Stöd och förutsättningar för datamedveten säkerhetsstatus
Granska kraven på den här sidan innan du konfigurerar datamedveten säkerhetsstatus i Microsoft Defender för molnet.
Aktivera identifiering av känsliga data
Identifiering av känsliga data är tillgängligt i Defender CSPM-, Defender for Storage- och Defender for Databases-planer.
- När du aktiverar ett av planerna aktiveras tillägget för känslig dataidentifiering som en del av planen.
- Om du har befintliga planer som körs är tillägget tillgängligt, men inaktiverat som standard.
- Befintlig planstatus visas som "Partiell" i stället för "Fullständig" om ett eller flera tillägg inte är aktiverade.
- Funktionen är aktiverad på prenumerationsnivå.
- Om identifiering av känsliga data är aktiverat, men Defender CSPM inte är aktiverat, genomsöks endast lagringsresurser.
- Om en prenumeration är aktiverad med Defender CSPM och du parallellt genomsöker samma resurser med Purview ignoreras Purviews genomsökningsresultat och standardvärdet för att visa Microsoft Defender för molnet genomsökningsresultat för resurstypen som stöds.
Det finns stöd för
Tabellen sammanfattar stöd för datamedveten hållningshantering.
| Support | Detaljer |
|---|---|
| Vilka Azure-dataresurser kan jag identifiera? | Objektlagring: Blockera bloblagringskonton i Azure Storage v1/v2 Azure Data Lake Storage Gen2 Lagringskonton bakom privata nätverk stöds. Lagringskonton som krypterats med en kundhanterad nyckel på serversidan stöds. Konton stöds inte om någon av dessa inställningar är aktiverade: Lagringskontot definieras som Azure DNS-zon; Slutpunkten för lagringskontot har en anpassad domän mappad till den. Databaser Azure SQL Databases |
| Vilka AWS-dataresurser kan jag identifiera? | Objektlagring: AWS S3-bucketar Defender för molnet kan identifiera KMS-krypterade data, men inte data som krypterats med en kundhanterad nyckel. Databaser - Amazon Aurora – Amazon RDS för PostgreSQL – Amazon RDS för MySQL – Amazon RDS för MariaDB – Amazon RDS för SQL Server (noncustom) – Amazon RDS för Oracle Database (endast noncustom, SE2 Edition) Förutsättningar och begränsningar: – Automatiserade säkerhetskopieringar måste vara aktiverade. – Den IAM-roll som skapats för genomsökning (DefenderForCloud-DataSecurityPostureDB som standard) måste ha behörighet till KMS-nyckeln som används för kryptering av RDS-instansen. – Du kan inte dela en databasögonblicksbild som använder en alternativgrupp med permanenta eller beständiga alternativ, förutom Oracle DB-instanser som har alternativet Tidszon eller OLS (eller båda). Läs mer |
| Vilka GCP-dataresurser kan jag identifiera? | GCP-lagringshink Standardklass Geo: region, dubbel region, flera regioner |
| Vilka behörigheter behöver jag för identifiering? | Lagringskonto: Prenumerationsägare or Microsoft.Authorization/roleAssignments/* (läsa, skriva, ta bort) ochMicrosoft.Security/pricings/* (läsa, skriva, ta bort) ochMicrosoft.Security/pricings/SecurityOperators (läsa, skriva)Amazon S3-bucketar och RDS-instanser: AWS-kontobehörighet för att köra Cloud Formation (för att skapa en roll). GCP-lagringshink: Google-kontobehörighet för att köra skript (för att skapa en roll). |
| Vilka filtyper stöds för identifiering av känsliga data? | Filtyper som stöds (du kan inte välja en delmängd) – .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
| Vilka Azure-regioner stöds? | Du kan identifiera Azure Storage-konton i: Asien, östra; Asien, sydöstra; Australien, centrala; Australien, centrala 2; Australien, östra; Australien, sydöstra; Brasilien, södra; Brasilien, sydöstra; Kanada, centrala; Kanada, östra; Europa, norra; Europa, västra; Frankrike, centrala; Frankrike, södra; Tyskland, norra; Tyskland, västra centrala; Indien, centrala; Indien, södra; Japan, östra; Japan, västra; Jio Indien, västra; Korea Central; Sydkorea, södra; Norge, östra; Norge, västra; Sydafrika, norra; Sydafrika, västra; Sverige, centrala; Schweiz, norra; Schweiz, västra; Förenade Arabemiraten, norra; Storbritannien, södra; Storbritannien, västra; USA, centrala; USA, östra; USA, östra 2; USA, norra centrala; USA, södra centrala; USA, västra; USA, västra 2; USA, västra 3; USA, västra centrala; Du kan identifiera Azure SQL Databases i alla regioner där Defender CSPM och Azure SQL Databases stöds. |
| Vilka AWS-regioner stöds? | S3: Asien och stillahavsområdet (Mumbai); Asien och Stillahavsområdet (Singapore); Asien och stillahavsområdet (Sydney); Asien och Stillahavsområdet (Tokyo); Kanada (Montreal); Europa (Frankfurt); Europa (Irland); Europa (London); Europa (Paris); Europa (Stockholm); Sydamerika (São Paulo); USA, östra (Ohio); USA, östra (N. Virginia); USA, västra (N. Kalifornien): USA, västra (Oregon). RDS: Afrika (Kapstaden); Asien och Stillahavsområdet (Hongkong SAR); Asien och Stillahavsområdet (Hyderabad); Asien och stillahavsområdet (Melbourne); Asien och stillahavsområdet (Mumbai); Asien och Stillahavsområdet (Osaka); Asien och Stillahavsområdet (Seoul); Asien och Stillahavsområdet (Singapore); Asien och stillahavsområdet (Sydney); Asien och Stillahavsområdet (Tokyo); Kanada (centrala); Europa (Frankfurt); Europa (Irland); Europa (London); Europa (Paris); Europa (Stockholm); Europa (Zürich); Mellanöstern (UAE); Sydamerika (São Paulo); USA, östra (Ohio); USA, östra (N. Virginia); USA, västra (N. Kalifornien): USA, västra (Oregon). Identifieringen görs lokalt i regionen. |
| Vilka GCP-regioner stöds? | europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1 |
| Behöver jag installera en agent? | Nej, identifiering kräver ingen agentinstallation. |
| Vad kostar det? | Funktionen ingår i Defender CSPM- och Defender for Storage-abonnemangen och medför inte extra kostnader förutom respektive plankostnader. |
| Vilka behörigheter behöver jag för att visa/redigera inställningar för datakänslighet? | Du behöver någon av dessa Microsoft Entra-roller: Global administratör, efterlevnadsadministratör, administratör för efterlevnadsdata, säkerhetsadministratör, säkerhetsoperatör. |
| Vilka behörigheter behöver jag för att utföra registrering? | Du behöver någon av de här rollbaserade Åtkomstkontrollrollerna i Azure (Azure RBAC): Säkerhetsadministratör, Deltagare, Ägare på prenumerationsnivå (där GCP-projektet/s finns). För att använda säkerhetsresultaten: Säkerhetsläsare, Säkerhetsadministratör, Läsare, Deltagare, Ägare på prenumerationsnivå (där GCP-projektet/s finns). |
Konfigurera inställningar för datakänslighet
De viktigaste stegen för att konfigurera inställningar för datakänslighet är:
- Importera anpassade typer/etiketter för känslighetsinformation från efterlevnadsportal i Microsoft Purview
- Anpassa kategorier/typer av känsliga data
- Ange tröskelvärdet för känslighetsetiketter
Läs mer om känslighetsetiketter i Microsoft Purview.
Identifiering
Defender för molnet börjar identifiera data omedelbart efter att du har aktiverat en plan eller när du har aktiverat funktionen i planer som redan körs.
För objektlagring:
- Det tar upp till 24 timmar att se resultatet för en första identifiering.
- När filerna har uppdaterats i de identifierade resurserna uppdateras data inom åtta dagar.
- Ett nytt Azure Storage-konto som läggs till i en redan identifierad prenumeration identifieras inom 24 timmar eller mindre.
- En ny AWS S3-bucket eller GCP-lagringshink som läggs till i ett redan identifierat AWS-konto eller Google-konto identifieras inom 48 timmar eller mindre.
För databaser:
- Databaser genomsöks varje vecka.
- För nyligen aktiverade prenumerationer visas resultaten inom 24 timmar.
Identifiera AWS S3-bucketar
För att skydda AWS-resurser i Defender för molnet konfigurerar du en AWS-anslutningsapp med hjälp av en CloudFormation-mall för att registrera AWS-kontot.
- Om du vill identifiera AWS-dataresurser uppdaterar Defender för molnet Mallen CloudFormation.
- CloudFormation-mallen skapar en ny roll i AWS IAM för att tillåta behörighet för Defender för molnet skannern att komma åt data i S3-bucketarna.
- För att ansluta AWS-konton behöver du administratörsbehörighet för kontot.
- Rollen tillåter dessa behörigheter: S3 skrivskyddad; KMS-dekryptering.
Identifiera AWS RDS-instanser
För att skydda AWS-resurser i Defender för molnet konfigurerar du en AWS-anslutningsapp med hjälp av en CloudFormation-mall för att registrera AWS-kontot.
- Om du vill identifiera AWS RDS-instanser uppdaterar Defender för molnet Mallen CloudFormation.
- CloudFormation-mallen skapar en ny roll i AWS IAM för att tillåta behörighet för Defender för molnet-skannern att ta den senaste tillgängliga automatiserade ögonblicksbilden av instansen och ta den online i en isolerad genomsökningsmiljö inom samma AWS-region.
- För att ansluta AWS-konton behöver du administratörsbehörighet för kontot.
- Automatiserade ögonblicksbilder måste aktiveras på relevanta RDS-instanser/kluster.
- Rollen tillåter dessa behörigheter (granska CloudFormation-mallen för exakta definitioner):
- Visa en lista över alla RDS-databaser/kluster
- Kopiera alla DB/klusterögonblicksbilder
- Ta bort/uppdatera DB/klusterögonblicksbild med prefixet defenderfordatabases
- Visa en lista över alla KMS-nycklar
- Använd endast alla KMS-nycklar för RDS på källkontot
- Skapa och fullständig kontroll över alla KMS-nycklar med taggprefixet DefenderForDatabases
- Skapa alias för KMS-nycklar
- KMS-nycklar skapas en gång för varje region som innehåller RDS-instanser. Skapandet av en KMS-nyckel kan medföra en minimal extra kostnad, enligt AWS KMS-priser.
Identifiera GCP-lagringshink
För att skydda GCP-resurser i Defender för molnet kan du konfigurera en Google-anslutningsapp med hjälp av en skriptmall för att registrera GCP-kontot.
- Om du vill identifiera GCP-lagrings bucketar uppdaterar Defender för molnet skriptmallen.
- Skriptmallen skapar en ny roll i Google-kontot för att tillåta behörighet för den Defender för molnet skannern att komma åt data i GCP-lagringshinkerna.
- Om du vill ansluta Google-konton behöver du administratörsbehörighet för kontot.
Exponerad för Internet/tillåter offentlig åtkomst
Defender CSPM-attackvägar och insikter om molnsäkerhetsdiagram innehåller information om lagringsresurser som exponeras för Internet och tillåter offentlig åtkomst. Följande tabell innehåller mer information.
| Delstat | Azure Storage-konton | AWS S3-bucketar | GCP Storage Buckets |
|---|---|---|---|
| Exponerad för Internet | Ett Azure Storage-konto anses vara exponerat för Internet om någon av dessa inställningar är aktiverade: Storage_account_name Åtkomst till>>offentligt nätverk i nätverk aktiverat från alla nätverk > eller Storage_account_name Åtkomst till>>offentligt nätverk i nätverk Aktivera från valda virtuella nätverk och IP-adresser.> |
En AWS S3-bucket anses vara exponerad för Internet om AWS-kontot/AWS S3-bucketprinciperna inte har något villkor för IP-adresser. | Alla GCP-lagrings bucketar exponeras som standard för Internet. |
| Tillåter offentlig åtkomst | En Azure Storage-kontocontainer anses tillåta offentlig åtkomst om dessa inställningar är aktiverade på lagringskontot: Storage_account_name Konfiguration>Tillåt offentlig blobåtkomst>aktiverad.> och någon av dessa inställningar: >Storage_account_name Containrar> container_name >offentlig åtkomstnivå inställd påBlob (endast anonym läsåtkomst för blobar) Eller storage_account_name >Containrar> container_name> offentlig åtkomstnivå inställd påContainer (anonym läsåtkomst för containrar och blobar). |
En AWS S3-bucket anses tillåta offentlig åtkomst om både AWS-kontot och AWS S3-bucketen har Blockera all offentlig åtkomst inställd på Av, och någon av dessa inställningar har angetts: I principen är RestrictPublicBuckets inte aktiverat och inställningen Huvudnamn är inställd på * och Effekten är inställd på Tillåt. Eller så är IgnorePublicAcl inte aktiverat i åtkomstkontrollistan och behörighet tillåts för Alla eller autentiserade användare. |
En GCP-lagringshink anses tillåta offentlig åtkomst om den har en IAM-roll (identitets- och åtkomsthantering) som uppfyller följande kriterier: Rollen beviljas till huvudanvändare eller allaAuthenticatedUsers. Rollen har minst en lagringsbehörighet som inteär storage.buckets.create eller storage.buckets.list. Offentlig åtkomst i GCP kallas "Offentlig till Internet". |
Databasresurser tillåter inte offentlig åtkomst men kan fortfarande exponeras för Internet.
Insikter om Internetexponering är tillgängliga för följande resurser:
Azure:
- Azure SQL-server
- Azure Cosmos DB
- Azure SQL Managed Instance
- Azure MySQL – enskild server
- Flexibel Azure MySQL-server
- Azure PostgreSQL – enskild server
- Flexibel Azure PostgreSQL-server
- Azure MariaDB – enskild server
- Synapse-arbetsyta
AWS:
- RDS-instans
Kommentar
- Exponeringsregler som omfattar 0.0.0.0/0 anses vara "överdrivet exponerade", vilket innebär att de kan nås från alla offentliga IP-adresser.
- Azure-resurser med exponeringsregeln "0.0.0.0" är tillgängliga från alla resurser i Azure (oavsett klientorganisation eller prenumeration).
Gå vidare
Aktivera datamedveten säkerhetsstatus.