Поддержка и предварительные требования для обеспечения безопасности с учетом данных

  • Статья

Просмотрите требования на этой странице перед настройкой состояния безопасности с учетом данных в Microsoft Defender для облака.

Включение обнаружения конфиденциальных данных

Обнаружение конфиденциальных данных доступно в планах CSPM в Defender, Defender для служба хранилища и Defender для баз данных.

  • При включении одного из планов расширение обнаружения конфиденциальных данных включается в рамках плана.
  • Если у вас есть существующие планы, расширение доступно, но по умолчанию отключено.
  • Существующее состояние плана отображается как "Частичное", а не "Полный", если один или несколько расширений не включены.
  • Эта функция включена на уровне подписки.
  • Если обнаружение конфиденциальных данных включено, но CSPM Defender не включен, будут сканироваться только ресурсы хранилища.
  • Если подписка включена в CSPM Defender и параллельно сканировала те же ресурсы с помощью Purview, результат сканирования Purview игнорируется и по умолчанию отображает результаты сканирования Microsoft Defender для облака для поддерживаемого типа ресурса.

Что поддерживается

В таблице приведены сведения о доступности и поддерживаемых сценариях обнаружения конфиденциальных данных.

Поддержка Сведения
Какие ресурсы данных Azure можно обнаружить? Хранилище объектов:

Блочные учетные записи хранения BLOB-объектов в служба хранилища Azure версии 1/v2

Azure Data Lake Storage 2-го поколения

поддерживаются учетные записи служба хранилища за частными сетями.

поддерживаются служба хранилища учетные записи, зашифрованные с помощью ключа на стороне сервера, управляемого клиентом.

Учетные записи не поддерживаются, если включены какие-либо из этих параметров: служба хранилища учетная запись определена как зона Azure DNS; Конечная точка учетной записи хранения имеет личный домен, сопоставленный с ним.


Базы данных

Базы данных SQL Azure
Какие ресурсы данных AWS можно обнаружить? Хранилище объектов:

контейнеры AWS S3;

Defender для облака может обнаруживать зашифрованные KMS данные, но не зашифрованные с помощью ключа, управляемого клиентом.

Базы данных

- Amazon Аврора
— Amazon RDS для PostgreSQL
— Amazon RDS для MySQL
— Amazon RDS для MariaDB
— Amazon RDS для SQL Server (noncustom)
— Amazon RDS для базы данных Oracle (только для se2 Edition)

Предварительные требования и ограничения:
— Необходимо включить автоматические резервные копии.
— Роль IAM, созданная для целей сканирования (DefenderForCloud-DataSecurityPostureDB по умолчанию), должна иметь разрешения на ключ KMS, используемый для шифрования экземпляра RDS.
— Вы не можете совместно использовать моментальный снимок базы данных, использующий группу параметров с постоянными или постоянными параметрами, за исключением экземпляров Базы данных Oracle, имеющих параметр Timezone или OLS (или оба). Подробнее
Какие ресурсы данных GCP можно обнаружить? Контейнеры хранилища GCP
Стандартный класс
Географическое расположение: регион, двойной регион, многорегиональное
Какие разрешения требуются для обнаружения? учетная запись служба хранилища: владелец подписки
or
Microsoft.Authorization/roleAssignments/*(чтение, запись, удаление) иMicrosoft.Security/pricings/* (чтение, запись, удаление) иMicrosoft.Security/pricings/SecurityOperators (чтение, запись)

Контейнеры Amazon S3 и экземпляры RDS: разрешение учетной записи AWS для запуска облачного формирования (для создания роли).

Контейнеры хранилища GCP: разрешение учетной записи Google для запуска скрипта (для создания роли).
Какие типы файлов поддерживаются для обнаружения конфиденциальных данных? Поддерживаемые типы файлов (вы не можете выбрать подмножество) — .doc, DOCM, .docx, .dot, .gz, ODP, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, Ssv, .tsv, .txt., xml, .parquet, .avro, orc.
Какие регионы Azure поддерживаются? Вы можете обнаружить учетные записи хранения Azure в:

Восточная Азия; Юго-Восточная Азия; Центральная Австралия; Центральная Австралия 2; Восточная Австралия; Восточная Австралия; Южная Бразилия; Юго-Восточная Бразилия; Центральная Канада; Восточная Канада; Европа Северная; Западная Европа; Центральная Франция; Южная Франция; Северная Германия; Западная Германия; Центральная Индия; Южная Индия; Восточная Япония; Западная Япония; Jio India West; Центральная Корея; Южная Корея; Восточная Норвегия; Западная Норвегия; Северная Африка; Западная Африка; Центральная Швеция; Северная Швейцария; Западная Швейцария; Север ОАЭ; Южная Часть Великобритании; Западная часть Великобритании; Центральная часть США; Восточная часть США; Восточная часть США 2; Центральная часть США; Центральная часть США; Западная часть США; Западная часть США 2; Западная часть США 3; Центрально-западная часть США;

Вы можете обнаружить База данных SQL Azure в любом регионе, где поддерживаются CSPM Defender и База данных SQL Azure.
Какие регионы AWS поддерживаются? S3:

Азиатско-Тихоокеанский регион (Мумбаи); Азиатско-Тихоокеанский регион (Сингапур); Азиатско-Тихоокеанский регион (Сидней); Азиатско-Тихоокеанский регион (Токио); Канада (Монреаль); Европа (Франкфурт); Европа (Ирландия); Европа (Лондон); Европа (Париж); Европа (Стокгольм); Южная Америка (Сан-Паулу); Восточная часть США (Огайо); Восточная часть США (Штат Вирджиния); ЗападНАЯ часть США (Штат Калифорния): Западная часть США (Орегон).


RDS.

Африка (Кейптаун); Азиатско-Тихоокеанский регион (Гонконг САР); Азиатско-Тихоокеанский регион (Хайдерабад); Азиатско-Тихоокеанский регион (Мельбурн); Азиатско-Тихоокеанский регион (Мумбаи); Азиатско-Тихоокеанский регион (Осака); Азиатско-Тихоокеанский регион (Сеул); Азиатско-Тихоокеанский регион (Сингапур); Азиатско-Тихоокеанский регион (Сидней); Азиатско-Тихоокеанский регион (Токио); Канада (центральная часть); Европа (Франкфурт); Европа (Ирландия); Европа (Лондон); Европа (Париж); Европа (Стокгольм); Европа (Цюрих); Ближний Восток (ОАЭ); Южная Америка (Сан-Паулу); Восточная часть США (Огайо); Восточная часть США (Штат Вирджиния); ЗападНАЯ часть США (Штат Калифорния): Западная часть США (Орегон).

Обнаружение выполняется локально в пределах региона.
Какие регионы GCP поддерживаются? europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-east11
Нужно ли установить агент? Нет, обнаружение не требует установки агента.
Какова стоимость? Эта функция включается в состав CSPM Defender и Defender для планов служба хранилища и не несет дополнительных расходов, кроме соответствующих расходов на план.
Какие разрешения требуются для просмотра и изменения параметров конфиденциальности данных? Вам потребуется одна из этих ролей Microsoft Entra: Global Администратор istrator, Compliance Администратор istrator, Data Администратор istrator, security Администратор istrator, оператор безопасности.
Какие разрешения необходимо выполнить при подключении? Вам потребуется одна из этих ролей управления доступом на основе ролей Azure (Azure RBAC): безопасность Администратор, участник, владелец на уровне подписки (где находится проект или s GCP). Для использования результатов безопасности: средство чтения безопасности, Администратор безопасности, читателя, участника, владельца на уровне подписки (где находится проект или s GCP).

Настройка параметров конфиденциальности данных

Ниже приведены основные действия по настройке параметров конфиденциальности данных.

Дополнительные сведения о метках конфиденциальности в Microsoft Purview.

Обнаружение

Defender для облака начинает обнаруживать данные сразу после включения плана или после включения функции в планах, которые уже запущены.

Для хранилища объектов:

  • Чтобы просмотреть результаты для первого обнаружения, потребуется до 24 часов.
  • После обновления файлов в обнаруженных ресурсах данные обновляются в течение восьми дней.
  • Новая учетная запись хранения Azure, добавленная в уже обнаруженную подписку, обнаруживается в течение 24 часов или меньше.
  • Новый контейнер AWS S3 или контейнер хранилища GCP, добавленный в уже обнаруженную учетную запись AWS или учетную запись Google, обнаруживается в течение 48 часов или меньше.

Для баз данных:

  • Базы данных сканируются еженедельно.
  • Для недавно включенных подписок результаты отображаются в течение 24 часов.

Обнаружение контейнеров AWS S3

Чтобы защитить ресурсы AWS в Defender для облака, вы настроили соединитель AWS с помощью шаблона CloudFormation для подключения учетной записи AWS.

  • Чтобы обнаружить ресурсы данных AWS, Defender для облака обновляет шаблон CloudFormation.
  • Шаблон CloudFormation создает новую роль в AWS IAM, чтобы разрешить сканеру Defender для облака доступ к данным в контейнерах S3.
  • Чтобы подключить учетные записи AWS, вам потребуются разрешения Администратор istrator в учетной записи.
  • Роль разрешает следующие разрешения: только для чтения S3; Расшифровка KMS.

Обнаружение экземпляров AWS RDS

Чтобы защитить ресурсы AWS в Defender для облака, настройте соединитель AWS с помощью шаблона CloudFormation для подключения учетной записи AWS.

  • Чтобы обнаружить экземпляры AWS RDS, Defender для облака обновляет шаблон CloudFormation.
  • Шаблон CloudFormation создает новую роль в AWS IAM, чтобы разрешить сканеру Defender для облака использовать последний доступный автоматический моментальный снимок экземпляра и включить его в изолированную среду сканирования в одном регионе AWS.
  • Чтобы подключить учетные записи AWS, вам потребуются разрешения Администратор istrator в учетной записи.
  • Автоматические моментальные снимки необходимо включить в соответствующих экземплярах или кластерах RDS.
  • Роль разрешает эти разрешения (просмотрите шаблон CloudFormation для точных определений):
    • Список всех DBS/кластеров RDS
    • Копирование всех моментальных снимков базы данных и кластера
    • Удаление и обновление моментального снимка базы данных или кластера с префиксом Defenderfordatabases
    • Вывод списка всех ключей KMS
    • Использование всех ключей KMS только для RDS в исходной учетной записи
    • Создание и полное управление всеми ключами KMS с префиксом DefenderForDatabases
    • Создание псевдонима для ключей KMS
  • Ключи KMS создаются один раз для каждого региона, содержащего экземпляры RDS. Создание ключа KMS может привести к минимальной дополнительной стоимости в соответствии с ценами НА AWS KMS.

Обнаружение контейнеров хранилища GCP

Чтобы защитить ресурсы GCP в Defender для облака, можно настроить соединитель Google с помощью шаблона скрипта для подключения учетной записи GCP.

  • Чтобы обнаружить контейнеры хранилища GCP, Defender для облака обновляет шаблон скрипта.
  • Шаблон скрипта создает новую роль в учетной записи Google, чтобы разрешить сканеру Defender для облака доступ к данным в контейнерах хранилища GCP.
  • Чтобы подключить учетные записи Google, вам потребуется Администратор установщик разрешений на учетную запись.

Доступ к Интернету или доступ к общедоступному доступу

Пути атаки в Защитнике CSPM и аналитика графа облачной безопасности включают сведения о ресурсах хранилища, которые предоставляются в Интернете и разрешают общедоступный доступ. Дополнительные сведения см. в следующей таблице.

Штат Учетные записи хранения Azure Контейнеры AWS S3 Контейнеры служба хранилища GCP
Доступ к Интернету Учетная запись хранения Azure считается доступной в Интернете, если включено одно из этих параметров:

> служба хранилища_account_nameСетевой>доступ к>общедоступной сети включен из всех сетей

or

> служба хранилища_account_nameСетевой>доступ к>общедоступной сети включается из выбранных виртуальных сетей и IP-адресов.		 Контейнер AWS S3 считается открытым в Интернете, если политики контейнеров AWS или AWS S3 не имеют условия для IP-адресов. По умолчанию все контейнеры хранилища GCP предоставляются в Интернете.
Разрешает общедоступный доступ Контейнер учетной записи хранения Azure считается разрешением общедоступного доступа, если эти параметры включены в учетной записи хранения:

> служба хранилища_account_nameНастройка>разрешить общедоступный доступ> blob-объектов.

и любой из этих параметров:

> служба хранилища_account_nameКонтейнеры> container_name >уровне общедоступного доступа, равные BLOB-объектам (анонимный доступ для чтения только для больших двоичных объектов)

Кроме того, storage_account_name >контейнеры> container_name> уровне общедоступного доступа для контейнера (анонимный доступ на чтение для контейнеров и BLOB-объектов)).		 Контейнер AWS S3 считается разрешенным общедоступным доступом, если учетная запись AWS и контейнер AWS S3 блокируют все общедоступные доступы, а любой из этих параметров задан:

В политике параметр RestrictPublicBuckets не включен, а параметр "Субъект " имеет значение *, а "Эффект " имеет значение Allow.

Кроме того, в списке управления доступом параметр IgnorePublicAcl не включен, а разрешение разрешено для всех пользователей или для пользователей, прошедших проверку подлинности.		 Контейнер хранилища GCP считается разрешенным общедоступным доступом, если у него есть роль IAM (управление удостоверениями и доступом), которая соответствует следующим критериям:

Роль предоставляется субъекту allUsers или allAuthenticatedUsers.

Роль имеет по крайней мере одно разрешение на хранение, которое неявляется storage.buckets.create или storage.buckets.list. Общедоступный доступ в GCP называется "Общедоступный в Интернете".

Ресурсы базы данных не разрешают общедоступный доступ, но по-прежнему могут предоставляться в Интернете.

Аналитические сведения об интернет-экспозиции доступны для следующих ресурсов:

Azure:

  • Сервер SQL Server Azure
  • Azure Cosmos DB
  • Управляемый экземпляр SQL Azure
  • Отдельный сервер Azure MySQL
  • Гибкий сервер Azure MySQL
  • Отдельный сервер Azure PostgreSQL
  • Гибкий сервер Azure PostgreSQL
  • Отдельный сервер Azure MariaDB
  • Рабочая область Synapse

AWS:

  • Экземпляр RDS

Примечание.

  • Правила воздействия, включающие 0.0.0.0/0, считаются "чрезмерно предоставляемыми", то есть они могут быть доступны с любого общедоступного IP-адреса.
  • Ресурсы Azure с правилом экспозиции "0.0.0.0.0" доступны из любого ресурса в Azure (независимо от клиента или подписки).

Следующий шаг

Включите состояние безопасности с учетом данных.