Microsoft Defender för molnet datasäkerhet
För att hjälpa kunder att förhindra, identifiera och svara på hot samlar Microsoft Defender för molnet in och bearbetar säkerhetsrelaterade data, inklusive konfigurationsinformation, metadata, händelseloggar med mera. Microsoft följer strikta riktlinjer för efterlevnad och säkerhet – från kodning till driften av en tjänst.
Den här artikeln förklarar hur data hanteras och skyddas i Defender för molnet.
Datakällor
Defender för molnet analyserar data från följande källor för att ge insyn i ditt säkerhetstillstånd, identifiera sårbarheter och rekommendera åtgärder och identifiera aktiva hot:
- Azure-tjänster: Använder information om konfigurationen av Azure-tjänster som du har distribuerat genom att kommunicera med den tjänstens resursprovider.
- Nätverkstrafik: Använder exempeldata för nätverkstrafik från Microsofts infrastruktur, till exempel käll-/mål-IP/port, paketstorlek och nätverksprotokoll.
- Partnerlösningar: Använder säkerhetsaviseringar från integrerade partnerlösningar, till exempel brandväggar och lösningar mot skadlig kod.
- Dina datorer: Använder konfigurationsinformation och information om säkerhetshändelser, till exempel Windows-händelse- och granskningsloggar och syslog-meddelanden från dina datorer.
Dela data
När du aktiverar Sökning efter skadlig kod i Defender för lagring kan den dela metadata, inklusive metadata som klassificeras som kunddata (t.ex. SHA-256-hash) med Microsoft Defender för Endpoint.
Microsoft Defender för molnet som kör cspm-planen (Defender för molnet Security Posture Management) delar data som är integrerade i Microsoft Security Exposure Management-rekommendationer.
Kommentar
Microsoft Security Exposure Management är för närvarande i offentlig förhandsversion.
Dataskydd
Dataavgränsning
Data hålls logiskt åtskilda för varje komponent i hela tjänsten. Alla data taggas efter organisation. Den här taggningen bevaras under datalivscykeln och framtvingas på varje lager i tjänsten.
Dataåtkomst
För att ge säkerhetsrekommendationer och undersöka potentiella säkerhetshot kan Microsofts personal komma åt information som samlas in eller analyseras av Azure-tjänster, inklusive händelser för att skapa processer och andra artefakter, som oavsiktligt kan inkludera kunddata eller personliga data från dina datorer.
Vi följer Microsoft Online Services Data Protection Addendum, som anger att Microsoft inte kommer att använda kunddata eller härleda information från dem för reklam eller liknande kommersiella ändamål. Vi använder bara kunddata i den mån det är nödvändigt för att tillhandahålla Azure-tjänsterna, samt för därtill relaterade ändamål. Du äger alla rättigheter till dina kunddata.
Dataanvändning
Microsoft använder mönster och hotinformation som ses över flera klienter för att förbättra våra funktioner för förebyggande och identifiering. vi gör det i enlighet med de sekretessåtaganden som beskrivs i vår sekretesspolicy.
Hantera datainsamling från datorer
När du aktiverar Defender för molnet i Azure aktiveras datainsamling för var och en av dina Azure-prenumerationer. Du kan också aktivera datainsamling för dina prenumerationer i Defender för molnet. När datainsamling är aktiverat etablerar Defender för molnet Log Analytics-agenten på alla befintliga virtuella Azure-datorer som stöds och alla nya som skapas.
Log Analytics-agenten söker efter olika säkerhetsrelaterade konfigurationer och händelser i ETW-spårning (Event Tracing for Windows ). Dessutom genererar operativsystemet händelselogghändelser under körningen av datorn. Exempel på sådana data är: operativsystemets typ och version, operativsystemloggar (Windows-händelseloggar), processer som körs, datornamn, IP-adresser, inloggad användare och klient-ID. Log Analytics-agenten läser händelseloggposter och ETW-spårningar och kopierar dem till dina arbetsytor för analys. Log Analytics-agenten möjliggör även processskapandehändelser och granskning av kommandoraden.
Om du inte använder Microsoft Defender för molnet förbättrade säkerhetsfunktioner kan du också inaktivera datainsamling från virtuella datorer i säkerhetsprincipen. Datainsamling krävs för prenumerationer som skyddas av förbättrade säkerhetsfunktioner. Funktionerna för ögonblicksbilder av virtuella datordisker och artefaktinsamling är fortfarande aktiverade även om datainsamling har inaktiverats.
Du kan ange den arbetsyta och region där data som samlas in från dina datorer lagras. Standardvärdet är att lagra data som samlas in från dina datorer på närmaste arbetsyta enligt följande tabell:
Region för virtuell dator | Region för arbetsyta |
---|---|
USA, Brasilien, Sydafrika | USA |
Kanada | Kanada |
Europa (exklusive Storbritannien) | Europa |
Storbritannien och Nordirland | Storbritannien och Nordirland |
Asien (exklusive Indien, Japan, Korea, Kina) | Asien och stillahavsområdet |
Sydkorea | Asien och stillahavsområdet |
Indien | Indien |
Japan | Japan |
Kina | Kina |
Australien | Australien |
Kommentar
Microsoft Defender för Lagring lagrar artefakter regionalt enligt platsen för den relaterade Azure-resursen. Läs mer i Översikt över Microsoft Defender för lagring.
Dataförbrukning
Kunder kan komma åt Defender för molnet relaterade data från följande dataströmmar:
Stream | Datatyper |
---|---|
Azure-aktivitetslogg | Alla säkerhetsaviseringar, godkända Defender för molnet just-in-time-åtkomstbegäranden. |
Azure Monitor-loggar | Alla säkerhetsaviseringar. |
Azure Resource Graph | Säkerhetsaviseringar, säkerhetsrekommendationer, resultat av sårbarhetsbedömning, information om säkerhetspoäng, status för efterlevnadskontroller med mera. |
REST API för Microsoft Defender för molnet | Säkerhetsaviseringar, säkerhetsrekommendationer med mera. |
Kommentar
Om det inte finns några Defender-planer aktiverade för prenumerationen tas data bort från Azure Resource Graph efter 30 dagars inaktivitet i Microsoft Defender för molnet-portalen. Efter interaktion med artefakter i portalen som är relaterade till prenumerationen bör data vara synliga igen inom 24 timmar.
Datakvarhållning
När molnsäkerhetsdiagrammet samlar in data från Azure och miljöer med flera moln och annan datakälla behåller den data under en 14-dagarsperiod. Efter 14 dagar tas data bort.
Beräknade data, till exempel attackvägar, kan sparas i ytterligare 14 dagar. Beräknade data består av data som härleds från rådata som samlas in från miljön. Angreppssökvägen härleds till exempel från rådata som samlas in från miljön.
Denna information samlas in i enlighet med de sekretessåtaganden som beskrivs i vår sekretesspolicy.
Defender för molnet och Microsoft Defender 365 Defender-integrering
När du aktiverar någon av Defender för molnet betalda abonnemang får du automatiskt alla fördelar med Microsoft Defender XDR. Information från Defender för molnet delas med Microsoft Defender XDR. Dessa data kan innehålla kunddata och lagras enligt microsoft 365 riktlinjer för datahantering.