Что такое Microsoft Defender для облака?
Microsoft Defender для облака помогает предотвращать и обнаруживать угрозы, а также реагировать на них, одновременно повышая отслеживаемость и безопасность ресурсов. Он включает встроенные функции мониторинга безопасности и управления политиками для подписок, помогает выявлять угрозы, которые в противном случае могли бы оказаться незамеченными, и взаимодействует с широким комплексом решений по обеспечению безопасности.
Defender для облака использует компоненты мониторинга для сбора и хранения данных. Подробные сведения см. в разделе Сбор данных в Microsoft Defender для облака.
Как получить Microsoft Defender для облака?
Microsoft Defender для облака включается в составе подписки Microsoft Azure и доступен на портале Azure. Чтобы получить к нему доступ, войдите на портал, выберите Обзор и прокрутите экран до пункта Defender для облака.
Какие ресурсы Azure отслеживает Microsoft Defender для облака?
Microsoft Defender для облака наблюдает за следующими ресурсами Azure:
- виртуальные машины (в том числе облачные службы);
- Масштабируемые наборы виртуальных машин
- многие службы PaaS Azure, перечисленные в обзоре продукта.
Defender для облака также защищает локальные и многооблачные ресурсы, включая Amazon AWS и Google Cloud.
Как просмотреть текущее состояние безопасности azure, многооблачных и локальных ресурсов?
На странице Обзор Defender для облака показан общий уровень защищенности вашей среды с детализацией по вычислительным ресурсам, сетевым ресурсам, хранилищам & данным и приложениям. Каждый тип ресурсов имеет индикатор, указывающий на обнаруженные уязвимости. При выборе любой из плиток отображается список проблем безопасности, обнаруженных приложением Defender для облака, а также перечень ресурсов в вашей подписке.
Что такое инициатива безопасности?
Инициатива по безопасности определяет набор элементов управления (политик), которые рекомендуются для ресурсов в указанной подписке. В Microsoft Defender для облака вы назначаете инициативы для подписок Azure, учетных записей AWS и проектов GCP в соответствии с требованиями безопасности вашей компании, типом приложений или конфиденциальности данных в каждой подписке.
Политики безопасности, включенные в Microsoft Defender для облака, позволяют получать рекомендации по обеспечению безопасности и осуществлять мониторинг. Дополнительные сведения см. в разделе Что такое политики безопасности, инициативы и рекомендации?.
Кто может изменять политику безопасности?
Изменить политику безопасности может пользователь с правами администратора безопасности или владельца этой подписки.
Дополнительные сведения о настройке политики безопасности см. в разделе Настройка политик безопасности в Microsoft Defender для облака.
Что такое рекомендация по безопасности?
Microsoft Defender для облака анализирует состояние безопасности azure, многооблачных и локальных ресурсов. При обнаружении потенциальной уязвимости системы безопасности создаются рекомендации. Рекомендации помогают выполнить процедуру настройки необходимого средства контроля. Ниже приведены некоторые примеры.
- Подготовка антивредоносного ПО помогает обнаруживать и устранять вредоносные программы.
- Группы безопасности сети и правила для управления трафиком виртуальных машин.
- Подготовка брандмауэра веб-приложения для защиты от атак на веб-приложения
- Развертывание отсутствующих обновлений системы
- Обращение к конфигурациям операционной системы, не соответствующих рекомендуемым базовым показателям
Здесь отображаются только рекомендации, включенные в политиках безопасности.
Что инициирует оповещение системы безопасности?
Microsoft Defender для облака автоматически собирает, анализирует и объединяет данные журналов из azure, многооблачных и локальных ресурсов, сети и партнерских решений, таких как антивредоносное ПО и брандмауэры. При обнаружении угроз создается оповещение системы безопасности. Например, определяется следующее.
- Обращение взломанных виртуальных машин к опасному IP-адресу
- Обнаружение сложных вредоносных программ с использованием отчетов об ошибках Windows
- Грубые атаки на виртуальные машины
- Оповещения системы безопасности, отправленные встроенными партнерскими решениями обеспечения безопасности, такими как защита от вредоносных программ или брандмауэры веб-приложений
Какова разница между угрозами, которые обнаруживаются и о которых сообщают Microsoft Security Response Center и Microsoft Defender для облака?
Microsoft Security Response Center (MSRC) проводит выборочный мониторинг безопасности сети и инфраструктуры Azure и получает аналитические данные об угрозах и жалобы о нарушениях от третьих лиц. Когда MSRC узнает о том, что к данным клиента обращались незаконно или без соответствующих разрешений или что использование клиентом Azure не соответствует условиям допустимого использования, диспетчер инцидентов безопасности уведомляет об этом клиента. Уведомление обычно происходит путем отправки электронного сообщения контактным лицам по вопросам безопасности, указанным в Microsoft Defender для облака, или владельцу подписки Azure, если контактное лицо по вопросам безопасности не указано.
Defender для облака — это служба Azure, которая постоянно отслеживает среду Azure, многооблачную и локальную среду клиента и применяет аналитику для автоматического обнаружения широкого спектра потенциально вредоносных действий. Такие обнаружения регистрируются как оповещения системы безопасности на панели мониторинга защиты рабочих нагрузок.
Как узнать, кто из моей организации включил план Microsoft Defender в Defender для облака?
В подписках Azure может быть несколько администраторов с разрешениями на изменение параметров цен. Чтобы узнать, какой именно пользователь внес изменения, используйте журнал действий Azure.
Если информация о пользователе не указана в столбце Кем инициировано событие, ознакомьтесь с соответствующими сведениями в JSON события.
Что произойдет, если одна из рекомендаций относится к нескольким инициативам политики?
Иногда рекомендация по безопасности входит в несколько инициатив политики. Если несколько экземпляров одной рекомендации назначено одной подписке и вы создаете исключение для этой рекомендации, оно повлияет на все инициативы, для которых у вас есть разрешение на изменение.
При попытке создать исключение для этой рекомендации вы увидите одно из двух следующих сообщений.
Если у вас есть необходимые разрешения на изменение обеих инициатив, вы увидите следующее.
Эта рекомендация включена в несколько инициатив политики: [имена инициатив, разделенные запятыми]. Исключения будут созданы для всех из них.
Если у вас нет достаточных разрешений для обеих инициатив, вы увидите следующее сообщение.
You have limited permissions to apply the exemption on all the policy initiatives, the exemptions will be created only on the initiatives with sufficient permissions. (У вас есть ограниченные разрешения на применение исключения для всех инициатив политики. Исключения будут созданы только для инициатив с достаточными разрешениями).
Существуют ли рекомендации, которые не поддерживают исключения?
Перечисленные ниже общедоступные рекомендации не поддерживают исключения.
- В параметрах Расширенной защиты данных управляемого экземпляра SQL должны быть включены все типы расширенной защиты от угроз.
- В параметрах Расширенной защиты данных сервера SQL Server должны быть включены все типы расширенной защиты от угроз.
- Для контейнеров должны соблюдаться ограничения по числу ЦП и объему оперативной памяти.
- Образы контейнеров должны развертываться только из доверенных реестров
- Контейнеры с повышением привилегий должны по возможности исключаться
- Контейнеры с общим доступом к важным пространствам имен узлов должны по возможности исключаться
- Контейнеры должны ожидать передачи данных только на разрешенных портах
- Значение политики фильтра IP-адресов по умолчанию должно быть "Запретить"
- Для контейнеров должна применяться неизменяемая (доступная только для чтения) корневая файловая система
- Устройства Интернета вещей. Открытые порты на устройстве
- Устройства Интернета вещей. В одной из цепочек найдена нестрогая политика брандмауэра
- Устройства Интернета вещей. Во входной цепочке найдено нестрогое правило брандмауэра
- Устройства Интернета вещей. В выходной цепочке найдено нестрогое правило брандмауэра
- Правило фильтра IP-адресов: большой диапазон IP-адресов
- Для контейнеров должны применяться возможности Linux с минимальными правами
- Возможности переопределения или отключения профиля AppArmor для контейнеров должны быть ограничены
- Требуется избегать привилегированных контейнеров
- Работа контейнеров от имени привилегированного пользователя должна по возможности исключаться
- Службы должны ожидать передачи данных только на разрешенных портах
- Необходимо подготовить администратора Azure Active Directory для серверов SQL Server.
- Использование сети и портов узлов должно быть ограничено
- Использование подключений томов HostPath для групп pod должно быть ограничено списком известных узлов для предотвращения доступа из скомпрометированных контейнеров.
Мы уже используем политику условного доступа (CA) для принудительного применения MFA. Почему мы по-прежнему получаем рекомендации Defender для облака?
Чтобы понять, почему по-прежнему появляются рекомендации, проверьте следующие параметры конфигурации в политике условного доступа MFA.
- Вы включили учетные записи в раздел Пользователи своей политики условного доступа MFA (или в одну из групп в разделе Группы)
- Идентификатор приложения управления Azure Management (797f4846-ba00-4fd7-ba43-dac1f8f63013) или все приложения включаются в раздел Приложения вашей политики условного доступа MFA
- Идентификатор приложения управления MFA не исключается из раздела Приложения вашей политики условного доступа MFA
- Условие OR используется только с MFA, или условие AND используется с MFA
Мы используем сторонний инструмент MFA для принудительного применения MFA. Почему мы по-прежнему получаем рекомендации Defender для облака?
Рекомендации Defender для облака по многофакторной идентификации не поддерживают сторонние средства MFA (например, DUO).
Если рекомендации не подходят для вашей организации, попробуйте пометить их как "Устранено", как описано в разделе Исключение ресурсов и рекомендаций из оценки безопасности. Также можно отключить рекомендацию.
Почему Defender для облака отображает учетные записи пользователей без разрешений в подписке с пометкой "требуется MFA"?
Рекомендации По многофакторной проверке подлинности Defender для облака относятся к ролям Azure RBAC и роли администраторов классических подписок Azure . Убедитесь, что ни одна из учетных записей не имеет таких ролей.
Мы принудительно используем MFA с PIM. Почему учетные записи PIM отображаются как несоответствующие требованиям?
Рекомендации Defender для облака по MFA в настоящее время не поддерживают учетные записи PIM. Эти учетные записи можно добавить в политику условного доступа в раздел пользователей или группы.
Можно ли исключить или закрыть некоторые учетные записи?
Возможность исключения некоторых учетных записей, которые не используют MFA, доступна в новых рекомендациях в предварительной версии:
- Для учетных записей с разрешениями владельца для ресурсов Azure должна быть включена многофакторная проверка подлинности
- Для учетных записей с разрешениями на запись для ресурсов Azure должна быть включена многофакторная проверка подлинности
- Для учетных записей с разрешениями на чтение для ресурсов Azure должна быть включена многофакторная проверка подлинности
Чтобы исключить учетные записи, выполните следующие действия.
- Выберите рекомендацию MFA, связанную с неработоспособной учетной записью.
- На вкладке Учетные записи выберите учетную запись для исключения.
- Нажмите кнопку с тремя точками, а затем выберите Исключить учетную запись.
- Выберите причину область и исключения.
Если вы хотите узнать, какие учетные записи исключены, перейдите в раздел Исключенные учетные записи для каждой рекомендации.
Совет
Если исключить учетную запись, она не будет отображаться как неработоспособная и не приведет к неработоспособности подписки.
Существуют ли ограничения по защите идентификации и доступа в Defender для облака?
Есть ряд ограничений по защите идентификации и доступа в Defender для облака.
- Рекомендации по идентификации недоступны для подписок, которые содержат более 6000 учетных записей. В таких случаях эти типы подписок будут перечислены на вкладке "Неприменимо".
- Рекомендации по идентификации недоступны для агентов администрирования партнера-поставщика облачных решений (CSP).
- Рекомендации по идентификации не определяют учетные записи, управляемые с помощью системы управления привилегированными пользователями (PIM). Если вы используете инструмент PIM, в элементе управления Управление доступом и разрешениями могут отображаться недостоверные результаты.
- Рекомендации по идентификации не поддерживают политики Azure AD условного доступа с включенными ролями каталога вместо пользователей и групп.
Какие операционные системы поддерживают экземпляры EC2?
Список образов AMI с предварительно установленным агентом SSM см. на этой странице в документации по AWS.
Для других операционных систем агент SSM нужно установить вручную с помощью следующих инструкций:
Какие разрешения IAM необходимы при использовании плана CSPM для обнаружения ресурсов AWS?
Для обнаружения ресурсов AWS требуются следующие разрешения IAM:
| DataCollector | Разрешения AWS |
|---|---|
| API Gateway | apigateway:GET |
| Автоматическое масштабирование приложения | application-autoscaling:Describe* |
| Автомасштабирование | autoscaling-plans:Describe* autoscaling:Describe* |
| Диспетчер сертификатов | acm-pca:Describe* acm-pca:List* acm:Describe* acm:List* |
| CloudFormation | cloudformation:Describe* cloudformation:List* |
| CloudFront | cloudfront:DescribeFunction cloudfront:GetDistribution cloudfront:GetDistributionConfig cloudfront:List* |
| CloudTrail | cloudtrail:Describe* cloudtrail:GetEventSelectors cloudtrail:List* cloudtrail:LookupEvents |
| CloudWatch | cloudwatch:Describe* cloudwatch:List* |
| Журналы CloudWatch | logs:DescribeLogGroups logs:DescribeMetricFilters |
| CodeBuild | codebuild:DescribeCodeCoverages codebuild:DescribeTestCases codebuild:List* |
| Служба настройки | config:Describe* config:List* |
| DMS — Database Migration Service | dms:Describe* dms:List* |
| DAX | dax:Describe* |
| DynamoDB | dynamodb:Describe* dynamodb:List* |
| EC2 | ec2:Describe* ec2:GetEbsEncryptionByDefault |
| ECR | ecr:Describe* ecr:List* |
| ECS | ecs:Describe* ecs:List* |
| Файловая система EFS | elasticfilesystem:Describe* |
| EKS | eks:Describe* eks:List* |
| Elastic Beanstalk | elasticbeanstalk:Describe* elasticbeanstalk:List* |
| ELB — эластичная балансировка нагрузки (версии 1 или 2) | elasticloadbalancing:Describe* |
| Эластичный поиск | es:Describe* es:List* |
| EMR — эластичная модель MapReduce | elasticmapreduce:Describe* elasticmapreduce:GetBlockPublicAccessConfiguration elasticmapreduce:List* elasticmapreduce:View* |
| GuardDuty | guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:List* |
| IAM | iam:Generate* iam:Get* iam:List* iam:Simulate* |
| Сервер управления ключами | kms:Describe* kms:List* |
| Lambda | lambda:GetPolicy lambda:List* |
| Сетевой брандмауэр | network-firewall:DescribeFirewall network-firewall:DescribeFirewallPolicy network-firewall:DescribeLoggingConfiguration network-firewall:DescribeResourcePolicy network-firewall:DescribeRuleGroup network-firewall:DescribeRuleGroupMetadata network-firewall:ListFirewallPolicies network-firewall:ListFirewalls network-firewall:ListRuleGroups network-firewall:ListTagsForResource |
| RDS | rds:Describe* rds:List* |
| RedShift | redshift:Describe* |
| S3 и S3Control | s3:DescribeJob s3:GetEncryptionConfiguration s3:GetBucketPublicAccessBlock s3:GetBucketTagging s3:GetBucketLogging s3:GetBucketAcl s3:GetBucketLocation s3:GetBucketPolicy s3:GetReplicationConfiguration s3:GetAccountPublicAccessBlock s3:GetObjectAcl s3:GetObjectTagging s3:List* |
| SageMaker | sagemaker:Describe* sagemaker:GetSearchSuggestions sagemaker:List* sagemaker:Search |
| Диспетчер секретов | secretsmanager:Describe* secretsmanager:List* |
| Simple notification service — SNS | sns:Check* sns:List* |
| SSM | ssm:Describe* ssm:List* |
| SQS | sqs:List* sqs:Receive* |
| STS | sts:GetCallerIdentity |
| WAF | waf-regional:Get* waf-regional:List* waf:List* wafv2:CheckCapacity wafv2:Describe* wafv2:List* |
Существует ли API для подключения ресурсов GCP к Defender для облака?
Да. Сведения о создании, изменении или удалении облачных соединителей Defender для облака с помощью REST API см. в статье API соединителей.
Какие регионы GCP поддерживаются Defender для облака?
Defender для облака поддерживает и сканирует все доступные регионы в общедоступном облаке GCP.
Поддерживает ли автоматизация рабочих процессов какие-либо сценарии непрерывности бизнес-процессов и аварийного восстановления (BCDR)?
При подготовке среды к сценариям BCDR, в которых происходит сбой целевого ресурса или другая авария, организация несет ответственность за предотвращение потери данных путем создания резервных копий в соответствии с рекомендациями Центры событий Azure, рабочей области Log Analytics и Logic Apps.
Для каждой активной автоматизации рекомендуется создать идентичную (отключенную) автоматизацию и сохранить ее в другом месте. В случае сбоя вы можете включить резервные автоматизации для поддержания работы в обычном режиме.
Дополнительные сведения см. в статье Непрерывность бизнес-процессов и аварийное восстановление в Azure Logic Apps.
Каковы затраты, связанные с экспортом данных?
Включение непрерывного экспорта не приводит к каким-либо затратам. Затраты могут возникнуть при приеме и хранении данных в рабочей области Log Analytics в зависимости от конфигурации.
Многие оповещения предоставляются только в том случае, если вы включили планы Defender для ресурсов. Хороший способ просмотра оповещений, которые вы получите в экспортированных данных, — это просмотреть оповещения, отображаемые на страницах Defender для облака, на портале Azure.
Ознакомьтесь с дополнительными сведениями о ценах на рабочую область Log Analytics
Ознакомьтесь с дополнительными сведениями о ценах на Центры событий Azure.
Общие сведения о ценах на Defender для облака см. на странице цен.
Включает ли непрерывный экспорт данные о текущем состоянии всех ресурсов?
Нет. Непрерывный экспорт создан для потоковой передачи событий.
- Оповещения, полученные до включения экспорта, экспортироваться не будут.
- Рекомендации отправляются при каждом изменении состояния соответствия требованиям ресурса. Например, при переходе ресурса из работоспособного в неработоспособное состояние. Поэтому, как и в случае с оповещениями, рекомендации для ресурсов, состояние которых не изменялось после включения экспорта, не будут экспортированы.
- Оценка безопасности для элемента управления безопасностью или подписки отправляется, когда оценка элемента изменяется на 0,01 или более.
- Состояние соответствия нормативным требованиям отправляется, когда изменяется состояние соответствия ресурсов.
Почему рекомендации отправляются с разными интервалами?
Разные рекомендации имеют разные интервалы оценки соответствия, которые варьируются от нескольких минут до нескольких дней. Таким образом, время, необходимое для отображения рекомендаций в экспорте, варьируется.
Как получить пример запроса для рекомендации?
Чтобы получить пример запроса для рекомендации, откройте рекомендацию в Defender для облака, выберите Открыть запрос, а затем — Запрос, возвращающий результаты безопасности.
Поддерживает ли непрерывный экспорт какие-либо сценарии непрерывности бизнес-процессов и аварийного восстановления (BCDR)?
Непрерывный экспорт может быть полезен для подготовки к сценариям BCDR, в которых на целевом ресурсе происходит сбой или другая авария. Однако именно организация несет ответственность за предотвращение потери данных путем создания резервных копий в соответствии с рекомендациями концентраторов событий Azure, рабочей области Log Analytics и Logic App.
Дополнительные сведения см. в статье Геоизбыточное аварийное восстановление в службе "Центры событий Azure".