Defender dla Chmury — co nowego archiwum
Ta strona zawiera informacje o funkcjach, poprawkach i wycofaniu, które są starsze niż sześć miesięcy. Aby uzyskać najnowsze aktualizacje, przeczytaj co nowego w Defender dla Chmury?.
Styczeń 2024
Aktualizacja: Nowe szczegółowe informacje dotyczące aktywnych repozytoriów w Eksploratorze zabezpieczeń w chmurze
31 stycznia 2024 r.
Nowy wgląd w repozytoria usługi Azure DevOps został dodany do Eksploratora zabezpieczeń w chmurze, aby wskazać, czy repozytoria są aktywne. Te szczegółowe informacje wskazują, że repozytorium kodu nie jest zarchiwizowane ani wyłączone, co oznacza, że dostęp do zapisu kodu, kompilacji i żądań ściągnięcia jest nadal dostępny dla użytkowników. Zarchiwizowane i wyłączone repozytoria mogą być traktowane jako niższe priorytety, ponieważ kod nie jest zwykle używany w aktywnych wdrożeniach.
Aby przetestować zapytanie za pomocą Eksploratora zabezpieczeń w chmurze, użyj tego linku zapytania.
Aktualizacja: zmiana cen wykrywania zagrożeń w kontenerze z wieloma chmurami
30 stycznia 2024 r. **
Szacowana data zmiany: kwiecień 2024 r.
Gdy wykrywanie zagrożeń w wielu chmurach zostanie przeniesione do ogólnie dostępnej wersji, nie będzie już bezpłatne. Aby uzyskać więcej informacji, zobacz Microsoft Defender dla Chmury cennik.
Aktualizacja: wymuszanie CSPM w usłudze Defender dla wartości zabezpieczeń Usługi DevOps w warstwie Premium
29 stycznia 2024 r. **
Szacowana data zmiany: 7 marca 2024 r.
Defender dla Chmury rozpocznie wymuszanie sprawdzania planu CSPM w usłudze Defender pod kątem wartości zabezpieczeń Usługi DevOps w warstwie Premium od 7 marca 2024 r. Jeśli masz włączony plan CSPM w usłudze Defender w środowisku chmury (Azure, AWS, GCP) w tej samej dzierżawie, w której są tworzone łączniki DevOps, nadal będziesz otrzymywać możliwości DevOps w warstwie Premium bez dodatkowych kosztów. Jeśli nie jesteś klientem CSPM w usłudze Defender, masz do 7 marca 2024 r., aby włączyć CSPM w usłudze Defender przed utratą dostępu do tych funkcji zabezpieczeń. Aby włączyć CSPM w usłudze Defender w połączonym środowisku chmury przed 7 marca 2024 r., postępuj zgodnie z dokumentacją włączania opisaną tutaj.
Aby uzyskać więcej informacji na temat funkcji zabezpieczeń metodyki DevOps dostępnych zarówno w podstawowych planach CSPM, jak i CSPM w usłudze Defender, zobacz naszą dokumentację przedstawiającą dostępność funkcji.
Aby uzyskać więcej informacji na temat usługi DevOps Security w Defender dla Chmury, zobacz dokumentację przeglądu.
Aby uzyskać więcej informacji na temat kodu funkcji zabezpieczeń w chmurze w CSPM w usłudze Defender, zobacz jak chronić zasoby za pomocą CSPM w usłudze Defender.
Wersja zapoznawcza: stan kontenera bez agenta dla platformy GCP w usłudze Defender for Containers i CSPM w usłudze Defender
24 stycznia 2024 r.
Nowe funkcje stanu kontenera bez agenta (wersja zapoznawcza) są dostępne dla platformy GCP, w tym oceny luk w zabezpieczeniach dla platformy GCP z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender. Aby uzyskać więcej informacji na temat wszystkich możliwości, zobacz Stan kontenera bez agenta w CSPM w usłudze Defender i możliwości bez agenta w usłudze Defender for Containers.
Więcej informacji na temat zarządzania stanem kontenera bez agenta dla wielu chmur można również przeczytać w tym wpisie w blogu.
Wersja zapoznawcza: skanowanie złośliwego oprogramowania bez agenta dla serwerów
16 stycznia 2024 r.
Ogłaszamy wydanie funkcji wykrywania złośliwego oprogramowania bez agenta Defender dla Chmury dla maszyn wirtualnych platformy Azure, wystąpień usługi AWS EC2 i wystąpień maszyn wirtualnych GCP jako nowej funkcji dostępnej w planie 2 usługi Defender for Servers.
Wykrywanie złośliwego oprogramowania bez agenta dla maszyn wirtualnych jest teraz uwzględniane na naszej platformie skanowania bez agentów. Skanowanie złośliwego oprogramowania bez agenta wykorzystuje Program antywirusowy Microsoft Defender aparat ochrony przed złośliwym oprogramowaniem do skanowania i wykrywania złośliwych plików. Wszelkie wykryte zagrożenia, wyzwalać alerty zabezpieczeń bezpośrednio do Defender dla Chmury i usługi Defender XDR, gdzie można je zbadać i skorygować. Skaner złośliwego oprogramowania bez agenta uzupełnia pokrycie oparte na agencie przy użyciu drugiej warstwy wykrywania zagrożeń bez problemów i nie ma wpływu na wydajność maszyny.
Dowiedz się więcej na temat skanowania bez agenta złośliwego oprogramowania pod kątem serwerów i skanowania bez agenta dla maszyn wirtualnych.
Ogólna dostępność integracji Defender dla Chmury z usługą Microsoft Defender XDR
15 stycznia 2024 r.
Ogłaszamy ogólną dostępność integracji między Defender dla Chmury i usługą Microsoft Defender XDR (dawniej Microsoft 365 Defender).
Integracja zapewnia konkurencyjną ochronę w chmurze do codziennego działania usługi Security Operations Center (SOC). Dzięki Microsoft Defender dla Chmury i integracji usługi Defender XDR zespoły SOC mogą odnajdywać ataki łączące wykrywanie z wielu filarów, w tym chmury, punktu końcowego, tożsamości, usługi Office 365 i nie tylko.
Dowiedz się więcej o alertach i zdarzeniach w usłudze Microsoft Defender XDR.
Aktualizacja: Wbudowana rola platformy Azure skanowania maszyn wirtualnych bez agenta
14 stycznia 2024 r. **
Szacowana data zmiany: luty 2024 r.
Na platformie Azure skanowanie bez agenta dla maszyn wirtualnych używa wbudowanej roli (nazywanej operatorem skanera maszyn wirtualnych) z minimalnymi wymaganymi uprawnieniami wymaganymi do skanowania i oceniania maszyn wirtualnych pod kątem problemów z zabezpieczeniami. Aby stale dostarczać odpowiednie zalecenia dotyczące kondycji i konfiguracji skanowania dla maszyn wirtualnych z zaszyfrowanymi woluminami, planowana jest aktualizacja uprawnień tej roli. Aktualizacja obejmuje dodanie Microsoft.Compute/DiskEncryptionSets/read uprawnienia. To uprawnienie umożliwia wyłącznie ulepszoną identyfikację zaszyfrowanego użycia dysku na maszynach wirtualnych. Nie zapewnia Defender dla Chmury więcej możliwości odszyfrowywania lub uzyskiwania dostępu do zawartości tych zaszyfrowanych woluminów poza metodami szyfrowania obsługiwanymi już przed tą zmianą. Ta zmiana ma się odbyć w lutym 2024 r. i na końcu nie jest wymagana żadna akcja.
Aktualizacja: adnotacje żądania ściągnięcia zabezpieczeń DevOps są domyślnie włączone dla łączników usługi Azure DevOps
12 stycznia 2024
Zabezpieczenia metodyki DevOps uwidaczniają wyniki zabezpieczeń jako adnotacje w żądaniach ściągnięcia, aby pomóc deweloperom w zapobieganiu i usuwaniu potencjalnych luk w zabezpieczeniach i błędnych konfiguracji przed wejściem do środowiska produkcyjnego. Od 12 stycznia 2024 r. adnotacje żądań ściągnięcia są teraz domyślnie włączone dla wszystkich nowych i istniejących repozytoriów usługi Azure DevOps połączonych z Defender dla Chmury.
Domyślnie adnotacje żądań ściągnięcia są włączone tylko dla wyników infrastruktury o wysokiej ważności jako kodu (IaC). Klienci będą nadal musieli skonfigurować zabezpieczenia firmy Microsoft dla metodyki DevOps (MSDO) do uruchamiania w kompilacjach żądania ściągnięcia i włączyć zasady weryfikacji kompilacji dla kompilacji ciągłej integracji w ustawieniach repozytorium Usługi Azure DevOps. Klienci mogą wyłączyć funkcję adnotacji żądania ściągnięcia dla określonych repozytoriów z poziomu opcji konfiguracji repozytorium zabezpieczeń devOps.
Dowiedz się więcej na temat włączania adnotacji żądania ściągnięcia dla usługi Azure DevOps.
Wycofanie: ścieżka wycofania wbudowanej oceny luk w zabezpieczeniach usługi Defender for Servers (Qualys)
9 stycznia 2024 r. **
Szacowana data zmiany: maj 2024 r.
Wbudowane rozwiązanie do oceny luk w zabezpieczeniach usługi Defender for Servers obsługiwane przez firmę Qualys znajduje się na ścieżce wycofania, która ma zostać ukończona 1 maja 2024 r. Jeśli obecnie używasz rozwiązania do oceny luk w zabezpieczeniach obsługiwanego przez firmę Qualys, należy zaplanować przejście do zintegrowanego rozwiązania do zarządzania lukami w zabezpieczeniach w usłudze Microsoft Defender.
Aby uzyskać więcej informacji na temat naszej decyzji o ujednoliceniu oferty oceny luk w zabezpieczeniach za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, możesz przeczytać ten wpis w blogu.
Możesz również zapoznać się z typowymi pytaniami dotyczącymi przejścia do rozwiązania Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Aktualizacja: wymagania dotyczące sieci wielochmurowej Defender dla Chmury
3 stycznia 2024 r. **
Szacowana data zmiany: maj 2024 r.
Od maja 2024 r. wycofamy stare adresy IP skojarzone z naszymi usługami odnajdywania w wielu chmurach w celu dostosowania się do ulepszeń i zapewnienia bezpieczniejszego i wydajnego środowiska dla wszystkich użytkowników.
Aby zapewnić nieprzerwany dostęp do naszych usług, należy zaktualizować listę dozwolonych adresów IP przy użyciu nowych zakresów podanych w poniższych sekcjach. Należy wprowadzić niezbędne zmiany w ustawieniach zapory, grupach zabezpieczeń lub innych konfiguracjach, które mogą mieć zastosowanie do danego środowiska.
Lista ma zastosowanie do wszystkich planów i wystarczającej do pełnej możliwości oferty podstawowej CSPM (bezpłatna).
Adresy IP do wycofania:
- Odnajdywanie GCP: 104.208.29.200, 52.232.56.127
- Odnajdywanie platformy AWS: 52.165.47.219, 20.107.8.204
- Dołączanie: 13.67.139.3
Nowe zakresy adresów IP specyficzne dla regionu do dodania:
- Europa Zachodnia: 52.178.17.48/28
- Europa Północna: 13.69.233.80/28
- Środkowe stany USA: 20.44.10.240/28
- Wschodnie stany USA 2: 20.44.19.128/28
Grudzień 2023 r.
Konsolidacja nazw poziomu usług Defender dla Chmury 2
30 grudnia 2023 r.
Konsolidujemy starsze nazwy poziomu usługi 2 dla wszystkich planów Defender dla Chmury w jedną nową nazwę poziomu usługi 2, Microsoft Defender dla Chmury.
Obecnie istnieją cztery nazwy poziomu usług: Azure Defender, Advanced Threat Protection, Advanced Data Security i Security Center. Różne mierniki dla Microsoft Defender dla Chmury są grupowane w tych oddzielnych nazwach poziomu usług 2, tworząc złożoność podczas korzystania z usługi Cost Management + Billing, fakturowania i innych narzędzi związanych z rozliczeniami platformy Azure.
Zmiana upraszcza proces przeglądania opłat Defender dla Chmury i zapewnia lepszą przejrzystość analizy kosztów.
Aby zapewnić bezproblemowe przejście, podjęliśmy działania w celu zachowania spójności nazw produktów/usług, jednostek SKU i identyfikatorów mierników. Klienci, których to dotyczy, otrzymają informacyjne powiadomienie o usłudze platformy Azure w celu komunikowania się ze zmianami.
Organizacje, które pobierają dane kosztów, wywołując nasze interfejsy API, będą musiały zaktualizować wartości w wywołaniach, aby uwzględnić zmiany. Na przykład w tej funkcji filter wartości nie będą zwracać żadnych informacji:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| STARA nazwa poziomu usługi 2 | NOWA nazwa poziomu usługi 2 | Warstwa usługi — poziom usługi 4 (bez zmian) |
|---|---|---|
| Advanced Data Security | Microsoft Defender for Cloud | Defender for SQL |
| Zaawansowana ochrona przed zagrożeniami | Microsoft Defender for Cloud | Usługa Defender dla rejestrów kontenerów |
| Zaawansowana ochrona przed zagrożeniami | Microsoft Defender for Cloud | Defender for DNS |
| Zaawansowana ochrona przed zagrożeniami | Microsoft Defender for Cloud | Defender for Key Vault |
| Zaawansowana ochrona przed zagrożeniami | Microsoft Defender for Cloud | Defender for Kubernetes |
| Zaawansowana ochrona przed zagrożeniami | Microsoft Defender for Cloud | Defender for MySQL |
| Zaawansowana ochrona przed zagrożeniami | Microsoft Defender for Cloud | Defender for PostgreSQL |
| Zaawansowana ochrona przed zagrożeniami | Microsoft Defender for Cloud | Defender for Resource Manager |
| Zaawansowana ochrona przed zagrożeniami | Microsoft Defender for Cloud | Defender for Storage |
| Azure Defender | Microsoft Defender for Cloud | Zarządzanie obszarem ataków zewnętrznych w usłudze Defender |
| Azure Defender | Microsoft Defender for Cloud | Defender for Azure Cosmos DB |
| Azure Defender | Microsoft Defender for Cloud | Defender dla Kontenerów |
| Azure Defender | Microsoft Defender for Cloud | Defender for MariaDB |
| Security Center | Microsoft Defender for Cloud | Usługa Defender dla usługi App Service |
| Security Center | Microsoft Defender for Cloud | Defender for Servers |
| Security Center | Microsoft Defender for Cloud | Defender CSPM |
Defender for Servers na poziomie zasobu dostępnym jako ogólna dostępność
24 grudnia 2023 r.
Teraz można zarządzać usługą Defender for Servers na określonych zasobach w ramach subskrypcji, zapewniając pełną kontrolę nad strategią ochrony. Dzięki tej funkcji można skonfigurować określone zasoby z konfiguracjami niestandardowymi, które różnią się od ustawień skonfigurowanych na poziomie subskrypcji.
Dowiedz się więcej o włączaniu usługi Defender for Servers na poziomie zasobu.
Wycofanie łączników klasycznych dla wielu chmur
21 grudnia 2023 r.
Klasyczne środowisko łącznika wielochmurowego jest wycofywane, a dane nie są już przesyłane strumieniowo do łączników utworzonych za pomocą tego mechanizmu. Te łączniki klasyczne były używane do łączenia zaleceń usług AWS Security Hub i GCP Security Command Center w celu Defender dla Chmury i dołączania usługi AWS EC2s do usługi Defender for Servers.
Pełna wartość tych łączników została zastąpiona natywnym środowiskiem łączników zabezpieczeń z wieloma chmurami, które od marca 2022 r. jest ogólnie dostępne dla platform AWS i GCP bez dodatkowych kosztów.
Nowe łączniki natywne są uwzględniane w planie i oferują zautomatyzowane środowisko dołączania z opcjami dołączania pojedynczych kont, wielu kont (z programem Terraform) oraz dołączania organizacji z automatycznym aprowizowaniem dla następujących planów usługi Defender: bezpłatne podstawowe funkcje CSPM, Defender Cloud Security Posture Management (CSPM), Defender for Servers, Defender for SQL i Defender for Containers.
Wydanie skoroszytu Pokrycie
21 grudnia 2023 r.
Skoroszyt Pokrycie umożliwia śledzenie, które plany Defender dla Chmury są aktywne w jakich częściach środowiska. Ten skoroszyt może pomóc w zapewnieniu, że środowiska i subskrypcje są w pełni chronione. Mając dostęp do szczegółowych informacji dotyczących pokrycia, można również zidentyfikować wszelkie obszary, które mogą wymagać innej ochrony i podjąć działania w celu rozwiązania tych obszarów.
Dowiedz się więcej o skoroszycie pokrycie.
Ogólna dostępność oceny luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w usługach Azure Government i Azure obsługiwanych przez firmę 21Vianet
14 grudnia 2023 r.
Ocena luk w zabezpieczeniach dla obrazów kontenerów systemu Linux w rejestrach kontenerów platformy Azure obsługiwanych przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender jest udostępniana na potrzeby ogólnej dostępności (GA) na platformie Azure Government i na platformie Azure obsługiwanej przez firmę 21Vianet. Ta nowa wersja jest dostępna w ramach planów Usługi Defender for Containers i Defender for Container Registries.
- W ramach tej zmiany nowe zalecenia zostały wydane dla ogólnie dostępnej wersji i uwzględnione w obliczeniach wskaźnika bezpieczeństwa. Przeglądanie nowych i zaktualizowanych zaleceń dotyczących zabezpieczeń
- Skanowanie obrazu kontenera obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender teraz wiąże się również z opłatami zgodnie z cennikiem planu. Należy pamiętać, że obrazy skanowane zarówno przez naszą ofertę oceny luk w zabezpieczeniach kontenerów obsługiwane przez firmę Qualys, jak i rozwiązanie Do oceny luk w zabezpieczeniach kontenerów obsługiwane przez usługę Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender będą naliczane tylko raz.
Zmieniono nazwy zaleceń firmy Qualys dotyczących oceny luk w zabezpieczeniach kontenerów i nadal są dostępne dla klientów, którzy włączyli usługę Defender for Containers w dowolnej subskrypcji przed tą wersją. Nowi klienci dołączający usługę Defender for Containers po tej wersji będą widzieć tylko nowe zalecenia dotyczące oceny luk w zabezpieczeniach kontenerów obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Publiczna wersja zapoznawcza obsługi systemu Windows dotycząca oceny luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
14 grudnia 2023 r.
Obsługa obrazów systemu Windows została wydana w publicznej wersji zapoznawczej w ramach oceny luk w zabezpieczeniach obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender dla rejestrów kontenerów platformy Azure i usług Azure Kubernetes Services.
Wycofanie oceny luk w zabezpieczeniach kontenera platformy AWS obsługiwanej przez program Trivy
13 grudnia 2023 r.
Ocena luk w zabezpieczeniach kontenera obsługiwana przez program Trivy jest teraz na ścieżce wycofania do ukończenia do 13 lutego. Ta funkcja jest teraz przestarzała i będzie nadal dostępna dla istniejących klientów korzystających z tej funkcji do 13 lutego. Zachęcamy klientów korzystających z tej możliwości do uaktualnienia do nowej oceny luk w zabezpieczeniach kontenera platformy AWS obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender do 13 lutego.
Stan kontenera bez agenta dla platformy AWS w usłudze Defender for Containers i CSPM w usłudze Defender (wersja zapoznawcza)
13 grudnia 2023 r.
Nowe funkcje stanu kontenera bez agenta (wersja zapoznawcza) są dostępne dla platformy AWS. Aby uzyskać więcej informacji, zobacz Stan kontenera bez agenta w CSPM w usłudze Defender i możliwości bez agentów w usłudze Defender for Containers.
Ogólna obsługa dostępności dla serwera elastycznego PostgreSQL w usłudze Defender dla planu relacyjnych baz danych typu open source
13 grudnia 2023 r.
Ogłaszamy ogólnie dostępną wersję serwera elastycznego PostgreSQL w planie relacyjnych baz danych usługi Microsoft Defender dla relacyjnych baz danych typu open source. Usługa Microsoft Defender dla relacyjnych baz danych typu open source zapewnia zaawansowaną ochronę przed zagrożeniami dla serwerów elastycznych PostgreSQL, wykrywając nietypowe działania i generując alerty zabezpieczeń.
Dowiedz się, jak włączyć usługę Microsoft Defender dla relacyjnych baz danych typu open source.
Ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender obsługuje teraz usługę Google Distroless
12 grudnia 2023 r.
Oceny luk w zabezpieczeniach kontenerów obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender zostały rozszerzone o dodatkowe pokrycie pakietów systemu operacyjnego Linux, które obsługują teraz usługę Google Ditroless.
Aby uzyskać listę wszystkich obsługiwanych systemów operacyjnych, zobacz Obsługa rejestrów i obrazów dla platformy Azure — ocena luk w zabezpieczeniach obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Listopad 2023
Cztery alerty są przestarzałe
30 listopada 2023 r.
W ramach naszego procesu poprawy jakości następujące alerty zabezpieczeń są przestarzałe:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Ogólna dostępność wpisów tajnych bez agenta skanowania w usłudze Defender for Servers i CSPM w usłudze Defender
27 listopada 2023 r.
Skanowanie wpisów tajnych bez agenta zwiększa zabezpieczenia maszyn wirtualnych opartych na chmurze, identyfikując wpisy tajne w postaci zwykłego tekstu na dyskach maszyn wirtualnych. Skanowanie wpisów tajnych bez agenta zapewnia kompleksowe informacje ułatwiające ustalanie priorytetów wykrytych wyników i eliminowanie zagrożeń związanych z przenoszeniem bocznym przed ich wystąpieniem. Takie proaktywne podejście zapobiega nieautoryzowanemu dostępowi, zapewniając bezpieczeństwo środowiska chmury.
Ogłaszamy ogólną dostępność skanowania wpisów tajnych bez agenta, które są uwzględniane zarówno w planach usługi Defender for Servers P2, jak i CSPM w usłudze Defender.
Skanowanie wpisów tajnych bez agenta wykorzystuje interfejsy API chmury do przechwytywania migawek dysków, przeprowadzając analizę poza pasmem, która gwarantuje, że nie ma wpływu na wydajność maszyny wirtualnej. Skanowanie wpisów tajnych bez agentów rozszerza zakres oferowany przez Defender dla Chmury zasobów w chmurze w środowiskach platformy Azure, AWS i GCP w celu zwiększenia bezpieczeństwa chmury.
W tej wersji funkcje wykrywania Defender dla Chmury obsługują teraz inne typy baz danych, podpisane adresy URL magazynu danych, tokeny dostępu i inne.
Dowiedz się, jak zarządzać wpisami tajnymi za pomocą skanowania wpisów tajnych bez agenta.
Włączanie zarządzania uprawnieniami przy użyciu Defender dla Chmury (wersja zapoznawcza)
22 listopada 2023 r.
Firma Microsoft oferuje teraz rozwiązania cloud-native Application Protection Platforms (CNAPP) i Cloud Infrastructure Entitlement Management (CIEM) z Microsoft Defender dla Chmury (CNAPP) i zarządzanie uprawnieniami firmy Microsoft Entra (CIEM).
Administratorzy zabezpieczeń mogą uzyskać scentralizowany widok nieużywanych lub nadmiernych uprawnień dostępu w Defender dla Chmury.
Zespoły ds. zabezpieczeń mogą sterować kontrolami dostępu z najmniejszymi uprawnieniami dla zasobów w chmurze i otrzymywać zalecenia umożliwiające podejmowanie działań dotyczących rozwiązywania zagrożeń związanych z uprawnieniami w środowiskach platformy Azure, AWS i GCP w ramach zarządzania stanem zabezpieczeń w chmurze (CSPM) usługi Defender bez dodatkowych wymagań licencyjnych.
Dowiedz się, jak włączyć zarządzanie uprawnieniami w Microsoft Defender dla Chmury (wersja zapoznawcza).
integracja Defender dla Chmury z usługą ServiceNow
22 listopada 2023 r.
Usługa ServiceNow jest teraz zintegrowana z Microsoft Defender dla Chmury, co umożliwia klientom łączenie usługi ServiceNow ze środowiskiem Defender dla Chmury w celu nadania priorytetów korygowaniu zaleceń, które mają wpływ na Twoją firmę. Microsoft Defender dla Chmury jest zintegrowany z modułem ITSM (zarządzanie zdarzeniami). W ramach tego połączenia klienci mogą tworzyć/wyświetlać bilety usługi ServiceNow (połączone z zaleceniami) z Microsoft Defender dla Chmury.
Więcej informacji na temat integracji Defender dla Chmury z usługą ServiceNow.
Ogólna dostępność procesu automatycznego aprowizowania dla serwerów SQL Server w planie maszyn
20 listopada 2023 r.
W ramach przygotowań do wycofania programu Microsoft Monitoring Agent (MMA) w sierpniu 2024 r. Defender dla Chmury wydała proces automatycznego aprowizowania programu SQL Server przeznaczony dla programu Azure Monitoring Agent (AMA). Nowy proces jest automatycznie włączany i konfigurowany dla wszystkich nowych klientów, a także zapewnia możliwość włączania na poziomie zasobów dla maszyn wirtualnych Azure SQL i serwerów SQL z obsługą usługi Arc.
Klienci korzystający z procesu automatycznego aprowizowania MMA są proszeni o migrację do nowego agenta monitorowania platformy Azure dla programu SQL Server na maszynach, w ramach procesu automatycznego aprowizowania maszyn. Proces migracji jest bezproblemowy i zapewnia ciągłą ochronę wszystkich maszyn.
Ogólna dostępność interfejsów API usługi Defender dla
15 listopada 2023 r.
Ogłaszamy ogólną dostępność interfejsów API w usłudze Microsoft Defender. Usługa Defender dla interfejsów API została zaprojektowana w celu ochrony organizacji przed zagrożeniami bezpieczeństwa interfejsu API.
Usługa Defender dla interfejsów API umożliwia organizacjom ochronę swoich interfejsów API i danych przed złośliwymi podmiotami. Organizacje mogą badać i ulepszać stan zabezpieczeń interfejsu API, ustalać priorytety poprawek luk w zabezpieczeniach oraz szybko wykrywać i reagować na aktywne zagrożenia w czasie rzeczywistym. Organizacje mogą również integrować alerty zabezpieczeń bezpośrednio z platformą SIEM (Security Incident and Event Management), na przykład Microsoft Sentinel, w celu zbadania i klasyfikacji problemów.
Możesz dowiedzieć się, jak chronić swoje interfejsy API za pomocą usługi Defender dla interfejsów API. Możesz również dowiedzieć się więcej na temat usługi Microsoft Defender dla interfejsów API.
Możesz również przeczytać ten blog , aby dowiedzieć się więcej o ogłoszeniu ogólnie dostępnym.
Defender dla Chmury jest teraz zintegrowana z usługą Microsoft 365 Defender (wersja zapoznawcza)
15 listopada 2023 r.
Firmy mogą chronić swoje zasoby i urządzenia w chmurze dzięki nowej integracji między Microsoft Defender dla Chmury i usługą Microsoft Defender XDR. Ta integracja łączy kropki między zasobami w chmurze, urządzeniami i tożsamościami, które wcześniej wymagały wielu środowisk.
Integracja zapewnia również konkurencyjne możliwości ochrony w chmurze do codziennego centrum operacji zabezpieczeń (SOC). Dzięki usłudze Microsoft Defender XDR zespoły SOC mogą łatwo odnajdywać ataki łączące wykrywanie z wielu filarów, w tym chmury, punktu końcowego, tożsamości, usługi Office 365 i nie tylko.
Oto niektóre z kluczowych korzyści:
Jeden łatwy w użyciu interfejs dla zespołów SOC: dzięki alertom Defender dla Chmury i korelacjom w chmurze zintegrowanym z usługą M365D zespoły SOC mogą teraz uzyskiwać dostęp do wszystkich informacji o zabezpieczeniach z jednego interfejsu, co znacznie poprawia wydajność operacyjną.
Jedna historia ataku: klienci mogą zrozumieć kompletną historię ataku, w tym środowisko chmury, korzystając ze wstępnie utworzonych korelacji łączących alerty zabezpieczeń z wielu źródeł.
Nowe jednostki w chmurze w usłudze Microsoft Defender XDR: usługa Microsoft Defender XDR obsługuje teraz nowe jednostki w chmurze, które są unikatowe dla Microsoft Defender dla Chmury, takich jak zasoby w chmurze. Klienci mogą dopasować jednostki maszyny wirtualnej do jednostek urządzeń, zapewniając ujednolicony widok wszystkich istotnych informacji o maszynie, w tym alertów i zdarzeń, które zostały na nim wyzwolone.
Ujednolicony interfejs API dla produktów zabezpieczeń firmy Microsoft: klienci mogą teraz eksportować swoje dane alertów zabezpieczeń do swoich systemów przy użyciu jednego interfejsu API, ponieważ alerty i zdarzenia Microsoft Defender dla Chmury są teraz częścią publicznego interfejsu API usługi Microsoft Defender XDR.
Integracja między Defender dla Chmury i usługą Microsoft Defender XDR jest dostępna dla wszystkich nowych i istniejących klientów Defender dla Chmury.
Ogólna dostępność funkcji Oceny luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender (MDVM) w usłudze Defender for Containers i usłudze Defender for Container Registries
15 listopada 2023 r.
Ocena luk w zabezpieczeniach (VA) dla obrazów kontenerów systemu Linux w rejestrach kontenerów platformy Azure obsługiwanych przez usługę Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender (MDVM) została wydana na potrzeby ogólnej dostępności w usłudze Defender for Containers i usłudze Defender for Container Registries.
W ramach tej zmiany zostały wydane następujące zalecenia dotyczące ogólnie dostępnej wersji i zmieniono jej nazwę, a teraz są uwzględniane w obliczeniu wskaźnika bezpieczeństwa:
| Bieżąca nazwa rekomendacji | Nowa nazwa rekomendacji | opis | Klucz oceny |
|---|---|---|---|
| Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Oceny luk w zabezpieczeniach obrazów kontenera skanują rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępniają szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Uruchamianie obrazów kontenerów powinno mieć rozwiązane problemy z lukami w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Skanowanie obrazów kontenera obsługiwane przez rozwiązanie MDVM powoduje teraz również naliczanie opłat zgodnie z cennikiem planu.
Uwaga
Obrazy skanowane zarówno przez naszą ofertę oceny luk w zabezpieczeniach kontenerów obsługiwane przez firmę Qualys, jak i ofertę oceny luk w zabezpieczeniach kontenerów obsługiwane przez rozwiązanie MDVM, będą rozliczane tylko raz.
Poniższe zalecenia dotyczące oceny luk w zabezpieczeniach w kontenerach zostały zmienione i będą nadal dostępne dla klientów, którzy włączyli usługę Defender for Containers w dowolnej subskrypcji przed 15 listopada. Nowi klienci dołączający usługę Defender for Containers po 15 listopada zobaczą tylko nowe zalecenia dotyczące oceny luk w zabezpieczeniach kontenerów obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
| Bieżąca nazwa rekomendacji | Nowa nazwa rekomendacji | opis | Klucz oceny |
|---|---|---|---|
| Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach — (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje obrazy kontenerów uruchomione w klastrach Kubernetes pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | 41503391-efa5-47ee-9282-4eff6131462c |
Zmień na nazwy zaleceń dotyczących ocen luk w zabezpieczeniach kontenerów
Zmieniono nazwy następujących zaleceń dotyczących ocen luk w zabezpieczeniach kontenerów:
| Bieżąca nazwa rekomendacji | Nowa nazwa rekomendacji | opis | Klucz oceny |
|---|---|---|---|
| Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach — (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje obrazy kontenerów uruchomione w klastrach Kubernetes pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | 41503391-efa5-47ee-9282-4eff6131462c |
| Obrazy rejestru kontenerów elastycznych powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Obrazy kontenerów rejestru platformy AWS powinny mieć rozwiązane luki w zabezpieczeniach — (obsługiwane przez program Trivy) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Priorytetyzacja ryzyka jest teraz dostępna dla zaleceń
15 listopada 2023 r.
Teraz możesz określić priorytety zaleceń dotyczących zabezpieczeń zgodnie z poziomem ryzyka, który stwarza, biorąc pod uwagę zarówno możliwości wykorzystania, jak i potencjalny wpływ biznesowy każdego bazowego problemu z zabezpieczeniami.
Organizując rekomendacje na podstawie ich poziomu ryzyka (krytyczne, wysokie, średnie, niskie), możesz rozwiązać najbardziej krytyczne zagrożenia w danym środowisku i efektywnie określić priorytety korygowania problemów zabezpieczeń na podstawie rzeczywistego ryzyka, takiego jak narażenie na internet, wrażliwość danych, możliwości przenoszenia bocznego i potencjalne ścieżki ataku, które mogą zostać złagodzone przez rozwiązanie zaleceń.
Dowiedz się więcej o priorytetyzacji ryzyka.
Analiza ścieżki ataku — nowy aparat i rozbudowane ulepszenia
15 listopada 2023 r.
Udostępniamy ulepszenia funkcji analizy ścieżki ataku w Defender dla Chmury.
Nowy aparat — analiza ścieżki ataku ma nowy aparat, który używa algorytmu znajdowania ścieżek do wykrywania każdej możliwej ścieżki ataku, która istnieje w środowisku chmury (na podstawie danych, które znajdują się w naszym grafie). Możemy znaleźć wiele innych ścieżek ataków w twoim środowisku i wykryć bardziej złożone i zaawansowane wzorce ataków, których osoby atakujące mogą używać do naruszenia organizacji.
Ulepszenia — wydano następujące ulepszenia:
- Priorytetyzacja ryzyka — priorytetowa lista ścieżek ataków na podstawie ryzyka (wpływ na wykorzystanie i działalność).
- Ulepszone korygowanie — wskazuje konkretne zalecenia, które należy rozwiązać, aby rzeczywiście przerwać łańcuch.
- Ścieżki ataków między chmurami — wykrywanie ścieżek ataków obejmujących wiele chmur (ścieżek rozpoczynających się w jednej chmurze i kończących się na innej).
- MITRE — mapowanie wszystkich ścieżek ataków na platformę MITRE.
- Odświeżone środowisko użytkownika — odświeżone środowisko z silniejszymi możliwościami: zaawansowane filtry, wyszukiwanie i grupowanie ścieżek ataków w celu ułatwienia klasyfikacji.
Dowiedz się , jak identyfikować i korygować ścieżki ataków.
Zmiany schematu tabeli usługi Azure Resource Graph ścieżki ataku
15 listopada 2023 r.
Schemat tabeli usługi Azure Resource Graph ścieżki ataku został zaktualizowany. Właściwość zostanie usunięta attackPathType i zostaną dodane inne właściwości.
Ogólna dostępność obsługi platformy GCP w CSPM w usłudze Defender
15 listopada 2023 r.
Ogłaszamy wydanie ogólnie dostępnej wersji CSPM w usłudze Defender kontekstowego grafu zabezpieczeń w chmurze i analizy ścieżki ataków z obsługą zasobów GCP. Możesz zastosować możliwości CSPM w usłudze Defender w celu uzyskania kompleksowego wglądu i inteligentnych zabezpieczeń chmury w zasobach GCP.
Najważniejsze funkcje naszej obsługi platformy GCP obejmują:
- Analiza ścieżki ataku — informacje na temat potencjalnych tras, które mogą podjąć osoby atakujące.
- Eksplorator zabezpieczeń w chmurze — proaktywnie identyfikowanie zagrożeń bezpieczeństwa przez uruchamianie zapytań opartych na grafie zabezpieczeń.
- Skanowanie bez agenta — skanuj serwery i identyfikuje wpisy tajne i luki w zabezpieczeniach bez instalowania agenta.
- Stan zabezpieczeń uwzględniający dane — odnajdywanie i korygowanie zagrożeń związanych z poufnymi danymi w zasobnikach usługi Google Cloud Storage.
Dowiedz się więcej o opcjach planu CSPM w usłudze Defender.
Uwaga
Rozliczenia dla ogólnodostępnej wersji wsparcia GCP w CSPM w usłudze Defender rozpocznie się 1 lutego 2024 r.
Ogólnie dostępna wersja pulpitu nawigacyjnego zabezpieczeń danych
15 listopada 2023 r.
Pulpit nawigacyjny zabezpieczeń danych jest teraz dostępny w ramach planu CSPM w usłudze Defender.
Pulpit nawigacyjny zabezpieczeń danych umożliwia wyświetlanie majątku danych organizacji, zagrożeń dla poufnych danych i szczegółowych informacji o zasobach danych.
Dowiedz się więcej o pulpicie nawigacyjnym zabezpieczeń danych.
Ogólnie dostępna wersja odnajdywania poufnych danych dla baz danych
15 listopada 2023 r.
Odnajdywanie poufnych danych dla zarządzanych baz danych, w tym baz danych Azure SQL Database i wystąpień usług AWS RDS (wszystkie smaki RDBMS) jest teraz ogólnie dostępne i umożliwia automatyczne odnajdywanie krytycznych baz danych zawierających poufne dane.
Aby włączyć tę funkcję we wszystkich obsługiwanych magazynach danych w środowiskach, należy włączyć Sensitive data discovery tę funkcję w CSPM w usłudze Defender. Dowiedz się, jak włączyć odnajdywanie poufnych danych w CSPM w usłudze Defender.
Możesz również dowiedzieć się, jak poufne odnajdywanie danych jest używane w stanie zabezpieczeń obsługującym dane.
Ogłoszenie publicznej wersji zapoznawczej: nowy rozszerzony wgląd w zabezpieczenia danych w wielu chmurach w Microsoft Defender dla Chmury.
Nowa wersja zalecenia dotyczącego znajdowania brakujących aktualizacji systemu jest teraz ogólnie dostępna
6 listopada 2023 r.
Dodatkowy agent nie jest już potrzebny na maszynach wirtualnych platformy Azure i na maszynach usługi Azure Arc, aby upewnić się, że maszyny mają wszystkie najnowsze aktualizacje systemu zabezpieczeń lub krytyczne.
Nowe zalecenie dotyczące System updates should be installed on your machines (powered by Azure Update Manager) aktualizacji systemu w kontrolce Apply system updates jest oparte na Menedżerze aktualizacji i jest teraz w pełni ogólnie dostępne. Zalecenie opiera się na natywnym agencie osadzonym na każdej maszynie wirtualnej platformy Azure i maszynach usługi Azure Arc zamiast zainstalowanego agenta. Szybka poprawka w nowej rekomendacji powoduje przejście do jednorazowej instalacji brakujących aktualizacji w portalu programu Update Manager.
Stare i nowe wersje zaleceń dotyczących znajdowania brakujących aktualizacji systemu będą dostępne do sierpnia 2024 r., czyli wtedy, gdy starsza wersja jest przestarzała. Oba zalecenia: System updates should be installed on your machines (powered by Azure Update Manager)i System updates should be installed on your machines są dostępne pod tą samą kontrolą: Apply system updates i mają te same wyniki. W związku z tym nie ma duplikacji w wyniku wskaźnika bezpieczeństwa.
Zalecamy migrację do nowej rekomendacji i usunięcie starej, wyłączając ją z wbudowanej inicjatywy Defender dla Chmury w usłudze Azure Policy.
Zalecenie [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) jest również ogólnie dostępne i jest warunkiem wstępnym, które będzie miało negatywny wpływ na wskaźnik bezpieczeństwa. Możesz skorygować negatywny efekt za pomocą dostępnej poprawki.
Aby zastosować nowe zalecenie, należy wykonać następujące działania:
- Połącz maszyny spoza platformy Azure z usługą Arc.
- Włącz właściwość oceny okresowej. Aby rozwiązać ten problem,
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)możesz użyć szybkiej poprawki w nowej rekomendacji.
Uwaga
Włączanie okresowych ocen dla maszyn z obsługą usługi Arc, które usługa Defender for Servers (plan 2) nie jest włączona w powiązanej subskrypcji lub łączniku, podlega cennikowi usługi Azure Update Manager. Maszyny z obsługą usługi Arc, które usługa Defender for Servers (plan 2 ) jest włączona na powiązanych subskrypcjach lub łącznikach albo dowolnej maszynie wirtualnej platformy Azure, kwalifikują się do tej możliwości bez dodatkowych kosztów.
Październik 2023
Zmiana ważności alertu zabezpieczeń funkcji adaptacyjnego sterowania aplikacjami
Data ogłoszenia: 30 października 2023 r.
W ramach procesu poprawy jakości alertów zabezpieczeń usługi Defender dla serwerów i w ramach funkcji adaptacyjnego sterowania aplikacjami ważność następującego alertu zabezpieczeń zmienia się na "Informational":
| Alert [Typ alertu] | Opis alertu |
|---|---|
| Naruszenie zasad adaptacyjnego sterowania aplikacjami zostało poddane inspekcji. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Poniżej użytkownicy uruchamiali aplikacje naruszające zasady kontroli aplikacji organizacji na tym komputerze. Może on potencjalnie uwidocznić maszynę w poszukiwaniu złośliwego oprogramowania lub luk w zabezpieczeniach aplikacji. |
Aby nadal wyświetlać ten alert na stronie "Alerty zabezpieczeń" w portalu Microsoft Defender dla Chmury, zmień domyślną ważność filtru widoku, aby uwzględnić alerty informacyjne w siatce.
Poprawki usługi Azure API Management w trybie offline usunięte z interfejsów API usługi Defender dla interfejsów API
25 października 2023 r.
Usługa Defender dla interfejsów API zaktualizowała obsługę poprawek interfejsu API usługi Azure API Management. Wersje offline nie są już wyświetlane w spisie dołączonych interfejsów API usługi Defender dla interfejsów API i nie są już dołączane do usługi Defender dla interfejsów API. Poprawki w trybie offline nie zezwalają na wysyłanie do nich żadnego ruchu i nie stanowią ryzyka z punktu widzenia zabezpieczeń.
Zalecenia dotyczące zarządzania stanem zabezpieczeń usługi DevOps dostępne w publicznej wersji zapoznawczej
19 października 2023 r.
Nowe zalecenia dotyczące zarządzania stanem metodyki DevOps są teraz dostępne w publicznej wersji zapoznawczej dla wszystkich klientów z łącznikiem dla usługi Azure DevOps lub GitHub. Zarządzanie stanem metodyki DevOps pomaga zmniejszyć obszar ataków środowisk DevOps, odkrywając słabe punkty w konfiguracjach zabezpieczeń i kontrolach dostępu. Dowiedz się więcej na temat zarządzania stanem metodyki DevOps.
Wydawanie ciS Azure Foundations Benchmark w wersji 2.0.0 na pulpicie nawigacyjnym zgodności z przepisami
18 października 2023 r.
Microsoft Defender dla Chmury obsługuje teraz najnowszą wersję CiS Azure Security Foundations Benchmark — wersja 2.0.0 na pulpicie nawigacyjnym Zgodności z przepisami oraz wbudowana inicjatywa zasad w usłudze Azure Policy. Wydanie wersji 2.0.0 w Microsoft Defender dla Chmury jest wspólnym wysiłkiem między firmą Microsoft, centrum zabezpieczeń internetowych (CIS) i społeczności użytkowników. Wersja 2.0.0 znacznie rozszerza zakres oceny, który obejmuje teraz wbudowane zasady platformy Azure w wersji 90 i pomyślne poprzednie wersje 1.4.0 i 1.3.0 i 1.0 w Microsoft Defender dla Chmury i usłudze Azure Policy. Aby uzyskać więcej informacji, możesz zapoznać się z tym wpisem w blogu.
Wrzesień 2023
Zmiana dziennego limitu usługi Log Analytics
Usługa Azure Monitor oferuje możliwość ustawiania dziennego limitu danych pozyskanych w obszarach roboczych usługi Log Analytics. Jednak zdarzenia zabezpieczeń usługi Defenders for Cloud nie są obecnie obsługiwane w tych wykluczeniach.
Dzienny limit usługi Log Analytics nie wyklucza już następującego zestawu typów danych:
- WindowsEvent
- SecurityAlert
- Zabezpieczenia według planu bazowego
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Zaktualizuj
- UpdateSummary
- CommonSecurityLog
- Dziennik systemu
Wszystkie rozliczane typy danych zostaną ograniczone, jeśli dzienny limit zostanie osiągnięty. Ta zmiana zwiększa możliwość pełnego przechowywania kosztów z większego niż oczekiwano pozyskiwania danych.
Dowiedz się więcej o obszarach roboczych za pomocą Microsoft Defender dla Chmury.
Pulpit nawigacyjny zabezpieczeń danych dostępny w publicznej wersji zapoznawczej
27 września 2023 r.
Pulpit nawigacyjny zabezpieczeń danych jest teraz dostępny w publicznej wersji zapoznawczej w ramach planu CSPM w usłudze Defender. Pulpit nawigacyjny zabezpieczeń danych jest interaktywnym, skoncentrowanym na danych pulpitem nawigacyjnym, który zapewnia znaczne ryzyko dla poufnych danych, priorytetyzuje alerty i potencjalne ścieżki ataków dla danych w obciążeniach chmury hybrydowej. Dowiedz się więcej o pulpicie nawigacyjnym zabezpieczeń danych.
Wersja zapoznawcza: Nowy proces automatycznego aprowizowania dla programu SQL Server w planie maszyn
21 Wrzesień 2023
Program Microsoft Monitoring Agent (MMA) jest przestarzały w sierpniu 2024 r. Defender dla Chmury zaktualizować strategię, zastępując program MMA wydaniem docelowego procesu automatycznego aprowizowania agenta monitorowania platformy Azure programu SQL Server.
W wersji zapoznawczej klienci korzystający z procesu automatycznego aprowizowania MMA z opcją Agent usługi Azure Monitor (wersja zapoznawcza) są proszeni o migrację do nowego agenta monitorowania platformy Azure dla programu SQL Server na maszynach (wersja zapoznawcza). Proces migracji jest bezproblemowy i zapewnia ciągłą ochronę wszystkich maszyn.
Aby uzyskać więcej informacji, zobacz Migrowanie do procesu automatycznego aprowizowania agenta monitorowania platformy Azure przeznaczonego do programu SQL Server.
Alerty usługi GitHub Advanced Security dla usługi Azure DevOps w Defender dla Chmury
20 września 2023 r.
Teraz możesz wyświetlać alerty usługi GitHub Advanced Security dla usługi Azure DevOps (GHAzDO) związane z językiem CodeQL, wpisami tajnymi i zależnościami w Defender dla Chmury. Wyniki są wyświetlane na stronie DevOps i w obszarze Zalecenia. Aby wyświetlić te wyniki, dołącz repozytoria z obsługą ghAzDO, aby Defender dla Chmury.
Dowiedz się więcej o usłudze GitHub Advanced Security dla usługi Azure DevOps.
Wykluczone funkcje są teraz dostępne dla rekomendacji usługi Defender dla interfejsów API
11 września 2023 r.
Teraz możesz wykluczyć zalecenia dotyczące następujących zaleceń dotyczących zabezpieczeń usługi Defender dla interfejsów API.
| Zalecenie | Opis i powiązane zasady | Ważność |
|---|---|---|
| (Wersja zapoznawcza) Nieużywane punkty końcowe interfejsu API powinny zostać wyłączone i usunięte z usługi Azure API Management | Najlepszym rozwiązaniem w zakresie zabezpieczeń punkty końcowe interfejsu API, które nie odebrały ruchu przez 30 dni, są uznawane za nieużywane i powinny zostać usunięte z usługi Azure API Management. Utrzymywanie nieużywanych punktów końcowych interfejsu API może stanowić zagrożenie bezpieczeństwa. Mogą to być interfejsy API, które powinny być przestarzałe z usługi Azure API Management, ale zostały przypadkowo aktywne. Takie interfejsy API zwykle nie otrzymują najbardziej aktualnego pokrycia zabezpieczeń. | Niski |
| (Wersja zapoznawcza) Punkty końcowe interfejsu API w usłudze Azure API Management powinny być uwierzytelniane | Punkty końcowe interfejsu API opublikowane w usłudze Azure API Management powinny wymuszać uwierzytelnianie, aby zminimalizować ryzyko bezpieczeństwa. Mechanizmy uwierzytelniania są czasami implementowane niepoprawnie lub brakuje. Dzięki temu osoby atakujące mogą wykorzystywać wady implementacji i uzyskiwać dostęp do danych. W przypadku interfejsów API opublikowanych w usłudze Azure API Management to zalecenie ocenia wykonywanie uwierzytelniania za pośrednictwem kluczy subskrypcji, JWT i certyfikatu klienta skonfigurowanego w usłudze Azure API Management. Jeśli żaden z tych mechanizmów uwierzytelniania nie zostanie wykonany podczas wywołania interfejsu API, interfejs API otrzyma to zalecenie. | Wys. |
Dowiedz się więcej na temat wykluczania zaleceń w Defender dla Chmury.
Tworzenie przykładowych alertów dla wykrywania interfejsów API usługi Defender dla interfejsów API
11 września 2023 r.
Teraz możesz wygenerować przykładowe alerty dla wykryć zabezpieczeń, które zostały wydane w ramach publicznej wersji zapoznawczej interfejsów API usługi Defender dla interfejsów API. Dowiedz się więcej na temat generowania przykładowych alertów w Defender dla Chmury.
Wersja zapoznawcza: ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender obsługuje teraz skanowanie przy ściąganiu
6 września 2023 r.
Ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender obsługuje teraz dodatkowy wyzwalacz skanowania obrazów ściągniętych z usługi ACR. Ten nowo dodany wyzwalacz zapewnia dodatkowe pokrycie aktywnych obrazów oprócz istniejących wyzwalaczy skanowania obrazów wypychanych do usługi ACR w ciągu ostatnich 90 dni i obrazów aktualnie uruchomionych w usłudze AKS.
Nowy wyzwalacz rozpocznie się dzisiaj i ma być dostępny dla wszystkich klientów do końca września.
Zaktualizowano format nazewnictwa standardów usługi Center for Internet Security (CIS) w zakresie zgodności z przepisami
6 września 2023 r.
Format nazewnictwa podstaw ciS (Center for Internet Security) testów porównawczych na pulpicie nawigacyjnym zgodności został zmieniony z [Cloud] CIS [version number] na CIS [Cloud] Foundations v[version number]. Zapoznaj się z następującą tabelą:
| Bieżąca nazwa | Nowa nazwa |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Dowiedz się, jak poprawić zgodność z przepisami.
Odnajdywanie poufnych danych dla baz danych PaaS (wersja zapoznawcza)
5 Wrzesień 2023
Funkcje stanu zabezpieczeń obsługujące dane na potrzeby bezproblemowego odnajdywania poufnych danych dla baz danych PaaS (Azure SQL Databases i Amazon RDS Instances dowolnego typu) są teraz dostępne w publicznej wersji zapoznawczej. Ta publiczna wersja zapoznawcza umożliwia utworzenie mapy danych krytycznych wszędzie tam, gdzie się znajdują, oraz typ danych znalezionych w tych bazach danych.
Odnajdywanie poufnych danych dla baz danych platform Azure i AWS dodaje współdzieloną taksonomię i konfigurację, która jest już publicznie dostępna dla zasobów magazynu obiektów w chmurze (azure Blob Storage, zasobników usług AWS S3 i zasobników magazynu GCP) oraz zapewnia jedną konfigurację i środowisko włączania.
Bazy danych są skanowane co tydzień. Jeśli włączysz sensitive data discoveryfunkcję , odnajdywanie jest uruchamiane w ciągu 24 godzin. Wyniki można wyświetlić w Eksploratorze zabezpieczeń w chmurze lub przeglądając nowe ścieżki ataków dla zarządzanych baz danych z danymi poufnymi.
Stan zabezpieczeń obsługujący dane dla baz danych jest dostępny za pośrednictwem planu CSPM w usłudze Defender i jest automatycznie włączony w subskrypcjach, w których sensitive data discovery jest włączona opcja.
Więcej informacji na temat stanu zabezpieczeń obsługujących dane można dowiedzieć się w następujących artykułach:
- Obsługa i wymagania wstępne dotyczące stanu zabezpieczeń z obsługą danych
- Włączanie stanu zabezpieczeń obsługujących dane
- Eksplorowanie zagrożeń dla poufnych danych
Ogólna dostępność: skanowanie złośliwego oprogramowania w usłudze Defender for Storage
1 Wrzesień 2023
Skanowanie w poszukiwaniu złośliwego oprogramowania jest teraz ogólnie dostępne jako dodatek do usługi Defender for Storage. Skanowanie złośliwego oprogramowania w usłudze Defender for Storage pomaga chronić konta magazynu przed złośliwą zawartością, wykonując pełne skanowanie w poszukiwaniu zawartości przekazanej w czasie niemal rzeczywistym przy użyciu funkcji Program antywirusowy Microsoft Defender. Została zaprojektowana tak, aby ułatwić spełnienie wymagań dotyczących zabezpieczeń i zgodności na potrzeby obsługi niezaufanej zawartości. Możliwość skanowania złośliwego oprogramowania to rozwiązanie SaaS bez agenta, które umożliwia konfigurowanie na dużą skalę i obsługuje automatyzowanie odpowiedzi na dużą skalę.
Dowiedz się więcej o skanowaniu złośliwego oprogramowania w usłudze Defender for Storage.
Skanowanie złośliwego oprogramowania jest wyceniane zgodnie z użyciem danych i budżetem. Rozliczenia rozpoczynają się 3 września 2023 r. Odwiedź stronę cennika, aby uzyskać więcej informacji.
Jeśli używasz poprzedniego planu, musisz aktywnie przeprowadzić migrację do nowego planu , aby umożliwić skanowanie złośliwego oprogramowania.
Przeczytaj wpis w blogu z ogłoszeniem Microsoft Defender dla Chmury.
Sierpień 2023
Aktualizacje w sierpniu obejmują:
Defender For Containers: odnajdywanie bez agenta dla platformy Kubernetes
30 sierpnia 2023 r.
Z przyjemnością przedstawiamy usługę Defender For Containers: odnajdywanie bez agentów dla platformy Kubernetes. Ta wersja stanowi znaczący krok naprzód w zakresie zabezpieczeń kontenerów, umożliwiając uzyskiwanie zaawansowanych szczegółowych informacji i kompleksowych możliwości spisu dla środowisk Kubernetes. Nowa oferta kontenera jest obsługiwana przez Defender dla Chmury kontekstowy wykres zabezpieczeń. Oto, czego można oczekiwać od tej najnowszej aktualizacji:
- Odnajdywanie rozwiązania Kubernetes bez agenta
- Kompleksowe możliwości spisu
- Szczegółowe informacje o zabezpieczeniach specyficzne dla platformy Kubernetes
- Ulepszone wyszukiwanie zagrożeń za pomocą Eksploratora zabezpieczeń w chmurze
Odnajdywanie bez agenta dla platformy Kubernetes jest teraz dostępne dla wszystkich klientów usługi Defender For Containers. Teraz możesz zacząć korzystać z tych zaawansowanych funkcji. Zachęcamy do zaktualizowania subskrypcji w celu włączenia pełnego zestawu rozszerzeń oraz skorzystania z najnowszych dodatków i funkcji. Odwiedź okienko Środowisko i ustawienia subskrypcji usługi Defender for Containers, aby włączyć rozszerzenie.
Uwaga
Włączenie najnowszych dodatków nie spowoduje ponoszenia nowych kosztów dla aktywnych klientów usługi Defender for Containers.
Aby uzyskać więcej informacji, zobacz Overview of Container security Microsoft Defender for Containers (Omówienie zabezpieczeń kontenerów w usłudze Microsoft Defender dla kontenerów).
Wydanie zalecenia: usługa Microsoft Defender for Storage powinna być włączona z funkcją skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych
wtorek, 22 sierpnia 2023 r.
Wydano nowe zalecenie w usłudze Defender for Storage. To zalecenie gwarantuje, że usługa Defender for Storage jest włączona na poziomie subskrypcji dzięki możliwościom skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych.
| Zalecenie | opis |
|---|---|
| Usługa Microsoft Defender for Storage powinna być włączona z funkcją skanowania złośliwego oprogramowania i wykrywania zagrożeń poufnych danych | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. W przypadku prostej konfiguracji bez agenta na dużą skalę po włączeniu na poziomie subskrypcji wszystkie istniejące i nowo utworzone konta magazynu w ramach tej subskrypcji będą automatycznie chronione. Możesz również wykluczyć określone konta magazynu z chronionych subskrypcji. |
To nowe zalecenie zastępuje bieżące zalecenie Microsoft Defender for Storage should be enabled (klucz oceny 1be22853-8ed1-4005-9907-ddad64cb1417). Jednak to zalecenie będzie nadal dostępne w chmurach platformy Azure Government.
Dowiedz się więcej o usłudze Microsoft Defender for Storage.
Rozszerzone właściwości w alertach zabezpieczeń Defender dla Chmury są maskowane z dzienników aktywności
17 sierpnia 2023 r.
Ostatnio zmieniliśmy sposób integracji alertów zabezpieczeń i dzienników aktywności. Aby lepiej chronić poufne informacje o klientach, nie uwzględniamy już tych informacji w dziennikach aktywności. Zamiast tego maskujemy go gwiazdkami. Jednak te informacje są nadal dostępne za pośrednictwem interfejsu API alertów, eksportu ciągłego i portalu Defender dla Chmury.
Klienci korzystający z dzienników aktywności w celu eksportowania alertów do rozwiązań SIEM powinni rozważyć użycie innego rozwiązania, ponieważ nie jest to zalecana metoda eksportowania alertów zabezpieczeń Defender dla Chmury.
Aby uzyskać instrukcje dotyczące eksportowania alertów zabezpieczeń Defender dla Chmury do rozwiązań SIEM, SOAR i innych aplikacji innych firm, zobacz Przesyłanie alertów strumieniowych do rozwiązania SIEM, SOAR lub IT Service Management.
Wersja zapoznawcza obsługi platformy GCP w CSPM w usłudze Defender
15 sierpnia 2023 r.
Ogłaszamy wydanie wersji zapoznawczej wykresu zabezpieczeń chmury CSPM w usłudze Defender i analizy ścieżki ataku z obsługą zasobów GCP. Możesz zastosować możliwości CSPM w usłudze Defender w celu uzyskania kompleksowego wglądu i inteligentnych zabezpieczeń chmury w zasobach GCP.
Najważniejsze funkcje naszej obsługi platformy GCP obejmują:
- Analiza ścieżki ataku — informacje na temat potencjalnych tras, które mogą podjąć osoby atakujące.
- Eksplorator zabezpieczeń w chmurze — proaktywnie identyfikowanie zagrożeń bezpieczeństwa przez uruchamianie zapytań opartych na grafie zabezpieczeń.
- Skanowanie bez agenta — skanuj serwery i identyfikuje wpisy tajne i luki w zabezpieczeniach bez instalowania agenta.
- Stan zabezpieczeń uwzględniający dane — odnajdywanie i korygowanie zagrożeń związanych z poufnymi danymi w zasobnikach usługi Google Cloud Storage.
Dowiedz się więcej o opcjach planu CSPM w usłudze Defender.
Nowe alerty zabezpieczeń w usłudze Defender for Servers (plan 2): wykrywanie potencjalnych ataków z powodu nadużywania rozszerzeń maszyn wirtualnych platformy Azure
7 sierpnia 2023 r.
Ta nowa seria alertów koncentruje się na wykrywaniu podejrzanych działań rozszerzeń maszyn wirtualnych platformy Azure i zapewnia wgląd w próby naruszenia zabezpieczeń i wykonywania złośliwych działań na maszynach wirtualnych.
Usługa Microsoft Defender dla serwerów może teraz wykrywać podejrzane działania rozszerzeń maszyn wirtualnych, co pozwala uzyskać lepszy zakres zabezpieczeń obciążeń.
Rozszerzenia maszyn wirtualnych platformy Azure to małe aplikacje, które są uruchamiane po wdrożeniu na maszynach wirtualnych i zapewniają możliwości, takie jak konfiguracja, automatyzacja, monitorowanie, zabezpieczenia i inne. Rozszerzenia są zaawansowanym narzędziem, ale mogą być używane przez podmioty zagrożeń dla różnych złośliwych intencji, na przykład:
- W przypadku zbierania i monitorowania danych.
- W przypadku wykonywania kodu i wdrażania konfiguracji z wysokimi uprawnieniami.
- Aby zresetować poświadczenia i utworzyć użytkowników administracyjnych.
- Do szyfrowania dysków.
Oto tabela nowych alertów.
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| Podejrzany błąd podczas instalowania rozszerzenia procesora GPU w ramach subskrypcji (wersja zapoznawcza) (VM_GPUExtensionSuspiciousFailure) |
Podejrzana intencja instalowania rozszerzenia procesora GPU na nieobsługiwanych maszynach wirtualnych. To rozszerzenie powinno być zainstalowane na maszynach wirtualnych wyposażonych w procesor graficzny, a w tym przypadku maszyny wirtualne nie są wyposażone w takie. Te błędy można zobaczyć, gdy złośliwi przeciwnicy wykonują wiele instalacji takiego rozszerzenia w celach kryptograficznych. | Wpływ | Śred. |
| Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza) (VM_GPUDriverExtensionUnusualExecution) Ten alert został wydany w lipcu 2023 r. |
Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców. | Wpływ | Niski |
| Uruchom polecenie z podejrzanym skryptem wykryto na maszynie wirtualnej (wersja zapoznawcza) (VM_RunCommandSuspiciousScript) |
Na maszynie wirtualnej wykryto polecenie Uruchom z podejrzanym skryptem, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe. | Wykonanie | Wys. |
| Wykryto podejrzane nieautoryzowane użycie polecenia uruchamiania na maszynie wirtualnej (wersja zapoznawcza) (VM_RunCommandSuspiciousFailure) |
Podejrzane nieautoryzowane użycie polecenia uruchamiania nie powiodło się i zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą próbować użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager. To działanie jest uważane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej. | Wykonanie | Śred. |
| Wykryto podejrzane użycie polecenia uruchamiania na maszynie wirtualnej (wersja zapoznawcza) (VM_RunCommandSuspiciousUsage) |
Wykryto podejrzane użycie polecenia Uruchom na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć polecenia Uruchom, aby wykonać złośliwy kod z wysokimi uprawnieniami na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager. To działanie jest uważane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej. | Wykonanie | Niski |
| Wykryto podejrzane użycie wielu rozszerzeń monitorowania lub zbierania danych na maszynach wirtualnych (wersja zapoznawcza) (VM_SuspiciousMultiExtensionUsage) |
Wykryto podejrzane użycie wielu rozszerzeń monitorowania lub zbierania danych na maszynach wirtualnych, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą nadużywać takich rozszerzeń na potrzeby zbierania danych, monitorowania ruchu sieciowego i nie tylko w ramach subskrypcji. To użycie jest uznawane za podejrzane, ponieważ nie było powszechnie spotykane wcześniej. | Rozeznanie | Śred. |
| Wykryto podejrzaną instalację rozszerzeń szyfrowania dysków na maszynach wirtualnych (wersja zapoznawcza) (VM_DiskEncryptionSuspiciousUsage) |
Wykryto podejrzaną instalację rozszerzeń szyfrowania dysków na maszynach wirtualnych, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą nadużywać rozszerzenia szyfrowania dysku, aby wdrożyć pełne szyfrowanie dysków na maszynach wirtualnych za pośrednictwem usługi Azure Resource Manager w celu wykonania działania wymuszającego okup. To działanie jest uznawane za podejrzane, ponieważ nie było powszechnie spotykane przed i ze względu na dużą liczbę instalacji rozszerzeń. | Wpływ | Śred. |
| Wykryto podejrzane użycie rozszerzenia vm Access na maszynach wirtualnych (wersja zapoznawcza) (VM_VMAccessSuspiciousUsage) |
Wykryto podejrzane użycie rozszerzenia vm Access na maszynach wirtualnych. Osoby atakujące mogą nadużywać rozszerzenia dostępu do maszyn wirtualnych w celu uzyskania dostępu i naruszenia zabezpieczeń maszyn wirtualnych z wysokimi uprawnieniami przez zresetowanie dostępu lub zarządzanie użytkownikami administracyjnymi. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców i ze względu na dużą liczbę instalacji rozszerzeń. | Trwałość | Śred. |
| Wykryto rozszerzenie Desired State Configuration (DSC) z podejrzanym skryptem na maszynie wirtualnej (wersja zapoznawcza) (VM_DSCExtensionSuspiciousScript) |
Rozszerzenie Desired State Configuration (DSC) z podejrzanym skryptem zostało wykryte na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia Desired State Configuration (DSC) do wdrażania złośliwych konfiguracji, takich jak mechanizmy trwałości, złośliwe skrypty i inne, z wysokimi uprawnieniami, na maszynach wirtualnych. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe. | Wykonanie | Wys. |
| Wykryto podejrzane użycie rozszerzenia Desired State Configuration (DSC) na maszynach wirtualnych (wersja zapoznawcza) (VM_DSCExtensionSuspiciousUsage) |
Wykryto podejrzane użycie rozszerzenia Desired State Configuration (DSC) na maszynach wirtualnych, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia Desired State Configuration (DSC) do wdrażania złośliwych konfiguracji, takich jak mechanizmy trwałości, złośliwe skrypty i inne, z wysokimi uprawnieniami, na maszynach wirtualnych. To działanie jest uważane za podejrzane, ponieważ zachowanie podmiotu zabezpieczeń odbiega od zwykłych wzorców i ze względu na dużą liczbę instalacji rozszerzeń. | Wpływ | Niski |
| Na maszynie wirtualnej wykryto rozszerzenie niestandardowego skryptu z podejrzanym skryptem (wersja zapoznawcza) (VM_CustomScriptExtensionSuspiciousCmd) (Ten alert już istnieje i został ulepszony przy użyciu bardziej ulepszonych metod logiki i wykrywania). |
Na maszynie wirtualnej wykryto rozszerzenie niestandardowego skryptu z podejrzanym skryptem, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą używać rozszerzenia niestandardowego skryptu do wykonywania złośliwego kodu z wysokimi uprawnieniami na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager. Skrypt jest uważany za podejrzany, ponieważ niektóre części zostały zidentyfikowane jako potencjalnie złośliwe. | Wykonanie | Wys. |
Zobacz alerty oparte na rozszerzeniach w usłudze Defender for Servers.
Aby uzyskać pełną listę alertów, zobacz tabelę referencyjną dla wszystkich alertów zabezpieczeń w Microsoft Defender dla Chmury.
Aktualizacje modelu biznesowego i cen dla planów Defender dla Chmury
1 sierpnia 2023 r.
Microsoft Defender dla Chmury ma trzy plany, które oferują ochronę warstwy usług:
Defender for Key Vault
Defender for Resource Manager
Defender for DNS
Plany te przeszły do nowego modelu biznesowego z różnymi cenami i pakietami, aby rozwiązać problemy z opiniami klientów dotyczącymi przewidywalności wydatków i uprościć ogólną strukturę kosztów.
Podsumowanie zmian modelu biznesowego i cen:
Istniejący klienci usługi Defender for Key-Vault, Defender for Resource Manager i Defender for DNS zachowają bieżący model biznesowy i ceny, chyba że aktywnie zdecydują się przełączyć się na nowy model biznesowy i cenę.
- Defender for Resource Manager: ten plan ma stałą cenę za subskrypcję miesięcznie. Klienci mogą przełączyć się na nowy model biznesowy, wybierając usługę Defender for Resource Manager nową dla modelu subskrypcji.
Istniejący klienci usługi Defender for Key-Vault, Defender for Resource Manager i Defender for DNS zachowają bieżący model biznesowy i ceny, chyba że aktywnie zdecydują się przełączyć się na nowy model biznesowy i cenę.
- Defender for Resource Manager: ten plan ma stałą cenę za subskrypcję miesięcznie. Klienci mogą przełączyć się na nowy model biznesowy, wybierając usługę Defender for Resource Manager nową dla modelu subskrypcji.
- Defender for Key Vault: ten plan ma stałą cenę za magazyn, miesięcznie bez opłat za nadwyżkę. Klienci mogą przełączyć się do nowego modelu biznesowego, wybierając usługę Defender for Key Vault nową dla modelu magazynu
- Defender for DNS: Usługa Defender dla serwerów (plan 2) — klienci uzyskują dostęp do usługi Defender for DNS w ramach planu 2 usługi Defender for Servers bez dodatkowych kosztów. Klienci, którzy mają zarówno usługę Defender for Server Plan 2, jak i usługę Defender dla systemu DNS, nie są już naliczani opłaty za usługę Defender dla systemu DNS. Usługa Defender for DNS nie jest już dostępna jako plan autonomiczny.
Dowiedz się więcej o cenach tych planów na stronie cennika Defender dla Chmury.
Lipiec 2023 r.
Aktualizacje w lipcu obejmują:
Wersja zapoznawcza oceny luk w zabezpieczeniach kontenerów z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
31 lipca 2023 roku
Ogłaszamy wydanie oceny luk w zabezpieczeniach (VA) dla obrazów kontenerów systemu Linux w rejestrach kontenerów platformy Azure obsługiwanych przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w usługach Defender for Containers i Defender for Container Registries. Nowa oferta oceny luk w zabezpieczeniach kontenerów zostanie udostępniona wraz z naszą istniejącą ofertą oceny luk w zabezpieczeniach kontenerów obsługiwaną przez firmę Qualys zarówno w usłudze Defender for Containers, jak i defender for Container Registries oraz obejmuje codzienne ponowne skanowanie obrazów kontenerów, informacje o możliwości wykorzystania, obsługę systemów operacyjnych i języków programowania (SCA) i nie tylko.
Ta nowa oferta rozpocznie się dzisiaj i oczekuje się, że będzie dostępna dla wszystkich klientów do 7 sierpnia.
Dowiedz się więcej o ocenie luk w zabezpieczeniach kontenerów za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Stan kontenera bez agenta w CSPM w usłudze Defender jest teraz ogólnie dostępny
30 lipca 2023 r.
Funkcje stanu kontenera bez agenta są teraz ogólnie dostępne w ramach planu CSPM w usłudze Defender (Zarządzanie stanem zabezpieczeń w chmurze).
Dowiedz się więcej na temat stanu kontenera bez agenta w CSPM w usłudze Defender.
Zarządzanie automatycznymi aktualizacjami w usłudze Defender dla punktu końcowego dla systemu Linux
20 lipca 2023 r.
Domyślnie Defender dla Chmury próbuje zaktualizować agentów usługi Defender for Linux dołączonych do MDE.Linux rozszerzenia. W tej wersji możesz zarządzać tym ustawieniem i zrezygnować z konfiguracji domyślnej w celu ręcznego zarządzania cyklami aktualizacji.
Dowiedz się, jak zarządzać konfiguracją aktualizacji automatycznych dla systemu Linux.
Wpisy tajne bez agenta skanowane pod kątem maszyn wirtualnych w usłudze Defender dla serwerów P2 i CSPM w usłudze Defender
18 lipca 2023 roku
Skanowanie wpisów tajnych jest teraz dostępne w ramach skanowania bez agenta w usłudze Defender for Servers P2 i CSPM w usłudze Defender. Ta funkcja ułatwia wykrywanie niezarządzanych i niezabezpieczonych wpisów tajnych zapisanych na maszynach wirtualnych na platformie Azure lub w zasobach platformy AWS, których można użyć do późniejszego przenoszenia w sieci. Jeśli wpisy tajne zostaną wykryte, Defender dla Chmury może pomóc w określaniu priorytetów i podjęciu kroków korygowania możliwych do podjęcia działań w celu zminimalizowania ryzyka przenoszenia bocznego, a wszystko to bez wpływu na wydajność maszyny.
Aby uzyskać więcej informacji na temat ochrony wpisów tajnych za pomocą skanowania wpisów tajnych, zobacz Zarządzanie wpisami tajnymi za pomocą skanowania wpisów tajnych bez agenta.
Nowy alert zabezpieczeń w planie 2 usługi Defender for Servers: wykrywanie potencjalnych ataków przy użyciu rozszerzeń sterowników procesora GPU maszyny wirtualnej platformy Azure
12 lipca 2023 roku
Ten alert koncentruje się na identyfikowaniu podejrzanych działań korzystających z rozszerzeń sterowników procesora GPU maszyny wirtualnej platformy Azure i zapewnia wgląd w próby naruszenia zabezpieczeń maszyn wirtualnych przez osoby atakujące. Alert dotyczy podejrzanych wdrożeń rozszerzeń sterowników procesora GPU; takie rozszerzenia są często nadużywane przez podmioty zagrożeń, aby wykorzystać pełną moc karty GPU i wykonać cryptojacking.
| Nazwa wyświetlana alertu (Typ alertu) |
opis | Waga błędu | TAKTYKA MITRE |
|---|---|---|---|
| Podejrzana instalacja rozszerzenia procesora GPU na maszynie wirtualnej (wersja zapoznawcza) (VM_GPUDriverExtensionUnusualExecution) |
Wykryto podejrzaną instalację rozszerzenia procesora GPU na maszynie wirtualnej, analizując operacje usługi Azure Resource Manager w ramach subskrypcji. Osoby atakujące mogą użyć rozszerzenia sterownika procesora GPU do zainstalowania sterowników procesora GPU na maszynie wirtualnej za pośrednictwem usługi Azure Resource Manager w celu przeprowadzenia przejęcia kryptograficznego. | Niski | Wpływ |
Aby uzyskać pełną listę alertów, zobacz tabelę referencyjną dla wszystkich alertów zabezpieczeń w Microsoft Defender dla Chmury.
Obsługa wyłączania określonych luk w zabezpieczeniach
9 lipca 2023 r.
Wydanie obsługi wyłączania wyników luk w zabezpieczeniach obrazów rejestru kontenerów lub uruchamiania obrazów w ramach stanu kontenera bez agenta. Jeśli masz organizację, musisz zignorować znalezienie luki w zabezpieczeniach na obrazie rejestru kontenerów, a nie skorygować go, możesz opcjonalnie go wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.
Dowiedz się, jak wyłączyć wyniki oceny luk w zabezpieczeniach na obrazach rejestru kontenerów.
Stan zabezpieczeń obsługujący dane jest teraz ogólnie dostępny
1 lipca 2023 r.
Stan zabezpieczeń obsługujący dane w Microsoft Defender dla Chmury jest teraz ogólnie dostępny. Pomaga klientom zmniejszyć ryzyko związane z danymi i reagować na naruszenia zabezpieczeń danych. Stan zabezpieczeń obsługujących dane umożliwia:
- Automatyczne odnajdywanie poufnych zasobów danych na platformie Azure i na platformie AWS.
- Ocena poufności danych, ekspozycji danych i sposobu przepływu danych w całej organizacji.
- Proaktywnie i stale odkrywaj zagrożenia, które mogą prowadzić do naruszeń danych.
- Wykrywanie podejrzanych działań, które mogą wskazywać na bieżące zagrożenia dla poufnych zasobów danych
Aby uzyskać więcej informacji, zobacz Stan zabezpieczeń obsługujący dane w Microsoft Defender dla Chmury.
Czerwiec 2023
Aktualizacje w czerwcu obejmują:
Uproszczone dołączanie konta wielochmurowego przy użyciu rozszerzonych ustawień
26 czerwca 2023 roku
Defender dla Chmury ulepszono środowisko dołączania w celu uwzględnienia nowego usprawnionego interfejsu użytkownika i instrukcji oprócz nowych funkcji, które umożliwiają dołączanie środowisk AWS i GCP przy jednoczesnym zapewnieniu dostępu do zaawansowanych funkcji dołączania.
W przypadku organizacji, które przyjęły narzędzie Hashicorp Terraform do automatyzacji, Defender dla Chmury teraz obejmuje możliwość używania narzędzia Terraform jako metody wdrażania obok platformy AWS CloudFormation lub GCP Cloud Shell. Teraz można dostosować wymagane nazwy ról podczas tworzenia integracji. Możesz również wybrać między:
Dostęp domyślny — umożliwia Defender dla Chmury skanowanie zasobów i automatyczne dołączanie przyszłych funkcji.
Najmniej uprzywilejowany dostęp — przyznaje Defender dla Chmury dostęp tylko do bieżących uprawnień wymaganych dla wybranych planów.
W przypadku wybrania najniższych uprawnień będziesz otrzymywać powiadomienia tylko o nowych rolach i uprawnieniach wymaganych do uzyskania pełnej funkcjonalności kondycji łącznika.
Defender dla Chmury umożliwia odróżnienie kont chmury od ich natywnych nazw od dostawców usług w chmurze. Na przykład aliasy kont platformy AWS i nazwy projektów GCP.
Obsługa prywatnego punktu końcowego na potrzeby skanowania złośliwego oprogramowania w usłudze Defender for Storage
25 czerwca 2023 r.
Obsługa prywatnego punktu końcowego jest teraz dostępna w ramach publicznej wersji zapoznawczej skanowania złośliwego oprogramowania w usłudze Defender for Storage. Ta funkcja umożliwia włączenie skanowania złośliwego oprogramowania na kontach magazynu korzystających z prywatnych punktów końcowych. Nie jest wymagana żadna inna konfiguracja.
Skanowanie w poszukiwaniu złośliwego oprogramowania (wersja zapoznawcza) w usłudze Defender for Storage pomaga chronić konta magazynu przed złośliwym oprogramowaniem, wykonując pełne skanowanie w poszukiwaniu zawartości przekazanej w czasie niemal rzeczywistym przy użyciu funkcji Program antywirusowy Microsoft Defender. Została zaprojektowana tak, aby ułatwić spełnienie wymagań dotyczących zabezpieczeń i zgodności na potrzeby obsługi niezaufanej zawartości. Jest to rozwiązanie SaaS bez agenta, które umożliwia prostą konfigurację na dużą skalę, z zerową konserwacją i obsługuje automatyzowanie odpowiedzi na dużą skalę.
Prywatne punkty końcowe zapewniają bezpieczną łączność z usługami Azure Storage, skutecznie eliminując publiczne narażenie na internet i są uważane za najlepsze rozwiązanie w zakresie zabezpieczeń.
W przypadku kont magazynu z prywatnymi punktami końcowymi, które mają już włączone skanowanie złośliwego oprogramowania, należy wyłączyć i włączyć plan ze skanowaniem złośliwego oprogramowania, aby to działało.
Dowiedz się więcej o korzystaniu z prywatnych punktów końcowych w usłudze Defender for Storage i sposobie dalszego zabezpieczania usług magazynu.
Zalecenie wydane w wersji zapoznawczej: uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender)
21 czerwca 2023 r.
Nowe zalecenie dotyczące kontenera w CSPM w usłudze Defender obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender jest wydawane w wersji zapoznawczej:
| Zalecenie | opis | Klucz oceny |
|---|---|---|
| Uruchamianie obrazów kontenerów powinno mieć rozwiązane problemy z lukami w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender)(wersja zapoznawcza) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
To nowe zalecenie zastępuje bieżącą rekomendację o tej samej nazwie, obsługiwanej przez firmę Qualys, tylko w CSPM w usłudze Defender (zastępując klucz oceny 41503391-efa5-47ee-9282-4eff6131462c).
Wprowadzono aktualizacje kontroli dotyczące standardów NIST 800-53 w zakresie zgodności z przepisami
15 czerwca 2023 r.
Standardy NIST 800-53 (zarówno R4, jak i R5) zostały niedawno zaktualizowane o zmiany kontroli w Microsoft Defender dla Chmury zgodności z przepisami. Kontrolki zarządzane przez firmę Microsoft zostały usunięte ze standardu, a informacje dotyczące implementacji odpowiedzialności firmy Microsoft (w ramach modelu wspólnej odpowiedzialności w chmurze) są teraz dostępne tylko w okienku szczegółów kontroli w obszarze Microsoft Actions.
Te kontrolki zostały wcześniej obliczone jako przekazane mechanizmy kontroli, więc w latach 2023–2023 może wystąpić znaczny spadek wskaźnika zgodności dla standardów NIST z kwietnia 2023 r. do maja 2023 r.
Aby uzyskać więcej informacji na temat mechanizmów kontroli zgodności, zobacz Samouczek: kontrole zgodności z przepisami — Microsoft Defender dla Chmury.
Planowanie migracji do chmury przy użyciu przypadku biznesowego usługi Azure Migrate obejmuje teraz Defender dla Chmury
11 czerwca 2023 r.
Teraz możesz odkryć potencjalne oszczędności kosztów w zabezpieczeniach, stosując Defender dla Chmury w kontekście przypadku biznesowego usługi Azure Migrate.
Konfiguracja ekspresowa dla ocen luk w zabezpieczeniach w usłudze Defender for SQL jest teraz ogólnie dostępna
7 czerwca 2023 r.
Konfiguracja ekspresowa dla ocen luk w zabezpieczeniach w usłudze Defender for SQL jest teraz ogólnie dostępna. Konfiguracja ekspresowa zapewnia usprawnione środowisko dołączania do ocen luk w zabezpieczeniach SQL przy użyciu konfiguracji jednym kliknięciem (lub wywołania interfejsu API). Nie ma dodatkowych ustawień ani zależności dla zarządzanych kont magazynu.
Zapoznaj się z tym blogem , aby dowiedzieć się więcej na temat konfiguracji ekspresowej.
Różnice między konfiguracją ekspresową i klasyczną można poznać.
Więcej zakresów dodanych do istniejących łączników usługi Azure DevOps
6 czerwca 2023 r.
Usługa Defender for DevOps dodała następujące dodatkowe zakresy do aplikacji Usługi Azure DevOps (ADO):
Zaawansowane zarządzanie zabezpieczeniami:
vso.advsec_manage. Jest to wymagane w celu umożliwienia włączania, wyłączania i zarządzania usługą GitHub Advanced Security for ADO.Mapowanie kontenera:
vso.extension_manage,vso.gallery_manager; Co jest potrzebne, aby umożliwić udostępnianie rozszerzenia dekoratora organizacji ADO.
Ta zmiana ma wpływ tylko na nowych klientów usługi Defender for DevOps, którzy próbują dołączyć zasoby ADO do Microsoft Defender dla Chmury.
Dołączanie bezpośrednio (bez usługi Azure Arc) do usługi Defender dla serwerów jest teraz ogólnie dostępne
5 czerwca 2023 r.
Wcześniej usługa Azure Arc była wymagana do dołączenia serwerów spoza platformy Azure do usługi Defender for Servers. Jednak w najnowszej wersji można również dołączyć serwery lokalne do usługi Defender for Servers przy użyciu tylko agenta Ochrona punktu końcowego w usłudze Microsoft Defender.
Ta nowa metoda upraszcza proces dołączania dla klientów skoncentrowanych na podstawowej ochronie punktu końcowego i umożliwia korzystanie z rozliczeń opartych na użyciu usługi Defender for Servers dla zasobów w chmurze i niechmurowych. Opcja bezpośredniego dołączania za pośrednictwem usługi Defender dla punktu końcowego jest teraz dostępna z rozliczeniami dla dołączonych maszyn począwszy od 1 lipca.
Aby uzyskać więcej informacji, zobacz Connect your non-Azure machines to Microsoft Defender dla Chmury with Defender for Endpoint (Łączenie maszyn spoza platformy Azure z usługą Defender for Endpoint).
Zastępowanie odnajdywania opartego na agencie funkcją odnajdywania bez agenta dla funkcji kontenerów w CSPM w usłudze Defender
4 czerwca 2023 r.
Dzięki możliwościom stan kontenera bez agenta dostępnym w CSPM w usłudze Defender możliwości odnajdywania opartego na agencie są teraz wycofane. Jeśli obecnie używasz możliwości kontenera w ramach CSPM w usłudze Defender, upewnij się, że odpowiednie rozszerzenia są włączone, aby nadal otrzymywać wartość związaną z kontenerem nowych funkcji bez agenta, takich jak ścieżki ataków związanych z kontenerem, szczegółowe informacje i spis. (Może upłynąć do 24 godzin, aby zobaczyć efekty włączania rozszerzeń).
Dowiedz się więcej na temat stanu kontenera bez agenta.
Maj 2023
Aktualizacje w maju obejmują:
- Nowy alert w usłudze Defender for Key Vault.
- Obsługa bez agenta skanowania zaszyfrowanych dysków na platformie AWS.
- Zmiany konwencji nazewnictwa JIT (Just In Time) w Defender dla Chmury.
- Dołączanie wybranych regionów platformy AWS.
- Zmiany w zaleceniach dotyczących tożsamości.
- Wycofanie starszych standardów na pulpicie nawigacyjnym zgodności.
- Aktualizacja dwóch zaleceń usługi Defender for DevOps w celu uwzględnienia wyników skanowania usługi Azure DevOps
- Nowe ustawienie domyślne dla rozwiązania do oceny luk w zabezpieczeniach usługi Defender for Servers.
- Możliwość pobierania raportu CSV wyników zapytań eksploratora zabezpieczeń w chmurze (wersja zapoznawcza).
- Wydanie oceny luk w zabezpieczeniach kontenerów przy użyciu Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
- Zmiana nazwy zaleceń dotyczących kontenerów obsługiwanych przez firmę Qualys.
- Aktualizacja aplikacji GitHub usługi Defender for DevOps.
- Zmień wartość na Adnotacje żądania ściągnięcia w usłudze Defender for DevOps w repozytoriach usługi Azure DevOps, które zawierają teraz błędną konfigurację infrastruktury jako kodu.
Nowy alert w usłudze Defender for Key Vault
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| Nietypowy dostęp do magazynu kluczy z podejrzanego adresu IP (firmy innej niż Microsoft lub zewnętrzna) (KV_UnusualAccessSuspiciousIP) |
Użytkownik lub jednostka usługi próbowała nietypowego dostępu do magazynów kluczy z adresu IP innego niż Microsoft w ciągu ostatnich 24 godzin. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania. | Dostęp poświadczeń | Śred. |
Aby uzyskać wszystkie dostępne alerty, zobacz Alerty dla usługi Azure Key Vault.
Skanowanie bez agenta obsługuje teraz zaszyfrowane dyski na platformie AWS
Skanowanie bez agenta dla maszyn wirtualnych obsługuje teraz przetwarzanie wystąpień z zaszyfrowanymi dyskami na platformie AWS przy użyciu zarówno klucza cmk, jak i klucza PMK.
Ta rozszerzona obsługa zwiększa zasięg i widoczność majątku w chmurze bez wpływu na uruchomione obciążenia. Obsługa zaszyfrowanych dysków utrzymuje tę samą metodę zerowego wpływu na uruchomione wystąpienia.
- W przypadku nowych klientów, którzy włączają skanowanie bez agenta na platformie AWS — pokrycie zaszyfrowanych dysków jest domyślnie wbudowane i obsługiwane.
- W przypadku istniejących klientów, którzy mają już łącznik platformy AWS z włączonym skanowaniem bez agenta, należy ponownie zastosować stos CloudFormation do dołączonych kont platformy AWS w celu zaktualizowania i dodania nowych uprawnień wymaganych do przetwarzania zaszyfrowanych dysków. Zaktualizowany szablon CloudFormation zawiera nowe przypisania, które umożliwiają Defender dla Chmury przetwarzania zaszyfrowanych dysków.
Możesz dowiedzieć się więcej o uprawnieniach używanych do skanowania wystąpień platformy AWS.
Aby ponownie zastosować stos CloudFormation:
- Przejdź do Defender dla Chmury ustawień środowiska i otwórz łącznik platformy AWS.
- Przejdź do karty Konfigurowanie dostępu .
- Wybierz pozycję Kliknij, aby pobrać szablon CloudFormation.
- Przejdź do środowiska platformy AWS i zastosuj zaktualizowany szablon.
Dowiedz się więcej na temat skanowania bez agenta i włączania skanowania bez agenta na platformie AWS.
Poprawione konwencje nazewnictwa reguł JIT (just in time) w Defender dla Chmury
Zmieniliśmy reguły JIT (Just In Time), aby były zgodne z marką Microsoft Defender dla Chmury. Zmieniliśmy konwencje nazewnictwa dla reguł usługi Azure Firewall i sieciowej grupy zabezpieczeń (sieciowej grupy zabezpieczeń).
Zmiany są wymienione w następujący sposób:
| opis | Stara nazwa | Nowa nazwa |
|---|---|---|
| Nazwy reguł JIT (zezwalaj i odmawiaj) w sieciowej grupie zabezpieczeń (sieciowej grupie zabezpieczeń) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Opisy reguł JIT w sieciowej grupie zabezpieczeń | Reguła dostępu sieciowego JIT usługi ASC | Reguła dostępu sieciowego JIT usługi MDC |
| Nazwy kolekcji reguł zapory JIT | ASC-JIT | MDC-JIT |
| Nazwy reguł zapory JIT | ASC-JIT | MDC-JIT |
Dowiedz się, jak zabezpieczyć porty zarządzania za pomocą dostępu just in time.
Dołączanie wybranych regionów platformy AWS
Aby ułatwić zarządzanie kosztami platformy AWS CloudTrail i potrzebami w zakresie zgodności, możesz teraz wybrać regiony platformy AWS do skanowania podczas dodawania lub edytowania łącznika chmury. Teraz możesz skanować wybrane określone regiony platformy AWS lub wszystkie dostępne regiony (ustawienie domyślne) podczas dołączania kont platformy AWS do Defender dla Chmury. Dowiedz się więcej na stronie Łączenie konta platformy AWS z Microsoft Defender dla Chmury.
Wiele zmian w zaleceniach dotyczących tożsamości
Poniższe zalecenia są teraz wydawane jako ogólna dostępność i zastępują rekomendacje w wersji 1, które są teraz przestarzałe.
Ogólnie dostępna wersja zaleceń dotyczących tożsamości w wersji 2
W wersji 2 zaleceń dotyczących tożsamości wprowadzono następujące ulepszenia:
- Zakres skanowania został rozszerzony w celu uwzględnienia wszystkich zasobów platformy Azure, a nie tylko subskrypcji. Dzięki temu administratorzy zabezpieczeń mogą wyświetlać przypisania ról na konto.
- Określone konta można teraz wykluczyć z oceny. Konta takie jak break glass lub konta usług mogą być wykluczone przez administratorów zabezpieczeń.
- Częstotliwość skanowania została zwiększona z 24 godzin do 12 godzin, dzięki czemu zalecenia dotyczące tożsamości są bardziej aktualne i dokładne.
Następujące zalecenia dotyczące zabezpieczeń są dostępne w ogólnie dostępnej wersji i zastępują zalecenia dotyczące wersji 1:
| Zalecenie | Klucz oceny |
|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Wycofanie zaleceń dotyczących tożsamości w wersji 1
Następujące zalecenia dotyczące zabezpieczeń są teraz przestarzałe:
| Zalecenie | Klucz oceny |
|---|---|
| Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami właściciela subskrypcji. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do zapisu w subskrypcjach. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu w subskrypcjach. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Przestarzałe konta powinny zostać usunięte z subskrypcji | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Zalecamy zaktualizowanie niestandardowych skryptów, przepływów pracy i reguł ładu w celu odpowiadania rekomendacjom w wersji 2.
Wycofanie starszych standardów na pulpicie nawigacyjnym zgodności
Starsze wersje PCI DSS w wersji 3.2.1 i starszej wersji TSP SOC zostały w pełni przestarzałe na pulpicie nawigacyjnym zgodności Defender dla Chmury i zastąpione inicjatywą SOC 2 Typu 2 oraz standardami zgodności opartymi na inicjatywie PCI DSS w wersji 4. Mamy w pełni przestarzałą obsługę standardu /inicjatywy PCI DSS na platformie Microsoft Azure obsługiwanej przez firmę 21Vianet.
Dowiedz się, jak dostosować zestaw standardów na pulpicie nawigacyjnym zgodności z przepisami.
Usługa Defender for DevOps obejmuje wyniki skanowania usługi Azure DevOps
Usługa Defender for DevOps Code i IaC rozszerzyła zakres rekomendacji w Microsoft Defender dla Chmury, aby uwzględnić wyniki zabezpieczeń usługi Azure DevOps dla następujących dwóch zaleceń:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Wcześniej pokrycie skanowania zabezpieczeń usługi Azure DevOps obejmowało tylko zalecenie dotyczące wpisów tajnych.
Dowiedz się więcej o usłudze Defender for DevOps.
Nowe ustawienie domyślne dla rozwiązania do oceny luk w zabezpieczeniach usługi Defender for Servers
Rozwiązania do oceny luk w zabezpieczeniach są niezbędne do ochrony maszyn przed atakami cybernetycznymi i naruszeniami danych.
Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender jest teraz włączona jako domyślne, wbudowane rozwiązanie dla wszystkich subskrypcji chronionych przez usługę Defender for Servers, które nie ma jeszcze wybranego rozwiązania do oceny luk w zabezpieczeniach.
Jeśli subskrypcja ma włączone rozwiązanie do zarządzania aktywacją zbiorczą na dowolnej maszynie wirtualnej, żadne zmiany nie zostaną wprowadzone i Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender nie zostaną domyślnie włączone na pozostałych maszynach wirtualnych w tej subskrypcji. Możesz włączyć rozwiązanie va na pozostałych maszynach wirtualnych w Twoich subskrypcjach.
Dowiedz się, jak znaleźć luki w zabezpieczeniach i zebrać spis oprogramowania za pomocą skanowania bez agenta (wersja zapoznawcza).
Pobieranie raportu CSV wyników zapytania eksploratora zabezpieczeń w chmurze (wersja zapoznawcza)
Defender dla Chmury dodano możliwość pobierania raportu CSV wyników zapytań eksploratora zabezpieczeń w chmurze.
Po uruchomieniu wyszukiwania zapytania możesz wybrać przycisk Pobierz raport CSV (wersja zapoznawcza) na stronie Eksploratora zabezpieczeń w chmurze w Defender dla Chmury.
Dowiedz się, jak tworzyć zapytania za pomocą eksploratora zabezpieczeń w chmurze
Wydanie oceny luk w zabezpieczeniach kontenerów za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Ogłaszamy wydanie oceny luk w zabezpieczeniach dla obrazów systemu Linux w rejestrach kontenerów platformy Azure obsługiwanych przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w CSPM w usłudze Defender. Ta wersja obejmuje codzienne skanowanie obrazów. Wyniki używane w Eksploratorze zabezpieczeń i ścieżkach ataków polegają na ocenie luk w zabezpieczeniach usługi Microsoft Defender zamiast skanera Qualys.
Istniejące zalecenie Container registry images should have vulnerability findings resolved jest zastępowane przez nowe zalecenie:
| Zalecenie | opis | Klucz oceny |
|---|---|---|
| Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | dbd0cb49-b563-45e7-9724-889e799fa648 został zastąpiony przez c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Dowiedz się więcej na temat stanu kontenerów bez agentów w CSPM w usłudze Defender.
Dowiedz się więcej o Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Zmiana nazwy zaleceń dotyczących kontenerów obsługiwanych przez firmę Qualys
Nazwy bieżących zaleceń dotyczących kontenerów w usłudze Defender for Containers zostaną zmienione w następujący sposób:
| Zalecenie | opis | Klucz oceny |
|---|---|---|
| Obrazy rejestru kontenerów powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez firmę Qualys) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje obrazy kontenerów uruchomione w klastrach Kubernetes pod kątem luk w zabezpieczeniach i uwidacznia szczegółowe wyniki dla każdego obrazu. Rozwiązanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń kontenerów i chronić je przed atakami. | 41503391-efa5-47ee-9282-4eff6131462c |
Aktualizacja aplikacji Usługi GitHub w usłudze Defender for DevOps
Usługa Microsoft Defender for DevOps stale wprowadza zmiany i aktualizacje, które wymagają usługi Defender dla klientów usługi DevOps, którzy dołączyli swoje środowiska GitHub w Defender dla Chmury w celu zapewnienia uprawnień w ramach aplikacji wdrożonej w organizacji usługi GitHub. Te uprawnienia są niezbędne do zapewnienia, że wszystkie funkcje zabezpieczeń usługi Defender for DevOps działają normalnie i bez problemów.
Zalecamy jak najszybsze zaktualizowanie uprawnień, aby zapewnić stały dostęp do wszystkich dostępnych funkcji usługi Defender for DevOps.
Uprawnienia można przyznać na dwa różne sposoby:
W organizacji wybierz pozycję Aplikacje GitHub. Znajdź swoją organizację i wybierz pozycję Przejrzyj żądanie.
Otrzymasz automatyczną wiadomość e-mail od pomocy technicznej usługi GitHub. W wiadomości e-mail wybierz pozycję Przejrzyj żądanie uprawnień, aby zaakceptować lub odrzucić tę zmianę.
Po wykonaniu jednej z tych opcji nastąpi przejście do ekranu przeglądu, na którym należy przejrzeć żądanie. Wybierz pozycję Zaakceptuj nowe uprawnienia , aby zatwierdzić żądanie.
Jeśli potrzebujesz pomocy przy aktualizowaniu uprawnień, możesz utworzyć żądanie pomoc techniczna platformy Azure.
Możesz również dowiedzieć się więcej o usłudze Defender for DevOps. Jeśli subskrypcja ma włączone rozwiązanie do zarządzania aktywacją zbiorczą na dowolnej maszynie wirtualnej, żadne zmiany nie zostaną wprowadzone i Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender nie zostaną domyślnie włączone na pozostałych maszynach wirtualnych w tej subskrypcji. Możesz włączyć rozwiązanie va na pozostałych maszynach wirtualnych w Twoich subskrypcjach.
Dowiedz się, jak znaleźć luki w zabezpieczeniach i zebrać spis oprogramowania za pomocą skanowania bez agenta (wersja zapoznawcza).
Adnotacje żądania ściągnięcia w usłudze Defender for DevOps w repozytoriach usługi Azure DevOps zawierają teraz błędną konfigurację infrastruktury jako kodu
Usługa Defender for DevOps rozszerzyła zakres adnotacji żądania ściągnięcia w usłudze Azure DevOps, aby uwzględnić błędy konfiguracji infrastruktury jako kodu (IaC), które są wykrywane w szablonach usługi Azure Resource Manager i Bicep.
Deweloperzy mogą teraz wyświetlać adnotacje dotyczące błędów konfiguracji IaC bezpośrednio w żądaniach ściągnięcia. Deweloperzy mogą również korygować krytyczne problemy z zabezpieczeniami, zanim infrastruktura zostanie aprowizowana w obciążeniach w chmurze. Aby uprościć korygowanie, deweloperzy są dostarczani z opisem ważności, błędną konfiguracją i instrukcjami korygowania w ramach każdej adnotacji.
Wcześniej pokrycie adnotacji żądania ściągnięcia usługi Defender for DevOps w usłudze Azure DevOps obejmowało tylko wpisy tajne.
Dowiedz się więcej o adnotacjach usługi Defender for DevOps i żądań ściągnięcia.
Kwiecień 2023
Aktualizacje w kwietniu obejmują:
- Stan kontenera bez agenta w CSPM w usłudze Defender (wersja zapoznawcza)
- Nowe zalecenie dotyczące ujednoliconego szyfrowania dysków w wersji zapoznawczej
- Zmiany w rekomendacji Maszyny powinny być skonfigurowane bezpiecznie
- Wycofanie zasad monitorowania języka usługi App Service
- Nowy alert w usłudze Defender for Resource Manager
- Trzy alerty w planie usługi Defender for Resource Manager zostały wycofane
- Automatyczne eksportowanie alertów do obszaru roboczego usługi Log Analytics zostało przestarzałe
- Wycofanie i ulepszenie wybranych alertów dla serwerów z systemami Windows i Linux
- Nowe zalecenia dotyczące uwierzytelniania usługi Azure Active Directory dla usług Azure Data Services
- Dwa zalecenia związane z brakującymi aktualizacjami systemu operacyjnego zostały wydane ogólnie dostępne
- Defender dla interfejsów API (wersja zapoznawcza)
Stan kontenera bez agenta w CSPM w usłudze Defender (wersja zapoznawcza)
Nowe funkcje stan kontenera bez agenta (wersja zapoznawcza) są dostępne w ramach planu CSPM w usłudze Defender (zarządzanie stanem zabezpieczeń w chmurze).
Stan kontenera bez agenta umożliwia zespołom ds. zabezpieczeń identyfikowanie zagrożeń bezpieczeństwa w kontenerach i obszarze Kubernetes. Podejście bez agenta umożliwia zespołom ds. zabezpieczeń uzyskanie wglądu w rejestry platformy Kubernetes i kontenerów w środowisku SDLC i środowisku uruchomieniowym, co pozwala zespołom ds. zabezpieczeń na uzyskanie wglądu w rejestry platformy Kubernetes i kontenerów w środowisku uruchomieniowym, co pozwala usunąć tarcie i ślad z obciążeń.
Stan kontenera bez agenta oferuje oceny luk w zabezpieczeniach kontenerów, które w połączeniu z analizą ścieżki ataku umożliwiają zespołom ds. zabezpieczeń określanie priorytetów i powiększanie określonych luk w zabezpieczeniach kontenerów. Eksplorator zabezpieczeń w chmurze umożliwia również wykrywanie zagrożeń i wyszukiwanie szczegółowych informacji o stanie kontenera, takich jak odnajdywanie aplikacji z narażonymi obrazami lub uwidocznione w Internecie.
Dowiedz się więcej na temat stanu kontenera bez agenta (wersja zapoznawcza).
Zalecenie dotyczące ujednoliconego szyfrowania dysków (wersja zapoznawcza)
W wersji zapoznawczej są dostępne nowe zalecenia dotyczące ujednoliconego szyfrowania dysków.
Wndows virtual machines should enable Azure Disk Encryption or EncryptionAtHostLinux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Te zalecenia zastępują usługę Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, która wykryła usługę Azure Disk Encryption i zasady Virtual machines and virtual machine scale sets should have encryption at host enabled, które wykryły metodę EncryptionAtHost. Usługi ADE i EncryptionAtHost zapewniają porównywalne szyfrowanie w spoczynku i zalecamy włączenie jednego z nich na każdej maszynie wirtualnej. Nowe zalecenia wykrywają, czy usługa ADE lub EncryptionAtHost są włączone i ostrzegają tylko wtedy, gdy żadna z nich nie jest włączona. Ostrzegamy również, czy usługa ADE jest włączona na niektórych, ale nie we wszystkich dyskach maszyny wirtualnej (ten warunek nie ma zastosowania do szyfrowaniaAtHost).
Nowe zalecenia wymagają usługi Azure Automanage Machine Configuration.
Te zalecenia są oparte na następujących zasadach:
- (Wersja zapoznawcza) Maszyny wirtualne z systemem Windows powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost
- (Wersja zapoznawcza) Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost
Dowiedz się więcej o programach ADE i EncryptionAtHost oraz o tym, jak włączyć jedną z nich.
Zmiany w rekomendacji Maszyny powinny być skonfigurowane bezpiecznie
Zalecenie Machines should be configured securely zostało zaktualizowane. Aktualizacja poprawia wydajność i stabilność rekomendacji oraz dostosowuje swoje doświadczenie z ogólnym zachowaniem zaleceń Defender dla Chmury.
W ramach tej aktualizacji identyfikator rekomendacji został zmieniony z 181ac480-f7c4-544b-9865-11b8ffe87f47 na c476dc48-8110-4139-91af-c8d940896b98.
Po stronie klienta nie jest wymagana żadna akcja i nie ma oczekiwanego wpływu na wskaźnik bezpieczeństwa.
Wycofanie zasad monitorowania języka usługi App Service
Następujące zasady monitorowania języka usługi App Service zostały uznane za przestarzałe ze względu na możliwość generowania wyników fałszywie ujemnych i dlatego, że nie zapewniają one lepszych zabezpieczeń. Zawsze należy upewnić się, że używasz wersji językowej bez żadnych znanych luk w zabezpieczeniach.
| Nazwa zasady | Identyfikator zasad |
|---|---|
| Aplikacje usługi App Service korzystające z języka Java powinny używać najnowszej wersji języka Java | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| Aplikacje usługi App Service korzystające z języka Python powinny używać najnowszej wersji języka Python | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Aplikacje funkcji korzystające z języka Java powinny używać najnowszej wersji języka Java | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Aplikacje funkcji korzystające z języka Python powinny używać najnowszej wersji języka Python | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Aplikacje usługi App Service korzystające z języka PHP powinny używać najnowszej wersji języka PHP | 7261b898-8a84-4db8-9e04-18527132abb3 |
Klienci mogą używać alternatywnych wbudowanych zasad do monitorowania dowolnej określonej wersji językowej dla swoich usług App Services.
Te zasady nie są już dostępne we wbudowanych zaleceniach Defender dla Chmury. Możesz dodać je jako zalecenia niestandardowe, aby Defender dla Chmury je monitorować.
Nowy alert w usłudze Defender for Resource Manager
Usługa Defender dla usługi Resource Manager ma następujący nowy alert:
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| WERSJA ZAPOZNAWCZA — wykryto podejrzane tworzenie zasobów obliczeniowych (ARM_SuspiciousComputeCreation) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane tworzenie zasobów obliczeniowych w ramach subskrypcji korzystającej z zestawu skalowania maszyn wirtualnych/platformy Azure. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami przez wdrożenie nowych zasobów w razie potrzeby. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie operacje do prowadzenia wyszukiwania kryptograficznego. Działanie jest uznawane za podejrzane, ponieważ skala zasobów obliczeniowych jest wyższa niż wcześniej obserwowana w ramach subskrypcji. Może to oznaczać, że podmiot zabezpieczeń jest naruszony i jest używany ze złośliwymi intencjami. |
Wpływ | Śred. |
Zostanie wyświetlona lista wszystkich alertów dostępnych dla usługi Resource Manager.
Trzy alerty w planie usługi Defender for Resource Manager zostały wycofane
Następujące trzy alerty dla planu usługi Defender for Resource Manager zostały wycofane:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
W scenariuszu, w którym wykryto działanie z podejrzanego adresu IP, jeden z następujących alertów Azure Resource Manager operation from suspicious IP address planu usługi Defender dla usługi Resource Manager lub Azure Resource Manager operation from suspicious proxy IP address będzie obecny.
Automatyczne eksportowanie alertów do obszaru roboczego usługi Log Analytics zostało przestarzałe
Alerty zabezpieczeń usługi Defenders for Cloud są automatycznie eksportowane do domyślnego obszaru roboczego usługi Log Analytics na poziomie zasobu. Powoduje to nieokreślone zachowanie i dlatego przestarzała ta funkcja.
Zamiast tego możesz wyeksportować alerty zabezpieczeń do dedykowanego obszaru roboczego usługi Log Analytics za pomocą eksportu ciągłego.
Jeśli skonfigurowano już ciągły eksport alertów do obszaru roboczego usługi Log Analytics, nie jest wymagana żadna dalsza akcja.
Wycofanie i ulepszenie wybranych alertów dla serwerów z systemami Windows i Linux
Proces poprawy jakości alertów zabezpieczeń dla usługi Defender dla serwerów obejmuje wycofanie niektórych alertów dla serwerów z systemami Windows i Linux. Przestarzałe alerty są teraz pozyskiwane z alertów zagrożenia usługi Defender for Endpoint i objęte usługą Defender for Endpoint.
Jeśli masz już włączoną integrację z usługą Defender for Endpoint, nie jest wymagana żadna dalsza akcja. W kwietniu 2023 r. może wystąpić spadek liczby alertów.
Jeśli nie masz włączonej integracji z usługą Defender for Endpoint w usłudze Defender for Servers, musisz włączyć integrację usługi Defender for Endpoint, aby zachować i poprawić pokrycie alertów.
Wszyscy klienci usługi Defender for Servers mają pełny dostęp do integracji usługi Defender for Endpoint w ramach planu usługi Defender for Servers.
Możesz dowiedzieć się więcej na temat opcji dołączania Ochrona punktu końcowego w usłudze Microsoft Defender.
Możesz również wyświetlić pełną listę alertów , które są ustawione jako przestarzałe.
Przeczytaj blog Microsoft Defender dla Chmury.
Nowe zalecenia dotyczące uwierzytelniania usługi Azure Active Directory dla usług Azure Data Services
Dodaliśmy cztery nowe zalecenia dotyczące uwierzytelniania usługi Azure Active Directory dla usług Azure Data Services.
| Nazwa zalecenia | Opis rekomendacji | Zasady |
|---|---|---|
| Tryb uwierzytelniania usługi Azure SQL Managed Instance powinien być tylko w usłudze Azure Active Directory | Wyłączenie lokalnych metod uwierzytelniania i zezwolenie tylko na uwierzytelnianie usługi Azure Active Directory zwiększa bezpieczeństwo, zapewniając, że dostęp do usługi Azure SQL Managed Instances można uzyskać wyłącznie za pomocą tożsamości usługi Azure Active Directory. | Usługa Azure SQL Managed Instance powinna mieć włączone tylko uwierzytelnianie usługi Azure Active Directory |
| Tryb uwierzytelniania obszaru roboczego usługi Azure Synapse powinien być tylko w usłudze Azure Active Directory | Metody uwierzytelniania tylko w usłudze Azure Active Directory zwiększają bezpieczeństwo, zapewniając, że obszary robocze usługi Synapse wymagają wyłącznie tożsamości usługi Azure AD na potrzeby uwierzytelniania. Dowiedz się więcej. | Obszary robocze usługi Synapse powinny używać tylko tożsamości usługi Azure Active Directory do uwierzytelniania |
| Usługa Azure Database for MySQL powinna mieć zainicjowaną aprowizację administratora usługi Azure Active Directory | Aprowizuj administratora usługi Azure AD dla usługi Azure Database for MySQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów MySQL |
| Usługa Azure Database for PostgreSQL powinna mieć zainicjowaną aprowizację administratora usługi Azure Active Directory | Aprowizuj administratora usługi Azure AD dla usługi Azure Database for PostgreSQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów PostgreSQL |
Dwa zalecenia związane z brakującymi aktualizacjami systemu operacyjnego zostały wydane ogólnie dostępne
System updates should be installed on your machines (powered by Azure Update Manager) Zalecenia i Machines should be configured to periodically check for missing system updates zostały wydane pod kątem ogólnej dostępności.
Aby użyć nowego zalecenia, należy wykonać następujące działania:
- Połącz maszyny spoza platformy Azure z usługą Arc.
- Włącz właściwość oceny okresowej. Możesz użyć przycisku Napraw.
w nowym poleceniu,
Machines should be configured to periodically check for missing system updatesaby naprawić zalecenie.
Po wykonaniu tych kroków możesz usunąć starą rekomendację System updates should be installed on your machines, wyłączając ją z wbudowanej inicjatywy Defender dla Chmury w usłudze Azure Policy.
Dwie wersje zaleceń:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Oba te elementy będą dostępne do czasu wycofania agenta usługi Log Analytics 31 sierpnia 2024 r., co oznacza, że starsza wersja (System updates should be installed on your machines) zalecenia również zostanie wycofana. Oba zalecenia zwracają te same wyniki i są dostępne w ramach tej samej kontrolki Apply system updates.
Nowe zalecenie System updates should be installed on your machines (powered by Azure Update Manager) ma przepływ korygowania dostępny za pośrednictwem przycisku Napraw, który może służyć do korygowania dowolnych wyników za pośrednictwem Menedżera aktualizacji (wersja zapoznawcza). Ten proces korygowania jest nadal w wersji zapoznawczej.
Nowe zalecenie System updates should be installed on your machines (powered by Azure Update Manager) nie ma wpływu na wskaźnik bezpieczeństwa, ponieważ ma takie same wyniki jak stare zalecenie System updates should be installed on your machines.
Zalecenie dotyczące wymagań wstępnych (Włącz właściwość okresowej oceny) ma negatywny wpływ na wskaźnik bezpieczeństwa. Możesz skorygować negatywny efekt za pomocą dostępnego przycisku Napraw.
Defender dla interfejsów API (wersja zapoznawcza)
Defender dla Chmury firmy Microsoft ogłasza, że nowa usługa Defender dla interfejsów API jest dostępna w wersji zapoznawczej.
Usługa Defender dla interfejsów API oferuje pełną ochronę, wykrywanie i pokrycie odpowiedzi dla interfejsów API.
Usługa Defender dla interfejsów API ułatwia uzyskanie wglądu w interfejsy API krytyczne dla działania firmy. Możesz badać i ulepszać stan zabezpieczeń interfejsu API, ustalać priorytety poprawek luk w zabezpieczeniach i szybko wykrywać aktywne zagrożenia w czasie rzeczywistym.
Dowiedz się więcej o usłudze Defender dla interfejsów API.
Marzec 2023
Aktualizacje w marcu obejmują:
- Dostępny jest nowy plan usługi Defender for Storage, w tym skanowanie złośliwego oprogramowania niemal w czasie rzeczywistym i wykrywanie zagrożeń poufnych danych
- Stan zabezpieczeń obsługujący dane (wersja zapoznawcza)
- Ulepszone środowisko zarządzania domyślnymi zasadami zabezpieczeń platformy Azure
- CSPM w usłudze Defender (zarządzanie stanem zabezpieczeń w chmurze) jest teraz ogólnie dostępne (ogólna dostępność)
- Opcja tworzenia niestandardowych zaleceń i standardów zabezpieczeń w Microsoft Defender dla Chmury
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) w wersji 1.0 jest teraz ogólnie dostępny (OGÓLNIE)
- Niektóre standardy zgodności z przepisami są teraz dostępne w chmurach dla instytucji rządowych
- Nowe zalecenie dotyczące wersji zapoznawczej dla serwerów Azure SQL Server
- Nowy alert w usłudze Defender for Key Vault
Dostępny jest nowy plan usługi Defender for Storage, w tym skanowanie złośliwego oprogramowania niemal w czasie rzeczywistym i wykrywanie zagrożeń poufnych danych
Magazyn w chmurze odgrywa kluczową rolę w organizacji i przechowuje duże ilości cennych i poufnych danych. Dziś ogłaszamy nowy plan usługi Defender for Storage. Jeśli używasz poprzedniego planu (teraz zmieniono nazwę na "Defender for Storage (wersja klasyczna)"), musisz aktywnie przeprowadzić migrację do nowego planu , aby korzystać z nowych funkcji i korzyści.
Nowy plan obejmuje zaawansowane funkcje zabezpieczeń, które ułatwiają ochronę przed złośliwymi przekazywaniem plików, eksfiltracją poufnych danych i uszkodzeniem danych. Zapewnia również bardziej przewidywalną i elastyczną strukturę cenową, aby lepiej kontrolować pokrycie i koszty.
Nowy plan ma teraz nowe możliwości w publicznej wersji zapoznawczej:
Wykrywanie ujawnienia poufnych danych i zdarzeń eksfiltracji
Skanowanie złośliwego oprogramowania niemal w czasie rzeczywistym na obiekt blob podczas przekazywania we wszystkich typach plików
Wykrywanie jednostek bez tożsamości przy użyciu tokenów SAS
Te możliwości zwiększają istniejące możliwości monitorowania aktywności na podstawie analizy dzienników kontroli i płaszczyzny danych oraz modelowania behawioralnego w celu zidentyfikowania wczesnych oznak naruszenia.
Wszystkie te możliwości są dostępne w nowym przewidywalnym i elastycznym planie cenowym, który zapewnia szczegółową kontrolę nad ochroną danych na poziomie subskrypcji i zasobów.
Dowiedz się więcej na stronie Omówienie usługi Microsoft Defender for Storage.
Stan zabezpieczeń obsługujący dane (wersja zapoznawcza)
Microsoft Defender dla Chmury pomaga zespołom ds. zabezpieczeń zwiększyć produktywność w zmniejszaniu ryzyka i reagowaniu na naruszenia danych w chmurze. Pozwala im to na wycinanie szumu z kontekstem danych i określanie priorytetów najbardziej krytycznych zagrożeń bezpieczeństwa, zapobiegając kosztownemu naruszeniu danych.
- Automatycznie odnajdywanie zasobów danych w infrastrukturze w chmurze i ocenianie ich ułatwień dostępu, poufności danych i skonfigurowanych przepływów danych. — Ciągłe ujawnianie zagrożeń związanych z naruszeniami danych poufnych zasobów danych, ekspozycją lub ścieżkami ataków, które mogą prowadzić do zasobu danych przy użyciu techniki przenoszenia bocznego.
- Wykrywanie podejrzanych działań, które mogą wskazywać na bieżące zagrożenie dla poufnych zasobów danych.
Dowiedz się więcej o poziomie zabezpieczeń obsługującym dane.
Ulepszone środowisko zarządzania domyślnymi zasadami zabezpieczeń platformy Azure
Wprowadzamy ulepszone środowisko zarządzania zasadami zabezpieczeń platformy Azure dla wbudowanych zaleceń, które upraszczają sposób, w jaki klienci Defender dla Chmury dostosować ich wymagania dotyczące zabezpieczeń. Nowe środowisko obejmuje następujące nowe możliwości:
- Prosty interfejs umożliwia lepszą wydajność i środowisko podczas zarządzania domyślnymi zasadami zabezpieczeń w Defender dla Chmury.
- Pojedynczy widok wszystkich wbudowanych zaleceń dotyczących zabezpieczeń oferowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft (dawniej test porównawczy zabezpieczeń platformy Azure). Rekomendacje są zorganizowane w grupy logiczne, co ułatwia zrozumienie typów omówionych zasobów oraz relację między parametrami i zaleceniami.
- Dodano nowe funkcje, takie jak filtry i wyszukiwanie.
Dowiedz się, jak zarządzać zasadami zabezpieczeń.
Przeczytaj blog Microsoft Defender dla Chmury.
CSPM w usłudze Defender (zarządzanie stanem zabezpieczeń w chmurze) jest teraz ogólnie dostępne (ogólna dostępność)
Ogłaszamy, że CSPM w usłudze Defender jest teraz ogólnie dostępny (GA). CSPM w usłudze Defender oferuje wszystkie usługi dostępne w ramach podstawowych funkcji CSPM i dodaje następujące korzyści:
- Analiza ścieżki ataków i interfejs API ARG — analiza ścieżki ataku używa algorytmu opartego na grafie, który skanuje wykres zabezpieczeń chmury w celu uwidocznienia ścieżek ataków i sugeruje zalecenia dotyczące najlepszego rozwiązywania problemów, które przerywają ścieżkę ataku i uniemożliwiają pomyślne naruszenie. Ścieżki ataków można również używać programowo, wysyłając zapytanie do interfejsu API usługi Azure Resource Graph (ARG). Dowiedz się, jak używać analizy ścieżki ataku
- Cloud Security Explorer — użyj Eksploratora zabezpieczeń chmury do uruchamiania zapytań opartych na grafie zabezpieczeń w chmurze, aby aktywnie identyfikować zagrożenia bezpieczeństwa w środowiskach wielochmurowych. Dowiedz się więcej o eksploratorze zabezpieczeń w chmurze.
Dowiedz się więcej o CSPM w usłudze Defender.
Opcja tworzenia niestandardowych zaleceń i standardów zabezpieczeń w Microsoft Defender dla Chmury
Microsoft Defender dla Chmury umożliwia tworzenie niestandardowych zaleceń i standardów dla platform AWS i GCP przy użyciu zapytań KQL. Edytor zapytań umożliwia kompilowanie i testowanie zapytań dotyczących danych. Ta funkcja jest częścią planu CSPM w usłudze Defender (Zarządzanie stanem zabezpieczeń w chmurze). Dowiedz się, jak tworzyć niestandardowe rekomendacje i standardy.
Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) w wersji 1.0 jest teraz ogólnie dostępny (OGÓLNIE)
Microsoft Defender dla Chmury ogłasza, że test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) w wersji 1.0 jest teraz ogólnie dostępny (OGÓLNIE).
Program MCSB w wersji 1.0 zastępuje domyślną zasadę zabezpieczeń platformy Azure (ASB) Defender dla Chmury w wersji 3. Aplikacja MCSB w wersji 1.0 jest wyświetlana jako domyślny standard zgodności na pulpicie nawigacyjnym zgodności i jest domyślnie włączona dla wszystkich klientów Defender dla Chmury.
Możesz również dowiedzieć się , w jaki sposób test porównawczy zabezpieczeń w chmurze (MCSB) firmy Microsoft pomaga odnieść sukces w podróży po zabezpieczeniach w chmurze.
Dowiedz się więcej o usłudze MCSB.
Niektóre standardy zgodności z przepisami są teraz dostępne w chmurach dla instytucji rządowych
Aktualizujemy te standardy dla klientów platformy Azure Government i platformy Microsoft Azure obsługiwanych przez firmę 21Vianet.
Azure Government:
Platforma Microsoft Azure obsługiwana przez firmę 21Vianet:
Dowiedz się, jak dostosować zestaw standardów na pulpicie nawigacyjnym zgodności z przepisami.
Nowe zalecenie dotyczące wersji zapoznawczej dla serwerów Azure SQL Server
Dodaliśmy nowe zalecenie dotyczące serwerów Azure SQL Server, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
Zalecenie jest oparte na istniejących zasadach Azure SQL Database should have Azure Active Directory Only Authentication enabled
To zalecenie wyłącza lokalne metody uwierzytelniania i zezwala tylko na uwierzytelnianie usługi Azure Active Directory, co zwiększa bezpieczeństwo, zapewniając, że dostęp do baz danych Azure SQL Database można uzyskiwać wyłącznie za pomocą tożsamości usługi Azure Active Directory.
Dowiedz się, jak tworzyć serwery z włączonym uwierzytelnianiem tylko w usłudze Azure AD w usłudze Azure SQL.
Nowy alert w usłudze Defender for Key Vault
Usługa Defender for Key Vault ma następujący nowy alert:
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| Odmowa dostępu z podejrzanego adresu IP do magazynu kluczy (KV_SuspiciousIPAccessDenied) |
Nieudany dostęp do magazynu kluczy został podjęty przez adres IP, który został zidentyfikowany przez usługę Microsoft Threat Intelligence jako podejrzany adres IP. Mimo że ta próba nie powiodła się, oznacza to, że bezpieczeństwo infrastruktury mogło zostać naruszone. Zalecamy dalsze badania. | Dostęp poświadczeń | Niski |
Zostanie wyświetlona lista wszystkich alertów dostępnych dla usługi Key Vault.
2023 lutego
Aktualizacje w lutym obejmują:
- Ulepszony Eksplorator zabezpieczeń chmury
- Skanowania luk w zabezpieczeniach usługi Defender for Containers dotyczące uruchamiania obrazów systemu Linux są teraz ogólnie dostępne
- Ogłoszenie obsługi standardu zgodności usługi AWS CIS 1.5.0
- Usługa Microsoft Defender dla metodyki DevOps (wersja zapoznawcza) jest teraz dostępna w innych regionach
- Wbudowane zasady [wersja zapoznawcza]: Prywatny punkt końcowy powinien być skonfigurowany dla usługi Key Vault jest przestarzały
Ulepszony Eksplorator zabezpieczeń chmury
Ulepszona wersja eksploratora zabezpieczeń w chmurze zawiera odświeżone środowisko użytkownika, które znacznie eliminuje problemy z zapytaniami, dodano możliwość uruchamiania zapytań wielochmurowych i wielosóbowych oraz osadzonej dokumentacji dla każdej opcji zapytania.
Eksplorator zabezpieczeń chmury umożliwia teraz uruchamianie zapytań abstrakcyjnych w chmurze między zasobami. Możesz użyć wstępnie utworzonych szablonów zapytań lub użyć wyszukiwania niestandardowego, aby zastosować filtry w celu skompilowania zapytania. Dowiedz się , jak zarządzać Eksploratorem zabezpieczeń w chmurze.
Skanowania luk w zabezpieczeniach usługi Defender for Containers dotyczące uruchamiania obrazów systemu Linux są teraz ogólnie dostępne
Usługa Defender for Containers wykrywa luki w zabezpieczeniach w uruchomionych kontenerach. Obsługiwane są kontenery zarówno systemu Windows, jak i Linux.
W sierpniu 2022 r. ta funkcja została udostępniona w wersji zapoznawczej dla systemów Windows i Linux. Teraz publikujemy ją w celu zapewnienia ogólnej dostępności dla systemu Linux.
Po wykryciu luk w zabezpieczeniach Defender dla Chmury generuje następujące zalecenie dotyczące zabezpieczeń zawierające wyniki skanowania: Uruchomienie obrazów kontenerów powinno mieć rozwiązane problemy z lukami w zabezpieczeniach.
Dowiedz się więcej o wyświetlaniu luk w zabezpieczeniach dla uruchomionych obrazów.
Ogłoszenie obsługi standardu zgodności usługi AWS CIS 1.5.0
Defender dla Chmury obsługuje teraz standard zgodności CIS Amazon Web Services Foundations w wersji 1.5.0. Standard można dodać do pulpitu nawigacyjnego zgodności z przepisami i opierać się na istniejących ofertach rozwiązania MDC dla rekomendacji i standardów wielochmurowych.
Ten nowy standard obejmuje zarówno istniejące, jak i nowe zalecenia, które rozszerzają zasięg Defender dla Chmury na nowe usługi i zasoby platformy AWS.
Dowiedz się, jak zarządzać ocenami i standardami platformy AWS.
Usługa Microsoft Defender dla metodyki DevOps (wersja zapoznawcza) jest teraz dostępna w innych regionach
Usługa Microsoft Defender for DevOps rozszerzyła swoją wersję zapoznawcza i jest teraz dostępna w regionach Europa Zachodnia i Australia Wschodnia po dołączeniu zasobów usługi Azure DevOps i GitHub.
Dowiedz się więcej o usłudze Microsoft Defender for DevOps.
Wbudowane zasady [wersja zapoznawcza]: Prywatny punkt końcowy powinien być skonfigurowany dla usługi Key Vault jest przestarzały
Wbudowane zasady [Preview]: Private endpoint should be configured for Key Vault są przestarzałe i zastępowane zasadami [Preview]: Azure Key Vaults should use private link .
Dowiedz się więcej o integracji usługi Azure Key Vault z usługą Azure Policy.
Styczeń 2023
Aktualizacje w styczniu obejmują:
- Dostęp do składnika Endpoint Protection (Ochrona punktu końcowego w usłudze Microsoft Defender) jest teraz dostępny na stronie Ustawienia i monitorowanie
- Nowa wersja zalecenia dotyczącego znajdowania brakujących aktualizacji systemowych (wersja zapoznawcza)
- Czyszczenie usuniętych maszyn usługi Azure Arc na połączonych kontach platform AWS i GCP
- Zezwalaj na eksport ciągły do usługi Event Hubs za zaporą
- Nazwa kontrolki Wskaźnik bezpieczeństwa Ochrona aplikacji za pomocą zaawansowanych rozwiązań sieciowych platformy Azure uległa zmianie
- Ustawienia oceny luk w zabezpieczeniach zasad dla programu SQL Server powinny zawierać adres e-mail do odbierania raportów skanowania jest przestarzały
- Zalecenie dotyczące włączania dzienników diagnostycznych dla zestawów skalowania maszyn wirtualnych jest przestarzałe
Dostęp do składnika Endpoint Protection (Ochrona punktu końcowego w usłudze Microsoft Defender) jest teraz dostępny na stronie Ustawienia i monitorowanie
Aby uzyskać dostęp do programu Endpoint Protection, przejdź do pozycji Ustawienia>środowiska Ustawienia i monitorowanie usługi>Defender. W tym miejscu możesz ustawić opcję Endpoint Protection na Wł. Można również wyświetlić inne zarządzane składniki.
Dowiedz się więcej o włączaniu Ochrona punktu końcowego w usłudze Microsoft Defender na serwerach za pomocą usługi Defender for Servers.
Nowa wersja zalecenia dotyczącego znajdowania brakujących aktualizacji systemowych (wersja zapoznawcza)
Nie potrzebujesz już agenta na maszynach wirtualnych platformy Azure i maszynach usługi Azure Arc, aby upewnić się, że maszyny mają wszystkie najnowsze aktualizacje zabezpieczeń lub krytycznych systemów.
Nowe zalecenie dotyczące System updates should be installed on your machines (powered by Azure Update Manager) aktualizacji systemu w kontrolce Apply system updates jest oparte na Menedżerze aktualizacji (wersja zapoznawcza). Zalecenie opiera się na natywnym agencie osadzonym na każdej maszynie wirtualnej platformy Azure i maszynach usługi Azure Arc zamiast zainstalowanego agenta. Szybka poprawka w nowej rekomendacji prowadzi do jednorazowej instalacji brakujących aktualizacji w portalu programu Update Manager.
Aby użyć nowego zalecenia, należy wykonać następujące działania:
- Łączenie maszyn spoza platformy Azure z usługą Arc
- Włącz właściwość oceny okresowej. Aby rozwiązać ten problem,
Machines should be configured to periodically check for missing system updatesmożesz użyć szybkiej poprawki w nowej rekomendacji.
Zalecenie "Aktualizacje systemu należy zainstalować na maszynach", które opiera się na agencie usługi Log Analytics, jest nadal dostępne pod tą samą kontrolą.
Czyszczenie usuniętych maszyn usługi Azure Arc na połączonych kontach platform AWS i GCP
Maszyna połączona z kontem usług AWS i GCP, które jest objęte usługą Defender for Servers lub Defender for SQL na maszynach, jest reprezentowana w Defender dla Chmury jako maszyna usługi Azure Arc. Do tej pory ta maszyna nie została usunięta ze spisu, gdy maszyna została usunięta z konta platformy AWS lub GCP. Co prowadzi do niepotrzebnych zasobów usługi Azure Arc pozostawionych w Defender dla Chmury reprezentujących usunięte maszyny.
Defender dla Chmury teraz automatycznie usunie maszyny usługi Azure Arc, gdy te maszyny zostaną usunięte na połączonym koncie platformy AWS lub GCP.
Zezwalaj na eksport ciągły do usługi Event Hubs za zaporą
Teraz możesz włączyć ciągły eksport alertów i zaleceń jako zaufaną usługę do usługi Event Hubs, które są chronione przez zaporę platformy Azure.
Eksport ciągły można włączyć w miarę generowania alertów lub zaleceń. Można również zdefiniować harmonogram wysyłania okresowych migawek wszystkich nowych danych.
Dowiedz się, jak włączyć eksport ciągły do usługi Event Hubs za zaporą platformy Azure.
Nazwa kontrolki Wskaźnik bezpieczeństwa Ochrona aplikacji za pomocą zaawansowanych rozwiązań sieciowych platformy Azure została zmieniona
Kontrolka Protect your applications with Azure advanced networking solutions wskaźnika bezpieczeństwa została zmieniona na Protect applications against DDoS attacks.
Zaktualizowana nazwa jest odzwierciedlana w usłudze Azure Resource Graph (ARG), interfejsie API kontrolek wskaźnika bezpieczeństwa i interfejsie Download CSV report.
Ustawienia oceny luk w zabezpieczeniach zasad dla programu SQL Server powinny zawierać adres e-mail do odbierania raportów skanowania jest przestarzały
Zasady Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports są przestarzałe.
Raport e-mail oceny luk w zabezpieczeniach usługi Defender for SQL jest nadal dostępny, a istniejące konfiguracje poczty e-mail nie uległy zmianie.
Zalecenie dotyczące włączania dzienników diagnostycznych dla zestawów skalowania maszyn wirtualnych jest przestarzałe
Zalecenie Diagnostic logs in Virtual Machine Scale Sets should be enabled jest przestarzałe.
Powiązana definicja zasad została również wycofana ze wszystkich standardów wyświetlanych na pulpicie nawigacyjnym zgodności z przepisami.
| Zalecenie | opis | Waga błędu |
|---|---|---|
| Dzienniki diagnostyczne w zestawach skalowania maszyn wirtualnych powinny być włączone | Włącz dzienniki i zachowaj je przez maksymalnie rok, umożliwiając ponowne tworzenie śladów aktywności na potrzeby badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. | Niski |
Grudzień 2022
Aktualizacje w grudniu obejmują:
Ogłoszenie ekspresowej konfiguracji oceny luk w zabezpieczeniach w usłudze Defender for SQL
Konfiguracja ekspresowa do oceny luk w zabezpieczeniach w usłudze Microsoft Defender for SQL zapewnia zespołom ds. zabezpieczeń usprawnione środowisko konfiguracji baz danych Azure SQL Database i dedykowanych pul SQL poza obszarami roboczymi usługi Synapse.
Dzięki funkcji ekspresowej konfiguracji do oceny luk w zabezpieczeniach zespoły ds. zabezpieczeń mogą wykonywać następujące czynności:
- Ukończ konfigurację oceny luk w zabezpieczeniach w konfiguracji zabezpieczeń zasobu SQL bez żadnych innych ustawień ani zależności na kontach magazynu zarządzanych przez klienta.
- Natychmiast dodaj wyniki skanowania do punktów odniesienia, aby stan znajdowania zmian ze złej kondycji do dobrej kondycji bez ponownego skanowania bazy danych.
- Dodaj wiele reguł do punktów odniesienia jednocześnie i użyj najnowszych wyników skanowania.
- Włącz ocenę luk w zabezpieczeniach dla wszystkich serwerów Azure SQL Server po włączeniu usługi Microsoft Defender dla baz danych na poziomie subskrypcji.
Dowiedz się więcej o ocenie luk w zabezpieczeniach usługi Defender for SQL.
Listopad 2022
Aktualizacje w listopadzie obejmują:
- Ochrona kontenerów w organizacji GCP za pomocą usługi Defender for Containers
- Weryfikowanie ochrony usługi Defender for Containers przy użyciu przykładowych alertów
- Reguły ładu na dużą skalę (wersja zapoznawcza)
- Możliwość tworzenia niestandardowych ocen na platformach AWS i GCP (wersja zapoznawcza) jest przestarzała
- Zalecenie dotyczące konfigurowania kolejek utraconych komunikatów dla funkcji lambda jest przestarzałe
Ochrona kontenerów w organizacji GCP za pomocą usługi Defender for Containers
Teraz możesz włączyć usługę Defender for Containers dla środowiska GCP, aby chronić standardowe klastry GKE w całej organizacji GCP. Wystarczy utworzyć nowy łącznik GCP z włączoną usługą Defender for Containers lub włączyć usługę Defender for Containers na istniejącym łączniku GCP na poziomie organizacji.
Dowiedz się więcej na temat łączenia projektów GCP i organizacji z Defender dla Chmury.
Weryfikowanie ochrony usługi Defender for Containers przy użyciu przykładowych alertów
Teraz możesz tworzyć przykładowe alerty dla planu usługi Defender for Containers. Nowe przykładowe alerty są prezentowane jako pochodzące z usług AKS, klastrów połączonych z usługą Arc, eks i zasobów GKE z różnymi ważnościami i taktyką MITRE. Przykładowe alerty umożliwiają weryfikowanie konfiguracji alertów zabezpieczeń, takich jak integracje rozwiązania SIEM, automatyzacja przepływu pracy i powiadomienia e-mail.
Dowiedz się więcej o walidacji alertów.
Reguły ładu na dużą skalę (wersja zapoznawcza)
Z przyjemnością ogłaszamy nową możliwość stosowania reguł ładu na dużą skalę (wersja zapoznawcza) w Defender dla Chmury.
Dzięki temu nowemu środowisku zespoły ds. zabezpieczeń mogą zbiorczo definiować reguły ładu dla różnych zakresów (subskrypcji i łączników). Zespoły ds. zabezpieczeń mogą wykonać to zadanie przy użyciu zakresów zarządzania, takich jak grupy zarządzania platformy Azure, konta najwyższego poziomu platformy AWS lub organizacje GCP.
Ponadto strona Reguły ładu (wersja zapoznawcza) zawiera wszystkie dostępne reguły ładu, które są skuteczne w środowiskach organizacji.
Dowiedz się więcej o nowych regułach ładu na dużą skalę.
Uwaga
Od 1 stycznia 2023 r., aby móc korzystać z możliwości oferowanych przez ład, musisz mieć włączony plan CSPM w usłudze Defender dla subskrypcji lub łącznika.
Możliwość tworzenia niestandardowych ocen na platformach AWS i GCP (wersja zapoznawcza) jest przestarzała
Możliwość tworzenia niestandardowych ocen dla kont platformy AWS i projektów GCP, która była funkcją w wersji zapoznawczej, jest przestarzała.
Zalecenie dotyczące konfigurowania kolejek utraconych komunikatów dla funkcji lambda jest przestarzałe
Zalecenie Lambda functions should have a dead-letter queue configured jest przestarzałe.
| Zalecenie | opis | Waga błędu |
|---|---|---|
| Funkcje lambda powinny mieć skonfigurowaną kolejkę utraconych komunikatów | Ta kontrolka sprawdza, czy funkcja lambda jest skonfigurowana z kolejką utraconych komunikatów. Kontrolka kończy się niepowodzeniem, jeśli funkcja Lambda nie jest skonfigurowana z kolejką utraconych komunikatów. Alternatywą dla miejsca docelowego awarii jest skonfigurowanie funkcji z kolejką utraconych komunikatów w celu zapisania odrzuconych zdarzeń w celu dalszego przetwarzania. Kolejka utraconych komunikatów działa tak samo jak miejsce docelowe awarii. Jest używany, gdy zdarzenie zakończy się niepowodzeniem, wszystkie próby przetwarzania lub wygaśnie bez przetwarzania. Kolejka utraconych komunikatów pozwala spojrzeć wstecz na błędy lub nieudane żądania do funkcji Lambda w celu debugowania lub identyfikowania nietypowego zachowania. Z punktu widzenia zabezpieczeń ważne jest, aby zrozumieć, dlaczego funkcja nie powiodła się, i upewnić się, że funkcja nie usuwa danych ani nie narusza zabezpieczeń danych w wyniku. Jeśli na przykład funkcja nie może komunikować się z bazowym zasobem, który może być objawem ataku typu "odmowa usługi" (DoS) w innym miejscu w sieci. | Śred. |
Październik 2022
Aktualizacje w październiku obejmują:
- Ogłoszenie testu porównawczego zabezpieczeń w chmurze firmy Microsoft
- Analiza ścieżki ataku i możliwości zabezpieczeń kontekstowych w Defender dla Chmury (wersja zapoznawcza)
- Skanowanie bez agenta dla maszyn platformy Azure i platformy AWS (wersja zapoznawcza)
- Defender for DevOps (wersja zapoznawcza)
- Pulpit nawigacyjny zgodności z przepisami obsługuje teraz ręczne zarządzanie kontrolą i szczegółowe informacje na temat stanu zgodności firmy Microsoft
- Nazwa automatycznego aprowizacji została zmieniona na Ustawienia i monitorowanie i ma zaktualizowane środowisko
- Zarządzanie stanem zabezpieczeń w chmurze w usłudze Defender (CSPM) (wersja zapoznawcza)
- Mapowanie struktury MITRE ATT&CK jest teraz dostępne również dla zaleceń dotyczących zabezpieczeń platform AWS i GCP
- Usługa Defender for Containers obsługuje teraz ocenę luk w zabezpieczeniach dla usługi Elastic Container Registry (wersja zapoznawcza)
Ogłoszenie testu porównawczego zabezpieczeń w chmurze firmy Microsoft
Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) to nowa struktura definiująca podstawowe zasady zabezpieczeń chmury oparte na wspólnych branżowych standardach i strukturach zgodności. Wraz ze szczegółowymi wskazówkami technicznymi dotyczącymi implementowania tych najlepszych rozwiązań na różnych platformach w chmurze. McSB zastępuje test porównawczy zabezpieczeń platformy Azure. McSB zawiera preskrypcyjne szczegóły dotyczące implementowania zaleceń dotyczących zabezpieczeń niezależnie od chmury na wielu platformach usług w chmurze, które początkowo obejmują platformę Azure i platformę AWS.
Teraz możesz monitorować stan zgodności z zabezpieczeniami chmury na chmurę w jednym zintegrowanym pulpicie nawigacyjnym. Podczas przechodzenia do pulpitu nawigacyjnego zgodności Defender dla Chmury pulpit nawigacyjny zgodności z przepisami można zobaczyć mcSB jako domyślny standard zgodności.
Test porównawczy zabezpieczeń w chmurze firmy Microsoft jest automatycznie przypisywany do subskrypcji platformy Azure i kont platformy AWS podczas dołączania Defender dla Chmury.
Dowiedz się więcej na temat testu porównawczego zabezpieczeń w chmurze firmy Microsoft.
Analiza ścieżki ataku i możliwości zabezpieczeń kontekstowych w Defender dla Chmury (wersja zapoznawcza)
Nowy wykres zabezpieczeń chmury, analiza ścieżki ataku i kontekstowe możliwości zabezpieczeń w chmurze są teraz dostępne w Defender dla Chmury w wersji zapoznawczej.
Jednym z największych wyzwań, przed którymi stoją obecnie zespoły ds. zabezpieczeń, jest liczba problemów z zabezpieczeniami, z którymi borykają się codziennie. Istnieje wiele problemów z zabezpieczeniami, które należy rozwiązać i nigdy nie są wystarczające zasoby, aby rozwiązać je wszystkie.
Defender dla Chmury nowego grafu zabezpieczeń w chmurze i możliwości analizy ścieżki ataku zapewniają zespołom ds. zabezpieczeń możliwość oceny ryzyka związanego z każdym problemem z zabezpieczeniami. Zespoły ds. zabezpieczeń mogą również zidentyfikować problemy o najwyższym ryzyku, które należy rozwiązać najszybciej. Defender dla Chmury współpracuje z zespołami ds. zabezpieczeń, aby zmniejszyć ryzyko naruszenia zabezpieczeń mającego wpływ na środowisko w najbardziej efektywny sposób.
Dowiedz się więcej o nowym grafie zabezpieczeń chmury, analizie ścieżki ataku i eksploratorze zabezpieczeń w chmurze.
Skanowanie bez agenta dla maszyn platformy Azure i platformy AWS (wersja zapoznawcza)
Do tej pory Defender dla Chmury na podstawie ocen stanu maszyn wirtualnych na rozwiązaniach opartych na agentach. Aby pomóc klientom zmaksymalizować pokrycie i zmniejszyć problemy z dołączaniem i zarządzaniem, udostępniamy skanowanie bez agenta dla maszyn wirtualnych w wersji zapoznawczej.
Dzięki skanowaniu bez agenta dla maszyn wirtualnych można uzyskać szeroki wgląd w zainstalowane oprogramowanie i oprogramowanie CVEs. Widoczność można uzyskać bez wyzwań związanych z instalacją i konserwacją agenta, wymaganiami dotyczącymi łączności sieciowej i wydajnością obciążeń. Analiza jest obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Skanowanie luk w zabezpieczeniach bez agenta jest dostępne zarówno w usłudze Defender Cloud Security Posture Management (CSPM), jak i w usłudze Defender for Servers P2, z natywną obsługą usług AWS i maszyn wirtualnych platformy Azure.
- Dowiedz się więcej o skanowaniu bez agenta.
- Dowiedz się, jak włączyć ocenę luk w zabezpieczeniach bez agentów.
Defender for DevOps (wersja zapoznawcza)
Microsoft Defender dla Chmury umożliwia kompleksową widoczność, zarządzanie stanem i ochronę przed zagrożeniami w środowiskach hybrydowych i wielochmurowych, takich jak azure, AWS, Google i zasoby lokalne.
Teraz nowy plan usługi Defender for DevOps integruje systemy zarządzania kodem źródłowym, takie jak GitHub i Azure DevOps, w Defender dla Chmury. Dzięki tej nowej integracji umożliwiamy zespołom ds. zabezpieczeń ochronę zasobów przed kodem do chmury.
Usługa Defender for DevOps umożliwia uzyskanie wglądu w połączone środowiska deweloperskie i zasoby kodu oraz zarządzanie nimi. Obecnie można połączyć usługi Azure DevOps i systemy GitHub z Defender dla Chmury i dołączyć repozytoria DevOps do spisu i nową stronę usługi DevOps Security. Zapewnia zespołom ds. zabezpieczeń ogólne omówienie odnalezionych problemów z zabezpieczeniami, które istnieją w nich na ujednoliconej stronie zabezpieczeń metodyki DevOps.
Możesz skonfigurować adnotacje dotyczące żądań ściągnięcia, aby ułatwić deweloperom rozwiązywanie problemów ze skanowaniem wpisów tajnych w usłudze Azure DevOps bezpośrednio na żądaniach ściągnięcia.
Aby włączyć następujące skanowania zabezpieczeń, można skonfigurować narzędzia Microsoft Security DevOps w usłudze Azure Pipelines i przepływach pracy usługi GitHub:
| Nazwisko | Język | Licencja |
|---|---|---|
| Bandyta | Python | Licencja apache 2.0 |
| BinSkim | Binary — Windows, ELF | Licencja X11 |
| ESlint | JavaScript | Licencja X11 |
| CredScan (tylko usługa Azure DevOps) | Skaner poświadczeń (znany również jako CredScan) to narzędzie opracowane i obsługiwane przez firmę Microsoft do identyfikowania przecieków poświadczeń, takich jak te w kodzie źródłowym i plikach konfiguracji typowych typów: hasła domyślne, parametry połączenia SQL, certyfikaty z kluczami prywatnymi | Nie open source |
| Analiza szablonu | Szablon usługi ARM, plik Bicep | Licencja X11 |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Tworzenie chmury | Licencja apache 2.0 |
| Trywij | Obrazy kontenerów, systemy plików, repozytoria git | Licencja apache 2.0 |
Następujące nowe zalecenia są teraz dostępne dla metodyki DevOps:
| Zalecenie | opis | Waga błędu |
|---|---|---|
| (Wersja zapoznawcza) Repozytoria kodu powinny mieć rozpoznane wyniki skanowania kodu | Usługa Defender for DevOps wykryła luki w zabezpieczeniach w repozytoriach kodu. Aby poprawić stan zabezpieczeń repozytoriów, zdecydowanie zaleca się skorygowanie tych luk w zabezpieczeniach. (Brak powiązanych zasad) | Śred. |
| (Wersja zapoznawcza) Repozytoria kodu powinny mieć rozpoznane wyniki skanowania wpisów tajnych | Usługa Defender for DevOps znalazła wpis tajny w repozytoriach kodu. Powinno to zostać natychmiast skorygowane, aby zapobiec naruszeniu zabezpieczeń. Wpisy tajne znalezione w repozytoriach mogą być ujawnione lub wykryte przez przeciwników, co prowadzi do naruszenia zabezpieczeń aplikacji lub usługi. W przypadku usługi Azure DevOps narzędzie Microsoft Security DevOps CredScan skanuje tylko kompilacje, na których jest skonfigurowany do uruchomienia. W związku z tym wyniki mogą nie odzwierciedlać pełnego stanu wpisów tajnych w repozytoriach. (Brak powiązanych zasad) | Wys. |
| (Wersja zapoznawcza) Repozytoria kodu powinny mieć rozpoznane wyniki skanowania dependabot | Usługa Defender for DevOps wykryła luki w zabezpieczeniach w repozytoriach kodu. Aby poprawić stan zabezpieczeń repozytoriów, zdecydowanie zaleca się skorygowanie tych luk w zabezpieczeniach. (Brak powiązanych zasad) | Śred. |
| (Wersja zapoznawcza) Repozytoria kodu powinny mieć infrastrukturę w miarę rozwiązywania ustaleń skanowania kodu | (Wersja zapoznawcza) Repozytoria kodu powinny mieć infrastrukturę w miarę rozwiązywania ustaleń skanowania kodu | Śred. |
| (Wersja zapoznawcza) Repozytoria GitHub powinny mieć włączone skanowanie kodu | Usługa GitHub używa skanowania kodu do analizowania kodu w celu znalezienia luk w zabezpieczeniach i błędów w kodzie. Skanowanie kodu może służyć do znajdowania, klasyfikowania i określania priorytetów poprawek istniejących problemów w kodzie. Skanowanie kodu może również uniemożliwić deweloperom wprowadzanie nowych problemów. Skanowania mogą być zaplanowane przez określone dni i godziny lub skanowania mogą być wyzwalane, gdy w repozytorium wystąpi określone zdarzenie, takie jak wypychanie. Jeśli skanowanie kodu wykryje potencjalną lukę w zabezpieczeniach lub błąd w kodzie, usługa GitHub wyświetli alert w repozytorium. Luka w zabezpieczeniach jest problemem w kodzie projektu, który może zostać wykorzystany w celu uszkodzenia poufności, integralności lub dostępności projektu. (Brak powiązanych zasad) | Śred. |
| (Wersja zapoznawcza) Repozytoria GitHub powinny mieć włączone skanowanie wpisów tajnych | Usługa GitHub skanuje repozytoria pod kątem znanych typów wpisów tajnych, aby zapobiec fałszywemu użyciu wpisów tajnych, które zostały przypadkowo zatwierdzone w repozytoriach. Skanowanie wpisów tajnych spowoduje skanowanie całej historii usługi Git we wszystkich gałęziach znajdujących się w repozytorium GitHub pod kątem wszystkich wpisów tajnych. Przykłady wpisów tajnych to tokeny i klucze prywatne, które dostawca usług może wystawiać na potrzeby uwierzytelniania. Jeśli wpis tajny zostanie zaewidencjonowany w repozytorium, każdy, kto ma dostęp do odczytu do repozytorium, może użyć wpisu tajnego, aby uzyskać dostęp do usługi zewnętrznej z tymi uprawnieniami. Wpisy tajne powinny być przechowywane w dedykowanej, bezpiecznej lokalizacji poza repozytorium projektu. (Brak powiązanych zasad) | Wys. |
| (Wersja zapoznawcza) Repozytoria GitHub powinny mieć włączone skanowanie dependabotów | Usługa GitHub wysyła alerty Dependabot, gdy wykrywa luki w zabezpieczeniach zależności kodu, które mają wpływ na repozytoria. Luka w zabezpieczeniach jest problemem w kodzie projektu, który może zostać wykorzystany w celu uszkodzenia poufności, integralności lub dostępności projektu lub innych projektów korzystających z jego kodu. Luki w zabezpieczeniach różnią się w zależności od typu, ważności i metody ataku. Gdy kod zależy od pakietu, który ma lukę w zabezpieczeniach, ta zależność podatna na zagrożenia może spowodować szereg problemów. (Brak powiązanych zasad) | Śred. |
Zalecenia usługi Defender for DevOps zastąpiły przestarzały skaner luk w zabezpieczeniach dla przepływów pracy ciągłej integracji/ciągłego wdrażania, które zostały uwzględnione w usłudze Defender for Containers.
Dowiedz się więcej o usłudze Defender for DevOps
Pulpit nawigacyjny zgodności z przepisami obsługuje teraz ręczne zarządzanie kontrolą i szczegółowe informacje na temat stanu zgodności firmy Microsoft
Pulpit nawigacyjny zgodności w usłudze Defender dla Chmury to kluczowe narzędzie dla klientów, które ułatwia im zrozumienie i śledzenie ich stanu zgodności. Klienci mogą stale monitorować środowiska zgodnie z wymaganiami z wielu różnych standardów i przepisów.
Teraz możesz w pełni zarządzać stanem zgodności, ręcznie zaświadczając o działaniach i innych mechanizmach kontroli. Teraz możesz podać dowody zgodności dla mechanizmów kontroli, które nie są zautomatyzowane. Wraz ze zautomatyzowanymi ocenami można teraz wygenerować pełny raport zgodności w wybranym zakresie, odnosząc się do całego zestawu mechanizmów kontroli dla danego standardu.
Ponadto dzięki bogatszym informacjom kontrolnym i dokładniejszym szczegółom oraz dowodzie dotyczącym stanu zgodności firmy Microsoft masz teraz wszystkie informacje wymagane do przeprowadzania inspekcji na wyciągnięcie ręki.
Niektóre z nowych korzyści:
Ręczne akcje klienta zapewniają mechanizm ręcznego zaświadczania zgodności z mechanizmami kontroli nieautomazowanych. W tym możliwość łączenia dowodów, ustaw datę zgodności i datę wygaśnięcia.
Bogatsze szczegóły kontroli dotyczące obsługiwanych standardów, które przedstawiają akcje firmy Microsoft i ręczne akcje klienta oprócz już istniejących zautomatyzowanych akcji klienta.
Działania firmy Microsoft zapewniają wgląd w stan zgodności firmy Microsoft, który obejmuje procedury oceny inspekcji, wyniki testów i reakcje firmy Microsoft na odchylenia.
Oferty zgodności zapewniają centralną lokalizację do sprawdzania produktów platformy Azure, Dynamics 365 i platformy Power Platform oraz odpowiednich certyfikatów zgodności z przepisami.
Dowiedz się więcej, zapoznając się z artykułem Ulepszanie zgodności z przepisami za pomocą usługi Defender dla Chmury.
Nazwa automatycznego aprowizacji została zmieniona na Ustawienia i monitorowanie i ma zaktualizowane środowisko
Zmieniliśmy nazwę strony Automatyczne aprowizowanie na Ustawienia i monitorowanie.
Automatyczne aprowizowanie miało na celu umożliwienie włączenia na dużą skalę wymagań wstępnych, które są wymagane przez zaawansowane funkcje i możliwości Defender dla Chmury. Aby lepiej obsługiwać nasze rozszerzone możliwości, uruchamiamy nowe środowisko z następującymi zmianami:
Strona planów Defender dla Chmury zawiera teraz następujące elementy:
- Po włączeniu planu usługi Defender, który wymaga składników monitorowania, te składniki są włączone do automatycznej aprowizacji przy użyciu ustawień domyślnych. Te ustawienia można opcjonalnie edytować w dowolnym momencie.
- Dostęp do ustawień składnika monitorowania dla każdego planu usługi Defender można uzyskać na stronie plan usługi Defender.
- Strona planów usługi Defender wyraźnie wskazuje, czy wszystkie składniki monitorowania są dostępne dla każdego planu usługi Defender, czy też pokrycie monitorowania jest niekompletne.
Strona Ustawienia i monitorowanie:
- Każdy składnik monitorowania wskazuje plany usługi Defender, do których jest on powiązany.
Dowiedz się więcej o zarządzaniu ustawieniami monitorowania.
Zarządzanie stanem zabezpieczeń w chmurze w usłudze Defender (CSPM)
Jednym z głównych filarów Microsoft Defender dla Chmury w zakresie zabezpieczeń w chmurze jest zarządzanie stanem zabezpieczeń w chmurze (CSPM). CSPM zapewnia wskazówki dotyczące wzmacniania zabezpieczeń, które pomagają efektywnie i skutecznie poprawić bezpieczeństwo. CSPM zapewnia również wgląd w bieżącą sytuację zabezpieczeń.
Ogłaszamy nowy plan usługi Defender: CSPM w usłudze Defender. Ten plan zwiększa możliwości zabezpieczeń Defender dla Chmury i obejmuje następujące nowe i rozszerzone funkcje:
- Ciągła ocena konfiguracji zabezpieczeń zasobów w chmurze
- Zalecenia dotyczące zabezpieczeń w celu naprawienia błędów konfiguracji i słabych stron
- Wskaźnik bezpieczeństwa
- Ład korporacyjny
- Zgodność z przepisami
- Wykres zabezpieczeń chmury
- Analiza ścieżki ataku
- Skanowanie bez agenta dla maszyn
Dowiedz się więcej o planie CSPM w usłudze Defender.
Mapowanie struktury MITRE ATT&CK jest teraz dostępne również dla zaleceń dotyczących zabezpieczeń platform AWS i GCP
W przypadku analityków zabezpieczeń niezbędne jest zidentyfikowanie potencjalnych zagrożeń związanych z zaleceniami dotyczącymi zabezpieczeń i zrozumienie wektorów ataków, dzięki czemu mogą efektywnie określać priorytety swoich zadań.
Defender dla Chmury ułatwia ustalanie priorytetów dzięki mapowaniu zaleceń dotyczących zabezpieczeń platformy Azure, AWS i GCP dla platformy MITRE ATT&CK. Struktura MITRE ATT&CK to globalnie dostępna baza wiedzy taktyki i technik przeciwników opartych na rzeczywistych obserwacjach, umożliwiając klientom wzmocnienie bezpiecznej konfiguracji swoich środowisk.
Struktura MITRE ATT&CK jest zintegrowana na trzy sposoby:
- Zalecenia są mapowe na taktykę i techniki MITRE ATT&CK.
- Wykonywanie zapytań dotyczących taktyki i technik MITRE ATT&CK dotyczących zaleceń przy użyciu usługi Azure Resource Graph.
Usługa Defender for Containers obsługuje teraz ocenę luk w zabezpieczeniach dla usługi Elastic Container Registry (wersja zapoznawcza)
Usługa Microsoft Defender for Containers udostępnia teraz skanowanie oceny luk w zabezpieczeniach bez agenta dla usługi Elastic Container Registry (ECR) w usłudze Amazon AWS. Rozszerzenie zasięgu dla środowisk wielochmurowych, opierając się na wydaniu na początku tego roku zaawansowanej ochrony przed zagrożeniami i wzmacniania zabezpieczeń środowiska Kubernetes dla platform AWS i Google GCP. Model bez agenta tworzy zasoby platformy AWS na kontach w celu skanowania obrazów bez wyodrębniania obrazów z kont platformy AWS i bez śladu w obciążeniu.
Skanowanie oceny luk w zabezpieczeniach bez agentów pod kątem obrazów w repozytoriach ECR pomaga zmniejszyć obszar ataków konteneryzowanego majątku przez ciągłe skanowanie obrazów w celu identyfikowania luk w zabezpieczeniach kontenerów i zarządzania nimi. W tej nowej wersji Defender dla Chmury skanuje obrazy kontenerów po wypchnięciu do repozytorium i stale ponownie zapisuje obrazy kontenerów ECR w rejestrze. Wyniki są dostępne w Microsoft Defender dla Chmury jako zalecenia i można użyć wbudowanych zautomatyzowanych przepływów pracy Defender dla Chmury do podjęcia działań na temat wyników, takich jak otwarcie biletu w celu naprawienia luki w zabezpieczeniach o wysokiej ważności na obrazie.
Dowiedz się więcej o ocenie luk w zabezpieczeniach dla obrazów usługi Amazon ECR.
2022 września
Aktualizacje we wrześniu obejmują:
- Pomijanie alertów na podstawie jednostek Container i Kubernetes
- Usługa Defender for Servers obsługuje monitorowanie integralności plików za pomocą agenta usługi Azure Monitor
- Wycofanie starszych interfejsów API ocen
- Dodatkowe zalecenia dodane do tożsamości
- Usunięto alerty zabezpieczeń dla maszyn raportujących między dzierżawami obszarów roboczych usługi Log Analytics
Pomijanie alertów na podstawie jednostek Container i Kubernetes
- Przestrzeń nazw kubernetes
- Zasobnik Kubernetes
- Wpis tajny platformy Kubernetes
- Kubernetes ServiceAccount
- Zestaw replik Platformy Kubernetes
- Kubernetes StatefulSet
- Zestaw daemon Platformy Kubernetes
- Zadanie platformy Kubernetes
- Kubernetes CronJob
Dowiedz się więcej o regułach pomijania alertów.
Usługa Defender for Servers obsługuje monitorowanie integralności plików za pomocą agenta usługi Azure Monitor
Monitorowanie integralności plików (FIM) sprawdza pliki systemu operacyjnego i rejestry pod kątem zmian, które mogą wskazywać na atak.
Program FIM jest teraz dostępny w nowej wersji opartej na agencie usługi Azure Monitor (AMA), który można wdrożyć za pośrednictwem Defender dla Chmury.
Dowiedz się więcej o monitorowaniu integralności plików za pomocą agenta usługi Azure Monitor.
Wycofanie starszych interfejsów API ocen
Następujące interfejsy API są przestarzałe:
- Zadania zabezpieczeń
- Stany zabezpieczeń
- Podsumowania zabezpieczeń
Te trzy interfejsy API uwidoczniły stare formaty ocen i zostały zastąpione przez interfejsy API ocen i interfejsy API podsieci. Wszystkie dane udostępniane przez te starsze interfejsy API są również dostępne w nowych interfejsach API.
Dodatkowe zalecenia dodane do tożsamości
Defender dla Chmury zalecenia dotyczące poprawy zarządzania użytkownikami i kontami.
Nowe zalecenia
Nowa wersja zawiera następujące możliwości:
Rozszerzony zakres oceny — pokrycie jest ulepszone dla kont tożsamości bez uwierzytelniania wieloskładnikowego i kont zewnętrznych w zasobach platformy Azure (zamiast tylko subskrypcji), co umożliwia administratorom zabezpieczeń wyświetlanie przypisań ról na konto.
Ulepszony interwał aktualności — rekomendacje dotyczące tożsamości mają teraz interwał świeżości wynoszący 12 godzin.
Możliwość wykluczania konta — Defender dla Chmury ma wiele funkcji, których można użyć do dostosowywania środowiska i zapewnienia, że wskaźnik bezpieczeństwa odzwierciedla priorytety zabezpieczeń organizacji. Możesz na przykład wykluczyć zasoby i zalecenia z wskaźnika bezpieczeństwa.
Ta aktualizacja umożliwia wykluczenie określonych kont z oceny z sześciu zaleceń wymienionych w poniższej tabeli.
Zazwyczaj konta awaryjne "break glass" są zwalniane z zaleceń uwierzytelniania wieloskładnikowego, ponieważ takie konta są często celowo wykluczane z wymagań uwierzytelniania wieloskładnikowego organizacji. Alternatywnie możesz mieć konta zewnętrzne, do których chcesz zezwolić na dostęp, do których nie włączono uwierzytelniania wieloskładnikowego.
Napiwek
Jeśli wykluczysz konto, nie będzie ono wyświetlane jako w złej kondycji, a także nie spowoduje, że subskrypcja będzie wyglądać w złej kondycji.
Zalecenie Klucz oceny Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe 6240402e-f77c-46fa-9060-a7ce53997754 Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe c0cb17b2-0607-48a7-b0e0-903ed22de39b Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć 20606e75-05c4-48c0-9d97-add6daa2109a Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte 050ac097-3dda-4d24-ab6d-82568e7a50cf Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Zalecenia są wyświetlane w wersji zapoznawczej obok zaleceń, które są obecnie dostępne.
Usunięto alerty zabezpieczeń dla maszyn raportujących między dzierżawami obszarów roboczych usługi Log Analytics
W przeszłości Defender dla Chmury umożliwić wybranie obszaru roboczego, do którego będą raportować agenci usługi Log Analytics. Gdy maszyna należała do jednej dzierżawy (dzierżawy A), ale jej agent usługi Log Analytics zgłosił się do obszaru roboczego w innej dzierżawie ("Dzierżawa B"), alerty zabezpieczeń dotyczące maszyny zostały zgłoszone do pierwszej dzierżawy (dzierżawy A).
Dzięki tej zmianie alerty dotyczące maszyn połączonych z obszarem roboczym usługi Log Analytics w innej dzierżawie nie są już wyświetlane w Defender dla Chmury.
Jeśli chcesz nadal otrzymywać alerty w Defender dla Chmury, połącz agenta usługi Log Analytics odpowiednich maszyn z obszarem roboczym w tej samej dzierżawie co maszyna.
Dowiedz się więcej o alertach zabezpieczeń.
Sierpień 2022
Aktualizacje w sierpniu obejmują:
- Luki w zabezpieczeniach dotyczące uruchamiania obrazów są teraz widoczne w usłudze Defender for Containers w kontenerach systemu Windows
- Integracja agenta usługi Azure Monitor jest teraz dostępna w wersji zapoznawczej
- Przestarzałe alerty maszyny wirtualnej dotyczące podejrzanych działań związanych z klastrem Kubernetes
Luki w zabezpieczeniach dotyczące uruchamiania obrazów są teraz widoczne w usłudze Defender for Containers w kontenerach systemu Windows
Usługa Defender for Containers pokazuje teraz luki w zabezpieczeniach dla uruchomionych kontenerów systemu Windows.
Po wykryciu luk w zabezpieczeniach Defender dla Chmury generuje następujące zalecenie dotyczące zabezpieczeń zawierające listę wykrytych problemów: Uruchamianie obrazów kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach.
Dowiedz się więcej o wyświetlaniu luk w zabezpieczeniach dla uruchomionych obrazów.
Integracja agenta usługi Azure Monitor jest teraz dostępna w wersji zapoznawczej
Defender dla Chmury teraz obejmuje obsługę wersji zapoznawczejAgent usługi Azure Monitor (AMA). Usługa AMA ma zastąpić starszego agenta usługi Log Analytics (nazywanego również programem Microsoft Monitoring Agent ( MMA), który znajduje się na ścieżce do wycofania. Usługa AMA zapewnia wiele korzyści w przypadku starszych agentów.
W Defender dla Chmury po włączeniu automatycznej aprowizacji dla usługi AMA agent jest wdrażany na istniejących i nowych maszynach wirtualnych i maszynach z obsługą usługi Azure Arc wykrytych w subskrypcjach. Jeśli plany usługi Defenders for Cloud są włączone, usługa AMA zbiera informacje o konfiguracji i dzienniki zdarzeń z maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc. Integracja usługi AMA jest dostępna w wersji zapoznawczej, dlatego zalecamy używanie jej w środowiskach testowych, a nie w środowiskach produkcyjnych.
Przestarzałe alerty maszyny wirtualnej dotyczące podejrzanych działań związanych z klastrem Kubernetes
W poniższej tabeli wymieniono alerty, które zostały przestarzałe:
| Nazwa alertu | opis | Taktyka | Ważność |
|---|---|---|---|
| Wykryto operację kompilacji platformy Docker w węźle Kubernetes (VM_ImageBuildOnNode) |
Dzienniki maszyn wskazują operację kompilacji obrazu kontenera w węźle Kubernetes. Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą lokalnie tworzyć złośliwe obrazy, aby uniknąć wykrywania. | Uchylanie się od obrony | Niski |
| Podejrzane żądanie do interfejsu API platformy Kubernetes (VM_KubernetesAPI) |
Dzienniki maszyn wskazują, że do interfejsu API kubernetes zostało wykonane podejrzane żądanie. Żądanie zostało wysłane z węzła Kubernetes, prawdopodobnie z jednego z kontenerów uruchomionych w węźle. Mimo że takie zachowanie może być zamierzone, może to oznaczać, że węzeł uruchamia kontener, którego bezpieczeństwo zostało naruszone. | LateralMovement (Owement poprzeczny) | Śred. |
| Serwer SSH działa wewnątrz kontenera (VM_ContainerSSH) |
Dzienniki maszyn wskazują, że serwer SSH działa wewnątrz kontenera platformy Docker. Chociaż to zachowanie może być zamierzone, często wskazuje, że kontener jest nieprawidłowo skonfigurowany lub naruszony. | Wykonanie | Śred. |
Te alerty służą do powiadamiania użytkownika o podejrzanych działaniach połączonych z klastrem Kubernetes. Alerty zostaną zastąpione pasującymi alertami, które są częścią alertów kontenera Microsoft Defender dla Chmury (K8S.NODE_ImageBuildOnNodeK8S.NODE_ KubernetesAPIi K8S.NODE_ ContainerSSH), które zapewnią lepszą wierność i kompleksowy kontekst do zbadania alertów i działania na nich. Dowiedz się więcej o alertach dotyczących klastrów Kubernetes.
Luki w zabezpieczeniach kontenera zawierają teraz szczegółowe informacje o pakiecie
Narzędzie Defender for Container do oceny luk w zabezpieczeniach (VA) zawiera teraz szczegółowe informacje o pakiecie dla każdego znalezienia, w tym: nazwę pakietu, typ pakietu, ścieżkę, zainstalowaną wersję i stałą wersję. Informacje o pakiecie umożliwiają znalezienie pakietów podatnych na zagrożenia, dzięki czemu można skorygować lukę w zabezpieczeniach lub usunąć pakiet.
Te szczegółowe informacje o pakiecie są dostępne dla nowych skanów obrazów.
Lipiec 2022
Aktualizacje w lipcu obejmują:
- Ogólna dostępność agenta zabezpieczeń natywnego dla chmury na potrzeby ochrony środowiska uruchomieniowego platformy Kubernetes
- Narzędzie do oceny luk w zabezpieczeniach kontenera w usłudze Defender dodaje obsługę wykrywania pakietów specyficznych dla języka (wersja zapoznawcza)
- Ochrona przed luką w zabezpieczeniach infrastruktury zarządzania operacjami CVE-2022-29149
- Integracja z zarządzaniem uprawnieniami entra
- Rekomendacje usługi Key Vault zmieniły się na "inspekcja"
- Oznaczanie przestarzałych zasad aplikacji interfejsu API dla usługi App Service
Ogólna dostępność agenta zabezpieczeń natywnego dla chmury na potrzeby ochrony środowiska uruchomieniowego kubernetes
Cieszymy się, że agent zabezpieczeń natywny dla chmury na potrzeby ochrony środowiska uruchomieniowego platformy Kubernetes jest teraz ogólnie dostępny (GA)!
Wdrożenia produkcyjne klastrów Kubernetes nadal rosną, ponieważ klienci nadal konteneryzują swoje aplikacje. Aby pomóc w tym rozwoju, zespół usługi Defender for Containers opracował natywny dla chmury agent zabezpieczeń zorientowany na platformę Kubernetes.
Nowy agent zabezpieczeń to platforma Kubernetes DaemonSet oparta na technologii eBPF i jest w pełni zintegrowana z klastrami AKS w ramach profilu zabezpieczeń usługi AKS.
Włączenie agenta zabezpieczeń jest dostępne za pośrednictwem automatycznego aprowizowania, przepływu zaleceń, usługi AKS RP lub na dużą skalę przy użyciu usługi Azure Policy.
Agenta usługi Defender można wdrożyć już dziś w klastrach usługi AKS.
Dzięki temu ogłoszeniu ochrona środowiska uruchomieniowego — wykrywanie zagrożeń (obciążenie) jest teraz również ogólnie dostępne.
Dowiedz się więcej o dostępności funkcji usługi Defender for Container.
Możesz również przejrzeć wszystkie dostępne alerty.
Uwaga: jeśli używasz wersji zapoznawczej, flaga AKS-AzureDefender funkcji nie jest już wymagana.
Narzędzie do oceny luk w zabezpieczeniach kontenera w usłudze Defender dodaje obsługę wykrywania pakietów specyficznych dla języka (wersja zapoznawcza)
Ocena luk w zabezpieczeniach (VA) usługi Defender for Container umożliwia wykrywanie luk w zabezpieczeniach pakietów systemu operacyjnego wdrożonych za pośrednictwem menedżera pakietów systemu operacyjnego. Teraz rozszerzyliśmy możliwości oceny luk w zabezpieczeniach w celu wykrywania luk w zabezpieczeniach zawartych w pakietach specyficznych dla języka.
Ta funkcja jest dostępna w wersji zapoznawczej i jest dostępna tylko dla obrazów systemu Linux.
Aby wyświetlić wszystkie dodane pakiety specyficzne dla języka dołączonego, zapoznaj się z pełną listą funkcji i ich dostępności w usłudze Defender for Container.
Ochrona przed luką w zabezpieczeniach infrastruktury zarządzania operacjami CVE-2022-29149
Infrastruktura OMI (Operations Management Infrastructure) to zbiór usług opartych na chmurze do zarządzania środowiskami lokalnymi i chmurowymi z jednego miejsca. Zamiast wdrażać zasoby lokalne i zarządzać nimi, składniki OMI są całkowicie hostowane na platformie Azure.
Usługa Log Analytics zintegrowana z usługą Azure HDInsight z systemem OMI w wersji 13 wymaga poprawki w celu skorygowania luki CVE-2022-29149. Zapoznaj się z raportem dotyczącym tej luki w zabezpieczeniach w przewodniku microsoft Security Update, aby uzyskać informacje na temat identyfikowania zasobów, których dotyczy ta luka w zabezpieczeniach i kroki korygowania.
Jeśli masz usługę Defender for Servers z włączoną oceną luk w zabezpieczeniach, możesz użyć tego skoroszytu do zidentyfikowania zasobów, których dotyczy problem.
Integracja z zarządzaniem uprawnieniami entra
Defender dla Chmury została zintegrowana z Zarządzanie uprawnieniami Microsoft Entra, rozwiązanie do zarządzania upoważnieniami infrastruktury w chmurze (CIEM), które zapewnia kompleksową widoczność i kontrolę nad uprawnieniami dla dowolnej tożsamości i dowolnego zasobu na platformie Azure, AWS i GCP.
Każda subskrypcja platformy Azure, konto platformy AWS i dołączony projekt GCP będą teraz wyświetlać widok indeksu pełzania uprawnień (PCI).
Dowiedz się więcej o usłudze Entra Permission Management (dawniej Cloudknox)
Rekomendacje usługi Key Vault zmieniły się na "inspekcja"
Efekt zaleceń usługi Key Vault wymienionych tutaj został zmieniony na "inspekcja":
| Nazwa zalecenia | Identyfikator rekomendacji |
|---|---|
| Okres ważności certyfikatów przechowywanych w usłudze Azure Key Vault nie powinien przekraczać 12 miesięcy | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia | 14257785-9437-97fa-11ae-898cfb24302b |
| Klucze usługi Key Vault powinny mieć datę wygaśnięcia | 1aabfa0d-7585-f9f5-1d92-ebc40291d9f2 |
Oznaczanie przestarzałych zasad aplikacji interfejsu API dla usługi App Service
Wycofaliśmy następujące zasady z odpowiednimi zasadami, które już istnieją w celu uwzględnienia aplikacji interfejsu API:
| Aby być przestarzałym | Zmiana na |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Czerwiec 2022
Aktualizacje w czerwcu obejmują:
- Ogólna dostępność dla usługi Microsoft Defender dla usługi Azure Cosmos DB
- Ogólna dostępność usługi Defender for SQL na maszynach dla środowisk AWS i GCP
- Wspieranie implementacji zaleceń dotyczących zabezpieczeń w celu zwiększenia poziomu zabezpieczeń
- Filtrowanie alertów zabezpieczeń według adresu IP
- Alerty według grupy zasobów
- Automatyczne aprowizowanie rozwiązania ujednoliconego Ochrona punktu końcowego w usłudze Microsoft Defender
- Oznaczanie zasad "Aplikacja interfejsu API powinna być dostępna tylko za pośrednictwem protokołu HTTPS"
- Nowe alerty usługi Key Vault
Ogólna dostępność dla usługi Microsoft Defender dla usługi Azure Cosmos DB
Usługa Microsoft Defender dla usługi Azure Cosmos DB jest teraz ogólnie dostępna i obsługuje typy kont interfejsu API SQL (core).
Ta nowa wersja ogólnie dostępna jest częścią pakietu ochrony bazy danych Microsoft Defender dla Chmury, który obejmuje różne typy baz danych SQL i MariaDB. Usługa Microsoft Defender dla usługi Azure Cosmos DB to natywna warstwa zabezpieczeń platformy Azure, która wykrywa próby wykorzystania baz danych na kontach usługi Azure Cosmos DB.
Po włączeniu tego planu otrzymasz alert o potencjalnych wstrzyknięciach kodu SQL, znanych złych podmiotach, podejrzanych wzorcach dostępu i potencjalnych eksploracjach bazy danych za pośrednictwem tożsamości z naruszonymi naruszeniami lub złośliwych testerów.
Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty zawierają szczegółowe informacje o podejrzanych działaniach wraz z odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń.
Usługa Microsoft Defender dla usługi Azure Cosmos DB stale analizuje strumień danych telemetrycznych generowany przez usługi Azure Cosmos DB i przechodzi przez nie za pomocą funkcji Microsoft Threat Intelligence i modeli behawioralnych w celu wykrycia wszelkich podejrzanych działań. Usługa Defender dla usługi Azure Cosmos DB nie uzyskuje dostępu do danych konta usługi Azure Cosmos DB i nie ma żadnego wpływu na wydajność bazy danych.
Dowiedz się więcej o usłudze Microsoft Defender dla usługi Azure Cosmos DB.
Dzięki dodaniu obsługi usługi Azure Cosmos DB Defender dla Chmury teraz zapewnia jedną z najbardziej kompleksowych ofert ochrony obciążeń dla baz danych opartych na chmurze. Zespoły ds. zabezpieczeń i właściciele baz danych mogą teraz mieć scentralizowane środowisko do zarządzania zabezpieczeniami bazy danych w swoich środowiskach.
Dowiedz się, jak włączyć ochronę baz danych.
Ogólna dostępność usługi Defender for SQL na maszynach dla środowisk AWS i GCP
Funkcje ochrony bazy danych zapewniane przez Microsoft Defender dla Chmury dodano obsługę serwerów SQL hostowanych w środowiskach AWS lub GCP.
Usługa Defender for SQL, przedsiębiorstwa mogą teraz chronić całą swoją majątek bazy danych, hostowaną na platformie Azure, w usługach AWS, GCP i na maszynach lokalnych.
Usługa Microsoft Defender for SQL zapewnia ujednolicone środowisko wielochmurowe umożliwiające wyświetlanie zaleceń dotyczących zabezpieczeń, alertów zabezpieczeń i wyników oceny luk w zabezpieczeniach zarówno dla serwera SQL, jak i podkreślenia systemu operacyjnego Windows.
Korzystając ze środowiska dołączania wielochmurowego, można włączyć i wymusić ochronę baz danych dla serwerów SQL działających na platformie AWS EC2, usług pulpitu zdalnego niestandardowego dla programu SQL Server i aparatu obliczeniowego GCP. Po włączeniu jednego z tych planów wszystkie obsługiwane zasoby, które istnieją w ramach subskrypcji, są chronione. Przyszłe zasoby utworzone w ramach tej samej subskrypcji również będą chronione.
Dowiedz się, jak chronić i łączyć środowisko AWS i organizację GCP za pomocą Microsoft Defender dla Chmury.
Wspieranie implementacji zaleceń dotyczących zabezpieczeń w celu zwiększenia poziomu zabezpieczeń
Dzisiejsze rosnące zagrożenia dla organizacji rozciągają limity pracowników ds. zabezpieczeń, aby chronić swoje rosnące obciążenia. Zespoły ds. zabezpieczeń są kwestionowane w celu zaimplementowania ochrony zdefiniowanych w zasadach zabezpieczeń.
Teraz dzięki środowisku ładu w wersji zapoznawczej zespoły ds. zabezpieczeń mogą przypisywać rekomendacje dotyczące zabezpieczeń do właścicieli zasobów i wymagać harmonogramu korygowania. Mogą one mieć pełną przejrzystość postępu korygowania i otrzymywać powiadomienia, gdy zadania są zaległe.
Dowiedz się więcej o środowisku zapewniania ładu w temacie Ułatwianie organizacji korygowania problemów z zabezpieczeniami za pomocą rekomendacji dotyczących ładu.
Filtrowanie alertów zabezpieczeń według adresu IP
W wielu przypadkach ataków chcesz śledzić alerty na podstawie adresu IP jednostki zaangażowanej w atak. Do tej pory adres IP pojawił się tylko w sekcji "Powiązane jednostki" w okienku pojedynczego alertu. Teraz możesz filtrować alerty na stronie alertów zabezpieczeń, aby wyświetlić alerty związane z adresem IP i wyszukać określony adres IP.
Alerty według grupy zasobów
Możliwość filtrowania, sortowania i grupowania według grupy zasobów jest dodawana do strony Alerty zabezpieczeń.
Kolumna grupy zasobów jest dodawana do siatki alertów.
Dodano nowy filtr, który umożliwia wyświetlanie wszystkich alertów dla określonych grup zasobów.
Możesz teraz również grupować alerty według grupy zasobów, aby wyświetlić wszystkie alerty dla każdej grupy zasobów.
Automatyczne aprowizowanie rozwiązania ujednoliconego Ochrona punktu końcowego w usłudze Microsoft Defender
Do tej pory integracja z usługą Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) obejmowała automatyczną instalację nowego ujednoliconego rozwiązania MDE dla maszyn (subskrypcji platformy Azure i łączników wielochmurowych) z włączoną usługą Defender for Servers (plan 1) oraz w przypadku łączników wielochmurowych z włączoną usługą Defender for Servers (plan 2). Plan 2 dla subskrypcji platformy Azure włączył ujednolicone rozwiązanie tylko dla maszyn z systemem Linux i serwerów z systemem Windows 2019 i 2022. Serwery z systemem Windows 2012R2 i 2016 używały starszego rozwiązania MDE zależnego od agenta usługi Log Analytics.
Teraz nowe ujednolicone rozwiązanie jest dostępne dla wszystkich maszyn w obu planach zarówno dla subskrypcji platformy Azure, jak i łączników wielochmurowych. W przypadku subskrypcji platformy Azure z planem 2 serwerów z włączoną integracją MDE po 20 czerwca 2022 r. ujednolicone rozwiązanie jest domyślnie włączone dla wszystkich maszyn subskrypcji platformy Azure z usługą Defender for Servers Plan 2 z włączoną integracją MDE przed 20 czerwca 2022 r. może teraz włączyć ujednoliconą instalację rozwiązań dla serwerów z systemem Windows 2012R2 i 2016 za pośrednictwem dedykowanego przycisku na stronie Integracje:
Dowiedz się więcej o integracji rozwiązania MDE z usługą Defender for Servers.
Oznaczanie zasad "Aplikacja interfejsu API powinna być dostępna tylko za pośrednictwem protokołu HTTPS"
Zasady API App should only be accessible over HTTPS są przestarzałe. Te zasady są zastępowane zasadami Web Application should only be accessible over HTTPS , których nazwa została zmieniona na App Service apps should only be accessible over HTTPS.
Aby dowiedzieć się więcej na temat definicji zasad dla usługi aplikacja systemu Azure, zobacz Wbudowane definicje usługi Azure Policy dla usługi aplikacja systemu Azure Service.
Nowe alerty usługi Key Vault
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Microsoft Defender dla usługi Key Vault, dodaliśmy dwa nowe alerty.
Te alerty informują o anomalii odmowy dostępu, są wykrywane dla dowolnego magazynu kluczy.
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| Odmowa nietypowego dostępu — odmowa dostępu użytkownika do dużej liczby magazynów kluczy (KV_DeniedAccountVolumeAnomaly) |
Użytkownik lub jednostka usługi próbowała uzyskać dostęp do nietypowo dużej liczby magazynów kluczy w ciągu ostatnich 24 godzin. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Mimo że ta próba zakończyła się niepowodzeniem, może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. Zalecamy dalsze badania. | Odnajdowanie | Niski |
| Odmowa nietypowego dostępu — nietypowy użytkownik, który uzyskuje dostęp do magazynu kluczy (KV_UserAccessDeniedAnomaly) |
Próba uzyskania dostępu do magazynu kluczy została podjęta przez użytkownika, który zwykle nie uzyskuje do niego dostępu. Ten nietypowy wzorzec dostępu może być legalnym działaniem. Mimo że ta próba zakończyła się niepowodzeniem, może to wskazywać na możliwą próbę uzyskania dostępu do magazynu kluczy i zawartych w nim wpisów tajnych. | Dostęp początkowy, odnajdywanie | Niski |
Maj 2022
Aktualizacje w maju obejmują:
- Ustawienia wielochmurowe planu serwerów są teraz dostępne na poziomie łącznika
- Dostęp JIT (just in time) dla maszyn wirtualnych jest teraz dostępny dla wystąpień usługi AWS EC2 (wersja zapoznawcza)
- Dodawanie i usuwanie czujnika usługi Defender dla klastrów usługi AKS przy użyciu interfejsu wiersza polecenia
Ustawienia wielochmurowe planu serwerów są teraz dostępne na poziomie łącznika
Istnieją teraz ustawienia na poziomie łącznika dla usługi Defender dla serwerów w wielu chmurach.
Nowe ustawienia na poziomie łącznika zapewniają stopień szczegółowości cen i automatycznej aprowizacji konfiguracji dla łącznika niezależnie od subskrypcji.
Wszystkie składniki automatycznego aprowizowania dostępne na poziomie łącznika (Azure Arc, MDE i oceny luk w zabezpieczeniach) są domyślnie włączone, a nowa konfiguracja obsługuje warstwy cenowe Plan 1 i Plan 2.
Aktualizacje w interfejsie użytkownika obejmują odbicie wybranej warstwy cenowej i skonfigurowanych wymaganych składników.
Zmiany oceny luk w zabezpieczeniach
Usługa Defender for Containers wyświetla teraz luki w zabezpieczeniach, które mają średnie i niskie ważności, które nie są możliwe do stosowania poprawek.
W ramach tej aktualizacji są teraz wyświetlane luki w zabezpieczeniach o średnich i niskich ważnościach, niezależnie od tego, czy są dostępne poprawki. Ta aktualizacja zapewnia maksymalną widoczność, ale nadal umożliwia filtrowanie niepożądanych luk w zabezpieczeniach przy użyciu podanej reguły Wyłącz.
Dowiedz się więcej o zarządzanie lukami w zabezpieczeniach
Dostęp JIT (just in time) dla maszyn wirtualnych jest teraz dostępny dla wystąpień usługi AWS EC2 (wersja zapoznawcza)
Po połączeniu kont platformy AWS funkcja JIT automatycznie oceni konfigurację sieci grup zabezpieczeń wystąpienia i zaleci, które wystąpienia wymagają ochrony dla ich uwidocznionych portów zarządzania. Jest to podobne do sposobu działania JIT z platformą Azure. Po dołączeniu niechronionych wystąpień usługi EC2 dostęp JIT będzie blokował publiczny dostęp do portów zarządzania i otwierał je tylko z autoryzowanymi żądaniami przez ograniczony czas.
Dowiedz się, jak usługa JIT chroni wystąpienia usługi AWS EC2
Dodawanie i usuwanie czujnika usługi Defender dla klastrów usługi AKS przy użyciu interfejsu wiersza polecenia
Agent usługi Defender jest wymagany dla usługi Defender for Containers w celu zapewnienia ochrony środowiska uruchomieniowego i zbierania sygnałów z węzłów. Teraz możesz użyć interfejsu wiersza polecenia platformy Azure, aby dodać i usunąć agenta usługi Defender dla klastra usługi AKS.
Uwaga
Ta opcja jest dostępna w interfejsie wiersza polecenia platformy Azure w wersji 3.7 lub nowszej.
2022 kwietnia
Aktualizacje w kwietniu obejmują:
- Nowe plany usługi Defender for Servers
- Relokacja niestandardowych zaleceń
- Skrypt programu PowerShell do przesyłania strumieniowego alertów do splunk i QRadar
- Zalecenie dotyczące przestarzałej pamięci podręcznej Azure Cache for Redis
- Nowy wariant alertu dla usługi Microsoft Defender for Storage (wersja zapoznawcza) w celu wykrywania ujawnienia poufnych danych
- Tytuł alertu skanowania kontenera rozszerzony o reputację adresu IP
- Wyświetlanie dzienników aktywności związanych z alertem zabezpieczeń
Nowe plany usługi Defender for Servers
Usługa Microsoft Defender dla serwerów jest teraz oferowana w dwóch planach przyrostowych:
- Defender for Servers (plan 2) — wcześniej Defender for Servers
- Usługa Defender for Servers (plan 1) zapewnia obsługę tylko Ochrona punktu końcowego w usłudze Microsoft Defender
Usługa Defender for Servers (plan 2) nadal zapewnia ochronę przed zagrożeniami i lukami w zabezpieczeniach do obciążeń w chmurze i lokalnych, jednak usługa Defender for Servers (plan 1) zapewnia ochronę punktu końcowego obsługiwaną przez natywnie zintegrowaną usługę Defender for Endpoint. Przeczytaj więcej o planach usługi Defender for Servers.
Jeśli do tej pory używasz usługi Defender for Servers, nie jest wymagana żadna akcja.
Ponadto Defender dla Chmury również rozpoczyna stopniowe wsparcie dla ujednoliconego agenta usługi Defender for Endpoint dla systemu Windows Server 2012 R2 i 2016. Usługa Defender for Servers (plan 1) wdraża nowego ujednoliconego agenta w obciążeniach systemu Windows Server 2012 R2 i 2016.
Relokacja niestandardowych zaleceń
Rekomendacje niestandardowe są tworzone przez użytkowników i nie mają wpływu na wskaźnik bezpieczeństwa. Zalecenia niestandardowe można teraz znaleźć na karcie Wszystkie zalecenia.
Użyj nowego filtru "typ rekomendacji", aby zlokalizować zalecenia niestandardowe.
Dowiedz się więcej w temacie Tworzenie niestandardowych inicjatyw i zasad zabezpieczeń.
Skrypt programu PowerShell do przesyłania strumieniowego alertów do rozwiązania Splunk i IBM QRadar
Zalecamy używanie usługi Event Hubs i wbudowanego łącznika do eksportowania alertów zabezpieczeń do rozwiązania Splunk i IBM QRadar. Teraz możesz użyć skryptu programu PowerShell, aby skonfigurować zasoby platformy Azure potrzebne do wyeksportowania alertów zabezpieczeń dla subskrypcji lub dzierżawy.
Wystarczy pobrać i uruchomić skrypt programu PowerShell. Po podaniu kilku szczegółów środowiska skrypt konfiguruje zasoby. Następnie skrypt generuje dane wyjściowe używane na platformie SIEM do ukończenia integracji.
Aby dowiedzieć się więcej, zobacz Stream alerts to Splunk and QRadar (Alerty usługi Stream do rozwiązania Splunk i QRadar).
Zalecenie dotyczące przestarzałej pamięci podręcznej Azure Cache for Redis
Zalecenie Azure Cache for Redis should reside within a virtual network (wersja zapoznawcza) jest przestarzałe. Zmieniliśmy nasze wskazówki dotyczące zabezpieczania wystąpień usługi Azure Cache for Redis. Zalecamy użycie prywatnego punktu końcowego w celu ograniczenia dostępu do wystąpienia usługi Azure Cache for Redis zamiast sieci wirtualnej.
Nowy wariant alertu dla usługi Microsoft Defender for Storage (wersja zapoznawcza) w celu wykrywania ujawnienia poufnych danych
Alerty usługi Microsoft Defender for Storage powiadamiają Cię, gdy aktorzy zagrożeń próbują skanować i ujawniać, pomyślnie lub nie, nieprawidłowo skonfigurowane, publicznie otwierać kontenery magazynu, aby spróbować eksfiltrować poufne informacje.
Aby umożliwić szybsze klasyfikowanie i czas odpowiedzi, po wystąpieniu potencjalnie poufnych danych mogliśmy opublikować nową odmianę istniejącego Publicly accessible storage containers have been exposed alertu.
Nowy alert , Publicly accessible storage containers with potentially sensitive data have been exposedjest wyzwalany z High poziomem ważności, po pomyślnym odnalezieniu publicznie otwartych kontenerów magazynu o nazwach, które statystycznie zostały ujawnione publicznie, co sugeruje, że mogą przechowywać poufne informacje.
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| WERSJA ZAPOZNAWCZA — ujawniono publicznie dostępne kontenery magazynu z potencjalnie poufnymi danymi (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Ktoś przeskanował konto usługi Azure Storage i uwidocznił kontenery, które zezwalają na dostęp publiczny. Co najmniej jeden z uwidocznionych kontenerów ma nazwy wskazujące, że mogą zawierać poufne dane. Zwykle oznacza to rekonesans przez aktora zagrożeń, który skanuje pod kątem nieprawidłowo skonfigurowanych publicznie dostępnych kontenerów magazynu, które mogą zawierać poufne dane. Po pomyślnym odnalezieniu kontenera przez aktora zagrożeń mogą one kontynuować, eksfiltrując dane. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Kolekcja | Wys. |
Tytuł alertu skanowania kontenera rozszerzony o reputację adresu IP
Reputacja adresu IP może wskazywać, czy działanie skanowania pochodzi od znanego aktora zagrożenia, czy też od aktora, który używa sieci Tor do ukrycia swojej tożsamości. Oba te wskaźniki sugerują, że istnieje złośliwa intencja. Reputacja adresu IP jest dostarczana przez usługę Microsoft Threat Intelligence.
Dodanie reputacji adresu IP do tytułu alertu umożliwia szybką ocenę intencji aktora, a tym samym ważność zagrożenia.
Następujące alerty będą zawierać następujące informacje:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Na przykład dodane informacje do tytułu alertu Publicly accessible storage containers have been exposed będą wyglądać następująco:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Wszystkie alerty usługi Microsoft Defender for Storage będą nadal zawierać informacje analizy zagrożeń w jednostce IP w sekcji Powiązane jednostki alertu.
Wyświetlanie dzienników aktywności związanych z alertem zabezpieczeń
W ramach akcji, które można wykonać, aby ocenić alert zabezpieczeń, możesz znaleźć powiązane dzienniki platformy w obszarze Inspekcja kontekstu zasobu, aby uzyskać kontekst dotyczący zasobu, którego dotyczy problem. Microsoft Defender dla Chmury identyfikuje dzienniki platformy, które znajdują się w ciągu jednego dnia alertu.
Dzienniki platformy mogą pomóc ocenić zagrożenie bezpieczeństwa i zidentyfikować kroki, które można wykonać, aby ograniczyć zidentyfikowane ryzyko.
Marzec 2022 r.
Aktualizacje w marcu obejmują:
- Globalna dostępność wskaźnika bezpieczeństwa dla środowisk AWS i GCP
- Przestarzałe zalecenia dotyczące instalowania agenta zbierania danych ruchu sieciowego
- Usługa Defender for Containers może teraz skanować pod kątem luk w zabezpieczeniach obrazów systemu Windows (wersja zapoznawcza)
- Nowy alert dla usługi Microsoft Defender for Storage (wersja zapoznawcza)
- Konfigurowanie ustawień powiadomień e-mail z alertu
- Przestarzały alert w wersji zapoznawczej: ARM. MCAS_ActivityFromAnonymousIPAddresses
- Przeniesiono rekomendację Luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera powinny zostać skorygowane z wskaźnika bezpieczeństwa do najlepszych rozwiązań
- Przestarzałe zalecenie dotyczące używania jednostek usługi do ochrony subskrypcji
- Starsza implementacja iso 27001 została zastąpiona nową inicjatywą ISO 27001:2013
- Przestarzałe zalecenia dotyczące urządzeń w usłudze Microsoft Defender dla IoT
- Przestarzałe alerty dotyczące urządzeń usługi Microsoft Defender dla IoT
- Zarządzanie stanem i ochrona przed zagrożeniami dla platform AWS i GCP wydane w celu zapewnienia ogólnej dostępności
- Skanowanie rejestru pod kątem obrazów systemu Windows w usłudze ACR dodano obsługę chmur krajowych
Globalna dostępność wskaźnika bezpieczeństwa dla środowisk AWS i GCP
Funkcje zarządzania stanem zabezpieczeń w chmurze zapewniane przez Microsoft Defender dla Chmury dodano obsługę środowisk AWS i GCP w ramach wskaźnika bezpieczeństwa.
Przedsiębiorstwa mogą teraz wyświetlać ogólny stan zabezpieczeń w różnych środowiskach, takich jak Azure, AWS i GCP.
Strona Wskaźnik bezpieczeństwa jest zastępowana pulpitem nawigacyjnym Stan zabezpieczeń. Pulpit nawigacyjny Stan zabezpieczeń umożliwia wyświetlenie ogólnego połączonego wyniku dla wszystkich środowisk lub podział stanu zabezpieczeń w oparciu o dowolną kombinację wybranego środowiska.
Strona Zalecenia została również przeprojektowana w celu zapewnienia nowych możliwości, takich jak wybór środowiska w chmurze, zaawansowane filtry oparte na zawartości (grupa zasobów, konto PLATFORMy AWS, projekt GCP i inne), ulepszony interfejs użytkownika w niskiej rozdzielczości, obsługa otwierania zapytania w grafie zasobów i nie tylko. Więcej informacji na temat ogólnego poziomu zabezpieczeń i zaleceń dotyczących zabezpieczeń można dowiedzieć się więcej.
Przestarzałe zalecenia dotyczące instalowania agenta zbierania danych ruchu sieciowego
Zmiany w harmonogramie działania i priorytetach usunęły potrzebę agenta zbierania danych ruchu sieciowego. Następujące dwa zalecenia i powiązane z nimi zasady zostały wycofane.
| Zalecenie | opis | Waga błędu |
|---|---|---|
| Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Defender dla Chmury używa agenta Zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, zalecenia dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | Śred. |
| Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Defender dla Chmury używa agenta Microsoft Dependency Agent do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, zalecenia dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | Śred. |
Usługa Defender for Containers może teraz skanować pod kątem luk w zabezpieczeniach obrazów systemu Windows (wersja zapoznawcza)
Skanowanie obrazów usługi Defender for Container obsługuje teraz obrazy systemu Windows hostowane w usłudze Azure Container Registry. Ta funkcja jest bezpłatna w wersji zapoznawczej i wiąże się z kosztami, gdy stanie się ogólnie dostępna.
Dowiedz się więcej w artykule Używanie usługi Microsoft Defender dla kontenera do skanowania obrazów pod kątem luk w zabezpieczeniach.
Nowy alert dla usługi Microsoft Defender for Storage (wersja zapoznawcza)
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Microsoft Defender for Storage, dodaliśmy nowy alert w wersji zapoznawczej.
Aktorzy zagrożeń używają aplikacji i narzędzi do odnajdywania kont magazynu i uzyskiwania do nich dostępu. Usługa Microsoft Defender for Storage wykrywa te aplikacje i narzędzia, dzięki czemu można je zablokować i skorygować stan.
Ten alert w wersji zapoznawczej nosi nazwę Access from a suspicious application. Alert dotyczy tylko usługi Azure Blob Storage i USŁUGI ADLS Gen2.
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| WERSJA ZAPOZNAWCZA — dostęp z podejrzanej aplikacji (Storage.Blob_SuspiciousApp) |
Wskazuje, że podejrzana aplikacja pomyślnie uzyskała dostęp do kontenera konta magazynu z uwierzytelnianiem. Może to oznaczać, że osoba atakująca uzyskała poświadczenia niezbędne do uzyskania dostępu do konta i wykorzystuje je. Może to być również wskazanie testu penetracyjnego przeprowadzonego w organizacji. Dotyczy: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Dostęp początkowy | Śred. |
Konfigurowanie ustawień powiadomień e-mail z alertu
Do interfejsu użytkownika alertu dodano nową sekcję, która umożliwia wyświetlanie i edytowanie osób, które będą otrzymywać powiadomienia e-mail o alertach wyzwalanych w bieżącej subskrypcji.
Dowiedz się, jak skonfigurować powiadomienia e-mail dotyczące alertów zabezpieczeń.
Przestarzały alert w wersji zapoznawczej: ARM. MCAS_ActivityFromAnonymousIPAddresses
Następujący alert w wersji zapoznawczej jest przestarzały:
| Nazwa alertu | opis |
|---|---|
| WERSJA ZAPOZNAWCZA — działanie z ryzykownego adresu IP (ARM. MCAS_ActivityFromAnonymousIPAddresses) |
Wykryto aktywność użytkowników z adresu IP, który został zidentyfikowany jako anonimowy adres IP serwera proxy. Te serwery proxy są używane przez osoby, które chcą ukryć adres IP urządzenia i mogą być używane do złośliwych intencji. To wykrywanie używa algorytmu uczenia maszynowego, który zmniejsza liczbę wyników fałszywie dodatnich, takich jak nieprawidłowo oznakowane adresy IP, które są powszechnie używane przez użytkowników w organizacji. Wymaga aktywnej licencji Microsoft Defender dla Chmury Apps. |
Utworzono nowy alert zawierający te informacje i dodany do niego. Ponadto nowsze alerty (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) nie wymagają licencji dla usługi Microsoft Defender dla Chmury Apps (wcześniej znanej jako Microsoft Cloud App Security).
Zobacz więcej alertów dla usługi Resource Manager.
Przeniesiono rekomendację Luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenera powinny zostać skorygowane z wskaźnika bezpieczeństwa do najlepszych rozwiązań
Zalecenie Vulnerabilities in container security configurations should be remediated zostało przeniesione z sekcji wskaźnik bezpieczeństwa do sekcji najlepszych rozwiązań.
Bieżące środowisko użytkownika zapewnia wynik tylko wtedy, gdy wszystkie testy zgodności zostały pomyślnie. Większość klientów ma trudności ze spełnieniem wszystkich wymaganych kontroli. Pracujemy nad ulepszonym środowiskiem dla tego zalecenia, a po wydaniu zalecenia zostaną przeniesione z powrotem do wskaźnika bezpieczeństwa.
Przestarzałe zalecenie dotyczące używania jednostek usługi do ochrony subskrypcji
Ponieważ organizacje odchodzą od używania certyfikatów zarządzania do zarządzania subskrypcjami, a nasze ostatnie ogłoszenie, że przechodzimy na emeryturę modelu wdrażania usług Cloud Services (wersja klasyczna), wycofaliśmy następujące rekomendacje Defender dla Chmury i powiązane z nią zasady:
| Zalecenie | opis | Waga błędu |
|---|---|---|
| Jednostki usługi powinny służyć do ochrony subskrypcji zamiast certyfikatów zarządzania | Certyfikaty zarządzania umożliwiają wszystkim osobom uwierzytelniającym się w celu zarządzania subskrypcjami, z którymi są skojarzone. Aby bezpieczniej zarządzać subskrypcjami, zaleca się użycie jednostek usługi z usługą Resource Manager w celu ograniczenia promienia wybuchu w przypadku naruszenia zabezpieczeń certyfikatu. Automatyzuje również zarządzanie zasobami. (Powiązane zasady: Jednostki usługi powinny być używane do ochrony subskrypcji zamiast certyfikatów zarządzania) |
Śred. |
Więcej informacji:
- Model wdrażania usług Cloud Services (klasyczny) zostanie wycofany 31 sierpnia 2024 r.
- Omówienie usług Azure Cloud Services (wersja klasyczna)
- Przepływ pracy klasycznej architektury maszyny wirtualnej platformy Microsoft Azure — w tym podstawy przepływu pracy rdFE
Starsza implementacja iso 27001 została zastąpiona nową inicjatywą ISO 27001:2013
Starsza implementacja standardu ISO 27001 została usunięta z pulpitu nawigacyjnego zgodności z przepisami Defender dla Chmury. Jeśli śledzisz zgodność iso 27001 z Defender dla Chmury, dołącz nowy standard ISO 27001:2013 dla wszystkich odpowiednich grup zarządzania lub subskrypcji.
Przestarzałe zalecenia dotyczące urządzeń w usłudze Microsoft Defender dla IoT
Zalecenia dotyczące urządzeń w usłudze Microsoft Defender dla IoT nie są już widoczne w Microsoft Defender dla Chmury. Te zalecenia są nadal dostępne na stronie Rekomendacje usługi Microsoft Defender for IoT.
Następujące zalecenia są przestarzałe:
| Klucz oceny | Zalecenia |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Urządzenia IoT | Otwieranie portów na urządzeniu |
| ba975338-f956-41e7-a9f2-7614832d382d: Urządzenia IoT | Znaleziono regułę zapory permissive w łańcuchu danych wejściowych |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: Urządzenia IoT | Znaleziono zasady zapory permissive w jednym z łańcuchów |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Urządzenia IoT | Znaleziono regułę zapory permissive w łańcuchu danych wyjściowych |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: Urządzenia IoT | Niepowodzenie weryfikacji punktu odniesienia systemu operacyjnego |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Urządzenia IoT | Agent wysyłający nie w pełni wykorzystywane komunikaty |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: Urządzenia IoT | Wymagane jest uaktualnienie pakietu szyfrowania TLS |
| d74d2738-2485-4103-9919-69c7e63776ec: Urządzenia IoT | Auditd proces przestał wysyłać zdarzenia |
Przestarzałe alerty dotyczące urządzeń usługi Microsoft Defender dla IoT
Wszystkie alerty urządzeń usługi Defender for IoT firmy Microsoft nie są już widoczne w Microsoft Defender dla Chmury. Te alerty są nadal dostępne na stronie Alert usługi Microsoft Defender for IoT i w usłudze Microsoft Sentinel.
Zarządzanie stanem i ochrona przed zagrożeniami dla platform AWS i GCP wydane w celu zapewnienia ogólnej dostępności
Defender dla Chmury funkcje CSPM rozszerzają się na zasoby platform AWS i GCP. Ten plan bez agenta ocenia zasoby wielochmurowe zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla chmury, które są uwzględnione w wskaźniku bezpieczeństwa. Zasoby są oceniane pod kątem zgodności przy użyciu wbudowanych standardów. strona spisu zasobów Defender dla Chmury to funkcja z obsługą wielu chmur, która umożliwia zarządzanie zasobami platformy AWS obok zasobów platformy Azure.
Usługa Microsoft Defender for Servers zapewnia wykrywanie zagrożeń i zaawansowane zabezpieczenia wystąpień obliczeniowych na platformach AWS i GCP. Plan usługi Defender for Servers obejmuje zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender, skanowanie w celu oceny luk w zabezpieczeniach i nie tylko. Dowiedz się więcej o wszystkich obsługiwanych funkcjach dla maszyn wirtualnych i serwerów. Funkcje automatycznego dołączania umożliwiają łatwe łączenie wszystkich istniejących lub nowych wystąpień obliczeniowych odnalezionych w danym środowisku.
Dowiedz się, jak chronić środowisko platformy AWS i organizację GCP i łączyć je za pomocą Microsoft Defender dla Chmury.
Skanowanie rejestru pod kątem obrazów systemu Windows w usłudze ACR dodano obsługę chmur krajowych
Skanowanie rejestru pod kątem obrazów systemu Windows jest teraz obsługiwane w usługach Azure Government i Microsoft Azure obsługiwanych przez firmę 21Vianet. Ten dodatek jest obecnie w wersji zapoznawczej.
Dowiedz się więcej o dostępności naszej funkcji.
Luty 2022 r.
Aktualizacje w lutym obejmują:
- Ochrona obciążenia kubernetes dla klastrów Kubernetes z obsługą usługi Arc
- Natywny CSPM dla GCP i ochrony przed zagrożeniami dla wystąpień obliczeniowych GCP
- Plan usługi Microsoft Defender dla usługi Azure Cosmos DB wydany w wersji zapoznawczej
- Ochrona przed zagrożeniami dla klastrów google Kubernetes Engine (GKE)
Ochrona obciążenia kubernetes dla klastrów Kubernetes z obsługą usługi Arc
Usługa Defender for Containers wcześniej chroniła tylko obciążenia Kubernetes uruchomione w usłudze Azure Kubernetes Service. Teraz rozszerzyliśmy pokrycie ochronne, aby uwzględnić klastry Kubernetes z włączoną usługą Azure Arc.
Dowiedz się, jak skonfigurować ochronę obciążenia platformy Kubernetes dla klastrów Kubernetes z obsługą usług AKS i Azure Arc.
Natywny CSPM dla GCP i ochrony przed zagrożeniami dla wystąpień obliczeniowych GCP
Nowe automatyczne dołączanie środowisk GCP umożliwia ochronę obciążeń GCP przy użyciu Microsoft Defender dla Chmury. Defender dla Chmury chroni zasoby przy użyciu następujących planów:
Defender dla Chmury funkcje CSPM rozszerzają się na zasoby GCP. Ten plan bez agenta ocenia zasoby GCP zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla platformy GCP, które są dostarczane z Defender dla Chmury. Zalecenia GCP są uwzględniane w wskaźniku bezpieczeństwa, a zasoby zostaną ocenione pod kątem zgodności z wbudowanym standardem GCP CIS. strona spisu zasobów Defender dla Chmury to funkcja z obsługą wielu chmur, która ułatwia zarządzanie zasobami na platformie Azure, AWS i GCP.
Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowane zabezpieczenia wystąpień obliczeniowych GCP. Ten plan obejmuje zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender, skanowanie w celu oceny luk w zabezpieczeniach i nie tylko.
Aby uzyskać pełną listę dostępnych funkcji, zobacz Obsługiwane funkcje dla maszyn wirtualnych i serwerów. Automatyczne możliwości dołączania umożliwiają łatwe łączenie wszystkich istniejących i nowych wystąpień obliczeniowych odnalezionych w danym środowisku.
Dowiedz się, jak chronić i łączyć projekty GCP za pomocą Microsoft Defender dla Chmury.
Plan usługi Microsoft Defender dla usługi Azure Cosmos DB wydany w wersji zapoznawczej
Rozszerzyliśmy pokrycie bazy danych Microsoft Defender dla Chmury. Teraz możesz włączyć ochronę baz danych usługi Azure Cosmos DB.
Usługa Microsoft Defender dla usługi Azure Cosmos DB to natywna dla platformy Azure warstwa zabezpieczeń, która wykrywa wszelkie próby wykorzystania baz danych na kontach usługi Azure Cosmos DB. Usługa Microsoft Defender dla usługi Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złośliwe podmioty oparte na usłudze Microsoft Threat Intelligence, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości, których bezpieczeństwo jest naruszone, lub złośliwych testerów.
Stale analizuje strumień danych klienta generowany przez usługi Azure Cosmos DB.
Po wykryciu potencjalnie złośliwych działań są generowane alerty zabezpieczeń. Te alerty są wyświetlane w Microsoft Defender dla Chmury wraz ze szczegółami podejrzanych działań wraz z odpowiednimi krokami badania, akcjami korygowania i zaleceniami dotyczącymi zabezpieczeń.
Podczas włączania usługi nie ma wpływu na wydajność bazy danych, ponieważ usługa Defender dla usługi Azure Cosmos DB nie uzyskuje dostępu do danych konta usługi Azure Cosmos DB.
Dowiedz się więcej na stronie Omówienie usługi Microsoft Defender dla usługi Azure Cosmos DB.
Wprowadzamy również nowe środowisko włączania dla zabezpieczeń bazy danych. Teraz możesz włączyć ochronę Microsoft Defender dla Chmury w ramach subskrypcji, aby chronić wszystkie typy baz danych, takie jak Azure Cosmos DB, Azure SQL Database, serwery Azure SQL na maszynach i usługa Microsoft Defender dla relacyjnych baz danych typu open source za pomocą jednego procesu włączania. Określone typy zasobów można uwzględnić lub wykluczyć, konfigurując plan.
Dowiedz się, jak włączyć zabezpieczenia bazy danych na poziomie subskrypcji.
Ochrona przed zagrożeniami dla klastrów google Kubernetes Engine (GKE)
Po niedawnym ogłoszeniu Native CSPM dla GCP i ochrony przed zagrożeniami dla wystąpień obliczeniowych GCP usługa Microsoft Defender for Containers rozszerzyła swoją ochronę przed zagrożeniami Kubernetes, analizę behawioralną i wbudowane zasady kontroli dostępu do klastrów Kubernetes Engine (GKE) firmy Google. Możesz łatwo dołączyć istniejące lub nowe klastry GKE Standard do środowiska za pomocą naszych funkcji automatycznego dołączania. Zapoznaj się z zabezpieczeniami kontenerów z Microsoft Defender dla Chmury, aby uzyskać pełną listę dostępnych funkcji.
Styczeń 2022
Aktualizacje w styczniu obejmują:
- Usługa Microsoft Defender dla usługi Resource Manager została zaktualizowana o nowe alerty i większy nacisk na operacje wysokiego ryzyka mapowane na macierz MITRE ATT&CK®
- Zalecenia dotyczące włączania planów w usłudze Microsoft Defender w obszarach roboczych (w wersji zapoznawczej)
- Automatyczne aprowizacja agenta usługi Log Analytics na maszynach z włączoną usługą Azure Arc (wersja zapoznawcza)
- Przestarzałe zalecenie dotyczące klasyfikowania poufnych danych w bazach danych SQL
- Rozszerzono komunikację z podejrzanym alertem domeny, aby uwzględnić znane domeny związane z programem Log4Shell
- Przycisk "Kopiuj kod JSON alertu" dodany do okienka szczegółów alertu zabezpieczeń
- Zmieniono nazwę dwóch zaleceń
- Przestarzałe kontenery klastra Kubernetes powinny nasłuchiwać tylko w zasadach dozwolonych portów
- Dodano skoroszyt "Aktywne alerty"
- Zalecenie "Aktualizacja systemu" dodane do chmury dla instytucji rządowych
Usługa Microsoft Defender dla usługi Resource Manager została zaktualizowana o nowe alerty i większy nacisk na operacje wysokiego ryzyka mapowane na macierz MITRE ATT&CK®
Warstwa zarządzania chmurą to kluczowa usługa połączona ze wszystkimi zasobami w chmurze. Z tego powodu jest to również potencjalny cel dla atakujących. Zalecamy zespołom ds. operacji zabezpieczeń ścisłe monitorowanie warstwy zarządzania zasobami.
Usługa Microsoft Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji, niezależnie od tego, czy są wykonywane za pośrednictwem witryny Azure Portal, interfejsów API REST platformy Azure, interfejsu wiersza polecenia platformy Azure lub innych klientów programistycznych platformy Azure. Defender dla Chmury uruchamia zaawansowaną analizę zabezpieczeń w celu wykrywania zagrożeń i alertów dotyczących podejrzanych działań.
Ochrona planu znacznie zwiększa odporność organizacji na ataki ze strony podmiotów zagrożeń i znacznie zwiększa liczbę zasobów platformy Azure chronionych przez Defender dla Chmury.
W grudniu 2020 r. wprowadziliśmy wersję zapoznawcza usługi Defender for Resource Manager, a w maju 2021 r. plan został wydany pod kątem ogólnej dostępności.
Dzięki tej aktualizacji kompleksowo zmieniliśmy fokus planu usługi Microsoft Defender dla usługi Resource Manager. Zaktualizowany plan zawiera wiele nowych alertów skoncentrowanych na identyfikowaniu podejrzanych wywołań operacji wysokiego ryzyka. Te nowe alerty zapewniają rozbudowane monitorowanie ataków w całej macierzy MITRE ATT&CK® na potrzeby technik opartych na chmurze.
Ta macierz obejmuje następujący zakres potencjalnych intencji podmiotów zagrożeń, które mogą być przeznaczone dla zasobów organizacji: dostęp początkowy, wykonywanie, trwałość, eskalacja uprawnień, uchylanie się od obrony, dostęp do poświadczeń, odnajdywanie, ruch poprzeczny, kolekcja, eksfiltracja i wpływ.
Nowe alerty dla tego planu usługi Defender obejmują te intencje, jak pokazano w poniższej tabeli.
Napiwek
Te alerty są również wyświetlane na stronie referencyjnej alertów.
| Alert (typ alertu) | opis | Taktyka MITRE (intencje) | Ważność |
|---|---|---|---|
| Wykryto podejrzane wywołanie operacji "Dostęp początkowy" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.InitialAccess) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uzyskania dostępu do ograniczonych zasobów. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać początkowy dostęp do ograniczonych zasobów w danym środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Dostęp początkowy | Śred. |
| Wykryto podejrzane wywołanie operacji "Wykonanie" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.Execution) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka na maszynie w subskrypcji, co może wskazywać na próbę wykonania kodu. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Wykonanie | Śred. |
| Wykryto podejrzane wywołanie operacji "Trwałość" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.Persistence) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę ustanowienia trwałości. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie operacje do ustanowienia trwałości w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Trwałość | Śred. |
| Wykryto podejrzane wywołanie operacji wysokiego ryzyka "Eskalacja uprawnień" (wersja zapoznawcza) (ARM_AnomalousOperation.PrivilegeEscalation) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę eskalacji uprawnień. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożenia może wykorzystać takie operacje do eskalacji uprawnień podczas naruszania zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Eskalacja uprawnień | Śred. |
| Wykryto podejrzane wywołanie operacji "Uchylanie się od obrony" (wersja zapoznawcza) (ARM_AnomalousOperation.DefenseEvasion) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę uniknięcia obrony. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie stanem zabezpieczeń swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uniknąć wykrycia podczas kompromitowania zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Uchylanie się od obrony | Śred. |
| Wykryto podejrzane wywołanie operacji "Dostęp poświadczeń" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.CredentialAccess) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę uzyskania dostępu do poświadczeń. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne uzyskiwanie dostępu do swoich środowisk. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Dostęp poświadczeń | Śred. |
| Wykryto podejrzane wywołanie operacji "Ruch poprzeczny" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.LateralMovement) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę wykonania przenoszenia bocznego. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby naruszyć dodatkowe zasoby w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Ruch poprzeczny | Śred. |
| Wykryto podejrzane wywołanie operacji "Zbieranie danych" wysokiego ryzyka (wersja zapoznawcza) (ARM_AnomalousOperation.Collection) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w ramach subskrypcji, co może wskazywać na próbę zebrania danych. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje do zbierania poufnych danych dotyczących zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Kolekcja | Śred. |
| Wykryto podejrzane wywołanie operacji "Impact" o wysokim ryzyku (wersja zapoznawcza) (ARM_AnomalousOperation.Impact) |
Usługa Microsoft Defender dla usługi Resource Manager zidentyfikowała podejrzane wywołanie operacji wysokiego ryzyka w subskrypcji, co może wskazywać na próbę zmiany konfiguracji. Zidentyfikowane operacje zostały zaprojektowane tak, aby umożliwić administratorom efektywne zarządzanie swoimi środowiskami. Chociaż to działanie może być uzasadnione, aktor zagrożeń może wykorzystać takie operacje, aby uzyskać dostęp do ograniczonych poświadczeń i naruszyć bezpieczeństwo zasobów w środowisku. Może to oznaczać, że konto zostało naruszone i jest używane ze złośliwym zamiarem. | Wpływ | Śred. |
Ponadto te dwa alerty z tego planu wyszły z wersji zapoznawczej:
| Alert (typ alertu) | opis | Taktyka MITRE (intencje) | Ważność |
|---|---|---|---|
| Operacja usługi Azure Resource Manager z podejrzanego adresu IP (ARM_OperationFromSuspiciousIP) |
Usługa Microsoft Defender dla usługi Resource Manager wykryła operację z adresu IP, który został oznaczony jako podejrzany w źródłach analizy zagrożeń. | Wykonanie | Śred. |
| Operacja usługi Azure Resource Manager z podejrzanego adresu IP serwera proxy (ARM_OperationFromSuspiciousProxyIP) |
Usługa Microsoft Defender dla usługi Resource Manager wykryła operację zarządzania zasobami z adresu IP skojarzonego z usługami proxy, takimi jak TOR. Chociaż to zachowanie może być uzasadnione, często występuje w złośliwych działaniach, gdy aktorzy zagrożeń próbują ukryć źródłowy adres IP. | Uchylanie się od obrony | Śred. |
Zalecenia dotyczące włączania planów usługi Microsoft Defender w obszarach roboczych (w wersji zapoznawczej)
Aby korzystać ze wszystkich funkcji zabezpieczeń dostępnych w usłudze Microsoft Defender dla serwerów i usługi Microsoft Defender for SQL na maszynach, plany muszą być włączone zarówno na poziomach subskrypcji, jak i obszaru roboczego.
Jeśli maszyna znajduje się w subskrypcji z włączonym jednym z tych planów, zostanie naliczona opłata za pełne zabezpieczenia. Jeśli jednak ten komputer raportuje do obszaru roboczego bez włączonego planu, nie otrzymasz tych korzyści.
Dodaliśmy dwie rekomendacje, które podkreślają obszary robocze bez włączenia tych planów, które jednak mają maszyny raportujące je z subskrypcji, które mają włączony plan.
Dwa zalecenia, które oferują automatyczne korygowanie (akcja "Poprawka") to:
| Zalecenie | opis | Waga błędu |
|---|---|---|
| Usługa Microsoft Defender dla serwerów powinna być włączona w obszarach roboczych | Usługa Microsoft Defender for Servers zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn z systemem Windows i Linux. Dzięki włączeniu tego planu usługi Defender w ramach subskrypcji, ale nie w obszarach roboczych, płacisz za pełną funkcję usługi Microsoft Defender dla serwerów, ale brakuje niektórych korzyści. Po włączeniu usługi Microsoft Defender dla serwerów w obszarze roboczym wszystkie maszyny raportujące do tego obszaru roboczego będą naliczane opłaty za usługę Microsoft Defender dla serwerów — nawet jeśli znajdują się w subskrypcjach bez włączenia planów usługi Defender. Jeśli nie włączysz również usługi Microsoft Defender dla serwerów w subskrypcji, te maszyny nie będą mogły korzystać z dostępu just in time do maszyn wirtualnych, adaptacyjnego sterowania aplikacjami i wykrywania sieci dla zasobów platformy Azure. Dowiedz się więcej w temacie Omówienie usługi Microsoft Defender dla serwerów. (Brak powiązanych zasad) |
Śred. |
| Usługa Microsoft Defender for SQL na maszynach powinna być włączona w obszarach roboczych | Usługa Microsoft Defender for Servers zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn z systemem Windows i Linux. Dzięki włączeniu tego planu usługi Defender w ramach subskrypcji, ale nie w obszarach roboczych, płacisz za pełną funkcję usługi Microsoft Defender dla serwerów, ale brakuje niektórych korzyści. Po włączeniu usługi Microsoft Defender dla serwerów w obszarze roboczym wszystkie maszyny raportujące do tego obszaru roboczego będą naliczane opłaty za usługę Microsoft Defender dla serwerów — nawet jeśli znajdują się w subskrypcjach bez włączenia planów usługi Defender. Jeśli nie włączysz również usługi Microsoft Defender dla serwerów w subskrypcji, te maszyny nie będą mogły korzystać z dostępu just in time do maszyn wirtualnych, adaptacyjnego sterowania aplikacjami i wykrywania sieci dla zasobów platformy Azure. Dowiedz się więcej w temacie Omówienie usługi Microsoft Defender dla serwerów. (Brak powiązanych zasad) |
Śred. |
Automatyczne aprowizacja agenta usługi Log Analytics na maszynach z włączoną usługą Azure Arc (wersja zapoznawcza)
Defender dla Chmury używa agenta usługi Log Analytics do zbierania danych związanych z zabezpieczeniami z maszyn. Agent odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami oraz kopiuje dane do obszaru roboczego na potrzeby analizy.
Ustawienia automatycznego aprowizowania Defender dla Chmury mają przełącznik dla każdego typu obsługiwanego rozszerzenia, w tym agenta usługi Log Analytics.
W dalszej ekspansji funkcji chmury hybrydowej dodaliśmy opcję automatycznego aprowizacji agenta usługi Log Analytics do maszyn połączonych z usługą Azure Arc.
Podobnie jak w przypadku innych opcji automatycznego aprowizowania, jest to konfigurowane na poziomie subskrypcji.
Po włączeniu tej opcji zostanie wyświetlony monit o podanie obszaru roboczego.
Uwaga
W tej wersji zapoznawczej nie można wybrać domyślnych obszarów roboczych utworzonych przez Defender dla Chmury. Aby upewnić się, że masz pełny zestaw funkcji zabezpieczeń dostępnych dla serwerów z obsługą usługi Azure Arc, sprawdź, czy masz zainstalowane odpowiednie rozwiązanie zabezpieczeń w wybranym obszarze roboczym.
Przestarzałe zalecenie dotyczące klasyfikowania poufnych danych w bazach danych SQL
Usunęliśmy zalecenie Poufne dane w Twoich bazach danych SQL, które należy sklasyfikować w ramach przeglądu sposobu, w jaki Defender dla Chmury identyfikuje i chroni poufne dane w zasobach w chmurze.
Wcześniejsze powiadomienie o tej zmianie pojawiło się przez ostatnie sześć miesięcy na stronie Ważne nadchodzące zmiany na stronie Microsoft Defender dla Chmury.
Rozszerzono komunikację z podejrzanym alertem domeny, aby uwzględnić znane domeny związane z programem Log4Shell
Poniższy alert był wcześniej dostępny tylko dla organizacji, które włączyły plan usługi Microsoft Defender for DNS .
Po tej aktualizacji alert będzie również wyświetlany dla subskrypcji z włączonym planem usługi Microsoft Defender dla serwerów lub usługi Defender for App Service .
Ponadto usługa Microsoft Threat Intelligence rozszerzyła listę znanych złośliwych domen w celu uwzględnienia domen skojarzonych z wykorzystaniem szeroko nagłośnionych luk w zabezpieczeniach skojarzonych z usługą Log4j.
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| Komunikacja z podejrzaną domeną zidentyfikowaną przez analizę zagrożeń (AzureDNS_ThreatIntelSuspectDomain) |
Komunikacja z podejrzaną domeną została wykryta przez przeanalizowanie transakcji DNS z zasobu i porównanie ze znanymi złośliwymi domenami zidentyfikowanymi przez źródła danych analizy zagrożeń. Komunikacja ze złośliwymi domenami jest często wykonywana przez osoby atakujące i może oznaczać, że zasób został naruszony. | Wstępny dostęp/trwałość/wykonywanie/sterowanie i kontrola/wykorzystywanie | Śred. |
Przycisk "Kopiuj kod JSON alertu" dodany do okienka szczegółów alertu zabezpieczeń
Aby ułatwić naszym użytkownikom szybkie udostępnianie szczegółów alertu innym (na przykład analitykom SOC, właścicielom zasobów i deweloperom), dodaliśmy możliwość łatwego wyodrębnienia wszystkich szczegółów określonego alertu za pomocą jednego przycisku w okienku szczegółów alertu zabezpieczeń.
Nowy przycisk Kopiuj alert JSON umieszcza szczegóły alertu w formacie JSON w schowku użytkownika.
Zmieniono nazwę dwóch zaleceń
Aby zapewnić spójność z innymi nazwami rekomendacji, zmieniliśmy nazwę następujących dwóch zaleceń:
Zalecenie dotyczące rozwiązywania luk w zabezpieczeniach wykrytych w uruchomionych obrazach kontenerów
- Poprzednia nazwa: Luki w zabezpieczeniach w uruchomionych obrazach kontenerów powinny zostać skorygowane (obsługiwane przez firmę Qualys)
- Nowa nazwa: Uruchamianie obrazów kontenerów powinno mieć rozwiązane problemy z lukami w zabezpieczeniach
Zalecenie dotyczące włączania dzienników diagnostycznych dla usługi aplikacja systemu Azure
- Poprzednia nazwa: dzienniki diagnostyczne powinny być włączone w usłudze App Service
- Nowa nazwa: Dzienniki diagnostyczne w usłudze App Service powinny być włączone
Przestarzałe kontenery klastra Kubernetes powinny nasłuchiwać tylko w zasadach dozwolonych portów
Wycofaliśmy kontenery klastra Kubernetes, które powinny nasłuchiwać tylko w zaleceniach dotyczących dozwolonych portów .
| Nazwa zasady | opis | Efekty | Wersja |
|---|---|---|---|
| Kontenery klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz kontenery do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla aparatu AKS i platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Policy dla klastrów Kubernetes. | inspekcja, odmowa, wyłączone | 6.1.2 |
Usługi powinny nasłuchiwać tylko dozwolonych portów , aby ograniczyć porty, które aplikacja uwidacznia w Internecie.
Dodano skoroszyt "Aktywny alert"
Aby pomóc naszym użytkownikom w zrozumieniu aktywnych zagrożeń w ich środowiskach i nadaj priorytetowi między aktywnymi alertami podczas procesu korygowania, dodaliśmy skoroszyt Aktywne alerty.
Aktywny skoroszyt alertów umożliwia użytkownikom wyświetlanie ujednoliconego pulpitu nawigacyjnego zagregowanych alertów według ważności, typu, tagu, taktyki MITRE ATT&CK i lokalizacji. Dowiedz się więcej w temacie Używanie skoroszytu "Aktywne alerty".
Zalecenie "Aktualizacja systemu" dodane do chmury dla instytucji rządowych
Zalecenie "Aktualizacje systemu należy zainstalować na maszynach" jest teraz dostępne we wszystkich chmurach dla instytucji rządowych.
Prawdopodobnie ta zmiana wpłynie na wskaźnik bezpieczeństwa subskrypcji chmury dla instytucji rządowych. Oczekujemy, że zmiana doprowadzi do zmniejszenia wyniku, ale jest możliwe, że włączenie rekomendacji może spowodować zwiększenie wyniku w niektórych przypadkach.
Grudzień 2021
Aktualizacje w grudniu obejmują:
- Plan usługi Microsoft Defender for Containers wydany pod kątem ogólnej dostępności
- Nowe alerty dotyczące usługi Microsoft Defender for Storage wydane w celu zapewnienia ogólnej dostępności
- Ulepszenia alertów dla usługi Microsoft Defender for Storage
- Alert "PortSweeping" usunięty z alertów warstwy sieciowej
Plan usługi Microsoft Defender for Containers wydany pod kątem ogólnej dostępności
Ponad dwa lata temu wprowadziliśmy usługę Defender dla platformy Kubernetes i usługę Defender dla rejestrów kontenerów w ramach oferty usługi Azure Defender w ramach Microsoft Defender dla Chmury.
Wraz z wydaniem usługi Microsoft Defender for Containers scaliliśmy te dwa istniejące plany usługi Defender.
Nowy plan:
- Łączy funkcje dwóch istniejących planów — wykrywanie zagrożeń dla klastrów Kubernetes i ocenę luk w zabezpieczeniach dla obrazów przechowywanych w rejestrach kontenerów
- Oferuje nowe i ulepszone funkcje — w tym obsługę wielochmurową, wykrywanie zagrożeń na poziomie hosta z ponad sześcioma nowymi analizami obsługującymi platformę Kubernetes oraz ocenę luk w zabezpieczeniach na potrzeby uruchamiania obrazów
- Wprowadza natywne dla platformy Kubernetes dołączanie na dużą skalę — domyślnie po włączeniu planu wszystkie odpowiednie składniki są konfigurowane automatycznie
W tej wersji dostępność i prezentacja usługi Defender dla platformy Kubernetes i usługi Defender dla rejestrów kontenerów uległa zmianie w następujący sposób:
- Nowe subskrypcje — dwa poprzednie plany kontenerów nie są już dostępne
- Istniejące subskrypcje — wszędzie tam, gdzie są wyświetlane w witrynie Azure Portal, plany są wyświetlane jako przestarzałe z instrukcjami dotyczącymi uaktualniania do nowszego planu
Nowy plan jest bezpłatny w miesiącu grudnia 2021 r. Aby uzyskać potencjalne zmiany w rozliczeniach ze starych planów usługi Defender for Containers i aby uzyskać więcej informacji na temat korzyści wprowadzonych w tym planie, zobacz Wprowadzenie do usługi Microsoft Defender for Containers.
Aby uzyskać więcej informacji, zobacz:
- Omówienie usługi Microsoft Defender dla Kontenerów
- Włączanie usługi Microsoft Defender dla kontenerów
- Wprowadzenie do usługi Microsoft Defender for Containers — Społeczność techniczna firmy Microsoft
- Usługa Microsoft Defender dla kontenerów | Defender dla Chmury w polu nr 3 — YouTube
Nowe alerty dotyczące usługi Microsoft Defender for Storage wydane w celu zapewnienia ogólnej dostępności
Aktorzy zagrożeń używają narzędzi i skryptów do skanowania pod kątem publicznie otwartych kontenerów w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi.
Usługa Microsoft Defender for Storage wykrywa te skanery, aby można je było zablokować i skorygować stan.
Alert w wersji zapoznawczej, który wykrył tę wersję, nosi nazwę "Anonimowe skanowanie kontenerów magazynu publicznego". Aby zapewnić większą przejrzystość wykrytych podejrzanych zdarzeń, podzieliliśmy je na dwa nowe alerty. Te alerty dotyczą tylko usługi Azure Blob Storage.
Ulepszyliśmy logikę wykrywania, zaktualizowaliśmy metadane alertu i zmieniliśmy nazwę alertu i typ alertu.
Są to nowe alerty:
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| Pomyślnie odnaleziono publicznie dostępne kontenery magazynu (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Pomyślne odnajdywanie publicznie otwartych kontenerów magazynu na koncie magazynu zostało wykonane w ciągu ostatniej godziny przez skrypt skanowania lub narzędzie. Zwykle wskazuje to na atak rekonesansu, w którym aktor zagrożenia próbuje wyświetlić listę obiektów blob przez odgadnięcie nazw kontenerów, w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi w nich. Aktor zagrożeń może używać własnego skryptu lub używać znanych narzędzi do skanowania, takich jak Microburst, do skanowania pod kątem publicznie otwartych kontenerów. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Kolekcja | Śred. |
| Nie powiodło się skanowanie publicznie dostępnych kontenerów magazynu (Storage.Blob_OpenContainersScanning.FailedAttempt) |
Seria nieudanych prób skanowania pod kątem publicznie otwartych kontenerów magazynu została wykonana w ciągu ostatniej godziny. Zwykle wskazuje to na atak rekonesansu, w którym aktor zagrożenia próbuje wyświetlić listę obiektów blob przez odgadnięcie nazw kontenerów, w nadziei na znalezienie nieprawidłowo skonfigurowanych otwartych kontenerów magazynu z poufnymi danymi w nich. Aktor zagrożeń może używać własnego skryptu lub używać znanych narzędzi do skanowania, takich jak Microburst, do skanowania pod kątem publicznie otwartych kontenerów. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Kolekcja | Niski |
Aby uzyskać więcej informacji, zobacz:
- Macierz zagrożeń dla usług magazynu
- Omówienie usługi Microsoft Defender for Storage
- Lista alertów udostępnianych przez usługę Microsoft Defender for Storage
Ulepszenia alertów dla usługi Microsoft Defender for Storage
Początkowe alerty dostępu mają teraz lepszą dokładność i więcej danych do obsługi badania.
Aktorzy zagrożeń używają różnych technik w początkowym dostępie, aby uzyskać przyczółek w sieci. Dwa alerty usługi Microsoft Defender for Storage , które wykrywają anomalie behawioralne na tym etapie, mają teraz ulepszoną logikę wykrywania i dodatkowe dane do obsługi badań.
Jeśli w przeszłości skonfigurowano automatyzacje lub zdefiniowane reguły pomijania alertów dla tych alertów, zaktualizuj je zgodnie z tymi zmianami.
Wykrywanie dostępu z węzła zakończenia tor
Dostęp z węzła wyjścia Tor może wskazywać, że aktor zagrożenia próbuje ukryć swoją tożsamość.
Alert jest teraz dostrajany do generowania tylko dla uwierzytelnioowanego dostępu, co powoduje większą dokładność i pewność, że działanie jest złośliwe. To ulepszenie zmniejsza łagodny wskaźnik dodatni.
Wzorzec outlying będzie miał wysoką ważność, podczas gdy mniej nietypowe wzorce będą miały średnią ważność.
Nazwa i opis alertu zostały zaktualizowane. Typ alertu pozostaje niezmieniony.
- Nazwa alertu (stara): dostęp z węzła zakończenia tor do konta magazynu
- Nazwa alertu (nowy): Uwierzytelniony dostęp z węzła zakończenia Tor
- Typy alertów: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
- Opis: Co najmniej jeden kontener magazynu/ udziały plików na koncie magazynu zostały pomyślnie udostępnione z adresu IP znanego jako aktywny węzeł wyjścia Tor (anonimizujący serwer proxy). Aktorzy zagrożeń używają platformy Tor, aby utrudnić śledzenie działania z powrotem do nich. Uwierzytelniony dostęp z węzła wyjścia Tor jest prawdopodobnie wskazaniem, że aktor zagrożeń próbuje ukryć swoją tożsamość. Dotyczy: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- Taktyka MITRE: Wstępny dostęp
- Ważność: wysoka/średnia
Nieuwierzytelniony dostęp
Zmiana wzorców dostępu może wskazywać, że aktor zagrożeń mógł wykorzystać publiczny dostęp do odczytu do kontenerów magazynu, wykorzystując błąd w konfiguracjach dostępu lub zmieniając uprawnienia dostępu.
Ten alert o średniej ważności jest teraz dostrojony z ulepszoną logiką behawioralną, wyższą dokładnością i ufnością, że działanie jest złośliwe. To ulepszenie zmniejsza łagodny wskaźnik dodatni.
Nazwa i opis alertu zostały zaktualizowane. Typ alertu pozostaje niezmieniony.
- Nazwa alertu (stara): anonimowy dostęp do konta magazynu
- Nazwa alertu (nowy): nieuwierzytelniony dostęp do kontenera magazynu
- Typy alertów: Storage.Blob_AnonymousAccessAnomaly
- Opis: To konto magazynu było dostępne bez uwierzytelniania, co stanowi zmianę wspólnego wzorca dostępu. Dostęp do odczytu do tego kontenera jest zwykle uwierzytelniany. Może to wskazywać, że aktor zagrożenia mógł wykorzystać publiczny dostęp do odczytu do kontenerów magazynu na tych kontach magazynu. Dotyczy: Azure Blob Storage
- Taktyka MITRE: Kolekcja
- Poziom ważności: średni
Aby uzyskać więcej informacji, zobacz:
- Macierz zagrożeń dla usług magazynu
- Wprowadzenie do usługi Microsoft Defender for Storage
- Lista alertów udostępnianych przez usługę Microsoft Defender for Storage
Alert "PortSweeping" usunięty z alertów warstwy sieciowej
Następujący alert został usunięty z alertów warstwy sieciowej z powodu nieefektywności:
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| Wykryto możliwe działanie skanowania portów wychodzących (PortSweeping) |
Analiza ruchu sieciowego wykryła podejrzany ruch wychodzący z hosta %{Naruszone zabezpieczenia}. Ten ruch może być wynikiem działania skanowania portów. Gdy naruszony zasób jest modułem równoważenia obciążenia lub bramą aplikacji, podejrzany ruch wychodzący pochodzi z do co najmniej jednego zasobu w puli zaplecza (modułu równoważenia obciążenia lub bramy aplikacji). Jeśli to zachowanie jest zamierzone, należy pamiętać, że skanowanie portów jest sprzeczne z warunkami świadczenia usług platformy Azure. Jeśli to zachowanie jest niezamierzone, może to oznaczać, że bezpieczeństwo zasobu zostało naruszone. | Odnajdowanie | Śred. |
Listopad 2021
Nasze wydanie konferencji Ignite obejmuje:
- Usługi Azure Security Center i Azure Defender stają się Microsoft Defender dla Chmury
- Natywny CSPM dla platform AWS i ochrony przed zagrożeniami dla usług Amazon EKS i AWS EC2
- Określanie priorytetów akcji zabezpieczeń według poufności danych (obsługiwanej przez usługę Microsoft Purview) (w wersji zapoznawczej)
- Rozszerzone oceny kontroli zabezpieczeń za pomocą testu porównawczego zabezpieczeń platformy Azure w wersji 3
- Opcjonalna synchronizacja alertów dwukierunkowych łącznika usługi Microsoft Sentinel wydana na potrzeby ogólnej dostępności
- Nowe zalecenie wypychania dzienników usługi Azure Kubernetes Service (AKS) do usługi Sentinel
- Zalecenia mapowane na strukturę MITRE ATT&CK® — wydane w celu zapewnienia ogólnej dostępności
Inne zmiany w listopadzie obejmują:
- Zarządzanie zagrożeniami i lukami w zabezpieczeniach firmy Microsoft dodano jako rozwiązanie do oceny luk w zabezpieczeniach — wydane w celu zapewnienia ogólnej dostępności
- Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux teraz obsługiwane przez usługę Microsoft Defender dla serwerów — wydane w celu zapewnienia ogólnej dostępności
- Eksportowanie migawek dla zaleceń i wyników zabezpieczeń (w wersji zapoznawczej)
- Automatyczne aprowizowanie rozwiązań do oceny luk w zabezpieczeniach wydanych na potrzeby ogólnej dostępności
- Filtry spisu oprogramowania w spisie zasobów wydane w celu uzyskania ogólnej dostępności
- Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy domyślnej — wersja zapoznawcza
- Wyświetlanie spisu maszyn lokalnych stosuje inny szablon dla nazwy zasobu
Usługi Azure Security Center i Azure Defender stają się Microsoft Defender dla Chmury
Zgodnie z raportem o stanie chmury w 2021 r. 92% organizacji ma teraz strategię wielochmurową. W firmie Microsoft naszym celem jest scentralizowanie zabezpieczeń w różnych środowiskach i ułatwienie zespołom ds. zabezpieczeń wydajniejszego działania.
Microsoft Defender dla Chmury to rozwiązanie do zarządzania stanem zabezpieczeń w chmurze (CSPM) i ochrony obciążeń w chmurze (CWP), które wykrywa słabe strony konfiguracji chmury, pomaga zwiększyć ogólny stan zabezpieczeń środowiska i chroni obciążenia w środowiskach wielochmurowych i hybrydowych.
Na konferencji Ignite 2019 udostępniliśmy naszą wizję, aby stworzyć najbardziej kompletne podejście do zabezpieczania majątku cyfrowego i integrowania technologii XDR pod marką Microsoft Defender. Ujednolicenie usług Azure Security Center i Azure Defender pod nową nazwą Microsoft Defender dla Chmury odzwierciedla zintegrowane możliwości naszej oferty zabezpieczeń i możliwości obsługi dowolnej platformy w chmurze.
Natywny CSPM dla platform AWS i ochrony przed zagrożeniami dla usług Amazon EKS i AWS EC2
Nowa strona ustawień środowiska zapewnia większą widoczność i kontrolę nad grupami zarządzania, subskrypcjami i kontami platformy AWS. Strona jest przeznaczona do dołączania kont platformy AWS na dużą skalę: łączenie konta zarządzania platformy AWS i automatyczne dołączanie istniejących i przyszłych kont.
Po dodaniu kont platformy AWS Defender dla Chmury chroni zasoby platformy AWS przy użyciu dowolnych lub wszystkich następujących planów:
- Defender dla Chmury funkcje CSPM rozszerzają się na zasoby platformy AWS. Ten plan bez agenta ocenia zasoby platformy AWS zgodnie z zaleceniami dotyczącymi zabezpieczeń specyficznymi dla platformy AWS i są one uwzględnione w wskaźniku bezpieczeństwa. Zasoby zostaną również ocenione pod kątem zgodności z wbudowanymi standardami specyficznymi dla platform AWS (AWS CIS, AWS PCI DSS i AWS Foundational Security Best Practices). strona spisu zasobów Defender dla Chmury to funkcja z obsługą wielu chmur, która ułatwia zarządzanie zasobami platformy AWS wraz z zasobami platformy Azure.
- Usługa Microsoft Defender dla platformy Kubernetes rozszerza wykrywanie zagrożeń kontenerów i zaawansowane zabezpieczenia klastrów amazon EKS Linux.
- Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowane zabezpieczenia wystąpień systemu Windows i Linux EC2. Ten plan obejmuje zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender, punkty odniesienia zabezpieczeń i oceny na poziomie systemu operacyjnego, skanowanie oceny luk w zabezpieczeniach, adaptacyjne kontrole aplikacji (AAC), monitorowanie integralności plików (FIM) i nie tylko.
Dowiedz się więcej na temat łączenia kont platformy AWS z Microsoft Defender dla Chmury.
Określanie priorytetów akcji zabezpieczeń według poufności danych (obsługiwanej przez usługę Microsoft Purview) (w wersji zapoznawczej)
Zasoby danych pozostają popularnym celem dla podmiotów zagrożeń. Dlatego ważne jest, aby zespoły ds. zabezpieczeń identyfikowały, ustalały priorytety i zabezpieczały poufne zasoby danych w swoich środowiskach chmury.
Aby rozwiązać to wyzwanie, Microsoft Defender dla Chmury teraz integruje informacje o poufności z usługi Microsoft Purview. Microsoft Purview to ujednolicona usługa zapewniania ładu danych, która zapewnia bogaty wgląd w poufność danych w wielu chmurach i obciążeniach lokalnych.
Integracja z usługą Microsoft Purview rozszerza widoczność zabezpieczeń w Defender dla Chmury od poziomu infrastruktury w dół do danych, umożliwiając zupełnie nowy sposób określania priorytetów zasobów i działań zabezpieczeń dla zespołów ds. zabezpieczeń.
Dowiedz się więcej w temacie Określanie priorytetów akcji zabezpieczeń według poufności danych.
Rozszerzone oceny kontroli zabezpieczeń za pomocą testu porównawczego zabezpieczeń platformy Azure w wersji 3
Zalecenia dotyczące zabezpieczeń w Defender dla Chmury są obsługiwane przez test porównawczy zabezpieczeń platformy Azure.
Test porównawczy zabezpieczeń platformy Azure to utworzony przez firmę Microsoft zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności opartych na typowych strukturach zgodności. Ten powszechnie szanowany punkt odniesienia opiera się na kontrolach z Centrum Bezpieczeństwa Internetowego (CIS) i Narodowego Instytutu Standardów i Technologii (NIST) z naciskiem na zabezpieczenia skoncentrowane na chmurze.
Z konferencji Ignite 2021 test porównawczy zabezpieczeń platformy Azure w wersji 3 jest dostępny na pulpicie nawigacyjnym zgodności z przepisami Defender dla Chmury i włączony jako nowa domyślna inicjatywa dla wszystkich subskrypcji platformy Azure chronionych przy użyciu Microsoft Defender dla Chmury.
Ulepszenia dla wersji 3 obejmują:
Dodatkowe mapowania na platformy branżowe PCI-DSS w wersji 3.2.1 i kontrole CIS w wersji 8.
Bardziej szczegółowe i możliwe do działania wskazówki dotyczące kontrolek z wprowadzeniem:
- Zasady zabezpieczeń — zapewnianie wglądu w ogólne cele zabezpieczeń, które tworzą podstawę naszych zaleceń.
- Wskazówki dotyczące platformy Azure — techniczne instrukcje dotyczące realizacji tych celów.
Nowe mechanizmy kontroli obejmują zabezpieczenia metodyki DevOps dotyczące problemów, takich jak modelowanie zagrożeń i zabezpieczenia łańcucha dostaw oprogramowania, a także zarządzanie kluczami i certyfikatami w celu uzyskania najlepszych rozwiązań na platformie Azure.
Dowiedz się więcej w artykule Introduction to Azure Security Benchmark (Wprowadzenie do testu porównawczego zabezpieczeń platformy Azure).
Opcjonalna synchronizacja alertów dwukierunkowych łącznika usługi Microsoft Sentinel wydana na potrzeby ogólnej dostępności
W lipcu ogłosiliśmy funkcję w wersji zapoznawczej, dwukierunkową synchronizację alertów dla wbudowanego łącznika w usłudze Microsoft Sentinel (rozwiązanie SIEM i SOAR firmy Microsoft natywne dla chmury). Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Po nawiązaniu połączenia Microsoft Defender dla Chmury z usługą Microsoft Sentinel stan alertów zabezpieczeń jest synchronizowany między dwiema usługami. Na przykład po zamknięciu alertu w Defender dla Chmury ten alert będzie również wyświetlany jako zamknięty w usłudze Microsoft Sentinel. Zmiana stanu alertu w Defender dla Chmury nie wpłynie na stan żadnych zdarzeń usługi Microsoft Sentinel, które zawierają zsynchronizowany alert usługi Microsoft Sentinel, tylko ten, który dotyczy samego zsynchronizowanego alertu.
Po włączeniu synchronizacji alertów dwukierunkowych automatycznie zsynchronizuj stan oryginalnych alertów Defender dla Chmury z incydentami usługi Microsoft Sentinel zawierającymi kopie tych alertów. Na przykład po zamknięciu zdarzenia usługi Microsoft Sentinel zawierającego alert Defender dla Chmury Defender dla Chmury automatycznie zamknie odpowiedni oryginalny alert.
Dowiedz się więcej w artykule Connect Azure Defender alerts from Azure Security Center and Stream alerts to Azure Sentinel (Łączenie alertów usługi Azure Defender z usługą Azure Security Center i przesyłanie strumieniowe do usługi Azure Sentinel).
Nowe zalecenie wypychania dzienników usługi Azure Kubernetes Service (AKS) do usługi Sentinel
W kolejnym ulepszeniu połączonej wartości Defender dla Chmury i usługi Microsoft Sentinel wyróżnimy teraz wystąpienia usługi Azure Kubernetes Service, które nie wysyłają danych dziennika do usługi Microsoft Sentinel.
Zespoły SecOps mogą wybrać odpowiedni obszar roboczy usługi Microsoft Sentinel bezpośrednio na stronie szczegółów rekomendacji i natychmiast włączyć przesyłanie strumieniowe nieprzetworzonych dzienników. To bezproblemowe połączenie między dwoma produktami ułatwia zespołom ds. zabezpieczeń zapewnienie pełnego pokrycia rejestrowania w ramach obciążeń, aby pozostać na bieżąco z całym środowiskiem.
Nowe zalecenie "Dzienniki diagnostyczne w usługach Kubernetes powinny być włączone" zawiera opcję "Napraw" w celu szybszego korygowania.
Ulepszyliśmy również zalecenie "Inspekcja na serwerze SQL powinna być włączona" z tymi samymi możliwościami przesyłania strumieniowego usługi Sentinel.
Zalecenia mapowane na strukturę MITRE ATT&CK® — wydane w celu zapewnienia ogólnej dostępności
Ulepszyliśmy zalecenia dotyczące zabezpieczeń Defender dla Chmury, aby pokazać swoje stanowisko w strukturze MITRE ATT&CK®. Ta globalnie dostępna baza wiedzy taktyki i technik podmiotów zagrożeń w oparciu o rzeczywiste obserwacje, zapewnia więcej kontekstu, aby ułatwić zrozumienie powiązanych zagrożeń związanych z zaleceniami dotyczącymi danego środowiska.
Te taktyki znajdziesz wszędzie tam, gdzie uzyskujesz dostęp do informacji o rekomendacji:
Wyniki zapytań usługi Azure Resource Graph dla odpowiednich zaleceń obejmują taktykę i techniki MITRE ATT&CK®.
Strony szczegółów rekomendacji zawierają mapowanie wszystkich odpowiednich zaleceń:
Strona zaleceń w Defender dla Chmury ma nowy
filtr do wybierania zaleceń zgodnie z ich powiązaną taktyką:
Dowiedz się więcej w artykule Przeglądanie zaleceń dotyczących zabezpieczeń.
Zarządzanie zagrożeniami i lukami w zabezpieczeniach firmy Microsoft dodano jako rozwiązanie do oceny luk w zabezpieczeniach — wydane w celu zapewnienia ogólnej dostępności
W październiku ogłosiliśmy rozszerzenie integracji między usługą Microsoft Defender for Servers i Ochrona punktu końcowego w usłudze Microsoft Defender w celu obsługi nowego dostawcy oceny luk w zabezpieczeniach dla maszyn: Microsoft Zarządzanie zagrożeniami i lukami. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Użyj Zarządzanie zagrożeniami i lukami, aby wykryć luki w zabezpieczeniach i błędy konfiguracji niemal w czasie rzeczywistym z włączoną integracją z Ochrona punktu końcowego w usłudze Microsoft Defender i bez konieczności wykonywania dodatkowych agentów lub okresowych skanowań. Zagrożenia i zarządzanie lukami w zabezpieczeniach priorytetyzuje luki w zabezpieczeniach na podstawie poziomów zagrożeń i wykrywania w organizacji.
Użyj zalecenia dotyczącego zabezpieczeń "Na maszynach wirtualnych powinno być włączone rozwiązanie do oceny luk w zabezpieczeniach", aby wyświetlić luki w zabezpieczeniach wykryte przez Zarządzanie zagrożeniami i lukami dla obsługiwanych maszyn.
Aby automatycznie uwidocznieć luki w zabezpieczeniach, na istniejących i nowych maszynach bez konieczności ręcznego korygowania zalecenia, zobacz Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączyć (w wersji zapoznawczej).
Dowiedz się więcej w artykule Badanie słabych stron za pomocą Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender.
Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux teraz obsługiwane przez usługę Microsoft Defender dla serwerów — wydane w celu zapewnienia ogólnej dostępności
W sierpniu ogłosiliśmy obsługę wersji zapoznawczej dotyczącej wdrażania czujnika defender for Endpoint for Linux na obsługiwanych maszynach z systemem Linux. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Usługa Microsoft Defender dla serwerów zawiera zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender. Razem zapewniają kompleksowe możliwości wykrywanie i reagowanie w punktach końcowych (EDR).
Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w Defender dla Chmury. Z poziomu Defender dla Chmury możesz również przestawienia się do konsoli usługi Defender dla punktu końcowego i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku.
Dowiedz się więcej w artykule Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Security Center: Ochrona punktu końcowego w usłudze Microsoft Defender.
Eksportowanie migawek dla zaleceń i wyników zabezpieczeń (w wersji zapoznawczej)
Defender dla Chmury generuje szczegółowe alerty zabezpieczeń i zalecenia. Można je wyświetlić w portalu lub za pomocą narzędzi programistycznych. Może być również konieczne wyeksportowanie niektórych lub wszystkich tych informacji w celu śledzenia za pomocą innych narzędzi do monitorowania w danym środowisku.
funkcja eksportu ciągłego Defender dla Chmury pozwala w pełni dostosować, co zostanie wyeksportowane i gdzie nastąpi. Dowiedz się więcej w artykule Ciągłe eksportowanie Microsoft Defender dla Chmury danych.
Mimo że funkcja jest nazywana ciągłą, istnieje również opcja eksportowania cotygodniowych migawek. Do tej pory te cotygodniowe migawki były ograniczone do bezpiecznych wyników i danych zgodności z przepisami. Dodaliśmy możliwość eksportowania zaleceń i wyników zabezpieczeń.
Automatyczne aprowizowanie rozwiązań do oceny luk w zabezpieczeniach wydanych na potrzeby ogólnej dostępności
W październiku ogłosiliśmy dodanie rozwiązań do oceny luk w zabezpieczeniach w celu Defender dla Chmury strony automatycznego aprowizowania. Dotyczy to maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc w subskrypcjach chronionych przez usługę Azure Defender for Servers. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Jeśli integracja z Ochrona punktu końcowego w usłudze Microsoft Defender jest włączona, Defender dla Chmury przedstawia wybór rozwiązań do oceny luk w zabezpieczeniach:
- (NOWY) Moduł microsoft Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender (zobacz informacje o wersji)
- Zintegrowany agent Qualys
Wybrane rozwiązanie zostanie automatycznie włączone na obsługiwanych maszynach.
Dowiedz się więcej w temacie Automatyczne konfigurowanie oceny luk w zabezpieczeniach dla maszyn.
Filtry spisu oprogramowania w spisie zasobów wydane w celu uzyskania ogólnej dostępności
W październiku ogłosiliśmy nowe filtry strony spisu zasobów, aby wybrać maszyny z określonym oprogramowaniem , a nawet określić interesujące je wersje. Ta funkcja jest teraz udostępniana w celu zapewnienia ogólnej dostępności.
Dane spisu oprogramowania można wykonywać w Eksploratorze usługi Azure Resource Graph.
Aby korzystać z tych funkcji, należy włączyć integrację z Ochrona punktu końcowego w usłudze Microsoft Defender.
Aby uzyskać szczegółowe informacje, w tym przykładowe zapytania Kusto dla usługi Azure Resource Graph, zobacz Uzyskiwanie dostępu do spisu oprogramowania.
Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy domyślnej
Aby upewnić się, że obciążenia Platformy Kubernetes są domyślnie bezpieczne, Defender dla Chmury zawiera zasady na poziomie platformy Kubernetes i zalecenia dotyczące wzmacniania zabezpieczeń, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.
W ramach tego projektu dodaliśmy zasady i zalecenia (domyślnie wyłączone) dotyczące gating deployment w klastrach Kubernetes. Zasady są w domyślnej inicjatywie, ale dotyczą tylko organizacji, które rejestrują się w powiązanej wersji zapoznawczej.
Możesz bezpiecznie zignorować zasady i rekomendacje ("Klastry Kubernetes powinny bramować wdrożenie obrazów podatnych na zagrożenia") i nie będzie miało to wpływu na środowisko.
Jeśli chcesz wziąć udział w wersji zapoznawczej, musisz być członkiem pierścienia podglądu. Jeśli nie jesteś jeszcze członkiem, prześlij tutaj żądanie. Członkowie zostaną powiadomieni o rozpoczęciu podglądu.
Wyświetlanie spisu maszyn lokalnych stosuje inny szablon dla nazwy zasobu
Aby ulepszyć prezentację zasobów w spisie zasobów, usunęliśmy element "source-computer-IP" z szablonu nazewnictwa maszyn lokalnych.
- Poprzedni format:
machine-name_source-computer-id_VMUUID - Z tej aktualizacji:
machine-name_VMUUID
Październik 2021
Aktualizacje w październiku obejmują:
- Narzędzie Microsoft Threat and Vulnerability Management dodano jako rozwiązanie do oceny luk w zabezpieczeniach (w wersji zapoznawczej)
- Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączać (w wersji zapoznawczej)
- Filtry spisu oprogramowania dodane do spisu zasobów (w wersji zapoznawczej)
- Zmieniono prefiks niektórych typów alertów z "ARM_" na "VM_"
- Zmiany logiki zalecenia dotyczącego zabezpieczeń dla klastrów Kubernetes
- Strony szczegółów zaleceń pokazują teraz powiązane zalecenia
- Nowe alerty dla usługi Azure Defender dla platformy Kubernetes (w wersji zapoznawczej)
Narzędzie Microsoft Threat and Vulnerability Management dodano jako rozwiązanie do oceny luk w zabezpieczeniach (w wersji zapoznawczej)
Rozszerzyliśmy integrację między usługą Azure Defender for Servers i Ochrona punktu końcowego w usłudze Microsoft Defender, aby obsługiwać nowego dostawcę oceny luk w zabezpieczeniach dla maszyn: Microsoft Zarządzanie zagrożeniami i lukami.
Użyj Zarządzanie zagrożeniami i lukami, aby wykryć luki w zabezpieczeniach i błędy konfiguracji niemal w czasie rzeczywistym z włączoną integracją z Ochrona punktu końcowego w usłudze Microsoft Defender i bez konieczności wykonywania dodatkowych agentów lub okresowych skanowań. Zagrożenia i zarządzanie lukami w zabezpieczeniach priorytetyzuje luki w zabezpieczeniach na podstawie poziomów zagrożeń i wykrywania w organizacji.
Użyj zalecenia dotyczącego zabezpieczeń "Na maszynach wirtualnych powinno być włączone rozwiązanie do oceny luk w zabezpieczeniach", aby wyświetlić luki w zabezpieczeniach wykryte przez Zarządzanie zagrożeniami i lukami dla obsługiwanych maszyn.
Aby automatycznie uwidocznieć luki w zabezpieczeniach, na istniejących i nowych maszynach bez konieczności ręcznego korygowania zalecenia, zobacz Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączyć (w wersji zapoznawczej).
Dowiedz się więcej w artykule Badanie słabych stron za pomocą Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender.
Rozwiązania do oceny luk w zabezpieczeniach można teraz automatycznie włączać (w wersji zapoznawczej)
Strona automatycznego aprowizowania usługi Security Center zawiera teraz opcję automatycznego włączania rozwiązania do oceny luk w zabezpieczeniach na maszynach wirtualnych platformy Azure i maszynach usługi Azure Arc w subskrypcjach chronionych przez usługę Azure Defender for Servers.
Jeśli integracja z Ochrona punktu końcowego w usłudze Microsoft Defender jest włączona, Defender dla Chmury przedstawia wybór rozwiązań do oceny luk w zabezpieczeniach:
- (NOWY) Moduł microsoft Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender (zobacz informacje o wersji)
- Zintegrowany agent Qualys
Wybrane rozwiązanie zostanie automatycznie włączone na obsługiwanych maszynach.
Dowiedz się więcej w temacie Automatyczne konfigurowanie oceny luk w zabezpieczeniach dla maszyn.
Filtry spisu oprogramowania dodane do spisu zasobów (w wersji zapoznawczej)
Strona spisu zasobów zawiera teraz filtr umożliwiający wybranie maszyn z określonym oprogramowaniem , a nawet określenie interesujących ich wersji.
Ponadto możesz wykonywać zapytania dotyczące danych spisu oprogramowania w Eksploratorze usługi Azure Resource Graph.
Aby korzystać z tych nowych funkcji, należy włączyć integrację z Ochrona punktu końcowego w usłudze Microsoft Defender.
Aby uzyskać szczegółowe informacje, w tym przykładowe zapytania Kusto dla usługi Azure Resource Graph, zobacz Uzyskiwanie dostępu do spisu oprogramowania.
Zmieniono prefiks niektórych typów alertów z "ARM_" na "VM_"
W lipcu 2021 r. ogłosiliśmy logiczną reorganizację alertów usługi Azure Defender for Resource Manager
Podczas reorganizacji planów usługi Defender przenieśliśmy alerty z usługi Azure Defender for Resource Manager do usługi Azure Defender dla serwerów.
Dzięki tej aktualizacji zmieniliśmy prefiksy tych alertów, aby były zgodne z tym ponownym przypisaniem i zamieniliśmy ciąg "ARM_" na "VM_", jak pokazano w poniższej tabeli:
| Oryginalna nazwa | Z tej zmiany |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Dowiedz się więcej o planach usługi Azure Defender for Resource Manager i usługi Azure Defender for Servers .
Zmiany logiki zalecenia dotyczącego zabezpieczeń dla klastrów Kubernetes
Zalecenie "Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw" uniemożliwia użycie domyślnej przestrzeni nazw dla zakresu typów zasobów. Usunięto dwa typy zasobów uwzględnione w tym poleceniu: ConfigMap i Secret.
Dowiedz się więcej na temat tego zalecenia i wzmacniania zabezpieczeń klastrów Kubernetes w artykule Omówienie usługi Azure Policy dla klastrów Kubernetes.
Strony szczegółów zaleceń pokazują teraz powiązane zalecenia
Aby wyjaśnić relacje między różnymi zaleceniami, dodaliśmy obszar Powiązane zalecenia do stron szczegółów wielu zaleceń.
Trzy typy relacji, które są wyświetlane na tych stronach, to:
- Wymaganie wstępne — zalecenie, które należy wykonać przed wybraną rekomendacją
- Alternatywa — inne zalecenie, które zapewnia inny sposób osiągnięcia celów wybranego zalecenia
- Zależne — zalecenie, dla którego wybrane zalecenie jest wymaganiem wstępnym
Dla każdego powiązanego zalecenia liczba zasobów w złej kondycji jest wyświetlana w kolumnie "Zasoby, których dotyczy problem".
Napiwek
Jeśli powiązane zalecenie jest wyszarane, jego zależność nie została jeszcze ukończona i nie jest dostępna.
Przykład powiązanych zaleceń:
Usługa Security Center sprawdza maszyny pod kątem obsługiwanych rozwiązań do oceny luk w zabezpieczeniach:
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnychJeśli zostanie znaleziony, otrzymasz powiadomienie o wykrytych lukach w zabezpieczeniach:
Należy skorygować luki w zabezpieczeniach maszyn wirtualnych
Oczywiście usługa Security Center nie może powiadomić Cię o wykrytych lukach w zabezpieczeniach, chyba że znajdzie obsługiwane rozwiązanie do oceny luk w zabezpieczeniach.
Zatem:
- Zalecenie nr 1 jest wymaganiem wstępnym dla zalecenia #2
- Zalecenie nr 2 zależy od zalecenia #1
Nowe alerty dla usługi Azure Defender dla platformy Kubernetes (w wersji zapoznawczej)
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Azure Defender dla platformy Kubernetes, dodaliśmy dwa alerty w wersji zapoznawczej.
Te alerty są generowane na podstawie nowego modelu uczenia maszynowego i zaawansowanej analizy kubernetes, mierzenia wielu atrybutów wdrażania i przypisywania ról względem poprzednich działań w klastrze i we wszystkich klastrach monitorowanych przez usługę Azure Defender.
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| Nietypowe wdrażanie zasobników (wersja zapoznawcza) (K8S_AnomalousPodDeployment) |
Analiza dziennika inspekcji platformy Kubernetes wykryła nietypowe wdrożenie zasobnika na podstawie poprzedniego działania wdrożenia zasobnika. To działanie jest uznawane za anomalię, biorąc pod uwagę, w jaki sposób różne funkcje widoczne w operacji wdrażania są w relacjach ze sobą. Funkcje monitorowane przez tę analizę obejmują używany rejestr obrazów kontenerów, konto wykonujące wdrożenie, dzień tygodnia, jak często to konto wykonuje wdrożenia zasobników, agent użytkownika używany w operacji, czy jest to przestrzeń nazw, która jest wdrożeniem zasobnika często lub inną funkcją. Najważniejsze przyczyny zgłaszania tego alertu jako nietypowe działania są szczegółowo opisane we właściwościach rozszerzonych alertu. | Wykonanie | Śred. |
| Nadmierne uprawnienia roli przypisane w klastrze Kubernetes (wersja zapoznawcza) (K8S_ServiceAcountPermissionAnomaly) |
Analiza dzienników inspekcji platformy Kubernetes wykryła nadmierne przypisanie roli uprawnień do klastra. Podczas badania przypisań ról wymienione uprawnienia są nietypowe dla określonego konta usługi. To wykrywanie uwzględnia wcześniejsze przypisania ról do tego samego konta usługi w klastrach monitorowanych przez platformę Azure, wolumin na uprawnienie i wpływ określonego uprawnienia. Model wykrywania anomalii używany dla tego alertu uwzględnia sposób użycia tego uprawnienia we wszystkich klastrach monitorowanych przez usługę Azure Defender. | Eskalacja uprawnień | Niski |
Aby uzyskać pełną listę alertów platformy Kubernetes, zobacz Alerty dla klastrów Kubernetes.
Wrzesień 2021
We wrześniu wydano następującą aktualizację:
Dwa nowe zalecenia dotyczące inspekcji konfiguracji systemu operacyjnego pod kątem zgodności punktów odniesienia zabezpieczeń platformy Azure (w wersji zapoznawczej)
Wydano następujące dwa zalecenia dotyczące oceny zgodności maszyn z punktem odniesienia zabezpieczeń systemu Windows i punktem odniesienia zabezpieczeń systemu Linux:
- W przypadku maszyn z systemem Windows należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z systemem Windows (obsługiwane przez konfigurację gościa)
- W przypadku maszyn z systemem Linux należy skorygować luki w zabezpieczeniach konfiguracji zabezpieczeń na maszynach z systemem Linux (obsługiwane przez konfigurację gościa)
Te zalecenia korzystają z funkcji konfiguracji gościa usługi Azure Policy, aby porównać konfigurację systemu operacyjnego maszyny z punktem odniesienia zdefiniowanym w teście porównawczym zabezpieczeń platformy Azure.
Dowiedz się więcej o korzystaniu z tych zaleceń w temacie Wzmacnianie zabezpieczeń konfiguracji systemu operacyjnego maszyny przy użyciu konfiguracji gościa.
Sierpień 2021
Aktualizacje w sierpniu obejmują:
- Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux są teraz obsługiwane przez usługę Azure Defender dla serwerów (w wersji zapoznawczej)
- Dwie nowe zalecenia dotyczące zarządzania rozwiązaniami ochrony punktu końcowego (w wersji zapoznawczej)
- Wbudowane rozwiązywanie typowych problemów i wskazówki dotyczące rozwiązywania typowych problemów
- Raporty inspekcji platformy Azure pulpitu nawigacyjnego zgodności z przepisami wydane pod kątem ogólnej dostępności
- Przestarzałe zalecenie "Problemy z kondycją agenta usługi Log Analytics należy rozwiązać na maszynach"
- Usługa Azure Defender dla rejestrów kontenerów skanuje teraz pod kątem luk w zabezpieczeniach rejestrów chronionych za pomocą usługi Azure Private Link
- Usługa Security Center może teraz automatycznie aprowizacji rozszerzenia konfiguracji gościa usługi Azure Policy (w wersji zapoznawczej)
- Rekomendacje obsługują teraz "Wymuszanie".
- Eksporty woluminów CSV dotyczące danych rekomendacji są teraz ograniczone do 20 MB
- Strona Rekomendacje zawiera teraz wiele widoków
Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux są teraz obsługiwane przez usługę Azure Defender dla serwerów (w wersji zapoznawczej)
Usługa Azure Defender dla serwerów zawiera zintegrowaną licencję na Ochrona punktu końcowego w usłudze Microsoft Defender. Razem zapewniają kompleksowe możliwości wykrywanie i reagowanie w punktach końcowych (EDR).
Gdy usługa Defender for Endpoint wykryje zagrożenie, wyzwala alert. Alert jest wyświetlany w usłudze Security Center. Z poziomu usługi Security Center możesz również przestawienia się do konsoli usługi Defender dla punktu końcowego i przeprowadzić szczegółowe badanie, aby odkryć zakres ataku.
W okresie obowiązywania wersji zapoznawczej wdrożysz czujnik usługi Defender dla punktu końcowego dla systemu Linux na maszynach z systemem Linux na jeden z dwóch sposobów, w zależności od tego, czy został on już wdrożony na maszynach z systemem Windows:
- Istniejący użytkownicy z włączonymi rozszerzonymi funkcjami zabezpieczeń Defender dla Chmury i Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows
- Nowi użytkownicy, którzy nigdy nie włączyli integracji z Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Windows
Dowiedz się więcej w artykule Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Security Center: Ochrona punktu końcowego w usłudze Microsoft Defender.
Dwie nowe zalecenia dotyczące zarządzania rozwiązaniami ochrony punktu końcowego (w wersji zapoznawczej)
Dodaliśmy dwa zalecenia dotyczące wersji zapoznawczej , aby wdrożyć i obsługiwać rozwiązania ochrony punktu końcowego na maszynach. Oba zalecenia obejmują obsługę maszyn wirtualnych i maszyn platformy Azure połączonych z serwerami z obsługą usługi Azure Arc.
| Zalecenie | opis | Waga błędu |
|---|---|---|
| Program Endpoint Protection powinien być zainstalowany na maszynach | Aby chronić maszyny przed zagrożeniami i lukami w zabezpieczeniach, zainstaluj obsługiwane rozwiązanie ochrony punktu końcowego. Dowiedz się więcej na temat oceniania programu Endpoint Protection dla maszyn. (Powiązane zasady: Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center) |
Wys. |
| Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Obsługiwane rozwiązania ochrony punktu końcowego w usłudze Azure Security Center zostały opisane tutaj. Ocena programu Endpoint Protection jest udokumentowana tutaj. (Powiązane zasady: Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center) |
Śred. |
Uwaga
Zalecenia pokazują ich interwał świeżości jako 8 godzin, ale istnieją pewne scenariusze, w których może to potrwać znacznie dłużej. Na przykład usunięcie maszyny lokalnej trwa 24 godziny, aby usługa Security Center zidentyfikowała usunięcie. Następnie ocena potrwa do 8 godzin, aby zwrócić informacje. W tej konkretnej sytuacji usunięcie maszyny z listy zasobów, których dotyczy problem, może potrwać 32 godziny.
Wbudowane rozwiązywanie typowych problemów i wskazówki dotyczące rozwiązywania typowych problemów
Nowy, dedykowany obszar stron usługi Security Center w witrynie Azure Portal zapewnia zestaw zestawów materiałów samodzielnej pomocy, które pozwalają rozwiązywać typowe problemy z usługami Security Center i Azure Defender.
Jeśli masz problem lub szukasz porady od naszego zespołu pomocy technicznej, Diagnozowanie i rozwiązywanie problemów to inne narzędzie ułatwiające znalezienie rozwiązania:
Raporty inspekcji platformy Azure pulpitu nawigacyjnego zgodności z przepisami wydane pod kątem ogólnej dostępności
Pasek narzędzi pulpitu nawigacyjnego zgodności z przepisami oferuje raporty dotyczące certyfikacji platformy Azure i usługi Dynamics dla standardów stosowanych do subskrypcji.
Możesz wybrać kartę odpowiednich typów raportów (PCI, SOC, ISO i innych) i użyć filtrów, aby znaleźć potrzebne raporty.
Aby uzyskać więcej informacji, zobacz Generowanie raportów o stanie zgodności i certyfikatów.
Przestarzałe zalecenie "Problemy z kondycją agenta usługi Log Analytics należy rozwiązać na maszynach"
Ustaliliśmy, że zalecenia dotyczące kondycji agenta usługi Log Analytics powinny być rozwiązywane na maszynach , które mają wpływ na wyniki bezpieczeństwa w sposób niezgodny z fokusem zarządzania stanem zabezpieczeń w chmurze (CSPM) usługi Security Center. Zazwyczaj CSPM odnosi się do identyfikowania błędów konfiguracji zabezpieczeń. Problemy z kondycją agenta nie pasują do tej kategorii problemów.
Ponadto zalecenie jest anomalią w porównaniu z innymi agentami związanymi z usługą Security Center: jest to jedyny agent z zaleceniem związanym z problemami z kondycją.
Zalecenie zostało uznane za przestarzałe.
W wyniku tego wycofania wprowadziliśmy również drobne zmiany w zaleceniach dotyczących instalowania agenta usługi Log Analytics (agent usługi Log Analytics powinien być zainstalowany na...).
Prawdopodobnie ta zmiana wpłynie na wyniki bezpieczeństwa. W przypadku większości subskrypcji oczekujemy, że zmiana doprowadzi do zwiększenia oceny, ale w niektórych przypadkach aktualizacje rekomendacji dotyczącej instalacji mogą spowodować zmniejszenie wyników.
Napiwek
Na tę zmianę wpływa również strona spisu zasobów, ponieważ wyświetla ona monitorowany stan maszyn (monitorowany, niemonitorowany lub częściowo monitorowany — stan, który odwołuje się do agenta z problemami z kondycją).
Usługa Azure Defender dla rejestrów kontenerów skanuje teraz pod kątem luk w zabezpieczeniach rejestrów chronionych za pomocą usługi Azure Private Link
Usługa Azure Defender dla rejestrów kontenerów zawiera skaner luk w zabezpieczeniach do skanowania obrazów w rejestrach usługi Azure Container Registry. Dowiedz się, jak skanować rejestry i korygować wyniki w artykule Używanie usługi Azure Defender dla rejestrów kontenerów do skanowania obrazów pod kątem luk w zabezpieczeniach.
Aby ograniczyć dostęp do rejestru hostowanego w usłudze Azure Container Registry, przypisz prywatne adresy IP sieci wirtualnej do punktów końcowych rejestru i użyj usługi Azure Private Link, jak wyjaśniono w artykule Łączenie prywatnie z rejestrem kontenerów platformy Azure przy użyciu usługi Azure Private Link.
W ramach naszych ciągłych wysiłków w celu obsługi dodatkowych środowisk i przypadków użycia usługa Azure Defender skanuje również rejestry kontenerów chronione za pomocą usługi Azure Private Link.
Usługa Security Center może teraz automatycznie aprowizacji rozszerzenia konfiguracji gościa usługi Azure Policy (w wersji zapoznawczej)
Usługa Azure Policy może przeprowadzać inspekcję ustawień na maszynie, zarówno dla maszyn działających na maszynach połączonych z platformą Azure, jak i z usługą Arc. Taka weryfikacja jest wykonywana przez klienta i rozszerzenie konfiguracji gościa. Dowiedz się więcej w artykule Omówienie konfiguracji gościa usługi Azure Policy.
Dzięki tej aktualizacji można teraz ustawić usługę Security Center tak, aby automatycznie aprowizować to rozszerzenie dla wszystkich obsługiwanych maszyn.
Dowiedz się więcej o tym, jak działa automatyczne aprowizowanie, zobacz Konfigurowanie automatycznej aprowizacji dla agentów i rozszerzeń.
Rekomendacje obsługują teraz "Wymuszanie"
Usługa Security Center zawiera dwie funkcje, które ułatwiają zapewnienie, że nowo utworzone zasoby są aprowidowane w bezpieczny sposób: wymuszanie i odrzucanie. Gdy zalecenie oferuje te opcje, możesz upewnić się, że wymagania dotyczące zabezpieczeń są spełnione za każdym razem, gdy ktoś spróbuje utworzyć zasób:
- Odmowa uniemożliwia tworzenie zasobów w złej kondycji
- Wymuszanie automatycznego korygowania niezgodnych zasobów podczas ich tworzenia
Dzięki tej aktualizacji opcja wymuszania jest teraz dostępna w zaleceniach dotyczących włączania planów usługi Azure Defender (takich jak usługa Azure Defender dla usługi App Service powinna być włączona, należy włączyć usługę Azure Defender for Key Vault, należy włączyć usługę Azure Defender for Storage).
Dowiedz się więcej o tych opcjach w temacie Zapobieganie błędom konfiguracji za pomocą zaleceń wymuszania/odmowy.
Eksporty woluminów CSV dotyczące danych rekomendacji są teraz ograniczone do 20 MB
Wprowadzamy limit wynoszący 20 MB podczas eksportowania danych zaleceń usługi Security Center.
Jeśli musisz wyeksportować większe ilości danych, użyj dostępnych filtrów przed wybraniem lub wybierz podzbióry subskrypcji i pobierz dane w partiach.
Dowiedz się więcej o wykonywaniu eksportu plików CSV zaleceń dotyczących zabezpieczeń.
Strona Rekomendacje zawiera teraz wiele widoków
Strona zaleceń zawiera teraz dwie karty umożliwiające wyświetlanie zaleceń dotyczących zasobów:
- Zalecenia dotyczące wskaźnika bezpieczeństwa — użyj tej karty, aby wyświetlić listę zaleceń pogrupowanych według kontroli zabezpieczeń. Dowiedz się więcej na temat tych mechanizmów kontroli w temacie Mechanizmy kontroli zabezpieczeń i ich zalecenia.
- Wszystkie zalecenia — ta karta służy do wyświetlania listy zaleceń jako listy płaskiej. Ta karta doskonale nadaje się również do zrozumienia, która inicjatywa (w tym standardy zgodności z przepisami) wygenerowała zalecenie. Dowiedz się więcej na temat inicjatyw i ich relacji z zaleceniami w artykule Co to są zasady zabezpieczeń, inicjatywy i zalecenia?
Lipiec 2021
Aktualizacje w lipcu obejmują:
- Łącznik usługi Azure Sentinel obejmuje teraz opcjonalną synchronizację alertów dwukierunkowych (w wersji zapoznawczej)
- Logiczna reorganizacja alertów usługi Azure Defender dla usługi Resource Manager
- Ulepszenia rekomendacji dotyczące włączania usługi Azure Disk Encryption (ADE)
- Ciągły eksport danych dotyczących wskaźnika bezpieczeństwa i zgodności z przepisami wydanych na potrzeby ogólnej dostępności
- Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (GA)
- Pola interfejsu API ocen "FirstEvaluationDate" i "StatusChangeDate" są teraz dostępne w schematach obszaru roboczego i aplikacjach logiki
- Szablon skoroszytu "Zgodność w czasie" dodany do galerii skoroszytów usługi Azure Monitor
Łącznik usługi Azure Sentinel obejmuje teraz opcjonalną synchronizację alertów dwukierunkowych (w wersji zapoznawczej)
Usługa Security Center natywnie integruje się z usługą Azure Sentinel, natywnym rozwiązaniem SIEM i SOAR platformy Azure.
Usługa Azure Sentinel obejmuje wbudowane łączniki usługi Azure Security Center na poziomie subskrypcji i dzierżawy. Dowiedz się więcej w artykule Stream alerts to Azure Sentinel (Alerty usługi Stream do usługi Azure Sentinel).
Po połączeniu usługi Azure Defender z usługą Azure Sentinel stan alertów usługi Azure Defender, które są pozyskiwane do usługi Azure Sentinel, jest synchronizowany między dwiema usługami. Na przykład po zamknięciu alertu w usłudze Azure Defender alert będzie wyświetlany jako zamknięty w usłudze Azure Sentinel. Zmiana stanu alertu w usłudze Azure Defender "nie będzie"* wpływać na stan zdarzeń usługi Azure Sentinel, które zawierają zsynchronizowany alert usługi Azure Sentinel, tylko ten, który dotyczy samego zsynchronizowanego alertu.
Po włączeniu synchronizacji alertów dwukierunkowych funkcji w wersji zapoznawczej automatycznie synchronizuje stan oryginalnych alertów usługi Azure Defender z incydentami usługi Azure Sentinel zawierającymi kopie tych alertów usługi Azure Defender. Na przykład po zamknięciu zdarzenia usługi Azure Sentinel zawierającego alert usługi Azure Defender usługa Azure Defender automatycznie zamknie odpowiedni oryginalny alert.
Dowiedz się więcej w artykule Connect Azure Defender alerts from Azure Security Center (Łączenie alertów usługi Azure Defender z centrum zabezpieczeń Azure).
Logiczna reorganizacja alertów usługi Azure Defender dla usługi Resource Manager
Alerty wymienione poniżej zostały podane w ramach planu usługi Azure Defender dla usługi Resource Manager .
W ramach logicznej reorganizacji niektórych planów usługi Azure Defender przenieśliśmy pewne alerty z usługi Azure Defender dla usługi Resource Manager do usługi Azure Defender dla serwerów.
Alerty są zorganizowane zgodnie z dwiema głównymi zasadami:
- Alerty zapewniające ochronę płaszczyzny sterowania — w wielu typach zasobów platformy Azure — są częścią usługi Azure Defender dla usługi Resource Manager
- Alerty, które chronią określone obciążenia, znajdują się w planie usługi Azure Defender, który odnosi się do odpowiedniego obciążenia
Są to alerty, które były częścią usługi Azure Defender dla usługi Resource Manager i które w wyniku tej zmiany są teraz częścią usługi Azure Defender dla serwerów:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Dowiedz się więcej o planach usługi Azure Defender for Resource Manager i usługi Azure Defender for Servers .
Ulepszenia rekomendacji dotyczące włączania usługi Azure Disk Encryption (ADE)
Po wykonaniu opinii użytkowników zmieniliśmy nazwę zalecenia Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych.
Nowe zalecenie używa tego samego identyfikatora oceny i nazywa się Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem.
Opis został również zaktualizowany, aby lepiej wyjaśnić przeznaczenie tego zalecenia dotyczącego wzmacniania zabezpieczeń:
| Zalecenie | opis | Waga błędu |
|---|---|---|
| Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski tymczasowe i pamięci podręczne danych nie są szyfrowane, a dane nie są szyfrowane podczas przepływu między zasobami obliczeniowymi i magazynowymi. Aby uzyskać więcej informacji, zobacz porównanie różnych technologii szyfrowania dysków na platformie Azure. Za pomocą usługi Azure Disk Encryption szyfruj wszystkie te dane. Pomiń to zalecenie, jeśli (1) używasz funkcji szyfrowania na hoście lub (2) szyfrowanie po stronie serwera w Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie Szyfrowanie po stronie serwera usługi Azure Disk Storage. |
Wys. |
Ciągły eksport danych dotyczących wskaźnika bezpieczeństwa i zgodności z przepisami wydanych na potrzeby ogólnej dostępności
Eksport ciągły zapewnia mechanizm eksportowania alertów zabezpieczeń i zaleceń dotyczących śledzenia za pomocą innych narzędzi do monitorowania w danym środowisku.
Podczas konfigurowania eksportu ciągłego należy skonfigurować wyeksportowane elementy i miejsce, w którym zostanie on wyeksportowany. Dowiedz się więcej na temat przeglądu eksportu ciągłego.
Ulepszyliśmy i rozszerzyliśmy tę funkcję z upływem czasu:
W listopadzie 2020 r. dodaliśmy opcję podglądu, aby przesyłać strumieniowo zmiany do wskaźnika bezpieczeństwa.
W grudniu 2020 r. dodaliśmy opcję wersji zapoznawczej w celu przesyłania strumieniowego zmian do danych oceny zgodności z przepisami.
Dzięki tej aktualizacji te dwie opcje są udostępniane w celu zapewnienia ogólnej dostępności.
Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (GA)
W lutym 2021 r. dodaliśmy trzeci typ danych w wersji zapoznawczej do opcji wyzwalacza automatyzacji przepływu pracy: zmiany w ocenach zgodności z przepisami. Dowiedz się więcej w temacie Automatyzacje przepływu pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami.
W przypadku tej aktualizacji ta opcja wyzwalacza jest udostępniana w celu zapewnienia ogólnej dostępności.
Dowiedz się, jak używać narzędzi automatyzacji przepływu pracy w temacie Automatyzowanie odpowiedzi na wyzwalacze usługi Security Center.
Pola interfejsu API ocen "FirstEvaluationDate" i "StatusChangeDate" są teraz dostępne w schematach obszaru roboczego i aplikacjach logiki
W maju 2021 r. zaktualizowaliśmy interfejs API oceny o dwa nowe pola : FirstEvaluationDate i StatusChangeDate. Aby uzyskać szczegółowe informacje, zobacz Interfejs API ocen rozszerzony o dwa nowe pola.
Te pola były dostępne za pośrednictwem interfejsu API REST, usługi Azure Resource Graph, eksportu ciągłego i eksportu csv.
Dzięki tej zmianie udostępniamy informacje w schemacie obszaru roboczego usługi Log Analytics i z aplikacji logiki.
Szablon skoroszytu "Zgodność w czasie" dodany do galerii skoroszytów usługi Azure Monitor
W marcu ogłosiliśmy zintegrowane środowisko skoroszytów usługi Azure Monitor w usłudze Security Center (zobacz Skoroszyty usługi Azure Monitor zintegrowane z usługą Security Center i trzy udostępnione szablony).
W początkowej wersji zawarto trzy szablony umożliwiające tworzenie dynamicznych i wizualnych raportów dotyczących stanu zabezpieczeń organizacji.
Dodaliśmy skoroszyt przeznaczony do śledzenia zgodności subskrypcji z zastosowanymi normami prawnymi lub branżowymi.
Dowiedz się więcej o korzystaniu z tych raportów lub tworzeniu własnych informacji w artykule Tworzenie zaawansowanych, interaktywnych raportów dotyczących danych usługi Security Center.
Czerwiec 2021
Aktualizacje w czerwcu obejmują:
- Nowy alert dla usługi Azure Defender for Key Vault
- Zalecenia dotyczące szyfrowania przy użyciu kluczy zarządzanych przez klienta (CMKs) są domyślnie wyłączone
- Prefiks alertów platformy Kubernetes został zmieniony z "AKS_" na "K8S_"
- Przestarzałe dwa zalecenia dotyczące kontroli zabezpieczeń "Stosowanie aktualizacji systemu"
Nowy alert dla usługi Azure Defender for Key Vault
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Azure Defender for Key Vault, dodaliśmy następujący alert:
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| Dostęp z podejrzanego adresu IP do magazynu kluczy (KV_SuspiciousIPAccess) |
Dostęp do magazynu kluczy został pomyślnie uzyskiwany przez adres IP, który został zidentyfikowany przez usługę Microsoft Threat Intelligence jako podejrzany adres IP. Może to oznaczać, że bezpieczeństwo infrastruktury zostało naruszone. Zalecamy dalsze badanie. Dowiedz się więcej o możliwościach analizy zagrożeń firmy Microsoft. | Dostęp poświadczeń | Śred. |
Aby uzyskać więcej informacji, zobacz:
- Wprowadzenie do usługi Azure Defender dla usługi Key Vault
- Reagowanie na alerty usługi Azure Defender for Key Vault
- Lista alertów udostępnianych przez usługę Azure Defender for Key Vault
Zalecenia dotyczące szyfrowania przy użyciu kluczy zarządzanych przez klienta (CMKs) są domyślnie wyłączone
Usługa Security Center zawiera wiele zaleceń dotyczących szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez klienta, takich jak:
- Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
- Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
- Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
Dane na platformie Azure są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko wtedy, gdy jest to wymagane w celu zachowania zgodności z określonymi zasadami, które organizacja decyduje się wymusić.
Dzięki tej zmianie zalecenia dotyczące używania zestawów CMKs są teraz domyślnie wyłączone. Jeśli jest to istotne dla organizacji, możesz je włączyć, zmieniając parametr Effect dla odpowiednich zasad zabezpieczeń na AuditIfNotExists lub Enforce. Dowiedz się więcej w artykule Włączanie rekomendacji dotyczącej zabezpieczeń.
Ta zmiana jest odzwierciedlana w nazwach rekomendacji z nowym prefiksem [Włącz, jeśli jest to wymagane], jak pokazano w następujących przykładach:
- [Włącz, jeśli jest to wymagane] Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych
- [Włącz, jeśli jest to wymagane] Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
- [Włącz, jeśli jest to wymagane] Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
Prefiks alertów platformy Kubernetes został zmieniony z "AKS_" na "K8S_"
Usługa Azure Defender dla platformy Kubernetes została niedawno rozszerzona w celu ochrony klastrów Kubernetes hostowanych lokalnie i w środowiskach wielochmurowych. Dowiedz się więcej w temacie Korzystanie z usługi Azure Defender dla platformy Kubernetes w celu ochrony wdrożeń hybrydowych i wielochmurowych platformy Kubernetes (w wersji zapoznawczej).
Aby odzwierciedlić fakt, że alerty zabezpieczeń udostępniane przez usługę Azure Defender dla platformy Kubernetes nie są już ograniczone do klastrów w usłudze Azure Kubernetes Service, zmieniliśmy prefiks typów alertów z "AKS_" na "K8S_". W razie potrzeby nazwy i opisy również zostały zaktualizowane. Na przykład ten alert:
| Alert (typ alertu) | opis |
|---|---|
| Wykryto narzędzie do testowania penetracyjnego platformy Kubernetes (AKS_PenTestToolsKubeHunter) |
Analiza dziennika inspekcji kubernetes wykryła użycie narzędzia do testowania penetracyjnego Kubernetes w klastrze usługi AKS . Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą używać takich narzędzi publicznych do złośliwych celów. |
Zmieniono na ten alert:
| Alert (typ alertu) | opis |
|---|---|
| Wykryto narzędzie do testowania penetracyjnego platformy Kubernetes (K8S_PenTestToolsKubeHunter) |
Analiza dziennika inspekcji platformy Kubernetes wykryła użycie narzędzia do testowania penetracyjnego Kubernetes w klastrze Kubernetes . Chociaż takie zachowanie może być uzasadnione, osoby atakujące mogą używać takich narzędzi publicznych do złośliwych celów. |
Wszystkie reguły pomijania odwołujące się do alertów rozpoczynających się od "AKS_" zostały automatycznie przekonwertowane. Jeśli skonfigurowaliśmy eksporty rozwiązania SIEM lub niestandardowe skrypty automatyzacji odwołujące się do alertów platformy Kubernetes według typu alertu, należy je zaktualizować przy użyciu nowych typów alertów.
Aby uzyskać pełną listę alertów platformy Kubernetes, zobacz Alerty dla klastrów Kubernetes.
Przestarzałe dwa zalecenia dotyczące kontroli zabezpieczeń "Stosowanie aktualizacji systemu"
Następujące dwa zalecenia zostały uznane za przestarzałe:
- Wersja systemu operacyjnego powinna zostać zaktualizowana dla ról usługi w chmurze — domyślnie platforma Azure okresowo aktualizuje system operacyjny gościa do najnowszego obsługiwanego obrazu w rodzinie systemów operacyjnych określonych w konfiguracji usługi (cscfg), na przykład Windows Server 2016.
- Usługi Kubernetes Services powinny zostać uaktualnione do wersji platformy Kubernetes, która nie jest podatna na zagrożenia — oceny tej rekomendacji nie są tak szerokie, jak chcielibyśmy, aby były. Planujemy zastąpić zalecenie ulepszoną wersją, która jest lepiej zgodna z potrzebami w zakresie zabezpieczeń.
Maj 2021
Aktualizacje w maju obejmują:
- Usługa Azure Defender dla usług DNS i Azure Defender dla usługi Resource Manager została wydana w celu zapewnienia ogólnej dostępności
- Usługa Azure Defender dla relacyjnych baz danych typu open source wydana w celu zapewnienia ogólnej dostępności
- Nowe alerty dla usługi Azure Defender dla usługi Resource Manager
- Skanowanie w zabezpieczeniach ciągłej integracji/ciągłego wdrażania obrazów kontenerów przy użyciu przepływów pracy usługi GitHub i usługi Azure Defender (wersja zapoznawcza)
- Więcej zapytań usługi Resource Graph dostępnych dla niektórych zaleceń
- Ważność zalecenia dotyczącego klasyfikacji danych SQL została zmieniona
- Nowe zalecenia dotyczące włączania zaufanych funkcji uruchamiania (w wersji zapoznawczej)
- Nowe zalecenia dotyczące wzmacniania zabezpieczeń klastrów Kubernetes (w wersji zapoznawczej)
- Interfejs API ocen został rozszerzony o dwa nowe pola
- Spis zasobów pobiera filtr środowiska chmury
Usługa Azure Defender dla usług DNS i Azure Defender dla usługi Resource Manager została wydana w celu zapewnienia ogólnej dostępności
Te dwa natywne dla chmury plany ochrony przed zagrożeniami są teraz ogólnie dostępne.
Te nowe zabezpieczenia znacznie zwiększają odporność na ataki ze strony podmiotów zagrożeń i znacznie zwiększają liczbę zasobów platformy Azure chronionych przez usługę Azure Defender.
Usługa Azure Defender dla usługi Resource Manager — automatycznie monitoruje wszystkie operacje zarządzania zasobami wykonywane w organizacji. Aby uzyskać więcej informacji, zobacz:
Usługa Azure Defender dla systemu DNS — stale monitoruje wszystkie zapytania DNS z zasobów platformy Azure. Aby uzyskać więcej informacji, zobacz:
Aby uprościć proces włączania tych planów, skorzystaj z zaleceń:
- Usługa Azure Defender dla usługi Resource Manager powinna być włączona
- Usługa Azure Defender dla usługi DNS powinna być włączona
Uwaga
Włączenie planów usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej na temat szczegółów cen w poszczególnych regionach na stronie cennika usługi Security Center.
Usługa Azure Defender dla relacyjnych baz danych typu open source wydana w celu zapewnienia ogólnej dostępności
Usługa Azure Security Center rozszerza ofertę ochrony SQL za pomocą nowego pakietu, aby uwzględnić relacyjne bazy danych typu open source:
- Serwery usługi Azure Defender dla bazy danych Azure SQL Database — broni serwerów SQL natywnych dla platformy Azure
- Usługa Azure Defender dla serwerów SQL na maszynach — rozszerza te same zabezpieczenia na serwery SQL w środowiskach hybrydowych, wielochmurowych i lokalnych
- Usługa Azure Defender dla relacyjnych baz danych typu open source — broni pojedynczych serwerów usługi Azure Databases for MySQL, PostgreSQL i MariaDB
Usługa Azure Defender dla relacyjnych baz danych typu open source stale monitoruje serwery pod kątem zagrożeń bezpieczeństwa i wykrywa nietypowe działania bazy danych wskazujące potencjalne zagrożenia dla usługi Azure Database for MySQL, PostgreSQL i MariaDB. Niektóre przykłady:
- Szczegółowe wykrywanie ataków siłowych — usługa Azure Defender dla relacyjnych baz danych typu open source zawiera szczegółowe informacje na temat prób i pomyślnych ataków siłowych. Dzięki temu można badać i reagować, lepiej rozumiejąc charakter i stan ataku na środowisko.
- Wykrywanie alertów behawioralnych — usługa Azure Defender dla relacyjnych baz danych typu open source powiadamia o podejrzanych i nieoczekiwanych zachowaniach na serwerach, takich jak zmiany wzorca dostępu do bazy danych.
- Wykrywanie oparte na analizie zagrożeń — usługa Azure Defender stosuje analizę zagrożeń firmy Microsoft i ogromne baza wiedzy, aby uwidocznić alerty zagrożeń, dzięki czemu można na nich działać.
Dowiedz się więcej w artykule Wprowadzenie do usługi Azure Defender dla relacyjnych baz danych typu open source.
Nowe alerty dla usługi Azure Defender dla usługi Resource Manager
Aby rozszerzyć ochronę przed zagrożeniami zapewnianą przez usługę Azure Defender dla usługi Resource Manager, dodaliśmy następujące alerty:
| Alert (typ alertu) | opis | TAKTYKA MITRE | Ważność |
|---|---|---|---|
| Uprawnienia przyznane dla roli RBAC w nietypowy sposób dla środowiska platformy Azure (wersja zapoznawcza) (ARM_AnomalousRBACRoleAssignment) |
Usługa Azure Defender dla usługi Resource Manager wykryła przypisanie roli RBAC, które jest nietypowe w porównaniu z innymi przypisaniami wykonywanymi przez tego samego przypisania /wykonane dla tego samego przypisania / w dzierżawie z powodu następujących anomalii: czas przypisania, lokalizacja przypisania, przypisywanie, metoda uwierzytelniania, przypisane jednostki, używane oprogramowanie klienckie, zakres przypisania. Ta operacja mogła zostać wykonana przez uprawnionego użytkownika w organizacji. Alternatywnie może to wskazywać, że konto w organizacji zostało naruszone i że aktor zagrożeń próbuje udzielić uprawnień do dodatkowego konta użytkownika, którego jest właścicielem. | Ruch poprzeczny, uchylanie się od obrony | Śred. |
| Rola niestandardowa uprzywilejowana utworzona dla subskrypcji w podejrzany sposób (wersja zapoznawcza) (ARM_PrivilegedRoleDefinitionCreation) |
Usługa Azure Defender dla usługi Resource Manager wykryła podejrzane tworzenie definicji roli niestandardowej uprzywilejowanej w ramach subskrypcji. Ta operacja mogła zostać wykonana przez uprawnionego użytkownika w organizacji. Alternatywnie może to wskazywać, że konto w organizacji zostało naruszone i że aktor zagrożeń próbuje utworzyć uprzywilejowaną rolę do użycia w przyszłości w celu uniknięcia wykrycia. | Ruch poprzeczny, uchylanie się od obrony | Niski |
| Operacja usługi Azure Resource Manager z podejrzanego adresu IP (wersja zapoznawcza) (ARM_OperationFromSuspiciousIP) |
Usługa Azure Defender dla usługi Resource Manager wykryła operację z adresu IP, który został oznaczony jako podejrzany w źródłach analizy zagrożeń. | Wykonanie | Śred. |
| Operacja usługi Azure Resource Manager z podejrzanego adresu IP serwera proxy (wersja zapoznawcza) (ARM_OperationFromSuspiciousProxyIP) |
Usługa Azure Defender dla usługi Resource Manager wykryła operację zarządzania zasobami z adresu IP skojarzonego z usługami proxy, takimi jak TOR. Chociaż to zachowanie może być uzasadnione, często występuje w złośliwych działaniach, gdy aktorzy zagrożeń próbują ukryć źródłowy adres IP. | Uchylanie się od obrony | Śred. |
Aby uzyskać więcej informacji, zobacz:
- Wprowadzenie do usługi Azure Defender dla usługi Resource Manager
- Reagowanie na alerty usługi Azure Defender for Resource Manager
- Lista alertów udostępnianych przez usługę Azure Defender dla usługi Resource Manager
Skanowanie w zabezpieczeniach ciągłej integracji/ciągłego wdrażania obrazów kontenerów przy użyciu przepływów pracy usługi GitHub i usługi Azure Defender (wersja zapoznawcza)
Usługa Azure Defender dla rejestrów kontenerów zapewnia teraz zespołom DevSecOps wgląd w przepływy pracy funkcji GitHub Actions.
Nowa funkcja skanowania luk w zabezpieczeniach dla obrazów kontenerów, korzystająca z rozwiązania Trivy, ułatwia skanowanie pod kątem typowych luk w zabezpieczeniach obrazów kontenerów przed wypychaniem obrazów do rejestrów kontenerów.
Raporty skanowania kontenerów są podsumowane w usłudze Azure Security Center, zapewniając zespołom ds. zabezpieczeń lepsze informacje o źródle narażonych obrazów kontenerów oraz przepływów pracy i repozytoriów, z których pochodzą.
Dowiedz się więcej w artykule Identyfikowanie obrazów kontenerów podatnych na zagrożenia w przepływach pracy ciągłej integracji/ciągłego wdrażania.
Więcej zapytań usługi Resource Graph dostępnych dla niektórych zaleceń
Wszystkie zalecenia usługi Security Center mają możliwość wyświetlenia informacji o stanie zasobów, których dotyczy problem, przy użyciu usługi Azure Resource Graph z poziomu otwartego zapytania. Aby uzyskać szczegółowe informacje na temat tej zaawansowanej funkcji, zobacz Przeglądanie danych rekomendacji w Eksploratorze usługi Azure Resource Graph.
Usługa Security Center obejmuje wbudowane skanery luk w zabezpieczeniach do skanowania maszyn wirtualnych, serwerów SQL i ich hostów oraz rejestrów kontenerów pod kątem luk w zabezpieczeniach. Wyniki są zwracane jako zalecenia dotyczące wszystkich poszczególnych ustaleń dla każdego typu zasobu zebranego w jeden widok. Zalecenia są następujące:
- Luki w zabezpieczeniach obrazów usługi Azure Container Registry powinny zostać skorygowane (obsługiwane przez firmę Qualys)
- Należy skorygować luki w zabezpieczeniach maszyn wirtualnych
- Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
- Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach
Dzięki tej zmianie możesz użyć przycisku Otwórz zapytanie , aby otworzyć również zapytanie przedstawiające wyniki zabezpieczeń.
Przycisk Otwórz zapytanie oferuje dodatkowe opcje dla innych zaleceń tam, gdzie jest to istotne.
Dowiedz się więcej o skanerach luk w zabezpieczeniach usługi Security Center:
- Zintegrowany skaner luk w zabezpieczeniach qualys w usłudze Azure Defender dla platformy Azure i maszyn hybrydowych
- Zintegrowany skaner oceny luk w zabezpieczeniach usługi Azure Defender dla serwerów SQL
- Zintegrowany skaner oceny luk w zabezpieczeniach usługi Azure Defender dla rejestrów kontenerów
Ważność zalecenia dotyczącego klasyfikacji danych SQL została zmieniona
Ważność zalecenia Poufne dane w bazach danych SQL powinna zostać sklasyfikowana , została zmieniona z Wysoki na Niski.
Jest to część ciągłej zmiany tej rekomendacji ogłoszonej na naszej nadchodzącej stronie zmian.
Nowe zalecenia dotyczące włączania zaufanych funkcji uruchamiania (w wersji zapoznawczej)
Platforma Azure oferuje zaufane uruchamianie jako bezproblemowy sposób poprawy bezpieczeństwa maszyn wirtualnych generacji 2 . Zaufane uruchamianie chroni przed zaawansowanymi i trwałymi technikami ataków. Zaufane uruchamianie składa się z kilku, skoordynowanych technologii infrastruktury, które można włączyć niezależnie. Każda technologia zapewnia kolejną warstwę obrony przed zaawansowanymi zagrożeniami. Dowiedz się więcej w temacie Zaufane uruchamianie maszyn wirtualnych platformy Azure.
Ważne
Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych. Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.
Zaufane uruchamianie jest obecnie dostępne w publicznej wersji zapoznawczej. Wersja zapoznawcza jest udostępniana bez umowy dotyczącej poziomu usług i nie jest zalecana w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone.
Zalecenie usługi Security Center, że maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych, gwarantuje, że maszyny wirtualne platformy Azure używają maszyn wirtualnych vTPM. Ta zwirtualizowana wersja sprzętowego modułu Trusted Platform Module umożliwia zaświadczenie przez pomiar całego łańcucha rozruchu maszyny wirtualnej (UEFI, OS, system i sterowniki).
Po włączeniu funkcji vTPM rozszerzenie zaświadczania gościa może zdalnie zweryfikować bezpieczny rozruch. Następujące zalecenia zapewniają wdrożenie tego rozszerzenia:
- Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows
- Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows
- Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows
- Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux
- Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux
Dowiedz się więcej w temacie Zaufane uruchamianie maszyn wirtualnych platformy Azure.
Nowe zalecenia dotyczące wzmacniania zabezpieczeń klastrów Kubernetes (w wersji zapoznawczej)
Poniższe zalecenia umożliwiają dalsze wzmacnianie zabezpieczeń klastrów Kubernetes
- Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw — aby chronić przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount, zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes.
- Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API — aby zapobiec potencjalnie naruszonemu zasobowi zasobnika uruchamiania poleceń interfejsu API w klastrach Kubernetes, wyłącz automatyczne instalowanie poświadczeń interfejsu API.
- Klastry Kubernetes nie powinny udzielać możliwości zabezpieczeń CAPSYSADMIN
Dowiedz się, jak usługa Security Center może chronić środowiska konteneryzowane w zabezpieczeniach kontenerów w usłudze Security Center.
Interfejs API ocen został rozszerzony o dwa nowe pola
Do interfejsu API REST ocen dodaliśmy następujące dwa pola:
- FirstEvaluationDate — czas utworzenia i oceny rekomendacji. Zwracany jako czas UTC w formacie ISO 8601.
- StatusChangeDate — czas ostatniego zmiany stanu rekomendacji. Zwracany jako czas UTC w formacie ISO 8601.
Początkowa wartość domyślna dla tych pól — dla wszystkich zaleceń — to 2021-03-14T00:00:00+0000000Z.
Aby uzyskać dostęp do tych informacji, możesz użyć dowolnej z metod w poniższej tabeli.
| Narzędzie | Szczegóły |
|---|---|
| Wywołanie interfejsu API REST | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Eksport ciągły | Dwa dedykowane pola będą dostępne dla danych obszaru roboczego usługi Log Analytics |
| Eksportowanie pliku CSV | Dwa pola są uwzględniane w plikach CSV |
Dowiedz się więcej o interfejsie API REST ocen.
Spis zasobów pobiera filtr środowiska chmury
Strona spisu zasobów usługi Security Center oferuje wiele filtrów, które umożliwiają szybkie uściślenie wyświetlanej listy zasobów. Dowiedz się więcej w artykule Eksplorowanie zasobów i zarządzanie nimi za pomocą spisu zasobów.
Nowy filtr oferuje opcję uściślinia listy zgodnie z kontami w chmurze połączonymi z funkcjami wielochmurowymi usługi Security Center:
Dowiedz się więcej o funkcjach wielochmurowych:
- Łączenie kont platformy AWS z usługą Azure Security Center
- Łączenie projektów GCP z usługą Azure Security Center
Kwiecień 2021
Aktualizacje w kwietniu obejmują:
- Odświeżona strona kondycji zasobów (w wersji zapoznawczej)
- Obrazy rejestru kontenerów, które zostały ostatnio pobrane, są teraz ponownie skanowane co tydzień (wydane pod kątem ogólnej dostępności))
- Korzystanie z usługi Azure Defender dla platformy Kubernetes w celu ochrony wdrożeń hybrydowych i wielochmurowych platformy Kubernetes (w wersji zapoznawczej)
- Ochrona punktu końcowego w usłudze Microsoft Defender integracja z usługą Azure Defender obsługuje teraz systemy Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop wydane w celu zapewnienia ogólnej dostępności
- Zalecenia dotyczące włączania usługi Azure Defender dla usług DNS i Resource Manager (w wersji zapoznawczej)
- Dodano trzy standardy zgodności z przepisami: Azure CIS 1.3.0, CMMC Level 3 i New Zealand ISM Restricted
- Cztery nowe zalecenia związane z konfiguracją gościa (w wersji zapoznawczej)
- Zalecenia dotyczące klucza zarządzanego przez klienta zostały przeniesione do kontroli zabezpieczeń najlepszych rozwiązań
- Jedenaście alertów usługi Azure Defender jest przestarzałych
- Dwie rekomendacje dotyczące kontroli zabezpieczeń "Zastosuj aktualizacje systemu" zostały uznane za przestarzałe
- Kafelek usługi Azure Defender for SQL na maszynie został usunięty z pulpitu nawigacyjnego usługi Azure Defender
- Zalecenia zostały przeniesione między mechanizmami kontroli zabezpieczeń
Odświeżona strona kondycji zasobów (w wersji zapoznawczej)
Kondycja zasobu została rozszerzona, ulepszona i ulepszona w celu zapewnienia widoku migawki ogólnego stanu pojedynczego zasobu.
Możesz przejrzeć szczegółowe informacje o zasobie i wszystkich zaleceniach, które mają zastosowanie do tego zasobu. Ponadto, jeśli używasz zaawansowanych planów ochrony usługi Microsoft Defender, możesz również zobaczyć wyjątkowe alerty zabezpieczeń dla tego konkretnego zasobu.
Aby otworzyć stronę kondycji zasobu dla zasobu, wybierz dowolny zasób ze strony spisu zasobów.
Ta strona podglądu na stronach portalu usługi Security Center pokazuje:
- Informacje o zasobach — grupa zasobów i subskrypcja, do których jest dołączona, lokalizacja geograficzna i nie tylko.
- Zastosowana funkcja zabezpieczeń — określa, czy usługa Azure Defender jest włączona dla zasobu.
- Liczba wybitnych zaleceń i alertów — liczba wybitnych zaleceń dotyczących zabezpieczeń i alertów usługi Azure Defender.
- Zalecenia i alerty z możliwością działania — dwie karty zawierają zalecenia i alerty dotyczące zasobu.
Dowiedz się więcej w artykule Samouczek: badanie kondycji zasobów.
Obrazy rejestru kontenerów, które zostały ostatnio pobrane, są teraz ponownie skanowane co tydzień (wydane pod kątem ogólnej dostępności))
Usługa Azure Defender dla rejestrów kontenerów zawiera wbudowany skaner luk w zabezpieczeniach. Ten skaner natychmiast skanuje każdy obraz wypychany do rejestru i dowolny obraz ściągnięty w ciągu ostatnich 30 dni.
Nowe luki w zabezpieczeniach są wykrywane codziennie. Dzięki tej aktualizacji obrazy kontenerów, które zostały pobrane z rejestrów w ciągu ostatnich 30 dni, zostaną ponownie zeskanowane co tydzień. Dzięki temu nowo odnalezione luki w zabezpieczeniach zostaną zidentyfikowane na obrazach.
Opłata za skanowanie jest naliczana na podstawie obrazu, więc za te operacje skanowania nie są naliczane dodatkowe opłaty.
Dowiedz się więcej na temat tego skanera w artykule Używanie usługi Azure Defender dla rejestrów kontenerów do skanowania obrazów pod kątem luk w zabezpieczeniach.
Korzystanie z usługi Azure Defender dla platformy Kubernetes w celu ochrony wdrożeń hybrydowych i wielochmurowych platformy Kubernetes (w wersji zapoznawczej)
Usługa Azure Defender dla platformy Kubernetes rozszerza możliwości ochrony przed zagrożeniami, aby bronić klastrów niezależnie od ich wdrożenia. Umożliwiono to integrację z platformą Kubernetes z włączoną usługą Azure Arc i jej nowymi możliwościami rozszerzeń.
Po włączeniu usługi Azure Arc w klastrach spoza platformy Azure Kubernetes nowe zalecenie z usługi Azure Security Center oferuje wdrożenie agenta usługi Azure Defender tylko za pomocą kilku kliknięć.
Użyj zalecenia (klastry Kubernetes z włączoną obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Defender) i rozszerzenie w celu ochrony klastrów Kubernetes wdrożonych u innych dostawców chmury, chociaż nie w zarządzanych usługach Kubernetes.
Ta integracja między usługami Azure Security Center, Azure Defender i Kubernetes z włączoną usługą Azure Arc zapewnia następujące korzyści:
- Łatwe aprowizowanie agenta usługi Azure Defender w celu niechronienia klastrów Kubernetes z włączoną usługą Azure Arc (ręcznie i na dużą skalę)
- Monitorowanie agenta usługi Azure Defender i jego stanu aprowizacji z witryny Azure Arc Portal
- Zalecenia dotyczące zabezpieczeń z usługi Security Center są zgłaszane na nowej stronie Zabezpieczenia w witrynie Azure Arc Portal
- Zidentyfikowane zagrożenia bezpieczeństwa z usługi Azure Defender są zgłaszane na nowej stronie Zabezpieczenia w witrynie Azure Arc Portal
- Klastry Kubernetes z obsługą usługi Azure Arc są zintegrowane z platformą i środowiskiem usługi Azure Security Center
Dowiedz się więcej w artykule Korzystanie z usługi Azure Defender dla platformy Kubernetes z lokalnymi i wielochmurowymi klastrami Kubernetes.
Ochrona punktu końcowego w usłudze Microsoft Defender integracja z usługą Azure Defender obsługuje teraz systemy Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop wydane w celu zapewnienia ogólnej dostępności
Usługa Ochrona punktu końcowego w usłudze Microsoft Defender to całościowe, dostępne w chmurze rozwiązanie służące do zabezpieczania punktów końcowych. Zapewnia on zarządzanie lukami w zabezpieczeniach i ocenę opartą na ryzyku, a także wykrywanie i reagowanie w punktach końcowych (EDR). Aby uzyskać pełną listę zalet korzystania z usługi Defender for Endpoint razem z usługą Azure Security Center, zobacz Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Security Center: Ochrona punktu końcowego w usłudze Microsoft Defender.
Po włączeniu usługi Azure Defender dla serwerów z systemem Windows Server licencja dla usługi Defender dla punktu końcowego jest dołączona do planu. Jeśli usługa Azure Defender dla serwerów została już włączona i masz serwery z systemem Windows Server 2019 w subskrypcji, automatycznie otrzymają one usługę Defender for Endpoint z tą aktualizacją. Nie jest wymagana żadna akcja ręczna.
Obsługa została rozszerzona w celu uwzględnienia systemów Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop.
Uwaga
Jeśli włączasz usługę Defender for Endpoint na serwerze z systemem Windows Server 2019, upewnij się, że spełnia ona wymagania wstępne opisane w artykule Włączanie integracji z Ochrona punktu końcowego w usłudze Microsoft Defender.
Zalecenia dotyczące włączania usługi Azure Defender dla usług DNS i Resource Manager (w wersji zapoznawczej)
Dodano dwie nowe zalecenia, aby uprościć proces włączania usługi Azure Defender dla usługi Resource Manager i usługi Azure Defender dla systemu DNS:
- Należy włączyć usługę Azure Defender dla usługi Resource Manager — usługa Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach.
- Usługa Azure Defender dla usługi DNS powinna być włączona — usługa Defender for DNS zapewnia dodatkową warstwę ochrony zasobów w chmurze, stale monitorując wszystkie zapytania DNS z zasobów platformy Azure. Usługa Azure Defender ostrzega Cię o podejrzanych działaniach w warstwie DNS.
Włączenie planów usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej na temat szczegółów cen w poszczególnych regionach na stronie cennika usługi Security Center.
Napiwek
Rekomendacje dotyczące wersji zapoznawczej nie renderują zasobu w złej kondycji i nie są uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Koryguj je wszędzie tam, gdzie jest to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku. Dowiedz się więcej o sposobie reagowania na te zalecenia w temacie Korygowanie zaleceń w usłudze Azure Security Center.
Dodano trzy standardy zgodności z przepisami: Azure CIS 1.3.0, CMMC Level 3 i New Zealand ISM Restricted
Dodaliśmy trzy standardy do użycia z usługą Azure Security Center. Korzystając z pulpitu nawigacyjnego zgodności z przepisami, możesz teraz śledzić zgodność z:
Można je przypisać do subskrypcji zgodnie z opisem w temacie Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Dowiedz się więcej w:
- Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami
- Samouczek: ulepszanie zgodności z przepisami
- Często zadawane pytania — pulpit nawigacyjny zgodności z przepisami
Cztery nowe zalecenia związane z konfiguracją gościa (w wersji zapoznawczej)
Rozszerzenie Konfiguracji gościa platformy Azure raportuje do usługi Security Center, aby upewnić się, że ustawienia gościa maszyn wirtualnych są wzmocnione. Rozszerzenie nie jest wymagane w przypadku serwerów z włączoną usługą Arc, ponieważ jest ono dostępne w agencie maszyny połączonej z usługą Arc. Rozszerzenie wymaga tożsamości zarządzanej przez system na maszynie.
Dodaliśmy cztery nowe zalecenia do usługi Security Center, aby jak najlepiej wykorzystać to rozszerzenie.
Dwa zalecenia monitować o zainstalowanie rozszerzenia i jego wymaganej tożsamości zarządzanej przez system:
- Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach
- Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system
Po zainstalowaniu i uruchomieniu rozszerzenia rozpocznie inspekcję maszyn i zostanie wyświetlony monit o wzmocnienie zabezpieczeń ustawień, takich jak konfiguracja systemu operacyjnego i ustawień środowiska. Te dwa zalecenia spowodują wyświetlenie monitu o wzmocnienie zabezpieczeń maszyn z systemami Windows i Linux zgodnie z opisem:
- Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach
- Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH
Dowiedz się więcej w artykule Omówienie konfiguracji gościa usługi Azure Policy.
Zalecenia dotyczące klucza zarządzanego przez klienta zostały przeniesione do kontroli zabezpieczeń najlepszych rozwiązań
Każdy program zabezpieczeń organizacji obejmuje wymagania dotyczące szyfrowania danych. Domyślnie dane klientów platformy Azure są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę. Klucze zarządzane przez klienta są jednak często wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Zapewnia to pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie.
Mechanizmy kontroli zabezpieczeń usługi Azure Security Center to logiczne grupy powiązanych zaleceń dotyczących zabezpieczeń i odzwierciedlają powierzchnie podatne na ataki. Każda kontrolka ma maksymalną liczbę punktów, które można dodać do wskaźnika bezpieczeństwa, jeśli korygujesz wszystkie zalecenia wymienione w kontrolce dla wszystkich zasobów. Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń kontroli zabezpieczeń jest warte zero punktów. Dlatego rekomendacje w tej kontrolce nie wpływają na wskaźnik bezpieczeństwa.
Zalecenia wymienione poniżej są przenoszone do sekcji Implementowanie kontroli zabezpieczeń najlepszych rozwiązań w celu lepszego odzwierciedlenia ich opcjonalnego charakteru. Ten ruch gwarantuje, że te zalecenia znajdują się w najbardziej odpowiedniej kontroli, aby spełnić ich cel.
- Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
- Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
- Konta usług Azure AI powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta (CMK)
- Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)
- Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
- Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych
- Konta magazynu powinny używać klucza zarządzanego przez klienta (CMK) do szyfrowania
Dowiedz się, które zalecenia znajdują się w każdej kontroli zabezpieczeń w obszarze Mechanizmy kontroli zabezpieczeń i ich zalecenia.
11 Alerty usługi Azure Defender przestarzałe
Jedenaście alertów usługi Azure Defender wymienionych poniżej zostało przestarzałych.
Nowe alerty zastąpią te dwa alerty i zapewniają lepsze pokrycie:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo WERSJA ZAPOZNAWCZA — wykryto uruchomienie funkcji "Get-AzureDomainInfo" zestawu narzędzi MicroBurst ARM_MicroBurstRunbook WERSJA ZAPOZNAWCZA — wykryto uruchomienie funkcji "Get-AzurePasswords" zestawu narzędzi MicroBurst Te dziewięć alertów dotyczy łącznika usługi Azure Active Directory Identity Protection (IPC), który został już przestarzały:
AlertType AlertDisplayName Nieznanylokalizacja Nieznane właściwości logowania Dziennik anonimowy Anonimowy adres IP InfectedDeviceLogin Adres IP połączony ze złośliwym oprogramowaniem ImpossibleTravel Nietypowa podróż MaliciousIP Złośliwy adres IP LeakedCredentials Ujawnione poświadczenia PasswordSpray Spray haseł LeakedCredentials Analiza zagrożeń w usłudze Azure AD AADAI Azure AD AI Napiwek
Te dziewięć alertów IPC nigdy nie były alertami usługi Security Center. Są one częścią łącznika usługi Azure Active Directory (AAD) Identity Protection (IPC), który wysyłał je do usługi Security Center. W ciągu ostatnich dwóch lat jedynymi klientami, którzy widzieli te alerty, są organizacje, które skonfigurowały eksport (z łącznika do usługi ASC) w 2019 r. lub wcześniej. Usługa AAD IPC nadal wyświetlała je we własnych systemach alertów i nadal była dostępna w usłudze Azure Sentinel. Jedyną zmianą jest to, że nie są one już wyświetlane w usłudze Security Center.
Dwie rekomendacje dotyczące kontroli zabezpieczeń "Zastosuj aktualizacje systemu" zostały uznane za przestarzałe
Następujące dwa zalecenia zostały uznane za przestarzałe, a zmiany mogą spowodować niewielki wpływ na wskaźnik bezpieczeństwa:
- Aby zastosować aktualizacje systemowe, należy ponownie uruchomić maszyny
- Agent monitorowania powinien być zainstalowany na maszynach. To zalecenie dotyczy tylko maszyn lokalnych, a niektóre z jej logiki zostaną przeniesione do innego zalecenia. Problemy z kondycją agenta usługi Log Analytics powinny zostać rozwiązane na maszynach
Zalecamy sprawdzenie konfiguracji automatyzacji eksportu ciągłego i przepływu pracy, aby sprawdzić, czy te zalecenia są zawarte w nich. Ponadto wszystkie pulpity nawigacyjne lub inne narzędzia do monitorowania, które mogą ich używać, powinny być odpowiednio aktualizowane.
Kafelek usługi Azure Defender for SQL na maszynie został usunięty z pulpitu nawigacyjnego usługi Azure Defender
Obszar pokrycia pulpitu nawigacyjnego usługi Azure Defender zawiera kafelki dla odpowiednich planów usługi Azure Defender dla danego środowiska. Ze względu na problem z raportowaniem liczby chronionych i niechronionych zasobów postanowiliśmy tymczasowo usunąć stan pokrycia zasobów dla usługi Azure Defender for SQL na maszynach , dopóki problem nie zostanie rozwiązany.
Zalecenia przeniesione między mechanizmami kontroli zabezpieczeń
Poniższe zalecenia zostały przeniesione do różnych mechanizmów kontroli zabezpieczeń. Mechanizmy kontroli zabezpieczeń to logiczne grupy powiązanych zaleceń dotyczących zabezpieczeń i odzwierciedlają powierzchnie podatne na ataki. Dzięki temu każda z tych rekomendacji jest w najbardziej odpowiedniej kontroli, aby osiągnąć swój cel.
Dowiedz się, które zalecenia znajdują się w każdej kontroli zabezpieczeń w obszarze Mechanizmy kontroli zabezpieczeń i ich zalecenia.
| Zalecenie | Zmiana i wpływ |
|---|---|
| Ocena luk w zabezpieczeniach powinna być włączona na Twoich serwerach SQL Ocena luk w zabezpieczeniach powinna być włączona w wystąpieniach zarządzanych SQL Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane Należy skorygować luki w zabezpieczeniach baz danych SQL na maszynach wirtualnych |
Przechodzenie z korygowania luk w zabezpieczeniach (o wartości sześciu punktów) aby skorygować konfiguracje zabezpieczeń (warte cztery punkty). W zależności od środowiska te zalecenia będą miały ograniczony wpływ na ocenę. |
| Do Twojej subskrypcji powinien być przypisany więcej niż jeden właściciel Zmienne konta usługi Automation powinny być szyfrowane Urządzenia IoT — proces inspekcji przestał wysyłać zdarzenia Urządzenia IoT — niepowodzenie weryfikacji punktu odniesienia systemu operacyjnego Urządzenia IoT — wymagane jest uaktualnienie pakietu szyfrowania TLS Urządzenia IoT — otwieranie portów na urządzeniu Urządzenia IoT — znaleziono zasady zapory permissive w jednym z łańcuchów Urządzenia IoT — odnaleziono regułę zapory permissive w łańcuchu danych wejściowych Urządzenia IoT — odnaleziono regułę zapory permissive w łańcuchu danych wyjściowych Dzienniki diagnostyczne w usłudze IoT Hub powinny być włączone Urządzenia IoT — agent wysyłający nie w pełni wykorzystywane komunikaty Urządzenia IoT — domyślne zasady filtrowania adresów IP powinny mieć wartość Odmów Urządzenia IoT — reguła filtrowania adresów IP — duży zakres adresów IP Urządzenia IoT — należy dostosować interwały i rozmiar komunikatów agenta Urządzenia IoT — identyczne poświadczenia uwierzytelniania Urządzenia IoT — proces inspekcji przestał wysyłać zdarzenia Urządzenia IoT — konfiguracja punktu odniesienia systemu operacyjnego (OS) powinna zostać naprawiona |
Przejście do implementowania najlepszych rozwiązań w zakresie zabezpieczeń. Gdy rekomendacja zostanie przeniesiona do pozycji Implementowanie kontroli zabezpieczeń najlepszych rozwiązań w zakresie zabezpieczeń, która nie jest warta żadnych punktów, zalecenie nie ma już wpływu na wskaźnik bezpieczeństwa. |
Marzec 2021
Aktualizacje w marcu obejmują:
- Zarządzanie usługą Azure Firewall zintegrowane z usługą Security Center
- Ocena luk w zabezpieczeniach SQL obejmuje teraz środowisko "Wyłącz regułę" (wersja zapoznawcza)
- Skoroszyty usługi Azure Monitor zintegrowane z usługą Security Center i trzy udostępnione szablony
- Pulpit nawigacyjny zgodności z przepisami zawiera teraz raporty inspekcji platformy Azure (wersja zapoznawcza)
- Dane rekomendacji można wyświetlić w usłudze Azure Resource Graph za pomocą polecenia "Eksploruj w usłudze ARG"
- Aktualizacje zasad wdrażania automatyzacji przepływu pracy
- Dwa starsze zalecenia nie zapisują już danych bezpośrednio w dzienniku aktywności platformy Azure
- Ulepszenia strony rekomendacji
Zarządzanie usługą Azure Firewall zintegrowane z usługą Security Center
Po otwarciu usługi Azure Security Center pierwsza strona, która ma być wyświetlana, to strona przeglądu.
Ten interaktywny pulpit nawigacyjny zapewnia ujednolicony widok stanu zabezpieczeń obciążeń chmury hybrydowej. Ponadto wyświetla alerty zabezpieczeń, informacje o zasięgu i nie tylko.
W ramach pomocy w wyświetlaniu stanu zabezpieczeń z poziomu centralnego środowiska zintegrowaliśmy usługę Azure Firewall Manager z tym pulpitem nawigacyjnym. Teraz możesz sprawdzić stan pokrycia zapory we wszystkich sieciach i centralnie zarządzać zasadami usługi Azure Firewall, począwszy od usługi Security Center.
Dowiedz się więcej o tym pulpicie nawigacyjnym na stronie przeglądu usługi Azure Security Center.
Ocena luk w zabezpieczeniach SQL obejmuje teraz środowisko "Wyłącz regułę" (wersja zapoznawcza)
Usługa Security Center zawiera wbudowany skaner luk w zabezpieczeniach, który ułatwia odnajdywanie, śledzenie i korygowanie potencjalnych luk w zabezpieczeniach bazy danych. Wyniki skanowania oceny zawierają omówienie stanu zabezpieczeń maszyn SQL oraz szczegółowe informacje na temat wszelkich ustaleń dotyczących zabezpieczeń.
Jeśli masz organizacyjną potrzebę ignorowania znajdowania, a nie korygowania, możesz ją opcjonalnie wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.
Dowiedz się więcej w artykule Wyłączanie określonych wyników.
Skoroszyty usługi Azure Monitor zintegrowane z usługą Security Center i trzy udostępnione szablony
W ramach konferencji Ignite Spring 2021 ogłosiliśmy zintegrowane środowisko skoroszytów usługi Azure Monitor w usłudze Security Center.
Możesz użyć nowej integracji, aby rozpocząć korzystanie z wbudowanych szablonów z galerii usługi Security Center. Za pomocą szablonów skoroszytów można uzyskiwać dostęp do dynamicznych i wizualnych raportów oraz tworzyć je w celu śledzenia stanu zabezpieczeń organizacji. Ponadto możesz tworzyć nowe skoroszyty na podstawie danych usługi Security Center lub innych obsługiwanych typów danych i szybko wdrażać skoroszyty społeczności z poziomu społeczności usługi GitHub w usłudze Security Center.
Dostępne są trzy raporty szablonów:
- Wskaźnik bezpieczeństwa w czasie — śledzenie wyników i zmian subskrypcji w zaleceniach dotyczących zasobów
- Aktualizacje systemu — wyświetlanie brakujących aktualizacji systemu według zasobów, systemu operacyjnego, ważności i nie tylko
- Wyniki oceny luk w zabezpieczeniach — wyświetlanie wyników skanowania luk w zabezpieczeniach zasobów platformy Azure
Dowiedz się więcej o korzystaniu z tych raportów lub tworzeniu własnych informacji w artykule Tworzenie zaawansowanych, interaktywnych raportów dotyczących danych usługi Security Center.
Pulpit nawigacyjny zgodności z przepisami zawiera teraz raporty inspekcji platformy Azure (wersja zapoznawcza)
Na pasku narzędzi pulpitu nawigacyjnego zgodności z przepisami można teraz pobrać raporty dotyczące certyfikacji platformy Azure i usługi Dynamics.
Możesz wybrać kartę odpowiednich typów raportów (PCI, SOC, ISO i innych) i użyć filtrów, aby znaleźć potrzebne raporty.
Dowiedz się więcej na temat zarządzania standardami na pulpicie nawigacyjnym zgodności z przepisami.
Dane rekomendacji można wyświetlić w usłudze Azure Resource Graph za pomocą polecenia "Eksploruj w usłudze ARG"
Strony szczegółów rekomendacji zawierają teraz przycisk paska narzędzi "Eksploruj w usłudze ARG". Użyj tego przycisku, aby otworzyć zapytanie usługi Azure Resource Graph i eksplorować, eksportować i udostępniać dane rekomendacji.
Usługa Azure Resource Graph (ARG) zapewnia natychmiastowy dostęp do informacji o zasobach w środowiskach chmury dzięki niezawodnym funkcjom filtrowania, grupowania i sortowania. Jest to szybki i wydajny sposób programowego wykonywania zapytań dotyczących informacji w subskrypcjach platformy Azure lub z poziomu witryny Azure Portal.
Dowiedz się więcej o usłudze Azure Resource Graph.
Aktualizacje zasad wdrażania automatyzacji przepływu pracy
Automatyzacja procesów monitorowania i reagowania na zdarzenia w organizacji może znacznie poprawić czas potrzebny do zbadania i ograniczenia zdarzeń zabezpieczeń.
Udostępniamy trzy zasady usługi Azure Policy "DeployIfNotExist", które tworzą i konfigurują procedury automatyzacji przepływu pracy, aby umożliwić wdrażanie automatyzacji w całej organizacji:
| Goal | Zasady | Identyfikator zasad |
|---|---|---|
| Automatyzacja przepływu pracy dla alertów zabezpieczeń | Wdróż automatyzację przepływu pracy dla alertów usługi Azure Security Center | f1525828-9a90-4fcf-be48-268cddd02361e |
| Automatyzacja przepływu pracy dla zaleceń dotyczących zabezpieczeń | Wdróż automatyzację przepływów pracy dla zaleceń usługi Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Automatyzacja przepływu pracy na potrzeby zmian zgodności z przepisami | Wdrażanie automatyzacji przepływu pracy na potrzeby zgodności z przepisami usługi Azure Security Center | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Istnieją dwie aktualizacje funkcji tych zasad:
- Po przypisaniu pozostaną one włączone przez wymuszanie.
- Teraz można dostosować te zasady i zaktualizować dowolne parametry nawet po ich wdrożeniu. Możesz na przykład dodać lub edytować klucz oceny.
Wprowadzenie do szablonów automatyzacji przepływu pracy.
Dowiedz się więcej na temat automatyzowania odpowiedzi na wyzwalacze usługi Security Center.
Dwa starsze zalecenia nie zapisują już danych bezpośrednio w dzienniku aktywności platformy Azure
Usługa Security Center przekazuje dane dla prawie wszystkich zaleceń dotyczących zabezpieczeń do usługi Azure Advisor, co z kolei zapisuje je w dzienniku aktywności platformy Azure.
W przypadku dwóch zaleceń dane są zapisywane jednocześnie w dzienniku aktywności platformy Azure. Dzięki tej zmianie usługa Security Center przestaje zapisywać dane dla tych starszych zaleceń dotyczących zabezpieczeń bezpośrednio w dzienniku aktywności. Zamiast tego eksportujemy dane do usługi Azure Advisor, tak jak w przypadku wszystkich innych zaleceń.
Dwa starsze zalecenia to:
- Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach
- Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach
Jeśli masz dostęp do informacji dotyczących tych dwóch zaleceń w kategorii "Zalecenie typu TaskDiscovery" dziennika aktywności, nie jest to już dostępne.
Ulepszenia strony rekomendacji
Opublikowaliśmy ulepszoną wersję listy zaleceń, aby na pierwszy rzut oka przedstawić więcej informacji.
Teraz na stronie zobaczysz:
- Maksymalny wynik i bieżący wynik dla każdej kontroli zabezpieczeń.
- Ikony zastępujące tagi, takie jak Fix i Preview.
- Nowa kolumna przedstawiająca inicjatywę zasad powiązaną z każdym zaleceniem — widoczną, gdy opcja "Grupuj według kontrolek" jest wyłączona.
Dowiedz się więcej w artykule Zalecenia dotyczące zabezpieczeń w usłudze Azure Security Center.
Luty 2021 r.
Aktualizacje w lutym obejmują:
- Nowa strona alertów zabezpieczeń w witrynie Azure Portal wydana pod kątem ogólnej dostępności
- Zalecenia dotyczące ochrony obciążeń platformy Kubernetes wydane dla ogólnej dostępności
- Ochrona punktu końcowego w usłudze Microsoft Defender integracja z usługą Azure Defender obsługuje teraz systemy Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop (w wersji zapoznawczej)
- Bezpośredni link do zasad ze strony szczegółów rekomendacji
- Zalecenie dotyczące klasyfikacji danych SQL nie wpływa już na wskaźnik bezpieczeństwa
- Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (w wersji zapoznawczej)
- Ulepszenia strony spisu zasobów
Nowa strona alertów zabezpieczeń w witrynie Azure Portal wydana pod kątem ogólnej dostępności
Strona alertów zabezpieczeń usługi Azure Security Center została przeprojektowana w celu zapewnienia:
- Ulepszone środowisko klasyfikacji alertów — pomaga zmniejszyć zmęczenie alertów i skupić się na najbardziej odpowiednich zagrożeniach, lista zawiera dostosowywalne filtry i opcje grupowania.
- Więcej informacji na liście alertów — takich jak taktyka MITRE ATT&ACK.
- Przycisk tworzenia przykładowych alertów — aby ocenić możliwości usługi Azure Defender i przetestować alerty. konfiguracja (w przypadku integracji rozwiązania SIEM, powiadomień e-mail i automatyzacji przepływów pracy) można utworzyć przykładowe alerty ze wszystkich planów usługi Azure Defender.
- Dostosowanie do środowiska zdarzeń usługi Azure Sentinel — dla klientów korzystających z obu produktów przełączanie się między nimi jest teraz bardziej proste i łatwo jest nauczyć się ich z drugiej.
- Lepsza wydajność dla dużych list alertów.
- Nawigacja za pomocą klawiatury za pośrednictwem listy alertów.
- Alerty z usługi Azure Resource Graph — możesz wykonywać zapytania dotyczące alertów w usłudze Azure Resource Graph , interfejsie API przypominającym usługę Kusto dla wszystkich zasobów. Jest to również przydatne, jeśli tworzysz własne pulpity nawigacyjne alertów. Dowiedz się więcej o usłudze Azure Resource Graph.
- Tworzenie przykładowej funkcji alertów — aby utworzyć przykładowe alerty z nowego środowiska alertów, zobacz Generowanie przykładowych alertów usługi Azure Defender.
Zalecenia dotyczące ochrony obciążeń platformy Kubernetes wydane dla ogólnej dostępności
Z przyjemnością ogłaszamy ogólną dostępność zestawu zaleceń dotyczących ochrony obciążeń platformy Kubernetes.
Aby upewnić się, że obciążenia Platformy Kubernetes są domyślnie bezpieczne, usługa Security Center dodała zalecenia dotyczące wzmacniania zabezpieczeń na poziomie kubernetes, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.
Po zainstalowaniu usługi Azure Policy dla platformy Kubernetes w klastrze usługi Azure Kubernetes Service (AKS) każde żądanie do serwera interfejsu API Kubernetes będzie monitorowane względem wstępnie zdefiniowanego zestawu najlepszych rozwiązań — wyświetlanego jako 13 zaleceń dotyczących zabezpieczeń — przed utrwaleniam klastra. Następnie można skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.
Możesz na przykład wymuś, że uprzywilejowane kontenery nie powinny być tworzone, a wszelkie przyszłe żądania do tego będą blokowane.
Dowiedz się więcej w artykule Najlepsze rozwiązania dotyczące ochrony obciążeń przy użyciu kontroli wpływu danych na platformę Kubernetes.
Uwaga
Chociaż zalecenia były w wersji zapoznawczej, nie renderowały one złej kondycji zasobu klastra usługi AKS i nie zostały uwzględnione w obliczeniach wskaźnika bezpieczeństwa. wraz z ogłoszeniem ogólnie dostępnym zostaną one uwzględnione w obliczeniu oceny. Jeśli jeszcze ich nie skorygowaliśmy, może to spowodować niewielki wpływ na wskaźnik bezpieczeństwa. Korygowanie ich wszędzie tam, gdzie to możliwe, zgodnie z opisem w temacie Korygowanie zaleceń w usłudze Azure Security Center.
Ochrona punktu końcowego w usłudze Microsoft Defender integracja z usługą Azure Defender obsługuje teraz systemy Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop (w wersji zapoznawczej)
Usługa Ochrona punktu końcowego w usłudze Microsoft Defender to całościowe, dostępne w chmurze rozwiązanie służące do zabezpieczania punktów końcowych. Zapewnia on zarządzanie lukami w zabezpieczeniach i ocenę opartą na ryzyku, a także wykrywanie i reagowanie w punktach końcowych (EDR). Aby uzyskać pełną listę zalet korzystania z usługi Defender for Endpoint razem z usługą Azure Security Center, zobacz Ochrona punktów końcowych za pomocą zintegrowanego rozwiązania EDR usługi Security Center: Ochrona punktu końcowego w usłudze Microsoft Defender.
Po włączeniu usługi Azure Defender dla serwerów z systemem Windows Server licencja dla usługi Defender dla punktu końcowego jest dołączona do planu. Jeśli usługa Azure Defender dla serwerów została już włączona i masz serwery z systemem Windows Server 2019 w subskrypcji, automatycznie otrzymają one usługę Defender for Endpoint z tą aktualizacją. Nie jest wymagana żadna akcja ręczna.
Obsługa została rozszerzona w celu uwzględnienia systemów Windows Server 2019 i Windows 10 w usłudze Windows Virtual Desktop.
Uwaga
Jeśli włączasz usługę Defender for Endpoint na serwerze z systemem Windows Server 2019, upewnij się, że spełnia ona wymagania wstępne opisane w artykule Włączanie integracji z Ochrona punktu końcowego w usłudze Microsoft Defender.
Bezpośredni link do zasad ze strony szczegółów rekomendacji
Podczas przeglądania szczegółów zalecenia często warto zobaczyć podstawowe zasady. Dla każdej rekomendacji obsługiwanej przez zasady jest dostępny nowy link ze strony szczegółów rekomendacji:
Użyj tego linku, aby wyświetlić definicję zasad i przejrzeć logikę oceny.
Zalecenie dotyczące klasyfikacji danych SQL nie wpływa już na wskaźnik bezpieczeństwa
Zalecenie Poufne dane w bazach danych SQL nie powinny już mieć wpływu na wskaźnik bezpieczeństwa. Kontrola zabezpieczeń Zastosuj klasyfikację danych zawierającą ją teraz ma wartość wskaźnika bezpieczeństwa 0.
Aby uzyskać pełną listę wszystkich mechanizmów kontroli zabezpieczeń, wraz z ich wynikami i listą zaleceń w każdej z nich, zobacz Mechanizmy kontroli zabezpieczeń i ich zalecenia.
Automatyzacje przepływów pracy mogą być wyzwalane przez zmiany w ocenach zgodności z przepisami (w wersji zapoznawczej)
Dodaliśmy trzeci typ danych do opcji wyzwalacza automatyzacji przepływu pracy: zmiany w ocenach zgodności z przepisami.
Dowiedz się, jak używać narzędzi automatyzacji przepływu pracy w temacie Automatyzowanie odpowiedzi na wyzwalacze usługi Security Center.
Ulepszenia strony spisu zasobów
Ulepszono stronę spisu zasobów usługi Security Center:
Podsumowania w górnej części strony obejmują teraz niezarejestrowane subskrypcje z liczbą subskrypcji bez włączonej usługi Security Center.
Filtry zostały rozwinięte i ulepszone w celu uwzględnienia:
Counts — każdy filtr przedstawia liczbę zasobów spełniających kryteria każdej kategorii
Zawiera filtr wykluczeń (opcjonalnie) — zawęża wyniki do zasobów, które mają/nie mają wykluczeń. Ten filtr nie jest domyślnie wyświetlany, ale jest dostępny za pomocą przycisku Dodaj filtr .
Dowiedz się więcej o tym, jak eksplorować zasoby i zarządzać nimi za pomocą spisu zasobów.
Styczeń 2021
Aktualizacje w styczniu obejmują:
- Test porównawczy zabezpieczeń platformy Azure jest teraz domyślną inicjatywą zasad dla usługi Azure Security Center
- Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych jest udostępniana w celu zapewnienia ogólnej dostępności
- W wersji zapoznawczej jest teraz dostępny wskaźnik bezpieczeństwa dla grup zarządzania
- Interfejs API wskaźnika bezpieczeństwa został wydany w celu zapewnienia ogólnej dostępności
- Do usługi Azure Defender dla usługi App Service dodano mechanizmy ochrony zawieszonych wpisów DNS
- Łączniki z wieloma chmurami są udostępniane w celu zapewnienia ogólnej dostępności
- Wyklucz wszystkie zalecenia z wskaźnika bezpieczeństwa dla subskrypcji i grup zarządzania
- Użytkownicy mogą teraz żądać widoczności całej dzierżawy od administratora globalnego
- 35 zaleceń w wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń platformy Azure
- Eksport w formacie CSV przefiltrowanej listy rekomendacji
- Zasoby „Nie dotyczy” są teraz zgłaszane jako „Zgodne” w ocenach usługi Azure Policy
- Eksportowanie cotygodniowych migawek wskaźnika bezpieczeństwa i danych zgodności z przepisami przy użyciu eksportu ciągłego (wersja zapoznawcza)
Test porównawczy zabezpieczeń platformy Azure jest teraz domyślną inicjatywą zasad dla usługi Azure Security Center
Test porównawczy zabezpieczeń platformy Azure to utworzony przez firmę Microsoft zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności opartych na typowych strukturach zgodności. Ten powszechnie szanowany punkt odniesienia opiera się na kontrolach z Centrum Bezpieczeństwa Internetowego (CIS) i Narodowego Instytutu Standardów i Technologii (NIST) z naciskiem na zabezpieczenia skoncentrowane na chmurze.
W ostatnich miesiącach lista wbudowanych zaleceń dotyczących zabezpieczeń usługi Security Center znacznie wzrosła, aby rozszerzyć nasz zakres tego testu porównawczego.
W tej wersji test porównawczy jest podstawą zaleceń usługi Security Center i w pełni zintegrowanej jako domyślna inicjatywa zasad.
Wszystkie usługi platformy Azure mają stronę punktu odniesienia zabezpieczeń w swojej dokumentacji. Te punkty odniesienia są oparte na testach porównawczych zabezpieczeń platformy Azure.
Jeśli używasz pulpitu nawigacyjnego zgodności z przepisami usługi Security Center, zobaczysz dwa wystąpienia testu porównawczego w okresie przejściowym:
Istniejące zalecenia nie mają wpływu i wraz ze wzrostem testu porównawczego zmiany zostaną automatycznie odzwierciedlone w usłudze Security Center.
Aby dowiedzieć się więcej, zobacz następujące strony:
- Dowiedz się więcej na temat testu porównawczego zabezpieczeń platformy Azure
- Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami
Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych jest udostępniana w celu zapewnienia ogólnej dostępności
W październiku ogłosiliśmy wersję zapoznawcza skanowania serwerów z obsługą usługi Azure Arc za pomocą zintegrowanego skanera oceny luk w zabezpieczeniach usługi Azure Defender for Servers (obsługiwanego przez firmę Qualys).
Jest ona teraz dostępna w wersji ogólnie dostępnej.
Po włączeniu usługi Azure Arc na maszynach spoza platformy Azure usługa Security Center będzie oferować wdrażanie zintegrowanego skanera luk w zabezpieczeniach — ręcznie i na dużą skalę.
Dzięki tej aktualizacji możesz uwolnić możliwości usługi Azure Defender dla serwerów, aby skonsolidować program zarządzanie lukami w zabezpieczeniach we wszystkich zasobach platformy Azure i innych niż azure.
Główne możliwości:
- Monitorowanie stanu aprowizacji skanera oceny luk w zabezpieczeniach na maszynach usługi Azure Arc
- Aprowizowanie zintegrowanego agenta oceny luk w zabezpieczeniach na maszynach z systemem Windows i Linux w usłudze Azure Arc (ręcznie i na dużą skalę)
- Odbieranie i analizowanie wykrytych luk w zabezpieczeniach od wdrożonych agentów (ręcznie i na dużą skalę)
- Ujednolicone środowisko maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc
Dowiedz się więcej o serwerach z obsługą usługi Azure Arc.
W wersji zapoznawczej jest teraz dostępny wskaźnik bezpieczeństwa dla grup zarządzania
Strona wskaźnika bezpieczeństwa zawiera teraz zagregowane wyniki bezpieczeństwa dla grup zarządzania oprócz poziomu subskrypcji. Teraz możesz wyświetlić listę grup zarządzania w organizacji i ocenę dla każdej grupy zarządzania.
Dowiedz się więcej o wskaźnikach bezpieczeństwa i mechanizmach kontroli zabezpieczeń w usłudze Azure Security Center.
Interfejs API wskaźnika bezpieczeństwa został wydany w celu zapewnienia ogólnej dostępności
Teraz możesz uzyskać dostęp do wyniku za pośrednictwem interfejsu API wskaźnika bezpieczeństwa. Metody interfejsu API zapewniają elastyczność wykonywania zapytań dotyczących danych i tworzenia własnego mechanizmu raportowania wyników bezpieczeństwa w czasie. Na przykład:
- użyj interfejsu API wskaźnika bezpieczeństwa, aby uzyskać ocenę dla określonej subskrypcji
- użyj interfejsu API kontrolek wskaźnika bezpieczeństwa, aby wyświetlić listę mechanizmów kontroli zabezpieczeń i bieżący wynik subskrypcji
Dowiedz się więcej o narzędziach zewnętrznych, które umożliwiły użycie interfejsu API wskaźnika bezpieczeństwa w obszarze wskaźnika bezpieczeństwa w naszej społeczności usługi GitHub.
Dowiedz się więcej o wskaźnikach bezpieczeństwa i mechanizmach kontroli zabezpieczeń w usłudze Azure Security Center.
Do usługi Azure Defender dla usługi App Service dodano mechanizmy ochrony zawieszonych wpisów DNS
Przejęcia poddomeny są typowym zagrożeniem o wysokiej ważności dla organizacji. Przejęcie poddomeny może wystąpić, gdy masz rekord DNS wskazujący anulowaną aprowizowaną witrynę internetową. Takie rekordy DNS są również znane jako „zwisające wpisy DNS”. Rekordy CNAME są szczególnie narażone na to zagrożenie.
Przejęcia poddomeny umożliwiają aktorom zagrożeń przekierowywanie ruchu przeznaczonego dla domeny organizacji do lokacji wykonującej złośliwe działania.
Usługa Azure Defender for App Service wykrywa teraz zwisające wpisy DNS po zlikwidowaniu witryny internetowej usługi App Service. Jest to moment, w którym wpis DNS wskazuje na zasób, który nie istnieje, a witryna internetowa jest podatna na przejęcie poddomeny. Te zabezpieczenia są dostępne niezależnie od tego, czy domeny są zarządzane za pomocą usługi Azure DNS, czy zewnętrznego rejestratora domen i mają zastosowanie zarówno do usługi App Service w systemie Windows, jak i App Service dla systemu Linux.
Więcej informacji:
- Tabela referencyjna alertów usługi App Service — zawiera dwa nowe alerty usługi Azure Defender wyzwalające po wykryciu zwisającego wpisu DNS
- Zapobieganie zwisaniu wpisów DNS i unikanie przejęcia poddomeny — dowiedz się więcej o zagrożeniu przejęcia poddomeny i zwisającym aspekcie DNS
- Wprowadzenie do usługi Azure Defender for App Service
Łączniki z wieloma chmurami są udostępniane w celu zapewnienia ogólnej dostępności
W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności.
Usługa Azure Security Center chroni obciążenia na platformie Azure, w usługach Amazon Web Services (AWS) i Google Cloud Platform (GCP).
Łączenie projektów AWS lub GCP integruje natywne narzędzia zabezpieczeń, takie jak AWS Security Hub i GCP Security Command Center w usłudze Azure Security Center.
Ta funkcja oznacza, że usługa Security Center zapewnia widoczność i ochronę we wszystkich głównych środowiskach chmury. Niektóre korzyści wynikające z tej integracji:
- Automatyczna aprowizacja agenta — usługa Security Center używa usługi Azure Arc do wdrażania agenta usługi Log Analytics w wystąpieniach platformy AWS
- Zarządzanie zasadami
- Zarządzanie lukami w zabezpieczeniach
- Wykrywanie i reagowanie na osadzone punkty końcowe (EDR)
- Wykrywanie błędów konfiguracji zabezpieczeń
- Pojedynczy widok przedstawiający zalecenia dotyczące zabezpieczeń od wszystkich dostawców usług w chmurze
- Uwzględnij wszystkie zasoby w obliczeniach wskaźnika bezpieczeństwa usługi Security Center
- Oceny zgodności z przepisami zasobów platform AWS i GCP
W menu Defender dla Chmury wybierz pozycję Łączniki wielochmurowe i zobaczysz opcje tworzenia nowych łączników:
Dowiedz się więcej w:
- Łączenie kont platformy AWS z usługą Azure Security Center
- Łączenie projektów GCP z usługą Azure Security Center
Wyklucz wszystkie zalecenia z wskaźnika bezpieczeństwa dla subskrypcji i grup zarządzania
Rozszerzamy możliwości wykluczania w celu uwzględnienia całych zaleceń. Dalsze opcje dostosowywania zaleceń dotyczących zabezpieczeń, które usługa Security Center tworzy dla subskrypcji, grupy zarządzania lub zasobów.
Czasami zasób będzie wyświetlany jako w złej kondycji, gdy wiadomo, że problem został rozwiązany przez narzędzie innej firmy, które nie wykryło usługi Security Center. Lub zalecenie będzie wyświetlane w zakresie, w którym czujesz, że nie należy. Zalecenie może być nieodpowiednie dla określonej subskrypcji. Być może organizacja zdecydowała się zaakceptować zagrożenia związane z konkretnym zasobem lub zaleceniem.
Dzięki tej funkcji w wersji zapoznawczej możesz teraz utworzyć wykluczenie dla zalecenia w celu:
Wyklucz zasób , aby upewnić się, że nie znajduje się on na liście z zasobami w złej kondycji w przyszłości i nie ma wpływu na wskaźnik bezpieczeństwa. Zasób zostanie wyświetlony jako nie dotyczy, a przyczyna zostanie wyświetlona jako "wykluczony" z określonym uzasadnieniem wybranym przez Ciebie.
Wyklucz subskrypcję lub grupę zarządzania, aby upewnić się, że zalecenie nie ma wpływu na wskaźnik bezpieczeństwa i nie będzie wyświetlane dla subskrypcji ani grupy zarządzania w przyszłości. Dotyczy to istniejących zasobów i wszelkich utworzonych w przyszłości. Zalecenie zostanie oznaczone konkretnym uzasadnieniem wybranym dla wybranego zakresu.
Dowiedz się więcej w artykule Wykluczanie zasobów i zaleceń z wskaźnika bezpieczeństwa.
Użytkownicy mogą teraz żądać widoczności całej dzierżawy od administratora globalnego
Jeśli użytkownik nie ma uprawnień do wyświetlania danych usługi Security Center, zobaczy teraz link do żądania uprawnień od administratora globalnego organizacji. Żądanie zawiera rolę, którą chcieliby, oraz uzasadnienie, dlaczego jest to konieczne.
Dowiedz się więcej w temacie Żądanie uprawnień dla całej dzierżawy, gdy nie ma wystarczających uprawnień.
35 zaleceń w wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń platformy Azure
Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad w usłudze Azure Security Center.
Aby zwiększyć zasięg tego testu porównawczego, do usługi Security Center dodano następujące zalecenia dotyczące wersji zapoznawczej 35.
Napiwek
Rekomendacje dotyczące wersji zapoznawczej nie renderują zasobu w złej kondycji i nie są uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Koryguj je wszędzie tam, gdzie jest to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku. Dowiedz się więcej o sposobie reagowania na te zalecenia w temacie Korygowanie zaleceń w usłudze Azure Security Center.
| Kontrola zabezpieczeń | Nowe zalecenia |
|---|---|
| Włączanie szyfrowania magazynowanych | — Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych — Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK) — Ochrona danych przy użyciu własnego klucza powinna być włączona dla serwerów MySQL — Należy włączyć ochronę danych przy użyciu własnego klucza dla serwerów PostgreSQL — Konta usług Azure AI powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta (CMK) — Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK) — Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych — Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych — Konta magazynu powinny używać klucza zarządzanego przez klienta (CMK) do szyfrowania |
| Implementowanie najlepszych rozwiązań dotyczących zabezpieczeń | — Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami — Automatyczne aprowizowanie agenta usługi Log Analytics powinno być włączone w ramach subskrypcji — Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone - Powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności powinno być włączone — Magazyny kluczy powinny mieć włączoną ochronę przed przeczyszczeniem — Magazyny kluczy powinny mieć włączone usuwanie nietrwałe |
| Zarządzanie dostępem i uprawnieniami | — Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" |
| Ochrona aplikacji przed atakami DDoS | — Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway — Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Azure Front Door Service |
| Ograniczanie nieautoryzowanego dostępu do sieci | — Zapora powinna być włączona w usłudze Key Vault — Prywatny punkt końcowy należy skonfigurować dla usługi Key Vault — Usługa App Configuration powinna używać łącza prywatnego — Usługa Azure Cache for Redis powinna znajdować się w sieci wirtualnej — Domeny usługi Azure Event Grid powinny używać łącza prywatnego — Tematy usługi Azure Event Grid powinny używać łącza prywatnego — Obszary robocze usługi Azure Machine Learning powinny używać łącza prywatnego — Usługa Azure SignalR Service powinna używać łącza prywatnego — Usługa Azure Spring Cloud powinna używać iniekcji sieci — Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci — Rejestry kontenerów powinny używać łącza prywatnego - Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB — Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL — Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL — Konto magazynu powinno używać połączenia łącza prywatnego — Konta magazynu powinny ograniczać dostęp do sieci przy użyciu reguł sieci wirtualnej — Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego |
Powiązane linki:
- Dowiedz się więcej na temat testu porównawczego zabezpieczeń platformy Azure
- Dowiedz się więcej o usłudze Azure Database for MariaDB
- Dowiedz się więcej o usłudze Azure Database for MySQL
- Dowiedz się więcej o usłudze Azure Database for PostgreSQL
Eksport w formacie CSV przefiltrowanej listy rekomendacji
W listopadzie 2020 r. dodaliśmy filtry do strony zaleceń.
Wraz z tym ogłoszeniem zmieniamy zachowanie przycisku Pobierz do pliku CSV, tak aby eksport CSV zawierał tylko zalecenia wyświetlane obecnie na filtrowanej liście.
Na przykład na poniższej ilustracji widać, że lista jest filtrowana do dwóch zaleceń. Wygenerowany plik CSV zawiera szczegóły stanu dla każdego zasobu, którego dotyczy te dwa zalecenia.
Dowiedz się więcej w artykule Zalecenia dotyczące zabezpieczeń w usłudze Azure Security Center.
Zasoby „Nie dotyczy” są teraz zgłaszane jako „Zgodne” w ocenach usługi Azure Policy
Wcześniej zasoby, które zostały ocenione pod kątem rekomendacji i okazało się, że nie mają zastosowania , są wyświetlane w usłudze Azure Policy jako "Niezgodne". Żadne akcje użytkownika nie mogą zmienić stanu na "Zgodne". Dzięki tej zmianie są one zgłaszane jako "Zgodne" w celu zwiększenia przejrzystości.
Jedyny wpływ będzie widoczny w usłudze Azure Policy, gdzie liczba zgodnych zasobów wzrośnie. Nie będzie to miało wpływu na wskaźnik bezpieczeństwa w usłudze Azure Security Center.
Eksportowanie cotygodniowych migawek wskaźnika bezpieczeństwa i danych zgodności z przepisami przy użyciu eksportu ciągłego (wersja zapoznawcza)
Dodaliśmy nową funkcję w wersji zapoznawczej do narzędzi eksportu ciągłego do eksportowania cotygodniowych migawek wskaźnika bezpieczeństwa i danych zgodności z przepisami.
Podczas definiowania eksportu ciągłego ustaw częstotliwość eksportowania:
- Przesyłanie strumieniowe — oceny będą wysyłane po zaktualizowaniu stanu kondycji zasobu (jeśli nie wystąpią żadne aktualizacje, żadne dane nie zostaną wysłane).
- Migawki — migawka bieżącego stanu wszystkich ocen zgodności z przepisami będzie wysyłana co tydzień (jest to funkcja w wersji zapoznawczej dla cotygodniowych migawek wyników bezpieczeństwa i danych zgodności z przepisami).
Dowiedz się więcej o pełnych możliwościach tej funkcji w artykule Ciągłe eksportowanie danych usługi Security Center.
Grudzień 2020
Aktualizacje w grudniu obejmują:
- Usługa Azure Defender dla serwerów SQL na maszynach jest ogólnie dostępna
- Obsługa usługi Azure Defender for SQL dla dedykowanej puli SQL usługi Azure Synapse Analytics jest ogólnie dostępna
- Administratorzy globalni mogą teraz udzielać sobie uprawnień na poziomie dzierżawy
- Dwa nowe plany usługi Azure Defender: Usługa Azure Defender dla usług DNS i Azure Defender dla usługi Resource Manager (w wersji zapoznawczej)
- Nowa strona alertów zabezpieczeń w witrynie Azure Portal (wersja zapoznawcza)
- Ożywione środowisko usługi Security Center w usłudze Azure SQL Database i wystąpieniu zarządzanym SQL
- Zaktualizowane narzędzia i filtry spisu zasobów
- Zalecenie dotyczące aplikacji internetowych żądających certyfikatów SSL nie jest już częścią wskaźnika bezpieczeństwa
- Strona Rekomendacje zawiera nowe filtry dla środowiska, ważności i dostępnych odpowiedzi
- Eksport ciągły pobiera nowe typy danych i ulepszone zasady deployifnotexist
Usługa Azure Defender dla serwerów SQL na maszynach jest ogólnie dostępna
Usługa Azure Security Center oferuje dwa plany usługi Azure Defender dla serwerów SQL:
- Serwery usługi Azure Defender dla bazy danych Azure SQL Database — broni serwerów SQL natywnych dla platformy Azure
- Usługa Azure Defender dla serwerów SQL na maszynach — rozszerza te same zabezpieczenia na serwery SQL w środowiskach hybrydowych, wielochmurowych i lokalnych
Dzięki temu ogłoszeniu usługa Azure Defender dla usługi SQL chroni teraz bazy danych i ich dane wszędzie tam, gdzie się znajdują.
Usługa Azure Defender for SQL obejmuje możliwości oceny luk w zabezpieczeniach. Narzędzie do oceny luk w zabezpieczeniach obejmuje następujące zaawansowane funkcje:
- Konfiguracja linii bazowej (New!) w celu inteligentnego uściślenia wyników skanowania luk w zabezpieczeniach do tych, które mogą reprezentować rzeczywiste problemy z zabezpieczeniami. Po ustanowieniu stanu zabezpieczeń punktu odniesienia narzędzie do oceny luk w zabezpieczeniach zgłasza tylko odchylenia od tego stanu punktu odniesienia. Wyniki zgodne z punktem odniesienia są traktowane jako przekazywanie kolejnych skanowań. Dzięki temu ty i twoi analitycy skupiają uwagę, gdzie ma to znaczenie.
- Szczegółowe informacje dotyczące testów porównawczych ułatwiające zrozumienie odnalezionych wyników i ich powiązania z zasobami.
- Skrypty korygowania ułatwiające eliminowanie zidentyfikowanych zagrożeń.
Dowiedz się więcej o usłudze Azure Defender for SQL.
Obsługa usługi Azure Defender for SQL dla dedykowanej puli SQL usługi Azure Synapse Analytics jest ogólnie dostępna
Azure Synapse Analytics (dawniej SQL DW) to usługa analityczna, która łączy magazynowanie danych przedsiębiorstwa i analizę danych big data. Dedykowane pule SQL to funkcje magazynowania danych przedsiębiorstwa usługi Azure Synapse. Dowiedz się więcej w artykule Co to jest usługa Azure Synapse Analytics (dawniej SQL DW)?.
Usługa Azure Defender for SQL chroni dedykowane pule SQL za pomocą:
- Zaawansowana ochrona przed zagrożeniami w celu wykrywania zagrożeń i ataków
- Możliwości oceny luk w zabezpieczeniach w celu identyfikowania i korygowania błędów konfiguracji zabezpieczeń
Obsługa pul SQL usługi Azure Synapse Analytics w usłudze Azure Defender for SQL jest automatycznie dodawana do pakietu baz danych Azure SQL Database w usłudze Azure Security Center. Na stronie obszaru roboczego usługi Synapse w witrynie Azure Portal znajduje się nowa karta usługi Azure Defender for SQL .
Dowiedz się więcej o usłudze Azure Defender for SQL.
Administratorzy globalni mogą teraz udzielać sobie uprawnień na poziomie dzierżawy
Użytkownik z rolą administratora globalnego usługi Azure Active Directory może mieć obowiązki dla całej dzierżawy, ale nie ma uprawnień platformy Azure do wyświetlania tych informacji w całej organizacji w usłudze Azure Security Center.
Aby przypisać sobie uprawnienia na poziomie dzierżawy, postępuj zgodnie z instrukcjami w temacie Udzielanie uprawnień dla całej dzierżawy samodzielnie.
Dwa nowe plany usługi Azure Defender: Usługa Azure Defender dla usług DNS i Azure Defender dla usługi Resource Manager (w wersji zapoznawczej)
Dodaliśmy dwie nowe natywne dla chmury możliwości ochrony przed zagrożeniami dla twojego środowiska platformy Azure.
Te nowe zabezpieczenia znacznie zwiększają odporność na ataki ze strony podmiotów zagrożeń i znacznie zwiększają liczbę zasobów platformy Azure chronionych przez usługę Azure Defender.
Usługa Azure Defender dla usługi Resource Manager — automatycznie monitoruje wszystkie operacje zarządzania zasobami wykonywane w organizacji. Aby uzyskać więcej informacji, zobacz:
Usługa Azure Defender dla systemu DNS — stale monitoruje wszystkie zapytania DNS z zasobów platformy Azure. Aby uzyskać więcej informacji, zobacz:
Nowa strona alertów zabezpieczeń w witrynie Azure Portal (wersja zapoznawcza)
Strona alertów zabezpieczeń usługi Azure Security Center została przeprojektowana w celu zapewnienia:
- Ulepszone środowisko klasyfikacji alertów — pomaga zmniejszyć zmęczenie alertów i skupić się na najbardziej odpowiednich zagrożeniach, lista zawiera dostosowywalne filtry i opcje grupowania
- Więcej informacji na liście alertów — takich jak taktyka MITRE ATT&ACK
- Przycisk tworzenia przykładowych alertów — aby ocenić możliwości usługi Azure Defender i przetestować konfigurację alertów (na potrzeby integracji rozwiązania SIEM, powiadomień e-mail i automatyzacji przepływu pracy), możesz utworzyć przykładowe alerty ze wszystkich planów usługi Azure Defender
- Dostosowanie do środowiska zdarzeń usługi Azure Sentinel — w przypadku klientów korzystających z obu produktów przełączanie się między nimi jest teraz bardziej proste i łatwo jest nauczyć się ich z drugiej
- Lepsza wydajność dla dużych list alertów
- Nawigacja za pomocą klawiatury na liście alertów
- Alerty z usługi Azure Resource Graph — możesz wykonywać zapytania dotyczące alertów w usłudze Azure Resource Graph , interfejsie API przypominającym usługę Kusto dla wszystkich zasobów. Jest to również przydatne, jeśli tworzysz własne pulpity nawigacyjne alertów. Dowiedz się więcej o usłudze Azure Resource Graph.
Aby uzyskać dostęp do nowego środowiska, użyj linku "Wypróbuj teraz" na banerze w górnej części strony alertów zabezpieczeń.
Aby utworzyć przykładowe alerty z nowego środowiska alertów, zobacz Generowanie przykładowych alertów usługi Azure Defender.
Ożywione środowisko usługi Security Center w usłudze Azure SQL Database i wystąpieniu zarządzanym SQL
Środowisko usługi Security Center w programie SQL zapewnia dostęp do następujących funkcji usług Security Center i Azure Defender for SQL:
- Zalecenia dotyczące zabezpieczeń — usługa Security Center okresowo analizuje stan zabezpieczeń wszystkich połączonych zasobów platformy Azure, aby zidentyfikować potencjalne błędy konfiguracji zabezpieczeń. Następnie zawiera zalecenia dotyczące sposobu korygowania tych luk w zabezpieczeniach i poprawy stanu zabezpieczeń organizacji.
- Alerty zabezpieczeń — usługa wykrywania, która stale monitoruje działania usługi Azure SQL pod kątem zagrożeń, takich jak wstrzyknięcie kodu SQL, ataki siłowe i nadużycie uprawnień. Ta usługa wyzwala szczegółowe i zorientowane na akcje alerty zabezpieczeń w usłudze Security Center i udostępnia opcje kontynuowania badań za pomocą rozwiązania SIEM natywnego dla platformy Azure w usłudze Azure Sentinel.
- Wyniki — usługa oceny luk w zabezpieczeniach, która stale monitoruje konfiguracje usługi Azure SQL i pomaga w korygowaniu luk w zabezpieczeniach. Skany ocen zawierają omówienie stanów zabezpieczeń usługi Azure SQL wraz ze szczegółowymi ustaleniami zabezpieczeń.
Zaktualizowane narzędzia i filtry spisu zasobów
Strona spisu w usłudze Azure Security Center została odświeżona z następującymi zmianami:
Prowadnice i opinie dodane do paska narzędzi. Spowoduje to otwarcie okienka z linkami do powiązanych informacji i narzędzi.
Filtr subskrypcji dodany do domyślnych filtrów dostępnych dla zasobów.
Otwórz link zapytania w celu otwarcia bieżących opcji filtru jako zapytania usługi Azure Resource Graph (dawniej "Wyświetl w eksploratorze grafów zasobów").
Opcje operatorów dla każdego filtru. Teraz możesz wybrać spośród większej liczby operatorów logicznych innych niż '='. Na przykład możesz znaleźć wszystkie zasoby z aktywnymi zaleceniami, których tytuły zawierają ciąg "encrypt".
Dowiedz się więcej o spisie w temacie Eksplorowanie zasobów i zarządzanie nimi za pomocą spisu zasobów.
Zalecenie dotyczące aplikacji internetowych żądających certyfikatów SSL nie jest już częścią wskaźnika bezpieczeństwa
Zalecenie "Aplikacje internetowe powinny zażądać certyfikatu SSL dla wszystkich żądań przychodzących" zostało przeniesione z kontroli zabezpieczeń Zarządzanie dostępem i uprawnieniami (o wartości maksymalnie 4 pkt) do sekcji Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń (które nie są warte żadnych punktów).
Zapewnienie, że aplikacja internetowa żąda certyfikatu, z pewnością sprawia, że jest ona bezpieczniejsza. Jednak w przypadku publicznych aplikacji internetowych nie ma znaczenia. Jeśli uzyskujesz dostęp do witryny za pośrednictwem protokołu HTTP, a nie https, nie otrzymasz żadnego certyfikatu klienta. Jeśli więc aplikacja wymaga certyfikatów klienta, nie należy zezwalać na żądania do aplikacji za pośrednictwem protokołu HTTP. Dowiedz się więcej w temacie Konfigurowanie wzajemnego uwierzytelniania TLS dla usługi aplikacja systemu Azure.
Dzięki tej zmianie zalecenie jest teraz zalecanym najlepszym rozwiązaniem, które nie ma wpływu na ocenę.
Dowiedz się, które zalecenia znajdują się w każdej kontroli zabezpieczeń w obszarze Mechanizmy kontroli zabezpieczeń i ich zalecenia.
Strona Rekomendacje zawiera nowe filtry dla środowiska, ważności i dostępnych odpowiedzi
Usługa Azure Security Center monitoruje wszystkie połączone zasoby i generuje zalecenia dotyczące zabezpieczeń. Skorzystaj z tych zaleceń, aby wzmocnić stan chmury hybrydowej i śledzić zgodność z zasadami i standardami dotyczącymi organizacji, branży i kraju/regionu.
Ponieważ usługa Security Center nadal rozszerza zakres i funkcje, lista zaleceń dotyczących zabezpieczeń rośnie co miesiąc. Zobacz na przykład dwadzieścia dziewięć zaleceń dotyczących wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń platformy Azure.
Wraz z rosnącą listą istnieje potrzeba filtrowania zaleceń, aby znaleźć zalecenia o największym zainteresowaniu. W listopadzie dodaliśmy filtry do strony zaleceń (zobacz Lista zaleceń zawiera teraz filtry).
Filtry dodane w tym miesiącu udostępniają opcje uściślinia listy zaleceń zgodnie z następującymi elementami:
Środowisko — wyświetlanie zaleceń dotyczących zasobów platformy AWS, GCP lub platformy Azure (lub dowolnej kombinacji)
Ważność — wyświetlanie zaleceń zgodnie z klasyfikacją ważności ustawioną przez usługę Security Center
Akcje odpowiedzi — wyświetlanie zaleceń zgodnie z dostępnością opcji odpowiedzi usługi Security Center: Naprawa, Odmów i Wymuszanie
Napiwek
Filtr akcji odpowiedzi zastępuje filtr Szybkie poprawki dostępne (Tak/Nie).
Dowiedz się więcej o każdej z tych opcji odpowiedzi:
Eksport ciągły pobiera nowe typy danych i ulepszone zasady deployifnotexist
Narzędzia eksportu ciągłego usługi Azure Security Center umożliwiają eksportowanie zaleceń i alertów usługi Security Center do użycia z innymi narzędziami do monitorowania w danym środowisku.
Eksport ciągły pozwala w pełni dostosować wyeksportowane elementy i miejsce, w którym zostanie on wyeksportowany. Aby uzyskać szczegółowe informacje, zobacz Ciągłe eksportowanie danych usługi Security Center.
Te narzędzia zostały ulepszone i rozwinięte w następujący sposób:
Ulepszono zasady deployifnotexist eksportu ciągłego. Zasady są teraz następujące:
Sprawdź, czy konfiguracja jest włączona. Jeśli tak nie jest, zasady będą wyświetlane jako niezgodne i tworzą zgodny zasób. Dowiedz się więcej o dostarczonych szablonach usługi Azure Policy na karcie "Wdrażanie na dużą skalę za pomocą usługi Azure Policy" w temacie Konfigurowanie eksportu ciągłego.
Obsługa eksportowania wyników zabezpieczeń. W przypadku korzystania z szablonów usługi Azure Policy można skonfigurować eksport ciągły w celu uwzględnienia wyników. Jest to istotne w przypadku eksportowania zaleceń z zaleceniami "podrzędnymi", takimi jak wyniki skanerów oceny luk w zabezpieczeniach lub określone aktualizacje systemu dla zalecenia "nadrzędnego" "Aktualizacje systemu powinny być zainstalowane na maszynach".
Obsługa eksportowania danych wskaźnika bezpieczeństwa.
Dodane dane oceny zgodności z przepisami (w wersji zapoznawczej). Teraz można stale eksportować aktualizacje do ocen zgodności z przepisami, w tym dla dowolnych inicjatyw niestandardowych, do obszaru roboczego usługi Log Analytics lub usługi Event Hubs. Ta funkcja jest niedostępna w chmurach krajowych.
Listopad 2020
Aktualizacje w listopadzie obejmują:
- 29 zaleceń w wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń platformy Azure
- Dodatek NIST SP 800 171 R2 do pulpitu nawigacyjnego zgodności z przepisami usługi Security Center
- Lista zaleceń zawiera teraz filtry
- Ulepszono i rozszerzono środowisko automatycznego aprowizowania
- Wskaźnik bezpieczeństwa jest teraz dostępny w eksporcie ciągłym (wersja zapoznawcza)
- Zalecenie "Aktualizacje systemu powinny być zainstalowane na maszynach" zawiera teraz polecenia podrzędne
- Strona zarządzania zasadami w witrynie Azure Portal zawiera teraz stan domyślnych przypisań zasad
29 zaleceń w wersji zapoznawczej dodanych w celu zwiększenia zasięgu testu porównawczego zabezpieczeń platformy Azure
Test porównawczy zabezpieczeń platformy Azure to utworzony przez firmę Microsoft zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności opartych na typowych strukturach zgodności. Dowiedz się więcej o teście porównawczym zabezpieczeń platformy Azure.
Następujące 29 zaleceń dotyczących wersji zapoznawczej zostało dodanych do usługi Security Center w celu zwiększenia zasięgu tego testu porównawczego.
Rekomendacje dotyczące wersji zapoznawczej nie renderują zasobu w złej kondycji i nie są uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Koryguj je wszędzie tam, gdzie jest to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku. Dowiedz się więcej o sposobie reagowania na te zalecenia w temacie Korygowanie zaleceń w usłudze Azure Security Center.
| Kontrola zabezpieczeń | Nowe zalecenia |
|---|---|
| Szyfrowanie danych podczas przesyłania | — Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL — Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL — Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API — Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji funkcji — Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej — Protokół FTPS powinien być wymagany w aplikacji interfejsu API - FTPS powinny być wymagane w aplikacji funkcji — Protokół FTPS powinien być wymagany w aplikacji internetowej |
| Zarządzanie dostępem i uprawnieniami | — Aplikacje internetowe powinny żądać certyfikatu SSL dla wszystkich żądań przychodzących — Tożsamość zarządzana powinna być używana w aplikacji interfejsu API — Tożsamość zarządzana powinna być używana w aplikacji funkcji — Tożsamość zarządzana powinna być używana w aplikacji internetowej |
| Ograniczanie nieautoryzowanego dostępu do sieci | — Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL — Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB — Prywatny punkt końcowy powinien być włączony dla serwerów MySQL |
| Włączanie inspekcji i rejestrowania | — Dzienniki diagnostyczne w usługach App Services powinny być włączone |
| Implementowanie najlepszych rozwiązań dotyczących zabezpieczeń | — Usługa Azure Backup powinna być włączona dla maszyn wirtualnych — Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MariaDB — Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL — Dla usługi Azure Database for PostgreSQL należy włączyć geograficznie nadmiarową kopię zapasową — Język PHP powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API — Język PHP powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej — Język Java powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API — Język Java powinien zostać zaktualizowany do najnowszej wersji aplikacji funkcji — Język Java powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej — Język Python powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API — Język Python powinien zostać zaktualizowany do najnowszej wersji aplikacji funkcji — Język Python powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowej — Przechowywanie inspekcji dla serwerów SQL powinno być ustawione na co najmniej 90 dni |
Powiązane linki:
- Dowiedz się więcej na temat testu porównawczego zabezpieczeń platformy Azure
- Dowiedz się więcej o aplikacjach interfejsu API platformy Azure
- Dowiedz się więcej o aplikacjach funkcji platformy Azure
- Dowiedz się więcej o aplikacjach internetowych platformy Azure
- Dowiedz się więcej o usłudze Azure Database for MariaDB
- Dowiedz się więcej o usłudze Azure Database for MySQL
- Dowiedz się więcej o usłudze Azure Database for PostgreSQL
Dodatek NIST SP 800 171 R2 do pulpitu nawigacyjnego zgodności z przepisami usługi Security Center
Standard NIST SP 800-171 R2 jest teraz dostępny jako wbudowana inicjatywa do użycia z pulpitem nawigacyjnym zgodności z przepisami usługi Azure Security Center. Mapowania kontrolek zostały opisane w sekcji Szczegóły wbudowanej inicjatywy NIST SP 800-171 R2 zgodność z przepisami.
Aby zastosować standard do subskrypcji i stale monitorować stan zgodności, skorzystaj z instrukcji w temacie Dostosowywanie zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-171 R2.
Lista zaleceń zawiera teraz filtry
Teraz można filtrować listę zaleceń dotyczących zabezpieczeń zgodnie z zakresem kryteriów. W poniższym przykładzie lista zaleceń jest filtrowana w celu wyświetlenia zaleceń, które:
- są ogólnie dostępne (to nie jest wersja zapoznawcza)
- są przeznaczone dla kont magazynu
- obsługa szybkiego korygowania poprawek
Ulepszono i rozszerzono środowisko automatycznego aprowizowania
Funkcja automatycznego aprowizowania pomaga zmniejszyć obciążenie związane z zarządzaniem przez zainstalowanie wymaganych rozszerzeń na nowych i istniejących maszynach wirtualnych platformy Azure, aby mogły korzystać z ochrony usługi Security Center.
W miarę rozwoju usługi Azure Security Center opracowano więcej rozszerzeń, a usługa Security Center może monitorować większą listę typów zasobów. Narzędzia do automatycznego aprowizowania zostały teraz rozszerzone w celu obsługi innych rozszerzeń i typów zasobów dzięki wykorzystaniu możliwości usługi Azure Policy.
Teraz można skonfigurować automatyczne aprowizowanie:
- Agent Log Analytics
- (Nowy) Usługa Azure Policy dla platformy Kubernetes
- (Nowy) Agent zależności firmy Microsoft
Dowiedz się więcej w temacie Automatyczne aprowizowanie agentów i rozszerzeń z usługi Azure Security Center.
Wskaźnik bezpieczeństwa jest teraz dostępny w eksporcie ciągłym (wersja zapoznawcza)
Dzięki ciągłemu eksportowaniu wskaźnika bezpieczeństwa możesz przesyłać strumieniowo zmiany w wyniku w czasie rzeczywistym do usługi Azure Event Hubs lub obszaru roboczego usługi Log Analytics. Za pomocą tej funkcji możesz wykonywać następujące działania:
- śledzenie wskaźnika bezpieczeństwa w czasie za pomocą dynamicznych raportów
- eksportowanie danych wskaźnika bezpieczeństwa do usługi Azure Sentinel (lub dowolnego innego rozwiązania SIEM)
- integrowanie tych danych z dowolnymi procesami, których można już używać do monitorowania wskaźnika bezpieczeństwa w organizacji
Dowiedz się więcej o tym, jak stale eksportować dane usługi Security Center.
Zalecenie "Aktualizacje systemu powinny być zainstalowane na maszynach" zawiera teraz polecenia podrzędne
Aktualizacje systemu powinny być zainstalowane na zalecanych maszynach . Nowa wersja zawiera podpoleceń dla każdej brakującej aktualizacji i wprowadza następujące ulepszenia:
Przeprojektowane środowisko na stronach usługi Azure Security Center w witrynie Azure Portal. Strona szczegółów rekomendacji dotycząca aktualizacji systemu powinna być zainstalowana na maszynach wraz z listą wyników, jak pokazano poniżej. Po wybraniu pojedynczego znalezienia zostanie otwarte okienko szczegółów z linkiem do informacji korygowania i listą zasobów, których dotyczy problem.
Wzbogacone dane dotyczące rekomendacji z usługi Azure Resource Graph (ARG). ARG to usługa platformy Azure zaprojektowana w celu zapewnienia wydajnej eksploracji zasobów. Za pomocą usługi ARG można wykonywać zapytania na dużą skalę w danym zestawie subskrypcji, aby skutecznie zarządzać środowiskiem.
W przypadku usługi Azure Security Center można użyć usługi ARG i język zapytań Kusto (KQL) do wykonywania zapytań dotyczących szerokiego zakresu danych stanu zabezpieczeń.
Wcześniej, jeśli wykonano zapytanie dotyczące tego zalecenia w usłudze ARG, jedynymi dostępnymi informacjami było to, że zalecenie musi zostać skorygowane na maszynie. Następujące zapytanie rozszerzonej wersji zwróci wszystkie brakujące aktualizacje systemu pogrupowane według maszyny.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Strona zarządzania zasadami w witrynie Azure Portal zawiera teraz stan domyślnych przypisań zasad
Teraz możesz sprawdzić, czy subskrypcje mają przypisane domyślne zasady usługi Security Center, na stronie zasad zabezpieczeń usługi Security Center w witrynie Azure Portal.
Październik 2020
Aktualizacje w październiku obejmują:
- Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych (wersja zapoznawcza)
- Dodano zalecenie usługi Azure Firewall (wersja zapoznawcza)
- Autoryzowane zakresy adresów IP powinny być zdefiniowane w rekomendacji usługi Kubernetes Services zaktualizowanym z szybką poprawką
- Pulpit nawigacyjny zgodności z przepisami zawiera teraz opcję usuwania standardów
- Microsoft.Security/securityStatuses tabela usunięta z usługi Azure Resource Graph
Ocena luk w zabezpieczeniach dla maszyn lokalnych i wielochmurowych (wersja zapoznawcza)
Zintegrowany skaner oceny luk w zabezpieczeniach usługi Azure Defender for Servers (obsługiwany przez firmę Qualys) skanuje teraz serwery z obsługą usługi Azure Arc.
Po włączeniu usługi Azure Arc na maszynach spoza platformy Azure usługa Security Center będzie oferować wdrażanie zintegrowanego skanera luk w zabezpieczeniach — ręcznie i na dużą skalę.
Dzięki tej aktualizacji możesz uwolnić możliwości usługi Azure Defender dla serwerów, aby skonsolidować program zarządzanie lukami w zabezpieczeniach we wszystkich zasobach platformy Azure i innych niż azure.
Główne możliwości:
- Monitorowanie stanu aprowizacji skanera oceny luk w zabezpieczeniach na maszynach usługi Azure Arc
- Aprowizowanie zintegrowanego agenta oceny luk w zabezpieczeniach na maszynach z systemem Windows i Linux w usłudze Azure Arc (ręcznie i na dużą skalę)
- Odbieranie i analizowanie wykrytych luk w zabezpieczeniach od wdrożonych agentów (ręcznie i na dużą skalę)
- Ujednolicone środowisko maszyn wirtualnych platformy Azure i maszyn usługi Azure Arc
Dowiedz się więcej o serwerach z obsługą usługi Azure Arc.
Dodano zalecenie usługi Azure Firewall (wersja zapoznawcza)
Dodano nowe zalecenie w celu ochrony wszystkich sieci wirtualnych za pomocą usługi Azure Firewall.
Zalecane jest, aby sieci wirtualne powinny być chronione przez usługę Azure Firewall , zaleca ograniczenie dostępu do sieci wirtualnych i zapobieganie potencjalnym zagrożeniom przy użyciu usługi Azure Firewall.
Dowiedz się więcej o usłudze Azure Firewall.
Autoryzowane zakresy adresów IP powinny być zdefiniowane w rekomendacji usługi Kubernetes Services zaktualizowanym z szybką poprawką
Zalecenie Autoryzowane zakresy adresów IP powinno być zdefiniowane w usługach Kubernetes Services ma teraz szybką opcję poprawki.
Pulpit nawigacyjny zgodności z przepisami zawiera teraz opcję usuwania standardów
Pulpit nawigacyjny zgodności z przepisami w usłudze Security Center zapewnia wgląd w stan zgodności na podstawie sposobu spełnienia określonych mechanizmów kontroli zgodności i wymagań.
Pulpit nawigacyjny zawiera domyślny zestaw standardów regulacyjnych. Jeśli którykolwiek z podanych standardów nie jest istotny dla Twojej organizacji, jest to teraz prosty proces usuwania ich z interfejsu użytkownika dla subskrypcji. Standardy można usuwać tylko na poziomie subskrypcji , a nie w zakresie grupy zarządzania.
Dowiedz się więcej w artykule Usuwanie standardu z pulpitu nawigacyjnego.
Microsoft.Security/securityStatuses tabela usunięta z usługi Azure Resource Graph (ARG)
Azure Resource Graph to usługa platformy Azure, która została zaprojektowana w celu zapewnienia wydajnej eksploracji zasobów z możliwością wykonywania zapytań na dużą skalę w danym zestawie subskrypcji, dzięki czemu można skutecznie zarządzać środowiskiem.
W przypadku usługi Azure Security Center można użyć usługi ARG i język zapytań Kusto (KQL) do wykonywania zapytań dotyczących szerokiego zakresu danych stanu zabezpieczeń. Na przykład:
- Spis zasobów korzysta z usługi ARG
- Udokumentowaliśmy przykładowe zapytanie ARG dotyczące identyfikowania kont bez włączonego uwierzytelniania wieloskładnikowego (MFA)
W ramach usługi ARG istnieją tabele danych, których można używać w zapytaniach.
Napiwek
Dokumentacja usługi ARG zawiera listę wszystkich dostępnych tabel w tabeli usługi Azure Resource Graph i dokumentacji typu zasobu.
Z tej aktualizacji usunięto tabelę Microsoft.Security/securityStatuses . Interfejs API securityStatuses jest nadal dostępny.
Zastępowanie danych może być używane przez tabelę Microsoft.Security/Assessments.
Główną różnicą między Microsoft.Security/securityStatuses i Microsoft.Security/Assessments jest to, że podczas gdy pierwszy pokazuje agregację ocen, sekundy zawierają jeden rekord dla każdego.
Na przykład Microsoft.Security/securityStatuses zwróci wynik z tablicą dwóch zasadAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Podczas gdy Microsoft.Security/Assessments przechowuje rekord dla każdej takiej oceny zasad w następujący sposób:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Przykład konwertowania istniejącego zapytania ARG przy użyciu parametrów securityStatuses w celu użycia tabeli ocen:
Zapytanie odwołujące się do parametru SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Zapytanie zastępcze tabeli Oceny:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Dowiedz się więcej na poniższych linkach:
Wrzesień 2020
Aktualizacje we wrześniu obejmują:
- Usługa Security Center otrzymuje nowy wygląd!
- Usługa Azure Defender została wydana
- Usługa Azure Defender dla usługi Key Vault jest ogólnie dostępna
- Ochrona usługi Azure Defender dla usługi Storage dla plików i usługi ADLS Gen2 jest ogólnie dostępna
- Narzędzia spisu zasobów są teraz ogólnie dostępne
- Wyłączanie określonego znalezienia luk w zabezpieczeniach na potrzeby skanowania rejestrów kontenerów i maszyn wirtualnych
- Wyklucz zasób z zalecenia
- Łączniki usług AWS i GCP w usłudze Security Center przynoszą środowisko wielochmurowe
- Pakiet zaleceń dotyczących ochrony obciążeń platformy Kubernetes
- Wyniki oceny luk w zabezpieczeniach są teraz dostępne w ciągłym eksportowaniu
- Zapobieganie błędom konfiguracji zabezpieczeń przez wymuszanie zaleceń podczas tworzenia nowych zasobów
- Ulepszono zalecenia dotyczące sieciowej grupy zabezpieczeń
- Przestarzałe zalecenie usługi AKS w wersji zapoznawczej "Zasady zabezpieczeń zasobnika powinny być zdefiniowane w usługach Kubernetes Services"
- Ulepszono powiadomienia e-mail z usługi Azure Security Center
- Wskaźnik bezpieczeństwa nie obejmuje zaleceń dotyczących wersji zapoznawczej
- Rekomendacje obejmują teraz wskaźnik ważności i interwał aktualności
Usługa Security Center otrzymuje nowy wygląd
Opublikowaliśmy odświeżony interfejs użytkownika dla stron portalu usługi Security Center. Nowe strony zawierają nową stronę przeglądu i pulpity nawigacyjne na potrzeby wskaźnika bezpieczeństwa, spisu zasobów i usługi Azure Defender.
Przeprojektowana strona przeglądu zawiera teraz kafelek umożliwiający uzyskiwanie dostępu do pulpitów nawigacyjnych wskaźnika bezpieczeństwa, spisu zasobów i usługi Azure Defender. Zawiera on również kafelek łączący się z pulpitem nawigacyjnym zgodności z przepisami.
Dowiedz się więcej o stronie przeglądu.
Usługa Azure Defender została wydana
Usługa Azure Defender to platforma ochrony obciążeń w chmurze (CWPP) zintegrowana z usługą Security Center na potrzeby zaawansowanych, inteligentnych, ochrony obciążeń platformy Azure i obciążeń hybrydowych. Zastępuje ona opcję warstwy cenowej Standardowa usługi Security Center.
Po włączeniu usługi Azure Defender z obszaru Cennik i ustawienia usługi Azure Security Center wszystkie następujące plany usługi Defender są włączone jednocześnie i zapewniają kompleksową ochronę warstw obliczeniowych, danych i usług środowiska:
- Usługa Azure Defender dla serwerów
- Usługa Azure Defender dla usługi App Service
- Azure Defender for Storage
- Azure Defender for SQL
- Usługa Azure Defender dla usługi Key Vault
- Usługa Azure Defender dla platformy Kubernetes
- Usługa Azure Defender dla rejestrów kontenerów
Każdy z tych planów jest objaśniony oddzielnie w dokumentacji usługi Security Center.
Dzięki dedykowanemu pulpitowi nawigacyjnemu usługa Azure Defender zapewnia alerty zabezpieczeń i zaawansowaną ochronę przed zagrożeniami dla maszyn wirtualnych, baz danych SQL, kontenerów, aplikacji internetowych, sieci i nie tylko.
Dowiedz się więcej o usłudze Azure Defender
Usługa Azure Defender dla usługi Key Vault jest ogólnie dostępna
Azure Key Vault to usługa w chmurze, która chroni klucze szyfrowania i wpisy tajne, takie jak certyfikaty, parametry połączenia i hasła.
Usługa Azure Defender for Key Vault zapewnia natywną, zaawansowaną ochronę przed zagrożeniami na platformie Azure dla usługi Azure Key Vault, zapewniając dodatkową warstwę analizy zabezpieczeń. Dzięki rozszerzeniu usługa Azure Defender dla usługi Key Vault chroni w związku z tym wiele zasobów zależnych od kont usługi Key Vault.
Opcjonalny plan jest teraz ogólnie dostępny. Ta funkcja była dostępna w wersji zapoznawczej jako "zaawansowana ochrona przed zagrożeniami dla usługi Azure Key Vault".
Ponadto strony usługi Key Vault w witrynie Azure Portal zawierają teraz dedykowaną stronę Zabezpieczenia dla zaleceń i alertów usługi Security Center .
Dowiedz się więcej w usłudze Azure Defender for Key Vault.
Ochrona usługi Azure Defender dla usługi Storage dla plików i usługi ADLS Gen2 jest ogólnie dostępna
Usługa Azure Defender for Storage wykrywa potencjalnie szkodliwe działania na kontach usługi Azure Storage. Dane mogą być chronione niezależnie od tego, czy są przechowywane jako kontenery obiektów blob, udziały plików czy magazyny danych.
Obsługa usług Azure Files i Azure Data Lake Storage Gen2 jest teraz ogólnie dostępna.
Od 1 października 2020 r. rozpoczniemy naliczanie opłat za ochronę zasobów w tych usługach.
Dowiedz się więcej w usłudze Azure Defender for Storage.
Narzędzia spisu zasobów są teraz ogólnie dostępne
Strona spisu zasobów usługi Azure Security Center zawiera jedną stronę do wyświetlania stanu zabezpieczeń zasobów połączonych z usługą Security Center.
Usługa Security Center okresowo analizuje stan zabezpieczeń zasobów platformy Azure, aby zidentyfikować potencjalne luki w zabezpieczeniach. Następnie udostępnia zalecenia dotyczące sposobu korygowania tych luk w zabezpieczeniach.
Gdy dowolny zasób ma zaległe zalecenia, zostaną one wyświetlone w spisie.
Dowiedz się więcej w artykule Eksplorowanie zasobów i zarządzanie nimi za pomocą spisu zasobów.
Wyłączanie określonego znalezienia luk w zabezpieczeniach na potrzeby skanowania rejestrów kontenerów i maszyn wirtualnych
Usługa Azure Defender obejmuje skanery luk w zabezpieczeniach do skanowania obrazów w usłudze Azure Container Registry i maszynach wirtualnych.
Jeśli masz organizacyjną potrzebę ignorowania znajdowania, a nie korygowania, możesz ją opcjonalnie wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.
Gdy wyszukiwanie jest zgodne z kryteriami zdefiniowanymi w regułach wyłączania, nie będzie ono wyświetlane na liście wyników.
Ta opcja jest dostępna na stronach szczegółów zaleceń dla:
- Należy skorygować luki w zabezpieczeniach obrazów usługi Azure Container Registry
- Należy skorygować luki w zabezpieczeniach maszyn wirtualnych
Dowiedz się więcej w artykule Wyłącz określone wyniki obrazów kontenerów i Wyłącz określone wyniki dla maszyn wirtualnych.
Wykluczanie zasobu z rekomendacji
Od czasu do czasu zasób będzie wyświetlany jako w złej kondycji w odniesieniu do określonego zalecenia (i w związku z tym obniżenie wskaźnika bezpieczeństwa), mimo że uważasz, że nie powinno być. Być może został skorygowany przez proces, który nie jest śledzony przez usługę Security Center. Być może organizacja zdecydowała się zaakceptować ryzyko dla tego konkretnego zasobu.
W takich przypadkach można utworzyć regułę wykluczania i upewnić się, że zasób nie znajduje się na liście zasobów w złej kondycji w przyszłości. Te reguły mogą zawierać udokumentowane uzasadnienia, jak opisano poniżej.
Dowiedz się więcej w artykule Wyklucz zasób z zaleceń i wskaźnik bezpieczeństwa.
Łączniki usług AWS i GCP w usłudze Security Center przynoszą środowisko wielochmurowe
W przypadku obciążeń w chmurze często obejmujących wiele platform w chmurze usługi zabezpieczeń w chmurze muszą wykonywać te same czynności.
Usługa Azure Security Center chroni teraz obciążenia na platformie Azure, w usługach Amazon Web Services (AWS) i Google Cloud Platform (GCP).
Po dołączeniu projektów AWS i GCP do usługi Security Center integruje ona usługi AWS Security Hub, GCP Security Command i Azure Security Center.
Dowiedz się więcej w temacie Connect your AWS accounts to Azure Security Center and Connect your GCP projects to Azure Security Center (Łączenie kont platformy AWS z usługą Azure Security Center ) i Connect your GCP projects to Azure Security Center (Łączenie projektów GCP z usługą Azure Security Center).
Pakiet zaleceń dotyczących ochrony obciążeń platformy Kubernetes
Aby upewnić się, że obciążenia platformy Kubernetes są domyślnie bezpieczne, usługa Security Center dodaje zalecenia dotyczące wzmacniania zabezpieczeń na poziomie kubernetes, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.
Po zainstalowaniu usługi Azure Policy dla platformy Kubernetes w klastrze usługi AKS każde żądanie do serwera interfejsu API Kubernetes będzie monitorowane przed utrwalonym zestawem najlepszych rozwiązań przed utrwalonym w klastrze. Następnie można skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.
Możesz na przykład wymuś, że uprzywilejowane kontenery nie powinny być tworzone, a wszelkie przyszłe żądania do tego będą blokowane.
Dowiedz się więcej w artykule Najlepsze rozwiązania dotyczące ochrony obciążeń przy użyciu kontroli wpływu danych na platformę Kubernetes.
Wyniki oceny luk w zabezpieczeniach są teraz dostępne w ciągłym eksportowaniu
Użyj eksportu ciągłego, aby przesyłać strumieniowo alerty i zalecenia do usługi Azure Event Hubs, obszarów roboczych usługi Log Analytics lub usługi Azure Monitor. Z tego miejsca możesz zintegrować te dane z rozwiązaniami SIEM (takimi jak Azure Sentinel, Power BI, Azure Data Explorer i inne.
Zintegrowane narzędzia do oceny luk w zabezpieczeniach usługi Security Center zwracają wyniki dotyczące zasobów jako rekomendacje z możliwością działania w ramach zalecenia nadrzędnego, takiego jak "Luki w zabezpieczeniach maszyn wirtualnych powinny zostać skorygowane".
Wyniki zabezpieczeń są teraz dostępne do eksportowania za pośrednictwem eksportu ciągłego po wybraniu zaleceń i włączeniu opcji uwzględnij wyniki zabezpieczeń .
Powiązane strony:
- Zintegrowane rozwiązanie do oceny luk w zabezpieczeniach qualys w usłudze Security Center dla maszyn wirtualnych platformy Azure
- Zintegrowane rozwiązanie do oceny luk w zabezpieczeniach usługi Security Center dla obrazów usługi Azure Container Registry
- Eksport ciągły
Zapobieganie błędom konfiguracji zabezpieczeń przez wymuszanie zaleceń podczas tworzenia nowych zasobów
Błędy konfiguracji zabezpieczeń są główną przyczyną zdarzeń zabezpieczeń. Usługa Security Center ma teraz możliwość zapobiegania błędom konfiguracji nowych zasobów w odniesieniu do konkretnych zaleceń.
Ta funkcja może pomóc zapewnić bezpieczeństwo obciążeń i ustabilizować wskaźnik bezpieczeństwa.
Możesz wymusić bezpieczną konfigurację na podstawie określonego zalecenia w dwóch trybach:
Przy użyciu trybu odmowy usługi Azure Policy można zatrzymać tworzenie zasobów w złej kondycji
Korzystając z wymuszonej opcji, możesz skorzystać z efektu DeployIfNotExist usługi Azure Policy i automatycznie skorygować niezgodne zasoby podczas tworzenia
Jest to dostępne dla wybranych zaleceń dotyczących zabezpieczeń i można je znaleźć w górnej części strony szczegółów zasobu.
Dowiedz się więcej w artykule Zapobieganie błędom konfiguracji za pomocą zaleceń wymuszania/odmowy.
Ulepszono zalecenia dotyczące sieciowej grupy zabezpieczeń
Następujące zalecenia dotyczące zabezpieczeń związane z sieciowymi grupami zabezpieczeń zostały ulepszone w celu zmniejszenia niektórych wystąpień wyników fałszywie dodatnich.
- Wszystkie porty sieciowe powinny być ograniczone do sieciowej grupy zabezpieczeń skojarzonej z maszyną wirtualną
- Porty zarządzania powinny być zamknięte na maszynach wirtualnych
- Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń
- Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń
Przestarzałe zalecenie usługi AKS w wersji zapoznawczej "Zasady zabezpieczeń zasobnika powinny być zdefiniowane w usługach Kubernetes Services"
Zalecenie w wersji zapoznawczej "Zasady zabezpieczeń zasobników powinno być zdefiniowane w usługach Kubernetes Services" jest przestarzałe zgodnie z opisem w dokumentacji usługi Azure Kubernetes Service .
Funkcja zasad zabezpieczeń zasobnika (wersja zapoznawcza) jest ustawiona na wycofanie i nie będzie już dostępna po 15 października 2020 r. na rzecz usługi Azure Policy dla usługi AKS.
Po wycofaniu zasad zabezpieczeń zasobnika (wersja zapoznawcza) należy wyłączyć tę funkcję we wszystkich istniejących klastrach przy użyciu przestarzałej funkcji, aby przeprowadzić przyszłe uaktualnienia klastra i pozostać w pomoc techniczna platformy Azure.
Ulepszono powiadomienia e-mail z usługi Azure Security Center
Ulepszono następujące obszary wiadomości e-mail dotyczących alertów zabezpieczeń:
- Dodano możliwość wysyłania powiadomień e-mail dotyczących alertów dla wszystkich poziomów ważności
- Dodano możliwość powiadamiania użytkowników o różnych rolach platformy Azure w subskrypcji
- Proaktywnie powiadamiamy właścicieli subskrypcji domyślnie o alertach o wysokiej ważności (które mają duże prawdopodobieństwo, że są prawdziwe naruszenia)
- Usunęliśmy pole numeru telefonu ze strony konfiguracji powiadomień e-mail
Dowiedz się więcej w temacie Konfigurowanie powiadomień e-mail dotyczących alertów zabezpieczeń.
Wskaźnik bezpieczeństwa nie obejmuje zaleceń dotyczących wersji zapoznawczej
Usługa Security Center stale ocenia zasoby, subskrypcje i organizację pod kątem problemów z zabezpieczeniami. Następnie agreguje wszystkie wyniki w jeden wynik, dzięki czemu można powiedzieć na pierwszy rzut oka bieżącą sytuację bezpieczeństwa: im wyższą ocenę, tym niższy poziom zidentyfikowanego ryzyka.
W miarę odnajdywane są nowe zagrożenia, nowe porady dotyczące zabezpieczeń są udostępniane w usłudze Security Center za pośrednictwem nowych zaleceń. Aby uniknąć niespodziewanej zmiany wskaźnika bezpieczeństwa i zapewnić okres prolongaty, w którym można eksplorować nowe rekomendacje przed ich wpływem na wyniki, rekomendacje oznaczone jako wersja zapoznawcza nie są już uwzględniane w obliczeniach wskaźnika bezpieczeństwa. Powinny one być nadal korygowane wszędzie tam, gdzie to możliwe, aby po zakończeniu okresu podglądu przyczyniły się one do wyniku.
Ponadto zalecenia dotyczące wersji zapoznawczej nie renderują zasobu "W złej kondycji".
Przykład zalecenia w wersji zapoznawczej:
Dowiedz się więcej o wskaźniku bezpieczeństwa.
Rekomendacje obejmują teraz wskaźnik ważności i interwał aktualności
Strona szczegółów zaleceń zawiera teraz wskaźnik interwału aktualności (zawsze, gdy jest to istotne) i jasny obraz ważności zalecenia.
Sierpień 2020
Aktualizacje w sierpniu obejmują:
- Spis zasobów — zaawansowany nowy widok stanu zabezpieczeń zasobów
- Dodano obsługę domyślnych ustawień zabezpieczeń usługi Azure Active Directory (w przypadku uwierzytelniania wieloskładnikowego)
- Dodano zalecenie dotyczące jednostek usługi
- Ocena luk w zabezpieczeniach maszyn wirtualnych — skonsolidowano zalecenia i zasady
- Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy ASC_default
Spis zasobów — zaawansowany nowy widok stanu zabezpieczeń zasobów
Spis zasobów usługi Security Center (obecnie w wersji zapoznawczej) umożliwia wyświetlanie stanu zabezpieczeń zasobów połączonych z usługą Security Center.
Usługa Security Center okresowo analizuje stan zabezpieczeń zasobów platformy Azure, aby zidentyfikować potencjalne luki w zabezpieczeniach. Następnie udostępnia zalecenia dotyczące sposobu korygowania tych luk w zabezpieczeniach. Gdy dowolny zasób ma zaległe zalecenia, zostaną one wyświetlone w spisie.
Możesz użyć widoku i jego filtrów, aby eksplorować dane stanu zabezpieczeń i podejmować dalsze działania na podstawie wyników.
Dowiedz się więcej o spisie zasobów.
Dodano obsługę domyślnych ustawień zabezpieczeń usługi Azure Active Directory (w przypadku uwierzytelniania wieloskładnikowego)
Usługa Security Center dodała pełną obsługę domyślnych ustawień zabezpieczeń, czyli zabezpieczeń bezpłatnych tożsamości firmy Microsoft.
Domyślne ustawienia zabezpieczeń zapewniają wstępnie skonfigurowane ustawienia zabezpieczeń tożsamości w celu obrony organizacji przed typowymi atakami związanymi z tożsamościami. Wartości domyślne zabezpieczeń już chronią ponad 5 milionów dzierżaw w sumie; 50 000 dzierżaw jest również chronionych przez usługę Security Center.
Usługa Security Center udostępnia teraz rekomendację zabezpieczeń za każdym razem, gdy identyfikuje subskrypcję platformy Azure bez włączonych ustawień domyślnych zabezpieczeń. Do tej pory usługa Security Center zaleca włączenie uwierzytelniania wieloskładnikowego przy użyciu dostępu warunkowego, który jest częścią licencji premium usługi Azure Active Directory (AD). W przypadku klientów korzystających z bezpłatnej usługi Azure AD zalecamy teraz włączenie domyślnych ustawień zabezpieczeń.
Naszym celem jest zachęcanie większej liczby klientów do zabezpieczania środowisk chmury za pomocą uwierzytelniania wieloskładnikowego i eliminowania jednego z najwyższych zagrożeń, które jest również najbardziej wpływowym wynikiem bezpieczeństwa.
Dowiedz się więcej o wartościach domyślnych zabezpieczeń.
Dodano zalecenie dotyczące jednostek usługi
Dodano nowe zalecenie, aby zalecić klientom usługi Security Center używanie certyfikatów zarządzania w celu zarządzania subskrypcjami, aby przełączyć się na jednostki usługi.
Zaleca się użycie jednostek usługi w celu ochrony subskrypcji zamiast certyfikatów zarządzania zaleca użycie jednostek usługi lub usługi Azure Resource Manager w celu bezpieczniejszego zarządzania subskrypcjami.
Dowiedz się więcej o obiektach aplikacji i jednostki usługi w usłudze Azure Active Directory.
Ocena luk w zabezpieczeniach maszyn wirtualnych — skonsolidowano zalecenia i zasady
Usługa Security Center sprawdza maszyny wirtualne, aby wykryć, czy uruchamiają rozwiązanie do oceny luk w zabezpieczeniach. Jeśli nie znaleziono rozwiązania do oceny luk w zabezpieczeniach, usługa Security Center udostępnia zalecenie upraszczające wdrażanie.
W przypadku znalezienia luk w zabezpieczeniach usługa Security Center udostępnia zalecenie podsumowujące wyniki, które należy zbadać i skorygować w razie potrzeby.
Aby zapewnić spójne środowisko dla wszystkich użytkowników, niezależnie od typu skanera, z którego korzystają, zunifikowaliśmy cztery zalecenia w następujących dwóch:
| Ujednolicone zalecenie | Opis zmiany |
|---|---|
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Zastępuje następujące dwie rekomendacje: Włącz wbudowane rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwane przez rozwiązanie Qualys (obecnie przestarzałe) (uwzględnione w warstwie Standardowa) Rozwiązanie do oceny luk w zabezpieczeniach powinno być zainstalowane na maszynach wirtualnych (obecnie przestarzałe) (warstwy Standardowa i Bezpłatna) |
| Należy skorygować luki w zabezpieczeniach maszyn wirtualnych | Zastępuje następujące dwie rekomendacje: Korygowanie luk w zabezpieczeniach znalezionych na maszynach wirtualnych (obsługiwanych przez firmę Qualys) (obecnie przestarzałe) Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach (obecnie przestarzałe) |
Teraz użyjesz tego samego zalecenia, aby wdrożyć rozszerzenie oceny luk w zabezpieczeniach usługi Security Center lub prywatnie licencjonowane rozwiązanie ("BYOL") od partnera, takiego jak Qualys lub Rapid 7.
Ponadto po znalezieniu i zgłoszeniu luk w zabezpieczeniach w usłudze Security Center pojedyncze zalecenie powiadomi Cię o wynikach niezależnie od rozwiązania do oceny luk w zabezpieczeniach, które je zidentyfikowało.
Aktualizowanie zależności
Jeśli masz skrypty, zapytania lub automatyzacje odwołujące się do poprzednich zaleceń lub kluczy/nazw zasad, użyj poniższych tabel, aby zaktualizować odwołania:
Przed sierpniem 2020 r.
| Zalecenie | Scope |
|---|---|
| Włącz wbudowane rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwane przez firmę Qualys) Klucz: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Wbudowana |
| Korygowanie luk w zabezpieczeniach znalezionych na maszynach wirtualnych (obsługiwanych przez firmę Qualys) Klucz: 1195afff-c881-495e-9bc5-1486211ae03f |
Wbudowana |
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być zainstalowane na maszynach wirtualnych Klucz: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
| Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach Klucz: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Zasady | Scope |
|---|---|
| Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych Identyfikator zasad: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Wbudowana |
| Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach Identyfikator zasad: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Od sierpnia 2020 r.
| Zalecenie | Scope |
|---|---|
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych Klucz: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Wbudowane i BYOL |
| Należy skorygować luki w zabezpieczeniach maszyn wirtualnych Klucz: 1195afff-c881-495e-9bc5-1486211ae03f |
Wbudowane i BYOL |
| Zasady | Scope |
|---|---|
| Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych Identyfikator zasad: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Wbudowane i BYOL |
Nowe zasady zabezpieczeń usługi AKS dodane do inicjatywy ASC_default
Aby upewnić się, że obciążenia Kubernetes są domyślnie bezpieczne, usługa Security Center dodaje zasady na poziomie platformy Kubernetes i zalecenia dotyczące wzmacniania zabezpieczeń, w tym opcje wymuszania z kontrolą wpływu na platformę Kubernetes.
Wczesna faza tego projektu obejmuje podgląd i dodanie nowych (domyślnie wyłączonych) zasad do inicjatywy ASC_default.
Możesz bezpiecznie zignorować te zasady i nie będzie to miało wpływu na środowisko. Jeśli chcesz je włączyć, zarejestruj się w celu uzyskania wersji zapoznawczej za pośrednictwem prywatnej społeczności usługi Microsoft Cloud Security i wybierz następujące opcje:
- Pojedyncza wersja zapoznawcza — aby dołączyć tylko do tej wersji zapoznawczej. Jawnie podaj "Ciągłe skanowanie usługi ASC" jako wersję zapoznawcza, którą chcesz dołączyć.
- Bieżący program — do dodania do tej i przyszłych prywatnych wersji zapoznawczych. Musisz ukończyć umowę dotyczącą profilu i prywatności.
Lipiec 2020
Aktualizacje w lipcu obejmują:
- Ocena luk w zabezpieczeniach dla maszyn wirtualnych jest teraz dostępna dla obrazów, które nie znajdują się na platformie handlowej
- Ochrona przed zagrożeniami dla usługi Azure Storage została rozszerzona w celu uwzględnienia usług Azure Files i Azure Data Lake Storage Gen2 (wersja zapoznawcza)
- Osiem nowych zaleceń dotyczących włączania funkcji ochrony przed zagrożeniami
- Udoskonalenia zabezpieczeń kontenerów — szybsze skanowanie rejestru i odświeżona dokumentacja
- Funkcje adaptacyjnego sterowania aplikacjami zostały zaktualizowane o nowe zalecenia oraz obsługują teraz symbole wieloznaczne w regułach ścieżek
- Wycofano sześć zasad usługi SQL Advanced Data Security
Ocena luk w zabezpieczeniach dla maszyn wirtualnych jest teraz dostępna dla obrazów spoza witryny Marketplace
Po wdrożeniu rozwiązania do oceny luk w zabezpieczeniach usługa Security Center wcześniej przeprowadziła sprawdzanie poprawności przed wdrożeniem. Sprawdzenie miało na celu potwierdzenie jednostki SKU platformy handlowej docelowej maszyny wirtualnej.
Z tej aktualizacji sprawdzanie jest usuwane i można teraz wdrożyć narzędzia do oceny luk w zabezpieczeniach na maszynach z systemami Windows i Linux. Obrazy niestandardowe to te, które zostały zmodyfikowane z domyślnych ustawień witryny Marketplace.
Mimo że można teraz wdrożyć zintegrowane rozszerzenie oceny luk w zabezpieczeniach (obsługiwane przez firmę Qualys) na wielu innych maszynach, obsługa jest dostępna tylko wtedy, gdy używasz systemu operacyjnego wymienionego w temacie Wdrażanie zintegrowanego skanera luk w zabezpieczeniach na maszynach wirtualnych w warstwie Standardowa
Dowiedz się więcej o zintegrowanym skanerze luk w zabezpieczeniach dla maszyn wirtualnych (wymaga usługi Azure Defender).
Dowiedz się więcej na temat używania własnego rozwiązania do oceny luk w zabezpieczeniach licencjonowanych prywatnie z firmy Qualys lub Rapid7 w temacie Wdrażanie rozwiązania do skanowania luk w zabezpieczeniach partnera.
Ochrona przed zagrożeniami dla usługi Azure Storage została rozszerzona w celu uwzględnienia usług Azure Files i Azure Data Lake Storage Gen2 (wersja zapoznawcza)
Ochrona przed zagrożeniami dla usługi Azure Storage wykrywa potencjalnie szkodliwe działania na kontach usługi Azure Storage. Usługa Security Center wyświetla alerty, gdy wykrywa próby uzyskania dostępu do kont magazynu lub wykorzystania ich.
Dane mogą być chronione niezależnie od tego, czy są przechowywane jako kontenery obiektów blob, udziały plików czy magazyny danych.
Osiem nowych zaleceń dotyczących włączania funkcji ochrony przed zagrożeniami
Dodano osiem nowych zaleceń w celu zapewnienia prostego sposobu włączania funkcji ochrony przed zagrożeniami w usłudze Azure Security Center dla następujących typów zasobów: maszyn wirtualnych, planów usługi App Service, serwerów usługi Azure SQL Database, serwerów SQL na maszynach, kont usługi Azure Storage, klastrów usługi Azure Kubernetes Service, rejestrów usługi Azure Container Registry i magazynów usługi Azure Key Vault.
Nowe zalecenia są następujące:
- Zaawansowane zabezpieczenia danych powinny być włączone na serwerach usługi Azure SQL Database
- Zaawansowane zabezpieczenia danych powinny być włączone na serwerach SQL na maszynach
- Zaawansowana ochrona przed zagrożeniami powinna być włączona w planach usługi aplikacja systemu Azure Service
- Zaawansowana ochrona przed zagrożeniami powinna być włączona w rejestrach usługi Azure Container Registry
- Zaawansowana ochrona przed zagrożeniami powinna być włączona w magazynach usługi Azure Key Vault
- Zaawansowana ochrona przed zagrożeniami powinna być włączona w klastrach usługi Azure Kubernetes Service
- Zaawansowana ochrona przed zagrożeniami powinna być włączona na kontach usługi Azure Storage
- Zaawansowana ochrona przed zagrożeniami powinna być włączona na maszynach wirtualnych
Zalecenia obejmują również funkcję szybkiej poprawki.
Ważne
Skorygowanie któregokolwiek z tych zaleceń spowoduje naliczanie opłat za ochronę odpowiednich zasobów. Te opłaty będą rozpoczynać się natychmiast, jeśli masz powiązane zasoby w bieżącej subskrypcji. Lub w przyszłości, jeśli dodasz je w późniejszym terminie.
Jeśli na przykład nie masz żadnych klastrów usługi Azure Kubernetes Service w subskrypcji i włączysz ochronę przed zagrożeniami, nie zostaną naliczone żadne opłaty. Jeśli w przyszłości dodasz klaster w tej samej subskrypcji, zostanie on automatycznie chroniony, a opłaty rozpoczną się w tym czasie.
Dowiedz się więcej o ochronie przed zagrożeniami w usłudze Azure Security Center.
Udoskonalenia zabezpieczeń kontenerów — szybsze skanowanie rejestru i odświeżona dokumentacja
W ramach ciągłych inwestycji w domenę zabezpieczeń kontenera chętnie udostępnimy znaczną poprawę wydajności dynamicznego skanowania obrazów kontenerów przechowywanych w usłudze Azure Container Registry w usłudze Security Center. Skanowania są teraz zwykle wykonywane w ciągu około dwóch minut. W niektórych przypadkach może upłynąć do 15 minut.
Aby zwiększyć przejrzystość i wskazówki dotyczące możliwości zabezpieczeń kontenerów usługi Azure Security Center, odświeżyliśmy również strony dokumentacji zabezpieczeń kontenera.
Funkcje adaptacyjnego sterowania aplikacjami zostały zaktualizowane o nowe zalecenia oraz obsługują teraz symbole wieloznaczne w regułach ścieżek
Funkcja adaptacyjnego sterowania aplikacjami otrzymała dwie istotne aktualizacje:
Nowe zalecenie identyfikuje potencjalnie uzasadnione zachowanie, które nie zostało wcześniej dozwolone. Nowe zalecenie , Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane, monituje o dodanie nowych reguł do istniejących zasad w celu zmniejszenia liczby wyników fałszywie dodatnich w alertach naruszenia funkcji adaptacyjnego sterowania aplikacjami.
Reguły ścieżek obsługują teraz symbole wieloznaczne. Z tej aktualizacji można skonfigurować dozwolone reguły ścieżek przy użyciu symboli wieloznacznych. Istnieją dwa obsługiwane scenariusze:
Użyj symbolu wieloznakowego na końcu ścieżki, aby zezwolić na wszystkie pliki wykonywalne w tym folderze i podfolderach.
Użycie symbolu wieloznakowego w środku ścieżki w celu włączenia znanej nazwy pliku wykonywalnego ze zmianą nazwy folderu (np. folderów osobistych użytkowników ze znanym plikiem wykonywalnym, automatycznie wygenerowanych nazw folderów itp.).
Wycofano sześć zasad usługi SQL Advanced Data Security
Sześć zasad związanych z zaawansowanymi zabezpieczeniami danych dla maszyn SQL jest przestarzałych:
- Zaawansowane typy ochrony przed zagrożeniami powinny być ustawione na wartość "Wszystkie" w zaawansowanych ustawieniach zabezpieczeń danych wystąpienia zarządzanego SQL
- Zaawansowane typy ochrony przed zagrożeniami powinny być ustawione na wartość "Wszystkie" w ustawieniach zaawansowanych zabezpieczeń danych programu SQL Server
- Zaawansowane ustawienia zabezpieczeń danych dla wystąpienia zarządzanego SQL powinny zawierać adres e-mail do odbierania alertów zabezpieczeń
- Zaawansowane ustawienia zabezpieczeń danych dla programu SQL Server powinny zawierać adres e-mail do odbierania alertów zabezpieczeń
- Powiadomienia e-mail dla administratorów i właścicieli subskrypcji powinny być włączone w zaawansowanych ustawieniach zabezpieczeń danych wystąpienia zarządzanego SQL
- W zaawansowanych ustawieniach zabezpieczeń danych serwera SQL powinny być włączone powiadomienia e-mail do administratorów i właścicieli subskrypcji
Dowiedz się więcej o wbudowanych zasadach.
Czerwiec 2020
Aktualizacje w czerwcu obejmują:
- Interfejs API wskaźnika bezpieczeństwa (wersja zapoznawcza)
- Zaawansowane zabezpieczenia danych dla maszyn SQL (platforma Azure, inne chmury i środowisko lokalne) (wersja zapoznawcza)
- Dwie nowe zalecenia dotyczące wdrażania agenta usługi Log Analytics na maszynach usługi Azure Arc (wersja zapoznawcza)
- Nowe zasady tworzenia konfiguracji automatyzacji eksportu ciągłego i przepływu pracy na dużą skalę
- Nowe zalecenie dotyczące korzystania z sieciowych grup zabezpieczeń w celu ochrony maszyn wirtualnych bez Internetu
- Nowe zasady umożliwiające ochronę przed zagrożeniami i zaawansowane zabezpieczenia danych
Interfejs API wskaźnika bezpieczeństwa (wersja zapoznawcza)
Teraz możesz uzyskać dostęp do wskaźnika za pośrednictwem interfejsu API wskaźnika bezpieczeństwa (obecnie w wersji zapoznawczej). Metody interfejsu API zapewniają elastyczność wykonywania zapytań dotyczących danych i tworzenia własnego mechanizmu raportowania wyników bezpieczeństwa w czasie. Na przykład możesz użyć interfejsu API wskaźnika bezpieczeństwa, aby uzyskać ocenę dla określonej subskrypcji. Ponadto możesz użyć interfejsu API kontrolek wskaźnika bezpieczeństwa, aby wyświetlić listę mechanizmów kontroli zabezpieczeń i bieżący wynik subskrypcji.
Aby zapoznać się z przykładami narzędzi zewnętrznych, które umożliwiły użycie interfejsu API wskaźnika bezpieczeństwa, zobacz obszar wskaźnika bezpieczeństwa w naszej społeczności usługi GitHub.
Dowiedz się więcej o wskaźnikach bezpieczeństwa i mechanizmach kontroli zabezpieczeń w usłudze Azure Security Center.
Zaawansowane zabezpieczenia danych dla maszyn SQL (platforma Azure, inne chmury i środowisko lokalne) (wersja zapoznawcza)
Zaawansowane zabezpieczenia danych usługi Azure Security Center dla maszyn SQL chroni teraz serwery SQL hostowane na platformie Azure, w innych środowiskach w chmurze, a nawet na maszynach lokalnych. Rozszerza to ochronę serwerów SQL natywnych dla platformy Azure w celu zapewnienia pełnej obsługi środowisk hybrydowych.
Zaawansowane zabezpieczenia danych zapewniają ocenę luk w zabezpieczeniach i zaawansowaną ochronę przed zagrożeniami dla maszyn SQL, gdziekolwiek się znajdują.
Konfiguracja obejmuje dwa kroki:
Wdrożenie agenta usługi Log Analytics na maszynie hosta programu SQL Server w celu zapewnienia połączenia z kontem platformy Azure.
Włączanie opcjonalnego pakietu na stronie cennika i ustawień usługi Security Center.
Dowiedz się więcej o zaawansowanych zabezpieczeniach danych dla maszyn SQL.
Dwie nowe zalecenia dotyczące wdrażania agenta usługi Log Analytics na maszynach usługi Azure Arc (wersja zapoznawcza)
Dodano dwie nowe zalecenia ułatwiające wdrażanie agenta usługi Log Analytics na maszynach usługi Azure Arc i zapewnienie ich ochrony przez usługę Azure Security Center:
- Agent usługi Log Analytics powinien być zainstalowany na maszynach usługi Azure Arc z systemem Windows (wersja zapoznawcza)
- Agent usługi Log Analytics powinien być zainstalowany na maszynach usługi Azure Arc opartych na systemie Linux (wersja zapoznawcza)
Te nowe zalecenia będą wyświetlane w tych samych czterech mechanizmach kontroli zabezpieczeń co istniejące (powiązane) zalecenie, agent monitorowania powinien być zainstalowany na maszynach: korygowanie konfiguracji zabezpieczeń, stosowanie adaptacyjnej kontroli aplikacji, stosowanie aktualizacji systemu i włączanie ochrony punktu końcowego.
Zalecenia obejmują również funkcję szybkiej poprawki, aby przyspieszyć proces wdrażania.
Dowiedz się więcej o tym, jak usługa Azure Security Center używa agenta w temacie Co to jest agent usługi Log Analytics?.
Dowiedz się więcej o rozszerzeniach dla maszyn usługi Azure Arc.
Nowe zasady tworzenia konfiguracji automatyzacji eksportu ciągłego i przepływu pracy na dużą skalę
Automatyzacja procesów monitorowania i reagowania na zdarzenia w organizacji może znacznie poprawić czas potrzebny do zbadania i ograniczenia zdarzeń zabezpieczeń.
Aby wdrożyć konfiguracje automatyzacji w organizacji, użyj tych wbudowanych zasad platformy Azure "DeployIfdNotExist", aby utworzyć i skonfigurować procedury automatyzacji eksportu ciągłego i przepływu pracy:
Definicje zasad można znaleźć w usłudze Azure Policy:
| Goal | Zasady | Identyfikator zasad |
|---|---|---|
| Eksport ciągły do usługi Event Hubs | Wdrażanie eksportu do usługi Event Hubs dla alertów i zaleceń usługi Azure Security Center | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Eksport ciągły do obszaru roboczego usługi Log Analytics | Wdróż eksport do obszaru roboczego usługi Log Analytics w celu uzyskania alertów i zaleceń usługi Azure Security Center | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Automatyzacja przepływu pracy dla alertów zabezpieczeń | Wdróż automatyzację przepływu pracy dla alertów usługi Azure Security Center | f1525828-9a90-4fcf-be48-268cddd02361e |
| Automatyzacja przepływu pracy dla zaleceń dotyczących zabezpieczeń | Wdróż automatyzację przepływów pracy dla zaleceń usługi Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Wprowadzenie do szablonów automatyzacji przepływu pracy.
Dowiedz się więcej o korzystaniu z dwóch zasad eksportu w temacie Konfigurowanie automatyzacji przepływu pracy na dużą skalę przy użyciu podanych zasad i Konfigurowanie eksportu ciągłego.
Nowe zalecenie dotyczące korzystania z sieciowych grup zabezpieczeń w celu ochrony maszyn wirtualnych bez Internetu
Kontrola zabezpieczeń "implementowanie najlepszych rozwiązań w zakresie zabezpieczeń" obejmuje teraz następujące nowe zalecenie:
- Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń
Istniejące zalecenie, maszyny wirtualne połączone z Internetem powinny być chronione za pomocą sieciowych grup zabezpieczeń, nie rozróżniały maszyn wirtualnych dostępnych z Internetu i nienależących do Internetu. W obu przypadkach wygenerowano zalecenie o wysokiej ważności, jeśli maszyna wirtualna nie została przypisana do sieciowej grupy zabezpieczeń. To nowe zalecenie oddziela maszyny nienależące do Internetu, aby zmniejszyć liczbę wyników fałszywie dodatnich i uniknąć niepotrzebnych alertów o wysokiej ważności.
Nowe zasady umożliwiające ochronę przed zagrożeniami i zaawansowane zabezpieczenia danych
Nowe definicje zasad poniżej zostały dodane do inicjatywy domyślnej usługi ASC i zostały zaprojektowane w celu ułatwienia włączania ochrony przed zagrożeniami lub zaawansowanych zabezpieczeń danych dla odpowiednich typów zasobów.
Definicje zasad można znaleźć w usłudze Azure Policy:
Dowiedz się więcej o ochronie przed zagrożeniami w usłudze Azure Security Center.
Maj 2020
Aktualizacje w maju obejmują:
- Reguły pomijania alertów (wersja zapoznawcza)
- Ocena luk w zabezpieczeniach maszyny wirtualnej jest teraz ogólnie dostępna
- Zmiany w dostępie just-in-time (JIT) do maszyny wirtualnej
- Niestandardowe zalecenia zostały przeniesione do oddzielnej kontroli zabezpieczeń
- Dodano przełącznik do wyświetlania zaleceń w kontrolkach lub jako płaską listę
- Rozszerzona kontrola zabezpieczeń „implementowanie najlepszych rozwiązań w zakresie zabezpieczeń”
- Zasady niestandardowe z niestandardowymi metadanymi są teraz ogólnie dostępne
- Możliwości analizy zrzutu awaryjnego migrujące do wykrywania ataków bez plików
Reguły pomijania alertów (wersja zapoznawcza)
Ta nowa funkcja (obecnie w wersji zapoznawczej) pomaga zmniejszyć zmęczenie alertami. Reguły umożliwiają automatyczne ukrywanie alertów, które są znane jako nieszkodliwe lub związane z normalnymi działaniami w organizacji. Dzięki temu można skupić się na najbardziej odpowiednich zagrożeniach.
Alerty zgodne z włączonymi regułami pomijania będą nadal generowane, ale ich stan zostanie ustawiony na odrzucone. Stan można zobaczyć w witrynie Azure Portal lub jednak uzyskujesz dostęp do alertów zabezpieczeń usługi Security Center.
Reguły pomijania definiują kryteria automatycznego odrzucania alertów. Zazwyczaj należy użyć reguły pomijania w celu:
pomijanie alertów zidentyfikowanych jako fałszywie dodatnie
pomijanie alertów, które są wyzwalane zbyt często, aby być przydatne
Dowiedz się więcej o pomijaniu alertów z ochrony przed zagrożeniami w usłudze Azure Security Center.
Ocena luk w zabezpieczeniach maszyny wirtualnej jest teraz ogólnie dostępna
Warstwa Standardowa usługi Security Center obejmuje teraz zintegrowaną ocenę luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych opłat. To rozszerzenie jest obsługiwane przez Qualys, ale zgłasza wyniki bezpośrednio do usługi Security Center. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane w usłudze Security Center.
Nowe rozwiązanie może stale skanować maszyny wirtualne, aby znaleźć luki w zabezpieczeniach i przedstawić wyniki w usłudze Security Center.
Aby wdrożyć rozwiązanie, użyj nowego zalecenia dotyczącego zabezpieczeń:
"Włączanie wbudowanego rozwiązania do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwanego przez firmę Qualys)"
Dowiedz się więcej o zintegrowanej ocenie luk w zabezpieczeniach usługi Security Center dla maszyn wirtualnych.
Zmiany w dostępie just-in-time (JIT) do maszyny wirtualnej
Usługa Security Center oferuje opcjonalną funkcję ochrony portów zarządzania maszyn wirtualnych. Zapewnia to ochronę przed najczęstszą formą ataków siłowych.
Ta aktualizacja wprowadza następujące zmiany w tej funkcji:
Zalecenie, które zaleca włączenie trybu JIT na maszynie wirtualnej, zostało zmienione. Wcześniej "Kontrola dostępu do sieci just in time powinna być stosowana na maszynach wirtualnych": "Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time".
Zalecenie jest wyzwalane tylko wtedy, gdy istnieją otwarte porty zarządzania.
Dowiedz się więcej o funkcji dostępu JIT.
Niestandardowe zalecenia zostały przeniesione do oddzielnej kontroli zabezpieczeń
Jedna kontrola zabezpieczeń wprowadzona przy użyciu ulepszonego wskaźnika bezpieczeństwa to "Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń". Wszystkie zalecenia niestandardowe utworzone dla subskrypcji zostały automatycznie umieszczone w tej kontrolce.
Aby ułatwić znajdowanie niestandardowych zaleceń, przenieśliśmy je do dedykowanej kontroli zabezpieczeń "Niestandardowe zalecenia". Ta kontrola nie ma wpływu na wskaźnik bezpieczeństwa.
Dowiedz się więcej o mechanizmach kontroli zabezpieczeń w obszarze Ulepszony wskaźnik bezpieczeństwa (wersja zapoznawcza) w usłudze Azure Security Center.
Dodano przełącznik do wyświetlania zaleceń w kontrolkach lub jako płaską listę
Mechanizmy kontroli zabezpieczeń to logiczne grupy powiązanych zaleceń dotyczących zabezpieczeń. Odzwierciedlają one podatne na ataki powierzchnie. Kontrolka to zestaw zaleceń dotyczących zabezpieczeń z instrukcjami, które ułatwiają implementowanie tych zaleceń.
Aby natychmiast zobaczyć, jak dobrze organizacja zabezpiecza poszczególne powierzchnie ataków, przejrzyj wyniki dla każdej kontroli zabezpieczeń.
Domyślnie zalecenia są wyświetlane w mechanizmach kontroli zabezpieczeń. Z tej aktualizacji można je również wyświetlić jako listę. Aby wyświetlić je jako prostą listę posortowaną według stanu kondycji dotkniętych zasobów, użyj nowego przełącznika "Grupuj według kontrolek". Przełącznik znajduje się powyżej listy w portalu.
Mechanizmy kontroli zabezpieczeń — i ten przełącznik — są częścią nowego środowiska wskaźnika bezpieczeństwa. Pamiętaj, aby wysłać nam swoją opinię z portalu.
Dowiedz się więcej o mechanizmach kontroli zabezpieczeń w obszarze Ulepszony wskaźnik bezpieczeństwa (wersja zapoznawcza) w usłudze Azure Security Center.
Rozszerzona kontrola zabezpieczeń „implementowanie najlepszych rozwiązań w zakresie zabezpieczeń”
Jedna kontrola zabezpieczeń wprowadzona przy użyciu ulepszonego wskaźnika bezpieczeństwa to "Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń". Gdy zalecenie znajduje się w tej kontrolce, nie ma wpływu na wskaźnik bezpieczeństwa.
Dzięki tej aktualizacji trzy zalecenia zostały przeniesione z kontrolek, w których zostały pierwotnie umieszczone, i do tej kontroli najlepszych rozwiązań. Podjęliśmy ten krok, ponieważ ustaliliśmy, że ryzyko tych trzech zaleceń jest niższe niż początkowo sądzono.
Ponadto wprowadzono dwa nowe zalecenia i dodano je do tej kontrolki.
Trzy przeniesione rekomendacje to:
- Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu subskrypcji (pierwotnie w kontrolce "Włącz uwierzytelnianie wieloskładnikowe")
- Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji (pierwotnie w kontrolce "Zarządzanie dostępem i uprawnieniami")
- Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli (pierwotnie w kontrolce "Zarządzanie dostępem i uprawnieniami")
Dwa nowe zalecenia dodane do kontrolki to:
Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach wirtualnych z systemem Windows (wersja zapoznawcza) — korzystanie z konfiguracji gościa usługi Azure Policy zapewnia widoczność wewnątrz maszyn wirtualnych do ustawień serwera i aplikacji (tylko system Windows).
Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach (wersja zapoznawcza) — program Windows Defender Exploit Guard korzysta z agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows).
Dowiedz się więcej o funkcji Windows Defender Exploit Guard w temacie Tworzenie i wdrażanie zasad funkcji Exploit Guard.
Dowiedz się więcej o mechanizmach kontroli zabezpieczeń w rozszerzonym wskaźniku bezpieczeństwa (wersja zapoznawcza).
Zasady niestandardowe z niestandardowymi metadanymi są teraz ogólnie dostępne
Zasady niestandardowe są teraz częścią środowiska zaleceń usługi Security Center, wskaźnika bezpieczeństwa i pulpitu nawigacyjnego standardów zgodności z przepisami. Ta funkcja jest teraz ogólnie dostępna i umożliwia rozszerzenie zasięgu oceny zabezpieczeń organizacji w usłudze Security Center.
Utwórz inicjatywę niestandardową w usłudze Azure Policy, dodaj do niej zasady i dołącz ją do usługi Azure Security Center i zwizualizuj ją jako zalecenia.
Dodaliśmy również opcję edytowania niestandardowych metadanych rekomendacji. Opcje metadanych obejmują ważność, kroki korygowania, informacje o zagrożeniach i nie tylko.
Dowiedz się więcej o ulepszaniu niestandardowych zaleceń, aby uzyskać szczegółowe informacje.
Możliwości analizy zrzutu awaryjnego migrujące do wykrywania ataków bez plików
Integrujemy możliwości wykrywania zrzutu awaryjnego systemu Windows (CDA) do wykrywania ataków bez plików. Analiza wykrywania ataków bez plików oferuje ulepszone wersje następujących alertów zabezpieczeń dla maszyn z systemem Windows: wykryto wstrzyknięcie kodu, wykryto maskowanie modułu systemu Windows, wykryto kod powłoki i wykryto podejrzany segment kodu.
Niektóre korzyści wynikające z tego przejścia:
Proaktywne i terminowe wykrywanie złośliwego oprogramowania — podejście CDA polegało na oczekiwaniu na wystąpienie awarii, a następnie uruchomieniu analizy w celu znalezienia złośliwych artefaktów. Korzystanie z wykrywania ataków bez plików zapewnia proaktywną identyfikację zagrożeń w pamięci podczas ich działania.
Wzbogacone alerty — alerty zabezpieczeń z wykrywania ataków bez plików obejmują wzbogacanie, które nie są dostępne z usługi CDA, takie jak informacje o aktywnych połączeniach sieciowych.
Agregacja alertów — gdy usługa CDA wykryła wiele wzorców ataków w ramach jednego zrzutu awaryjnego, wyzwoliła wiele alertów zabezpieczeń. Wykrywanie ataków bez plików łączy wszystkie zidentyfikowane wzorce ataków z tego samego procesu w jeden alert, eliminując konieczność korelowania wielu alertów.
Ograniczone wymagania dotyczące obszaru roboczego usługi Log Analytics — zrzuty awaryjne zawierające potencjalnie poufne dane nie będą już przekazywane do obszaru roboczego usługi Log Analytics.
Kwiecień 2020
Aktualizacje w kwietniu obejmują:
- Dynamiczne pakiety zgodności są teraz ogólnie dostępne
- Rekomendacje dotyczące tożsamości są teraz uwzględnione w warstwie Bezpłatna usługi Azure Security Center
Dynamiczne pakiety zgodności są teraz ogólnie dostępne
Pulpit nawigacyjny zgodności z przepisami usługi Azure Security Center obejmuje teraz dynamiczne pakiety zgodności (teraz ogólnie dostępne) do śledzenia dodatkowych standardów branżowych i prawnych.
Dynamiczne pakiety zgodności można dodać do subskrypcji lub grupy zarządzania ze strony zasad zabezpieczeń usługi Security Center. Po dodaniu standardu lub testu porównawczego standard pojawia się na pulpicie nawigacyjnym zgodności z przepisami razem ze wszystkimi skojarzonymi danymi zgodności zamapowanymi jako ocenami. Raport podsumowujący dla dowolnych standardów, które zostały dołączone, będzie dostępny do pobrania.
Teraz możesz dodać standardy, takie jak:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- Uk Official i UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0 (nowa) (która jest bardziej kompletną reprezentacją usługi Azure CIS 1.1.0)
Ponadto niedawno dodaliśmy test porównawczy zabezpieczeń platformy Azure, czyli opracowane przez firmę Microsoft wytyczne dotyczące platformy Azure pod kątem najlepszych rozwiązań w zakresie zabezpieczeń i zgodności w oparciu o popularne struktury zgodności. Dodatkowe standardy będą obsługiwane na pulpicie nawigacyjnym, gdy staną się dostępne.
Dowiedz się więcej na temat dostosowywania zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Zalecenia dotyczące tożsamości są teraz dostępne w warstwie Bezpłatna usługi Azure Security Center
Zalecenia dotyczące zabezpieczeń z zakresu tożsamości i dostępu w warstwie Bezpłatna usługi Azure Security Center są teraz ogólnie dostępne. Jest to część starań, aby funkcje zarządzania stanem zabezpieczeń w chmurze (CSPM) są bezpłatne. Do tej pory te zalecenia były dostępne tylko w warstwie cenowej Standardowa.
Przykładowe zalecenia dotyczące tożsamości i dostępu:
- „Uwierzytelnianie wieloskładnikowe powinno być włączone dla kont z uprawnieniami właściciela w ramach subskrypcji”.
- „Dla subskrypcji powinno być wyznaczonych maksymalnie trzech właścicieli”.
- „Przestarzałe konta powinny zostać usunięte z subskrypcji”.
Jeśli masz subskrypcje korzystające z warstwy cenowej Bezpłatna, ta zmiana będzie miała wpływ na ich wskaźnik bezpieczeństwa, ponieważ nigdy nie były oceniane pod kątem bezpieczeństwa tożsamości i dostępu.
Marzec 2020 r.
Aktualizacje w marcu obejmują:
- Automatyzacja przepływu pracy jest teraz ogólnie dostępna
- Integracja usługi Azure Security Center z usługą Windows Admin Center
- Ochrona usługi Azure Kubernetes Service
- Ulepszone środowisko just in time
- Dwa zalecenia dotyczące zabezpieczeń dla przestarzałych aplikacji internetowych
Automatyzacja przepływu pracy jest teraz ogólnie dostępna
Funkcja automatyzacji przepływu pracy usługi Azure Security Center jest teraz ogólnie dostępna. Służy ona do automatycznego wyzwalania aplikacji Logic Apps w przypadku zaleceń i alertów zabezpieczeń. Ponadto dla alertów i wszystkich zaleceń z dostępną opcją szybkiej poprawki są dostępne wyzwalacze ręczne.
Każdy program zabezpieczeń zawiera wiele przepływów pracy reagowania na zdarzenia. Te procesy mogą obejmować powiadamianie właściwych uczestników projektu, uruchamianie procesu zarządzania zmianami i stosowanie określonych instrukcji rozwiązania problemu. Specjaliści ds. zabezpieczeń zalecają zautomatyzowanie jak największej liczby kroków w tych procedurach. Automatyzacja redukuje nakład pracy i może poprawić bezpieczeństwo, zapewniając wykonanie kroków procesu w sposób szybki, spójny i zgodny ze wstępnie zdefiniowanymi wymaganiami.
Aby uzyskać więcej informacji o automatycznych i ręcznych możliwościach uruchamiania przepływów pracy w usłudze Security Center, zobacz Automatyzacja przepływu pracy.
Dowiedz się więcej o tworzeniu usługi Logic Apps.
Integracja usługi Azure Security Center z usługą Windows Admin Center
Teraz można przenieść lokalne serwery z systemem Windows z Centrum administracyjnego systemu Windows bezpośrednio do usługi Azure Security Center. Usługa Security Center umożliwi wtedy wyświetlanie w jednym miejscu informacji o zabezpieczeniach dla wszystkich zasobów rozwiązania Windows Admin Center, w tym serwerów lokalnych, maszyn wirtualnych i dodatkowych obciążeń PaaS.
Po przeniesieniu serwera z Centrum administracyjnego systemu Windows do usługi Azure Security Center będzie można wykonywać następujące elementy:
- Wyświetlanie zaleceń i alertów zabezpieczeń w rozszerzeniu Security Center rozwiązania Windows Admin Center.
- Wyświetlanie stanu zabezpieczeń i pobieranie dodatkowych szczegółowych informacji o serwerach zarządzanych w rozwiązaniu Windows Admin Center w usłudze Security Center w ramach witryny Azure Portal (lub za pośrednictwem interfejsu API).
Dowiedz się więcej o tym, jak integrować usługę Azure Security Center z rozwiązaniem Windows Admin Center.
Ochrona usługi Azure Kubernetes Service
Rozszerzono funkcje zabezpieczeń kontenerów usługi Azure Security Center, aby chronić usługę Azure Kubernetes Service (AKS).
Popularna platforma Kubernetes typu open source jest powszechnie stosowana, ponieważ jest obecnie standardem branżowym aranżacji kontenerów. Pomimo tej powszechnej implementacji nadal brakuje zrozumienia sposobu zabezpieczania środowiska Kubernetes. Ochrona obszaru podatnego na ataki konteneryzowanej aplikacji wymaga specjalistycznej wiedzy w celu zapewnienia, że infrastruktura została skonfigurowana bezpiecznie, i stałego monitorowania pod kątem potencjalnych zagrożeń.
Ochrona usługi Security Center obejmuje następujące funkcje:
- Odnajdywanie i widoczność — ciągłe odnajdywanie zarządzanych wystąpień usługi AKS w ramach subskrypcji zarejestrowanych w usłudze Security Center.
- Zalecenia dotyczące zabezpieczeń — rekomendacje z możliwością działania ułatwiające przestrzeganie najlepszych rozwiązań w zakresie zabezpieczeń usługi AKS. Te zalecenia są uwzględniane w wskaźniku bezpieczeństwa, aby upewnić się, że są one wyświetlane jako część stanu zabezpieczeń organizacji. Przykładem rekomendacji dotyczącej usługi AKS, którą można zobaczyć, jest "Kontrola dostępu oparta na rolach powinna służyć do ograniczania dostępu do klastra usługi Kubernetes".
- Ochrona przed zagrożeniami — dzięki ciągłej analizie wdrożenia usługi AKS usługa Security Center powiadamia o zagrożeniach i złośliwych działaniach wykrytych na poziomie hosta i klastra usługi AKS.
Dowiedz się więcej o integracji usług Azure Kubernetes Services z usługą Security Center.
Dowiedz się więcej o funkcjach zabezpieczeń kontenera w usłudze Security Center.
Ulepszone środowisko just in time
Funkcje, operacje i interfejs użytkownika dla narzędzi just in time usługi Azure Security Center, które zabezpieczają porty zarządzania, zostały ulepszone w następujący sposób:
- Pole uzasadnienia — podczas żądania dostępu do maszyny wirtualnej za pośrednictwem strony just in time w witrynie Azure Portal dostępne jest nowe pole opcjonalne, aby wprowadzić uzasadnienie żądania. Informacje wprowadzane w tym polu mogą być śledzone w dzienniku aktywności.
- Automatyczne czyszczenie nadmiarowych reguł just in time (JIT) — za każdym razem, gdy aktualizujesz zasady JIT, narzędzie oczyszczania jest uruchamiane automatycznie w celu sprawdzenia poprawności całego zestawu reguł. Narzędzie szuka niezgodności między regułami w zasadach i regułami w sieciowej grupie zabezpieczeń. Jeśli narzędzie oczyszczania znajdzie niezgodność, określa przyczynę i, gdy jest to bezpieczne, usuwa wbudowane reguły, które nie są już potrzebne. Narzędzie do czyszczenia nigdy nie usuwa reguł utworzonych przez Ciebie.
Dowiedz się więcej o funkcji dostępu JIT.
Dwa zalecenia dotyczące zabezpieczeń dla przestarzałych aplikacji internetowych
Dwa zalecenia dotyczące zabezpieczeń związane z aplikacjami internetowymi stają się przestarzałe:
Należy zaostrzyć reguły dla aplikacji internetowych w sieciowych grupach zabezpieczeń IaaS. (Powiązane zasady: reguły sieciowych grup zabezpieczeń dla aplikacji internetowych w usłudze IaaS powinny być wzmocnione)
Dostęp do usługi App Services powinien być ograniczony. (Powiązane zasady: Dostęp do usług App Services powinien być ograniczony [wersja zapoznawcza])
Te zalecenia nie będą już wyświetlane na liście zaleceń usługi Security Center. Powiązane zasady nie będą już uwzględniane w inicjatywie o nazwie "Security Center Default".
Luty 2020 r.
Wykrywanie ataków bez plików dla systemu Linux (wersja zapoznawcza)
Ponieważ osoby atakujące coraz lepiej ukrywają swoje działania, aby uniknąć wykrycia, usługa Azure Security Center rozszerza wykrywanie ataków bezplikowych. Ta funkcja będzie obsługiwana nie tylko w systemie Windows, ale też w systemie Linux. Ataki bezplikowe wykorzystują luki w zabezpieczeniach oprogramowania, wstrzykują złośliwe ładunki do nieszkodliwych procesów systemu i ukrywają się w pamięci. Te techniki:
- zminimalizować lub wyeliminować ślady złośliwego oprogramowania na dysku
- znacznie zmniejsza prawdopodobieństwo wykrycia przez rozwiązania do skanowania złośliwego oprogramowania opartego na dyskach
W ramach walki z tym zagrożeniem w październiku 2018 r. w usłudze Azure Security Center wprowadzono funkcję wykrywania ataków bezplikowych w systemie Windows, a teraz tę funkcję rozszerzono o obsługę systemu Linux.
Styczeń 2020
Ulepszony wskaźnik bezpieczeństwa (wersja zapoznawcza)
Rozszerzona wersja funkcji wskaźnika bezpieczeństwa w usłudze Azure Security Center jest teraz dostępna w wersji zapoznawczej. W tej wersji wiele zaleceń zostało pogrupowanych w ramach mechanizmów zabezpieczeń, które lepiej odzwierciedlają obszary narażone na ataki (np. ograniczenie dostępu do portów zarządzania).
Zapoznaj się z informacjami o zmianach wprowadzonych w wersji zapoznawczej wskaźnika bezpieczeństwa i ustal, jakie inne środki mogłyby pomóc Ci w zapewnieniu jeszcze większego bezpieczeństwa środowiska.
Dowiedz się więcej o rozszerzonym wskaźniku bezpieczeństwa (wersja zapoznawcza).
Listopad 2019 r.
Aktualizacje w listopadzie obejmują:
- Ochrona przed zagrożeniami dla usługi Azure Key Vault w regionach Ameryka Północna (wersja zapoznawcza)
- Ochrona przed zagrożeniami dla usługi Azure Storage obejmuje osłonę reputacji złośliwego oprogramowania
- Automatyzacja przepływu pracy za pomocą usługi Logic Apps (wersja zapoznawcza)
- Szybka poprawka dotycząca ogólnie dostępnych zasobów zbiorczych
- Skanowanie obrazów kontenerów pod kątem luk w zabezpieczeniach (wersja zapoznawcza)
- Dodatkowe standardy zgodności z przepisami (wersja zapoznawcza)
- Threat Protection dla usługi Azure Kubernetes Service (wersja zapoznawcza)
- Ocena luk w zabezpieczeniach maszyny wirtualnej (wersja zapoznawcza)
- Zaawansowane zabezpieczenia danych dla serwerów SQL w usłudze Azure Virtual Machines (wersja zapoznawcza)
- Obsługa zasad niestandardowych (wersja zapoznawcza)
- Rozszerzanie zasięgu usługi Azure Security Center za pomocą platformy dla społeczności i partnerów
- Zaawansowane integracje z eksportowaniem zaleceń i alertów (wersja zapoznawcza)
- Dołączanie serwerów lokalnych do usługi Security Center z poziomu Centrum administracyjnego Systemu Windows (wersja zapoznawcza)
Ochrona przed zagrożeniami dla usługi Azure Key Vault w regionach Ameryka Północna (wersja zapoznawcza)
Azure Key Vault to istotna usługa zapewniająca ochronę danych i poprawiająca wydajność aplikacji w chmurze poprzez zapewnianie możliwości centralnego zarządzania kluczami, wpisami tajnymi, kluczami kryptograficznymi i zasadami w chmurze. Ponieważ usługa Azure Key Vault przechowuje dane poufne i krytyczne dla działania firmy, wymaga ona maksymalnego poziomu zabezpieczeń dla magazynów kluczy i danych w nich przechowywanych.
Obsługa usługi Azure Security Center dla usługi Azure Key Vault dla usługi Azure Key Vault zapewnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do magazynów kluczy lub wykorzystania ich. Ta nowa warstwa zabezpieczeń umożliwia klientom reagowanie na zagrożenia dla magazynów kluczy bez potrzeby stosowania specjalistycznej wiedzy z zakresu zabezpieczeń lub zarządzania systemami monitorowania zabezpieczeń. Funkcja jest dostępna w publicznej wersji zapoznawczej w regionach Ameryki Północnej.
Ochrona przed zagrożeniami dla usługi Azure Storage obejmuje sprawdzanie reputacji pod kątem złośliwego oprogramowania
Ochrona przed zagrożeniami dla usługi Azure Storage oferuje nowe metody wykrywania wspierane przez analizę zagrożeń firmy Microsoft, które umożliwiają wykrywanie złośliwego oprogramowania przekazywanego do usługi Azure Storage przy użyciu analizy reputacji wartości skrótu i podejrzanego dostępu z aktywnego węzła wyjściowego sieci Tor (anonimizujący serwer proxy). Teraz możesz wyświetlać złośliwe oprogramowanie wykryte na wielu kontach magazynu przy użyciu usługi Azure Security Center.
Automatyzacja przepływu pracy za pomocą usługi Logic Apps (wersja zapoznawcza)
Organizacje, w których zabezpieczeniami, operacjami i działem IT zarządza się centralnie, wdrażają wewnętrzne procesy przepływów pracy, które pozwalają wykonać wymaganą akcję w przypadku wykrycia rozbieżności w środowisku. W wielu przypadkach te przepływy pracy są powtarzalnymi procesami, a automatyzacja może znacznie usprawnić procesy w organizacji.
W usłudze Security Center wprowadzamy nową funkcję. Pozwala ona klientom tworzyć konfiguracje automatyzacji korzystające z usługi Azure Logic Apps oraz umożliwia tworzenie zasad, które automatycznie wyzwalają te konfiguracje na podstawie określonych wyników z usługi ASC, takich jak rekomendacje lub alerty. Aplikację Azure Logic App można skonfigurować pod kątem wykonywania dowolnej niestandardowej akcji, obsługiwanej przez szeroką gamę łączników Logic App. Można też skorzystać z jednego z szablonów dostępnych w usłudze Security Center, np. do wysyłania wiadomości e-mail lub otwierania biletu ServiceNow™.
Aby uzyskać więcej informacji o automatycznych i ręcznych możliwościach uruchamiania przepływów pracy w usłudze Security Center, zobacz Automatyzacja przepływu pracy.
Aby dowiedzieć się więcej na temat tworzenia aplikacji Logic Apps, zobacz Azure Logic Apps.
Szybka poprawka dotycząca ogólnie dostępnych zasobów zbiorczych
Wiele zadań, które są przydzielane do użytkownika w ramach wskaźnika zabezpieczeń, sprawia, że możliwość efektywnego korygowania problemów w dużej flocie może stanowić poważne wyzwanie.
Użyj funkcji szybkiego korygowania poprawek, aby naprawić błędy konfiguracji zabezpieczeń, skorygować zalecenia dotyczące wielu zasobów i poprawić wskaźnik bezpieczeństwa.
Taka operacja pozwoli na wybranie zasobów, dla których chcesz zastosować działanie naprawcze, a następnie na uruchomienie akcji naprawczej umożliwiającej skonfigurowanie ustawienia w Twoim imieniu.
Szybka poprawka jest obecnie ogólnie dostępna dla klientów w ramach strony zaleceń usługi Security Center.
Skanowanie obrazów kontenerów pod kątem luk w zabezpieczeniach (wersja zapoznawcza)
Teraz usługa Azure Security Center może skanować obrazy kontenerów w usłudze Azure Container Registry w poszukiwaniu luk w zabezpieczeniach.
Skanowanie obrazu polega na analizowaniu pliku obrazu kontenera, a następnie sprawdzeniu, czy występują w nim jakiekolwiek znane luki w zabezpieczeniach (obsługiwane przez rozwiązanie Qualys).
Samo skanowanie jest wyzwalane automatycznie podczas wypychania nowych obrazów kontenera do usługi Azure Container Registry. Znalezione luki w zabezpieczeniach będą wyświetlane jako zalecenia usługi Security Center i uwzględnione w wskaźniku bezpieczeństwa wraz z informacjami na temat stosowania poprawek w celu zmniejszenia dozwolonego obszaru ataków.
Dodatkowe standardy zgodności z przepisami (wersja zapoznawcza)
Pulpit nawigacyjny Zgodność z przepisami daje wgląd w stan zabezpieczeń, bazując na ocenach usługi Security Center. Pulpit nawigacyjny pokazuje stopień zgodności Twojego środowiska z kontrolami i wymaganiami zaprojektowanymi na podstawie konkretnych standardów prawnych i branżowych testów porównawczych. Udostępnia nakazowe rekomendacje dotyczące tego, jak spełnić te wymagania.
Pulpit nawigacyjny zgodności z przepisami do tej pory obsługiwał cztery wbudowane standardy: Azure CIS 1.1.0, PCI-DSS, ISO 27001 i SOC-TSP. Ogłaszamy teraz publiczną wersję zapoznawcza dodatkowych obsługiwanych standardów: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM i UK Official wraz z UK NHS. Wydajemy również zaktualizowaną wersję produktu Azure CIS 1.1.0 obejmującą więcej kontroli ze standardu i zwiększającą rozszerzalność.
Dowiedz się więcej na temat dostosowywania zestawu standardów na pulpicie nawigacyjnym zgodności z przepisami.
Threat Protection dla usługi Azure Kubernetes Service (wersja zapoznawcza)
Usługa Kubernetes szybko staje się nowym standardem wdrażania oprogramowania w chmurze i zarządzania nim. Niewiele osób dobrze zna platformę Kubernetes, a większość użytkowników skupia się tylko na ogólnej obsłudze i administrowaniu, zaniedbując aspekt zabezpieczeń. Zabezpieczenie platformy Kubernetes wymaga jej starannego skonfigurowania z eliminacją wszystkich luk podatnych na ukierunkowane ataki. W usłudze Security Center rozszerzono obsługę kontenerów o jedną z najszybciej rozwijających się usług na platformie Azure — Azure Kubernetes Service (AKS).
Publiczna wersja zapoznawcza zawiera następujące nowe funkcje:
- Odnajdywanie i widoczność — ciągłe odnajdywanie zarządzanych wystąpień usługi AKS w ramach zarejestrowanych subskrypcji usługi Security Center.
- Zalecenia dotyczące wskaźnika bezpieczeństwa — elementy umożliwiające podejmowanie działań, aby ułatwić klientom przestrzeganie najlepszych rozwiązań w zakresie zabezpieczeń usługi AKS i zwiększenie wskaźnika bezpieczeństwa. Zalecenia obejmują elementy, takie jak "Kontrola dostępu oparta na rolach powinna służyć do ograniczania dostępu do klastra usługi Kubernetes Service".
- Wykrywanie zagrożeń — analiza oparta na hoście i klastrze, taka jak "Wykryto uprzywilejowany kontener".
Ocena luk w zabezpieczeniach maszyny wirtualnej (wersja zapoznawcza)
Aplikacje instalowane na maszynach wirtualnych często miewają luki w zabezpieczeniach, które mogą prowadzić do naruszenia zabezpieczeń tych maszyn. Ogłaszamy, że warstwa Standardowa usługi Security Center obejmuje wbudowaną ocenę luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych opłat. Ocena luk w zabezpieczeniach obsługiwana przez firmę Qualys w publicznej wersji zapoznawczej umożliwia ciągłe skanowanie wszystkich zainstalowanych aplikacji na maszynie wirtualnej w celu znalezienia wrażliwych aplikacji i przedstawienia wyników w środowisku portalu usługi Security Center. Usługa Security Center przeprowadza wszystkie operacje wdrażania, więc użytkownik nie musi wykonywać żadnej dodatkowej pracy. W przyszłości planujemy udostępnić opcje oceny luk w zabezpieczeniach w celu obsługi unikatowych potrzeb biznesowych naszych klientów.
Dowiedz się więcej o ocenach luk w zabezpieczeniach dla maszyn wirtualnych platformy Azure.
Zaawansowane zabezpieczenia danych dla serwerów SQL w usłudze Azure Virtual Machines (wersja zapoznawcza)
Obsługa usługi Azure Security Center pod kątem ochrony przed zagrożeniami i oceny luk w zabezpieczeniach dla baz danych SQL działających na maszynach wirtualnych IaaS jest teraz dostępna w wersji zapoznawczej.
Ocena luk w zabezpieczeniach to łatwa do skonfigurowania usługa umożliwiająca odnajdywanie i śledzenie potencjalnych luk w zabezpieczeniach bazy danych oraz pomagająca w ich usuwaniu. Zapewnia wgląd w stan zabezpieczeń w ramach wskaźnika bezpieczeństwa i obejmuje kroki rozwiązywania problemów z zabezpieczeniami i ulepszania fortyfikacji bazy danych.
Zaawansowana ochrona przed zagrożeniami wykrywa nietypowe działania wskazujące na nieprawidłowe i potencjalnie szkodliwe próby uzyskania dostępu do serwerów SQL lub wykorzystania ich. Stale monitoruje ona Twoją bazę danych pod kątem podejrzanych działań i zapewnia zorientowane na akcje alerty zabezpieczeń dotyczące anomalii we wzorcach dostępu do bazy danych. Te alerty zawierają szczegółowe informacje o podejrzanych działaniach i zalecane akcje dotyczące sposobu badania i ograniczenia zagrożenia.
Obsługa zasad niestandardowych (wersja zapoznawcza)
Usługa Azure Security Center obsługuje teraz zasady niestandardowe (w wersji zapoznawczej).
Nasi klienci oczekiwali możliwości rozszerzenia obecnego zakresu oceny zabezpieczeń w usłudze Security Center o własne oceny zabezpieczeń bazujące na zasadach utworzonych samodzielnie w usłudze Azure Policy. Dzięki obsłudze zasad niestandardowych jest to teraz możliwe.
Te nowe zasady będą częścią funkcji rekomendacji w usłudze Security Center, Wskaźnika bezpieczeństwa i pulpitu nawigacyjnego standardów zgodności z przepisami. Dzięki obsłudze zasad niestandardowych możesz teraz utworzyć inicjatywę niestandardową w usłudze Azure Policy, a następnie dodać ją jako zasady w usłudze Security Center i zwizualizować ją jako zalecenie.
Rozszerzanie zakresu działania usługi Azure Security Center dzięki platformie dla społeczności i partnerów
Skorzystaj z usługi Security Center, aby otrzymywać rekomendacje nie tylko od firmy Microsoft, ale także z istniejących rozwiązań partnerów, takich jak Check Point, Tenable i CyberArk z wieloma nadchodzącymi integracją. Prosty przepływ dołączania usługi Security Center może łączyć istniejące rozwiązania z usługą Security Center, umożliwiając wyświetlanie zaleceń dotyczących stanu zabezpieczeń w jednym miejscu, uruchamianie ujednoliconych raportów i korzystanie ze wszystkich funkcji usługi Security Center zarówno w przypadku wbudowanych, jak i rekomendacji partnerów. Rekomendacje z usługi Security Center można również wyeksportować do produktów partnerów.
Dowiedz się więcej o inteligentnym skojarzeniu zabezpieczeń firmy Microsoft.
Zaawansowane integracje z eksportowaniem zaleceń i alertów (wersja zapoznawcza)
W celu włączenia scenariuszy na poziomie przedsiębiorstwa w usłudze Security Center można teraz korzystać z alertów i zaleceń usługi Security Center w dodatkowych miejscach z wyjątkiem witryny Azure Portal lub interfejsu API. Można je wyeksportować bezpośrednio do centrum zdarzeń i do obszarów roboczych usługi Log Analytics. Oto kilka przepływów pracy, które można utworzyć dzięki tym nowym możliwościom:
- Eksportowanie do obszaru roboczego usługi Log Analytics umożliwia tworzenie niestandardowych pulpitów nawigacyjnych za pomocą usługi Power BI.
- W przypadku eksportowania do usługi Event Hubs będziesz mieć możliwość eksportowania alertów i zaleceń usługi Security Center do rozwiązania innych firm lub usługi Azure Data Explorer.
Dołączanie serwerów lokalnych do usługi Security Center z poziomu Centrum administracyjnego Systemu Windows (wersja zapoznawcza)
Centrum Windows Admin Center to portal zarządzania dla serwerów z systemem Windows, które nie są wdrożone na platformie Azure, oferujący im kilka funkcji zarządzania platformy Azure, takich jak kopia zapasowa i aktualizacje systemu. Niedawno udostępniliśmy możliwość dodawania tych serwerów spoza platformy Azure w celu objęcia ich ochroną przez usługę ASC bezpośrednio ze środowiska centrum Windows Admin Center.
Użytkownicy mogą teraz dołączać serwer WAC do usługi Azure Security Center i włączać wyświetlanie alertów zabezpieczeń i zaleceń bezpośrednio w środowisku centrum administracyjnego systemu Windows.
Wrzesień 2019
Aktualizacje we wrześniu obejmują:
- Ulepszenia zarządzania regułami za pomocą adaptacyjnych kontrolek aplikacji
- Kontrolowanie rekomendacji dotyczących zabezpieczeń kontenera przy użyciu usługi Azure Policy
Ulepszenia zarządzania regułami za pomocą adaptacyjnych kontrolek aplikacji
Ulepszono środowisko zarządzania regułami maszyn wirtualnych za pomocą funkcji adaptacyjnego sterowania aplikacjami. Funkcje adaptacyjnego sterowania aplikacjami usługi Azure Security Center ułatwiają kontrolowanie, które aplikacje mogą być uruchamiane na maszynach wirtualnych. Oprócz ogólnego ulepszenia zarządzania regułami wprowadzono nową korzyść, która pozwala kontrolować, które typy plików będą chronione po dodaniu nowej reguły.
Dowiedz się więcej o adaptacyjnych kontrolkach aplikacji.
Kontrolowanie rekomendacji dotyczących zabezpieczeń kontenera przy użyciu usługi Azure Policy
Zalecenie usługi Azure Security Center w celu skorygowania luk w zabezpieczeniach kontenera można teraz włączyć lub wyłączyć za pośrednictwem usługi Azure Policy.
Aby wyświetlić włączone zasady zabezpieczeń, w usłudze Security Center otwórz stronę Zasady zabezpieczeń.
Sierpień 2019
Aktualizacje w sierpniu obejmują:
- Dostęp just in time (JIT) do maszyny wirtualnej dla usługi Azure Firewall
- Korygowanie za pomocą jednego kliknięcia w celu zwiększenia poziomu zabezpieczeń (wersja zapoznawcza)
- Zarządzanie między dzierżawami
Dostęp just in time (JIT) do maszyny wirtualnej dla usługi Azure Firewall
Dostęp just-in-time (JIT) na potrzeby usługi Azure Firewall jest teraz ogólnie dostępny. Użyj go do zabezpieczenia środowisk chronionych za pomocą usługi Azure Firewall oprócz środowisk chronionych za pomocą sieciowych grup zabezpieczeń.
Dostęp JIT do maszyny wirtualnej ogranicza narażenie na sieciowe ataki wolumetryczne dzięki zapewnieniu dostępu do maszyny wirtualnej tylko wtedy, gdy jest on potrzebny, za pomocą reguł sieciowych grup zabezpieczeń i usługi Azure Firewall.
Gdy włączysz dostęp JIT na potrzeby swoich maszyn wirtualnych, utworzone zostaną zasady określające chronione porty, okres, przez który porty mają pozostać otwarte, oraz zatwierdzone adresy IP, z poziomu których można uzyskać dostęp do tych portów. Te zasady ułatwiają kontrolowanie działań użytkowników po zażądaniu przez nich dostępu.
Żądania są rejestrowane w dzienniku aktywności platformy Azure, dzięki czemu możesz w łatwy sposób monitorować dostęp i dokonywać jego inspekcji. Strona just in time pomaga również szybko zidentyfikować istniejące maszyny wirtualne z włączonym dostępem JIT i maszynami wirtualnymi, na których jest zalecany dostęp JIT.
Dowiedz się więcej o usłudze Azure Firewall.
Korygowanie za pomocą jednego kliknięcia w celu zwiększenia poziomu zabezpieczeń (wersja zapoznawcza)
Wskaźnik bezpieczeństwa ułatwia ocenę poziomu bezpieczeństwa zasobów. Za pomocą tego narzędzia możesz przeglądać zalecenia dotyczące działań naprawczych i je priorytetyzować, dzięki czemu wiesz, które zalecenie najpierw wprowadzić. Ułatwia to znalezienie najbardziej istotnych luk w zabezpieczeniach w celu ustalenia priorytetów badania.
Aby uprościć korygowanie błędów konfiguracji zabezpieczeń i pomóc w szybkim ulepszaniu wskaźnika bezpieczeństwa, dodaliśmy nową funkcję, która pozwala skorygować rekomendację dotyczącą dużej ilości zasobów w jednym kliknięciu.
Taka operacja pozwoli na wybranie zasobów, dla których chcesz zastosować działanie naprawcze, a następnie na uruchomienie akcji naprawczej umożliwiającej skonfigurowanie ustawienia w Twoim imieniu.
Zarządzanie wieloma dzierżawami
Usługa Security Center obsługuje teraz zarządzanie różnymi dzierżawcami w ramach usługi Azure Lighthouse. Umożliwia to uzyskiwanie wglądu w informacje na temat wielu dzierżawców i zarządzanie ich stanem bezpieczeństwa w usłudze Security Center.
Dowiedz się więcej o środowiskach zarządzania między dzierżawami.
Lipiec 2019
Aktualizacje zaleceń dotyczących sieci
Udostępniono nowe zalecenia dotyczące sieci dla usługi Azure Security Center (ASC) i ulepszono istniejące zalecenia. Teraz usługa Security Center zapewnia jeszcze lepszą ochronę zasobów w sieci.
2019 czerwca
Adaptacyjne wzmacnianie zabezpieczeń sieci — ogólnie dostępne
Jednym z najczęstszych obszarów ataków w przypadku obciążeń działających w chmurze publicznej są połączenia z publicznym Internetem. Nasi klienci często nie wiedzą, które zasady sieciowych grup zabezpieczeń należy zastosować, aby zagwarantować, że obciążenia platformy Azure będą dostępne wyłącznie w wymaganych zakresach źródłowych. Dzięki tej funkcji usługa Security Center uzyskuje informacje na temat ruchu sieciowego i wzorców łączności dla obciążeń platformy Azure i udostępnia zalecenia dotyczące zasad sieciowych grup zabezpieczeń dla maszyn wirtualnych mających połączenie z Internetem. Pomaga to klientom lepiej skonfigurować zasady dostępu do sieci i ograniczyć ryzyko ataków.