Новые возможности Defender для облака рекомендаций и оповещений
В этой статье описаны новые возможности рекомендаций по безопасности и оповещений в Microsoft Defender для облака. Она содержит сведения о новых, измененных и устаревших рекомендациях и оповещениях.
Эта страница часто обновляется с помощью последних рекомендаций и оповещений в Defender для облака.
Найдите последние сведения о новых и обновленных функциях Defender для облака в новых возможностях Defender для облака.
Совет
Получите уведомление об обновлении этой страницы путем копирования и вставки следующего URL-адреса в средство чтения веб-канала:
https://aka.ms/mdc/rss-recommendations-alerts
- Просмотрите полный список рекомендаций и оповещений по многооблачной безопасности:
Рекомендации и обновления оповещений
Новые и обновленные рекомендации и оповещения добавляются в таблицу в порядке даты.
| Дата | Тип | Штат | Имя |
|---|---|---|---|
| 31 июля | Рекомендация | Предстоящее прекращение использования | На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети |
| 31 июля | Предупреждение | Предстоящее прекращение использования | Traffic detected from IP addresses recommended for blocking (Обнаружен трафик с IP-адресов, которые рекомендуется заблокировать) |
| 30 июля | Рекомендация | Предварительный просмотр | AWS Bedrock должен использовать AWS PrivateLink |
| 22 июля | Рекомендация | Обновить | (Включить при необходимости) Ресурсы служб искусственного интеллекта Azure должны шифровать неактивных данных с помощью ключа, управляемого клиентом (CMK) |
| 28 июня | Рекомендация | Общедоступная версия | Репозитории Azure DevOps должны требовать минимального утверждения двух рецензентов для отправки кода. |
| 28 июня | Рекомендация | Общедоступная версия | Репозитории Azure DevOps не должны разрешать запрашивателям утверждать собственные запросы на вытягивание |
| 28 июня | Рекомендация | Общедоступная версия | Организации GitHub не должны делать секреты действий доступными для всех репозиториев |
| 27 июня | Предупреждение | Устаревание | Security incident detected suspicious source IP activityСерьезность: средний или высокий |
| 27 июня | Предупреждение | Устаревание | Security incident detected on multiple resourcesСерьезность: средний или высокий |
| 27 июня | Предупреждение | Устаревание | Security incident detected compromised machineСерьезность: средний или высокий |
| 27 июня | Предупреждение | Устаревание | Security incident detected suspicious virtual machines activityСерьезность: средний или высокий |
| 30 мая | Рекомендация | Общедоступная версия | Виртуальные машины Linux должны включать Шифрование дисков Azure (ADE) или EncryptionAtHost. Ключ оценки a40cc620-e72c-fdf4-c554-c6ca2cd705c0 |
| 30 мая | Рекомендация | Общедоступная версия | Виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost. Ключ оценки 0cb5f317-a94b-6b80-7212-13a9cc8826af |
| 28 мая | Рекомендация | Общедоступная версия | Компьютер должен быть безопасно настроен (с помощью MDVM) |
| 1 мая | Рекомендация | Предстоящее прекращение использования | На компьютерах должны быть установлены обновления системы. Предполагаемое прекращение использования: июль 2024 г. |
| 1 мая | Рекомендация | Предстоящее прекращение использования | Необходимо установить обновления системы для масштабируемых наборов виртуальных машин. Предполагаемое прекращение использования: июль 2024 г. |
| 1 мая | Рекомендация | Предстоящее прекращение использования | На компьютерах Azure Arc с Windows должен быть установлен агент Log Analytics Предполагаемое прекращение использования: июль 2024 г. |
| 1 мая | Рекомендация | Предстоящее прекращение использования | В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics Предполагаемое прекращение использования: июль 2024 г. |
| 1 мая | Рекомендация | Предстоящее прекращение использования | В подписке должна быть включена автоматическая подготовка агента Log Analytics Предполагаемое прекращение использования: июль 2024 г. |
| 1 мая | Рекомендация | Предстоящее прекращение использования | На виртуальных машинах должен быть установлен агент Log Analytics Предполагаемое прекращение использования: июль 2024 г. |
| 1 мая | Рекомендация | Предстоящее прекращение использования | На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений Предполагаемое прекращение использования: июль 2024 г. |
| 18 апреля | Предупреждение | Устаревание | Fileless attack toolkit detected (VM_FilelessAttackToolkit.Windows)Fileless attack technique detected (VM_FilelessAttackTechnique.Windows)Fileless attack behavior detected (VM_FilelessAttackBehavior.Windows)Fileless Attack Toolkit Detected (VM_FilelessAttackToolkit.Linux)Fileless Attack Technique Detected (VM_FilelessAttackTechnique.Linux)Fileless Attack Behavior Detected (VM_FilelessAttackBehavior.Linux)Оповещения об атаке без файлов для виртуальных машин Windows и Linux будут прекращены. Вместо этого оповещения будут созданы Defender для конечной точки. Если вы уже включили интеграцию Defender для конечной точки в Defender для серверов, нет никаких действий, необходимых для вашей части. В мае 2024 г. возможно снижение объема оповещений, но по-прежнему остается защищенным. Если вы не включили интеграцию, включите ее для поддержания и улучшения охвата оповещений. Все клиенты Defender для сервера могут получить доступ к полной стоимости интеграции Defender для конечной точки без дополнительных затрат. Подробнее. |
| 3 апреля | Рекомендация | Предстоящее прекращение использования | Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища Предполагаемая дата отмены: май 2024 г. |
| 3 апреля | Рекомендация | Предварительный просмотр | Образы контейнеров в реестре Azure должны иметь результаты уязвимостей, разрешенные (предварительная версия) |
| 3 апреля | Рекомендация | Предварительный просмотр | Контейнеры, работающие в Azure, должны иметь результаты уязвимостей, разрешенные (предварительная версия) |
| 3 апреля | Рекомендация | Предварительный просмотр | Образы контейнеров в реестре AWS должны иметь обнаруженные уязвимости (предварительная версия) |
| 3 апреля | Рекомендация | Предварительный просмотр | Контейнеры, работающие в AWS, должны иметь обнаруженные уязвимости (предварительная версия) |
| 3 апреля | Рекомендация | Предварительный просмотр | Образы контейнеров в реестре GCP должны иметь устраненные результаты уязвимостей (предварительная версия) |
| 3 апреля | Рекомендация | Предварительный просмотр | Контейнеры, работающие в GCP, должны иметь устраненные результаты уязвимостей (предварительная версия) |
| 2 апреля | Рекомендация | Предстоящее прекращение использования | Виртуальные машины должны быть перенесены на новые ресурсыAzure Resource Manager. Нет эффекта, так как эти ресурсы больше не существуют. Предполагаемая дата: 30 июля 2024 г. |
| 2 апреля | Рекомендация | Обновить | Службы искусственного интеллекта Azure должны ограничить доступ к сети. |
| 2 апреля | Рекомендация | Обновить | Службы искусственного интеллекта Azure должны иметь отключенный доступ к ключу (отключить локальную проверку подлинности). |
| 2 апреля | Рекомендация | Обновить | Журналы диагностики в ресурсах служб искусственного интеллекта Azure должны быть включены. |
| 2 апреля | Рекомендация | Устаревание | Для учетных записей Cognitive Services необходимо отключить доступ к общедоступной сети. |
| 2 апреля | Рекомендация | Общедоступная версия | Образы контейнеров реестра Azure должны иметь устраненные уязвимости |
| 2 апреля | Рекомендация | Устаревание | Для учетных записей Cognitive Services следует отключить доступ к общедоступной сети |
| 2 апреля | Рекомендация | Общедоступная версия | У запущенных образов контейнеров Azure должны быть устранены уязвимости |
| 2 апреля | Рекомендация | Общедоступная версия | Образы контейнеров реестра AWS должны иметь устраненные результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) |
| 2 апреля | Рекомендация | Общедоступная версия | Для образов контейнеров aws, на которых выполняются образы контейнеров, должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) |
| 2 апреля | Рекомендация | Общедоступная версия | Образы контейнеров реестра GCP должны иметь устраненные результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) |
| 2 апреля | Рекомендация | Общедоступная версия | GCP, на которых выполняются образы контейнеров, должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) |
| 28 марта | Рекомендация | Предстоящий | Виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost (ключ оценки a40cc620-e72c-fdf4-c554-c6ca2cd705c0) |
| 28 марта | Рекомендация | Предстоящий | Виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost (ключ оценки 0cb5f317-a94b-6b80-7212-13a9cc826af) Рекомендации по единому шифрованию дисков будут доступны для общедоступной версии в общедоступном облаке Azure в апреле 2024 года, заменив рекомендацию "Виртуальные машины должны шифровать временные диски, кэши и потоки данных между ресурсами вычислений и хранилища". |
| 18 марта | Рекомендация | Общедоступная версия | Решение EDR должно быть установлено на виртуальных машинах |
| 18 марта | Рекомендация | Общедоступная версия | Проблемы с конфигурацией EDR должны быть устранены на виртуальных машинах |
| 18 марта | Рекомендация | Общедоступная версия | Проблемы с конфигурацией EDR следует устранить в EC2s |
| 18 марта | Рекомендация | Общедоступная версия | Решение EDR должно быть установлено в EC2s |
| 18 марта | Рекомендация | Общедоступная версия | Проблемы с конфигурацией EDR следует устранить на виртуальных машинах GCP |
| 18 марта | Рекомендация | Общедоступная версия | Решение EDR должно быть установлено на виртуальных машинах GCP |
| Конец марта | Рекомендация | Устаревание | Защита конечных точек должна быть установлена на компьютерах . |
| Конец марта | Рекомендация | Устаревание | Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах |
| 5 марта | Рекомендация | Устаревание | Следует изучить избыточные удостоверения в учетных записях, чтобы уменьшить индекс ползука разрешений (PCI) |
| 5 марта | Рекомендация | Устаревание | Необходимо исследовать удостоверения с избыточными разрешениями в подписках, чтобы уменьшить индекс смещения разрешений (PCI) |
| 20 февраля | Рекомендация | Предстоящий | Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети |
| 20 февраля | Рекомендация | Предстоящий | Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) |
| 12 февраля | Рекомендация | Устаревание | Public network access should be disabled for Cognitive Services accounts. Предполагаемое прекращение использования: 14 марта 2024 г. |
| 8 февраля | Рекомендация | Предварительный просмотр | (предварительная версия) Серверы Azure Stack HCI должны соответствовать требованиям к защищенным ядрам |
| 8 февраля | Рекомендация | Предварительный просмотр | (предварительная версия) Серверы Azure Stack HCI должны постоянно применять политики управления приложениями |
| 8 февраля | Рекомендация | Предварительный просмотр | (предварительная версия) Системы Azure Stack HCI должны иметь зашифрованные тома |
| 8 февраля | Рекомендация | Предварительный просмотр | (предварительная версия) Сеть узлов и виртуальных машин должна быть защищена в системах Azure Stack HCI |
| Февраль 1 г. | Рекомендация | Предстоящий | Решение EDR должно быть установлено на виртуальных машинах Проблемы с конфигурацией EDR должны быть устранены на виртуальных машинах Решение EDR должно быть установлено в EC2s Проблемы с конфигурацией EDR следует устранить в EC2s Проблемы с конфигурацией EDR следует устранить на виртуальных машинах GCP Решение EDR должно быть установлено на виртуальных машинах GCP. |
| 25 января | Оповещение (контейнер) | Устаревание | Anomalous pod deployment (Preview) (K8S_AnomalousPodDeployment) |
| 25 января | Оповещение (контейнер) | Устаревание | Excessive role permissions assigned in Kubernetes cluster (Preview) (K8S_ServiceAcountPermissionAnomaly) |
| 25 января | Оповещение (контейнер) | Устаревание | Anomalous access to Kubernetes secret (Preview) (K8S_AnomalousSecretAccess) |
| 25 января | Оповещение (компьютеры Windows) | Обновление до информационной | Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlWindowsViolationAudited) |
| 25 января | Оповещение (компьютеры Windows) | Обновление до информационной | Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlLinuxViolationAudited) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | Attempt to create a new Linux namespace from a container detected (K8S.NODE_NamespaceCreation) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | Attempt to stop apt-daily-upgrade.timer service detected (K8S.NODE_TimerServiceDisabled) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | Command within a container running with high privileges (K8S.NODE_PrivilegedExecutionInContainer) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | Container running in privileged mode (K8S.NODE_PrivilegedContainerArtifacts) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | Container with a sensitive volume mount detected (K8S_SensitiveMount) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | Creation of admission webhook configuration detected (K8S_AdmissionController) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | Detected suspicious file download (K8S.NODE_SuspectDownloadArtifacts) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | Docker build operation detected on a Kubernetes node (K8S.NODE_ImageBuildOnNode) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | New container in the kube-system namespace detected (K8S_KubeSystemContainer) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | New high privileges role detected (K8S_HighPrivilegesRole) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | Privileged container detected (K8S_PrivilegedContainer) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | Process seen accessing the SSH authorized keys file in an unusual way (K8S.NODE_SshKeyAccess) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | Role binding to the cluster-admin role detected (K8S_ClusterAdminBinding) |
| 25 января | Оповещение (контейнер) | Обновление до информационной | SSH server is running inside a container (K8S.NODE_ContainerSSH) |
| 25 января | Оповещение (DNS) | Обновление до информационной | Communication with suspicious algorithmically generated domain (AzureDNS_DomainGenerationAlgorithm) |
| 25 января | Оповещение (DNS) | Обновление до информационной | Communication with suspicious algorithmically generated domain (DNS_DomainGenerationAlgorithm) |
| 25 января | Оповещение (DNS) | Обновление до информационной | Communication with suspicious random domain name (Preview) (DNS_RandomizedDomain) |
| 25 января | Оповещение (DNS) | Обновление до информационной | Communication with suspicious random domain name (AzureDNS_RandomizedDomain) |
| 25 января | Оповещение (DNS) | Обновление до информационной | Communication with possible phishing domain (AzureDNS_PhishingDomain) |
| 25 января | Оповещение (DNS) | Обновление до информационной | Communication with possible phishing domain (Preview) (DNS_PhishingDomain) |
| 25 января | Оповещение (служба приложение Azure) | Обновление до информационной | NMap scanning detected (AppServices_Nmap) |
| 25 января | Оповещение (служба приложение Azure) | Обновление до информационной | Suspicious User Agent detected (AppServices_UserAgentInjection) |
| 25 января | Оповещение (сетевой уровень Azure) | Обновление до информационной | Possible incoming SMTP brute force attempts detected (Generic_Incoming_BF_OneToOne) |
| 25 января | Оповещение (сетевой уровень Azure) | Обновление до информационной | Traffic detected from IP addresses recommended for blocking (Network_TrafficFromUnrecommendedIP) |
| 25 января | Оповещение (Azure Resource Manager) | Обновление до информационной | Privileged custom role created for your subscription in a suspicious way (Preview)(ARM_PrivilegedRoleDefinitionCreation) |
| 4 января | Рекомендация | Предварительный просмотр | Для учетных записей Cognitive Services методы локальной проверки подлинности должны быть отключены Microsoft Cloud Security Benchmark |
| 4 января | Предварительная версия рекомендаций | Cognitive Services должны использовать приватный канал Microsoft Cloud Security Benchmark |
|
| 4 января | Рекомендация | Предварительный просмотр | Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле Microsoft Cloud Security Benchmark |
| 4 января | Рекомендация | Предварительный просмотр | Служба Azure Cosmos DB должна отключать доступ к общедоступным сетям Microsoft Cloud Security Benchmark |
| 4 января | Рекомендация | Предварительный просмотр | Учетные записи Cosmos DB должны использовать приватный канал Microsoft Cloud Security Benchmark |
| 4 января | Рекомендация | Предварительный просмотр | VPN-шлюзы должны использовать только проверку подлинности Azure Active Directory (Azure AD) для пользователей типа "точка — сеть" Microsoft Cloud Security Benchmark |
| 4 января | Рекомендация | Предварительный просмотр | База данных SQL Azure должна использовать TLS 1.2 или более поздней версии Microsoft Cloud Security Benchmark |
| 4 января | Рекомендация | Предварительный просмотр | Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети Microsoft Cloud Security Benchmark |
| 4 января | Рекомендация | Предварительный просмотр | Учетные записи хранения должны предотвращать доступ к общему ключу Microsoft Cloud Security Benchmark |
| 14 декабря | Рекомендация | Предварительный просмотр | Образы контейнеров реестра Azure должны иметь устраненные уязвимости (на базе Управление уязвимостями Microsoft Defender) Оценка уязвимостей для образов контейнеров Linux с Управление уязвимостями Microsoft Defender. |
| 14 декабря | Рекомендация | Общедоступная версия | На запущенных образах контейнеров Azure должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) Оценка уязвимостей для образов контейнеров Linux с Управление уязвимостями Microsoft Defender. |
| 14 декабря | Рекомендация | Переименовать | Новое: образы контейнеров реестра Azure должны иметь уязвимости, разрешенные (на базе Qualys). Оценка уязвимостей для образов контейнеров с помощью Qualys. Старый: образы реестра контейнеров должны иметь устраненные результаты уязвимостей (на основе Qualys) |
| 14 декабря | Рекомендация | Переименовать | Новое: у запущенных образов контейнеров Azure должны быть устранены уязвимости (на основе Qualys) Оценка уязвимостей для образов контейнеров с помощью Qualys. Старый: запуск образов контейнеров должен иметь результаты уязвимостей, разрешенные (на основе Qualys) |
| 4 декабря | Предупреждение | Предварительный просмотр | Malicious blob was downloaded from a storage account (Preview)Тактика MITRE: боковое движение |
Связанный контент
Дополнительные сведения о новых функциях см. в статье "Новые возможности Defender для облака".
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по