Поддержка и предварительные требования для управления безопасностью данных

Просмотрите требования на этой странице перед настройкой управления безопасностью данных в Microsoft Defender для Облака.

Включение обнаружения конфиденциальных данных

Обнаружение конфиденциальных данных доступно в планах "Управление положением безопасности в облаке Defender" (CSPM), Defender для хранилищ и Defender для баз данных.

  • При включении одного из планов расширение обнаружения конфиденциальных данных включается как часть плана.
  • Если у вас есть существующие планы, расширение доступно, но отключается по умолчанию.
  • Существующее состояние плана отображается как "Частичное", а не "Полный", если один или несколько расширений не включены.
  • Функция включается на уровне подписки.
  • Если обнаружение конфиденциальных данных включается, но CSPM Defender не включена, сканируются только ресурсы хранилища.
  • Если подписка включает CSPM Defender и сканируете те же ресурсы с помощью Purview, результат сканирования Purview игнорируется. По умолчанию отображается результаты сканирования Microsoft Defender для облака для поддерживаемого типа ресурсов.

Что поддерживается

В таблице приведены сведения о доступности и поддерживаемых сценариях обнаружения конфиденциальных данных.

Поддержка Подробности
Какие ресурсы данных Azure можно обнаружить? Хранилище объектов:

Блочные учетные записи хранения BLOB-объектов в службе хранилища Azure версии 1/2

Файлы Azure в служба хранилища Azure версии 1/2. Поддерживается только протокол SMB

Azure Data Lake Storage 2-го поколения

Поддерживаются учетные записи хранения за частными сетями.

Поддерживаются учетные записи хранения, зашифрованные с помощью ключа на стороне сервера, управляемого клиентом.

Учетные записи не поддерживаются, если конечная точка учетной записи хранения имеет личный домен, сопоставленный с ним.

Предварительные требования и ограничения:
— Чтобы сканировать файловые хранилища, Defender для облака назначает роль Привилегированный читатель данных файлов хранилища для StorageDataScanner.


Баз данных

База данных SQL Azure

База данных SQL Azure, зашифрованная с помощью прозрачного шифрования данных
Какие ресурсы данных AWS можно обнаружить? Хранилище объектов:

контейнеры AWS S3;

Защитник для облака может обнаруживать данные, зашифрованные с помощью KMS, но не зашифрованные с помощью ключей, предоставленных клиентом (SSE-C).

Баз данных

- Amazon Аврора
— Amazon RDS для PostgreSQL
— Amazon RDS для MySQL
— Amazon RDS для MariaDB
— Amazon RDS для SQL Server (noncustom)
— Amazon RDS для базы данных Oracle (только для se2 Edition)

Предварительные требования и ограничения:
— Необходимо включить автоматические резервные копии.
— Роль IAM, созданная для целей сканирования (DefenderForCloud-DataSecurityPostureDB по умолчанию), должна иметь разрешения на ключ KMS, используемый для шифрования экземпляра RDS.
— Вы не можете совместно использовать моментальный снимок базы данных, который использует группу параметров с постоянными или устойчивыми параметрами, за исключением экземпляров базы данных Oracle, имеющих параметр Timezone или OLS (или оба). Подробнее
Какие ресурсы данных GCP можно обнаружить? Контейнеры хранилища GCP
Стандартный класс
Географическое расположение: регион, двойной регион, многорегиональное
Какие разрешения требуются для обнаружения? Учетная запись хранения: владелец подписки
или
Microsoft.Authorization/roleAssignments/* (чтение, запись, удаление) иMicrosoft.Security/pricings/* (чтение, запись, удаление) иMicrosoft.Security/pricings/SecurityOperators (чтение, запись)

Контейнеры Amazon S3 и экземпляры RDS: разрешение учетной записи AWS для запуска облачного формирования (для создания роли).

Контейнеры хранилища GCP: разрешение учетной записи Google для запуска скрипта (для создания роли).
Какие типы файлов поддерживаются для обнаружения конфиденциальных данных? Поддерживаемые типы файлов (вы не можете выбрать подмножество) — .doc, DOCM, .docx, .dot, .gz, ODP, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, Ssv, .tsv, .txt., xml, .parquet, .avro, orc.
Какие регионы Azure поддерживаются? Вы можете обнаружить учетные записи хранения Azure в:

Западная Европа (westeurope), Центральная Канада (канадаcentral), Южная Великобритания (uksouth), Восточная Япония (Япония), Восточная ЧАСТЬ США 2 (восточная часть 2), Восточная Австралия (австралийская), Восточная Канада (канада), Восточная часть США (восточная часть США), южная часть США (южная часть США), Северная центральная часть США США (northcentralus), Западная часть США 2 (западная часть 2), Юго-Восточная Азия (юго-восточная азия), Центральная ЧАСТЬ США (центральная часть США), Южная Бразилия (бразилия), Центральная Франция (францияцентраль), Северная Европа (northeurope), ЗападНая Япония (Японияwest), Юго-Восточная Австралия (австралияsoutheast), Западная часть США (западная часть), восточная часть США 2 EUAP (eastus2euap), Центральная Австралия (австралийская централизация), Восточная Азия (восточная Азия), Западная Часть Великобритании (ukwest), Центральная Индия (центральная индия), Восточная Норвегия (норвегия), Южная Африка Север (юго-восточная часть), Центральная Швеция (Швеция)central), Западная часть США 3 (westus3), Западная часть США (westcentralus), Южная Индия (южная Индия), Северная ОАЭ (оаэнорт), Северная Швейцария (швейцария), Западная Германия (германияwestcentral), Центральная Корея (кореяcentral), Южная Корея (корея) Jio India West (jioindiawest), Израиль Центральная (израильцентраль), ЗападНая Швейцария (Швейцария) (Швейцария), Центральная Польша (польшацентраль), Северная Германия (германия), Италия Северная (италиянорт), Норвегия Западная (норвегия), Центральная Австралия 2 (Австралияcentral2), Южная Часть ЗападНая Африка (southafricawest), Мексика Центральная (мексикацентраль), Центральная ОАЭ (оаэцентраль), Южная Франция (francesouth), Юго-Восточная Бразилия (бразилия), Jio India Central (jioindiacentral), Швеция Южная (швеция), Центральная Испания (испанияcentral), Новая Зеландия Северная (newzealandnorth)

Вы можете обнаружить База данных SQL Azure в любом регионе, где поддерживаются CSPM Defender и База данных SQL Azure.
Какие регионы AWS поддерживаются? S3:

ЕС (Стокгольм), ЕС (Лондон), ЕС (Париж), Азиатско-Тихоокеанский регион (Мумбаи), Канада (центральная), Южная Америка (Сан-Паулу), Запад США (N. Калифорния), Запад США (Орегон), Азиатско-Тихоокеанский регион (Токио), Азиатско-Тихоокеанский регион (Сингапур), Азиатско-Тихоокеанский регион (Сидней), ЕС (Ирландия), Восточная ЧАСТЬ США (N. Вирджиния), ЕС (Франкфурт), Восточная часть США (Огайо)


RDS.

Африка (Кейптаун); Азиатско-Тихоокеанский регион (Гонконг САР); Азиатско-Тихоокеанский регион (Хайдерабад); Азиатско-Тихоокеанский регион (Мельбурн); Азиатско-Тихоокеанский регион (Мумбаи); Азиатско-Тихоокеанский регион (Осака); Азиатско-Тихоокеанский регион (Сеул); Азиатско-Тихоокеанский регион (Сингапур); Азиатско-Тихоокеанский регион (Сидней); Азиатско-Тихоокеанский регион (Токио); Канада (центральная часть); Европа (Франкфурт); Европа (Ирландия); Европа (Лондон); Европа (Париж); Европа (Стокгольм); Европа (Цюрих); Ближний Восток (ОАЭ); Южная Америка (Сан-Паулу); Восточная часть США (Огайо); Восточная часть США (Штат Вирджиния); ЗападНАЯ часть США (Штат Калифорния): Западная часть США (Орегон).

Обнаружение выполняется локально в пределах региона.
Какие регионы GCP поддерживаются? Тель-Авив (me-west1), Мумбаи (asia-south1), Южная Каролина (us-east1), Монреаль (northamerica-northeast1), Айова (us-central1), Орегон (us-west1), Бельгия (europe-west1), Северная Вирджиния (us-east4)
Нужно ли установить агент? Нет, обнаружение не требует установки агента.
Какова стоимость? Эта функция включается в планы CSPM Defender и Defender для хранения и не несет дополнительных затрат за исключением соответствующих расходов на план.
Другие затраты Обнаружение конфиденциальных данных для учетных записей хранения Azure зависит от других служб Azure. Это может привести к дополнительным затратам, включая операции чтения из хранилища Azure.
Какие разрешения требуются для просмотра и изменения параметров конфиденциальности данных? Вам нужна одна из следующих ролей Microsoft Entra:
  • Администратор данных соответствия требованиям, администратор соответствия требованиям или более поздней версии
  • Оператор безопасности, администратор безопасности или более поздней версии
    		•
    Какие разрешения необходимо выполнить при подключении? Вам потребуется одна из этих ролей Управления доступом на основе ролей Azure (Azure RBAC): администратор безопасности, участник, владелец на уровне подписки (где находится проект GCP). Для использования результатов безопасности: читатель безопасности, администратор безопасности, читатель, участник, владелец на уровне подписки (где находится проект или s GCP).

    Настройка параметров конфиденциальности данных

    Ниже приведены основные действия по настройке параметров конфиденциальности данных.

    Дополнительные сведения о метках конфиденциальности в Microsoft Purview.

    Обнаружение

    Defender для облака начинает обнаруживать данные сразу после включения плана или после включения функций плана.

    Для хранилища объектов:

    • Результаты доступны для начального обнаружения в течение 24 часов.
    • После обновления файлов в обнаруженных ресурсах данные обновляются в течение восьми дней.
    • Новая учетная запись хранения Azure, добавленная в уже обнаруженную подписку, обнаруживается в течение 24 часов или меньше.
    • Новый контейнер AWS S3 или контейнер хранилища GCP, добавленный в уже обнаруженную учетную запись AWS или учетную запись Google, обнаруживается в течение 48 часов или меньше.
    • Обнаружение конфиденциальных данных в хранилище проводится локально на вашей территории. Это гарантирует, что данные не покидают регион. Только метаданные ресурсов, такие как файлы, большие двоичные объекты, имена контейнеров, обнаруженные метки конфиденциальности и имена определенных типов конфиденциальной информации (SIT), переносятся в Defender для облака.

    Для баз данных:

    • Сканируются еженедельно.
    • Для недавно включенных подписок результаты отображаются в течение 24 часов.

    Cloud Security Explorer

    Мы отображаем все типы хранения, включая служба хранилища Azure учетные записи, контейнеры AWS и контейнеры GCP, независимо от их связанной аналитики. Для учетных записей служба хранилища Azure, включая контейнеры BLOB-объектов и общие папки, применяются следующие правила:

    • Контейнеры BLOB отображаются, если они отвечают любому из следующих критериев:

      • Они содержат аналитические сведения о конфиденциальных данных.

      • У них есть аналитические сведения о общедоступном доступе.

      • У них есть правило репликации в другой большой двоичный объект или из него.

    • Общие папки отображаются только в том случае, если они содержат информацию о конфиденциальных данных.

    Обнаружение и проверка учетных записей хранения Azure

    Чтобы проверить учетные записи хранения Azure, Microsoft Defender для облака создает новый storageDataScanner ресурс и назначает ему роль Читателя данных BLOB хранилища. Эта роль предоставляет следующие разрешения:

    • Список
    • Читать

    Для учетных записей хранения за частными сетями мы включаем StorageDataScanner список разрешенных экземпляров ресурсов в конфигурации сетевых правил учетной записи хранения.

    Обнаружение и сканирование контейнеров AWS S3

    Чтобы защитить ресурсы AWS в Defender для облака, настройте соединитель AWS с помощью шаблона CloudFormation для подключения учетной записи AWS.

    • Чтобы обнаружить ресурсы данных AWS, Defender для облака обновляет шаблон CloudFormation.
    • Шаблон CloudFormation создает новую роль в AWS IAM, чтобы разрешить сканеру Defender для облака доступ к данным в контейнерах S3.
    • Чтобы подключить учетные записи AWS, вам потребуются разрешения администратора в учетной записи.
    • Роль разрешает следующие разрешения: только для чтения S3; Расшифровка KMS.

    Обнаружение и сканирование экземпляров AWS RDS

    Чтобы защитить ресурсы AWS в Defender для облака, настройте соединитель AWS с помощью шаблона CloudFormation для подключения учетной записи AWS.

    • Чтобы обнаружить экземпляры AWS RDS, Defender для облака обновляет шаблон CloudFormation.
    • Шаблон CloudFormation создаёт новую роль в AWS IAM, чтобы разрешить сканеру Defender for Cloud принять последний доступный автоматический моментальный снимок вашего экземпляра и перевести его в онлайн-режим в изолированной среде сканирования в том же регионе AWS.
    • Чтобы подключить учетные записи AWS, вам потребуются разрешения администратора в учетной записи.
    • Автоматические моментальные снимки необходимо включить в соответствующих экземплярах или кластерах RDS.
    • Роль разрешает эти разрешения (просмотрите шаблон CloudFormation для точных определений):
      • Список всех DBS/кластеров RDS
      • Копирование всех моментальных снимков базы данных и кластера
      • Удаление или обновление моментального снимка базы данных или кластера с префиксом defenderfordatabases
      • Вывод списка всех ключей KMS
      • Использование всех ключей KMS только для RDS в исходной учетной записи
      • Создание и полное управление всеми ключами KMS с префиксом DefenderForDatabases
      • Создание псевдонима для ключей KMS
    • Ключи KMS создаются один раз для каждого региона, содержащего экземпляры RDS. Создание ключа KMS может привести к минимальной дополнительной стоимости в соответствии с ценами НА AWS KMS.

    Обнаружение и сканирование контейнеров хранилища GCP

    Чтобы защитить ресурсы GCP в Defender для облака, настройте соединитель Google с помощью шаблона скрипта для подключения учетной записи GCP.

    • Чтобы обнаружить контейнеры хранилища GCP, Defender для облака обновляет шаблон скрипта.
    • Шаблон скрипта создает новую роль в учетной записи Google, чтобы разрешить сканеру Defender для облака доступ к данным в контейнерах хранилища GCP.
    • Чтобы подключить учетные записи Google, вам потребуются разрешения администратора для учетной записи.

    Доступ к Интернету или доступ к общедоступному доступу

    Пути атаки в Защитнике CSPM и аналитика графа облачной безопасности включают сведения о ресурсах хранилища, которые предоставляются в Интернете и разрешают общедоступный доступ. Дополнительные сведения см. в следующей таблице.

    Государство Учетные записи хранения Azure Контейнеры AWS S3 Контейнеры хранилища GCP
    Доступ к Интернету Учетная запись хранения Azure считается доступной в Интернете, если включено одно из этих параметров:

    > Storage_account_name Сетевые настройки>Общий доступ к сети>Включен для всех сетей

    или

    > Storage_account_name Сетевые настройки>Доступ к общедоступной сети>включается из выбранных виртуальных сетей и IP-адресов.    		 Контейнер AWS S3 считается открытым в Интернете, если политики контейнеров AWS или AWS S3 не имеют условия для IP-адресов. По умолчанию все контейнеры хранилища GCP предоставляются в Интернете.
    Разрешает общедоступный доступ Контейнер учетной записи хранения Azure считается разрешением общедоступного доступа, если эти параметры включены в учетной записи хранения:

    > Storage_account_name Настройка>Разрешить анонимный доступ к BLOB-объектам>Включено.

    и любой из этих параметров:

    > Storage_account_name Контейнеры> container_name >уровень общедоступного доступа установлен на BLOB (анонимный доступ на чтение только для BLOB-объектов)

    Или, storage_account_name >Контейнеры> container_name >уровень общедоступного доступа установлен на Контейнер (анонимный доступ на чтение для контейнеров и BLOB-объектов).    		 Контейнер AWS S3 считается допускающим общедоступный доступ, если как учетная запись AWS, так и контейнер AWS S3 имеют параметр Блокировка всех общедоступных доступов, установленный на Выкл, и любой из этих параметров установлен:

    В политике параметр RestrictPublicBuckets не включен, а параметр Principal имеет значение *, а параметр Effect имеет значение Allow.

    Кроме того, в списке управления доступом параметр IgnorePublicAcl не включен, а разрешение разрешено для всехпользователей или для пользователей, прошедших проверку подлинности.    		 Контейнер хранилища GCP считается разрешенным общедоступным доступом, если у него есть роль IAM (управление удостоверениями и доступом), которая соответствует следующим критериям:

    Роль предоставляется основному объекту allUsers или allAuthenticatedUsers.

    Роль имеет по крайней мере одно разрешение на хранение, которое не являетсяstorage.buckets.create или storage.buckets.list. Общедоступный доступ в GCP называется общедоступным в Интернете.

    Ресурсы базы данных не разрешают общедоступный доступ, но по-прежнему могут предоставляться в Интернете.

    Аналитические сведения об интернет-экспозиции доступны для следующих ресурсов:

    Лазурный:

    • Сервер SQL Server Azure
    • Azure Cosmos DB (облачная база данных)
    • Управляемый экземпляр SQL Azure
    • Отдельный сервер Azure MySQL
    • Гибкий сервер Azure MySQL
    • Отдельный сервер Azure PostgreSQL
    • Гибкий сервер Azure PostgreSQL
    • Отдельный сервер Azure MariaDB
    • Рабочая область Synapse

    AWS:

    • Экземпляр RDS

    Примечание.

    • Правила доступа, включающие 0.0.0.0/0, считаются "чрезмерно экспонируемыми", то есть доступны с любого общедоступного IP-адреса.
    • Ресурсы Azure с правилом экспозиции "0.0.0.0.0" доступны из любого ресурса в Azure (независимо от клиента или подписки).

    Связанный контент

    Включите управление состоянием безопасности данных.

    • Last updated on