Распространенные вопросы— общие вопросы

Microsoft Defender для облака помогает предотвращать и обнаруживать угрозы, а также реагировать на них, одновременно повышая отслеживаемость и безопасность ресурсов. Он включает встроенные функции мониторинга безопасности и управления политиками для подписок, помогает выявлять угрозы, которые в противном случае могли бы оказаться незамеченными, и взаимодействует с широким комплексом решений по обеспечению безопасности.

Defender для облака использует компоненты мониторинга для сбора и хранения данных. Подробные сведения см. в разделе Сбор данных в Microsoft Defender для облака.

Microsoft Defender для облака включается в составе подписки Microsoft Azure и доступен на портале Azure. Чтобы получить к нему доступ, войдите на портал, выберите Обзор и прокрутите экран до пункта Defender для облака.

Defender для облака бесплатно в течение первых 30 дней. Плата за использование за 30 дней автоматически взимается в рамках схемы ценообразования. Подробнее. Обратите внимание, что сканирование вредоносных программ в Defender для служба хранилища не входит бесплатно в первую 30-дневную пробную версию и будет взиматься с первого дня.

Microsoft Defender для облака наблюдает за следующими ресурсами Azure:

• виртуальные машины (в том числе облачные службы);
• Масштабируемые наборы виртуальных машин
• многие службы PaaS Azure, перечисленные в обзоре продукта.

Defender для облака также защищает локальные ресурсы и многооблачные ресурсы, включая Amazon AWS и Google Cloud.

На странице обзора Defender для облака показан общий уровень безопасности среды, разбитый по вычислениям, сетям, служба хранилища и данным и приложениям. Каждый тип ресурсов имеет индикатор, указывающий на обнаруженные уязвимости. При выборе каждой плитки отображается список проблем безопасности, определенных Defender для облака, а также инвентаризация ресурсов в подписке.

Инициатива по безопасности определяет набор элементов управления (политик), которые рекомендуются для ресурсов в указанной подписке. В Microsoft Defender для облака вы назначаете инициативы для подписок Azure, учетных записей AWS и проектов GCP в соответствии с требованиями к безопасности вашей компании и типом приложений или конфиденциальности данных в каждой подписке.

Политики безопасности, включенные в Microsoft Defender для облака, позволяют получать рекомендации по обеспечению безопасности и осуществлять мониторинг. Дополнительные сведения см. в разделе Что такое политики безопасности, инициативы и рекомендации?.

Изменить политику безопасности может пользователь с правами администратора безопасности или владельца этой подписки.

Дополнительные сведения о настройке политики безопасности см. в статье Настройка политик безопасности в Microsoft Defender для облака.

Microsoft Defender для облака анализирует состояние безопасности ресурсов Azure, multicloud и локальных ресурсов. При обнаружении потенциальной уязвимости системы безопасности создаются рекомендации. Рекомендации помогают выполнить процедуру настройки необходимого средства контроля. Примеры:

• Подготовка антивредоносного ПО помогает обнаруживать и устранять вредоносные программы.
• Группы безопасности сети и правила для управления трафиком виртуальных машин.
• Подготовка брандмауэра веб-приложения для защиты от атак на веб-приложения
• Развертывание отсутствующих обновлений системы
• Адресация конфигураций ОС, которые не соответствуют рекомендуемых базовых показателей

Здесь отображаются только рекомендации, включенные в политиках безопасности.

Microsoft Defender для облака автоматически собирает, анализирует и сопоставляет данные журналов из Azure, мультиоблачных и локальных ресурсов, сети и партнерских решений, таких как антивредоносные программы и брандмауэры. При обнаружении угроз создается оповещение системы безопасности. Например, определяется следующее.

• Обращение взломанных виртуальных машин к опасному IP-адресу
• Обнаружение сложных вредоносных программ с использованием отчетов об ошибках Windows
• Грубые атаки на виртуальные машины
• Оповещения системы безопасности, отправленные встроенными партнерскими решениями обеспечения безопасности, такими как защита от вредоносных программ или брандмауэры веб-приложений

Microsoft Security Response Center (MSRC) проводит выборочный мониторинг безопасности сети и инфраструктуры Azure и получает аналитические данные об угрозах и жалобы о нарушениях от третьих лиц. Когда MSRC узнает, что данные клиента были доступны незаконной или несанкционированной стороной или что использование Azure не соответствует условиям допустимого использования, диспетчер инцидентов безопасности уведомляет клиента. Обычно уведомление происходит путем отправки сообщения электронной почты контактам безопасности, указанным в Microsoft Defender для облака или владельцем подписки Azure, если контакт безопасности не указан.

Defender для облака — это служба Azure, которая постоянно отслеживает Azure, многооблачную и локальную среду клиента и применяет аналитику для автоматического обнаружения широкого спектра потенциально вредоносных действий. Такие обнаружения регистрируются как оповещения системы безопасности на панели мониторинга защиты рабочих нагрузок.

У подписок Azure может быть несколько администраторов с разрешениями на изменение параметров ценообразования. Чтобы узнать, какой именно пользователь внес изменения, используйте журнал действий Azure.

Если информация о пользователе не указана в столбце Кем инициировано событие, ознакомьтесь с соответствующими сведениями в JSON события.

Иногда рекомендация по безопасности входит в несколько инициатив политики. Если у вас несколько экземпляров одной и той же рекомендации, назначенных одной подписке, и вы создаете исключение для рекомендации, это влияет на все инициативы, которые у вас есть разрешение на изменение.

При попытке создать исключение для этой рекомендации вы увидите одно из двух следующих сообщений.

• Если у вас есть необходимые разрешения на изменение обеих инициатив, вы увидите следующее.

  Эта рекомендация включена в несколько инициатив политики: [имена инициатив, разделенные запятыми]. Исключения будут созданы для всех из них.

• Если у вас нет достаточных разрешений для обеих инициатив, вы увидите следующее сообщение.

  You have limited permissions to apply the exemption on all the policy initiatives, the exemptions will be created only on the initiatives with sufficient permissions. (У вас есть ограниченные разрешения на применение исключения для всех инициатив политики. Исключения будут созданы только для инициатив с достаточными разрешениями).

Перечисленные ниже общедоступные рекомендации не поддерживают исключения.

• Все типы расширенной защиты от угроз должны быть включены в расширенных параметрах безопасности данных управляемого экземпляра SQL.
• На серверах SQL в параметрах расширенной защиты данных должны быть включены все типы расширенной защиты от угроз.
• Для контейнеров должны соблюдаться ограничения по числу ЦП и объему оперативной памяти.
• Образы контейнеров должны развертываться только из доверенных реестров
• Контейнеры с повышением привилегий должны по возможности исключаться
• Контейнеры с общим доступом к важным пространствам имен узлов должны по возможности исключаться
• Контейнеры должны ожидать передачи данных только на разрешенных портах
• Политика фильтрации IP-адресов по умолчанию должна запрещать
• Проблемы с конфигурацией EDR должны быть устранены на виртуальных машинах
• Решение EDR должно быть установлено на Виртуальные машины
• Мониторинг целостности файлов должен быть включен на компьютерах
• Для контейнеров должна применяться неизменяемая (доступная только для чтения) корневая файловая система
• Устройства Интернета вещей. Открытые порты на устройстве
• Устройства Интернета вещей. В одной из цепочек найдена нестрогая политика брандмауэра
• Устройства Интернета вещей. Во входной цепочке найдено нестрогое правило брандмауэра
• Устройства Интернета вещей. В выходной цепочке найдено нестрогое правило брандмауэра
• Правило фильтра IP-адресов: большой диапазон IP-адресов
• Для контейнеров должны применяться возможности Linux с минимальными правами
• Возможности переопределения или отключения профиля AppArmor для контейнеров должны быть ограничены
• Требуется избегать привилегированных контейнеров
• Работа контейнеров от имени привилегированного пользователя должна по возможности исключаться
• Службы должны ожидать передачи данных только на разрешенных портах
• Серверы SQL должны быть подготовлены администратором Microsoft Entra
• Использование сети и портов узлов должно быть ограничено
• Использование подключений томов HostPath для групп pod должно быть ограничено списком известных узлов для предотвращения доступа из скомпрометированных контейнеров.

Чтобы понять, почему по-прежнему появляются рекомендации, проверьте следующие параметры конфигурации в политике условного доступа MFA.

• Вы включили учетные записи в раздел "Пользователи " политики ЦС MFA (или одну из групп в разделе "Группы ")
• Идентификатор приложения управления Azure Management (797f4846-ba00-4fd7-ba43-dac1f8f63013) или все приложения включаются в раздел Приложения вашей политики условного доступа MFA
• Идентификатор приложения управления MFA не исключается из раздела Приложения вашей политики условного доступа MFA
• Условие OR используется только с MFA или условием AND используется с MFA
• Политика условного доступа, применяющая многофакторную проверку подлинности, в настоящее время не поддерживается в нашей оценке.

рекомендации по MFA Defender для облака не поддерживают сторонние средства MFA (например, DUO).

Если рекомендации не подходят для вашей организации, попробуйте пометить их как "Устранено", как описано в разделе Исключение ресурсов и рекомендаций из оценки безопасности. Также можно отключить рекомендацию.

Рекомендации по MFA Defender для облака относятся к Роли Azure RBAC и роль администраторов классической подписки Azure. Убедитесь, что ни одна из учетных записей не имеет таких ролей.

Рекомендации по MFA Defender для облака в настоящее время не поддерживают учетные записи PIM. Эти учетные записи можно добавить в политику условного доступа в раздел пользователей или группы.

Возможность исключения некоторых учетных записей, которые не используют MFA, доступна в новых рекомендациях в предварительной версии:

• Для учетных записей с разрешениями владельца для ресурсов Azure должна быть включена многофакторная проверка подлинности
• Для учетных записей с разрешениями на запись для ресурсов Azure должна быть включена многофакторная проверка подлинности
• Для учетных записей с разрешениями на чтение для ресурсов Azure должна быть включена многофакторная проверка подлинности

Чтобы исключить учетные записи, выполните следующие действия.

1. Выберите рекомендацию MFA, связанную с неработоспособной учетной записью.
2. На вкладке "Учетные записи" выберите учетную запись для исключения.
3. Нажмите кнопку с тремя точками, а затем выберите "Исключить учетную запись".
4. Выберите причину область и исключения.

Если вы хотите узнать, какие учетные записи исключены, перейдите к исключенным учетным записям для каждой рекомендации.

Есть ряд ограничений по защите идентификации и доступа в Defender для облака.

• Рекомендации по идентификации недоступны для подписок, которые содержат более 6000 учетных записей. В таких случаях эти типы подписок перечислены на вкладке "Неприменимо".
• Рекомендации по идентификации недоступны для агентов администрирования партнера-поставщика облачных решений (CSP).
• Рекомендации по идентификации не определяют учетные записи, управляемые системой управления привилегированными удостоверениями (PIM). Если вы используете инструмент PIM, в элементе управления Управление доступом и разрешениями могут отображаться недостоверные результаты.
• Рекомендации по идентификации не поддерживают политики условного доступа Microsoft Entra с включенными ролями каталогов вместо пользователей и групп.

Список интерфейсов УПРАВЛЕНИЯ с предварительно установленным агентом SSM см . на этой странице в документации AWS.

Для других операционных систем агент SSM нужно установить вручную с помощью следующих инструкций:

• Установка агента SSM для гибридной среды (Windows)
• Установка агента SSM для гибридной среды (Linux)

Для обнаружения ресурсов AWS требуются следующие разрешения IAM:

Да. Сведения о создании, изменении или удалении облачных соединителей Defender для облака с помощью REST API см. в статье API соединителей.

Defender для облака поддерживает и сканирует все доступные регионы в общедоступном облаке GCP.

При подготовке среды к сценариям BCDR, где целевой ресурс испытывает сбой или другие аварии, организация несет ответственность за предотвращение потери данных путем создания резервных копий в соответствии с рекомендациями из Центры событий Azure, рабочей области Log Analytics и Logic Apps.

Для каждой активной автоматизации рекомендуется создать идентичную (отключенную) автоматизацию и сохранить ее в другом месте. В случае сбоя вы можете включить резервные автоматизации для поддержания работы в обычном режиме.

Дополнительные сведения см. в статье Непрерывность бизнес-процессов и аварийное восстановление в Azure Logic Apps.

Включение непрерывного экспорта не приводит к каким-либо затратам. Затраты могут возникнуть при приеме и хранении данных в рабочей области Log Analytics в зависимости от конфигурации.

Многие оповещения предоставляются только в том случае, если вы включили планы Defender для ресурсов. Хорошим способом предварительного просмотра оповещений, которые вы получаете в экспортированных данных, является просмотр оповещений, отображаемых на страницах Defender для облака в портал Azure.

Ознакомьтесь с дополнительными сведениями о ценах на рабочую область Log Analytics

Ознакомьтесь с дополнительными сведениями о ценах на Центры событий Azure.

Общие сведения о ценах на Defender для облака см. на странице цен.

№ Непрерывный экспорт создан для потоковой передачи событий.

• Оповещения, полученные до включения экспорта, не экспортируются.
• Рекомендации отправляются при каждом изменении состояния соответствия требованиям ресурса. Например, при переходе ресурса из работоспособного в неработоспособное состояние. Поэтому, как и в случае с оповещениями, рекомендации для ресурсов, состояние которых не изменялось после включения экспорта, не будут экспортированы.
• Оценка безопасности для элемента управления безопасностью или подписки отправляется, когда оценка элемента изменяется на 0,01 или более.
• Состояние соответствия нормативным требованиям отправляется, когда изменяется состояние соответствия ресурсов.

Разные рекомендации имеют разные интервалы оценки соответствия, которые варьируются от нескольких минут до нескольких дней. Таким образом, время, необходимое для отображения рекомендаций в экспорте, варьируется.

Чтобы получить пример запроса для рекомендации, откройте рекомендацию в Defender для облака, выберите "Открыть запрос", а затем выберите запрос, возвращающий результаты безопасности.

Непрерывный экспорт может быть полезен для подготовки к сценариям BCDR, в которых на целевом ресурсе происходит сбой или другая авария. Однако именно организация несет ответственность за предотвращение потери данных путем создания резервных копий в соответствии с рекомендациями концентраторов событий Azure, рабочей области Log Analytics и Logic App.

Дополнительные сведения см. в статье Геоизбыточное аварийное восстановление в службе "Центры событий Azure".

Мы не рекомендуем программно обновлять несколько планов в одной подписке одновременно (с помощью REST API, шаблонов ARM, сценариев и т. д.). При использовании API Microsoft.Security/ценообразования или любого другого программного решения следует вставить задержку в 10–15 секунд между каждым запросом.

Следующие шаги

Узнайте о новых возможностях Defender для облака