Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
На этой странице представлены сведения о функциях, исправлениях и устаревших функциях, которые старше шести месяцев. Для последних обновлений ознакомьтесь с новыми What в Defender для облака?.
Июнь 2025 г.
| Date | Category | Update |
|---|---|---|
| 30 июня | Preview | Defender для обнаружения DNS контейнеров на основе Helm (предварительная версия) |
| 25 июня | Preview | Необязательные теги индекса для хранения результатов сканирования вредоносных программ (предварительная версия) |
| 25 июня | Preview | Обнаружение и безопасность API для API, размещенных в Function Apps и Logic Apps (Предварительный просмотр) |
| 25 июня | Preview | Мониторинг целостности файлов без агента (предварительная версия) |
| 18 июня | Preview | сканирование кода Agentless — поддержка GitHub и настраиваемое покрытие теперь доступны (предварительная версия) |
Defender для обнаружения DNS контейнеров на основе Helm (предварительная версия)
Включено:
Поддержка развертывания на основе Helm
Инструкции по настройке и дополнительные сведения см. в разделе Install Defender для датчиков контейнеров с помощью Helm.
Обнаружение угроз DNS
Повышает эффективность памяти и снижает потребление ЦП для развертываний больших кластеров.
Дополнительные сведения см. в статье Sensor для Defender журнала изменений контейнеров.
Необязательные теги индекса для хранения результатов сканирования вредоносных программ (предварительная версия)
25 июня 2025 г.
Defender для сканирования вредоносных программ хранилища содержит дополнительные теги индекса для проверки по запросу и по запросу. С помощью этой новой возможности пользователи могут выбрать, следует ли публиковать результаты в тегах индекса большого двоичного объекта при сканировании большого двоичного объекта (по умолчанию) или не использовать теги индекса. Теги индекса можно включить или отключить на уровне подписки и учетной записи хранения через портал Azure или через API.
Обнаружение и безопасность API для API, размещенных в приложениях-функциях и Logic Apps (предварительная версия)
25 июня 2025 г.
Defender для облака теперь расширяет возможности обнаружения и защиты API для включения API, размещенных в Azure приложения-функции и Logic Apps в дополнение к существующей поддержке API, опубликованных в Azure API Management.
Это улучшение позволяет группам безопасности предоставлять комплексное и непрерывно обновленное представление о области атак API своей организации. Ключевые возможности:
- Централизованная инвентаризация API. Автоматическое обнаружение и каталог API для поддерживаемых служб Azure.
- Оценки рисков безопасности. Определение и приоритет рисков, включая идентификацию неактивных API, которые могут гарантировать удаление, а также незашифрованные API, которые могут предоставлять конфиденциальные данные.
Эти возможности доступны automatically для всех клиентов Defender для облака управления безопасностью (DCSPM) клиентов, которые включили расширение API Security Posture Management.
Временная шкала развертывания: развертывание этих обновлений начнется 25 июня 2025 г. и, как ожидается, достигнет всех поддерживаемых регионов в течение одной недели.
Мониторинг целостности файлов без агента (предварительная версия)
25 июня 2025 г.
Мониторинг целостности файлов без агента (FIM) теперь доступен в предварительной версии. Эта возможность дополняет общедоступное решение FIM на основе агента Microsoft Defender для конечной точки и предоставляет поддержку пользовательского мониторинга файлов и реестра.
Без агента FIM позволяет организациям отслеживать изменения файлов и реестра в своей среде без развертывания других агентов. Он предоставляет упрощенную масштабируемую альтернативу при сохранении совместимости с существующим решением на основе агента.
Ключевые возможности:
- Пользовательский мониторинг: соблюдение конкретных требований к соответствию и безопасности путем определения и мониторинга пользовательских путей к файлам и разделов реестра.
- Унифицированный интерфейс: события из FIM без агента и на основе MDE хранятся в одной таблице рабочей области с четкими исходными индикаторами.
Узнайте больше о мониторинге целостности файлов и о включении мониторинга целостности файлов.
Сканирование без агента — поддержка GitHub и настраиваемое покрытие теперь доступно (предварительная версия)
18 июня 2025 г.
Мы обновили функцию сканирования кода без агента, чтобы включить ключевые возможности, которые расширяют охват и контроль. К этим обновлениям относятся:
- Поддержка репозиториев GitHub в дополнение к Azure DevOps
- Настраиваемый выбор сканера — выберите инструменты (например, Bandit, Checkov, ESLint) для запуска
- Подробная настройка области применения — включить или исключить определённые организации, проекты или репозитории
Безагентное сканирование обеспечивает масштабируемое обеспечение безопасности кодов и инфраструктуры как кода (IaC), не требуя изменений в процессах CI/CD. Она помогает командам безопасности обнаруживать уязвимости и неправильно настроенные конфигурации без прерывания рабочих процессов разработчиков.
Узнайте больше о настройке кода без агента в Azure DevOps или GitHub.
Май 2025 г.
Общая доступность для настраиваемых фильтров сканирования вредоносных программ в Defender для хранилища
28 мая 2025 г.
Сканирование вредоносных программ при отправке теперь поддерживает настраиваемые фильтры. Пользователи могут задавать правила исключения для сканирования на вирусы при загрузке, основанные на префиксах путей и суффиксах BLOB-объектов, а также на их размере. Исключив определенные пути и типы блобов, такие как журналы или временные файлы, можно избежать ненужных проверок и тем самым снизить затраты.
Узнайте, как настроить настраиваемые фильтры сканирования вредоносных программ при отправке.
Активный пользователь (общедоступная предварительная версия)
Функция "Активный пользователь" помогает администраторам безопасности быстро определять и назначать рекомендации наиболее соответствующим пользователям на основе недавнего действия уровня управления. Для каждой рекомендации предлагается до трех потенциальных активных пользователей на уровне ресурса, группы ресурсов или подписки. Администраторы могут выбрать пользователя из списка, назначить рекомендацию и задать дату выполнения— активацию уведомления назначенному пользователю. Это упрощает рабочие процессы исправления, сокращает время исследования и повышает общую позицию безопасности.
Общедоступная версия для Defender для ИИ-служб
1 мая 2025 г.
Defender для облака теперь поддерживает защиту среды выполнения для Azure AI services (ранее называемой защитой от угроз для рабочих нагрузок ИИ).
Защита от Azure AI services охватывает угрозы, относящиеся к службам и приложениям ИИ, таким как взлома, злоупотребление кошельком, воздействие данных, подозрительные шаблоны доступа и многое другое. В обнаружениях используются сигналы от Microsoft аналитики угроз и Azure экранов ИИ, а также применение машинного обучения и ИИ для защиты служб ИИ.
Дополнительные сведения о Defender для ИИ-служб.
Microsoft Security Copilot теперь общедоступен в Defender для облака
1 мая 2025 г.
Microsoft Security Copilot теперь общедоступен в Defender для облака.
Security Copilot ускоряет исправление рисков для групп безопасности, что упрощает и упрощает работу администраторов с облачными рисками. Он предоставляет ИИ-сгенерированные сводки, корректирующие действия и письма по делегированию, которые направляют пользователей на каждом этапе процесса снижения риска.
Администраторы безопасности могут быстро суммировать рекомендации, создавать скрипты исправления и делегировать задачи с помощью электронной почты владельцам ресурсов. Эти возможности сокращают время исследования, помогают командам безопасности понимать риски в контексте и определять ресурсы для быстрого исправления.
Дополнительные сведения о Microsoft Security Copilot см. в Defender для облака.
Панель мониторинга безопасности для общедоступных данных и искусственного интеллекта
1 мая 2025 г.
Defender для облака повышает панель мониторинга безопасности данных для включения ИИ Security с новой панелью мониторинга безопасности данных и искусственного интеллекта в общедоступной версии. Панель мониторинга предоставляет централизованную платформу для мониторинга данных и ресурсов искусственного интеллекта и управления ими, а также связанных с ними рисков и состояния защиты.
Ключевыми преимуществами панели мониторинга безопасности данных и ИИ являются следующие:
- Единое представление: получение комплексного представления всех организационных данных и ресурсов искусственного интеллекта.
- Аналитика данных. Сведения о том, где хранятся данные, и типы ресурсов, содержащих их.
- Покрытие защиты: оцените покрытие защиты ваших данных и ресурсов искусственного интеллекта.
- Критические проблемы: выделение ресурсов, требующих немедленного внимания на основе рекомендаций высокого уровня серьезности, оповещений и путей атак.
- Обнаружение конфиденциальных данных: поиск и сводка ресурсов конфиденциальных данных в облачных и искусственных интеллектах.
- Рабочие нагрузки ИИ: обнаружение следов приложений ИИ, включая службы, контейнеры, наборы данных и модели.
Дополнительные сведения о панели мониторинга безопасности данных и искусственного интеллекта.
Defender CSPM начинает выставление счетов за гибкий сервер База данных Azure для MySQL и База данных Azure для PostgreSQL гибких ресурсов сервера
1 мая 2025 г.
Предполагаемая дата изменения: Июнь 2025 г.
Начиная с 1 июня 2025 г. корпорация Майкрософт Defender CSPM начнет выставление счетов за гибкий сервер База данных Azure для MySQL/c0 и База данных Azure для PostgreSQL гибкий сервер ресурсы в подписке, где Defender CSPM включен. Эти ресурсы уже защищены Defender CSPM и никаких действий пользователя не требуется. После начала выставления счетов счет может увеличиться.
Дополнительные сведения см. в разделе о ценах на план CSPM
Апрель 2025 г.
| Date | Category | Update |
|---|---|---|
| 29 апреля | Preview | Управление положением ИИ в GCP Vertex AI (предварительная версия) |
| 29 апреля | Preview | интеграция Defender для облака с Mend.io (предварительная версия) |
| 29 апреля | Change | Updated GitHub Разрешения приложения |
| Апрель 28 | Change | Update Defender для серверов SQL на компьютерах |
| Апрель 27 г. | GA | Ограничение по умолчаниюNew для проверки вредоносных программ в Microsoft Defender для хранилища |
| 24 апреля | GA | General Availability of API Security Posture Management native integration в Defender CSPM Plan |
| 7 апреля | Предстоящие изменения | Enhancements для Defender оповещений службы приложений |
Управление состоянием ИИ в GCP Vertex AI (предварительная версия)
29 апреля 2025 г.
функции управления безопасностью ИИ Defender для облака теперь поддерживают рабочие нагрузки ИИ в Google Cloud Platform (GCP) Vertex AI (предварительная версия).
К ключевым функциям этого выпуска относятся:
- Обнаружение современных приложений ИИ: автоматическое обнаружение и каталог компонентов приложений ИИ, данных и артефактов ИИ, развернутых в GCP Vertex AI.
- Укрепление системы безопасности: обнаружение неправильных конфигураций и получение встроенных рекомендаций и действий по исправлению для повышения уровня безопасности приложений ИИ.
- Анализ пути атаки. Определение и устранение рисков с помощью расширенного анализа пути атаки для защиты рабочих нагрузок ИИ от потенциальных угроз.
Эти функции предназначены для обеспечения комплексной видимости, обнаружения неправильной настройки и защиты ресурсов ИИ, обеспечивая снижение рисков для рабочих нагрузок ИИ, разработанных на платформе GCP Vertex AI.
Узнайте больше об управлении безопасностью ИИ.
интеграция Defender для облака с Mend.io (предварительная версия)
29 апреля 2025 г.
Defender для облака теперь интегрирован с Mend.io в предварительной версии. Эта интеграция повышает безопасность приложений программного обеспечения путем выявления и устранения уязвимостей в зависимостях партнеров. Эта интеграция упрощает процессы обнаружения и исправления, повышая общую безопасность.
Дополнительные сведения об интеграции Mend.io.
обновление разрешений приложения GitHub
29 апреля 2025 г.
соединители GitHub в Defender для облака будут обновлены, чтобы включить разрешения администратора для [Настраиваемые свойства]. Это разрешение используется для предоставления новых возможностей контекстуализации и ограничивается управлением схемой настраиваемых свойств. Разрешения можно предоставить двумя разными способами:
В организации GitHub перейдите к приложениям Microsoft Security DevOps в Settings > GitHub Apps и примите запрос разрешений.
В автоматическом сообщении электронной почты из службы поддержки GitHub выберите Запрос на разрешениеReview принять или отклонить это изменение.
Примечание. Существующие соединители продолжают работать без новых функциональных возможностей, если указанные выше действия не выполняются.
Обновление до Defender для серверов SQL server на компьютерах
28 апреля 2025 г.
Defender для SQL Server на компьютерах, планируемых в Microsoft Defender для облака, защищает экземпляры SQL Server, размещенные на Azure, AWS, GCP и локальных компьютерах.
Начиная с сегодняшнего дня, мы постепенно выпускаем улучшенное решение для агентов в рамках плана. Решение на основе агента устраняет необходимость развертывания агента Azure Monitor (AMA) и вместо этого использует существующую инфраструктуру SQL. Решение предназначено для упрощения процесса подключения и улучшения покрытия защиты.
Обязательные действия клиента:
Update Defender для серверов SQL Server на компьютерах: клиенты, которые включили Defender для SQL Server на компьютерах, планируйте до сегодняшнего дня, чтобы выполнить следующие инструкции по обновлению конфигурации после расширенного выпуска агента.
Верифи SQL Server состояние защиты экземпляров: с предполагаемой датой начала мая 2025 года клиенты должны проверить состояние защиты своих SQL Server экземпляров в их средах. Узнайте, как troubleshoot любые проблемы с развертыванием Defender для SQL на компьютерах конфигурации.
Note
После обновления агента вы можете увеличить выставление счетов, если дополнительные SQL Server экземпляры защищены с помощью включенных Defender для СЕРВЕРОВ SQL Server на компьютерах. Сведения о выставлении счетов см. на странице цен Defender для облака.
Новая крышка по умолчанию для проверки вредоносных программ при отправке в Microsoft Defender для хранилища
27 апреля 2025 г.
Значение ограничения по умолчанию для сканирования вредоносных программ обновлено с 5000 ГБ до 10 000 ГБ. Это новое ограничение применяется к следующим сценариям:
ПодпискиNew: подписки, в которых Defender для хранилища впервые включена.
Подписки с поддержкойre: подписки, в которых Defender для хранилища ранее отключены и теперь снова включены.
Если для этих подписок включена Defender для проверки вредоносных программ хранилища, ограничение по умолчанию для сканирования вредоносных программ по умолчанию будет иметь значение 10 000 ГБ. Эта крышка настраивается в соответствии с конкретными потребностями.
Дополнительные сведения см. в разделе " Сканирование вредоносных программ" — выставление счетов за ГБ, ежемесячное ограничение и настройка
Общая доступность встроенной интеграции службы управления безопасностью API в рамках плана Defender CSPM
24 апреля 2025 г.
Управление безопасностью API теперь общедоступен в рамках плана Defender CSPM. В этом выпуске представлен единый список API вместе с аналитическими сведениями о позе, что помогает выявлять и определять риски API приоритетами более эффективно непосредственно из плана Defender CSPM. Эту возможность можно включить на странице "Параметры среды", включив расширение "Безопасность API".
В этом обновлении добавлены новые факторы риска, в том числе факторы риска для неавторентированных API (AllowsAnonymousAccess) и API без шифрования (UnencryptedAccess). Кроме того, API, опубликованные с помощью Azure API Management теперь позволяют сопоставить все подключенные входящего трафика Kubernetes и виртуальные машины, обеспечивая сквозную видимость воздействия API и поддержку исправления рисков с помощью анализа пути атаки.
Улучшения Defender для оповещений службы приложений
7 апреля 2025 г.
30 апреля 2025 г. Defender для возможностей оповещения службы приложений будут улучшены. Мы добавим оповещения о подозрительных выполнении кода и доступе к внутренним или удаленным конечным точкам. Кроме того, мы улучшили охват и сократили шум от соответствующих оповещений, расширив логику и удалив оповещения, которые вызвали ненужный шум. В рамках этого процесса оповещение "Обнаружен вызов подозрительной темы WordPress" будет нерекомендуемым.
Март 2025 г.
Расширенная защита контейнеров с помощью оценки уязвимостей и обнаружения вредоносных программ для узлов AKS теперь является общедоступной
30 марта 2025 г.
Defender для облака теперь предоставляет оценку уязвимостей и обнаружение вредоносных программ для узлов в Azure Kubernetes Service (AKS) как общедоступная версия. Обеспечение защиты безопасности для этих узлов Kubernetes позволяет клиентам поддерживать безопасность и соответствие в управляемой службе Kubernetes и понимать свою часть в общей ответственности за безопасность, которая у них есть с управляемым поставщиком облачных служб. Чтобы получить новые возможности, необходимо включить проверку Agentless для компьютеров" как часть Defender CSPM, Defender для контейнеров или Defender для серверов P2 в подписке.
Оценка уязвимости
Новая рекомендация теперь доступна на портале Azure: узлы AKS должны иметь результаты уязвимостей, разрешенные. С помощью этой рекомендации теперь можно просматривать и устранять уязвимости и cvEs, найденные на Azure Kubernetes Service (AKS) узлах.
Обнаружение вредоносных программ
Новые оповещения системы безопасности активируются, когда возможность обнаружения вредоносных программ без агента обнаруживает вредоносные программы на узлах AKS. Обнаружение вредоносных программ без агента использует модуль защиты от вредоносных программ Microsoft Defender антивирусной программы для сканирования и обнаружения вредоносных файлов. При обнаружении угроз оповещения системы безопасности направляются в Defender для облака и Defender XDR, где их можно исследовать и исправлять.
Note: Обнаружение вредоносных программ для узлов AKS доступно только для Defender для контейнеров или Defender для сред с поддержкой серверов P2.
Развертывание Kubernetes с ограничениями (предварительный просмотр)
27 марта 2025 г.
Мы представляем функцию развертывания Kubernetes (предварительная версия) для плана Defender для контейнеров. Управляемое развертывание Kubernetes — это механизм повышения безопасности Kubernetes путем управления развертыванием контейнерных образов, которые нарушают политики безопасности организации.
Эта возможность основана на двух новых функциях:
- Артефакт результатов уязвимостей: создание выводов для каждого образа контейнера, сканированного для оценки уязвимостей.
- Правила безопасности: добавление правил безопасности для оповещения или предотвращения развертывания уязвимых образов контейнеров в кластерах Kubernetes.
Настраиваемые правила безопасности: клиенты могут настраивать правила безопасности для различных сред, для кластеров Kubernetes в своей организации или для пространств имен, чтобы включить элементы управления безопасностью, адаптированные к конкретным потребностям и требованиям соответствия.
Настраиваемые действия для правила безопасности:
Аудит. Попытка развернуть уязвимый образ контейнера активирует действие "Аудит", создав рекомендацию с подробными сведениями о нарушении образа контейнера.
Запрет. Попытка развернуть уязвимый образ контейнера активирует действие "Запретить", чтобы предотвратить развертывание образа контейнера, обеспечивая развертывание только безопасных и совместимых образов.
Сквозная безопасность: Определяя защиту от развертывания уязвимых образов контейнеров в качестве первого правила безопасности, мы представляем комплексный механизм безопасности Kubernetes, обеспечивающий, что уязвимые контейнеры не попадают в среду Kubernetes клиента.
Дополнительные сведения об этой функции см. в обзоре решения для развертывания шлюзов.
Настраиваемые фильтры сканирования вредоносных программ в Defender для хранилища (предварительная версия)
27 марта 2025 г.
Сканирование вредоносных программ при отправке теперь поддерживает настраиваемые фильтры. Пользователи могут задавать правила исключения для сканирования на вирусы при загрузке, основанные на префиксах путей и суффиксах BLOB-объектов, а также на их размере. Исключив определенные пути и типы блобов, такие как журналы или временные файлы, можно избежать ненужных проверок и тем самым снизить затраты.
Узнайте, как настроить настраиваемые фильтры сканирования вредоносных программ при отправке.
Общая доступность для поддержки сканирования виртуальных машин без агента для CMK в Azure
26 марта 2025 г.
Сканирование без агента для виртуальных машин Azure с зашифрованными дисками CMK теперь доступно. План Defender CSPM и Defender для серверов P2 обеспечивают поддержку бессерверного сканирования виртуальных машин, теперь с поддержкой CMK во всех облаках
Узнайте, как изменяемое сканирование без агента для Azure виртуальных машин с зашифрованными дисками CMK.
Предстоящее изменение уровня серьезности рекомендаций
11 марта 2025 г.
Мы повышаем уровень серьезности рекомендаций для улучшения оценки рисков и приоритета. В рамках этого обновления мы переоценим все классификации серьезности и ввели новый уровень — критически важный. Ранее рекомендации были разделены на три уровня: низкий, средний и высокий. В этом обновлении теперь существует четыре различных уровня: низкий, средний, высокий и критически важный, обеспечивая более детализированную оценку риска, чтобы помочь клиентам сосредоточиться на наиболее срочных проблемах безопасности.
В результате клиенты могут заметить изменения в серьезности существующих рекомендаций. Кроме того, оценка уровня риска, доступная только для Defender CSPM клиентов, может быть затронута как серьезность рекомендаций, так и контекст активов. Эти корректировки могут повлиять на общий уровень риска.
Проецируемые изменения состоятся 25 марта 2025 года.
Общая доступность мониторинга целостности файлов (FIM) на основе Microsoft Defender для конечной точки в Azure для государственных организаций
03 марта 2025 г.
Мониторинг целостности файлов на основе Microsoft Defender для конечной точки теперь является общедоступной в Azure для государственных организаций (GCCH) в рамках Defender для серверов плана 2.
- Соблюдайте требования соответствия, отслеживая критически важные файлы и реестры в режиме реального времени и проверяя изменения.
- Определите потенциальные проблемы безопасности, обнаруживая подозрительные изменения содержимого файла.
Этот улучшенный интерфейс FIM заменяет существующий, установленный для отмены использования Log Analytics агента (MMA). Интерфейс FIM через MMA будет поддерживаться в Azure для государственных организаций до конца марта 2023 года.
В этом выпуске будет выпущен интерфейс в продукте, позволяющий перенести конфигурацию FIM через MMA в новую версию FIM по Defender для конечной точки.
Сведения о том, как включить FIM через Defender для конечной точки, см. в разделе -мониторинг целостности файлов с помощью Microsoft Defender для конечной точки. Сведения об отключении предыдущих версий и использовании средства миграции см. в разделе "Мониторинг целостности файлов миграции" из предыдущих версий.
Important
Доступность мониторинга целостности файлов в Azure, управляемых 21Vianet и в облаках GCCM, в настоящее время не планируется поддерживать.
Февраль 2025 г.
| Date | Category | Update |
|---|---|---|
| 27 февраля | Change | Улучшено отображение имени ресурса AWS EC2 |
| 27 февраля | GA | -demand вредоносные программы проверки в Microsoft Defender для хранилища |
| 27 февраля | GA | Defender для сканирования вредоносных программ хранилища для больших двоичных объектов до 50 ГБ |
| 23 февраля | Preview | Агностическая по реестрам, безагентная оценка уязвимостей для работающих контейнеров AKS (предварительная версия) |
| 23 февраля | Preview | Панель мониторинга безопасности данных и ИИ (предварительная версия) |
| 19 февраля | Preview | Калькулятор затрат MDC (предварительная версия) |
| 19 февраля | Preview | 31 новых и расширенных нормативных стандартов для многооблачных сред |
Улучшено отображение имени ресурса AWS EC2
27 февраля 2025 г.
Предполагаемая дата изменения: Март 2025 г.
Мы улучшаем, как отображаются имена ресурсов для экземпляров AWS EC2 на нашей платформе. Если в экземпляре EC2 определен тег "имя", поле "Имя ресурса " будет отображать значение этого тега. Если тег "name" отсутствует, поле "Имя ресурса " продолжит отображать идентификатор экземпляра , как и раньше. Идентификатор ресурса по-прежнему будет доступен в поле идентификатора ресурса для справки.
С помощью тега EC2 "name" можно легко идентифицировать ресурсы с пользовательскими понятными именами вместо идентификаторов. Это упрощает поиск и управление конкретными экземплярами, уменьшая время и усилия, затраченные на поиск или сопоставление деталей экземпляров.
Сканирование вредоносных программ по запросу в Microsoft Defender для хранилища
27 февраля 2025 г.
Сканирование вредоносных программ по запросу в Microsoft Defender для хранилища теперь в общедоступной версии позволяет проверять существующие большие двоичные объекты в учетных записях служба хранилища Azure при необходимости. Сканирование можно инициировать из пользовательского интерфейса портала Azure или с помощью REST API, поддерживая автоматизацию с помощью Logic Apps, сборников схем автоматизации и сценариев PowerShell. Эта функция использует Microsoft Defender антивирусной программы с последними определениями вредоносных программ для каждой проверки и предоставляет предварительные оценки затрат на портале Azure перед сканированием.
Варианты использования:
- Ответ на инциденты: сканирование определенных учетных записей хранения после обнаружения подозрительной активности.
- Безопасный базовый план. Сканируйте все сохраненные данные при первом включении Defender для хранилища.
- Соответствие требованиям. Настройте автоматизацию для планирования проверок, которые помогают соответствовать нормативным и стандартам защиты данных.
Дополнительные сведения см. в разделе "Сканирование вредоносных программ по запросу".
Defender для сканирования вредоносных программ хранилища для больших двоичных объектов до 50 ГБ
27 февраля 2025 г.
Defender для сканирования вредоносных программ хранилища теперь поддерживает большие двоичные объекты размером до 50 ГБ (ранее ограничено 2 ГБ).
Обратите внимание, что для учетных записей хранения, в которых загружаются крупные блобы, увеличение предела размера блоба приведет к увеличению ежемесячной платы.
Чтобы избежать непредвиденных высоких расходов, вам может потребоваться установить соответствующее ограничение на общее количество отсканированных ГБ в месяц. Дополнительные сведения см. в разделе «Контроль расходов на проверку на наличие вредоносных программ при отправке».
Оценка уязвимостей реестра контейнеров без агента для контейнеров среды выполнения AKS (предварительная версия)
23 февраля 2025 г.
Defender для контейнеров и планов управления Defender для облака безопасностью (CSPM) теперь включают оценку уязвимостей реестра контейнеров без агента без агента для контейнеров среды выполнения AKS. Это улучшение расширяет охват оценки уязвимостей, включая запуск контейнеров с образами из любого реестра (не ограничено поддерживаемыми реестрами), помимо сканирования надстроек Kubernetes и сторонних средств, работающих в кластерах AKS. Чтобы включить эту функцию, убедитесь, что включена подписка в параметрах среды Defender для облака.
Панель мониторинга безопасности данных и ИИ (предварительная версия)
23 февраля 2025 г.
Defender для облака улучшает панель мониторинга безопасности данных, чтобы включить ИИ Security с новой панелью мониторинга безопасности данных и искусственного интеллекта в предварительной версии. Панель мониторинга предоставляет централизованную платформу для мониторинга данных и ресурсов искусственного интеллекта и управления ими, а также связанных с ними рисков и состояния защиты.
К ключевым преимуществам панели мониторинга безопасности данных и ИИ относятся:
- Единое представление: получение комплексного представления всех организационных данных и ресурсов искусственного интеллекта.
- Аналитика данных. Сведения о том, где хранятся данные, и типы ресурсов, содержащих их.
- Покрытие защиты: оцените покрытие защиты ваших данных и ресурсов искусственного интеллекта.
- Критические проблемы: выделение ресурсов, требующих немедленного внимания на основе рекомендаций высокого уровня серьезности, оповещений и путей атак.
- Обнаружение конфиденциальных данных: поиск и сводка ресурсов конфиденциальных данных в облачных и искусственных интеллектах.
- Рабочие нагрузки ИИ: обнаружение следов приложений ИИ, включая службы, контейнеры, наборы данных и модели.
Дополнительные сведения о панели мониторинга безопасности данных и искусственного интеллекта.
Калькулятор затрат MDC (предварительная версия)
19 февраля 2025 г.
Мы рады представить наш новый калькулятор затрат MDC, чтобы помочь вам легко оценить затраты, связанные с защитой облачных сред. Это средство предназначено для того, чтобы обеспечить четкое и точное понимание ваших расходов, обеспечивая возможность эффективного планирования и бюджета.
Зачем использовать калькулятор затрат?
Наш калькулятор затрат упрощает процесс оценки затрат, позволяя определить область потребностей в защите. Вы выбираете среды и планы, которые вы хотите включить, и калькулятор автоматически заполняет оплачиваемые ресурсы для каждого плана, включая все применимые скидки. Вы предоставляете полное представление о потенциальных затратах без каких-либо сюрпризов.
Ключевые функции:
Определение области: Выберите интересующие вас планы и среды. Калькулятор выполняет процесс обнаружения для автоматического заполнения числа оплачиваемых единиц для каждого плана в каждой среде.
Автоматическая и ручная корректировка. Это средство позволяет автоматически собирать данные и ручной корректировки. Вы можете изменить количество единиц и уровни скидки, чтобы узнать, как изменения влияют на общую стоимость.
Комплексная оценка затрат: калькулятор предоставляет оценку для каждого плана и общий отчет о затратах. Вы предоставляете подробный анализ затрат, что упрощает понимание расходов и управление ими.
Поддержка multicloud: Наше решение работает для всех поддерживаемых облаков, обеспечивая точные оценки затрат независимо от поставщика облачных служб.
Экспорт и общий доступ. После оценки затрат вы можете легко экспортировать и поделиться им для планирования бюджета и утверждений.
31 новых и усовершенствованных нормативных стандартов для многооблачной среды
19 февраля 2025 г.
Мы рады объявить о расширенной и расширенной поддержке более 31 платформ безопасности и нормативных требований в Defender для облака в Azure, AWS и & GCP. Это улучшение упрощает путь к достижению и поддержанию соответствия требованиям, снижает риск нарушений данных и помогает избежать штрафов и репутационного ущерба.
Новые и расширенные платформы:
| Standards | Clouds |
|---|---|
| ЕС 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| Общее регулирование защиты данных ЕС (GDPR) 2016 679 | Azure, AWS, GCP |
| NIST CSF версии 2.0 | Azure, AWS, GCP |
| NIST 800 171 редакция 3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS версии 4.0.1 | Azure, AWS, GCP |
| CIS: Основы AWS, версия 3.0.0 | AWS |
| Основы CIS Azure версии 2.1.0 | Azure |
| Элементы управления CIS версии 8.1 | Azure, AWS, GCP |
| CIS GCP Foundations версии 3.0 | GCP |
| HITRUST CSF версии 11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| Платформа управления безопасностью клиентов SWIFT 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Сертификация модели зрелости кибербезопасности (CMMC) уровня 2 версии 2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Канада Федеральный PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| Матрица облачных контролей CSA версии 4.0.12 | Azure, AWS, GCP |
| Cyber Essentials версии 3.1 | Azure, AWS, GCP |
| Политика безопасности служб уголовного правосудия версии 5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Бразильский общий закон о защите данных (LGPD) 2018 г. | Azure |
| NZISM версии 3.7 | Azure, AWS, GCP |
| Закон Сарбейнса-Оксли 2022 (SOX) | Azure, AWS |
| NCSC Cyber Assurance Framework (CAF) версии 3.2 | Azure, AWS, GCP |
Это присоединяется к недавним выпускам CIS Azure Kubernetes Service (AKS) версии 1.5, CIS Google Kubernetes Engine (GKE) версии 1.6 и CIS Amazon Elastic Kubernetes Service (EKS) версии 15 с нескольких месяцев назад.
Дополнительные сведения о предложении Defender для облака соответствия нормативным требованиям Learn more>
Январь 2025 г.
| Date | Category | Update |
|---|---|---|
| 30 января | GA | Обновление условий проверки для реестров контейнеров |
| 29 января | Change | Усовершенствования для проверки уязвимостей контейнеров с помощью MDVM |
| 27 января | GA | Разрешения, добавленные в соединитель GCP для поддержки платформ ИИ |
| 20 января | Change | Усовершенствования рекомендаций по базовым настройкам Linux на основе GC |
Обновление условий проверки для реестров контейнеров
30 января 2025 г.
Мы обновляем один из критериев проверки образов реестра в предварительной версии для образов реестра во всех облаках и внешних реестрах (Azure, AWS, GCP, Docker, JFrog).
Что меняется?
В настоящее время мы пересканируем образы в течение 90 дней после того, как они были отправлены в реестр. Теперь это будет изменено, чтобы просмотреть данные за последние 30 дней.
Note
Изменений в общедоступных рекомендациях по оценке уязвимостей контейнеров для образов реестра нет.
Усовершенствования проверки уязвимостей контейнеров с помощью MDVM
29 января 2025 г.
Мы рады сообщить об улучшениях в охвате сканирования для оценки уязвимостей контейнеров с помощью следующих обновлений:
Дополнительные языки программирования: теперь поддерживает PHP, Ruby и Rust.
Extended Java языковая поддержка: включает сканирование на наличие взрывных JAR.
Улучшено использование памяти: оптимизированная производительность при чтении больших файлов образа контейнера.
Разрешения, добавленные в соединитель GCP для поддержки платформ ИИ
27 января 2025 г.
Соединитель GCP теперь имеет дополнительные разрешения на поддержку платформы GCP AI (Vertex AI):
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Усовершенствования рекомендаций по базовым планам Linux на основе GC
20 января 2025 г.
Мы улучшаем функцию Baselines Linux (основанную на GC), чтобы повысить её точность и охват. В феврале вы можете заметить такие изменения, как обновленные имена правил и дополнительные правила. Эти улучшения предназначены для повышения точности и актуальности оценки базовых показателей. Дополнительные сведения об изменениях см. в соответствующем блоге
Некоторые изменения могут включать дополнительные изменения общедоступной предварительной версии. Это обновление полезно для вас, и мы хотим держать вас в курсе. Если вы предпочитаете, вы можете отказаться от этой рекомендации, убрав её из вашего ресурса или отключив расширение GC.
Декабрь 2024 г.
| Date | Category | Update |
|---|---|---|
| 31 декабря | GA | Изменения интервала сканирования существующих облачных соединителей |
| 22 декабря | GA | Microsoft Defender для конечной точки обновление версии клиента требуется для получения интерфейса мониторинга целостности файлов |
| 17 декабря | Preview | Integrate Defender для облака CLI с популярными инструментами CI/CD |
| 10 декабря | GA | Defender для облака настройка |
| 10 декабря | GA | параметры интервала Revised для Defender для облака сканирования облачной среды |
| 17 декабря | GA | возможности сканирования Sensitivity теперь включают Azure общие папки |
Изменения интервала сканирования существующих облачных соединителей
31 декабря 2024 г.
Ранее в этом месяце опубликовано update относительно измененных параметров интервала Defender для облака для сканирования облачной среды. Параметр интервала сканирования определяет, как часто службы обнаружения Defender для облака сканируют облачные ресурсы. Это изменение обеспечивает более сбалансированный процесс сканирования, оптимизацию производительности и минимизацию риска достижения ограничений API.
Параметры интервала сканирования для существующих соединителей AWS и GCP облачных соединителей будут обновлены, чтобы обеспечить возможность сканирования облачных сред Defender для облака.
Будут выполнены следующие корректировки:
- Интервалы, которые в настоящее время задаются в диапазоне от 1 до 3 часов, будут обновлены до 4 часов.
- Интервалы, равные 5 часам, будут обновлены до 6 часов.
- Интервалы, заданные в диапазоне от 7 до 11 часов, обновляются до 12 часов.
- Интервалы в 13 часов или более будут обновлены до 24 часов.
Если вы предпочитаете другой интервал сканирования, можно настроить облачные соединители с помощью страницы параметров среды. Эти изменения будут применены автоматически ко всем клиентам в начале февраля 2025 года, и никаких дальнейших действий не требуется.
Возможности проверки конфиденциальности теперь включают Azure общих папок
17 декабря 2024 г.
возможности проверки конфиденциальности Defender для облака (CSPM) теперь включают Azure общие папки в общедоступной версии в дополнение к контейнерам BLOB-объектов.
Перед этим обновлением включение плана Defender CSPM в подписке автоматически сканирует контейнеры BLOB-объектов в учетных записях хранения для конфиденциальных данных. В этом обновлении Defender для функции проверки конфиденциальности CSPM теперь включает общие папки в этих учетных записях хранения. Это улучшение улучшает оценку рисков и защиту конфиденциальных учетных записей хранения, обеспечивая более полный анализ потенциальных рисков.
Дополнительные сведения о сканировании конфиденциальности.
Интеграция интерфейса командной строки Defender для облака с популярными средствами CI/CD
Defender для облака интеграция С CLI с популярными средствами CI/CD в Microsoft Defender для облака теперь доступна для общедоступной предварительной версии. Теперь интерфейс командной строки можно включить в конвейеры CI/CD для проверки и выявления уязвимостей безопасности в контейнеризованном исходном коде. Эта функция помогает группам разработчиков обнаруживать уязвимости кода и устранять уязвимости кода во время выполнения конвейера. Для этого требуется проверка подлинности для Microsoft Defender для облака и изменений скрипта конвейера. Результаты сканирования будут отправлены в Microsoft Defender для облака, позволяя командам безопасности просматривать и сопоставлять их с контейнерами в реестре контейнеров. Это решение обеспечивает непрерывную и автоматизированную аналитику для ускорения обнаружения рисков и реагирования, обеспечивая безопасность без нарушения рабочих процессов.
Варианты использования:
- Сканирование конвейеров в средствах CI/CD: безопасно отслеживайте все конвейеры, использующие интерфейс командной строки.
- Раннее обнаружение уязвимостей: Результаты публикуются в конвейере и отправляются в Microsoft Defender для облака.
- Непрерывная аналитика безопасности. Обеспечение видимости и быстрой реакции на них во всех циклах разработки, не препятствуя повышению производительности.
Дополнительные сведения см. в разделе Integrate Defender для облака CLI с популярными инструментами CI/CD.
Defender для облака настройка
10 декабря 2024 г.
Интерфейс установки позволяет начать начальные шаги с Microsoft Defender для облака путем подключения облачных сред, таких как облачная инфраструктура, репозитории кода и внешние реестры контейнеров.
Вы узнаете, как настроить облачную среду, защитить ресурсы с помощью расширенных планов безопасности, без усилий выполнять быстрые действия для увеличения охвата безопасности в масштабе, учитывать проблемы с подключением и получать уведомления о новых возможностях безопасности. Вы можете перейти к новому интерфейсу из меню Defender для облака, выбрав Setup.
Измененные параметры интервала для Defender для облака сканирования облачной среды
10 декабря 2024 г.
Параметры интервала сканирования для облачных соединителей, связанных с AWS, GCP, Jfrog и DockerHub, были изменены. Функция интервала сканирования позволяет управлять частотой, с которой Defender для облака инициирует сканирование облачной среды. Интервал сканирования можно задать в 4, 6, 12 или 24 часа при добавлении или редактировании облачного соединителя. Интервал сканирования по умолчанию для новых соединителей продолжает составлять 12 часов.
Microsoft Defender для конечной точки обновление версии клиента требуется для получения интерфейса мониторинга целостности файлов (FIM)
Июнь 2025 г.
Начиная с июня 2025 года для мониторинга целостности файлов (FIM) требуется минимальная версия клиента Defender для конечной точки (MDE). Убедитесь, что вы используете минимальную следующую версию клиента, чтобы продолжить использовать интерфейс FIM в Microsoft Defender для облака: для Windows: 10.8760, для Linux: 30.124082. Подробнее
Ноябрь 2024 г.
Возможности проверки конфиденциальности теперь включают Azure общих папок (предварительная версия)
28 ноября 2024 г.
возможности проверки конфиденциальности Defender для облака (CSPM) теперь включают Azure общие папки (в предварительной версии) в дополнение к контейнерам BLOB-объектов.
Перед этим обновлением включение плана Defender CSPM в подписке автоматически сканирует контейнеры BLOB-объектов в учетных записях хранения для конфиденциальных данных. В этом обновлении Defender для функции проверки конфиденциальности CSPM теперь включает общие папки в этих учетных записях хранения. Это улучшение улучшает оценку рисков и защиту конфиденциальных учетных записей хранения, обеспечивая более полный анализ потенциальных рисков.
Дополнительные сведения о сканировании конфиденциальности.
Изменения согласия на использование меток чувствительности
26 ноября 2024 г.
Вы больше не должны выбрать выделенную кнопку согласия в разделе "Information Protection" на странице "Метки", чтобы воспользоваться пользовательскими типами сведений и метками конфиденциальности, настроенными на портале Microsoft 365 Defender или Портал Microsoft Purview.
При этом изменении все пользовательские типы данных и метки конфиденциальности автоматически импортируются на портал Microsoft Defender для облака.
Дополнительные сведения о параметрах конфиденциальности данных.
Изменения меток чувствительности
26 ноября 2024 г.
До недавнего времени Defender для облака импортировали все метки конфиденциальности на портале Microsoft 365 Defender, которые соответствовали следующим двум условиям:
- Метки конфиденциальности, для которых задано значение Items -> Files" или "Items -> Emails", в разделе "Определение области метки" в разделе Information Protection.
- Метка конфиденциальности имеет настроенное правило автоматической маркировки.
По состоянию на 26 ноября 2024 года имена областей меток конфиденциальности в пользовательском интерфейсе были обновлены как на портале Microsoft 365 Defender, так и в Портал Microsoft Purview. Defender для облака теперь импортируются только метки конфиденциальности с областью "Файлы и другие ресурсы данных", примененной к ним. Defender для облака больше не импортирует метки с областью "Сообщения электронной почты", примененной к ним.
Note
Метки, настроенные с помощью "Items -> Files" перед этим изменением, автоматически переносятся в новую область "Файлы и другие ресурсы данных".
Узнайте больше о настройке меток чувствительности.
Defender для сканирования вредоносных программ хранилища для больших двоичных объектов до 50 ГБ (предварительная версия)
25 ноября 2024 г.
Предполагаемая дата изменения: 1 декабря 2024 г.
Начиная с 1 декабря 2024 г. Defender для сканирования вредоносных программ хранилища support больших двоичных объектов размером до 50 ГБ (ранее ограничено 2 ГБ).
Обратите внимание, что для учетных записей хранения, в которых загружаются крупные блобы, увеличение предела размера блоба приведет к увеличению ежемесячной платы.
Чтобы избежать непредвиденных высоких расходов, может потребоваться установить соответствующее ограничение на общее количество отсканированных ГБ в месяц. Дополнительные сведения см. в разделе «Контроль расходов на проверку на наличие вредоносных программ при отправке».
Обновленные версии стандартов CIS для управляемых сред Kubernetes и новых рекомендаций
19 ноября 2024 г.
панель мониторинга соответствия нормативным требованиям Defender для облака теперь предлагает обновленные версии стандартов Центра безопасности Интернета (CIS) для оценки состояния безопасности управляемых сред Kubernetes.
На панели мониторинга можно назначить следующие стандарты ресурсам AWS/EKS/GKE Kubernetes:
- CIS Azure Kubernetes Service (AKS) версии 1.5.0
- CIS Google Kubernetes Engine (GKE) версии 1.6.0
- CIS Amazon Elastic Kubernetes Service (EKS) версия 1.5.0
Чтобы обеспечить оптимальную глубину охвата этих стандартов, мы обогатили наш охват, также выпуская 79 новых рекомендаций, ориентированных на Kubernetes.
Чтобы использовать эти новые рекомендации, назначьте приведенные выше стандарты или создайте настраиваемый стандарт и включите в него одну или несколько новых оценок.
Общедоступная предварительная версия событий процессов в облаке Kubernetes в возможностях расширенного поиска угроз
Мы объявляем предварительную версию событий облачного процесса Kubernetes для расширенного поиска. Эта мощная интеграция предоставляет подробные сведения о событиях процесса Kubernetes, происходящих в средах с несколькими облаками. Его можно использовать для обнаружения угроз, которые можно наблюдать с помощью сведений о процессе, таких как вредоносные процессы, вызываемые в облачной инфраструктуре. Дополнительные сведения см. в разделе CloudProcessEvents.
Устаревание функции использования собственной лицензии (BYOL) в управлении уязвимостями
19 ноября 2024 г.
Предполагаемая дата изменения:
3 февраля 2025 г. Функция больше не будет доступна для подключения новых компьютеров и подписок.
1 мая 2025 г.: функция будет полностью устарела и больше недоступна.
В рамках наших усилий по улучшению Defender для облака безопасности мы оптимизируем наши решения по оценке уязвимостей. Мы удаляем функцию "Принести собственную лицензию" в Defender для облака. Теперь вы будете использовать соединители управления экспозицией Microsoft Security для более простого, интегрированного и полного решения.
Рекомендуется перейти к новому решению соединителя в Microsoft Security management. Наша команда здесь, чтобы поддержать вас через этот переход.
Дополнительные сведения об использовании соединителей см. в разделе Overview для подключения источников данных в Microsoft Security Management — Microsoft Security Управление экспозицией.
Сканирование без агента в Microsoft Defender для облака (предварительная версия)
19 ноября 2024 г.
Сканирование без агента в Microsoft Defender для облака теперь доступно для общедоступной предварительной версии. Она обеспечивает быструю и масштабируемую безопасность для всех репозиториев в Azure DevOps организациях с одним соединителем. Это решение помогает командам безопасности находить и устранять уязвимости в конфигурациях кода и инфраструктуры в виде кода (IaC) в Azure DevOps средах. Для этого не требуются агенты, изменения конвейеров или прерывания рабочих процессов разработчиков, что упрощает настройку и обслуживание. Он работает независимо от конвейеров непрерывной интеграции и непрерывного развертывания (CI/CD). Решение предоставляет непрерывную и автоматизированную аналитику для ускорения обнаружения рисков и реагирования, обеспечивая безопасность без прерывания рабочих процессов.
Варианты использования:
- Организация на уровне сканирования: Вы можете безопасно отслеживать все репозитории в Azure DevOps организациях с одним соединителем.
- Раннее обнаружение уязвимостей: быстро найти код и риски IaC для упреждающего управления рисками.
- Непрерывная информация о безопасности: Поддерживайте видимость и быстро реагируйте на всех этапах разработки, не снижая производительность.
Дополнительные сведения см. в разделе Сканирование кодаAgentless в Microsoft Defender для облака.
Сканирование вредоносных программ по запросу в Microsoft Defender для хранилища (предварительная версия)
19 ноября 2024 г.
Сканирование вредоносных программ по запросу в Microsoft Defender для хранилища теперь в общедоступной предварительной версии позволяет проверять существующие большие двоичные объекты в учетных записях служба хранилища Azure при необходимости. Сканирование можно инициировать из пользовательского интерфейса портала Azure или с помощью REST API, поддерживая автоматизацию с помощью Logic Apps, сборников схем автоматизации и сценариев PowerShell. Эта функция использует Microsoft Defender антивирусной программы с последними определениями вредоносных программ для каждой проверки и предоставляет предварительные оценки затрат на портале Azure перед сканированием.
Варианты использования:
- Ответ на инциденты: сканирование определенных учетных записей хранения после обнаружения подозрительной активности.
- Безопасный базовый план. Сканируйте все сохраненные данные при первом включении Defender для хранилища.
- Соответствие требованиям. Настройте автоматизацию для планирования проверок, которые помогают соответствовать нормативным и стандартам защиты данных.
Дополнительные сведения см. в разделе "Сканирование вредоносных программ по запросу".
Поддержка реестра контейнеров JFrog Artifactory с помощью Defender для контейнеров (предварительная версия)
18 ноября 2024 г.
Эта функция расширяет Microsoft Defender для контейнеров охвата внешних реестров, включая JFrog Artifactory. Образы контейнеров JFrog Artifactory сканируются с помощью Управление уязвимостями Microsoft Defender для выявления угроз безопасности и устранения потенциальных рисков безопасности.
Система управления безопасностью искусственного интеллекта теперь находится в стадии общедоступности (GA).
18 ноября 2024 г.
функции управления безопасностью ИИ Defender для облака теперь общедоступны.
Defender для облака снижает риск перекрестных рабочих нагрузок ИИ в облаке следующими способами:
Обнаружение перечня материалов для генеративного ИИ (AI BOM), включающего компоненты приложений, данные и артефакты ИИ от кода до облака.
Укрепление положения безопасности приложений генеративного ИИ с помощью встроенных рекомендаций, а также изучения и устранения рисков безопасности.
Использование анализа пути атаки для выявления и устранения рисков.
Узнайте больше об управлении безопасностью ИИ.
Защита критически важных ресурсов в Microsoft Defender для облака
18 ноября 2024 г.
Сегодня мы рады объявить общедоступную защиту критически важных активов в Microsoft Defender для облака. Эта функция позволяет администраторам безопасности отмечать ресурсы короны, наиболее важные для своих организаций, что позволяет Defender для облака обеспечить им высокий уровень защиты и приоритеты проблем безопасности на этих ресурсах, прежде всего. Узнайте больше о защите критически важных ресурсов.
Наряду с выпуском общедоступной доступности мы также расширяем поддержку тегов Kubernetes и нечеловеческих ресурсов удостоверений.
Расширенная защита критически важных активов для контейнеров
18 ноября 2024 г.
Защита критически важных ресурсов расширена для поддержки дополнительных вариантов использования контейнеров.
Теперь пользователи могут создавать настраиваемые правила, которые помечают ресурсы, управляемые Kubernetes (рабочие нагрузки, контейнеры и т. д.), как критически важные на основе пространства имен ресурса Kubernetes и (или) метки Kubernetes ресурса.
Как и в других случаях использования критически важных ресурсов, Defender для облака учитывает критические значения активов для определения приоритетов, анализа пути атаки и обозревателя безопасности.
Усовершенствования для обнаружения и реагирования на угрозы контейнера
18 ноября 2024 г.
Defender для облака предоставляет набор новых функций, позволяющих командам SOC tackle контейнерные угрозы в облачных средах с большей скоростью и точностью. К этим улучшениям относятся возможности Аналитики угроз, возможности GoHunt, Microsoft Security Copilot управляемый ответ и действия реагирования на облако для модулей pod Kubernetes.
Знакомство с действиями ответа на основе облака для модулей pod Kubernetes (предварительная версия)
Defender для облака теперь предлагает действия с многооблачными ответами для модулей pod Kubernetes, доступные исключительно на портале Defender XDR. Эти возможности повышают реагирование на инциденты для кластеров AKS, EKS и GKE.
Ниже приведены новые действия ответа:
Сетевая изоляция — мгновенно блокирует весь трафик в модуль pod, предотвращая боковое перемещение и кражу данных. Требуется настройка политики сети в кластере Kubernetes.
Завершение pod . Быстрое завершение подозрительных модулей pod, остановка вредоносных действий без нарушения более широкого приложения.
Эти действия позволяют командам SOC эффективно сдерживать угрозы в облачных средах.
Отчет аналитики угроз для контейнеров
Мы представляем выделенный отчет Аналитики угроз, предназначенный для обеспечения комплексной видимости угроз, предназначенных для контейнерных сред. Этот отчет предоставляет командам SOC аналитические сведения для обнаружения и реагирования на последние шаблоны атак в кластерах AKS, EKS и GKE.
Основные моменты:
- Подробный анализ основных угроз и связанных методов атак в средах Kubernetes.
- Практические рекомендации по укреплению состояния безопасности в облаке и устранению возникающих рисков.
GoHunt для модулей pod Kubernetes и & ресурсы Azure
GoHunt теперь расширяет возможности поиска, чтобы включить модули pod Kubernetes и Azure ресурсы на портале Defender XDR. Эта функция повышает упреждающий поиск угроз, что позволяет аналитикам SOC проводить подробные исследования в облачных средах.
Ключевые функции:
- Расширенные возможности запросов для обнаружения аномалий в модулях pod Kubernetes и Azure ресурсах, предлагая более широкий контекст для анализа угроз.
- Простая интеграция с сущностями Kubernetes для эффективного поиска угроз и исследования.
Security Copilot управляемый ответ для модулей pod Kubernetes
Знакомство с интерактивным ответом для модулей pod Kubernetes, функцией, управляемой Security Copilot. Эта новая возможность предоставляет пошаговые инструкции в режиме реального времени, помогая командам SOC реагировать на угрозы контейнера быстро и эффективно.
Ключевые преимущества:
- Сборники схем контекстного ответа, адаптированные для распространенных сценариев атак Kubernetes.
- Эксперт, поддержка в режиме реального времени от Security Copilot, преодоление разрыва знаний и обеспечение более быстрого разрешения.
Встроенная интеграция управления безопасностью API в рамках плана Defender CSPM теперь в общедоступной предварительной версии
15 ноября 2024 г.
Возможности управления безопасностью API (предварительная версия) теперь включены в план Defender CSPM и могут быть включены с помощью расширений в рамках плана на странице параметров среды. Дополнительные сведения см. в разделе "Улучшение состояния безопасности API " (предварительная версия)".
Расширенная защита контейнеров с помощью оценки уязвимостей и обнаружения вредоносных программ для узлов AKS (предварительная версия)
13 ноября 2024 г.
Defender для облака теперь предоставляет оценку уязвимостей и обнаружение вредоносных программ для узлов в Azure Kubernetes Service (AKS) и обеспечивает ясность клиентам от их участия в общей ответственности за безопасность, которая у них есть с управляемым поставщиком облачных служб.
Обеспечение защиты безопасности для этих узлов Kubernetes позволяет клиентам поддерживать безопасность и соответствие в управляемой службе Kubernetes.
Чтобы получить новые возможности, необходимо включить проверку agentntless для компьютеров в Defender CSPM, Defender для контейнеров или Defender для планов серверов P2 в подписке.
Оценка уязвимости
Новая рекомендация теперь доступна на портале Azure: AKS nodes should have vulnerability findings resolved. С помощью этой рекомендации теперь можно просмотреть и устранить уязвимости и cvEs, найденные на Azure Kubernetes Service (AKS) узлах.
Обнаружение вредоносных программ
Новые оповещения системы безопасности активируются, когда возможность обнаружения вредоносных программ без агента обнаруживает вредоносные программы на узлах AKS.
Обнаружение вредоносных программ без агента использует модуль защиты от вредоносных программ Microsoft Defender антивирусной программы для сканирования и обнаружения вредоносных файлов. При обнаружении угроз оповещения системы безопасности направляются в Defender для облака и Defender XDR, где их можно исследовать и исправлять.
Important
Обнаружение вредоносных программ для узлов AKS доступно только для Defender для контейнеров или Defender для сред с поддержкой серверов P2.
Расширенная документация по оповещениям Kubernetes (K8s) и инструмент для моделирования.
7 ноября 2024 г.
Ключевые особенности
- Документация по оповещениям на основе сценариев: оповещения K8s теперь документируются на основе реальных сценариев, предоставляя более четкое руководство по потенциальным угрозам и рекомендуемых действий.
- интеграция Microsoft Defender для конечной точки (MDE): оповещения обогащены дополнительным контекстом и аналитикой угроз из MDE, что повышает эффективность реагирования.
- Новое средство моделирования: мощный инструмент имитации доступен для проверки состояния безопасности путем имитации различных сценариев атаки и создания соответствующих оповещений.
Benefits
- Улучшенное понимание оповещений. Документация на основе сценариев обеспечивает более интуитивно понятное представление о оповещениях K8s.
- Расширенный ответ на угрозы: оповещения обогащены ценным контекстом, обеспечивая более быстрые и точные ответы.
- Упреждающее тестирование безопасности. Новое средство моделирования позволяет тестировать защиту безопасности и выявлять потенциальные уязвимости перед их использованием.
Расширенная поддержка классификации конфиденциальных данных API
6 ноября 2024 г.
Microsoft Defender для облака расширяет возможности классификации конфиденциальных данных API для пути URL-адреса API и параметров запроса вместе с запросами и ответами API, включая источник конфиденциальной информации, найденной в свойствах API. Эти сведения будут доступны на странице "Анализ путей атаки", на странице дополнительных сведений Cloud Security Explorer при выборе операций управления API с конфиденциальными данными, а также на панели мониторинга безопасности API на странице сведений о защите рабочих нагрузок в области сведений о сборе API с новым контекстным меню, которое предоставляет подробные сведения о обнаруженных конфиденциальных данных. позволяет группам безопасности эффективно находить и устранять риски воздействия данных.
Note
Это изменение будет включать однократное развертывание существующих Defender для API и Defender CSPM клиентов.
Новая поддержка сопоставления конечных точек API Azure API Management с серверными вычислениями
6 ноября 2024 г.
Defender для облака состояние безопасности API теперь поддерживает сопоставление конечных точек API, опубликованных через шлюз Azure API Management для внутренних вычислительных ресурсов, таких как виртуальные машины, в Defender Cloud Security Posture Management (Defender CSPM) Cloud Security Explorer. Эта видимость помогает определить маршрутизацию трафика API в целевые облачные вычислительные ресурсы, что позволяет обнаруживать и устранять риски воздействия, связанные с конечными точками API и подключенными внутренними ресурсами.
Расширенная поддержка безопасности API для развертываний с несколькими регионами Azure API Management и управления версиями API
6 ноября 2024 г.
Покрытие безопасности API в Defender для облака теперь будет иметь полную поддержку Azure API Management развертывания в нескольких регионах, включая полную поддержку защиты и обнаружения угроз как для основных, так и вторичных регионов.
Теперь интерфейсы API подключения и отключения Defender для API теперь будут управляться на уровне Azure API Management API. Все связанные Azure API Management редакции будут автоматически включены в процесс, что устраняет необходимость управления подключением и отключением для каждой редакции API по отдельности.
Это изменение включает однократное развертывание для существующих Defender для клиентов API.
Сведения о выпуске:
- Развертывание будет происходить в течение недели 6 ноября для существующих Defender для клиентов API.
- Если версия "current" для API Azure API Management уже подключена к Defender API, все связанные редакции для этого API также будут автоматически подключены к Defender ДЛЯ API.
- Если текущая редакция API Azure API Management не подключена к Defender для API, все связанные редакции API, которые были подключены к Defender для API, будут отключены.
Октябрь 2024 г.
Теперь доступен опыт миграции MMA
28 октября 2024 г.
Теперь вы можете убедиться, что все среды полностью подготовлены к удалению после Log Analytics агента (MMA) в конце ноября 2024 года.
Defender для облака добавлен новый интерфейс, позволяющий выполнять действия в масштабе для всех затронутых сред:
- Это отсутствует предварительные требования, необходимые для получения полного покрытия безопасности, предлагаемого Defender для серверов плана 2.
- Это подключено к Defender для серверов плана 2 с использованием устаревшего подхода подключения через рабочую область Log Analytics.
- Это использует старую версию мониторинга целостности файлов (FIM) с агентом Log Analytics (MMA) необходимо перенести на новую версию improved FIM с Defender для конечной точки (MDE).
Узнайте, как использовать новый опыт миграции MMA.
Результаты безопасности для репозиториев GitHub без GitHub Advanced Security теперь являются общедоступной версией
21 октября 2024 г.
Возможность получать результаты безопасности для неправильной настройки инфраструктуры как кода (IaC), уязвимостей контейнеров и уязвимостей кода для репозиториев GitHub без GitHub Advanced Security теперь общедоступна.
Обратите внимание, что сканирование секретов, сканирование кода с помощью GitHub CodeQL и проверка зависимостей по-прежнему требуют расширенного сканирования GitHub.
Дополнительные сведения о необходимых лицензиях см. на странице поддержки DevOps. Чтобы узнать, как подключить среду GitHub к Defender для облака, следуйте руководству по подключению GitHub. Сведения о настройке действия Microsoft Security DevOps GitHub см. в нашей документации GitHub Action.
Отмена трех стандартов соответствия
14 октября 2024 г.
Предполагаемая дата изменения: 17 ноября 2024 г.
Из продукта удаляются три стандарта соответствия:
- SWIFT CSP-CSCF версии 2020 (для Azure) — это было заменено версией версии 2022
- CIS Microsoft Azure Фонды Benchmark версии 1.1.0 и v1.3.0 — у нас есть две более новые версии (версии 1.4.0 и версии 2.0.0)
Дополнительные сведения о стандартах соответствия, доступных в Defender для облака, см. в .
Отмена трех стандартов Defender для облака
8 октября 2024 г.
Предполагаемая дата изменения: 17 ноября 2024 г.
Чтобы упростить управление Defender для облака с помощью учетных записей AWS и проектов GCP, мы удаляем следующие три стандарта Defender для облака:
- Для AWS — AWS CSPM
- Для GCP — GCP CSPM и GCP по умолчанию
Стандарт по умолчанию, Microsoft Cloud Тест безопасности (MCSB) теперь содержит все оценки, которые были уникальными для этих стандартов.
Обнаружение двоичного дрейфа выпущено в общедоступной версии
9 октября 2024 г.
Обнаружение двоичного смещения теперь выпускается как общедоступная версия в Defender для плана контейнера. Обратите внимание, что обнаружение двоичного смещения теперь работает на всех версиях AKS.
Обновленные рекомендации по среде выполнения контейнеров (предварительная версия)
6 октября 2024 г.
Рекомендации по предварительной версии для "Контейнеры, работающие в AWS/Azure/GCP, должны иметь обнаруженные уязвимости", обновляются, чтобы сгруппировать все контейнеры, которые являются частью одной рабочей нагрузки, в одну рекомендацию, уменьшая дублирование и избегая колебаний из-за новых и завершенных контейнеров.
С 6 октября 2024 года для этих рекомендаций заменены следующие идентификаторы оценки:
| Recommendation | Предыдущий идентификатор оценки | Новый идентификатор оценки |
|---|---|---|
| -- | -- | -- |
| Контейнеры, работающие в Azure, должны быть устранены результаты уязвимостей. | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| Контейнеры, работающие в AWS, должны иметь устраненные уязвимости. | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| Контейнеры, работающие в GCP, должны иметь исправленные уязвимости | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Если вы в настоящее время извлекаете отчеты об уязвимостях из этих рекомендаций через API, убедитесь, что вы обновляете вызов API с новым идентификатором оценки.
Сведения об удостоверении и доступе Kubernetes в графе безопасности (предварительная версия)
6 октября 2024 г.
Сведения об удостоверениях и доступе Kubernetes добавляются в граф безопасности, включая узлы, представляющие все связанные контроль доступа ролей Kubernetes (RBAC), связанные сущности (учетные записи служб, роли, привязки ролей и т. д.), а также края, представляющие разрешения между объектами Kubernetes. Теперь клиенты могут выполнять запросы к графику безопасности для своих RBAC Kubernetes и связанных взаимосвязей между сущностями Kubernetes (может проверять подлинность как, может выдавать себя за, предоставляет роль, доступ определенный как, предоставляет доступ, имеет разрешение и т. д.).
Пути атак на основе информации об удостоверениях и доступе в Kubernetes (предварительная версия)
6 октября 2024 г.
Используя данные RBAC Kubernetes в графе безопасности, Defender для облака теперь обнаруживает Kubernetes, Kubernetes в облако и внутреннее боковое перемещение Kubernetes и сообщает о других путях атаки, где злоумышленники могут злоупотреблять Kubernetes и облачной авторизацией для бокового перемещения в кластеры Kubernetes и в кластерах Kubernetes.
Улучшен анализ пути атаки для контейнеров
6 октября 2024 г.
Новый модуль анализа путей атаки, выпущенный в ноябре прошлого года, теперь поддерживает варианты использования контейнеров, а также динамически обнаруживая новые типы путей атаки в облачных средах на основе данных, добавленных в граф. Теперь мы можем найти больше путей атак для контейнеров и обнаружить более сложные и сложные шаблоны атак, используемые злоумышленниками для инфильтрации облачных и сред Kubernetes.
Полное обнаружение образов контейнеров в поддерживаемых реестрах
6 октября 2024 г.
Defender для облака теперь собирает данные инвентаризации для всех образов контейнеров в поддерживаемых реестрах, обеспечивая полную видимость в графе безопасности для всех образов в облачных средах, включая образы, которые в настоящее время не имеют рекомендаций по настройке.
Возможности запросов через Cloud Security Explorer улучшены, чтобы пользователи могли искать образы контейнеров на основе их метаданных (дайджест, репозиторий, ОС, тег и т. д.).
Инвентаризация программного обеспечения контейнеров с помощью Cloud Security Explorer
6 октября 2024 г.
Теперь клиенты могут получить список программного обеспечения, установленного в своих контейнерах и образах контейнеров, через Cloud Security Explorer. Этот список также можно использовать для быстрого получения других аналитических сведений о клиентской среде, таких как поиск всех контейнеров и образов контейнеров с программным обеспечением, затронутым уязвимостью нулевого дня, даже до публикации CVE.
Сентябрь 2024 г.
Улучшения возможностей Cloud Security Explorer
22 сентября 2024 г.
Предполагаемая дата изменения: октябрь 2024 г.
Cloud Security Explorer настроен для повышения производительности и функциональности сетки, предоставления большего обогащения данных для каждого облачного ресурса, улучшения категорий поиска и улучшения отчета о экспорте CSV с дополнительными сведениями о экспортируемых облачных ресурсах.
Общая доступность мониторинга целостности файлов на основе Microsoft Defender для конечной точки
18 сентября 2024 г.
Новая версия мониторинга целостности файлов на основе Microsoft Defender для конечной точки теперь является общедоступной версией Defender для серверов плана 2. FIM позволяет выполнять следующие действия:
- Соблюдайте требования соответствия, отслеживая критически важные файлы и реестры в режиме реального времени и проверяя изменения.
- Определите потенциальные проблемы безопасности, обнаруживая подозрительные изменения содержимого файла.
Этот улучшенный интерфейс FIM заменяет существующий, установленный для отмены использования Log Analytics агента (MMA). Опыт FIM по MMA будет поддерживаться до конца ноября 2024 года.
С помощью этого выпуска вы можете перенести конфигурацию FIM через MMA в новую версию FIM по Defender для конечной точки.
Сведения о том, как включить FIM через Defender для конечной точки, см. в разделе -мониторинг целостности файлов с помощью Microsoft Defender для конечной точки. Для получения информации о том, как отключить предыдущие версии, см. раздел Миграция мониторинга целостности файлов из предыдущих версий.
Интерфейс миграции FIM доступен в Defender для облака
18 сентября 2024 г.
Вы можете перенести конфигурацию FIM через MMA в новую версию FIM через Defender для конечной точки. С помощью этого интерфейса вы можете:
- Просмотрите затронутую среду с предыдущей версией FIM по протоколу MMA с включенной и требуемой миграцией.
- Экспорт текущих правил FIM из интерфейса на основе MMA и их расположение в рабочих областях
- Мигрируйте на подписки с включенной поддержкой P2 с новым FIM через MDE.
Чтобы использовать интерфейс миграции, перейдите в область параметров среды и нажмите кнопку миграции MMA в верхней строке.
Устаревание возможности автоматической настройки MMA
18 сентября 2024 г. В рамках вывода из эксплуатации агента MMA возможность автоматического развертывания, которая обеспечивает установку и настройку агента для клиентов MDC, также будет выводиться из эксплуатации на двух этапах.
К концу сентября 2024 г. автоматическая подготовка MMA будет отключена для клиентов, которые больше не используют эту функцию, а также для недавно созданных подписок. После окончания сентября возможность больше не сможет быть включена повторно в этих подписках.
В конце ноября 2024 г. автоматическое предоставление MMA будет отключено в тех подписках, которые еще не отключили его. С этого момента больше нельзя активировать эту функцию в существующих подписках.
Интеграция с Power BI
15 сентября 2024 г.
Defender для облака теперь может интегрироваться с Power BI. Эта интеграция позволяет создавать пользовательские отчеты и панели мониторинга с помощью данных из Defender для облака. Вы можете использовать Power BI для визуализации и анализа состояния безопасности, соответствия требованиям и рекомендаций по безопасности.
Дополнительные сведения о новом интеграции с помощью Power BI.
Обновление до требований к сети с несколькими облаками CSPM
11 сентября 2024 г.
Предполагаемая дата изменения: октябрь 2024 г.
Начиная с октября 2024 года мы добавляем дополнительные IP-адреса в наши службы многооблачного обнаружения для улучшения и обеспечения более эффективного взаимодействия для всех пользователей.
Чтобы обеспечить непрерывный доступ из наших служб, необходимо обновить список разрешений IP-адресов новыми диапазонами, указанными здесь. Необходимо внести необходимые корректировки в параметры брандмауэра, группы безопасности или любые другие конфигурации, которые могут применяться к вашей среде. Списка достаточно для полной функциональности базового (бесплатного) предложения CSPM.
Defender для функций серверов не рекомендуется
9 сентября 2024 г.
Адаптивные элементы управления приложениями и адаптивная защита сети теперь устарели.
Испанская платформа национальной безопасности (Esquema Nacional de Seguridad (ENS)) добавлена на панель мониторинга соответствия нормативным требованиям для Azure
9 сентября 2024 г.
Организации, которые хотят проверить свои Azure среды на соответствие стандарту ENS, теперь могут сделать это с помощью Defender для облака.
Стандарт ENS применяется ко всему государственному сектору Испании, а также к поставщикам, сотрудничающим с администрацией. Он устанавливает основные принципы, требования и меры безопасности для защиты информации и служб, обрабатываемых в электронном виде. Цель заключается в обеспечении доступа, конфиденциальности, целостности, трассировки, подлинности, доступности и сохранения данных.
Ознакомьтесь с полным списком поддерживаемых стандартов соответствия.
Выполните рекомендации по обновлению системы и применению исправлений на ваших компьютерах.
8 сентября 2024 г.
Теперь вы можете устранить рекомендации по обновлениям системы и исправлениям на компьютерах с поддержкой Azure Arc и Azure виртуальных машинах. Обновления системы и исправления важны для обеспечения безопасности и работоспособности компьютеров. Обновления часто содержат исправления безопасности для уязвимостей, которые, если они остаются без исправления, являются эксплуатируемыми злоумышленниками.
Сведения о отсутствующих обновлениях компьютера теперь собираются с помощью Диспетчер обновлений Azure.
Чтобы обеспечить безопасность ваших компьютеров во время обновлений системы и установки исправлений, необходимо включить настройки периодической оценки на компьютерах.
Узнайте, как устранять проблемы с обновлениями системы и исправлять рекомендации по установке патчей на ваших компьютерах.
Интеграция ServiceNow теперь включает модуль соответствия конфигурации
4 сентября 2024 г.
интеграция плана CSPM Defender для облака с ServiceNow теперь включает модуль соответствия конфигурации ServiceNow. Эта функция позволяет выявлять, определять и устранять проблемы конфигурации в облачных ресурсах, уменьшая риски безопасности и повышая общий уровень соответствия с помощью автоматизированных рабочих процессов и аналитических сведений в режиме реального времени.
Дополнительные сведения о интеграции ServiceNow с Defender для облака.
Defender для хранилища (классического) плана защиты хранилища для каждой транзакции, недоступного для новых подписок
4 сентября 2024 г.
Предполагаемая дата изменения: 5 февраля 2025 г.
После 5 февраля 2025 г. вы не сможете активировать устаревшие Defender для хранилища (классический) для каждого плана защиты хранилища транзакций, если она еще не включена в подписке. Дополнительные сведения см. в разделе Move в новом Defender для плана хранения.
Политика Azure гостевая конфигурация теперь общедоступна (общедоступная версия)
1 сентября 2024 г.
Defender для Политика Azure гостевой конфигурации сервера теперь общедоступна для всех клиентов с поддержкой многооблачных Defender для клиентов плана 2. Гостевая конфигурация предоставляет унифицированный интерфейс для управления базовыми показателями безопасности в вашей среде. Она позволяет оценивать и применять конфигурации безопасности на серверах, включая компьютеры Windows и Linux, Azure виртуальные машины, экземпляры AWS EC2 и GCP.
Узнайте, как Политика Azure конфигурации компьютера в вашей среде.
Предварительная версия для поддержки реестра контейнеров Docker Hub с помощью Defender для контейнеров
1 сентября 2024 г.
Мы представляем общедоступную предварительную версию Microsoft Defender расширения охвата контейнеров для включения внешних реестров, начиная с Docker Hub реестров контейнеров. В рамках Microsoft Cloud управления безопасностью вашей организации расширение охвата Docker Hub реестров контейнеров обеспечивает преимущества сканирования образов контейнеров Docker Hub с помощью Управление уязвимостями Microsoft Defender для выявления угроз безопасности и устранения потенциальных рисков безопасности.
Дополнительные сведения об этой функции см. в разделе Вулнерность оценки Docker Hub
Август 2024 г.
| Date | Category | Update |
|---|---|---|
| 28 августа | Preview | New версии мониторинга целостности файлов на основе Microsoft Defender для конечной точки |
| 22 августа | Предстоящее прекращение использования | Retirement интеграции оповещений Defender для облака с оповещениями AZURE WAF |
| 1 августа | GA | Enable Microsoft Defender для серверов SQL на компьютерах в масштабе |
Новая версия мониторинга целостности файлов на основе Microsoft Defender для конечной точки
28 августа 2024 г.
Новая версия мониторинга целостности файлов на основе Microsoft Defender для конечной точки теперь доступна в общедоступной предварительной версии. Это часть Defender для серверов плана 2. Он позволяет:
- Соблюдайте требования соответствия, отслеживая критически важные файлы и реестры в режиме реального времени и проверяя изменения.
- Определите потенциальные проблемы безопасности, обнаруживая подозрительные изменения содержимого файла.
В рамках этого выпуска интерфейс FIM через AMA больше не будет доступен на портале Defender для облака. Опыт FIM по MMA будет поддерживаться до конца ноября 2024 года. В начале сентября будет выпущен интерфейс в продукте, который позволяет перенести конфигурацию FIM через MMA в новую версию FIM по сравнению с Defender для конечной точки.
Сведения о том, как включить FIM через Defender для конечной точки, см. в разделе -мониторинг целостности файлов с помощью Microsoft Defender для конечной точки. Сведения о том, как выполнить миграцию из предыдущих версий, см. в разделе "Миграция мониторинга целостности файлов" из предыдущих версий.
Прекращение интеграции оповещений Defender для облака с оповещениями WAF Azure
22 августа 2024 г.
Предполагаемая дата изменения: 25 сентября 2024 г.
Defender для облака оповещения integration с оповещениями WAF Azure будут прекращены 25 сентября 2024 года. В конце действия не требуется. Для клиентов Microsoft Sentinel можно настроить Брандмауэр веб-приложений Azure connector.
Включение Microsoft Defender для серверов SQL на компьютерах в масштабе
1 августа 2024 г.
Теперь вы можете включить Microsoft Defender для серверов SQL на компьютерах, масштабируемых в облаках государственных организаций. Эта функция позволяет одновременно включать Microsoft Defender для SQL на нескольких серверах, экономя время и усилия.
Узнайте, как Microsoft Defender для серверов SQL на компьютерах в масштабе.
Июль 2024 г.
| Date | Category | Update |
|---|---|---|
| 31 июля | GA | Общая доступность расширенных рекомендаций по обнаружению и настройке для защиты конечных точек |
| 31 июля | Предстоящее обновление | Нерекомендуемая защита сети |
| 22 июля | Preview | Безопасные оценки для GitHub больше не требуют дополнительного лицензирования |
| 18 июля | Предстоящее обновление | Updated временной шкалы в Defender для серверов плана 2 |
| 18 июля | Предстоящее обновление | Нерекомендуемые функции, связанные с MMA, как часть выхода агента на пенсию |
| 15 июля | Preview | общедоступная предварительная версия Binary Drift в Defender для контейнеров |
| 14 июля | GA | Скрипты автоматической исправления для AWS и GCP теперь являются общедоступной |
| 11 июля | Предстоящее обновление | обновление разрешений приложения GitHub |
| 10 июля | GA | Стандарты соответствия теперь общедоступны |
| 9 июля | Предстоящее обновление | Улучшение опыта инвентаризации |
| 8 июля | Предстоящее обновление | средство сопоставления Container для выполнения по умолчанию в GitHub |
Общая доступность расширенных рекомендаций по обнаружению и настройке для защиты конечных точек
31 июля 2024 г.
Улучшенные функции обнаружения решений для защиты конечных точек и улучшенная идентификация проблем конфигурации теперь доступны для многооблачных серверов. Эти обновления включены в Defender для серверов плана 2 и Defender cloud Security Posture Management (CSPM).
Функция расширенных рекомендаций использует сканирование без агента, что обеспечивает комплексное обнаружение и оценку конфигурации поддерживаемых решений обнаружение и нейтрализация атак на конечные точки. При обнаружении проблем с конфигурацией предоставляются шаги по исправлению.
В этом выпуске общедоступной доступности список поддерживаемых решений расширяется, чтобы включить еще два средства обнаружения конечных точек и ответов:
- Платформа Сингулярности от SentinelOne
- Cortex XDR
Нерекомендуемая защита сети
31 июля 2024 г.
Предполагаемая дата изменения: 31 августа 2024 г.
Defender для адаптивной защиты сети сервера не рекомендуется.
Нерекомендуемая функция включает следующие возможности:
- Рекомендация. Рекомендации по адаптивной защиты сети должны применяться на виртуальных машинах, подключенных к Интернету [ключ оценки: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Оповещение: трафик, обнаруженный из IP-адресов, рекомендуемых для блокировки
Предварительная версия. Оценки безопасности для GitHub больше не требуют дополнительного лицензирования
22 июля 2024 г.
GitHub пользователям в Defender для облака больше не требуется лицензия GitHub Advanced Security для просмотра результатов безопасности. Это относится к оценкам безопасности для уязвимостей кода, неправильной настройки инфраструктуры как кода (IaC) и уязвимостей в образах контейнеров, обнаруженных на этапе сборки.
Клиенты с GitHub Advanced Security будут продолжать получать дополнительные оценки безопасности в Defender для облака для предоставленных учетных данных, уязвимостей в открытый код зависимостях и выводов CodeQL.
Дополнительные сведения о безопасности DevOps в Defender для облака см. в статье DevOps Security Overview. Чтобы узнать, как подключить среду GitHub к Defender для облака, следуйте руководству по подключению GitHub. Сведения о настройке действия Microsoft Security DevOps GitHub см. в документации GitHub Action.
Обновленные временные шкалы по отношению к нерекомендуемой MMA в Defender для серверов плана 2
18 июля 2024 г.
Предполагаемая дата изменения: август 2024 г.
При предстоящем отказе агента Log Analytics в августе все значения безопасности для защиты сервера в Defender для облака будут полагаться на интеграцию с Microsoft Defender для конечной точки (MDE) в качестве одного агента и на возможностях без агента, предоставляемых облачной платформой и сканированием без агента.
Следующие возможности обновили временную шкалу и планы, поэтому поддержка этих возможностей по сравнению с MMA будет расширена для Defender для облака клиентов до конца ноября 2024 года:
Мониторинг целостности файлов (FIM): общедоступный предварительный выпуск для FIM новой версии по MDE планируется в августе 2024 года. Общедоступная версия FIM, поддерживаемая агентом Log Analytics, будет поддерживаться для существующих клиентов до конца ноября 2024.
Security Baseline: в качестве альтернативы версии на основе MMA, Текущая предварительная версия, основанная на гостевой конфигурации, будет выпущена в общедоступной версии в September 2024. Базовые показатели безопасности ОС, поддерживаемые агентом Log Analytics, будут поддерживаться для существующих клиентов до конца ноября 2024.
Дополнительные сведения см. в разделе Prepare для выхода на пенсию агента Log Analytics.
Нерекомендуемые функции, связанные с MMA, как часть выхода агента на пенсию
18 июля 2024 г.
Предполагаемая дата изменения: август 2024 г.
В рамках deprecation агента мониторинга Microsoft (MMA) и обновленной стратегии развертывания Defender для серверов все функции безопасности для Defender для серверов теперь будут предоставлены через один агент (Defender для конечной точки) или через возможности сканирования без агента. Для этого не требуется зависимость от MMA или агента мониторинга Azure (AMA).
По мере выхода агента на пенсию в августе 2024 г. на портале Defender для облака будут удалены следующие функции, связанные с MMA:
- Отображение состояния установки MMA в колонках Inventory и Работоспособность ресурсов.
- Возможность подключения новых серверов, отличных от Azure, в Defender для серверов с помощью рабочих областей Log Analytics будут удалены из колонки Inventory и Getting Started.
Note
Мы рекомендуем текущим клиентам, которые подключали локальные серверы с помощью подхода legacy> теперь должны подключать эти компьютеры с помощью серверов с поддержкой Azure Arc. Мы также рекомендуем включить Defender для серверов плана 2 в подписках Azure, к которым подключены эти серверы.
Если вы выборочно включили Defender для серверов плана 2 на определенных Azure виртуальных машинах с помощью устаревшего подхода, включите Defender для серверов плана 2 на Azure подписках этих компьютеров. Исключите отдельные компьютеры из Defender покрытия серверов с помощью Defender для серверов пер-ресурс конфигурации.
Эти действия гарантируют отсутствие потери покрытия безопасности из-за выхода Log Analytics агента.
Чтобы обеспечить непрерывность безопасности, мы советуем клиентам с Defender для серверов плана 2 включить сканирование agentntless и integration with Microsoft Defender для конечной точки в подписках.
Вы можете использовать настраиваемую книгу для отслеживания свойств агента Log Analytics (MMA) и мониторинга состояния развертывания Defender для серверов на Azure виртуальных машинах и Azure Arc компьютерах.
Дополнительные сведения см. в разделе Prepare для выхода на пенсию агента Log Analytics.
Общедоступная предварительная версия Binary Drift теперь доступна в Defender для контейнеров
Мы представляем общедоступную предварительную версию двоичного смещения для Defender для контейнеров. Эта функция помогает выявлять и уменьшать потенциальные риски безопасности, связанные с несанкционированными двоичными файлами в контейнерах. Binary Drift автономно идентифицирует и отправляет оповещения о потенциально опасных двоичных процессах в контейнерах. Кроме того, она позволяет реализовать новую политику двоичного смещения для управления предпочтениями оповещений, предлагая возможность адаптировать уведомления в соответствии с конкретными потребностями безопасности. Дополнительные сведения об этой функции см. в разделе "Обнаружение двоичного смещения"
Скрипты автоматической исправления для AWS и GCP теперь являются общедоступной
14 июля 2024 г.
В марте мы выпустили скрипты автоматической исправления для AWS и GCP в общедоступную предварительную версию, что позволяет устранять рекомендации по AWS и GCP программным способом.
Сегодня мы выпускаем эту функцию для общедоступной версии. Узнайте, как использовать скрипты автоматической исправления.
обновление разрешений приложения GitHub
11 июля 2024 г.
Предполагаемая дата изменения: 18 июля 2024 г.
Безопасность DevOps в Defender для облака постоянно обновляет обновления, требующие от клиентов с соединителями GitHub в Defender для облака обновления разрешений для приложения Microsoft Security DevOps в GitHub.
В рамках этого обновления приложению GitHub потребуется GitHub Copilot разрешения на чтение бизнеса. Это разрешение будет использоваться для повышения безопасности GitHub Copilot развертываний клиентами. Мы рекомендуем обновить приложение как можно скорее.
Разрешения можно предоставить двумя разными способами:
В организации GitHub перейдите к приложению Microsoft Security DevOps в Settings > GitHub Apps и примите запрос на разрешения.
В автоматическом сообщении электронной почты из службы поддержки GitHub выберите Запрос на разрешениеReview принять или отклонить это изменение.
Стандарты соответствия теперь общедоступны
10 июля 2024 г.
В марте мы добавили предварительные версии многих новых стандартов соответствия для клиентов, чтобы проверить свои ресурсы AWS и GCP.
Эти стандарты включали в себя тесты тестирования ЯДРА GOOGLE Kubernetes (GKE), ISO/IEC 27001 и ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), Бразильский закон о защите персональных данных (LGPD), Закон о конфиденциальности потребителей Калифорнии (CCPA) и многое другое.
Эти стандартные предварительные версии теперь общедоступны (GA).
Ознакомьтесь с полным списком поддерживаемых стандартов соответствия.
Улучшение опыта инвентаризации
9 июля 2024 г.
Предполагаемая дата изменения: 11 июля 2024 г.
Процесс инвентаризации будет обновлен для повышения производительности, включая улучшения логики запроса Open query в области Azure Resource Graph. Обновления логики, лежащей в Azure вычислении ресурсов, могут привести к подсчету и представлению других ресурсов.
Средство сопоставления контейнеров для запуска по умолчанию в GitHub
08 июля 2024 г.
Предполагаемая дата изменения: 12 августа 2024 г.
С помощью возможностей безопасности DevOps в Управление состоянием безопасности облака Microsoft Defender (CSPM) вы можете сопоставить облачные приложения из кода в облако, чтобы легко запустить рабочие процессы исправления разработчиков и сократить время на исправление уязвимостей в образах контейнеров. В настоящее время необходимо вручную настроить средство сопоставления образов контейнера для выполнения в действии Microsoft Security DevOps в GitHub. При этом изменении сопоставление контейнеров будет выполняться по умолчанию в рамках действия Microsoft Security DevOps. Learn больше о действии Microsoft Security DevOps.
Июнь 2024 г.
| Date | Category | Update |
|---|---|---|
| 27 июня | GA | Checkov IaC Scanning in Defender для облака. |
| 24 июня | Update | Change в ценах на многооблачные Defender для контейнеров |
| 20 июня | Предстоящее прекращение использования |
Reminder нерекомендуемой для адаптивных рекомендаций в агенте мониторинга Microsoft (MMA) не рекомендуется. Предполагаемое прекращение использования за август 2024 г. |
| 10 июня | Preview | Copilot в Defender для облака |
| 10 июня | Предстоящее обновление |
Автоматическая активация оценки уязвимостей SQL с помощью экспресс-конфигурации на ненастроенных серверах. Предполагаемое обновление: 10 июля 2024 г. |
| 3 июня | Предстоящее обновление |
Изменения в поведении рекомендаций по идентификации Предполагаемое обновление: 10 июля 2024 г. |
GA: Проверка IaC Checkov в Defender для облака
27 июня 2024 г.
Мы объявляем о общедоступной доступности интеграции Checkov для проверки инфраструктуры как кода (IaC) через Microsoft Security DevOps (MSDO). В рамках этого выпуска Checkov заменит TerraScan в качестве анализатора IaC по умолчанию, работающего в составе интерфейса командной строки MSDO (CLI). TerraScan может быть настроен вручную с помощью переменных среды MSDO, но не будет выполняться по умолчанию.
Результаты безопасности checkov представляются в качестве рекомендаций для репозиториев Azure DevOps и GitHub в соответствии с оценками Azure DevOps репозитории должны иметь инфраструктуру в качестве выводов кода, разрешенных и GitHub репозитории должны иметь инфраструктуру в качестве выводов кода, разрешенных.
Дополнительные сведения о безопасности DevOps в Defender для облака см. в статье DevOps Security Overview. Сведения о настройке интерфейса командной строки MSDO см. в документации Azure DevOps или GitHub.
Обновление: изменение цен на Defender для контейнеров в многооблачном режиме
24 июня 2024 г.
Так как Defender для контейнеров в мультиоблачном режиме теперь общедоступен, он больше не является бесплатным. Дополнительные сведения см. в разделе Microsoft Defender для облака цен.
Нерекомендуция: напоминание о нерекомендуемых для адаптивных рекомендаций
20 июня 2024 г.
Предполагаемая дата изменения: август 2024 г.
В рамках отмены
Рекомендации по адаптивной безопасности, известные как адаптивные элементы управления приложениями и адаптивная защита сети, будут прекращены. Текущая версия общедоступной версии на основе MMA и предварительной версии на основе AMA будет устарела в августе 2024 года.
Предварительная версия: Copilot в Defender для облака
10 июня 2024 г.
Мы объявляем интеграцию Microsoft Security Copilot с Defender для облака в общедоступной предварительной версии. встроенный интерфейс Copilot в Defender для облака предоставляет пользователям возможность задавать вопросы и получать ответы на естественном языке. Copilot поможет вам понять контекст рекомендации, эффект реализации рекомендации, шаги, необходимые для реализации рекомендации, помощь с делегированием рекомендаций и помощь в исправлении неправильных конфигураций в коде.
Дополнительные сведения о Microsoft Security Copilot см. в Defender для облака.
Обновление: автоматическая включение оценки уязвимостей SQL
10 июня 2024 г.
Предполагаемая дата изменения: 10 июля 2024 г.
Первоначально оценка уязвимостей SQL (VA) с экспресс-конфигурацией была включена только на серверах, где Microsoft Defender для SQL была активирована после внедрения Express Configuration в декабре 2022 года.
Мы обновим все серверы Azure SQL, которые Microsoft Defender для SQL активировались до декабря 2022 г. и не имели существующей политики ВИРТУАЛЬНОй записи SQL, чтобы автоматически включить оценку уязвимостей SQL (SQL VA) с помощью Express Configuration.
- Реализация этого изменения будет постепенной, охватывая несколько недель, и не требует каких-либо действий для части пользователя.
- Это изменение применяется к серверам Azure SQL, где Microsoft Defender для SQL активировались на уровне подписки Azure.
- Серверы с существующей классической конфигурацией (допустимая или недопустимая) не будут затронуты этим изменением.
- После активации может появиться рекомендация "Базы данных SQL должны иметь обнаруженные уязвимости" и может повлиять на оценку безопасности.
Обновление: изменения в поведении рекомендаций по идентификации
3 июня 2024 г.
Предполагаемая дата изменения: июль 2024 г.
Эти изменения:
- Оцененный ресурс станет удостоверением вместо подписки
- Рекомендации больше не будут содержать "вложенные серверы"
- Значение поля assessmentKey в API будет изменено для этих рекомендаций.
Будет применяться к следующим рекомендациям:
- Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA
- Учетные записи с разрешениями на запись для ресурсов Azure должны быть включены MFA
- Учетные записи с разрешениями на чтение для ресурсов Azure должны быть включены MFA
- Гостевые учетные записи с разрешениями владельца на Azure ресурсы должны быть удалены
- Гостевые учетные записи с разрешениями на запись для ресурсов Azure должны быть удалены
- Гостевые учетные записи с разрешениями на чтение для ресурсов Azure должны быть удалены
- Следует удалить заблокированные учетные записи с разрешениями владельца на Azure ресурсах
- Заблокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены
- Для подписки должно быть назначено не более трех владельцев.
- Подписке должно быть назначено несколько владельцев
май 2024
| Date | Category | Update |
|---|---|---|
| 30 мая | GA | обнаружение вредоносных программ Agentless в Defender для серверов плана 2 |
| 22 мая | Update | Настройка Уведомления по электронной почте для путей атаки |
| 21 мая | Update | Advanced в Microsoft Defender XDR включает Defender для облака оповещения и инциденты |
| 9 мая | Preview | интеграция Checkov для сканирования IaC в Defender для облака |
| 7 мая | GA | управление Permissions в Defender для облака |
| 6 мая | Preview | AI многооблачное управление безопасностью доступно для Azure и AWS. |
| 6 мая | Ограниченная предварительная версия | Threat protection for AI workloads in Azure. |
| 2 мая | Update | Управление политиками безопасности. |
| 1 мая | Preview | Defender для баз данных с открытым кодом теперь доступен в AWS для экземпляров Amazon. |
| 1 мая | Предстоящее прекращение использования |
Removal FIM по AMA и выпуск новой версии более Defender для конечной точки. Предполагаемое прекращение использования за август 2024 года. |
Общедоступная версия: обнаружение вредоносных программ без агента в Defender для серверов плана 2
30 мая 2024 г.
Обнаружение вредоносных программ без агента Defender для облака для виртуальных машин Azure, экземпляров AWS EC2 и экземпляров виртуальных машин GCP теперь общедоступен в Defender для серверов плана 2.
Обнаружение вредоносных программ без агента использует антивирусную программу Microsoft Defender подсистему защиты от вредоносных программ для сканирования и обнаружения вредоносных файлов. Обнаруженные угрозы активируют оповещения системы безопасности непосредственно в Defender для облака и Defender XDR, где их можно исследовать и устранять. Дополнительные сведения о проверке вредоносных программ без агента для серверов и без агента для виртуальных машин.
Обновление: настройка Уведомления по электронной почте для путей атаки
22 мая 2024 г.
Теперь можно настроить Уведомления по электронной почте при обнаружении пути атаки с указанным уровнем риска или выше. Узнайте, как настроить Уведомления по электронной почте.
Обновление: расширенная охота в Microsoft Defender XDR включает Defender для облака оповещения и инциденты
21 мая 2024 г.
оповещения и инциденты Defender для облака теперь интегрированы с Microsoft Defender XDR и доступны на портале Microsoft Defender. Эта интеграция обеспечивает более широкий контекст для исследований, охватывающих облачные ресурсы, устройства и удостоверения. Узнайте о расширенной охоте в интеграции XDR.
Предварительная версия: интеграция Checkov для сканирования IaC в Defender для облака
9 мая 2024 г.
Интеграция Checkov для безопасности DevOps в Defender для облака теперь доступна в предварительной версии. Эта интеграция улучшает качество и общее количество проверок инфраструктуры как кода, выполняемых интерфейсом командной строки MSDO при сканировании шаблонов IaC.
Хотя в предварительной версии checkov должен быть явно вызван с помощью входного параметра tools для ИНТЕРФЕЙСА командной строки MSDO.
Дополнительные сведения о безопасности DevOps см. в Defender для облака и настройке интерфейса командной строки MSDO для Azure DevOps и GitHub.
GA: управление разрешениями в Defender для облака
7 мая 2024 г.
управление Permissions теперь общедоступен в Defender для облака.
Предварительная версия: управление безопасностью с несколькими облаками ИИ
6 мая 2024 г.
Управление безопасностью искусственного интеллекта доступно в предварительной версии Defender для облака. Она предоставляет возможности управления безопасностью ИИ для Azure и AWS, чтобы повысить безопасность конвейеров и служб ИИ.
Узнайте больше об управлении безопасностью ИИ.
Ограниченная предварительная версия: защита от угроз для рабочих нагрузок ИИ в Azure
6 мая 2024 г.
Защита от угроз для рабочих нагрузок ИИ в Defender для облака доступна в ограниченной предварительной версии. Этот план помогает отслеживать Azure приложения OpenAI с питанием в среде выполнения для вредоносных действий, выявления и устранения рисков безопасности. Он предоставляет контекстную информацию о защите от угроз рабочей нагрузки ИИ, интегрируясь с Ответственным ИИ и Microsoft аналитике угроз. Соответствующие оповещения системы безопасности интегрируются на портале Defender.
Дополнительные сведения о защите от угроз для рабочих нагрузок ИИ.
Общедоступная версия: управление политиками безопасности
2 мая 2024 г.
Теперь общедоступен управление политиками безопасности в облаках (Azure, AWS, GCP). Это позволяет группам безопасности управлять своими политиками безопасности согласованно и с новыми функциями.
Дополнительные сведения о политиках безопасности в Microsoft Defender для облака.
Предварительная версия: Defender для баз данных с открытым кодом, доступных в AWS
1 мая 2024 г.
Defender для баз данных с открытым исходным кодом в AWS теперь доступна в предварительной версии. Он добавляет поддержку различных типов экземпляров Amazon Relational Database Service (RDS).
Узнайте больше о Defender для баз данных с открытым кодом и о том, как enable Defender для баз данных с открытым кодом в AWS.
Нерекомендуция: удаление FIM (с AMA)
1 мая 2024 г.
Предполагаемая дата изменения: август 2024 г.
В рамках отмены MMA и Defender для серверов обновленной стратегии развертывания все Defender для функций безопасности серверов будут предоставляться через один агент (MDE) или через возможности сканирования без агента и без зависимости от MMA или AMA.
Новая версия мониторинга целостности файлов (FIM) по сравнению с Microsoft Defender для конечной точки (MDE) позволяет соответствовать требованиям, отслеживая критически важные файлы и реестры в режиме реального времени, проверяя изменения и обнаруживая подозрительные изменения содержимого файла.
В рамках этого выпуска интерфейс FIM через AMA больше не будет доступен через портал Defender для облака начиная с августа 2024 года. Дополнительные сведения см. в разделе "Мониторинг целостности файлов" — рекомендации по изменению и миграции.
Дополнительные сведения о новой версии API см. в разделе Microsoft Defender для облака REST API.
Апрель 2024 г.
| Date | Category | Update |
|---|---|---|
| 16 апреля | Предстоящее обновление |
Изменение идентификаторов оценки CIEM. Предполагаемое обновление: май 2024 г. |
| 15 апреля | GA | Defender для контейнеров теперь доступно для AWS и GCP. |
| 3 апреля | Update | приоритизацияRisk теперь используется по умолчанию в Defender для облака |
| 3 апреля | Update | Defender для обновлений реляционных баз данных с открытым кодом. |
Обновление: изменение идентификаторов оценки CIEM
16 апреля 2024 г.
Предполагаемая дата изменения: май 2024 г.
Для перемоделирования запланированы следующие рекомендации, что приведет к изменению идентификаторов оценки:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
Общедоступная версия: Defender для контейнеров для AWS и GCP
15 апреля 2024 г.
Обнаружение угроз среды выполнения и обнаружение без агента для AWS и GCP в Defender для контейнеров теперь общедоступны. Кроме того, в AWS есть новая возможность проверки подлинности, которая упрощает подготовку.
Узнайте больше о матрице поддержки containers в Defender для облака и о том, как configure Defender для компонентов контейнеров.
Обновление: приоритет риска
3 апреля 2024 г.
Приоритет риска теперь используется по умолчанию в Defender для облака. Эта функция помогает сосредоточиться на наиболее важных проблемах безопасности в вашей среде путем приоритета рекомендаций на основе факторов риска каждого ресурса. Факторы риска включают потенциальное влияние проблемы безопасности, категории риска и путь атаки, в который входит проблема безопасности. Дополнительные сведения о приоритете рисков.
Обновление: Defender для реляционных баз данных Open-Source
3 апреля 2024 г.
- Defender для гибких серверов PostgreSQL после обновления общедоступной версии . Обновление позволяет клиентам применять защиту существующих гибких серверов PostgreSQL на уровне подписки, что позволяет обеспечить полную гибкость для обеспечения защиты на основе каждого ресурса или автоматической защиты всех ресурсов на уровне подписки.
- Defender для доступности гибких серверов MySQL и общедоступной версии — Defender для облака расширила свою поддержку Azure реляционных баз данных с открытым исходным кодом, включив гибкие серверы MySQL.
В этот выпуск входят:
- Совместимость оповещений с существующими оповещениями для Defender для отдельных серверов MySQL.
- Включение отдельных ресурсов.
- Включение на уровне подписки.
- Обновления для База данных Azure для MySQL гибких серверов развертываются в течение следующих нескольких недель. Если вы видите ошибку
The server <servername> is not compatible with Advanced Threat Protection, вы можете ждать обновления или открыть запрос в службу поддержки, чтобы обновить сервер до поддерживаемой версии.
Если вы уже защищаете подписку с помощью Defender для реляционных баз данных с открытым исходным кодом, гибкие ресурсы сервера автоматически включены, защищены и выставляются счета. Конкретные уведомления о выставлении счетов были отправлены по электронной почте для затронутых подписок.
Дополнительные сведения о Microsoft Defender для реляционных баз данных с открытым кодом.
март 2024
Общедоступная версия: сканирование образов контейнеров Windows
31 марта 2024 г.
Мы объявляем о общедоступной доступности образов контейнеров Windows для сканирования по Defender для контейнеров.
Обновление: непрерывный экспорт теперь включает данные пути атаки
25 марта 2024 г.
Мы объявляем, что непрерывный экспорт теперь включает данные пути атаки. Эта функция позволяет передавать данные безопасности в Log Analytics in Azure Monitor, Центры событий Azure или в другое решение модели развертывания для управления сведениями и событиями безопасности (SIEM), оркестрации безопасности (SOAR) или классической модели развертывания.
Дополнительные сведения о непрерывном экспорте.
Предварительная версия: сканирование без агента поддерживает зашифрованные виртуальные машины CMK в Azure
21 марта 2024 г.
До сих пор сканирование без агента охватывает зашифрованные виртуальные машины CMK в AWS и GCP. В этом выпуске мы завершаем поддержку Azure также. Эта возможность использует уникальный подход сканирования для CMK в Azure:
- Defender для облака не обрабатывает процесс расшифровки ключа или расшифровки. Ключи и расшифровка легко обрабатываются Azure вычислением и прозрачны для службы сканирования без агента Defender для облака.
- Незашифрованные данные диска виртуальной машины никогда не копируются или повторно шифруются с помощью другого ключа.
- Исходный ключ не реплицируется во время процесса. Очистка позволяет искоренить данные на рабочей виртуальной машине и временный моментальный снимок Defender для облака.
Во время общедоступной предварительной версии эта возможность не включена автоматически. Если вы используете Defender для серверов P2 или Defender CSPM, а в вашей среде есть виртуальные машины с зашифрованными дисками CMK, теперь их можно проверить на наличие уязвимостей, секретов и вредоносных программ после этих действий enablement.
Предварительная версия: пользовательские рекомендации на основе KQL для Azure
17 марта 2024 г.
Пользовательские рекомендации на основе KQL для Azure теперь доступны в общедоступной предварительной версии и поддерживаются для всех облаков. Дополнительные сведения см. в статье "Создание пользовательских стандартов безопасности и рекомендаций".
Обновление. Включение рекомендаций DevOps в тест Microsoft облачной безопасности
13 марта 2024 г.
Сегодня мы объявляем, что теперь вы можете отслеживать состояние безопасности и соответствия DevOps в Microsoft тесте облачной безопасности (MCSB) в дополнение к Azure, AWS и GCP. Оценки DevOps являются частью элемента управления DevOps Security в MCSB.
MCSB — это платформа, которая определяет основные принципы облачной безопасности на основе общих отраслевых стандартов и платформ соответствия требованиям. MCSB предоставляет подробные сведения о реализации рекомендаций по безопасности, не зависящих от облака.
Узнайте больше о рекомендациях DevOps, которые будут включены и Microsoft тесте облачной безопасности.
Общедоступная версия: интеграция ServiceNow теперь общедоступна
12 марта 2024 г.
Мы объявляем о общедоступной доступности интеграции ServiceNow.
Предварительная версия: защита критически важных ресурсов в Microsoft Defender для облака
12 марта 2024 г.
Defender для облака теперь включает функцию критически важного бизнеса, используя подсистему критически важных активов управления Microsoft Security экспозиции, чтобы определить и защитить важные ресурсы с помощью определения приоритетов, анализа пути атаки и облачного обозревателя безопасности. Дополнительные сведения см. в разделе Critical assets protection in Microsoft Defender для облака (preview).
Обновление: расширенные рекомендации AWS и GCP с помощью сценариев автоматической исправления
12 марта 2024 г.
Мы повышаем рекомендации AWS и GCP с помощью сценариев автоматической исправления, которые позволяют устранять их программными средствами и масштабируемыми сценариями. Узнайте больше о сценариях автоматической исправления.
Предварительная версия: стандарты соответствия, добавленные на панель мониторинга соответствия требованиям
6 марта 2024 г.
На основе отзывов клиентов мы добавили стандарты соответствия в предварительной версии для Defender для облака.
Полный список поддерживаемых стандартов соответствия
Мы постоянно работаем над добавлением и обновлением новых стандартов для сред Azure, AWS и GCP.
Узнайте, как назначить стандарт безопасности.
Обновление: Defender для обновлений реляционных баз данных с открытым исходным кодом
6 марта 2024**
Предполагаемая дата изменения: апрель 2024 г.
Defender для гибких серверов PostgreSQL после обновления общедоступной версии . Обновление позволяет клиентам применять защиту существующих гибких серверов PostgreSQL на уровне подписки, что позволяет обеспечить полную гибкость для обеспечения защиты на основе каждого ресурса или автоматической защиты всех ресурсов на уровне подписки.
Defender для доступности гибких серверов MySQL и общедоступной версии — Defender для облака для расширения поддержки реляционных баз данных Azure с открытым исходным кодом, включив гибкие серверы MySQL. В этом выпуске будет содержаться следующее:
- Совместимость оповещений с существующими оповещениями для Defender для отдельных серверов MySQL.
- Включение отдельных ресурсов.
- Включение на уровне подписки.
Если вы уже защищаете подписку с помощью Defender для реляционных баз данных с открытым исходным кодом, гибкие ресурсы сервера автоматически включены, защищены и выставляются счета. Конкретные уведомления о выставлении счетов были отправлены по электронной почте для затронутых подписок.
Дополнительные сведения о Microsoft Defender для реляционных баз данных с открытым кодом.
Обновление: изменения предложений соответствия требованиям и Microsoft параметров действий
3 марта 2024 г.
Предполагаемая дата изменения: 30 сентября 2025 г.
30 сентября 2025 г. будут изменены расположения, в которых доступны две предварительные версии функций, предложение соответствия требованиям и Microsoft Действия.
Таблица, которая содержит состояние соответствия продуктов Microsoft (доступ к которым получен из предложений Compliance на панели инструментов панели мониторинга соответствия требованиям Defender). После удаления этой кнопки из Defender для облака вы по-прежнему сможете получить доступ к этой информации с помощью портала Service Trust Portal.
Для подмножества элементов управления Microsoft Действия были доступны из кнопки Microsoft Действия (предварительная версия) в области сведений об элементах управления. После удаления этой кнопки вы можете просмотреть Microsoft действия, перейдя на
Обновление: изменения, в которых вы обращаетесь к предложениям соответствия требованиям и Microsoft Действия
3 марта 2024**
Предполагаемая дата изменения: сентябрь 2025 г.
30 сентября 2025 г. будут изменены расположения, в которых доступны две предварительные версии функций, предложение соответствия требованиям и Microsoft Действия.
Таблица, которая содержит состояние соответствия продуктов Microsoft (доступ к которым получен из предложений Compliance на панели инструментов панели мониторинга соответствия требованиям Defender). После удаления этой кнопки из Defender для облака вы по-прежнему сможете получить доступ к этой информации с помощью портала Service Trust Portal.
Для подмножества элементов управления Microsoft Действия были доступны из кнопки Microsoft Действия (предварительная версия) в области сведений об элементах управления. После удаления этой кнопки вы можете просмотреть Microsoft действия, перейдя на
Нерекомендуемое: оценка уязвимостей контейнеров Defender для облака на выходе qualys
3 марта 2024 г.
Оценка уязвимостей контейнеров Defender для облака на платформе Qualys отменяется. Выход на пенсию будет завершен 6 марта, и до тех пор, пока это время частичные результаты по-прежнему могут отображаться как в рекомендациях Qualys, так и Qualys приводит к графу безопасности. Все клиенты, которые ранее использовали эту оценку, должны обновиться до Вулнерности оценки Azure с Управление уязвимостями Microsoft Defender. Сведения о переходе на оценку уязвимостей контейнера, предоставляемой Управление уязвимостями Microsoft Defender, см. в разделе Transition из Qualys в Управление уязвимостями Microsoft Defender.
Февраль 2024 г.
| Date | Category | Update |
|---|---|---|
| 28 февраля | Deprecation | Microsoft Security Code Analysis (MSCA) больше не работает. |
| 28 февраля | Update | Обновленное управление политиками безопасности расширяет поддержку AWS и GCP. |
| 26 февраля | Update | поддержка Cloud для контейнеров Defender |
| 20 февраля | Update | New версии датчика Defender для Defender для контейнеров |
| 18 февраля | Update | Поддержка спецификации формата изображений Open Container Initiative (OCI) |
| 13 февраля | Deprecation | Оценка уязвимостей контейнера AWS, размещенная на базе Trivy, прекращена. |
| 5 февраля | Предстоящее обновление |
Decommissioning Microsoft. Поставщик ресурсов SecurityDevOps Ожидается: 6 марта 2024 г. |
Нерекомендуция: Microsoft Security Code Analysis (MSCA) больше не работает
28 февраля 2024 г.
В феврале 2021 года нерекомендуемая задача MSCA была передана всем клиентам и была последней частью жизненной поддержки с марта 2022 года. По состоянию на 26 февраля 2024 года MSCA официально не работает.
Клиенты могут получать последние средства безопасности DevOps от Defender для облака до Microsoft Security DevOps и дополнительных средств безопасности с помощью GitHub Advanced Security для Azure DevOps.
Обновление: управление политиками безопасности расширяет поддержку AWS и GCP
28 февраля 2024 г.
Обновленный интерфейс управления политиками безопасности, первоначально выпущенный в предварительной версии для Azure, расширяет свою поддержку в облачных средах (AWS и GCP). Этот выпуск предварительной версии включает:
- Управление стандартами соответствия regulatory в Defender для облака в Azure средах AWS и GCP.
- Тот же интерфейс между облачным интерфейсом для создания пользовательских рекомендаций Microsoft Cloud Security Benchmark(MCSB) и управления ими.
- Обновленный интерфейс применяется к AWS и GCP для создания пользовательских рекомендаций с помощью запроса KQL.
Обновление: облачная поддержка Defender для контейнеров
26 февраля 2024 г.
Azure Kubernetes Service (AKS) функции обнаружения угроз в Defender для контейнеров теперь полностью поддерживаются в коммерческих, Azure для государственных организаций и Azure для Китая (21Vianet) облаках. Просмотрите поддерживаемые функции.
Обновление: новая версия датчика Defender для Defender для контейнеров
20 февраля 2024 г.
A новая версия датчика Defender для Defender для контейнеров. Он включает улучшения производительности и безопасности, поддержку как для узлов архитектуры AMD64, так и Arm64 (только для Linux) и использует Inspektor Gadget в качестве агента сбора процессов вместо Sysdig. Новая версия поддерживается только в ядрах Linux версии 5.4 и выше, поэтому при наличии более старых версий ядра Linux необходимо обновить. Поддержка Arm64 доступна только в AKS версии 1.29 и выше. Дополнительные сведения см. в разделе "Поддерживаемые операционные системы узла".
Обновление: поддержка спецификации формата образа Open Container Initiative (OCI)
18 февраля 2024 г.
Спецификация формата образа
Нерекомендуция: оценка уязвимостей контейнера AWS, реализованная на базе Trivy, прекращена
13 февраля 2024 г.
Оценка уязвимостей контейнера, на которую работает Trivy, была прекращена. Все клиенты, которые ранее использовали эту оценку, должны обновиться до новой оценки уязвимостей контейнеров AWS с помощью Управление уязвимостями Microsoft Defender. Инструкции по обновлению см. в статье How do i upgrade from the retired Trivy vulnerability assessment to the AWS vulnerability assessmented to the AWS vulnerability assessmented by Управление уязвимостями Microsoft Defender?
Обновление: отмена Microsoft. Поставщик ресурсов SecurityDevOps
5 февраля 2024 г.
Предполагаемая дата изменения: 6 марта 2024 г.
Microsoft Defender для облака удаляет поставщик ресурсов Microsoft.SecurityDevOps, который использовался во время общедоступной предварительной версии системы безопасности DevOps, перенесенный на существующий поставщик Microsoft.Security. Причина изменения заключается в улучшении взаимодействия с клиентами путем уменьшения числа поставщиков ресурсов, связанных с соединителями DevOps.
Клиенты, которые по-прежнему используют версию API 2022-09-01-preview в Microsoft.SecurityDevOps для Defender для облака запроса данных безопасности DevOps будут затронуты. Чтобы избежать нарушения работы службы, клиенту потребуется обновить новую версию API 2023-09-01-preview в поставщике Microsoft.Security.
Клиенты, использующие безопасность Defender для облака DevOps на портале Azure, не будут затронуты.
Январь 2024 г.
Обновление: новое представление для активных репозиториев в Cloud Security Explorer
31 января 2024 г.
В Cloud Security Explorer добавлено новое представление о том, активны ли репозитории Azure DevOps. Это представление указывает, что репозиторий кода не архивирован или отключен, что означает, что доступ на запись к коду, сборкам и запросам на вытягивание по-прежнему доступен для пользователей. Архивированные и отключенные репозитории могут считаться более низким приоритетом, так как код обычно не используется в активных развертываниях.
Чтобы проверить запрос через Cloud Security Explorer, используйте эту ссылку запроса.
Обновление. Изменение цен на обнаружение угроз в многооблачном контейнере
30 января 2024**
Предполагаемая дата изменения: апрель 2024 г.
Когда обнаружение угроз в мультиоблачном контейнере перемещается в общедоступную доступность, оно больше не будет бесплатно. Дополнительные сведения см. в разделе Microsoft Defender для облака цен.
Обновление: применение Defender CSPM для безопасности DevOps уровня "Премиум"
29 января 2024**
Предполагаемая дата изменения: 7 марта 2024 г.
Defender для облака начнет применять проверку плана Defender CSPM для значения безопасности Premium DevOps, начиная с Мarch 7, 2024. Если вы включили план Defender CSPM в облачной среде (Azure, AWS, GCP) в том же клиенте, в который создаются соединители DevOps, вы будете продолжать получать возможности DevOps класса Premium без дополнительных затрат. Если вы не клиент Defender CSPM, то до марх 7, 2024, чтобы включить Defender CSPM перед потерей доступа к этим функциям безопасности. Чтобы включить Defender CSPM в подключенной облачной среде до 7 марта 2024 г., следуйте документации по включению, описанной here.
Дополнительные сведения о том, какие функции безопасности DevOps доступны в планах Foundational CSPM и Defender CSPM, см. в документации по обеспечению доступности компонентов.
Дополнительные сведения о DevOps Security в Defender для облака см. в документации overview.
Дополнительные сведения о коде возможностей облачной безопасности в Defender CSPM см. в разделе как защитить ресурсы с помощью Defender CSPM.
Предварительная версия: состояние контейнера без агента для GCP в Defender для контейнеров и Defender CSPM
24 января 2024 г.
Новые возможности остановки контейнеров без агента (предварительная версия) доступны для GCP, включая Vulnerability для GCP с Управление уязвимостями Microsoft Defender. Дополнительные сведения обо всех возможностях см. в разделе Строка контейнера в Defender CSPM и Agentless в Defender для контейнеров.
Вы также можете прочитать об управлении состоянием контейнеров без агента для multicloud в этой записи блога.
Предварительная версия: сканирование вредоносных программ без агента для серверов
16 января 2024 г.
Мы объявляем о выпуске обнаружения вредоносных программ без агента Defender для облака для Azure виртуальных машин (VM), экземпляров AWS EC2 и экземпляров виртуальных машин GCP в качестве новой функции, включенной в Defender для серверов плана 2.
Обнаружение вредоносных программ без агента для виртуальных машин теперь входит в нашу платформу сканирования без агента. Сканирование вредоносных программ без агента использует Microsoft Defender Антивирусная программа подсистема защиты от вредоносных программ для сканирования и обнаружения вредоносных файлов. Все обнаруженные угрозы, активация оповещений системы безопасности непосредственно в Defender для облака и Defender XDR, где их можно исследовать и исправлять. Сканер вредоносных программ без агента дополняет покрытие на основе агентов вторым уровнем обнаружения угроз с неявным подключением и не влияет на производительность компьютера.
Дополнительные сведения о проверке вредоносных программ без агента для серверов и без агента для виртуальных машин.
Общая доступность интеграции Defender для облака с Microsoft Defender XDR
15 января 2024 г.
Мы объявляем о общедоступной доступности интеграции между Defender для облака и Microsoft Defender XDR (ранее Office 365 Defender).
Интеграция предоставляет конкурентные возможности защиты облака в центр управления безопасностью (SOC) ежедневно. С помощью Microsoft Defender для облака и интеграции Defender XDR команды SOC могут обнаруживать атаки, которые объединяют обнаружения из нескольких основных компонентов, включая облако, конечную точку, удостоверение, Microsoft 365 и многое другое.
Дополнительные сведения о alerts и инцидентах см. в Microsoft Defender XDR.
Обновление: сканирование встроенной Azure виртуальной машины без агента
14 января 2024**
Предполагаемая дата изменения: февраль 2024 г.
В Azure сканирование без агента для виртуальных машин использует встроенную роль (называемую оператором сканера VM) с минимальными необходимыми разрешениями, необходимыми для сканирования и оценки виртуальных машин для проблем с безопасностью. Для непрерывной предоставления соответствующих рекомендаций по работоспособности и конфигурации для виртуальных машин с зашифрованными томами планируется обновление разрешений этой роли. Обновление включает добавление разрешения Microsoft.Compute/DiskEncryptionSets/read. Это разрешение обеспечивает исключительно улучшенную идентификацию использования зашифрованного диска на виртуальных машинах. Он не предоставляет Defender для облака больше возможностей для расшифровки или доступа к содержимому этих зашифрованных томов за пределами методов шифрования already, поддерживаемых перед этим изменением. Это изменение, как ожидается, будет происходить в феврале 2024 года, и никаких действий в конце не требуется.
Обновление: заметки запроса на вытягивание безопасности DevOps, включенные по умолчанию для соединителей Azure DevOps
12 января 2024 года
Безопасность DevOps предоставляет результаты безопасности в виде заметок в запросах на вытягивание (PR), чтобы помочь разработчикам предотвращать и устранять потенциальные уязвимости безопасности и неправильные настройки перед вводом в рабочую среду. По состоянию на 12 января 2024 г. заметки pr теперь включены по умолчанию для всех новых и существующих репозиториев Azure DevOps, подключенных к Defender для облака.
По умолчанию заметки pr включены только для выводов с высоким уровнем серьезности инфраструктуры в виде кода (IaC). Клиентам по-прежнему потребуется настроить Microsoft Security для DevOps (MSDO) для запуска в сборках PR и включить политику проверки сборки для сборок CI в параметрах репозитория Azure DevOps. Клиенты могут отключить функцию заметки pr для определенных репозиториев в параметрах конфигурации репозитория области безопасности DevOps.
Узнайте больше о заметках enabling Pull Request для Azure DevOps.
Прекращение использования: Defender для встроенной оценки уязвимостей серверов (Qualys) для выхода на пенсию
9 января 2024**
Предполагаемая дата изменения: май 2024 г.
Решение Defender для серверов, встроенное решение для оценки уязвимостей, созданное Qualys, находится на пути выхода на пенсию, который, по оценкам, завершен на May 1st, 2024. Если вы используете решение для оценки уязвимостей, созданное Qualys, необходимо спланировать трансляцию в интегрированное решение по управлению уязвимостями Microsoft Defender.
Дополнительные сведения о нашем решении об объединению предложения оценки уязвимостей с Управление уязвимостями Microsoft Defender см. в записи блога this.
Вы также можете ознакомиться с вопросами common о переходе на решение Управление уязвимостями Microsoft Defender.
Обновление: требования к многооблачной сети Defender для облака
3 января 2024**
Предполагаемая дата изменения: май 2024 г.
Начиная с мая 2024 года мы удалим старые IP-адреса, связанные со службами обнаружения нескольких облаков, чтобы обеспечить улучшение и обеспечить более безопасный и эффективный интерфейс для всех пользователей.
Чтобы обеспечить непрерывный доступ к нашим службам, необходимо обновить список разрешений IP-адресов новыми диапазонами, указанными в следующих разделах. Необходимо внести необходимые корректировки в параметры брандмауэра, группы безопасности или любые другие конфигурации, которые могут применяться к вашей среде.
Список применим ко всем планам и достаточно для полной возможности базового (бесплатного) предложения CSPM.
IP-адреса для выхода из эксплуатации:
- GCP обнаружения: 104.208.29.200, 52.232.56.127
- AWS обнаружения: 52.165.47.219, 20.107.8.204
- Подключение: 13.67.139.3
Добавлены новые диапазоны IP-адресов для конкретного региона:
- Западная Европа: 52.178.17.48/28
- Северная Европа: 13.69.233.80/28
- Центральная часть США: 20.44.10.240/28
- Восточная часть США 2: 20.44.19.128/28
Декабрь 2023 г.
Консолидация имен уровня обслуживания Defender для облака 2
30 декабря 2023 г.
Мы консолидируем устаревшие имена уровней обслуживания 2 для всех планов Defender для облака в одно новое имя уровня обслуживания 2, Microsoft Defender для облака.
Сегодня существует четыре названия уровня обслуживания 2: Azure Defender, Advanced Threat Protection, Расширенная безопасность данных и Центр безопасности. Различные метры для Microsoft Defender для облака группируются между этими отдельными именами уровня обслуживания 2, создавая сложности при использовании управления затратами и выставления счетов, выставления счетов и других Azure средств, связанных с выставлением счетов.
Это изменение упрощает процесс проверки Defender для облака расходов и обеспечивает более четкость в анализе затрат.
Чтобы обеспечить плавный переход, мы приняли меры по поддержанию согласованности идентификаторов продукта или службы, SKU и счетчиков. Затронутые клиенты получат информационное уведомление службы Azure для обмена данными об изменениях.
Организациям, которые получают данные о затратах путем вызова наших API, необходимо обновить значения в своих вызовах для изменения. Например, в этой функции фильтра значения не возвращают сведения:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| Старое имя уровня обслуживания 2 | НОВОЕ имя уровня службы 2 | Уровень служб — уровень обслуживания 4 (без изменений) |
|---|---|---|
| Расширенная защита данных | Microsoft Defender для облака | Defender для SQL |
| Advanced Threat Protection | Microsoft Defender для облака | Defender для реестров контейнеров |
| Advanced Threat Protection | Microsoft Defender для облака | Defender для DNS |
| Advanced Threat Protection | Microsoft Defender для облака | Defender для Key Vault |
| Advanced Threat Protection | Microsoft Defender для облака | Defender для Kubernetes |
| Advanced Threat Protection | Microsoft Defender для облака | Defender для MySQL |
| Advanced Threat Protection | Microsoft Defender для облака | Defender для PostgreSQL |
| Advanced Threat Protection | Microsoft Defender для облака | Defender для Resource Manager |
| Advanced Threat Protection | Microsoft Defender для облака | Defender для хранилища |
| Azure Defender | Microsoft Defender для облака | Defender для управления внешними атаками Surface |
| Azure Defender | Microsoft Defender для облака | Defender для Azure Cosmos DB |
| Azure Defender | Microsoft Defender для облака | Defender для контейнеров |
| Azure Defender | Microsoft Defender для облака | Defender для MariaDB |
| Security Center | Microsoft Defender для облака | Defender для службы приложений |
| Security Center | Microsoft Defender для облака | Defender для серверов |
| Security Center | Microsoft Defender для облака | CSPM в Microsoft Defender |
Defender для серверов на уровне ресурсов, доступных как общедоступная версия
24 декабря 2023 г.
Теперь можно управлять Defender для серверов на определенных ресурсах в подписке, предоставляя полный контроль над стратегией защиты. С помощью этой возможности можно настроить определенные ресурсы с настраиваемыми конфигурациями, которые отличаются от параметров, настроенных на уровне подписки.
Дополнительные сведения о enabling Defender для серверов на уровне ресурсов.
Прекращение использования классических соединителей для multicloud
21 декабря 2023 г.
Классический интерфейс соединителя с несколькими облаками прекращается, и данные больше не передаются в соединители, созданные с помощью этого механизма. Эти классические соединители использовались для подключения центра безопасности AWS и центра командной строки GCP к Defender для облака и подключению AWS EC2 к Defender для серверов.
Полная стоимость этих соединителей была заменена собственным интерфейсом соединителей безопасности с несколькими облаками, который был общедоступен для AWS и GCP с марта 2022 года без дополнительных затрат.
Новые собственные соединители включены в план и предлагают автоматизированное подключение с параметрами подключения к отдельным учетным записям, нескольким учетным записям (с Terraform) и организационной адаптации с автоматической подготовкой для следующих планов Defender: бесплатные базовые возможности CSPM, Defender Cloud Security Posture Management (CSPM), Defender для серверов, Defender для SQL и Defender для контейнеров.
Выпуск книги покрытия
21 декабря 2023 г.
Книга "Покрытие" позволяет отслеживать, какие планы Defender для облака активны, в каких частях сред. Эта книга поможет вам обеспечить полную защиту сред и подписок. Имея доступ к подробным сведениям о охвате, вы также можете определить все области, которые могут нуждаться в другой защите и принять меры для решения этих областей.
Дополнительные сведения о книге "Покрытие".
Общая доступность оценки уязвимостей контейнеров с использованием Управление уязвимостями Microsoft Defender в Azure для государственных организаций и Azure, управляемых 21Vianet
14 декабря 2023 г.
Оценка уязвимостей (VA) для образов контейнеров Linux в реестрах контейнеров Azure на базе Управление уязвимостями Microsoft Defender выпущена для общедоступной доступности (GA) в Azure для государственных организаций и Azure, управляемых 21Vianet. Этот новый выпуск доступен в рамках Defender для контейнеров и Defender планов реестров контейнеров.
- В рамках этого изменения новые рекомендации были выпущены для общедоступной версии и включены в расчет оценки безопасности. Ознакомьтесь с новыми и обновленными рекомендациями по безопасности
- Сканирование образа контейнера на основе Управление уязвимостями Microsoft Defender теперь также взимает плату в соответствии с ценами plan. Изображения, отсканированные как нашим контейнером VA, так и предложением Qualys и Container VA, предоставляемым Управление уязвимостями Microsoft Defender, будет выставляться только один раз.
Рекомендации qualys для оценки уязвимостей контейнеров были переименованы и по-прежнему доступны для клиентов, которые включили Defender для контейнеров в любой из своих подписок до этого выпуска. Новые клиенты, подключенные Defender для контейнеров после этого выпуска, увидят только новые рекомендации по оценке уязвимостей контейнеров, созданные на основе Управление уязвимостями Microsoft Defender.
Общедоступная предварительная версия поддержки Windows оценки уязвимостей контейнеров с помощью Управление уязвимостями Microsoft Defender
14 декабря 2023 г.
Поддержка образов Windows была выпущена в общедоступной предварительной версии в рамках оценки уязвимостей (VA), на базе Управление уязвимостями Microsoft Defender для реестров контейнеров Azure и Azure Служб Kubernetes.
Выход на пенсию оценки уязвимостей контейнера AWS на базе Trivy
13 декабря 2023 г.
Оценка уязвимостей контейнера, на основе Trivy, теперь находится на пути выхода на пенсию, который будет завершен 13 февраля. Эта возможность теперь устарела и будет доступна существующим клиентам, использующим эту возможность до 13 февраля. Мы рекомендуем клиентам использовать эту возможность для обновления до новой версии КОАУС, на основе Управление уязвимостями Microsoft Defender к 13 февраля.
Состояние контейнера без агента для AWS в Defender для контейнеров и Defender CSPM (предварительная версия)
13 декабря 2023 г.
Новые возможности размещения контейнеров без агента (предварительная версия) доступны для AWS. Дополнительные сведения см. в разделе Установка контейнера Defender CSPM и Agentless в Defender для контейнеров.
Общедоступная поддержка гибкого сервера PostgreSQL в Defender плана реляционных баз данных с открытым исходным кодом
13 декабря 2023 г.
Мы объявляем о общедоступной версии поддержки гибкого сервера PostgreSQL в плане Microsoft Defender для реляционных баз данных с открытым исходным кодом. Microsoft Defender для реляционных баз данных с открытым кодом обеспечивает расширенную защиту от угроз для гибких серверов PostgreSQL, обнаруживая аномальные действия и создавая оповещения security alerts.
Узнайте, как Enable Microsoft Defender для реляционных баз данных с открытым кодом.
Оценка уязвимостей контейнеров на Управление уязвимостями Microsoft Defender теперь поддерживает Google Distroless
12 декабря 2023 г.
Оценки уязвимостей контейнеров, созданные на базе Управление уязвимостями Microsoft Defender, были расширены с большим охватом для пакетов ОС Linux, теперь поддерживая Google Distroless.
Список всех поддерживаемых операционных систем см. в разделе Registries и образы для поддержки Azure — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender.
Ноябрь 2023 г.
Четыре оповещения устарели
30 ноября 2023 г.
В рамках нашего процесса улучшения качества не рекомендуется использовать следующие оповещения системы безопасности:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Общедоступная доступность секретов без агента в Defender для серверов и Defender CSPM
27 ноября 2023 г.
Сканирование секретов без агента повышает облачную безопасность на основе Виртуальные машины (виртуальной машины), определяя секреты открытого текста на дисках виртуальных машин. Сканирование секретов без агента предоставляет исчерпывающую информацию, чтобы помочь определить приоритеты обнаруженных результатов и снизить риски бокового перемещения до их возникновения. Этот упреждающий подход предотвращает несанкционированный доступ, обеспечивая безопасность облачной среды.
Мы объявляем общедоступную версию проверки секретов без агента, которая входит в планы Defender для серверов P2 и планов Defender CSPM.
Сканирование секретов без агента использует облачные API для записи моментальных снимков дисков, выполняя внеполновый анализ, который гарантирует, что производительность виртуальной машины не влияет. Сканирование секретов без агента расширяет охват, предлагаемый Defender для облака облачных ресурсов в Azure, AWS и средах GCP для повышения облачной безопасности.
В этом выпуске возможности обнаружения Defender для облака теперь поддерживают другие типы баз данных, подписанные URL-адреса хранилища данных, маркеры доступа и многое другое.
Узнайте, как управлять секретами с помощью сканирования без агента.
Включение управления разрешениями с помощью Defender для облака (предварительная версия)
22 ноября 2023 г.
Microsoft теперь предлагает решения Cloud-Native платформы защиты приложений (CNAPP) и управление правами на облачные инфраструктуры (CIEM) с Microsoft Defender для облака (CNAPP) и Microsoft Entra управления разрешениями (CIEM).
Администраторы безопасности могут получить централизованное представление о неиспользуемых или чрезмерных разрешениях доступа в Defender для облака.
Группы безопасности могут управлять наименьшими привилегиями для облачных ресурсов и получать практические рекомендации по устранению рисков разрешений в Azure, AWS и облачных средах GCP в рамках их Defender Cloud Security Posture Management (CSPM) без каких-либо дополнительных требований к лицензированию.
Узнайте, как управлять разрешениями Enable в Microsoft Defender для облака (предварительная версия).
интеграция Defender для облака с ServiceNow
22 ноября 2023 г.
ServiceNow теперь интегрирован с Microsoft Defender для облака, что позволяет клиентам подключать ServiceNow к своей Defender для облака среде, чтобы определить приоритеты исправления рекомендаций, влияющих на ваш бизнес. Microsoft Defender для облака интегрируется с модулем ITSM (управление инцидентами). В рамках этого подключения клиенты могут создавать и просматривать билеты ServiceNow (связанные с рекомендациями) из Microsoft Defender для облака.
Дополнительные сведения об интеграции Defender для облака с ServiceNow.
Общая доступность процесса автоматической подготовки для SQL Server на компьютерах
20 ноября 2023 г.
При подготовке к отмене Microsoft агента мониторинга (MMA) в августе 2024 года Defender для облака выпустила процесс автоматической подготовки SQL Server агента мониторинга Azure (AMA). Новый процесс автоматически включен и настроен для всех новых клиентов, а также предоставляет возможность включения уровня ресурсов для Azure SQL виртуальных машин и серверов SQL с поддержкой Arc.
Клиентам, использующим процесс автоматической подготовки MMA, предлагается мигрировать новый агент мониторинга Azure для SQL Server на компьютерах. Процесс обеспечивает непрерывность защиты для всех компьютеров.
Общая доступность Defender для API
15 ноября 2023 г.
Мы объявляем общедоступную версию Microsoft Defender для API. Defender для API предназначено для защиты организаций от угроз безопасности API.
Defender для API позволяет организациям защищать свои API и данные от вредоносных субъектов. Организации могут исследовать и улучшать состояние безопасности API, определять приоритеты уязвимостей и быстро обнаруживать и реагировать на активные угрозы в режиме реального времени. Организации также могут интегрировать оповещения безопасности непосредственно в платформу управления инцидентами безопасности и событиями (SIEM), например Microsoft Sentinel, для изучения и анализа проблем.
Вы можете узнать, как Protect your API с помощью Defender api. Дополнительные сведения о About Microsoft Defender для API.
Вы также можете ознакомиться с этим блогом , чтобы узнать больше о объявлении ga.
Defender для облака теперь интегрирован с Microsoft 365 Defender (предварительная версия)
15 ноября 2023 г.
Предприятия могут защитить свои облачные ресурсы и устройства с помощью новой интеграции между Microsoft Defender для облака и Microsoft Defender XDR. Эта интеграция соединяет точки между облачными ресурсами, устройствами и удостоверениями, которые ранее требовали несколько возможностей.
Интеграция также предоставляет конкурентные возможности защиты облака в центр управления безопасностью (SOC) ежедневно. С помощью Microsoft Defender XDR команды SOC могут легко обнаруживать атаки, которые объединяют обнаружения из нескольких столпов, включая облако, конечную точку, удостоверение, Microsoft 365 и многое другое.
Ниже приведены некоторые ключевые преимущества.
Единый простой интерфейс для команд SOC. Благодаря оповещениям Defender для облака и облачным корреляциям, интегрированным в M365D, команды SOC теперь могут получать доступ ко всем сведениям о безопасности из одного интерфейса, значительно повышая эффективность работы.
Одна из историй атак: клиенты могут понять полную историю атаки, включая их облачную среду, используя предварительно созданные корреляции, которые объединяют оповещения системы безопасности из нескольких источников.
Облачные сущностиNew в Microsoft Defender XDR: Microsoft Defender XDR теперь поддерживает новые облачные сущности, уникальные для Microsoft Defender для облака, например облачные ресурсы. Клиенты могут сопоставлять сущности виртуальной машины с сущностями устройств, предоставляя единое представление всех соответствующих сведений о компьютере, включая оповещения и инциденты, которые были активированы на нем.
Unified API для продуктов Microsoft Security: теперь клиенты могут экспортировать данные оповещений системы безопасности в свои системы с помощью одного API, так как Microsoft Defender для облака оповещения и инциденты теперь являются частью общедоступного API Microsoft Defender XDR.
Интеграция между Defender для облака и Microsoft Defender XDR доступна всем новым и существующим клиентам Defender для облака.
Общая доступность оценки уязвимостей контейнеров на базе Управление уязвимостями Microsoft Defender (MDVM) в Defender для контейнеров и Defender для реестров контейнеров
15 ноября 2023 г.
Оценка уязвимостей (VA) для образов контейнеров Linux в Azure реестрах контейнеров, на базе Управление уязвимостями Microsoft Defender (MDVM) выпущена для общедоступной версии (GA) в Defender для контейнеров и Defender для реестров контейнеров.
В рамках этого изменения были выпущены следующие рекомендации для общедоступной версии и переименованы и теперь включены в расчет оценки безопасности:
| Текущее имя рекомендации | Новое имя рекомендации | Description | Ключ оценки |
|---|---|---|---|
| Образы реестра контейнеров должны иметь устраненные результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) | Azure образы контейнеров реестра должны иметь устраненные уязвимости (на Управление уязвимостями Microsoft Defender) | Оценки уязвимостей образа контейнера сканируют реестр для известных уязвимостей (CVEs) и предоставляют подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| При выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) | Azure, на которых выполняются образы контейнеров, должны быть устранены уязвимости (на Управление уязвимостями Microsoft Defender | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Сканирование образа контейнера с помощью MDVM теперь также взимает плату по тарифам на план.
Note
Образы, отсканированные как нашим контейнером VA, так и предложением Qualys и Container VA, которые предлагают MDVM, будут выставляться только один раз.
Приведенные ниже рекомендации по оценке уязвимостей контейнеров были переименованы и по-прежнему будут доступны для клиентов, которые включили Defender для контейнеров на любой из своих подписок до 15 ноября. Новые клиенты, подключенные Defender для контейнеров после 15 ноября, увидят только новые рекомендации по оценке уязвимостей контейнеров, созданные на основе Управление уязвимостями Microsoft Defender.
| Текущее имя рекомендации | Новое имя рекомендации | Description | Ключ оценки |
|---|---|---|---|
| Необходимо устранить уязвимости в образах реестра контейнеров (на платформе Qualys) | Azure образы контейнеров реестра должны иметь устраненные уязвимости (на платформе Qualys) | Средство оценки уязвимостей в образах контейнеров проверяет реестр на наличие уязвимостей в каждом образе и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| При выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Qualys) | Azure запущенные образы контейнеров должны иметь устраненные уязвимости (на основе Qualys) | Средство оценки уязвимостей в образах контейнеров сканирует образы контейнеров, работающие в кластерах Kubernetes, на наличие уязвимостей и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. | 41503391-efa5-47ee-9282-4eff6131462c |
Изменение имен рекомендаций по оценке уязвимостей контейнеров
Были переименованы следующие рекомендации по оценке уязвимостей контейнеров:
| Текущее имя рекомендации | Новое имя рекомендации | Description | Ключ оценки |
|---|---|---|---|
| Необходимо устранить уязвимости в образах реестра контейнеров (на платформе Qualys) | Azure образы контейнеров реестра должны иметь устраненные уязвимости (на платформе Qualys) | Средство оценки уязвимостей в образах контейнеров проверяет реестр на наличие уязвимостей в каждом образе и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| При выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Qualys) | Azure запущенные образы контейнеров должны иметь устраненные уязвимости (на основе Qualys) | Средство оценки уязвимостей в образах контейнеров сканирует образы контейнеров, работающие в кластерах Kubernetes, на наличие уязвимостей и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. | 41503391-efa5-47ee-9282-4eff6131462c |
| Образы реестра эластичных контейнеров должны иметь устраненные результаты уязвимостей | Образы контейнеров реестра AWS должны иметь устраненные уязвимости (на основе Trivy) | Средство оценки уязвимостей в образах контейнеров проверяет реестр на наличие уязвимостей в каждом образе и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Определение рисков теперь доступно для рекомендаций
15 ноября 2023 г.
Теперь вы можете определить приоритеты рекомендаций по безопасности в соответствии с уровнем риска, который они представляют, принимая во внимание как эксплойтируемость, так и потенциальный бизнес-эффект каждой базовой проблемы безопасности.
Организуя рекомендации на основе их уровня риска (критически важный, средний, средний, низкий), вы можете устранить наиболее критически важные риски в вашей среде и эффективно определить приоритеты устранения проблем безопасности на основе фактического риска, такого как воздействие в Интернете, конфиденциальность данных, возможности бокового перемещения и потенциальные пути атаки, которые могут быть устранены путем решения рекомендаций.
Дополнительные сведения о приоритете рисков.
Анализ путей атаки новый механизм и расширенные улучшения
15 ноября 2023 г.
Мы выпускаем улучшения возможностей анализа путей атаки в Defender для облака.
Новый модуль — анализ пути атаки имеет новый механизм, который использует алгоритм поиска путей для обнаружения каждого возможного пути атаки, существующего в облачной среде (на основе данных, которые есть в нашем графе). Мы можем найти гораздо больше путей атак в вашей среде и обнаружить более сложные и сложные шаблоны атак, которые злоумышленники могут использовать для нарушения вашей организации.
Улучшения — выпущены следующие улучшения:
- Приоритет риска — приоритетный список путей атак на основе риска (эксплойтируемость и влияние на бизнес).
- Улучшенная исправление — определение конкретных рекомендаций, которые должны быть разрешены для фактического разрыва цепочки.
- Пути межоблачной атаки — обнаружение путей атаки, которые являются межоблачные (пути, начинающиеся в одном облаке и заканчивающиеся в другом).
- MITRE — сопоставление всех путей атак с платформой MITRE.
- Обновленный пользовательский интерфейс — обновленный интерфейс с более строгими возможностями: расширенными фильтрами, поиском и группировкой путей атаки, чтобы упростить выполнение.
Узнайте , как определить и исправить пути атаки.
Изменения схемы таблицы Azure Resource Graph пути атаки
15 ноября 2023 г.
Схема Azure Resource Graph таблицы пути атаки обновляется. Свойство attackPathType удаляется и добавляются другие свойства.
Общий выпуск поддержки GCP в Defender CSPM
15 ноября 2023 г.
Мы объявляем выпуск общедоступной версии (общедоступная версия) Defender CSPM контекстного графа облачной безопасности и анализа путей атаки с поддержкой ресурсов GCP. Вы можете применить возможности Defender CSPM для комплексной видимости и интеллектуальной облачной безопасности в ресурсах GCP.
К ключевым функциям поддержки GCP относятся:
- Анализ пути атаки. Сведения о потенциальных маршрутах, которые могут занять злоумышленники.
- Cloud Security Explorer — упреждающее определение рисков безопасности путем выполнения запросов на основе графа безопасности.
- Сканирование без агента — сканирование серверов и определение секретов и уязвимостей без установки агента.
- Защита с учетом данных — обнаружение и устранение рисков для конфиденциальных данных в контейнерах Облачного хранилища Google.
Дополнительные сведения о параметрах плана Defender CSPM.
Note
Выставление счетов за выпуск общедоступной поддержки GCP в Defender CSPM начнется 1 февраля 2024 года.
Общий выпуск панели мониторинга безопасности данных
15 ноября 2023 г.
Панель мониторинга безопасности данных теперь доступна в общедоступной версии (GA) в рамках плана Defender CSPM.
Панель мониторинга безопасности данных позволяет просматривать ресурсы данных вашей организации, риски для конфиденциальных данных и аналитические сведения о ресурсах данных.
Дополнительные сведения о панели мониторинга безопасности данных.
Выпуск общего выпуска обнаружения конфиденциальных данных для баз данных
15 ноября 2023 г.
Обнаружение конфиденциальных данных для управляемых баз данных, включая Azure SQL базы данных и экземпляры AWS RDS (все варианты RDBMS), теперь общедоступен и позволяет автоматически обнаруживать критически важные базы данных, содержащие конфиденциальные данные.
Чтобы включить эту функцию во всех поддерживаемых хранилищах данных в средах, необходимо включить Sensitive data discovery в Defender CSPM. Узнайте how, чтобы включить обнаружение конфиденциальных данных в Defender CSPM.
Вы также можете узнать, как обнаружение конфиденциальных данных используется в режиме безопасности с учетом данных.
Объявление общедоступной предварительной версии: New расширили видимость безопасности данных с несколькими облаками в Microsoft Defender для облака.
Новая версия рекомендации по поиску отсутствующих обновлений системы теперь общедоступна
6 ноября 2023 г.
Дополнительный агент больше не нужен на виртуальных машинах Azure и Azure Arc компьютерах, чтобы обеспечить наличие всех последних обновлений системы безопасности или критически важных систем.
Новая рекомендация по обновлению системы System updates should be installed on your machines (powered by Диспетчер обновлений Azure) в элементе управления Apply system updates основана на Update Manager и теперь полностью общедоступна. Эта рекомендация использует собственный агент, внедренный в каждую виртуальную машину Azure и Azure Arc компьютеры вместо установленного агента. Краткое исправление в новой рекомендации позволяет выполнить однократную установку отсутствующих обновлений на портале Update Manager.
Старые и новые версии рекомендаций по поиску отсутствующих обновлений системы будут доступны до августа 2024 года, что происходит, когда устаревшая версия устарела. Обе рекомендации: System updates should be installed on your machines (powered by Диспетчер обновлений Azure)and System updates should be installed on your machines доступны в одном элементе управления: Apply system updates и имеет одинаковые результаты. Таким образом, нет дублирования в влиянии на оценку безопасности.
Мы рекомендуем перенести новую рекомендацию и удалить старую, отключив ее от встроенной инициативы Defender для облака в политике Azure.
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) Рекомендация также является общедоступной и является предварительным условием, который будет иметь негативное влияние на оценку безопасности. Вы можете исправить негативный эффект с помощью доступного исправления.
Чтобы применить новую рекомендацию, необходимо:
- Подключите компьютеры, отличные от Azure, к Arc.
- Включите периодическое свойство оценки. Чтобы устранить эту рекомендацию,
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)можно использовать быстрое исправление в новой рекомендации.
Note
Включение периодических оценок для компьютеров с поддержкой Arc, которые Defender для серверов плана 2 не включены в связанной подписке или соединителе, подлежат ценам Диспетчер обновлений Azure. Компьютеры с поддержкой Arc, которые Defender для серверов плана 2 включены в связанной подписке или соединителях или любой Azure виртуальной машине, не имеют дополнительных затрат.
Октябрь 2023
Изменение серьезности оповещения системы безопасности адаптивных элементов управления приложениями
Дата объявления: 30 октября 2023 г.
В рамках процесса улучшения качества оповещений системы безопасности Defender для серверов и в рамках функции управления adaptive приложения серьезность следующего оповещения системы безопасности изменяется на "Информационный".
| Оповещение [тип оповещения] | Описание оповещений |
|---|---|
| Нарушение политики адаптивного управления приложениями было проверено. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Приведенные ниже пользователи запускают приложения, которые нарушают политику управления приложениями вашей организации на этом компьютере. Это может предоставить компьютер уязвимостям вредоносных программ или приложений. |
Чтобы просмотреть это оповещение на странице "Оповещения системы безопасности" на портале Microsoft Defender для облака, измените фильтр представления по умолчанию Severity, чтобы включить informational оповещения в сетке.
Автономные Azure API Management редакции, удаленные из Defender api
25 октября 2023 г.
Defender для API обновлена поддержка исправлений API Azure API Management. Автономные редакции больше не отображаются в подключенных Defender для инвентаризации API и больше не подключены к Defender для API. Автономные редакции не позволяют отправлять трафик в них и не представляют риска с точки зрения безопасности.
Рекомендации по управлению безопасностью DevOps, доступные в общедоступной предварительной версии
19 октября 2023 г.
Новые рекомендации по управлению состоянием DevOps теперь доступны в общедоступной предварительной версии для всех клиентов с соединителем для Azure DevOps или GitHub. Управление состоянием DevOps помогает уменьшить область атаки сред DevOps, обнаружив слабые места в конфигурациях безопасности и элементах управления доступом. Узнайте больше об управлении позами DevOps.
Выпуск cis Azure Foundations Benchmark версии 2.0.0 на панели мониторинга соответствия нормативным требованиям
18 октября 2023 г.
Microsoft Defender для облака теперь поддерживает последнюю версию
Сентябрь 2023 г.
Переход на Log Analytics ежедневное ограничение
монитор Azure предоставляет возможность установить ежедневное ограничение данных, которые приемываются в рабочих областях Log Analytics. Однако события Defenders for Cloud Security в настоящее время не поддерживаются в этих исключениях.
Log Analytics Ежедневное ограничение больше не исключает следующий набор типов данных:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Все оплачиваемые типы данных будут ограничены при выполнении ежедневного ограничения. Это изменение повышает способность полностью содержать затраты от приема данных выше, чем ожидалось.
Узнайте больше о workspaces с помощью Microsoft Defender для облака.
Панель мониторинга безопасности данных доступна в общедоступной предварительной версии
27 сентября 2023 г.
Панель мониторинга безопасности данных теперь доступна в общедоступной предварительной версии в рамках плана Defender CSPM. Панель мониторинга безопасности данных — это интерактивная панель мониторинга, ориентированная на данные, которая освещает значительные риски для конфиденциальных данных, приоритеты оповещений и потенциальных путей атак для данных в гибридных облачных рабочих нагрузках. Дополнительные сведения о панели мониторинга безопасности данных.
Предварительный выпуск: новый процесс автоматической подготовки для SQL Server на компьютерах
21 сентября 2023 г.
Microsoft агент мониторинга (MMA) устарел в августе 2024 года. Defender для облака updated it's strategy, заменив MMA выпуском процесса автоматической подготовки агента мониторинга Azure SQL Server SQL Server.
Во время предварительной версии клиенты, использующие процесс автоматической подготовки MMA с параметром Azure Monitor Агента (предварительная версия), запрашиваются migrate в новый агент мониторинга Azure для SQL Server на компьютерах (предварительная версия) автоматической подготовки. Процесс обеспечивает непрерывность защиты для всех компьютеров.
Дополнительные сведения см. в разделе Migrate to SQL Server, предназначенный для процесса автоматической подготовки агента мониторинга Azure.
GitHub расширенной безопасности для оповещений Azure DevOps в Defender для облака
20 сентября 2023 г.
Теперь вы можете просматривать оповещения GitHub Advanced Security для Azure DevOps (GHAzDO), связанные с CodeQL, секретами и зависимостями в Defender для облака. Результаты отображаются на странице DevOps и в рекомендациях. Чтобы просмотреть эти результаты, добавьте репозитории с поддержкой GHAzDO в Defender для облака.
Дополнительные сведения о GitHub расширенной безопасности для Azure DevOps.
Теперь выключаемые функции доступны для Defender рекомендаций API
11 сентября 2023 г.
Теперь вы можете исключить рекомендации по следующим Defender для рекомендаций по безопасности API.
| Recommendation | Описание и связанная политика | Severity |
|---|---|---|
| (предварительная версия) Конечные точки API, неиспользуемые, должны быть отключены и удалены из службы Azure API Management | В качестве рекомендации по обеспечению безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользуемых и должны быть удалены из службы Azure API Management. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности. Это могут быть API, которые должны были быть устаревшими из службы Azure API Management, но случайно были оставлены активными. Такие API обычно не получают наиболее актуального покрытия безопасности. | Low |
| (предварительная версия) Конечные точки API в Azure API Management должны проходить проверку подлинности | Конечные точки API, опубликованные в Azure API Management, должны применять проверку подлинности, чтобы свести к минимуму риски безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и получать доступ к данным. Для API, опубликованных в Azure API Management, эта рекомендация оценивает выполнение проверки подлинности с помощью ключей подписки, JWT и сертификата клиента, настроенного в Azure API Management. Если ни один из этих механизмов проверки подлинности не выполняется во время вызова API, API получит эту рекомендацию. | High |
Дополнительные сведения о рекомендациях exempting см. в Defender для облака.
Создание примеров оповещений для обнаружения API Defender
11 сентября 2023 г.
Теперь вы можете создать примеры оповещений для обнаружения безопасности, выпущенных в рамках Defender общедоступной предварительной версии API. Дополнительные сведения о генерации примеров оповещений в Defender для облака.
Предварительная версия выпуска: оценка уязвимостей контейнеров на основе Управление уязвимостями Microsoft Defender теперь поддерживает сканирование по запросу
6 сентября 2023 г.
Оценка уязвимостей контейнеров на основе Управление уязвимостями Microsoft Defender теперь поддерживает дополнительный триггер для сканирования изображений, полученных из ACR. Этот недавно добавленный триггер обеспечивает дополнительное покрытие для активных образов в дополнение к существующим триггерам сканирования изображений, отправленных в ACR за последние 90 дней и образы, работающие в AKS.
Новый триггер начнет развертываться сегодня и, как ожидается, будет доступен всем клиентам к концу сентября.
Обновленный формат именования стандартов Центра безопасности Интернета (CIS) в соответствии с нормативными требованиями
6 сентября 2023 г.
Формат именования базовых показателей CIS (Center for Internet Security) в панели мониторинга соответствия требованиям изменяется на [Cloud] CIS [version number]CIS [Cloud] Foundations v[version number]. См. таблицу ниже.
| Текущее имя | Новое имя |
|---|---|
| Azure CIS 1.1.0 | ОСНОВЫ CIS Azure версии 1.1.0 |
| Azure CIS 1.3.0 | Основы CIS Azure версии 1.3.0 |
| Azure CIS 1.4.0 | Основы CIS Azure версии 1.4.0 |
| AWS CIS 1.2.0 | Основы CIS AWS версии 1.2.0 |
| AWS CIS 1.5.0 | Основы CIS AWS версии 1.5.0 |
| GCP CIS 1.1.0 | Основы CIS GCP версии 1.1.0 |
| GCP CIS 1.2.0 | Cis GCP Foundations версии 1.2.0 |
Узнайте, как улучшить соответствие нормативным требованиям.
Обнаружение конфиденциальных данных для баз данных PaaS (предварительная версия)
5 сентября 2023 г.
Возможности защиты с учетом данных для обнаружения небезопасных конфиденциальных данных для баз данных PaaS (Azure SQL базы данных и экземпляры Amazon RDS любого типа) теперь находятся в общедоступной предварительной версии. Эта общедоступная предварительная версия позволяет создать карту критически важных данных, где бы она ни находились, и тип данных, найденных в этих базах данных.
Обнаружение конфиденциальных данных для баз данных Azure и AWS добавляется в общую таксономию и конфигурацию, которая уже доступна для ресурсов облачного хранилища объектов (Хранилище BLOB-объектов Azure, контейнеров AWS S3 и контейнеров хранилища GCP) и предоставляет единую конфигурацию и возможности включения.
Базы данных сканируются еженедельно. При включении sensitive data discoveryобнаружение выполняется в течение 24 часов. Результаты можно просмотреть в Cloud Security Explorer или просмотреть новые пути атаки для управляемых баз данных с конфиденциальными данными.
Состояние безопасности с поддержкой данных для баз данных доступно через план Defender CSPM и автоматически включается в подписках, где включен параметр sensitive data discovery.
Дополнительные сведения о позе безопасности с учетом данных см. в следующих статьях:
- Поддержка и предварительные требования для обеспечения безопасности с учетом данных
- Включение защиты с учетом данных
- Изучение рисков для конфиденциальных данных
Общедоступная версия (GA): сканирование вредоносных программ в Defender для хранилища
1 сентября 2023 г.
Проверка вредоносных программ теперь общедоступна как надстройка для Defender для хранилища. Сканирование вредоносных программ в Defender для хранилища помогает защитить учетные записи хранения от вредоносного содержимого путем выполнения полного сканирования вредоносных программ при отправке содержимого практически в режиме реального времени с помощью Microsoft Defender антивирусных возможностей. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого. Возможность сканирования вредоносных программ — это решение SaaS без агента, которое позволяет настраивать в большом масштабе и поддерживает автоматизацию ответа в масштабе.
Дополнительные сведения о проверке вредоносных программ см. в Defender для хранилища.
Сканирование вредоносных программ имеет цену в соответствии с вашими данными и бюджетом. Выставление счетов начинается 3 сентября 2023 года. Дополнительные сведения см. на странице цен .
Если вы используете предыдущий план, необходимо заранее перенести его в новый план , чтобы включить сканирование вредоносных программ.
Ознакомьтесь с записью блога Microsoft Defender для облака блога.
Август 2023 г.
В августе добавлены следующие обновления:
Defender для контейнеров: обнаружение без агента для Kubernetes
30 августа 2023 г.
Мы рады представить Defender для контейнеров: обнаружение без агента для Kubernetes. Этот выпуск знаменует собой значительный шаг вперед в обеспечении безопасности контейнеров, предоставляя расширенные аналитические сведения и комплексные возможности инвентаризации для сред Kubernetes. Новое предложение контейнера работает на Defender для облака контекстном графе безопасности. Вот что можно ожидать от этого последнего обновления:
- Обнаружение Kubernetes без агента
- Комплексные возможности инвентаризации
- Аналитика безопасности, зависят от Kubernetes
- Улучшенная охота на риски с помощью Cloud Security Explorer
Обнаружение без агента для Kubernetes теперь доступно всем клиентам Defender для контейнеров. Вы можете начать использовать эти расширенные возможности сегодня. Мы рекомендуем обновить подписки, чтобы иметь полный набор расширений и воспользоваться последними дополнениями и функциями. Перейдите в область Environment и settings подписки Defender для контейнеров, чтобы включить расширение.
Note
Включение последних дополнений не будет нести новые затраты на активные Defender для клиентов контейнеров.
Дополнительные сведения см. в разделе Overview Microsoft Defender безопасности контейнеров для контейнеров.
Выпуск рекомендаций: Microsoft Defender для хранилища следует включить с помощью сканирования вредоносных программ и обнаружения угроз конфиденциальных данных.
22 августа 2023 г.
Выпущена новая рекомендация в Defender для хранилища. Эта рекомендация гарантирует, что Defender для хранилища включен на уровне подписки с возможностями сканирования вредоносных программ и обнаружения угроз конфиденциальных данных.
| Recommendation | Description |
|---|---|
| Microsoft Defender для хранилища следует включить с помощью сканирования вредоносных программ и обнаружения угроз конфиденциальной данных | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новая Defender для плана хранения включает сканирование вредоносных программ и обнаружение угроз конфиденциальной данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. При использовании простой настройки без агента при включении на уровне подписки все существующие и только что созданные учетные записи хранения в этой подписке будут автоматически защищены. Вы также можете исключить определенные учетные записи хранения из защищенных подписок. |
Эта новая рекомендация заменяет текущую рекомендацию Microsoft Defender for Storage should be enabled (ключ оценки 1be22853-8ed1-4005-9907-ddad64cb1417). Однако эта рекомендация по-прежнему будет доступна в Azure для государственных организаций облаках.
Дополнительные сведения о Microsoft Defender для хранилища.
Расширенные свойства в Defender для облака оповещения системы безопасности маскируются из журналов действий
17 августа 2023 г.
Недавно мы изменили способ интеграции оповещений системы безопасности и журналов действий. Чтобы лучше защитить конфиденциальную информацию о клиенте, мы больше не добавим эту информацию в журналы действий. Вместо этого мы маскируем его звездочками. Однако эти сведения по-прежнему доступны через API оповещений, непрерывный экспорт и портал Defender для облака.
Клиенты, которые полагаются на журналы действий для экспорта оповещений в свои решения SIEM, должны рассмотреть возможность использования другого решения, так как это не рекомендуется для экспорта оповещений системы безопасности Defender для облака.
Инструкции по экспорту оповещений системы безопасности Defender для облака в SIEM, SOAR и другие сторонние приложения см. в статье Stream alerts to a SIEM, SOAR или IT Service Management.
Предварительная версия поддержки GCP в Defender CSPM
15 августа 2023 г.
Мы объявляем предварительную версию Defender CSPM контекстного графа облачной безопасности и анализа путей атаки с поддержкой ресурсов GCP. Вы можете применить возможности Defender CSPM для комплексной видимости и интеллектуальной облачной безопасности в ресурсах GCP.
К ключевым функциям поддержки GCP относятся:
- Анализ пути атаки. Сведения о потенциальных маршрутах, которые могут занять злоумышленники.
- Cloud Security Explorer — упреждающее определение рисков безопасности путем выполнения запросов на основе графа безопасности.
- Сканирование без агента — сканирование серверов и определение секретов и уязвимостей без установки агента.
- Защита с учетом данных — обнаружение и устранение рисков для конфиденциальных данных в контейнерах Облачного хранилища Google.
Дополнительные сведения о параметрах плана Defender CSPM.
Новые оповещения системы безопасности в Defender для серверов плана 2. Обнаружение потенциальных атак, злоупотребляющих расширениями виртуальных машин Azure
7 августа 2023 г.
Эта новая серия оповещений посвящена обнаружению подозрительных действий Azure расширений виртуальных машин и предоставляет аналитические сведения о попытках злоумышленников компрометировать и выполнять вредоносные действия на виртуальных машинах.
Microsoft Defender для серверов теперь может обнаруживать подозрительные действия расширений виртуальных машин, что позволяет повысить уровень безопасности рабочих нагрузок.
Azure расширения виртуальных машин — это небольшие приложения, которые выполняют после развертывания на виртуальных машинах и предоставляют такие возможности, как конфигурация, автоматизация, мониторинг, безопасность и многое другое. Хотя расширения являются мощным инструментом, они могут использоваться субъектами угроз для различных вредоносных намерений, например:
- Для сбора и мониторинга данных.
- Для выполнения кода и развертывания конфигурации с высокими привилегиями.
- Для сброса учетных данных и создания административных пользователей.
- Для шифрования дисков.
Ниже приведена таблица новых оповещений.
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
|
Подозрительный сбой при установке расширения GPU в подписке (предварительная версия) (VM_GPUExtensionSuspiciousFailure) |
Подозрительное намерение установки расширения GPU на неподдерживаемых виртуальных машинах. Это расширение должно быть установлено на виртуальных машинах, оснащенных графическим процессором, и в этом случае виртуальные машины не оснащены такими. Эти сбои можно увидеть, когда вредоносные злоумышленники выполняют несколько установок такого расширения в целях шифрования. | Impact | Medium |
|
Обнаружена подозрительная установка расширения GPU на виртуальной машине (предварительная версия) (VM_GPUDriverExtensionUnusualExecution) Это оповещение было выпущено в июле 2023 года. |
Обнаружена подозрительная установка расширения GPU на виртуальной машине путем анализа Azure Resource Manager операций в подписке. Злоумышленники могут использовать расширение драйвера GPU для установки драйверов GPU на виртуальной машине с помощью Azure Resource Manager для выполнения шифрования. Это действие считается подозрительным, так как поведение субъекта уходит от обычных шаблонов. | Impact | Low |
|
Команда выполнения с подозрительным скриптом обнаружена на виртуальной машине (предварительная версия) (VM_RunCommandSuspiciousScript) |
Команда выполнения с подозрительным скриптом была обнаружена на виртуальной машине путем анализа Azure Resource Manager операций в подписке. Злоумышленники могут использовать команду run для выполнения вредоносного кода с высокими привилегиями на виртуальной машине через Azure Resource Manager. Сценарий считается подозрительным, так как некоторые части были идентифицированы как потенциально вредоносные. | Execution | High |
|
Обнаружено подозрительное несанкционированное использование команды запуска на виртуальной машине (предварительная версия) (VM_RunCommandSuspiciousFailure) |
Сбой подозрительного несанкционированного использования команды run и обнаружен на виртуальной машине путем анализа Azure Resource Manager операций в подписке. Злоумышленники могут попытаться использовать команду run для выполнения вредоносного кода с высокими привилегиями на виртуальных машинах через Azure Resource Manager. Это действие считается подозрительным, так как оно не было часто видно раньше. | Execution | Medium |
|
Обнаружено подозрительное использование команды запуска на виртуальной машине (предварительная версия) (VM_RunCommandSuspiciousUsage) |
Подозрительное использование команды run было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать команду run для выполнения вредоносного кода с высокими привилегиями на виртуальных машинах через Azure Resource Manager. Это действие считается подозрительным, так как оно не было часто видно раньше. | Execution | Low |
|
Обнаружено подозрительное использование нескольких расширений мониторинга или сбора данных на виртуальных машинах (предварительная версия) (VM_SuspiciousMultiExtensionUsage) |
Подозрительное использование нескольких расширений мониторинга или сбора данных было обнаружено на виртуальных машинах путем анализа Azure Resource Manager операций в подписке. Злоумышленники могут злоупотреблять такими расширениями для сбора данных, мониторинга сетевого трафика и многого другого в подписке. Это использование считается подозрительным, так как оно не было часто видно раньше. | Reconnaissance | Medium |
|
Обнаружена подозрительная установка расширений шифрования дисков на виртуальных машинах (предварительная версия) (VM_DiskEncryptionSuspiciousUsage) |
Обнаружена подозрительная установка расширений шифрования дисков на виртуальных машинах путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут злоупотреблять расширением шифрования дисков для развертывания полного шифрования дисков на виртуальных машинах с помощью Azure Resource Manager в попытке выполнить действие программы-шантажистов. Это действие считается подозрительным, так как оно не было часто видно раньше и из-за большого количества установок расширений. | Impact | Medium |
|
Обнаружено подозрительное использование расширения доступа к виртуальной машине на виртуальных машинах (предварительная версия) (VM_VMAccessSuspiciousUsage) |
На виртуальных машинах обнаружено подозрительное использование расширения доступа к виртуальной машине. Злоумышленники могут злоупотреблять расширением доступа к виртуальной машине, чтобы получить доступ и скомпрометировать виртуальные машины с высокими привилегиями, сбросив доступ или управляя административными пользователями. Это действие считается подозрительным, так как поведение субъекта отошел от обычных шаблонов, и из-за большого количества установок расширения. | Persistence | Medium |
| расширение Desired State Configuration (DSC) с подозрительным скриптом было обнаружено на виртуальной машине (предварительная версия) (VM_DSCExtensionSuspiciousScript) |
расширение Desired State Configuration (DSC) с подозрительным скриптом было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение Desired State Configuration (DSC) для развертывания вредоносных конфигураций, таких как механизмы сохраняемости, вредоносные сценарии и многое другое с высокими привилегиями на виртуальных машинах. Сценарий считается подозрительным, так как некоторые части были идентифицированы как потенциально вредоносные. | Execution | High |
|
Suspicious использование расширения Desired State Configuration (DSC) было обнаружено на виртуальных машинах (предварительная версия) (VM_DSCExtensionSuspiciousUsage) |
Подозрительное использование расширения Desired State Configuration (DSC) было обнаружено на виртуальных машинах путем анализа Azure Resource Manager операций в подписке. Злоумышленники могут использовать расширение Desired State Configuration (DSC) для развертывания вредоносных конфигураций, таких как механизмы сохраняемости, вредоносные сценарии и многое другое с высокими привилегиями на виртуальных машинах. Это действие считается подозрительным, так как поведение субъекта отошел от обычных шаблонов, и из-за большого количества установок расширения. | Impact | Low |
|
Расширение пользовательских скриптов с подозрительным скриптом было обнаружено на виртуальной машине (предварительная версия) (VM_CustomScriptExtensionSuspiciousCmd) (Это оповещение уже существует и было улучшено с более расширенными методами логики и обнаружения.) |
Расширение пользовательского скрипта с подозрительным скриптом было обнаружено на виртуальной машине путем анализа Azure Resource Manager операций в подписке. Злоумышленники могут использовать расширение пользовательского скрипта для выполнения вредоносного кода с высокими привилегиями на виртуальной машине через Azure Resource Manager. Сценарий считается подозрительным, так как некоторые части были идентифицированы как потенциально вредоносные. | Execution | High |
См. оповещения на основе extension в Defender для серверов.
Полный список оповещений см. в таблице reference для всех оповещений системы безопасности в Microsoft Defender для облака.
Обновления бизнес-модели и цен для планов Defender для облака
1 августа 2023 г.
Microsoft Defender для облака имеет три плана, которые предлагают защиту уровня служб:
Defender для Key Vault
Defender для Resource Manager
Defender для DNS
Эти планы перешли на новую бизнес-модель с различными ценами и упаковкой для решения отзывов клиентов о прогнозируемости расходов и упрощении общей структуры затрат.
Сводка по бизнес-модели и изменениям цен:
Существующие клиенты Defender для Key-Vault, Defender для Resource Manager и Defender для DNS сохраняют текущую бизнес-модель и цены, если они не решили перейти на новую бизнес-модель и цену.
- Defender для Resource Manager: этот план имеет фиксированную цену за подписку в месяц. Клиенты могут перейти на новую бизнес-модель, выбрав Defender для Resource Manager новой модели подписки.
Существующие клиенты Defender для Key-Vault, Defender для Resource Manager и Defender для DNS сохраняют текущую бизнес-модель и цены, если они не решили перейти на новую бизнес-модель и цену.
- Defender для Resource Manager: этот план имеет фиксированную цену за подписку в месяц. Клиенты могут перейти на новую бизнес-модель, выбрав Defender для Resource Manager новой модели подписки.
- Defender для Key Vault: этот план имеет фиксированную цену за хранилище, в месяц без платы за превышение расходов. Клиенты могут перейти на новую бизнес-модель, выбрав Defender для Key Vault новой модели хранилища.
- Defender для DNS: Defender для клиентов плана 2 получают доступ к Defender для значения DNS в рамках Defender плана 2 без дополнительных затрат. Клиенты с Defender плана 2 сервера и Defender для DNS больше не взимается за Defender для DNS. Defender для DNS больше недоступен в качестве автономного плана.
Дополнительные сведения о ценах на эти планы см. на странице цен Defender для облака.
Июль 2023 г.
В июле добавлены следующие обновления:
Предварительная версия оценки уязвимостей контейнеров с Управление уязвимостями Microsoft Defender
31 июля 2023 г.
Мы объявляем о выпуске образов контейнеров Linux для оценки уязвимостей (VA) в реестрах контейнеров Azure на базе Управление уязвимостями Microsoft Defender в Defender для контейнеров и Defender для реестров контейнеров. Новое предложение va контейнера будет предоставлено вместе с существующим предложением Container VA, предоставляемым Qualys в обоих Defender для контейнеров и Defender для реестров контейнеров, а также включает ежедневные повторное сканирование образов контейнеров, сведения о эксплойтируемости, поддержку языков ОС и программирования (SCA) и многое другое.
Это новое предложение начнется сегодня, и, как ожидается, будет доступно всем клиентам к 7 августа.
Дополнительные сведения об оценке уязвимостей container см. в Управление уязвимостями Microsoft Defender.
Состояние контейнера без агента в Defender CSPM теперь доступно
30 июля 2023 г.
Возможности защиты контейнеров без агента теперь являются общедоступными в рамках плана Defender CSPM (Cloud Security Posture Management).
Узнайте больше о агентной Defender CSPM.
Управление автоматическими обновлениями для Defender для конечной точки для Linux
20 июля 2023 г.
По умолчанию Defender для облака пытается обновить Defender для агентов Endpoint for Linux, подключенных с расширением MDE.Linux. В этом выпуске вы можете управлять этим параметром и отказаться от настройки по умолчанию для управления циклами обновления вручную.
Сканирование секретов без агента для виртуальных машин в Defender для серверов P2 и Defender CSPM
18 июля 2023 г.
Теперь сканирование секретов доступно в рамках проверки без агента в Defender для серверов P2 и Defender CSPM. Эта возможность помогает обнаруживать неуправляемые и небезопасные секреты, сохраненные на виртуальных машинах в Azure или ресурсах AWS, которые можно использовать для бокового перемещения в сети. Если обнаружены секреты, Defender для облака может помочь определить приоритеты и выполнить действия по исправлению, чтобы свести к минимуму риск бокового перемещения, все без влияния на производительность компьютера.
Дополнительные сведения о защите секретов с помощью сканирования секретов см. в разделе "Управление секретами с помощью сканирования без агента".
Новое оповещение системы безопасности в Defender для серверов плана 2. Обнаружение потенциальных атак с использованием расширений драйверов Azure GPU виртуальной машины
12 июля 2023 г.
Это оповещение посвящено выявлению подозрительных действий, которые используют Azure виртуальных машин GPU driver extensions и предоставляют аналитические сведения о попытках злоумышленников скомпрометировать виртуальные машины. Предупреждение предназначено для подозрительных развертываний расширений драйверов GPU; такие расширения часто злоупотребляют субъектами угроз, чтобы использовать полную мощность карты GPU и выполнять шифрование.
| Отображаемое имя оповещения (Тип оповещения) |
Description | Severity | Тактика MITRE |
|---|---|---|---|
| Подозрительная установка расширения GPU на виртуальной машине (предварительная версия) (VM_GPUDriverExtensionUnusualExecution) |
Обнаружена подозрительная установка расширения GPU на виртуальной машине путем анализа Azure Resource Manager операций в подписке. Злоумышленники могут использовать расширение драйвера GPU для установки драйверов GPU на виртуальной машине с помощью Azure Resource Manager для выполнения шифрования. | Low | Impact |
Полный список оповещений см. в таблице reference для всех оповещений системы безопасности в Microsoft Defender для облака.
Поддержка отключения определенных результатов уязвимостей
9 июля 2023 г.
Выпуск поддержки отключения результатов уязвимостей для образов реестра контейнеров или запуска образов в рамках размещения без агента. Если у вас есть организация, необходимо игнорировать обнаружение уязвимостей в образе реестра контейнеров, а не исправлять его, вы можете при необходимости отключить его. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.
Узнайте, как отключить результаты оценки уязвимостей в образах реестра контейнеров.
Защита с учетом данных теперь общедоступна
1 июля 2023 г.
Защита с учетом данных в Microsoft Defender для облака теперь общедоступна. Это помогает клиентам снизить риск данных и реагировать на нарушения данных. Функция состояния безопасности с учетом данных позволяет:
- Автоматически обнаруживайте ресурсы конфиденциальных данных в Azure и AWS.
- Оцените конфиденциальность данных, воздействие данных и способы потоков данных в организации.
- Упреждающее и непрерывное обнаружение рисков, которые могут привести к нарушениям данных.
- Обнаружение подозрительных действий, которые могут указывать на текущие угрозы для ресурсов конфиденциальных данных
Дополнительные сведения см. в статье Data-aware security posture in Microsoft Defender для облака.
Июнь 2023 г.
В июне добавлены следующие обновления:
Упрощенная подключение учетной записи с несколькими облаками с расширенными параметрами
26 июня 2023 г.
Defender для облака улучшил интерфейс подключения, чтобы включить новый упрощенный пользовательский интерфейс и инструкции в дополнение к новым возможностям, которые позволяют подключить среды AWS и GCP, предоставляя доступ к расширенным функциям подключения.
Для организаций, которые приняли Hashicorp Terraform для автоматизации, Defender для облака теперь включает возможность использовать Terraform в качестве метода развертывания вместе с AWS CloudFormation или GCP Cloud Shell. Теперь при создании интеграции можно настроить необходимые имена ролей. Вы также можете выбрать один из вариантов:
Default access — позволяет Defender для облака проверять ресурсы и автоматически включать будущие возможности.
Least привилегированный доступ -Grants Defender для облака доступ только к текущим разрешениям, необходимым для выбранных планов.
Если выбрать наименее привилегированные разрешения, вы получите уведомления только о новых ролях и разрешениях, необходимых для получения полной функциональности в работоспособности соединителя.
Defender для облака позволяет различать облачные учетные записи по собственным именам от поставщиков облачных служб. Например, псевдонимы учетных записей AWS и имена проектов GCP.
Поддержка частной конечной точки для сканирования вредоносных программ в Defender для хранилища
25 июня 2023 г.
Поддержка частной конечной точки теперь доступна в рамках проверки общедоступной предварительной версии вредоносных программ в Defender для хранилища. Эта возможность позволяет включить сканирование вредоносных программ в учетных записях хранения, использующих частные конечные точки. Других настроек не требуется.
Вредоносное сканирование (предварительная версия) в Defender для хранилища помогает защитить учетные записи хранения от вредоносного содержимого, выполнив полную проверку вредоносных программ при отправке содержимого практически в режиме реального времени с помощью Microsoft Defender антивирусных возможностей. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого. Это решение SaaS без агента, которое позволяет выполнять простую настройку в масштабе с нулевым обслуживанием и поддерживает автоматизацию ответа в масштабе.
Частные конечные точки обеспечивают безопасное подключение к службам служба хранилища Azure, эффективно устраняя общедоступную интернет-связь и считаются рекомендациями по обеспечению безопасности.
Для учетных записей хранения с частными конечными точками, в которых уже включена проверка вредоносных программ, необходимо отключить и включить план с проверкой вредоносных программ для работы.
Дополнительные сведения об использовании конечных точек private в Defender для хранилища и о том, как защитить службы хранения дальше.
Рекомендация, выпущенная для предварительной версии: при выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender)
21 июня 2023 г.
Новая рекомендация по контейнеру в Defender CSPM на основе Управление уязвимостями Microsoft Defender выпущена для предварительной версии:
| Recommendation | Description | Ключ оценки |
|---|---|---|
| При выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender)(предварительная версия) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Эта новая рекомендация заменяет текущую рекомендацию того же имени, на основе Qualys, только в Defender CSPM (замена ключа оценки 41503391-efa5-47ee-9282-4eff6131462c).
Обновления управления были сделаны в стандартах NIST 800-53 в соответствии с нормативными требованиями
15 июня 2023 г.
Недавно стандарты NIST 800-53 (R4 и R5) были обновлены с изменениями контроля в Microsoft Defender для облака соответствия нормативным требованиям. Управляемые Microsoft элементы управления были удалены из стандарта, а сведения о реализации Microsoft ответственности (в рамках модели общей ответственности облака) теперь доступны только в области сведений об элементе управления в разделе Microsoft Actions.
Эти элементы управления ранее вычислялись как переданные элементы управления, поэтому вы можете увидеть значительный спад в оценке соответствия стандартам NIST в период с апреля 2023 по май 2023 года.
Дополнительные сведения об элементах управления соответствием см. в разделе Tutorial: проверки соответствия нормативным требованиям — Microsoft Defender для облака.
Планирование миграции в облако с помощью бизнес-дела Миграция Azure теперь включает Defender для облака
11 июня 2023 г.
Теперь вы можете обнаружить потенциальную экономию средств в безопасности, применяя Defender для облака в контексте бизнес-дела Миграция Azure бизнес-дела.
Экспресс-конфигурация для оценки уязвимостей в Defender для SQL теперь общедоступна
7 июня 2023 г.
Экспресс-конфигурация для оценки уязвимостей в Defender для SQL теперь общедоступна. Экспресс-конфигурация обеспечивает упрощенное подключение для оценки уязвимостей SQL с помощью конфигурации один щелчка (или вызова API). В управляемых учетных записях хранения нет дополнительных параметров или зависимостей.
Ознакомьтесь с этим блогом , чтобы узнать больше о экспресс-конфигурации.
Различия между экспресс-и классической конфигурацией можно узнать.
Дополнительные области, добавленные в существующие соединители Azure DevOps
6 июня 2023 г.
Defender для DevOps добавлены следующие дополнительные области в приложение Azure DevOps (ADO):
Заранее управление безопасностью:
vso.advsec_manage. Это необходимо для включения, отключения и управления GitHub расширенной безопасности для ADO.Сопоставление контейнеров:
vso.extension_manage,vso.gallery_manager; Это необходимо для предоставления общего доступа к расширению декоратора организации ADO.
Это изменение влияет только на новых Defender для DevOps клиентов, которые пытаются подключить ресурсы ADO к Microsoft Defender для облака.
Подключение напрямую (без Azure Arc) к Defender для серверов теперь доступно
5 июня 2023 г.
Ранее Azure Arc требуется для подключения серверов, отличных от Azure, на Defender для серверов. Однако с помощью последнего выпуска вы также можете подключить локальные серверы к Defender для серверов, используя только агент Microsoft Defender для конечной точки.
Этот новый метод упрощает процесс подключения для клиентов, ориентированных на защиту основных конечных точек, и позволяет воспользоваться преимуществами Defender выставления счетов на основе потребления серверов как для облачных, так и для необлачных ресурсов. Теперь доступна возможность прямого подключения через Defender для конечной точки с выставлением счетов за подключенные компьютеры, начиная с 1 июля.
Дополнительные сведения см. в разделе Connect your non-Azure компьютеры, чтобы Microsoft Defender для облака с Defender для конечной точки.
Замена обнаружения на основе агента с помощью обнаружения без агента для возможностей контейнеров в Defender CSPM
4 июня 2023 г.
При использовании возможностей защиты контейнеров без агента, доступных в Defender CSPM, возможности обнаружения на основе агента теперь удаляются. Если в настоящее время вы используете возможности контейнеров в Defender CSPM, убедитесь, что расширения relevant могут продолжать получать значение, связанное с контейнером, для новых возможностей без агента, таких как пути атак, связанные с контейнерами, аналитические сведения и инвентаризация. (Для просмотра последствий включения расширений может потребоваться до 24 часов.
Узнайте больше о позе контейнера без агента.
Май 2023 г.
В мае добавлены следующие обновления:
- A новое оповещение в Defender для Key Vault.
- Поддержка бессерверного сканирования зашифрованных дисков в AWS.
- Changes в JIT (JIT-In-Time) соглашения об именовании в Defender для облака.
- Подключение выбранных регионов AWS.
- Изменения рекомендаций по идентификации.
- Отмена устаревших стандартов на панели мониторинга соответствия требованиям.
- Update двух рекомендаций Defender для DevOps для включения результатов проверки Azure DevOps
- параметр New по умолчанию для решения Defender для оценки уязвимостей серверов.
- Возможность скачать CSV-отчет о результатах запроса Cloud Security Explorer (предварительная версия).
- Выпуск оценки уязвимостей контейнеров с Управление уязвимостями Microsoft Defender.
- Переименование рекомендаций по контейнерам на основе Qualys.
- An update to Defender для DevOps GitHub Application.
- Change для Defender для DevOps заметки запроса на вытягивание в репозиториях Azure DevOps, которые теперь включают инфраструктуру в качестве неправильной настройки кода.
Новое оповещение в Defender для Key Vault
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
|
Unusual access к хранилищу ключей из подозрительного IP-адреса (не Microsoft или внешнего) (KV_UnusualAccessSuspiciousIP) |
Пользователь или субъект-служба попытались получить аномальный доступ к хранилищам ключей из НЕ Microsoft IP-адреса за последние 24 часа. Этот аномальный шаблон доступа может быть законным действием. Это может быть признаком возможной попытки получить доступ к хранилищу ключей и секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование. | Доступ к учетным данным | Medium |
Все доступные оповещения см. в разделе Alerts для Azure Key Vault.
Сканирование без агента теперь поддерживает зашифрованные диски в AWS
Сканирование без агента для виртуальных машин теперь поддерживает обработку экземпляров с зашифрованными дисками в AWS с помощью CMK и PMK.
Эта расширенная поддержка повышает охват и видимость облачных ресурсов, не влияя на выполняемые рабочие нагрузки. Поддержка зашифрованных дисков поддерживает тот же метод нулевого влияния на запущенные экземпляры.
- Для новых клиентов, включающих сканирование без агента в AWS, покрытие зашифрованных дисков встроено и поддерживается по умолчанию.
- Для существующих клиентов, у которых уже есть соединитель AWS с включенным сканированием без агента, необходимо повторно применить стек CloudFormation к подключенным учетным записям AWS для обновления и добавления новых разрешений, необходимых для обработки зашифрованных дисков. Обновленный шаблон CloudFormation включает новые назначения, позволяющие Defender для облака обрабатывать зашифрованные диски.
Дополнительные сведения о разрешениях, используемых для сканирования экземпляров AWS.
Чтобы повторно применить стек CloudFormation, выполните указанные действия.
- Перейдите к Defender для облака параметрам среды и откройте соединитель AWS.
- Перейдите на вкладку "Настройка доступа ".
- Щелкните , чтобы скачать шаблон CloudFormation.
- Перейдите в среду AWS и примените обновленный шаблон.
Дополнительные сведения об бессерверном сканировании и включении сканирования без агента в AWS.
Изменены соглашения об именовании правил JIT (JIT-In-Time) в Defender для облака
Мы пересмотрели правила JIT (JIT-In-Time), чтобы соответствовать бренду Microsoft Defender для облака. Мы изменили соглашения об именовании для правил Брандмауэр Azure и NSG (группа безопасности сети).
Изменения перечислены следующим образом:
| Description | Старое имя | Новое имя |
|---|---|---|
| Имена правил JIT (разрешить и запретить) в NSG (группа безопасности сети) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Описания правил JIT в NSG | Правило доступа к сети JIT ASC | Правило доступа к сети JIT MDC |
| Имена коллекций правил брандмауэра JIT | ASC-JIT | MDC-JIT |
| Имена правил брандмауэра JIT | ASC-JIT | MDC-JIT |
Узнайте, как защитить порты управления с помощью JIT-доступа.
Подключение выбранных регионов AWS
Чтобы помочь вам управлять затратами и требованиями соответствия AWS CloudTrail, теперь можно выбрать регионы AWS для сканирования при добавлении или изменении облачного соединителя. Теперь вы можете сканировать выбранные регионы AWS или все доступные регионы (по умолчанию) при подключении учетных записей AWS к Defender для облака. Дополнительные сведения см. в разделе Connect your AWS account to Microsoft Defender для облака.
Несколько изменений в рекомендациях по идентификации
Следующие рекомендации теперь выпускаются как общедоступная версия и заменяют рекомендации версии 1, которые теперь устарели.
Выпуск общедоступной версии удостоверений
В выпуске рекомендаций по идентификации версии 2 представлены следующие улучшения:
- Область сканирования была расширена, чтобы включить все Azure ресурсы, а не только подписки. Это позволяет администраторам безопасности просматривать назначения ролей для каждой учетной записи.
- Теперь определенные учетные записи можно исключить из оценки. Учетные записи, такие как разрывы или учетные записи служб, могут быть исключены администраторами безопасности.
- Частота сканирования была увеличена с 24 часов до 12 часов, тем самым гарантируя, что рекомендации по идентификации являются более актуальными и точными.
Следующие рекомендации по безопасности доступны в общедоступной версии и заменены рекомендациями версии 1.
| Recommendation | Ключ оценки |
|---|---|
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Учетные записи с разрешениями на запись для ресурсов Azure должны быть включены MFA | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Учетные записи с разрешениями на чтение для ресурсов Azure должны быть включены MFA | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Гостевые учетные записи с разрешениями владельца на Azure ресурсы должны быть удалены | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Гостевые учетные записи с разрешениями на запись для ресурсов Azure должны быть удалены | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Гостевые учетные записи с разрешениями на чтение для ресурсов Azure должны быть удалены | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Следует удалить заблокированные учетные записи с разрешениями владельца на Azure ресурсах | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Заблокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Отмена рекомендаций по идентификации версии 1
Теперь не рекомендуется использовать следующие рекомендации по безопасности:
| Recommendation | Ключ оценки |
|---|---|
| MFA должна быть включена в учетных записях с разрешениями владельца для подписок. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| Многофакторная проверка подлинности должна быть включена в учетных записях с разрешениями на запись для подписок. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| Многофакторная проверка подлинности должна быть включена в учетных записях с разрешениями на чтение подписок. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Внешние учетные записи с разрешениями владельца должны быть удалены из подписок. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Внешние учетные записи с разрешениями на запись должны быть удалены из подписок. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Внешние учетные записи с разрешениями на чтение должны быть удалены из подписок. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписок. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Необходимо удалить устаревшие учетные записи из подписок | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Мы рекомендуем обновить пользовательские скрипты, рабочие процессы и правила управления, чтобы соответствовать рекомендациям версии 2.
Отмена устаревших стандартов на панели мониторинга соответствия требованиям
Устаревшие версии PCI DSS версии 3.2.1 и устаревшие TSP SOC были полностью устарели на панели мониторинга соответствия требованиям Defender для облака и заменены на SOC 2 инициативы и PCI DSS версии 4 стандарты соответствия на основе инициативы. Мы полностью устарели поддержку PCI DSS standard/initiative в Microsoft Azure работает 21Vianet.
Узнайте, как настроить набор стандартов на панели мониторинга соответствия нормативным требованиям.
Defender для DevOps включает результаты проверки Azure DevOps
Defender для DevOps Code и IaC расширили охват рекомендаций в Microsoft Defender для облака, чтобы включить Azure DevOps результаты безопасности для следующих двух рекомендаций:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Ранее покрытие для проверки безопасности Azure DevOps включало только рекомендацию по секретам.
Дополнительные сведения о Defender для DevOps.
Новый параметр по умолчанию для решения Defender для оценки уязвимостей серверов
Решения по оценке уязвимостей (VA) важны для защиты компьютеров от кибератак и нарушений данных.
Управление уязвимостями Microsoft Defender теперь включен как встроенное решение по умолчанию для всех подписок, защищенных Defender для серверов, которые еще не выбрали решение VA.
Если подписка включена на любой из своих виртуальных машин, изменения не вносятся и Управление уязвимостями Microsoft Defender по умолчанию не будут включены на оставшихся виртуальных машинах в этой подписке. Вы можете включить решение VA на оставшихся виртуальных машинах в подписках.
Скачивание CSV-отчета результатов запроса cloud security explorer (предварительная версия)
Defender для облака добавил возможность скачать CSV-отчет о результатах запроса cloud security explorer.
После выполнения поиска запроса можно выбрать Download CSV-отчет (предварительная версия) на странице Cloud Security Explorer в Defender для облака.
Узнайте, как создавать запросы с помощью облачного обозревателя безопасности
Выпуск оценки уязвимостей контейнеров с Управление уязвимостями Microsoft Defender
Мы объявляем о выпуске образов оценки уязвимостей для Linux в Azure реестрах контейнеров, управляемых Управление уязвимостями Microsoft Defender в Defender CSPM. Этот выпуск включает ежедневное сканирование изображений. Результаты, используемые в обозревателе безопасности и путях атак, зависят от Microsoft Defender оценки уязвимостей вместо сканера Qualys.
Существующая рекомендация Container registry images should have vulnerability findings resolved заменена новой рекомендацией:
| Recommendation | Description | Ключ оценки |
|---|---|---|
| Образы реестра контейнеров должны иметь устраненные результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | dbd0cb49-b563-45e7-9724-889e799fa648 заменяется c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Узнайте больше о строе контейнеровAgentless в Defender CSPM.
Дополнительные сведения о Управление уязвимостями Microsoft Defender.
Переименование рекомендаций по контейнерам на основе Qualys
Текущие рекомендации по контейнерам в Defender для контейнеров будут переименованы следующим образом:
| Recommendation | Description | Ключ оценки |
|---|---|---|
| Необходимо устранить уязвимости в образах реестра контейнеров (на платформе Qualys) | Средство оценки уязвимостей в образах контейнеров проверяет реестр на наличие уязвимостей в каждом образе и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| При выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Qualys) | Средство оценки уязвимостей в образах контейнеров сканирует образы контейнеров, работающие в кластерах Kubernetes, на наличие уязвимостей и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. | 41503391-efa5-47ee-9282-4eff6131462c |
обновление приложения Defender для DevOps GitHub
Microsoft Defender для DevOps постоянно вносит изменения и обновления, требующие Defender для DevOps клиентов, которые подключены к своим средам GitHub в Defender для облака для предоставления разрешений в рамках приложения, развернутого в их GitHub Организации. Эти разрешения необходимы для обеспечения нормальной работы всех функций безопасности Defender для DevOps без проблем.
Мы рекомендуем обновить разрешения как можно скорее, чтобы обеспечить постоянный доступ ко всем доступным функциям Defender для DevOps.
Разрешения можно предоставить двумя разными способами:
В организации выберите GitHub Apps. Найдите вашу организацию и выберите "Проверить запрос".
Вы получите автоматизированное сообщение электронной почты из службы поддержки GitHub. В сообщении электронной почты выберите "Проверить запрос на разрешение", чтобы принять или отклонить это изменение.
После того как вы выполнили любой из этих параметров, вы перейдете на экран проверки, где следует просмотреть запрос. Нажмите кнопку "Принять новые разрешения" , чтобы утвердить запрос.
Если вам нужна помощь по обновлению разрешений, вы можете создать запрос поддержка Azure.
Дополнительные сведения о Defender для DevOps. Если подписка включена на любой из своих виртуальных машин, изменения не вносятся и Управление уязвимостями Microsoft Defender по умолчанию не будут включены на оставшихся виртуальных машинах в этой подписке. Вы можете включить решение VA на оставшихся виртуальных машинах в подписках.
Defender для DevOps заметки запроса на вытягивание в репозиториях Azure DevOps теперь включают инфраструктуру в качестве неправильной настройки кода
Defender для DevOps расширило покрытие заметок запроса на вытягивание (PR) в Azure DevOps для включения неправильной настройки инфраструктуры как кода (IaC), обнаруженных в Azure Resource Manager и шаблонах Bicep.
Теперь разработчики могут просматривать заметки для неправильной настройки IaC непосредственно в своих PR. Разработчики также могут устранить критически важные проблемы безопасности перед подготовкой инфраструктуры в облачные рабочие нагрузки. Чтобы упростить исправление, разработчики предоставляются с уровнем серьезности, описанием неправильной настройки и инструкциями по исправлению в каждой заметке.
Ранее покрытие заметок Defender для DevOps PR в Azure DevOps включало только секреты.
Дополнительные сведения о заметках Defender для DevOps и Pull Request .
Апрель 2023 г.
В апреле добавлены следующие обновления:
- Строка контейнераAgentless в Defender CSPM (предварительная версия)
- Рекомендация по использованию единого шифрования дисков предварительной версии
- Изменения на компьютерах рекомендаций должны быть настроены безопасно
- Отмена политик мониторинга языка Служба приложений
- оповещение New в Defender для Resource Manager
- оповещения Three в Defender для плана Resource Manager устарели
- Alerts автоматический экспорт в рабочую область Log Analytics не рекомендуется
- Deprecation и улучшение выбранных оповещений для серверов Windows и Linux
- рекомендации New Microsoft Entra проверки подлинности для служб данных Azure
- Две рекомендации, связанные с отсутствием обновлений операционной системы (ОС), были выпущены в общедоступной версии
- Defender для API (предварительная версия)
Состояние контейнера без агента в Defender CSPM (предварительная версия)
Новые возможности posture контейнеров без агента (предварительная версия) доступны в рамках плана Defender CSPM (Cloud Security Posture Management).
Защита контейнеров без агента позволяет командам безопасности выявлять риски безопасности в контейнерах и областях Kubernetes. Подход без агента позволяет группам безопасности получать представление о своих реестрах Kubernetes и контейнеров в SDLC и среде выполнения, устраняя трения и следы от рабочих нагрузок.
Posture без агента предлагает оценки уязвимостей контейнера, которые в сочетании с анализом пути атаки позволяют группам безопасности определять приоритеты и увеличивать масштабы определенных уязвимостей контейнеров. Вы также можете использовать обозреватель облачной безопасности для выявления рисков и поиска аналитических сведений о положении контейнеров, таких как обнаружение приложений, работающих под уязвимыми изображениями или доступ к Интернету.
Дополнительные сведения см. в публикации без агента (предварительная версия).
Рекомендация по единому шифрованию дисков (предварительная версия)
В предварительной версии существуют новые рекомендации по шифрованию унифицированных дисков.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Шифрование дисков Azure or EncryptionAtHost.
Эти рекомендации заменяют Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, которые обнаружили Шифрование дисков Azure и политику Virtual machines and virtual machine scale sets should have encryption at host enabled, которая обнаружила EncryptionAtHost. ADE и EncryptionAtHost обеспечивают сравнимое шифрование при хранении, и мы рекомендуем включить один из них на каждой виртуальной машине. Новые рекомендации определяют, включены ли ADE или EncryptionAtHost, и предупреждают только в том случае, если они не включены. Мы также предупреждаем, включена ли ADE на некоторых дисках виртуальной машины (это условие не применимо к EncryptionAtHost).
Для новых рекомендаций требуется Автоматическое управление Azure Конфигурация компьютера.
Эти рекомендации основаны на следующих политиках:
- Windows виртуальные машины (предварительная версия) должны включать Шифрование дисков Azure или EncryptionAtHost
- виртуальные машины Linux (предварительная версия) должны включать Шифрование дисков Azure или EncryptionAtHost
Узнайте больше о ADE и EncryptionAtHost и о том, как включить один из них.
Изменения на компьютерах рекомендаций должны быть настроены безопасно
Была обновлена рекомендация Machines should be configured securely . Обновление повышает производительность и стабильность рекомендации и сопоставляет его взаимодействие с универсальным поведением рекомендаций Defender для облака.
В рамках этого обновления идентификатор рекомендации был изменен на 181ac480-f7c4-544b-9865-11b8ffe87f47c476dc48-8110-4139-91af-c8d940896b98.
Никаких действий на стороне клиента не требуется, и ожидаемое влияние на оценку безопасности не требуется.
Отмена политик мониторинга языка Служба приложений
Следующие Служба приложений политики мониторинга языка устарели из-за их способности создавать ложные отрицательные значения и потому, что они не обеспечивают лучшую безопасность. Всегда следует убедиться, что вы используете языковую версию без известных уязвимостей.
| Имя политики | ИД политики |
|---|---|
| приложения App Service, использующие Java, должны использовать последнюю версию Java версии | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| приложения |
7008174a-fd10-4ef0-817e-fc820a951d73 |
| 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc | |
| приложения Function, использующие Python, должны использовать последнюю версию Python версии | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Приложения Службы приложений, использующие PHP, должны использовать последнюю версию PHP | 7261b898-8a84-4db8-9e04-18527132abb3 |
Клиенты могут использовать альтернативные встроенные политики для мониторинга любой указанной языковой версии для своих Служба приложений.
Эти политики больше не доступны в встроенных рекомендациях Defender для облака. Вы можете add их как пользовательские рекомендации, чтобы Defender для облака отслеживать их.
Новое оповещение в Defender для Resource Manager
Defender для Resource Manager имеет следующее новое оповещение:
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
|
Предварительная версия. Обнаружено подозрительное создание вычислительных ресурсов (ARM_SuspiciousComputeCreation) |
Microsoft Defender для Resource Manager определили подозрительное создание вычислительных ресурсов в подписке, использующим Виртуальные машины/Azure масштабируемый набор. Определяемые операции предназначены для эффективного управления средами администраторами путем развертывания новых ресурсов при необходимости. Хотя это действие может быть законным, субъект угроз может использовать такие операции для проведения крипто-интеллектуального анализа данных. Действие считается подозрительным, так как масштаб вычислительных ресурсов выше, чем ранее наблюдалось в подписке. Это может указывать на то, что субъект скомпрометирован и используется с вредоносным намерением. |
Impact | Medium |
Список всех alerts, доступных для Resource Manager.
Три оповещения в Defender плана Resource Manager устарели
Следующие три оповещения для Defender плана Resource Manager устарели:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
В сценарии, в котором обнаружено действие из подозрительного IP-адреса, будет присутствовать одно из следующих оповещений для Resource Manager планов Azure Resource Manager operation from suspicious IP address или Azure Resource Manager operation from suspicious proxy IP address.
Оповещения автоматического экспорта в рабочую область Log Analytics устарели
Оповещения Defenders for Cloud Security автоматически экспортируются в рабочую область по умолчанию Log Analytics на уровне ресурса. Это приводит к детерминированному поведению, поэтому мы не рекомендуем использовать эту функцию.
Вместо этого можно экспортировать оповещения системы безопасности в выделенную рабочую область Log Analytics с помощью Continuous Export.
Если вы уже настроили непрерывный экспорт оповещений в рабочую область Log Analytics, дальнейшие действия не требуются.
Отмена и улучшение выбранных оповещений для Windows и серверов Linux
Процесс улучшения качества оповещений системы безопасности для Defender для серверов включает отмену некоторых оповещений для серверов Windows и Linux. Устаревшие оповещения теперь создаются и охватываются Defender для оповещений об угрозах конечной точки.
Если у вас уже включена Defender интеграции конечных точек, дальнейшие действия не требуются. В апреле 2023 г. может возникнуть снижение объема оповещений.
Если у вас нет Defender интеграции конечных точек в Defender для серверов, необходимо включить интеграцию Defender для конечной точки для поддержания и улучшения охвата оповещений.
Все Defender для клиентов серверов имеют полный доступ к Defender интеграции конечной точки в рамках плана Defender для серверов.
Дополнительные сведения о параметрах подключения Microsoft Defender для конечной точки.
Вы также можете просмотреть полный список оповещений , которые настроены как устаревшие.
Ознакомьтесь с блогом Microsoft Defender для облака.
Новые рекомендации по проверке подлинности Microsoft Entra для служб данных Azure
Мы добавили четыре новых рекомендаций по проверке подлинности Microsoft Entra для служб данных Azure.
| Имя рекомендации | Описание рекомендации | Policy |
|---|---|---|
| Управляемый экземпляр SQL Azure режим проверки подлинности должен быть Microsoft Entra ID только | Отключение локальных методов проверки подлинности и разрешение только Microsoft Entra проверки подлинности повышает безопасность, гарантируя, что Azure SQL управляемые экземпляры могут обращаться исключительно с помощью удостоверений Microsoft Entra ID. | Управляемый экземпляр SQL Azure должна быть включена только проверка подлинности Microsoft Entra ID |
| Azure Synapse режим проверки подлинности рабочей области должен быть Microsoft Entra ID только | Microsoft Entra ID только методы проверки подлинности повышают безопасность, гарантируя, что рабочие области Synapse требуют исключительно Microsoft Entra ID удостоверений для проверки подлинности. Подробнее. | Рабочие областиSynapse должны использовать только удостоверения Microsoft Entra ID для проверки подлинности |
| База данных Azure для MySQL должен быть подготовлен администратор Microsoft Entra | Подготовьте администратора Microsoft Entra для База данных Azure для MySQL, чтобы включить проверку подлинности Microsoft Entra. Microsoft Entra аутентификация позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт | Администратор Microsoft Entra A должен быть подготовлен для серверов MySQL |
| База данных Azure для PostgreSQL должен быть подготовлен администратор Microsoft Entra | Подготовьте администратора Microsoft Entra для База данных Azure для PostgreSQL, чтобы включить проверку подлинности Microsoft Entra. Microsoft Entra аутентификация позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт | Администратор Microsoft Entra A должен быть подготовлен для серверов PostgreSQL |
Две рекомендации, связанные с отсутствием обновлений операционной системы (ОС), были выпущены в общедоступной версии
Рекомендации System updates should be installed on your machines (powered by Диспетчер обновлений Azure) и Machines should be configured to periodically check for missing system updates были выпущены для общедоступной доступности.
Чтобы использовать новую рекомендацию, необходимо:
- Подключите компьютеры, отличные от Azure, к Arc.
-
Включите свойство периодической оценки. С помощью кнопки "Исправить".
в новой рекомендации, чтобы исправить эту рекомендацию
Machines should be configured to periodically check for missing system updates.
После выполнения этих действий можно удалить старую рекомендацию System updates should be installed on your machines, отключив ее из встроенной инициативы Defender для облака в политике Azure.
Две версии рекомендаций:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Оба будут доступны до тех пор, пока агент Log Analytics не рекомендуется использовать 31 августа 2024, то есть когда старая версия (System updates should be installed on your machines) рекомендации также будет устарела. Обе рекомендации возвращают одинаковые результаты и доступны в одном элементе управления Apply system updates.
Новая рекомендация System updates should be installed on your machines (powered by Диспетчер обновлений Azure) содержит поток исправления, доступный с помощью кнопки "Исправление", которая может использоваться для исправления любых результатов с помощью диспетчера обновлений (предварительная версия). Этот процесс исправления по-прежнему находится в предварительной версии.
Новая рекомендация System updates should be installed on your machines (powered by Диспетчер обновлений Azure) не будет влиять на оценку безопасности, так как она имеет те же результаты, что и старая рекомендация System updates should be installed on your machines.
Рекомендация по предварительным требованиям (включение периодического свойства оценки) негативно влияет на оценку безопасности. Вы можете исправить негативный эффект с помощью доступной кнопки "Исправить".
Defender для API (предварительная версия)
Defender для облака Microsoft объявляет о том, что новый Defender для API доступен в предварительной версии.
Defender для API обеспечивает полную защиту жизненного цикла, обнаружение и покрытие ответов для API.
Defender для API помогает получить представление о критически важных для бизнеса API. Вы можете исследовать и улучшать состояние безопасности API, определять приоритеты исправлений уязвимостей и быстро обнаруживать активные угрозы в режиме реального времени.
Дополнительные сведения о Defender для API.
Март 2023 г.
В марте добавлены следующие обновления:
- A новые Defender для плана хранения доступны, в том числе обнаружение вредоносных программ практически в реальном времени и обнаружение угроз конфиденциальных данных
- Состояние безопасности с учетом данных (предварительная версия)
- Improved для управления политиками безопасности по умолчанию Azure
- Defender CSPM (управление облачной безопасностью) теперь общедоступен (GA)
- Option для создания пользовательских рекомендаций и стандартов безопасности в Microsoft Defender для облака
- Microsoft azure security benchmark (MCSB) версии 1.0 теперь общедоступен (GA)
- Некоторые стандарты соответствия нормативным требованиям теперь доступны в облаках государственных организаций
- рекомендация New preview для серверов Azure SQL
- предупреждение New в Defender для Key Vault
Доступен новый Defender для плана хранения, включая сканирование вредоносных программ практически в режиме реального времени и обнаружение угроз конфиденциальной данных
Облачное хранилище играет ключевую роль в организации и хранит большие объемы ценных и конфиденциальных данных. Сегодня мы объявляем о новом Defender для плана хранения. Если вы используете предыдущий план (теперь переименован в "Defender для хранилища (классическая)"), необходимо заранее мигрировать в новый план для использования новых функций и преимуществ.
Новый план включает расширенные возможности безопасности для защиты от вредоносных отправки файлов, кражи конфиденциальных данных и повреждения данных. Она также обеспечивает более прогнозируемую и гибкую структуру ценообразования для более эффективного контроля над покрытием и затратами.
Новый план теперь имеет новые возможности в общедоступной предварительной версии:
Обнаружение событий воздействия конфиденциальных данных и кражи
Проверка вредоносных программ в режиме реального времени практически в режиме реального времени для всех типов файлов
Обнаружение сущностей без удостоверений с помощью маркеров SAS
Эти возможности повышают существующую возможность мониторинга активности на основе анализа журналов управления и анализа журналов плоскости данных и моделирования поведения для выявления ранних признаков нарушения.
Все эти возможности доступны в новом прогнозируемом и гибком плане ценообразования, который обеспечивает детальный контроль над защитой данных на уровне подписки и ресурсов.
Дополнительные сведения см. в Overview Microsoft Defender для хранилища.
Состояние безопасности с учетом данных (предварительная версия)
Microsoft Defender для облака помогает командам по обеспечению безопасности работать эффективнее при снижении рисков и реагировании на нарушения данных в облаке. Он позволяет им сократить шум с контекстом данных и определить наиболее важные риски безопасности, предотвращая дорогостоящие нарушения данных.
- Автоматически обнаруживайте ресурсы данных в облаке и оцените их доступность, конфиденциальность данных и настроенные потоки данных. -Непрерывно обнаруживать риски для нарушений данных конфиденциальных ресурсов данных, воздействия или атак, которые могут привести к ресурсу данных с помощью метода бокового перемещения.
- Обнаружение подозрительных действий, которые могут указывать на постоянную угрозу для ресурсов конфиденциальных данных.
Узнайте больше о позе безопасности с учетом данных.
Улучшенный интерфейс для управления политиками безопасности по умолчанию Azure
Мы введем улучшенный Azure интерфейс управления политиками безопасности для встроенных рекомендаций, упрощающих настройку требований к безопасности Defender для облака клиентам. Новый интерфейс включает следующие новые возможности:
- Простой интерфейс обеспечивает более высокую производительность и интерфейс при управлении политиками безопасности по умолчанию в Defender для облака.
- Единое представление всех встроенных рекомендаций по безопасности, предлагаемых Microsoft тестом облачной безопасности (ранее Azure тестом безопасности). Рекомендации организованы в логические группы, что упрощает понимание типов ресурсов и связь между параметрами и рекомендациями.
- Добавлены новые функции, такие как фильтры и поиск.
Узнайте, как управлять политиками безопасности.
Ознакомьтесь с блогом Microsoft Defender для облака.
Defender CSPM (Управление опубликовкой cloud Security) теперь общедоступен (GA)
Мы объявляем, что Defender CSPM теперь общедоступен (GA). Defender CSPM предлагает все службы, доступные в рамках возможностей Foundational CSPM, и добавляет следующие преимущества:
- Анализ пути атаки и API ARG — анализ пути атаки использует алгоритм на основе графа, который сканирует граф облачной безопасности для предоставления путей атаки и предлагает рекомендации по устранению проблем, которые нарушают путь атаки и предотвращают успешное нарушение. Вы также можете использовать пути атаки программным способом, запрашивая API Azure Resource Graph (ARG). Узнайте, как использовать анализ пути атаки
- Cloud Security Explorer — используйте Cloud Security Explorer для выполнения запросов на основе графов в графе облачной безопасности, чтобы заранее определить риски безопасности в средах с несколькими облаками. Дополнительные сведения об облачном обозревателе безопасности.
Дополнительные сведения о Defender CSPM.
Возможность создания пользовательских рекомендаций и стандартов безопасности в Microsoft Defender для облака
Microsoft Defender для облака предоставляет возможность создания пользовательских рекомендаций и стандартов для AWS и GCP с помощью запросов KQL. С помощью редактора запросов можно создавать и тестировать запросы по данным. Эта функция является частью плана Defender CSPM (Cloud Security Posture Management). Узнайте, как создавать пользовательские рекомендации и стандарты.
Microsoft тест безопасности облака (MCSB) версии 1.0 теперь общедоступен (GA)
Microsoft Defender для облака объявляет, что в настоящее время общедоступная версия (MCSB) Microsoft cloud security benchmark (MCSB) версии 1.0.
MCSB версии 1.0 заменяет Azure тест безопасности (ASB) версии 3 в качестве политики безопасности по умолчанию Defender для облака. MCSB версии 1.0 отображается как стандарт соответствия по умолчанию на панели мониторинга соответствия требованиям и включен по умолчанию для всех Defender для облака клиентов.
Вы также можете узнать, How Microsoft cloud security benchmark (MCSB) поможет вам добиться успеха в пути облачной безопасности.
Дополнительные сведения о MCSB.
Некоторые стандарты соответствия нормативным требованиям теперь доступны в облаках государственных организаций
Мы обновляем эти стандарты для клиентов в Azure для государственных организаций и Microsoft Azure, управляемых 21Vianet.
Azure для государственных организаций:
Microsoft Azure работает 21Vianet:
Узнайте, как настроить набор стандартов на панели мониторинга соответствия нормативным требованиям.
Новая предварительная версия рекомендации для серверов Azure SQL
Мы добавили новую рекомендацию для серверов Azure SQL, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
Рекомендация основана на существующей политике База данных SQL Azure should have Azure Active Directory Only Authentication enabled
Эта рекомендация отключает локальные методы проверки подлинности и разрешает только Microsoft Entra проверку подлинности, что повышает безопасность, гарантируя, что доступ к базам данных Azure SQL можно получить исключительно с помощью удостоверений Microsoft Entra ID.
Узнайте, как создать серверы с включенным Azure аутентификацией только AD в Azure SQL.
Новое оповещение в Defender для Key Vault
Defender для Key Vault имеет следующее новое оповещение:
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
|
Отказ в доступе из подозрительного IP-адреса в хранилище ключей (KV_SuspiciousIPAccessDenied) |
Неудачный доступ к хранилищу ключей был предпринят попыткой IP-адреса, который был идентифицирован Microsoft аналитикой угроз как подозрительный IP-адрес. Хотя эта попытка была неудачной, это означает, что ваша инфраструктура может быть скомпрометирована. Мы рекомендуем провести дополнительное расследование. | Доступ к учетным данным | Low |
Список всех alerts, доступных для Key Vault.
Февраль 2023
В феврале добавлены следующие изменения:
- Расширенный Cloud Security Explorer
- Defender для проверок уязвимостей контейнеров, на которых запущены образы Linux
- Объявление о поддержке стандарта соответствия AWS CIS 1.5.0
- Microsoft Defender для DevOps (предварительная версия) теперь доступна в других регионах
- Встроенная политика [предварительная версия]: для Key Vault не рекомендуется настроить частную конечную точку
Расширенный Cloud Security Explorer
Улучшенная версия облачного обозревателя безопасности включает обновленный пользовательский интерфейс, который значительно устраняет трение запросов, добавил возможность выполнять многооблачные и многоресурсные запросы, а также внедренную документацию для каждого варианта запроса.
Cloud Security Explorer теперь позволяет выполнять облачные абстрактные запросы между ресурсами. Вы можете использовать предварительно созданные шаблоны запросов или использовать пользовательский поиск для применения фильтров для создания запроса. Узнайте , как управлять Cloud Security Explorer.
Defender для проверок уязвимостей контейнеров при выполнении образов Linux теперь общедоступная версия
Defender для контейнеров обнаруживает уязвимости в запущенных контейнерах. Поддерживаются как Windows, так и контейнеры Linux.
В августе 2022 г. эта возможность была выпущена в предварительной версии для Windows и Linux. Теперь мы выпускаем его для общедоступной версии (GA) для Linux.
При обнаружении уязвимостей Defender для облака создает следующую рекомендацию по обеспечению безопасности, в которой перечислены результаты сканирования: Running образы контейнеров должны иметь результаты уязвимостей, разрешенные.
Узнайте больше о просмотре уязвимостей для запущенных образов.
Объявление о поддержке стандарта соответствия AWS CIS 1.5.0
Defender для облака теперь поддерживает стандарт соответствия cis Amazon Web Services версии 1.5.0. Стандарт можно добавить на панель мониторинга соответствия нормативным требованиям и использовать существующие предложения MDC для многооблачных рекомендаций и стандартов.
Этот новый стандарт включает как существующие, так и новые рекомендации, которые расширяют охват Defender для облака новыми службами и ресурсами AWS.
Узнайте, как управлять оценками и стандартами AWS.
Microsoft Defender для DevOps (предварительная версия) теперь доступна в других регионах
Microsoft Defender для DevOps расширил свою предварительную версию и теперь доступен в регионах Западной Европы и Восточной Австралии при подключении Azure DevOps и GitHub ресурсов.
Дополнительные сведения о Microsoft Defender для DevOps.
Встроенная политика [предварительная версия]: частная конечная точка должна быть настроена для Key Vault не рекомендуется
Встроенная политика [Preview]: Private endpoint should be configured for Key Vault устарела и заменена политикой [Preview]: Azure Key Vaults should use private link.
Дополнительные сведения о integrating Azure Key Vault с помощью Политика Azure.
Январь 2023 г.
Обновления в январе включают следующие:
- компонент The Endpoint Protection (Microsoft Defender для конечной точки) теперь доступен на странице параметров и мониторинга
- Новая версия рекомендации по поиску отсутствующих обновлений системы (предварительная версия)
- Cleanup удаленных Azure Arc компьютеров в подключенных учетных записях AWS и GCP
- Разрешить непрерывный экспорт в Центры событий за брандмауэром
- >Назовение элемента управления безопасностью системы защиты приложений с помощью Azure расширенных сетевых решений изменилось
- Параметры оценки уязвимостей политики для SQL Server должны содержать адрес электронной почты для получения отчетов проверки не рекомендуется
- Recommendation для включения журналов диагностики для Масштабируемые наборы виртуальных машин не рекомендуется
Компонент Endpoint Protection (Microsoft Defender для конечной точки) теперь доступен на странице "Параметры" и "Мониторинг"
Чтобы получить доступ к Endpoint Protection, перейдите к параметрам Environment>Defender>Settings и monitoring. Здесь можно задать значение Endpoint Protection включено. Вы также можете увидеть другие компоненты, управляемые.
Дополнительные сведения о enabling Microsoft Defender для конечной точки на серверах с Defender для серверов.
Новая версия рекомендации по поиску отсутствующих обновлений системы (предварительная версия)
Вам больше не нужен агент на виртуальных машинах Azure и Azure Arc компьютерах, чтобы убедиться, что компьютеры имеют все последние обновления системы безопасности или критически важных систем.
Новая рекомендация по обновлению системы System updates should be installed on your machines (powered by Диспетчер обновлений Azure) в элементе управления Apply system updates основана на Update Manager (предварительная версия). Эта рекомендация использует собственный агент, внедренный в каждую виртуальную машину Azure и Azure Arc компьютеры вместо установленного агента. Краткое исправление в новой рекомендации приводит к однократной установке отсутствующих обновлений на портале Диспетчера обновлений.
Чтобы использовать новую рекомендацию, необходимо:
- Подключение компьютеров, отличных от Azure, к Arc
- Включите периодическое свойство оценки. Чтобы устранить эту рекомендацию,
Machines should be configured to periodically check for missing system updatesможно использовать быстрое исправление в новой рекомендации.
Существующая рекомендация "Обновления системы должны быть установлены на компьютерах", которая зависит от агента Log Analytics, по-прежнему доступна в том же элементе управления.
Очистка удаленных Azure Arc компьютеров в подключенных учетных записях AWS и GCP
Компьютер, подключенный к учетной записи AWS и GCP, которая охватывается Defender для серверов или Defender для SQL на компьютерах, представлена в Defender для облака как компьютер Azure Arc. До сих пор этот компьютер не был удален из инвентаризации, когда компьютер был удален из учетной записи AWS или GCP. Что приводит к ненужным Azure Arc ресурсам, оставшимся в Defender для облака, представляющем удаленные компьютеры.
Defender для облака теперь автоматически удаляет Azure Arc компьютеры при удалении этих компьютеров в подключенной учетной записи AWS или GCP.
Разрешить непрерывный экспорт в Центры событий за брандмауэром
Теперь можно включить непрерывный экспорт оповещений и рекомендаций в качестве доверенной службы в Центры событий, защищенные брандмауэром Azure.
Вы можете включить непрерывный экспорт в виде создаваемых оповещений или рекомендаций. Можно также определить расписание для отправки периодических моментальных снимков всех новых данных.
Узнайте, как включить континный экспорт в центры событий за брандмауэром Azure.
Имя элемента управления "Защита оценки безопасности" для приложений с помощью Azure расширенных сетевых решений изменяется
Элемент управления оценкой безопасности Protect your applications with Azure advanced networking solutions изменен на Protect applications against DDoS attacks.
Обновленное имя отражается на Azure Resource Graph (ARG), API элементов управления оценкой безопасности и Download CSV report.
Параметры оценки уязвимостей политики для SQL Server должны содержать адрес электронной почты для получения отчетов проверки не рекомендуется
Политика Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports устарела.
Отчет по электронной почте об оценке уязвимостей SQL Defender по-прежнему доступен и существующие конфигурации электронной почты не изменились.
Рекомендация по включению журналов диагностики для Масштабируемые наборы виртуальных машин не рекомендуется
Рекомендация Diagnostic logs in Масштабируемые наборы виртуальных машин should be enabled не рекомендуется.
Определение связанной политики также устарело из любых стандартов, отображаемых на панели мониторинга соответствия нормативным требованиям.
| Recommendation | Description | Severity |
|---|---|---|
| Журналы диагностики в Масштабируемые наборы виртуальных машин должны быть включены | Включите журналы и сохраните их до года, что позволяет повторно создавать тропы действий для расследования при возникновении инцидента безопасности или компрометации сети. | Low |
Декабрь 2022 г.
В декабре добавлены следующие обновления:
Объявление о экспресс-конфигурации для оценки уязвимостей в Defender для SQL
Экспресс-конфигурация для оценки уязвимостей в Microsoft Defender для SQL предоставляет командам безопасности упрощенную конфигурацию для баз данных Azure SQL и выделенных пулов SQL за пределами рабочих областей Synapse.
При использовании экспресс-конфигурации для оценки уязвимостей команды безопасности могут:
- Выполните настройку оценки уязвимостей в конфигурации безопасности ресурса SQL без каких-либо других параметров или зависимостей от учетных записей хранения, управляемых клиентом.
- Немедленно добавьте результаты сканирования в базовые показатели, чтобы состояние поиска изменений от неработоспособного к работоспособному без повторного сканирования базы данных.
- Добавьте несколько правил в базовые показатели одновременно и используйте последние результаты сканирования.
- Включите оценку уязвимостей для всех серверов Azure SQL при включении Microsoft Defender для баз данных на уровне подписки.
Дополнительные сведения о Defender для оценки уязвимостей SQL.
Ноябрь 2022 г.
В ноябре добавлены следующие обновления:
- Protect контейнеров в организации GCP с Defender для контейнеров
- Validate Defender для защиты контейнеров с примерами оповещений
- Правила управления в масштабе (предварительная версия)
- Возможность создания пользовательских оценок в AWS и GCP (предварительная версия) не рекомендуется
- Рекомендация по настройке очередей недоставленных букв для Лямбда-функций не рекомендуется
Защита контейнеров в организации GCP с помощью Defender для контейнеров
Теперь вы можете включить Defender для контейнеров для среды GCP для защиты стандартных кластеров GKE во всей организации GCP. Просто создайте новый соединитель GCP с Defender для контейнеров или включите Defender для контейнеров на существующем соединителе GCP уровня организации.
Дополнительные сведения о подключении проектов и организаций GCP для Defender для облака.
Проверка Defender для защиты контейнеров с помощью примеров оповещений
Теперь можно создать примеры оповещений для Defender плана контейнеров. Новые примеры оповещений представлены как из AKS, подключенных к Arc кластеров, ресурсов EKS и GKE с различными уровнями серьезности и тактикой MITRE. Примеры оповещений можно использовать для проверки конфигураций оповещений системы безопасности, таких как интеграции SIEM, автоматизация рабочих процессов и Уведомления по электронной почте.
Дополнительные сведения о проверке оповещений.
Правила управления в масштабе (предварительная версия)
Мы рады объявить о новой возможности применения правил управления в масштабе (предварительная версия) в Defender для облака.
Благодаря этому новому интерфейсу команды безопасности могут массово определять правила управления для различных областей (подписок и соединителей). Группы безопасности могут выполнить эту задачу с помощью таких областей управления, как группы управления Azure, учетные записи верхнего уровня AWS или организации GCP.
Кроме того, на странице правил управления (предварительная версия) представлены все доступные правила управления, действующие в средах организации.
Узнайте больше о новых правилах управления в масштабе.
Note
По состоянию на 1 января 2023 г. для реализации возможностей, предлагаемых управлением, необходимо иметь план Defender CSPM в подписке или соединителе.
Возможность создания пользовательских оценок в AWS и GCP (предварительная версия) не рекомендуется
Возможность создавать пользовательские оценки для учетных записей AWS и проектов GCP, которые являлись функцией предварительной версии, устарела.
Рекомендация по настройке очередей недоставленных букв для Лямбда-функций не рекомендуется
Рекомендация Lambda functions should have a dead-letter queue configured не рекомендуется.
| Recommendation | Description | Severity |
|---|---|---|
| Для лямбда-функций должна быть настроена очередь недоставленных сообщений | Этот элемент управления проверяет, настроена ли для лямбда-функции очередь недоставленных сообщений. Элемент управления завершается ошибкой, если Лямбда-функция не настроена в очереди недоставленных писем. В качестве альтернативы назначению на случай сбоя можно настроить для функции очередь недоставленных сообщений, в которую будут сохраняться отклоненные события для дальнейшей обработки. Очередь недоставленных сообщений действует так же, как и назначение на случай сбоя. Он используется, когда событие завершается сбоем всех попыток обработки или истекает без обработки. Очередь недоставленных сообщений позволяет просматривать ошибки или неудачные запросы к лямбда-функции для отладки или выявления необычного поведения. С точки зрения безопасности важно понять, почему не удалось выполнить функцию, и убедиться, что ваша функция не удаляет данные или не компрометируют безопасность данных в результате. Например, если ваша функция не может взаимодействовать с базовым ресурсом, который может быть симптомом атаки типа "отказ в обслуживании" (DoS) в другом месте сети. | Medium |
Октябрь 2022
В октябре добавлены следующие обновления:
- Наuncing Microsoft cloud security benchmark
- Attack path analysis and contextual security capabilities in Defender для облака (Preview)
- Agentless сканирование Azure и AWS компьютеров (предварительная версия)
- Defender для DevOps (предварительная версия)
- Панель мониторинга соответствия нормативным требованиям теперь поддерживает управление вручную и подробные сведения о состоянии соответствия Microsoft
- Автоматическая подготовка переименована в Параметры и мониторинг и имеет обновленный интерфейс
- Defender Cloud Security Posture Management (CSPM) (предварительная версия)
- Сопоставление платформы MITRE ATT&CK теперь доступно для рекомендаций по безопасности AWS и GCP
- Defender для контейнеров теперь поддерживает оценку уязвимостей для эластичного реестра контейнеров (предварительная версия)
Объявление о тестировании Microsoft облачной безопасности
Тест Microsoft cloud security benchmark (MCSB) — это новая платформа, определяющая основные принципы облачной безопасности на основе общих отраслевых стандартов и платформ соответствия требованиям. Вместе с подробными техническими рекомендациями по реализации этих рекомендаций на облачных платформах. MCSB заменяет тест безопасности Azure. MCSB предоставляет подробные сведения о реализации рекомендаций по безопасности, не зависящих от облака, на нескольких платформах облачных служб, первоначально охватывающих Azure и AWS.
Теперь вы можете отслеживать состояние соответствия требованиям облачной безопасности для каждого облака в одной интегрированной панели мониторинга. McSB можно увидеть как стандарт соответствия по умолчанию при переходе на панель мониторинга соответствия нормативным требованиям Defender для облака.
Microsoft cloud security benchmark автоматически назначается подпискам Azure и учетным записям AWS при подключении Defender для облака.
Дополнительные сведения о тесте Microsoft cloud security benchmark.
Анализ пути атаки и возможности контекстной безопасности в Defender для облака (предварительная версия)
Новый граф облачной безопасности, анализ пути атаки и возможности контекстной облачной безопасности теперь доступны в Defender для облака в предварительной версии.
Одной из самых больших проблем, с которыми сталкиваются команды по безопасности сегодня, является число проблем безопасности, которые они сталкиваются ежедневно. Существует множество проблем безопасности, которые необходимо устранить и никогда не хватает ресурсов, чтобы устранить их все.
новые возможности графа облачной безопасности и анализа путей атак Defender для облака предоставляют группам безопасности возможность оценить риск каждой проблемы безопасности. Группы безопасности также могут определить самые высокие проблемы риска, которые необходимо устранить в ближайшее время. Defender для облака работает с командами по безопасности, чтобы снизить риск нарушения их среды наиболее эффективным способом.
Дополнительные сведения о новом графе облачной безопасности, анализе пути атаки и обозревателе облачной безопасности.
Сканирование без агента для компьютеров Azure и AWS (предварительная версия)
До сих пор Defender для облака на основе оценок состояния виртуальных машин на основе агентов. Чтобы помочь клиентам максимально увеличить охват и сократить нагрузку на подключение и управление, мы выпускаем бессерверную проверку для виртуальных машин для предварительной версии.
При проверке без агента для виртуальных машин вы получаете широкую видимость установленных программ и программных CVEs. Вы получаете видимость без проблем установки и обслуживания агента, требований к сетевому подключению и производительности для рабочих нагрузок. Анализ осуществляется на Управление уязвимостями Microsoft Defender.
Сканирование уязвимостей без агента доступно как в Defender Cloud Security Posture Management (CSPM), так и в Defender для серверов P2 с собственной поддержкой AWS и виртуальных машин Azure.
- Дополнительные сведения о сканировании без агента.
- Узнайте, как включить оценку уязвимостей без агента.
Defender для DevOps (предварительная версия)
Microsoft Defender для облака обеспечивает комплексную видимость, управление состоянием и защиту от угроз в гибридных и многооблачных средах, включая Azure, AWS, Google и локальные ресурсы.
Теперь новый план Defender для DevOps интегрирует системы управления исходным кодом, такие как GitHub и Azure DevOps, в Defender для облака. Благодаря этой новой интеграции мы расширим возможности групп безопасности для защиты своих ресурсов от кода в облако.
Defender для DevOps позволяет получить представление о подключенных средах разработчиков и ресурсах кода и управлять ими. В настоящее время можно подключить системы Azure DevOps и GitHub к Defender для облака и подключению репозиториев DevOps к инвентаризации и новой странице DevOps Security. Он предоставляет группам безопасности общий обзор обнаруженных проблем безопасности, которые существуют в них на странице единой системы безопасности DevOps Security.
Вы можете настроить заметки на запросы на вытягивание, чтобы помочь разработчикам обращаться к секретам сканирования результатов в Azure DevOps непосредственно на запросы на вытягивание.
Вы можете настроить средства devOps Microsoft Security для рабочих процессов Azure Pipelines и GitHub, чтобы включить следующие проверки безопасности:
| Name | Language | License |
|---|---|---|
| Bandit | Python | Лицензия Apache 2.0 |
| BinSkim | Двоичное — Windows, ELF | Лицензия MIT |
| ESlint | JavaScript | Лицензия MIT |
| CredScan (только Azure DevOps) | Сканер учетных данных (также известный как CredScan) — это средство, разработанное и поддерживаемое Microsoft для выявления утечки учетных данных, таких как в файлах исходного кода и файлов конфигурации распространенных типов: пароли по умолчанию, строки подключения SQL, сертификаты с закрытыми ключами | Не открытый исходный код |
| Template Analyze | Шаблон ARM, файл Bicep | Лицензия MIT |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Лицензия Apache 2.0 |
| Trivy | Образы контейнеров, файловые системы, репозитории Git | Лицензия Apache 2.0 |
Теперь для DevOps доступны следующие новые рекомендации:
| Recommendation | Description | Severity |
|---|---|---|
| (предварительная версия) Репозитории кода должны иметь разрешенные результаты сканирования кода | Defender для DevOps обнаружил уязвимости в репозиториях кода. Чтобы повысить уровень безопасности репозиториев, настоятельно рекомендуется устранить эти уязвимости. (Связанная политика отсутствует) | Medium |
| (предварительная версия) Репозитории кода должны иметь разрешение на проверку секретов | Defender для DevOps нашел секрет в репозиториях кода. Это необходимо исправить немедленно, чтобы предотвратить брешь в системе безопасности. Секреты, найденные в репозиториях, могут быть раскрыты или обнаружены злоумышленниками, что может привести к компрометации приложения или службы. Для Azure DevOps средство Microsoft Security DevOps CredScan проверяет только сборки, на которых настроено выполнение. Поэтому результаты могут не отражать полное состояние секретов в репозиториях. (Связанная политика отсутствует) | High |
| (предварительная версия) Репозитории кода должны иметь разрешенные результаты проверки зависимостей | Defender для DevOps обнаружил уязвимости в репозиториях кода. Чтобы повысить уровень безопасности репозиториев, настоятельно рекомендуется устранить эти уязвимости. (Связанная политика отсутствует) | Medium |
| (предварительная версия) Репозитории кода должны иметь инфраструктуру в качестве результата сканирования кода, разрешенных | (предварительная версия) Репозитории кода должны иметь инфраструктуру в качестве результата сканирования кода, разрешенных | Medium |
| (предварительная версия) GitHub репозитории должны включать сканирование кода | GitHub использует сканирование кода для анализа кода для поиска уязвимостей безопасности и ошибок в коде. Сканирование кода можно использовать для поиска, рассмотрения и определения приоритетов исправлений существующих проблем в коде. Сканирование кода также может защитить от внедрения новых проблем разработчиками. Сканирования могут планироваться на определенные дни и время или активироваться при возникновении определенного события в репозитории, например при отправке. Если сканирование кода находит потенциальную уязвимость или ошибку в коде, GitHub отображает оповещение в репозитории. Уязвимость — это проблема в коде проекта, которую можно использовать для нарушения конфиденциальности, целостности или доступности проекта. (Связанная политика отсутствует) | Medium |
| (предварительная версия) GitHub репозитории должны включать проверку секретов | GitHub сканирует репозитории известных типов секретов, чтобы предотвратить мошеннические использование секретов, которые были случайно зафиксированы в репозиториях. Сканирование секретов сканирует весь журнал Git во всех ветвях, присутствующих в репозитории GitHub для любых секретов. Примерами секретов являются маркеры и закрытые ключи, которые поставщик услуг может выдать для проверки подлинности. Если секрет зарегистрирован в репозитории, любой, у кого есть доступ на чтение в репозитории, сможет использовать этот секрет для доступа к внешней службе с теми привилегиями. Секреты должны храниться в выделенном безопасном расположении за пределами репозитория проекта. (Связанная политика отсутствует) | High |
| (предварительная версия) GitHub репозитории должны включать сканирование Dependabot | GitHub отправляет оповещения Dependabot при обнаружении уязвимостей в зависимостях кода, влияющих на репозитории. Уязвимость — это недостаток в коде проекта, который может привести к нарушению конфиденциальности, целостности или доступности проекта или других проектов, использующих его код. Уязвимости зависят от типа, серьезности и метода атаки. Если ваш код зависит от пакета, содержащего уязвимость в системе безопасности, эта уязвимая зависимость может вызвать ряд проблем. (Связанная политика отсутствует) | Medium |
Рекомендации Defender для DevOps заменили устаревший сканер уязвимостей для рабочих процессов CI/CD, включенных в Defender для контейнеров.
Дополнительные сведения о Defender для DevOps
Панель мониторинга соответствия нормативным требованиям теперь поддерживает управление вручную и подробные сведения о состоянии соответствия Microsoft
Панель мониторинга соответствия в Defender для облака — это ключевое средство для клиентов, помогающие им понять и отслеживать их состояние соответствия. Клиенты могут постоянно отслеживать среды в соответствии с требованиями различных стандартов и нормативных требований.
Теперь вы можете полностью управлять состоянием соответствия, вручную заверяя работу и другие элементы управления. Теперь вы можете предоставить доказательства соответствия для средств управления, которые не автоматизированы. Вместе с автоматизированными оценками теперь можно создать полный отчет о соответствии в выбранной области, обращаясь ко всему набору средств управления для определенного стандарта.
Кроме того, с более подробными сведениями об управлении и подробными сведениями и доказательствами состояния соответствия Microsoft теперь у вас есть все сведения, необходимые для аудита на пальцах.
Вот некоторые новые преимущества:
Действия клиентов вручную предоставляют механизм для проверки соответствия требованиям, неавтомным элементам управления. Включая возможность связывания доказательств, задайте дату соответствия и дату окончания срока действия.
Более подробные сведения о поддерживаемых стандартах, демонстрирующих действия Microsoft и мануальные действия клиента помимо уже существующих автоматических действий клиента.
Microsoft действия обеспечивают прозрачность состояния соответствия Microsoft, включая процедуры оценки аудита, результаты тестирования и Microsoft ответы на отклонения.
предложения Compliance предоставляют централизованное расположение для проверки Azure, Dynamics 365 и продуктов Power Platform и соответствующих сертификатов соответствия нормативным требованиям.
Узнайте больше о том, как Improve соответствие нормативным требованиям с помощью Defender для облака.
Автоматическая подготовка переименована в Параметры и мониторинг и имеет обновленный интерфейс
Мы переименовали страницу автоматической подготовки в параметры и мониторинг.
Автоматическая подготовка предназначена для обеспечения масштабируемого включения необходимых компонентов, необходимых для расширенных функций и возможностей Defender для облака. Чтобы улучшить поддержку расширенных возможностей, мы запускаем новый интерфейс со следующими изменениями:
страница планов Страница планов Defender для облака теперь включает:
- При включении плана Defender, требующего компонентов мониторинга, эти компоненты включены для автоматической подготовки с параметрами по умолчанию. Эти параметры можно изменять в любое время.
- Вы можете получить доступ к параметрам компонента мониторинга для каждого плана Defender на странице плана Defender.
- Страница планов Defender четко указывает, существуют ли все компоненты мониторинга для каждого плана Defender или если охват мониторинга неполный.
Страница "Параметры" и "Мониторинг":
- Каждый компонент мониторинга указывает Defender планы, к которым он связан.
Дополнительные сведения об управлении параметрами мониторинга.
Defender Cloud Security Posture Management (CSPM)
Одним из основных принципов Microsoft Defender для облака для облачной безопасности является Cloud Security Posture Management (CSPM). CSPM определяет рекомендации по усилению защиты, которые помогают эффективно и результативно повысить уровень безопасности. CSPM также дает представление о текущей ситуации с безопасностью.
Мы объявляем новый план Defender: Defender CSPM. Этот план повышает возможности безопасности Defender для облака и включает следующие новые и расширенные функции:
- Непрерывная оценка конфигурации безопасности облачных ресурсов
- Рекомендации по безопасности для устранения ошибок и слабых мест
- Рейтинг безопасности
- Governance
- Соответствие нормативным требованиям
- Граф облачной безопасности
- Анализ пути атаки
- Сканирование без агента для компьютеров
Дополнительные сведения о плане Defender CSPM.
Сопоставление платформы MITRE ATT&CK теперь доступно для рекомендаций по безопасности AWS и GCP
Для аналитиков безопасности важно определить потенциальные риски, связанные с рекомендациями по безопасности, и понять векторы атак, чтобы они могли эффективно определять приоритеты своих задач.
Defender для облака упрощает определение приоритетов путем сопоставления рекомендаций по безопасности Azure, AWS и GCP с помощью MITRE ATT& Платформа CK. Платформа MITRE ATT&CK является глобально доступной база знаний тактики и методов злоумышленника на основе реальных наблюдений, что позволяет клиентам укрепить безопасную конфигурацию своих сред.
Платформа MITRE ATT&CK интегрирована тремя способами:
- Рекомендации сопоставляют тактику и методы MITRE ATT&CK.
- Запрос MITRE ATT& Тактика и методы CK по рекомендациям с помощью Azure Resource Graph.
Defender для контейнеров теперь поддерживает оценку уязвимостей для реестра эластичных контейнеров (предварительная версия)
Microsoft Defender для контейнеров теперь предоставляет проверку уязвимостей без агента для эластичного реестра контейнеров (ECR) в Amazon AWS. Расширение охвата для мультиоблачных сред, основываясь на выпуске в начале этого года расширенной защиты от угроз и защиты среды Kubernetes для AWS и Google GCP. Модель без агента создает ресурсы AWS в учетных записях, чтобы сканировать изображения, не извлекая изображения из учетных записей AWS и не имея места на рабочей нагрузке.
Проверка уязвимостей без агента для изображений в репозиториях ECR помогает уменьшить область атак контейнеризованного пространства путем непрерывного сканирования образов для выявления уязвимостей контейнеров и управления ими. В этом новом выпуске Defender для облака сканирует образы контейнеров после отправки в репозиторий и постоянно переназначает образы контейнеров ECR в реестре. Результаты доступны в Microsoft Defender для облака в качестве рекомендаций, и вы можете использовать встроенные автоматизированные рабочие процессы Defender для облака для принятия мер по результатам, таких как открытие билета на исправление уязвимости высокой серьезности на изображении.
Дополнительные сведения об оценке уязвимостей для образов Amazon ECR.
Сентябрь 2022 года
В сентябре добавлены следующие обновления:
- Подавление оповещений на основе сущностей контейнера и Kubernetes
- Defender для серверов поддерживает мониторинг целостности файлов с агентом Azure Monitor
- Устаревшие API оценки
- Дополнительные рекомендации, добавленные в удостоверение
- Удалены оповещения системы безопасности для компьютеров, сообщаемых между клиентами Log Analytics рабочих областей
Подавление оповещений на основе сущностей контейнера и Kubernetes
- Пространство имен Kubernetes
- Kubernetes Pod
- Секрет Kubernetes
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Задание Kubernetes
- Kubernetes CronJob
См. дополнительные сведения о правилах генерации оповещений.
Defender для серверов поддерживает мониторинг целостности файлов с помощью агента Azure Monitor
Мониторинг целостности файлов проверяет файлы и реестры операционной системы на наличие изменений, которые могут указывать на атаку.
FIM теперь доступен в новой версии на основе агента Azure Monitor (AMA), который можно deploy через Defender для облака.
Устаревшие API оценки
Следующие API не рекомендуется использовать:
- Задачи безопасности
- Состояния безопасности
- Сводки по безопасности
Эти три API предоставляют старые форматы оценок и заменяются API оценки и API-интерфейсами subAssessmentsments. Все данные, предоставляемые этими устаревшими API, также доступны в новых API.
Дополнительные рекомендации, добавленные в удостоверение
рекомендации Defender для облака по улучшению управления пользователями и учетными записями.
Новые рекомендации
Новый выпуск содержит следующие возможности:
Область оценкиExtended — покрытие улучшается для учетных записей удостоверений без MFA и внешних учетных записей на Azure ресурсов (вместо подписок), что позволяет администраторам безопасности просматривать назначения ролей для каждой учетной записи.
Улучшенный интервал свежести. Рекомендации по идентификации теперь имеют интервал свежести в 12 часов.
возможность исключения Account — Defender для облака имеет множество функций, которые можно использовать для настройки интерфейса и обеспечения того, что оценка безопасности отражает приоритеты безопасности организации. Например, можно исключить ресурсы и рекомендации из оценки безопасности.
Это обновление позволяет исключить определенные учетные записи из оценки с помощью шести рекомендаций, перечисленных в следующей таблице.
Как правило, вы исключили учетные записи аварийного взлома из рекомендаций MFA, так как такие учетные записи часто намеренно исключены из требований MFA организации. Кроме того, у вас могут быть внешние учетные записи, к которым вы хотите разрешить доступ, у которых нет многофакторной проверки подлинности.
Tip
Если вы исключите учетную запись, она не будет отображаться как неработоспособная и не станет причиной неработоспособности подписки.
Recommendation Ключ оценки Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA 6240402e-f77c-46fa-9060-a7ce53997754 Учетные записи с разрешениями на запись для ресурсов Azure должны быть включены MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b Учетные записи с разрешениями на чтение для ресурсов Azure должны быть включены MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Гостевые учетные записи с разрешениями владельца на Azure ресурсы должны быть удалены 20606e75-05c4-48c0-9d97-add6daa2109a Гостевые учетные записи с разрешениями на запись для ресурсов Azure должны быть удалены 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Гостевые учетные записи с разрешениями на чтение для ресурсов Azure должны быть удалены fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Следует удалить заблокированные учетные записи с разрешениями владельца на Azure ресурсах 050ac097-3dda-4d24-ab6d-82568e7a50cf Заблокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Рекомендации, хотя и в предварительной версии, будут отображаться рядом с рекомендациями, которые в настоящее время находятся в общедоступной версии.
Удалены оповещения системы безопасности для компьютеров, которые сообщают о межтенантных Log Analytics рабочих областях
В прошлом Defender для облака позволит выбрать рабочую область, в которую передаются агенты Log Analytics. Когда компьютер принадлежал одному клиенту (tenant A), но его агент Log Analytics сообщил рабочей области в другом клиенте ("Клиент B"), оповещения системы безопасности о компьютере были сообщены первому клиенту (клиент A).
При этом изменении оповещения на компьютерах, подключенных к рабочей области Log Analytics в другом клиенте, больше не отображаются в Defender для облака.
Если вы хотите продолжить получение оповещений в Defender для облака, подключите агент Log Analytics соответствующих компьютеров к рабочей области в том же клиенте, что и компьютер.
Дополнительные сведения о оповещениях системы безопасности.
Август 2022 г.
В августе добавлены следующие обновления:
- Vulnerabilities для запуска образов теперь отображаются с Defender для контейнеров Windows
- интеграция агента Azure Monitor в предварительной версии
- Нерекомендуемые оповещения виртуальной машины о подозрительных действиях, связанных с кластером Kubernetes
Уязвимости для запуска образов теперь отображаются с Defender для контейнеров Windows
Defender для контейнеров теперь отображаются уязвимости для запуска контейнеров Windows.
При обнаружении уязвимостей Defender для облака создает следующую рекомендацию по безопасности, в которой перечислены обнаруженные проблемы: образы контейнеров Running должны быть устранены.
Узнайте больше о просмотре уязвимостей для запущенных образов.
интеграция агента Azure Monitor теперь в предварительной версии
Defender для облака теперь включает предварительную версию поддержки агента Azure Monitor (AMA). AMA предназначена для замены устаревшего агента Log Analytics (также называемого агентом мониторинга Microsoft (MMA)), который находится на пути к отмене. AMA предоставляет множество преимуществ по сравнению с устаревшими агентами.
В Defender для облака при изменяемой автоматической подготовке для AMA агент развертывается на существующие и новые виртуальные машины с поддержкой Azure Arc, обнаруженные в подписках. Если включены планы Defenders для облака, AMA собирает сведения о конфигурации и журналы событий из Azure виртуальных машин и Azure Arc компьютеров. Интеграция AMA доступна в предварительной версии, поэтому мы рекомендуем использовать ее в тестовой среде, а не в рабочих средах.
Нерекомендуемые оповещения виртуальной машины о подозрительных действиях, связанных с кластером Kubernetes
В следующей таблице перечислены оповещения, которые признаны нерекомендуемыми:
| Имя оповещения | Description | Tactics | Severity |
|---|---|---|---|
|
Обнаружена операция сборки Docker на узле Kubernetes (VM_ImageBuildOnNode) |
Журналы компьютеров указывают на операцию сборки образа контейнера на узле Kubernetes. Хотя такое поведение может быть допустимым, злоумышленники могут создавать свои вредоносные образы локально, чтобы избежать обнаружения. | Оборона Evasion | Low |
|
Suspicious request to Kubernetes API (Подозрительный запрос к API Kubernetes) (VM_KubernetesAPI) |
Журналы компьютера указывают на то, что был сделан подозрительный запрос к API Kubernetes. Запрос был отправлен с узла Kubernetes, возможно, из одного из контейнеров, запущенных в узле. Хотя такое поведение может быть допустимым, оно может указывать на то, что в узле выполняется скомпрометированный контейнер. | LateralMovement | Medium |
|
SSH server is running inside a container (Сервер SSH работает в контейнере) (VM_ContainerSSH) |
Журналы компьютера указывают, что сервер SSH работает в контейнере Docker. Хотя такое поведение может быть намеренным, оно часто указывает на то, что контейнер неправильно настроен или его безопасность нарушена. | Execution | Medium |
Эти оповещения используются для уведомления пользователя о подозрительной активности, подключенной к кластеру Kubernetes. Оповещения будут заменены соответствующими оповещениями, которые являются частью оповещений контейнеров Microsoft Defender для облака (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI и K8S.NODE_ ContainerSSH), которые обеспечивают улучшенную точность и комплексный контекст для изучения и принятия мер по предупреждению. Дополнительные сведения о оповещениях для кластеров Kubernetes.
Информация об уязвимостях контейнера теперь содержит подробные сведения о пакете
Defender для оценки уязвимостей контейнера теперь содержит подробные сведения о пакете для каждого поиска, включая имя пакета, тип пакета, путь, установленную версию и фиксированную версию. Сведения о пакете позволяют найти уязвимые пакеты, чтобы вы могли устранить уязвимость или удалить пакет.
Эти подробные сведения о пакете доступны для новых проверок образов.
Июль 2022 г.
В июле добавлены следующие обновления:
- Общая доступность ориентированного на облако агента безопасности для защиты среды выполнения Kubernetes
- Defender для va контейнера добавляет поддержку обнаружения языковых пакетов (предварительная версия)
- Защита от уязвимости инфраструктуры Operations Management CVE-2022-29149
- Интеграция с управлением разрешениями Entra
- рекомендации Key Vault изменились на "audit"
- Нерекомендуемые политики приложений API для Службы приложений
Общая доступность ориентированного на облако агента безопасности для защиты среды выполнения Kubernetes
Мы рады сообщить о выходе ориентированного на облако агента безопасности для защиты среды выполнения Kubernetes в общую доступность.
Производственные развертывания кластеров Kubernetes продолжают расширяться, поскольку клиенты продолжают контейнеризировать свои приложения. Чтобы помочь в этом росте, команда Defender для контейнеров разработала облачный ориентированный агент безопасности Kubernetes.
Новый агент безопасности — это Kubernetes DaemonSet, основанный на технологии eBPF и полностью интегрированный в кластеры AKS в составе профиля безопасности AKS.
Включение агента безопасности доступно с помощью автоматической подготовки, потока рекомендаций, AKS RP или масштабирования с помощью Политика Azure.
Вы можете deploy агент Defender сегодня в кластерах AKS.
После выхода этого объявления также становится общедоступной рабочая нагрузка защиты среды выполнения — обнаружение угроз.
Дополнительные сведения о доступности Defender контейнера feature.
Вы также можете просмотреть все доступные оповещения.
Обратите внимание, что если вы используете предварительную версию, флаг компонента AKS-AzureDefender больше не требуется.
Defender для VA контейнера добавляет поддержку обнаружения языковых пакетов (предварительная версия)
Defender для оценки уязвимостей контейнера (VA) может обнаруживать уязвимости в пакетах ОС, развернутых с помощью диспетчера пакетов ОС. Мы расширили возможности VA — теперь эта функция может обнаруживать уязвимости, включенные в языковые пакеты.
Эта функция доступна в предварительной версии и доступна только для образов Linux.
Чтобы просмотреть все добавленные языковые пакеты, ознакомьтесь Defender полный список и их доступность.
Защита от уязвимости инфраструктуры Operations Management CVE-2022-29149
Инфраструктура Operations Management (OMI) — это набор облачных служб для централизованного управления локальными и облачными средами. Вместо развертывания локальных ресурсов и управления ими компоненты OMI полностью размещаются в Azure.
Log Analytics интеграции с Azure HDInsight под управлением OMI версии 13 требуется исправление CVE-2022-29149. Ознакомьтесь с отчетом об этой уязвимости в руководстве по обновлению
Если Defender для серверов с поддержкой оценки уязвимостей, можно использовать книгу this для выявления затронутых ресурсов.
Интеграция с управлением разрешениями Entra
Defender для облака интегрирован с Управление разрешениями Microsoft Entra, решением для управления правами на доступ к облачной инфраструктуре (CIEM), которое обеспечивает исчерпывающую видимость и контроль над разрешениями для любого удостоверения и любого ресурса в Azure, AWS и GCP.
Каждая подписка Azure, учетная запись AWS и проект GCP, на которых вы подключены, теперь отобразится представление Permission Creep Index (PCI).
Дополнительные сведения об Управлении разрешениями Entra (прежнее название — Cloudknox).
Key Vault рекомендации изменились на "audit"
Эффект рекомендаций Key Vault, перечисленных здесь, был изменен на "audit":
| Имя рекомендации | Идентификатор рекомендации |
|---|---|
| Срок действия сертификатов, хранящихся в Azure Key Vault, не должен превышать 12 месяцев | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Key Vault секреты должны иметь дату окончания срока действия | 14257785-9437-97fa-11ae-898cfb24302b |
| Key Vault ключи должны иметь дату окончания срока действия | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Нерекомендуемые политики приложений API для Службы приложений
Мы прекратили поддержку указанных ниже политик в пользу уже существующих соответствующих политик, в которых включен API приложений.
| Будет считаться устаревшей | Переход на |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Июнь 2022 г.
В июне добавлены следующие обновления:
- General availability (GA) для Microsoft Defender для Azure Cosmos DB
- General availability (GA) Defender для SQL на компьютерах для сред AWS и GCP
- управление реализацией рекомендаций по защите для повышения уровня безопасности;
- фильтрация оповещений системы безопасности по IP-адресу;
- группирование оповещений по группе ресурсов.
- Autoprovisioning единого решения Microsoft Defender для конечной точки
- Прекращение использования политики "Приложение API должно быть доступно только по протоколу HTTPS"
- оповещения New Key Vault
Общедоступная версия (GA) для Microsoft Defender для Azure Cosmos DB
Microsoft Defender для Azure Cosmos DB теперь общедоступен (GA) и поддерживает типы учетных записей API SQL (core).
Этот новый выпуск в общедоступной версии является частью набора защиты базы данных Microsoft Defender для облака, который включает различные типы баз данных SQL и MariaDB. Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает попытки эксплойтировать базы данных в учетных записях Azure Cosmos DB.
Когда вы включите этот план, вы будете оповещаться о потенциальном внедрении кода SQL, известных злоумышленниках, подозрительных шаблонах доступа и потенциальных исследованиях вашей базы данных через скомпрометированные удостоверения или злоумышленников.
При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения предоставляют подробные сведения о подозрительной активности, а также соответствующие шаги расследования, действия по исправлению и рекомендации по безопасности.
Microsoft Defender для Azure Cosmos DB непрерывно анализирует поток телеметрии, созданный службами Azure Cosmos DB, и пересекает их с Microsoft аналитикой угроз и поведенческими моделями для обнаружения любых подозрительных действий. Defender для Azure Cosmos DB не обращается к данным учетной записи Azure Cosmos DB и не влияет на производительность базы данных.
Дополнительные сведения о Microsoft Defender для Azure Cosmos DB.
Благодаря поддержке Azure Cosmos DB Defender для облака теперь предоставляет одно из самых комплексных предложений защиты рабочих нагрузок для облачных баз данных. Команды по обеспечению безопасности и владельцы баз данных теперь могут централизованно управлять безопасностью баз данных в своих средах.
Узнайте, как включить защиту для баз данных.
Общедоступная версия Defender для SQL на компьютерах для сред AWS и GCP
Возможности защиты баз данных, предоставляемые Microsoft Defender для облака, добавили поддержку серверов SQL, размещенных в средах AWS или GCP.
Defender для SQL предприятия теперь могут защищать все их ресурсы базы данных, размещенные в Azure, AWS, GCP и локальных компьютерах.
Microsoft Defender для SQL предоставляет унифицированный мультиоблачный интерфейс для просмотра рекомендаций по безопасности, оповещений системы безопасности и результатов оценки уязвимостей для СЕРВЕРА SQL Server и подчеркивания Windows ОС.
Используя многооблачный интерфейс подключения, вы можете включить и применить защиту баз данных для серверов SQL, работающих на AWS EC2, RDS Custom для SQL Server и вычислительной подсистемы GCP. При включении любого из этих планов активируется защита для всех поддерживаемых ресурсов, существующих в подписке. Будущие ресурсы, созданные в той же подписке, также будут защищены.
Узнайте, как защитить и подключить среду AWS и организацию GCP с Microsoft Defender для облака.
Управление реализацией рекомендаций по защите для повышения уровня безопасности
Сегодня появляется все больше угроз для организаций. Защита расширяющихся рабочих нагрузок требует задействования большого числа сотрудников службы безопасности. Перед командами по обеспечению безопасности стоит непростая задача реализации средств защиты, определенных в их политиках безопасности.
Теперь с интерфейсом управления в предварительной версии команды безопасности могут назначать исправления рекомендаций по безопасности владельцам ресурсов и требовать расписание исправления. Специалисты по обеспечению безопасности могут полностью отслеживать ход исправления и получать уведомления о просроченных задачах.
Ознакомьтесь с дополнительными сведениями о возможностях системы управления в статье Налаживание в организации устранения проблем безопасности с помощью системы управления рекомендациями.
фильтрация оповещений системы безопасности по IP-адресу;
Во многих случаях совершения атак необходимо отслеживать оповещения на основе IP-адреса сущности, связанной с атакой. До сих пор IP-адрес отображался только в разделе "Связанные сущности" в одной колонке оповещений. Теперь вы можете отфильтровать оповещения на странице оповещений системы безопасности, чтобы просмотреть оповещения, связанные с IP-адресом, и найти конкретный IP-адрес.
группирование оповещений по группе ресурсов.
Возможность фильтрации, сортировки и группировки по группе ресурсов добавляется на страницу оповещений системы безопасности.
Столбец группы ресурсов добавляется в сетку оповещений.
Добавлен новый фильтр, позволяющий просматривать все оповещения для определенных групп ресурсов.
Теперь вы можете группировать оповещения по группе ресурсов, чтобы просмотреть все оповещения для каждой группы ресурсов.
Автоматическая подготовка Microsoft Defender для конечной точки унифицированного решения
До сих пор интеграция с Microsoft Defender для конечной точки (MDE) включала автоматическую установку нового единого решения MDE для компьютеров (Azure подписок и многооблачных соединителей) с включенным Defender для серверов плана 1 и для соединителей с несколькими облаками с Defender для серверов с поддержкой плана 2. План 2 для подписок Azure включил унифицированное решение для компьютеров Linux и Windows только серверов 2019 и 2022. Windows серверы 2012R2 и 2016 использовали устаревшее решение MDE, зависят от агента Log Analytics.
Теперь новое унифицированное решение доступно для всех компьютеров в обоих планах как для Azure подписок, так и для соединителей multicloud. Для подписок Azure с планами 2 серверов с поддержкой интеграции MDE after июня 20 июня 2022 унифицированное решение по умолчанию включается для всех компьютеров, Azure подписок с Defender плана 2 для серверов с поддержкой интеграции MDE before 20 июня 2022 г. теперь можно включить единую установку решения для Windows Server 2012R2 и 2016 через выделенную кнопку на странице интеграции:
Дополнительные сведения об интеграции MDE с Defender для серверов.
Прекращение использования политики "Приложение API должно быть доступно только по протоколу HTTPS"
Политика API App should only be accessible over HTTPS устарела. Эта политика заменена политикой Web Application should only be accessible over HTTPS , в которую переименовывается App Service apps should only be accessible over HTTPS.
Дополнительные сведения об определениях политик для Служба приложений Azure см. в статье Политика Azure встроенные определения Служба приложений Azure.
Новые оповещения Key Vault
Чтобы расширить защиту от угроз, предоставляемую Microsoft Defender для Key Vault, мы добавили два новых оповещения.
Эти оповещения информируют об аномалии отказа в доступе, обнаруженной для любого из ваших хранилищ ключей.
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
|
Запрещен необычный доступ — пользователю запрещен доступ к большому количеству хранилищ ключей (KV_DeniedAccountVolumeAnomaly) |
Пользователь или субъект-служба попытались получить доступ к аномально большому числу хранилищ ключей за последние 24 часа. Этот аномальный шаблон доступа может быть законным действием. Хотя доступ был запрещен, эти действия могут свидетельствовать о возможной попытке доступа к хранилищам ключей и находящимся в них секретам. Мы рекомендуем провести дополнительное расследование. | Discovery | Low |
|
Запрещен необычный доступ — пользователю запрещен необычный доступ к хранилищу ключей (KV_UserAccessDeniedAnomaly) |
Пользователь, который обычно не обращается к хранилищу, предпринял попытку доступа к нему. Этот аномальный шаблон доступа может быть легитимным. Хотя доступ был запрещен, эти действия могут свидетельствовать о возможной попытке доступа к хранилищам ключей и находящимся в них секретам. | Первоначальный доступ, обнаружение | Low |
Май 2022 г.
В мае добавлены следующие обновления:
- Параметры многооблачного плана серверов теперь доступны на уровне соединителя
- JIT-доступ для виртуальных машин теперь доступен для экземпляров AWS EC2 (предварительная версия)
- Add и удалите датчик Defender для кластеров AKS с помощью CLI
Параметры многооблачного плана серверов теперь доступны на уровне соединителя
Теперь существуют параметры уровня соединителя для Defender для серверов в мультиоблачном режиме.
Новые параметры уровня соединителя обеспечивают детализацию цен и автоматической подготовки конфигурации для каждого соединителя независимо от подписки.
Все компоненты автоматической подготовки, доступные на уровне соединителя (Azure Arc, MDE и оценки уязвимостей), включены по умолчанию, а новая конфигурация поддерживает как Plan 1, так и план 2 ценовых категорий.
Обновления в пользовательском интерфейсе включают отражение выбранной ценовой категории и настроенные необходимые компоненты.
Изменения в оценке уязвимостей
Defender для контейнеров теперь отображаются уязвимости со средними и низкими уровнями серьезности, которые не могут быть исправлены.
В результате этого обновления теперь отображаются уязвимости со средним и низким уровнем серьезности независимо от доступности исправлений. Это обновление обеспечивает максимальную видимость, но при этом позволяет отфильтровывать нежелательные уязвимости с помощью указанного правила отключения.
Дополнительные сведения об управлении уязвимостями
JIT-доступ для виртуальных машин теперь доступен для экземпляров AWS EC2 (предварительная версия)
При подключении учетных записей AWS JIT автоматически оценивает конфигурацию сети групп безопасности экземпляра и рекомендует, какие экземпляры нуждаются в защите для доступных портов управления. Это похоже на то, как JIT работает с Azure. При подключении незащищенных экземпляров EC2 JIT блокирует общий доступ к портам управления и открывает их только с авторизованными запросами на ограниченный временной интервал.
Узнайте, как JIT защищает экземпляры AWS EC2
Добавление и удаление датчика Defender для кластеров AKS с помощью интерфейса командной строки
Агент Defender необходим для Defender для контейнеров для обеспечения защиты среды выполнения и сбора сигналов от узлов. Теперь можно использовать Azure CLI для add и удаления агента Defender для кластера AKS.
Note
Этот параметр включен в Azure CLI 3.7 и выше.
Апрель 2022 г.
В апреле добавлены следующие обновления:
- New Defender для планов серверов
- Перемещение пользовательских рекомендаций
- Скрипт PowerShell для потоковой передачи оповещений в Splunk и QRadar
- Deprecated рекомендацию Кэш Azure для Redis
- вариант оповещения New для Microsoft Defender для хранилища (предварительная версия) для обнаружения воздействия конфиденциальных данных
- Заголовок оповещения проверки контейнера дополнен репутацией IP-адресов
- Просмотр журналов действий, связанных с оповещением системы безопасности
Новые Defender для планов серверов
Microsoft Defender для серверов теперь предлагается в двух добавочных планах:
- Defender для серверов плана 2, ранее Defender для серверов
- Defender для серверов плана 1 предоставляет поддержку только для Microsoft Defender для конечной точки
Хотя Defender для серверов плана 2 по-прежнему обеспечивают защиту от угроз и уязвимостей в облачных и локальных рабочих нагрузках, Defender для серверов план 1 обеспечивает защиту конечных точек только на основе встроенных Defender для конечной точки. Дополнительные сведения о планах Defender для серверов.
Если вы используете Defender для серверов до сих пор, никаких действий не требуется.
Кроме того, Defender для облака также начинает постепенную поддержку Defender для единого агента конечной точки для Windows Server 2012 R2 и 2016. Defender для серверов плана 1 развертывает новый единый агент для Windows Server 2012 рабочих нагрузок R2 и 2016.
Перемещение пользовательских рекомендаций
Пользовательские рекомендации создаются пользователями и не влияют на оценку безопасности. Пользовательские рекомендации теперь можно найти на вкладке "Все рекомендации".
Используйте новый фильтр "тип рекомендации" для поиска пользовательских рекомендаций.
Узнайте больше в разделе Создание пользовательских инициатив и политик безопасности.
Скрипт PowerShell для потоковой передачи оповещений в Splunk и IBM QRadar
Рекомендуется использовать Центры событий и встроенный соединитель для экспорта оповещений системы безопасности в Splunk и IBM QRadar. Теперь можно использовать скрипт PowerShell для настройки Azure ресурсов, необходимых для экспорта оповещений системы безопасности для подписки или клиента.
Просто скачайте и запустите скрипт PowerShell. После того как вы предоставите несколько сведений о своей среде, скрипт настроит ресурсы для вас. Затем скрипт создает выходные данные, используемые на платформе SIEM для завершения интеграции.
Дополнительные сведения см. в разделе Потоковая передача оповещений в Splunk и QRadar.
Не рекомендуется использовать рекомендацию по Кэш Azure для Redis
Рекомендация Кэш Azure для Redis should reside within a virtual network (предварительная версия) не рекомендуется. Мы изменили наши рекомендации по защите Кэш Azure для Redis экземпляров. Мы рекомендуем использовать частную конечную точку для ограничения доступа к Кэш Azure для Redis экземпляру вместо виртуальной сети.
Новый вариант генерации оповещений для Microsoft Defender для хранилища (предварительная версия) для обнаружения воздействия конфиденциальных данных
Microsoft Defender для оповещений хранилища уведомляет вас, когда субъекты угроз пытаются сканировать и предоставлять, успешно или не настроены, открыто открытые контейнеры хранилища, чтобы попытаться получить конфиденциальную информацию.
Чтобы обеспечить более быстрое тридирование и время отклика, при краже потенциально конфиденциальных данных, возможно, произошло, мы выпустили новый вариант для существующего Publicly accessible storage containers have been exposed оповещения.
Новое оповещение Publicly accessible storage containers with potentially sensitive data have been exposedактивируется с High уровнем серьезности, после успешного обнаружения открытых контейнеров хранилища с именами, которые статистически были обнаружены для общедоступного доступа, предполагая, что они могут хранить конфиденциальную информацию.
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
|
ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — общедоступные контейнеры хранилища с потенциально конфиденциальными данными были раскрыты (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Кто-то отсканировал свою учетную запись служба хранилища Azure и предоставил контейнеры, которые разрешают общедоступный доступ. Один или несколько предоставленных контейнеров имеют имена, указывающие, что они могут содержать конфиденциальные данные. Обычно это указывает на разведку субъектом угроз, который сканирует неправильно настроенные общедоступные контейнеры хранилища, которые могут содержать конфиденциальные данные. После успешного обнаружения контейнера субъект угроз может продолжаться путем получения данных. ✔ Хранилище BLOB-объектов Azure ✖ Файлы Azure ✖ Azure Data Lake Storage 2-го поколения |
Collection | High |
Заголовок оповещения проверки контейнера дополнен репутацией IP-адресов
Репутация IP-адреса может указывать на то, исходит ли сканирование от известного субъекта угрозы или от субъекта, который использует сеть Tor, чтобы скрыть свое удостоверение. Оба этих индикатора предполагают наличие вредоносного намерения. Репутация IP-адреса обеспечивается Microsoft аналитикой угроз.
Добавление репутации IP-адреса к заголовку оповещения позволяет быстро оценить намерения субъекта и, следовательно, серьезность угрозы.
Следующие оповещения включают приведенные ниже сведения:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Например, добавленная информация к заголовку оповещения Publicly accessible storage containers have been exposed будет выглядеть следующим образом:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Все оповещения для Microsoft Defender для хранилища будут продолжать включать сведения об аналитике угроз в сущность IP в разделе связанных сущностей оповещения.
Просмотр журналов действий, связанных с оповещением системы безопасности
В рамках действий, которые можно предпринять для оценки оповещения системы безопасности, можно найти связанные журналы платформы в контексте проверки ресурсов для получения контекста затронутых ресурсов. Microsoft Defender для облака определяет журналы платформ, которые находятся в течение одного дня оповещения.
Журналы платформы помогут оценить угрозу безопасности и определить действия, которые можно предпринять для устранения выявленных рисков.
Март 2022 г.
В марте добавлены следующие обновления:
- Глобальная доступность оценки безопасности для сред AWS и GCP
- Устарели рекомендации по установке агента сбора данных о трафике
- Defender для контейнеров теперь может проверять уязвимости в образах Windows (предварительная версия)
- оповещение New для Microsoft Defender хранилища (предварительная версия)
- Настройка параметров уведомлений по электронной почте из оповещения
- Нерекомендуемые оповещения в предварительной версии: ARM.MCAS_ActivityFromAnonymousIPAddresses
- Перемещение рекомендации "Необходимо устранить уязвимости в конфигурациях безопасности контейнера" из раздела "Оценка безопасности" в раздел "Рекомендации"
- Устарела рекомендация по использованию субъектов-служб для защиты подписок
- Устаревшая реализация стандарта ISO 27001 заменяется новым стандартом ISO 27001:2013
- Deprecated Microsoft Defender для Интернета вещей рекомендации по устройству
- Deprecated Microsoft Defender для Интернета вещей оповещения устройства
- Управление состоянием и защита от угроз для AWS и GCP, выпущенные для общедоступной версии (GA)
- Регистрирование для Windows изображений в ACR добавило поддержку национальных облаков
Глобальная доступность оценки безопасности для сред AWS и GCP
Возможности управления безопасностью в облаке, предоставляемые Microsoft Defender для облака, теперь добавили поддержку сред AWS и GCP в рамках оценки безопасности.
Теперь предприятия могут просматривать общий уровень безопасности в различных средах, таких как Azure, AWS и GCP.
Страница "Оценка безопасности" заменена панелью мониторинга состояния безопасности. Панель мониторинга состояния безопасности позволяет просматривать общую совокупную оценку для всех сред или разбивку состояния безопасности по любому выбранному сочетанию сред.
Страница "Рекомендации" также была переработана для предоставления новых возможностей, таких как выбор облачной среды, расширенные фильтры на основе содержимого (группа ресурсов, учетная запись AWS, проект GCP и многое другое), улучшенный пользовательский интерфейс при низком разрешении, поддержка открытого запроса в графике ресурсов и многое другое. Вы можете узнать больше о общих рекомендацияхпо безопасности и безопасности.
Устарели рекомендации по установке агента сбора данных о трафике
В связи с изменениями в стратегии развития и приоритетах агент сбора данных о трафике больше не требуется. Следующие две рекомендации и связанные с ними политики устарели.
| Recommendation | Description | Severity |
|---|---|---|
| На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика. | Defender для облака использует агент зависимостей Microsoft для сбора данных сетевого трафика с виртуальных машин Azure для включения расширенных функций защиты сети, таких как визуализация трафика на сетевой карте, рекомендации по защите сети и конкретные сетевые угрозы. | Medium |
| Агент сбора данных сетевого трафика должен быть установлен на виртуальных машинах Windows | Defender для облака использует агент зависимостей Microsoft для сбора данных сетевого трафика с виртуальных машин Azure для включения расширенных функций защиты сети, таких как визуализация трафика на сетевой карте, рекомендации по защите сети и конкретные сетевые угрозы. | Medium |
Defender для контейнеров теперь может проверять уязвимости в образах Windows (предварительная версия)
Defender для сканирования изображений контейнера теперь поддерживает Windows образы, размещенные в Реестр контейнеров Azure. Эта функция предоставляется бесплатно в режиме предварительной версии, но когда она станет общедоступной, за нее будет взиматься плата.
Дополнительные сведения см. в разделе Use Microsoft Defender для контейнера, чтобы проверить образы на наличие уязвимостей.
Новое оповещение для Microsoft Defender для хранилища (предварительная версия)
Чтобы расширить защиту от угроз, предоставляемую Microsoft Defender для хранилища, мы добавили новое предупреждение предварительной версии.
Субъекты угроз используют приложения и средства для обнаружения учетных записей хранения и доступа к ним. Microsoft Defender для хранилища обнаруживает эти приложения и средства, чтобы заблокировать их и исправить состояние.
Это оповещение в предварительной версии называется Access from a suspicious application. Оповещение относится только к Хранилище BLOB-объектов Azure, а ADLS 2-го поколения.
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
|
PREVIEW - Access from a suspicious application (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — доступ из подозрительного приложения) (Storage.Blob_SuspiciousApp) |
Указывает, что подозрительное приложение успешно обращалось к контейнеру учетной записи хранения с проверкой подлинности. Это может означать, что злоумышленник получил учетные данные, необходимые для доступа к учетной записи, и использует ее. Это также может свидетельствовать о проведении в вашей организации проверки на проникновение. Применимо к: Хранилище BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения |
Начальный доступ | Medium |
Настройка параметров уведомлений по электронной почте из оповещения
В пользовательский интерфейс генерации оповещений добавлен новый раздел, который позволяет просматривать и изменять, кто получит Уведомления по электронной почте для оповещений, активируемых в текущей подписке.
Узнайте о настройке отправляемых по электронной почте уведомлений для оповещений системы безопасности.
Нерекомендуемые оповещения в предварительной версии: ARM.MCAS_ActivityFromAnonymousIPAddresses
Следующее оповещение предварительной версии устарело:
| Имя оповещения | Description |
|---|---|
|
ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — действие, выполняемое с рискованного IP-адреса (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Была обнаружена активность с IP-адреса, который был идентифицирован как анонимный прокси-IP-адрес. Эти прокси-серверы используют пользователи, желающие скрыть IP-адреса своих устройств. Иногда их используют злоумышленники. Это обнаружение использует алгоритм машинного обучения, который уменьшает количество "ложных срабатываний" (например, ошибочно помеченных IP-адресов, которые часто используются корпоративными пользователями). Требуется активная лицензия Microsoft Defender for Cloud Apps. |
Было создано новое оповещение, которое предоставляет эти сведения и добавляет в него. Кроме того, более новые оповещения (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) не требуют лицензии для Microsoft Defender for Cloud Apps (прежнее название — Microsoft Cloud App Security).
Дополнительные оповещения см. в Resource Manager.
Перемещение рекомендации "Необходимо устранить уязвимости в конфигурациях безопасности контейнера" из раздела "Оценка безопасности" в раздел "Рекомендации"
Рекомендация Vulnerabilities in container security configurations should be remediated была перемещена из раздела оценки безопасности в раздел рекомендаций.
Текущий пользовательский интерфейс предоставляет оценку только после прохождения всех проверок соответствия. Большинству клиентов трудно выполнить требование о прохождении всех необходимых проверок. Мы работаем над повышением удобства работы с этой рекомендацией. После выпуска она будет возвращена в раздел "Оценка безопасности".
Устарела рекомендация по использованию субъектов-служб для защиты подписок
По мере того как организации отходят от использования сертификатов управления для управления подписками и о том, что мы отставим от модели развертывания облачных служб (классическая модель, мы не рекомендуем использовать следующую рекомендацию Defender для облака и связанную с ней политику:
| Recommendation | Description | Severity |
|---|---|---|
| Для защиты подписок вместо сертификатов управления следует использовать субъекты-службы | Сертификаты управления позволяют всем пользователям, прошедшим проверку подлинности с их помощью, управлять подписками, с которыми связаны эти сертификаты. Для более безопасного управления подписками рекомендуется использовать субъекты-службы с Resource Manager, чтобы ограничить радиус взрыва в случае компрометации сертификата. Также это поможет автоматизировать управление ресурсами. (Связанная политика: Субъекты-службы должны использоваться для защиты подписок вместо сертификатов управления) |
Medium |
Подробнее:
- Прекращение использования модели развертывания Облачных служб (классической модели) с 31 августа 2024 г.
- Overview Azure Cloud Services (classic)
- Workflow классической архитектуры виртуальных машин Microsoft Azure, включая основы рабочего процесса RDFE
Устаревшая реализация стандарта ISO 27001 заменяется новым стандартом ISO 27001:2013
Устаревшая реализация ISO 27001 была удалена из панели мониторинга соответствия нормативным требованиям Defender для облака. Если вы отслеживаете соответствие требованиям ISO 27001 с Defender для облака, доставьте новый стандарт ISO 27001:2013 для всех соответствующих групп управления или подписок.
панель мониторинга соответствия требованиям 
Нерекомендуемые рекомендации по устройству Microsoft Defender для Интернета вещей
Microsoft Defender для Интернета вещей рекомендации по устройству больше не отображаются в Microsoft Defender для облака. Эти рекомендации по-прежнему доступны на странице рекомендаций Microsoft Defender для Интернета вещей.
Следующие рекомендации являются устаревшими:
| Ключ оценки | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: устройства IoT | Открытые порты на устройстве |
| ba975338-f956-41e7-a9f2-7614832d382d: устройства IoT | Во входной цепочке найдено разрешительное правило брандмауэра |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: устройства IoT | В одной из цепочек найдена разрешительная политика брандмауэра |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: устройства IoT | В выходной цепочке обнаружено разрешительное правило брандмауэра |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: устройства IoT | Сбой базовой проверки операционной системы |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: устройства IoT | Агент отправляет недогруженные сообщения |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: устройства IoT | Требуется обновление комплекта шифров TLS |
| d74d2738-2485-4103-9919-69c7e63776ec: устройства IoT |
Auditd процесс остановки отправки событий |
Устаревшие оповещения устройств Microsoft Defender для Интернета вещей
Все Microsoft Defender для оповещений устройств Интернета вещей больше не отображаются в Microsoft Defender для облака. Эти оповещения по-прежнему доступны на странице оповещений Microsoft Defender для Интернета вещей и в Microsoft Sentinel.
Управление состоянием и защита от угроз для AWS и GCP, выпущенные для общедоступной версии (GA)
функции CSPM Defender для облака распространяются на ресурсы AWS и GCP. Этот безагентный план оценивает многооблачные ресурсы в соответствии со специально разработанными для облака рекомендациями по безопасности, и эти рекомендации учитываются в вашей оценке безопасности. Ресурсы оцениваются на соответствие нормативным требованиям с помощью встроенных стандартов. страница инвентаризации активов Defender для облака — это функция с поддержкой нескольких облаков, которая позволяет управлять ресурсами AWS вместе с ресурсами Azure.
Microsoft Defender для серверов обеспечивает обнаружение угроз и расширенную защиту вычислительных экземпляров в AWS и GCP. План Defender для серверов включает интегрированную лицензию для Microsoft Defender для конечной точки, проверки уязвимостей и многое другое. Узнайте обо всех поддерживаемых функциях для виртуальных машин и серверов. Возможности автоматической адаптации позволяют легко подключать существующие или новые вычислительные экземпляры, обнаруженные в вашей среде.
Узнайте, как защитить и подключить среду AWS и GCP с Microsoft Defender для облака.
Проверка реестра на наличие образов Windows в ACR добавила поддержку национальных облаков
Проверка реестра на наличие образов Windows теперь поддерживается в Azure для государственных организаций и Microsoft Azure, управляемых 21Vianet. Это дополнение в настоящее время находится в режиме предварительной версии.
Узнайте больше о доступности нашей функции.
Февраль 2022 года
В феврале добавлены следующие изменения:
- Защита рабочих нагрузок Kubernetes для кластеров Kubernetes с поддержкой Arc
- Собственный класс CSPM для GCP и защиты от угроз для вычислительных экземпляров GCP
- Microsoft Defender для плана Azure Cosmos DB, выпущенного для предварительной версии
- Защита от угроз для кластеров Google Kubernetes Engine (GKE)
Защита рабочих нагрузок Kubernetes для кластеров Kubernetes с поддержкой Arc
Defender для контейнеров, ранее защищенных рабочих нагрузок Kubernetes, выполняемых в Служба Azure Kubernetes. Теперь мы расширили защитный охват, чтобы включить кластеры Kubernetes с поддержкой Azure Arc.
Узнайте, как настроить защиту рабочей нагрузки Kubernetes для кластеров AKS и Azure Arc с поддержкой Kubernetes.
Собственный класс CSPM для GCP и защиты от угроз для вычислительных экземпляров GCP
Новая автоматическая адаптация сред GCP позволяет защитить рабочие нагрузки GCP с помощью Microsoft Defender для облака. Defender для облака защищает ресурсы с помощью следующих планов:
Defender для облака CSPM возможности расширения ресурсов GCP. Этот план без агента оценивает ресурсы GCP в соответствии с рекомендациями по безопасности GCP, которые предоставляются Defender для облака. Рекомендации по GCP включены в оценку безопасности, а ресурсы будут оцениваться на соответствие встроенному стандарту CIS для GCP. страница инвентаризации активов Defender для облака — это функция с поддержкой нескольких облаков, помогающих управлять ресурсами в Azure, AWS и GCP.
Microsoft Defender для серверов обеспечивает обнаружение угроз и расширенную защиту для вычислительных экземпляров GCP. Этот план включает интегрированную лицензию для Microsoft Defender для конечной точки, проверки уязвимостей и т. д.
Полный список доступных функций см. в разделе Поддерживаемые функции для виртуальных машин и серверов. Возможности автоматической адаптации позволяют легко подключать существующие и новые вычислительные экземпляры, обнаруженные в вашей среде.
Узнайте, как защитить и подключить проекты GCP с Microsoft Defender для облака.
Microsoft Defender для плана Azure Cosmos DB, выпущенного для предварительной версии
Мы расширили охват баз данных Microsoft Defender для облака. Теперь вы можете включить защиту для баз данных Azure Cosmos DB.
Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает любую попытку эксплойтировать базы данных в учетных записях Azure Cosmos DB. Microsoft Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе Microsoft аналитики угроз, подозрительных шаблонов доступа и потенциальной эксплуатации базы данных с помощью скомпрометированных удостоверений или вредоносных инсайдеров.
Он непрерывно анализирует поток данных клиента, созданный службами Azure Cosmos DB.
При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Microsoft Defender для облака вместе с подробными сведениями о подозрительной активности вместе с соответствующими этапами расследования, действиями по исправлению и рекомендациями по безопасности.
При включении службы влияние на производительность базы данных не влияет, так как Defender для Azure Cosmos DB не обращается к данным учетной записи Azure Cosmos DB.
Дополнительные сведения см. в Overview Microsoft Defender для Azure Cosmos DB.
Мы также представляем новый интерфейс для обеспечения безопасности базы данных. Теперь вы можете включить защиту Microsoft Defender для облака в подписке для защиты всех типов баз данных, таких как, Azure Cosmos DB, База данных SQL Azure, Azure SQL серверы на компьютерах и Microsoft Defender для реляционных баз данных с открытым исходным кодом через один процесс включения. Настроив план, можно включать или исключать конкретные типы ресурсов.
Узнайте, как включить безопасность базы данных на уровне подписки.
Защита от угроз для кластеров Google Kubernetes Engine (GKE)
После недавнего объявления Native CSPM для GCP и защиты от угроз для вычислительных экземпляров GCP, Microsoft Defender для контейнеров расширили свою защиту от угроз Kubernetes, аналитику поведения и встроенные политики контроля допуска в кластеры GKE (GKE). Вы можете легко подключить существующие или новые стандартные кластеры GKE к своей среде, используя возможности автоматического адаптации. Ознакомьтесь с безопасностью Container с помощью Microsoft Defender для облака, чтобы получить полный список доступных функций.
январь 2022 года
Обновления в январе включают следующие:
Microsoft Defender для Resource Manager обновлены с новыми оповещениями и большее внимание уделяется операциям с высоким риском, сопоставленным с MITRE ATT& Матрица CK® - Recommendations для включения планов в Microsoft Defender рабочих областей (в предварительной версии)
- Autoprovision Log Analytics агент для Azure Arc компьютеров (предварительная версия)
- Устарела рекомендация по классификации конфиденциальных данных в базах данных SQL
- Теперь оповещение о связи с подозрительным доменом отображается также для известных доменов, связанных с Log4Shell
- В область сведений для оповещений системы безопасности добавлена кнопка "Копировать JSON-оповещения"
- Переименованы две рекомендации
- Прекращение поддержки политики "Контейнеры кластера Kubernetes должны прослушивать только разрешенные порты"
- Добавлена книга "Активные оповещения"
- В облако для государственных организаций добавлена рекомендация "Обновление системы"
Microsoft Defender для Resource Manager обновлены новые оповещения и большее внимание уделяется операциям с высоким риском, сопоставленным с MITRE ATT& Матрица CK®
Уровень управления облаком — это важная служба, подключенная ко всем облачным ресурсам. По этой причине он также является потенциальной целью для злоумышленников. Мы рекомендуем группам по обеспечению безопасности внимательно отслеживать уровень управления ресурсами.
Microsoft Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации, независимо от того, выполняются ли они через портал Azure, Azure REST API, Azure CLI или другие Azure программных клиентов. Defender для облака выполняет расширенную аналитику безопасности для обнаружения угроз и оповещений о подозрительных действиях.
Защита плана значительно повышает устойчивость организации к атакам со стороны субъектов угроз и значительно увеличивает количество Azure ресурсов, защищенных Defender для облака.
В декабре 2020 года мы представили предварительную версию Defender для Resource Manager, а в мае 2021 года план был выпущен для общедоступной доступности.
В этом обновлении мы полностью пересмотрели фокус Microsoft Defender плана Resource Manager. Обновленный план включает много новых оповещений, касающихся выявлению подозрительных вызовов операций с высоким риском. Эти новые оповещения обеспечивают широкий мониторинг атак в полнойматрице MITRE ATT&CK® для облачных методов.
Эта матрица охватывает следующий диапазон потенциальных намерений субъектов угроз, которые могут быть нацелены на ресурсы вашей организации: начальный доступ, выполнение, сохраняемость, эскалация привилегий, защита Evasion, доступ к учетным данным, обнаружение, боковое перемещение, сбор, эксфильтрация и влияние.
Новые оповещения для этого плана Defender охватывают эти намерения, как показано в следующей таблице.
Tip
Эти оповещения также отображаются на странице справки по оповещениям.
| Оповещение (тип оповещения) | Description | Тактика MITRE (намерения) | Severity |
|---|---|---|---|
|
Suspicious invocation of a high-risk 'Initial Access' operation detected (Preview) (Обнаружен подозрительный вызов операции первоначального доступа с высоким риском (предварительная версия)) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку доступа к ограниченным ресурсам. Обнаруженные операции обеспечивают администраторам эффективный доступ к их средам. Хотя это действие может быть законным, субъект угроз может использовать такие операции, чтобы получить первоначальный доступ к ограниченным ресурсам в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Начальный доступ | Medium |
|
Suspicious invocation of a high-risk 'Execution' operation detected (Preview) (Обнаружен подозрительный вызов операции выполнения с высоким риском (предварительная версия)) (ARM_AnomalousOperation.Execution) |
Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском на компьютере в вашей подписке, что может указывать на попытку выполнить код. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для доступа к ограниченным учетным данным и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Execution | Medium |
|
Suspicious invocation of a high-risk 'Persistence' operation detected (Preview) (Обнаружен подозрительный вызов операции сохранения состояния с высоким риском (предварительная версия)) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender для Resource Manager определили подозрительное вызов операции с высоким риском в подписке, что может указывать на попытку установить сохраняемость. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для установления сохраняемости в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Persistence | Medium |
|
Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (Preview) (Обнаружен подозрительный вызов операции повышения привилегий с высоким риском (предварительная версия)) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку повышения привилегий. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для повышения привилегий при компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Эскалация привилегий | Medium |
|
Suspicious invocation of a high-risk 'Defense Evasion' operation detected (Preview) (Обнаружен подозрительный вызов операции обхода защиты с высоким риском (предварительная версия)) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку обойти защиту. Обнаруженные операции обеспечивают администраторам эффективное управление состоянием безопасности их сред. Хотя это действие может быть законным, субъект угроз может использовать такие операции, чтобы избежать обнаружения при компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Оборона Evasion | Medium |
|
Suspicious invocation of a high-risk 'Credential Access' operation detected (Preview) (Обнаружен подозрительный вызов операции доступа к учетным данным с высоким риском (предварительная версия)) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender для Resource Manager определили подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку доступа к учетным данным. Обнаруженные операции обеспечивают администраторам эффективный доступ к их средам. Хотя это действие может быть законным, субъект угроз может использовать такие операции для доступа к ограниченным учетным данным и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Доступ к учетным данным | Medium |
|
Suspicious invocation of a high-risk 'Lateral Movement' operation detected (Preview) (Обнаружен подозрительный вызов операции бокового смещения с высоким риском (предварительная версия)) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку выполнить боковое перемещение. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для компрометации дополнительных ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Боковое движение | Medium |
|
Suspicious invocation of a high-risk 'Data Collection' operation detected (Preview) (Обнаружен подозрительный вызов операции сбора данных с высоким риском (предварительная версия)) (ARM_AnomalousOperation.Collection) |
Microsoft Defender для Resource Manager определили подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку сбора данных. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для сбора конфиденциальных данных о ресурсах в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Collection | Medium |
|
Suspicious invocation of a high-risk 'Impact' operation detected (Preview) (Обнаружен подозрительный вызов операции воздействия с высоким риском (предварительная версия)) (ARM_AnomalousOperation.Impact) |
Microsoft Defender для Resource Manager определил подозрительный вызов операции с высоким риском в подписке, что может указывать на попытку изменения конфигурации. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угроз может использовать такие операции для доступа к ограниченным учетным данным и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Impact | Medium |
Кроме того, в предварительной версии появились также следующие два оповещения из этого плана:
| Оповещение (тип оповещения) | Description | Тактика MITRE (намерения) | Severity |
|---|---|---|---|
| операция Azure Resource Manager из подозрительного IP-адреса (ARM_OperationFromSuspiciousIP) |
Microsoft Defender для Resource Manager обнаружена операция с IP-адреса, который был помечен как подозрительный в каналах аналитики угроз. | Execution | Medium |
| операция Azure Resource Manager с подозрительного IP-адреса прокси (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender для Resource Manager обнаружена операция управления ресурсами из IP-адреса, связанного с прокси-службами, например TOR. Хотя подобный алгоритм поведения может быть обоснованным, зачастую он проявляется в злонамеренных действиях, когда злоумышленники пытаются скрыть свой исходный IP-адрес. | Оборона Evasion | Medium |
Рекомендации по включению планов Microsoft Defender для рабочих областей (в предварительной версии)
Чтобы воспользоваться всеми функциями безопасности, доступными от Microsoft Defender для серверов и Microsoft Defender для SQL на компьютерах, планы должны быть включены в both уровнях подписки и рабочей области.
Если на компьютере действует подписка, для которой включен один из этих планов, вам будет выставлен счет за полную защиту. Однако если этот компьютер сообщает рабочей области без включения плана, вы на самом деле не получите эти преимущества.
Мы добавили две рекомендации по выделению рабочих областей без включения этих планов, которые, тем не менее, имеют компьютеры , сообщающие о них из подписок, имеющих включенный план.
Ниже приведены две рекомендации, которые предлагают автоматическое исправление (действие "Исправление").
| Recommendation | Description | Severity |
|---|---|---|
| Microsoft Defender для серверов следует включить в рабочих областях | Microsoft Defender для серверов обеспечивает обнаружение угроз и расширенную защиту для компьютеров Windows и Linux. С помощью этого Defender плана в подписках, но не в рабочих областях, вы платите за полную возможность Microsoft Defender для серверов, но отсутствуют некоторые преимущества. Если включить Microsoft Defender для серверов в рабочей области, все компьютеры, отчеты с этой рабочей областью, будут выставлены счета за Microsoft Defender для серверов, даже если они в подписках без включения планов Defender. Если вы также не включите Microsoft Defender для серверов в подписке, эти компьютеры не смогут воспользоваться преимуществами JIT-доступа к виртуальной машине, адаптивных элементов управления приложениями и обнаружения сети для Azure ресурсов. Дополнительные сведения см. в Overview Microsoft Defender для серверов. (Связанная политика отсутствует) |
Medium |
| Microsoft Defender для SQL на компьютерах следует включить в рабочих областях | Microsoft Defender для серверов обеспечивает обнаружение угроз и расширенную защиту для компьютеров Windows и Linux. С помощью этого Defender плана в подписках, но не в рабочих областях, вы платите за полную возможность Microsoft Defender для серверов, но отсутствуют некоторые преимущества. Если включить Microsoft Defender для серверов в рабочей области, все компьютеры, отчеты с этой рабочей областью, будут выставлены счета за Microsoft Defender для серверов, даже если они в подписках без включения планов Defender. Если вы также не включите Microsoft Defender для серверов в подписке, эти компьютеры не смогут воспользоваться преимуществами JIT-доступа к виртуальной машине, адаптивных элементов управления приложениями и обнаружения сети для Azure ресурсов. Дополнительные сведения см. в Overview Microsoft Defender для серверов. (Связанная политика отсутствует) |
Medium |
Автоматическая подготовка агента Log Analytics для Azure Arc компьютеров (предварительная версия)
Defender для облака использует агент Log Analytics для сбора данных, связанных с безопасностью, с компьютеров. Агент считывает различные журналы событий и конфигурации, связанные с безопасностью, а также копирует данные в рабочую область для анализа.
Параметры автоматической подготовки Defender для облака имеют переключатель для каждого типа поддерживаемого расширения, включая агент Log Analytics.
В дальнейшем расширение наших гибридных облачных функций мы добавили возможность автоматической подготовки агента Log Analytics на компьютеры, подключенные к Azure Arc.
Как и в случае с другими параметрами автоматической подготовки, это настраивается на уровне подписки.
При включении этого параметра появится запрос рабочей области.
Note
Для этой предварительной версии не удается выбрать рабочую область по умолчанию, созданную Defender для облака. Чтобы получить полный набор функций безопасности, доступных для серверов с поддержкой Azure Arc, убедитесь, что у вас есть соответствующее решение для обеспечения безопасности, установленное в выбранной рабочей области.
Устарела рекомендация по классификации конфиденциальных данных в базах данных SQL
Мы удалили рекомендацию Сенситивные данные в базах данных SQL должны быть классифицированы в рамках пересмотра того, как Defender для облака идентифицирует и защищает конфиденциальную дату в облачных ресурсах.
Предварительное уведомление об этом изменении появилось за последние шесть месяцев на странице Important на страницу Microsoft Defender для облака.
Теперь оповещение о связи с подозрительным доменом отображается также для известных доменов, связанных с Log4Shell
Следующее оповещение ранее было доступно только организациям, которые включили план Microsoft Defender для DNS.
В этом обновлении оповещение также будет отображаться для подписок с включенным планом Microsoft Defender для серверов или Defender для службы приложений.
Кроме того, Microsoft Аналитика угроз расширила список известных вредоносных доменов, чтобы включить домены, связанные с использованием широко публикуемых уязвимостей, связанных с Log4j.
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
|
Связь с подозрительным доменом, обнаруженным посредством аналитики угроз (AzureDNS_ThreatIntelSuspectDomain) |
Обнаружен обмен данными с подозрительным доменом путем анализа транзакций DNS из ресурса и их сравнения с известными вредоносными доменами, идентифицируемыми каналами аналитики угроз. Обмен данными с вредоносными доменами часто осуществляется злоумышленниками и может свидетельствовать о компрометации ресурса. | Начальный доступ, сохраняемость, выполнение, управление и контроль, несанкционированное использование | Medium |
В область сведений для оповещений системы безопасности добавлена кнопка "Копировать JSON-оповещения"
Чтобы пользователям быстро проще обмениваться сведениями об оповещениях с другими (например, аналитиками SOC, владельцами ресурсов и разработчиками), мы добавили возможность простого извлечения всех сведений о конкретном оповещении с помощью одной кнопки в области сведений об оповещениях системы безопасности.
Новая кнопка "Копировать оповещение JSON " помещает сведения о оповещении в формате JSON в буфер обмена пользователя.
Переименованы две рекомендации
Для обеспечения согласованности с названиями других рекомендаций мы переименовали следующие две рекомендации:
Рекомендация по устранению уязвимостей, обнаруженных в выполняющихся образах контейнеров
- Предыдущее название. Необходимо устранить уязвимости в запущенных образах контейнеров (на платформе Qualys)
- Новое название. Необходимо устранить уязвимости в образах работающих контейнеров
Рекомендация по включению журналов диагностики для Служба приложений Azure
- Предыдущее название. В Службе приложений должны быть включены журналы диагностики
- Новое название. В Службе приложений должны быть включены журналы диагностики
Прекращение поддержки политики "Контейнеры кластера Kubernetes должны прослушивать только разрешенные порты"
Рекомендация Контейнеры кластера Kubernetes должны прослушивать только разрешенные порты устарела.
| Имя политики | Description | Effect(s) | Version |
|---|---|---|---|
| Контейнеры кластера Kubernetes должны ожидать передачи данных только в разрешенных портах | Ограничение контейнеров, чтобы они ожидали передачи данных только на разрешенных портах для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для ядра AKS и Azure Arc включена Kubernetes. Дополнительные сведения см. в разделе Андерстанд Политика Azure для кластеров Kubernetes. | Audit, Deny, Disabled | 6.1.2 |
Чтобы ограничить количество портов, открытых в приложение для доступа через Интернет, следует воспользоваться рекомендацией Службы должны ожидать передачи данных только на разрешенных портах.
Добавлена книга "Активные оповещения"
Чтобы нашим пользователям было проще понять, какие активные угрозы существуют в их средах, и определить приоритетность активных оповещений в процессе исправления, мы добавили книгу "Активные оповещения ".
Книга активных оповещений позволяет пользователям просматривать единую панель мониторинга объединенных оповещений по серьезности, типу, тегу, тактике MITRE ATT&CK и расположению. Дополнительные сведения см. в разделе Использование книги "Активные оповещения".
В облако для государственных организаций добавлена рекомендация "Обновление системы"
Рекомендация "На ваших компьютерах должны быть установлены обновления системы" теперь доступна во всех облаках для государственных организаций.
Скорее всего, это изменение повлияет на оценку безопасности подписки на облако для государственных организаций. Мы ожидаем, что изменение приведет к уменьшению оценки, но в некоторых случаях добавление рекомендации может обеспечить увеличение оценки.
Декабрь 2021 г.
В декабре добавлены следующие обновления:
- Microsoft Defender для плана контейнеров, выпущенного для общедоступной версии
- оповещения New для Microsoft Defender для хранилища, выпущенного для общедоступной версии (GA)
- Improvements to alerts for Microsoft Defender for Storage
- Оповещение PortSweeping удалено из списка оповещений сетевого уровня
Microsoft Defender для планов контейнеров, выпущенных для общедоступной доступности
Более двух лет назад мы представили Defender для Kubernetes и Defender для реестров контейнеров в рамках предложения Azure Defender в Microsoft Defender для облака.
С выпуском Microsoft Defender для контейнеров мы объединили эти два существующих плана Defender.
Преимущества нового плана:
- Объединение функций двух имеющихся планов. Обнаружение угроз для кластеров Kubernetes и оценка уязвимостей для образов, хранящихся в реестрах контейнеров.
- Добавление новых и улучшенных функций. В том числе обеспечение поддержки нескольких облаков, обнаружение угроз на уровне узла с более чем 60 новыми средствами аналитики с поддержкой Kubernetes и оценка уязвимостей для запуска образов
- Внедрение подключения в большом масштабе собственными средствами Kubernetes. По умолчанию при включении плана все соответствующие компоненты настраиваются для автоматического развертывания.
В этом выпуске доступность и презентация Defender для Kubernetes и Defender для реестров контейнеров изменилась следующим образом:
- Новые подписки. Два предыдущих плана контейнеров больше не доступны.
- Существующие подписки — где бы они ни отображались на портале Azure, Планы отображаются как Deprecated с инструкциями по обновлению до более нового плана
Новый план предоставляется бесплатно в течение декабря 2021 года. Сведения о потенциальных изменениях в выставлении счетов со старых планов на Defender для контейнеров и дополнительные сведения о преимуществах, представленных с этим планом, см. в разделе Introducing Microsoft Defender для контейнеров.
Дополнительные сведения см. в разделе:
- Overview Microsoft Defender для контейнеров
- Enable Microsoft Defender для контейнеров
- Introducing Microsoft Defender для контейнеров — Microsoft Tech Community
- Microsoft Defender для контейнеров | Defender для облака в поле #3 — YouTube
Новые оповещения для Microsoft Defender для хранилища, выпущенного для общедоступной версии
Субъекты угроз используют средства и скрипты для поиска общедоступных открытых контейнеров в попытке найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными.
Microsoft Defender для хранилища обнаруживает эти сканеры, чтобы можно было заблокировать их и исправить состояние.
Оповещение предварительной версии, которое было обнаружено, называется "Анонимное сканирование контейнеров общедоступного хранилища". Чтобы обеспечить большую ясность о обнаруженных подозрительных событиях, мы разделили это на два новых оповещения. Эти оповещения относятся только к Хранилище BLOB-объектов Azure.
Мы улучшили логику обнаружения, обновили метаданные оповещений, а также изменили имя и тип оповещения.
Вот новые оповещения:
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
|
Успешно обнаружены общедоступные контейнеры хранилища (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
За последний час с помощью скрипта или средства сканирования были успешно обнаружены открытые контейнеры хранилища в учетной записи хранения. Как правило, это означает атаку с рекогносцировкой, в ходе которой субъект угрозы пытается получить список больших двоичных объектов путем подбора имен контейнеров в надежде найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными. Субъект угроз может использовать собственный скрипт или использовать известные средства сканирования, такие как Microburst, для проверки открытых контейнеров. ✔ Хранилище BLOB-объектов Azure ✖ Файлы Azure ✖ Azure Data Lake Storage 2-го поколения |
Collection | Medium |
|
Успешно просканированы общедоступные контейнеры хранилища (Storage.Blob_OpenContainersScanning.FailedAttempt) |
За последний час был предпринят ряд неудачных попыток сканирования общедоступных открытых контейнеров хранилища. Как правило, это означает атаку с рекогносцировкой, в ходе которой субъект угрозы пытается получить список больших двоичных объектов путем подбора имен контейнеров в надежде найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными. Субъект угроз может использовать собственный скрипт или использовать известные средства сканирования, такие как Microburst, для проверки открытых контейнеров. ✔ Хранилище BLOB-объектов Azure ✖ Файлы Azure ✖ Azure Data Lake Storage 2-го поколения |
Collection | Low |
Дополнительные сведения см. в разделе:
- Таблица угроз для служб хранилища
- Overview Microsoft Defender для хранилища
- List оповещений, предоставляемых Microsoft Defender для хранилища
Улучшения оповещений для Microsoft Defender для хранилища
Для оповещений о начальном доступе улучшена точность и добавлены дополнительные данные для поддержки расследования.
При начальном доступе субъекты угроз используют различные методы, позволяющие им внедриться в сеть. Два оповещения Microsoft Defender для хранилища, которые обнаруживают аномалии поведения на этом этапе, теперь улучшили логику обнаружения и дополнительные данные для поддержки исследований.
Если вы настроили автоматизацию или определили правила подавления оповещений для этих оповещений в прошлом, обновите их в соответствии с этими изменениями.
Обнаружение доступа из выходного узла Tor
Доступ из выходного узла Tor может указывать на то, что субъект угрозы пытается скрыть свое удостоверение.
Теперь оповещение настроено так, чтобы оно создавалось только при доступе с проверкой подлинности, что обеспечит более высокую точность и уверенность в том, что действие является вредоносным. Это улучшение сокращает частоту неопасных положительных срабатываний.
Нехарактерный шаблон будет иметь высокий уровень серьезности, а менее аномальные шаблоны — среднюю серьезность.
Обновлены имя и описание оповещения. AlertType остается без изменений.
- Имя оповещения (старое). Доступ из выходного узла Tor к учетной записи хранения
- Имя оповещения (новое). Доступ с проверкой подлинности из выходного узла Tor
- Типы оповещений: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Описание. С IP-адреса, известного как активный выходной узел Tor (анонимизирующий прокси-сервер) успешно получен доступ к одному или нескольким контейнерам хранилища либо одной или нескольким общим папкам в вашей учетной записи хранения. Субъекты угроз используют Tor, чтобы усложнить трассировку активности. Доступ с проверкой подлинности с выходного узла TOR, скорее всего, указывает на то, что субъект угрозы пытается скрыть свое удостоверение. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения
- Тактика MITRE: первоначальный доступ
- Серьезность: высокий или средний
Необычный доступ без проверки подлинности
Изменение шаблонов доступа может указывать на то, что субъект угроз мог использовать общедоступный доступ на чтение к контейнерам хранилища, используя ошибку в конфигурациях доступа или изменив разрешения доступа.
Это оповещение средней серьезности теперь настраивается с использованием улучшенной логики поведения и обеспечением большей точности и уверенности в том, что действие является вредоносным. Это улучшение сокращает частоту неопасных положительных срабатываний.
Обновлены имя и описание оповещения. AlertType остается без изменений.
- Имя оповещения (старое). Анонимный доступ к учетной записи хранения
- Имя оповещения (новое). Необычный доступ без проверки подлинности к контейнеру хранилища
- Типы оповещений: Storage.Blob_AnonymousAccessAnomaly
- Описание. Доступ к этой учетной записи хранения осуществлялся без проверки подлинности, что указывает на изменение обычного шаблона доступа. Для доступа на чтение в этом контейнере обычно необходимо пройти проверку подлинности. Это может означать, что субъекту угрозы удалось воспользоваться открытым доступом на чтение в контейнерах хранилища в этих учетных записях хранения. Применимо к: Хранилище BLOB-объектов Azure
- Тактика MITRE: сбор данных
- Серьезность: средний
Дополнительные сведения см. в разделе:
- Таблица угроз для служб хранилища
- Introduction to Microsoft Defender for Storage
- List оповещений, предоставляемых Microsoft Defender для хранилища
Оповещение PortSweeping удалено из списка оповещений сетевого уровня
Следующее оповещение было удалено из списка оповещений сетевого уровня из-за неэффективности:
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
|
Possible outgoing port scanning activity detected (Обнаружено возможное действие сканирования исходящего порта) (PortSweeping) |
При анализе сетевого трафика %{скомпрометированный_узел} обнаружена подозрительная сетевая активность. Этот трафик может быть результатом действия сканирования портов. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). Если это поведение намеренно, обратите внимание, что при проверке портов Azure условия обслуживания. Если это поведение непреднамеренно, это может означать, что ресурс скомпрометирован. | Discovery | Medium |
Ноябрь 2021 г.
Наш выпуск Ignite включает в себя следующее:
- Центр безопасности Azure и Azure Defender стать Microsoft Defender для облака
- Собственный класс CSPM для AWS и защита от угроз для Amazon EKS и AWS EC2
- Приоритизировать действия безопасности по конфиденциальности данных (на базе Microsoft Purview) (в предварительной версии)
- Наследуемые оценки системы безопасности с Azure Тест безопасности версии 3
- Microsoft Sentinel необязательной двунаправленной синхронизации оповещений, выпущенной для общедоступной версии (GA)
- рекомендация New для отправки журналов Azure Kubernetes Service (AKS) в Microsoft Sentinel
- Рекомендации, сопоставленные с платформой MITRE ATT&CK®, выпущены для общедоступной доступности (GA)
К другим ноябрьским изменениям относятся:
- Microsoft Управление угрозами и уязвимостями, добавленное в качестве решения для оценки уязвимостей, выпущенное для общедоступной версии (GA)
- Microsoft Defender для конечной точки для Linux теперь поддерживается Microsoft Defender для серверов— выпущено для общедоступной версии (GA)
- Экспорт моментальных снимков для получения рекомендаций и сведений о безопасности (предварительная версия)
- Автоматическая подготовка решений для оценки уязвимостей, выпущенных для общедоступной доступности (GA)
- Фильтры инвентаризации программного обеспечения в системе инвентаризации ресурсов (общедоступная версия)
- Новая политика безопасности AKS, добавленная в инициативу по умолчанию — предварительная версия
- Для экрана инвентаризации на локальных компьютерах для имени ресурса будет применяться другой шаблон
Центр безопасности Azure и Azure Defender стать Microsoft Defender для облака
В соответствии с отчетом о состоянии облака за 2021 г. 92 % организаций на данный момент уже имеют стратегию использования нескольких облаков. В Microsoft наша цель — централизация безопасности в средах, а также более эффективная работа команд безопасности.
Microsoft Defender для облака — это решение cloud Security Posture Management (CSPM) и Cloud Workload Protection Platform (CWPP), которое обнаруживает слабые места в вашей облачной конфигурации, помогает укрепить общую позицию безопасности среды и защищает рабочие нагрузки в многооблачных и гибридных средах.
В Ignite 2019 мы поделились нашим видением, чтобы создать самый полный подход к защите цифровых активов и интеграции технологий XDR под брендом Microsoft Defender. Объединение Центр безопасности Azure и Azure Defender с новым именем Microsoft Defender для облака отражает интегрированные возможности нашего предложения по безопасности и нашу способность поддерживать любую облачную платформу.
Собственный класс CSPM для AWS и защита от угроз для Amazon EKS и AWS EC2
Новая страница параметров среды обеспечивает большую видимость и контроль над группами управления, подписками и учетными записями AWS. Эта страница предназначена для подключения учетных записей AWS в масштабе: подключение учетной записи управления AWS и автоматическое подключение существующих и будущих учетных записей.
При добавлении учетных записей AWS Defender для облака защищает ресурсы AWS с помощью любого или всех следующих планов:
- функции CSPM Defender для облака распространяется на ресурсы AWS. Этот безагентный план оценивает ресурсы AWS в соответствии со специально разработанными для AWS рекомендациями по безопасности, и эти рекомендации учитываются в вашей оценке безопасности. Ресурсы также будут оцениваться на соответствие встроенным стандартам AWS (AWS CIS, AWS PCI DSS и AWS Foundational Security Best Practices). страница инвентаризации Defender для облака asset — это функция с поддержкой нескольких облаков, которая помогает управлять ресурсами AWS вместе с ресурсами Azure.
- Microsoft Defender для Kubernetes расширяет обнаружение угроз контейнера и расширенную защиту к кластерам Amazon EKS Linux.
- Microsoft Defender для серверов обеспечивает обнаружение угроз и расширенную защиту к экземплярам Windows и Linux EC2. Этот план включает интегрированную лицензию для Microsoft Defender для конечной точки, базовых показателей безопасности и оценки уровней ОС, проверки уязвимостей, адаптивных элементов управления приложениями (AAC), мониторинга целостности файлов (FIM) и т. д.
Дополнительные сведения о подключении учетных записей AWS к Microsoft Defender для облака.
Приоритет действий безопасности по конфиденциальности данных (на базе Microsoft Purview) (в предварительной версии)
Ресурсы данных остаются популярным целевым объектом для субъектов угроз. Поэтому крайне важно, чтобы отделы безопасности выявляли и защищали ресурсы конфиденциальных данных в облачных средах, а также определяли их приоритеты.
Для решения этой проблемы Microsoft Defender для облака теперь интегрирует сведения о конфиденциальности из Microsoft Purview. Microsoft Purview — это единая служба управления данными, которая предоставляет широкие сведения о конфиденциальности данных в мультиоблачных и локальных рабочих нагрузках.
Интеграция с Microsoft Purview расширяет видимость безопасности в Defender для облака от уровня инфраструктуры до данных, позволяя совершенно новому способу определить приоритеты ресурсов и действий безопасности для команд безопасности.
Дополнительные сведения см. в разделе Ранжирование действий по обеспечению безопасности с учетом конфиденциальности данных.
Расширенные оценки системы управления безопасностью с помощью Azure Тест безопасности версии 3
Рекомендации по безопасности в Defender для облака поддерживаются тестом безопасности Azure.
Azure Тест безопасности является Microsoft специально Azure созданным набором рекомендаций по обеспечению безопасности и соответствия требованиям на основе общих платформ соответствия требованиям. Это широко принятое тестирование основано на стандартах Центра Интернет-безопасности (CIS) и Национального института стандартов и технологий (NIST) с ориентацией на облачную безопасность.
В Ignite 2021 Azure Security Benchmark v3 доступна в панели мониторинга соответствия требованиям Defender для облака и включена как новая инициатива по умолчанию для всех подписок Azure, защищенных Microsoft Defender для облака.
Среди улучшений в версии 3:
Дополнительные сопоставления с отраслевыми платформами PCI-DSS версии 3.2.1 и CIS Controls версии 8.
Более детализированные и практичные рекомендации для элементов управления благодаря внедрению следующих возможностей:
- Принципы безопасности . Предоставление сведений о общих целях безопасности, которые создают основу для наших рекомендаций.
- Azure руководство — техническое руководство по достижению этих целей.
Новые элементы управления включают безопасность DevOps для таких проблем, как моделирование угроз и безопасность цепочки поставок программного обеспечения, а также управление ключами и сертификатами для рекомендаций в Azure.
Дополнительные сведения см. в разделе Introduction to Azure Security Benchmark.
Microsoft Sentinel необязательной двунаправленной синхронизации оповещений соединителя, выпущенной для общедоступной версии
В июле we объявил предварительную версию функции, би-направление синхронизации оповещений для встроенного соединителя в Microsoft Sentinel (облачное решение SIEM и SOAR Microsoft). Теперь эта функция общедоступна.
При подключении Microsoft Defender для облака к Microsoft Sentinel состояние оповещений системы безопасности синхронизируется между двумя службами. Например, если оповещение закрыто в Defender для облака, это оповещение будет отображаться как закрытое в Microsoft Sentinel. Изменение состояния оповещения в Defender для облака не влияет на состояние любого оповещения Microsoft Sentinel incidents, содержащего синхронизированное оповещение Microsoft Sentinel, только то, что самого синхронизированного оповещения.
Если включить синхронизацию оповещений bi-directional alert вы автоматически синхронизируете состояние исходных оповещений Defender для облака с инцидентами Microsoft Sentinel, содержащими копии этих оповещений. Например, при закрытии инцидента Microsoft Sentinel, содержащего оповещение Defender для облака, Defender для облака автоматически закроет соответствующее исходное оповещение.
Дополнительные сведения см. в оповещениях Azure Defender Connect с Центр безопасности Azure и Stream для Microsoft Sentinel.
Новая рекомендация по отправке журналов Azure Kubernetes Service (AKS) в Microsoft Sentinel
В дополнительном улучшении объединенного значения Defender для облака и Microsoft Sentinel теперь мы рассмотрим Служба Azure Kubernetes экземпляры, которые не отправляют данные журнала в Microsoft Sentinel.
Команды SecOps могут выбрать соответствующую рабочую область Microsoft Sentinel непосредственно на странице сведений о рекомендации и немедленно включить потоковую передачу необработанных журналов. Такое прозрачное подключение между двумя продуктами позволяет группам безопасности с легкостью обеспечить полное покрытие процесса ведения журнала в различных рабочих нагрузках для всеобъемлющего контроля над всей средой.
В новой рекомендации "Необходимо включить журналы диагностики в службах Kubernetes" предусмотрен параметр "Исправить" для более быстрого исправления.
Мы также улучшили рекомендацию "Аудит на СЕРВЕРе SQL Server должна быть включена" с теми же Microsoft Sentinel возможностями потоковой передачи.
Рекомендации, сопоставленные с платформой MITRE ATT&CK®, выпущены для общедоступной доступности (GA)
Мы улучшили рекомендации по безопасности Defender для облака, чтобы показать свою позицию по MITRE ATT& Платформа CK®. Эта глобально доступная база знаний о тактиках и методиках субъектов угроз, основанная на результатах наблюдения в реальных условиях. Она предоставляет дополнительный контекст, позволяющий понять связанные с рекомендациями риски для вашей среды.
Эти тактики можно просмотреть в любом месте, где доступны рекомендации:
Azure Resource Graph результаты запроса для соответствующих рекомендаций включают MITRE ATT& Тактика и методы CK®.На страницах со сведениями о рекомендации отображается сопоставление для всех соответствующих рекомендаций:
Страница рекомендаций в Defender для облака имеет новый фильтр
, чтобы выбрать рекомендации в соответствии с соответствующей тактикой:
Дополнительные сведения см. в статье Проверка рекомендаций по обеспечению безопасности.
Microsoft Управление угрозами и уязвимостями, добавленное в качестве решения для оценки уязвимостей, выпущенное для общедоступной доступности (GA)
В октябре we объявил расширение интеграции между Microsoft Defender для серверов и Microsoft Defender для конечной точки для поддержки нового поставщика оценки уязвимостей для компьютеров: Microsoft управления угрозами и уязвимостями. Теперь эта функция общедоступна.
Используйте управление уязвимостей и управление уязвимостями для обнаружения уязвимостей и ошибок в режиме реального времени с помощью функции интеграции с включенным Microsoft Defender для конечной точки и без необходимости дополнительных агентов или периодических проверок. Управление угрозами и уязвимостями обеспечивает определение приоритетов уязвимостей на основе ландшафта угроз и результатов обнаружения в организации.
Воспользуйтесь рекомендацией по безопасности Необходимо включить решение для оценки уязвимостей на виртуальных машинах, чтобы выявить уязвимости, обнаруженные модулем управления угрозами и уязвимостями, для поддерживаемых компьютеров.
Сведения о том, как автоматически выявлять уязвимости на имеющихся и новых компьютерах без необходимости вручную выполнять исправление по рекомендации, см. в разделе Решения для оценки уязвимостей теперь можно включать автоматически (предварительная версия).
Дополнительные сведения см. в разделе Инвестигейт слабых мест с помощью управления угрозами и уязвимостями Microsoft Defender для конечной точки.
Microsoft Defender для конечной точки для Linux теперь поддерживается Microsoft Defender для серверов— выпущено для общедоступной доступности (GA)
В августе we объявила предварительная версия для развертывания датчика Defender для конечной точки для Linux на поддерживаемых компьютерах Linux. Теперь эта функция общедоступна.
Microsoft Defender для серверов включает интегрированную лицензию для Microsoft Defender для конечной точки. Вместе они обеспечивают широкие возможности обнаружения конечных точек и реагирования.
Когда Defender для конечной точки обнаруживает угрозу, он активирует оповещение. Оповещение отображается в Defender для облака. В Defender для облака можно также выполнить сводку к Defender консоли конечной точки и выполнить подробное исследование, чтобы выявить область атаки.
Дополнительные сведения см. в Защита конечных точек с помощью интегрированного решения EDR Центра безопасности: Microsoft Defender для конечной точки.
Экспорт моментальных снимков для получения рекомендаций и сведений о безопасности (предварительная версия)
Defender для облака создает подробные оповещения системы безопасности и рекомендации. Их можно просматривать на портале или с помощью программных средств. Кроме того, может потребоваться экспортировать некоторые или все эти сведения для отслеживания с помощью других средств мониторинга в вашем окружении.
Функция Defender для облака континумный экспорт позволяет полностью настроить несколько будет экспортирован, а where будет идти. Дополнительные сведения см. в разделе Continly export Microsoft Defender для облака data.
Несмотря на то, что функция называется непрерывной, существует также возможность экспортировать еженедельные моментальные снимки. До настоящего момента применение этих моментальных снимков было ограничено оценкой безопасности и нормативными данными о соответствии требованиям. Мы добавили возможность экспортировать рекомендации и результаты анализа безопасности.
Автоматическая подготовка решений для оценки уязвимостей, выпущенных для общедоступной доступности (GA)
В октябре we объявил добавление решений для оценки уязвимостей на страницу автоматической подготовки Defender для облака. Это важно для Azure виртуальных машин и Azure Arc компьютеров на подписках, защищенных Azure Defender для серверов. Теперь эта функция общедоступна.
Если включена интеграция с Microsoft Defender для конечной точки Defender для облака предоставляет решения для оценки уязвимостей:
- (NEW) Модуль управления Microsoft Defender для конечной точки Microsoft угроз и уязвимостей (см. примечание о выпуске )
- Встроенный агент Qualys
Выбранное решение будет автоматически включено на поддерживаемых компьютерах.
Дополнительные сведения см. в статье Автоматическая настройка оценки уязвимостей для компьютеров.
Фильтры инвентаризации программного обеспечения в системе инвентаризации ресурсов (общедоступная версия)
В октябре мы объявили о новых фильтрах для страницы инвентаризации активов , чтобы выбрать компьютеры под управлением определенного программного обеспечения и даже указать интересующие версии. Теперь эта функция общедоступна.
Данные инвентаризации программного обеспечения можно запросить в обозревателе Azure Resource Graph.
Чтобы использовать эти функции, необходимо включить интеграцию с помощью Microsoft Defender для конечной точки.
Полные сведения, включая примеры запросов Kusto для Azure Resource Graph, см. в разделе Access инвентаризации программного обеспечения.
Новая политика безопасности AKS, добавленная в инициативу по умолчанию
Чтобы обеспечить безопасность рабочих нагрузок Kubernetes по умолчанию, Defender для облака включает политики уровня Kubernetes и рекомендации по защите, включая варианты применения с помощью контроля допуска Kubernetes.
В рамках этого проекта мы добавили политику и рекомендацию (отключены по умолчанию) для развертывания с ограничением в кластерах Kubernetes. Политика находится в инициативе по умолчанию, но относится только к организациям, которые регистрируются для связанной предварительной версии.
Вы можете просто проигнорировать политики и рекомендацию "Кластеры Kubernetes должны ограничивать развертывание уязвимых образов", и это не повлияет на вашу среду.
Если вы хотите принять участие в предварительной версии, вам потребуется быть членом кольца предварительной версии. Если вы еще не являетесь членом, отправьте запрос здесь. Участники получат уведомление о начале тестирования предварительной версии.
Для экрана инвентаризации на локальных компьютерах для имени ресурса будет применяться другой шаблон
Чтобы улучшить представление ресурсов в инвентаризации активов, мы удалили элемент source-computer-IP из шаблона для именования локальных компьютеров.
-
Предыдущий формат:
machine-name_source-computer-id_VMUUID -
Из этого обновления:
machine-name_VMUUID
Октябрь 2021 года
В октябре добавлены следующие обновления:
- Microsoft Управление угрозами и уязвимостями, добавленное в качестве решения для оценки уязвимостей (в предварительной версии)
- Теперь поддерживается автоматическое включение решений по оценке уязвимостей (предварительная версия)
- В инвентаризацию ресурсов добавлены фильтры инвентаризации программного обеспечения (предварительная версия)
- Изменен префикс некоторых типов оповещений с "ARM_" на "VM_"
- Изменения в логике рекомендации по безопасности для кластеров Kubernetes
- Страницы сведений о рекомендациях теперь содержат связанные рекомендации
- оповещения New для Azure Defender для Kubernetes (в предварительной версии)
Microsoft управление угрозами и уязвимостями, добавленное в качестве решения для оценки уязвимостей (в предварительной версии)
Мы расширили интеграцию между Azure Defender для серверов и Microsoft Defender для конечной точки для поддержки нового поставщика оценки уязвимостей для компьютеров: Microsoft.
Используйте управление уязвимостей и управление уязвимостями для обнаружения уязвимостей и ошибок в режиме реального времени с помощью функции интеграции с включенным Microsoft Defender для конечной точки и без необходимости дополнительных агентов или периодических проверок. Управление угрозами и уязвимостями обеспечивает определение приоритетов уязвимостей на основе ландшафта угроз и результатов обнаружения в организации.
Воспользуйтесь рекомендацией по безопасности Необходимо включить решение для оценки уязвимостей на виртуальных машинах, чтобы выявить уязвимости, обнаруженные модулем управления угрозами и уязвимостями, для поддерживаемых компьютеров.
Сведения о том, как автоматически выявлять уязвимости на имеющихся и новых компьютерах без необходимости вручную выполнять исправление по рекомендации, см. в разделе Решения для оценки уязвимостей теперь можно включать автоматически (предварительная версия).
Дополнительные сведения см. в разделе Инвестигейт слабых мест с помощью управления угрозами и уязвимостями Microsoft Defender для конечной точки.
Теперь поддерживается автоматическое включение решений по оценке уязвимостей (предварительная версия)
Страница автоматической подготовки Центра безопасности теперь включает возможность автоматического включения решения оценки уязвимостей для Azure виртуальных машин и Azure Arc компьютеров на подписках, защищенных Azure Defender для серверов.
Если включена интеграция с Microsoft Defender для конечной точки Defender для облака предоставляет решения для оценки уязвимостей:
- (NEW) Модуль управления Microsoft Defender для конечной точки Microsoft угроз и уязвимостей (см. примечание о выпуске )
- Встроенный агент Qualys
Выбранное решение будет автоматически включено на поддерживаемых компьютерах.
Дополнительные сведения см. в статье Автоматическая настройка оценки уязвимостей для компьютеров.
В инвентаризацию ресурсов добавлены фильтры инвентаризации программного обеспечения (предварительная версия)
Теперь страница инвентаризации активов включает фильтр для выбора компьютеров, на которых выполняется определенное программное обеспечение, и даже указать интересующие версии.
Кроме того, можно запросить данные инвентаризации программного обеспечения в Azure Resource Graph Explorer.
Чтобы использовать эти новые функции, необходимо включить интеграцию с помощью Microsoft Defender для конечной точки.
Полные сведения, включая примеры запросов Kusto для Azure Resource Graph, см. в разделе Access инвентаризации программного обеспечения.
Изменен префикс некоторых типов оповещений с "ARM_" на "VM_"
В июле 2021 года мы объявили о логической реорганизации Azure Defender для предупреждений Resource Manager
Во время реорганизации планов Defender мы переместили оповещения Azure Defender для Resource Manager на Azure Defender для серверов.
В этом обновлении мы изменили префиксы этих оповещений в соответствии с данным переназначением и заменили "ARM_" на "VM_", как показано в следующей таблице.
| Исходное имя | В результате этого изменения |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Дополнительные сведения о планах Azure Defender для Resource Manager и Azure Defender для серверов.
Изменения в логике рекомендации по безопасности для кластеров Kubernetes
Рекомендация "Кластеры Kubernetes не должны использовать пространство имен по умолчанию" препятствует использованию пространства имен по умолчанию для диапазона типов ресурсов. Удалены два типа ресурсов, включенных в эту рекомендацию: ConfigMap и Secret.
Узнайте больше об этой рекомендации и ужесточение кластеров Kubernetes в Understand Политика Azure для кластеров Kubernetes.
Страницы сведений о рекомендациях теперь содержат связанные рекомендации
Чтобы уточнить связи между различными рекомендациями, мы добавили область связанных рекомендаций на страницы сведений многих рекомендаций.
На этих страницах показаны три типа отношений:
- Предварительное условие — рекомендация, которая должна быть завершена до выбранной рекомендации
- Альтернатива — другая рекомендация, которая предоставляет другой способ достижения целей выбранной рекомендации.
- Зависимость — рекомендация, для которой выбранная рекомендация является предварительным условием
Для каждой связанной рекомендации в столбце "Затрагиваемые ресурсы" отображается число неработоспособных ресурсов.
Tip
Если связанная рекомендация неактивна, реализация ее зависимости еще не завершена, поэтому она недоступна.
Пример связанных рекомендаций:
Центр безопасности проверяет компьютеры на наличие поддерживаемых решений для оценки уязвимостей:
Необходимо включить решение для оценки уязвимостей на виртуальных машинахПри обнаружении одного из них вы будете получать уведомления об обнаруженных уязвимостях:
Должны быть устранены уязвимости на ваших виртуальных машинах.
Очевидно, что Центр безопасности не сможет уведомлять вас об обнаруженных уязвимостях, если он не найдет поддерживаемое решение для оценки уязвимостей.
Therefore:
- Рекомендация № 1 является необходимым условием для рекомендаций № 2.
- Рекомендация № 2 зависит от рекомендации № 1
Новые оповещения для Azure Defender для Kubernetes (в предварительной версии)
Чтобы расширить защиту от угроз, предоставляемую Azure Defender для Kubernetes, мы добавили два предварительных оповещения.
Эти оповещения создаются на основе новой модели машинного обучения и расширенной аналитики Kubernetes, измерения нескольких атрибутов развертывания и назначения ролей для предыдущих действий в кластере и во всех кластерах, отслеживаемых Azure Defender.
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
|
Аномальное развертывание модулей pod (предварительная версия) (K8S_AnomalousPodDeployment) |
Анализ журнала аудита Kubernetes обнаружил аномальное развертывание pod на основе предыдущего действия развертывания. Это действие считается аномальным при изучении того, как различные функции в операции развертывания связаны друг с другом. Отслеживаемые функции включают используемый реестр образов контейнера, учетную запись развертывания, день недели, частоту развертывания для этой учетной записи, используемый агент пользователя, шаблоны развертывания пространства имен и другие характеристики. Расширенные свойства оповещения подробно описывают основные причины для определения этого как аномального действия. | Execution | Medium |
|
Excessive role permissions assigned in Kubernetes cluster (Preview) (Избыточные разрешения роли, назначенные в кластере Kubernetes (предварительная версия)) (K8S_ServiceAcountPermissionAnomaly) |
При анализе журналов аудита Kubernetes обнаружено назначение избыточных разрешений роли для кластера. Результаты изучения назначений ролей свидетельствуют о том, что указанные разрешения не являются общими для конкретной учетной записи службы. Это обнаружение учитывает предыдущие назначения ролей одной учетной записи службы в кластерах, отслеживаемых Azure, тома на разрешение и влияние конкретного разрешения. Модель обнаружения аномалий, используемая для этого оповещения, учитывает, как это разрешение используется во всех кластерах, отслеживаемых Azure Defender. | Эскалация привилегий | Low |
Полный список оповещений Kubernetes см. в разделе "Оповещения для контейнеров — кластеры Kubernetes" статьи "Оповещения системы безопасности — справочное руководство".
Сентябрь 2021 года
В сентябре было выпущено следующее обновление:
Две новые рекомендации по аудиту конфигураций ОС для соответствия базовым требованиям безопасности Azure (в предварительной версии)
Следующие две рекомендации были выпущены для оценки соответствия компьютеров базовым показателем безопасности Windows и базовым показателем безопасности Linux:
- Для Windows компьютеров Vulnerabilities в конфигурации безопасности на компьютерах Windows следует исправить (на базе гостевой конфигурации)
- Для компьютеров с Linux: Необходимо устранить уязвимости в конфигурации безопасности на ваших компьютерах Linux (на базе гостевой конфигурации).
Эти рекомендации используют функцию гостевой конфигурации Политика Azure для сравнения конфигурации ОС компьютера с базовым уровнем, определенным в Azure Security Benchmark.
Дополнительные сведения об использовании этих рекомендаций см. в разделе Защита конфигурации ОС компьютера с помощью гостевой конфигурации.
Август 2021 г.
В августе добавлены следующие обновления:
- Microsoft Defender для конечной точки для Linux теперь поддерживается Azure Defender для серверов (предварительная версия)
- Две новые рекомендации по управлению решениями для защиты конечных точек (предварительные версии)
- Встроенные средства устранения неполадок и руководство по решению распространенных проблем
- Панели мониторинга соответствия требованиям Azure аудита, выпущенные для общедоступной версии (GA)
- Deprecated рекомендация "проблемы со работоспособностью агента Log Analytics должны быть устранены на компьютерах
- Azure Defender для реестров контейнеров теперь проверяет наличие уязвимостей в реестрах, защищенных Приватный канал Azure
- Security Center теперь может автоматически подготовить расширение гостевой конфигурации Политика Azure (в предварительной версии)
- Теперь рекомендации поддерживают "Принудительное применение".
- Экспорт в CSV данных рекомендаций теперь ограничен 20 МБ
- Страница рекомендаций теперь состоит из нескольких представлений
Microsoft Defender для конечной точки для Linux теперь поддерживается Azure Defender для серверов (предварительная версия)
Azure Defender для серверов включает интегрированную лицензию для Microsoft Defender для конечной точки. Вместе они обеспечивают широкие возможности обнаружения конечных точек и реагирования.
Когда Defender для конечной точки обнаруживает угрозу, он активирует оповещение. Оповещение отображается в Центре безопасности. В Центре безопасности можно также развернуть Defender консоли конечной точки и выполнить подробное исследование, чтобы выявить область атаки.
В течение периода предварительной версии вы развернете датчик Defender для конечной точки для Linux для поддерживаемых компьютеров Linux одним из двух способов в зависимости от того, развернут ли он уже на Windows компьютерах:
- Existing пользователей с включенными расширенными функциями безопасности Defender для облака и Microsoft Defender для конечной точки для Windows
- Новые пользователи, которые никогда не включили интеграцию с Microsoft Defender для конечной точки для Windows
Дополнительные сведения см. в Защита конечных точек с помощью интегрированного решения EDR Центра безопасности: Microsoft Defender для конечной точки.
Две новые рекомендации по управлению решениями для защиты конечных точек (предварительные версии)
Мы добавили две рекомендации по предварительной версии для развертывания и обслуживания решений защиты конечных точек на компьютерах. Обе рекомендации включают поддержку Azure виртуальных машин и машин, подключенных к серверам с поддержкой Azure Arc.
| Recommendation | Description | Severity |
|---|---|---|
| Необходимо установить Endpoint Protection на ваших компьютерах | Чтобы защитить компьютеры от угроз и уязвимостей, установите поддерживаемое решение для защиты конечных точек.
Узнайте, как оценивается защита конечных точек для компьютеров. (Связанная политика: Monitor отсутствует Endpoint Protection в Центр безопасности Azure) |
High |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Центр безопасности Azure поддерживаемые решения для защиты конечных точек описаны here. Оценка защиты конечных точек описана здесь. (Связанная политика: Monitor отсутствует Endpoint Protection в Центр безопасности Azure) |
Medium |
Note
В рекомендациях показан интервал обновления в 8 часов, но в некоторых сценариях он может значительно большим. Например, при удалении локального компьютера требуется 24 часа, чтобы центр безопасности идентифицировать удаление. И потребуется еще 8 часов, чтобы выполнить оценку информации, которую необходимо вернуть. В этой конкретной ситуации может потребоваться 32 часа, чтобы компьютер был удален из списка затронутых ресурсов.
Встроенные средства устранения неполадок и руководство по решению распространенных проблем
Новая, выделенная область страниц Центра безопасности на портале Azure предоставляет все более широкий набор материалов для самостоятельной помощи для решения распространенных проблем с центром безопасности и Azure Defender.
Если у вас возникла проблема или вы хотите получить совет от нашей группы поддержки, попробуйте найти решение с помощью инструмента Диагностика и устранение неполадок.
Панель мониторинга соответствия нормативным требованиям Azure отчеты аудита, выпущенные для общедоступной доступности (GA)
Панель инструментов панели мониторинга соответствия нормативным требованиям предлагает Azure и Dynamics отчеты о сертификации для стандартов, применяемых к подпискам.
Можно выбрать вкладку для соответствующих типов отчетов (PCI, SOC, ISO и др.) и использовать фильтры для поиска нужных отчетов.
Дополнительные сведения см. в разделе Создание отчетов о состоянии соответствия и сертификатов.
Нерекомендуемая рекомендация "проблемы работоспособности агента Log Analytics должны быть устранены на компьютерах".
Мы обнаружили, что рекомендации Log Analytics проблемы со работоспособностью агента должны быть устранены на компьютерах влияют на оценки безопасности таким образом, что не соответствует фокусу Cloud Security Posture Management (CSPM) Центра безопасности. Как правило, CSPM относится к выявлению нетипичных конфигураций безопасности. Проблемы работоспособности агентов не попадают в эту категорию.
Кроме того, рекомендация является отклонением при сравнении с другими агентами, связанными с Центром безопасности: это единственный агент с рекомендацией, относящейся к проблемам работоспособности.
Рекомендация не рекомендуется.
В результате этого отмены мы также внесли незначительные изменения в рекомендации по установке агента Log Analytics (Log Analytics агент должен быть установлен на... ).
Скорее всего, это изменение повлияет на ваши оценки безопасности. Мы предполагаем, что для большинства подписок оно приведет к повышению оценки, но в определенных обстоятельствах такие изменения в рекомендациях по установке могут привести и к их снижению.
Tip
Страница инвентаризации активов также повлияла на это изменение, так как оно отображает отслеживаемое состояние компьютеров (отслеживаемое, не отслеживаемое или частично отслеживаемое - состояние, которое относится к агенту с проблемами работоспособности).
Azure Defender для реестров контейнеров теперь проверяет наличие уязвимостей в реестрах, защищенных Приватный канал Azure
Azure Defender для реестров контейнеров включает сканер уязвимостей для сканирования образов в Реестр контейнеров Azure реестрах. Узнайте, как сканировать реестры и устранять результаты в Использовать Azure Defender для реестров контейнеров для проверки образов на наличие уязвимостей.
Чтобы ограничить доступ к реестру, размещенного в Реестр контейнеров Azure, назначьте частные IP-адреса виртуальной сети конечным точкам реестра и используйте Приватный канал Azure, как описано в Connect приватно Azure container registry с помощью Приватный канал Azure.
В рамках наших текущих усилий по поддержке дополнительных сред и вариантов использования Azure Defender теперь также сканирует реестры контейнеров, защищенные Приватный канал Azure.
Центр безопасности теперь может автоматически подготовить расширение гостевой конфигурации Политика Azure (в предварительной версии)
Политика Azure может выполнять аудит параметров внутри компьютера как для компьютеров, работающих на Azure, так и на подключенных компьютерах Arc. Проверка выполняется с помощью расширения гостевой конфигурации и клиента. Узнайте больше о гостевой конфигурации Understand Политика Azure.
После этого обновления в Центре безопасности можно настраивать автоматическую подготовку этого расширения на всех поддерживаемых компьютерах.
Дополнительные сведения о том, как работает автопроизвидение, см. в разделе "Настройка автоматической подготовки для агентов и расширений".
Рекомендации теперь поддерживают "Принудительное применение"
Центр безопасности включает две функции, которые помогают обеспечить безопасную подготовку новых ресурсов: принудительное применение и запрет. Если в рекомендацию включены такие варианты, то при каждой попытке создать ресурс вы сможете обеспечить соблюдение требований безопасности:
- Запрет останавливает создание неработоспособных ресурсов
- Принудительное автоматическое исправление несоответствующих ресурсов при создании
В этом обновлении теперь доступен параметр принудительного применения рекомендаций для включения планов Azure Defender (например, Azure Defender для службы приложений должен быть включен, Azure Defender для Key Vault должен быть включен, Azure Defender для хранилища следует включить).
Подробнее об этих возможностях см. раздел Предотвращение ошибок конфигурации с помощью рекомендаций о применении и отклонении.
Экспорт данных рекомендаций в CSV-файл теперь ограничен 20 МБ
Мы установили ограничение в 20 МБ для экспорта данных рекомендаций Центра безопасности Azure.
Если необходимо экспортировать большие объемы данных, используйте фильтры перед выбором или выбирайте подмножества подписок и скачивайте данные пакетами.
Узнайте больше об экспорте рекомендаций по безопасности в формате CSV.
Страница рекомендаций теперь состоит из нескольких представлений
На странице рекомендаций теперь есть две вкладки, которые обеспечивают разные возможности просмотра рекомендаций для ваших ресурсов:
- Рекомендации по безопасной оценке. Используйте эту вкладку для просмотра списка рекомендаций, сгруппированных по элементам управления безопасностью. Подробнее об этих элементах управления см. в разделе Элементы управления безопасностью и рекомендации по ним.
- Все рекомендации . Используйте эту вкладку для просмотра списка рекомендаций в виде неструктурированного списка. На этой вкладке также можно четко определить, что является основанием для создания рекомендации (в том числе стандарты нормативного соответствия). Подробнее об инициативах и том, как они связаны с рекомендациями, см. в разделе Что собой представляют политики безопасности, а также инициативы и рекомендации по ее обеспечению?
Июль 2021 г.
В июле добавлены следующие обновления:
- соединитель Microsoft Sentinel теперь включает необязательную двунаправленную синхронизацию оповещений (в предварительной версии)
- Logical реорганизации Azure Defender для оповещений Resource Manager
- Enhancements, чтобы включить Шифрование дисков Azure (ADE)
- Функция непрерывного экспорта данных об оценке безопасности и соответствии нормативным требованиям, выпущенных для общедоступной версии (GA)
- Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (общедоступная версия, GA)
- Поля "FirstEvaluationDate" и "StatusChangeDate" программного интерфейса оценки теперь доступны в схемах рабочей области и приложениях логики
- шаблон книги "Соответствие с течением времени", добавленный в коллекцию Azure Monitor книг
соединитель Microsoft Sentinel теперь включает необязательную двунаправленную синхронизацию оповещений (в предварительной версии)
Центр безопасности изначально интегрируется с Microsoft Sentinel, облачным решением SIEM и SOAR Azure.
Microsoft Sentinel включает встроенные соединители для Центр безопасности Azure на уровне подписки и клиента. Дополнительные сведения см. в оповещениях Stream для Microsoft Sentinel.
При подключении Azure Defender к Microsoft Sentinel состояние оповещений Azure Defender, которые получают прием в Microsoft Sentinel, синхронизируются между двумя службами. Например, если оповещение закрыто в Azure Defender, это оповещение будет отображаться как закрытое в Microsoft Sentinel. Изменение состояния оповещения в Azure Defender "не будет"* влиять на состояние любого Microsoft Sentinel incidents, содержащего синхронизированное оповещение Microsoft Sentinel, только для синхронизированного оповещения.
При включении предварительной версии функции би-направление синхронизации оповещений автоматически синхронизирует состояние исходных оповещений Azure Defender с инцидентами Microsoft Sentinel, содержащими копии этих оповещений Azure Defender. Например, если инцидент Microsoft Sentinel, содержащий оповещение Azure Defender, закрывается, Azure Defender автоматически закроет соответствующее исходное оповещение.
Дополнительные сведения см. в оповещениях Connect Azure Defender из Центр безопасности Azure.
Логическая реорганизация Azure Defender для оповещений Resource Manager
Приведенные ниже оповещения были предоставлены в рамках плана Azure Defender для плана Resource Manager.
В рамках логической реорганизации некоторых планов Azure Defender мы переместили некоторые оповещения из Azure Defender для Resource Manager на Azure Defender для серверов.
Оповещения упорядочивают в соответствии с двумя основными принципами:
- Оповещения, обеспечивающие защиту уровня управления во многих типах ресурсов Azure, являются частью Azure Defender для Resource Manager
- Оповещения, которые защищают определенные рабочие нагрузки, находятся в плане Azure Defender, связанном с соответствующей рабочей нагрузкой.
Это оповещения, которые были частью Azure Defender для Resource Manager, и которые в результате этого изменения теперь являются частью Azure Defender для серверов:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Дополнительные сведения о планах Azure Defender для Resource Manager и Azure Defender для серверов.
Улучшения рекомендаций по включению Шифрование дисков Azure (ADE)
После получения отзывов пользователей мы переименовали рекомендацию На виртуальных машинах следует применять шифрование дисков.
В новой рекомендации под названием На виртуальных машинах следует шифровать временные диски, кэш и потоки данных между ресурсами службы вычислений и службы хранилища Azure используется тот же идентификатор оценки.
Кроме того, обновлено описание, чтобы лучше разъяснить цель этой рекомендации по усилению защиты:
| Recommendation | Description | Severity |
|---|---|---|
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию ОС виртуальной машины и диски данных шифруются неактивных с помощью ключей, управляемых платформой; Временные диски и кэши данных не шифруются, а данные не шифруются при потоке между вычислительными ресурсами и ресурсами хранилища. Дополнительные сведения см. в разделе компарисон различных технологий шифрования дисков в Azure. Используйте Шифрование дисков Azure для шифрования всех этих данных. Не учитывайте эту рекомендацию, если: (1) вы используете функцию шифрования на узле или (2) шифрование на стороне сервера в Управляемые диски соответствует вашим требованиям безопасности. Дополнительные сведения см. в разделе "Шифрование на стороне сервера" Хранилище дисков Azure. |
High |
Функция непрерывного экспорта данных об оценке безопасности и соответствии нормативным требованиям, выпущенных для общедоступной версии (GA)
Непрерывный экспорт предоставляет механизм экспорта оповещений системы безопасности и рекомендаций для отслеживания с помощью других средств мониторинга в вашей среде.
Для настройки функции непрерывного экспорта укажите, какие элементы необходимо экспортировать, и адресата. Дополнительные сведения см. в обзоре по непрерывному экспорту.
Все это время мы улучшали и расширяли эту функцию:
В ноябре 2020 года мы добавили параметр предварительной версии для потоковой передачи изменений в оценку безопасности.
В декабре 2020 года мы добавили вариант предварительной версии для потоковой передачи изменений в данные оценки соответствия нормативным требованиям.
В этом обновлении эти две опции включены в общедоступную версию (GA).
Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (общедоступная версия, GA)
В феврале 2021 года мы добавили третий тип данных предварительной версии в параметры триггера для автоматизации рабочих процессов: изменения в оценках соответствия нормативным требованиям. Дополнительные сведения приведены в разделе Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям.
В этом обновлении этот параметр триггера выпущен для общедоступной версии (GA).
Сведения о том, как использовать средства автоматизации рабочих процессов, см. в статье Автоматизация реагирования на триггеры Центра безопасности.
Поля "FirstEvaluationDate" и "StatusChangeDate" программного интерфейса оценки теперь доступны в схемах рабочей области и приложениях логики
В мае 2021 года мы обновили API оценки с двумя новыми полями FirstEvaluationDate и StatusChangeDate. Более полная информация приведена в разделе Программный интерфейс оценки дополнен двумя новыми полями.
Эти поля были доступны через REST API, Azure Resource Graph, непрерывный экспорт и экспорт CSV.
С помощью этого изменения мы делаем информацию доступной в схеме рабочей области Log Analytics и из приложений логики.
Шаблон книги "Соответствие требованиям с течением времени", добавленный в коллекцию книг Azure Monitor
В марте мы объявили интегрированные Azure Monitor книги в Центре безопасности (см. Azure Monitor книги, интегрированные в Центр безопасности и три шаблона).
В первоначальный выпуск вошло три шаблона для создания динамических и визуальных отчетов о состоянии безопасности вашей организации.
Теперь мы добавили книгу, предназначенную для отслеживания соответствия подписок действующим нормативным требованиям или отраслевым стандартам.
Сведения об использовании этих отчетов или создании собственных см. в статье Создание интерактивных отчетов на основе данных Центра безопасности Azure.
Июнь 2021 года
В июне добавлены следующие обновления:
- оповещение New для Azure Defender для Key Vault
- Рекомендации о шифровании данных с использованием ключей, управляемых клиентом (CMK), отключены по умолчанию
- Префикс оповещений Kubernetes поменялся с "AKS_" на "K8S_"
- Две рекомендации из элемента управления безопасностью "Применить обновления системы" объявлены устаревшими
Новое оповещение для Azure Defender для Key Vault
Чтобы расширить защиту от угроз, предоставляемую Azure Defender для Key Vault, мы добавили следующее предупреждение:
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
| Доступ с подозрительного IP-адреса к хранилищу ключей (KV_SuspiciousIPAccess) |
Хранилище ключей успешно обращается к IP-адресу, который был идентифицирован Microsoft Аналитикой угроз как подозрительный IP-адрес. Это может указывать на то, что инфраструктура скомпрометирована. Рекомендуем провести дополнительное исследование. | Доступ к учетным данным | Medium |
Дополнительные сведения см. в разделе:
- Introduction to Azure Defender for Key Vault
- Respond to Azure Defender для оповещений Key Vault
- List оповещений, предоставляемых Azure Defender для Key Vault
Рекомендации о шифровании данных с использованием ключей, управляемых клиентом (CMK), отключены по умолчанию
В Центре безопасности есть несколько рекомендаций шифровать неактивные данные с помощью управляемых клиентом ключей, например:
- В реестрах контейнеров должно использоваться шифрование с помощью ключа, управляемого клиентом (CMK)
- Azure Cosmos DB учетные записи должны использовать ключи, управляемые клиентом, для шифрования неактивных данных
- Машинное обучение Azure рабочие области должны быть зашифрованы с помощью ключа, управляемого клиентом (CMK)
Данные в Azure шифруются автоматически с помощью ключей, управляемых платформой, поэтому использование управляемых клиентом ключей должно применяться только в том случае, если это необходимо для соответствия определенной политике, выбранной организацией.
В результате этого изменения рекомендации об использовании ключей CMK отключены по умолчанию. Если это актуально для вашей организации, их можно включить, изменив параметр Effect для соответствующей политики безопасности на AuditIfNotExists или Enforce. Дополнительные сведения см. в разделе "Включение рекомендации по безопасности".
Это изменение отражено в именах рекомендаций: они предваряются новым префиксом [Включить, если обязательно], как показано в следующих примерах:
- [Включить, если обязательно] Учетные записи хранения должны использовать для шифрования неактивных данных ключ, управляемый клиентом
- [Включить, если необходимо] В реестрах контейнеров должно использоваться шифрование с помощью ключа, управляемого клиентом (CMK)
- [Включить при необходимости] Azure Cosmos DB учетные записи должны использовать ключи, управляемые клиентом, для шифрования неактивных данных
Префикс оповещений Kubernetes поменялся с "AKS_" на "K8S_"
Azure Defender для Kubernetes недавно развернут для защиты кластеров Kubernetes, размещенных локально и в многооблачных средах. Дополнительные сведения см. в разделе Use Azure Defender для Kubernetes для защиты гибридных и многооблачных развертываний Kubernetes (в предварительной версии).
Чтобы отразить тот факт, что оповещения системы безопасности, предоставляемые Azure Defender для Kubernetes, больше не ограничены кластерами в Служба Azure Kubernetes, мы изменили префикс для типов оповещений с "AKS_" на "K8S_". При необходимости имена и описания были обновлены. Примером может служить следующее предупреждение:
| Оповещение (тип оповещения) | Description |
|---|---|
| Обнаружено средство тестирования на проникновение Kubernetes (AKS_PenTestToolsKubeHunter) |
Анализ журнала аудита Kubernetes обнаружил использование средства тестирования на проникновение Kubernetes в кластере AKS . Хотя такое поведение может быть допустимым, злоумышленники могут использовать такие общедоступные средства для вредоносных целей. |
Изменено на это оповещение:
| Оповещение (тип оповещения) | Description |
|---|---|
| Обнаружено средство тестирования на проникновение Kubernetes (K8S_PenTestToolsKubeHunter) |
Анализ журнала аудита Kubernetes обнаружил использование средства тестирования на проникновение Kubernetes в кластере Kubernetes . Хотя такое поведение может быть допустимым, злоумышленники могут использовать такие общедоступные средства для вредоносных целей. |
Все правила подавления, которые ссылаются на предупреждения, начинающиеся с "AKS_", были автоматически преобразованы. Если вы настроили экспорт из SIEM или пользовательские скрипты автоматизации, которые ссылаются на оповещения Kubernetes по типам оповещений, необходимо обновить в них соответствующие типы оповещений.
Полный список оповещений Kubernetes см. в разделе "Оповещения для контейнеров — кластеры Kubernetes" статьи "Оповещения системы безопасности — справочное руководство".
Две рекомендации из элемента управления безопасностью "Применить обновления системы" объявлены устаревшими
Объявлены устаревшими следующие две рекомендации:
- версия OS должна обновляться для ролей облачной службы . По умолчанию Azure периодически обновляет гостевую ОС до последнего поддерживаемого образа в семействе ОС, указанного в конфигурации службы (CSCFG), например Windows Server 2016.
- Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями. Эти оценки рекомендации применяются не так широко, как хотелось бы. Мы планируем заменить эту рекомендацию улучшенной версией, которая лучше соответствует вашим потребностям в области безопасности.
май 2021 года
В мае добавлены следующие обновления:
- Azure Defender для DNS и Azure Defender для Resource Manager, выпущенных для общедоступной версии
- Azure Defender для реляционных баз данных с открытым исходным кодом, выпущенных для общедоступной версии (GA)
- оповещения New для Azure Defender для Resource Manager
- CI/CD-сканирование образов контейнеров с помощью рабочих процессов GitHub и Azure Defender (предварительная версия)
- Для некоторых рекомендаций доступны дополнительные запросы к Resource Graph
- Изменена степень серьезности рекомендации по классификации данных SQL
- Новые рекомендации по включению возможностей доверенного запуска (предварительная версия)
- Новые рекомендации по усилению защиты кластеров Kubernetes (предварительная версия)
- В API Оценок появилось два новых поля
- На страницу инвентаризации активов добавлен фильтр по облачной среде
Azure Defender для DNS и Azure Defender для Resource Manager, выпущенных для общедоступной доступности (GA)
Эти два ориентированных на облако плана защиты от угроз стали теперь общедоступными.
Эти новые средства защиты значительно повышают устойчивость к атакам со стороны субъектов угроз и значительно увеличивают количество Azure ресурсов, защищенных Azure Defender.
Azure Defender для Resource Manager — автоматически отслеживает все операции управления ресурсами, выполняемые в вашей организации. Дополнительные сведения см. в разделе:
Azure Defender для DNS — постоянно отслеживает все запросы DNS из Azure ресурсов. Дополнительные сведения см. в разделе:
Чтобы включить эти планы было проще, учтите следующие рекомендации:
- Azure Defender для Resource Manager следует включить
- Azure Defender для DNS следует включить
Note
Включение планов Azure Defender приводит к оплате. Сведения о ценах на регион на странице цен Центра безопасности.
Azure Defender для реляционных баз данных с открытым исходным кодом, выпущенных для общедоступной версии
Центр безопасности Azure расширяет свое предложение для защиты SQL с помощью нового пакета для покрытия реляционных баз данных с открытым исходным кодом:
- Azure Defender для серверов баз данных Azure SQL — защищает серверы SQL Server на основе Azure
- Azure Defender для серверов SQL на компьютерах — расширяет те же возможности защиты на серверах SQL в гибридных, многооблачных и локальных средах.
- Azure Defender для реляционных баз данных с открытым исходным кодом — защищает отдельные серверы Azure базы данных для MySQL, PostgreSQL и MariaDB.
Azure Defender для реляционных баз данных с открытым исходным кодом постоянно отслеживает серверы для угроз безопасности и обнаруживает аномальные действия базы данных, указывающие на потенциальные угрозы для База данных Azure для MySQL, PostgreSQL и MariaDB. Некоторые примеры:
- Гранулярное обнаружение атак подбора — Azure Defender для реляционных баз данных с открытым исходным кодом предоставляет подробные сведения о попытках и успешных атаках методом подбора. Это позволяет исследовать происходящее и получить более полное представление о характере и состоянии атаки на вашу среду, чтобы затем принять адекватные меры.
- обнаружение предупреждений Behavioral — Azure Defender для реляционных баз данных с открытым исходным кодом оповещения о подозрительных и непредвиденных действиях на серверах, таких как изменения в шаблоне доступа к базе данных.
- обнаружение Threat intelligence — Azure Defender применяет аналитику угроз Microsoft и обширную базу знаний для обнаружения оповещений об угрозах, чтобы вы могли действовать против них.
Дополнительные сведения см. в Introduction, чтобы Azure Defender для реляционных баз данных с открытым кодом.
Новые оповещения для Azure Defender для Resource Manager
Чтобы расширить защиту от угроз, предоставляемую Azure Defender для Resource Manager, мы добавили следующие оповещения:
| Оповещение (тип оповещения) | Description | Тактика MITRE | Severity |
|---|---|---|---|
|
Permissions, предоставленный для роли RBAC необычным способом для среды Azure (предварительная версия) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender для Resource Manager обнаружило назначение ролей RBAC, необычное при сравнении с другими назначениями, выполненными тем же назначателем / выполненным для того же назначателя / в клиенте из-за следующих аномалий: время назначения, расположение назначателя, метод проверки подлинности, назначенные сущности, клиентское программное обеспечение, экстент назначения. Эта операция могла быть выполнена уполномоченным пользователем в вашей организации. В качестве альтернативы это может указывать на то, что учетная запись в вашей организации была взломана, и что злоумышленник пытается предоставить разрешения дополнительной учетной записи пользователя, которой он владеет. | Горизонтальное перемещение, обход защиты | Medium |
|
Привилегированная пользовательская роль, созданная для вашей подписки подозрительным образом (предварительная версия) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender для Resource Manager обнаружила подозрительное создание определения привилегированных пользовательских ролей в подписке. Эта операция могла быть выполнена уполномоченным пользователем в вашей организации. В качестве альтернативы это может указывать на то, что учетная запись в вашей организации была взломана, и что злоумышленник пытается создать привилегированную роль для использования в будущем, чтобы избежать обнаружения. | Горизонтальное перемещение, обход защиты | Low |
| операция Azure Resource Manager из подозрительного IP-адреса (предварительная версия) (ARM_OperationFromSuspiciousIP) |
Azure Defender для Resource Manager обнаружена операция с IP-адреса, который был помечен как подозрительный в каналах аналитики угроз. | Execution | Medium |
|
Azure Resource Manager операции с подозрительным IP-адресом прокси-сервера (предварительная версия) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender для Resource Manager обнаружена операция управления ресурсами из IP-адреса, связанного с прокси-службами, например TOR. Хотя подобный алгоритм поведения может быть обоснованным, зачастую он проявляется в злонамеренных действиях, когда злоумышленники пытаются скрыть свой исходный IP-адрес. | Оборона Evasion | Medium |
Дополнительные сведения см. в разделе:
- Introduction to Azure Defender for Resource Manager
- Respond to Azure Defender для оповещений Resource Manager
- Список оповещений, предоставляемых Azure Defender для Resource Manager
Проверка уязвимостей CI/CD образов контейнеров с помощью рабочих процессов GitHub и Azure Defender (предварительная версия)
Azure Defender для реестров контейнеров теперь обеспечивает наблюдаемость команд DevSecOps в рабочих процессах GitHub Actions.
Новая функция сканирования уязвимостей для образов контейнеров, использующая Trivy, помогает проверять распространенные уязвимости в образах контейнеров перед отправкой образов в реестры контейнеров.
Отчеты проверки контейнеров приведены в Центр безопасности Azure, предоставляя командам безопасности более подробные сведения о источнике уязвимых образов контейнеров и рабочих процессах и репозиториях, откуда они берутся.
Дополнительные сведения см. в статье "Обнаружение уязвимых образов контейнеров в ходе рабочих процессов CI/CD".
Для некоторых рекомендаций доступны дополнительные запросы к Resource Graph
Все рекомендации Центра безопасности могут просматривать сведения о состоянии затронутых ресурсов с помощью Azure Resource Graph из запроса Open. Полные сведения об этой мощной функции см. в данных рекомендацийReview в обозревателе Azure Resource Graph.
В Центре безопасности имеются встроенные сканеры уязвимостей, позволяющие проверять виртуальные машины, серверы SQL, их узлы и реестры контейнеров на уязвимости в системе безопасности. Результаты проверки возвращаются в виде рекомендаций, в которых собраны в единое представление все результаты по каждому типу ресурсов. Вот эти рекомендации:
- Уязвимости в образах Реестр контейнеров Azure должны быть исправлены (на базе Qualys)
- Должны быть устранены уязвимости на ваших виртуальных машинах.
- Уязвимости, обнаруженные в базах данных SQL, должны быть устранены
- Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены
При этом изменении можно использовать кнопку "Открыть запрос ", чтобы также открыть запрос, показывающий результаты безопасности.
Кнопка "Открыть запрос" предлагает дополнительные параметры для некоторых других рекомендаций, где это необходимо.
Дополнительные сведения о сканерах уязвимостей в Центре безопасности:
- Azure Defender интегрированный сканер уязвимостей Qualys для Azure и гибридных компьютеров
- Azure Defender интегрированный сканер оценки уязвимостей для серверов SQL
- интегрированный сканер оценки уязвимостей Azure Defender для реестров контейнеров
Изменена степень серьезности рекомендации по классификации данных SQL
Серьезность рекомендаций, конфиденциальных данных в базах данных SQL, должна быть классифицирована с высокой на низкую.
Это часть текущих изменений в этой рекомендации, о которых мы объявили на странице предстоящих изменений.
Новые рекомендации по включению возможностей доверенного запуска (предварительная версия)
Azure предлагает надежный запуск в качестве простого способа повышения безопасности виртуальных машин generation 2. Доверенный запуск защищает от сложных и постоянных атак. Доверенный запуск состоит из нескольких скоординированных инфраструктурных технологий, которые можно активировать независимо. Каждая технология обеспечивает следующий уровень защиты от сложных угроз. Дополнительные сведения см. в разделе Доверенный запуск виртуальных машин Azure.
Important
Для доверенного запуска требуется создание новых виртуальных машин. Доверенный запуск невозможно активировать на существующих виртуальных машинах, которые изначально были созданы без него.
В настоящее время доверенный запуск предлагается в общедоступной предварительной версии. Эта предварительная версия предлагается без соглашения об уровне обслуживания и не рекомендована для использования в рабочей среде. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены.
Рекомендация Центра безопасности vTPM должна быть включена на поддерживаемых виртуальных машинах, гарантирует, что Azure виртуальные машины используют vTPM. Эта виртуализированная версия аппаратного доверенного платформенного модуля (TPM) предоставляет возможность аттестации путем измерения всей цепочки загрузки виртуальной машины (UEFI, ОС, системы и драйверов).
Когда модуль vTPM включен, расширение аттестации гостей может удаленно проверить безопасную загрузку. Развертывание этого расширения предписывается следующими рекомендациями:
- Secure Boot следует включить на поддерживаемых виртуальных машинах Windows
- расширение аттестации Guest Attestation должно быть установлено на поддерживаемых виртуальных машинах Windows
- расширение Guest Attestation должно быть установлено в поддерживаемом Windows Масштабируемые наборы виртуальных машин
- На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей
- расширение Guest Attestation должно быть установлено в поддерживаемом linux Масштабируемые наборы виртуальных машин
Дополнительные сведения см. в разделе Доверенный запуск виртуальных машин Azure.
Новые рекомендации по усилению защиты кластеров Kubernetes (предварительная версия)
Ниже приведены рекомендации по дополнительной защите кластеров Kubernetes.
- В кластерах Kubernetes не должно использоваться пространство имен по умолчанию. Запретите использовать пространство имен по умолчанию в кластерах Kubernetes, чтобы защитить ресурсы типов ConfigMap, Pod, Secret, Service и ServiceAccount от несанкционированного доступа.
- В кластерах Kubernetes должны быть отключены учетные данные API для автоподключения. Чтобы предотвратить выполнение скомпрометированным ресурсом типа Pod команд API, воздействующих на кластеры Kubernetes, отключите учетные данные API для автоподключения.
- Кластеры Kubernetes не должны предоставлять функции безопасности CAPSYSADMIN
О том, как Центр безопасности может защитить контейнерные среды, см. в статье "Защита контейнеров в Центре безопасности".
В API Оценок появилось два новых поля
В REST API Оценок были добавлены следующие два поля:
- FirstEvaluationDate — время создания и первого вычисления рекомендации. Возвращается как время в формате UTC согласно стандарту ISO 8601.
- StatusChangeDate — время последнего изменения состояния рекомендации. Возвращается как время в формате UTC согласно стандарту ISO 8601.
Начальное значение этих полей по умолчанию для всех рекомендаций — 2021-03-14T00:00:00+0000000Z.
Для доступа к этим сведениям можно использовать любой из методов, приведенных в таблице ниже.
| Tool | Details |
|---|---|
| Вызов REST API | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Непрерывный экспорт | Эти два выделенных поля будут доступны для данных рабочей области Log Analytics |
| Экспорт CSV | Эти два поля включаются в CSV-файлы |
Дополнительные сведения о REST API Оценок см. на этой странице.
На страницу инвентаризации активов добавлен фильтр по облачной среде
На странице инвентаризации активов Центра безопасности имеется множество фильтров для быстрого уточнения отображаемого списка ресурсов. См. сведения об изучении ресурсов и управлении ими с помощью инвентаризации ресурсов.
Новый фильтр предлагает возможность уточнения списка в соответствии с облачными учетными записями, подключенными к мультиоблачной функции Центра безопасности.
Дополнительные сведения о функциях для многооблачных сред:
- Connect your AWS accounts to Центр безопасности Azure
- Connect your GCP projects to Центр безопасности Azure
Апрель 2021 г.
В апреле добавлены следующие обновления:
- Обновлена страница работоспособности ресурса (предварительная версия)
- Недавно извлеченные образы реестра контейнеров теперь повторно сканируются еженедельно (выпущено в общедоступной версии, GA)
- Use Azure Defender для Kubernetes для защиты гибридных и многооблачных развертываний Kubernetes (в предварительной версии)
- интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на виртуальном рабочем столе Windows, выпущенном для общедоступной версии
- Recommendations, чтобы включить Azure Defender для DNS и Resource Manager (в предварительной версии)
- добавлены стандарты соответствия нормативным требованиям Three: Azure CIS 1.3.0, CMMC Level 3 и New Зеландия ISM Restricted
- Четыре новые рекомендации, связанные с гостевой конфигурацией (предварительная версия)
- Рекомендации по использованию CMK перемещены в рекомендации по управлению безопасностью
- Eleven Azure Defender оповещения устарели
- Две рекомендации из элемента управления безопасностью "Apply system updates" (Применить обновления системы) объявлены нерекомендуемыми
- Azure Defender для SQL на плитке компьютера, удаленной из панели мониторинга Azure Defender
- Рекомендации были перемещены между элементами управления безопасностью
Обновлена страница работоспособности ресурса (предварительная версия)
Работоспособность ресурсов была расширена, улучшена и улучшена, чтобы обеспечить представление моментального снимка общего состояния одного ресурса.
Там можно просмотреть подробные сведения о нем и все связанные с ним рекомендации. Кроме того, если вы используете планы расширенной защиты Microsoft Defender, вы также можете увидеть выдающиеся оповещения системы безопасности для этого конкретного ресурса.
Чтобы открыть страницу работоспособности того или иного ресурса, выберите этот ресурс на странице инвентаризации активов.
На предварительной версии этой страницы в Центре безопасности отображается следующее:
- Сведения о ресурсах — группа ресурсов и подписка, к ней подключены, к географическому расположению и т. д.
- функция безопасности Applied — включена ли Azure Defender для ресурса.
- Counts невыполненных рекомендаций и оповещений — количество невыполненных рекомендаций по безопасности и Azure Defender оповещений.
- Практические рекомендации и оповещения: на двух вкладках приведены рекомендации и оповещения, относящиеся к данному ресурсу.
страница работоспособности ресурсов 
Дополнительные сведения см. здесь: "Учебник: анализ работоспособности ресурсов".
Недавно извлеченные образы реестра контейнеров теперь повторно сканируются еженедельно (выпущено в общедоступной версии)
Azure Defender для реестров контейнеров включает встроенный сканер уязвимостей. Этот сканер сразу же проверяет все образы, которые вы отправляете в реестр или извлекали за последние 30 дней.
Новые уязвимости обнаруживаются ежедневно. При этом обновлении образы контейнеров, которые были извлечены из реестров за последние 30 дней, будут пересканированы каждую неделю. Это гарантирует, что вновь обнаруженные уязвимости будут обнаружены в ваших образах.
Плата за сканирование взимается по количеству образов, поэтому дополнительная оплата за повторные сканирования отсутствует.
Дополнительные сведения об этом сканере см. в Использовать Azure Defender для реестров контейнеров для проверки образов на наличие уязвимостей.
Использование Azure Defender для Kubernetes для защиты гибридных и многооблачных развертываний Kubernetes (в предварительной версии)
Azure Defender для Kubernetes расширяет возможности защиты от угроз, чтобы защитить кластеры везде, где они развернуты. Это было включено путем интеграции с kubernetes с поддержкой
Если вы включили Azure Arc в кластерах, отличных от Azure Kubernetes, новая рекомендация из Центр безопасности Azure предлагает развернуть агент Azure Defender на них с несколькими щелчками мыши.
Используйте рекомендацию (Azure Arc кластеры Kubernetes должны иметь расширение Azure Defender) и расширение для защиты кластеров Kubernetes, развернутых в других облачных поставщиках, хотя и не в управляемых службах Kubernetes.
Эта интеграция между Центр безопасности Azure, Azure Defender и kubernetes с поддержкой Azure Arc обеспечивает следующее:
- Простая подготовка агента Azure Defender для незащищенных кластеров Kubernetes с поддержкой Azure Arc (вручную и в масштабе)
- Мониторинг агента Azure Defender и его состояния подготовки на портале Azure Arc
- Рекомендации по безопасности центра безопасности отображаются на новой странице "Безопасность" портала Azure Arc
- Обнаруженные угрозы безопасности из Azure Defender сообщаются на новой странице "Безопасность" портала Azure Arc
- кластеры Kubernetes с поддержкой Azure Arc интегрированы в платформу Центр безопасности Azure и интерфейс
Дополнительные сведения см. в разделе Use Azure Defender для Kubernetes с локальными и многооблачными кластерами Kubernetes.
рекомендация 
интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на виртуальном рабочем столе Windows, выпущенном для общедоступной версии .
Microsoft Defender для конечной точки — это комплексное решение для обеспечения безопасности конечных точек в облаке. Оно предоставляет возможности контроля и оценки уязвимостей на основе рисков, а также возможности обнаружения конечных точек и реагирования. Полный список преимуществ использования Defender для конечной точки вместе с Центр безопасности Azure см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности: Microsoft Defender для конечной точки.
Если включить Azure Defender для серверов, работающих Windows Server, в план входит лицензия для Defender для конечной точки. Если вы уже включили Azure Defender для серверов и Windows Server 2019 серверов в подписке, они автоматически получат Defender для конечной точки с этим обновлением. Вам не потребуется выполнять вручную никаких действий.
Теперь поддержка была расширена, чтобы включить Windows Server 2019 и Windows 10 на виртуальном рабочем столе Windows.
Note
Если вы включаете Defender для конечной точки на сервере Windows Server 2019, убедитесь, что он соответствует предварительным требованиям, описанным в Enable интеграции Microsoft Defender для конечной точки.
Рекомендации по включению Azure Defender для DNS и Resource Manager (в предварительной версии)
Добавлены две новые рекомендации по упрощению процесса включения Azure Defender для Resource Manager и Azure Defender для DNS:
- Azure Defender для Resource Manager следует включить — Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и оповещения о подозрительных действиях.
- Azure Defender для DNS следует включить — Defender для DNS обеспечивает дополнительный уровень защиты облачных ресурсов путем непрерывного мониторинга всех запросов DNS из Azure ресурсов. Azure Defender оповещения о подозрительных действиях на уровне DNS.
Включение планов Azure Defender приводит к оплате. Сведения о ценах на регион на странице цен Центра безопасности.
Tip
Рекомендации предварительной версии не присваивают ресурсу состояние неработоспособного и не включаются в вычисления вашей оценки безопасности. По возможности их все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку. Узнайте больше о том, как реагировать на эти рекомендации в Remediate в Центр безопасности Azure.
Добавлены три стандарта соответствия нормативным требованиям: Azure CIS 1.3.0, CMMC level 3 и New Zealand ISM Restricted
Мы добавили три стандарта для использования с Центр безопасности Azure. С помощью панели мониторинга соответствия нормативам вы теперь можете отслеживать соответствие следующим стандартам:
Их можно назначить своим подпискам, как описано в разделе Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.
См. дополнительные сведения:
- Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям
- Руководство. Улучшение соответствия нормативным требованиям
- Часто задаваемые вопросы. Панель мониторинга соответствия нормативным требованиям
Четыре новые рекомендации, связанные с гостевой конфигурацией (предварительная версия)
расширение конфигурации Azure Guest Configuration в Центр безопасности, чтобы обеспечить защиту параметров виртуальной машины в гостевой среде. Расширение не требуется для серверов с поддержкой Arc, так как оно включено в агент Arc Connected Machine. Для расширения требуется управляемое системой удостоверение на компьютере.
Мы добавили в центр безопасности четыре новые рекомендации, чтобы максимально эффективно использовать это расширение.
В двух рекомендациях предлагается установить расширение и требуемое системой удостоверение.
- На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация"
- Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой
После установки и запуска расширение приступит к аудиту компьютеров, и вам будет предложено защитить такие параметры, как конфигурация операционной системы и параметры среды. Эти две рекомендации помогут вам ужесточить Windows и компьютеры Linux, как описано ниже.
- Microsoft Defender Exploit Guard следует включить на компьютерах
- При аутентификации на компьютерах Linux должны использоваться ключи SSH
Узнайте больше о гостевой конфигурации Understand Политика Azure.
Рекомендации по использованию CMK перемещены в рекомендации по управлению безопасностью
В любой организации программа безопасности включает требования к шифрованию данных. По умолчанию Azure данные клиентов шифруются неактивных с помощью ключей, управляемых службой. Но для соответствия нормативным требованиям обычно нужно использовать ключи, управляемые клиентом, (CMK). Пакеты УПРАВЛЕНИЯ позволяют шифровать данные с помощью ключа Azure Key Vault, созданного и принадлежащих вам. Вы получаете полный контроль над жизненным циклом ключа, включая его смену и управление им.
средства управления безопасностью Центр безопасности Azure — это логические группы связанных рекомендаций по безопасности и отражают уязвимые области атак. Каждый элемент определяет максимальное количество баллов, которые вы сможете добавить к оценке безопасности, выполнив все рекомендации, перечисленные в этом элементе управления, для всех ресурсов. Элемент управления безопасностью Implement security best practices (Реализация рекомендаций по безопасности) стоит ноль баллов. Это означает, что рекомендации в этом элементе управления не влияют на оценку безопасности.
Перечисленные ниже рекомендации перемещены в элемент управления безопасностью Реализация рекомендаций по безопасности (Реализация рекомендаций по безопасности), чтобы лучше отражать их факультативный характер. Благодаря этому перемещению рекомендации оказались в наиболее подходящем элементе управления в соответствии с целями этих рекомендаций.
- Azure Cosmos DB учетные записи должны использовать ключи, управляемые клиентом, для шифрования неактивных данных
- Машинное обучение Azure рабочие области должны быть зашифрованы с помощью ключа, управляемого клиентом (CMK)
- Azure AI services учетные записи должны включить шифрование данных с помощью ключа, управляемого клиентом (CMK)
- В реестрах контейнеров должно использоваться шифрование с помощью ключа, управляемого клиентом (CMK)
- Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных
- Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных
- Учетные записи хранения должны использовать для шифрования ключ, управляемый клиентом (CMK)
Узнайте, какие рекомендации включает каждый элемент управления безопасностью, из раздела Элементы управления безопасностью и их рекомендации.
11 Azure Defender оповещений не рекомендуется
Одиннадцать оповещений Azure Defender, перечисленных ниже, устарели.
Новые оповещения заменят эти два оповещения и обеспечат улучшенное покрытие:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PREVIEW – MicroBurst toolkit "Get-AzureDomainInfo" function run detected (Предварительная версия — обнаружено выполнение функции Get-AzureDomainInfo набора средств MicroBurst) ARM_MicroBurstRunbook PREVIEW – MicroBurst toolkit "Get-AzurePasswords" function run detected (Предварительная версия — обнаружено выполнение функции Get-AzurePasswords набора средств MicroBurst) Эти девять оповещений связаны с соединителем защиты идентификации Microsoft Entra (IPC), который уже устарел:
AlertType AlertDisplayName UnfamiliarLocation Необычные свойства входа AnonymousLogin Анонимный IP-адрес InfectedDeviceLogin IP-адрес, связанный с вредоносным ПО ImpossibleTravel Atypical travel MaliciousIP Вредоносный IP-адрес LeakedCredentials Leaked credentials PasswordSpray Распыление паролей LeakedCredentials аналитика угроз Microsoft Entra ID AADAI Microsoft Entra ID ИИ Tip
Эти девять оповещений IPC никогда не входили в оповещения Центра безопасности. Они входят в Microsoft Entra соединитель защиты идентификации (IPC), который отправлял их в Центр безопасности. За последние два года единственными клиентами, которые видели эти оповещения, являются организации, которые настроили экспорт (из соединителя в ASC) в 2019 или более ранних версиях. Microsoft Entra ID IPC продолжал показывать их в своих собственных системах оповещений, и они продолжают быть доступны в Microsoft Sentinel. Единственное изменение заключается в том, что они больше не отображаются в Центре безопасности.
Две рекомендации из элемента управления безопасностью "Apply system updates" (Применить обновления системы) объявлены нерекомендуемыми
Следующие две рекомендации объявлены нерекомендуемыми, что может незначительно повлиять на вашу оценку безопасности:
- Необходимо перезагрузить компьютеры для применения обновлений системы
- Необходимо установить агент наблюдения на ваших компьютерах. Эта рекомендация относится только к локальным компьютерам, и некоторые из его логики будут переданы в другую рекомендацию, Log Analytics проблемы работоспособности агента должны быть решены на компьютерах
Мы рекомендуем проверить конфигурацию непрерывного экспорта и автоматизации рабочих процессов и выяснить, включены ли в нее эти рекомендации. Кроме того, следует соответствующим образом обновить все панели мониторинга и другие средства мониторинга, которые могут использовать эти рекомендации.
Azure Defender для SQL на плитке компьютера, удаленной с панели мониторинга Azure Defender
Область покрытия панели мониторинга Azure Defender включает плитки для соответствующих планов Azure Defender для вашей среды. Из-за проблемы с отчетами о количестве защищенных и незащищенных ресурсов мы решили временно удалить состояние покрытия ресурсов для Azure Defender для SQL на компьютерах до устранения проблемы.
Рекомендации, перенесенные между элементами управления безопасностью
Следующие рекомендации перемещены в другой элемент управления безопасностью. Элементы управления безопасностью представляют собой логические группы связанных рекомендаций по безопасности, которые отражают уязвимые для атак области. Такое перемещение нужно для того, чтобы каждая из рекомендаций размещалась в наиболее подходящем элементе управления, в соответствии с ее задачами.
Узнайте, какие рекомендации включает каждый элемент управления безопасностью, из раздела Элементы управления безопасностью и их рекомендации.
| Recommendation | Изменение и влияние |
|---|---|
| На серверах SQL Server должна быть включена оценка уязвимости В управляемых экземплярах SQL должна быть включена оценка уязвимостей Необходимо устранить уязвимости в базах данных SQL (новое). Уязвимости в базах данных SQL на виртуальных машинах должны быть устранены |
Переход из исправлений уязвимостей (стоит шесть очков) Для исправления конфигураций безопасности (стоит четыре пункта). В зависимости от конкретной среды эти рекомендации могут меньше влиять на оценку. |
| Подписке должно быть назначено несколько владельцев Необходимо включить шифрование для переменных учетной записи службы автоматизации Устройства Интернета вещей. Процесс Auditd прекратил отправку событий Устройства Интернета вещей. Сбой базовой проверки операционной системы Устройства Центра Интернета вещей. Требуется обновление комплекта шифров TLS Устройства Интернета вещей. Открытые порты на устройстве Устройства Интернета вещей. В одной из цепочек найдена нестрогая политика брандмауэра Устройства Интернета вещей. Во входной цепочке найдено нестрогое правило брандмауэра Устройства Интернета вещей. В выходной цепочке найдено нестрогое правило брандмауэра Журналы диагностики в Центр Интернета вещей должны быть включены Устройства Интернета вещей. Агент отправляет сообщения о недостаточной нагрузке Устройства Интернета вещей. Политика фильтра IP-адресов по умолчанию должна иметь значение "Запретить" Устройства Интернета вещей. Правило фильтрации IP-адресов — большой диапазон IP-адресов Устройства Интернета вещей. Необходимо изменить интервалы и размер сообщений агента Устройства Интернета вещей. Идентичные учетные данные для проверки подлинности Устройства Интернета вещей. Процесс Auditd прекратил отправку событий Устройства Интернета вещей. Базовая конфигурация операционной системы (ОС) должна быть исправлена |
Переносится в Реализация рекомендаций по безопасности. После перемещения в элемент управления "Реализация рекомендаций по безопасности", вес которого составляет ноль пунктов, рекомендация перестает влиять на оценку безопасности. |
Март 2021 г.
В марте добавлены следующие обновления:
- Брандмауэр Azure управление интегрировано в Центр безопасности
- средство оценки уязвимостей SQL теперь включает функцию "Отключить правило" (предварительная версия);
- Azure Monitor книги, интегрированные в Центр безопасности и три шаблона
- панель мониторинга соответствия требованиям Regulatory теперь включает Azure отчеты аудита (предварительная версия)
- данные Recommendation можно просмотреть в Azure Resource Graph с помощью статьи "Обзор в ARG"
- обновлены политики для развертывания процедур автоматизации рабочих процессов.
- рекомендации Two устаревшей версии больше не записывают данные непосредственно в журнал действий Azure
- Улучшения страницы рекомендаций
управление Брандмауэр Azure, интегрированное в Центр безопасности
При открытии Центр безопасности Azure первая страница отображается на странице обзора.
На этой странице с интерактивной панелью мониторинга представлен комплексный обзор состояния безопасности рабочих нагрузок в гибридном облаке. Кроме того, здесь отображаются оповещения безопасности, сведения о покрытии и многое другое.
В рамках оказания помощи в просмотре состояния безопасности из центрального интерфейса мы интегрировали Диспетчер брандмауэра Azure на эту панель мониторинга. Теперь можно проверить состояние покрытия брандмауэра во всех сетях и централизованно управлять политиками Брандмауэр Azure, начиная с центра безопасности.
Дополнительные сведения об этой панели мониторинга см. на странице обзора Центр безопасности Azure.
панель мониторинга обзора 
средство оценки уязвимостей SQL теперь включает функцию "Отключить правило" (предварительная версия);
В Центре безопасности предоставляется встроенный сканер уязвимостей, который помогает обнаруживать, отслеживать и устранять потенциальные уязвимости баз данных. Результаты оценочной проверки содержат общие сведения о состоянии безопасности для компьютеров SQL и подробные сведения о результатах проверки безопасности.
Если правила вашей организации требуют игнорировать обнаруженную проблему, а не исправлять ее, вы можете исключить ее из результатов поиска. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.
Дополнительные сведения см. в разделе Отключение определенных результатов.
Azure Monitor книги, интегрированные в Центр безопасности и три шаблона, предоставляемые
В рамках Ignite Spring 2021 мы объявили интегрированные Azure Monitor книги в Центре безопасности.
Вы можете использовать новую интеграцию, чтобы начать использовать готовые шаблоны из коллекции Центра безопасности. С помощью шаблонов книг можно получить доступ к динамическим и визуальным отчетам, чтобы отслеживать состояние безопасности организации. Кроме того, вы можете создавать книги на основе данных Центра безопасности или любых других поддерживаемых типов данных и быстро развертывать книги сообщества из GitHub сообщества Центра безопасности.
Предоставляются три шаблона отчетов:
- Оценка безопасности за период времени — отслеживание результатов оценки по подпискам и изменений в рекомендациях для ресурсов.
- Обновления системы — просмотр отсутствующих обновлений системы по ресурсам, ОС, серьезности и т. д.
- Вулнерируемость результатов оценки — просмотрите результаты проверок уязвимостей Azure ресурсов
Сведения об использовании этих отчетов или создании собственных см. в статье Создание интерактивных отчетов на основе данных Центра безопасности Azure.
Теперь панель мониторинга соответствия нормативным требованиям включает Azure отчеты аудита (предварительная версия)
На панели инструментов панели мониторинга соответствия нормативным требованиям теперь можно скачать Azure и Dynamics отчеты о сертификации.
Можно выбрать вкладку для соответствующих типов отчетов (PCI, SOC, ISO и др.) и использовать фильтры для поиска нужных отчетов.
Дополнительные сведения см. в статье Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.
Данные рекомендаций можно просмотреть в Azure Resource Graph с помощью "Обзор в ARG"
На панели инструментов страниц со сведениями о рекомендациях теперь есть кнопка Explore in ARG (Обзор в ARG). Используйте эту кнопку, чтобы открыть запрос Azure Resource Graph и просмотреть, экспортировать и предоставить общий доступ к данным рекомендации.
Azure Resource Graph (ARG) предоставляет мгновенный доступ к сведениям о ресурсах в облачных средах с надежными возможностями фильтрации, группировки и сортировки. Это быстрый и эффективный способ запроса сведений между подписками Azure программным способом или на портале Azure.
Дополнительные сведения о Azure Resource Graph.
Обновлены политики для развертывания процедур автоматизации рабочих процессов
Автоматизация корпоративных процессов мониторинга и реагирования на инциденты может значительно ускорить процессы изучения и устранения инцидентов безопасности.
Мы предоставляем три Политика Azure политики DeployIfNotExist, которые создают и настраивают процедуры автоматизации рабочих процессов, чтобы можно было развернуть автоматизацию в организации:
| Goal | Policy | ИД политики |
|---|---|---|
| Автоматизация рабочих процессов для оповещений системы безопасности | Deploy Workflow Automation for Центр безопасности Azure alerts | f1525828-9a90-4fcf-be48-268cdd02361e |
| Автоматизация рабочих процессов для рекомендаций системы безопасности | Deploy Workflow Automation для рекомендаций Центр безопасности Azure | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Автоматизация рабочих процессов для изменения правил соответствия нормативным требованиям | Deploy Workflow Automation for Центр безопасности Azure соответствие нормативным требованиям | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Обновлены две функции этих политик:
- При назначении политики остаются включенными принудительно.
- Теперь можно настроить эти политики и обновить любые параметры даже после развертывания политик. Например, можно добавить или изменить ключ оценки.
Приступая к работе с шаблонами автоматизации .
Узнайте больше о том, как автоматизировать реагирование на триггеры Центра безопасности.
Две устаревшие рекомендации больше не записывают данные непосредственно в журнал действий Azure
Центр безопасности передает данные практически для всех рекомендаций по безопасности Помощник по Azure, которые, в свою очередь, записывают его в журнал действий Azure.
Для двух рекомендаций данные одновременно записываются непосредственно в журнал действий Azure. После этого изменения Центр безопасности прекращает записывать данные для этих устаревших рекомендаций по безопасности непосредственно в журнал действий. Вместо этого мы экспортируем данные в Помощник по Azure, как и для всех других рекомендаций.
Две устаревшие рекомендации:
- Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах
- Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.
Доступ к сведениям об этих двух рекомендациях в категории рекомендаций типа TaskDiscovery в журнале действий больше не предоставляется.
Улучшения страницы рекомендаций
Мы выпустили улучшенную версию списка рекомендаций, чтобы обеспечить быстрый обзор большего количества информации.
Теперь на странице вы сможете найти:
- Максимальная оценка и текущий показатель для каждого элемента управления безопасностью.
- Значки, заменяющие теги, такие как Исправление и предварительная версия.
- Новый столбец, показывающий инициативу политики , связанную с каждой рекомендацией, видимым при отключении группы по элементам управления.
Дополнительные сведения см. в рекомендациях Security в Центр безопасности Azure.
2021 февраля
В феврале добавлены следующие изменения:
- страница оповещений системы безопасности New на портале Azure, выпущенном для общедоступной версии
- Выпущена общедоступная версия (GA) рекомендаций по защите рабочих нагрузок Kubernetes
- интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на виртуальном рабочем столе Windows (в предварительной версии)
- прямая ссылка на политику на странице сведений о рекомендации;
- Рекомендация по классификации данных SQL больше не влияет на оценку безопасности.
- автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (в предварительной версии);
- усовершенствования страницы "Инвентаризация активов".
Новая страница оповещений системы безопасности на портале Azure, выпущенной для общедоступной версии
Страница оповещений системы безопасности Центр безопасности Azure была изменена для предоставления:
- Улучшен интерфейс для рассмотрения оповещений. Список включает настраиваемые фильтры и параметры группирования, которые помогают скрыть избыточные оповещения и сосредоточиться на наиболее важных угрозах.
- В списки оповещений добавлена дополнительная информация, например сведения о тактиках из базы знаний MITRE ATT&ACK.
- Button для создания примеров оповещений — для оценки возможностей Azure Defender и тестирования оповещений. конфигурация (для интеграции SIEM, уведомлений электронной почты и автоматизации рабочих процессов) можно создавать примеры оповещений из всех планов Azure Defender.
- Alignment с опытом инцидента Azure Sentinel - для клиентов, которые используют обе продукты, переключение между ними теперь более простой опыт, и это легко узнать друг от друга.
- Улучшена производительность для больших списков оповещений.
- Навигация по клавиатуре по списку оповещений.
- Alerts из Azure Resource Graph — вы можете запрашивать оповещения в Azure Resource Graph, API Kusto, как и для всех ваших ресурсов. Это также удобно, если вы создаете собственные панели мониторинга для оповещений. Learn больше о Azure Resource Graph.
- компонент Create sample alerts . Сведения о создании примеров оповещений из нового интерфейса оповещений см. в статье Generate sample Azure Defender alerts.
Выпущена общедоступная версия (GA) рекомендаций по защите рабочих нагрузок Kubernetes
Мы рады сообщить о выходе общедоступной версии (GA) набора рекомендаций по защите рабочих нагрузок Kubernetes.
Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, в Центр безопасности добавлены рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.
При установке Политика Azure для Kubernetes в кластере Azure Kubernetes Service (AKS) каждый запрос к серверу API Kubernetes будет отслеживаться с помощью предопределенного набора рекомендаций, отображаемых как 13 рекомендаций по безопасности, прежде чем сохраняться в кластере. Вы можете настроить принудительное применение таких рекомендаций для всех будущих рабочих нагрузок.
Например, можно запретить создание привилегированных контейнеров, и тогда любой запрос такого типа будет блокироваться.
См. сведения о рекомендациях по защите рабочих нагрузок с использованием средств управления доступом в Kubernetes.
Note
Пока рекомендации оставались в предварительной версии, они не влияли на состояние работоспособности ресурса кластера AKS и не учитывались при вычислении оценки безопасности. С этим объявлением GA они будут включены в расчет оценки. Если вы еще не выполнили их, это может оказать небольшое влияние на вашу оценку безопасности. Исправьте их везде, где это возможно, как описано в РекомендацииRemediate в Центр безопасности Azure.
интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на виртуальном рабочем столе Windows (в предварительной версии)
Microsoft Defender для конечной точки — это комплексное решение для обеспечения безопасности конечных точек в облаке. Оно предоставляет возможности контроля и оценки уязвимостей на основе рисков, а также возможности обнаружения конечных точек и реагирования. Полный список преимуществ использования Defender для конечной точки вместе с Центр безопасности Azure см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности: Microsoft Defender для конечной точки.
Если включить Azure Defender для серверов, работающих Windows Server, в план входит лицензия для Defender для конечной точки. Если вы уже включили Azure Defender для серверов и Windows Server 2019 серверов в подписке, они автоматически получат Defender для конечной точки с этим обновлением. Вам не потребуется выполнять вручную никаких действий.
Теперь поддержка была расширена, чтобы включить Windows Server 2019 и Windows 10 на виртуальном рабочем столе Windows.
Note
Если вы включаете Defender для конечной точки на сервере Windows Server 2019, убедитесь, что он соответствует предварительным требованиям, описанным в Enable интеграции Microsoft Defender для конечной точки.
прямая ссылка на политику на странице сведений о рекомендации;
При просмотре сведений о рекомендациях часто бывает полезным просмотреть базовую политику. Для каждой рекомендации, которую поддерживает политика, на странице сведений о рекомендации появилась новая ссылка:
Эту ссылку можно использовать для просмотра определения политики и логики оценки.
Рекомендация по классификации данных SQL больше не влияет на оценку безопасности.
Рекомендация Конфиденциальные данные в базах данных SQL должны быть засекречены теперь не влияет на оценку безопасности. Элемент управления безопасностью применяет классификацию данных, содержащую ее теперь, имеет значение 0.
Полный список всех элементов управления безопасностью, а также их оценки и список рекомендаций в каждом из них см. в разделе "Элементы управления безопасностью" и их рекомендации.
Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (в предварительной версии)
Мы добавили третий тип данных в параметры триггера для автоматизации ваших рабочих процессов: изменения в оценке соответствия нормативным требованиям.
Сведения о том, как использовать средства автоматизации рабочих процессов, см. в статье Автоматизация реагирования на триггеры Центра безопасности.
усовершенствования страницы "Инвентаризация активов".
Улучшена страница инвентаризации активов Центра безопасности:
Сводки в верхней части страницы теперь включают незарегистрированные подписки, показывающие количество подписок без включения Центра безопасности.
В фильтры добавлены следующие улучшения:
Счетчики . Каждый фильтр представляет количество ресурсов, удовлетворяющих критериям каждой категории.
Добавлен фильтр исключений. При необходимости вы можете ограничить результаты ресурсами, для которых заданы или не заданы исключения. Этот фильтр по умолчанию не отображается, но доступен с помощью кнопки "Добавить фильтр ".
Узнайте больше о том, как изучать ресурсы и управлять ими путем инвентаризации.
Январь 2021 года
Обновления в январе включают следующие:
- Azure Security Benchmark теперь является инициативой политики по умолчанию для Центр безопасности Azure
- Выпущена общедоступная версия (GA) оценки уязвимостей для компьютеров в локальной среде и нескольких облаках
- Оценка безопасности для групп управления теперь доступна в предварительной версии.
- Выпущена общедоступная версия (GA) API Оценки безопасности
- Dangling DNS-защиты, добавленные в Azure Defender для службы приложений
- Выпущена общедоступная версия (GA) соединителей для нескольких облаков
- Исключение полных рекомендаций из оценки безопасности для подписок и групп управления
- Теперь пользователи могут запрашивать видимость на уровне арендатора у своего глобального администратора
- 35 предварительные рекомендации, добавленные для повышения охвата Azure Security Benchmark
- Экспорт отфильтрованного списка рекомендаций в CSV-файл.
- ресурсы "Неприменимо" теперь сообщаются как "Соответствующие" в Политика Azure оценках
- Экспорт еженедельных моментальных снимков для оценки безопасности и данных соответствия нормативным требованиям с помощью непрерывного экспорта (предварительная версия).
Azure Security Benchmark теперь является инициативой политики по умолчанию для Центр безопасности Azure
Azure Тест безопасности — это специально созданный Microsoft Azure набор рекомендаций по обеспечению безопасности и соответствия требованиям, основанных на распространенных платформах соответствия требованиям. Это широко принятое тестирование основано на стандартах Центра Интернет-безопасности (CIS) и Национального института стандартов и технологий (NIST) с ориентацией на облачную безопасность.
За последние месяцы список встроенных рекомендаций по обеспечению безопасности в Центре безопасности значительно увеличился для максимального соблюдения требований этого теста.
В этом выпуске тест является основой рекомендаций Центра безопасности и полностью интегрирован в качестве инициативы политики по умолчанию.
Все службы Azure имеют страницу базовых показателей безопасности в своей документации. Эти базовые показатели основаны на Azure тесте безопасности.
Если вы используете панель мониторинга соответствия нормативным требованиям Центра безопасности, вам будут отображаться два экземпляра теста в течение периода перехода:
панель мониторинга соответствия нормативным требованиям
Существующие рекомендации не затрагиваются, и по мере расширения теста изменения будут автоматически отражены в Центре безопасности.
Дополнительные сведения см. на следующих страницах:
- Learn больше о Azure тесте безопасности
- Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям
Выпущена общедоступная версия (GA) оценки уязвимостей для компьютеров в локальной среде и нескольких облаках
В октябре мы объявили предварительную версию для сканирования серверов с поддержкой Azure Arc с Azure Defender для серверов встроенного средства оценки уязвимостей (на основе Qualys).
Теперь выпущена общедоступная версия (GA) этой функции.
Если вы включили Azure Arc на компьютерах, отличных от Azure, центр безопасности предложит развернуть интегрированный сканер уязвимостей на них вручную и в масштабе.
С помощью этого обновления вы можете развернуть возможности Azure Defender для серверов для консолидации программы управления уязвимостями во всех Azure и не Azure ресурсах.
Основные возможности:
- Мониторинг состояния подготовки сканера va (оценка уязвимостей) на Azure Arc компьютерах
- Подготовка интегрированного агента va для незащищенных Windows и Azure Arc компьютеров Linux (вручную и масштабируемых)
- получение и анализ обнаруженных уязвимостей от развернутых агентов (вручную и в большом масштабе);
- Унифицированный интерфейс для виртуальных машин Azure и Azure Arc компьютеров
См. дополнительные сведения о развертывании интегрированного сканера уязвимостей Qualys на гибридных компьютерах.
Learn больше о серверах с поддержкой Azure Arc.
Оценка безопасности для групп управления теперь доступна в предварительной версии.
Теперь на странице оценки безопасности отображаются сводные оценки безопасности для групп управления в дополнение к уровню подписки. Теперь вы можете видеть список групп управления в вашей организации и оценку для каждой группы управления.
Дополнительные сведения о безопасной оценке и элементах управления безопасностью см. в Центр безопасности Azure.
Выпущена общедоступная версия (GA) API Оценки безопасности
Теперь вы можете получить доступ к оценке через API оценки безопасности. Методы этого API позволяют гибко выполнять запросы к данным и создавать собственные механизмы создания отчетов об оценках безопасности за разные периоды. Рассмотрим пример.
- Использование API оценки безопасности для получения оценки для определенной подписки
- используйте API элементов управления оценкой безопасности, чтобы получить список элементов управления безопасностью и текущие оценки для всех подписок.
Узнайте о внешних средствах, которые стали возможными с помощью API оценки безопасности в области оценки безопасности сообщества GitHub.
Дополнительные сведения о безопасной оценке и элементах управления безопасностью см. в Центр безопасности Azure.
Dangling DNS protections, добавленных в Azure Defender для службы приложений
Перехват поддоменов — это распространенная угроза высокого уровня серьезности для организаций. Перенаправление поддомена может произойти, если у вас существует запись DNS, указывающая на неработающий веб-сайт. Такие записи DNS называются недействительными. Записи CNAME особенно уязвимы перед этой угрозой.
Переключения поддомена позволяют субъектам угроз перенаправлять трафик, предназначенный для домена организации, на сайт, выполняющий вредоносные действия.
Azure Defender для службы приложений теперь обнаруживает дальние записи DNS при удалении веб-сайта службы приложений. Это момент, когда запись DNS указывает на ресурс, который не существует, и ваш веб-сайт уязвим к переходу поддомена. Эти средства защиты доступны, управляются ли ваши домены Azure DNS или внешним регистратором доменов и применяются как к службе приложений Windows, так и к Служба приложений в Linux.
Подробнее:
- справочная таблица оповещений App Service — включает два новых оповещения Azure Defender, которые активируются при обнаружении записи DNS
- Предотвращение появления недействительных записей DNS и перенаправления поддомена — узнайте об угрозе перенаправления поддомена и недействительных записях DNS.
- Introduction to Azure Defender for App Service
Выпущена общедоступная версия (GA) соединителей для нескольких облаков
Так как облачные рабочие нагрузки часто распределяются между несколькими облачными платформами, облачные службы безопасности должны охватывать их все.
Центр безопасности Azure защищает рабочие нагрузки в Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).
Подключение проектов AWS или GCP интегрирует собственные средства безопасности, такие как Центр безопасности AWS и Центр командной строки GCP, в Центр безопасности Azure.
Это означает, что Центр безопасности обеспечивает видимость и защиту во всех основных облачных средах. Некоторые преимущества этой интеграции:
- Автоматическая подготовка агента. Центр безопасности использует Azure Arc для развертывания агента Log Analytics в экземплярах AWS.
- Управление политикой
- Управление уязвимостями
- встроенное обнаружение и нейтрализация атак на конечные точки (EDR);
- определение неправильных настроек системы безопасности;
- единое представление, содержащее рекомендации по безопасности от всех поставщиков облачных служб;
- учет всех ресурсов при оценке безопасности в Центре безопасности;
- оценка соответствия нормативным требованиям для ресурсов AWS и GCP.
В меню Defender для облака выберите соединители Multicloud connectors и вы увидите параметры создания новых соединителей:
См. дополнительные сведения:
- Connect your AWS accounts to Центр безопасности Azure
- Connect your GCP projects to Центр безопасности Azure
Исключение полных рекомендаций из оценки безопасности для подписок и групп управления
Мы расширяем возможность исключения рекомендаций полностью, предоставляя дополнительные возможности для точной настройки рекомендаций по обеспечению безопасности, которые доступны в Центре безопасности для подписок, групп управления или ресурсов.
Иногда ресурс будет указан как неработоспособный, когда вы знаете, что проблема устранена сторонним инструментом, который центр безопасности не обнаружил. Или рекомендация будет отображаться в области, которой она не принадлежит. Рекомендации могут быть недопустимыми для конкретной подписки. Или, возможно, ваша организация считает допустимыми риски, связанные с конкретным ресурсом или рекомендацией.
Предварительная версия этой возможности позволяет создать исключение для рекомендации со следующей целью:
Исключение ресурса, чтобы он не был включен в неработоспособные ресурсы в будущем и чтобы это не влияло на вашу оценку безопасности. Ресурс будет указан как неприменимый по причине исключения с указанным вами обоснованием.
Исключение подписки или группы управления, чтобы рекомендации не влияли на вашу оценку безопасности и не отображались для подписки или группы управления в будущем. Это применимо как существующим ресурсам, так и всем тем, которые вы создадите в будущем. Рекомендации будут дополнены обоснованием, указанным для выбранной области.
Дополнительные сведения см. в статье Исключение ресурсов и рекомендаций из оценки безопасности.
Теперь пользователи могут запрашивать видимость на уровне арендатора у своего глобального администратора
Если у пользователя нет разрешений на просмотр данных Центра безопасности, пользователь увидит ссылку на запрос разрешений от глобального администратора своей организации. Запрос включает желаемую роль и обоснование.
Дополнительные сведения см. в разделе Запрашивание разрешений на уровне арендатора, когда ваших разрешений недостаточно.
35 рекомендаций по предварительной версии, добавленных для повышения охвата Azure Тест безопасности
Azure Security Benchmark — это инициатива политики по умолчанию в Центр безопасности Azure.
Чтобы улучшить соблюдение требований этого теста, в Центр безопасности включены следующие 35 рекомендаций (предварительная версия).
Tip
Рекомендации предварительной версии не присваивают ресурсу состояние неработоспособного и не включаются в вычисления вашей оценки безопасности. По возможности их все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку. Узнайте больше о том, как реагировать на эти рекомендации в Remediate в Центр безопасности Azure.
| Контроль безопасности | Новые рекомендации |
|---|---|
| Включение шифрования неактивных данных | — Azure Cosmos DB учетные записи должны использовать ключи, управляемые клиентом, для шифрования неактивных данных — Машинное обучение Azure рабочие области должны быть зашифрованы с помощью ключа, управляемого клиентом (CMK) – Для серверов MySQL должна быть включена защита данных с созданием собственных ключей. – Для серверов PostgreSQL должна быть включена защита данных с созданием собственных ключей. — учетные записи Azure AI services должны включать шифрование данных с помощью ключа, управляемого клиентом (CMK) – Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом. – Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных. – Серверы SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных. – Учетные записи хранения должны использовать для шифрования ключ, управляемый клиентом (CMK). |
| Реализация рекомендаций по безопасности | – Подписки должны содержать адрес электронной почты контактного лица по проблемам безопасности. — Автоматическая подготовка агента Log Analytics должна быть включена в подписке. – Для оповещений высокого уровня серьезности должны быть включены уведомления по электронной почте. – Для оповещений высокого уровня серьезности должно быть включено уведомление владельца подписки по электронной почте. – В хранилищах ключей должна быть включена защита от очистки. – В хранилищах ключей должно быть включено обратимое удаление. |
| Управление доступом и разрешениями | – Для приложений-функций должны быть включены сертификаты клиента (входящие сертификаты клиента). |
| Защита приложений от атак DDoS | — для шлюза приложений должна быть включена Брандмауэр веб-приложений (WAF) — для службы Azure Front Door Service должна быть включена Брандмауэр веб-приложений (WAF) |
| Ограничить несанкционированный сетевой доступ | — Брандмауэр должен быть включен в Key Vault — частная конечная точка должна быть настроена для Key Vault – Служба "Конфигурация приложений" должна использовать приватный канал. — Кэш Azure для Redis должен находиться в виртуальной сети. — домены Сетка событий Azure должны использовать приватный канал — Сетка событий Azure темы должны использовать приватный канал — рабочие области Машинное обучение Azure должны использовать приватный канал — Служба Azure SignalR должен использовать приватный канал — Azure Spring Cloud следует использовать внедрение сети – Реестры контейнеров не должны разрешать неограниченный сетевой доступ. – Реестры контейнеров должны использовать приватный канал. – Для северов MariaDB должен быть отключен доступ через общедоступную сеть. – Для северов MySQL должен быть отключен доступ через общедоступную сеть. – Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть. – Учетная запись хранения должна использовать подключение через приватный канал. – Учетные записи хранения должны ограничивать сетевой доступ, используя правила виртуальной сети. – Шаблоны Конструктора образов для виртуальных машин должны использовать приватный канал. |
Связанные ссылки:
- Learn больше о Azure тесте безопасности
- Learn больше о База данных Azure для MariaDB
- Learn больше о База данных Azure для MySQL
- Learn больше о База данных Azure для PostgreSQL
Экспорт отфильтрованного списка рекомендаций в CSV-файл.
В ноябре 2020 года мы добавили фильтры на страницу рекомендаций.
Объявляем о том, что мы изменяем поведение кнопки Скачать в CSV, чтобы экспорт в CSV-файл включал только те рекомендации, которые сейчас отображаются в отфильтрованном списке.
Например, на рисунке ниже можно увидеть, что список фильтруется до двух рекомендаций. Генерируемый CSV-файл содержит сведения о состоянии для каждого ресурса, которого касаются эти две рекомендации.
Дополнительные сведения см. в рекомендациях Security в Центр безопасности Azure.
"Неприменимо" ресурсы теперь сообщаются как "Совместимые" в Политика Azure оценки
Ранее ресурсы, которые были оценены для рекомендации и оказались не применимы появились в Политика Azure как "несоответствующие". Никакие действия пользователя не могут изменить состояние на "Соответствует". С этим изменением они сообщаются как "Совместимые" для улучшения ясности.
Единственное влияние будет видно в Политика Azure, где будет увеличиваться число соответствующих ресурсов. В Центр безопасности Azure не будет влиять на оценку безопасности.
Экспорт еженедельных моментальных снимков для оценки безопасности и данных соответствия нормативным требованиям с помощью непрерывного экспорта (предварительная версия).
Мы добавили новую функцию предварительной версии в средства непрерывного экспорта для экспорта еженедельных моментальных снимков оценки безопасности и данных соответствия нормативным требованиям.
При определении непрерывного экспорта задайте периодичность экспорта:
- Потоковая передача — оценки будут отправляться при обновлении состояния работоспособности ресурса (если обновления не происходят, данные не будут отправлены).
- Моментальные снимки — моментальный снимок текущего состояния всех оценок соответствия нормативным требованиям будет отправляться каждую неделю (это предварительная версия для еженедельных моментальных снимков показателей безопасности и данных соответствия нормативным требованиям).
Узнайте больше о всех возможностях этой функции из статьи Непрерывный экспорт данных Центра безопасности.
Декабрь 2020 г.
В декабре добавлены следующие обновления:
- Azure Defender для серверов SQL на компьютерах общедоступен
- Azure Defender для поддержки SQL для выделенного пула SQL Azure Synapse Analytics общедоступен
- Теперь глобальные администраторы могут предоставлять себе разрешения на уровне клиента
- Two новых планов Azure Defender: Azure Defender для DNS и Azure Defender для Resource Manager (в предварительной версии)
- страница оповещений системы безопасности New на портале Azure (предварительная версия)
Revitalized Security Center в База данных SQL Azure & Управляемый экземпляр SQL - Обновление фильтров средств инвентаризации активов
- Рекомендации по веб-приложениям, запрашивающим SSL-сертификаты, больше не являются частью оценки безопасности
- На странице "Рекомендации" доступны новые фильтры для среды, серьезности и доступных ответов
- Для непрерывного экспорта добавлены новые типы данных и улучшены политики deployifnotexist
Azure Defender для серверов SQL на компьютерах общедоступен
Центр безопасности Azure предлагает два плана Azure Defender для SQL Server:
- Azure Defender для серверов баз данных Azure SQL — защищает серверы SQL Server на основе Azure
- Azure Defender для серверов SQL на компьютерах — расширяет те же возможности защиты на серверах SQL в гибридных, многооблачных и локальных средах.
В этом объявлении Azure Defender для SQL теперь защищает базы данных и их данные везде, где они находятся.
Azure Defender для SQL включает возможности оценки уязвимостей. Средство оценки уязвимостей включает в себя следующие усовершенствованные возможности:
- Базовая конфигурация (New!) для интеллектуального уточнения результатов сканирования уязвимостей для тех, которые могут представлять реальные проблемы безопасности. Если задать базовое состояние безопасности, средство оценки уязвимостей будет сообщать только об отклонениях от этого базового состояния. При следующих проверках результаты, которые соответствуют базовым показателям, будут рассматриваться как прошедшие проверку. Это позволит вам и вашим аналитикам акцентировать внимание на важных моментах.
- Подробные сведения о тестах производительности, изучив которые вы сможете понять полученные сведения, а также их связь с вашими ресурсами.
- Скрипты исправления , помогающие устранить выявленные риски.
Дополнительные сведения о Azure Defender для SQL.
Azure Defender для поддержки SQL для выделенного пула SQL Azure Synapse Analytics общедоступен
Azure Synapse Analytics (ранее — хранилище данных SQL) — это служба аналитики, которая объединяет хранилище корпоративных данных и аналитику больших данных. Выделенные пулы SQL — это функции хранения корпоративных данных Azure Synapse. Дополнительные сведения см. в статье Мечено Azure Synapse Analytics (ранее — хранилище данных SQL)?.
Azure Defender для SQL защищает выделенные пулы SQL с помощью:
- Расширенной защиты от угроз для обнаружения угроз и атак
- Возможностей оценки уязвимостей для обнаружения и исправления ошибок в конфигурациях системы безопасности
Azure Defender для поддержки SQL пулов Azure Synapse Analytics SQL автоматически добавляется в пакет баз данных Azure SQL в Центр безопасности Azure. На странице рабочей области Synapse на портале Azure есть новая вкладка Azure Defender для SQL.
Дополнительные сведения о Azure Defender для SQL.
Теперь глобальные администраторы могут предоставлять себе разрешения на уровне клиента
Пользователь с Microsoft Entra ID ролью Global Administrator может иметь обязанности на уровне клиента, но не хватает разрешений Azure для просмотра этой информации на уровне организации в Центр безопасности Azure.
Чтобы назначить себе разрешения уровня клиента, следуйте инструкциям в разделе Предоставление себе разрешений на уровне клиента .
Два новых плана Azure Defender: Azure Defender для DNS и Azure Defender для Resource Manager (в предварительной версии)
Мы добавили две новые возможности защиты от угроз в собственном облаке для вашей среды Azure.
Эти новые средства защиты значительно повышают устойчивость к атакам со стороны субъектов угроз и значительно увеличивают количество Azure ресурсов, защищенных Azure Defender.
Azure Defender для Resource Manager — автоматически отслеживает все операции управления ресурсами, выполняемые в вашей организации. Дополнительные сведения см. в разделе:
Azure Defender для DNS — постоянно отслеживает все запросы DNS из Azure ресурсов. Дополнительные сведения см. в разделе:
Страница "Новые оповещения системы безопасности" на портале Azure (предварительная версия)
Страница оповещений системы безопасности Центр безопасности Azure была изменена для предоставления:
- Улучшен интерфейс для рассмотрения оповещений. Список включает настраиваемые фильтры и параметры группирования, которые помогают скрыть избыточные оповещения и сосредоточиться на наиболее важных угрозах.
- В списки оповещений добавлена информация, например сведения о тактиках из базы знаний MITRE ATT&ACK.
- Button для создания примеров оповещений — для оценки возможностей Azure Defender и тестирования конфигурации оповещений (для интеграции SIEM, уведомлений электронной почты и автоматизации рабочих процессов) можно создавать примеры оповещений из всех планов Azure Defender
- Alignment с опытом инцидентов Azure Sentinel - для клиентов, которые используют обе продукты, переключение между ними теперь более простой опыт, и легко узнать один из других
- Повышение производительности для больших списков оповещений
- Навигация по клавиатуре по списку оповещений
- Alerts из Azure Resource Graph — вы можете запрашивать оповещения в Azure Resource Graph, API Kusto, как и для всех ваших ресурсов. Это также удобно, если вы создаете собственные панели мониторинга для оповещений. Learn больше о Azure Resource Graph.
Чтобы получить доступ к новому интерфейсу, используйте ссылку "Попробовать сейчас" в баннере вверху страницы "Оповещения системы безопасности".
Сведения о создании примеров оповещений из нового интерфейса оповещений см. в разделе Generate sample Azure Defender alerts.
Обновленный опыт центра безопасности в База данных SQL Azure & Управляемый экземпляр SQL
Интерфейс Центра безопасности в SQL предоставляет доступ к следующему центру безопасности и Azure Defender для функций SQL:
- рекомендации Security — Центр безопасности периодически анализирует состояние безопасности всех подключенных Azure ресурсов для выявления потенциальных ошибок конфигурации безопасности. Затем он предоставляет рекомендации по устранению этих уязвимостей и улучшению безопасности организаций.
- Security alerts — служба обнаружения, которая постоянно отслеживает Azure SQL действия для таких угроз, как внедрение SQL, атаки методом подбора и злоупотребление привилегиями. Эта служба активирует подробные и ориентированные на действия оповещения системы безопасности в Центре безопасности и предоставляет варианты для продолжения исследований с помощью решения SIEM Microsoft Sentinel Azure Microsoft.
- Findings — служба оценки уязвимостей, которая постоянно отслеживает конфигурации Azure SQL и помогает устранить уязвимости. Проверки оценки предоставляют общие сведения о состояниях безопасности Azure SQL вместе с подробными результатами по обеспечению безопасности.
функции безопасности
Обновление фильтров средств инвентаризации активов
Страница инвентаризации в Центр безопасности Azure обновлена со следующими изменениями:
На панель инструментов добавлен элемент Руководства и отзывы. Он открывает область со ссылками на связанные сведения и инструменты.
Фильтры подписок , добавленные в фильтры по умолчанию, доступные для ваших ресурсов.
Open query для открытия текущих параметров фильтра в качестве запроса Azure Resource Graph (ранее называемого "Просмотр в обозревателе графов ресурсов").
Параметры оператора для каждого фильтра. Теперь вы можете выбрать один из нескольких логических операторов, а не только равенство ("="). Например, вам может потребоваться найти все ресурсы с активными рекомендациями, заголовки которых содержат строку encrypt.
Сведения об инвентаризации см. в статье Изучение ресурсов и управление ими с помощью инвентаризации ресурсов.
Рекомендации по веб-приложениям, запрашивающим SSL-сертификаты, больше не являются частью оценки безопасности
Рекомендация "Веб-приложения должны запрашивать SSL-сертификат для всех входящих запросов", была перемещена из элемента управления безопасностью "Управление доступом и разрешениями (стоимостью не более 4 pts) в реализации рекомендаций по обеспечению безопасности (что не стоит никаких очков).
Требование запроса сертификата в приложении несомненно повышает его безопасность. Но для общедоступных веб-приложений это не имеет значения. Если для доступа к сайту используется протокол HTTP, а не HTTPS, вы не получите сертификат клиента. Поэтому, если ваше приложение требует клиентские сертификаты, не следует разрешать запросы к приложению по протоколу HTTP. Дополнительные сведения см. в разделе Настройка взаимной проверки подлинности TLS для Служба приложений Azure.
В результате этого изменения рекомендация теперь является рекомендуемой лучшей методикой, которая не влияет на вашу оценку.
Узнайте, какие рекомендации включает каждый элемент управления безопасностью, из раздела Элементы управления безопасностью и их рекомендации.
На странице "Рекомендации" доступны новые фильтры для среды, серьезности и доступных ответов
Центр безопасности Azure отслеживает все подключенные ресурсы и создает рекомендации по безопасности. Используйте эти рекомендации для укрепления вашей гибридной облачной системы и отслеживания соответствия политикам и стандартам, соответствующим вашей организации, отрасли и стране или региону.
По мере расширения охвата и функциональности Центра безопасности мы ежемесячно добавляем новые рекомендации по безопасности. Например, ознакомьтесь с рекомендациями Twenty девять предварительных версий, добавленных для увеличения охвата Azure Тест безопасности.
Так как их число постоянно растет, есть необходимость фильтровать рекомендации для выбора наиболее важных. В ноябре мы добавили фильтры на страницу рекомендаций (см. раздел Список рекомендаций теперь включает фильтры).
Фильтры, добавленные в этом месяце, предоставляют возможности для отображения рекомендаций по следующему:
Environment — просмотр рекомендаций для ресурсов AWS, GCP или Azure (или любой комбинации)
Серьезность . Просмотр рекомендаций в соответствии с классификацией серьезности, заданной Центром безопасности
Действия ответа . Просмотр рекомендаций в соответствии с доступностью параметров ответа Центра безопасности: исправление, запрет и принудительное применение
Tip
Фильтр "Действия ответа" заменяет фильтр Доступно быстрое исправление (да/нет).
См. сведения о каждом из вариантов ответов:
Для непрерывного экспорта добавлены новые типы данных и улучшены политики deployifnotexist
средства непрерывного экспорта Центр безопасности Azure позволяют экспортировать рекомендации и оповещения Центра безопасности для использования с другими средствами мониторинга в вашей среде.
Непрерывный экспорт позволяет полностью настроить экспортируемые объекты и расположение их сохранения. Полные сведения см. в статье Непрерывный экспорт данных Центра безопасности.
Эти средства были усовершенствованы и расширены следующим образом:
Расширены политики deployifnotexist для экспорта. Политики теперь делают следующее:
Проверяют, включена ли конфигурация. Если она не включена, политика будет отображаться как не соответствующая требованиям; также она создаст ресурс соответствия. Дополнительные сведения о предоставленных шаблонах Политика Azure см. в разделе "Развертывание в масштабе с помощью вкладки Политика Azure" в Настройка непрерывного экспорта.
Поддерживают экспорт результатов безопасности. При использовании шаблонов Политика Azure можно настроить непрерывный экспорт для включения результатов. Это удобно при экспорте рекомендаций, которые содержат вложенные рекомендации, такие как результаты сканеров оценки уязвимостей или конкретные обновления системы для родительской рекомендации "На вашем компьютере должны быть установлены системные обновления".
Поддерживают экспорт данных об оценке безопасности.
Добавлены данные об оценке соответствия нормативным требованиям (в предварительной версии). Теперь вы можете постоянно экспортировать обновления в оценки соответствия нормативным требованиям, включая любые пользовательские инициативы, в рабочую область Log Analytics или Центры событий. Эта функция недоступна в национальных облаках.
Ноябрь 2020 г.
В ноябре добавлены следующие обновления:
- 29 предварительные рекомендации, добавленные для повышения охвата тестов безопасности Azure
- на панель мониторинга соответствия нормативным требованиям в Центре безопасности добавлен стандарт NIST SP 800 171 R2.
- в списке рекомендаций теперь можно применять фильтры;
- Улучшенный и расширенный интерфейс автоматической подготовки
- оценка безопасности теперь доступна для непрерывного экспорта (предварительная версия);
- Рекомендация "На компьютерах должны быть установлены обновления системы" теперь включает вложенные рекомендации
- страница управления Policy на портале Azure теперь отображает состояние назначений политик по умолчанию
29 предварительных версий рекомендаций, добавленных для увеличения охвата Azure Тест безопасности
Azure Тест безопасности — это созданный Azure Microsoft набор рекомендаций по обеспечению безопасности и соответствия требованиям, основанных на распространенных платформах соответствия требованиям. Learn больше о Azure тесте безопасности.
Следующие 29 новых рекомендаций для предварительной версии добавлены в Центр безопасности, чтобы увеличить охват теста производительности.
Рекомендации предварительной версии не присваивают ресурсу состояние неработоспособного и не включаются в вычисления вашей оценки безопасности. По возможности их все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку. Узнайте больше о том, как реагировать на эти рекомендации в Remediate в Центр безопасности Azure.
| Контроль безопасности | Новые рекомендации |
|---|---|
| Шифрование передаваемых данных | – Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения – Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения – Для вашего приложения API необходимо обновить TLS до последней версии – Для вашего приложения-функции необходимо обновить TLS до последней версии – Для вашего веб-приложения необходимо обновить TLS до последней версии – В вашем приложении API необходимо принудительно использовать FTPS – В вашем приложении-функции необходимо принудительно использовать FTPS – В вашем веб-приложении необходимо принудительно использовать FTPS |
| Управление доступом и разрешениями | – Веб-приложения должны запрашивать сертификат SSL для всех входящих запросов – В приложении API должно использоваться управляемое удостоверение – В приложении-функции должно использоваться управляемое удостоверение – В веб-приложении должно использоваться управляемое удостоверение |
| Ограничить несанкционированный сетевой доступ | – Для серверов PostgreSQL необходимо включить частную конечную точку – Для серверов MariaDB необходимо включить частную конечную точку – Для серверов MySQL необходимо включить частную конечную точку |
| Включение аудита и ведения журнала | – В Службах приложений должны быть включены журналы диагностики |
| Реализация рекомендаций по безопасности | — Azure Backup должна быть включена для виртуальных машин. — Геоизбыточное резервное копирование должно быть включено для База данных Azure для MariaDB — Геоизбыточное резервное копирование должно быть включено для База данных Azure для MySQL — Геоизбыточное резервное копирование должно быть включено для База данных Azure для PostgreSQL – Для вашего приложения API необходимо обновить PHP до последней версии – Для вашего веб-приложения необходимо обновить PHP до последней версии — Java следует обновить до последней версии приложения API. — Java следует обновить до последней версии приложения-функции. — Java следует обновить до последней версии веб-приложения. — Python следует обновить до последней версии приложения API. — Python следует обновить до последней версии приложения-функции. — Python следует обновить до последней версии веб-приложения. – Аудит для серверов SQL должен храниться не менее 90 дней |
Связанные ссылки:
- Learn больше о Azure тесте безопасности
- Learn больше о приложениях API Azure
- Learn больше о приложениях-функциях Azure
- Learn больше о веб-приложениях Azure
- Learn больше о База данных Azure для MariaDB
- Learn больше о База данных Azure для MySQL
- Learn больше о База данных Azure для PostgreSQL
На панель мониторинга соответствия нормативным требованиям в Центре безопасности добавлен стандарт NIST SP 800 171 R2
Стандарт NIST SP 800-171 R2 теперь доступен как встроенная инициатива для использования с панелью мониторинга соответствия нормативным требованиям Центр безопасности Azure. Сопоставления для элементов управления описаны в статье Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-171 R2.
Чтобы применить стандарт к подпискам и постоянно отслеживать состояние соответствия требованиям, воспользуйтесь инструкциями из статьи Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.
Дополнительные сведения об этом стандарте соответствия см. на странице описания NIST SP 800-171 R2 (специальной публикации Национального института стандартов и технологий).
в списке рекомендаций теперь можно применять фильтры;
Теперь можно отфильтровать список рекомендаций по безопасности по ряду критериев. В следующем примере список рекомендаций фильтруется для отображения рекомендаций, которые:
- общедоступен (т. е. не предварительная версия)
- для учетных записей хранения
- поддержка быстрого исправления
Улучшенный и расширенный интерфейс автоматической подготовки
Функция автоматической подготовки помогает сократить затраты на управление, установив необходимые расширения на новых и существующих виртуальных машинах Azure, чтобы они могли воспользоваться защитой Центра безопасности.
По мере роста Центр безопасности Azure было разработано больше расширений, а Центр безопасности может отслеживать более большой список типов ресурсов. Теперь средства автоматической подготовки были расширены для поддержки других расширений и типов ресурсов, используя возможности Политика Azure.
Теперь можно настроить автоматическую подготовку:
- агент Log Analytics
- (Новое) Политика Azure для Kubernetes
- (Новое) агент зависимостей Microsoft
Дополнительные сведения см. в разделе Autoprovisioning agents and extensions from Центр безопасности Azure.
Оценка безопасности теперь доступна для непрерывного экспорта (предварительная версия)
При непрерывном экспорте оценки безопасности вы можете передавать изменения в оценку в режиме реального времени в Центры событий Azure или в рабочую область Log Analytics. Эта возможность предназначена для следующих задач:
- отслеживать оценку безопасности и создавать динамические отчеты;
- экспорт данных оценки безопасности в Microsoft Sentinel (или любой другой SIEM)
- интегрировать эти данные с любыми уже используемыми процессами для отслеживания оценки безопасности в организации.
Подробные сведения о непрерывном экспорте данных Центра безопасности см. здесь.
Рекомендация "На компьютерах должны быть установлены обновления системы" теперь включает вложенные рекомендации
Обновления системы должны быть установлены на компьютерах, которые были улучшены . Новая версия содержит вложенные рекомендации для каждого пропущенного обновления и включает следующие улучшения:
Измененный интерфейс на страницах Центр безопасности Azure портала Azure. Страница сведений о рекомендации На компьютерах должны быть установлены обновления системы содержит список результатов, как показано ниже. Если выбрать один результат, откроется область сведений со ссылкой на информацию об исправлении и списком затрагиваемых ресурсов.
Обогащенные данные для рекомендации из Azure Resource Graph (ARG). ARG — это служба Azure, предназначенная для эффективного изучения ресурсов. Вы можете использовать ARG для выполнения масштабных запросов к заданному набору подписок, чтобы вы могли эффективно управлять своей средой.
Для Центр безопасности Azure можно использовать ARG и язык запросов Kusto Query Language (KQL) для запроса широкого спектра данных о позе безопасности.
Ранее при запросе этой рекомендации в ARG вы могли получить только сведения о том, что вам необходимо выполнить рекомендацию на компьютере. Следующий запрос в расширенной версии будет возвращать сведения обо всех отсутствующих на компьютере обновлениях (с группировкой по компьютерам).
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Страница управления политиками на портале Azure теперь отображает состояние назначений политик по умолчанию
Теперь вы можете узнать, назначена ли подписка политике центра безопасности по умолчанию, на странице Azure портала Azure < центра безопасности Azure>.
Октябрь 2020 года
В октябре добавлены следующие обновления:
- Оценка уязвимостей для компьютеров в локальной среде и нескольких облаках (предварительная версия)
- Брандмауэр Azure рекомендация добавлена (предварительная версия)
- Рекомендация "В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов" обновлена с помощью быстрого исправления
- На панели мониторинга соответствия нормативным требованиям теперь есть параметр для удаления стандартов
- Microsoft. Таблица Security/securityStatuses удалена из Azure Resource Graph
Оценка уязвимостей для компьютеров в локальной среде и нескольких облаках (предварительная версия)
Azure Defender для серверов' встроенного сканера оценки уязвимостей (на основе Qualys) теперь сканирует Azure Arc-включенные серверы.
Если вы включили Azure Arc на компьютерах, отличных от Azure, центр безопасности предложит развернуть интегрированный сканер уязвимостей на них вручную и в масштабе.
С помощью этого обновления вы можете развернуть возможности Azure Defender для серверов для консолидации программы управления уязвимостями во всех Azure и не Azure ресурсах.
Основные возможности:
- Мониторинг состояния подготовки сканера va (оценка уязвимостей) на Azure Arc компьютерах
- Подготовка интегрированного агента va для незащищенных Windows и Azure Arc компьютеров Linux (вручную и масштабируемых)
- получение и анализ обнаруженных уязвимостей от развернутых агентов (вручную и в большом масштабе);
- Унифицированный интерфейс для виртуальных машин Azure и Azure Arc компьютеров
См. дополнительные сведения о развертывании интегрированного сканера уязвимостей Qualys на гибридных компьютерах.
Learn больше о серверах с поддержкой Azure Arc.
добавлена рекомендация Брандмауэр Azure (предварительная версия)
Добавлена новая рекомендация по защите всех виртуальных сетей с помощью Брандмауэр Azure.
Рекомендация Virtual networks должна быть защищена Брандмауэр Azure рекомендует ограничить доступ к виртуальным сетям и предотвратить потенциальные угрозы с помощью Брандмауэр Azure.
Дополнительные сведения о Брандмауэр Azure.
Рекомендация "В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов" обновлена с помощью быстрого исправления
Для рекомендации В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов выпущено быстрое исправление.
На панели мониторинга соответствия нормативным требованиям теперь есть параметр для удаления стандартов
Панель мониторинга соответствия нормативным требованиям в Центре безопасности предоставляет аналитические сведения о состоянии соответствия на основе того, как вы используете определенные средства и соблюдаете определенные требования.
Панель мониторинга включает набор нормативных стандартов по умолчанию. Если какой-либо из предоставляемых стандартов не имеет отношения к вашей организации, теперь достаточно удалить его через пользовательский интерфейс для подписки. Стандарты можно удалить только на уровне подписки ; не область группы управления.
Дополнительные сведения см. в разделе Удаление стандарта с панели мониторинга.
Microsoft. Таблица security/securityStatuses удалена из Azure Resource Graph (ARG)
Azure Resource Graph — это служба в Azure, которая предназначена для эффективного изучения ресурсов с возможностью запрашивать в масштабе определенного набора подписок, чтобы эффективно управлять средой.
Для Центр безопасности Azure можно использовать ARG и язык запросов Kusto Query Language (KQL) для запроса широкого спектра данных о позе безопасности. Рассмотрим пример.
- Инвентаризация активов использует ARG
- Мы описали простой запрос ARG для идентификации учетных записей, для которых не включена многофакторная проверка подлинности (MFA).
В ARG существуют таблицы данных, которые вы можете использовать в запросах.
Tip
В документации по ARG перечислены все доступные таблицы в Azure Resource Graph справочник по таблицам и типу ресурсов.
В этом обновлении Microsoft. Таблица security/securityStatuses удалена. API securityStatuses остается доступным.
Замена данных может использоваться Microsoft. Таблица "Безопасность и оценка".
Основное различие между Microsoft. Security/securityStatuses и Microsoft. Безопасность и оценка заключается в том, что в то время как первый показывает агрегирование оценок, секунды хранят одну запись для каждой.
Например, Microsoft. Security/securityStatuses возвращает результат с массивом двух политикAssessmentsments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
В то время как Microsoft. Оценки безопасности и оценки содержат запись для каждой такой оценки политики следующим образом:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Пример преобразования существующего запроса ARG с использованием таблицы securityStatuses для использования таблицы Assessments:
Запрос к таблице securityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Новый запрос к таблице Assessments:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Дополнительные сведения см. по следующим ссылкам:
Сентябрь 2020 г.
В сентябре добавлены следующие обновления:
- Новый внешний вид Центра безопасности
- Azure Defender выпущен
- Azure Defender для Key Vault общедоступен
- Azure Defender для защиты хранилища для файлов и ADLS 2-го поколения общедоступен
- Выпуск общедоступной версии средств инвентаризации ресурсов
- Отключение определенного результата поиска уязвимостей при проверках реестров контейнеров и виртуальных машин
- Исключение ресурса из рекомендации
- Соединители AWS и GCP в Центре безопасности охватывают несколько облаков
- Пакет рекомендаций по защите рабочих нагрузок Kubernetes
- Результаты оценки уязвимостей теперь доступны в непрерывном экспорте
- Защита от ошибок в конфигурации безопасности благодаря принудительному применению рекомендаций при создании новых ресурсов
- Улучшения рекомендаций по группе безопасности сети
- Объявлена устаревшей рекомендация по AKS предварительной версии "В службах Kubernetes должны быть определены политики безопасности объекта pod"
- уведомления Email от Центр безопасности Azure улучшены
- Оценка безопасности не включает рекомендации предварительной версии
- В рекомендациях добавлены индикатор серьезности и интервал актуальности
У Центра безопасности новый внешний вид
Мы выпустили обновленный пользовательский интерфейс для страниц портала Центра безопасности. Новые страницы включают новую страницу обзора и панели мониторинга для оценки безопасности, инвентаризации активов и Azure Defender.
На обновленной странице обзора теперь есть плитка для доступа к безопасной оценке, инвентаризации активов и Azure Defender панелям мониторинга. Также на ней есть плитка, связанная с панелью мониторинга соответствия нормативным требованиям.
Дополнительные сведения о странице обзора.
Azure Defender выпущено
Azure Defender — это платформа защиты облачных рабочих нагрузок (CWPP), интегрированная в Центр безопасности для расширенной, интеллектуальной защиты Azure и гибридных рабочих нагрузок. Это решение заменяет Центр безопасности ценовой категории "Стандартный".
Если включить Azure Defender из области Pricing и settings области Центр безопасности Azure, все следующие Defender планы включены одновременно и обеспечивают комплексную защиту для вычислительных, данных и уровней служб среды:
- Azure Defender для серверов
- Azure Defender для службы приложений
- Azure Defender для хранилища
- Azure Defender для SQL
- Azure Defender для Key Vault
- Azure Defender для Kubernetes
- Azure Defender для реестров контейнеров
Каждый из этих планов отдельно описан в документации Центра безопасности.
С помощью выделенной панели мониторинга Azure Defender обеспечивает оповещения системы безопасности и расширенную защиту от угроз для виртуальных машин, баз данных SQL, контейнеров, веб-приложений, сети и т. д.
Azure Defender для Key Vault общедоступен
Azure Key Vault — это облачная служба, которая защищает ключи шифрования и секреты, такие как сертификаты, строки подключения и пароли.
Azure Defender для Key Vault обеспечивает Azure расширенную защиту от угроз для Azure Key Vault, обеспечивая дополнительный уровень аналитики безопасности. По расширению Azure Defender для Key Vault, следовательно, защищает многие ресурсы, зависящие от ваших Key Vault учетных записей.
Выпущена общедоступная версия дополнительного плана. Эта функция была в предварительной версии как "расширенная защита от угроз для Azure Key Vault".
Кроме того, страницы Key Vault на портале Azure теперь включают выделенную страницу Security для Security Center рекомендации и оповещения.
Дополнительные сведения см. в Azure Defender для Key Vault.
Azure Defender для защиты хранилища для файлов и ADLS 2-го поколения общедоступен
Azure Defender для хранилища обнаруживает потенциально вредную активность в учетных записях служба хранилища Azure. Данные можно защитить независимо от того, хранятся ли они в виде контейнеров больших двоичных объектов, общих папок или озер данных.
Поддержка Файлы Azure и Azure Data Lake Storage 2-го поколения теперь общедоступна.
С 1 октября 2020 г. мы будем взимать плату за защиту ресурсов в этих службах.
Дополнительные сведения см. в Azure Defender для хранилища.
Выпуск общедоступной версии средств инвентаризации ресурсов
Страница инвентаризации активов Центр безопасности Azure предоставляет одну страницу для просмотра состояния безопасности ресурсов, подключенных к Центру безопасности.
Центр безопасности периодически анализирует состояние безопасности Azure ресурсов для выявления потенциальных уязвимостей безопасности. Затем он предоставляет рекомендации по устранению этих уязвимостей.
Если для каких-то ресурсов есть необработанные рекомендации, они будут отображаться в данных инвентаризации.
См. сведения об изучении ресурсов и управлении ими с помощью инвентаризации ресурсов.
Отключение определенного результата поиска уязвимостей при проверках реестров контейнеров и виртуальных машин
Azure Defender включает сканеры уязвимостей для сканирования образов в Реестр контейнеров Azure и виртуальных машинах.
Если правила вашей организации требуют игнорировать обнаруженную проблему, а не исправлять ее, вы можете исключить ее из результатов поиска. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.
Если результат поиска соответствует критерию, заданному в правилах отключения, он не будет отображаться в списке результатов.
Этот параметр доступен на страницах с подробными сведениями для следующих рекомендаций:
- Vulnerabilities в Реестр контейнеров Azure изображениях следует исправить
- Должны быть устранены уязвимости на ваших виртуальных машинах.
Исключение ресурса из рекомендации
Иногда случается так, что согласно определенной рекомендации ресурс получает статус неработоспособного (что снижает оценку безопасности), но вы считаете это неправильным. Например, ресурс мог был исправлен процессом, который не отслеживается Центром безопасности. Или ваша организация решила принять этот риск для определенного ресурса.
В таких случаях вы можете создать правило исключения, чтобы в будущем этот ресурс не попадал в список неработоспособных ресурсов. Такие правила могут содержать документированные обоснования, как описано ниже.
См. сведения об исключении ресурса из рекомендаций и оценки безопасности.
Соединители AWS и GCP в Центре безопасности охватывают несколько облаков
Так как облачные рабочие нагрузки часто распределяются между несколькими облачными платформами, облачные службы безопасности должны охватывать их все.
Центр безопасности Azure теперь защищает рабочие нагрузки в Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).
При подключении проектов AWS и GCP в Центр безопасности она интегрирует Центр безопасности AWS, команду безопасности GCP и Центр безопасности Azure.
Дополнительные сведения см. в разделе Connect your AWS accounts to Центр безопасности Azure and Connect your GCP projects to Центр безопасности Azure.
Пакет рекомендаций по защите рабочих нагрузок Kubernetes
Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, Центр безопасности предоставляет рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.
Когда вы установили Политика Azure для Kubernetes в кластере AKS, каждый запрос к серверу API Kubernetes будет отслеживаться с помощью предопределенного набора рекомендаций перед сохранением в кластере. Вы можете настроить принудительное применение таких рекомендаций для всех будущих рабочих нагрузок.
Например, можно запретить создание привилегированных контейнеров, и тогда любой запрос такого типа будет блокироваться.
См. сведения о рекомендациях по защите рабочих нагрузок с использованием средств управления доступом в Kubernetes.
Результаты оценки уязвимостей теперь доступны в непрерывном экспорте
Используйте непрерывный экспорт для потоковой передачи оповещений и рекомендаций для Центры событий Azure, Log Analytics рабочих областей или Azure Monitor. После этого эти данные можно интегрировать с SIEMs, например Microsoft Sentinel, Power BI, Azure Data Explorer и т. д.
Встроенные средства оценки уязвимостей в Центре безопасности возвращают результаты поиска, связанные с ресурсами, в виде дочерних рекомендаций в родительской рекомендации, предлагая, например, исправить уязвимости на виртуальных машинах.
Результаты проверки безопасности теперь можно экспортировать через механизм непрерывного экспорта, выбрав нужные рекомендации и включив параметр Включить результаты проверки безопасности.
Связанные страницы:
- Интегрированное решение для оценки уязвимостей Qualys Center для Azure виртуальных машин
- Интегрированное решение для оценки уязвимостей Центра безопасности для образов Реестр контейнеров Azure
- Непрерывный экспорт
Защита от ошибок в конфигурации безопасности благодаря принудительному применению рекомендаций при создании новых ресурсов
Ошибки в конфигурации безопасности являются частой причиной инцидентов безопасности. Центр безопасности теперь имеет возможность предотвратить неправильное настройку новых ресурсов в отношении конкретных рекомендаций.
Эта возможность помогает поддерживать безопасность рабочих нагрузок и стабилизировать оценку безопасности.
Вы можете применить безопасную конфигурацию на основе определенной рекомендации в двух режимах:
С помощью запрещенного режима Политика Azure можно остановить создание неработоспособных ресурсов
Используя примененный параметр, вы можете воспользоваться преимущества Политика Azure ми DeployIfNotExist и автоматически исправлять несоответствующие ресурсы при создании.
Эта возможность доступна в верхней части страницы сведений о ресурсах, но не для всех рекомендаций системы безопасности.
См. сведения о предотвращении ошибок конфигурации с помощью рекомендаций о применении и отклонении.
Улучшения рекомендаций по группе безопасности сети
Были улучшены следующие рекомендации по безопасности, связанные с группами безопасности сети, чтобы сократить количество некоторых ложноположительных результатов.
- Требуется ограничить доступ ко всем сетевым портам в связанной с виртуальной машиной группе безопасности сети
- Порты управления на виртуальных машинах должны быть закрыты.
- Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети.
- Подсети должны быть связаны с группой безопасности сети.
Объявлена устаревшей рекомендация по AKS предварительной версии "В службах Kubernetes должны быть определены политики безопасности объекта pod"
Рекомендация по предварительной версии "Политики безопасности pod должны быть определены в службах Kubernetes" устарела, как описано в документации по Служба Azure Kubernetes.
Компонент политики безопасности pod (предварительная версия) установлен для отмены и больше не будет доступен после 15 октября 2020 г. в пользу Политика Azure для AKS.
После отмены политики безопасности pod (предварительная версия) необходимо отключить функцию в существующих кластерах, используя устаревшую функцию для выполнения будущих обновлений кластера и пребывания в поддержка Azure.
Улучшенные уведомления по электронной почте из Центр безопасности Azure
Улучшены следующие аспекты отправки оповещений системы безопасности по электронной почте:
- включена возможность отправлять по электронной почте уведомления о предупреждениях для всех уровней серьезности;
- Добавлена возможность уведомлять пользователей с разными ролями Azure в подписке
- мы по умолчанию упреждающе уведомляем владельцев подписок об оповещениях высокого уровня серьезности (связанных с высокой вероятностью обнаружения брешей);
- мы удалили поле для номера телефона на странице настройки уведомлений по электронной почте
См. сведения о настройке отправки по электронной почте уведомлений об оповещениях системы безопасности.
Оценка безопасности не включает рекомендации предварительной версии
Центр безопасности постоянно оценивает ресурсы, подписки и организацию на предмет проблем безопасности. Затем он объединяет все результаты в одну оценку, чтобы вы могли понять текущее состояние системы безопасности: чем выше оценка, тем ниже выявленный уровень риска.
По мере обнаружения новых угроз в Центре безопасности становятся доступными новые рекомендации с советами по обеспечению безопасности. Чтобы избежать неожиданных изменений в оценке безопасности и предоставить льготный период, в котором можно изучить новые рекомендации, прежде чем они влияют на ваши оценки, рекомендации, помеченные как предварительная версия , больше не включаются в расчеты вашей оценки безопасности. При этом их по возможности все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку.
Кроме того, рекомендации предварительной версии не отображают ресурс "Неработоспособно".
Пример рекомендации предварительной версии:
См. сведения об оценке безопасности.
В рекомендациях добавлены индикатор серьезности и интервал актуальности
На странице сведений для рекомендаций теперь отображаются индикатор актуальности рекомендации (где он применим) и уровень ее серьезности.
Август 2020 г.
В августе добавлены следующие обновления:
- Инвентаризация ресурсов — новое мощное представление состояния безопасности для ресурсов
- Added support for Microsoft Entra ID security defaults (for multifactor authentication)
- Добавлены рекомендации для субъектов-служб
- Оценка уязвимостей на виртуальных машинах — рекомендации и политики объединены
- Новые политики безопасности AKS, добавленные в инициативу ASC_default
Инвентаризация ресурсов — новое мощное представление состояния безопасности для ресурсов
Инвентаризация ресурсов Центра безопасности (сейчас доступна в предварительной версии) позволяет просматривать уровень безопасности ресурсов, подключенных к Центру безопасности.
Центр безопасности периодически анализирует состояние безопасности Azure ресурсов для выявления потенциальных уязвимостей безопасности. Затем он предоставляет рекомендации по устранению этих уязвимостей. Если для каких-то ресурсов есть необработанные рекомендации, они будут отображаться в данных инвентаризации.
Вы можете использовать это представление и фильтры в нем для изучения данных о состоянии безопасности и выполнения дополнительных действий с учетом полученных результатов.
Дополнительные сведения о инвентаризации активов.
Добавлена поддержка по умолчанию безопасности Microsoft Entra ID (для многофакторной проверки подлинности)
Центр безопасности добавил полную поддержку security defaults, Microsoft защиты безопасности удостоверений.
Параметры безопасности по умолчанию — это предварительно настроенная конфигурация безопасности для защиты удостоверений организации от распространенных атак, связанных с удостоверениями. Параметры безопасности по умолчанию уже помогают защитить более 5 000 000 арендаторов во всем мире, а Центр безопасности — 50 000 арендаторов.
Центр безопасности теперь предоставляет рекомендации по безопасности всякий раз, когда он определяет подписку Azure без поддержки безопасности по умолчанию. До сих пор Центр безопасности рекомендовал включить многофакторную проверку подлинности с помощью условного доступа, который является частью лицензии Microsoft Entra ID premium. Для клиентов, использующих Microsoft Entra ID бесплатно, теперь рекомендуется включить параметры безопасности по умолчанию.
Наша цель заключается в том, чтобы поощрять больше клиентов защищать облачные среды с помощью MFA и устранять один из самых высоких рисков, который также является наиболее значимым для вашей оценки безопасности.
Дополнительные сведения о параметрах безопасности по умолчанию.
Добавлены рекомендации для субъектов-служб
Добавлена новая рекомендация, которая рекомендует клиентам Центра безопасности, использующим сертификаты управления для управления подписками, переключаться на субъекты-службы.
Рекомендация Службы следует использовать для защиты подписок вместо сертификатов управления рекомендует использовать субъекты-службы или Azure Resource Manager для более безопасного управления подписками.
Дополнительные сведения о объектах Application и субъекта-службы см. в Microsoft Entra ID.
Оценка уязвимостей на виртуальных машинах — рекомендации и политики объединены
Центр безопасности проверяет, используют ли виртуальные машины решение для оценки уязвимостей. Если решение для оценки уязвимостей не найдено, Центр безопасности рекомендует упростить развертывание.
При обнаружении уязвимостей Центр безопасности предоставляет рекомендацию с обобщенными результатами поиска, чтобы вы могли при необходимости исследовать и устранить проблемы.
Чтобы обеспечить согласованный интерфейс для всех пользователей независимо от используемого типа средства проверки, мы объединили четыре рекомендации в следующие две:
| Унифицированная рекомендация | Описание изменения |
|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Заменяет следующие две рекомендации: *****Активируйте встроенное решение оценки уязвимостей на виртуальных машинах (на платформе Qualys) (устаревшая; отображается для уровня "Стандартный"). *****Необходимо установить решение "Оценка уязвимостей" на виртуальных машинах (устаревшая; отображается для уровней "Стандартный" и "Бесплатный"). |
| Должны быть устранены уязвимости на ваших виртуальных машинах. | Заменяет следующие две рекомендации: *****Устраните уязвимости, обнаруженные на виртуальных машинах (на платформе Qualys) (устаревшая). *****Уязвимости должны быть устранены с помощью решения для оценки уязвимостей (устаревшая). |
Теперь вы будете использовать ту же рекомендацию для развертывания расширения оценки уязвимостей Центра безопасности или частного лицензированного решения (BYOL) от партнера, такого как Qualys или Rapid 7.
Кроме того, если Центр безопасности получает сведения об обнаружении уязвимостей, одна рекомендация проинформирует вас о результатах поиска независимо от используемого решения для оценки уязвимостей.
Обновление зависимостей
Если у вас есть скрипты, запросы или автоматизации, которые ссылаются на упомянутые рекомендации, ключи или имена политик, обновите эти ссылки в соответствии со следующими таблицами.
До августа 2020 года
| Recommendation | Scope |
|---|---|
|
Активируйте встроенное решение оценки уязвимостей на виртуальных машинах (на платформе Qualys) Ключ: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
Устранение уязвимостей, обнаруженных на виртуальных машинах (на платформе Qualys) Ключ: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
|
Необходимо установить решение "Оценка уязвимостей" на виртуальных машинах Ключ: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
Уязвимости должны быть устранены с помощью решения для оценки уязвимостей Ключ: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
На виртуальных машинах должна быть включена оценка уязвимостей Идентификатор политики: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
Уязвимости должны быть устранены с помощью решения для оценки уязвимостей Идентификатор политики: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
После августа 2020 года
| Recommendation | Scope |
|---|---|
|
Необходимо включить решение для оценки уязвимостей на виртуальных машинах Ключ: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Встроено, с использованием собственной лицензии |
|
Должны быть устранены уязвимости на ваших виртуальных машинах. Ключ: 1195afff-c881-495e-9bc5-1486211ae03f |
Встроено, с использованием собственной лицензии |
| Policy | Scope |
|---|---|
|
На виртуальных машинах должна быть включена оценка уязвимостей Идентификатор политики: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Встроено, с использованием собственной лицензии |
Новые политики безопасности AKS, добавленные в инициативу ASC_default
Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, Центр безопасности предоставляет политики и рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.
Ранний этап этого проекта включает предварительную версию и добавление новых (отключенных по умолчанию) политик в инициативу ASC_default.
Вы можете спокойно игнорировать эти политики, так как они не влияют на вашу среду. Если вы хотите включить их, зарегистрируйтесь в предварительной версии с помощью Microsoft Cloud частного сообщества безопасности и выберите следующие параметры:
- Одна предварительная версия — присоединение только к этой предварительной версии. Явным образом укажите ASC Continuous Scan (Непрерывная проверка ASC) в качестве нужной предварительной версии.
- Текущая программа — добавление в эти и будущие предварительные версии. Вам будет предложено заполнить профиль и принять соглашение о конфиденциальности.
Июль 2020 г.
В июле добавлены следующие обновления:
- Оценка уязвимостей виртуальных машин теперь доступна для образов, которые не доступны в Marketplace
- Threat protection for служба хранилища Azure расширена, чтобы включить Файлы Azure и Azure Data Lake Storage 2-го поколения (предварительная версия)
- Восемь новых рекомендаций для включения возможностей защиты от угроз
- Улучшения защиты контейнеров — ускоренная проверка и обновленная документация
- Адаптивные элементы управления приложениями включают новые рекомендации и позволяют использовать подстановочные знаки в правилах путей
- Шесть политик для расширенной безопасности данных SQL объявлены устаревшими
Оценка уязвимости виртуальных машин стала доступной для образов, не предназначенных для Marketplace
При развертывании решения для оценки уязвимостей Центр безопасности ранее выполнил проверку перед развертыванием. Эта проверка подтверждала наличие SKU для Marketplace на целевой виртуальной машине.
В этом обновлении проверка удаляется и теперь можно развернуть средства оценки уязвимостей на компьютерах с пользовательскими Windows и Linux. Пользовательскими считаются те образы, на которых что-то изменено по сравнению с конфигурацией по умолчанию из Marketplace.
Но независимо от возможности развертывать интегрированное расширение для оценки уязвимостей (на платформе Qualys) на большом числе новых компьютеров, поддержка предоставляется только для тех ОС, которые перечислены в разделе Развертывание интегрированного средства проверки уязвимостей на виртуальных машинах.
Дополнительные сведения о сканере уязвимостей integrated для виртуальных машин (требуется Azure Defender).
Дополнительные сведения об использовании собственного решения для оценки уязвимостей с частной лицензией из Qualys или Rapid7развертывании решения для сканирования уязвимостей партнера.
Расширенная защита от угроз для служба хранилища Azure включает Файлы Azure и Azure Data Lake Storage 2-го поколения (предварительная версия)
Защита от угроз для служба хранилища Azure обнаруживает потенциально вредную активность в учетных записях служба хранилища Azure. Центр безопасности отображает оповещения об обнаруженных попытках получения доступа или эксплойтов в учетных записях хранения.
Данные можно защитить независимо от того, хранятся ли они в виде контейнеров больших двоичных объектов, общих папок или озер данных.
Восемь новых рекомендаций для включения возможностей защиты от угроз
Добавлены восемь новых рекомендаций, чтобы обеспечить простой способ включения функций защиты от угроз Центр безопасности Azure для следующих типов ресурсов: виртуальные машины, планы службы приложений, База данных SQL Azure серверы, серверы SQL на компьютерах, служба хранилища Azure учетных записей, Служба Azure Kubernetes кластеры, реестры Реестр контейнеров Azure и хранилища Azure Key Vault.
Вот эти новые рекомендации:
- Advanced data security должен быть включен на серверах База данных SQL Azure
- Для серверов SQL на компьютерах должна быть включена Расширенная защита данных
- Advanced threat protection должен быть включен в планах Служба приложений Azure
- Advanced threat protection должен быть включен в реестрах Реестр контейнеров Azure
- Advanced threat protection следует включить в хранилищах Azure Key Vault
- Advanced threat protection должен быть включен в кластерах Служба Azure Kubernetes
- Advanced threat protection должен быть включен в учетных записях служба хранилища Azure
- На виртуальных машинах должна быть включена Расширенная защита от угроз
Каждая из них содержит функцию быстрого исправления.
Important
Применение любой из этих рекомендаций предусматривает плату за защиту соответствующих ресурсов. Плата будет начислена немедленно, если у вас есть необходимые ресурсы в текущей подписке. Если вы добавите их позже, плата будет начисляться с момента добавления.
Например, если у вас нет кластеров Служба Azure Kubernetes в подписке и вы включите защиту от угроз, плата не будет взиматься. Если позже вы добавите кластер в эту подписку, к нему будет автоматически применена как защита, за что будет начислена плата.
Дополнительные сведения о защите threat см. в Центр безопасности Azure.
Улучшения защиты контейнеров — ускоренная проверка и обновленная документация
В рамках непрерывных инвестиций в домен безопасности контейнеров мы рады поделиться значительным улучшением производительности в динамическом сканировании образов контейнеров, хранящихся в Реестр контейнеров Azure. Теперь проверки выполняются примерно за две минуты. Но в некоторых случаях может потребоваться до 15 минут.
Чтобы улучшить ясность и рекомендации по обеспечению безопасности контейнеров Центр безопасности Azure, мы также обновили страницы документации по безопасности контейнеров.
Адаптивные элементы управления приложениями включают новые рекомендации и позволяют использовать подстановочные знаки в правилах путей
Адаптивные элементы управления приложениями были существенно обновлены:
Новая рекомендация определяет потенциально допустимое поведение, которое ранее было запрещено. Новая рекомендация (Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями) предлагает добавить к существующей политике новые правила, чтобы сократить число ложноположительных результатов в оповещениях о нарушении работы адаптивных элементов управления приложениями.
Правила путей теперь позволяют использовать подстановочные знаки. Начиная с этого обновления, вы можете настраивать правила разрешенных путей с использованием подстановочных знаков. Поддерживаются два сценария работы:
Используя подстановочный знак в конце пути, чтобы разрешить все исполняемые файлы в этой папке и вложенных папках.
Использование подстановочного знака в середине пути, чтобы разрешить исполняемый файл с известным именем в папках с разными именами (например, в сценариях с личными папками пользователей с известным исполняемым файлом, автоматически создаваемыми именами папок и т. д.).
Шесть политик для расширенной безопасности данных SQL объявлены устаревшими
Объявлены устаревшими следующие шесть политик, связанных с расширенной безопасностью данных для компьютеров SQL:
- Для параметра "Типы Расширенной защиты от угроз" в параметрах Расширенной защиты данных Управляемого экземпляра SQL необходимо установить значение "Все".
- Для параметра "Типы Расширенной защиты от угроз" в параметрах Расширенной защиты данных SQL Server необходимо установить значение "Все".
- Параметры расширенной защиты данных для управляемого экземпляра SQL должны содержать адрес электронной почты для получения оповещений системы безопасности
- Параметры Расширенной защиты данных для сервера SQL должны содержать адрес электронной почты для получения оповещений системы безопасности
- Уведомления по электронной почте для администраторов и владельцев подписок следует включить в параметрах расширенной защиты данных для управляемого экземпляра SQL
- Уведомления по электронной почте для администраторов и владельцев подписок следует включить в параметрах расширенной защиты данных для сервера SQL
Дополнительные сведения о встроенных политиках.
Июнь 2020
В июне добавлены следующие обновления:
- API оценки безопасности (предварительная версия)
- Advanced data security для компьютеров SQL (Azure, других облаков и локальной среды) (предварительная версия)
- Two новые рекомендации по развертыванию агента Log Analytics на Azure Arc компьютерах (предварительная версия)
- Новые политики для создания непрерывного экспорта и конфигураций автоматизации рабочих процессов в большом масштабе
- Новая рекомендация по использованию групп безопасности сети для защиты виртуальных машин, не подключенных к Интернету
- Новые политики для включения защиты от угроз и расширенной защиты данных
API оценки безопасности (предварительная версия)
Теперь вы можете получить доступ к оценке через API оценки безопасности (предварительная версия). Методы этого API позволяют гибко выполнять запросы к данным и создавать собственные механизмы создания отчетов об оценках безопасности за разные периоды. Например, вы можете использовать API оценки безопасности для получения оценки для определенной подписки. Кроме того, с помощью API элементов управления оценкой безопасности можно составить список элементов управления безопасностью и текущие оценки для всех подписок.
Примеры внешних средств, которые стали возможными с помощью API оценки безопасности, см. в разделе область оценки безопасности нашего сообщества GitHub.
Дополнительные сведения о безопасной оценке и элементах управления безопасностью см. в Центр безопасности Azure.
Расширенная безопасность данных для компьютеров SQL (Azure, других облаков и локальной среды) (предварительная версия)
расширенная безопасность данных Центр безопасности Azure для компьютеров SQL теперь защищает серверы SQL Server, размещенные в Azure, в других облачных средах и даже на локальных компьютерах. Это расширяет защиту Azure собственных SQL Server для полной поддержки гибридных сред.
Расширенная защита данных предоставляет оценку уязвимостей и расширенную защиту от угроз для компьютеров SQL в любом расположении.
Настройка включает два шага:
Развертывание агента Log Analytics на хост-компьютере SQL Server для предоставления подключения к учетной записи Azure.
включение дополнительного пакета на странице цен и параметров Центра безопасности.
См. сведения о расширенной защите данных для компьютеров SQL.
Две новые рекомендации по развертыванию агента Log Analytics на Azure Arc компьютерах (предварительная версия)
Добавлены две новые рекомендации, которые помогут развернуть агент Log Analytics на Azure Arc компьютерах и убедиться, что они защищены Центр безопасности Azure:
- агент Log Analytics должен быть установлен на Windows компьютерах Azure Arc (предварительная версия)
- агент Log Analytics должен быть установлен на компьютерах под управлением Linux Azure Arc (предварительная версия)
Эти новые рекомендации будут отображаться в тех же четырех элементах управления безопасностью, что и существующая связанная рекомендация (Необходимо установить агент мониторинга на ваших компьютерах): исправление конфигураций системы безопасности, применение адаптивного элемента управления приложениями, применение системных обновлений и включение защиты конечных точек.
Рекомендации также включают возможность быстрого исправления для ускорения процесса развертывания.
Узнайте больше о том, как Центр безопасности Azure использует агент в Чем является агент Log Analytics?.
Дополнительные сведения о extensions для компьютеров Azure Arc.
Новые политики для создания непрерывного экспорта и конфигураций автоматизации рабочих процессов в большом масштабе
Автоматизация корпоративных процессов мониторинга и реагирования на инциденты может значительно ускорить процессы изучения и устранения инцидентов безопасности.
Чтобы развернуть конфигурации автоматизации в организации, используйте эти встроенные политики "DeployIfdNotExist" Azure для создания и настройки continent export и workflow automation:
Определения политики можно найти в Политика Azure:
| Goal | Policy | ИД политики |
|---|---|---|
| Непрерывный экспорт в центры событий | экспорт Deploy в Центры событий для предупреждений и рекомендаций Центр безопасности Azure | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Непрерывный экспорт в рабочую область Log Analytics | экспорт Deploy в рабочую область Log Analytics для предупреждений и рекомендаций Центр безопасности Azure | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Автоматизация рабочих процессов для оповещений системы безопасности | Deploy Workflow Automation for Центр безопасности Azure alerts | f1525828-9a90-4fcf-be48-268cdd02361e |
| Автоматизация рабочих процессов для рекомендаций системы безопасности | Deploy Workflow Automation для рекомендаций Центр безопасности Azure | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Приступая к работе с шаблонами автоматизации .
Дополнительные сведения об использовании этих двух политик экспорта см. в разделах Настройка автоматизации рабочих процессов в большом масштабе с помощью представленных политик и Настройка непрерывного экспорта.
Новая рекомендация по использованию групп безопасности сети для защиты виртуальных машин, не подключенных к Интернету
Элемент управления безопасностью "Внедрение лучших методик обеспечения безопасности" теперь включает следующие новые рекомендации:
- Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети
Существующая рекомендация (Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети) ранее не учитывала разницу между виртуальными машинами, подключенными и не подключенными к Интернету. В обоих случаях создавалась рекомендация с высоким уровнем серьезности, если виртуальная машина не была назначена группе безопасности сети. Новая рекомендация исключает компьютеры, не подключенные к Интернету, чтобы сократить число ложноположительных результатов и избежать появления ненужных оповещений с высоким уровнем серьезности.
Новые политики для включения защиты от угроз и расширенной защиты данных
Перечисленные ниже новые определения политик добавлены в инициативу ASC_default, чтобы включить защиту от угроз или расширенную защиту данных для соответствующих типов ресурсов.
Определения политики можно найти в Политика Azure:
| Policy | ИД политики |
|---|---|
| Advanced data security должен быть включен на серверах База данных SQL Azure | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| Для серверов SQL на компьютерах должна быть включена Расширенная защита данных | 6581d072-105e-4418-827f-bd446d56421b |
| Advanced threat protection должен быть включен в учетных записях служба хранилища Azure | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| Advanced threat protection следует включить в хранилищах Azure Key Vault | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| Advanced threat protection должен быть включен в планах Служба приложений Azure | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| Advanced threat protection должен быть включен в реестрах Реестр контейнеров Azure | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| Advanced threat protection должен быть включен в кластерах Служба Azure Kubernetes | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
| Advanced threat protection должен быть включен в Виртуальные машины | 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
Дополнительные сведения о защите Threat см. в Центр безопасности Azure.
Май 2020 г.
В мае добавлены следующие обновления:
- Правила подавления оповещений (предварительная версия)
- оценка уязвимостей виртуальных машин (общедоступная версия);
- изменения в JIT-доступе к виртуальным машинам;
- настраиваемые рекомендации перемещены в отдельный элемент управления безопасностью;
- добавлен переключатель для просмотра рекомендаций по элементам управления или в виде неструктурированного списка;
- расширен элемент управления безопасностью, отвечающий за внедрение рекомендаций по обеспечению безопасности;
- пользовательские политики с пользовательскими метаданными теперь общедоступны.
- Возможности анализа аварийного дампа, перенесенные в обнаружение атак без файлов
Правила подавления оповещений (предварительная версия)
Эта новая функция (сейчас доступна в предварительной версии) помогает сократить количество ненужных оповещений. С помощью правил можно автоматически скрывать оповещения, о которых точно известно, что они не связаны с какой-либо опасностью или относятся к обычным действиям в организации. Это позволяет сосредоточиться на наиболее важных оповещениях, связанных с угрозами.
Оповещения, которые соответствуют включенным правилам подавления, по-прежнему будут создаваться, но будут считаться закрытыми. Состояние можно увидеть на портале Azure или получить доступ к оповещениям системы безопасности Центра безопасности.
В правилах подавления определяются условия, в соответствии с которыми оповещения должны автоматически закрываться. Правила подавления обычно используются, чтобы:
подавлять оповещения, которые вы идентифицировали как ложные срабатывания;
подавлять оповещения, которые активируются слишком часто и потому бесполезны.
Дополнительные сведения о супликации оповещений от защиты от угроз Центр безопасности Azure.
Оценка уязвимостей виртуальных машин стала общедоступной
Уровень "Стандартный" Центра безопасности теперь включает в себя интегрированную оценку уязвимостей для виртуальных машин. Дополнительная плата не взимается. Это расширение работает на платформе Qualys, но возвращает результаты непосредственно в Центр безопасности. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Центре безопасности.
Новое решение может постоянно сканировать виртуальные машины, чтобы находить уязвимости и отображать результаты в Центре безопасности.
Чтобы развернуть решение, воспользуйтесь новой рекомендацией по безопасности:
"Включение встроенного решения для оценки уязвимостей на виртуальных машинах (на платформе Qualys)"
См. дополнительные сведения об интегрированной оценке уязвимостей для виртуальных машин в Центре безопасности.
Изменения в JIT-доступе на виртуальных машинах
В Центре безопасности имеется дополнительная функция, которая защищает порты управления виртуальных машин. Это обеспечивает защиту от наиболее распространенной формы атак методом подбора.
В данном обновлении представлены следующие изменения этой функции:
Рекомендация, которая рекомендует включить JIT на виртуальной машине, была переименована. Ранее "JIT-управление доступом к сети должно применяться на виртуальных машинах" теперь: "Порты управления виртуальными машинами должны быть защищены с помощью JIT-управления доступом к сети".
Эта рекомендация активируется только при наличии открытых портов управления.
См. дополнительные сведения о JIT-доступе.
Настраиваемые рекомендации перемещены в отдельный элемент управления безопасностью
Одним из элементов управления безопасностью, представленным с улучшенной оценкой безопасности, было "Реализация рекомендаций по обеспечению безопасности". Все пользовательские рекомендации, созданные для подписок, автоматически помещаются в этот элемент управления.
Чтобы упростить поиск пользовательских рекомендаций, мы переместили их в выделенный элемент управления безопасностью "Пользовательские рекомендации". Этот элемент управления не влияет на оценку безопасности.
Узнайте больше о элементах управления безопасностью в Enhanced secure score (preview) в Центр безопасности Azure.
Добавлен переключатель для просмотра рекомендаций в элементах управления или в виде простого списка
Элементы управления безопасностью — это группы логически связанных рекомендаций по безопасности. Они соответствуют областям, уязвимым для атак. Средство управления — это набор рекомендаций по безопасности с инструкциями, которые помогут вам реализовать эти рекомендации.
Чтобы мгновенно понять, насколько хорошо ваша организация защищает каждую уязвимую область, просмотрите баллы для каждого элемента управления безопасностью.
По умолчанию рекомендации отображаются в элементах управления безопасностью. С выходом этого обновления их можно также отобразить в виде списка. Чтобы просмотреть их в виде простого списка, отсортированного по состоянию работоспособности затронутых ресурсов, воспользуйтесь новым переключателем "Группировать по элементам управления". Переключатель размещен на портале над списком.
Элементы управления безопасностью и этот переключатель — это составная часть нового интерфейса оценки безопасности. Не забудьте отправить нам свои отзывы через портал.
Узнайте больше о элементах управления безопасностью в Enhanced secure score (preview) в Центр безопасности Azure.
Расширенный элемент управления безопасностью "Внедрение рекомендаций по обеспечению безопасности"
Одним из элементов управления безопасностью, представленным с расширенной оценкой безопасности, является "Реализация рекомендаций по обеспечению безопасности". Если рекомендация находится в этом элементе управления, она не влияет на оценку безопасности.
В данном обновлении три рекомендации перемещены из исходных элементов управления в этот. Мы сделали это, так как выяснили, что эти три рекомендации связаны с меньшим риском, чем считалось сначала.
Кроме того, появились две новые рекомендации, которые также добавлены в этот элемент управления.
Вот три рекомендации, которые были перемещены:
- Для учетных записей с разрешениями на чтение в вашей подписке должна быть включена многофакторная проверка подлинности (исходный элемент управления — "Включить MFA");
- Внешние учетные записи с разрешениями на чтение должны быть удалены из подписки (исходный элемент управления — "Настроить доступ и разрешения");
- Подписке должно быть назначено не более 3 владельцев (исходный элемент управления — "Настроить доступ и разрешения").
Вот две новые рекомендации, которые были добавлены в элемент управления:
расширение конфигурации Guest должно быть установлено на Windows виртуальных машинах (предварительная версия) с помощью Политика Azure гостевой конфигурации обеспечивает видимость на виртуальных машинах только для параметров сервера и приложений (только Windows).
Microsoft Defender Exploit Guard следует включить на компьютерах (предварительная версия) — Microsoft Defender Exploit Guard использует агент гостевой конфигурации Политика Azure. Exploit Guard имеет четыре компонента, предназначенные для блокировки устройств с различными векторами атак и блокируют поведение, обычно используемое в атаках вредоносных программ, позволяя предприятиям сбалансировать свои требования к безопасности и производительности (Windows только).
Дополнительные сведения о Microsoft Defender Exploit Guard см. в Create и развертывании политики Exploit Guard.
Сведения об элементах управления безопасностью см. в статье Улучшенная оценка безопасности (предварительная версия).
Настраиваемые политики с пользовательскими метаданными стали общедоступными
Настраиваемые политики теперь присутствуют в разделе рекомендаций Центра безопасности, в оценке безопасности и на панели мониторинга стандартов соответствия нормативным требованиям. Эта возможность стала общедоступной, так что вы можете расширить покрытие оценки безопасности для своей организации в Центре безопасности.
Создайте пользовательскую инициативу в Политика Azure, добавьте в нее политики и добавьте ее в Центр безопасности Azure и визуализировать ее в виде рекомендаций.
Также добавлена возможность редактировать пользовательские метаданные рекомендаций. Возможны такие варианты метаданных, как серьезность, шаги для исправления, сведения об угрозах и многое другое.
См. статью об усовершенствовании пользовательских рекомендаций с помощью дополнительных сведений.
Возможности анализа аварийного дампа перенесены в компонент обнаружения бесфайловых атак
Мы интегрируем возможности обнаружения Windows аварийного дампа (CDA) в файловое обнаружение атак. Аналитика обнаружения атак без файлов предоставляет улучшенные версии следующих оповещений системы безопасности для Windows компьютеров: обнаружено внедрение кода, маскирование Windows модуль обнаружен, обнаружен код оболочки и обнаруженный подозрительный сегмент кода.
Вот некоторые из преимуществ этого переноса:
Упреждающее и своевременное обнаружение вредоносных программ. При использовании подхода CDA приходилось ожидать аварийного завершения работы и только потом выполнять анализ для поиска вредоносных артефактов. Обнаружение бесфайловых атак обеспечивает упреждающее выявление угроз в памяти во время их работы.
Обогащенные оповещения . Оповещения системы безопасности из обнаружения атак без файлов включают обогащения, недоступные из CDA, например сведения об активных сетевых подключениях.
Агрегирование оповещений. При обнаружении CDA нескольких шаблонов атак в одном дампе аварийного дампа активировалось несколько оповещений системы безопасности. Компонент обнаружения бесфайловых атак объединяет все выявленные шаблоны атак из одного процесса в одно оповещение, тем самым устраняя необходимость соотносить несколько оповещений.
требования Reduced в рабочей области Log Analytics. Аварийные дампы, содержащие потенциально конфиденциальные данные, больше не будут отправляться в рабочую область Log Analytics.
Апрель 2020 г.
В апреле добавлены следующие обновления:
- Динамические пакеты соответствия теперь общедоступны
- рекомендации Identity теперь включены в бесплатный уровень Центр безопасности Azure
Динамические пакеты соответствия стали общедоступными
Теперь панель мониторинга соответствия нормативным требованиям Центр безопасности Azure включает пакеты динамические пакеты соответствия (теперь общедоступная версия) для отслеживания дополнительных отраслевых и нормативных стандартов.
Пакеты динамического соответствия можно добавить в подписку или группу управления на странице политики безопасности в Центре безопасности. При подключении стандарта или эталона он отобразится на панели мониторинга "Соответствие требованиям" со всеми связанными данными соответствия, сопоставленными в виде оценок. Вы также сможете скачать сводный отчет по всем подключенным стандартам.
В настоящее время можно добавить следующие стандарты:
- NIST SP 800-53, ред. 4
- SWIFT CSP-CSCF, версия 2020
- UK Official и UK NHS
- Федеральный PBMM Канады
- Azure CIS 1.1.0 (new) (что является более полным представлением Azure CIS 1.1.0)
Кроме того, мы недавно добавили Azure Тест безопасности, созданные Microsoft Azure рекомендации по обеспечению безопасности и соответствия требованиям на основе общих платформ соответствия требованиям. Поддержка дополнительных стандартов будет обеспечена на панели мониторинга по мере их появления.
См. дополнительные сведения о настройке набора стандартов на панели мониторинга соответствия нормативным требованиям.
Рекомендации по идентификации теперь включены в бесплатный уровень Центр безопасности Azure
Рекомендации по безопасности для удостоверений и доступа на Центр безопасности Azure бесплатном уровне теперь доступны. Это составляющая нашей инициативы по обеспечению бесплатного доступа к управлению состоянием безопасности облака (CSPM). До сегодняшнего дня эти рекомендации были доступны только в ценовой категории "Стандартный".
Примеры рекомендаций по идентификации и доступу:
- "Необходимо включить многофакторную проверку подлинности для учетных записей с разрешениями владельца для вашей подписки".
- "Подписке может быть назначено максимум три владельца".
- "Необходимо удалить устаревшие учетные записи из подписки".
Если у вас есть подписки ценовой категории "Бесплатный", это изменение повлияет на их оценки безопасности, так как эти подписки никогда не оценивались на предмет безопасности идентификации и доступа.
Март 2020 г.
В марте добавлены следующие обновления:
- Автоматизация рабочих процессов теперь общедоступна
- Integration Центр безопасности Azure с Windows Admin Center
- Protection для Служба Azure Kubernetes
- Улучшенный JIT-интерфейс
- Две рекомендации по безопасности для веб-приложений устарели
Автоматизация рабочих процессов стала общедоступной
Функция автоматизации рабочих процессов Центр безопасности Azure теперь общедоступна. Используйте ее для автоматической активации Logic Apps в оповещениях и рекомендациях системы безопасности. Кроме того, доступны ручные триггеры для активации оповещений и всех рекомендаций с поддержкой быстрого исправления.
Каждая программа обеспечения безопасности включает несколько рабочих процессов для реагирования на инциденты. Эти процессы могут уведомлять соответствующих заинтересованных лиц, запускать операции управления изменениями и выполнять определенные действия для устранения проблем. Специалисты по безопасности рекомендуют автоматизировать максимальное количество этапов. Автоматизация сокращает издержки и может повысить безопасность, обеспечивая быстрое и согласованное выполнение этапов процесса в соответствии с предопределенными требованиями.
Дополнительные сведения о возможностях автоматического и ручного центра безопасности для выполнения рабочих процессов см. в разделе автоматизации рабочих процессов.
См. дополнительные сведения о создании Logic Apps.
Интеграция Центр безопасности Azure с Windows Admin Center
Теперь можно переместить локальные серверы Windows из Windows Admin Center непосредственно в Центр безопасности Azure. Затем Центр безопасности становится одной областью стекла для просмотра сведений о безопасности для всех ресурсов Windows Admin Center, включая локальные серверы, виртуальные машины и дополнительные рабочие нагрузки PaaS.
После перемещения сервера из Windows Admin Center в Центр безопасности Azure вы сможете:
- Просмотр оповещений системы безопасности и рекомендаций в расширении Центра безопасности Windows Admin Center.
- Просмотрите состояние безопасности и получите дополнительные подробные сведения об управляемых серверах Windows Admin Center в Центре безопасности на портале Azure (или через API).
Узнайте больше о как интегрировать Центр безопасности Azure с Windows Admin Center.
Защита Служба Azure Kubernetes
Центр безопасности Azure расширяет возможности безопасности контейнеров для защиты Azure Kubernetes Service (AKS).
Популярная платформа Kubernetes с открытым исходным кодом используется так широко, что теперь является отраслевым стандартом для оркестрации контейнеров. Несмотря на такую популярность платформы Kubernetes, вопросы ее защиты все еще недостаточно проработаны. Чтобы защитить контейнерное приложение по возможным направлениям атак, требуется обеспечить настройку безопасной конфигурации инфраструктуры и постоянный мониторинг потенциальных угроз.
Защита Центра безопасности включает следующие возможности:
- Обнаружение и видимость. Это непрерывное обнаружение управляемых экземпляров AKS в подписках, зарегистрированных в Центре безопасности.
- Рекомендации по безопасности — рекомендации, которые помогут вам соблюдать рекомендации по обеспечению безопасности для AKS. Они включены в вашу оценку безопасности и поэтому отображаются в сведениях о состоянии безопасности вашей организации. Пример рекомендации, связанной с AKS, — "Управление доступом на основе ролей должно использоваться для ограничения доступа к кластеру служб Kubernetes".
- Защита от угроз. Благодаря непрерывному анализу развертывания AKS центр безопасности предупреждает вас об угрозах и вредоносных действиях, обнаруженных на уровне узла и кластера AKS.
Дополнительные сведения о интеграции Azure интеграции Kubernetes Services с Центром безопасности.
См. дополнительные сведения о возможностях защиты контейнеров в Центре безопасности.
Улучшенный интерфейс для JIT
Функции, операции и пользовательский интерфейс для JIT-инструментов Центр безопасности Azure, которые защищают порты управления, были улучшены следующим образом:
- поле Justification . При запросе доступа к виртуальной машине на странице JIT портала Azure можно ввести обоснование запроса. Сведения, введенные в этом поле, можно отслеживать в журнале действий.
- Автоматическая очистка избыточных правил JIT. Когда вы обновляете политику JIT, автоматически запускается средство очистки, которое проверяет действительность всего набора правил. Средство ищет несоответствия между правилами в политике и правилами в группе безопасности сети. Если средство очистки обнаруживает несоответствие, оно определяет причину и, когда это можно сделать без угрозы для безопасности, удаляет встроенные правила, которые больше не нужны. Средство очистки никогда не удаляет созданные вами правила.
См. дополнительные сведения о JIT-доступе.
Две рекомендации по безопасности для веб-приложений устарели
Две рекомендации по обеспечению безопасности, связанные с веб-приложениями, объявляются нерекомендуемыми:
рекомендация сделать более строгими правила для веб-приложений в группах безопасности сети IaaS (Связанная политика: правила групп безопасности сети для веб-приложений в IaaS должны быть затвердены)
рекомендация ограничить доступ к службам приложений (Связанная политика: доступ к Служба приложений должен быть ограничен [предварительная версия])
Эти рекомендации больше не будут отображаться в списке рекомендаций Центра безопасности. Связанные политики больше не будут включаться в инициативу "Центр безопасности — по умолчанию".
Февраль 2020 г.
Обнаружение бесфайловых атак для Linux (предварительная версия)
По мере того как злоумышленники используют более скрытые методы, чтобы избежать обнаружения, Центр безопасности Azure расширяет обнаружение атак без файлов для Linux в дополнение к Windows. При бесфайловых атаках эксплуатируются уязвимости программного обеспечения и в благоприятные системные процессы вставляются вредоносные полезные данные, которые скрываются в памяти. Эти методы:
- минимизируют или исключают следы вредоносных программ на диске;
- значительно уменьшают вероятность обнаружения с помощью решений для проверки диска на наличие вредоносных программ.
Чтобы противостоять этой угрозе, Центр безопасности Azure выпустили обнаружение атак без файлов для Windows в октябре 2018 года и теперь расширено обнаружение атак без файлов в Linux.
Январь 2020 г.
Улучшенная оценка безопасности (предварительная версия)
Расширенная версия функции оценки безопасности Центр безопасности Azure теперь доступна в предварительной версии. В этой версии рекомендации группируются в элементы управления безопасностью, которые лучше соответствуют уязвимым направлениям атак (например, ограничивают доступ к портам управления).
Ознакомьтесь с изменениями средств оценки безопасности на этапе предварительной версии и определите другие исправления, которые помогут вам защитить среду.
См. дополнительные сведения об улучшенной оценке безопасности (предварительная версия).
Ноябрь 2019 г.
В ноябре добавлены следующие обновления:
- Threat Protection для Azure Key Vault в регионах Северной Америки (предварительная версия)
- Threat Protection for служба хранилища Azure включает проверку репутации вредоносных программ
- Автоматизация рабочих процессов с помощью Logic Apps (предварительная версия)
- Быстрое исправление общих ресурсов
- Сканирование образов контейнеров для уязвимостей (предварительная версия)
- Дополнительные стандарты соответствия нормативным требованиям (предварительная версия)
- Threat Protection для Служба Azure Kubernetes (предварительная версия)
- Оценка уязвимостей виртуальной машины (предварительная версия)
- Advanced data security for SQL Server на Виртуальные машины Azure (предварительная версия)
- Поддержка пользовательских политик (предварительная версия)
- Extending Центр безопасности Azure охват платформой для сообщества и партнеров
- Расширенная интеграция с экспортом рекомендаций и оповещений (предварительная версия)
- Onboard локальных серверов в Центр безопасности с Windows Admin Center (предварительная версия)
Защита от угроз для Azure Key Vault в регионах Северной Америки (предварительная версия)
Azure Key Vault является важной службой для защиты данных и повышения производительности облачных приложений, предоставляя возможность централизованного управления ключами, секретами, криптографическими ключами и политиками в облаке. Так как Azure Key Vault хранит конфиденциальные и критически важные для бизнеса данные, он требует максимальной безопасности для хранилищ ключей и данных, хранящихся в них.
поддержка Центр безопасности Azure для защиты от угроз для Azure Key Vault предоставляет дополнительный уровень аналитики безопасности, которая обнаруживает необычные и потенциально опасные попытки доступа к хранилищам ключей или эксплойтирования. Этот новый уровень защиты позволяет клиентам устранять угрозы для хранилищ ключей, даже не обладая экспертными знаниями в области безопасности или управления системами мониторинга безопасности. Эта функция предоставляется в общедоступной предварительной версии в регионах Северной Америки.
Защита от угроз для служба хранилища Azure включает проверку репутации вредоносных программ
Защита от угроз для служба хранилища Azure предлагает новые обнаружения, созданные Microsoft Аналитикой угроз для обнаружения отправки вредоносных программ в служба хранилища Azure с помощью анализа репутации хэша и подозрительного доступа с активного узла выхода Tor (анонимный прокси-сервер). Теперь вы можете просматривать обнаруженные вредоносные программы в учетных записях хранения с помощью Центр безопасности Azure.
Автоматизация рабочих процессов с помощью Logic Apps (предварительная версия)
Организации, в которых выполняется централизованное управление безопасностью, ИТ-средой и операциями, внедряют внутренние рабочие процессы для выполнения требуемых действий при обнаружении несоответствий в их средах. Во многих случаях эти рабочие процессы являются повторяемыми, и автоматизация может значительно оптимизировать процессы в организации.
Сегодня мы представляем новую возможность в Центре безопасности, которая позволяет клиентам создавать конфигурации автоматизации, использующие Azure Logic Apps, и создавать политики, которые автоматически активируют их на основе определенных выводов ASC, таких как рекомендации или оповещения. Azure приложение логики можно настроить для выполнения любых пользовательских действий, поддерживаемых обширным сообществом соединителей приложений логики, или использовать один из шаблонов, предоставляемых Центром безопасности, например отправку сообщения электронной почты или открытие билета ServiceNow™.
Дополнительные сведения о возможностях автоматического и ручного центра безопасности для выполнения рабочих процессов см. в разделе автоматизации рабочих процессов.
Дополнительные сведения о создании Logic Apps см. в статье Azure Logic Apps.
Общедоступная функция быстрого исправления множества ресурсов
После Оценки безопасности пользователь получает ряд заданий, что затрудняет эффективное устранение проблем в пределах большого парка ресурсов.
Используйте исправление быстрого исправления для устранения ошибок безопасности, устранения рекомендаций по нескольким ресурсам и повышения оценки безопасности.
Это позволяет выбрать ресурсы, к которым нужно применить исправление, и запустить действие исправления, которое настроит параметр от вашего имени.
В настоящее время функция быстрого исправления является общедоступной для клиентов на странице рекомендаций Центра безопасности.
Сканирование образов контейнеров на наличие уязвимостей (предварительная версия)
Центр безопасности Azure теперь может сканировать образы контейнеров в Реестр контейнеров Azure для уязвимостей.
При сканировании образов выполняется анализ файла образа контейнера, который затем проверяется на наличие известных уязвимостей (с помощью решения Qualys).
Сама проверка активируется автоматически при отправке новых образов контейнеров в Реестр контейнеров Azure. Обнаруженные уязвимости отображаются в виде рекомендаций Центра безопасности и добавляются в оценку безопасности вместе со сведениями об их исправлении для сокращения направлений соответствующих атак.
Дополнительные стандарты соответствия нормативным требованиям (предварительная версия)
Панель мониторинга "Соответствие нормативным требованиям" содержит аналитические сведения о вашем соответствии требованиям с учетом оценок, выставленных Центром безопасности. С помощью этой панели мониторинга вы узнаете, насколько ваша среда соответствует механизмам управления и требованиям, обусловленным определенными нормативными и отраслевыми стандартами, а также получите рекомендации по выполнению этих требований.
Панель мониторинга соответствия нормативным требованиям до сих пор поддерживает четыре встроенных стандарта: Azure CIS 1.1.0, PCI-DSS, ISO 27001 и SOC-TSP. Теперь мы объявляем общедоступный предварительный выпуск дополнительных поддерживаемых стандартов: NIST SP 800-53 R4, SWIFT CSP CSCF версии 2020, Канада Федеральный PBMM и Uk Official вместе с UK NHS. Мы также выпускаем обновленную версию Azure CIS 1.1.0, охватывая дополнительные элементы управления из стандарта и повышая расширяемость.
Защита от угроз для Служба Azure Kubernetes (предварительная версия)
Kubernetes быстро превращается в новый стандарт для развертывания программного обеспечения и управления им в облаке. Немногие могут похвастаться широким опытом работы с Kubernetes, причем пользователи часто фокусируются на общем инжиниринге и администрировании, не уделяя достаточного внимания безопасности. Среду Kubernetes нужно тщательно настроить, чтобы исключить бреши в системе безопасности, которыми могут воспользоваться злоумышленники для своих атак. Центр безопасности расширяет свою поддержку в пространстве контейнера до одной из самых быстрых растущих служб в Azure - Azure Kubernetes Service (AKS).
Ниже перечислены новые возможности, доступные в этом выпуске предварительной версии.
- Обнаружение и видимость. Это непрерывное обнаружение управляемых экземпляров AKS в подписках, зарегистрированных в Центре безопасности.
- Рекомендации по оценке безопасности. Это действия, которые помогут клиентам обеспечить соответствие рекомендациям по обеспечению безопасности для AKS и повысить оценку безопасности. Пример рекомендации: "Для ограничения доступа к кластеру службы Kubernetes следует использовать управление доступом на основе ролей".
- Обнаружение угроз — аналитика на основе узла и кластера, например "Обнаружен привилегированный контейнер".
Оценка уязвимостей виртуальных машин (предварительная версия)
Приложения, установленные на виртуальных машинах, часто могут иметь уязвимости, что может привести к нарушению безопасности виртуальной машины. Мы объявляем, что уровень "Стандартный" центра безопасности включает встроенную оценку уязвимостей для виртуальных машин без дополнительной платы. Оценка уязвимостей на платформе Qualys в общедоступной предварительной версии позволяет непрерывно сканировать все установленные приложения на виртуальной машине, чтобы найти уязвимые приложения и представить результаты на портале Центра безопасности. Центр безопасности отвечает за все операции по развертыванию, поэтому пользователю не нужно проделывать лишнюю работу. В будущем мы планируем предоставить варианты оценки уязвимостей для поддержки уникальных бизнес-потребностей наших клиентов.
Learn больше об оценках уязвимостей для Виртуальные машины Azure.
Расширенная безопасность данных для серверов SQL на Виртуальные машины Azure (предварительная версия)
поддержка Центр безопасности Azure для оценки угроз и уязвимостей для DOB-объектов SQL, работающих на виртуальных машинах IaaS, теперь доступна в предварительной версии.
Оценка уязвимостей — это простая настройка службы, которая может обнаруживать, отслеживать и устранять потенциальные уязвимости базы данных. Эта служба позволяет получить представление о состоянии безопасности в рамках оценки безопасности и предлагает практические действия для устранения проблем безопасности и усиления защиты базы данных.
Расширенная защита от угроз выявляет подозрительную активность, указывающую на нетипичные и потенциально опасные попытки доступа к серверу SQL Server или его использования. Эта служба непрерывно отслеживает базу данных для выявления подозрительных действий и немедленно создает оповещения системы безопасности об аномальных шаблонах доступа к базам данных. Эти оповещения содержат сведения о подозрительных операциях и рекомендации о том, как исследовать причину угрозы и устранить ее.
Поддержка настраиваемых политик (предварительная версия)
Центр безопасности Azure теперь поддерживает пользовательские политики (в предварительной версии).
Наши клиенты хотели расширить охват текущих оценок безопасности в Центре безопасности с помощью собственных оценок безопасности на основе политик, создаваемых в Политика Azure. Это стало возможным благодаря поддержке пользовательских политик.
Эти новые политики станут частью рекомендаций Центра безопасности, Оценки безопасности и панели мониторинга соответствия нормативным требованиям и стандартам. Благодаря поддержке пользовательских политик теперь вы можете создать пользовательскую инициативу в Политика Azure, а затем добавить ее в центр безопасности и визуализировать ее как рекомендацию.
Расширение Центр безопасности Azure охвата платформой для сообщества и партнеров
Используйте Центр безопасности для получения рекомендаций не только от Microsoft, но и от существующих решений от партнеров, таких как Check Point, Tenable и CyberArk с множеством дополнительных интеграций. Простой поток подключения Центра безопасности позволяет подключать существующие решения к Центру безопасности, обеспечивая централизованный просмотр рекомендаций по обеспечению безопасности, запуск унифицированных отчетов и использование всех возможностей Центра безопасности в отношении встроенных и партнерских рекомендаций. Кроме того, рекомендации Центра безопасности можно экспортировать в продукты партнеров.
Learn больше о Ассоциация информационной безопасности Майкрософт.
Расширенные возможности интеграции с экспортом рекомендаций и оповещений (предварительная версия)
Чтобы включить сценарии корпоративного уровня в центре безопасности, теперь можно использовать оповещения и рекомендации центра безопасности в дополнительных местах, кроме портала или API Azure. Их можно экспортировать непосредственно в концентратор событий и в Log Analytics рабочих областей. Например, с помощью этих новых возможностей можно создать такие рабочие процессы:
- Экспорт в рабочую область Log Analytics позволяет создавать пользовательские панели мониторинга с помощью Power BI.
- При экспорте в Центры событий вы сможете экспортировать оповещения и рекомендации Центра безопасности в сторонние SIEMs, в стороннее решение или Azure Data Explorer.
Подключение локальных серверов к Центру безопасности из Windows Admin Center (предварительная версия)
Windows Admin Center — это портал управления для серверов Windows, которые не развернуты в Azure предлагают им несколько возможностей управления Azure, таких как резервное копирование и обновления системы. Недавно мы добавили возможность подключения этих серверов, отличных от Azure, которые будут защищены ASC непосредственно из интерфейса Windows Admin Center.
Теперь пользователи могут подключить сервер WAC к Центр безопасности Azure и включить просмотр оповещений системы безопасности и рекомендаций непосредственно в интерфейсе Windows Admin Center.
Сентябрь 2019
В сентябре добавлены следующие обновления:
- Управление правилами с помощью усовершенствований адаптивных элементов управления приложениями
- рекомендация по безопасности контейнера Control с помощью Политика Azure
Улучшенное управление правилами с помощью адаптивных элементов управления приложениями
Улучшены возможности управления правилами для виртуальных машин, использующих адаптивные элементы управления приложениями. адаптивные элементы управления приложениями Центр безопасности Azure помогают контролировать, какие приложения могут выполняться на виртуальных машинах. Помимо общего улучшения управления правилами, новое преимущество позволяет контролировать, какие типы файлов будут защищены при добавлении нового правила.
Дополнительные сведения об адаптивных элементах управления приложениями.
Управление рекомендациями по безопасности контейнеров с помощью Политика Azure
рекомендация Центр безопасности Azure по исправлению уязвимостей в безопасности контейнеров теперь может быть включена или отключена с помощью Политика Azure.
Чтобы просмотреть включенные политики безопасности, в Центре безопасности откройте страницу "Политика безопасности".
Август 2019 г.
В августе добавлены следующие обновления:
- JIT-доступ к виртуальной машине для Брандмауэр Azure
- Исправление одного щелчка, чтобы повысить уровень безопасности (предварительная версия)
- Управление несколькими клиентами
JIT-доступ к виртуальной машине для Брандмауэр Azure
Доступ к виртуальной машине JIT для Брандмауэр Azure теперь общедоступен. Используйте его для защиты Брандмауэр Azure защищенных сред в дополнение к защищенным средам NSG.
Доступ к виртуальной машине JIT снижает уязвимость к сетевым томным атакам, предоставляя управляемый доступ к виртуальным машинам только при необходимости, используя правила NSG и Брандмауэр Azure.
Чтобы обеспечить JIT-доступ для виртуальной машины, нужно создать политику, которая определяет защищенные порты, указать, в течение какого периода порты остаются открытыми, и задать защищенные IP-адреса для осуществления доступа к портам. Эта политика позволяет контролировать действия пользователей, если они отправили запрос на доступ.
Запросы регистрируются в журнале действий Azure, чтобы можно было легко отслеживать и проверять доступ. Страница JIT-доступа также позволяет быстро выявить существующие виртуальные машины, для которых он включен и для которых рекомендуется.
Learn больше о Брандмауэр Azure.
Исправление одним щелчком для повышения безопасности (предварительная версия)
Оценка безопасности —это средство, с помощью которого можно оценить состояние безопасности рабочей нагрузки. Оно проверяет ваши рекомендации по безопасности и автоматически назначает для них приоритеты, поэтому вы знаете, какие рекомендации выполнять в первую очередь. Это поможет определить, какие уязвимости в системе безопасности являются наиболее серьезными и приоритетными для анализа.
Чтобы упростить исправление ошибок в конфигурации безопасности и помочь вам быстро повысить оценку безопасности, мы добавили новую возможность, которая позволяет применить рекомендацию к множеству ресурсов одним щелчком мыши.
Это позволяет выбрать ресурсы, к которым нужно применить исправление, и запустить действие исправления, которое настроит параметр от вашего имени.
Управление несколькими клиентами
Центр безопасности теперь поддерживает сценарии управления между клиентами в рамках Azure Lighthouse. Это обеспечивает визуальный контроль и позволяет управлять уровнем безопасности нескольких клиентов в Центре безопасности.
Дополнительные сведения об интерфейсах межклиентского управления.
Июль 2019 г.
Обновления рекомендаций для сети
Центр безопасности Azure (ASC) запустил новые сетевые рекомендации и улучшил некоторые существующие. Теперь использование Центра безопасности обеспечивает еще более высокий уровень сетевой защиты для ваших ресурсов.
2019 июня
Адаптивная защита сети — общедоступная версия
Одно из наиболее распространенных направлений атак для рабочих нагрузок в общедоступном облаке — входящее и исходящее подключения к общедоступному Интернету. Нашим клиентам трудно знать, какие правила группы безопасности сети (NSG) должны быть установлены, чтобы убедиться, что Azure рабочие нагрузки доступны только для необходимых исходных диапазонов. С помощью этой функции Центр безопасности узнает о шаблонах сетевого трафика и подключений Azure рабочих нагрузок и предоставляет рекомендации по правилу NSG для виртуальных машин, подключенных к Интернету. Благодаря этому клиенты могут применять более эффективные политики доступа к сети и снижать вероятность атак.