Stöd och förutsättningar för hantering av datasäkerhetsstatus
Granska kraven på den här sidan innan du konfigurerar hantering av datasäkerhetsstatus i Microsoft Defender för molnet.
Aktivera identifiering av känsliga data
Identifiering av känsliga data är tillgängligt i Defender CSPM-, Defender for Storage- och Defender for Databases-planer.
- När du aktiverar ett av planerna aktiveras tillägget för känslig dataidentifiering som en del av planen.
- Om du har befintliga planer som körs är tillägget tillgängligt, men inaktiverat som standard.
- Befintlig planstatus visas som "Partiell" i stället för "Fullständig" om ett eller flera tillägg inte är aktiverade.
- Funktionen är aktiverad på prenumerationsnivå.
- Om identifiering av känsliga data är aktiverat, men Defender CSPM inte är aktiverat, genomsöks endast lagringsresurser.
- Om en prenumeration är aktiverad med Defender CSPM och du parallellt skannade samma resurser med Purview ignoreras Purviews genomsökningsresultat och standardvärdet för att visa Microsoft Defender for Cloud-genomsökningsresultatet för resurstypen som stöds.
Det finns stöd för
Tabellen sammanfattar tillgänglighet och scenarier som stöds för identifiering av känsliga data.
Support | Detaljer |
---|---|
Vilka Azure-dataresurser kan jag identifiera? | Objektlagring: Blockera bloblagringskonton i Azure Storage v1/v2 Azure Data Lake Storage Gen2 Lagringskonton bakom privata nätverk stöds. Lagringskonton som krypterats med en kundhanterad nyckel på serversidan stöds. Konton stöds inte om någon av dessa inställningar är aktiverade: Lagringskontot definieras som Azure DNS-zon; Slutpunkten för lagringskontot har en anpassad domän mappad till den. Databaser Azure SQL Databases Azure SQL Database krypterad med transparent datakryptering |
Vilka AWS-dataresurser kan jag identifiera? | Objektlagring: AWS S3-bucketar Defender for Cloud kan identifiera KMS-krypterade data, men inte data som krypterats med en kundhanterad nyckel. Databaser - Amazon Aurora – Amazon RDS för PostgreSQL – Amazon RDS för MySQL – Amazon RDS för MariaDB – Amazon RDS för SQL Server (noncustom) – Amazon RDS för Oracle Database (endast noncustom, SE2 Edition) Förutsättningar och begränsningar: – Automatiserade säkerhetskopieringar måste vara aktiverade. – Den IAM-roll som skapats för genomsökning (DefenderForCloud-DataSecurityPostureDB som standard) måste ha behörighet till KMS-nyckeln som används för kryptering av RDS-instansen. – Du kan inte dela en databasögonblicksbild som använder en alternativgrupp med permanenta eller beständiga alternativ, förutom Oracle DB-instanser som har alternativet Tidszon eller OLS (eller båda). Läs mer |
Vilka GCP-dataresurser kan jag identifiera? | GCP-lagringshink Standardklass Geo: region, dubbel region, flera regioner |
Vilka behörigheter behöver jag för identifiering? | Lagringskonto: Prenumerationsägare or Microsoft.Authorization/roleAssignments/* (läsa, skriva, ta bort) och Microsoft.Security/pricings/* (läsa, skriva, ta bort) och Microsoft.Security/pricings/SecurityOperators (läsa, skriva)Amazon S3-bucketar och RDS-instanser: AWS-kontobehörighet för att köra Cloud Formation (för att skapa en roll). GCP-lagringshink: Google-kontobehörighet för att köra skript (för att skapa en roll). |
Vilka filtyper stöds för identifiering av känsliga data? | Filtyper som stöds (du kan inte välja en delmängd) – .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
Vilka Azure-regioner stöds? | Du kan identifiera Azure Storage-konton i: Asien, östra; Asien, sydöstra; Australien, centrala; Australien, centrala 2; Australien, östra; Australien, sydöstra; Brasilien, södra; Brasilien, sydöstra; Kanada, centrala; Kanada, östra; Europa, norra; Europa, västra; Frankrike, centrala; Frankrike, södra; Tyskland, norra; Tyskland, västra centrala; Indien, centrala; Indien, södra; Japan, östra; Japan, västra; Jio Indien, västra; Korea Central; Sydkorea, södra; Norge, östra; Norge, västra; Sydafrika, norra; Sydafrika, västra; Sverige, centrala; Schweiz, norra; Schweiz, västra; Förenade Arabemiraten, norra; Storbritannien, södra; Storbritannien, västra; USA, centrala; USA, östra; USA, östra 2; USA, norra centrala; USA, södra centrala; USA, västra; USA, västra 2; USA, västra 3; USA, västra centrala; Du kan identifiera Azure SQL Databases i alla regioner där Defender CSPM och Azure SQL Databases stöds. |
Vilka AWS-regioner stöds? | S3: Asien och stillahavsområdet (Mumbai); Asien och Stillahavsområdet (Singapore); Asien och stillahavsområdet (Sydney); Asien och Stillahavsområdet (Tokyo); Kanada (Montreal); Europa (Frankfurt); Europa (Irland); Europa (London); Europa (Paris); Europa (Stockholm); Sydamerika (São Paulo); USA, östra (Ohio); USA, östra (N. Virginia); USA, västra (N. Kalifornien): USA, västra (Oregon). RDS: Afrika (Kapstaden); Asien och Stillahavsområdet (Hongkong SAR); Asien och Stillahavsområdet (Hyderabad); Asien och stillahavsområdet (Melbourne); Asien och stillahavsområdet (Mumbai); Asien och Stillahavsområdet (Osaka); Asien och Stillahavsområdet (Seoul); Asien och Stillahavsområdet (Singapore); Asien och stillahavsområdet (Sydney); Asien och Stillahavsområdet (Tokyo); Kanada (centrala); Europa (Frankfurt); Europa (Irland); Europa (London); Europa (Paris); Europa (Stockholm); Europa (Zürich); Mellanöstern (UAE); Sydamerika (São Paulo); USA, östra (Ohio); USA, östra (N. Virginia); USA, västra (N. Kalifornien): USA, västra (Oregon). Identifieringen görs lokalt i regionen. |
Vilka GCP-regioner stöds? | europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1 |
Behöver jag installera en agent? | Nej, identifiering kräver ingen agentinstallation. |
Vad kostar det? | Funktionen ingår i Defender CSPM- och Defender for Storage-abonnemangen och medför inte extra kostnader förutom respektive plankostnader. |
Vilka behörigheter behöver jag för att visa/redigera inställningar för datakänslighet? | Du behöver någon av dessa Microsoft Entra-roller: Global administratör, efterlevnadsadministratör, administratör för efterlevnadsdata, säkerhetsadministratör, säkerhetsoperatör. |
Vilka behörigheter behöver jag för att utföra registrering? | Du behöver någon av de här rollbaserade Åtkomstkontrollrollerna i Azure (Azure RBAC): Säkerhetsadministratör, Deltagare, Ägare på prenumerationsnivå (där GCP-projektet/s finns). För att använda säkerhetsresultaten: Säkerhetsläsare, Säkerhetsadministratör, Läsare, Deltagare, Ägare på prenumerationsnivå (där GCP-projektet/s finns). |
Konfigurera inställningar för datakänslighet
De viktigaste stegen för att konfigurera inställningar för datakänslighet är:
- Importera anpassade typer/etiketter för känslighetsinformation från Microsoft Purview-efterlevnadsportalen
- Anpassa kategorier/typer av känsliga data
- Ange tröskelvärdet för känslighetsetiketter
Läs mer om känslighetsetiketter i Microsoft Purview.
Identifiering
Defender for Cloud börjar identifiera data omedelbart efter att en plan har aktiverats eller när funktionen har aktiverats i planer som redan körs.
För objektlagring:
- Det tar upp till 24 timmar att se resultatet för en första identifiering.
- När filerna har uppdaterats i de identifierade resurserna uppdateras data inom åtta dagar.
- Ett nytt Azure Storage-konto som läggs till i en redan identifierad prenumeration identifieras inom 24 timmar eller mindre.
- En ny AWS S3-bucket eller GCP-lagringshink som läggs till i ett redan identifierat AWS-konto eller Google-konto identifieras inom 48 timmar eller mindre.
För databaser:
- Databaser genomsöks varje vecka.
- För nyligen aktiverade prenumerationer visas resultaten inom 24 timmar.
Identifiera AWS S3-bucketar
För att skydda AWS-resurser i Defender för molnet konfigurerar du en AWS-anslutningsapp med hjälp av en CloudFormation-mall för att registrera AWS-kontot.
- För att identifiera AWS-dataresurser uppdaterar Defender for CloudFormation-mallen.
- CloudFormation-mallen skapar en ny roll i AWS IAM för att tillåta behörighet för Defender for Cloud-skannern att komma åt data i S3-bucketarna.
- För att ansluta AWS-konton behöver du administratörsbehörighet för kontot.
- Rollen tillåter dessa behörigheter: S3 skrivskyddad; KMS-dekryptering.
Identifiera AWS RDS-instanser
För att skydda AWS-resurser i Defender för molnet konfigurerar du en AWS-anslutningsapp med hjälp av en CloudFormation-mall för att registrera AWS-kontot.
- För att identifiera AWS RDS-instanser uppdaterar Defender for CloudFormation-mallen.
- CloudFormation-mallen skapar en ny roll i AWS IAM för att tillåta behörighet för Defender for Cloud-skannern att ta den senaste tillgängliga automatiserade ögonblicksbilden av din instans och ta den online i en isolerad genomsökningsmiljö inom samma AWS-region.
- För att ansluta AWS-konton behöver du administratörsbehörighet för kontot.
- Automatiserade ögonblicksbilder måste aktiveras på relevanta RDS-instanser/kluster.
- Rollen tillåter dessa behörigheter (granska CloudFormation-mallen för exakta definitioner):
- Visa en lista över alla RDS-databaser/kluster
- Kopiera alla DB/klusterögonblicksbilder
- Ta bort/uppdatera DB/klusterögonblicksbild med prefixet defenderfordatabases
- Visa en lista över alla KMS-nycklar
- Använd endast alla KMS-nycklar för RDS på källkontot
- Skapa och fullständig kontroll över alla KMS-nycklar med taggprefixet DefenderForDatabases
- Skapa alias för KMS-nycklar
- KMS-nycklar skapas en gång för varje region som innehåller RDS-instanser. Skapandet av en KMS-nyckel kan medföra en minimal extra kostnad, enligt AWS KMS-priser.
Identifiera GCP-lagringshink
För att skydda GCP-resurser i Defender för molnet kan du konfigurera en Google-anslutningsapp med hjälp av en skriptmall för att registrera GCP-kontot.
- För att identifiera GCP-lagringshink uppdaterar Defender for Cloud skriptmallen.
- Skriptmallen skapar en ny roll i Google-kontot för att tillåta behörighet för Defender for Cloud-skannern att komma åt data i GCP-lagringshinkerna.
- Om du vill ansluta Google-konton behöver du administratörsbehörighet för kontot.
Exponerad för Internet/tillåter offentlig åtkomst
Defender CSPM-attackvägar och insikter om molnsäkerhetsdiagram innehåller information om lagringsresurser som exponeras för Internet och tillåter offentlig åtkomst. Följande tabell innehåller mer information.
Delstat | Azure Storage-konton | AWS S3-bucketar | GCP Storage Buckets |
---|---|---|---|
Exponerad för Internet | Ett Azure Storage-konto anses vara exponerat för Internet om någon av dessa inställningar är aktiverade: Storage_account_name Åtkomst till>>offentligt nätverk i nätverk aktiverat från alla nätverk > eller Storage_account_name Åtkomst till>>offentligt nätverk i nätverk Aktivera från valda virtuella nätverk och IP-adresser.> |
En AWS S3-bucket anses vara exponerad för Internet om AWS-kontot/AWS S3-bucketprinciperna inte har något villkor för IP-adresser. | Alla GCP-lagrings bucketar exponeras som standard för Internet. |
Tillåter offentlig åtkomst | En Azure Storage-kontocontainer anses tillåta offentlig åtkomst om dessa inställningar är aktiverade på lagringskontot: Storage_account_name Konfiguration>Tillåt offentlig blobåtkomst>aktiverad.> och någon av dessa inställningar: >Storage_account_name Containrar> container_name >offentlig åtkomstnivå inställd på Blob (endast anonym läsåtkomst för blobar) Eller storage_account_name >Containrar> container_name> offentlig åtkomstnivå inställd på Container (anonym läsåtkomst för containrar och blobar). |
En AWS S3-bucket anses tillåta offentlig åtkomst om både AWS-kontot och AWS S3-bucketen har Blockera all offentlig åtkomst inställd på Av, och någon av dessa inställningar har angetts: I principen är RestrictPublicBuckets inte aktiverat och inställningen Huvudnamn är inställd på * och Effekten är inställd på Tillåt. Eller så är IgnorePublicAcl inte aktiverat i åtkomstkontrollistan och behörighet tillåts för Alla eller autentiserade användare. |
En GCP-lagringshink anses tillåta offentlig åtkomst om den har en IAM-roll (identitets- och åtkomsthantering) som uppfyller följande kriterier: Rollen beviljas till huvudanvändare eller allaAuthenticatedUsers. Rollen har minst en lagringsbehörighet som inte är storage.buckets.create eller storage.buckets.list. Offentlig åtkomst i GCP kallas "Offentlig till Internet". |
Databasresurser tillåter inte offentlig åtkomst men kan fortfarande exponeras för Internet.
Insikter om Internetexponering är tillgängliga för följande resurser:
Azure:
- Azure SQL-server
- Azure Cosmos DB
- Azure SQL Managed Instance
- Azure MySQL – enskild server
- Flexibel Azure MySQL-server
- Azure PostgreSQL – enskild server
- Flexibel Azure PostgreSQL-server
- Azure MariaDB – enskild server
- Synapse-arbetsyta
AWS:
- RDS-instans
Kommentar
- Exponeringsregler som omfattar 0.0.0.0/0 anses vara "överdrivet exponerade", vilket innebär att de kan nås från alla offentliga IP-adresser.
- Azure-resurser med exponeringsregeln "0.0.0.0" är tillgängliga från alla resurser i Azure (oavsett klientorganisation eller prenumeration).
Gå vidare
Aktivera hantering av datasäkerhetsstatus.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för