetlane obecnie na filtrowanej liście.
Na przykład na poniższej ilustracji widać, że lista jest filtrowana do dwóch zaleceń. Wygenerowany plik CSV zawiera szczegóły stanu dla każdego zasobu, którego dotyczy te dwa zalecenia.
Dowiedz się więcej w Zalecenia dotyczące zabezpieczeń w Azure Security Center.
Zasoby "Nie dotyczy" są teraz zgłaszane jako "Zgodne" w ocenach Azure Policy
Wcześniej zasoby, które zostały ocenione pod kątem rekomendacji i okazało się, że nie dotyczy były wyświetlane w Azure Policy jako "Niezgodne". Żadne akcje użytkownika nie mogą zmienić stanu na "Zgodne". Dzięki tej zmianie są one zgłaszane jako "Zgodne" w celu zwiększenia przejrzystości.
Jedyny wpływ będzie widoczny w Azure Policy, w którym liczba zgodnych zasobów wzrośnie. Nie będzie to miało wpływu na wskaźnik bezpieczeństwa w Azure Security Center.
Eksportowanie cotygodniowych migawek wskaźnika bezpieczeństwa i danych zgodności z przepisami przy użyciu eksportu ciągłego (wersja zapoznawcza)
Dodaliśmy nową funkcję w wersji zapoznawczej do narzędzi eksportu ciągłego do eksportowania cotygodniowych migawek wskaźnika bezpieczeństwa i danych zgodności z przepisami.
Podczas definiowania eksportu ciągłego ustaw częstotliwość eksportowania:
- Przesyłanie strumieniowe — oceny będą wysyłane po zaktualizowaniu stanu kondycji zasobu (jeśli nie wystąpią żadne aktualizacje, żadne dane nie zostaną wysłane).
- Migawki — migawka bieżącego stanu wszystkich ocen zgodności z przepisami będzie wysyłana co tydzień (jest to funkcja w wersji zapoznawczej dla cotygodniowych migawek wyników bezpieczeństwa i danych zgodności z przepisami).
Dowiedz się więcej o pełnych możliwościach tej funkcji w artykule Ciągłe eksportowanie danych usługi Security Center.
Grudzień 2020
Aktualizacje w grudniu obejmują:
- Azure Defender dla serwerów SQL na maszynach jest ogólnie dostępna
- Azure Defender w przypadku obsługi Azure Synapse Analytics dedykowanej puli SQL jest ogólnie dostępna
- Administratorzy globalni mogą teraz udzielać sobie uprawnień na poziomie dzierżawy
- Twoje nowe plany Azure Defender: Azure Defender dla systemu DNS i Azure Defender dla Resource Manager (w wersji zapoznawczej)
- Nowa strona alertów zabezpieczeń w portalu Azure (wersja zapoznawcza)
Revitalized Security Center experience in Azure SQL Database & SQL Managed Instance - Zaktualizowane narzędzia i filtry spisu zasobów
- Zalecenie dotyczące aplikacji internetowych żądających certyfikatów SSL nie jest już częścią wskaźnika bezpieczeństwa
- Strona Rekomendacje zawiera nowe filtry dla środowiska, ważności i dostępnych odpowiedzi
- Eksport ciągły pobiera nowe typy danych i ulepszone zasady deployifnotexist
Azure Defender dla serwerów SQL na maszynach jest ogólnie dostępna
Azure Security Center oferuje dwa plany Azure Defender dla serwerów SQL:
- Azure Defender dla serwerów baz danych Azure SQL — broni Azure natywnych serwerów SQL Server
- Azure Defender dla serwerów SQL na maszynach — rozszerza te same zabezpieczenia na serwery SQL w środowiskach hybrydowych, wielochmurowych i lokalnych
Wraz z tym ogłoszeniem Azure Defender dla programu SQL chroni teraz bazy danych i ich dane niezależnie od lokalizacji.
Azure Defender dla języka SQL obejmuje możliwości oceny luk w zabezpieczeniach. Narzędzie do oceny luk w zabezpieczeniach obejmuje następujące zaawansowane funkcje:
- Konfiguracja linii bazowej (New!) w celu inteligentnego uściślenia wyników skanowania luk w zabezpieczeniach do tych, które mogą reprezentować rzeczywiste problemy z zabezpieczeniami. Po ustanowieniu stanu zabezpieczeń punktu odniesienia narzędzie do oceny luk w zabezpieczeniach zgłasza tylko odchylenia od tego stanu punktu odniesienia. Wyniki zgodne z punktem odniesienia są traktowane jako przekazywanie kolejnych skanowań. Dzięki temu ty i twoi analitycy skupiają uwagę, gdzie ma to znaczenie.
- Szczegółowe informacje dotyczące testów porównawczych ułatwiające zrozumienie odnalezionych wyników i ich powiązania z zasobami.
- Skrypty korygowania ułatwiające eliminowanie zidentyfikowanych zagrożeń.
Dowiedz się więcej o Azure Defender dla programu SQL.
Azure Defender obsługi sql dla dedykowanej puli SQL Azure Synapse Analytics jest ogólnie dostępna
Azure Synapse Analytics (dawniej SQL DW) to usługa analityczna łącząca magazynowanie danych przedsiębiorstwa i analizę danych big data. Dedykowane pule SQL to funkcje magazynowania danych przedsiębiorstwa Azure Synapse. Dowiedz się więcej w Jak Azure Synapse Analytics (dawniej SQL DW)?.
Azure Defender dla usługi SQL chroni dedykowane pule SQL za pomocą:
- Zaawansowana ochrona przed zagrożeniami w celu wykrywania zagrożeń i ataków
- Możliwości oceny luk w zabezpieczeniach w celu identyfikowania i korygowania błędów konfiguracji zabezpieczeń
Azure Defender na potrzeby obsługi pul Azure Synapse Analytics SQL jest automatycznie dodawany do pakietu Azure SQL baz danych w Azure Security Center. Na stronie obszaru roboczego usługi Synapse na stronie obszaru roboczego usługi Synapse w portalu Azure znajduje się nowa karta
Dowiedz się więcej o Azure Defender dla programu SQL.
Administratorzy globalni mogą teraz udzielać sobie uprawnień na poziomie dzierżawy
Użytkownik z rolą Microsoft Entra ID Global Administrator może mieć obowiązki dla całej dzierżawy, ale nie ma uprawnień Azure do wyświetlania tych informacji w całej organizacji w Azure Security Center.
Aby przypisać sobie uprawnienia na poziomie dzierżawy, postępuj zgodnie z instrukcjami w temacie Udzielanie uprawnień dla całej dzierżawy samodzielnie.
Dwa nowe plany Azure Defender: Azure Defender dla systemu DNS i Azure Defender dla Resource Manager (w wersji zapoznawczej)
Dodaliśmy dwie nowe natywne dla chmury możliwości ochrony przed zagrożeniami dla twojego środowiska Azure.
Te nowe zabezpieczenia znacznie zwiększają odporność na ataki ze strony podmiotów zagrożeń i znacznie zwiększają liczbę zasobów Azure chronionych przez Azure Defender.
Azure Defender dla Resource Manager — automatycznie monitoruje wszystkie operacje zarządzania zasobami wykonywane w organizacji. Aby uzyskać więcej informacji, zobacz:
Azure Defender dla systemu DNS — stale monitoruje wszystkie zapytania DNS z zasobów Azure. Aby uzyskać więcej informacji, zobacz:
Nowa strona alertów zabezpieczeń w portalu Azure (wersja zapoznawcza)
Strona alertów zabezpieczeń Azure Security Center została przeprojektowana w celu zapewnienia:
- Ulepszone środowisko klasyfikacji alertów — pomaga zmniejszyć zmęczenie alertów i skupić się na najbardziej odpowiednich zagrożeniach, lista zawiera dostosowywalne filtry i opcje grupowania
- Więcej informacji na liście alertów — takich jak taktyka MITRE ATT&ACK
- Button w celu utworzenia przykładowych alertów — aby ocenić Azure Defender możliwości i przetestować konfigurację alertów (w przypadku integracji rozwiązania SIEM, powiadomień e-mail i automatyzacji przepływu pracy), możesz utworzyć przykładowe alerty ze wszystkich planów Azure Defender
- Wyłączenie ze środowiskiem zdarzeń usługi Azure Sentinel — dla klientów, którzy korzystają z obu produktów, przełączanie się między nimi jest teraz bardziej proste i łatwo nauczyć się jednego z pozostałych
- Lepsza wydajność dla dużych list alertów
- Nawigacja za pomocą klawiatury na liście alertów
- Alerts z Azure Resource Graph — możesz wykonywać zapytania dotyczące alertów w Azure Resource Graph, interfejsie API przypominającym kusto dla wszystkich zasobów. Jest to również przydatne, jeśli tworzysz własne pulpity nawigacyjne alertów. Dowiedz się więcej o Azure Resource Graph.
Aby uzyskać dostęp do nowego środowiska, użyj linku "Wypróbuj teraz" na banerze w górnej części strony alertów zabezpieczeń.
Aby utworzyć przykładowe alerty na podstawie nowego środowiska alertów, zobacz Ogeneruj przykładowe alerty Azure Defender.
Ożywione środowisko usługi Security Center w Azure SQL Database i SQL Managed Instance
Środowisko usługi Security Center w programie SQL zapewnia dostęp do następujących usług Security Center i Azure Defender dla funkcji SQL:
- Zalecenia dotyczące zabezpieczeń — Usługa Security Center okresowo analizuje stan zabezpieczeń wszystkich połączonych zasobów Azure w celu zidentyfikowania potencjalnych błędów konfiguracji zabezpieczeń. Następnie zawiera zalecenia dotyczące sposobu korygowania tych luk w zabezpieczeniach i poprawy stanu zabezpieczeń organizacji.
- Alerty zabezpieczeń — usługa wykrywania, która stale monitoruje działania Azure SQL pod kątem zagrożeń, takich jak wstrzyknięcie kodu SQL, ataki siłowe i nadużycie uprawnień. Ta usługa wyzwala szczegółowe i zorientowane na akcje alerty zabezpieczeń w usłudze Security Center i udostępnia opcje kontynuowania badań za pomocą Microsoft Sentinel, Azure Microsoft natywnego rozwiązania SIEM Microsoft.
- Findings — usługa oceny luk w zabezpieczeniach, która stale monitoruje konfiguracje Azure SQL i pomaga w korygowaniu luk w zabezpieczeniach. Skany oceny zawierają omówienie Azure SQL stanów zabezpieczeń wraz ze szczegółowymi ustaleniami zabezpieczeń.
Zaktualizowane narzędzia i filtry spisu zasobów
Strona spisu w Azure Security Center została odświeżona z następującymi zmianami:
Prowadnice i opinie dodane do paska narzędzi. Spowoduje to otwarcie okienka z linkami do powiązanych informacji i narzędzi.
Filtr subskrypcji dodany do domyślnych filtrów dostępnych dla zasobów.
Otwórz zapytanie link do otwierania bieżących opcji filtru jako zapytania Azure Resource Graph (dawniej "Wyświetl w eksploratorze grafów zasobów").
Opcje operatorów dla każdego filtru. Teraz możesz wybrać spośród większej liczby operatorów logicznych innych niż '='. Na przykład możesz znaleźć wszystkie zasoby z aktywnymi zaleceniami, których tytuły zawierają ciąg "encrypt".
Dowiedz się więcej o spisie w temacie Eksplorowanie zasobów i zarządzanie nimi za pomocą spisu zasobów.
Zalecenie dotyczące aplikacji internetowych żądających certyfikatów SSL nie jest już częścią wskaźnika bezpieczeństwa
Zalecenie "Aplikacje internetowe powinny zażądać certyfikatu SSL dla wszystkich żądań przychodzących" zostało przeniesione z kontroli zabezpieczeń Zarządzanie dostępem i uprawnieniami (o wartości maksymalnie 4 pkt) do sekcji Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń (które nie są warte żadnych punktów).
Zapewnienie, że aplikacja internetowa żąda certyfikatu, z pewnością sprawia, że jest ona bezpieczniejsza. Jednak w przypadku publicznych aplikacji internetowych nie ma znaczenia. Jeśli uzyskujesz dostęp do witryny za pośrednictwem protokołu HTTP, a nie https, nie otrzymasz żadnego certyfikatu klienta. Jeśli więc aplikacja wymaga certyfikatów klienta, nie należy zezwalać na żądania do aplikacji za pośrednictwem protokołu HTTP. Dowiedz się więcej w Konfigurowanie wzajemnego uwierzytelniania TLS dla Azure App Service.
Dzięki tej zmianie zalecenie jest teraz zalecanym najlepszym rozwiązaniem, które nie ma wpływu na ocenę.
Dowiedz się, które zalecenia znajdują się w każdej kontroli zabezpieczeń w obszarze Mechanizmy kontroli zabezpieczeń i ich zalecenia.
Strona Rekomendacje zawiera nowe filtry dla środowiska, ważności i dostępnych odpowiedzi
Azure Security Center monitoruje wszystkie połączone zasoby i generuje zalecenia dotyczące zabezpieczeń. Skorzystaj z tych zaleceń, aby wzmocnić stan chmury hybrydowej i śledzić zgodność z zasadami i standardami dotyczącymi organizacji, branży i kraju/regionu.
Ponieważ usługa Security Center nadal rozszerza zakres i funkcje, lista zaleceń dotyczących zabezpieczeń rośnie co miesiąc. Zobacz na przykład Twenty dziewięć zaleceń dotyczących wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń Azure.
Wraz z rosnącą listą istnieje potrzeba filtrowania zaleceń, aby znaleźć zalecenia o największym zainteresowaniu. W listopadzie dodaliśmy filtry do strony zaleceń (zobacz Lista zaleceń zawiera teraz filtry).
Filtry dodane w tym miesiącu udostępniają opcje uściślinia listy zaleceń zgodnie z następującymi elementami:
Environment — wyświetlanie zaleceń dotyczących zasobów platform AWS, GCP lub Azure (lub dowolnej kombinacji)
Ważność — wyświetlanie zaleceń zgodnie z klasyfikacją ważności ustawioną przez usługę Security Center
Akcje odpowiedzi — wyświetlanie zaleceń zgodnie z dostępnością opcji odpowiedzi usługi Security Center: Naprawa, Odmów i Wymuszanie
Tip
Filtr akcji odpowiedzi zastępuje filtr Szybkie poprawki dostępne (Tak/Nie).
Dowiedz się więcej o każdej z tych opcji odpowiedzi:
Eksport ciągły pobiera nowe typy danych i ulepszone zasady deployifnotexist
narzędzia do ciągłego eksportowania Azure Security Center umożliwiają eksportowanie zaleceń i alertów usługi Security Center do użycia z innymi narzędziami do monitorowania w danym środowisku.
Eksport ciągły pozwala w pełni dostosować wyeksportowane elementy i miejsce, w którym zostanie on wyeksportowany. Aby uzyskać szczegółowe informacje, zobacz Ciągłe eksportowanie danych usługi Security Center.
Te narzędzia zostały ulepszone i rozwinięte w następujący sposób:
Ulepszono zasady deployifnotexist eksportu ciągłego. Zasady są teraz następujące:
Sprawdź, czy konfiguracja jest włączona. Jeśli tak nie jest, zasady będą wyświetlane jako niezgodne i tworzą zgodny zasób. Dowiedz się więcej o podanych szablonach Azure Policy na karcie "Wdrażanie na dużą skalę przy użyciu Azure Policy" w Konsekguruj eksport ciągły.
Obsługa eksportowania wyników zabezpieczeń. W przypadku korzystania z szablonów Azure Policy można skonfigurować eksport ciągły w celu uwzględnienia wyników. Jest to istotne w przypadku eksportowania zaleceń z zaleceniami "podrzędnymi", takimi jak wyniki skanerów oceny luk w zabezpieczeniach lub określone aktualizacje systemu dla zalecenia "nadrzędnego" "Aktualizacje systemu powinny być zainstalowane na maszynach".
Obsługa eksportowania danych wskaźnika bezpieczeństwa.
Dodane dane oceny zgodności z przepisami (w wersji zapoznawczej). Teraz można stale eksportować aktualizacje do ocen zgodności z przepisami, w tym dla dowolnych inicjatyw niestandardowych, do obszaru roboczego Log Analytics lub usługi Event Hubs. Ta funkcja jest niedostępna w chmurach krajowych.
Listopad 2020
Aktualizacje w listopadzie obejmują:
- 29 — zalecenia dotyczące wersji zapoznawczej dodane w celu zwiększenia zasięgu testu porównawczego zabezpieczeń Azure
- Dodatek NIST SP 800 171 R2 do pulpitu nawigacyjnego zgodności z przepisami usługi Security Center
- Lista zaleceń zawiera teraz filtry
- Ulepszono i rozszerzono środowisko automatycznego aprowizowania
- Wskaźnik bezpieczeństwa jest teraz dostępny w eksporcie ciągłym (wersja zapoznawcza)
- Zalecenie "Aktualizacje systemu powinny być zainstalowane na maszynach" zawiera teraz polecenia podrzędne
- Strona zarządzania zasadami w portalu Azure zawiera teraz stan domyślnych przypisań zasad
29 zaleceń dotyczących wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń Azure
Azure Test porównawczy zabezpieczeń to utworzony Microsoft, specyficzny dla Azure zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności opartych na typowych strukturach zgodności. Dowiedz się więcej na temat testu porównawczego zabezpieczeń Azure.
Następujące 29 zaleceń dotyczących wersji zapoznawczej zostało dodanych do usługi Security Center w celu zwiększenia zasięgu tego testu porównawczego.
Rekomendacje dotyczące wersji zapoznawczej nie renderują zasobu w złej kondycji i nie są uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Koryguj je wszędzie tam, gdzie jest to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku. Dowiedz się więcej na temat reagowania na te zalecenia w Remediate zaleceń w Azure Security Center.
| Kontrola zabezpieczeń | Nowe zalecenia |
|---|---|
| Szyfrowanie danych podczas przesyłania | — Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL — Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL — Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API — Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji funkcji — Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej — Protokół FTPS powinien być wymagany w aplikacji interfejsu API - FTPS powinny być wymagane w aplikacji funkcji — Protokół FTPS powinien być wymagany w aplikacji internetowej |
| Zarządzanie dostępem i uprawnieniami | — Aplikacje internetowe powinny żądać certyfikatu SSL dla wszystkich żądań przychodzących — Tożsamość zarządzana powinna być używana w aplikacji interfejsu API — Tożsamość zarządzana powinna być używana w aplikacji funkcji — Tożsamość zarządzana powinna być używana w aplikacji internetowej |
| Ograniczanie nieautoryzowanego dostępu do sieci | — Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL — Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB — Prywatny punkt końcowy powinien być włączony dla serwerów MySQL |
| Włączanie inspekcji i rejestrowania | — Dzienniki diagnostyczne w usługach App Services powinny być włączone |
| Implementowanie najlepszych rozwiązań dotyczących zabezpieczeń | — Azure Backup należy włączyć dla maszyn wirtualnych — Należy włączyć geograficznie nadmiarową kopię zapasową dla Azure Database for MariaDB — Należy włączyć geograficznie nadmiarową kopię zapasową dla Azure Database for MySQL — Należy włączyć geograficznie nadmiarową kopię zapasową dla Azure Database for PostgreSQL — Język PHP powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API — Język PHP powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej — Java należy zaktualizować do najnowszej wersji aplikacji interfejsu API — Java należy zaktualizować do najnowszej wersji aplikacji funkcji — Java należy zaktualizować do najnowszej wersji aplikacji internetowej — Python należy zaktualizować do najnowszej wersji aplikacji interfejsu API — Python należy zaktualizować do najnowszej wersji aplikacji funkcji — Python należy zaktualizować do najnowszej wersji aplikacji internetowej — Przechowywanie inspekcji dla serwerów SQL powinno być ustawione na co najmniej 90 dni |
Powiązane linki:
- Dowiedz się więcej na temat testu porównawczego zabezpieczeń Azure
- Dowiedz się więcej o aplikacjach interfejsu API Azure
- Dowiedz się więcej o aplikacjach funkcji Azure
- Dowiedz się więcej o aplikacjach internetowych Azure
- Dowiedz się więcej o Azure Database for MariaDB
- Dowiedz się więcej o Azure Database for MySQL
- Dowiedz się więcej o Azure Database for PostgreSQL
Dodatek NIST SP 800 171 R2 do pulpitu nawigacyjnego zgodności z przepisami usługi Security Center
Standard NIST SP 800-171 R2 jest teraz dostępny jako wbudowana inicjatywa do użycia z pulpitem nawigacyjnym zgodności z przepisami Azure Security Center. Mapowania kontrolek zostały opisane w sekcji Szczegóły wbudowanej inicjatywy NIST SP 800-171 R2 zgodność z przepisami.
Aby zastosować standard do subskrypcji i stale monitorować stan zgodności, skorzystaj z instrukcji w temacie Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-171 R2.
Lista zaleceń zawiera teraz filtry
Teraz można filtrować listę zaleceń dotyczących zabezpieczeń zgodnie z zakresem kryteriów. W poniższym przykładzie lista zaleceń jest filtrowana w celu wyświetlenia zaleceń, które:
- są ogólnie dostępne (to nie jest wersja zapoznawcza)
- są przeznaczone dla kont magazynu
- obsługa szybkiego korygowania poprawek
Ulepszono i rozszerzono środowisko automatycznego aprowizowania
Funkcja automatycznego aprowizowania pomaga zmniejszyć obciążenie związane z zarządzaniem przez zainstalowanie wymaganych rozszerzeń na nowych i istniejących maszynach wirtualnych Azure, aby mogły korzystać z ochrony usługi Security Center.
Wraz z rozwojem Azure Security Center opracowano więcej rozszerzeń, a usługa Security Center może monitorować większą listę typów zasobów. Narzędzia do automatycznego aprowizowania zostały teraz rozszerzone w celu obsługi innych rozszerzeń i typów zasobów dzięki wykorzystaniu możliwości Azure Policy.
Teraz można skonfigurować automatyczne aprowizowanie:
- agent Log Analytics
- (Nowy) Azure Policy dla platformy Kubernetes
- (Nowy) agent zależności Microsoft
Dowiedz się więcej w Autoprovisioning agentów i rozszerzeń z Azure Security Center.
Wskaźnik bezpieczeństwa jest teraz dostępny w eksporcie ciągłym (wersja zapoznawcza)
Dzięki ciągłemu eksportowaniu wskaźnika bezpieczeństwa można przesyłać strumieniowo zmiany w wyniku w czasie rzeczywistym do Azure Event Hubs lub obszaru roboczego Log Analytics. Za pomocą tej funkcji możesz wykonywać następujące działania:
- śledzenie wskaźnika bezpieczeństwa w czasie za pomocą dynamicznych raportów
- eksportowanie danych wskaźnika bezpieczeństwa do Microsoft Sentinel (lub dowolnego innego rozwiązania SIEM)
- integrowanie tych danych z dowolnymi procesami, których można już używać do monitorowania wskaźnika bezpieczeństwa w organizacji
Dowiedz się więcej o tym, jak stale eksportować dane usługi Security Center.
Zalecenie "Aktualizacje systemu powinny być zainstalowane na maszynach" zawiera teraz polecenia podrzędne
Aktualizacje systemu powinny być zainstalowane na zalecanych maszynach . Nowa wersja zawiera podpoleceń dla każdej brakującej aktualizacji i wprowadza następujące ulepszenia:
Przeprojektowane środowisko na stronach Azure Security Center portalu Azure. Strona szczegółów rekomendacji dotycząca aktualizacji systemu powinna być zainstalowana na maszynach wraz z listą wyników, jak pokazano poniżej. Po wybraniu pojedynczego znalezienia zostanie otwarte okienko szczegółów z linkiem do informacji korygowania i listą zasobów, których dotyczy problem.
Wzbogacone dane dla rekomendacji z Azure Resource Graph (ARG). ARG to usługa Azure zaprojektowana w celu zapewnienia wydajnej eksploracji zasobów. Za pomocą usługi ARG można wykonywać zapytania na dużą skalę w danym zestawie subskrypcji, aby skutecznie zarządzać środowiskiem.
W przypadku Azure Security Center można użyć ARG i Kusto Query Language (KQL) do wykonywania zapytań dotyczących szerokiego zakresu danych stanu zabezpieczeń.
Wcześniej, jeśli wykonano zapytanie dotyczące tego zalecenia w usłudze ARG, jedynymi dostępnymi informacjami było to, że zalecenie musi zostać skorygowane na maszynie. Następujące zapytanie rozszerzonej wersji zwróci wszystkie brakujące aktualizacje systemu pogrupowane według maszyny.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Strona zarządzania zasadami w portalu Azure zawiera teraz stan domyślnych przypisań zasad
Teraz możesz sprawdzić, czy subskrypcje mają przypisane domyślne zasady usługi Security Center, w
Październik 2020
Aktualizacje w październiku obejmują:
- Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych (wersja zapoznawcza)
- Azure Firewall dodano zalecenie (wersja zapoznawcza)
- Autoryzowane zakresy adresów IP powinny być zdefiniowane w rekomendacji usługi Kubernetes Services zaktualizowanym z szybką poprawką
- Pulpit nawigacyjny zgodności z przepisami zawiera teraz opcję usuwania standardów
- Microsoft. Tabela Security/securityStatuses została usunięta z Azure Resource Graph
Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych (wersja zapoznawcza)
Azure Defender dla serwerów zintegrowanego skanera oceny luk w zabezpieczeniach (obsługiwanego przez firmę Qualys) skanuje teraz serwery z obsługą Azure Arc.
Po włączeniu Azure Arc na maszynach innych niż Azure usługa Security Center będzie oferować wdrażanie zintegrowanego skanera luk w zabezpieczeniach — ręcznie i na dużą skalę.
Dzięki tej aktualizacji możesz uwolnić możliwości Azure Defender dla serwerów w celu skonsolidowania programu do zarządzania lukami w zabezpieczeniach we wszystkich zasobach Azure i innych niż Azure.
Główne możliwości:
- Monitorowanie stanu aprowizacji skanera oceny luk w zabezpieczeniach na maszynach Azure Arc
- Aprowizowanie zintegrowanego agenta oceny luk w zabezpieczeniach na maszynach Windows i Linux Azure Arc (ręcznie i na dużą skalę)
- Odbieranie i analizowanie wykrytych luk w zabezpieczeniach od wdrożonych agentów (ręcznie i na dużą skalę)
- Ujednolicone środowisko dla maszyn wirtualnych Azure i maszyn Azure Arc
Dowiedz się więcej o serwerach z obsługą Azure Arc.
dodano zalecenie Azure Firewall (wersja zapoznawcza)
Dodano nowe zalecenie w celu ochrony wszystkich sieci wirtualnych przy użyciu Azure Firewall.
Zalecenie Sieci wirtualne powinny być chronione przez Azure Firewall zaleca ograniczenie dostępu do sieci wirtualnych i zapobieganie potencjalnym zagrożeniom przy użyciu Azure Firewall.
Dowiedz się więcej o Azure Firewall.
Autoryzowane zakresy adresów IP powinny być zdefiniowane w rekomendacji usługi Kubernetes Services zaktualizowanym z szybką poprawką
Zalecenie Autoryzowane zakresy adresów IP powinno być zdefiniowane w usługach Kubernetes Services ma teraz szybką opcję poprawki.
Pulpit nawigacyjny zgodności z przepisami zawiera teraz opcję usuwania standardów
Pulpit nawigacyjny zgodności z przepisami w usłudze Security Center zapewnia wgląd w stan zgodności na podstawie sposobu spełnienia określonych mechanizmów kontroli zgodności i wymagań.
Pulpit nawigacyjny zawiera domyślny zestaw standardów regulacyjnych. Jeśli którykolwiek z podanych standardów nie jest istotny dla Twojej organizacji, jest to teraz prosty proces usuwania ich z interfejsu użytkownika dla subskrypcji. Standardy można usuwać tylko na poziomie subskrypcji ; a nie zakres grupy zarządzania.
Dowiedz się więcej w artykule Usuwanie standardu z pulpitu nawigacyjnego.
Microsoft. Tabela Security/securityStatuses została usunięta z Azure Resource Graph (ARG)
Azure Resource Graph jest usługą w Azure, która została zaprojektowana w celu zapewnienia wydajnej eksploracji zasobów z możliwością wykonywania zapytań na dużą skalę w danym zestawie subskrypcji, dzięki czemu można skutecznie zarządzać środowiskiem.
W przypadku Azure Security Center można użyć ARG i Kusto Query Language (KQL) do wykonywania zapytań dotyczących szerokiego zakresu danych stanu zabezpieczeń. Przykład:
- Spis zasobów korzysta z usługi ARG
- Udokumentowaliśmy przykładowe zapytanie ARG dotyczące identyfikowania kont bez włączonego uwierzytelniania wieloskładnikowego (MFA)
W ramach usługi ARG istnieją tabele danych, których można używać w zapytaniach.
Tip
Dokumentacja usługi ARG zawiera listę wszystkich dostępnych tabel w Azure Resource Graph tabelach i typach zasobów.
Z tej aktualizacji Microsoft. Security/securityStatuses tabela została usunięta. Interfejs API securityStatuses jest nadal dostępny.
Zastąpienie danych może być używane przez Microsoft. Tabela Zabezpieczenia/Oceny.
Główna różnica między Microsoft. Security/securityStatuses i Microsoft. Zabezpieczenia/oceny polegają na tym, że podczas gdy pierwszy pokazuje agregację ocen, sekundy zawierają pojedynczy rekord dla każdego z nich.
Na przykład Microsoft. Security/securityStatuses zwróci wynik z tablicą dwóch zasadAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Podczas Microsoft. Zabezpieczenia/oceny przechowują rekord dla każdej takiej oceny zasad w następujący sposób:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Przykład konwertowania istniejącego zapytania ARG przy użyciu parametrów securityStatuses w celu użycia tabeli ocen:
Zapytanie odwołujące się do parametru SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Zapytanie zastępcze tabeli Oceny:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Dowiedz się więcej na poniższych linkach:
Wrzesień 2020
Aktualizacje we wrześniu obejmują:
- Usługa Security Center otrzymuje nowy wygląd!
- Azure Defender wydany
- Azure Defender dla Key Vault jest ogólnie dostępny
- Azure Defender w przypadku ochrony magazynu dla plików i usługi ADLS Gen2 są ogólnie dostępne
- Narzędzia spisu zasobów są teraz ogólnie dostępne
- Wyłączanie określonego znalezienia luk w zabezpieczeniach na potrzeby skanowania rejestrów kontenerów i maszyn wirtualnych
- Wyklucz zasób z zalecenia
- Łączniki usług AWS i GCP w usłudze Security Center przynoszą środowisko wielochmurowe
- Pakiet zaleceń dotyczących ochrony obciążeń platformy Kubernetes
- Wyniki oceny luk w zabezpieczeniach są teraz dostępne w ciągłym eksportowaniu
- Zapobieganie błędom konfiguracji zabezpieczeń przez wymuszanie zaleceń podczas tworzenia nowych zasobów
- Ulepszono zalecenia dotyczące sieciowej grupy zabezpieczeń
- Przestarzałe zalecenie usługi AKS w wersji zapoznawczej "Zasady zabezpieczeń zasobnika powinny być zdefiniowane w usługach Kubernetes Services"
- Powiadomienia e-mail z Azure Security Center ulepszone
- Wskaźnik bezpieczeństwa nie obejmuje zaleceń dotyczących wersji zapoznawczej
- Rekomendacje obejmują teraz wskaźnik ważności i interwał aktualności
Usługa Security Center otrzymuje nowy wygląd
Opublikowaliśmy odświeżony interfejs użytkownika dla stron portalu usługi Security Center. Nowe strony zawierają nową stronę przeglądu i pulpity nawigacyjne służące do oceny bezpieczeństwa, spisu zasobów i Azure Defender.
Przeprojektowana strona przeglądu zawiera teraz kafelek umożliwiający uzyskiwanie dostępu do pulpitów nawigacyjnych wskaźnika bezpieczeństwa, spisu zasobów i Azure Defender. Zawiera on również kafelek łączący się z pulpitem nawigacyjnym zgodności z przepisami.
Dowiedz się więcej o stronie przeglądu.
wydana Azure Defender
Azure Defender to platforma ochrony obciążeń w chmurze (CWPP) zintegrowana z usługą Security Center w celu zaawansowanej, inteligentnej, ochrony obciążeń Azure i obciążeń hybrydowych. Zastępuje ona opcję warstwy cenowej Standardowa usługi Security Center.
Po włączeniu Azure Defender z Pricing i ustawień obszaru Azure Security Center następujące plany Defender są włączone jednocześnie i zapewniają kompleksową ochronę warstw obliczeniowych, danych i usług środowiska:
- Azure Defender dla serwerów
- Azure Defender for App Service
- Azure Defender for Storage
- Azure Defender dla programu SQL
- Azure Defender dla Key Vault
- Azure Defender dla platformy Kubernetes
- Azure Defender dla rejestrów kontenerów
Każdy z tych planów jest objaśniony oddzielnie w dokumentacji usługi Security Center.
Dzięki dedykowanemu pulpitowi nawigacyjnemu Azure Defender zapewnia alerty zabezpieczeń i zaawansowaną ochronę przed zagrożeniami dla maszyn wirtualnych, baz danych SQL, kontenerów, aplikacji internetowych, sieci i nie tylko.
Dowiedz się więcej o Azure Defender
Azure Defender dla Key Vault jest ogólnie dostępna
Azure Key Vault to usługa w chmurze, która chroni klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła.
Azure Defender dla Key Vault zapewnia natywną Azure zaawansowaną ochronę przed zagrożeniami dla Azure Key Vault, zapewniając dodatkową warstwę analizy zabezpieczeń. Rozszerzenie Azure Defender dla Key Vault chroni w związku z tym wiele zasobów zależnych od kont Key Vault.
Opcjonalny plan jest teraz ogólnie dostępny. Ta funkcja była dostępna w wersji zapoznawczej jako "zaawansowana ochrona przed zagrożeniami dla Azure Key Vault".
Ponadto strony Key Vault w portalu Azure zawierają teraz dedykowaną Security stronę Security Center zalecenia i alerty.
Dowiedz się więcej w Azure Defender dla Key Vault.
Azure Defender ochrony magazynu dla plików i usługi ADLS Gen2 jest ogólnie dostępna
Azure Defender dla usługi Storage wykrywa potencjalnie szkodliwe działania na kontach Azure Storage. Dane mogą być chronione niezależnie od tego, czy są przechowywane jako kontenery obiektów blob, udziały plików czy magazyny danych.
Obsługa
Od 1 października 2020 r. rozpoczniemy naliczanie opłat za ochronę zasobów w tych usługach.
Dowiedz się więcej w Azure Defender for Storage.
Narzędzia spisu zasobów są teraz ogólnie dostępne
Strona spisu zasobów Azure Security Center zawiera jedną stronę do wyświetlania stanu zabezpieczeń zasobów połączonych z usługą Security Center.
Usługa Security Center okresowo analizuje stan zabezpieczeń zasobów Azure w celu zidentyfikowania potencjalnych luk w zabezpieczeniach. Następnie udostępnia zalecenia dotyczące sposobu korygowania tych luk w zabezpieczeniach.
Gdy dowolny zasób ma zaległe zalecenia, zostaną one wyświetlone w spisie.
Dowiedz się więcej w artykule Eksplorowanie zasobów i zarządzanie nimi za pomocą spisu zasobów.
Wyłączanie określonego znalezienia luk w zabezpieczeniach na potrzeby skanowania rejestrów kontenerów i maszyn wirtualnych
Azure Defender obejmuje skanery luk w zabezpieczeniach do skanowania obrazów w Azure Container Registry i maszynach wirtualnych.
Jeśli masz organizacyjną potrzebę ignorowania znajdowania, a nie korygowania, możesz ją opcjonalnie wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.
Gdy wyszukiwanie jest zgodne z kryteriami zdefiniowanymi w regułach wyłączania, nie będzie ono wyświetlane na liście wyników.
Ta opcja jest dostępna na stronach szczegółów zaleceń dla:
- Vulnerabilities w obrazach Azure Container Registry powinny zostać skorygowane
- Należy skorygować luki w zabezpieczeniach maszyn wirtualnych
Wykluczanie zasobu z rekomendacji
Od czasu do czasu zasób będzie wyświetlany jako w złej kondycji w odniesieniu do określonego zalecenia (i w związku z tym obniżenie wskaźnika bezpieczeństwa), mimo że uważasz, że nie powinno być. Być może został skorygowany przez proces, który nie jest śledzony przez usługę Security Center. Być może organizacja zdecydowała się zaakceptować ryzyko dla tego konkretnego zasobu.
W takich przypadkach można utworzyć regułę wykluczania i upewnić się, że zasób nie znajduje się na liście zasobów w złej kondycji w przyszłości. Te reguły mogą zawierać udokumentowane uzasadnienia, jak opisano poniżej.
Dowiedz się więcej w artykule Wyklucz zasób z zaleceń i wskaźnik bezpieczeństwa.
Łączniki usług AWS i GCP w usłudze Security Center przynoszą środowisko wielochmurowe
W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności.
Azure Security Center chroni teraz obciążenia w usługach Azure, Amazon Web Services (AWS) i Google Cloud Platform (GCP).
Po dołączeniu projektów AWS i GCP do usługi Security Center integruje ona usługi AWS Security Hub, GCP Security Command i Azure Security Center.
Dowiedz się więcej w Łączenie kont platformy AWS z Azure Security Center i Łączenie projektów GCP z Azure Security Center.
Pakiet zaleceń dotyczących ochrony obciążeń platformy Kubernetes
Aby upewnić się, że obciążenia platformy Kubernetes są domyślnie bezpieczne, usługa Security Center dodaje zalecenia dotyczące wzmacniania zabezpieczeń na poziomie kubernetes, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.
Po zainstalowaniu Azure Policy dla platformy Kubernetes w klastrze usługi AKS każde żądanie do serwera interfejsu API Kubernetes będzie monitorowane względem wstępnie zdefiniowanego zestawu najlepszych rozwiązań przed utrwalonym w klastrze. Następnie można skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.
Możesz na przykład wymuś, że uprzywilejowane kontenery nie powinny być tworzone, a wszelkie przyszłe żądania do tego będą blokowane.
Dowiedz się więcej w artykule Najlepsze rozwiązania dotyczące ochrony obciążeń przy użyciu kontroli wpływu danych na platformę Kubernetes.
Wyniki oceny luk w zabezpieczeniach są teraz dostępne w ciągłym eksportowaniu
Użyj eksportu ciągłego, aby przesyłać strumieniowo alerty i zalecenia do Azure Event Hubs, obszarów roboczych Log Analytics lub Azure Monitor. Z tego miejsca można zintegrować te dane z programem SIEM, takimi jak Microsoft Sentinel, Power BI, Azure Data Explorer i inne.
Zintegrowane narzędzia do oceny luk w zabezpieczeniach usługi Security Center zwracają wyniki dotyczące zasobów jako rekomendacje z możliwością działania w ramach zalecenia nadrzędnego, takiego jak "Luki w zabezpieczeniach maszyn wirtualnych powinny zostać skorygowane".
Wyniki zabezpieczeń są teraz dostępne do eksportowania za pośrednictwem eksportu ciągłego po wybraniu zaleceń i włączeniu opcji uwzględnij wyniki zabezpieczeń .
Powiązane strony:
- Zintegrowane rozwiązanie do oceny luk w zabezpieczeniach firmy Qualys dla maszyn wirtualnych Azure
- Zintegrowane rozwiązanie do oceny luk w zabezpieczeniach centrum zabezpieczeń dla obrazów Azure Container Registry
- Eksport ciągły
Zapobieganie błędom konfiguracji zabezpieczeń przez wymuszanie zaleceń podczas tworzenia nowych zasobów
Błędy konfiguracji zabezpieczeń są główną przyczyną zdarzeń zabezpieczeń. Usługa Security Center ma teraz możliwość zapobiegania błędom konfiguracji nowych zasobów w odniesieniu do konkretnych zaleceń.
Ta funkcja może pomóc zapewnić bezpieczeństwo obciążeń i ustabilizować wskaźnik bezpieczeństwa.
Możesz wymusić bezpieczną konfigurację na podstawie określonego zalecenia w dwóch trybach:
Przy użyciu trybu odmowy Azure Policy można zatrzymać tworzenie zasobów w złej kondycji
Korzystając z wymuszonej opcji, możesz skorzystać z Azure Policy DeployIfNotExist i automatycznie korygować niezgodne zasoby podczas tworzenia
Jest to dostępne dla wybranych zaleceń dotyczących zabezpieczeń i można je znaleźć w górnej części strony szczegółów zasobu.
Dowiedz się więcej w artykule Zapobieganie błędom konfiguracji za pomocą zaleceń wymuszania/odmowy.
Ulepszono zalecenia dotyczące sieciowej grupy zabezpieczeń
Następujące zalecenia dotyczące zabezpieczeń związane z sieciowymi grupami zabezpieczeń zostały ulepszone w celu zmniejszenia niektórych wystąpień wyników fałszywie dodatnich.
- Wszystkie porty sieciowe powinny być ograniczone do sieciowej grupy zabezpieczeń skojarzonej z maszyną wirtualną
- Porty zarządzania powinny być zamknięte na maszynach wirtualnych
- Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń
- Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń
Przestarzałe zalecenie usługi AKS w wersji zapoznawczej "Zasady zabezpieczeń zasobnika powinny być zdefiniowane w usługach Kubernetes Services"
Zalecenie dotyczące wersji zapoznawczej "Zasady zabezpieczeń zasobników powinno być zdefiniowane w usługach Kubernetes Services" jest przestarzałe zgodnie z opisem w dokumentacji Azure Kubernetes Service.
Funkcja zasad zabezpieczeń zasobnika (wersja zapoznawcza) jest ustawiona na wycofanie i nie będzie już dostępna po 15 października 2020 r. na rzecz Azure Policy dla usługi AKS.
Po wycofaniu zasad zabezpieczeń zasobnika (wersja zapoznawcza) należy wyłączyć tę funkcję we wszystkich istniejących klastrach przy użyciu przestarzałej funkcji, aby przeprowadzić przyszłe uaktualnienia klastra i pozostać w pomoc techniczna platformy Azure.
Ulepszono powiadomienia e-mail z Azure Security Center
Ulepszono następujące obszary wiadomości e-mail dotyczących alertów zabezpieczeń:
- Dodano możliwość wysyłania powiadomień e-mail dotyczących alertów dla wszystkich poziomów ważności
- Dodano możliwość powiadamiania użytkowników o różnych rolach Azure w subskrypcji
- Proaktywnie powiadamiamy właścicieli subskrypcji domyślnie o alertach o wysokiej ważności (które mają duże prawdopodobieństwo, że są prawdziwe naruszenia)
- Usunęliśmy pole numeru telefonu ze strony konfiguracji powiadomień e-mail
Dowiedz się więcej w temacie Konfigurowanie powiadomień e-mail dotyczących alertów zabezpieczeń.
Wskaźnik bezpieczeństwa nie obejmuje zaleceń dotyczących wersji zapoznawczej
Usługa Security Center stale ocenia zasoby, subskrypcje i organizację pod kątem problemów z zabezpieczeniami. Następnie agreguje wszystkie wyniki w jeden wynik, dzięki czemu można powiedzieć na pierwszy rzut oka bieżącą sytuację bezpieczeństwa: im wyższą ocenę, tym niższy poziom zidentyfikowanego ryzyka.
W miarę odnajdywane są nowe zagrożenia, nowe porady dotyczące zabezpieczeń są udostępniane w usłudze Security Center za pośrednictwem nowych zaleceń. Aby uniknąć niespodziewanej zmiany wskaźnika bezpieczeństwa i zapewnić okres prolongaty, w którym można eksplorować nowe rekomendacje przed ich wpływem na wyniki, rekomendacje oznaczone jako wersja zapoznawcza nie są już uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Powinny one być nadal korygowane wszędzie tam, gdzie to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku.
Ponadto zalecenia dotyczące wersji zapoznawczej nie renderują zasobu "W złej kondycji".
Przykład zalecenia w wersji zapoznawczej:
Dowiedz się więcej o wskaźniku bezpieczeństwa.
Rekomendacje obejmują teraz wskaźnik ważności i interwał aktualności
Strona szczegółów zaleceń zawiera teraz wskaźnik interwału aktualności (zawsze, gdy jest to istotne) i jasny obraz ważności zalecenia.
Sierpień 2020
Aktualizacje w sierpniu obejmują:
- Spis zasobów — zaawansowany nowy widok stanu zabezpieczeń zasobów
- Dodaj obsługę domyślnych zabezpieczeń Microsoft Entra ID (w przypadku uwierzytelniania wieloskładnikowego)
- Dodano zalecenie dotyczące jednostek usługi
- Ocena luk w zabezpieczeniach maszyn wirtualnych — skonsolidowano zalecenia i zasady
- Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy ASC_default
Spis zasobów — zaawansowany nowy widok stanu zabezpieczeń zasobów
Spis zasobów usługi Security Center (obecnie w wersji zapoznawczej) umożliwia wyświetlanie stanu zabezpieczeń zasobów połączonych z usługą Security Center.
Usługa Security Center okresowo analizuje stan zabezpieczeń zasobów Azure w celu zidentyfikowania potencjalnych luk w zabezpieczeniach. Następnie udostępnia zalecenia dotyczące sposobu korygowania tych luk w zabezpieczeniach. Gdy dowolny zasób ma zaległe zalecenia, zostaną one wyświetlone w spisie.
Możesz użyć widoku i jego filtrów, aby eksplorować dane stanu zabezpieczeń i podejmować dalsze działania na podstawie wyników.
Dowiedz się więcej o spisie zasobów.
Dodano obsługę domyślnych zabezpieczeń Microsoft Entra ID (w przypadku uwierzytelniania wieloskładnikowego)
Usługa Security Center dodała pełną obsługę ustawień domyślnych security Microsoft zabezpieczeń bezpłatnych tożsamości.
Domyślne ustawienia zabezpieczeń zapewniają wstępnie skonfigurowane ustawienia zabezpieczeń tożsamości w celu obrony organizacji przed typowymi atakami związanymi z tożsamościami. Wartości domyślne zabezpieczeń już chronią ponad 5 milionów dzierżaw w sumie; 50 000 dzierżaw jest również chronionych przez usługę Security Center.
Usługa Security Center udostępnia teraz rekomendację zabezpieczeń za każdym razem, gdy identyfikuje subskrypcję Azure bez włączonych wartości domyślnych zabezpieczeń. Do tej pory usługa Security Center zaleca włączenie uwierzytelniania wieloskładnikowego przy użyciu dostępu warunkowego, który jest częścią licencji Microsoft Entra ID Premium. W przypadku klientów korzystających z bezpłatnej Microsoft Entra ID zalecamy włączenie domyślnych ustawień zabezpieczeń.
Naszym celem jest zachęcanie większej liczby klientów do zabezpieczania środowisk chmury za pomocą uwierzytelniania wieloskładnikowego i eliminowania jednego z najwyższych zagrożeń, które jest również najbardziej wpływowym wynikiem bezpieczeństwa.
Dowiedz się więcej o wartościach domyślnych zabezpieczeń.
Dodano zalecenie dotyczące jednostek usługi
Dodano nowe zalecenie, aby zalecić klientom usługi Security Center używanie certyfikatów zarządzania w celu zarządzania subskrypcjami, aby przełączyć się na jednostki usługi.
Zaleca się użycie jednostek usługi Service w celu ochrony subskrypcji zamiast certyfikatów zarządzania zaleca użycie jednostek usługi lub Azure Resource Manager w celu bezpieczniejszego zarządzania subskrypcjami.
Dowiedz się więcej na temat obiektów Application i jednostki usługi w Microsoft Entra ID.
Ocena luk w zabezpieczeniach maszyn wirtualnych — skonsolidowano zalecenia i zasady
Usługa Security Center sprawdza maszyny wirtualne, aby wykryć, czy uruchamiają rozwiązanie do oceny luk w zabezpieczeniach. Jeśli nie znaleziono rozwiązania do oceny luk w zabezpieczeniach, usługa Security Center udostępnia zalecenie upraszczające wdrażanie.
W przypadku znalezienia luk w zabezpieczeniach usługa Security Center udostępnia zalecenie podsumowujące wyniki, które należy zbadać i skorygować w razie potrzeby.
Aby zapewnić spójne środowisko dla wszystkich użytkowników, niezależnie od typu skanera, z którego korzystają, zunifikowaliśmy cztery zalecenia w następujących dwóch:
| Ujednolicone zalecenie | Zmień opis |
|---|---|
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Zastępuje następujące dwie rekomendacje: Włącz wbudowane rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwane przez rozwiązanie Qualys (obecnie przestarzałe) (uwzględnione w warstwie Standardowa) Rozwiązanie do oceny luk w zabezpieczeniach powinno być zainstalowane na maszynach wirtualnych (obecnie przestarzałe) (warstwy Standardowa i Bezpłatna) |
| Należy skorygować luki w zabezpieczeniach maszyn wirtualnych | Zastępuje następujące dwie rekomendacje: Korygowanie luk w zabezpieczeniach znalezionych na maszynach wirtualnych (obsługiwanych przez firmę Qualys) (obecnie przestarzałe) Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach (obecnie przestarzałe) |
Teraz użyjesz tego samego zalecenia, aby wdrożyć rozszerzenie oceny luk w zabezpieczeniach usługi Security Center lub prywatnie licencjonowane rozwiązanie ("BYOL") od partnera, takiego jak Qualys lub Rapid 7.
Ponadto po znalezieniu i zgłoszeniu luk w zabezpieczeniach w usłudze Security Center pojedyncze zalecenie powiadomi Cię o wynikach niezależnie od rozwiązania do oceny luk w zabezpieczeniach, które je zidentyfikowało.
Aktualizowanie zależności
Jeśli masz skrypty, zapytania lub automatyzacje odwołujące się do poprzednich zaleceń lub kluczy/nazw zasad, użyj poniższych tabel, aby zaktualizować odwołania:
Przed sierpniem 2020 r.
| Recommendation | Scope |
|---|---|
|
Włącz wbudowane rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwane przez firmę Qualys) Klucz: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
Korygowanie luk w zabezpieczeniach znalezionych na maszynach wirtualnych (obsługiwanych przez firmę Qualys) Klucz: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
|
Rozwiązanie do oceny luk w zabezpieczeniach powinno być zainstalowane na maszynach wirtualnych Klucz: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach Klucz: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych Identyfikator zasad: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach Identyfikator zasad: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Od sierpnia 2020 r.
| Recommendation | Scope |
|---|---|
|
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych Klucz: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Wbudowane i BYOL |
|
Należy skorygować luki w zabezpieczeniach maszyn wirtualnych Klucz: 1195afff-c881-495e-9bc5-1486211ae03f |
Wbudowane i BYOL |
| Policy | Scope |
|---|---|
|
Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych Identyfikator zasad: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Wbudowane i BYOL |
Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy ASC_default
Aby upewnić się, że obciążenia Kubernetes są domyślnie bezpieczne, usługa Security Center dodaje zasady na poziomie platformy Kubernetes i zalecenia dotyczące wzmacniania zabezpieczeń, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.
Wczesna faza tego projektu obejmuje podgląd i dodanie nowych (domyślnie wyłączonych) zasad do inicjatywy ASC_default.
Możesz bezpiecznie zignorować te zasady i nie będzie to miało wpływu na środowisko. Jeśli chcesz je włączyć, zarejestruj się w celu uzyskania wersji zapoznawczej za pośrednictwem Microsoft Cloud Security Private Community i wybierz następujące opcje:
- Pojedyncza wersja zapoznawcza — aby dołączyć tylko do tej wersji zapoznawczej. Jawnie podaj "Ciągłe skanowanie usługi ASC" jako wersję zapoznawcza, którą chcesz dołączyć.
- Bieżący program — do dodania do tych i przyszłych wersji zapoznawczych. Musisz ukończyć umowę dotyczącą profilu i prywatności.
Lipiec 2020 r.
Aktualizacje w lipcu obejmują:
- Ocena luk w zabezpieczeniach dla maszyn wirtualnych jest teraz dostępna dla obrazów, które nie znajdują się na platformie handlowej
- Ochrona Azure Storage rozszerzona w celu uwzględnienia Azure Files i Azure Data Lake Storage Gen2 (wersja zapoznawcza)
- Osiem nowych zaleceń dotyczących włączania funkcji ochrony przed zagrożeniami
- Udoskonalenia zabezpieczeń kontenerów — szybsze skanowanie rejestru i odświeżona dokumentacja
- Funkcje adaptacyjnego sterowania aplikacjami zostały zaktualizowane o nowe zalecenia oraz obsługują teraz symbole wieloznaczne w regułach ścieżek
- Wycofano sześć zasad usługi SQL Advanced Data Security
Ocena luk w zabezpieczeniach dla maszyn wirtualnych jest teraz dostępna dla obrazów spoza witryny Marketplace
Po wdrożeniu rozwiązania do oceny luk w zabezpieczeniach usługa Security Center wcześniej przeprowadziła sprawdzanie poprawności przed wdrożeniem. Sprawdzenie miało na celu potwierdzenie jednostki SKU platformy handlowej docelowej maszyny wirtualnej.
Z tej aktualizacji sprawdzanie zostanie usunięte i można teraz wdrożyć narzędzia do oceny luk w zabezpieczeniach na maszynach z systemem Linux Windows niestandardowych. Obrazy niestandardowe to te, które zostały zmodyfikowane z domyślnych ustawień witryny Marketplace.
Mimo że można teraz wdrożyć zintegrowane rozszerzenie oceny luk w zabezpieczeniach (obsługiwane przez firmę Qualys) na wielu innych maszynach, obsługa jest dostępna tylko wtedy, gdy używasz systemu operacyjnego wymienionego w temacie Wdrażanie zintegrowanego skanera luk w zabezpieczeniach na maszynach wirtualnych w warstwie Standardowa
Dowiedz się więcej na temat skanera luk w zabezpieczeniach integrated dla maszyn wirtualnych (wymaga Azure Defender).
Dowiedz się więcej na temat używania własnego rozwiązania do oceny luk w zabezpieczeniach licencjonowanych prywatnie z firmy Qualys lub Rapid7 w temacie Wdrażanie rozwiązania do skanowania luk w zabezpieczeniach partnera.
Ochrona przed zagrożeniami dla Azure Storage rozszerzona o Azure Files i Azure Data Lake Storage Gen2 (wersja zapoznawcza)
Ochrona przed zagrożeniami dla Azure Storage wykrywa potencjalnie szkodliwe działania na kontach Azure Storage. Usługa Security Center wyświetla alerty, gdy wykrywa próby uzyskania dostępu do kont magazynu lub wykorzystania ich.
Dane mogą być chronione niezależnie od tego, czy są przechowywane jako kontenery obiektów blob, udziały plików czy magazyny danych.
Osiem nowych zaleceń dotyczących włączania funkcji ochrony przed zagrożeniami
Dodano osiem nowych zaleceń w celu zapewnienia prostego sposobu włączania funkcji ochrony przed zagrożeniami Azure Security Center dla następujących typów zasobów: maszyn wirtualnych, planów usługi App Service, serwerów Azure SQL Database, serwerów SQL na maszynach, kont Azure Storage, Azure Kubernetes Service klastrów, rejestrów Azure Container Registry i magazynów Azure Key Vault.
Nowe zalecenia są następujące:
- Zaawansowane zabezpieczenia danych powinny być włączone na serwerach Azure SQL Database
- Zaawansowane zabezpieczenia danych powinny być włączone na serwerach SQL na maszynach
- Zaawansowana ochrona przed zagrożeniami powinna być włączona w planach Azure App Service
- Zaawansowana ochrona przed zagrożeniami powinna być włączona w rejestrach Azure Container Registry
- Zaawansowana ochrona przed zagrożeniami powinna być włączona w magazynach Azure Key Vault
- Zaawansowana ochrona przed zagrożeniami powinna być włączona w klastrach Azure Kubernetes Service
- Zaawansowana ochrona przed zagrożeniami powinna być włączona na kontach Azure Storage
- Zaawansowana ochrona przed zagrożeniami powinna być włączona na maszynach wirtualnych
Zalecenia obejmują również funkcję szybkiej poprawki.
Important
Skorygowanie któregokolwiek z tych zaleceń spowoduje naliczanie opłat za ochronę odpowiednich zasobów. Te opłaty będą rozpoczynać się natychmiast, jeśli masz powiązane zasoby w bieżącej subskrypcji. Lub w przyszłości, jeśli dodasz je w późniejszym terminie.
Jeśli na przykład nie masz żadnych klastrów Azure Kubernetes Service w subskrypcji i włączysz ochronę przed zagrożeniami, nie będą naliczane żadne opłaty. Jeśli w przyszłości dodasz klaster w tej samej subskrypcji, zostanie on automatycznie chroniony, a opłaty rozpoczną się w tym czasie.
Dowiedz się więcej na temat ochrony w celu ochrony w Azure Security Center.
Udoskonalenia zabezpieczeń kontenerów — szybsze skanowanie rejestru i odświeżona dokumentacja
W ramach ciągłych inwestycji w domenę zabezpieczeń kontenerów chętnie udostępnimy znaczną poprawę wydajności w dynamicznych skanowaniach obrazów kontenerów przechowywanych w Azure Container Registry usługi Security Center. Skanowania są teraz zwykle wykonywane w ciągu około dwóch minut. W niektórych przypadkach może upłynąć do 15 minut.
Aby zwiększyć przejrzystość i wskazówki dotyczące możliwości zabezpieczeń kontenerów Azure Security Center, odświeżyliśmy również strony dokumentacji zabezpieczeń kontenera.
Funkcje adaptacyjnego sterowania aplikacjami zostały zaktualizowane o nowe zalecenia oraz obsługują teraz symbole wieloznaczne w regułach ścieżek
Funkcja adaptacyjnego sterowania aplikacjami otrzymała dwie istotne aktualizacje:
Nowe zalecenie identyfikuje potencjalnie uzasadnione zachowanie, które nie zostało wcześniej dozwolone. Nowe zalecenie , Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane, monituje o dodanie nowych reguł do istniejących zasad w celu zmniejszenia liczby wyników fałszywie dodatnich w alertach naruszenia funkcji adaptacyjnego sterowania aplikacjami.
Reguły ścieżek obsługują teraz symbole wieloznaczne. Z tej aktualizacji można skonfigurować dozwolone reguły ścieżek przy użyciu symboli wieloznacznych. Istnieją dwa obsługiwane scenariusze:
Użyj symbolu wieloznakowego na końcu ścieżki, aby zezwolić na wszystkie pliki wykonywalne w tym folderze i podfolderach.
Użycie symbolu wieloznakowego w środku ścieżki w celu włączenia znanej nazwy pliku wykonywalnego ze zmianą nazwy folderu (np. folderów osobistych użytkowników ze znanym plikiem wykonywalnym, automatycznie wygenerowanych nazw folderów itp.).
Wycofano sześć zasad usługi SQL Advanced Data Security
Sześć zasad związanych z zaawansowanymi zabezpieczeniami danych dla maszyn SQL jest przestarzałych:
- Zaawansowane typy ochrony przed zagrożeniami powinny być ustawione na wartość "Wszystkie" w zaawansowanych ustawieniach zabezpieczeń danych wystąpienia zarządzanego SQL
- Zaawansowane typy ochrony przed zagrożeniami powinny być ustawione na wartość "Wszystkie" w ustawieniach zaawansowanych zabezpieczeń danych programu SQL Server
- Zaawansowane ustawienia zabezpieczeń danych dla wystąpienia zarządzanego SQL powinny zawierać adres e-mail do odbierania alertów zabezpieczeń
- Zaawansowane ustawienia zabezpieczeń danych dla programu SQL Server powinny zawierać adres e-mail do odbierania alertów zabezpieczeń
- Powiadomienia e-mail dla administratorów i właścicieli subskrypcji powinny być włączone w zaawansowanych ustawieniach zabezpieczeń danych wystąpienia zarządzanego SQL
- W zaawansowanych ustawieniach zabezpieczeń danych serwera SQL powinny być włączone powiadomienia e-mail do administratorów i właścicieli subskrypcji
Dowiedz się więcej o wbudowanych zasadach.
Czerwiec 2020
Aktualizacje w czerwcu obejmują:
- Interfejs API wskaźnika bezpieczeństwa (wersja zapoznawcza)
- Zaawansowane zabezpieczenia danych dla maszyn SQL (Azure, innych chmur i lokalnych) (wersja zapoznawcza)
- Twoje nowe zalecenia dotyczące wdrażania agenta Log Analytics na maszynach Azure Arc (wersja zapoznawcza)
- Nowe zasady tworzenia konfiguracji automatyzacji eksportu ciągłego i przepływu pracy na dużą skalę
- Nowe zalecenie dotyczące korzystania z sieciowych grup zabezpieczeń w celu ochrony maszyn wirtualnych bez Internetu
- Nowe zasady umożliwiające ochronę przed zagrożeniami i zaawansowane zabezpieczenia danych
Interfejs API wskaźnika bezpieczeństwa (wersja zapoznawcza)
Teraz możesz uzyskać dostęp do wskaźnika za pośrednictwem interfejsu API wskaźnika bezpieczeństwa (obecnie w wersji zapoznawczej). Metody interfejsu API zapewniają elastyczność wykonywania zapytań dotyczących danych i tworzenia własnego mechanizmu raportowania wyników bezpieczeństwa w czasie. Na przykład możesz użyć interfejsu API wskaźnika bezpieczeństwa , aby uzyskać ocenę dla określonej subskrypcji. Ponadto możesz użyć interfejsu API kontrolek wskaźnika bezpieczeństwa, aby wyświetlić listę mechanizmów kontroli zabezpieczeń i bieżący wynik subskrypcji.
Aby zapoznać się z przykładami narzędzi zewnętrznych, które umożliwiły użycie interfejsu API wskaźnika bezpieczeństwa, zobacz w obszarze wskaźnika bezpieczeństwa naszej społeczności GitHub.
Dowiedz się więcej o secure score and security controls in Azure Security Center (Zabezpieczenia i mechanizmy kontroli zabezpieczeń).
Zaawansowane zabezpieczenia danych dla maszyn SQL (Azure, innych chmur i lokalnych) (wersja zapoznawcza)
Azure Security Center zaawansowane zabezpieczenia danych dla maszyn SQL chroni teraz serwery SQL hostowane w Azure, w innych środowiskach w chmurze, a nawet na maszynach lokalnych. Rozszerza to ochronę Azure natywnych serwerów SQL w celu pełnej obsługi środowisk hybrydowych.
Zaawansowane zabezpieczenia danych zapewniają ocenę luk w zabezpieczeniach i zaawansowaną ochronę przed zagrożeniami dla maszyn SQL, gdziekolwiek się znajdują.
Konfiguracja obejmuje dwa kroki:
Wdrożenie agenta Log Analytics na maszynie hosta SQL Server w celu zapewnienia połączenia z kontem Azure.
Włączanie opcjonalnego pakietu na stronie cennika i ustawień usługi Security Center.
Dowiedz się więcej o zaawansowanych zabezpieczeniach danych dla maszyn SQL.
Dwie nowe zalecenia dotyczące wdrażania agenta Log Analytics na maszynach Azure Arc (wersja zapoznawcza)
Dodano dwie nowe zalecenia ułatwiające wdrożenie agenta Log Analytics agenta na maszynach Azure Arc i upewnienie się, że są one chronione przez Azure Security Center:
- agent Log Analytics powinien być zainstalowany na maszynach Azure Arc opartych na Windows (wersja zapoznawcza)
- agent Log Analytics powinien być zainstalowany na maszynach Azure Arc opartych na systemie Linux (wersja zapoznawcza)
Te nowe zalecenia będą wyświetlane w tych samych czterech mechanizmach kontroli zabezpieczeń co istniejące (powiązane) zalecenie, agent monitorowania powinien być zainstalowany na maszynach: korygowanie konfiguracji zabezpieczeń, stosowanie adaptacyjnej kontroli aplikacji, stosowanie aktualizacji systemu i włączanie ochrony punktu końcowego.
Zalecenia obejmują również funkcję szybkiej poprawki, aby przyspieszyć proces wdrażania.
Dowiedz się więcej o tym, jak Azure Security Center używa agenta w Jak jest agentem Log Analytics?.
Dowiedz się więcej o rozszerzeniach dla maszyn Azure Arc.
Nowe zasady tworzenia konfiguracji automatyzacji eksportu ciągłego i przepływu pracy na dużą skalę
Automatyzacja procesów monitorowania i reagowania na zdarzenia w organizacji może znacznie poprawić czas potrzebny do zbadania i ograniczenia zdarzeń zabezpieczeń.
Aby wdrożyć konfiguracje automatyzacji w całej organizacji, użyj tych wbudowanych zasad Azure "DeployIfdNotExist", aby utworzyć i skonfigurować i workflow automation procedury:
Definicje zasad można znaleźć w Azure Policy:
| Goal | Policy | Identyfikator zasad |
|---|---|---|
| Eksport ciągły do usługi Event Hubs | Deploy eksportuj do usługi Event Hubs w celu Azure Security Center alertów i zaleceń | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Eksport ciągły do obszaru roboczego Log Analytics | Deploy export do obszaru roboczego Log Analytics na potrzeby alertów i zaleceń Azure Security Center | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Automatyzacja przepływu pracy dla alertów zabezpieczeń | Deploy Workflow Automation for Azure Security Center alerts | f1525828-9a90-4fcf-be48-268cdd02361e |
| Automatyzacja przepływu pracy dla zaleceń dotyczących zabezpieczeń | Deploy Workflow Automation for Azure Security Center recommendations | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Rozpocznij pracę z szablonami automatyzacji workflow.
Dowiedz się więcej o korzystaniu z dwóch zasad eksportu w temacie Konfigurowanie automatyzacji przepływu pracy na dużą skalę przy użyciu podanych zasad i Konfigurowanie eksportu ciągłego.
Nowe zalecenie dotyczące korzystania z sieciowych grup zabezpieczeń w celu ochrony maszyn wirtualnych bez Internetu
Kontrola zabezpieczeń "implementowanie najlepszych rozwiązań w zakresie zabezpieczeń" obejmuje teraz następujące nowe zalecenie:
- Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń
Istniejące zalecenie, maszyny wirtualne połączone z Internetem powinny być chronione za pomocą sieciowych grup zabezpieczeń, nie rozróżniały maszyn wirtualnych dostępnych z Internetu i nienależących do Internetu. W obu przypadkach wygenerowano zalecenie o wysokiej ważności, jeśli maszyna wirtualna nie została przypisana do sieciowej grupy zabezpieczeń. To nowe zalecenie oddziela maszyny nienależące do Internetu, aby zmniejszyć liczbę wyników fałszywie dodatnich i uniknąć niepotrzebnych alertów o wysokiej ważności.
Nowe zasady umożliwiające ochronę przed zagrożeniami i zaawansowane zabezpieczenia danych
Nowe definicje zasad poniżej zostały dodane do inicjatywy domyślnej usługi ASC i zostały zaprojektowane w celu ułatwienia włączania ochrony przed zagrożeniami lub zaawansowanych zabezpieczeń danych dla odpowiednich typów zasobów.
Definicje zasad można znaleźć w Azure Policy:
Dowiedz się więcej na temat ochrony W Azure Security Center.
Maj 2020
Aktualizacje w maju obejmują:
- Reguły pomijania alertów (wersja zapoznawcza)
- Ocena luk w zabezpieczeniach maszyny wirtualnej jest teraz ogólnie dostępna
- Zmiany w dostępie just-in-time (JIT) do maszyny wirtualnej
- Niestandardowe zalecenia zostały przeniesione do oddzielnej kontroli zabezpieczeń
- Dodano przełącznik do wyświetlania zaleceń w kontrolkach lub jako płaską listę
- Rozszerzona kontrola zabezpieczeń „implementowanie najlepszych rozwiązań w zakresie zabezpieczeń”
- Zasady niestandardowe z niestandardowymi metadanymi są teraz ogólnie dostępne
- Możliwości analizy zrzutu awaryjnego migrujące do wykrywania ataków bez plików
Reguły pomijania alertów (wersja zapoznawcza)
Ta nowa funkcja (obecnie w wersji zapoznawczej) pomaga zmniejszyć zmęczenie alertami. Reguły umożliwiają automatyczne ukrywanie alertów, które są znane jako nieszkodliwe lub związane z normalnymi działaniami w organizacji. Dzięki temu można skupić się na najbardziej odpowiednich zagrożeniach.
Alerty zgodne z włączonymi regułami pomijania będą nadal generowane, ale ich stan zostanie ustawiony na odrzucone. Stan można wyświetlić w portalu Azure lub dostęp do alertów zabezpieczeń usługi Security Center.
Reguły pomijania definiują kryteria automatycznego odrzucania alertów. Zazwyczaj należy użyć reguły pomijania w celu:
pomijanie alertów zidentyfikowanych jako fałszywie dodatnie
pomijanie alertów, które są wyzwalane zbyt często, aby być przydatne
Dowiedz się więcej o suppressing alertów z Azure Security Center ochrony przed zagrożeniami.
Ocena luk w zabezpieczeniach maszyny wirtualnej jest teraz ogólnie dostępna
Warstwa Standardowa usługi Security Center obejmuje teraz zintegrowaną ocenę luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych opłat. To rozszerzenie jest obsługiwane przez Qualys, ale zgłasza wyniki bezpośrednio do usługi Security Center. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane w usłudze Security Center.
Nowe rozwiązanie może stale skanować maszyny wirtualne, aby znaleźć luki w zabezpieczeniach i przedstawić wyniki w usłudze Security Center.
Aby wdrożyć rozwiązanie, użyj nowego zalecenia dotyczącego zabezpieczeń:
"Włączanie wbudowanego rozwiązania do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwanego przez firmę Qualys)"
Dowiedz się więcej o zintegrowanej ocenie luk w zabezpieczeniach usługi Security Center dla maszyn wirtualnych.
Zmiany w dostępie just-in-time (JIT) do maszyny wirtualnej
Usługa Security Center oferuje opcjonalną funkcję ochrony portów zarządzania maszyn wirtualnych. Zapewnia to ochronę przed najczęstszą formą ataków siłowych.
Ta aktualizacja wprowadza następujące zmiany w tej funkcji:
Zalecenie, które zaleca włączenie trybu JIT na maszynie wirtualnej, zostało zmienione. Wcześniej "Kontrola dostępu do sieci just in time powinna być stosowana na maszynach wirtualnych": "Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time".
Zalecenie jest wyzwalane tylko wtedy, gdy istnieją otwarte porty zarządzania.
Dowiedz się więcej o funkcji dostępu JIT.
Niestandardowe zalecenia zostały przeniesione do oddzielnej kontroli zabezpieczeń
Jedna kontrola zabezpieczeń wprowadzona przy użyciu ulepszonego wskaźnika bezpieczeństwa to "Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń". Wszystkie zalecenia niestandardowe utworzone dla subskrypcji zostały automatycznie umieszczone w tej kontrolce.
Aby ułatwić znajdowanie niestandardowych zaleceń, przenieśliśmy je do dedykowanej kontroli zabezpieczeń "Niestandardowe zalecenia". Ta kontrola nie ma wpływu na wskaźnik bezpieczeństwa.
Dowiedz się więcej na temat mechanizmów kontroli zabezpieczeń w Enhanced secure score (wersja zapoznawcza) w Azure Security Center.
Dodano przełącznik do wyświetlania zaleceń w kontrolkach lub jako płaską listę
Mechanizmy kontroli zabezpieczeń to logiczne grupy powiązanych zaleceń dotyczących zabezpieczeń. Odzwierciedlają one podatne na ataki powierzchnie. Kontrolka to zestaw zaleceń dotyczących zabezpieczeń z instrukcjami, które ułatwiają implementowanie tych zaleceń.
Aby natychmiast zobaczyć, jak dobrze organizacja zabezpiecza poszczególne powierzchnie ataków, przejrzyj wyniki dla każdej kontroli zabezpieczeń.
Domyślnie zalecenia są wyświetlane w mechanizmach kontroli zabezpieczeń. Z tej aktualizacji można je również wyświetlić jako listę. Aby wyświetlić je jako prostą listę posortowaną według stanu kondycji dotkniętych zasobów, użyj nowego przełącznika "Grupuj według kontrolek". Przełącznik znajduje się powyżej listy w portalu.
Mechanizmy kontroli zabezpieczeń — i ten przełącznik — są częścią nowego środowiska wskaźnika bezpieczeństwa. Pamiętaj, aby wysłać nam swoją opinię z portalu.
Dowiedz się więcej na temat mechanizmów kontroli zabezpieczeń w Enhanced secure score (wersja zapoznawcza) w Azure Security Center.
Rozszerzona kontrola zabezpieczeń „implementowanie najlepszych rozwiązań w zakresie zabezpieczeń”
Jedna kontrola zabezpieczeń wprowadzona przy użyciu ulepszonego wskaźnika bezpieczeństwa to "Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń". Gdy zalecenie znajduje się w tej kontrolce, nie ma wpływu na wskaźnik bezpieczeństwa.
Dzięki tej aktualizacji trzy zalecenia zostały przeniesione z kontrolek, w których zostały pierwotnie umieszczone, i do tej kontroli najlepszych rozwiązań. Podjęliśmy ten krok, ponieważ ustaliliśmy, że ryzyko tych trzech zaleceń jest niższe niż początkowo sądzono.
Ponadto wprowadzono dwa nowe zalecenia i dodano je do tej kontrolki.
Trzy przeniesione rekomendacje to:
- Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu subskrypcji (pierwotnie w kontrolce "Włącz uwierzytelnianie wieloskładnikowe")
- Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji (pierwotnie w kontrolce "Zarządzanie dostępem i uprawnieniami")
- Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli (pierwotnie w kontrolce "Zarządzanie dostępem i uprawnieniami")
Dwa nowe zalecenia dodane do kontrolki to:
Gast rozszerzenia konfiguracji należy zainstalować na maszynach wirtualnych Windows (wersja zapoznawcza) — korzystanie z Azure Policy Konfiguracja gościa zapewnia wgląd w maszyny wirtualne na serwer i ustawienia aplikacji (tylko Windows).
Microsoft Defender Exploit Guard powinna być włączona na maszynach (wersja zapoznawcza) — Microsoft Defender Exploit Guard korzysta z agenta konfiguracji gościa Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach złośliwego oprogramowania, umożliwiając przedsiębiorstwom równoważenie ryzyka bezpieczeństwa i wymagań dotyczących produktywności (tylko Windows).
Dowiedz się więcej o Microsoft Defender Exploit Guard w Tworzenie i wdrażanie zasad funkcji Exploit Guard.
Dowiedz się więcej o mechanizmach kontroli zabezpieczeń w rozszerzonym wskaźniku bezpieczeństwa (wersja zapoznawcza).
Zasady niestandardowe z niestandardowymi metadanymi są teraz ogólnie dostępne
Zasady niestandardowe są teraz częścią środowiska zaleceń usługi Security Center, wskaźnika bezpieczeństwa i pulpitu nawigacyjnego standardów zgodności z przepisami. Ta funkcja jest teraz ogólnie dostępna i umożliwia rozszerzenie zasięgu oceny zabezpieczeń organizacji w usłudze Security Center.
Utwórz inicjatywę niestandardową w Azure Policy, dodaj do niej zasady i dołącz ją do Azure Security Center i zwizualizuj ją jako zalecenia.
Dodaliśmy również opcję edytowania niestandardowych metadanych rekomendacji. Opcje metadanych obejmują ważność, kroki korygowania, informacje o zagrożeniach i nie tylko.
Dowiedz się więcej o ulepszaniu niestandardowych zaleceń, aby uzyskać szczegółowe informacje.
Możliwości analizy zrzutu awaryjnego migrujące do wykrywania ataków bez plików
Integrujemy możliwości wykrywania zrzutu awaryjnego (CDA) Windows do wykrywania ataków bez plików. Analiza wykrywania ataków bez plików oferuje ulepszone wersje następujących alertów zabezpieczeń dla maszyn Windows: wykryto wstrzyknięcie kodu, maskowanie wykrytego modułu Windows, wykryto kod powłoki i wykryto podejrzany segment kodu.
Niektóre korzyści wynikające z tego przejścia:
Proaktywne i terminowe wykrywanie złośliwego oprogramowania — podejście CDA polegało na oczekiwaniu na wystąpienie awarii, a następnie uruchomieniu analizy w celu znalezienia złośliwych artefaktów. Korzystanie z wykrywania ataków bez plików zapewnia proaktywną identyfikację zagrożeń w pamięci podczas ich działania.
Wzbogacone alerty — alerty zabezpieczeń z wykrywania ataków bez plików obejmują wzbogacanie, które nie są dostępne z usługi CDA, takie jak informacje o aktywnych połączeniach sieciowych.
Agregacja alertów — gdy usługa CDA wykryła wiele wzorców ataków w ramach jednego zrzutu awaryjnego, wyzwoliła wiele alertów zabezpieczeń. Wykrywanie ataków bez plików łączy wszystkie zidentyfikowane wzorce ataków z tego samego procesu w jeden alert, eliminując konieczność korelowania wielu alertów.
Redukowane wymagania dotyczące obszaru roboczego Log Analytics — zrzuty awaryjne zawierające potencjalnie poufne dane nie będą już przekazywane do obszaru roboczego Log Analytics.
Kwiecień 2020
Aktualizacje w kwietniu obejmują:
- Dynamiczne pakiety zgodności są teraz ogólnie dostępne
- Adentity rekomendacje są teraz dostępne w warstwie bezpłatna Azure Security Center
Dynamiczne pakiety zgodności są teraz ogólnie dostępne
Pulpit nawigacyjny zgodności z przepisami Azure Security Center zawiera teraz pakiety zgodności dynamic (teraz ogólnie dostępne) w celu śledzenia dodatkowych standardów branżowych i regulacyjnych.
Dynamiczne pakiety zgodności można dodać do subskrypcji lub grupy zarządzania ze strony zasad zabezpieczeń usługi Security Center. Po dodaniu standardu lub testu porównawczego standard pojawia się na pulpicie nawigacyjnym zgodności z przepisami razem ze wszystkimi skojarzonymi danymi zgodności zamapowanymi jako ocenami. Raport podsumowujący dla dowolnych standardów, które zostały dołączone, będzie dostępny do pobrania.
Teraz możesz dodać standardy, takie jak:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- Uk Official i UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0 (nowa) (która jest bardziej kompletną reprezentacją Azure CIS 1.1.0)
Ponadto niedawno dodaliśmy Azure Security Benchmark Microsoft Azure wytyczne specyficzne dla zabezpieczeń i zgodności oparte na typowych strukturach zgodności. Dodatkowe standardy będą obsługiwane na pulpicie nawigacyjnym, gdy staną się dostępne.
Dowiedz się więcej na temat dostosowywania zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Rekomendacje dotyczące tożsamości są teraz uwzględnione w warstwie bezpłatna Azure Security Center
Zalecenia dotyczące zabezpieczeń dotyczące tożsamości i dostępu w warstwie bezpłatna Azure Security Center są teraz ogólnie dostępne. Jest to część starań, aby funkcje zarządzania stanem zabezpieczeń w chmurze (CSPM) są bezpłatne. Do tej pory te zalecenia były dostępne tylko w warstwie cenowej Standardowa.
Przykładowe zalecenia dotyczące tożsamości i dostępu:
- „Uwierzytelnianie wieloskładnikowe powinno być włączone dla kont z uprawnieniami właściciela w ramach subskrypcji”.
- „Dla subskrypcji powinno być wyznaczonych maksymalnie trzech właścicieli”.
- „Przestarzałe konta powinny zostać usunięte z subskrypcji”.
Jeśli masz subskrypcje korzystające z warstwy cenowej Bezpłatna, ta zmiana będzie miała wpływ na ich wskaźnik bezpieczeństwa, ponieważ nigdy nie były oceniane pod kątem bezpieczeństwa tożsamości i dostępu.
Marzec 2020 r.
Aktualizacje w marcu obejmują:
- Automatyzacja przepływu pracy jest teraz ogólnie dostępna
- Integracja Azure Security Center z Windows Admin Center
- Protection for Azure Kubernetes Service
- Ulepszone środowisko just in time
- Dwa zalecenia dotyczące zabezpieczeń dla przestarzałych aplikacji internetowych
Automatyzacja przepływu pracy jest teraz ogólnie dostępna
Funkcja automatyzacji przepływu pracy Azure Security Center jest teraz ogólnie dostępna. Służy ona do automatycznego wyzwalania aplikacji Logic Apps w przypadku zaleceń i alertów zabezpieczeń. Ponadto dla alertów i wszystkich zaleceń z dostępną opcją szybkiej poprawki są dostępne wyzwalacze ręczne.
Każdy program zabezpieczeń zawiera wiele przepływów pracy reagowania na zdarzenia. Te procesy mogą obejmować powiadamianie właściwych uczestników projektu, uruchamianie procesu zarządzania zmianami i stosowanie określonych instrukcji rozwiązania problemu. Specjaliści ds. zabezpieczeń zalecają zautomatyzowanie jak największej liczby kroków w tych procedurach. Automatyzacja redukuje nakład pracy i może poprawić bezpieczeństwo, zapewniając wykonanie kroków procesu w sposób szybki, spójny i zgodny ze wstępnie zdefiniowanymi wymaganiami.
Aby uzyskać więcej informacji na temat automatycznych i ręcznych funkcji usługi Security Center na potrzeby uruchamiania przepływów pracy, zobacz Automatyzacja przepływu pracy.
Dowiedz się więcej o tworzeniu usługi Logic Apps.
Integracja Azure Security Center z Windows Admin Center
Teraz można przenieść lokalne serwery Windows z Windows Admin Center bezpośrednio do Azure Security Center. Usługa Security Center staje się pojedynczym okienkem szkła w celu wyświetlenia informacji o zabezpieczeniach dla wszystkich zasobów Windows Admin Center, w tym serwerów lokalnych, maszyn wirtualnych i dodatkowych obciążeń PaaS.
Po przeniesieniu serwera z Windows Admin Center do Azure Security Center będzie można wykonywać następujące elementy:
- Wyświetl alerty zabezpieczeń i zalecenia w rozszerzeniu usługi Security Center Windows Admin Center.
- Wyświetl stan zabezpieczeń i pobierz dodatkowe szczegółowe informacje o serwerach zarządzanych Windows Admin Center w usłudze Security Center w portalu Azure (lub za pośrednictwem interfejsu API).
Dowiedz się więcej o Jak zintegrować Azure Security Center z Windows Admin Center.
Ochrona Azure Kubernetes Service
Azure Security Center rozszerza funkcje zabezpieczeń kontenera, aby chronić Azure Kubernetes Service (AKS).
Popularna platforma Kubernetes typu open source jest powszechnie stosowana, ponieważ jest obecnie standardem branżowym aranżacji kontenerów. Pomimo tej powszechnej implementacji nadal brakuje zrozumienia sposobu zabezpieczania środowiska Kubernetes. Ochrona obszaru podatnego na ataki konteneryzowanej aplikacji wymaga specjalistycznej wiedzy w celu zapewnienia, że infrastruktura została skonfigurowana bezpiecznie, i stałego monitorowania pod kątem potencjalnych zagrożeń.
Ochrona usługi Security Center obejmuje następujące funkcje:
- Odnajdywanie i widoczność — ciągłe odnajdywanie zarządzanych wystąpień usługi AKS w ramach subskrypcji zarejestrowanych w usłudze Security Center.
- Zalecenia dotyczące zabezpieczeń — rekomendacje z możliwością działania ułatwiające przestrzeganie najlepszych rozwiązań w zakresie zabezpieczeń usługi AKS. Te zalecenia są uwzględniane w wskaźniku bezpieczeństwa, aby upewnić się, że są one wyświetlane jako część stanu zabezpieczeń organizacji. Przykładem rekomendacji dotyczącej usługi AKS, którą można zobaczyć, jest "Kontrola dostępu oparta na rolach powinna służyć do ograniczania dostępu do klastra usługi Kubernetes".
- Ochrona przed zagrożeniami — dzięki ciągłej analizie wdrożenia usługi AKS usługa Security Center powiadamia o zagrożeniach i złośliwych działaniach wykrytych na poziomie hosta i klastra usługi AKS.
Dowiedz się więcej o integracji Azure integracji usług Kubernetes Services z usługą Security Center.
Dowiedz się więcej o funkcjach zabezpieczeń kontenera w usłudze Security Center.
Ulepszone środowisko just in time
Funkcje, operacje i interfejs użytkownika dla narzędzi just in time Azure Security Center, które zabezpieczają porty zarządzania, zostały ulepszone w następujący sposób:
- Justification field — podczas żądania dostępu do maszyny wirtualnej za pośrednictwem strony just in time w portalu Azure dostępny jest nowy opcjonalny pole, aby wprowadzić uzasadnienie żądania. Informacje wprowadzane w tym polu mogą być śledzone w dzienniku aktywności.
- Automatyczne czyszczenie nadmiarowych reguł just in time (JIT) — za każdym razem, gdy aktualizujesz zasady JIT, narzędzie oczyszczania jest uruchamiane automatycznie w celu sprawdzenia poprawności całego zestawu reguł. Narzędzie szuka niezgodności między regułami w zasadach i regułami w sieciowej grupie zabezpieczeń. Jeśli narzędzie oczyszczania znajdzie niezgodność, określa przyczynę i, gdy jest to bezpieczne, usuwa wbudowane reguły, które nie są już potrzebne. Narzędzie do czyszczenia nigdy nie usuwa reguł utworzonych przez Ciebie.
Dowiedz się więcej o funkcji dostępu JIT.
Dwa zalecenia dotyczące zabezpieczeń dla przestarzałych aplikacji internetowych
Dwa zalecenia dotyczące zabezpieczeń związane z aplikacjami internetowymi stają się przestarzałe:
Należy zaostrzyć reguły dla aplikacji internetowych w sieciowych grupach zabezpieczeń IaaS. (Powiązane zasady: reguły sieciowych grup zabezpieczeń dla aplikacji internetowych w usłudze IaaS powinny być wzmocnione)
Dostęp do usługi App Services powinien być ograniczony. (Powiązane zasady: Dostęp do usług App Services powinien być ograniczony [wersja zapoznawcza])
Te zalecenia nie będą już wyświetlane na liście zaleceń usługi Security Center. Powiązane zasady nie będą już uwzględniane w inicjatywie o nazwie "Security Center Default".
luty 2020
Wykrywanie ataków bez plików dla systemu Linux (wersja zapoznawcza)
W miarę zwiększania liczby osób atakujących stosuje metody niewidzialności, aby uniknąć wykrywania, Azure Security Center rozszerza wykrywanie ataków bez plików dla systemu Linux, a także Windows. Ataki bezplikowe wykorzystują luki w zabezpieczeniach oprogramowania, wstrzykują złośliwe ładunki do nieszkodliwych procesów systemu i ukrywają się w pamięci. Te techniki:
- zminimalizować lub wyeliminować ślady złośliwego oprogramowania na dysku
- znacznie zmniejsza prawdopodobieństwo wykrycia przez rozwiązania do skanowania złośliwego oprogramowania opartego na dyskach
Aby przeciwdziałać temu zagrożeniu, Azure Security Center w październiku 2018 r. wykryła bez plików wykrywanie ataków bez plików dla Windows w październiku 2018 r., a także rozszerzyła wykrywanie ataków bez plików w systemie Linux.
Styczeń 2020
Ulepszony wskaźnik bezpieczeństwa (wersja zapoznawcza)
Ulepszona wersja funkcji wskaźnika bezpieczeństwa Azure Security Center jest teraz dostępna w wersji zapoznawczej. W tej wersji wiele zaleceń zostało pogrupowanych w ramach mechanizmów zabezpieczeń, które lepiej odzwierciedlają obszary narażone na ataki (np. ograniczenie dostępu do portów zarządzania).
Zapoznaj się z informacjami o zmianach wprowadzonych w wersji zapoznawczej wskaźnika bezpieczeństwa i ustal, jakie inne środki mogłyby pomóc Ci w zapewnieniu jeszcze większego bezpieczeństwa środowiska.
Dowiedz się więcej o rozszerzonym wskaźniku bezpieczeństwa (wersja zapoznawcza).
Listopad 2019 r.
Aktualizacje w listopadzie obejmują:
- Threat Protection for Azure Key Vault w regionach Ameryki Północnej (wersja zapoznawcza)
- Threat Protection for Azure Storage obejmuje osłonę reputacji złośliwego oprogramowania
- Automatyzacja przepływu pracy za pomocą usługi Logic Apps (wersja zapoznawcza)
- Szybka poprawka dotycząca ogólnie dostępnych zasobów zbiorczych
- Skanowanie obrazów kontenerów pod kątem luk w zabezpieczeniach (wersja zapoznawcza)
- Dodatkowe standardy zgodności z przepisami (wersja zapoznawcza)
- Threat Protection for Azure Kubernetes Service (wersja zapoznawcza)
- Ocena luk w zabezpieczeniach maszyny wirtualnej (wersja zapoznawcza)
- Zaawansowane zabezpieczenia danych dla serwerów SQL na Azure Virtual Machines (wersja zapoznawcza)
- Obsługa zasad niestandardowych (wersja zapoznawcza)
- Extending Azure Security Center pokrycie platformą dla społeczności i partnerów
- Zaawansowane integracje z eksportowaniem zaleceń i alertów (wersja zapoznawcza)
- Utwórz serwery lokalne do usługi Security Center z Windows Admin Center (wersja zapoznawcza)
Ochrona przed zagrożeniami dla Azure Key Vault w regionach Ameryki Północnej (wersja zapoznawcza)
Azure Key Vault jest podstawową usługą do ochrony danych i poprawy wydajności aplikacji w chmurze, oferując możliwość centralnego zarządzania kluczami, wpisami tajnymi, kluczami kryptograficznymi i zasadami w chmurze. Ponieważ Azure Key Vault przechowuje poufne i krytyczne dla działania firmy dane, wymaga maksymalnego bezpieczeństwa magazynów kluczy i przechowywanych w nich danych.
obsługa Azure Security Center dla usługi Threat Protection dla Azure Key Vault zapewnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do magazynów kluczy lub wykorzystania ich. Ta nowa warstwa zabezpieczeń umożliwia klientom reagowanie na zagrożenia dla magazynów kluczy bez potrzeby stosowania specjalistycznej wiedzy z zakresu zabezpieczeń lub zarządzania systemami monitorowania zabezpieczeń. Funkcja jest dostępna w publicznej wersji zapoznawczej w regionach Ameryki Północnej.
Ochrona przed zagrożeniami dla Azure Storage obejmuje kontrolę reputacji złośliwego oprogramowania
Ochrona przed zagrożeniami dla Azure Storage oferuje nowe wykrycia obsługiwane przez Microsoft Threat Intelligence na potrzeby wykrywania przekazywania złośliwego oprogramowania do Azure Storage przy użyciu analizy reputacji skrótu i podejrzanego dostępu z aktywnego węzła wyjścia Tor (anonimizującego serwera proxy). Teraz możesz wyświetlić wykryte złośliwe oprogramowanie na kontach magazynu przy użyciu Azure Security Center.
Automatyzacja przepływu pracy za pomocą usługi Logic Apps (wersja zapoznawcza)
Organizacje, w których zabezpieczeniami, operacjami i działem IT zarządza się centralnie, wdrażają wewnętrzne procesy przepływów pracy, które pozwalają wykonać wymaganą akcję w przypadku wykrycia rozbieżności w środowisku. W wielu przypadkach te przepływy pracy są powtarzalnymi procesami, a automatyzacja może znacznie usprawnić procesy w organizacji.
Obecnie wprowadzamy nową funkcję w usłudze Security Center, która umożliwia klientom tworzenie konfiguracji automatyzacji korzystających z Azure Logic Apps i tworzenie zasad, które będą automatycznie wyzwalane na podstawie określonych ustaleń usługi ASC, takich jak zalecenia lub alerty. Azure aplikację logiki można skonfigurować tak, aby wykonywać dowolną niestandardową akcję obsługiwaną przez ogromną społeczność łączników aplikacji logiki lub użyć jednego z szablonów dostarczonych przez usługę Security Center, takich jak wysyłanie wiadomości e-mail lub otwieranie biletu usługi ServiceNow™.
Aby uzyskać więcej informacji na temat automatycznych i ręcznych funkcji usługi Security Center na potrzeby uruchamiania przepływów pracy, zobacz Automatyzacja przepływu pracy.
Aby dowiedzieć się więcej o tworzeniu usługi Logic Apps, zobacz Azure Logic Apps.
Szybka poprawka dotycząca ogólnie dostępnych zasobów zbiorczych
Wiele zadań, które są przydzielane do użytkownika w ramach wskaźnika zabezpieczeń, sprawia, że możliwość efektywnego korygowania problemów w dużej flocie może stanowić poważne wyzwanie.
Użyj funkcji szybkiego korygowania poprawek, aby naprawić błędy konfiguracji zabezpieczeń, skorygować zalecenia dotyczące wielu zasobów i poprawić wskaźnik bezpieczeństwa.
Taka operacja pozwoli na wybranie zasobów, dla których chcesz zastosować działanie naprawcze, a następnie na uruchomienie akcji naprawczej umożliwiającej skonfigurowanie ustawienia w Twoim imieniu.
Szybka poprawka jest obecnie ogólnie dostępna dla klientów w ramach strony zaleceń usługi Security Center.
Skanowanie obrazów kontenerów pod kątem luk w zabezpieczeniach (wersja zapoznawcza)
Azure Security Center teraz można skanować obrazy kontenerów w Azure Container Registry pod kątem luk w zabezpieczeniach.
Skanowanie obrazu polega na analizowaniu pliku obrazu kontenera, a następnie sprawdzeniu, czy występują w nim jakiekolwiek znane luki w zabezpieczeniach (obsługiwane przez rozwiązanie Qualys).
Samo skanowanie jest wyzwalane automatycznie podczas wypychania nowych obrazów kontenerów do Azure Container Registry. Znalezione luki w zabezpieczeniach będą wyświetlane jako zalecenia usługi Security Center i uwzględnione w wskaźniku bezpieczeństwa wraz z informacjami na temat stosowania poprawek w celu zmniejszenia dozwolonego obszaru ataków.
Dodatkowe standardy zgodności z przepisami (wersja zapoznawcza)
Pulpit nawigacyjny Zgodność z przepisami daje wgląd w stan zabezpieczeń, bazując na ocenach usługi Security Center. Pulpit nawigacyjny pokazuje stopień zgodności Twojego środowiska z kontrolami i wymaganiami zaprojektowanymi na podstawie konkretnych standardów prawnych i branżowych testów porównawczych. Udostępnia nakazowe rekomendacje dotyczące tego, jak spełnić te wymagania.
Pulpit nawigacyjny zgodności z przepisami do tej pory obsługiwał cztery wbudowane standardy: Azure CIS 1.1.0, PCI-DSS, ISO 27001 i SOC-TSP. Ogłaszamy teraz publiczną wersję zapoznawcza dodatkowych obsługiwanych standardów: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM i UK Official wraz z UK NHS. Udostępniamy również zaktualizowaną wersję Azure CIS 1.1.0 obejmującą więcej kontrolek ze standardowego i zwiększającego rozszerzalność.
Dowiedz się więcej na temat dostosowywania zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Ochrona przed zagrożeniami dla Azure Kubernetes Service (wersja zapoznawcza)
Usługa Kubernetes szybko staje się nowym standardem wdrażania oprogramowania w chmurze i zarządzania nim. Niewiele osób dobrze zna platformę Kubernetes, a większość użytkowników skupia się tylko na ogólnej obsłudze i administrowaniu, zaniedbując aspekt zabezpieczeń. Zabezpieczenie platformy Kubernetes wymaga jej starannego skonfigurowania z eliminacją wszystkich luk podatnych na ukierunkowane ataki. Usługa Security Center rozszerza swoją obsługę w przestrzeni kontenerów na jedną z najszybciej rozwijających się usług w Azure — Azure Kubernetes Service (AKS).
Publiczna wersja zapoznawcza zawiera następujące nowe funkcje:
- Odnajdywanie i widoczność — ciągłe odnajdywanie zarządzanych wystąpień usługi AKS w ramach zarejestrowanych subskrypcji usługi Security Center.
- Zalecenia dotyczące wskaźnika bezpieczeństwa — elementy umożliwiające podejmowanie działań, aby ułatwić klientom przestrzeganie najlepszych rozwiązań w zakresie zabezpieczeń usługi AKS i zwiększenie wskaźnika bezpieczeństwa. Zalecenia obejmują elementy, takie jak "Kontrola dostępu oparta na rolach powinna służyć do ograniczania dostępu do klastra usługi Kubernetes Service".
- Wykrywanie zagrożeń — analiza oparta na hoście i klastrze, taka jak "Wykryto uprzywilejowany kontener".
Ocena luk w zabezpieczeniach maszyny wirtualnej (wersja zapoznawcza)
Aplikacje instalowane na maszynach wirtualnych często miewają luki w zabezpieczeniach, które mogą prowadzić do naruszenia zabezpieczeń tych maszyn. Ogłaszamy, że warstwa Standardowa usługi Security Center obejmuje wbudowaną ocenę luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych opłat. Ocena luk w zabezpieczeniach obsługiwana przez firmę Qualys w publicznej wersji zapoznawczej umożliwia ciągłe skanowanie wszystkich zainstalowanych aplikacji na maszynie wirtualnej w celu znalezienia wrażliwych aplikacji i przedstawienia wyników w środowisku portalu usługi Security Center. Usługa Security Center przeprowadza wszystkie operacje wdrażania, więc użytkownik nie musi wykonywać żadnej dodatkowej pracy. W przyszłości planujemy udostępnić opcje oceny luk w zabezpieczeniach w celu obsługi unikatowych potrzeb biznesowych naszych klientów.
Dowiedz się więcej na temat ocen luk w zabezpieczeniach Azure Virtual Machines.
Zaawansowane zabezpieczenia danych dla serwerów SQL w Azure Virtual Machines (wersja zapoznawcza)
Azure Security Center obsługa ochrony przed zagrożeniami i oceny luk w zabezpieczeniach dla baz danych SQL działających na maszynach wirtualnych IaaS jest teraz dostępna w wersji zapoznawczej.
Ocena luk w zabezpieczeniach to łatwa do skonfigurowania usługa, która umożliwia odnajdywanie, śledzenie i korygowanie potencjalnych luk w zabezpieczeniach bazy danych. Zapewnia wgląd w stan zabezpieczeń w ramach wskaźnika bezpieczeństwa i obejmuje kroki rozwiązywania problemów z zabezpieczeniami i ulepszania fortyfikacji bazy danych.
Zaawansowana ochrona przed zagrożeniami wykrywa nietypowe działania wskazujące na nieprawidłowe i potencjalnie szkodliwe próby uzyskania dostępu do serwerów SQL lub wykorzystania ich. Stale monitoruje ona Twoją bazę danych pod kątem podejrzanych działań i zapewnia zorientowane na akcje alerty zabezpieczeń dotyczące anomalii we wzorcach dostępu do bazy danych. Te alerty zawierają szczegółowe informacje o podejrzanych działaniach i zalecane akcje dotyczące sposobu badania i ograniczenia zagrożenia.
Obsługa zasad niestandardowych (wersja zapoznawcza)
Azure Security Center obsługuje teraz zasady niestandardowe (w wersji zapoznawczej).
Nasi klienci chcą rozszerzyć swoje bieżące oceny zabezpieczeń w usłudze Security Center przy użyciu własnych ocen zabezpieczeń na podstawie zasad tworzonych w Azure Policy. Dzięki obsłudze zasad niestandardowych jest to teraz możliwe.
Te nowe zasady będą częścią funkcji rekomendacji w usłudze Security Center, Wskaźnika bezpieczeństwa i pulpitu nawigacyjnego standardów zgodności z przepisami. Dzięki obsłudze zasad niestandardowych możesz teraz utworzyć inicjatywę niestandardową w Azure Policy, a następnie dodać ją jako zasady w usłudze Security Center i zwizualizować jako zalecenie.
Rozszerzanie zasięgu Azure Security Center za pomocą platformy dla społeczności i partnerów
Usługa Security Center umożliwia otrzymywanie rekomendacji nie tylko z Microsoft, ale także z istniejących rozwiązań partnerów, takich jak Check Point, Tenable i CyberArk z wieloma nadchodzącymi integracją. Prosty przepływ dołączania usługi Security Center może łączyć istniejące rozwiązania z usługą Security Center, umożliwiając wyświetlanie zaleceń dotyczących stanu zabezpieczeń w jednym miejscu, uruchamianie ujednoliconych raportów i korzystanie ze wszystkich funkcji usługi Security Center zarówno w przypadku wbudowanych, jak i rekomendacji partnerów. Rekomendacje z usługi Security Center można również wyeksportować do produktów partnerów.
Dowiedz się więcej o Microsoft Intelligent Security Association.
Zaawansowane integracje z eksportowaniem zaleceń i alertów (wersja zapoznawcza)
W celu włączenia scenariuszy na poziomie przedsiębiorstwa w usłudze Security Center można teraz korzystać z alertów i zaleceń usługi Security Center w dodatkowych miejscach, z wyjątkiem portalu Azure lub interfejsu API. Można je wyeksportować bezpośrednio do centrum zdarzeń i do Log Analytics obszarów roboczych. Oto kilka przepływów pracy, które można utworzyć dzięki tym nowym możliwościom:
- Eksportowanie do obszaru roboczego Log Analytics umożliwia tworzenie niestandardowych pulpitów nawigacyjnych za pomocą Power BI.
- W przypadku eksportowania do usługi Event Hubs będziesz mieć możliwość eksportowania alertów i zaleceń usługi Security Center do rozwiązania innych firm lub Azure Data Explorer.
Dołączanie serwerów lokalnych do usługi Security Center z Windows Admin Center (wersja zapoznawcza)
Windows Admin Center to portal zarządzania dla serwerów Windows, które nie zostały wdrożone w Azure oferują im kilka funkcji zarządzania Azure, takich jak tworzenie kopii zapasowych i aktualizacje systemu. Niedawno dodaliśmy możliwość dołączania tych serwerów innych niż Azure do ochrony przez usługę ASC bezpośrednio z poziomu środowiska Windows Admin Center.
Użytkownicy mogą teraz dołączyć serwer WAC, aby Azure Security Center i włączyć wyświetlanie alertów zabezpieczeń i zaleceń bezpośrednio w środowisku Windows Admin Center.
Wrzesień 2019
Aktualizacje we wrześniu obejmują:
- Ulepszenia zarządzania regułami za pomocą adaptacyjnych kontrolek aplikacji
- zalecenie dotyczące zabezpieczeń kontenera Control przy użyciu Azure Policy
Ulepszenia zarządzania regułami za pomocą adaptacyjnych kontrolek aplikacji
Ulepszono środowisko zarządzania regułami maszyn wirtualnych za pomocą funkcji adaptacyjnego sterowania aplikacjami. funkcje adaptacyjnego sterowania aplikacjami Azure Security Center pomagają kontrolować, które aplikacje mogą być uruchamiane na maszynach wirtualnych. Oprócz ogólnego ulepszenia zarządzania regułami wprowadzono nową korzyść, która pozwala kontrolować, które typy plików będą chronione po dodaniu nowej reguły.
Dowiedz się więcej o adaptacyjnych kontrolkach aplikacji.
Kontrolowanie zaleceń dotyczących zabezpieczeń kontenerów przy użyciu Azure Policy
zalecenie Azure Security Center w celu skorygowania luk w zabezpieczeniach kontenera można teraz włączyć lub wyłączyć za pośrednictwem Azure Policy.
Aby wyświetlić włączone zasady zabezpieczeń, w usłudze Security Center otwórz stronę Zasady zabezpieczeń.
Sierpień 2019
Aktualizacje w sierpniu obejmują:
- Just-in-time (JIT) dostęp do maszyny wirtualnej dla Azure Firewall
- Korygowanie za pomocą jednego kliknięcia w celu zwiększenia poziomu zabezpieczeń (wersja zapoznawcza)
- Zarządzanie między dzierżawami
Dostęp just in time (JIT) do maszyny wirtualnej na potrzeby Azure Firewall
Dostęp do maszyny wirtualnej just in time (JIT) dla Azure Firewall jest teraz ogólnie dostępny. Służy do zabezpieczania środowisk chronionych Azure Firewall poza środowiskami chronionymi przez sieciową grupę zabezpieczeń.
Dostęp do maszyn wirtualnych JIT zmniejsza narażenie na ataki woluminowe sieci, zapewniając kontrolowany dostęp do maszyn wirtualnych tylko wtedy, gdy jest to konieczne, przy użyciu sieciowej grupy zabezpieczeń i reguł Azure Firewall.
Gdy włączysz dostęp JIT na potrzeby swoich maszyn wirtualnych, utworzone zostaną zasady określające chronione porty, okres, przez który porty mają pozostać otwarte, oraz zatwierdzone adresy IP, z poziomu których można uzyskać dostęp do tych portów. Te zasady ułatwiają kontrolowanie działań użytkowników po zażądaniu przez nich dostępu.
Żądania są rejestrowane w dzienniku aktywności Azure, dzięki czemu można łatwo monitorować i przeprowadzać inspekcję dostępu. Strona just in time pomaga również szybko zidentyfikować istniejące maszyny wirtualne z włączonym dostępem JIT i maszynami wirtualnymi, na których jest zalecany dostęp JIT.
Dowiedz się więcej o Azure Firewall.
Korygowanie za pomocą jednego kliknięcia w celu zwiększenia poziomu zabezpieczeń (wersja zapoznawcza)
Wskaźnik bezpieczeństwa ułatwia ocenę poziomu bezpieczeństwa zasobów. Za pomocą tego narzędzia możesz przeglądać zalecenia dotyczące działań naprawczych i je priorytetyzować, dzięki czemu wiesz, które zalecenie najpierw wprowadzić. Ułatwia to znalezienie najbardziej istotnych luk w zabezpieczeniach w celu ustalenia priorytetów badania.
Aby uprościć korygowanie błędów konfiguracji zabezpieczeń i pomóc w szybkim ulepszaniu wskaźnika bezpieczeństwa, dodaliśmy nową funkcję, która pozwala skorygować rekomendację dotyczącą dużej ilości zasobów w jednym kliknięciu.
Taka operacja pozwoli na wybranie zasobów, dla których chcesz zastosować działanie naprawcze, a następnie na uruchomienie akcji naprawczej umożliwiającej skonfigurowanie ustawienia w Twoim imieniu.
Zarządzanie między dzierżawami
Usługa Security Center obsługuje teraz scenariusze zarządzania między dzierżawami w ramach Azure Lighthouse. Umożliwia to uzyskiwanie wglądu w informacje na temat wielu dzierżawców i zarządzanie ich stanem bezpieczeństwa w usłudze Security Center.
Dowiedz się więcej o środowiskach zarządzania między dzierżawami.
Lipiec 2019
Aktualizacje zaleceń dotyczących sieci
Azure Security Center (ASC) uruchomił nowe zalecenia dotyczące sieci i ulepszył niektóre istniejące. Teraz usługa Security Center zapewnia jeszcze lepszą ochronę zasobów w sieci.
czerwiec 2019
Adaptacyjne wzmacnianie zabezpieczeń sieci — ogólnie dostępne
Jednym z najczęstszych obszarów ataków w przypadku obciążeń działających w chmurze publicznej są połączenia z publicznym Internetem. Nasi klienci trudno stwierdzić, które reguły sieciowej grupy zabezpieczeń powinny być spełnione, aby upewnić się, że obciążenia Azure są dostępne tylko dla wymaganych zakresów źródłowych. Dzięki tej funkcji usługa Security Center uczy się ruchu sieciowego i wzorców łączności obciążeń Azure oraz udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń dla maszyn wirtualnych, z którymi są połączone z Internetem. Pomaga to klientom lepiej skonfigurować zasady dostępu do sieci i ograniczyć ryzyko ataków.