Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här sidan innehåller information om funktioner, korrigeringar och utfasningar som är äldre än sex månader. De senaste uppdateringarna finns i Nyheter i Defender för molnet?.
February 2025
| Date | Category | Update |
|---|---|---|
| February 27 | Change | Förbättrad AWS EC2-resursnamnsvisning |
| February 27 | GA | Genomsökning av skadlig kod på begäran i Microsoft Defender för lagring |
| February 27 | GA | Genomsökning av skadlig kod i Defender for Storage efter blobar på upp till 50 GB |
| February 23 | Preview | Sårbarhetsbedömning utan agent i containerregistret för AKS-körningscontainrar (förhandsversion) |
| February 23 | Preview | Instrumentpanel för data- och AI-säkerhet (förhandsversion) |
| February 19 | Preview | Kostnadskalkylator för MDC (förhandsversion) |
| February 19 | Preview | 31 nya och förbättrade regler för flera moln |
Förbättrad AWS EC2-resursnamnsvisning
den 27 februari 2025
Beräknat datum för ändring: Mars 2025
Vi förbättrar hur resursnamn visas för AWS EC2-instanser i vår plattform. If an EC2 instance has a "name" tag defined, the Resource Name field will now display the value of that tag. If no "name" tag is present, the Resource Name field will continue to show the instance ID as before. The Resource ID will still be available in the Resource ID field for reference.
Med taggen EC2 "name" kan du enkelt identifiera dina resurser med anpassade, meningsfulla namn i stället för ID:t. Detta gör det snabbare att hitta och hantera specifika instanser, vilket minskar tiden och arbetet med att söka eller korsreferera instansinformation.
Genomsökning av skadlig kod på begäran i Microsoft Defender för lagring
den 27 februari 2025
Genomsökning av skadlig kod på begäran i Microsoft Defender for Storage, nu i GA, möjliggör genomsökning av befintliga blobar i Azure Storage-konton när det behövs. Genomsökningar kan initieras från det Azure Portal användargränssnittet eller via REST-API:et, vilket stöder automatisering via Logic Apps, Automation-spelböcker och PowerShell-skript. Den här funktionen använder Microsoft Defender Antivirus med de senaste definitionerna av skadlig kod för varje genomsökning och ger kostnadsuppskattning i förväg i Azure Portal innan genomsökning.
Use cases:
- Incident response: Scan specific storage accounts after detecting suspicious activity.
- Security baseline: Scan all stored data when first enabling Defender for Storage.
- Compliance: Set automation to schedule scans that help meet regulatory and data protection standards.
Mer information finns i Genomsökning av skadlig kod på begäran.
Genomsökning av skadlig kod i Defender for Storage efter blobar på upp till 50 GB
den 27 februari 2025
Genomsökning av skadlig kod i Defender for Storage stöder nu blobar med en storlek på upp till 50 GB (tidigare begränsat till 2 GB).
Observera att för lagringskonton där stora blobar laddas upp kommer den ökade gränsen för blobstorlek att resultera i högre månatliga avgifter.
För att undvika oväntade höga avgifter kanske du vill ange ett lämpligt tak för det totala antalet GB som genomsöks per månad. Mer information finns i Kostnadskontroll för genomsökning av skadlig kod vid uppladdning.
Sårbarhetsbedömning utan agent i containerregistret för AKS-körningscontainrar (förhandsversion)
den 23 februari 2025
Defender for Containers och Defender for Cloud Security Posture Management (CSPM)-planer innehåller nu en agnostisk sårbarhetsbedömning utan agent för körningscontainrar i AKS, oberoende av containerregister. Den här förbättringen utökar täckningen för sårbarhetsbedömning till att omfatta containrar som körs med avbildningar från alla register (inte begränsat till register som stöds), förutom genomsökning av Kubernetes-tillägg och verktyg från tredje part som körs i dina AKS-kluster. Om du vill aktivera den här funktionen kontrollerar du att agentlös datorgenomsökning är aktiverad för din prenumeration i miljöinställningarna för Defender för molnet.
Instrumentpanel för data- och AI-säkerhet (förhandsversion)
den 23 februari 2025
Defender för molnet förbättrar instrumentpanelen för datasäkerhet så att ai-säkerhet inkluderas med den nya instrumentpanelen för data- och AI-säkerhet i förhandsversionen. Instrumentpanelen tillhandahåller en centraliserad plattform för att övervaka och hantera data och AI-resurser, tillsammans med tillhörande risker och skyddsstatus.
Huvudfördelar med instrumentpanelen för data- och AI-säkerhet inkluderar:
- Unified view: Gain a comprehensive view of all organizational data and AI resources.
- Data insights: Understand where your data is stored and the types of resources holding it.
- Protection coverage: Assess the protection coverage of your data and AI resources.
- Critical issues: Highlight resources that require immediate attention based on high-severity recommendations, alerts, and attack paths.
- Identifiering av känsliga data: Leta upp och sammanfatta känsliga dataresurser i dina moln- och AI-tillgångar.
- AI workloads: Discover AI application footprints, including services, containers, data sets, and models.
Lär dig mer om instrumentpanelen för data- och AI-säkerhet.
Kostnadskalkylator för MDC (förhandsversion)
den 19 februari 2025
Vi är glada över att kunna presentera vår nya kostnadskalkylator för MDC som hjälper dig att enkelt beräkna kostnaderna för att skydda dina molnmiljöer. Det här verktyget är skräddarsytt för att ge dig en tydlig och korrekt förståelse för dina utgifter, vilket säkerställer att du kan planera och budgetera effektivt.
Varför ska du använda kostnadskalkylatorn?
Vår kostnadskalkylator förenklar processen med att beräkna kostnader genom att du kan definiera omfattningen av dina skyddsbehov. Du väljer de miljöer och planer som du vill aktivera, och kalkylatorn fyller automatiskt i de fakturerbara resurserna för varje plan, inklusive eventuella tillämpliga rabatter. Du får en omfattande översikt över dina potentiella kostnader utan några överraskningar.
Key Features:
Scope Definition: Select the plans and environments that interest you. Kalkylatorn utför en identifieringsprocess för att automatiskt fylla i antalet fakturerbara enheter för varje plan per miljö.
Automatiska och manuella justeringar: Verktyget möjliggör både automatisk insamling av data och manuella justeringar. Du kan ändra enhetskvantitets- och rabattnivåerna för att se hur ändringar påverkar den totala kostnaden.
Omfattande kostnadsuppskattning: Kalkylatorn ger en uppskattning för varje plan och en total kostnadsrapport. Du får en detaljerad kostnadsuppdelning, vilket gör det enklare att förstå och hantera dina utgifter.
Multicloud Support: Our solution works for all supported clouds, ensuring that you get accurate cost estimations regardless of your cloud provider.
Exportera och dela: När du har fått din kostnadsuppskattning kan du enkelt exportera och dela den för budgetplanering och godkännanden.
31 nya och förbättrade regler för flera moln
den 19 februari 2025
Vi är glada över att kunna meddela det förbättrade och utökade stödet för över 31 säkerhets- och regelramverk i Defender för molnet i Azure, AWS och GCP. Den här förbättringen förenklar vägen för att uppnå och upprätthålla efterlevnad, minskar risken för dataintrång och hjälper till att undvika böter och ryktesskador.
De nya och förbättrade ramverken är:
| Standards | Clouds |
|---|---|
| EU 2022 2555 (NIS2) 2022 | Azure, AWS, GCP |
| EU:s allmänna dataskyddsförordning (GDPR) 2016 679 | Azure, AWS, GCP |
| NIST CSF v2.0 | Azure, AWS, GCP |
| NIST 800 171 Rev3 | Azure, AWS, GCP |
| NIST SP 800 53 R5.1.1 | Azure, AWS, GCP |
| PCI DSS v4.0.1 | Azure, AWS, GCP |
| CIS AWS Foundations v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| CIS-kontroller v8.1 | Azure, AWS, GCP |
| CIS GCP Foundations v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure, AWS, GCP |
| SOC 2023 | Azure, AWS, GCP |
| SWIFT Ramverk för kundsäkerhetskontroller 2024 | Azure, AWS, GCP |
| ISO IEC 27001:2022 | Azure, AWS, GCP |
| ISO IEC 27002:2022 | Azure, AWS, GCP |
| ISO IEC 27017:2015 | Azure, AWS, GCP |
| Certifiering av cybersäkerhetsmognadsmodell (CMMC) nivå 2 v2.0 | Azure, AWS, GCP |
| AWS Well Architected Framework 2024 | AWS |
| Kanada Federal PBMM 3.2020 | Azure, AWS, GCP |
| APRA CPS 234 2019 | Azure, AWS |
| CSA Cloud Controls Matrix v4.0.12 | Azure, AWS, GCP |
| Cyber Essentials v3.1 | Azure, AWS, GCP |
| Säkerhetspolicy för kriminaltekniska informationssystem v5.9.5 | Azure, AWS, GCP |
| FFIEC CAT 2017 | Azure, AWS, GCP |
| Brasiliens allmänna dataskyddslag (LGPD) 2018 | Azure |
| NZISM v3.7 | Azure, AWS, GCP |
| Sarbanes Oxley Act 2022 (SOX) | Azure, AWS |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure, AWS, GCP |
Detta ansluter till de senaste versionerna av CIS Azure Kubernetes Service (AKS) v1.5, CIS Google Kubernetes Engine (GKE) v1.6 och CIS Amazon Elastic Kubernetes Service (EKS) v.15 från några månader sedan.
För mer information om erbjudandet Defender for Cloud Regulatory Compliance, Läs mer>
January 2025
| Date | Category | Update |
|---|---|---|
| January 30 | GA | Uppdatera för att genomsöka kriterier för containerregister |
| January 29 | Change | Förbättringar för sårbarhetsbedömning av containrar med hjälp av MDVM |
| January 27 | GA | Behörigheter som har lagts till i GCP-anslutningsappen för att stödja AI-plattformar |
| January 20 | Change | Förbättringar av rekommendationen för Linux-baslinjer som stöds av GC |
Uppdatera för att genomsöka kriterier för containerregister
den 30 januari 2025
We are updating one of the scan criteria for registry images in the preview recommendation for registry images across all clouds and external registries (Azure, AWS, GCP, Docker, JFrog).
What's Changing?
För närvarande genomsöker vi avbildningar igen i 90 dagar efter att de har lagts till i ett register. Detta kommer nu att ändras för att skanna 30 dagar tillbaka.
Note
Det finns inga ändringar för relaterade GA-rekommendationer för sårbarhetsbedömning för containrar (VA) på registeravbildningar.
Förbättringar av sårbarhetsbedömningens genomsökning för containrar, baserad på MDVM
den 29 januari 2025
Vi är glada över att kunna meddela förbättringar av vår genomsökning av sårbarhetsbedömningar för containrar med följande uppdateringar:
Ytterligare programmeringsspråk: Stöder nu PHP, Ruby och Rust.
Utökat Java-språkstöd: Inkluderar genomsökning efter sprängta JAR:er.
Förbättrad minnesanvändning: Optimerad prestanda vid läsning av stora containeravbildningsfiler.
Behörigheter som har lagts till i GCP-anslutningsappen för att stödja AI-plattformar
den 27 januari 2025
GCP-anslutningen har nu ytterligare behörigheter för att stödja GCP AI Platform (Vertex AI).
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
Förbättringar av rekommendationer för Linux-basinställningar som drivs av GC
den 20 januari 2025
Vi förbättrar funktionen Baselines Linux (som drivs av GC) för att öka dess noggrannhet och täckning. Under februari kan du märka ändringar som uppdaterade regelnamn och ytterligare regler. Dessa förbättringar är utformade för att göra baslinjeutvärderingen mer exakt och uppdaterad. For more information about the changes, please refer to the relevant blog
Vissa av ändringarna kan innehålla ytterligare ändringar av "offentlig förhandsversion". Den här uppdateringen är bra för dig och vi vill hålla dig informerad. Om du vill kan du avanmäla dig från den här rekommendationen genom att undanta den från din resurs eller ta bort GC-tillägget.
December 2024
| Date | Category | Update |
|---|---|---|
| December 31 | GA | Ändringar i genomsökningsintervallet för befintliga molnanslutningar |
| December 22 | GA | Uppdatering av versionen av Microsoft Defender för Endpoint-klienten krävs för att få upplevelsen av File Integrity Monitoring (FIM) |
| December 17 | Preview | Integrera Defender for Cloud CLI med populära CI/CD-verktyg |
| December 10 | GA | Konfigurationsupplevelse för Defender för molnet |
| December 10 | GA | Ändrade intervallalternativ för Defender for Cloud-genomsökning av en molnmiljö |
| December 17 | GA | Funktionerna för känslighetsgenomsökning innehåller nu Azure fildelningar |
Ändringar i genomsökningsintervallet för befintliga molnanslutningar
31 december 2024
Tidigare i månaden publicerades en uppdatering om de reviderade genomsökningsintervallalternativen för Defender for Cloud för att undersöka en molnmiljö. Inställningen för genomsökningsintervall avgör hur ofta Defender för Clouds upptäckttjänster genomsöker dina molnresurser. Den här ändringen säkerställer en mer balanserad genomsökningsprocess, optimerar prestanda och minimerar risken för att nå API-gränser.
Genomsökningsintervallinställningar för befintliga AWS- och GCP-molnanslutningar uppdateras för att säkerställa Defender för molnet möjlighet att genomsöka dina molnmiljöer.
Följande justeringar kommer att göras:
- Intervall som för närvarande anges mellan 1 och 3 timmar uppdateras till 4 timmar.
- Intervall som är inställda på 5 timmar uppdateras till 6 timmar.
- Intervall som anges mellan 7 och 11 timmar uppdateras till 12 timmar.
- Intervall på 13 timmar eller mer uppdateras till 24 timmar.
Om du föredrar ett annat genomsökningsintervall kan du justera molnanslutningar med hjälp av sidan miljöinställningar. Dessa ändringar tillämpas automatiskt på alla kunder i början av februari 2025 och inga ytterligare åtgärder krävs.
Funktionerna för känslighetsgenomsökning innehåller nu Azure-fildelningar
den 17 december 2024
Defender för molnets funktioner för hantering av säkerhetsstatus (CSPM) med funktioner för känslighetsgenomsökning inkluderar nu Azure-fildelningar som allmänt tillgängliga (GA) utöver blobcontainrar.
Innan den här uppdateringen skulle aktivering av Defender CSPM-planen för en prenumeration automatiskt genomsöka blobcontainrar i lagringskonton efter känsliga data. Med den här uppdateringen innehåller Defender for CSPM:s känslighetsgenomsökningsfunktion nu filresurser inom dessa lagringskonton. Den här förbättringen förbättrar riskbedömningen och skyddet av känsliga lagringskonton, vilket ger en mer omfattande analys av potentiella risker.
Learn more about sensitivity scanning.
Integrera Defender for Cloud CLI med populära CI/CD-verktyg
Defender för molnet CLI-genomsökningsintegrering med populära CI/CD-verktyg i Microsoft Defender för molnet är nu tillgängligt för offentlig förhandsversion. CLI kan nu införlivas i CI/CD-pipelines för att genomsöka och identifiera säkerhetsrisker i containerbaserad källkod. Den här funktionen hjälper utvecklingsteam att identifiera och åtgärda kodsårbarheter under pipelinekörningen. Det krävs autentisering till Microsoft Defender för molnet och ändringar i pipelineskriptet. Genomsökningsresultat laddas upp till Microsoft Defender för molnet så att säkerhetsteamen kan visa och korrelera dem med containrar i containerregistret. Den här lösningen ger kontinuerliga och automatiserade insikter för att påskynda riskidentifiering och svar, vilket säkerställer säkerhet utan att störa arbetsflöden.
Use cases:
- Genomsökning av pipelines i CI/CD-verktygen: Övervaka säkerligen alla pipelines som anropar CLI.
- Tidig sårbarhetsidentifiering: Resultaten publiceras i pipelinen och skickas till Microsoft Defender för molnet.
- Kontinuerliga säkerhetsinsikter: Bevara synligheten och svara snabbt över utvecklingscykler utan att hindra produktiviteten.
Mer information finns i Integrera Defender för molnet CLI med populära CI/CD-verktyg.
Defender för molnet installationsupplevelse
den 10 december 2024
Med installationsmiljön kan du starta dina inledande steg med Microsoft Defender för molnet genom att ansluta molnmiljöer som molninfrastruktur, kodlagringsplatser och externa containerregister.
Du vägleds genom konfigurationen av din molnmiljö, för att skydda dina tillgångar med avancerade säkerhetsplaner, utföra snabba åtgärder för att öka säkerhetstäckningen i stor skala, vara medveten om anslutningsproblem och meddelas om nya säkerhetsfunktioner. Du kan navigera till den nya upplevelsen från menyn Defender för molnet genom att välja Installation.
Ändrade intervallalternativ för Defender för molnets genomsökning av molnmiljö
den 10 december 2024
Alternativen för genomsökningsintervall för molnanslutningar som är associerade med AWS, GCP, Jfrog och DockerHub har ändrats. Med funktionen för genomsökningsintervall kan du styra hur ofta Defender för molnet initierar en genomsökning av molnmiljön. Du kan ange genomsökningsintervallet till 4, 6, 12 eller 24 timmar när du lägger till eller redigerar en molnanslutning. Standardintervallet för genomsökning för nya anslutningar är 12 timmar.
Microsoft Defender för Endpoint kräver uppdatering av klientversionen för att få upplevelsen av FIM (File Integrity Monitoring)
June, 2025
Från och med juni 2025 kräver filintegritetsövervakning (FIM) en lägsta klientversion av Defender för Slutpunkt (MDE). Se till att du har minst följande klientversioner för att fortsätta dra nytta av FIM-upplevelsen i Microsoft Defender för molnet: för Windows: 10.8760, för Linux: 30.124082. Learn more
November 2024
Funktionerna för känslighetsgenomsökning innehåller nu Azure-filresurser (förhandsversion)
den 28 november 2024
Defender för Molnets funktioner för hantering av säkerhetsstatus (CSPM) för känslighetsgenomsökning omfattar nu Azure-filaktier (i förhandsversion) utöver blobcontainrar.
Innan den här uppdateringen skulle aktivering av Defender CSPM-planen för en prenumeration automatiskt genomsöka blobcontainrar i lagringskonton efter känsliga data. Med den här uppdateringen innehåller Defender for CSPM:s känslighetsgenomsökningsfunktion nu filresurser inom dessa lagringskonton. Den här förbättringen förbättrar riskbedömningen och skyddet av känsliga lagringskonton, vilket ger en mer omfattande analys av potentiella risker.
Learn more about sensitivity scanning.
Ändringar av medgivande för känslighetsetiketter
den 26 november 2024
Du behöver inte längre välja knappen för dedikerat medgivande under avsnittet "Information Protection" på sidan Etiketter för att dra nytta av anpassade informationstyper och känslighetsetiketter som konfigurerats i Microsoft 365 Defender-portalen eller Microsoft Purview-portalen.
Med den här ändringen importeras alla anpassade informationstyper och känslighetsetiketter automatiskt till Microsoft Defender för molnet-portalen.
Läs mer om inställningar för datakänslighet.
Ändringar i känslighetsetiketter
den 26 november 2024
Fram till nyligen importerade Defender för molnet alla känslighetsetiketter från Microsoft 365 Defender-portalen som uppfyllde följande två villkor:
- Känslighetsetiketter som har sitt omfång inställt på "Objekt –> filer" eller "Objekt –> e-postmeddelanden", under avsnittet "Definiera etikettens omfång" i avsnittet Information Protection.
- Känslighetsetiketten har en konfigurerad regel för automatisk etikettering.
Från och med den 26 november 2024 har namnen på omfången för känslighetsetiketter i användargränssnittet uppdaterats i både Microsoft 365 Defender-portalen och Microsoft Purview-portalen. Microsoft Defender for Cloud kommer nu bara att importera känslighetsetiketter med omfånget "Filer och andra datatillgångar" som tillämpas på dem. Defender för Molnet importerar inte längre etiketter med omfånget E-post tillämpade på dem.
Note
Etiketter som har konfigurerats med "Objekt –> filer" innan den här ändringen ägde rum migreras automatiskt till det nya omfånget "Filer och andra datatillgångar".
Läs mer om hur du konfigurerar känslighetsetiketter.
Genomsökning av skadlig kod i Defender for Storage efter blobar på upp till 50 GB (förhandsversion)
25 november 2024
Beräknat datum för ändring: 1 december 2024
Från och med den 1 december 2024 stöder Defender for Storage malware scanning blobar upp till 50 GB i storlek (tidigare begränsat till 2 GB).
Observera att för lagringskonton där stora blobar laddas upp kommer den ökade gränsen för blobstorlek att resultera i högre månatliga avgifter.
För att undvika oväntade höga avgifter kanske du vill ange ett lämpligt tak för totalt antal GB som genomsöks per månad. Mer information finns i Kostnadskontroll för genomsökning av skadlig kod vid uppladdning.
Uppdaterade versioner av CIS-standarder för hanterade Kubernetes-miljöer och nya rekommendationer
den 19 november 2024
Defender för Molnets instrumentpanel för regelefterlevnad erbjuder nu uppdaterade versioner av Center for Internet Security standarder för att utvärdera säkerhetsprofilen i hanterade Kubernetes-miljöer.
Från instrumentpanelen kan du tilldela följande standarder till dina AWS/EKS/GKE Kubernetes-resurser:
- CIS Azure Kubernetes Service (AKS) v1.5.0
- CIS Google Kubernetes Engine (GKE) v1.6.0
- CIS Amazon Elastic Kubernetes Service (EKS) v1.5.0
För att säkerställa bästa möjliga täckning för dessa standarder har vi utökat vår täckning genom att även släppa 79 nya Kubernetes-centrerade rekommendationer.
Om du vill använda dessa nya rekommendationer tilldelar du antingen de standarder som anges ovan eller skapar en anpassad standard och inkluderar en eller flera av de nya utvärderingarna i den.
Offentlig förhandsversion av molnprocesshändelser för Kubernetes i avancerad sökning
Vi presenterar förhandsutgåvan av Kubernetes molnprocesshändelser i avancerad sökning. Den här kraftfulla integreringen innehåller detaljerad information om Kubernetes-processhändelser som inträffar i dina miljöer med flera moln. Du kan använda den för att identifiera hot som kan observeras via processinformation, till exempel skadliga processer som anropas i molninfrastrukturen. For more information, see CloudProcessEvents.
Utfasning av BYOL-funktionen (Bring Your Own License) i hantering av säkerhetsrisker
den 19 november 2024
Beräknat datum för ändring:
3 februari 2025: Funktionen kommer inte längre att vara tillgänglig för registrering av nya datorer och prenumerationer.
1 maj 2025: Funktionen kommer att vara helt inaktuell och inte längre tillgänglig.
Som en del av vårt arbete med att förbättra Defender för molnet säkerhetsupplevelsen effektiviserar vi våra lösningar för sårbarhetsbedömning. Vi tar bort funktionen "Bring Your Own License" i Defender för molnet. Nu ska du använda Microsoft Security Exposure Management-kontakter för en smidigare, mer integrerad och komplett lösning.
Vi rekommenderar att du övergår till den nya anslutningslösningen i Microsoft Security Exposure Management. Vårt team är här för att stödja dig genom den här övergången.
Mer information om hur du använder anslutningsappar finns i Översikt över hur du ansluter datakällor i Microsoft Security Exposure Management – Microsoft Security Exposure Management.
Agentlös kodgenomsökning i Microsoft Defender för molnet (förhandsversion)
den 19 november 2024
Agentlös kodgenomsökning i Microsoft Defender för molnet är nu tillgänglig för offentlig förhandsversion. Den erbjuder snabb och skalbar säkerhet för alla repositories i Azure DevOps-organisationer med en anslutning. Den här lösningen hjälper säkerhetsteam att hitta och åtgärda säkerhetsrisker i IaC-konfigurationer (kod som kod) i Azure DevOps-miljöer. Det kräver inte agenter, ändringar i pipelines eller avbrott i utvecklararbetsflöden, vilket gör installation och underhåll enkelt. Det fungerar oberoende av CI/CD-pipelines (kontinuerlig integrering och distribution). Lösningen ger kontinuerliga och automatiserade insikter för att påskynda riskidentifiering och -svar, vilket säkerställer säkerheten utan att avbryta arbetsflöden.
Use cases:
- Organization-wide scanning: You can securely monitor all repositories in Azure DevOps organizations with one connector.
- Tidig sårbarhetsidentifiering: Hitta snabbt kod- och IaC-risker för proaktiv riskhantering.
- Kontinuerliga säkerhetsinsikter: Håll synligheten och svara snabbt över utvecklingscykler utan att påverka produktiviteten.
Mer information finns i Agentlös kodgenomsökning i Microsoft Defender för molnet.
Genomsökning av skadlig kod på begäran i Microsoft Defender for Storage (förhandsversion)
den 19 november 2024
Genomsökning av skadlig kod på begäran i Microsoft Defender for Storage, som nu är i offentlig förhandsversion, möjliggör genomsökning av befintliga blobar i Azure Storage-konton när det behövs. Genomsökningar kan initieras från det Azure Portal användargränssnittet eller via REST-API:et, vilket stöder automatisering via Logic Apps, Automation-spelböcker och PowerShell-skript. Den här funktionen använder Microsoft Defender Antivirus med de senaste definitionerna av skadlig kod för varje genomsökning och ger kostnadsuppskattning i förväg i Azure Portal innan genomsökning.
Use cases:
- Incident response: Scan specific storage accounts after detecting suspicious activity.
- Security baseline: Scan all stored data when first enabling Defender for Storage.
- Compliance: Set automation to schedule scans that help meet regulatory and data protection standards.
Mer information finns i Genomsökning av skadlig kod på begäran.
Stöd för JFrog Artifactory-containerregister av Defender for Containers (förhandsversion)
den 18 november 2024
Den här funktionen utökar täckningen av Microsoft Defender för containrar för externa register till att omfatta JFrog Artifactory. JFrog Artifactory-containeravbildningarna genomsöks med hjälp av Microsoft Defender – hantering av säkerhetsrisker för att identifiera säkerhetshot och minimera potentiella säkerhetsrisker.
AI-säkerhetsstatushantering är nu allmänt tillgänglig (GA)
den 18 november 2024
Defender för Cloud AI-funktioner för hantering av säkerhetsstatus är nu allmänt tillgängliga (GA).
Defender för molnet minskar risken för AI-arbetsbelastningar över olika molnplattformar genom att:
Identifiera generativ AI Bill of Materials (AI BOM), som innehåller programkomponenter, data och AI-artefakter från kod till molnet.
Stärka generativ AI-programsäkerhet med inbyggda rekommendationer och genom att utforska och åtgärda säkerhetsrisker.
Använda attacksökvägsanalysen för att identifiera och åtgärda risker.
Läs mer om hantering av säkerhetshållning för AI.
Skydd mot kritiska tillgångar i Microsoft Defender för molnet
den 18 november 2024
Idag är vi glada över att kunna meddela allmän tillgänglighet för Critical Assets Protection i Microsoft Defender för molnet. Den här funktionen gör det möjligt för säkerhetsadministratörer att tagga de "kronjuvelresurser" som är mest kritiska för deras organisationer, vilket gör det möjligt för Defender för molnet att ge dem den högsta skyddsnivån och prioritera säkerhetsproblem på dessa tillgångar framför alla andra. Läs mer om skydd av kritiska tillgångar.
Vid sidan av släppet i allmän tillgänglighet expanderar vi också vårt stöd för taggning av Kubernetes och icke-mänskliga identitetsresurser.
Förbättrat kritiskt tillgångsskydd för containrar
den 18 november 2024
Kritiskt tillgångsskydd utökas för att stödja ytterligare användningsfall för containrar.
Användare kan nu skapa anpassade regler som markerar tillgångar som hanteras av Kubernetes (arbetsbelastningar, containrar osv.) som kritiska baserat på tillgångens Kubernetes-namnområde och/eller tillgångens Kubernetes-etikett.
Precis som med andra viktiga användningsfall för tillgångsskydd tar Defender för molnet hänsyn till tillgångskritiskhet för riskprioritering, analys av attackvägar och säkerhetsutforskaren.
Förbättringar för att identifiera och svara på containerhot
den 18 november 2024
Defender for Cloud tillhandahåller en uppsättning nya funktioner som gör det möjligt för SOC-team att hantera containerhot i molnbaserade miljöer med högre hastighet och precision. Dessa förbättringar omfattar Hotanalys, GoHunt-funktioner, guidat svar från Microsoft Security Copilot och molnbaserade svarsåtgärder för Kubernetes-poddar.
Introduktion till molnbaserade svarsåtgärder för Kubernetes-poddar (förhandsversion)
Defender för molnet erbjuder nu svarsåtgärder för flera moln för Kubernetes-poddar som är tillgängliga exklusivt från Defender XDR-portalen. Dessa funktioner förbättrar incidenthantering för AKS-, EKS- och GKE-kluster.
Följande är nya svarsåtgärder:
Network Isolation - Instantly block all traffic to a pod, preventing lateral movement and data exfiltration. Kräver konfiguration av nätverksprinciper i kubernetes-klustret.
Pod Termination - Quickly terminate suspicious pods, stopping malicious activity without disrupting the broader application.
Dessa åtgärder gör det möjligt för SOC-team att effektivt begränsa hot i molnmiljöer.
Hotanalysrapport för containrar
Vi introducerar en dedikerad Threat Analytics-rapport som är utformad för att ge omfattande insyn i hot som riktas mot containerbaserade miljöer. Den här rapporten ger SOC-team insikter för att identifiera och svara på de senaste attackmönstren på AKS-, EKS- och GKE-kluster.
Key Highlights:
- Detaljerad analys av de främsta hoten och tillhörande attacktekniker i Kubernetes-miljöer.
- Användbara rekommendationer för att stärka din molnbaserade säkerhetsstatus och minimera nya risker.
GoHunt för Kubernetes-poddar och Azure-resurser
GoHunt utökar nu sina jaktfunktioner till att omfatta Kubernetes-poddar och Azure-resurser i Defender XDR-portalen. Den här funktionen förbättrar proaktiv hotjakt, vilket gör det möjligt för SOC-analytiker att utföra djupgående undersökningar över molnbaserade arbetsbelastningar.
Key Features:
- Avancerade frågefunktioner för att identifiera avvikelser i Kubernetes-poddar och Azure-resurser, vilket ger bättre kontext för hotanalys.
- Sömlös integrering med Kubernetes-entiteter för effektiv hotjakt och undersökning.
Guidad respons från Security Copilot för Kubernetes-poddar
Introduktion till guidat svar för Kubernetes-poddar, en funktion som drivs av Security Copilot. Den här nya funktionen ger stegvis vägledning i realtid som hjälper SOC-team att snabbt och effektivt reagera på containerhot.
Key Benefits:
- Spelböcker för kontextuella svar som är skräddarsydda för vanliga Kubernetes-attackscenarier.
- Expert, realtidsstöd från Security Copilot, överbrygga kunskapsgapet och möjliggöra snabbare lösning.
Intern integrering av API Security Posture Management i Defender CSPM-planen är nu i offentlig förhandsversion
den 15 november 2024
Funktionerna för hantering av API-säkerhetsstatus (förhandsversion) ingår nu i Defender CSPM-planen och kan aktiveras via tillägg i planen under sidan miljöinställningar. Mer information finns i Förbättra din API-säkerhetsstatus (förhandsversion).
Förbättrat containerskydd med sårbarhetsbedömning och identifiering av skadlig kod för AKS-noder (förhandsversion)
den 13 november 2024
Defender för molnet tillhandahåller nu sårbarhetsbedömning och identifiering av skadlig kod för noderna i Azure Kubernetes Service (AKS) och ger kunderna klarhet i det delade säkerhetsansvar de har med den hanterade molnleverantören.
Genom att tillhandahålla säkerhetsskydd för dessa Kubernetes-noder kan kunderna upprätthålla säkerhet och efterlevnad i den hanterade Kubernetes-tjänsten.
Om du vill ta emot de nya funktionerna måste du aktivera alternativet agentlös genomsökning efter datorer i Defender CSPM, Defender för containrar eller Defender for Servers P2-plan i din prenumeration.
Vulnerability Assessment
En ny rekommendation är nu tillgänglig i Azure Portal: AKS nodes should have vulnerability findings resolved. Med den här rekommendationen kan du nu granska och åtgärda säkerhetsrisker och CVE:er som finns på Azure Kubernetes Service-noder (AKS).
Malware detection
Nya säkerhetsaviseringar utlöses när funktionen för agentlös identifiering av skadlig kod identifierar skadlig kod i AKS-noder.
Identifiering av agentlös skadlig kod använder Microsoft Defender Antivirus-motorn mot skadlig kod för att söka igenom och identifiera skadliga filer. När hot identifieras dirigeras säkerhetsaviseringar till Defender för molnet och Defender XDR, där de kan undersökas och åtgärdas.
Important
Identifiering av skadlig kod för AKS-noder är endast tillgänglig för "Defender för Containrar" eller "Defender för Servrar" P2-aktiverade miljöer.
Förbättrad Kubernetes-aviseringsdokumentation och simuleringsverktyg (K8s)
den 7 november 2024
Key features
- Scenariobaserad aviseringsdokumentation: K8s-aviseringar dokumenteras nu baserat på verkliga scenarier, vilket ger tydligare vägledning om potentiella hot och rekommenderade åtgärder.
- Microsoft Defender för Endpoint (MDE)-integrering: Aviseringar berikas med ytterligare kontext- och hotinformation från MDE, vilket förbättrar dig möjligheten att svara effektivt.
- Nytt simuleringsverktyg: Ett kraftfullt simuleringsverktyg är tillgängligt för att testa din säkerhetsstatus genom att simulera olika attackscenarier och generera motsvarande aviseringar.
Benefits
- Förbättrad aviseringstolkning: Scenariobaserad dokumentation ger en mer intuitiv förståelse för K8s-aviseringar.
- Förbättrat hotsvar: Aviseringar berikas med värdefull kontext, vilket möjliggör snabbare och mer exakta svar.
- Proaktiv säkerhetstestning: Med det nya simuleringsverktyget kan du testa ditt säkerhetsskydd och identifiera potentiella sårbarheter innan de utnyttjas.
Förbättrat stöd för API-klassificering av känsliga data
den 6 november 2024
Microsoft Defender för molnet utökar api-säkerhetsfunktionerna för känslig dataklassificering till API URL-sökväg och frågeparametrar tillsammans med API-begäranden och -svar, inklusive källan för känslig information som finns i API-egenskaperna. This information will be available in the Attack Path Analysis experience, the Cloud Security Explorer's Additional Details page when API Management operations with sensitive data are selected, and on the API Security Dashboard under the Workload Protections within API collection details page, with a new side context menu that provides detailed insights into sensitive data found, enabling security teams efficiently locate and mitigate data exposure risks.
Note
Den här ändringen omfattar en engångsdistribution till befintliga Defender för API:er och Defender CSPM-kunder.
Nytt stöd för att mappa Azure API Management API-slutpunkter till backend-beräkning
den 6 november 2024
Defender för Molnets API-säkerhetshållning stöder nu mappning av API-slutpunkter som publicerats via Azure API Management Gateway till bakomliggande beräkningsresurser, till exempel virtuella datorer, i Cloud Security Posture Management (Defender CSPM) Cloud Security Explorer. Den här synligheten hjälper dig att identifiera API-trafikroutning till beräkningsmål för serverdelens moln, så att du kan identifiera och åtgärda exponeringsrisker som är associerade med API-slutpunkter och deras anslutna serverdelsresurser.
Förbättrat API-säkerhetsstöd för azure API Management-distributioner i flera regioner och hantering av API-revisioner
den 6 november 2024
API-säkerhetstäckning inom Defender för molnet har nu fullt stöd för distributioner i flera regioner i Azure API Management, inklusive fullständig säkerhetsstatus och stöd för hotidentifiering i både primära och sekundära regioner
Registrering och avregistrering av API:er till Defender för API:er hanteras nu på API-nivå för Azure API Management. Alla associerade Azure API Management-revisioner inkluderas automatiskt i processen, vilket eliminerar behovet av att hantera registrering och offboarding för varje API-revision individuellt.
Den här ändringen omfattar en engångsdistribution till kunder som redan använder Defender för API:er.
Rollout Details:
- Distributionen sker under veckan som börjar den 6 november för befintliga Defender för API:er.
- Om den "aktuella" revisionen för ett Azure API Management-API redan har registrerats för Defender för API:er registreras även alla associerade revisioner för api:et automatiskt i Defender för API:er.
- Om den "aktuella" revisionen för ett Azure API Management-API inte registreras i Defender för API:er kommer eventuella associerade API-revisioner som har registrerats för Defender för API:er att tas bort.
October 2024
MMA-migreringsupplevelsen är nu tillgänglig
den 28 oktober 2024
Nu kan du se till att alla dina miljöer är helt förberedda inför utfasningen av Log Analytics-agenten (MMA) som förväntas i slutet av november 2024.
Defender för molnet har lagt till en ny upplevelse som gör att du kan vidta åtgärder i stor skala för alla berörda miljöer:
- Det saknas nödvändiga förutsättningar för att få det fullständiga säkerhetsskydd som erbjuds av Defender för Servrar Plan 2.
- Det är anslutet till Defender för Servers Plan 2 genom den äldre onboarding-metoden via Log Analytics-arbetsytan.
- Som använder den gamla FIM-versionen (File Integrity Monitoring) med Log Analytics-agenten (MMA) måste migreras till den nya, förbättrade FIM-versionen med Defender för Endpoint (MDE).
Lär dig hur du använder den nya MMA-migreringsupplevelsen.
Säkerhetsresultat för GitHub-lagringsplatser utan GitHub Advanced Security är nu allmänt tillgängliga
den 21 oktober 2024
Möjligheten att ta emot säkerhetsresultat för felkonfigurationer av infrastruktur som kod (IaC), sårbarheter i containrar och kodbrister för GitHub-lagringsplatser utan GitHub Advanced Security är nu allmänt tillgänglig.
Note that secret scanning, code scanning using GitHub CodeQL, and dependency scanning still require GitHub Advanced Scanning.
Mer information om nödvändiga licenser finns på supportsidan för DevOps. För att lära dig hur du registrerar din GitHub-miljö till Defender för Cloud, följer du registreringsguiden för GitHub. Mer information om hur du konfigurerar GitHub-åtgärden för Microsoft Security DevOps finns i vår GitHub Action-dokumentation.
Utfasning av tre efterlevnadsstandarder
14 oktober 2024
Beräknat datum för ändring: 17 november 2024
Tre efterlevnadsstandarder tas bort från produkten:
- SWIFT CSP-CSCF v2020 (för Azure) – Detta ersattes av v2022-versionen
- CIS Microsoft Azure Foundations Benchmark v1.1.0 och v1.3.0 – Vi har två nyare versioner tillgängliga (v1.4.0 och v2.0.0)
Läs mer om de efterlevnadsstandarder som är tillgängliga i Defender för molnet i Tillgängliga efterlevnadsstandarder.
Utfasning av tre standarder för Defender för molnet
8 oktober 2024
Beräknat datum för ändring: 17 november 2024
För att förenkla hanteringen av Defender för molnet med AWS-konton och GCP-projekt tar vi bort följande tre Defender för molnet standarder:
- For AWS - AWS CSPM
- For GCP - GCP CSPM and GCP Default
Standardstandarden, Microsoft Cloud Security Benchmark (MCSB) innehåller nu alla utvärderingar som var unika för dessa standarder.
Upptäckt av binär drift släppt som allmänt tillgänglig
den 9 oktober 2024
Identifiering av binär avdrift är nu allmänt tillgänglig i Defender for Containers-planen. Observera att identifiering av binär drift nu fungerar på alla AKS-versioner.
Uppdaterade rekommendationer för containrars körning (förhandsversion)
den 6 oktober 2024
Förhandsversionsrekommendationerna för "Containrar som körs i AWS/Azure/GCP ska ha lösningar på sårbarheter" uppdateras för att gruppera alla containrar som ingår i samma arbetsbelastning i en enda rekommendation, vilket minskar dupliceringen och undviker variationer på grund av nya och avslutade containrar.
Från och med den 6 oktober 2024 ersätts följande utvärderings-ID:er för dessa rekommendationer:
| Recommendation | Tidigare utvärderings-ID | Nytt utvärderings-ID |
|---|---|---|
| -- | -- | -- |
| Container som körs i Azure bör ha sårbarhetsproblem åtgärdade | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| Containrar som körs i AWS bör ha sårbarhetsresultat lösta | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| Containrar som körs i GCP bör ha sårbarhetsfynd åtgärdade | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Om du för närvarande hämtar sårbarhetsrapporter från dessa rekommendationer via API:et ska du uppdatera API-anropet med det nya utvärderings-ID:t.
Kubernetes-identitets- och åtkomstinformation i säkerhetsdiagrammet (förhandsversion)
den 6 oktober 2024
Kubernetes-identitets- och åtkomstinformation läggs till i säkerhetsdiagrammet, inklusive noder som representerar alla Kubernetes Rollbaserad åtkomstkontroll (RBAC) relaterade entiteter (tjänstkonton, roller, rollbindningar osv.) och kanter som representerar behörigheterna mellan Kubernetes-objekt. Kunder kan nu fråga säkerhetsgrafen för sina Kubernetes RBAC och relaterade relationer mellan Kubernetes-entiteter (Kan autentisera som, Kan imitera som, Beviljar en roll, Åtkomst definierad av, Beviljar åtkomst till, Har behörighet till osv.)
Informationsbaserade attackvägar för Kubernetes Identity och Access (förhandsversion)
den 6 oktober 2024
Genom att använda Kubernetes RBAC-data i säkerhetsdiagrammet kan Defender för Cloud nu identifiera Kubernetes, Kubernetes till Cloud och den inre laterala förflyttningen inom Kubernetes samt rapportera om andra attackvägar där angripare kan missbruka Kubernetes och Cloud-auktorisering för lateral förflyttning till, från och inom Kubernetes-kluster.
Förbättrad analys av attackvägar för containrar
den 6 oktober 2024
Den nya analysmotorn för attackvägar som släpptes i november förra året stöder nu även användningsfall för containrar, och identifierar dynamiskt nya typer av attackvägar i molnmiljöer baserat på de data som läggs till i diagrammet. Nu kan vi hitta fler attackvägar för containrar och identifiera mer komplexa och avancerade attackmönster som används av angripare för att infiltrera moln- och Kubernetes-miljöer.
Fullständig upptäckt av containerbilder i stödda register
den 6 oktober 2024
Defender för molnet samlar nu in inventeringsdata för alla containeravbildningar i register som stöds, vilket ger fullständig insyn i säkerhetsdiagrammet för alla bilder i molnmiljöerna, inklusive bilder som för närvarande inte har några hållningsrekommendationer.
Frågefunktioner via Cloud Security Explorer förbättras så att användarna nu kan söka efter containeravbildningar baserat på deras metadata (sammandrag, lagringsplats, operativsystem, tagg och så vidare)
Programvaruinventering för containrar med Cloud Security Explorer
den 6 oktober 2024
Kunder kan nu få en lista över programvara installerad i sina containrar och containeravbildningar via Cloud Security Explorer. Den här listan kan också användas för att snabbt få andra insikter om kundmiljön, till exempel att hitta alla containrar och containeravbildningar med programvara som påverkas av en nolldagsrisk, även innan en CVE publiceras.
September 2024
Förbättringar av Cloud Security Explorer
den 22 september 2024
Beräknat datum för ändring: oktober 2024
Cloud Security Explorer är inställt på att förbättra prestanda och rutnätsfunktioner, ge mer databerikning för varje molntillgång, förbättra sökkategorierna och förbättra CSV-exportrapporten med fler insikter om de exporterade molntillgångarna.
Allmän tillgänglighet för övervakning av filintegritet baserat på Microsoft Defender för Endpoint
den 18 september 2024
Den nya versionen av övervakning av filintegritet, som är baserad på Microsoft Defender för Endpoint, är nu allmänt tillgänglig som en del av Defender för Servers Plan 2. MED FIM kan du:
- Uppfylla efterlevnadskraven genom att övervaka kritiska filer och register i realtid och granska ändringarna.
- Identifiera potentiella säkerhetsproblem genom att identifiera misstänkta filinnehållsändringar.
Den här förbättrade FIM-upplevelsen ersätter den befintliga som är avsedd för utfasning i samband med Log Analytics-agentens (MMA) tillbakadragning. FIM-upplevelsen med MMA kommer att förbli stödd fram till slutet av november 2024.
Med den här versionen lanseras en inbyggd produktupplevelse som möjliggör för dig att migrera din FIM-konfiguration via MMA till den nya FIM-versionen som körs på Defender för Endpoint.
Information om hur du aktiverar FIM över Defender för Endpoint finns i Övervakning av filintegritet med hjälp av Microsoft Defender för Endpoint. Information om hur du inaktiverar tidigare versioner finns i Migrera övervakning av filintegritet från tidigare versioner.
FIM-migreringsupplevelse finns i Defender för molnet
den 18 september 2024
En inbyggd produktupplevelse lanseras för att du ska kunna migrera din FIM-konfiguration från MMA till den nya FIM-versionen med Defender för Endpoint. Med den här upplevelsen kan du:
- Granska den berörda miljön med den tidigare FIM-versionen medan MMA är aktiverat och migration krävs.
- Exportera dina nuvarande FIM-regler från MMA-baserad upplevelse och använd dem i arbetsytor.
- Migrera till P2-aktiverade prenumerationer med ny FIM via MDE.
To use the migration experience, navigate to the Environment settings pane and select the MMA migration button in the upper row.
Utfasning av kapaciteten för automatisk tilldelning av MMA
18 september 2024 Som en del av MMA-agentens tillbakadragning kommer den automatiska etableringsfunktionen, som tillhandahåller installationen och konfigurationen för MDC-kunder, också att bli inaktuell i två steg:
I slutet av september 2024 kommer automatisk etablering av MMA att inaktiveras för kunder som inte längre använder funktionen, samt för nyligen skapade prenumerationer. Efter slutet av september kommer funktionen inte längre att kunna återaktiveras för dessa prenumerationer.
I slutet av november 2024 kommer automatisk aktivering av MMA att inaktiveras för prenumerationer som ännu inte har valt att avbryta den. Från och med nu kan det inte längre vara möjligt att aktivera funktionen för befintliga prenumerationer.
Integrering med Power BI
den 15 september 2024
Defender för molnet kan nu integreras med Power BI. Med den här integreringen kan du skapa anpassade rapporter och instrumentpaneler med hjälp av data från Defender för molnet. Du kan använda Power BI för att visualisera och analysera säkerhetsstatus, efterlevnad och säkerhetsrekommendationer.
Läs mer om den nya integreringen med Power BI.
Uppdatera till cspm-nätverkskrav för flera moln
den 11 september 2024
Beräknat datum för ändring: oktober 2024
Från och med oktober 2024 lägger vi till fler IP-adresser till våra identifieringstjänster för flera moln för att hantera förbättringar och säkerställa en effektivare upplevelse för alla användare.
To ensure uninterrupted access from our services, you should update your IP allowlist with the new ranges provided here. Du bör göra de nödvändiga justeringarna i dina brandväggsinställningar, säkerhetsgrupper eller andra konfigurationer som kan vara tillämpliga för din miljö. Listan räcker för fullständig kapacitet i CSPM-grunderbjudandet (kostnadsfritt).
Funktionsutfasning för Defender för servrar
den 9 september 2024
Både anpassningsbara programkontroller och adaptiv nätverkshärdning är nu inaktuella.
Spanska nationella säkerhetsramverket (Esquema Nacional de Seguridad (ENS)) har lagts till i instrumentpanelen för regelefterlevnad i Azure.
den 9 september 2024
Organisationer som vill kontrollera sina Azure-miljöer för efterlevnad med ENS-standarden kan nu göra det med hjälp av Defender för molnet.
ENS-standarden gäller för hela den offentliga sektorn i Spanien, samt för leverantörer som samarbetar med administrationen. Den fastställer grundläggande principer, krav och säkerhetsåtgärder för att skydda information och tjänster som bearbetas elektroniskt. Målet är att säkerställa åtkomst, konfidentialitet, integritet, spårbarhet, äkthet, tillgänglighet och databevarande.
Kolla in den fullständiga listan över efterlevnadsstandarder som stöds.
Åtgärda systemuppdateringar och korrigeringsrekommendationer på dina datorer
den 8 september 2024
Nu kan du åtgärda systemuppdateringar och korrigeringsrekommendationer på dina Azure Arc-aktiverade datorer och virtuella Azure-datorer. Systemuppdateringar och korrigeringar är avgörande för att hålla dina datorers säkerhet och hälsa. Uppdateringar innehåller ofta säkerhetskorrigeringar för säkerhetsrisker som, om de lämnas ofixerade, kan utnyttjas av angripare.
Information om saknade datoruppdateringar samlas nu in med Azure Update Manager.
För att upprätthålla säkerheten för dina datorer för systemuppdateringar och korrigeringar måste du aktivera inställningarna för periodiska utvärderingsuppdateringar på dina datorer.
Lär dig hur du åtgärdar systemuppdateringar och korrigeringsrekommendationer på dina datorer.
ServiceNows integrering innehåller nu modulen Konfigurationsefterlevnad
den 4 september 2024
Defender för molnet CSPM-planens integrering med ServiceNow innehåller nu ServiceNows modul för konfigurationsefterlevnad. Med den här funktionen kan du identifiera, prioritera och åtgärda konfigurationsproblem i dina molntillgångar samtidigt som du minskar säkerhetsriskerna och förbättrar din övergripande efterlevnadsstatus genom automatiserade arbetsflöden och insikter i realtid.
Läs mer om ServiceNows integrering med Defender för molnet.
Defender för lagring (klassisk) skyddsplan för per transaktion lagring är inte tillgänglig för nya prenumerationer.
den 4 september 2024
Beräknat datum för ändring: 5 februari 2025
Efter den 5 februari 2025 kan du inte aktivera den äldre per-transaktionsskyddsplanen för lagring i Defender (klassisk) om den inte redan är aktiverad i din prenumeration. Mer information finns i Flytta till den nya Defender for Storage-planen.
Gästkonfiguration för Azure Policy är nu allmänt tillgänglig (GA)
1 september 2024
Defender för Servers gästkonfiguration i Azure Policy är nu allmänt tillgänglig (GA) för alla kunder med Plan 2 av Defender för servrar med flera moln. Gästkonfiguration ger en enhetlig upplevelse för att hantera säkerhetsbaslinjer i hela miljön. Det gör att du kan utvärdera och framtvinga säkerhetskonfigurationer på dina servrar, inklusive Windows- och Linux-datorer, virtuella Azure-datorer, AWS EC2- och GCP-instanser.
Lär dig hur du aktiverar konfiguration av Azure Policy-datorer i din miljö.
Förhandsversion av stöd för Docker Hubs containerregister i Defender för containrar.
1 september 2024
Vi introducerar den offentliga förhandsversionen av Microsoft Defender för containrar, med ett utökat skydd som nu inkluderar externa register, med början på Docker Hubs containerregister. Som en del av din organisations Microsoft Cloud Security Posture Management ger tillägget av täckning till Docker Hub-containerregister fördelarna med att skanna dina Docker Hub-containeravbildningar med Microsoft Defender – hantering av säkerhetsrisker för att identifiera säkerhetshot och minimera potentiella säkerhetsrisker.
Mer information om den här funktionen finns i Sårbarhetsbedömning för Docker Hub
August 2024
| Date | Category | Update |
|---|---|---|
| August 28 | Preview | Ny version av övervakning av filintegritet baserat på Microsoft Defender för Endpoint |
| August 22 | Upcoming deprecation | Tillbakadragande av Defender för molnet aviseringsintegrering med Azure WAF-aviseringar |
| August 1 | GA | Aktivera Microsoft Defender för SQL-servrar på datorer i stor skala |
Ny version av övervakning av filintegritet baserat på Microsoft Defender för Endpoint
den 28 augusti 2024
Den nya versionen av övervakning av filintegritet baserat på Microsoft Defender för Endpoint finns nu i offentlig förhandsversion. Det är en del av Defender for Servers Plan 2. Det gör att du kan:
- Uppfylla efterlevnadskraven genom att övervaka kritiska filer och register i realtid och granska ändringarna.
- Identifiera potentiella säkerhetsproblem genom att identifiera misstänkta filinnehållsändringar.
Som en del av den här versionen kommer FIM-upplevelsen via AMA inte längre att vara tillgänglig i Defender för molnet-portalen. FIM-upplevelsen med MMA kommer att förbli stödd fram till slutet av november 2024. I början av september släpps en produktupplevelse som gör att du kan migrera FIM-konfigurationen via MMA till den nya FIM-versionen via Defender för Endpoint.
Information om hur du aktiverar FIM över Defender för Endpoint finns i Övervakning av filintegritet med hjälp av Microsoft Defender för Endpoint. Information om hur du migrerar från tidigare versioner finns i Migrera övervakning av filintegritet från tidigare versioner.
Tillbakadragande av Defender för molnet aviseringsintegrering med Azure WAF-aviseringar
den 22 augusti 2024
Beräknat datum för ändring: 25 september 2024
Defender for Cloud alert integration with Azure WAF alerts will be retired on September 25, 2024. Ingen åtgärd krävs på din sida. For Microsoft Sentinel customers, you can configure the Azure Web Application Firewall connector.
Aktivera Microsoft Defender för SQL-servrar på datorer i stor skala
1 augusti 2024
Nu kan du aktivera Microsoft Defender för SQL-servrar på datorer i stor skala. Med den här funktionen kan du aktivera Microsoft Defender för SQL på flera servrar samtidigt, vilket sparar tid och arbete.
Lär dig hur du aktiverar Microsoft Defender för SQL-servrar på datorer i stor skala.
July 2024
| Date | Category | Update |
|---|---|---|
| July 31 | GA | Allmän tillgänglighet för förbättrade identifierings- och konfigurationsrekommendationer för slutpunktsskydd |
| July 31 | Upcoming update | Adaptiv utfasning av nätverkshärdning |
| July 22 | Preview | Säkerhetsutvärderingar för GitHub kräver inte längre ytterligare licensiering |
| July 18 | Upcoming update | Uppdaterade tidslinjer mot MMA-utfasning i Defender för servrar plan 2 |
| July 18 | Upcoming update | Utfasning av MMA-relaterade funktioner som en del av agentens tillbakadragning |
| July 15 | Preview | Offentlig förhandsversion av binär drift i Defender för containrar |
| July 14 | GA | Automatiserade reparationsskript för AWS och GCP är nu allmänt tillgängliga |
| July 11 | Upcoming update | Uppdatering av GitHub-programbehörigheter |
| July 10 | GA | Efterlevnadsstandarder är nu allmänt tillgängliga |
| July 9 | Upcoming update | Förbättring av inventeringsupplevelsen |
| July 8 | Upcoming update | Verktyg för containermappning som ska köras som standard i GitHub |
Allmän tillgänglighet för förbättrade identifierings- och konfigurationsrekommendationer för slutpunktsskydd
den 31 juli 2024
Förbättrade identifieringsfunktioner för slutpunktsskyddslösningar och förbättrad identifiering av konfigurationsproblem är nu allmänt tillgängliga för flera molnservrar. De här uppdateringarna ingår i Defender for Servers Plan 2 och Defender Cloud Security Posture Management (CSPM).
Funktionen för förbättrade rekommendationer använder agentlös maskingenomsökning, vilket möjliggör omfattande identifiering och utvärdering av konfigurationen av identifiering och åtgärd på slutpunkt lösningar som stöds. När konfigurationsproblem identifieras tillhandahålls reparationssteg.
With this general availability release, the list of supported solutions is expanded to include two more endpoint detection and response tools:
- Singularity Platform av SentinelOne
- Cortex XDR
Adaptiv utfasning av nätverkshärdning
den 31 juli 2024
Beräknat datum för ändring: 31 augusti 2024
Defender for Server:s adaptiva nätverkshärdning håller på att bli inaktuell.
Funktionsutfasningen innehåller följande funktioner:
- Recommendation: Adaptive network hardening recommendations should be applied on internet facing virtual machines [assessment Key: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- Alert: Traffic detected from IP addresses recommended for blocking
Förhandsversion: Säkerhetsutvärderingar för GitHub kräver inte längre ytterligare licensiering
den 22 juli 2024
GitHub-användare i Defender för molnet behöver inte längre en GitHub Advanced Security-licens för att visa säkerhetsresultat. Detta gäller säkerhetsutvärderingar för kodbrister, felkonfigurationer av infrastruktur som kod (IaC) och säkerhetsrisker i containeravbildningar som identifieras under byggfasen.
Kunder med GitHub Advanced Security fortsätter att få ytterligare säkerhetsutvärderingar i Defender för molnet för exponerade autentiseringsuppgifter, sårbarheter i öppen källkod beroenden och CodeQL-resultat.
Mer information om DevOps-säkerhet i Defender för molnet finns i Säkerhetsöversikt för DevOps. För att lära dig hur du registrerar din GitHub-miljö till Defender för Cloud, följer du registreringsguiden för GitHub. To learn how to configure the Microsoft Security DevOps GitHub Action, see our GitHub Action documentation.
Uppdaterade tidslinjer mot MMA-utfasning i Defender för servrar plan 2
den 18 juli 2024
Beräknat datum för ändring: augusti 2024
Med den kommande utfasningen av Log Analytics-agenten i augusti förlitar sig alla säkerhetsvärden för serverskydd i Defender för molnet på integrering med Microsoft Defender för Endpoint (MDE) som en enda agent och på agentlösa funktioner som tillhandahålls av molnplattformen och agentlös datorgenomsökning.
Följande funktioner har uppdaterade tidslinjer och planer, vilket innebär att stödet för dem över MMA utökas för Defender för molnet kunder till slutet av november 2024:
Övervakning av filintegritet (FIM): Den offentliga förhandsversionen av FIM:s nya version via MDE planeras till augusti 2024. The GA version of FIM powered by Log Analytics agent will continue to be supported for existing customers until the end of November 2024.
Security Baseline: as an alternative to the version based on MMA, the current preview version based on Guest Configuration will be released to general availability in September 2024. OS Security Baselines powered by Log Analytics agent will continue to be supported for existing customers until the end of November 2024.
Mer information finns i Förbereda för tillbakadragning av Log Analytics-agenten.
Utfasning av MMA-relaterade funktioner som en del av agentens tillbakadragning
den 18 juli 2024
Beräknat datum för ändring: augusti 2024
Som en del av utfasningen av Microsoft Monitoring Agent (MMA) och den uppdaterade distributionsstrategin för Defender för servrar tillhandahålls nu alla säkerhetsfunktioner för Defender för servrar via en enda agent (Defender för Endpoint) eller via agentlösa genomsökningsfunktioner. Detta kräver inte beroende av MMA eller Azure Monitoring Agent (AMA).
När vi närmar oss agentens tillbakadragning i augusti 2024 tas följande MMA-relaterade funktioner bort från Defender för molnet-portalen:
- Display of MMA installation status on the Inventory and Resource Health blades.
- The capability to onboard new non-Azure servers to Defender for Servers via Log Analytics workspaces will be removed from both the Inventory and Getting Started blades.
Note
We recommend that current customers, who have onboarded on-premises servers using the legacy approach, should now connect these machines via Azure Arc-enabled servers. Vi rekommenderar också att du aktiverar Defender for Servers Plan 2 för de Azure-prenumerationer som dessa servrar är anslutna till.
Om du selektivt har aktiverat Defender för servrar plan 2 på specifika virtuella Azure-datorer via den äldre metoden aktiverar du Defender för servrar plan 2 på Azure-prenumerationerna på dessa datorer. Exclude individual machines from the Defender for Servers coverage using the Defender for Servers per-resource configuration.
De här stegen säkerställer att det inte uppstår någon förlust av säkerhetstäckning på grund av att Log Analytics-agenten dras tillbaka.
För att upprätthålla säkerhetskontinuiteten rekommenderar vi kunder med Defender for Servers Plan 2 att aktivera agentlös maskingenomsökning och integrering med Microsoft Defender för Endpoint i sina prenumerationer.
Du kan använda den här anpassade arbetsboken för att hålla reda på din Log Analytics Agent-egendom (MMA) och övervaka distributionsstatusen för Defender för servrar på virtuella Azure-datorer och Azure Arc-datorer.
Mer information finns i Förbereda för tillbakadragning av Log Analytics-agenten.
Den offentliga förhandsversionen av Binary Drift är nu tillgänglig i Defender för containrar
Vi introducerar den offentliga förhandsversionen av Binary Drift för Defender för containrar. Den här funktionen hjälper dig att identifiera och minimera potentiella säkerhetsrisker som är kopplade till obehöriga binärfiler i dina containrar. Binary Drift identifierar och skickar autonomt aviseringar om potentiellt skadliga binära processer i dina containrar. Dessutom kan implementeringen av en ny binär driftprincip styra aviseringsinställningar, vilket ger möjlighet att skräddarsy meddelanden efter specifika säkerhetsbehov. Mer information om den här funktionen finns i Identifiering av binär drift
Automatiserade reparationsskript för AWS och GCP är nu allmänt tillgängliga
den 14 juli 2024
I mars släppte vi automatiserade reparationsskript för AWS & GCP till offentlig förhandsversion, som gör att du kan åtgärda rekommendationer för AWS & GCP i stor skala programmatiskt.
Idag släpper vi den här funktionen till allmänt tillgänglig (GA). Lär dig hur du använder automatiserade reparationsskript.
Uppdatering av GitHub-programbehörigheter
den 11 juli 2024
Beräknat datum för ändring: 18 juli 2024
DevOps-säkerhet i Defender för molnet gör ständigt uppdateringar som kräver att kunder med GitHub-anslutningsappar i Defender för molnet uppdaterar behörigheterna för Microsoft Security DevOps-programmet i GitHub.
Som en del av den här uppdateringen kräver GitHub-programmet Läsbehörigheter för GitHub Copilot Business. Den här behörigheten används för att hjälpa kunderna att bättre skydda sina GitHub Copilot-distributioner. Vi föreslår att programmet uppdateras så snart som möjligt.
Behörigheter kan beviljas på två olika sätt:
I din GitHub-organisation går du till Microsoft Security DevOps-programmet i Inställningar > GitHub Apps och godkänner behörighetsbegäran.
I ett automatiserat e-postmeddelande från GitHub Support väljer du Granska behörighetsbegäran för att acceptera eller avvisa den här ändringen.
Efterlevnadsstandarder är nu allmänt tillgängliga
den 10 juli 2024
I mars lade vi till förhandsversioner av många nya efterlevnadsstandarder som kunderna kan verifiera sina AWS- och GCP-resurser mot.
Dessa standarder inkluderade CIS Google Kubernetes Engine (GKE) Benchmark, ISO/IEC 27001 och ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), Brazilian General Personal Data Protection Law (LGPD), California Consumer Privacy Act (CCPA) med mera.
Dessa förhandsversionsstandarder är nu allmänt tillgängliga (GA).
Kolla in den fullständiga listan över efterlevnadsstandarder som stöds.
Förbättring av inventeringsupplevelsen
9 juli 2024
Beräknat datum för ändring: 11 juli 2024
Inventeringsupplevelsen uppdateras för att förbättra prestandan, inklusive förbättringar av fönstrets frågelogik "Öppna fråga" i Azure Resource Graph. Uppdateringar av logiken bakom Azure-resursberäkningen kan resultera i att andra resurser räknas och presenteras.
Verktyg för containermappning som ska köras som standard i GitHub
8 juli 2024
Beräknat datum för ändring: 12 augusti 2024
Med DevOps-säkerhetsfunktioner i Microsoft Defender hantering av molnsäkerhetsstatus (CSPM) kan du mappa dina molnbaserade program från kod till molnet för att enkelt starta arbetsflöden för utvecklarreparation och minska tiden för att åtgärda sårbarheter i dina containeravbildningar. För närvarande måste du manuellt konfigurera mappningsverktyget för containeravbildningar så att det körs i Microsoft Security DevOps-åtgärden i GitHub. Med den här ändringen körs containermappning som standard som en del av Åtgärden Microsoft Security DevOps. Läs mer om åtgärden Microsoft Security DevOps.
June 2024
| Date | Category | Update |
|---|---|---|
| June 27 | GA | Checkov IaC-genomsökning i Defender för molnet. |
| June 24 | Update | Ändra priser för Defender för containrar med flera moln |
| June 20 | Upcoming deprecation |
Påminnelse om utfasning för anpassningsbara rekommendationer vid utfasning av Microsoft Monitoring Agent (MMA). Beräknad utfasning augusti 2024. |
| June 10 | Preview | Copilot i Defender för molnet |
| June 10 | Upcoming update |
Automatisk aktivering av SQL-sårbarhetsbedömning med expresskonfiguration på okonfigurerade servrar. Uppskattad uppdatering: 10 juli 2024. |
| June 3 | Upcoming update |
Ändringar i beteendet för identitetsrekommendationer Uppskattad uppdatering: 10 juli 2024. |
GA: Checkov IaC-genomsökning i Defender för molnet
den 27 juni 2024
We're announcing the general availability of the Checkov integration for Infrastructure-as-Code (IaC) scanning through Microsoft Security DevOps (MSDO). Som en del av den här versionen ersätter Checkov TerraScan som en standard-IaC-analysator som körs som en del av MSDO-kommandoradsgränssnittet (CLI). TerraScan might still be configured manually through MSDO's environment variables but won't run by default.
Säkerhetsresultat från Checkov presenteras som rekommendationer för både Azure DevOps- och GitHub-lagringsplatser under utvärderingarna som Azure DevOps-lagringsplatser bör ha infrastruktur när kodresultaten har lösts och GitHub-lagringsplatser bör ha infrastruktur när kodresultaten har lösts.
Mer information om DevOps-säkerhet i Defender för molnet finns i Säkerhetsöversikt för DevOps. To learn how to configure the MSDO CLI, see the Azure DevOps or GitHub documentation.
Uppdatering: Ändra prissättningen för Defender för containrar i flera moln
Den 24 juni 2024
Eftersom Defender för containrar i flera moln nu är allmänt tillgängligt är det inte längre kostnadsfritt. Mer information finns i Microsoft Defender för molnet prissättning.
Utfasning: Påminnelse om utfasning för anpassningsbara rekommendationer
Den 20 juni 2024
Beräknat datum för ändring: augusti 2024
Som en del av MMA-utfasningen och den uppdaterade distributionsstrategin för Defender för servrar tillhandahålls säkerhetsfunktionerna i Defender för servrar via MDE-agenten (Microsoft Defender för Endpoint) eller via agentlösa genomsökningsfunktioner. Båda dessa alternativ beror inte på antingen MMA eller Azure Monitoring Agent (AMA).
Adaptiva säkerhetsrekommendationer, så kallade adaptiva programkontroller och adaptiv nätverkshärdning, kommer att upphöra. Den aktuella GA-versionen baserat på MMA och förhandsversionen baserat på AMA kommer att bli inaktuell i augusti 2024.
Förhandsversion: Copilot i Defender för molnet
Den 10 juni 2024
Vi presenterar integreringen av Microsoft Security Copilot i Defender för molnet i offentlig förhandsversion. Copilots inbäddade upplevelse i Defender för molnet ger användarna möjlighet att ställa frågor och få svar på naturligt språk. Copilot kan hjälpa dig att förstå kontexten för en rekommendation, effekten av att implementera en rekommendation, de steg som krävs för att implementera en rekommendation, hjälpa till med delegeringen av rekommendationer och hjälpa till med reparation av felkonfigurationer i kod.
Läs mer om Microsoft Security Copilot i Defender för molnet.
Uppdatering: Automatisk aktivering av SQL-sårbarhetsbedömning
Den 10 juni 2024
Beräknat datum för ändring: 10 juli 2024
Ursprungligen aktiverades SQL Vulnerability Assessment (VA) med Express Configuration endast automatiskt på servrar där Microsoft Defender för SQL aktiverades efter införandet av Express Configuration i december 2022.
Vi kommer att uppdatera alla Azure SQL-servrar som hade Microsoft Defender för SQL aktiverat före december 2022 och som inte hade någon befintlig SQL VA-princip på plats, så att SQL Vulnerability Assessment (SQL VA) automatiskt aktiveras med Express Configuration.
- Implementeringen av den här ändringen kommer att ske gradvis och sträcker sig över flera veckor och kräver ingen åtgärd från användarens sida.
- Den här ändringen gäller för Azure SQL-servrar där Microsoft Defender för SQL aktiverades på Azure-prenumerationsnivå.
- Servrar med en befintlig klassisk konfiguration (oavsett om de är giltiga eller ogiltiga) påverkas inte av den här ändringen.
- Vid aktivering kan rekommendationen "SQL-databaser ha sårbarhetsresultat lösta" visas och kan eventuellt påverka din säkerhetspoäng.
Uppdatering: Ändringar i beteendet för identitetsrekommendationer
3 juni 2024
Beräknat datum för ändring: juli 2024
These changes:
- Den utvärderade resursen blir identiteten i stället för prenumerationen
- Rekommendationerna kommer inte längre att ha "underkommandon"
- Värdet för fältet "assessmentKey" i API:et ändras för dessa rekommendationer
Kommer att tillämpas på följande rekommendationer:
- Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade
- Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade
- Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade
- Gästkonton med ägarbehörighet för Azure-resurser bör tas bort
- Gästkonton med skrivbehörighet för Azure-resurser bör tas bort
- Gästkonton med läsbehörighet för Azure-resurser bör tas bort
- Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort
- Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort
- Högst tre ägare bör utses för din prenumeration
- Det bör finnas fler än en ägare för prenumerationen
May 2024
| Date | Category | Update |
|---|---|---|
| May 30 | GA | Identifiering av agentlös skadlig kod i Defender för servrar, plan 2 |
| May 22 | Update | Konfigurera e-postaviseringar för attackvägar |
| May 21 | Update | Avancerad jakt i Microsoft Defender XDR innehåller Defender för molnet aviseringar och incidenter |
| May 9 | Preview | Checkov-integrering för IaC-genomsökning i Defender för molnet |
| May 7 | GA | Behörighetshantering i Defender för molnet |
| May 6 | Preview | AI-hantering av säkerhetsstatus i flera moln är tillgängligt för Azure och AWS. |
| May 6 | Limited preview | Skydd mot hot för AI-arbetsbelastningar i Azure. |
| May 2 | Update | Hantering av säkerhetsprinciper. |
| May 1 | Preview | Defender för databaser med öppen källkod är nu tillgängligt på AWS för Amazon-instanser. |
| May 1 | Upcoming deprecation |
Borttagning av FIM via AMA och lansering av ny version via Defender för Endpoint. Beräknad utfasning augusti 2024. |
GA: Identifiering av agentlös skadlig kod i Defender för servrar, plan 2
Den 30 maj 2024
Defender för molnet identifiering av agentlös skadlig kod för virtuella Azure-datorer, AWS EC2-instanser och GCP VM-instanser är nu allmänt tillgänglig som en ny funktion i Defender för servrar, plan 2.
Identifiering av agentlös skadlig kod använder Microsoft Defender Antivirus-motorn mot skadlig kod för att söka igenom och identifiera skadliga filer. Identifierade hot utlöser säkerhetsaviseringar direkt i Defender för molnet och Defender XDR, där de kan undersökas och åtgärdas. Läs mer om agentlös skanning av skadlig kod för servrar och agentlös genomsökning efter virtuella datorer.
Uppdatering: Konfigurera e-postaviseringar för attackvägar
22 maj 2024
Du kan nu konfigurera e-postaviseringar när en attackväg identifieras med en angiven risknivå eller högre. Lär dig hur du konfigurerar e-postaviseringar.
Uppdatering: Avancerad jakt i Microsoft Defender XDR innehåller Defender för molnet aviseringar och incidenter
21 maj 2024
Defender för molnet aviseringar och incidenter är nu integrerade med Microsoft Defender XDR och kan nås i Microsoft Defender-portalen. Den här integreringen ger bättre kontext till undersökningar som omfattar molnresurser, enheter och identiteter. Lär dig mer om avancerad jakt i XDR-integrering.
Förhandsversion: Checkov-integrering för IaC-genomsökning i Defender för molnet
Den 9 maj 2024
Checkov-integrering för DevOps-säkerhet i Defender för molnet är nu i förhandsversion. Den här integreringen förbättrar både kvaliteten och det totala antalet infrastruktur-som-kod-kontroller som körs av MSDO CLI vid genomsökning av IaC-mallar.
I förhandsversionen måste Checkov uttryckligen anropas via indataparametern "tools" för MSDO CLI.
Läs mer om DevOps-säkerhet i Defender för molnet och konfigurera MSDO CLI för Azure DevOps och GitHub.
GA: Behörighetshantering i Defender för molnet
7 maj 2024
Permissions management is now generally available in Defender for Cloud.
Förhandsversion: AI-hantering av säkerhetsstatus för flera moln
6 maj 2024
HANTERING av AI-säkerhetsstatus finns i förhandsversion i Defender för molnet. Det ger hanteringsfunktioner för AI-säkerhetsstatus för Azure och AWS för att förbättra säkerheten för dina AI-pipelines och -tjänster.
Läs mer om hantering av säkerhetshållning för AI.
Begränsad förhandsversion: Skydd mot hot för AI-arbetsbelastningar i Azure
6 maj 2024
Hotskydd för AI-arbetsbelastningar i Defender för molnet är tillgängligt i begränsad förhandsversion. Den här planen hjälper dig att övervaka dina Azure OpenAI-baserade program under körning för skadlig aktivitet, identifiera och åtgärda säkerhetsrisker. It provides contextual insights into AI workload threat protection, integrating with Responsible AI and Microsoft Threat Intelligence. Relevanta säkerhetsaviseringar är integrerade i Defender-portalen.
Läs mer om skydd mot hot för AI-arbetsbelastningar.
GA: Hantering av säkerhetsprinciper
2 maj 2024
Hantering av säkerhetsprinciper i moln (Azure, AWS, GCP) är nu allmänt tillgänglig. Detta gör det möjligt för säkerhetsteam att hantera sina säkerhetsprinciper på ett konsekvent sätt och med nya funktioner
Läs mer om säkerhetsprinciper i Microsoft Defender för molnet.
Förhandsversion: Defender för databaser med öppen källkod som är tillgängliga i AWS
1 maj 2024
Defender för databaser med öppen källkod på AWS är nu tillgängligt som förhandsversion. Det lägger till stöd för olika typer av Instanstyper för Amazon Relational Database Service (RDS).
Läs mer om Defender för databaser med öppen källkod och hur du aktiverar Defender för databaser med öppen källkod på AWS.
Utfasning: Borttagning av FIM (med AMA)
1 maj 2024
Beräknat datum för ändring: augusti 2024
Som en del av MMA-utfasningen och den uppdaterade distributionsstrategin för Defender för servrar tillhandahålls alla Säkerhetsfunktioner för Defender för servrar via en enda agent (MDE) eller via agentlösa genomsökningsfunktioner och utan beroende av antingen MMA eller AMA.
Med den nya versionen av FIM (File Integrity Monitoring) över Microsoft Defender för Endpoint (MDE) kan du uppfylla efterlevnadskraven genom att övervaka viktiga filer och register i realtid, granska ändringar och identifiera misstänkta filinnehållsändringar.
Som en del av den här versionen kommer FIM-upplevelsen via AMA inte längre att vara tillgänglig via Defender för molnet-portalen från och med augusti 2024. Mer information finns i Övervakning av filintegritet – vägledning för ändringar och migrering.
Mer information om den nya API-versionen finns i Microsoft Defender för molnet REST API:er.
April 2024
| Date | Category | Update |
|---|---|---|
| April 16 | Upcoming update |
Ändring i CIEM-utvärderings-ID:er. Uppskattad uppdatering: maj 2024. |
| April 15 | GA | Defender for Containers är nu tillgängligt för AWS och GCP. |
| April 3 | Update | Riskprioritering är nu standardupplevelsen i Defender för molnet |
| April 3 | Update | Defender för uppdateringar av relationsdatabaser med öppen källkod. |
Uppdatering: Ändring i CIEM-utvärderings-ID:t
den 16 april 2024
Beräknat datum för ändring: Maj 2024
Följande rekommendationer är schemalagda för ombyggnad, vilket resulterar i ändringar i deras utvärderings-ID:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
GA: Defender för containrar för AWS och GCP
15 april 2024
Hotidentifiering och agentlös identifiering för AWS och GCP i Defender för containrar är nu allmänt tillgängliga. Dessutom finns det en ny autentiseringsfunktion i AWS som förenklar etableringen.
Läs mer om containrar som stöder matris i Defender för molnet och hur du konfigurerar Komponenter för Defender för containrar.
Uppdatering: Riskprioritering
Den 3 april 2024
Riskprioritering är nu standardupplevelsen i Defender för molnet. Den här funktionen hjälper dig att fokusera på de mest kritiska säkerhetsproblemen i din miljö genom att prioritera rekommendationer baserat på riskfaktorerna för varje resurs. Riskfaktorerna inkluderar den potentiella effekten av det säkerhetsproblem som överträds, riskkategorierna och den attackväg som säkerhetsproblemet ingår i. Learn more about risk prioritization.
Uppdatering: Defender för relationsdatabaser med öppen källkod
Den 3 april 2024
- Uppdateringar efter GA för Defender för PostgreSQL – Uppdateringen gör det möjligt för kunder att framtvinga skydd för befintliga flexibla PostgreSQL-servrar på prenumerationsnivå, vilket ger fullständig flexibilitet för att aktivera skydd per resurs eller för automatiskt skydd av alla resurser på prenumerationsnivå.
- Tillgänglighet och GA för Defender for MySQL – Defender för molnet utökat sitt stöd för relationsdatabaser med öppen källkod i Azure genom att införliva flexibla MySQL-servrar.
I den här versionen ingår:
- Aviseringskompatibilitet med befintliga aviseringar för Defender för MySQL – enskild server.
- Aktivera enskilda resurser.
- Aktivering på prenumerationsnivå.
- Uppdateringar för flexibla Azure Database for MySQL-servrar lanseras under de närmaste veckorna. Om du ser felet
The server <servername> is not compatible with Advanced Threat Protectionkan du antingen vänta på uppdateringen eller öppna ett supportärende för att uppdatera servern tidigare till en version som stöds.
Om du redan skyddar din prenumeration med Defender för relationsdatabaser med öppen källkod aktiveras, skyddas och faktureras dina flexibla serverresurser automatiskt. Specifika faktureringsmeddelanden har skickats via e-post för berörda prenumerationer.
Läs mer om Microsoft Defender för relationsdatabaser med öppen källkod.
March 2024
GA: Genomsökning av Windows-containeravbildningar
31 mars 2024
Vi meddelar allmän tillgänglighet (GA) för Windows-containeravbildningar för genomsökning av Defender för containrar.
Uppdatering: Kontinuerlig export innehåller nu attacksökvägsdata
25 mars 2024
Vi meddelar att kontinuerlig export nu innehåller attacksökvägsdata. Med den här funktionen kan du strömma säkerhetsdata till Log Analytics i Azure Monitor, till Azure Event Hubs eller till en annan lösning för säkerhetsinformation och händelsehantering (SIEM), soar (Security Orchestration Automated Response) eller den klassiska IT-distributionsmodellen.
Learn more about continuous export.
Förhandsversion: Agentlös genomsökning stöder CMK-krypterade virtuella datorer i Azure
den 21 mars 2024
Hittills har agentlös genomsökning täckt CMK-krypterade virtuella datorer i AWS och GCP. Med den här versionen slutför vi även supporten för Azure. Funktionen använder en unik genomsökningsmetod för CMK i Azure:
- Defender för molnet hanterar inte nyckel- eller dekrypteringsprocessen. Nycklar och dekryptering hanteras sömlöst av Azure Compute och är transparenta för Defender för molnet tjänst för agentlös genomsökning.
- De okrypterade vm-diskdata kopieras aldrig eller krypteras på nytt med en annan nyckel.
- Den ursprungliga nyckeln replikeras inte under processen. Rensningen tar bort data på både den virtuella produktionsdatorn och Defender för molnet tillfälliga ögonblicksbilden.
Den här funktionen aktiveras inte automatiskt under den offentliga förhandsversionen. If you're using Defender for Servers P2 or Defender CSPM and your environment has VMs with CMK encrypted disks, you can now have them scanned for vulnerabilities, secrets, and malware following these enablement steps.
Förhandsversion: Anpassade rekommendationer baserade på KQL för Azure
17 mars 2024
Anpassade rekommendationer baserade på KQL för Azure finns nu i offentlig förhandsversion och stöds för alla moln. Mer information finns i Skapa anpassade säkerhetsstandarder och rekommendationer.
Uppdatering: Inkludering av DevOps-rekommendationer i Microsoft Cloud Security Benchmark
13 mars 2024
I dag meddelar vi att du nu kan övervaka din Säkerhets- och efterlevnadsstatus för DevOps i Microsoft Cloud Security Benchmark (MCSB) utöver Azure, AWS och GCP. DevOps-utvärderingar är en del av DevOps-säkerhetskontrollen i MCSB.
MCSB är ett ramverk som definierar grundläggande molnsäkerhetsprinciper baserade på vanliga branschstandarder och efterlevnadsramverk. MCSB innehåller beskrivande information om hur du implementerar sina molnagnostiska säkerhetsrekommendationer.
Learn more about the DevOps recommendations that will be included and the Microsoft cloud security benchmark.
GA: ServiceNow-integrering är nu allmänt tillgänglig
12 mars 2024
We're announcing the general availability (GA) of the ServiceNow integration.
Förhandsversion: Skydd mot kritiska tillgångar i Microsoft Defender för molnet
12 mars 2024
Defender för molnet innehåller nu en funktion för affärskritiskhet som använder Microsoft Security Exposure Managements motor för kritiska tillgångar för att identifiera och skydda viktiga tillgångar genom riskprioritering, analys av attackvägar och molnsäkerhetsutforskaren. Mer information finns i Skydd mot kritiska tillgångar i Microsoft Defender för molnet (förhandsversion).
Uppdatering: Förbättrade AWS- och GCP-rekommendationer med automatiserade reparationsskript
12 mars 2024
Vi förbättrar AWS- och GCP-rekommendationerna med automatiserade reparationsskript som gör att du kan åtgärda dem programmatiskt och i stor skala. Läs mer om automatiserade reparationsskript.
Förhandsversion: Efterlevnadsstandarder har lagts till på instrumentpanelen för efterlevnad
6 mars 2024
Baserat på kundfeedback har vi lagt till efterlevnadsstandarder i förhandsversionen för att Defender för molnet.
Kolla in den fullständiga listan över efterlevnadsstandarder som stöds
Vi arbetar kontinuerligt med att lägga till och uppdatera nya standarder för Azure-, AWS- och GCP-miljöer.
Lär dig hur du tilldelar en säkerhetsstandard.
Uppdatering: Defender för uppdateringar av relationsdatabaser med öppen källkod
6 mars 2024**
Beräknat datum för ändring: april 2024
Uppdateringar efter GA för Defender för PostgreSQL – Uppdateringen gör det möjligt för kunder att framtvinga skydd för befintliga flexibla PostgreSQL-servrar på prenumerationsnivå, vilket ger fullständig flexibilitet för att aktivera skydd per resurs eller för automatiskt skydd av alla resurser på prenumerationsnivå.
Tillgänglighet och GA för Defender för MySQL – Defender för molnet är inställd på att utöka sitt stöd för relationsdatabaser med öppen källkod i Azure genom att införliva flexibla MySQL-servrar. Den här versionen kommer att innehålla:
- Aviseringskompatibilitet med befintliga aviseringar för Defender för MySQL – enskild server.
- Aktivera enskilda resurser.
- Aktivering på prenumerationsnivå.
Om du redan skyddar din prenumeration med Defender för relationsdatabaser med öppen källkod aktiveras, skyddas och faktureras dina flexibla serverresurser automatiskt. Specifika faktureringsmeddelanden har skickats via e-post för berörda prenumerationer.
Läs mer om Microsoft Defender för relationsdatabaser med öppen källkod.
Uppdatering: Ändringar i kompatibilitetserbjudanden och Microsoft Actions-inställningar
3 mars 2024
Beräknat datum för ändring: 30 september 2025
Den 30 september 2025 ändras de platser där du har åtkomst till två förhandsgranskningsfunktioner, Efterlevnadserbjudande och Microsoft Actions.
The table that lists the compliance status of Microsoft's products (accessed from the Compliance offerings button in the toolbar of Defender's regulatory compliance dashboard). När den här knappen har tagits bort från Defender för molnet kan du fortfarande komma åt den här informationen med hjälp av Service Trust Portal.
För en delmängd av kontroller var Microsoft Actions tillgängligt från knappen Microsoft Actions (förhandsversion) i kontrollinformationsfönstret. När den här knappen har tagits bort kan du visa Microsoft Actions genom att besöka Microsofts Service Trust Portal för FedRAMP och komma åt dokumentet azure systemsäkerhetsplan.
Uppdatering: Ändringar där du får åtkomst till efterlevnadserbjudanden och Microsoft Actions
3 mars 2024**
Beräknat datum för ändring: september 2025
Den 30 september 2025 ändras de platser där du har åtkomst till två förhandsgranskningsfunktioner, Efterlevnadserbjudande och Microsoft Actions.
The table that lists the compliance status of Microsoft's products (accessed from the Compliance offerings button in the toolbar of Defender's regulatory compliance dashboard). När den här knappen har tagits bort från Defender för molnet kan du fortfarande komma åt den här informationen med hjälp av Service Trust Portal.
För en delmängd av kontroller var Microsoft Actions tillgängligt från knappen Microsoft Actions (förhandsversion) i kontrollinformationsfönstret. När den här knappen har tagits bort kan du visa Microsoft Actions genom att besöka Microsofts Service Trust Portal för FedRAMP och komma åt dokumentet azure systemsäkerhetsplan.
Utfasning: sårbarhetsbedömning för Defender för molnet containrar som drivs av Qualys-tillbakadragning
3 mars 2024
Sårbarhetsbedömningen för Defender för molnet containrar som drivs av Qualys dras tillbaka. Tillbakadragningen kommer att slutföras senast den 6 mars och fram till dess kan partiella resultat fortfarande visas både i Qualys-rekommendationerna och Qualys resulterar i säkerhetsdiagrammet. Kunder som tidigare använde den här utvärderingen bör uppgradera till sårbarhetsbedömningar för Azure med Microsoft Defender – hantering av säkerhetsrisker. Information om hur du övergår till erbjudandet för sårbarhetsbedömning för containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker finns i Övergång från Qualys till Microsoft Defender – hantering av säkerhetsrisker.
February 2024
| Date | Category | Update |
|---|---|---|
| February 28 | Deprecation | Microsoft Security Code Analysis (MSCA) fungerar inte längre. |
| February 28 | Update | Uppdaterad hantering av säkerhetsprinciper utökar stödet till AWS och GCP. |
| February 26 | Update | Molnstöd för Defender för containrar |
| February 20 | Update | Ny version av Defender-sensorn för Defender för containrar |
| February 18 | Update | Stöd för specifikation för Open Container Initiative (OCI) avbildningsformat |
| February 13 | Deprecation | Sårbarhetsbedömning av AWS-container som drivs av Trivy har dragits tillbaka. |
| February 5 | Upcoming update |
Avaktivering av Resursprovidern Microsoft.SecurityDevOps Förväntas: 6 mars 2024 |
Utfasning: Microsoft Security Code Analysis (MSCA) fungerar inte längre
den 28 februari 2024
In February 2021, the deprecation of the MSCA task was communicated to all customers and has been past end of life support since March 2022. Från och med den 26 februari 2024 är MSCA officiellt inte längre i drift.
Kunder kan hämta de senaste DevOps-säkerhetsverktygen från Defender för molnet via Microsoft Security DevOps och fler säkerhetsverktyg via GitHub Advanced Security för Azure DevOps.
Uppdatering: Säkerhetsprinciphantering utökar stödet till AWS och GCP
den 28 februari 2024
Den uppdaterade upplevelsen för hantering av säkerhetsprinciper, som ursprungligen släpptes i Förhandsversion för Azure, utökar sitt stöd till miljöer mellan molnmiljöer (AWS och GCP). Den här förhandsversionen innehåller:
- Hantera regelefterlevnadsstandarder i Defender för molnet i Azure-, AWS- och GCP-miljöer.
- Samma gränssnitt mellan moln för att skapa och hantera anpassade rekommendationer för Microsoft Cloud Security Benchmark (MCSB).
- Den uppdaterade upplevelsen tillämpas på AWS och GCP för att skapa anpassade rekommendationer med en KQL-fråga.
Uppdatering: Molnstöd för Defender för containrar
den 26 februari 2024
Hotidentifieringsfunktionerna i Azure Kubernetes Service (AKS) i Defender for Containers stöds nu fullt ut i kommersiella moln, Azure Government och Azure China 21Vianet-moln. Review supported features.
Uppdatering: Ny version av Defender-sensorn för Defender för containrar
den 20 februari 2024
Det finns en ny version av Defender-sensorn för Defender för containrar . It includes performance and security improvements, support for both AMD64 and Arm64 arch nodes (Linux only), and uses Inspektor Gadget as the process collection agent instead of Sysdig. Den nya versionen stöds endast i Linux-kernelversionerna 5.4 och senare, så om du har äldre versioner av Linux-kerneln måste du uppgradera. Stöd för Arm64 är endast tillgängligt från AKS V1.29 och senare. Mer information finns i Värdoperativsystem som stöds.
Uppdatering: Stöd för specifikation av specifikationen för Open Container Initiative (OCI) avbildningsformat
den 18 februari 2024
Specifikationen av avbildningsformatet Open Container Initiative (OCI) stöds nu av sårbarhetsbedömning som drivs av Microsoft Defender – hantering av säkerhetsrisker för AWS- och Azure &GCP-moln.
Utfasning: Utvärdering av sårbarhet för AWS-container som drivs av Trivy som dragits tillbaka
den 13 februari 2024
Sårbarhetsbedömningen för containrar som drivs av Trivy har dragits tillbaka. Kunder som tidigare använde den här utvärderingen bör uppgradera till den nya sårbarhetsbedömningen för AWS-containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker. Anvisningar om hur du uppgraderar finns i Hur gör jag för att uppgradera från den tillbakadragna Trivy-sårbarhetsbedömningen till AWS-sårbarhetsbedömningen som drivs av Microsoft Defender – hantering av säkerhetsrisker?
Uppdatering: Avaktivering av Resursprovidern Microsoft.SecurityDevOps
den 5 februari 2024
Beräknat datum för ändring: 6 mars 2024
Microsoft Defender för molnet inaktiverar resursprovidern Microsoft.SecurityDevOps som användes under den offentliga förhandsversionen av DevOps-säkerheten efter att ha migrerats till den befintliga Microsoft.Security providern. Anledningen till ändringen är att förbättra kundupplevelsen genom att minska antalet resursprovidrar som är associerade med DevOps-anslutningsappar.
Customers that are still using the API version 2022-09-01-preview under Microsoft.SecurityDevOps to query Defender for Cloud DevOps security data will be impacted. To avoid disruption to their service, customer will need to update to the new API version 2023-09-01-preview under the Microsoft.Security provider.
Kunder som för närvarande använder Defender för molnet DevOps-säkerhet från Azure Portal påverkas inte.
January 2024
Uppdatering: Ny insikt för aktiva lagringsplatser i Cloud Security Explorer
den 31 januari 2024
En ny insikt för Azure DevOps-lagringsplatser har lagts till i Cloud Security Explorer för att ange om lagringsplatser är aktiva. Den här insikten anger att kodlagringsplatsen inte är arkiverad eller inaktiverad, vilket innebär att skrivåtkomst till kod, versioner och pull-begäranden fortfarande är tillgängligt för användare. Arkiverade och inaktiverade lagringsplatser kan betraktas som lägre prioritet eftersom koden vanligtvis inte används i aktiva distributioner.
Om du vill testa frågan via Cloud Security Explorer använder du den här frågelänken.
Uppdatering: Ändra prissättningen för hotidentifiering för flera molncontainer
30 januari 2024**
Beräknat datum för ändring: april 2024
När hotidentifiering för flera molncontainer övergår till GA blir det inte längre kostnadsfritt. Mer information finns i Microsoft Defender för molnet prissättning.
Uppdatering: Tillämpning av Defender CSPM för Premium DevOps-säkerhetsvärde
29 januari 2024**
Beräknat datum för ändring: 7 mars 2024
Defender för molnet börjar tillämpa Defender CSPM-plankontrollen för Premium DevOps-säkerhetsvärdet från och medDen 7 mars 2024. Om du har aktiverat Defender CSPM-planen i en molnmiljö (Azure, AWS, GCP) inom samma klientorganisation som dina DevOps-anslutningsappar skapas i, fortsätter du att få Premium DevOps-funktioner utan extra kostnad. Om du inte är Defender CSPM-kund har du fram till den 7 mars 2024 på dig att aktivera Defender CSPM innan du förlorar åtkomsten till dessa säkerhetsfunktioner. To enable Defender CSPM on a connected cloud environment before March 7, 2024, follow the enablement documentation outlined here.
Mer information om vilka DevOps-säkerhetsfunktioner som är tillgängliga för både Grundläggande CSPM- och Defender CSPM-planer finns i vår dokumentation som beskriver funktionstillgänglighet.
For more information about DevOps Security in Defender for Cloud, see the overview documentation.
Mer information om kod till molnsäkerhetsfunktioner i Defender CSPM finns i hur du skyddar dina resurser med Defender CSPM.
Förhandsversion: Agentlös containerstatus för GCP i Defender för containrar och Defender CSPM
den 24 januari 2024
De nya funktionerna för agentlös containerstatus (förhandsversion) är tillgängliga för GCP, inklusive sårbarhetsbedömningar för GCP med Microsoft Defender – hantering av säkerhetsrisker. Mer information om alla funktioner finns i Agentlös containerstatus i Defender CSPM och Agentlösa funktioner i Defender för containrar.
Du kan också läsa om hantering av agentlös containerstatus för flera moln i det här blogginlägget.
Förhandsversion: Agentlös skanning av skadlig kod efter servrar
den 16 januari 2024
Vi presenterar lanseringen av Defender för molnet agentlös identifiering av skadlig kod för virtuella Azure-datorer (VM), AWS EC2-instanser och GCP VM-instanser som en ny funktion som ingår i Defender för servrar plan 2.
Identifiering av agentlös skadlig kod för virtuella datorer ingår nu i vår agentlösa skanningsplattform. Genomsökning av agentlös skadlig kod använder Microsoft Defender Antivirus-motorn mot skadlig kod för att söka igenom och identifiera skadliga filer. Eventuella identifierade hot utlöser säkerhetsaviseringar direkt i Defender för molnet och Defender XDR, där de kan undersökas och åtgärdas. Skannern för agentlös skadlig kod kompletterar den agentbaserade täckningen med ett andra lager av hotidentifiering med friktionsfri registrering och har ingen effekt på datorns prestanda.
Läs mer om agentlös skanning av skadlig kod för servrar och agentlös genomsökning efter virtuella datorer.
Allmän tillgänglighet för Defender för molnet integrering med Microsoft Defender XDR
den 15 januari 2024
Vi presenterar allmän tillgänglighet för integreringen mellan Defender för molnet och Microsoft Defender XDR (tidigare Microsoft 365 Defender).
Integreringen ger konkurrenskraftiga molnskyddsfunktioner i SOC (Security Operations Center) dagligen. Med Microsoft Defender för molnet och Defender XDR-integrering kan SOC-team identifiera attacker som kombinerar identifieringar från flera pelare, inklusive moln, slutpunkt, identitet, Office 365 med mera.
Läs mer om aviseringar och incidenter i Microsoft Defender XDR.
Uppdatering: Agentlös VM-genomsökning av inbyggd Azure-roll
14 januari 2024**
Beräknat ändringsdatum: februari 2024
I Azure använder agentlös genomsökning efter virtuella datorer en inbyggd roll (kallas VM-skanneroperator) med de minsta nödvändiga behörigheter som krävs för att genomsöka och utvärdera dina virtuella datorer för säkerhetsproblem. För att kontinuerligt tillhandahålla relevanta hälso- och konfigurationsrekommendationer för virtuella datorer med krypterade volymer planeras en uppdatering av den här rollens behörigheter. Uppdateringen innehåller tillägget av behörigheten Microsoft.Compute/DiskEncryptionSets/read . Den här behörigheten möjliggör endast förbättrad identifiering av krypterad diskanvändning på virtuella datorer. It doesn't provide Defender for Cloud any more capabilities to decrypt or access the content of these encrypted volumes beyond the encryption methods already supported before this change. Den här ändringen förväntas ske under februari 2024 och ingen åtgärd krävs på din sida.
Uppdatering: DevOps-säkerhetsanteckningar för pull-begäran aktiverade som standard för Azure DevOps-anslutningsappar
12 januari 2024
DevOps-säkerhet exponerar säkerhetsresultat som anteckningar i Pull-begäranden (PR) för att hjälpa utvecklare att förhindra och åtgärda potentiella säkerhetsrisker och felkonfigurationer innan de går in i produktion. Från och med den 12 januari 2024 är PR-anteckningar nu aktiverade som standard för alla nya och befintliga Azure DevOps-lagringsplatser som är anslutna till Defender för molnet.
Som standard är PR-anteckningar endast aktiverade för IaC-resultat (Infrastruktur med hög allvarlighetsgrad som kod). Kunderna måste fortfarande konfigurera Microsoft Security for DevOps (MSDO) för att köras i PR-versioner och aktivera build-valideringsprincipen för CI-versioner i Azure DevOps-lagringsplatsinställningar. Kunder kan inaktivera pr-anteckningsfunktionen för specifika lagringsplatser inifrån konfigurationsalternativen för DevOps-säkerhetsfönstrets lagringsplats.
Läs mer om att aktivera pull-begärandeanteckningar för Azure DevOps.
Utfasning: Defender for Servers inbyggda sårbarhetsbedömningsväg (Qualys)
9 januari 2024**
Beräknat datum för ändring: Maj 2024
Den inbyggda lösningen för sårbarhetsbedömning i Defender för servrar som drivs av Qualys är på en pensionsväg som beräknas slutföras den 1 maj 2024. Om du för närvarande använder lösningen för sårbarhetsbedömning som drivs av Qualys bör du planera övergången till den integrerade lösningen Microsoft Defender-hantering av säkerhetsrisker.
Mer information om vårt beslut att förena vårt erbjudande för sårbarhetsbedömning med Microsoft Defender – hantering av säkerhetsrisker finns i det här blogginlägget.
Du kan också ta en titt på vanliga frågor om övergången till Microsoft Defender – hantering av säkerhetsrisker lösning.
Uppdatering: Defender för molnet krav för flera molnnätverk
3 januari 2024**
Beräknat datum för ändring: Maj 2024
Från och med maj 2024 drar vi tillbaka de gamla IP-adresserna som är associerade med våra identifieringstjänster för flera moln för att hantera förbättringar och säkerställa en säkrare och effektivare upplevelse för alla användare.
För att säkerställa oavbruten åtkomst till våra tjänster bör du uppdatera listan över TILLÅTNA IP-adresser med de nya intervall som anges i följande avsnitt. Du bör göra de nödvändiga justeringarna i dina brandväggsinställningar, säkerhetsgrupper eller andra konfigurationer som kan vara tillämpliga för din miljö.
Listan gäller för alla planer och är tillräcklig för full kapacitet i CSPM-grunderbjudandet (kostnadsfritt).
IP-adresser som ska dras tillbaka:
- Identifierings-GCP: 104.208.29.200, 52.232.56.127
- Identifierings-AWS: 52.165.47.219, 20.107.8.204
- Onboarding: 13.67.139.3
Nya regionspecifika IP-intervall som ska läggas till:
- Europa, västra: 52.178.17.48/28
- Europa, norra: 13.69.233.80/28
- USA, centrala: 20.44.10.240/28
- USA, östra 2: 20.44.19.128/28
December 2023
Konsolidering av Defender för molnet servicenivå 2-namn
30 december 2023
Vi konsoliderar de äldre servicenivå 2-namnen för alla Defender för molnet planer till ett enda nytt servicenivå 2-namn, Microsoft Defender för molnet.
Idag finns det fyra namn på tjänstnivå 2: Azure Defender, Advanced Threat Protection, Advanced Data Security och Security Center. De olika mätarna för Microsoft Defender för molnet grupperas i dessa separata namn på tjänstnivå 2, vilket skapar komplexitet när du använder Cost Management + Fakturering, fakturering och andra Azure-faktureringsrelaterade verktyg.
Ändringen förenklar processen med att granska Defender för molnet avgifter och ger bättre klarhet i kostnadsanalysen.
För att säkerställa en smidig övergång har vi vidtagit åtgärder för att upprätthålla konsekvensen för produkt-/tjänstnamnet, SKU:n och mätar-ID:n. Berörda kunder får ett informationsmeddelande om Azure-tjänsten för att kommunicera ändringarna.
Organisationer som hämtar kostnadsdata genom att anropa våra API:er måste uppdatera värdena i sina anrop för att hantera ändringen. I den här filterfunktionen returnerar värdena till exempel ingen information:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| GAMMALT namn på tjänstnivå 2 | NYTT namn på tjänstnivå 2 | Tjänstnivå – tjänstnivå 4 (ingen ändring) |
|---|---|---|
| Avancerad datasäkerhet | Microsoft Defender för molnet | Defender för SQL |
| Avancerat hotsskydd | Microsoft Defender för molnet | Defender för containerregister |
| Avancerat hotsskydd | Microsoft Defender för molnet | Defender för DNS |
| Avancerat hotsskydd | Microsoft Defender för molnet | Defender för Key Vault |
| Avancerat hotsskydd | Microsoft Defender för molnet | Defender för Kubernetes |
| Avancerat hotsskydd | Microsoft Defender för molnet | Defender för MySQL |
| Avancerat hotsskydd | Microsoft Defender för molnet | Defender för PostgreSQL |
| Avancerat hotsskydd | Microsoft Defender för molnet | Defender för Resource Manager |
| Avancerat hotsskydd | Microsoft Defender för molnet | Defender för lagring |
| Azure Defender | Microsoft Defender för molnet | Defender för hantering av extern attackyta |
| Azure Defender | Microsoft Defender för molnet | Defender för Azure Cosmos DB |
| Azure Defender | Microsoft Defender för molnet | Defender för containrar |
| Azure Defender | Microsoft Defender för molnet | Defender för MariaDB |
| Security Center | Microsoft Defender för molnet | Defender för App Service |
| Security Center | Microsoft Defender för molnet | Defender för servrar |
| Security Center | Microsoft Defender för molnet | Defender CSPM |
Defender för servrar på den resursnivå som är tillgänglig som GA
den 24 december 2023
Nu är det möjligt att hantera Defender för servrar på specifika resurser i din prenumeration, vilket ger dig fullständig kontroll över din skyddsstrategi. Med den här funktionen kan du konfigurera specifika resurser med anpassade konfigurationer som skiljer sig från de inställningar som konfigurerats på prenumerationsnivå.
Läs mer om hur du aktiverar Defender för servrar på resursnivå.
Pensionering av klassiska anslutningsappar för flera moln
den 21 december 2023
Den klassiska anslutningsmiljön för flera moln har dragits tillbaka och data strömmas inte längre till anslutningsappar som skapats via den mekanismen. Dessa klassiska anslutningsappar användes för att ansluta AWS Security Hub och GCP Security Command Center-rekommendationer för att Defender för molnet och registrera AWS EC2s till Defender för servrar.
Det fullständiga värdet för dessa anslutningsappar har ersatts med den inbyggda upplevelsen för multimolnssäkerhetsanslutningar, som har varit allmänt tillgänglig för AWS och GCP sedan mars 2022 utan extra kostnad.
De nya interna anslutningsprogrammen ingår i din plan och erbjuder en automatiserad registrering med alternativ för att registrera enskilda konton, flera konton (med Terraform) och organisationsregistrering med automatisk etablering för följande Defender-planer: kostnadsfria grundläggande CSPM-funktioner, Defender Cloud Security Posture Management (CSPM), Defender för servrar, Defender för SQL och Defender för containrar.
Version av arbetsboken Täckning
den 21 december 2023
Med arbetsboken Täckning kan du hålla reda på vilka Defender för molnet planer är aktiva för vilka delar av dina miljöer. Den här arbetsboken kan hjälpa dig att se till att dina miljöer och prenumerationer är helt skyddade. Genom att ha tillgång till detaljerad täckningsinformation kan du även identifiera alla områden som kan behöva annat skydd och vidta åtgärder för att ta itu med dessa områden.
Learn more about the Coverage workbook.
Allmän tillgänglighet för sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker i Azure Government och Azure som drivs av 21Vianet
den 14 december 2023
Sårbarhetsbedömning (VA) för Linux-containeravbildningar i Azure-containerregister som drivs av Microsoft Defender – hantering av säkerhetsrisker släpps för allmän tillgänglighet (GA) i Azure Government och Azure som drivs av 21Vianet. Den här nya versionen är tillgänglig under abonnemangen Defender för containrar och Defender för containerregister.
- Som en del av den här ändringen släpptes nya rekommendationer för ga och inkluderades i beräkningen av säker poäng. Granska nya och uppdaterade säkerhetsrekommendationer
- Container image scan powered by Microsoft Defender Vulnerability Management now also incurs charges according to plan pricing. Bilder som skannas både av vårt VA-containererbjudande som drivs av Qualys och Container VA-erbjudandet som drivs av Microsoft Defender – hantering av säkerhetsrisker debiteras bara en gång.
Qualys-rekommendationer för sårbarhetsbedömning för containrar har bytt namn och fortsätter att vara tillgängliga för kunder som har aktiverat Defender för containrar i någon av sina prenumerationer före den här versionen. Nya kunder som registrerar Defender för containrar efter den här versionen ser bara de nya rekommendationerna för utvärdering av sårbarhetsrisker för containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker.
Offentlig förhandsversion av Windows-stöd för sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker
den 14 december 2023
Stöd för Windows-avbildningar släpptes i offentlig förhandsversion som en del av sårbarhetsbedömning (VA) som drivs av Microsoft Defender – hantering av säkerhetsrisker för Azure-containerregister och Azure Kubernetes Services.
Tillbakadragande av sårbarhetsbedömning för AWS-container som drivs av Trivy
den 13 december 2023
Sårbarhetsbedömningen för containrar som drivs av Trivy är nu på en pensionsväg som ska slutföras senast den 13 februari. Den här funktionen är nu inaktuell och kommer att fortsätta att vara tillgänglig för befintliga kunder som använder den här funktionen fram till den 13 februari. Vi uppmuntrar kunder att använda den här funktionen för att uppgradera till den nya sårbarhetsbedömningen för AWS-containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker senast den 13 februari.
Agentlös containerstatus för AWS i Defender för containrar och Defender CSPM (förhandsversion)
den 13 december 2023
De nya funktionerna för agentlös containerstatus (förhandsversion) är tillgängliga för AWS. Mer information finns i Agentless container posture in Defender CSPM and Agentless capabilities in Defender for Containers (Agentlös containerstatus i Defender CSPM och Agentless-funktioner i Defender för containrar).
Allmänt tillgänglighetsstöd för PostgreSQL – flexibel server i Defender för relationsdatabaser med öppen källkod
den 13 december 2023
Vi presenterar den allmänna tillgänglighetsversionen av PostgreSQL–stöd för flexibel server i Microsoft Defender för relationsdatabaser med öppen källkod. Microsoft Defender for open-source relational databases provides advanced threat protection to PostgreSQL Flexible Servers, by detecting anomalous activities and generating security alerts.
Lär dig hur du aktiverar Microsoft Defender för relationsdatabaser med öppen källkod.
Sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker stöder nu Google Distroless
den 12 december 2023
Sårbarhetsbedömningar för containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker har utökats med mer täckning för Linux OS-paket, vilket nu stöder Google Distroless.
En lista över alla operativsystem som stöds finns i Stöd för register och avbildningar för Azure – Sårbarhetsbedömning som drivs av Microsoft Defender – hantering av säkerhetsrisker.
November 2023
Fyra aviseringar är inaktuella
den 30 november 2023
Som en del av vår kvalitetsförbättringsprocess är följande säkerhetsaviseringar inaktuella:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Allmän tillgänglighet för genomsökning av agentlösa hemligheter i Defender för servrar och Defender CSPM
den 27 november 2023
Genomsökning av agentlösa hemligheter förbättrar säkerhetsmolnbaserade virtuella datorer (VM) genom att identifiera klartexthemligheter på virtuella datordiskar. Genomsökning av agentlösa hemligheter ger omfattande information som hjälper dig att prioritera upptäckta resultat och minimera risker för lateral förflyttning innan de inträffar. Den här proaktiva metoden förhindrar obehörig åtkomst, vilket säkerställer att din molnmiljö förblir säker.
Vi presenterar allmän tillgänglighet (GA) för genomsökning av agentlösa hemligheter, som ingår i både Defender för servrar P2 och Defender CSPM-planer .
Genomsökning av agentlösa hemligheter använder moln-API:er för att samla in ögonblicksbilder av dina diskar och utföra out-of-band-analys som säkerställer att det inte påverkar den virtuella datorns prestanda. Genomsökning av agentlösa hemligheter breddar den täckning som erbjuds av Defender för molnet över molntillgångar i Azure-, AWS- och GCP-miljöer för att förbättra molnsäkerheten.
Med den här versionen stöder Defender för molnet identifieringsfunktioner nu andra databastyper, signerade URL:er för datalager, åtkomsttoken med mera.
Lär dig hur du hanterar hemligheter med agentlös genomsökning av hemligheter.
Aktivera behörighetshantering med Defender för molnet (förhandsversion)
den 22 november 2023
Microsoft erbjuder nu både molnbaserade programskyddsplattformar (CNAPP) och CIEM-lösningar (Cloud Infrastructure Entitlement Management) med Microsoft Defender för molnet (CNAPP) och Microsoft Entra-behörighetshantering (CIEM).
Säkerhetsadministratörer kan få en centraliserad vy över sina oanvända eller överdrivna åtkomstbehörigheter inom Defender för molnet.
Säkerhetsteam kan köra kontroller med minsta möjliga behörighet för molnresurser och få åtgärdsrekommendationer för att lösa behörighetsrisker i Azure-, AWS- och GCP-molnmiljöer som en del av deras CSPM (Defender Cloud Security Posture Management) utan några extra licenskrav.
Lär dig hur du aktiverar behörighetshantering i Microsoft Defender för molnet (förhandsversion).
Defender för molnet integrering med ServiceNow
den 22 november 2023
ServiceNow är nu integrerat med Microsoft Defender för molnet, vilket gör det möjligt för kunder att ansluta ServiceNow till sin Defender för molnet miljö för att prioritera reparation av rekommendationer som påverkar din verksamhet. Microsoft Defender för molnet integreras med ITSM-modulen (incidenthantering). Som en del av den här anslutningen kan kunder skapa/visa ServiceNow-biljetter (länkade till rekommendationer) från Microsoft Defender för molnet.
Du kan lära dig mer om Defender för molnet integrering med ServiceNow.
Allmän tillgänglighet för autoetableringsprocessen för SQL-servrar på datorplan
den 20 november 2023
Inför utfasningen av Microsoft Monitoring Agent (MMA) i augusti 2024 släppte Defender för molnet en automatisk avetableringsprocess för SQL Server-riktad Azure Monitoring Agent (AMA). Den nya processen aktiveras och konfigureras automatiskt för alla nya kunder och ger även möjlighet till aktivering på resursnivå för virtuella Azure SQL-datorer och Arc-aktiverade SQL-servrar.
Kunder som använder MMA-automatisk konfiguration uppmanas att migrera till den nya Azure Monitoring Agent för SQL-servern på datorernas automatiska etableringsprocess. Migreringsprocessen är sömlös och ger kontinuerligt skydd för alla datorer.
Allmän tillgänglighet för Defender för API:er
15 november 2023
Vi presenterar allmän tillgänglighet (GA) för Microsoft Defender för API:er. Defender för API:er är utformat för att skydda organisationer mot API-säkerhetshot.
Defender för API:er gör det möjligt för organisationer att skydda sina API:er och data från skadliga aktörer. Organisationer kan undersöka och förbättra sin API-säkerhetsstatus, prioritera sårbarhetskorrigeringar och snabbt identifiera och svara på aktiva realtidshot. Organisationer kan också integrera säkerhetsaviseringar direkt i sin SIEM-plattform (Security Incident and Event Management), till exempel Microsoft Sentinel, för att undersöka och sortera problem.
Du kan lära dig hur du skyddar dina API:er med Defender för API:er. Du kan också lära dig mer om Microsoft Defender för API:er.
You can also read this blog to learn more about the GA announcement.
Defender för molnet är nu integrerat med Microsoft 365 Defender (förhandsversion)
15 november 2023
Företag kan skydda sina molnresurser och enheter med den nya integreringen mellan Microsoft Defender för molnet och Microsoft Defender XDR. Den här integreringen ansluter punkterna mellan molnresurser, enheter och identiteter, vilket tidigare krävde flera upplevelser.
Integreringen ger också konkurrenskraftiga molnskyddsfunktioner i SOC (Security Operations Center) dagligen. Med Microsoft Defender XDR kan SOC-team enkelt identifiera attacker som kombinerar identifieringar från flera pelare, inklusive moln, slutpunkt, identitet, Office 365 med mera.
Några av de viktigaste fördelarna är:
Ett lättanvänt gränssnitt för SOC-team: Med Defender för molnet aviseringar och molnkorrelationer integrerade i M365D kan SOC-team nu komma åt all säkerhetsinformation från ett enda gränssnitt, vilket avsevärt förbättrar drifteffektiviteten.
En attackartikel: Kunderna kan förstå hela angreppshistorien, inklusive deras molnmiljö, med hjälp av fördefinierade korrelationer som kombinerar säkerhetsaviseringar från flera källor.
Nya molnentiteter i Microsoft Defender XDR: Microsoft Defender XDR stöder nu nya molnentiteter som är unika för Microsoft Defender för molnet, till exempel molnresurser. Kunder kan matcha virtuella datorentiteter (VM) med enhetsentiteter, vilket ger en enhetlig vy över all relevant information om en dator, inklusive aviseringar och incidenter som utlöstes på den.
Enhetligt API för Microsoft Security-produkter: Kunder kan nu exportera sina säkerhetsaviseringsdata till valfria system med hjälp av ett enda API, eftersom Microsoft Defender för molnet aviseringar och incidenter nu är en del av Microsoft Defender XDR:s offentliga API.
Integreringen mellan Defender för molnet och Microsoft Defender XDR är tillgänglig för alla nya och befintliga Defender för molnet kunder.
Allmän tillgänglighet för sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker (MDVM) i Defender för containrar och Defender för containerregister
15 november 2023
Sårbarhetsbedömning (VA) för Linux-containeravbildningar i Azure-containerregister som drivs av Microsoft Defender – hantering av säkerhetsrisker (MDVM) släpps för allmän tillgänglighet (GA) i Defender för containrar och Defender för containerregister.
Som en del av den här ändringen släpptes följande rekommendationer för ga och bytte namn och ingår nu i beräkningen av säker poäng:
| Aktuellt rekommendationsnamn | Nytt rekommendationsnamn | Description | Assessment key |
|---|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömningar av containeravbildningar söker igenom registret efter vanliga sårbarheter (CVE) och tillhandahåller en detaljerad sårbarhetsrapport för varje avbildning. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Om du kör containeravbildningar bör sårbarhetsresultaten lösas (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Container image scan powered by MDVM now also incur charges as per plan pricing.
Note
Bilder som skannas av både vårt VA-containererbjudande som drivs av Qualys och Container VA-erbjudandet som drivs av MDVM debiteras bara en gång.
Qualys-rekommendationerna nedan för sårbarhetsbedömning för containrar har bytt namn och fortsätter att vara tillgängliga för kunder som har aktiverat Defender för containrar i någon av sina prenumerationer före den 15 november. Nya kunder som registrerar Defender för containrar efter den 15 november ser bara de nya rekommendationerna för utvärdering av sårbarhetsrisker för containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker.
| Aktuellt rekommendationsnamn | Nytt rekommendationsnamn | Description | Assessment key |
|---|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Qualys) | Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Qualys) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Att köra containeravbildningar bör lösa sårbarhetsresultat (drivs av Qualys) | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta – (drivs av Qualys) | Sårbarhetsbedömning av containeravbildningar söker igenom containeravbildningar som körs i dina Kubernetes-kluster efter säkerhetsrisker och visar detaljerade resultat för varje bild. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | 41503391-efa5-47ee-9282-4eff6131462c |
Ändra till rekommendationsnamn för sårbarhetsbedömningar för container
Följande rekommendationer för sårbarhetsbedömningar för containrar har bytt namn:
| Aktuellt rekommendationsnamn | Nytt rekommendationsnamn | Description | Assessment key |
|---|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Qualys) | Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Qualys) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Att köra containeravbildningar bör lösa sårbarhetsresultat (drivs av Qualys) | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta – (drivs av Qualys) | Sårbarhetsbedömning av containeravbildningar söker igenom containeravbildningar som körs i dina Kubernetes-kluster efter säkerhetsrisker och visar detaljerade resultat för varje bild. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | 41503391-efa5-47ee-9282-4eff6131462c |
| Elastiska containerregisteravbildningar bör ha sårbarhetsresultat lösta | AWS-registercontaineravbildningar bör ha säkerhetsrisker lösta – (drivs av Trivy) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Riskprioritering är nu tillgänglig för rekommendationer
15 november 2023
Nu kan du prioritera dina säkerhetsrekommendationer efter den risknivå de utgör, med hänsyn till både exploaterbarheten och den potentiella affärseffekten för varje underliggande säkerhetsproblem.
Genom att organisera dina rekommendationer baserat på deras risknivå (kritisk, hög, medel, låg) kan du hantera de mest kritiska riskerna i din miljö och effektivt prioritera reparationen av säkerhetsproblem baserat på den faktiska risken, till exempel internetexponering, datakänslighet, möjligheter till lateral förflyttning och potentiella angreppsvägar som kan minimeras genom att lösa rekommendationerna.
Learn more about risk prioritization.
Analys av attackväg ny motor och omfattande förbättringar
15 november 2023
Vi släpper förbättringar av funktionerna för analys av attackvägar i Defender för molnet.
New engine - attack path analysis has a new engine, which uses path-finding algorithm to detect every possible attack path that exists in your cloud environment (based on the data we have in our graph). Vi kan hitta många fler attackvägar i din miljö och identifiera mer komplexa och avancerade attackmönster som angripare kan använda för att bryta mot din organisation.
Improvements - The following improvements are released:
- Risk prioritization - prioritized list of attack paths based on risk (exploitability & business affect).
- Enhanced remediation - pinpointing the specific recommendations that should be resolved to actually break the chain.
- Attackvägar mellan moln – identifiering av attackvägar som är korsmoln (sökvägar som startar i ett moln och slutar i ett annat).
- MITRE – Mapping all attack paths to the MITRE framework.
- Uppdaterad användarupplevelse – uppdaterad upplevelse med starkare funktioner: avancerade filter, sökning och gruppering av attackvägar för att möjliggöra enklare sortering.
Lär dig hur du identifierar och åtgärdar attackvägar.
Ändringar i attacksökvägens Azure Resource Graph-tabellschema
15 november 2023
Attacksökvägens Azure Resource Graph-tabellschema uppdateras. Egenskapen attackPathType tas bort och andra egenskaper läggs till.
Allmän tillgänglighetsversion av GCP-stöd i Defender CSPM
15 november 2023
Vi presenterar ga-versionen (allmän tillgänglighet) av Defender CSPM kontextuell molnsäkerhetsgraf och analys av attackvägar med stöd för GCP-resurser. Du kan använda kraften i Defender CSPM för omfattande synlighet och intelligent molnsäkerhet för GCP-resurser.
Viktiga funktioner i vårt GCP-stöd är:
- Analys av attackväg – Förstå de potentiella vägar som angripare kan ta.
- Cloud Security Explorer – Identifiera säkerhetsrisker proaktivt genom att köra grafbaserade frågor i säkerhetsdiagrammet.
- Agentless scanning - Scan servers and identify secrets and vulnerabilities without installing an agent.
- Datamedveten säkerhetsstatus – Identifiera och åtgärda risker för känsliga data i Google Cloud Storage-bucketar.
Läs mer om alternativ för Defender CSPM-abonnemang.
Note
Faktureringen för GA-versionen av GCP-supporten i Defender CSPM börjar den 1 februari 2024.
Allmän tillgänglighetsversion av instrumentpanelen för datasäkerhet
15 november 2023
Instrumentpanelen för datasäkerhet är nu tillgänglig i Allmän tillgänglighet (GA) som en del av Defender CSPM-planen.
Med instrumentpanelen för datasäkerhet kan du visa organisationens dataegendom, risker för känsliga data och insikter om dina dataresurser.
Läs mer om instrumentpanelen för datasäkerhet.
Allmän tillgänglighetsversion av identifiering av känsliga data för databaser
15 november 2023
Identifiering av känsliga data för hanterade databaser, inklusive Azure SQL-databaser och AWS RDS-instanser (alla RDBMS-smaker) är nu allmänt tillgänglig och möjliggör automatisk identifiering av kritiska databaser som innehåller känsliga data.
Om du vill aktivera den här funktionen i alla datalager som stöds i dina miljöer måste du aktivera Sensitive data discovery i Defender CSPM. Lär dig hur du aktiverar identifiering av känsliga data i Defender CSPM.
Du kan också lära dig hur identifiering av känsliga data används i datamedveten säkerhetsstatus.
Meddelande om offentlig förhandsversion: Ny utökad insyn i datasäkerhet i flera moln i Microsoft Defender för molnet.
Ny version av rekommendationen för att hitta saknade systemuppdateringar är nu GA
6 november 2023
En extra agent behövs inte längre på dina virtuella Azure-datorer och Azure Arc-datorer för att säkerställa att datorerna har alla de senaste säkerhetsuppdateringarna eller kritiska systemuppdateringarna.
The new system updates recommendation, System updates should be installed on your machines (powered by Azure Update Manager) in the Apply system updates control, is based on the Update Manager and is now fully GA. Rekommendationen förlitar sig på en intern agent som är inbäddad i varje virtuell Azure-dator och Azure Arc-datorer i stället för en installerad agent. Snabbkorrigeringen i den nya rekommendationen navigerar dig till en engångsinstallation av uppdateringarna som saknas i Update Manager-portalen.
De gamla och de nya versionerna av rekommendationerna för att hitta saknade systemuppdateringar kommer båda att vara tillgängliga fram till augusti 2024, vilket är när den äldre versionen är inaktuell. Båda rekommendationerna: System updates should be installed on your machines (powered by Azure Update Manager)och System updates should be installed on your machines är tillgängliga under samma kontroll: Apply system updates och har samma resultat. Det innebär att det inte finns någon duplicering i effekten på säkerhetspoängen.
Vi rekommenderar att du migrerar till den nya rekommendationen och tar bort den gamla genom att inaktivera den från Defender för molnet inbyggda initiativ i Azure-principen.
Rekommendationen [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) är också GA och är en förutsättning, vilket kommer att ha en negativ effekt på din säkerhetspoäng. Du kan åtgärda den negativa effekten med den tillgängliga korrigeringen.
Om du vill tillämpa den nya rekommendationen måste du:
- Anslut dina datorer som inte är Azure-datorer till Arc.
- Aktivera den periodiska utvärderingsegenskapen. Du kan använda snabbkorrigeringen i den nya rekommendationen
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)för att åtgärda rekommendationen.
Note
Om du aktiverar periodiska utvärderingar för Arc-aktiverade datorer som Defender for Servers Plan 2 inte är aktiverat på deras relaterade prenumeration eller anslutningsprogram, omfattas prissättningen för Azure Update Manager. Arc-aktiverade datorer som Defender for Servers Plan 2 är aktiverat på deras relaterade prenumerationer eller anslutningsappar, eller någon virtuell Azure-dator, är berättigade till den här funktionen utan extra kostnad.
October 2023
Ändra säkerhetsvarningens allvarlighetsgrad för anpassningsbara programkontroller
Meddelandedatum: 30 oktober 2023
Som en del av kvalitetsförbättringsprocessen för säkerhetsaviseringar i Defender för servrar, och som en del av funktionen för anpassningsbara programkontroller , ändras allvarlighetsgraden för följande säkerhetsvarning till "Informational":
| Avisering [aviseringstyp] | Alert Description |
|---|---|
| Principöverträdelse för anpassningsbar programkontroll granskades. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Nedanstående användare körde program som bryter mot organisationens programkontrollprincip på den här datorn. Det kan eventuellt utsätta datorn för skadlig kod eller programsårbarheter. |
To keep viewing this alert in the "Security alerts" page in the Microsoft Defender for Cloud portal, change the default view filter Severity to include informational alerts in the grid.
Azure API Management-offlinerevisioner har tagits bort från Defender för API:er
den 25 oktober 2023
Defender for API:er har uppdaterat sitt stöd för Api-revisioner för Azure API Management. Offlinerevisioner visas inte längre i inventeringen av registrerade Defender for API:er och verkar inte längre vara registrerade i Defender för API:er. Offlinerevisioner tillåter inte att någon trafik skickas till dem och utgör ingen risk ur ett säkerhetsperspektiv.
DevOps säkerhetsstatushanteringsrekommendationer som är tillgängliga i offentlig förhandsversion
den 19 oktober 2023
Nya rekommendationer för Hantering av DevOps-hållning är nu tillgängliga i offentlig förhandsversion för alla kunder med en anslutningsapp för Azure DevOps eller GitHub. DevOps-hållningshantering hjälper till att minska attackytan i DevOps-miljöer genom att upptäcka svagheter i säkerhetskonfigurationer och åtkomstkontroller. Läs mer om Hantering av DevOps-hållning.
Släppa CIS Azure Foundations Benchmark v2.0.0 på instrumentpanelen för regelefterlevnad
den 18 oktober 2023
Microsoft Defender för molnet stöder nu den senaste CIS Azure Security Foundations Benchmark – version 2.0.0 på instrumentpanelen för regelefterlevnad och ett inbyggt principinitiativ i Azure Policy. Versionen av version 2.0.0 i Microsoft Defender för molnet är ett gemensamt samarbete mellan Microsoft, Center for Internet Security (CIS) och användargrupperna. Version 2.0.0 utökar utvärderingsomfånget avsevärt, vilket nu innehåller över 90 inbyggda Azure-principer och lyckas med de tidigare versionerna 1.4.0 och 1.3.0 och 1.0 i Microsoft Defender för molnet och Azure Policy. For more information, you can check out this blog post.
September 2023
Ändra till Log Analytics dagliga tak
Azure Monitor erbjuder möjligheten att ange ett dagligt tak för de data som matas in på dina Log Analytics-arbetsytor. Defender for Cloud-säkerhetshändelser stöds för närvarande inte i dessa undantag.
Log Analytics Daily Cap utesluter inte längre följande uppsättning datatyper:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
Alla fakturerbara datatyper begränsas om det dagliga taket uppfylls. Den här ändringen förbättrar din möjlighet att helt innehålla kostnader från datainmatning som är högre än förväntat.
Läs mer om arbetsytor med Microsoft Defender för molnet.
Instrumentpanel för datasäkerhet som är tillgänglig i offentlig förhandsversion
den 27 september 2023
Instrumentpanelen för datasäkerhet är nu tillgänglig i offentlig förhandsversion som en del av Defender CSPM-planen. Instrumentpanelen för datasäkerhet är en interaktiv, datacentrerad instrumentpanel som belyser betydande risker för känsliga data, prioriterar aviseringar och potentiella attackvägar för data i hybridmolnarbetsbelastningar. Läs mer om instrumentpanelen för datasäkerhet.
Förhandsversion: Ny automatisk etableringsprocess för SQL Server på datorplan
21 september 2023
Microsoft Monitoring Agent (MMA) är inaktuell i augusti 2024. Defender för molnet uppdaterat sin strategi genom att ersätta MMA med lanseringen av en SQL Server-riktad automatisk konfigurationsprocess för Azure Monitoring Agent.
Under förhandsversionen uppmanas kunder som använder alternativet MMA-automatisk avetablering med Azure Monitor Agent (förhandsversion) att migrera till den nya automatiska konfigurationsprocessen för Azure Monitoring Agent för SQL Server på datorer (förhandsversion). Migreringsprocessen är sömlös och ger kontinuerligt skydd för alla datorer.
Mer information finns i Migrera till sql-serverriktad azure monitoring agent autoprovisioning process.
GitHub Advanced Security för Azure DevOps-aviseringar i Defender för molnet
den 20 september 2023
Nu kan du visa GitHub Advanced Security for Azure DevOps-aviseringar (GHAzDO) relaterade till CodeQL, hemligheter och beroenden i Defender för molnet. Resultaten visas på sidan DevOps och i Rekommendationer. Om du vill se dessa resultat registrerar du dina GHAzDO-aktiverade lagringsplatser till Defender för molnet.
Läs mer om GitHub Advanced Security för Azure DevOps.
Undantagna funktioner är nu tillgängliga för rekommendationer för Defender för API:er
den 11 september 2023
Du kan nu undanta rekommendationer för följande säkerhetsrekommendationer för Defender för API:er.
| Recommendation | Beskrivning och relaterad princip | Severity |
|---|---|---|
| (Förhandsversion) API-slutpunkter som inte används ska inaktiveras och tas bort från Azure API Management-tjänsten | Som bästa säkerhet anses API-slutpunkter som inte har tagit emot trafik på 30 dagar vara oanvända och bör tas bort från Azure API Management-tjänsten. Att behålla oanvända API-slutpunkter kan utgöra en säkerhetsrisk. Det kan vara API:er som borde ha blivit inaktuella från Azure API Management-tjänsten, men som av misstag har lämnats aktiva. Sådana API:er får vanligtvis inte den senaste säkerhetstäckningen. | Low |
| (Förhandsversion) API-slutpunkter i Azure API Management ska autentiseras | API-slutpunkter som publiceras i Azure API Management bör framtvinga autentisering för att minimera säkerhetsrisken. Autentiseringsmekanismer implementeras ibland felaktigt eller saknas. Detta gör att angripare kan utnyttja implementeringsfel och komma åt data. För API:er som publicerats i Azure API Management utvärderar den här rekommendationen körningen av autentisering via prenumerationsnycklar, JWT och klientcertifikat som konfigurerats i Azure API Management. Om ingen av dessa autentiseringsmekanismer körs under API-anropet får API:et den här rekommendationen. | High |
Läs mer om att undanta rekommendationer i Defender för molnet.
Skapa exempelaviseringar för Identifieringar av Defender för API:er
den 11 september 2023
Nu kan du generera exempelaviseringar för de säkerhetsidentifieringar som släpptes som en del av den offentliga förhandsversionen av Defender för API:er. Läs mer om att generera exempelaviseringar i Defender för molnet.
Förhandsversion: Sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker har nu stöd för genomsökning vid hämtning
den 6 september 2023
Sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker har nu stöd för ytterligare en utlösare för genomsökning av bilder som hämtats från en ACR. Den här nyligen tillagda utlösaren ger ytterligare täckning för aktiva bilder utöver befintliga utlösare som genomsöker bilder som push-överförts till en ACR under de senaste 90 dagarna och bilder som för närvarande körs i AKS.
Den nya utlösaren börjar lanseras idag och förväntas vara tillgänglig för alla kunder i slutet av september.
Namnformatet för CIS-standarder (Center for Internet Security) har uppdaterats i regelefterlevnad
den 6 september 2023
Namngivningsformatet för CIS -grunderna (Center for Internet Security) i instrumentpanelen för efterlevnad ändras från [Cloud] CIS [version number] till CIS [Cloud] Foundations v[version number]. Se följandet tabell:
| Current Name | New Name |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Lär dig hur du förbättrar din regelefterlevnad.
Identifiering av känsliga data för PaaS-databaser (förhandsversion)
5 september 2023
Datamedvetna säkerhetsstatusfunktioner för friktionsfri identifiering av känsliga data för PaaS-databaser (Azure SQL Databases och Amazon RDS-instanser av alla typer) finns nu i offentlig förhandsversion. Med den här offentliga förhandsversionen kan du skapa en karta över dina kritiska data var de än finns och vilken typ av data som finns i dessa databaser.
Känslig dataidentifiering för Azure- och AWS-databaser lägger till den delade taxonomi och konfiguration som redan är offentligt tillgänglig för lagringsresurser för molnobjekt (Azure Blob Storage, AWS S3-bucketar och GCP-lagringshink) och ger en enda konfigurations- och aktiveringsupplevelse.
Databaser genomsöks varje vecka. Om du aktiverar sensitive data discoverykörs identifieringen inom 24 timmar. Resultaten kan visas i Cloud Security Explorer eller genom att granska de nya attacksökvägarna för hanterade databaser med känsliga data.
Datamedveten säkerhetsstatus för databaser är tillgänglig via Defender CSPM-planen och aktiveras automatiskt i prenumerationer där sensitive data discovery alternativet är aktiverat.
Du kan lära dig mer om datamedveten säkerhetsstatus i följande artiklar:
- Stöd och förutsättningar för datamedveten säkerhetsstatus
- Aktivera datamedveten säkerhetsstatus
- Utforska risker för känsliga data
Allmän tillgänglighet (GA): skanning av skadlig kod i Defender for Storage
1 september 2023
Genomsökning av skadlig kod är nu allmänt tillgänglig (GA) som ett tillägg till Defender for Storage. Genomsökning av skadlig kod i Defender for Storage hjälper till att skydda dina lagringskonton från skadligt innehåll genom att utföra en fullständig genomsökning av skadlig kod på uppladdat innehåll nästan i realtid med hjälp av Microsoft Defender Antivirus-funktioner. Den är utformad för att uppfylla säkerhets- och efterlevnadskraven för hantering av obetrott innehåll. Funktionen för skanning av skadlig kod är en agentlös SaaS-lösning som möjliggör installation i stor skala och stöder automatiserade svar i stor skala.
Läs mer om genomsökning av skadlig kod i Defender for Storage.
Genomsökning av skadlig kod prissätts enligt din dataanvändning och budget. Faktureringen börjar den 3 september 2023. Visit the pricing page for more information.
Om du använder den tidigare planen måste du proaktivt migrera till den nya planen för att aktivera skanning av skadlig kod.
Läs blogginlägget Microsoft Defender för molnet meddelande.
August 2023
Uppdateringar i augusti inkluderar:
Defender för containrar: Agentlös identifiering för Kubernetes
30 augusti 2023
Vi är glada över att kunna presentera defender för containrar: Agentlös identifiering för Kubernetes. Den här versionen är ett viktigt steg framåt i containersäkerheten, vilket ger dig avancerade insikter och omfattande inventeringsfunktioner för Kubernetes-miljöer. Det nya containererbjudandet drivs av Defender för molnet sammanhangsberoende säkerhetsdiagram. Det här kan du förvänta dig av den senaste uppdateringen:
- Agentlös Kubernetes-identifiering
- Omfattande inventeringsfunktioner
- Kubernetes-specifika säkerhetsinsikter
- Förbättrad riskjakt med Cloud Security Explorer
Agentlös identifiering för Kubernetes är nu tillgänglig för alla Defender For Containers-kunder. Du kan börja använda dessa avancerade funktioner idag. Vi rekommenderar att du uppdaterar dina prenumerationer så att alla tillägg är aktiverade och drar nytta av de senaste tilläggen och funktionerna. Gå till fönstret Miljö och inställningar i din Defender for Containers-prenumeration för att aktivera tillägget.
Note
Aktivering av de senaste tilläggen medför inte nya kostnader för aktiva Defender for Containers-kunder.
Mer information finns i Översikt över containersäkerhet Microsoft Defender för containrar.
Rekommendationsversion: Microsoft Defender för Lagring bör aktiveras med genomsökning av skadlig kod och identifiering av känsligt datahot
22 augusti 2023
En ny rekommendation i Defender for Storage har släppts. Den här rekommendationen säkerställer att Defender for Storage är aktiverat på prenumerationsnivå med genomsökning av skadlig kod och funktioner för identifiering av känsliga datahot.
| Recommendation | Description |
|---|---|
| Microsoft Defender för Storage bör aktiveras med genomsökning av skadlig kod och identifiering av känsligt datahot | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och identifiering av känsliga datahot. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. Med en enkel agentlös konfiguration i stor skala, när den är aktiverad på prenumerationsnivå, skyddas alla befintliga och nyligen skapade lagringskonton under den prenumerationen automatiskt. Du kan också exkludera specifika lagringskonton från skyddade prenumerationer. |
Den nya rekommendationen ersätter den aktuella rekommendationen Microsoft Defender for Storage should be enabled (utvärderingsnyckel 1be22853-8ed1-4005-9907-ddad64cb1417). Den här rekommendationen är dock fortfarande tillgänglig i Azure Government-moln.
Läs mer om Microsoft Defender för Storage.
Utökade egenskaper i Defender för molnet säkerhetsaviseringar maskeras från aktivitetsloggar
den 17 augusti 2023
Vi har nyligen ändrat hur säkerhetsaviseringar och aktivitetsloggar är integrerade. För att bättre skydda känslig kundinformation tar vi inte längre med den här informationen i aktivitetsloggarna. I stället maskerar vi den med asterisker. Den här informationen är dock fortfarande tillgänglig via aviserings-API:et, kontinuerlig export och Defender för molnet-portalen.
Kunder som förlitar sig på aktivitetsloggar för att exportera aviseringar till sina SIEM-lösningar bör överväga att använda en annan lösning, eftersom det inte är den rekommenderade metoden för att exportera Defender för molnet säkerhetsaviseringar.
Anvisningar om hur du exporterar Defender för molnet säkerhetsaviseringar till SIEM, SOAR och andra program från tredje part finns i Stream-aviseringar till en SIEM-, SOAR- eller IT-tjänsthanteringslösning.
Förhandsversion av GCP-stöd i Defender CSPM
den 15 augusti 2023
Vi presenterar förhandsversionen av Defender CSPM kontextuell molnsäkerhetsdiagram och analys av attackvägar med stöd för GCP-resurser. Du kan använda kraften i Defender CSPM för omfattande synlighet och intelligent molnsäkerhet för GCP-resurser.
Viktiga funktioner i vårt GCP-stöd är:
- Analys av attackväg – Förstå de potentiella vägar som angripare kan ta.
- Cloud Security Explorer – Identifiera säkerhetsrisker proaktivt genom att köra grafbaserade frågor i säkerhetsdiagrammet.
- Agentless scanning - Scan servers and identify secrets and vulnerabilities without installing an agent.
- Datamedveten säkerhetsstatus – Identifiera och åtgärda risker för känsliga data i Google Cloud Storage-bucketar.
Läs mer om alternativ för Defender CSPM-abonnemang.
Nya säkerhetsaviseringar i Defender för servrar, plan 2: Identifiera potentiella attacker som missbrukar tillägg för virtuella Azure-datorer
7 aug. 2023
Den här nya serien av aviseringar fokuserar på att identifiera misstänkta aktiviteter i tillägg för virtuella Azure-datorer och ger insikter om angripares försök att kompromettera och utföra skadliga aktiviteter på dina virtuella datorer.
Microsoft Defender för servrar kan nu identifiera misstänkt aktivitet i tilläggen för virtuella datorer, så att du kan få bättre täckning av arbetsbelastningssäkerheten.
Tillägg för virtuella Azure-datorer är små program som körs efter distributionen på virtuella datorer och som tillhandahåller funktioner som konfiguration, automatisering, övervakning, säkerhet med mera. Tillägg är ett kraftfullt verktyg, men de kan användas av hotaktörer för olika skadliga avsikter, till exempel:
- För datainsamling och övervakning.
- För kodkörning och konfigurationsdistribution med hög behörighet.
- För att återställa autentiseringsuppgifter och skapa administrativa användare.
- För kryptering av diskar.
Här är en tabell med de nya aviseringarna.
| Avisering (aviseringstyp) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Misstänkt fel vid installation av GPU-tillägget i din prenumeration (förhandsversion) (VM_GPUExtensionSuspiciousFailure) |
Misstänkt avsikt att installera ett GPU-tillägg på virtuella datorer som inte stöds. Det här tillägget bör installeras på virtuella datorer som är utrustade med en grafisk processor, och i det här fallet är de virtuella datorerna inte utrustade med sådana. Dessa fel kan ses när skadliga angripare kör flera installationer av ett sådant tillägg i kryptoutvinningssyfte. | Impact | Medium |
|
Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn (förhandsversion) (VM_GPUDriverExtensionUnusualExecution) Den här varningen släpptes i juli 2023. |
Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning. Den här aktiviteten anses misstänkt eftersom huvudmannens beteende avviker från de vanliga mönstren. | Impact | Low |
|
Kör kommandot med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion) (VM_RunCommandSuspiciousScript) |
Ett Körningskommando med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda Kör kommando för att köra skadlig kod med hög behörighet på den virtuella datorn via Azure Resource Manager. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga. | Execution | High |
|
Misstänkt obehörig körningskommandoanvändning upptäcktes på den virtuella datorn (förhandsversion) (VM_RunCommandSuspiciousFailure) |
Misstänkt obehörig användning av Körningskommandot misslyckades och upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan försöka använda Kör kommando för att köra skadlig kod med hög behörighet på dina virtuella datorer via Azure Resource Manager. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare. | Execution | Medium |
|
Misstänkt körningskommandoanvändning identifierades på den virtuella datorn (förhandsversion) (VM_RunCommandSuspiciousUsage) |
Misstänkt användning av Kör kommando upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda Kör kommando för att köra skadlig kod med hög behörighet på dina virtuella datorer via Azure Resource Manager. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare. | Execution | Low |
|
Misstänkt användning av flera övervaknings- eller datainsamlingstillägg upptäcktes på dina virtuella datorer (förhandsversion) (VM_SuspiciousMultiExtensionUsage) |
Misstänkt användning av flera övervaknings- eller datainsamlingstillägg upptäcktes på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan missbruka sådana tillägg för datainsamling, övervakning av nätverkstrafik med mera i din prenumeration. Den här användningen anses misstänkt eftersom den inte har setts tidigare. | Reconnaissance | Medium |
|
Misstänkt installation av diskkrypteringstillägg upptäcktes på dina virtuella datorer (förhandsversion) (VM_DiskEncryptionSuspiciousUsage) |
Misstänkt installation av diskkrypteringstillägg upptäcktes på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan missbruka diskkrypteringstillägget för att distribuera fullständiga diskkrypteringar på dina virtuella datorer via Azure Resource Manager i ett försök att utföra utpressningstrojanaktivitet. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare och på grund av det stora antalet tilläggsinstallationer. | Impact | Medium |
|
Misstänkt användning av tillägget för VM-åtkomst identifierades på dina virtuella datorer (förhandsversion) (VM_VMAccessSuspiciousUsage) |
Misstänkt användning av TILLÄGGET FÖR VM-åtkomst identifierades på dina virtuella datorer. Angripare kan missbruka tillägget för vm-åtkomst för att få åtkomst till och kompromettera dina virtuella datorer med hög behörighet genom att återställa åtkomsten eller hantera administrativa användare. Den här aktiviteten anses misstänkt eftersom huvudkontots beteende avviker från de vanliga mönstren och på grund av det stora antalet tilläggsinstallationer. | Persistence | Medium |
|
DSC-tillägget (Desired State Configuration) med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion) (VM_DSCExtensionSuspiciousScript) |
DSC-tillägget (Desired State Configuration) med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda DSC-tillägget (Desired State Configuration) för att distribuera skadliga konfigurationer, till exempel beständighetsmekanismer, skadliga skript med mera, med hög behörighet, på dina virtuella datorer. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga. | Execution | High |
|
Misstänkt användning av ett DSC-tillägg (Desired State Configuration) identifierades på dina virtuella datorer (förhandsversion) (VM_DSCExtensionSuspiciousUsage) |
Misstänkt användning av ett DSC-tillägg (Desired State Configuration) identifierades på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda DSC-tillägget (Desired State Configuration) för att distribuera skadliga konfigurationer, till exempel beständighetsmekanismer, skadliga skript med mera, med hög behörighet, på dina virtuella datorer. Den här aktiviteten anses misstänkt eftersom huvudkontots beteende avviker från de vanliga mönstren och på grund av det stora antalet tilläggsinstallationer. | Impact | Low |
|
Anpassat skripttillägg med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion) (VM_CustomScriptExtensionSuspiciousCmd) (Den här aviseringen finns redan och har förbättrats med mer förbättrade logik- och identifieringsmetoder.) |
Det anpassade skripttillägget med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda tillägget Anpassat skript för att köra skadlig kod med hög behörighet på den virtuella datorn via Azure Resource Manager. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga. | Execution | High |
Se tilläggsbaserade aviseringar i Defender för servrar.
En fullständig lista över aviseringar finns i referenstabellen för alla säkerhetsaviseringar i Microsoft Defender för molnet.
Affärsmodell och prisuppdateringar för Defender för molnet planer
1 augusti 2023
Microsoft Defender för molnet har tre planer som erbjuder skydd på tjänstnivå:
Defender för Key Vault
Defender för Resource Manager
Defender för DNS
Dessa planer har övergått till en ny affärsmodell med olika priser och paketering för att hantera kundfeedback om utgiftsförutsägbarhet och förenkla den övergripande kostnadsstrukturen.
Sammanfattning av affärsmodeller och prisändringar:
Befintliga kunder i Defender för Key-Vault, Defender för Resource Manager och Defender för DNS behåller sin aktuella affärsmodell och prissättning om de inte aktivt väljer att byta till den nya affärsmodellen och priset.
- Defender för Resource Manager: Den här planen har ett fast pris per prenumeration per månad. Kunder kan växla till den nya affärsmodellen genom att välja den nya modellen Defender för Resource Manager per prenumeration.
Befintliga kunder i Defender för Key-Vault, Defender för Resource Manager och Defender för DNS behåller sin aktuella affärsmodell och prissättning om de inte aktivt väljer att byta till den nya affärsmodellen och priset.
- Defender för Resource Manager: Den här planen har ett fast pris per prenumeration per månad. Kunder kan växla till den nya affärsmodellen genom att välja den nya modellen Defender för Resource Manager per prenumeration.
- Defender för Key Vault: Den här planen har ett fast pris per valv, per månad utan överförbrukningsavgift. Kunder kan växla till den nya affärsmodellen genom att välja den nya modellen Defender för Key Vault per valv
- Defender för DNS: Defender för servrar Plan 2-kunder får åtkomst till Defender för DNS-värde som en del av Defender for Servers Plan 2 utan extra kostnad. Kunder som har både Defender för Server Plan 2 och Defender för DNS debiteras inte längre för Defender för DNS. Defender för DNS är inte längre tillgängligt som en fristående plan.
Läs mer om prissättningen för dessa planer på sidan Defender för molnet prissättning.
July 2023
Uppdateringar i juli inkluderar:
Förhandsversion av sårbarhetsbedömning av containrar med Microsoft Defender – hantering av säkerhetsrisker
31 juli 2023
Vi presenterar lanseringen av Sårbarhetsbedömning (VA) för Linux-containeravbildningar i Azure-containerregister som drivs av Microsoft Defender – hantering av säkerhetsrisker i Defender för containrar och Defender för containerregister. Det nya va-erbjudandet för containrar kommer att tillhandahållas tillsammans med vårt befintliga Container VA-erbjudande som drivs av Qualys i både Defender for Containers och Defender for Container Registries, och inkluderar dagliga genomsökningar av containeravbildningar, sårbarhetsinformation, stöd för OPERATIVSYSTEM och programmeringsspråk (SCA) med mera.
Det här nya erbjudandet börjar lanseras idag och förväntas vara tillgängligt för alla kunder senast den 7 augusti.
Läs mer om sårbarhetsbedömning av containrar med Microsoft Defender – hantering av säkerhetsrisker.
Agentlös containerstatus i Defender CSPM är nu allmänt tillgänglig
den 30 juli 2023
Agentlösa funktioner för containerstatus är nu allmänt tillgängliga (GA) som en del av Defender CSPM-planen (Cloud Security Posture Management).
Läs mer om agentlös containerstatus i Defender CSPM.
Hantering av automatiska uppdateringar av Defender för Endpoint för Linux
den 20 juli 2023
Som standard försöker Defender för molnet uppdatera dina Defender för Endpoint för Linux-agenter som registrerats med MDE.Linux tillägget. Med den här versionen kan du hantera den här inställningen och välja bort standardkonfigurationen för att hantera dina uppdateringscykler manuellt.
Genomsökning av agentlösa hemligheter efter virtuella datorer i Defender för servrar P2 och Defender CSPM
18 juli 2023
Hemlighetsgenomsökning är nu tillgänglig som en del av den agentlösa genomsökningen i Defender for Servers P2 och Defender CSPM. Den här funktionen hjälper till att identifiera ohanterade och osäkra hemligheter som sparats på virtuella datorer i Azure eller AWS-resurser som kan användas för att flytta i sidled i nätverket. Om hemligheter identifieras kan Defender för molnet hjälpa till att prioritera och vidta åtgärdsbara åtgärder för att minimera risken för lateral förflyttning, allt utan att påverka datorns prestanda.
Mer information om hur du skyddar dina hemligheter med genomsökning av hemligheter finns i Hantera hemligheter med agentlös genomsökning av hemligheter.
Ny säkerhetsvarning i Defender för servrar plan 2: Identifiera potentiella attacker som utnyttjar Azure VM GPU-drivrutinstillägg
12 juli 2023
Den här aviseringen fokuserar på att identifiera misstänkta aktiviteter som utnyttjar GPU-drivrutinstillägg för virtuella Azure-datorer och ger insikter om angripares försök att kompromettera dina virtuella datorer. Aviseringen riktar sig mot misstänkta distributioner av GPU-drivrutinstillägg. sådana tillägg missbrukas ofta av hotaktörer för att utnyttja GPU-kortets fulla kraft och utföra kryptojackning.
| Visningsnamn för avisering (Alert Type) |
Description | Severity | MITRE Tactic |
|---|---|---|---|
| Misstänkt installation av GPU-tillägget på den virtuella datorn (förhandsversion) (VM_GPUDriverExtensionUnusualExecution) |
Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning. | Low | Impact |
En fullständig lista över aviseringar finns i referenstabellen för alla säkerhetsaviseringar i Microsoft Defender för molnet.
Stöd för att inaktivera specifika sårbarhetsresultat
den 9 juli 2023
Frisläppt stöd för att inaktivera sårbarhetsresultat för dina containerregisteravbildningar eller köra avbildningar som en del av agentlös containerstatus. Om du har en organisation som behöver ignorera en sårbarhetssökning på containerregisteravbildningen, i stället för att åtgärda den, kan du inaktivera den. Inaktiverade resultat påverkar inte din säkerhetspoäng eller genererar oönskat brus.
Lär dig hur du inaktiverar sårbarhetsbedömningsresultat på containerregisteravbildningar.
Datamedveten säkerhetsstatus är nu allmänt tillgänglig
1 juli 2023
Datamedveten säkerhetsstatus i Microsoft Defender för molnet är nu allmänt tillgänglig. Det hjälper kunderna att minska datarisken och reagera på dataintrång. Med en datamedveten säkerhetsstatus kan du göra följande:
- Identifiera känsliga dataresurser automatiskt i Azure och AWS.
- Utvärdera datakänslighet, dataexponering och hur data flödar i organisationen.
- Proaktivt och kontinuerligt upptäcka risker som kan leda till dataintrång.
- Identifiera misstänkta aktiviteter som kan tyda på pågående hot mot känsliga dataresurser
Mer information finns i Datamedveten säkerhetsstatus i Microsoft Defender för molnet.
June 2023
Uppdateringar i juni inkluderar:
Effektiviserad registrering av flera molnkonton med förbättrade inställningar
26 juni 2023
Defender för molnet har förbättrat registreringsupplevelsen så att det innehåller ett nytt effektiviserat användargränssnitt och instruktioner utöver nya funktioner som gör att du kan registrera dina AWS- och GCP-miljöer samtidigt som du ger åtkomst till avancerade registreringsfunktioner.
För organisationer som har antagit Hashicorp Terraform för automatisering inkluderar Defender för molnet nu möjligheten att använda Terraform som distributionsmetod tillsammans med AWS CloudFormation eller GCP Cloud Shell. Du kan nu anpassa de nödvändiga rollnamnen när du skapar integreringen. Du kan också välja mellan:
Default access - Allows Defender for Cloud to scan your resources and automatically include future capabilities.
Minst privilegierad åtkomst – Beviljar endast Defender för molnet åtkomst till de aktuella behörigheter som krävs för de valda planerna.
Om du väljer de minst privilegierade behörigheterna får du bara meddelanden om nya roller och behörigheter som krävs för att få fullständig funktionalitet för anslutningstjänstens hälsa.
Defender för molnet gör att du kan skilja mellan dina molnkonton med deras interna namn från molnleverantörerna. Till exempel AWS-kontoalias och GCP-projektnamn.
Stöd för privat slutpunkt för skanning av skadlig kod i Defender for Storage
Den 25 juni 2023
Stöd för privat slutpunkt är nu tillgängligt som en del av den offentliga förhandsversionen av skadlig kod i Defender for Storage. Med den här funktionen kan du aktivera skanning av skadlig kod på lagringskonton som använder privata slutpunkter. Ingen annan konfiguration krävs.
Genomsökning av skadlig kod (förhandsversion) i Defender for Storage skyddar dina lagringskonton från skadligt innehåll genom att utföra en fullständig genomsökning av skadlig kod på uppladdat innehåll nästan i realtid med hjälp av Microsoft Defender Antivirus-funktioner. Den är utformad för att uppfylla säkerhets- och efterlevnadskraven för hantering av obetrott innehåll. Det är en agentlös SaaS-lösning som möjliggör enkel installation i stor skala, utan underhåll, och som stöder automatiserade svar i stor skala.
Privata slutpunkter ger säker anslutning till dina Azure Storage-tjänster, vilket effektivt eliminerar offentlig Internetexponering och anses vara en metod för säkerhet.
För lagringskonton med privata slutpunkter som redan har aktiverat genomsökning av skadlig kod måste du inaktivera och aktivera planen med skanning av skadlig kod för att det ska fungera.
Learn more about using private endpoints in Defender for Storage and how to secure your storage services further.
Rekommendation som släppts för förhandsversion: Om du kör containeravbildningar bör sårbarhetsresultaten lösas (drivs av Microsoft Defender – hantering av säkerhetsrisker)
Den 21 juni 2023
En ny containerrekommendering i Defender CSPM som drivs av Microsoft Defender – hantering av säkerhetsrisker släpps för förhandsversion:
| Recommendation | Description | Assessment Key |
|---|---|---|
| Om du kör containeravbildningar bör sårbarhetsresultaten lösas (drivs av Microsoft Defender – hantering av säkerhetsrisker)(förhandsversion) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Den här nya rekommendationen ersätter den aktuella rekommendationen med samma namn, som drivs av Qualys, endast i Defender CSPM (ersätter utvärderingsnyckeln 41503391-efa5-47ee-9282-4eff6131462c).
Kontrolluppdateringar gjordes till NIST 800-53-standarder i regelefterlevnad
Den 15 juni 2023
NIST 800-53-standarderna (både R4 och R5) har nyligen uppdaterats med kontrolländringar i Microsoft Defender för molnet regelefterlevnad. The Microsoft-managed controls have been removed from the standard, and the information on the Microsoft responsibility implementation (as part of the cloud shared responsibility model) is now available only in the control details pane under Microsoft Actions.
Dessa kontroller beräknades tidigare som godkända kontroller, så du kan se en betydande minskning av din efterlevnadspoäng för NIST-standarder mellan april 2023 och maj 2023.
Mer information om efterlevnadskontroller finns i Självstudie: Regelefterlevnadskontroller – Microsoft Defender för molnet.
Planering av molnmigrering med ett Azure Migrate-affärsfall omfattar nu Defender för molnet
Den 11 juni 2023
Nu kan du identifiera potentiella kostnadsbesparingar i säkerhet genom att tillämpa Defender för molnet inom ramen för ett Azure Migrate-affärsfall.
Expresskonfiguration för sårbarhetsbedömningar i Defender för SQL är nu allmänt tillgänglig
Den 7 juni 2023
Expresskonfiguration för sårbarhetsbedömningar i Defender för SQL är nu allmänt tillgänglig. Expresskonfiguration ger en smidig introduktionsupplevelse för SQL-sårbarhetsbedömningar med hjälp av en konfiguration med ett klick (eller ett API-anrop). Det finns inga extra inställningar eller beroenden för hanterade lagringskonton som behövs.
Check out this blog to learn more about express configuration.
Du kan lära dig skillnaderna mellan expresskonfiguration och klassisk konfiguration.
Fler omfång har lagts till i befintliga Azure DevOps-anslutningsappar
Den 6 juni 2023
Defender för DevOps lade till följande extra omfång i Azure DevOps-programmet (ADO):
Avancerad säkerhetshantering:
vso.advsec_manage. Vilket krävs för att du ska kunna aktivera, inaktivera och hantera GitHub Advanced Security för ADO.Container Mapping:
vso.extension_manage,vso.gallery_manager; Which is needed in order to allow you to share the decorator extension with the ADO organization.
Endast nya Defender för DevOps-kunder som försöker registrera ADO-resurser för att Microsoft Defender för molnet påverkas av den här ändringen.
Registrering direkt (utan Azure Arc) till Defender för servrar är nu allmänt tillgänglig
Den 5 juni 2023
Tidigare var Azure Arc skyldigt att registrera icke-Azure-servrar till Defender för servrar. Men med den senaste versionen kan du också registrera dina lokala servrar till Defender för servrar med endast Microsoft Defender för Endpoint agenten.
Den här nya metoden förenklar registreringsprocessen för kunder som fokuserar på kärnslutpunktsskydd och gör att du kan dra nytta av Defender for Servers förbrukningsbaserade fakturering för både moln- och icke-molntillgångar. Direktregistreringsalternativet via Defender för Endpoint är nu tillgängligt, med fakturering för registrerade datorer från och med den 1 juli.
Mer information finns i Ansluta dina datorer som inte är Azure till Microsoft Defender för molnet med Defender för Endpoint.
Ersätta agentbaserad identifiering med agentlös identifiering för containrar i Defender CSPM
Den 4 juni 2023
Med funktioner för agentlös containerstatus som är tillgängliga i Defender CSPM dras nu de agentbaserade identifieringsfunktionerna tillbaka. If you currently use container capabilities within Defender CSPM, please make sure that the relevant extensions are enabled to continue receiving container-related value of the new agentless capabilities such as container-related attack paths, insights, and inventory. (Det kan ta upp till 24 timmar att se effekterna av att aktivera tilläggen).
Läs mer om agentlös containerstatus.
May 2023
Uppdateringar i maj inkluderar:
- En ny avisering i Defender för Key Vault.
- Stöd för agentlös genomsökning av krypterade diskar i AWS.
- Ändringar i JIT-namngivningskonventioner (just-in-time) i Defender för molnet.
- Registrering av valda AWS-regioner.
- Ändringar i identitetsrekommendationer.
- Utfasning av äldre standarder på instrumentpanelen för efterlevnad.
- Uppdatering av två Defender for DevOps-rekommendationer för att inkludera Azure DevOps-genomsökningsresultat
- Ny standardinställning för sårbarhetsbedömningslösningen för Defender för servrar.
- Möjlighet att ladda ned en CSV-rapport för dina frågeresultat för Cloud Security Explorer (förhandsversion).
- Lanseringen av sårbarhetsbedömning av containrar med Microsoft Defender – hantering av säkerhetsrisker.
- Namnbyte av containerrekommendationer som drivs av Qualys.
- En uppdatering av Defender för DevOps GitHub-programmet.
- Ändra till Anteckningar om pull-begäranden i Defender för DevOps i Azure DevOps-lagringsplatser som nu innehåller felkonfigurationer av infrastruktur som kod.
Ny avisering i Defender för Key Vault
| Avisering (aviseringstyp) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Ovanlig åtkomst till nyckelvalvet från en misstänkt IP-adress (icke-Microsoft eller extern) (KV_UnusualAccessSuspiciousIP) |
En användare eller tjänstens huvudnamn har försökt få avvikande åtkomst till nyckelvalv från en IP-adress som inte kommer från Microsoft under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Det kan vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar. | Credential Access | Medium |
Alla tillgängliga aviseringar finns i Aviseringar för Azure Key Vault.
Agentlös genomsökning stöder nu krypterade diskar i AWS
Agentlös genomsökning efter virtuella datorer stöder nu bearbetning av instanser med krypterade diskar i AWS, med både CMK och PMK.
Det här utökade stödet ökar täckningen och synligheten för din molnegendom utan att påverka dina arbetsbelastningar som körs. Stöd för krypterade diskar har samma nollpåverkansmetod för instanser som körs.
- För nya kunder som aktiverar agentlös genomsökning i AWS är krypterad disktäckning inbyggd och stöds som standard.
- För befintliga kunder som redan har en AWS-anslutning med agentlös genomsökning aktiverad måste du tillämpa CloudFormation-stacken på dina registrerade AWS-konton igen för att uppdatera och lägga till de nya behörigheter som krävs för att bearbeta krypterade diskar. Den uppdaterade CloudFormation-mallen innehåller nya tilldelningar som gör att Defender för molnet kan bearbeta krypterade diskar.
Du kan lära dig mer om de behörigheter som används för att skanna AWS-instanser.
Så här tillämpar du din CloudFormation-stack igen:
- Gå till Defender för molnet miljöinställningar och öppna AWS-anslutningstjänsten.
- Navigate to the Configure Access tab.
- Välj Klicka för att ladda ned Mallen CloudFormation.
- Navigera till din AWS-miljö och tillämpa den uppdaterade mallen.
Learn more about agentless scanning and enabling agentless scanning in AWS.
Ändrade namngivningskonventioner för JIT-regler (just-in-time) i Defender för molnet
Vi har reviderat JIT-reglerna (just-in-time) för att överensstämma med Microsoft Defender för molnet varumärke. Vi har ändrat namngivningskonventionerna för Regler för Azure Firewall och NSG (Nätverkssäkerhetsgrupp).
Ändringarna visas på följande sätt:
| Description | Old Name | New Name |
|---|---|---|
| JIT-regelnamn (tillåt och neka) i NSG (nätverkssäkerhetsgrupp) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| JIT-regelbeskrivningar i NSG | ASC JIT-nätverksåtkomstregel | MDC JIT-nätverksåtkomstregel |
| Samlingsnamn för JIT-brandväggsregler | ASC-JIT | MDC-JIT |
| NAMN på JIT-brandväggsregler | ASC-JIT | MDC-JIT |
Lär dig hur du skyddar dina hanteringsportar med just-in-time-åtkomst.
Registrera valda AWS-regioner
För att hjälpa dig att hantera dina AWS CloudTrail-kostnader och efterlevnadsbehov kan du nu välja vilka AWS-regioner som ska genomsökas när du lägger till eller redigerar en molnanslutning. Du kan nu skanna valda specifika AWS-regioner eller alla tillgängliga regioner (standard) när du registrerar dina AWS-konton för att Defender för molnet. Läs mer på Anslut ditt AWS-konto till Microsoft Defender för molnet.
Flera ändringar av identitetsrekommendationer
Följande rekommendationer släpps nu som allmän tillgänglighet (GA) och ersätter de V1-rekommendationer som nu är inaktuella.
Allmän tillgänglighet (GA) version av identitetsrekommendationer V2
V2-versionen av identitetsrekommendationerna introducerar följande förbättringar:
- Genomsökningens omfattning har utökats till att omfatta alla Azure-resurser, inte bara prenumerationer. På så sätt kan säkerhetsadministratörer visa rolltilldelningar per konto.
- Specifika konton kan nu undantas från utvärdering. Konton som break glass eller tjänstkonton kan undantas av säkerhetsadministratörer.
- Genomsökningsfrekvensen har ökat från 24 timmar till 12 timmar, vilket säkerställer att identitetsrekommendationerna är mer aktuella och korrekta.
Följande säkerhetsrekommendationer är tillgängliga i GA och ersätter V1-rekommendationerna:
| Recommendation | Assessment Key |
|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Utfasning av identitetsrekommendationer V1
Följande säkerhetsrekommendationer är nu inaktuella:
| Recommendation | Assessment Key |
|---|---|
| MFA ska vara aktiverat på konton med ägarbehörigheter för prenumerationer. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| MFA ska aktiveras på konton med skrivbehörighet för prenumerationer. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| MFA ska vara aktiverat på konton med läsbehörighet för prenumerationer. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Externa konton med ägarbehörighet bör tas bort från prenumerationer. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Externa konton med skrivbehörigheter bör tas bort från prenumerationer. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Externa konton med läsbehörighet bör tas bort från prenumerationer. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Inaktuella konton med ägarbehörigheter bör tas bort från prenumerationer. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Inaktuella konton bör tas bort från prenumerationer | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Vi rekommenderar att du uppdaterar dina anpassade skript, arbetsflöden och styrningsregler så att de motsvarar V2-rekommendationerna.
Utfasning av äldre standarder på instrumentpanelen för efterlevnad
Äldre PCI DSS v3.2.1 och äldre SOC TSP har blivit helt inaktuella på instrumentpanelen för Defender för molnet efterlevnad och ersatts av SOC 2 Type 2-initiativet och PCI DSS v4-initiativbaserade efterlevnadsstandarder. We have fully deprecated support of PCI DSS standard/initiative in Microsoft Azure operated by 21Vianet.
Lär dig hur du anpassar standarduppsättningen på instrumentpanelen för regelefterlevnad.
Defender för DevOps innehåller Azure DevOps-genomsökningsresultat
Defender för DevOps Code och IaC har utökat sin rekommendationstäckning i Microsoft Defender för molnet för att inkludera Azure DevOps-säkerhetsresultat för följande två rekommendationer:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Tidigare inkluderade täckning för Azure DevOps-säkerhetsgenomsökning endast rekommendationen hemligheter.
Läs mer om Defender för DevOps.
Ny standardinställning för säkerhetsbedömningslösning för Defender för servrar
Lösningar för sårbarhetsbedömning (VA) är viktiga för att skydda datorer från cyberattacker och dataintrång.
Microsoft Defender – hantering av säkerhetsrisker är nu aktiverat som standard, inbyggd lösning för alla prenumerationer som skyddas av Defender för servrar som inte redan har en VA-lösning vald.
Om en prenumeration har en VA-lösning aktiverad på någon av sina virtuella datorer görs inga ändringar och Microsoft Defender – hantering av säkerhetsrisker aktiveras inte som standard på de återstående virtuella datorerna i den prenumerationen. Du kan välja att aktivera en VA-lösning på de återstående virtuella datorerna i dina prenumerationer.
Lär dig hur du hittar sårbarheter och samlar in programvaruinventering med agentlös genomsökning (förhandsversion).
Ladda ned en CSV-rapport för dina frågeresultat för Cloud Security Explorer (förhandsversion)
Defender för molnet har lagt till möjligheten att ladda ned en CSV-rapport för frågeresultatet för molnsäkerhetsutforskaren.
När du har kört en sökning efter en fråga kan du välja knappen Ladda ned CSV-rapport (förhandsversion) från sidan Cloud Security Explorer i Defender för molnet.
Lär dig hur du skapar frågor med Cloud Security Explorer
Lansering av sårbarhetsbedömning av containrar med Microsoft Defender – hantering av säkerhetsrisker
Vi presenterar lanseringen av Sårbarhetsbedömning för Linux-avbildningar i Azure-containerregister som drivs av Microsoft Defender – hantering av säkerhetsrisker i Defender CSPM. Den här versionen innehåller daglig genomsökning av bilder. Resultat som används i Säkerhetsutforskaren och attackvägar förlitar sig på Microsoft Defender Vulnerability Assessment i stället för Qualys-skannern.
Den befintliga rekommendationen Container registry images should have vulnerability findings resolved ersätts av en ny rekommendation:
| Recommendation | Description | Assessment Key |
|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | dbd0cb49-b563-45e7-9724-889e799fa648 ersätts med c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Läs mer om status för agentlösa containrar i Defender CSPM.
Läs mer om Microsoft Defender – hantering av säkerhetsrisker.
Byta namn på containerrekommendationer som drivs av Qualys
De aktuella containerrekommendationerna i Defender för containrar kommer att byta namn på följande sätt:
| Recommendation | Description | Assessment Key |
|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Qualys) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Att köra containeravbildningar bör lösa sårbarhetsresultat (drivs av Qualys) | Sårbarhetsbedömning av containeravbildningar söker igenom containeravbildningar som körs i dina Kubernetes-kluster efter säkerhetsrisker och visar detaljerade resultat för varje bild. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | 41503391-efa5-47ee-9282-4eff6131462c |
Programuppdatering för Defender för DevOps GitHub
Microsoft Defender för DevOps gör ständigt ändringar och uppdateringar som kräver Defender för DevOps-kunder som har registrerat sina GitHub-miljöer i Defender för molnet för att ge behörigheter som en del av programmet som distribueras i deras GitHub-organisation. Dessa behörigheter är nödvändiga för att säkerställa att alla säkerhetsfunktioner i Defender för DevOps fungerar normalt och utan problem.
Vi föreslår att du uppdaterar behörigheterna så snart som möjligt för att säkerställa fortsatt åtkomst till alla tillgängliga funktioner i Defender för DevOps.
Behörigheter kan beviljas på två olika sätt:
In your organization, select GitHub Apps. Locate Your organization, and select Review request.
Du får ett automatiserat e-postmeddelande från GitHub Support. I e-postmeddelandet väljer du Granska behörighetsbegäran för att acceptera eller avvisa den här ändringen.
När du har följt något av dessa alternativ navigeras du till granskningsskärmen där du bör granska begäran. Välj Acceptera nya behörigheter för att godkänna begäran.
Om du behöver hjälp med att uppdatera behörigheter kan du skapa en Azure Support begäran.
Du kan också lära dig mer om Defender för DevOps. Om en prenumeration har en VA-lösning aktiverad på någon av sina virtuella datorer görs inga ändringar och Microsoft Defender – hantering av säkerhetsrisker aktiveras inte som standard på de återstående virtuella datorerna i den prenumerationen. Du kan välja att aktivera en VA-lösning på de återstående virtuella datorerna i dina prenumerationer.
Lär dig hur du hittar sårbarheter och samlar in programvaruinventering med agentlös genomsökning (förhandsversion).
Defender for DevOps Pull Request-anteckningar i Azure DevOps-lagringsplatser innehåller nu felkonfigurationer av infrastruktur som kod
Defender for DevOps har utökat sin pull-begärandeanteckning (PR) i Azure DevOps till att inkludera felkonfigurationer av infrastruktur som kod (IaC) som identifieras i Azure Resource Manager- och Bicep-mallar.
Utvecklare kan nu se anteckningar för IaC-felkonfigurationer direkt i sina PR:er. Utvecklare kan också åtgärda kritiska säkerhetsproblem innan infrastrukturen etableras i molnarbetsbelastningar. För att förenkla reparationen får utvecklarna en allvarlighetsgrad, felkonfigurationsbeskrivning och reparationsinstruktioner i varje anteckning.
Tidigare innehöll täckning för Defender for DevOps PR-anteckningar i Azure DevOps endast hemligheter.
Läs mer om anteckningar om Defender för DevOps och pull-begäranden.
April 2023
Uppdateringar i april inkluderar:
- Agentlös containerstatus i Defender CSPM (förhandsversion)
- Ny förhandsversion Av enhetlig diskkrypteringsrekommendering
- Ändringar i rekommendationen Datorer bör konfigureras på ett säkert sätt
- Utfasning av övervakningsprinciper för App Service-språk
- Ny avisering i Defender för Resource Manager
- Tre aviseringar i Defender for Resource Manager-planen har föråldrats
- Automatisk export av aviseringar till Log Analytics-arbetsytan har föråldrats
- Utfasning och förbättring av valda aviseringar för Windows- och Linux-servrar
- Nya autentiseringsrelaterade rekommendationer för Azure Active Directory för Azure Data Services
- Två rekommendationer relaterade till saknade operativsystemuppdateringar (OS) släpptes till GA
- Defender för API:er (förhandsversion)
Agentlös containerstatus i Defender CSPM (förhandsversion)
De nya funktionerna för agentlös containerstatus (förhandsversion) är tillgängliga som en del av Defender CSPM-planen (Cloud Security Posture Management).
Med agentlös containerstatus kan säkerhetsteam identifiera säkerhetsrisker i containrar och Kubernetes-sfärer. Med en agentlös metod kan säkerhetsteam få insyn i sina Kubernetes- och containerregister över SDLC och körning, vilket tar bort friktion och fotavtryck från arbetsbelastningarna.
Agentlös containerstatus erbjuder sårbarhetsbedömningar för containrar som i kombination med analys av attackvägar gör det möjligt för säkerhetsteam att prioritera och zooma in i specifika sårbarheter för containrar. Du kan också använda Cloud Security Explorer för att upptäcka risker och söka efter insikter om containerstatus, till exempel identifiering av program som kör sårbara avbildningar eller exponeras för Internet.
Läs mer på Agentless Container Posture (förhandsversion).
Rekommendation för enhetlig diskkryptering (förhandsversion)
Det finns nya rekommendationer för enhetlig diskkryptering i förhandsversionen.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Dessa rekommendationer ersätter Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, som identifierade Azure Disk Encryption och principen Virtual machines and virtual machine scale sets should have encryption at host enabled, som identifierade EncryptionAtHost. ADE och EncryptionAtHost tillhandahåller jämförbar kryptering i vila och vi rekommenderar att du aktiverar en av dem på varje virtuell dator. De nya rekommendationerna identifierar om antingen ADE eller EncryptionAtHost är aktiverade och varnar bara om ingen av dem är aktiverade. Vi varnar också om ADE är aktiverat på vissa, men inte alla diskar på en virtuell dator (det här villkoret gäller inte för EncryptionAtHost).
De nya rekommendationerna kräver konfiguration av Azure Automanage Machine.
Dessa rekommendationer baseras på följande principer:
- (Förhandsversion) Virtuella Windows-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost
- (Förhandsversion) Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost
Läs mer om ADE och EncryptionAtHost och hur du aktiverar en av dem.
Ändringar i rekommendationen Datorer bör konfigureras på ett säkert sätt
Rekommendationen Machines should be configured securely uppdaterades. Uppdateringen förbättrar rekommendationens prestanda och stabilitet och anpassar dess upplevelse med det allmänna beteendet för Defender för molnet rekommendationer.
Som en del av den här uppdateringen ändrades rekommendationens ID från 181ac480-f7c4-544b-9865-11b8ffe87f47 till c476dc48-8110-4139-91af-c8d940896b98.
Ingen åtgärd krävs på kundsidan och det finns ingen förväntad effekt på säkerhetspoängen.
Utfasning av övervakningsprinciper för App Service-språk
Följande principer för övervakning av App Service-språk har blivit inaktuella på grund av deras förmåga att generera falska negativa identifieringar och eftersom de inte ger bättre säkerhet. Du bör alltid se till att du använder en språkversion utan några kända säkerhetsrisker.
| Policy name | Policy ID |
|---|---|
| App Service-appar som använder Java bör använda den senaste Java-versionen | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| App Service-appar som använder Python bör använda den senaste Python-versionen | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Funktionsappar som använder Java bör använda den senaste Java-versionen | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Funktionsappar som använder Python bör använda den senaste Python-versionen | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| App Service-appar som använder PHP bör använda den senaste PHP-versionen | 7261b898-8a84-4db8-9e04-18527132abb3 |
Kunder kan använda alternativa inbyggda principer för att övervaka alla angivna språkversioner för sina App Services.
Dessa principer är inte längre tillgängliga i Defender för molnet inbyggda rekommendationer. Du kan lägga till dem som anpassade rekommendationer för att Defender för molnet övervaka dem.
Ny avisering i Defender för Resource Manager
Defender för Resource Manager har följande nya avisering:
| Avisering (aviseringstyp) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
FÖRHANDSVERSION – Misstänkt skapande av beräkningsresurser har identifierats (ARM_SuspiciousComputeCreation) |
Microsoft Defender för Resource Manager identifierade ett misstänkt skapande av beräkningsresurser i din prenumeration med hjälp av Virtuella datorer/Azure Scale Set. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer genom att distribuera nya resurser vid behov. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att utföra kryptoutvinning. Aktiviteten anses misstänkt eftersom skalningen för beräkningsresurser är högre än vad som tidigare observerats i prenumerationen. Detta kan tyda på att huvudkontot har komprometterats och används med skadlig avsikt. |
Impact | Medium |
Du kan se en lista över alla aviseringar som är tillgängliga för Resource Manager.
Tre aviseringar i Defender for Resource Manager-planen har föråldrats
Följande tre aviseringar för Defender for Resource Manager-planen har föråldrats:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
I ett scenario där aktivitet från en misstänkt IP-adress identifieras, kommer någon av följande aviseringar Azure Resource Manager operation from suspicious IP address från Defenders for Resource Manager-planen att Azure Resource Manager operation from suspicious proxy IP address finnas.
Automatisk export av aviseringar till Log Analytics-arbetsytan har föråldrats
Defender for Cloud-säkerhetsaviseringar exporteras automatiskt till en standardarbetsyta för Log Analytics på resursnivå. Detta orsakar ett obestämd beteende och därför har vi föråldrat den här funktionen.
Instead, you can export your security alerts to a dedicated Log Analytics workspace with Continuous Export.
Om du redan har konfigurerat kontinuerlig export av dina aviseringar till en Log Analytics-arbetsyta krävs ingen ytterligare åtgärd.
Utfasning och förbättring av valda aviseringar för Windows- och Linux-servrar
Kvalitetsförbättringsprocessen för säkerhetsaviseringar för Defender för servrar omfattar utfasning av vissa aviseringar för både Windows- och Linux-servrar. De inaktuella aviseringarna kommer nu från och omfattas av Defender för Endpoint-hotaviseringar.
Om du redan har aktiverat Defender för Endpoint-integrering krävs ingen ytterligare åtgärd. Du kan uppleva en minskning av aviseringsvolymen i april 2023.
Om du inte har defender för endpoint-integrering aktiverat i Defender för servrar måste du aktivera Defender för Endpoint-integrering för att underhålla och förbättra din aviseringstäckning.
Alla Defender for Servers-kunder har fullständig åtkomst till Defender for Endpoints integrering som en del av Defender for Servers-planen.
Du kan lära dig mer om Microsoft Defender för Endpoint onboarding-alternativ.
Du kan också visa den fullständiga listan över aviseringar som är inställda på att vara inaktuella.
Läs Microsoft Defender för molnet blogg.
Nya autentiseringsrelaterade rekommendationer för Azure Active Directory för Azure Data Services
Vi har lagt till fyra nya autentiseringsrekommendationer för Azure Active Directory för Azure Data Services.
| Recommendation Name | Recommendation Description | Policy |
|---|---|---|
| Autentiseringsläget för Azure SQL Managed Instance ska endast vara Azure Active Directory | Om du inaktiverar lokala autentiseringsmetoder och endast tillåter Azure Active Directory-autentisering förbättras säkerheten genom att säkerställa att Azure SQL Managed Instances endast kan nås av Azure Active Directory-identiteter. | Azure SQL Managed Instance ska ha Azure Active Directory Only Authentication aktiverat |
| Autentiseringsläget för Azure Synapse-arbetsytan ska endast vara Azure Active Directory | Endast autentiseringsmetoder i Azure Active Directory förbättrar säkerheten genom att se till att Synapse-arbetsytor uteslutande kräver Azure AD-identiteter för autentisering. Learn more. | Synapse-arbetsytor bör endast använda Azure Active Directory-identiteter för autentisering |
| Azure Database for MySQL bör ha en Azure Active Directory-administratör etablerad | Etablera en Azure AD-administratör för din Azure Database for MySQL för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | En Azure Active Directory-administratör bör etableras för MySQL-servrar |
| Azure Database for PostgreSQL bör ha en Azure Active Directory-administratör etablerad | Etablera en Azure AD-administratör för Azure Database for PostgreSQL för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | En Azure Active Directory-administratör bör etableras för PostgreSQL-servrar |
Två rekommendationer relaterade till saknade operativsystemuppdateringar (OS) släpptes till GA
Rekommendationerna System updates should be installed on your machines (powered by Azure Update Manager) och Machines should be configured to periodically check for missing system updates har släppts för allmän tillgänglighet.
Om du vill använda den nya rekommendationen måste du:
- Anslut dina datorer som inte är Azure-datorer till Arc.
-
Aktivera den periodiska utvärderingsegenskapen. You can use the Fix button.
i den nya rekommendationen för
Machines should be configured to periodically check for missing system updatesatt åtgärda rekommendationen.
När du har slutfört de här stegen kan du ta bort den gamla rekommendationen System updates should be installed on your machinesgenom att inaktivera den från Defender för molnet inbyggda initiativ i Azure-principen.
De två versionerna av rekommendationerna:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Båda kommer att vara tillgängliga tills Log Analytics-agenten är inaktuell den 31 augusti 2024, vilket är när även den äldre versionen (System updates should be installed on your machines) av rekommendationen kommer att bli inaktuell. Båda rekommendationerna returnerar samma resultat och är tillgängliga under samma kontroll Apply system updates.
Den nya rekommendationen System updates should be installed on your machines (powered by Azure Update Manager) har ett reparationsflöde tillgängligt via knappen Åtgärda, som kan användas för att åtgärda eventuella resultat via Uppdateringshanteraren (förhandsversion). Den här reparationsprocessen är fortfarande i förhandsversion.
Den nya rekommendationen System updates should be installed on your machines (powered by Azure Update Manager) förväntas inte påverka din säkerhetspoäng eftersom den har samma resultat som den gamla rekommendationen System updates should be installed on your machines.
Den nödvändiga rekommendationen (Aktivera egenskapen periodisk utvärdering) har en negativ effekt på din säkerhetspoäng. You can remediate the negative effect with the available Fix button.
Defender för API:er (förhandsversion)
Microsofts Defender för molnet meddelar att de nya Defender for API:erna är tillgängliga i förhandsversionen.
Defender för API:er erbjuder fullständigt livscykelskydd, identifiering och svarstäckning för API:er.
Defender for API:er hjälper dig att få insyn i affärskritiska API:er. Du kan undersöka och förbättra din API-säkerhetsstatus, prioritera sårbarhetskorrigeringar och snabbt identifiera aktiva realtidshot.
Läs mer om Defender för API:er.
March 2023
Uppdateringar i mars inkluderar:
- Det finns en ny Defender for Storage-plan, inklusive genomsökning av skadlig kod i nära realtid och identifiering av känsligt datahot
- Datamedveten säkerhetsstatus (förhandsversion)
- Förbättrad upplevelse för att hantera standardprinciperna för Azure-säkerhet
- Defender CSPM (Cloud Security Posture Management) är nu allmänt tillgänglig (GA)
- Alternativ för att skapa anpassade rekommendationer och säkerhetsstandarder i Microsoft Defender för molnet
- Microsoft Cloud Security Benchmark (MCSB) version 1.0 är nu allmänt tillgänglig (GA)
- Vissa standarder för regelefterlevnad är nu tillgängliga i myndighetsmoln
- Ny förhandsversionsrekommendering för Azure SQL-servrar
- Ny avisering i Defender för Key Vault
Det finns en ny Defender for Storage-plan, inklusive genomsökning av skadlig kod i nära realtid och identifiering av känsligt datahot
Molnlagring spelar en viktig roll i organisationen och lagrar stora mängder värdefulla och känsliga data. Idag presenterar vi en ny Defender for Storage-plan. Om du använder den tidigare planen (nu omdöpt till "Defender för lagring (klassisk)") måste du proaktivt migrera till den nya planen för att kunna använda de nya funktionerna och fördelarna.
Den nya planen innehåller avancerade säkerhetsfunktioner för att skydda mot skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Det ger också en mer förutsägbar och flexibel prisstruktur för bättre kontroll över täckning och kostnader.
Den nya planen har nya funktioner nu i offentlig förhandsversion:
Identifiera exponerings- och exfiltreringshändelser för känsliga data
Nästan realtidsblob vid uppladdning av skadlig kod genomsökning över alla filtyper
Identifiera entiteter utan identiteter med hjälp av SAS-token
Dessa funktioner förbättrar den befintliga funktionen aktivitetsövervakning, baserat på kontroll- och dataplanslogganalys och beteendemodellering för att identifiera tidiga tecken på intrång.
Alla dessa funktioner är tillgängliga i en ny förutsägbar och flexibel prisplan som ger detaljerad kontroll över dataskydd på både prenumerations- och resursnivå.
Läs mer i Översikt över Microsoft Defender för lagring.
Datamedveten säkerhetsstatus (förhandsversion)
Microsoft Defender för molnet hjälper säkerhetsteam att vara mer produktiva när det gäller att minska risker och hantera dataintrång i molnet. Det gör att de kan minska bruset med datakontexten och prioritera de mest kritiska säkerhetsriskerna, vilket förhindrar ett kostsamt dataintrång.
- Identifiera dataresurser automatiskt i molnegendomen och utvärdera deras tillgänglighet, datakänslighet och konfigurerade dataflöden. -Upptäck kontinuerligt risker för dataintrång av känsliga dataresurser, exponerings- eller attackvägar som kan leda till en dataresurs med hjälp av en lateral förflyttningsteknik.
- Identifiera misstänkta aktiviteter som kan tyda på ett pågående hot mot känsliga dataresurser.
Learn more about data-aware security posture.
Förbättrad upplevelse för att hantera standardprinciperna för Azure-säkerhet
Vi introducerar en förbättrad hanteringsupplevelse för Azure-säkerhetsprinciper för inbyggda rekommendationer som förenklar hur Defender för molnet kunder finjusterar sina säkerhetskrav. Den nya upplevelsen innehåller följande nya funktioner:
- Ett enkelt gränssnitt ger bättre prestanda och upplevelse vid hantering av standardsäkerhetsprinciper inom Defender för molnet.
- En enda vy över alla inbyggda säkerhetsrekommendationer som erbjuds av Microsoft Cloud Security Benchmark (tidigare Azure Security Benchmark). Rekommendationer är ordnade i logiska grupper, vilket gör det lättare att förstå vilka typer av resurser som omfattas och relationen mellan parametrar och rekommendationer.
- Nya funktioner som filter och sökning har lagts till.
Lär dig hur du hanterar säkerhetsprinciper.
Läs Microsoft Defender för molnet blogg.
Defender CSPM (Cloud Security Posture Management) är nu allmänt tillgänglig (GA)
Vi meddelar att Defender CSPM nu är allmänt tillgängligt (GA). Defender CSPM erbjuder alla tjänster som är tillgängliga under grundläggande CSPM-funktioner och lägger till följande fördelar:
- Analys av attackväg och ARG API – Analys av attackvägar använder en grafbaserad algoritm som söker igenom molnsäkerhetsdiagrammet för att exponera attackvägar och föreslår rekommendationer om hur du bäst åtgärdar problem som bryter attackvägen och förhindrar lyckade intrång. Du kan också använda attacksökvägar programmatiskt genom att köra frågor mot AZURE Resource Graph-API:et (ARG). Lär dig hur du använder analys av attackvägar
- Cloud Security Explorer – Använd Cloud Security Explorer för att köra grafbaserade frågor i molnsäkerhetsdiagrammet för att proaktivt identifiera säkerhetsrisker i dina miljöer med flera moln. Läs mer om Cloud Security Explorer.
Learn more about Defender CSPM.
Alternativ för att skapa anpassade rekommendationer och säkerhetsstandarder i Microsoft Defender för molnet
Microsoft Defender för molnet ger möjlighet att skapa anpassade rekommendationer och standarder för AWS och GCP med hjälp av KQL-frågor. Du kan använda en frågeredigerare för att skapa och testa frågor över dina data. Den här funktionen är en del av planen för Defender CSPM (Cloud Security Posture Management). Lär dig hur du skapar anpassade rekommendationer och standarder.
Microsoft Cloud Security Benchmark (MCSB) version 1.0 är nu allmänt tillgänglig (GA)
Microsoft Defender för molnet meddelar att Microsofts cloud security benchmark (MCSB) version 1.0 nu är allmänt tillgänglig (GA).
MCSB version 1.0 ersätter Azure Security Benchmark (ASB) version 3 som Defender för molnet standardsäkerhetsprincip. MCSB version 1.0 visas som standardstandard för efterlevnad på instrumentpanelen för efterlevnad och är aktiverad som standard för alla Defender för molnet kunder.
Du kan också lära dig hur Microsoft Cloud Security Benchmark (MCSB) hjälper dig att lyckas med din molnsäkerhetsresa.
Learn more about MCSB.
Vissa standarder för regelefterlevnad är nu tillgängliga i myndighetsmoln
Vi uppdaterar dessa standarder för kunder i Azure Government och Microsoft Azure som drivs av 21Vianet.
Azure Government:
Microsoft Azure drivs av 21Vianet:
Lär dig hur du anpassar standarduppsättningen på instrumentpanelen för regelefterlevnad.
Ny förhandsversionsrekommendering för Azure SQL-servrar
Vi har lagt till en ny rekommendation för Azure SQL-servrar, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
Rekommendationen baseras på den befintliga principen Azure SQL Database should have Azure Active Directory Only Authentication enabled
Den här rekommendationen inaktiverar lokala autentiseringsmetoder och tillåter endast Azure Active Directory-autentisering, vilket förbättrar säkerheten genom att säkerställa att Azure SQL Databases uteslutande kan nås av Azure Active Directory-identiteter.
Lär dig hur du skapar servrar med endast Azure AD-autentisering aktiverat i Azure SQL.
Ny avisering i Defender för Key Vault
Defender för Key Vault har följande nya avisering:
| Avisering (aviseringstyp) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Nekad åtkomst från en misstänkt IP-adress till ett nyckelvalv (KV_SuspiciousIPAccessDenied) |
En misslyckad nyckelvalvsåtkomst har försökts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Även om det här försöket misslyckades indikerar det att infrastrukturen kan ha komprometterats. Vi rekommenderar ytterligare undersökningar. | Credential Access | Low |
Du kan se en lista över alla aviseringar som är tillgängliga för Key Vault.
February 2023
Uppdateringar i februari inkluderar:
- Förbättrad Cloud Security Explorer
- Defender for Containers sårbarhetsgenomsökningar av att köra Linux-avbildningar är nu allmänt tillgängliga
- Meddelande om stöd för efterlevnadsstandarden för AWS CIS 1.5.0
- Microsoft Defender för DevOps (förhandsversion) är nu tillgängligt i andra regioner
- Den inbyggda principen [Förhandsversion]: Privat slutpunkt ska konfigureras för Key Vault är inaktuell
Förbättrad Cloud Security Explorer
En förbättrad version av molnsäkerhetsutforskaren innehåller en uppdaterad användarupplevelse som tar bort frågefriktion dramatiskt, lade till möjligheten att köra frågor med flera moln och flera resurser och inbäddad dokumentation för varje frågealternativ.
Med Cloud Security Explorer kan du nu köra molnabstraktionsfrågor mellan resurser. Du kan använda antingen de fördefinierade frågemallarna eller använda den anpassade sökningen för att använda filter för att skapa din fråga. Lär dig hur du hanterar Cloud Security Explorer.
Defender for Containers sårbarhetsgenomsökningar av att köra Linux-avbildningar är nu allmänt tillgängliga
Defender for Containers identifierar säkerhetsrisker i containrar som körs. Både Windows- och Linux-containrar stöds.
I augusti 2022 släpptes den här funktionen som förhandsversion för Windows och Linux. Nu släpper vi den för allmän tillgänglighet (GA) för Linux.
När sårbarheter identifieras genererar Defender för molnet följande säkerhetsrekommendationslista som visar genomsökningens resultat: Om du kör containeravbildningar bör sårbarhetsresultaten vara lösta.
Läs mer om att visa sårbarheter för att köra bilder.
Meddelande om stöd för efterlevnadsstandarden för AWS CIS 1.5.0
Defender för molnet stöder nu efterlevnadsstandarden CIS Amazon Web Services Foundations v1.5.0. Standarden kan läggas till på instrumentpanelen för regelefterlevnad och bygger på MDC:s befintliga erbjudanden för rekommendationer och standarder för flera moln.
Den här nya standarden innehåller både befintliga och nya rekommendationer som utökar Defender för molnet täckning till nya AWS-tjänster och -resurser.
Lär dig hur du hanterar AWS-utvärderingar och standarder.
Microsoft Defender för DevOps (förhandsversion) är nu tillgängligt i andra regioner
Microsoft Defender för DevOps har utökat sin förhandsversion och är nu tillgänglig i regionerna Europa, västra och Australien, östra när du registrerar dina Azure DevOps- och GitHub-resurser.
Läs mer om Microsoft Defender för DevOps.
Den inbyggda principen [Förhandsversion]: Privat slutpunkt ska konfigureras för Key Vault är inaktuell
Den inbyggda principen [Preview]: Private endpoint should be configured for Key Vault är inaktuell och ersätts med [Preview]: Azure Key Vaults should use private link principen.
Läs mer om att integrera Azure Key Vault med Azure Policy.
January 2023
Uppdateringar i januari inkluderar:
- Komponenten Endpoint Protection (Microsoft Defender för Endpoint) används nu på sidan Inställningar och övervakning
- Ny version av rekommendationen för att hitta saknade systemuppdateringar (förhandsversion)
- Rensning av borttagna Azure Arc-datorer i anslutna AWS- och GCP-konton
- Tillåt kontinuerlig export till Event Hubs bakom en brandvägg
- Namnet på kontrollen Säker poäng Skydda dina program med avancerade Nätverkslösningar i Azure har ändrats
- Inställningarna för sårbarhetsbedömning för SQL-servern ska innehålla en e-postadress för att ta emot genomsökningsrapporter är inaktuella
- Rekommendationen att aktivera diagnostikloggar för VM-skalningsuppsättningar är inaktuell
Komponenten Endpoint Protection (Microsoft Defender för Endpoint) används nu på sidan Inställningar och övervakning
To access Endpoint protection, navigate to Environment settings>Defender plans>Settings and monitoring. From here you can set Endpoint protection to On. Du kan också se de andra komponenterna som hanteras.
Läs mer om hur du aktiverar Microsoft Defender för Endpoint på dina servrar med Defender för servrar.
Ny version av rekommendationen för att hitta saknade systemuppdateringar (förhandsversion)
Du behöver inte längre en agent på dina virtuella Azure-datorer och Azure Arc-datorer för att se till att datorerna har alla de senaste säkerhetsuppdateringarna eller kritiska systemuppdateringarna.
Den nya rekommendationen System updates should be installed on your machines (powered by Azure Update Manager)Apply system updates för systemuppdateringar i kontrollen baseras på Uppdateringshanteraren (förhandsversion). Rekommendationen förlitar sig på en intern agent som är inbäddad i varje virtuell Azure-dator och Azure Arc-datorer i stället för en installerad agent. Snabbkorrigeringen i den nya rekommendationen leder dig till en engångsinstallation av uppdateringarna som saknas i Update Manager-portalen.
Om du vill använda den nya rekommendationen måste du:
- Ansluta dina datorer som inte är Azure-datorer till Arc
- Aktivera den periodiska utvärderingsegenskapen. Du kan använda snabbkorrigeringen i den nya rekommendationen
Machines should be configured to periodically check for missing system updatesför att åtgärda rekommendationen.
Den befintliga rekommendationen "Systemuppdateringar bör installeras på dina datorer", som förlitar sig på Log Analytics-agenten, är fortfarande tillgänglig under samma kontroll.
Rensning av borttagna Azure Arc-datorer i anslutna AWS- och GCP-konton
En dator som är ansluten till ett AWS- och GCP-konto som omfattas av Defender för servrar eller Defender för SQL på datorer representeras i Defender för molnet som en Azure Arc-dator. Hittills har datorn inte tagits bort från lagret när datorn togs bort från AWS- eller GCP-kontot. Leder till onödiga Azure Arc-resurser kvar i Defender för molnet som representerar borttagna datorer.
Defender för molnet tar nu automatiskt bort Azure Arc-datorer när dessa datorer tas bort i anslutna AWS- eller GCP-konton.
Tillåt kontinuerlig export till Event Hubs bakom en brandvägg
Nu kan du aktivera kontinuerlig export av aviseringar och rekommendationer som en betrodd tjänst till Event Hubs som skyddas av en Azure-brandvägg.
Du kan aktivera kontinuerlig export när aviseringarna eller rekommendationerna genereras. Du kan också definiera ett schema för att skicka periodiska ögonblicksbilder av alla nya data.
Lär dig hur du aktiverar kontinuerlig export till en händelsehubb bakom en Azure-brandvägg.
Namnet på kontrollen Säker poäng Skydda dina program med avancerade Nätverkslösningar i Azure ändras
Kontrollen för säker poäng Protect your applications with Azure advanced networking solutions ändras till Protect applications against DDoS attacks.
Det uppdaterade namnet återspeglas i Azure Resource Graph (ARG), API:et Download CSV reportför säkra poängkontroller och .
Inställningarna för sårbarhetsbedömning för SQL-servern ska innehålla en e-postadress för att ta emot genomsökningsrapporter är inaktuella
Principen Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports är inaktuell.
E-postrapporten för Utvärdering av säkerhetsrisker i Defender för SQL är fortfarande tillgänglig och befintliga e-postkonfigurationer har inte ändrats.
Rekommendationen att aktivera diagnostikloggar för VM-skalningsuppsättningar är inaktuell
Rekommendationen Diagnostic logs in Virtual Machine Scale Sets should be enabled är inaktuell.
The related policy definition has also been deprecated from any standards displayed in the regulatory compliance dashboard.
| Recommendation | Description | Severity |
|---|---|---|
| Diagnostikloggar i VM-skalningsuppsättningar ska vara aktiverade | Aktivera loggar och behåll dem i upp till ett år, så att du kan återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller nätverket komprometteras. | Low |
December 2022
Uppdateringar i december inkluderar:
Meddelande om expresskonfiguration för sårbarhetsbedömning i Defender för SQL
Expresskonfigurationen för sårbarhetsbedömning i Microsoft Defender för SQL ger säkerhetsteam en effektiv konfigurationsupplevelse i Azure SQL Databases och dedikerade SQL-pooler utanför Synapse-arbetsytor.
Med den expressa konfigurationsupplevelsen för sårbarhetsbedömningar kan säkerhetsteam:
- Slutför konfigurationen för sårbarhetsbedömning i säkerhetskonfigurationen för SQL-resursen, utan några andra inställningar eller beroenden för kundhanterade lagringskonton.
- Immediately add scan results to baselines so that the status of the finding changes from Unhealthy to Healthy without rescanning a database.
- Lägg till flera regler i baslinjer samtidigt och använd de senaste genomsökningsresultaten.
- Aktivera sårbarhetsbedömning för alla Azure SQL-servrar när du aktiverar Microsoft Defender för databaser på prenumerationsnivå.
Läs mer om sårbarhetsbedömning för Defender för SQL.
November 2022
Uppdateringar i november inkluderar:
- Skydda containrar i din GCP-organisation med Defender for Containers
- Verifiera Skydd för Defender för containrar med exempelaviseringar
- Styrningsregler i stor skala (förhandsversion)
- Möjligheten att skapa anpassade utvärderingar i AWS och GCP (förhandsversion) är inaktuell
- Rekommendationen att konfigurera köer med obeställbara bokstäver för Lambda-funktioner är inaktuell
Skydda containrar i din GCP-organisation med Defender for Containers
Nu kan du aktivera Defender for Containers för din GCP-miljö för att skydda GKE-standardkluster i en hel GCP-organisation. Skapa bara en ny GCP-anslutning med Defender for Containers aktiverat eller aktivera Defender for Containers på en befintlig GCP-anslutningsapp på organisationsnivå.
Läs mer om hur du ansluter GCP-projekt och organisationer till Defender för molnet.
Verifiera Skydd för Defender för containrar med exempelaviseringar
Nu kan du skapa exempelaviseringar även för Defender for Containers-planen. De nya exempelaviseringarna visas som från AKS-, Arc-anslutna kluster, EKS- och GKE-resurser med olika allvarlighetsgrad och MITRE-taktik. Du kan använda exempelaviseringar för att verifiera konfigurationer av säkerhetsaviseringar, till exempel SIEM-integreringar, arbetsflödesautomation och e-postaviseringar.
Learn more about alert validation.
Styrningsregler i stor skala (förhandsversion)
Vi är glada att kunna presentera den nya möjligheten att tillämpa styrningsregler i stor skala (förhandsversion) i Defender för molnet.
Med den här nya upplevelsen kan säkerhetsteamen definiera styrningsregler i grupp för olika omfång (prenumerationer och anslutningsappar). Säkerhetsteam kan utföra den här uppgiften med hjälp av hanteringsomfång som Azure-hanteringsgrupper, AWS-konton på högsta nivå eller GCP-organisationer.
På sidan Styrningsregler (förhandsversion) visas dessutom alla tillgängliga styrningsregler som är effektiva i organisationens miljöer.
Läs mer om de nya styrningsreglerna i stor skala.
Note
Från och med den 1 januari 2023 måste du ha Defender CSPM-planen aktiverad för din prenumeration eller anslutningsapp för att kunna uppleva de funktioner som erbjuds av styrningen.
Möjligheten att skapa anpassade utvärderingar i AWS och GCP (förhandsversion) är inaktuell
The ability to create custom assessments for AWS accounts and GCP projects, which was a Preview feature, is deprecated.
Rekommendationen att konfigurera köer med obeställbara bokstäver för Lambda-funktioner är inaktuell
Rekommendationen Lambda functions should have a dead-letter queue configured är inaktuell.
| Recommendation | Description | Severity |
|---|---|---|
| Lambda-funktioner ska ha en kö med obeställbara bokstäver konfigurerad | Den här kontrollen kontrollerar om en Lambda-funktion har konfigurerats med en kö med obeställbara meddelanden. Kontrollen misslyckas om Lambda-funktionen inte har konfigurerats med en kö med obeställbara meddelanden. Som ett alternativ till ett mål för fel kan du konfigurera funktionen med en kö med obeställbara meddelanden för att spara borttagna händelser för vidare bearbetning. En kö med obeställbara meddelanden fungerar på samma sätt som ett mål vid fel. Den används när en händelse misslyckas med alla bearbetningsförsök eller upphör att gälla utan att bearbetas. Med en kö med obeställbara meddelanden kan du se tillbaka på fel eller misslyckade begäranden till Lambda-funktionen för att felsöka eller identifiera ovanligt beteende. Ur ett säkerhetsperspektiv är det viktigt att förstå varför din funktion misslyckades och att se till att funktionen inte släpper data eller äventyrar datasäkerheten som ett resultat. Om din funktion till exempel inte kan kommunicera med en underliggande resurs som kan vara ett symptom på en DoS-attack (Denial of Service) någon annanstans i nätverket. | Medium |
October 2022
Uppdateringar i oktober inkluderar:
- Tillkännagivande av Microsofts benchmark för molnsäkerhet
- Analys av attackvägar och kontextuella säkerhetsfunktioner i Defender för molnet (förhandsversion)
- Agentlös genomsökning efter Azure- och AWS-datorer (förhandsversion)
- Defender för DevOps (förhandsversion)
- Instrumentpanelen för regelefterlevnad stöder nu manuell kontrollhantering och detaljerad information om Microsofts efterlevnadsstatus
- Automatisk avetablering har bytt namn till Inställningar och övervakning och har en uppdaterad upplevelse
- Defender Cloud Security Posture Management (CSPM) (förhandsversion)
- MITRE ATT&CK-ramverksmappning är nu även tillgängligt för AWS- och GCP-säkerhetsrekommendationer
- Defender for Containers har nu stöd för sårbarhetsbedömning för Elastic Container Registry (förhandsversion)
Tillkännagivande av Microsofts benchmark för molnsäkerhet
Microsoft Cloud Security Benchmark (MCSB) är ett nytt ramverk som definierar grundläggande molnsäkerhetsprinciper baserade på vanliga branschstandarder och efterlevnadsramverk. Tillsammans med detaljerad teknisk vägledning för att implementera dessa metodtips på molnplattformar. MCSB ersätter Azure Security Benchmark. MCSB innehåller beskrivande information om hur du implementerar sina molnagnostiska säkerhetsrekommendationer på flera molntjänstplattformar, som ursprungligen omfattar Azure och AWS.
Nu kan du övervaka din molnsäkerhetsefterlevnad per moln på en enda integrerad instrumentpanel. Du kan se MCSB som standardstandard för efterlevnad när du navigerar till Defender för molnet instrumentpanel för regelefterlevnad.
Microsoft cloud security benchmark tilldelas automatiskt till dina Azure-prenumerationer och AWS-konton när du registrerar Defender för molnet.
Läs mer om Microsofts prestandamått för molnsäkerhet.
Analys av attackvägar och kontextuella säkerhetsfunktioner i Defender för molnet (förhandsversion)
Det nya molnsäkerhetsdiagrammet, analys av attackvägar och kontextuella molnsäkerhetsfunktioner finns nu i Defender för molnet i förhandsversionen.
En av de största utmaningarna som säkerhetsteamen står inför idag är antalet säkerhetsproblem de står inför dagligen. Det finns många säkerhetsproblem som måste lösas och aldrig tillräckligt med resurser för att åtgärda dem alla.
Defender för molnet nya molnsäkerhetsdiagram och analysfunktioner för attackvägar ger säkerhetsteam möjlighet att bedöma risken bakom varje säkerhetsproblem. Säkerhetsteam kan också identifiera de problem med högst risk som behöver lösas snart. Defender för molnet arbetar med säkerhetsteam för att minska risken för ett affektivt intrång i deras miljö på det mest effektiva sättet.
Läs mer om det nya molnsäkerhetsdiagrammet, analys av attackvägar och molnsäkerhetsutforskaren.
Agentlös genomsökning efter Azure- och AWS-datorer (förhandsversion)
Hittills har Defender för molnet baserat sina hållningsbedömningar för virtuella datorer på agentbaserade lösningar. För att hjälpa kunderna att maximera täckningen och minska friktionen mellan registrering och hantering släpper vi agentlös genomsökning för virtuella datorer att förhandsgranska.
Med agentlös genomsökning efter virtuella datorer får du bred insyn i installerade program- och programvaru-CVE:er. Du får insyn utan utmaningar som agentinstallation och -underhåll, nätverksanslutningskrav och prestanda påverkar dina arbetsbelastningar. Analysen drivs av Microsoft Defender – hantering av säkerhetsrisker.
Agentlös sårbarhetsgenomsökning är tillgänglig både i Defender Cloud Security Posture Management (CSPM) och i Defender för servrar P2, med inbyggt stöd för virtuella AWS- och Azure-datorer.
- Learn more about agentless scanning.
- Ta reda på hur du aktiverar agentlös sårbarhetsbedömning.
Defender för DevOps (förhandsversion)
Microsoft Defender för molnet möjliggör omfattande synlighet, hållningshantering och skydd mot hot i hybridmiljöer och miljöer med flera moln, inklusive Azure, AWS, Google och lokala resurser.
Nu integrerar den nya Defender for DevOps-planen källkodshanteringssystem, till exempel GitHub och Azure DevOps, i Defender för molnet. Med den här nya integreringen ger vi säkerhetsteamen möjlighet att skydda sina resurser från kod till molnet.
Med Defender för DevOps kan du få insyn i och hantera dina anslutna utvecklarmiljöer och kodresurser. Currently, you can connect Azure DevOps and GitHub systems to Defender for Cloud and onboard DevOps repositories to Inventory and the new DevOps Security page. Det ger säkerhetsteamen en översikt på hög nivå över de identifierade säkerhetsproblem som finns i dem på en enhetlig DevOps-säkerhetssida.
Du kan konfigurera anteckningar på pull-begäranden för att hjälpa utvecklare att hantera hemligheter genomsökningsresultat i Azure DevOps direkt på sina pull-begäranden.
Du kan konfigurera Microsoft Security DevOps-verktygen i Azure Pipelines och GitHub-arbetsflöden för att aktivera följande säkerhetsgenomsökningar:
| Name | Language | License |
|---|---|---|
| Bandit | Python | Apache License 2.0 |
| BinSkim | Binär – Windows, ELF | MIT License |
| ESlint | JavaScript | MIT License |
| CredScan (Azure DevOps Only) | Credential Scanner (även kallat CredScan) är ett verktyg som utvecklats och underhålls av Microsoft för att identifiera läckage av autentiseringsuppgifter, till exempel de som finns i vanliga typer av källkod och konfigurationsfiler: standardlösenord, SQL anslutningssträng, Certifikat med privata nycklar | Inte öppen källkod |
| Template Analyze | ARM-mall, Bicep-fil | MIT License |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Apache License 2.0 |
| Trivy | Containeravbildningar, filsystem, git-lagringsplatser | Apache License 2.0 |
Följande nya rekommendationer är nu tillgängliga för DevOps:
| Recommendation | Description | Severity |
|---|---|---|
| (Förhandsversion) Kodlagringsplatser bör ha kodgenomsökningsresultat lösta | Defender för DevOps har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra säkerhetsstatusen för lagringsplatserna rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip) | Medium |
| (Förhandsversion) Kodlagringsplatser bör ha hemliga genomsökningsresultat lösta | Defender för DevOps har hittat en hemlighet i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras. För Azure DevOps genomsöker Microsoft Security DevOps CredScan-verktyget endast versioner som det är konfigurerat att köras på. Därför kanske resultatet inte återspeglar den fullständiga statusen för hemligheter i dina lagringsplatser. (Ingen relaterad princip) | High |
| (Förhandsversion) Kodlagringsplatser bör ha Dependabot-genomsökningsresultat lösta | Defender för DevOps har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra säkerhetsstatusen för lagringsplatserna rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip) | Medium |
| (Förhandsversion) Kodlagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts | (Förhandsversion) Kodlagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts | Medium |
| (Förhandsversion) GitHub-lagringsplatser ska ha kodgenomsökning aktiverat | GitHub använder kodgenomsökning för att analysera kod för att hitta säkerhetsrisker och fel i kod. Kodgenomsökning kan användas för att hitta, sortera och prioritera korrigeringar för befintliga problem i koden. Kodgenomsökning kan också hindra utvecklare från att införa nya problem. Genomsökningar kan schemaläggas för specifika dagar och tider, eller genomsökningar kan utlösas när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Om kodgenomsökningen hittar en potentiell säkerhetsrisk eller ett fel i koden visar GitHub en avisering på lagringsplatsen. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada projektets konfidentialitet, integritet eller tillgänglighet. (Ingen relaterad princip) | Medium |
| (Förhandsversion) GitHub-lagringsplatser ska ha hemlig genomsökning aktiverat | GitHub söker igenom lagringsplatser efter kända typer av hemligheter för att förhindra bedräglig användning av hemligheter som av misstag har checkats in på lagringsplatser. Hemlig genomsökning söker igenom hela Git-historiken på alla grenar som finns på GitHub-lagringsplatsen efter hemligheter. Exempel på hemligheter är token och privata nycklar som en tjänstleverantör kan utfärda för autentisering. Om en hemlighet checkas in på en lagringsplats kan alla som har läsbehörighet till lagringsplatsen använda hemligheten för att komma åt den externa tjänsten med dessa privilegier. Hemligheter ska lagras på en dedikerad och säker plats utanför lagringsplatsen för projektet. (Ingen relaterad princip) | High |
| (Förhandsversion) GitHub-lagringsplatser ska ha Dependabot-genomsökning aktiverat | GitHub skickar Dependabot-aviseringar när den identifierar säkerhetsrisker i kodberoenden som påverkar lagringsplatser. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada konfidentialiteten, integriteten eller tillgängligheten för projektet eller andra projekt som använder koden. Sårbarheter varierar i typ, allvarlighetsgrad och attackmetod. När koden är beroende av ett paket som har en säkerhetsrisk kan det här sårbara beroendet orsaka en rad problem. (Ingen relaterad princip) | Medium |
Defender for DevOps-rekommendationerna ersatte den inaktuella sårbarhetsskannern för CI/CD-arbetsflöden som ingick i Defender för containrar.
Läs mer om Defender för DevOps
Instrumentpanelen för regelefterlevnad stöder nu manuell kontrollhantering och detaljerad information om Microsofts efterlevnadsstatus
Instrumentpanelen för efterlevnad i Defender för molnet är ett viktigt verktyg för kunder. Den hjälper dem att förstå och spåra sin efterlevnadsstatus. Kunder kan kontinuerligt övervaka miljöer i enlighet med krav från många olika standarder och föreskrifter.
Nu kan du helt hantera din efterlevnadsstatus genom att manuellt intyga driftkontroller och andra kontroller. Nu kan du tillhandahålla bevis på efterlevnad för kontroller som inte är automatiserade. Tillsammans med de automatiserade utvärderingarna kan du nu generera en fullständig efterlevnadsrapport inom ett valt omfång som omfattar alla kontroller för en viss standard.
Med mer detaljerad kontrollinformation och ingående detaljer och bevis för Microsoft efterlevnadsstatus har du nu tillgång till all information som krävs för granskningar.
Exempel på nya fördelar:
Manuella kundåtgärder ger en mekanism för att manuellt intyga kompatibilitet med icke-automatiserade kontroller. Inklusive möjligheten att länka bevis, ange ett efterlevnadsdatum och förfallodatum.
Richer control details for supported standards that showcase Microsoft actions and manual customer actions in addition to the already existing automated customer actions.
Microsoft-åtgärder ger insyn i Microsofts efterlevnadsstatus som omfattar granskningsbedömningsprocedurer, testresultat och Microsofts svar på avvikelser.
Compliance offerings provide a central location to check Azure, Dynamics 365, and Power Platform products and their respective regulatory compliance certifications.
Lär dig mer om hur du förbättrar din regelefterlevnad med Defender för molnet.
Automatisk avetablering har bytt namn till Inställningar och övervakning och har en uppdaterad upplevelse
Vi har bytt namn på sidan Automatisk konfiguration till Inställningar och övervakning.
Automatisk avetablering var tänkt att möjliggöra skalning av förhandskrav, vilket krävs av Defender för molnet avancerade funktioner. För att bättre stödja våra utökade funktioner lanserar vi en ny upplevelse med följande ändringar:
Sidan Defender för molnet planer innehåller nu:
- När du aktiverar en Defender-plan som kräver övervakningskomponenter aktiveras dessa komponenter för automatisk etablering med standardinställningar. Du kan redigera de här inställningarna när som helst.
- Du kan komma åt inställningarna för övervakningskomponenten för varje Defender-plan från sidan Defender-plan.
- Sidan Defender-planer visar tydligt om alla övervakningskomponenter finns på plats för varje Defender-plan eller om din övervakningstäckning är ofullständig.
Sidan Inställningar och övervakning:
- Varje övervakningskomponent anger de Defender-planer som den är relaterad till.
Läs mer om hur du hanterar dina övervakningsinställningar.
CsPM (Cloud Security Posture Management)
En av Microsoft Defender för molnet huvudpelare för molnsäkerhet är CSPM (Cloud Security Posture Management). CSPM ger dig härdningsvägledning som hjälper dig att effektivt och effektivt förbättra din säkerhet. CSPM ger dig också insyn i din aktuella säkerhetssituation.
Vi presenterar en ny Defender-plan: Defender CSPM. Den här planen förbättrar säkerhetsfunktionerna i Defender för molnet och innehåller följande nya och utökade funktioner:
- Kontinuerlig utvärdering av säkerhetskonfigurationen för dina molnresurser
- Säkerhetsrekommendationer för att åtgärda felkonfigurationer och svagheter
- Secure score
- Governance
- Regulatory compliance
- Molnsäkerhetsdiagram
- Analys av attackväg
- Agentlös genomsökning efter datorer
Läs mer om Defender CSPM-planen.
MITRE ATT&CK-ramverksmappning är nu även tillgängligt för AWS- och GCP-säkerhetsrekommendationer
För säkerhetsanalytiker är det viktigt att identifiera de potentiella riskerna med säkerhetsrekommendationer och förstå attackvektorerna, så att de effektivt kan prioritera sina uppgifter.
Defender för molnet underlättar prioriteringen genom att mappa säkerhetsrekommendationerna för Azure, AWS och GCP mot MITRE ATT&CK-ramverket. MITRE ATT&CK-ramverket är en globalt tillgänglig kunskapsbas av angreppstaktiker och tekniker baserade på verkliga observationer, vilket gör det möjligt för kunderna att stärka den säkra konfigurationen av sina miljöer.
MITRE ATT&CK-ramverket är integrerat på tre sätt:
- Rekommendationerna mappar till MITRE ATT&CK-taktiker och -tekniker.
- Fråga MITRE ATT&CK-taktiker och tekniker om rekommendationer med hjälp av Azure Resource Graph.
Defender for Containers har nu stöd för sårbarhetsbedömning för Elastic Container Registry (förhandsversion)
Microsoft Defender för containrar tillhandahåller nu agentlös genomsökning av sårbarhetsbedömning för Elastic Container Registry (ECR) i Amazon AWS. Utöka täckningen för miljöer med flera moln och bygger vidare på lanseringen tidigare i år av avancerat skydd mot hot och Kubernetes-miljöhärdning för AWS och Google GCP. Den agentlösa modellen skapar AWS-resurser i dina konton för att genomsöka dina bilder utan att extrahera bilder från dina AWS-konton och utan fotavtryck på din arbetsbelastning.
Genomsökning av agentlös sårbarhetsbedömning efter bilder i ECR-lagringsplatser hjälper till att minska attackytan för din containerbaserade egendom genom att kontinuerligt genomsöka bilder för att identifiera och hantera sårbarheter i containrar. Med den här nya versionen genomsöker Defender för molnet containeravbildningar när de har push-överförts till lagringsplatsen och utvärderar ecr-containeravbildningarna kontinuerligt i registret. Resultaten är tillgängliga i Microsoft Defender för molnet som rekommendationer och du kan använda Defender för molnet inbyggda automatiserade arbetsflöden för att vidta åtgärder mot resultaten, till exempel genom att öppna ett ärende för att åtgärda en säkerhetsrisk med hög allvarlighetsgrad i en bild.
Läs mer om sårbarhetsbedömning för Amazon ECR-avbildningar.
September 2022
Uppdateringar i september inkluderar:
- Ignorera aviseringar baserat på container- och Kubernetes-entiteter
- Defender för servrar stöder övervakning av filintegritet med Azure Monitor-agenten
- Utfasning av API:er för äldre utvärderingar
- Extra rekommendationer har lagts till i identiteten
- Säkerhetsaviseringar för datorer som rapporterar till Log Analytics-arbetsytor mellan klientorganisationer har tagits bort
Ignorera aviseringar baserat på container- och Kubernetes-entiteter
- Kubernetes Namespace
- Kubernetes Pod
- Kubernetes Secret
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Kubernetes Job
- Kubernetes CronJob
Läs mer om regler för aviseringsundertryckning.
Defender för servrar stöder övervakning av filintegritet med Azure Monitor-agenten
Övervakning av filintegritet (FIM) undersöker operativsystemfiler och register för ändringar som kan tyda på ett angrepp.
FIM är nu tillgängligt i en ny version baserad på Azure Monitor Agent (AMA), som du kan distribuera via Defender för molnet.
Utfasning av API:er för äldre utvärderingar
Följande API:er är inaktuella:
- Security Tasks
- Security Statuses
- Security Summaries
These three APIs exposed old formats of assessments and are replaced by the Assessments APIs and SubAssessments APIs. Alla data som exponeras av dessa äldre API:er är också tillgängliga i de nya API:erna.
Extra rekommendationer har lagts till i identiteten
Defender för molnet rekommendationer för att förbättra hanteringen av användare och konton.
New recommendations
Den nya versionen innehåller följande funktioner:
Utökat utvärderingsomfång – Täckningen förbättras för identitetskonton utan MFA och externa konton på Azure-resurser (i stället för endast prenumerationer) som gör att dina säkerhetsadministratörer kan visa rolltilldelningar per konto.
Förbättrat friskhetsintervall – Identitetsrekommendationerna har nu ett nytthetsintervall på 12 timmar.
Funktionen kontoundantag – Defender för molnet har många funktioner som du kan använda för att anpassa din upplevelse och se till att din säkerhetspoäng återspeglar organisationens säkerhetsprioriteringar. Du kan till exempel undanta resurser och rekommendationer från din säkerhetspoäng.
Med den här uppdateringen kan du undanta specifika konton från utvärdering med de sex rekommendationer som anges i följande tabell.
Vanligtvis skulle du undanta nödkonton för "break glass" från MFA-rekommendationer, eftersom sådana konton ofta avsiktligt utesluts från en organisations MFA-krav. Du kan också ha externa konton som du vill tillåta åtkomst till, som inte har MFA aktiverat.
Tip
När du undantar ett konto visas det inte som felfritt och det leder inte heller till att en prenumeration visas som felaktig.
Recommendation Assessment key Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade 6240402e-f77c-46fa-9060-a7ce53997754 Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade c0cb17b2-0607-48a7-b0e0-903ed22de39b Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Gästkonton med ägarbehörighet för Azure-resurser bör tas bort 20606e75-05c4-48c0-9d97-add6daa2109a Gästkonton med skrivbehörighet för Azure-resurser bör tas bort 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Gästkonton med läsbehörighet för Azure-resurser bör tas bort fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort 050ac097-3dda-4d24-ab6d-82568e7a50cf Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Rekommendationerna visas i förhandsversionen bredvid de rekommendationer som för närvarande finns i allmänt tillgänglig information.
Säkerhetsaviseringar för datorer som rapporterar till Log Analytics-arbetsytor mellan klientorganisationer har tagits bort
Tidigare Defender för molnet låta dig välja den arbetsyta som dina Log Analytics-agenter rapporterar till. När en dator tillhörde en klient (klientorganisation A) men dess Log Analytics-agent rapporterade till en arbetsyta i en annan klientorganisation ("Klient B"), rapporterades säkerhetsaviseringar om datorn till den första klientorganisationen (klient A).
Med den här ändringen visas inte längre aviseringar på datorer som är anslutna till Log Analytics-arbetsytan i en annan klientorganisation i Defender för molnet.
Om du vill fortsätta att ta emot aviseringarna i Defender för molnet ansluter du Log Analytics-agenten för de relevanta datorerna till arbetsytan i samma klientorganisation som datorn.
Learn more about security alerts.
August 2022
Uppdateringar i augusti inkluderar:
- Sårbarheter för att köra avbildningar visas nu med Defender för containrar i dina Windows-containrar
- Azure Monitor Agent-integrering nu i förhandsversion
- Inaktuella VM-aviseringar om misstänkt aktivitet relaterad till ett Kubernetes-kluster
Sårbarheter för att köra avbildningar visas nu med Defender för containrar i dina Windows-containrar
Defender for Containers visar nu sårbarheter för att köra Windows-containrar.
När sårbarheter identifieras genererar Defender för molnet följande säkerhetsrekommendationslista över identifierade problem: Om du kör containeravbildningar bör sårbarhetsresultaten vara lösta.
Läs mer om att visa sårbarheter för att köra bilder.
Azure Monitor Agent-integrering nu i förhandsversion
Defender för molnet innehåller nu förhandsversionsstöd förAzure Monitor Agent (AMA). AMA är avsett att ersätta den äldre Log Analytics-agenten (även kallad Microsoft Monitoring Agent (MMA)), som är på väg mot utfasning. AMA ger många fördelar jämfört med äldre agenter.
I Defender för molnet distribueras agenten på befintliga och nya virtuella datorer och Azure Arc-aktiverade datorer som identifieras i dina prenumerationer när du aktiverar automatisk avetablering för AMA. Om Defender for Cloud-planer är aktiverade samlar AMA in konfigurationsinformation och händelseloggar från virtuella Azure-datorer och Azure Arc-datorer. AMA-integreringen är i förhandsversion, så vi rekommenderar att du använder den i testmiljöer i stället för i produktionsmiljöer.
Inaktuella VM-aviseringar om misstänkt aktivitet relaterad till ett Kubernetes-kluster
I följande tabell visas de aviseringar som är inaktuella:
| Alert name | Description | Tactics | Severity |
|---|---|---|---|
|
Docker-byggåtgärd identifierad på en Kubernetes-nod (VM_ImageBuildOnNode) |
Datorloggar anger en byggåtgärd av en containeravbildning på en Kubernetes-nod. Även om det här beteendet kan vara legitimt kan angripare skapa sina skadliga avbildningar lokalt för att undvika identifiering. | Defense Evasion | Low |
|
Misstänkt begäran till Kubernetes API (VM_KubernetesAPI) |
Datorloggar anger att en misstänkt begäran gjordes till Kubernetes API. Begäran skickades från en Kubernetes-nod, eventuellt från en av containrarna som körs i noden. Även om det här beteendet kan vara avsiktligt kan det tyda på att noden kör en komprometterad container. | LateralMovement | Medium |
|
SSH-servern körs i en container (VM_ContainerSSH) |
Datorloggar anger att en SSH-server körs i en Docker-container. Även om det här beteendet kan vara avsiktligt indikerar det ofta att en container är felkonfigurerad eller har brutits. | Execution | Medium |
Dessa aviseringar används för att meddela en användare om misstänkt aktivitet som är ansluten till ett Kubernetes-kluster. Aviseringarna ersätts med matchande aviseringar som ingår i Microsoft Defender för molnet Container-aviseringar (K8S.NODE_ImageBuildOnNodeK8S.NODE_ KubernetesAPIoch K8S.NODE_ ContainerSSH) som ger bättre återgivning och omfattande kontext för att undersöka och agera på aviseringarna. Learn more about alerts for Kubernetes Clusters.
Containersårbarheter innehåller nu detaljerad paketinformation
Defender for Container's vulnerability assessment (VA) innehåller nu detaljerad paketinformation för varje sökning, inklusive: paketnamn, pakettyp, sökväg, installerad version och fast version. Med paketinformationen kan du hitta sårbara paket så att du kan åtgärda säkerhetsrisken eller ta bort paketet.
Den här detaljerade paketinformationen är tillgänglig för nya genomsökningar av bilder.
July 2022
Uppdateringar i juli inkluderar:
- Allmän tillgänglighet (GA) för den molnbaserade säkerhetsagenten för Kubernetes-körningsskydd
- Defender for Containers VA lägger till stöd för identifiering av språkspecifika paket (förhandsversion)
- Skydda mot säkerhetsrisken i Operations Management Infrastructure CVE-2022-29149
- Integrering med Entra-behörighetshantering
- Key Vault-rekommendationer har ändrats till "granskning"
- Inaktuella API-appprinciper för App Service
Allmän tillgänglighet (GA) för den molnbaserade säkerhetsagenten för Kubernetes Runtime-skydd
Vi är glada över att kunna dela med oss av att den molnbaserade säkerhetsagenten för Kubernetes-körningsskydd nu är allmänt tillgänglig (GA)!
Produktionsdistributionerna av Kubernetes-kluster fortsätter att växa allt eftersom kunderna fortsätter att containerisera sina program. För att hjälpa till med den här tillväxten har Defender for Containers-teamet utvecklat en molnbaserad Kubernetes-orienterad säkerhetsagent.
Den nya säkerhetsagenten är en Kubernetes DaemonSet, baserad på eBPF-teknik och är helt integrerad i AKS-kluster som en del av AKS-säkerhetsprofilen.
Aktiveringen av säkerhetsagenten är tillgänglig via automatisk konfiguration, rekommendationer, AKS RP eller i stor skala med hjälp av Azure Policy.
Du kan distribuera Defender-agenten i dag i dina AKS-kluster.
Med det här meddelandet är körningsskyddet – hotidentifiering (arbetsbelastning) nu också allmänt tillgängligt.
Learn more about the Defender for Container's feature availability.
Du kan också granska alla tillgängliga aviseringar.
Observera att om du använder förhandsversionen AKS-AzureDefender krävs inte längre funktionsflaggan.
Defender for Containers VA lägger till stöd för identifiering av språkspecifika paket (förhandsversion)
Defender for Containers sårbarhetsbedömning (VA) kan identifiera sårbarheter i OS-paket som distribueras via operativsystemets pakethanterare. Vi har nu utökat VA:s möjligheter att identifiera sårbarheter som ingår i språkspecifika paket.
Den här funktionen är i förhandsversion och är endast tillgänglig för Linux-avbildningar.
Om du vill se alla inkluderade språkspecifika paket som har lagts till kan du läsa Defender for Containers fullständiga lista över funktioner och deras tillgänglighet.
Skydda mot säkerhetsrisken i Operations Management Infrastructure CVE-2022-29149
Operations Management Infrastructure (OMI) är en samling molnbaserade tjänster för hantering av lokala miljöer och molnmiljöer från en enda plats. I stället för att distribuera och hantera lokala resurser finns OMI-komponenter helt i Azure.
Log Analytics integrated with Azure HDInsight running OMI version 13 requires a patch to remediate CVE-2022-29149. Läs rapporten om den här säkerhetsrisken i microsofts säkerhetsuppdateringsguide för information om hur du identifierar resurser som påverkas av den här säkerhetsrisken och reparationsstegen.
If you have Defender for Servers enabled with Vulnerability Assessment, you can use this workbook to identify affected resources.
Integrering med Entra-behörighetshantering
Defender för molnet har integrerats med Microsoft Entra – behörighetshantering, en CIEM-lösning (cloud infrastructure entitlement management) som ger omfattande synlighet och kontroll över behörigheter för alla identiteter och resurser i Azure, AWS och GCP.
Varje Azure-prenumeration, AWS-konto och GCP-projekt som du registrerar visar nu en vy över ditt Permission Creep Index (PCI).
Läs mer om Entra-behörighetshantering (tidigare Cloudknox)
Key Vault-rekommendationer har ändrats till "granskning"
Effekten för Key Vault-rekommendationerna som anges här ändrades till "granskning":
| Recommendation name | Recommendation ID |
|---|---|
| Giltighetsperioden för certifikat som lagras i Azure Key Vault får inte överstiga 12 månader | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Key Vault-hemligheter bör ha ett utgångsdatum | 14257785-9437-97fa-11ae-898cfb24302b |
| Key Vault-nycklar bör ha ett förfallodatum | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Inaktuella API-appprinciper för App Service
Vi inaktuella följande principer till motsvarande principer som redan finns för att inkludera API-appar:
| För att bli inaktuell | Changing to |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
June 2022
Uppdateringar i juni inkluderar:
- Allmän tillgänglighet (GA) för Microsoft Defender för Azure Cosmos DB
- Allmän tillgänglighet (GA) för Defender för SQL på datorer för AWS- och GCP-miljöer
- Driva implementering av säkerhetsrekommendationer för att förbättra din säkerhetsstatus
- Filtrera säkerhetsaviseringar efter IP-adress
- Aviseringar efter resursgrupp
- Automatisk avetablering av Microsoft Defender för Endpoint enhetlig lösning
- Inaktuell "API-appen ska endast vara tillgänglig via HTTPS"-principen
- Nya Key Vault-aviseringar
Allmän tillgänglighet (GA) för Microsoft Defender för Azure Cosmos DB
Microsoft Defender för Azure Cosmos DB är nu allmänt tillgängligt (GA) och har stöd för API-kontotyper för SQL (core).
Den här nya versionen av GA är en del av Microsoft Defender för molnet databasskyddssviten, som innehåller olika typer av SQL-databaser och MariaDB. Microsoft Defender för Azure Cosmos DB är ett internt Azure-säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB-konton.
Genom att aktivera den här planen får du en avisering om potentiella SQL-inmatningar, kända dåliga aktörer, misstänkta åtkomstmönster och potentiella utforskningar av databasen via komprometterade identiteter eller skadliga insiders.
När potentiellt skadliga aktiviteter identifieras genereras säkerhetsaviseringar. Dessa aviseringar innehåller information om misstänkt aktivitet tillsammans med relevanta undersökningssteg, reparationsåtgärder och säkerhetsrekommendationer.
Microsoft Defender för Azure Cosmos DB analyserar kontinuerligt telemetriströmmen som genereras av Azure Cosmos DB-tjänsterna och korsar dem med Microsoft Threat Intelligence och beteendemodeller för att identifiera misstänkt aktivitet. Defender för Azure Cosmos DB har inte åtkomst till Azure Cosmos DB-kontodata och har ingen effekt på databasens prestanda.
Läs mer om Microsoft Defender för Azure Cosmos DB.
Med tillägg av stöd för Azure Cosmos DB tillhandahåller Defender för molnet nu ett av de mest omfattande arbetsbelastningsskyddserbjudandena för molnbaserade databaser. Säkerhetsteam och databasägare kan nu ha en centraliserad upplevelse för att hantera sin databassäkerhet i sina miljöer.
Learn how to enable protections for your databases.
Allmän tillgänglighet (GA) för Defender för SQL på datorer för AWS- och GCP-miljöer
Databasskyddsfunktionerna som tillhandahålls av Microsoft Defender för molnet har lagt till stöd för dina SQL-servrar som finns i antingen AWS- eller GCP-miljöer.
Företag kan nu skydda hela sin databasegendom i Azure, AWS, GCP och lokala datorer.
Microsoft Defender för SQL ger en enhetlig upplevelse med flera moln för att visa säkerhetsrekommendationer, säkerhetsaviseringar och sårbarhetsbedömningsresultat för både SQL-servern och det understrykande Windows-operativsystemet.
Med hjälp av registreringsmiljön för flera moln kan du aktivera och framtvinga databasskydd för SQL-servrar som körs på AWS EC2, RDS Custom för SQL Server och GCP-beräkningsmotorn. När du har aktiverat något av dessa planer skyddas alla resurser som stöds i prenumerationen. Framtida resurser som skapas i samma prenumeration kommer också att skyddas.
Learn how to protect and connect your AWS environment and your GCP organization with Microsoft Defender for Cloud.
Driva implementering av säkerhetsrekommendationer för att förbättra din säkerhetsstatus
Dagens ökande hot mot organisationer tänjer på gränserna för säkerhetspersonal för att skydda deras växande arbetsbelastningar. Säkerhetsteamen uppmanas att implementera de skydd som definieras i deras säkerhetsprinciper.
Nu med styrningsupplevelsen i förhandsversionen kan säkerhetsteam tilldela åtgärd av säkerhetsrekommendationer till resursägarna och kräva ett reparationsschema. De kan ha fullständig insyn i förloppet för reparationen och få aviseringar när uppgifter är försenade.
Läs mer om styrningsupplevelsen i Köra din organisation för att åtgärda säkerhetsproblem med rekommendationsstyrning.
Filtrera säkerhetsaviseringar efter IP-adress
I många fall av attacker vill du spåra aviseringar baserat på IP-adressen för den entitet som är inblandad i attacken. Hittills har IP-adressen endast dykt upp i avsnittet "Relaterade entiteter" i det enda aviseringsfönstret. Nu kan du filtrera aviseringarna på sidan säkerhetsaviseringar för att se aviseringarna som är relaterade till IP-adressen, och du kan söka efter en specifik IP-adress.
Aviseringar efter resursgrupp
Möjligheten att filtrera, sortera och gruppera efter resursgrupp läggs till på sidan Säkerhetsaviseringar.
En resursgruppskolumn läggs till i rutnätet för aviseringar.
Ett nytt filter läggs till som gör att du kan visa alla aviseringar för specifika resursgrupper.
Nu kan du även gruppera dina aviseringar efter resursgrupp för att visa alla aviseringar för var och en av dina resursgrupper.
Automatisk avetablering av Microsoft Defender för Endpoint enhetlig lösning
Hittills har integreringen med Microsoft Defender för Endpoint (MDE) inkluderat automatisk installation av den nya MDE-enhetliga lösningen för datorer (Azure-prenumerationer och anslutningsprogram för flera moln) med Defender for Servers Plan 1 aktiverat och för anslutningsprogram för flera moln med Defender for Servers Plan 2 aktiverat. Abonnemang 2 för Azure-prenumerationer aktiverade endast den enhetliga lösningen för Linux-datorer och Windows 2019- och 2022-servrar. Windows-servrarna 2012R2 och 2016 använde den äldre MDE-lösningen som är beroende av Log Analytics-agenten.
Nu är den nya enhetliga lösningen tillgänglig för alla datorer i båda abonnemangen, både för Azure-prenumerationer och anslutningsprogram för flera moln. For Azure subscriptions with Servers Plan 2 that enabled MDE integration after June 20, 2022, the unified solution is enabled by default for all machines Azure subscriptions with the Defender for Servers Plan 2 enabled with MDE integration before June 20, 2022 can now enable unified solution installation for Windows servers 2012R2 and 2016 through the dedicated button in the Integrations page:
Läs mer om MDE-integrering med Defender för servrar.
Inaktuell "API-appen ska endast vara tillgänglig via HTTPS"-principen
Principen API App should only be accessible over HTTPS är inaktuell. Den här principen ersätts med Web Application should only be accessible over HTTPS principen, som har bytt namn till App Service apps should only be accessible over HTTPS.
Mer information om principdefinitioner för Azure App Service finns i Inbyggda Azure Policy-definitioner för Azure App Service.
Nya Key Vault-aviseringar
För att utöka hotskyddet från Microsoft Defender för Key Vault har vi lagt till två nya aviseringar.
Dessa aviseringar informerar dig om en åtkomst nekad avvikelse, identifieras för något av dina nyckelvalv.
| Avisering (aviseringstyp) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Ovanlig åtkomst nekad – Användare som har åtkomst till stora mängder nyckelvalv nekas (KV_DeniedAccountVolumeAnomaly) |
En användare eller tjänstens huvudnamn har försökt komma åt avvikande stora mängder nyckelvalv under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar. | Discovery | Low |
|
Ovanlig åtkomst nekad – Ovanlig användare som har åtkomst till nyckelvalvet nekad (KV_UserAccessDeniedAnomaly) |
En nyckelvalvsåtkomst försöktes av en användare som normalt inte har åtkomst till den. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. | Initial åtkomst, identifiering | Low |
May 2022
Uppdateringar i maj inkluderar:
- Inställningar för flera moln för serverplanen är nu tillgängliga på anslutningsnivå
- JIT-åtkomst (just-in-time) för virtuella datorer är nu tillgänglig för AWS EC2-instanser (förhandsversion)
- Lägga till och ta bort Defender-sensorn för AKS-kluster med hjälp av CLI
Inställningar för flera moln för serverplanen är nu tillgängliga på anslutningsnivå
Det finns nu inställningar på anslutningsnivå för Defender för servrar i flera moln.
De nya inställningarna på anslutningsnivå ger detaljerad information om prissättning och automatisk konfiguration per anslutningsapp, oberoende av prenumerationen.
Alla komponenter för automatisk konfiguration som är tillgängliga på anslutningsnivå (Azure Arc, MDE och sårbarhetsbedömningar) är aktiverade som standard, och den nya konfigurationen stöder prisnivåer för både plan 1 och plan 2.
Uppdateringar i användargränssnittet innehåller en återspegling av den valda prisnivån och de nödvändiga komponenter som konfigurerats.
Ändringar i sårbarhetsbedömning
Defender for Containers visar nu sårbarheter som har medelhög och låg allvarlighetsgrad som inte kan korrigeras.
Som en del av den här uppdateringen visas nu sårbarheter som har medelhög och låg allvarlighetsgrad, oavsett om korrigeringar är tillgängliga eller inte. Den här uppdateringen ger maximal synlighet, men gör att du fortfarande kan filtrera bort oönskade sårbarheter med hjälp av den angivna inaktivera-regeln.
Learn more about vulnerability management
JIT-åtkomst (just-in-time) för virtuella datorer är nu tillgänglig för AWS EC2-instanser (förhandsversion)
När du ansluter AWS-konton utvärderar JIT automatiskt nätverkskonfigurationen för din instans säkerhetsgrupper och rekommenderar vilka instanser som behöver skydd för sina exponerade hanteringsportar. Detta liknar hur JIT fungerar med Azure. När du registrerar oskyddade EC2-instanser blockerar JIT offentlig åtkomst till hanteringsportarna och öppnar dem endast med auktoriserade begäranden under en begränsad tidsperiod.
Lär dig hur JIT skyddar dina AWS EC2-instanser
Lägga till och ta bort Defender-sensorn för AKS-kluster med hjälp av CLI
The Defender agent is required for Defender for Containers to provide the runtime protections and collects signals from nodes. Nu kan du använda Azure CLI för att lägga till och ta bort Defender-agenten för ett AKS-kluster.
Note
Det här alternativet ingår i Azure CLI 3.7 och senare.
April 2022
Uppdateringar i april inkluderar:
- Nya Defender för servrar-planer
- Flytt av anpassade rekommendationer
- PowerShell-skript för att strömma aviseringar till Splunk och QRadar
- Inaktuell rekommendation för Azure Cache for Redis
- Ny aviseringsvariant för Microsoft Defender för lagring (förhandsversion) för att identifiera exponering av känsliga data
- Aviseringsrubrik för containergenomsökning utökad med IP-adressrykte
- Se aktivitetsloggarna som är relaterade till en säkerhetsavisering
Nya Defender för servrar-planer
Microsoft Defender för servrar erbjuds nu i två inkrementella planer:
- Defender för servrar, plan 2, tidigare Defender för servrar
- Defender för servrar, plan 1, ger endast stöd för Microsoft Defender för Endpoint
Defender för servrar plan 2 fortsätter att ge skydd mot hot och sårbarheter i molnet och lokala arbetsbelastningar, men Defender för servrar Plan 1 ger endast slutpunktsskydd som drivs av den inbyggda Defender för Endpoint. Läs mer om Defender for Servers-planer.
Om du har använt Defender för servrar hittills krävs ingen åtgärd.
Dessutom börjar Defender för molnet också gradvis stöd för Defender for Endpoint Unified Agent för Windows Server 2012 R2 och 2016. Defender for Servers Plan 1 distribuerar den nya enhetliga agenten till Windows Server 2012 R2- och 2016-arbetsbelastningar.
Flytt av anpassade rekommendationer
Anpassade rekommendationer är de som skapats av användare och har ingen effekt på säkerhetspoängen. De anpassade rekommendationerna finns nu på fliken Alla rekommendationer.
Använd det nya filtret "rekommendationstyp" för att hitta anpassade rekommendationer.
Läs mer i Skapa anpassade säkerhetsinitiativ och principer.
PowerShell-skript för att strömma aviseringar till Splunk och IBM QRadar
Vi rekommenderar att du använder Event Hubs och en inbyggd anslutningsapp för att exportera säkerhetsaviseringar till Splunk och IBM QRadar. Nu kan du använda ett PowerShell-skript för att konfigurera de Azure-resurser som behövs för att exportera säkerhetsaviseringar för din prenumeration eller klientorganisation.
Ladda bara ned och kör PowerShell-skriptet. När du har angett några detaljer om din miljö konfigurerar skriptet resurserna åt dig. Skriptet genererar sedan utdata som du använder i SIEM-plattformen för att slutföra integreringen.
Mer information finns i Stream-aviseringar till Splunk och QRadar.
Inaktuell rekommendation för Azure Cache for Redis
Rekommendationen Azure Cache for Redis should reside within a virtual network (förhandsversion) är inaktuell. Vi har ändrat vår vägledning för att skydda Azure Cache for Redis-instanser. Vi rekommenderar att du använder en privat slutpunkt för att begränsa åtkomsten till din Azure Cache for Redis-instans i stället för ett virtuellt nätverk.
Ny aviseringsvariant för Microsoft Defender för lagring (förhandsversion) för att identifiera exponering av känsliga data
Microsoft Defender for Storages aviseringar meddelar dig när hotaktörer försöker genomsöka och exponera, korrekt eller inte, felkonfigurerade, offentligt öppna lagringscontainrar för att försöka exfiltera känslig information.
För att möjliggöra snabbare sortering och svarstid, när exfiltrering av potentiellt känsliga data kan ha inträffat, har vi släppt en ny variant av den befintliga Publicly accessible storage containers have been exposed aviseringen.
Den nya aviseringen, Publicly accessible storage containers with potentially sensitive data have been exposed, utlöses med allvarlighetsgrad High , efter en lyckad identifiering av en offentligt öppen lagringscontainer med namn som statistiskt sett sällan har exponerats offentligt, vilket tyder på att de kan innehålla känslig information.
| Avisering (aviseringstyp) | Description | MITRE tactic | Severity |
|---|---|---|---|
|
FÖRHANDSVERSION – Offentligt tillgängliga lagringscontainrar med potentiellt känsliga data har exponerats (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Någon har skannat ditt Azure Storage-konto och exponerat containrar som tillåter offentlig åtkomst. En eller flera av de exponerade containrarna har namn som anger att de kan innehålla känsliga data. Detta indikerar vanligtvis rekognosering av en hotskådespelare som söker efter felkonfigurerade offentligt tillgängliga lagringscontainrar som kan innehålla känsliga data. När en hotskådespelare har upptäckt en container kan de fortsätta genom att exfiltratera data. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Aviseringsrubrik för containergenomsökning utökad med IP-adressrykte
En IP-adresss rykte kan ange om genomsökningsaktiviteten kommer från en känd hotskådespelare eller från en aktör som använder Tor-nätverket för att dölja sin identitet. Båda dessa indikatorer tyder på att det finns skadlig avsikt. IP-adressens rykte tillhandahålls av Microsoft Threat Intelligence.
Tillägget av IP-adressens rykte till aviseringstiteln ger ett sätt att snabbt utvärdera aktörens avsikt och därmed hotets allvarlighetsgrad.
Följande aviseringar innehåller den här informationen:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Den tillagda informationen i aviseringens Publicly accessible storage containers have been exposed rubrik ser till exempel ut så här:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Alla aviseringar för Microsoft Defender för Lagring fortsätter att innehålla information om hotinformation i IP-entiteten under aviseringens avsnitt Relaterade entiteter.
Se aktivitetsloggarna som är relaterade till en säkerhetsavisering
Som en del av de åtgärder du kan vidta för att utvärdera en säkerhetsavisering hittar du relaterade plattformsloggar i Granska resurskontext för att få kontext om den berörda resursen. Microsoft Defender för molnet identifierar plattformsloggar som ligger inom en dag efter aviseringen.
Plattformsloggarna kan hjälpa dig att utvärdera säkerhetshotet och identifiera de steg du kan vidta för att minska den identifierade risken.
March 2022
Uppdateringar i mars inkluderar:
- Global tillgänglighet för säkerhetspoäng för AWS- och GCP-miljöer
- Inaktuella rekommendationer för att installera datainsamlingsagenten för nätverkstrafik
- Defender for Containers kan nu söka efter sårbarheter i Windows-avbildningar (förhandsversion)
- Ny avisering för Microsoft Defender för Lagring (förhandsversion)
- Konfigurera inställningar för e-postaviseringar från en avisering
- Inaktuell förhandsgranskningsavisering: ARM. MCAS_ActivityFromAnonymousIPAddresses
- Flyttade rekommendationen Sårbarheter i containersäkerhetskonfigurationer bör åtgärdas från säkerhetspoängen till bästa praxis
- Inaktuell rekommendation om att använda tjänstens huvudnamn för att skydda dina prenumerationer
- Äldre implementering av ISO 27001 ersatt med nytt ISO 27001:2013-initiativ
- Inaktuella rekommendationer för Microsoft Defender for IoT-enheter
- Inaktuella Aviseringar för Microsoft Defender för IoT-enheter
- Hållningshantering och skydd mot hot för AWS och GCP som släppts för allmän tillgänglighet (GA)
- Registersökning efter Windows-avbildningar i ACR har lagt till stöd för nationella moln
Global tillgänglighet för säkerhetspoäng för AWS- och GCP-miljöer
Funktionerna för hantering av molnsäkerhetsstatus som tillhandahålls av Microsoft Defender för molnet har nu lagt till stöd för dina AWS- och GCP-miljöer i din säkerhetspoäng.
Företag kan nu visa sin övergripande säkerhetsstatus i olika miljöer, till exempel Azure, AWS och GCP.
Sidan Säkerhetspoäng ersätts med instrumentpanelen säkerhetsstatus. Med instrumentpanelen säkerhetsstatus kan du visa en övergripande kombinerad poäng för alla dina miljöer, eller en uppdelning av din säkerhetsstatus baserat på valfri kombination av miljöer som du väljer.
Sidan Rekommendationer har också gjorts om för att ge nya funktioner som: val av molnmiljö, avancerade filter baserat på innehåll (resursgrupp, AWS-konto, GCP-projekt med mera), förbättrat användargränssnitt med låg upplösning, stöd för öppen fråga i resursdiagram med mera. You can learn more about your overall security posture and security recommendations.
Inaktuella rekommendationer för att installera datainsamlingsagenten för nätverkstrafik
Ändringar i vår översikt och prioriteringar har tagit bort behovet av datainsamlingsagenten för nätverkstrafik. Följande två rekommendationer och deras relaterade principer var inaktuella.
| Recommendation | Description | Severity |
|---|---|---|
| Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Defender för molnet använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | Medium |
| Datainsamlingsagenten för nätverkstrafik ska installeras på virtuella Windows-datorer | Defender för molnet använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | Medium |
Defender for Containers kan nu söka efter sårbarheter i Windows-avbildningar (förhandsversion)
Defender for Containers avbildningsgenomsökning stöder nu Windows-avbildningar som finns i Azure Container Registry. Den här funktionen är kostnadsfri medan den är i förhandsversion och medför en kostnad när den blir allmänt tillgänglig.
Läs mer i Använda Microsoft Defender för container för att genomsöka dina avbildningar efter säkerhetsrisker.
Ny avisering för Microsoft Defender för Lagring (förhandsversion)
För att utöka hotskyddet från Microsoft Defender för Lagring har vi lagt till en ny förhandsversionsavisering.
Hotaktörer använder program och verktyg för att identifiera och komma åt lagringskonton. Microsoft Defender för Storage identifierar dessa program och verktyg så att du kan blockera dem och åtgärda din hållning.
Den här förhandsgranskningsaviseringen kallas Access from a suspicious application. Aviseringen är relevant för Azure Blob Storage och endast ADLS Gen2.
| Avisering (aviseringstyp) | Description | MITRE tactic | Severity |
|---|---|---|---|
|
FÖRHANDSVERSION – Åtkomst från ett misstänkt program (Storage.Blob_SuspiciousApp) |
Anger att ett misstänkt program har åtkomst till en container för ett lagringskonto med autentisering. Detta kan tyda på att en angripare har fått de autentiseringsuppgifter som krävs för att komma åt kontot och utnyttjar det. Detta kan också vara en indikation på ett intrångstest som utförs i din organisation. Gäller för: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Initial Access | Medium |
Konfigurera inställningar för e-postaviseringar från en avisering
Ett nytt avsnitt har lagts till i aviseringen Användargränssnitt (UI) som gör att du kan visa och redigera vem som ska ta emot e-postaviseringar för aviseringar som utlöses i den aktuella prenumerationen.
Lär dig hur du konfigurerar e-postaviseringar för säkerhetsaviseringar.
Inaktuell förhandsgranskningsavisering: ARM. MCAS_ActivityFromAnonymousIPAddresses
Följande förhandsgranskningsavisering är inaktuell:
| Alert name | Description |
|---|---|
|
FÖRHANDSVERSION – Aktivitet från en riskabel IP-adress (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Användaraktivitet från en IP-adress som har identifierats som en anonym proxy-IP-adress har identifierats. Dessa proxyservrar används av personer som vill dölja sin enhets IP-adress och kan användas för skadlig avsikt. Den här identifieringen använder en maskininlärningsalgoritm som minskar falska positiva identifieringar, till exempel felmärkta IP-adresser som ofta används av användare i organisationen. Kräver en aktiv Microsoft Defender för molnet Apps-licens. |
En ny avisering skapades som ger den här informationen och lägger till den. Dessutom kräver inte de nyare aviseringarna (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) någon licens för Microsoft Defender för molnet Apps (kallades tidigare Microsoft Cloud App Security).
See more alerts for Resource Manager.
Flyttade rekommendationen Sårbarheter i containersäkerhetskonfigurationer bör åtgärdas från säkerhetspoängen till bästa praxis
Rekommendationen Vulnerabilities in container security configurations should be remediated flyttades från avsnittet säkerhetspoäng till avsnittet metodtips.
Den aktuella användarupplevelsen ger bara poängen när alla efterlevnadskontroller har passerat. De flesta kunder har problem med att uppfylla alla nödvändiga kontroller. Vi arbetar på en förbättrad upplevelse för den här rekommendationen och när rekommendationen har släppts flyttas den tillbaka till säkerhetspoängen.
Inaktuell rekommendation om att använda tjänstens huvudnamn för att skydda dina prenumerationer
När organisationer går från att använda hanteringscertifikat för att hantera sina prenumerationer och vårt senaste meddelande om att vi drar tillbaka cloud services-distributionsmodellen (klassisk) har vi föråldrat följande Defender för molnet rekommendation och dess relaterade princip:
| Recommendation | Description | Severity |
|---|---|---|
| Tjänstens huvudnamn ska användas för att skydda dina prenumerationer i stället för hanteringscertifikat | Med hanteringscertifikat kan alla som autentiserar med dem hantera de prenumerationer som de är associerade med. Om du vill hantera prenumerationer på ett säkrare sätt rekommenderar vi att du använder tjänstens huvudnamn med Resource Manager för att begränsa explosionsradien om ett certifikat komprometteras. Den automatiserar även resurshantering. (Relaterad princip: Tjänstens huvudnamn ska användas för att skydda dina prenumerationer i stället för hanteringscertifikat) |
Medium |
Learn more:
- Distributionsmodellen för Cloud Services (klassisk) upphör den 31 augusti 2024
- Översikt över Azure Cloud Services (klassisk)
- Arbetsflöde för klassisk arkitektur för virtuella Datorer i Microsoft Azure – inklusive grunderna i RDFE-arbetsflöde
Äldre implementering av ISO 27001 ersatt med nytt ISO 27001:2013-initiativ
Den äldre implementeringen av ISO 27001 togs bort från Defender för molnet instrumentpanel för regelefterlevnad. Om du spårar din ISO 27001-efterlevnad med Defender för molnet registrerar du den nya ISO 27001:2013-standarden för alla relevanta hanteringsgrupper eller prenumerationer.
Inaktuella rekommendationer för Microsoft Defender for IoT-enheter
Rekommendationerna för Microsoft Defender för IoT-enheter visas inte längre i Microsoft Defender för molnet. De här rekommendationerna är fortfarande tillgängliga på sidan Rekommendationer för Microsoft Defender för IoT.
Följande rekommendationer är inaktuella:
| Assessment key | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT-enheter | Öppna portar på enheten |
| ba975338-f956-41e7-a9f2-7614832d382d: IoT-enheter | Tillåten brandväggsregel i indatakedjan hittades |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT-enheter | Tillåten brandväggsprincip i en av kedjorna hittades |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT-enheter | Tillåten brandväggsregel i utdatakedjan hittades |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT-enheter | Valideringsfel för operativsystemets baslinje |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT-enheter | Agent som skickar underutnytttagna meddelanden |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT-enheter | Uppgradering av TLS-chifferpaket krävs |
| d74d2738-2485-4103-9919-69c7e63776ec: IoT-enheter |
Auditd processen slutade skicka händelser |
Inaktuella Aviseringar för Microsoft Defender för IoT-enheter
Alla aviseringar från Microsofts Defender for IoT-enheter visas inte längre i Microsoft Defender för molnet. De här aviseringarna är fortfarande tillgängliga på sidan Avisering för Microsoft Defender för IoT och i Microsoft Sentinel.
Hållningshantering och skydd mot hot för AWS och GCP som släppts för allmän tillgänglighet (GA)
Defender för molnet CSPM-funktioner utökas till dina AWS- och GCP-resurser. Den här agentlösa planen utvärderar dina multimolnresurser enligt molnspecifika säkerhetsrekommendationer som ingår i din säkerhetspoäng. Resurserna utvärderas för efterlevnad med hjälp av de inbyggda standarderna. Defender för molnet tillgångslagersida är en funktion med flera moln som gör att du kan hantera dina AWS-resurser tillsammans med dina Azure-resurser.
Microsoft Defender för servrar ger hotidentifiering och avancerat skydd till dina beräkningsinstanser i AWS och GCP. Defender for Servers-planen innehåller en integrerad licens för Microsoft Defender för Endpoint, genomsökning av sårbarhetsbedömning med mera. Lär dig mer om alla funktioner som stöds för virtuella datorer och servrar. Med funktioner för automatisk registrering kan du enkelt ansluta befintliga eller nya beräkningsinstanser som identifieras i din miljö.
Learn how to protect and connect your AWS environment and GCP organization with Microsoft Defender for Cloud.
Registersökning efter Windows-avbildningar i ACR har lagt till stöd för nationella moln
Registersökning efter Windows-avbildningar stöds nu i Azure Government och Microsoft Azure som drivs av 21Vianet. Det här tillägget är för närvarande i förhandsversion.
Learn more about our feature's availability.
February 2022
Uppdateringar i februari inkluderar:
- Kubernetes-arbetsbelastningsskydd för Arc-aktiverade Kubernetes-kluster
- Inbyggd CSPM för GCP och skydd mot hot för GCP-beräkningsinstanser
- Microsoft Defender för Azure Cosmos DB-plan som släppts för förhandsversion
- Hotskydd för GKE-kluster (Google Kubernetes Engine)
Kubernetes-arbetsbelastningsskydd för Arc-aktiverade Kubernetes-kluster
Defender for Containers skyddade tidigare endast Kubernetes-arbetsbelastningar som körs i Azure Kubernetes Service. Nu har vi utökat skyddstäckningen till att omfatta Azure Arc-aktiverade Kubernetes-kluster.
Lär dig hur du konfigurerar ditt Kubernetes-arbetsbelastningsskydd för AKS- och Azure Arc-aktiverade Kubernetes-kluster.
Inbyggd CSPM för GCP och skydd mot hot för GCP-beräkningsinstanser
Med den nya automatiserade registreringen av GCP-miljöer kan du skydda GCP-arbetsbelastningar med Microsoft Defender för molnet. Defender för molnet skyddar dina resurser med följande planer:
Defender för molnet CSPM-funktioner utökas till dina GCP-resurser. Den här agentlösa planen utvärderar dina GCP-resurser enligt de GCP-specifika säkerhetsrekommendationer som tillhandahålls med Defender för molnet. GCP-rekommendationer ingår i din säkerhetspoäng och resurserna utvärderas för kompatibilitet med den inbyggda GCP CIS-standarden. Defender för molnet tillgångslagersida är en funktion med flera moln som hjälper dig att hantera dina resurser i Azure, AWS och GCP.
Microsoft Defender för servrar ger hotidentifiering och avancerat skydd till dina GCP-beräkningsinstanser. Den här planen innehåller den integrerade licensen för Microsoft Defender för Endpoint, genomsökning av sårbarhetsbedömning med mera.
En fullständig lista över tillgängliga funktioner finns i Funktioner som stöds för virtuella datorer och servrar. Med funktioner för automatisk registrering kan du enkelt ansluta befintliga och nya beräkningsinstanser som identifieras i din miljö.
Lär dig hur du skyddar och ansluter dina GCP-projekt med Microsoft Defender för molnet.
Microsoft Defender för Azure Cosmos DB-plan som släppts för förhandsversion
Vi har utökat Microsoft Defender för molnet databastäckning. Nu kan du aktivera skydd för dina Azure Cosmos DB-databaser.
Microsoft Defender för Azure Cosmos DB är ett Azure-inbyggt säkerhetslager som identifierar alla försök att utnyttja databaser i dina Azure Cosmos DB-konton. Microsoft Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Threat Intelligence, misstänkta åtkomstmönster och potentiellt utnyttjande av databasen via komprometterade identiteter eller skadliga insiders.
Den analyserar kontinuerligt kunddataströmmen som genereras av Azure Cosmos DB-tjänsterna.
När potentiellt skadliga aktiviteter identifieras genereras säkerhetsaviseringar. Dessa aviseringar visas i Microsoft Defender för molnet tillsammans med information om den misstänkta aktiviteten tillsammans med relevanta undersökningssteg, reparationsåtgärder och säkerhetsrekommendationer.
Databasprestanda påverkas inte när tjänsten aktiveras eftersom Defender för Azure Cosmos DB inte har åtkomst till Azure Cosmos DB-kontodata.
Läs mer i Översikt över Microsoft Defender för Azure Cosmos DB.
Vi introducerar också en ny aktiveringsupplevelse för databassäkerhet. Nu kan du aktivera Microsoft Defender för molnet skydd för din prenumeration för att skydda alla databastyper, till exempel Azure Cosmos DB, Azure SQL Database, Azure SQL-servrar på datorer och Microsoft Defender för relationsdatabaser med öppen källkod genom en aktiveringsprocess. Specifika resurstyper kan inkluderas eller exkluderas genom att du konfigurerar din plan.
Lär dig hur du aktiverar din databassäkerhet på prenumerationsnivå.
Hotskydd för GKE-kluster (Google Kubernetes Engine)
Efter vårt senaste meddelande om inbyggd CSPM för GCP och skydd mot hot för GCP-beräkningsinstanser har Microsoft Defender för containrar utökat sitt Kubernetes-hotskydd, beteendeanalys och inbyggda principer för antagningskontroll till Googles Kubernetes Engine-standardkluster. Du kan enkelt registrera befintliga eller nya GKE Standard-kluster i din miljö via våra funktioner för automatisk registrering. Se Containersäkerhet med Microsoft Defender för molnet för en fullständig lista över tillgängliga funktioner.
January 2022
Uppdateringar i januari inkluderar:
- Microsoft Defender för Resource Manager har uppdaterats med nya aviseringar och större fokus på högriskåtgärder som mappas till MITRE ATT&CK-matris®
- Rekommendationer för att aktivera planer i Microsoft Defender på arbetsytor (i förhandsversion)
- Autoetablera Log Analytics-agenten till Azure Arc-aktiverade datorer (förhandsversion)
- Inaktuell rekommendation för att klassificera känsliga data i SQL-databaser
- Kommunikation med misstänkt domänavisering utökad till att omfatta kända Log4Shell-relaterade domäner
- Knappen Kopiera aviserings-JSON har lagts till i fönstret med information om säkerhetsaviseringar
- Två rekommendationer har bytt namn
- Inaktuella Kubernetes-klustercontainrar bör endast lyssna på tillåtna portprinciper
- Arbetsboken "Aktiva aviseringar" har lagts till
- Rekommendationen "Systemuppdatering" har lagts till i myndighetsmolnet
Microsoft Defender för Resource Manager har uppdaterats med nya aviseringar och större fokus på högriskåtgärder som mappas till MITRE ATT&CK-matris®
Molnhanteringsskiktet är en viktig tjänst som är ansluten till alla dina molnresurser. På grund av detta är det också ett potentiellt mål för angripare. Vi rekommenderar att säkerhetsåtgärdsteam noggrant övervakar resurshanteringslagret.
Microsoft Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation, oavsett om de utförs via Azure Portal, Azure REST API:er, Azure CLI eller andra Programmatiska Azure-klienter. Defender för molnet kör avancerad säkerhetsanalys för att identifiera hot och aviseringar om misstänkt aktivitet.
Planens skydd förbättrar avsevärt en organisations motståndskraft mot attacker från hotaktörer och ökar avsevärt antalet Azure-resurser som skyddas av Defender för molnet.
I december 2020 introducerade vi förhandsversionen av Defender för Resource Manager och i maj 2021 släpptes planen för allmän tillgänglighet.
Med den här uppdateringen har vi ändrat fokus i Microsoft Defender för Resource Manager-planen. Den uppdaterade planen innehåller många nya aviseringar som fokuserar på att identifiera misstänkt anrop av högriskåtgärder. These new alerts provide extensive monitoring for attacks across the completeMITRE ATT&CK® matrix for cloud-based techniques.
Den här matrisen omfattar följande typer av potentiella avsikter hos hotaktörer som kan rikta in sig på organisationens resurser: Inledande åtkomst, körning, beständighet, privilegiereskalering, skyddundandragande, åtkomst till autentiseringsuppgifter, identifiering, lateral förflyttning, samling, exfiltrering och påverkan.
De nya aviseringarna för den här Defender-planen omfattar dessa avsikter enligt följande tabell.
Tip
Aviseringarna visas också på aviseringsreferenssidan.
| Avisering (aviseringstyp) | Description | MITRE-taktik (avsikter) | Severity |
|---|---|---|---|
|
Misstänkt anrop av en högriskåtgärd för "initial åtkomst" har identifierats (förhandsversion) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt begränsade resurser. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få inledande åtkomst till begränsade resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Initial Access | Medium |
|
Misstänkt anrop av en högriskåtgärd för körning har identifierats (förhandsversion) (ARM_AnomalousOperation.Execution) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd på en dator i din prenumeration, vilket kan tyda på ett försök att köra kod. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Execution | Medium |
|
Misstänkt anrop av en högriskåtgärd för beständighet har identifierats (förhandsversion) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att fastställa beständighet. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotaktör använda sådana åtgärder för att etablera beständighet i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Persistence | Medium |
|
Misstänkt anrop av en högriskåtgärd för "Privilege Escalation" har identifierats (förhandsversion) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att eskalera privilegier. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att eskalera privilegier samtidigt som resurser i din miljö äventyras. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Privilege Escalation | Medium |
|
Misstänkt anrop av en högriskåtgärd för "försvarsundandragande" har identifierats (förhandsversion) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att undvika skydd. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera säkerhetsstatusen i sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att undvika att identifieras samtidigt som resurser i din miljö komprometteras. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Defense Evasion | Medium |
|
Misstänkt anrop av en högriskåtgärd för åtkomst till autentiseringsuppgifter har identifierats (förhandsversion) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt autentiseringsuppgifter. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Credential Access | Medium |
|
Misstänkt anrop av en högriskåtgärd för lateral förflyttning har identifierats (förhandsversion) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att utföra lateral förflyttning. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att kompromettera ytterligare resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Lateral Movement | Medium |
|
Misstänkt anrop av en högriskåtgärd för datainsamling har identifierats (förhandsversion) (ARM_AnomalousOperation.Collection) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att samla in data. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att samla in känsliga data om resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Collection | Medium |
|
Misstänkt anrop av en högriskåtgärd för påverkan har identifierats (förhandsversion) (ARM_AnomalousOperation.Impact) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök till konfigurationsändring. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Impact | Medium |
Dessutom har dessa två aviseringar från den här planen kommit från förhandsversionen:
| Avisering (aviseringstyp) | Description | MITRE-taktik (avsikter) | Severity |
|---|---|---|---|
|
Azure Resource Manager-åtgärd från misstänkt IP-adress (ARM_OperationFromSuspiciousIP) |
Microsoft Defender för Resource Manager har identifierat en åtgärd från en IP-adress som har markerats som misstänkt i hotinformationsflöden. | Execution | Medium |
|
Azure Resource Manager-åtgärd från misstänkt proxy-IP-adress (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender för Resource Manager identifierade en resurshanteringsåtgärd från en IP-adress som är associerad med proxytjänster, till exempel TOR. Även om det här beteendet kan vara legitimt, visas det ofta i skadliga aktiviteter, när hotaktörer försöker dölja sin käll-IP. | Defense Evasion | Medium |
Rekommendationer för att aktivera Microsoft Defender-planer på arbetsytor (i förhandsversion)
För att kunna dra nytta av alla säkerhetsfunktioner som är tillgängliga från Microsoft Defender för servrar och Microsoft Defender för SQL på datorer måste planerna vara aktiverade på både prenumerations- och arbetsytenivå.
När en dator finns i en prenumeration med något av dessa abonnemang aktiverat debiteras du för det fullständiga skyddet. However, if that machine is reporting to a workspace without the plan enabled, you won't actually receive those benefits.
We've added two recommendations that highlight workspaces without these plans enabled, that nevertheless have machines reporting to them from subscriptions that do have the plan enabled.
De två rekommendationerna, som båda erbjuder automatiserad reparation (åtgärden Åtgärda), är:
| Recommendation | Description | Severity |
|---|---|---|
| Microsoft Defender för servrar ska vara aktiverat på arbetsytor | Microsoft Defender för servrar ger hotidentifiering och avancerat skydd för dina Windows- och Linux-datorer. Med den här Defender-planen aktiverad i dina prenumerationer, men inte på dina arbetsytor, betalar du för den fulla kapaciteten i Microsoft Defender för servrar men går miste om några av fördelarna. När du aktiverar Microsoft Defender för servrar på en arbetsyta debiteras alla datorer som rapporterar till den arbetsytan för Microsoft Defender för servrar – även om de finns i prenumerationer utan att Defender-planer är aktiverade. Om du inte också aktiverar Microsoft Defender för servrar i prenumerationen kan dessa datorer inte dra nytta av just-in-time-åtkomst till virtuella datorer, anpassningsbara programkontroller och nätverksidentifieringar för Azure-resurser. Läs mer i Översikt över Microsoft Defender för servrar. (Ingen relaterad princip) |
Medium |
| Microsoft Defender för SQL på datorer ska vara aktiverat på arbetsytor | Microsoft Defender för servrar ger hotidentifiering och avancerat skydd för dina Windows- och Linux-datorer. Med den här Defender-planen aktiverad i dina prenumerationer, men inte på dina arbetsytor, betalar du för den fulla kapaciteten i Microsoft Defender för servrar men går miste om några av fördelarna. När du aktiverar Microsoft Defender för servrar på en arbetsyta debiteras alla datorer som rapporterar till den arbetsytan för Microsoft Defender för servrar – även om de finns i prenumerationer utan att Defender-planer är aktiverade. Om du inte också aktiverar Microsoft Defender för servrar i prenumerationen kan dessa datorer inte dra nytta av just-in-time-åtkomst till virtuella datorer, anpassningsbara programkontroller och nätverksidentifieringar för Azure-resurser. Läs mer i Översikt över Microsoft Defender för servrar. (Ingen relaterad princip) |
Medium |
Autoetablera Log Analytics-agenten till Azure Arc-aktiverade datorer (förhandsversion)
Defender för molnet använder Log Analytics-agenten för att samla in säkerhetsrelaterade data från datorer. Agenten läser olika säkerhetsrelaterade konfigurationer och händelseloggar och kopierar data till din arbetsyta för analys.
Defender för molnet inställningar för automatisk konfiguration har en växlingsknapp för varje typ av tillägg som stöds, inklusive Log Analytics-agenten.
I en ytterligare expansion av våra hybridmolnfunktioner har vi lagt till ett alternativ för att automatiskt etablera Log Analytics-agenten på datorer som är anslutna till Azure Arc.
Precis som med de andra alternativen för automatisk avetablering konfigureras detta på prenumerationsnivå.
När du aktiverar det här alternativet uppmanas du att ange arbetsytan.
Note
För den här förhandsversionen kan du inte välja den standardarbetsyta som skapades av Defender för molnet. Kontrollera att du har den relevanta säkerhetslösningen installerad på den valda arbetsytan för att säkerställa att du får den fullständiga uppsättningen säkerhetsfunktioner som är tillgängliga för De Azure Arc-aktiverade servrarna.
Inaktuell rekommendation för att klassificera känsliga data i SQL-databaser
Vi har tagit bort rekommendationen Känsliga data i dina SQL-databaser ska klassificeras som en del av en översyn av hur Defender för molnet identifierar och skyddar känsligt datum i dina molnresurser.
Förvarning om den här ändringen visades under de senaste sex månaderna på sidan Viktiga kommande ändringar i Microsoft Defender för molnet.
Kommunikation med misstänkt domänavisering utökad till att omfatta kända Log4Shell-relaterade domäner
Följande avisering var tidigare endast tillgänglig för organisationer som hade aktiverat Microsoft Defender för DNS-planen .
Med den här uppdateringen visas även aviseringen för prenumerationer med Microsoft Defender för servrar eller Defender för App Service-planen aktiverad.
Dessutom har Microsoft Threat Intelligence utökat listan över kända skadliga domäner till att omfatta domäner som är associerade med att utnyttja de allmänt offentliggjorda säkerhetsrisker som är associerade med Log4j.
| Avisering (aviseringstyp) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Kommunikation med misstänkt domän identifierad av hotinformation (AzureDNS_ThreatIntelSuspectDomain) |
Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifierats av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras. | Initial åtkomst/beständighet/körning/kommando och kontroll/utnyttjande | Medium |
Knappen Kopiera aviserings-JSON har lagts till i fönstret med information om säkerhetsaviseringar
För att hjälpa våra användare att snabbt dela information om en avisering med andra (till exempel SOC-analytiker, resursägare och utvecklare) har vi lagt till funktionen för att enkelt extrahera all information om en specifik avisering med en knapp från säkerhetsaviseringens informationsfönster.
Den nya kopieringsaviseringens JSON-knapp placerar aviseringens information i JSON-format i användarens Urklipp.
Två rekommendationer har bytt namn
För konsekvens med andra rekommendationsnamn har vi bytt namn på följande två rekommendationer:
Rekommendation för att lösa sårbarheter som identifieras i containeravbildningar som körs
- Tidigare namn: Sårbarheter i att köra containeravbildningar bör åtgärdas (drivs av Qualys)
- Nytt namn: Om du kör containeravbildningar bör sårbarhetsresultaten vara lösta
Rekommendation för att aktivera diagnostikloggar för Azure App Service
- Tidigare namn: Diagnostikloggar ska vara aktiverade i App Service
- Nytt namn: Diagnostikloggar i App Service ska vara aktiverade
Inaktuella Kubernetes-klustercontainrar bör endast lyssna på tillåtna portprinciper
Vi har inaktuella Kubernetes-klustercontainrar bör bara lyssna på rekommendationen tillåtna portar .
| Policy name | Description | Effect(s) | Version |
|---|---|---|---|
| Kubernetes-klustercontainrar bör bara lyssna på tillåtna portar | Begränsa containrar till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS Engine och Azure Arc-aktiverade Kubernetes. Mer information finns i Förstå Azure Policy för Kubernetes-kluster. | audit, neka, inaktiverad | 6.1.2 |
Tjänsterna bör lyssna på tillåtna portar endast rekommendation bör användas för att begränsa portar som ett program exponerar för Internet.
Arbetsboken "Aktiv avisering" har lagts till
För att hjälpa våra användare att förstå de aktiva hoten mot deras miljöer och prioritera mellan aktiva aviseringar under reparationsprocessen har vi lagt till arbetsboken Aktiva aviseringar.
Arbetsboken för aktiva aviseringar gör det möjligt för användare att visa en enhetlig instrumentpanel för sina aggregerade aviseringar efter allvarlighetsgrad, typ, tagg, MITRE ATT&CK-taktik och plats. Läs mer i Använda arbetsboken "Aktiva aviseringar".
Rekommendationen "Systemuppdatering" har lagts till i myndighetsmolnet
Rekommendationen "Systemuppdateringar bör installeras på dina datorer" är nu tillgänglig i alla myndighetsmoln.
Det är troligt att den här ändringen kommer att påverka din myndighets molnprenumerationens säkerhetspoäng. Vi förväntar oss att ändringen leder till en minskad poäng, men det är möjligt att rekommendationens inkludering kan leda till en ökad poäng i vissa fall.
December 2021
Uppdateringar i december inkluderar:
- Microsoft Defender for Containers-plan som släppts för allmän tillgänglighet (GA)
- Nya aviseringar för Microsoft Defender för Storage släpps för allmän tillgänglighet (GA)
- Förbättringar av aviseringar för Microsoft Defender för lagring
- Aviseringen "PortSweeping" har tagits bort från aviseringar på nätverksnivå
Microsoft Defender for Containers-plan som släppts för allmän tillgänglighet (GA)
För över två år sedan introducerade vi Defender för Kubernetes och Defender för containerregister som en del av Azure Defender-erbjudandet inom Microsoft Defender för molnet.
Med lanseringen av Microsoft Defender för containrar har vi slagit samman dessa två befintliga Defender-planer.
Den nya planen:
- Kombinerar funktionerna i de två befintliga planerna – hotidentifiering för Kubernetes-kluster och sårbarhetsbedömning för avbildningar som lagras i containerregister
- Ger nya och förbättrade funktioner – inklusive stöd för flera moln, hotidentifiering på värdnivå med över sextio nya Kubernetes-medvetna analyser och sårbarhetsbedömning för att köra bilder
- Introducerar Kubernetes-inbyggd onboarding i stor skala – som standard när du aktiverar planen konfigureras alla relevanta komponenter att distribueras automatiskt
Med den här versionen har tillgängligheten och presentationen av Defender för Kubernetes och Defender för containerregister ändrats på följande sätt:
- Nya prenumerationer – De två tidigare containerplanerna är inte längre tillgängliga
- Existing subscriptions - Wherever they appear in the Azure portal, the plans are shown as Deprecated with instructions for how to upgrade to the newer plan
Den nya planen är kostnadsfri för december 2021. Potentiella ändringar av faktureringen från de gamla abonnemangen till Defender för containrar och mer information om fördelarna med den här planen finns i Introduktion till Microsoft Defender för containrar.
Mer information finns i:
- Översikt över Microsoft Defender for Containers
- Aktivera Microsoft Defender för containrar
- Introduktion till Microsoft Defender för containrar – Microsoft Tech Community
- Microsoft Defender för containrar | Defender för molnet i fältet #3 – YouTube
Nya aviseringar för Microsoft Defender för Storage släpps för allmän tillgänglighet (GA)
Hotaktörer använder verktyg och skript för att söka efter offentligt öppna containrar i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data.
Microsoft Defender för Storage identifierar dessa skannrar så att du kan blockera dem och åtgärda din hållning.
Förhandsgranskningsaviseringen som identifierade detta kallades "Anonym genomsökning av offentliga lagringscontainrar". To provide greater clarity about the suspicious events discovered, we've divided this into two new alerts. Dessa aviseringar är endast relevanta för Azure Blob Storage.
Vi har förbättrat identifieringslogik, uppdaterat aviseringsmetadata och ändrat aviseringsnamn och aviseringstyp.
Det här är de nya aviseringarna:
| Avisering (aviseringstyp) | Description | MITRE tactic | Severity |
|---|---|---|---|
|
Offentligt tillgängliga lagringscontainrar har identifierats (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
En lyckad identifiering av offentligt öppna lagringscontainrar i ditt lagringskonto utfördes under den senaste timmen av ett genomsökningsskript eller verktyg. Detta indikerar vanligtvis en rekognoseringsattack, där hotskådespelaren försöker lista blobar genom att gissa containernamn, i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data i dem. Hotskådespelaren kan använda sitt eget skript eller använda kända genomsökningsverktyg som Microburst för att söka efter offentligt öppna containrar. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
|
Offentligt tillgängliga lagringscontainrar genomsöks utan framgång (Storage.Blob_OpenContainersScanning.FailedAttempt) |
En serie misslyckade försök att söka efter offentligt öppna lagringscontainrar utfördes under den senaste timmen. Detta indikerar vanligtvis en rekognoseringsattack, där hotskådespelaren försöker lista blobar genom att gissa containernamn, i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data i dem. Hotskådespelaren kan använda sitt eget skript eller använda kända genomsökningsverktyg som Microburst för att söka efter offentligt öppna containrar. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
Mer information finns i:
- Hotmatris för lagringstjänster
- Översikt över Microsoft Defender för Storage
- Lista över aviseringar som tillhandahålls av Microsoft Defender för lagring
Förbättringar av aviseringar för Microsoft Defender för lagring
De första åtkomstaviseringarna har nu bättre noggrannhet och mer data som stöd för undersökning.
Hotaktörer använder olika tekniker i den första åtkomsten för att få fotfäste i ett nätverk. Två av Microsoft Defender for Storage-aviseringarna som identifierar beteendeavvikelser i det här steget har nu förbättrad identifieringslogik och ytterligare data som stöd för undersökningar.
If you've configured automations or defined alert suppression rules for these alerts in the past, update them in accordance with these changes.
Identifiera åtkomst från en tor-slutnod
Åtkomst från en tor-utgångsnod kan tyda på att en hotskådespelare försöker dölja sin identitet.
Aviseringen är nu justerad för att generera endast för autentiserad åtkomst, vilket resulterar i högre noggrannhet och förtroende för att aktiviteten är skadlig. Den här förbättringen minskar den godartade positiva frekvensen.
Ett utgående mönster har hög allvarlighetsgrad, medan mindre avvikande mönster har medelhög allvarlighetsgrad.
Aviseringsnamnet och beskrivningen har uppdaterats. AlertType förblir oförändrad.
- Aviseringsnamn (gammalt): Åtkomst från en tor-avslutningsnod till ett lagringskonto
- Aviseringsnamn (nytt): Autentiserad åtkomst från en tor-avslutningsnod
- Aviseringstyper: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
- Beskrivning: En eller flera lagringscontainrar/filresurser i ditt lagringskonto har använts från en IP-adress som är känd för att vara en aktiv slutnod i Tor (en anonymiseringsproxy). Hotaktörer använder Tor för att göra det svårt att spåra aktiviteten tillbaka till dem. Autentiserad åtkomst från en tor-utgångsnod är en sannolik indikation på att en hotskådespelare försöker dölja sin identitet. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- MITRE-taktik: Inledande åtkomst
- Severity: High/Medium
Ovanlig oautentiserad åtkomst
En ändring i åtkomstmönster kan tyda på att en hotaktör kunde utnyttja offentlig läsåtkomst till lagringscontainrar, antingen genom att utnyttja ett misstag i åtkomstkonfigurationer eller genom att ändra åtkomstbehörigheterna.
Den här aviseringen med medelhög allvarlighetsgrad är nu justerad med förbättrad beteendelogik, högre noggrannhet och förtroende för att aktiviteten är skadlig. Den här förbättringen minskar den godartade positiva frekvensen.
Aviseringsnamnet och beskrivningen har uppdaterats. AlertType förblir oförändrad.
- Aviseringsnamn (gammalt): Anonym åtkomst till ett lagringskonto
- Aviseringsnamn (nytt): Ovanlig oautentiserad åtkomst till en lagringscontainer
- Aviseringstyper: Storage.Blob_AnonymousAccessAnomaly
- Beskrivning: Det här lagringskontot användes utan autentisering, vilket är en ändring i det gemensamma åtkomstmönstret. Läsbehörighet till den här containern autentiseras vanligtvis. Detta kan tyda på att en hotskådespelare kunde utnyttja offentlig läsåtkomst till lagringscontainrar i det här lagringskontot. Gäller för: Azure Blob Storage
- MITRE-taktik: Samling
- Severity: Medium
Mer information finns i:
- Hotmatris för lagringstjänster
- Introduktion till Microsoft Defender för Lagring
- Lista över aviseringar som tillhandahålls av Microsoft Defender för lagring
Aviseringen "PortSweeping" har tagits bort från aviseringar på nätverksnivå
Följande avisering togs bort från våra nätverksnivåaviseringar på grund av ineffektivitet:
| Avisering (aviseringstyp) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Möjlig utgående portgenomsökningsaktivitet har identifierats (PortSweeping) |
Nätverkstrafikanalysen identifierade misstänkt utgående trafik från %{Komprometterad värd}. Den här trafiken kan bero på en portgenomsökningsaktivitet. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Om det här beteendet är avsiktligt bör du tänka på att portgenomsökningen är emot Azures användningsvillkor. Om det här beteendet är oavsiktligt kan det innebära att resursen har komprometterats. | Discovery | Medium |
November 2021
Vår Ignite-version innehåller:
- Azure Security Center och Azure Defender blir Microsoft Defender för molnet
- Inbyggd CSPM för AWS och skydd mot hot för Amazon EKS och AWS EC2
- Prioritera säkerhetsåtgärder efter datakänslighet (drivs av Microsoft Purview) (i förhandsversion)
- Utökade utvärderingar av säkerhetskontroll med Azure Security Benchmark v3
- Microsoft Sentinel-anslutningsappens valfria dubbelriktade aviseringssynkronisering släpptes för allmän tillgänglighet (GA)
- Ny rekommendation om att skicka Azure Kubernetes Service-loggar (AKS) till Microsoft Sentinel
- Rekommendationer som mappats till MITRE ATT&CK-ramverket® – släppta för allmän tillgänglighet (GA)
Andra ändringar i november är:
- Microsoft Threat and Vulnerability Management har lagts till som lösning för sårbarhetsbedömning – släppt för allmän tillgänglighet (GA)
- Microsoft Defender för Endpoint för Linux stöds nu av Microsoft Defender för servrar – släppt för allmän tillgänglighet (GA)
- Export av ögonblicksbilder för rekommendationer och säkerhetsresultat (i förhandsversion)
- Automatisk avbildning av lösningar för sårbarhetsbedömning som släppts för allmän tillgänglighet (GA)
- Programvaruinventeringsfilter i tillgångslager som släppts för allmän tillgänglighet (GA)
- Ny AKS-säkerhetsprincip har lagts till i standardinitiativet – förhandsversion
- Inventeringsvisning av lokala datorer tillämpar olika mallar för resursnamn
Azure Security Center och Azure Defender blir Microsoft Defender för molnet
Enligt rapporten State of the Cloud från 2021 har 92 % av organisationerna nu en strategi för flera moln. På Microsoft är vårt mål att centralisera säkerheten mellan miljöer och att hjälpa säkerhetsteam att arbeta mer effektivt.
Microsoft Defender för molnet är en CWPP-lösning (Cloud Security Posture Management) och CWPP(Cloud Workload Protection Platform) som identifierar svagheter i molnkonfigurationen, hjälper till att stärka den övergripande säkerhetsstatusen för din miljö och skyddar arbetsbelastningar i miljöer med flera moln och hybridmiljöer.
På Ignite 2019 delade vi vår vision att skapa den mest kompletta metoden för att skydda din digitala egendom och integrera XDR-tekniker under varumärket Microsoft Defender. Att ena Azure Security Center och Azure Defender under det nya namnet Microsoft Defender för molnet återspeglar de integrerade funktionerna i vårt säkerhetserbjudande och vår förmåga att stödja alla molnplattformar.
Inbyggd CSPM för AWS och skydd mot hot för Amazon EKS och AWS EC2
A new environment settings page provides greater visibility and control over your management groups, subscriptions, and AWS accounts. The page is designed to onboard AWS accounts at scale: connect your AWS management account, and you'll automatically onboard existing and future accounts.
När du har lagt till dina AWS-konton skyddar Defender för molnet dina AWS-resurser med någon eller alla av följande planer:
- Defender för molnet CSPM-funktioner sträcker sig till dina AWS-resurser. Den här agentlösa planen utvärderar dina AWS-resurser enligt AWS-specifika säkerhetsrekommendationer och dessa ingår i din säkerhetspoäng. Resurserna kommer också att utvärderas för efterlevnad av inbyggda standarder som är specifika för AWS (AWS CIS, AWS PCI DSS och AWS Foundational Security Best Practices). Defender för molnet tillgångslagersida är en funktion med flera moln som hjälper dig att hantera dina AWS-resurser tillsammans med dina Azure-resurser.
- Microsoft Defender för Kubernetes utökar sin identifiering av containerhot och avancerade skydd till dina Amazon EKS Linux-kluster.
- Microsoft Defender för servrar ger hotidentifiering och avancerat skydd till dina Windows- och Linux EC2-instanser. Den här planen innehåller den integrerade licensen för Microsoft Defender för Endpoint, säkerhetsbaslinjer och utvärderingar på os-nivå, genomsökning av sårbarhetsbedömningar, anpassningsbara programkontroller (AAC), övervakning av filintegritet (FIM) med mera.
Läs mer om hur du ansluter dina AWS-konton till Microsoft Defender för molnet.
Prioritera säkerhetsåtgärder efter datakänslighet (drivs av Microsoft Purview) (i förhandsversion)
Dataresurser är fortfarande ett populärt mål för hotaktörer. Därför är det viktigt för säkerhetsteamen att identifiera, prioritera och skydda känsliga dataresurser i sina molnmiljöer.
To address this challenge, Microsoft Defender for Cloud now integrates sensitivity information from Microsoft Purview. Microsoft Purview är en enhetlig datastyrningstjänst som ger omfattande insikter om känsligheten för dina data i flera moln och lokala arbetsbelastningar.
Integreringen med Microsoft Purview utökar din säkerhetssynlighet i Defender för molnet från infrastrukturnivå till data, vilket möjliggör ett helt nytt sätt att prioritera resurser och säkerhetsaktiviteter för dina säkerhetsteam.
Läs mer i Prioritera säkerhetsåtgärder efter datakänslighet.
Utökade utvärderingar av säkerhetskontroll med Azure Security Benchmark v3
Säkerhetsrekommendationer i Defender för molnet stöds av Azure Security Benchmark.
Azure Security Benchmark är den Microsoft-skapade, Azure-specifika uppsättningen riktlinjer för bästa praxis för säkerhet och efterlevnad baserat på vanliga efterlevnadsramverk. Detta allmänt respekterade riktmärke bygger på kontrollerna från Center for Internet Security (CIS) och National Institute of Standards and Technology (NIST) med fokus på molncentrerad säkerhet.
From Ignite 2021, Azure Security Benchmark v3 is available in Defender for Cloud's regulatory compliance dashboard and enabled as the new default initiative for all Azure subscriptions protected with Microsoft Defender for Cloud.
Förbättringar för v3 är:
Additional mappings to industry frameworks PCI-DSS v3.2.1 and CIS Controls v8.
Mer detaljerad och användbar vägledning för kontroller med introduktionen av:
- Security Principles - Providing insight into the overall security objectives that build the foundation for our recommendations.
- Azure Guidance - The technical "how-to" for meeting these objectives.
Nya kontroller omfattar DevOps-säkerhet för problem som hotmodellering och säkerhet i programvaruförsörjningskedjan, samt nyckel- och certifikathantering för bästa praxis i Azure.
Läs mer i Introduktion till Azure Security Benchmark.
Microsoft Sentinel-anslutningsappens valfria dubbelriktade aviseringssynkronisering släpptes för allmän tillgänglighet (GA)
In July, we announced a preview feature, bi-directional alert synchronization, for the built-in connector in Microsoft Sentinel (Microsoft's cloud-native SIEM and SOAR solution). Den här funktionen har nu släppts för allmän tillgänglighet (GA).
När du ansluter Microsoft Defender för molnet till Microsoft Sentinel synkroniseras statusen för säkerhetsaviseringar mellan de två tjänsterna. När till exempel en avisering stängs i Defender för molnet visas aviseringen som stängd även i Microsoft Sentinel. Changing the status of an alert in Defender for Cloud won't affect the status of any Microsoft Sentinel incidents that contain the synchronized Microsoft Sentinel alert, only that of the synchronized alert itself.
När du aktiverar dubbelriktad aviseringssynkronisering synkroniserar du automatiskt statusen för de ursprungliga Defender för molnet-aviseringarna med Microsoft Sentinel-incidenter som innehåller kopiorna av dessa aviseringar. När till exempel en Microsoft Sentinel-incident som innehåller en Defender för molnet avisering stängs stänger Defender för molnet automatiskt motsvarande ursprungliga avisering.
Läs mer i Ansluta Azure Defender-aviseringar från Azure Security Center och Stream-aviseringar till Microsoft Sentinel.
Ny rekommendation om att skicka Azure Kubernetes Service-loggar (AKS) till Microsoft Sentinel
I en ytterligare förbättring av det kombinerade värdet för Defender för molnet och Microsoft Sentinel ska vi nu markera Azure Kubernetes Service-instanser som inte skickar loggdata till Microsoft Sentinel.
SecOps-team kan välja relevant Microsoft Sentinel-arbetsyta direkt från rekommendationsinformationssidan och omedelbart aktivera strömning av rådataloggar. Den här sömlösa anslutningen mellan de två produkterna gör det enkelt för säkerhetsteam att säkerställa fullständig loggningstäckning för sina arbetsbelastningar för att hålla koll på hela miljön.
Den nya rekommendationen "Diagnostikloggar i Kubernetes-tjänster ska vara aktiverade" innehåller alternativet "Åtgärda" för snabbare reparation.
Vi har också förbättrat rekommendationen "Granskning på SQL Server bör vara aktiverad" med samma Microsoft Sentinel-strömningsfunktioner.
Rekommendationer som mappats till MITRE ATT&CK-ramverket® – släppta för allmän tillgänglighet (GA)
Vi har förbättrat Defender för molnet säkerhetsrekommendationer för att visa sin position i MITRE ATT&CK-ramverket®. Den här globalt tillgängliga kunskapsbas av hotaktörernas taktiker och tekniker baserat på verkliga observationer ger mer sammanhang som hjälper dig att förstå de associerade riskerna med rekommendationerna för din miljö.
Du hittar de här taktikerna var du än kommer åt rekommendationsinformation:
Azure Resource Graph-frågeresultat för relevanta rekommendationer innehåller MITRE ATT&CK-taktiker® och -tekniker.
Sidorna med rekommendationsinformation visar mappningen för alla relevanta rekommendationer:
Sidan med rekommendationer i Defender för molnet har ett nytt
filter för att välja rekommendationer enligt deras associerade taktik:
Läs mer i Granska dina säkerhetsrekommendationer.
Microsoft Threat and Vulnerability Management har lagts till som lösning för sårbarhetsbedömning – släppt för allmän tillgänglighet (GA)
In October, we announced an extension to the integration between Microsoft Defender for Servers and Microsoft Defender for Endpoint, to support a new vulnerability assessment provider for your machines: Microsoft threat and vulnerability management. Den här funktionen har nu släppts för allmän tillgänglighet (GA).
Använd Hantering av hot och säkerhetsrisker för att identifiera sårbarheter och felkonfigurationer i nära realtid med integreringen med Microsoft Defender för Endpoint aktiverad, och utan behov av ytterligare agenter eller periodiska genomsökningar. Hot och hantering av säkerhetsrisker prioriterar sårbarheter baserat på hotlandskapet och identifieringarna i din organisation.
Använd säkerhetsrekommendatorn "En lösning för sårbarhetsbedömning ska aktiveras på dina virtuella datorer" för att visa de sårbarheter som identifieras av Hantering av hot och säkerhetsrisker för dina datorer som stöds.
Om du vill visa säkerhetsriskerna automatiskt på befintliga och nya datorer, utan att behöva åtgärda rekommendationen manuellt, kan du läsa Sårbarhetsbedömningslösningar kan nu aktiveras automatiskt (i förhandsversion).
Läs mer i Undersöka svagheter med Microsoft Defender för Endpoint Hantering av hot och säkerhetsrisker.
Microsoft Defender för Endpoint för Linux stöds nu av Microsoft Defender för servrar – släppt för allmän tillgänglighet (GA)
In August, we announced preview support for deploying the Defender for Endpoint for Linux sensor to supported Linux machines. Den här funktionen har nu släppts för allmän tillgänglighet (GA).
Microsoft Defender för servrar innehåller en integrerad licens för Microsoft Defender för Endpoint. Tillsammans tillhandahåller de omfattande funktioner för identifiering och åtgärd på slutpunkt (EDR).
När Defender för Endpoint identifierar ett hot utlöses en avisering. Aviseringen visas i Defender för molnet. Från Defender för molnet kan du också pivotleda till Defender för Endpoint-konsolen och utföra en detaljerad undersökning för att ta reda på omfattningen av attacken.
Export av ögonblicksbilder för rekommendationer och säkerhetsresultat (i förhandsversion)
Defender för molnet genererar detaljerade säkerhetsaviseringar och rekommendationer. Du kan visa dem i portalen eller via programmatiska verktyg. Du kan också behöva exportera en del av eller all den här informationen för spårning med andra övervakningsverktyg i din miljö.
Defender for Cloud's continuous export feature lets you fully customize what will be exported, and where it will go. Läs mer i Exportera kontinuerligt Microsoft Defender för molnet data.
Even though the feature is called continuous, there's also an option to export weekly snapshots. Hittills har dessa veckovisa ögonblicksbilder begränsats till säkra poäng- och regelefterlevnadsdata. Vi har lagt till möjligheten att exportera rekommendationer och säkerhetsresultat.
Automatisk avbildning av lösningar för sårbarhetsbedömning som släppts för allmän tillgänglighet (GA)
In October, we announced the addition of vulnerability assessment solutions to Defender for Cloud's autoprovisioning page. Detta är relevant för virtuella Azure-datorer och Azure Arc-datorer för prenumerationer som skyddas av Azure Defender för servrar. Den här funktionen har nu släppts för allmän tillgänglighet (GA).
Om integreringen med Microsoft Defender för Endpoint är aktiverad presenterar Defender för molnet ett urval av lösningar för sårbarhetsbedömning:
- (NEW) The Microsoft threat and vulnerability management module of Microsoft Defender for Endpoint (see the release note)
- Den integrerade Qualys-agenten
Den valda lösningen aktiveras automatiskt på datorer som stöds.
Läs mer i Konfigurera sårbarhetsbedömning automatiskt för dina datorer.
Programvaruinventeringsfilter i tillgångslager som släppts för allmän tillgänglighet (GA)
In October, we announced new filters for the asset inventory page to select machines running specific software - and even specify the versions of interest. Den här funktionen har nu släppts för allmän tillgänglighet (GA).
Du kan fråga programvaruinventeringsdata i Azure Resource Graph Explorer.
Om du vill använda de här funktionerna måste du aktivera integreringen med Microsoft Defender för Endpoint.
Fullständig information, inklusive kusto-exempelfrågor för Azure Resource Graph, finns i Åtkomst till en programvaruinventering.
Ny AKS-säkerhetsprincip har lagts till i standardinitiativet
För att säkerställa att Kubernetes-arbetsbelastningar är säkra som standard innehåller Defender för molnet Kubernetes-nivåprinciper och härdningsrekommendationer, inklusive tvingande alternativ med Kubernetes-antagningskontroll.
Som en del av det här projektet har vi lagt till en princip och rekommendation (inaktiverad som standard) för att skapa distribution i Kubernetes-kluster. Principen finns i standardinitiativet men är endast relevant för organisationer som registrerar sig för den relaterade förhandsversionen.
Du kan på ett säkert sätt ignorera principer och rekommendationer ("Kubernetes-kluster bör gatedistribution av sårbara avbildningar") och det kommer inte att påverka din miljö.
Om du vill delta i förhandsversionen måste du vara medlem i förhandsgranskningsringen. If you're not already a member, submit a request here. Medlemmar meddelas när förhandsversionen börjar.
Inventeringsvisning av lokala datorer tillämpar olika mallar för resursnamn
To improve the presentation of resources in the Asset inventory, we've removed the "source-computer-IP" element from the template for naming on-premises machines.
-
Previous format:
machine-name_source-computer-id_VMUUID -
Från den här uppdateringen:
machine-name_VMUUID
October 2021
Uppdateringar i oktober inkluderar:
- Microsoft Threat and Vulnerability Management har lagts till som lösning för sårbarhetsbedömning (i förhandsversion)
- Lösningar för sårbarhetsbedömning kan nu aktiveras automatiskt (i förhandsversion)
- Filter för programvaruinventering som lagts till i tillgångsinventeringen (i förhandsversion)
- Prefixet för vissa aviseringstyper har ändrats från "ARM_" till "VM_"
- Ändringar i logiken i en säkerhetsrekommendering för Kubernetes-kluster
- Sidor med information om rekommendationer visar nu relaterade rekommendationer
- Nya aviseringar för Azure Defender för Kubernetes (i förhandsversion)
Microsoft Threat and Vulnerability Management har lagts till som lösning för sårbarhetsbedömning (i förhandsversion)
Vi har utökat integreringen mellan Azure Defender för servrar och Microsoft Defender för Endpoint för att stödja en ny leverantör för sårbarhetsbedömning för dina datorer: Microsoft Hantering av hot och säkerhetsrisker.
Använd Hantering av hot och säkerhetsrisker för att identifiera sårbarheter och felkonfigurationer i nära realtid med integreringen med Microsoft Defender för Endpoint aktiverad, och utan behov av ytterligare agenter eller periodiska genomsökningar. Hot och hantering av säkerhetsrisker prioriterar sårbarheter baserat på hotlandskapet och identifieringarna i din organisation.
Använd säkerhetsrekommendatorn "En lösning för sårbarhetsbedömning ska aktiveras på dina virtuella datorer" för att visa de sårbarheter som identifieras av Hantering av hot och säkerhetsrisker för dina datorer som stöds.
Om du vill visa säkerhetsriskerna automatiskt på befintliga och nya datorer, utan att behöva åtgärda rekommendationen manuellt, kan du läsa Sårbarhetsbedömningslösningar kan nu aktiveras automatiskt (i förhandsversion).
Läs mer i Undersöka svagheter med Microsoft Defender för Endpoint Hantering av hot och säkerhetsrisker.
Lösningar för sårbarhetsbedömning kan nu aktiveras automatiskt (i förhandsversion)
Security Centers sida för automatisk etablering innehåller nu alternativet att automatiskt aktivera en lösning för sårbarhetsbedömning för virtuella Azure-datorer och Azure Arc-datorer på prenumerationer som skyddas av Azure Defender för servrar.
Om integreringen med Microsoft Defender för Endpoint är aktiverad presenterar Defender för molnet ett urval av lösningar för sårbarhetsbedömning:
- (NEW) The Microsoft threat and vulnerability management module of Microsoft Defender for Endpoint (see the release note)
- Den integrerade Qualys-agenten
Den valda lösningen aktiveras automatiskt på datorer som stöds.
Läs mer i Konfigurera sårbarhetsbedömning automatiskt för dina datorer.
Filter för programvaruinventering som lagts till i tillgångsinventeringen (i förhandsversion)
The asset inventory page now includes a filter to select machines running specific software - and even specify the versions of interest.
Dessutom kan du fråga programvaruinventeringsdata i Azure Resource Graph Explorer.
Om du vill använda de här nya funktionerna måste du aktivera integreringen med Microsoft Defender för Endpoint.
Fullständig information, inklusive kusto-exempelfrågor för Azure Resource Graph, finns i Åtkomst till en programvaruinventering.
Prefixet för vissa aviseringstyper har ändrats från "ARM_" till "VM_"
I juli 2021 tillkännagav vi en logisk omorganisation av Azure Defender for Resource Manager-aviseringar
Under omorganisationen av Defender-planer flyttade vi aviseringar från Azure Defender för Resource Manager till Azure Defender för servrar.
Med den här uppdateringen har vi ändrat prefixen för dessa aviseringar så att de matchar den här omtilldelningen och ersatt "ARM_" med "VM_" enligt följande tabell:
| Original name | Från den här ändringen |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Läs mer om Azure Defender för Resource Manager och Azure Defender för servrar .
Ändringar i logiken i en säkerhetsrekommendering för Kubernetes-kluster
Rekommendationen "Kubernetes-kluster bör inte använda standardnamnområdet" förhindrar användning av standardnamnområdet för ett antal resurstyper. Två av de resurstyper som ingick i den här rekommendationen har tagits bort: ConfigMap och Secret.
Läs mer om den här rekommendationen och hur du härdar dina Kubernetes-kluster i Förstå Azure Policy för Kubernetes-kluster.
Sidor med information om rekommendationer visar nu relaterade rekommendationer
To clarify the relationships between different recommendations, we've added a Related recommendations area to the details pages of many recommendations.
De tre relationstyperna som visas på dessa sidor är:
- Prerequisite - A recommendation that must be completed before the selected recommendation
- Alternative - A different recommendation which provides another way of achieving the goals of the selected recommendation
- Dependent - A recommendation for which the selected recommendation is a prerequisite
För varje relaterad rekommendation visas antalet resurser som inte är felfria i kolumnen "Berörda resurser".
Tip
Om en relaterad rekommendation är nedtonad är dess beroende ännu inte slutfört och är därför inte tillgängligt.
Ett exempel på relaterade rekommendationer:
Security Center kontrollerar dina datorer efter lösningar för sårbarhetsbedömning som stöds:
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorerOm en hittas får du ett meddelande om identifierade sårbarheter:
Säkerhetsrisker på dina virtuella datorer bör åtgärdas
Det är uppenbart att Security Center inte kan meddela dig om identifierade säkerhetsrisker om det inte hittar en lösning för sårbarhetsbedömning som stöds.
Therefore:
- Rekommendation nr 1 är en förutsättning för rekommendation nr 2
- Rekommendation nr 2 beror på rekommendation nr 1
Nya aviseringar för Azure Defender för Kubernetes (i förhandsversion)
För att utöka hotskyddet från Azure Defender för Kubernetes har vi lagt till två förhandsversionsaviseringar.
Dessa aviseringar genereras baserat på en ny maskininlärningsmodell och Kubernetes avancerade analys som mäter flera distributions- och rolltilldelningsattribut mot tidigare aktiviteter i klustret och i alla kluster som övervakas av Azure Defender.
| Avisering (aviseringstyp) | Description | MITRE tactic | Severity |
|---|---|---|---|
|
Avvikande podddistribution (förhandsversion) (K8S_AnomalousPodDeployment) |
Kubernetes granskningslogganalys identifierade podddistribution som är avvikande, baserat på tidigare aktivitet för podddistribution. Den här aktiviteten betraktas som en avvikelse när du tar hänsyn till hur de olika funktionerna som visas i distributionsåtgärden är i relationer till varandra. Funktionerna som övervakas av den här analysen inkluderar containeravbildningsregistret som används, kontot som utför distributionen, veckodagen, hur ofta det här kontot utför podddistributioner, användaragenten som används i åtgärden, är detta ett namnområde som podddistribution ofta eller annan funktion. De främsta bidragande orsakerna till att höja den här aviseringen eftersom avvikande aktivitet beskrivs under de utökade egenskaperna för aviseringen. | Execution | Medium |
|
Överdrivna rollbehörigheter som tilldelats i Kubernetes-kluster (förhandsversion) (K8S_ServiceAcountPermissionAnomaly) |
Analys av Kubernetes-granskningsloggarna identifierade en överdrivna behörighetsrolltilldelning till klustret. Från att undersöka rolltilldelningar är de angivna behörigheterna ovanliga för det specifika tjänstkontot. Den här identifieringen tar hänsyn till tidigare rolltilldelningar till samma tjänstkonto mellan kluster som övervakas av Azure, volym per behörighet och effekten av den specifika behörigheten. Avvikelseidentifieringsmodellen som används för den här aviseringen tar hänsyn till hur den här behörigheten används i alla kluster som övervakas av Azure Defender. | Privilege Escalation | Low |
En fullständig lista över Kubernetes-aviseringar finns i Aviseringar för Kubernetes-kluster.
September 2021
I september släpptes följande uppdatering:
Två nya rekommendationer för att granska OS-konfigurationer för Azure-säkerhetsbaslinjeefterlevnad (i förhandsversion)
Följande två rekommendationer har släppts för att utvärdera dina datorers kompatibilitet med Säkerhetsbaslinjen för Windows och Linux-säkerhetsbaslinjen:
- För Windows-datorer bör säkerhetsrisker i säkerhetskonfigurationen på dina Windows-datorer åtgärdas (drivs av gästkonfiguration)
- För Linux-datorer bör säkerhetsrisker i säkerhetskonfigurationen på dina Linux-datorer åtgärdas (drivs av gästkonfiguration)
De här rekommendationerna använder gästkonfigurationsfunktionen i Azure Policy för att jämföra operativsystemkonfigurationen för en dator med baslinjen som definieras i Azure Security Benchmark.
Läs mer om hur du använder de här rekommendationerna i Harden-datorns OS-konfiguration med hjälp av gästkonfiguration.
August 2021
Uppdateringar i augusti inkluderar:
- Microsoft Defender för Endpoint för Linux stöds nu av Azure Defender för servrar (i förhandsversion)
- Två nya rekommendationer för att hantera slutpunktsskyddslösningar (i förhandsversion)
- Inbyggd felsökning och vägledning för att lösa vanliga problem
- Instrumentpanelen för regelefterlevnad i Azure-granskningsrapporter som släppts för allmän tillgänglighet (GA)
- Inaktuell rekommendation "Problem med Log Analytics-agentens hälsotillstånd bör lösas på dina datorer"
- Azure Defender för containerregister söker nu efter sårbarheter i register som skyddas med Azure Private Link
- Security Center kan nu automatiskt avetablera Azure Policys gästkonfigurationstillägg (i förhandsversion)
- Rekommendationerna stöder nu "Enforce".
- CSV-export av rekommendationsdata är nu begränsad till 20 MB
- Sidan Rekommendationer innehåller nu flera vyer
Microsoft Defender för Endpoint för Linux stöds nu av Azure Defender för servrar (i förhandsversion)
Azure Defender för servrar innehåller en integrerad licens för Microsoft Defender för Endpoint. Tillsammans tillhandahåller de omfattande funktioner för identifiering och åtgärd på slutpunkt (EDR).
När Defender för Endpoint identifierar ett hot utlöses en avisering. Aviseringen visas i Security Center. Från Security Center kan du också pivotera till Defender för Endpoint-konsolen och utföra en detaljerad undersökning för att avslöja omfattningen av attacken.
Under förhandsgranskningsperioden distribuerar du Defender för Endpoint för Linux-sensorn till Linux-datorer som stöds på något av två sätt beroende på om du redan har distribuerat den till dina Windows-datorer:
- Befintliga användare med Defender för molnet förbättrade säkerhetsfunktioner aktiverade och Microsoft Defender för Endpoint för Windows
- Nya användare som aldrig har aktiverat integreringen med Microsoft Defender för Endpoint för Windows
Två nya rekommendationer för att hantera slutpunktsskyddslösningar (i förhandsversion)
We've added two preview recommendations to deploy and maintain the endpoint protection solutions on your machines. Båda rekommendationerna omfattar stöd för virtuella Azure-datorer och datorer som är anslutna till Azure Arc-aktiverade servrar.
| Recommendation | Description | Severity |
|---|---|---|
| Slutpunktsskydd ska installeras på dina datorer | Installera en slutpunktsskyddslösning som stöds för att skydda dina datorer mot hot och sårbarheter.
Läs mer om hur Endpoint Protection för datorer utvärderas. (Relaterad princip: Övervaka saknat Endpoint Protection i Azure Security Center) |
High |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Azure Security Center supported endpoint protection solutions are documented here. Endpoint protection assessment is documented here. (Relaterad princip: Övervaka saknat Endpoint Protection i Azure Security Center) |
Medium |
Note
Rekommendationerna visar deras friskhetsintervall som 8 timmar, men det finns vissa scenarier där detta kan ta betydligt längre tid. När till exempel en lokal dator tas bort tar det 24 timmar innan Security Center identifierar borttagningen. Därefter tar det upp till 8 timmar att returnera informationen. I den specifika situationen kan det därför ta 32 timmar innan datorn tas bort från listan över berörda resurser.
Inbyggd felsökning och vägledning för att lösa vanliga problem
Ett nytt, dedikerat område på Security Center-sidorna i Azure Portal innehåller en samlad, ständigt växande uppsättning självhjälpsmaterial för att lösa vanliga utmaningar med Security Center och Azure Defender.
När du har problem, eller söker råd från vårt supportteam, är Diagnose and solve problems ett annat verktyg som hjälper dig att hitta lösningen:
Instrumentpanelen för regelefterlevnad i Azure-granskningsrapporter som släppts för allmän tillgänglighet (GA)
Instrumentpanelen för regelefterlevnad erbjuder Azure- och Dynamics-certifieringsrapporter för de standarder som tillämpas på dina prenumerationer.
Du kan välja fliken för relevanta rapporttyper (PCI, SOC, ISO och andra) och använda filter för att hitta de specifika rapporter du behöver.
Mer information finns i Generera rapporter och certifikat för efterlevnadsstatus.
Inaktuell rekommendation "Problem med Log Analytics-agentens hälsotillstånd bör lösas på dina datorer"
Vi har upptäckt att rekommendationen att Log Analytics-agentens hälsoproblem bör lösas på dina datorer påverkar säkra poäng på sätt som är inkonsekventa med CSPM-fokus (Cloud Security Posture Management). CsPM handlar vanligtvis om att identifiera felkonfigurationer av säkerhet. Problem med agenthälsa passar inte in i den här kategorin av problem.
Rekommendationen är också en avvikelse jämfört med andra agenter som är relaterade till Security Center: det här är den enda agenten med en rekommendation som rör hälsoproblem.
Rekommendationen var inaktuell.
Som ett resultat av den här utfasningen har vi också gjort mindre ändringar i rekommendationerna för att installera Log Analytics-agenten (Log Analytics-agenten bör installeras på...).
Det är troligt att den här ändringen påverkar dina säkra poäng. För de flesta prenumerationer förväntar vi oss att ändringen leder till en ökad poäng, men det är möjligt att uppdateringarna av installationsrekommendationen kan leda till minskade poäng i vissa fall.
Tip
The asset inventory page was also affected by this change as it displays the monitored status for machines (monitored, not monitored, or partially monitored - a state which refers to an agent with health issues).
Azure Defender för containerregister söker nu efter sårbarheter i register som skyddas med Azure Private Link
Azure Defender för containerregister innehåller en sårbarhetsskanner för att skanna avbildningar i dina Azure Container Registry-register. Lär dig hur du genomsöker dina register och åtgärdar resultat i Använda Azure Defender för containerregister för att söka efter säkerhetsrisker i dina avbildningar.
Om du vill begränsa åtkomsten till ett register som finns i Azure Container Registry tilldelar du privata IP-adresser för virtuella nätverk till registerslutpunkterna och använder Azure Private Link enligt beskrivningen i Ansluta privat till ett Azure-containerregister med hjälp av Azure Private Link.
Som en del av vårt pågående arbete med att stödja ytterligare miljöer och användningsfall genomsöker Azure Defender nu även containerregister som skyddas med Azure Private Link.
Security Center kan nu automatiskt avetablera Azure Policys gästkonfigurationstillägg (i förhandsversion)
Azure Policy kan granska inställningar på en dator, både för datorer som körs på Azure- och Arc-anslutna datorer. Verifieringen utförs av gästkonfigurationstillägget och klienten. Läs mer i Förstå Azure Policys gästkonfiguration.
Med den här uppdateringen kan du nu ställa in Security Center för att automatiskt etablera det här tillägget till alla datorer som stöds.
Läs mer om hur automatisk avetablering fungerar i Konfigurera automatisk avetablering för agenter och tillägg.
Rekommendationer stöder nu "Framtvinga"
Security Center includes two features that help ensure newly created resources are provisioned in a secure manner: enforce and deny. När en rekommendation erbjuder dessa alternativ kan du se till att dina säkerhetskrav uppfylls när någon försöker skapa en resurs:
- Deny stops unhealthy resources from being created
- Enforce automatically remediates non-compliant resources when they're created
Med den här uppdateringen är alternativet framtvinga nu tillgängligt på rekommendationerna för att aktivera Azure Defender-planer (till exempel Azure Defender för App Service ska aktiveras, Azure Defender för Key Vault ska aktiveras, Azure Defender för lagring ska vara aktiverat).
Läs mer om de här alternativen i Förhindra felkonfigurationer med rekommendationer för framtvinga/neka.
CSV-export av rekommendationsdata är nu begränsad till 20 MB
Vi inför en gräns på 20 MB när vi exporterar Security Center-rekommendationer.
Om du behöver exportera större mängder data använder du de tillgängliga filtren innan du väljer eller väljer delmängder av dina prenumerationer och laddar ned data i batchar.
Läs mer om att utföra en CSV-export av dina säkerhetsrekommendationer.
Sidan Rekommendationer innehåller nu flera vyer
Sidan med rekommendationer har nu två flikar för att ge alternativa sätt att visa de rekommendationer som är relevanta för dina resurser:
- Rekommendationer för säkerhetspoäng – Använd den här fliken om du vill visa listan med rekommendationer grupperade efter säkerhetskontroll. Läs mer om dessa kontroller i Säkerhetskontroller och deras rekommendationer.
- All recommendations - Use this tab to view the list of recommendations as a flat list. Den här fliken är också bra för att förstå vilket initiativ (inklusive standarder för regelefterlevnad) som genererade rekommendationen. Läs mer om initiativ och deras relation till rekommendationer i Vad är säkerhetsprinciper, initiativ och rekommendationer?.
July 2021
Uppdateringar i juli inkluderar:
- Microsoft Sentinel-anslutningsprogrammet innehåller nu valfri dubbelriktad aviseringssynkronisering (i förhandsversion)
- Logisk omorganisering av Azure Defender för Resource Manager-aviseringar
- Förbättringar av rekommendationen för att aktivera Azure Disk Encryption (ADE)
- Kontinuerlig export av säkerhetspoäng och regelefterlevnadsdata som släppts för allmän tillgänglighet (GA)
- Arbetsflödesautomatiseringar kan utlösas av ändringar i regelefterlevnadsbedömningar (GA)
- Utvärderings-API-fältet "FirstEvaluationDate" och "StatusChangeDate" är nu tillgängligt i arbetsytescheman och logikappar
- Arbetsboksmallen "Efterlevnad över tid" har lagts till i galleriet För Azure Monitor-arbetsböcker
Microsoft Sentinel-anslutningsprogrammet innehåller nu valfri dubbelriktad aviseringssynkronisering (i förhandsversion)
Security Center natively integrates with Microsoft Sentinel, Azure's cloud-native SIEM and SOAR solution.
Microsoft Sentinel innehåller inbyggda anslutningsappar för Azure Security Center på prenumerations- och klientorganisationsnivå. Läs mer i Stream-aviseringar till Microsoft Sentinel.
När du ansluter Azure Defender till Microsoft Sentinel synkroniseras statusen för Azure Defender-aviseringar som matas in i Microsoft Sentinel mellan de två tjänsterna. När till exempel en avisering stängs i Azure Defender visas den aviseringen som stängd även i Microsoft Sentinel. Changing the status of an alert in Azure Defender "won't"* affect the status of any Microsoft Sentinel incidents that contain the synchronized Microsoft Sentinel alert, only that of the synchronized alert itself.
När du aktiverar förhandsgranskningsfunktionen dubbelriktad aviseringssynkronisering synkroniseras automatiskt statusen för de ursprungliga Azure Defender-aviseringarna med Microsoft Sentinel-incidenter som innehåller kopior av dessa Azure Defender-aviseringar. När till exempel en Microsoft Sentinel-incident som innehåller en Azure Defender-avisering stängs stänger Azure Defender automatiskt motsvarande ursprungliga avisering.
Läs mer i Ansluta Azure Defender-aviseringar från Azure Security Center.
Logisk omorganisering av Azure Defender för Resource Manager-aviseringar
Aviseringarna som anges nedan tillhandahölls som en del av Azure Defender for Resource Manager-planen .
Som en del av en logisk omorganisation av några av Azure Defender-planerna har vi flyttat några aviseringar från Azure Defender för Resource Manager till Azure Defender för servrar.
Aviseringarna organiseras enligt två huvudprinciper:
- Aviseringar som ger kontrollplansskydd – över många Azure-resurstyper – är en del av Azure Defender för Resource Manager
- Aviseringar som skyddar specifika arbetsbelastningar finns i Azure Defender-planen som relaterar till motsvarande arbetsbelastning
Det här är aviseringarna som ingick i Azure Defender för Resource Manager och som till följd av den här ändringen nu är en del av Azure Defender för servrar:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Läs mer om Azure Defender för Resource Manager och Azure Defender för servrar .
Förbättringar av rekommendationen för att aktivera Azure Disk Encryption (ADE)
Efter användarfeedback har vi bytt namn på rekommendationen Diskkryptering ska tillämpas på virtuella datorer.
Den nya rekommendationen använder samma utvärderings-ID och kallas Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser.
Beskrivningen har också uppdaterats för att bättre förklara syftet med den här här härdningsrekommenderingen:
| Recommendation | Description | Severity |
|---|---|---|
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. temporära diskar och datacacheminnen krypteras inte och data krypteras inte när de flödar mellan beräknings- och lagringsresurser. Mer information finns i jämförelsen av olika diskkrypteringstekniker i Azure. Använd Azure Disk Encryption för att kryptera alla dessa data. Ignorera den här rekommendationen om: (1) du använder funktionen encryption-at-host eller (2) kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i Kryptering på serversidan av Azure Disk Storage. |
High |
Kontinuerlig export av säkerhetspoäng och regelefterlevnadsdata som släppts för allmän tillgänglighet (GA)
Continuous export provides the mechanism for exporting your security alerts and recommendations for tracking with other monitoring tools in your environment.
När du konfigurerar kontinuerlig export konfigurerar du vad som exporteras och vart det ska gå. Läs mer i översikten över kontinuerlig export.
Vi har förbättrat och utökat den här funktionen över tid:
In November 2020, we added the preview option to stream changes to your secure score.
In December 2020, we added the preview option to stream changes to your regulatory compliance assessment data.
Med den här uppdateringen släpps dessa två alternativ för allmän tillgänglighet (GA).
Arbetsflödesautomatiseringar kan utlösas av ändringar i regelefterlevnadsbedömningar (GA)
In February 2021, we added a preview third data type to the trigger options for your workflow automations: changes to regulatory compliance assessments. Läs mer i Arbetsflödesautomatiseringar kan utlösas av ändringar i utvärderingar av regelefterlevnad.
Med den här uppdateringen släpps det här utlösaralternativet för allmän tillgänglighet (GA).
Lär dig hur du använder verktygen för arbetsflödesautomatisering i Automatisera svar på Security Center-utlösare.
Utvärderings-API-fältet "FirstEvaluationDate" och "StatusChangeDate" är nu tillgängligt i arbetsytescheman och logikappar
In May 2021, we updated the Assessment API with two new fields, FirstEvaluationDate and StatusChangeDate. Fullständig information finns i Utvärderings-API expanderat med två nya fält.
Dessa fält var tillgängliga via REST-API:et, Azure Resource Graph, kontinuerlig export och CSV-exporter.
Med den här ändringen gör vi informationen tillgänglig i Log Analytics-arbetsyteschemat och från logikappar.
Arbetsboksmallen "Efterlevnad över tid" har lagts till i galleriet För Azure Monitor-arbetsböcker
I mars tillkännagav vi den integrerade Azure Monitor-arbetsboken i Security Center (se Azure Monitor-arbetsböcker integrerade i Security Center och tre mallar).
Den första versionen innehöll tre mallar för att skapa dynamiska och visuella rapporter om organisationens säkerhetsstatus.
Vi har nu lagt till en arbetsbok som är dedikerad för att spåra en prenumerations efterlevnad av de regler eller branschstandarder som tillämpas på den.
Lär dig mer om hur du använder dessa rapporter eller skapar egna i Skapa omfattande interaktiva rapporter med Security Center-data.
June 2021
Uppdateringar i juni inkluderar:
- Ny avisering för Azure Defender för Key Vault
- Rekommendationer för kryptering med kundhanterade nycklar (CMK:er) inaktiverade som standard
- Prefixet för Kubernetes-aviseringar har ändrats från "AKS_" till "K8S_"
- Inaktuella två rekommendationer från säkerhetskontrollen "Tillämpa systemuppdateringar"
Ny avisering för Azure Defender för Key Vault
För att utöka hotskyddet som tillhandahålls av Azure Defender för Key Vault har vi lagt till följande avisering:
| Avisering (aviseringstyp) | Description | MITRE tactic | Severity |
|---|---|---|---|
| Åtkomst från en misstänkt IP-adress till ett nyckelvalv (KV_SuspiciousIPAccess) |
Ett nyckelvalv har använts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Detta kan tyda på att infrastrukturen har komprometterats. Vi rekommenderar ytterligare undersökning. | Credential Access | Medium |
Mer information finns i:
- Introduktion till Azure Defender för Key Vault
- Svara på Azure Defender för Key Vault-aviseringar
- Lista över aviseringar som tillhandahålls av Azure Defender för Key Vault
Rekommendationer för kryptering med kundhanterade nycklar (CMK:er) inaktiverade som standard
Security Center innehåller flera rekommendationer för att kryptera vilande data med kundhanterade nycklar, till exempel:
- Containerregister ska krypteras med en kundhanterad nyckel (CMK)
- Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data
- Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel (CMK)
Data i Azure krypteras automatiskt med hjälp av plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när det krävs för kompatibilitet med en specifik princip som din organisation väljer att tillämpa.
Med den här ändringen inaktiveras nu rekommendationerna för att använda CMK:er som standard. When relevant for your organization, you can enable them by changing the Effect parameter for the corresponding security policy to AuditIfNotExists or Enforce. Läs mer i Aktivera en säkerhetsrekommendations.
Den här ändringen återspeglas i rekommendationens namn med ett nytt prefix, [Aktivera om det behövs], enligt följande exempel:
- [Aktivera om det behövs] Lagringskonton bör använda kundhanterad nyckel för att kryptera vilande data
- [Aktivera om det behövs] Containerregister ska krypteras med en kundhanterad nyckel (CMK)
- [Aktivera om det behövs] Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data
Prefixet för Kubernetes-aviseringar har ändrats från "AKS_" till "K8S_"
Azure Defender för Kubernetes expanderade nyligen för att skydda Kubernetes-kluster som finns lokalt och i miljöer med flera moln. Läs mer i Använda Azure Defender för Kubernetes för att skydda Kubernetes-hybriddistributioner och kubernetes-distributioner med flera moln (i förhandsversion).)
För att återspegla det faktum att säkerhetsaviseringar från Azure Defender för Kubernetes inte längre är begränsade till kluster i Azure Kubernetes Service har vi ändrat prefixet för aviseringstyperna från "AKS_" till "K8S_". Vid behov uppdaterades även namn och beskrivningar. Till exempel den här aviseringen:
| Avisering (aviseringstyp) | Description |
|---|---|
| Testverktyget för Kubernetes-intrång har identifierats (AKS_PenTestToolsKubeHunter) |
Kubernetes audit log analysis detected usage of Kubernetes penetration testing tool in the AKS cluster. Även om det här beteendet kan vara legitimt kan angripare använda sådana offentliga verktyg i skadliga syften. |
Har ändrats till den här aviseringen:
| Avisering (aviseringstyp) | Description |
|---|---|
| Testverktyget för Kubernetes-intrång har identifierats (K8S_PenTestToolsKubeHunter) |
Kubernetes audit log analysis detected usage of Kubernetes penetration testing tool in the Kubernetes cluster. Även om det här beteendet kan vara legitimt kan angripare använda sådana offentliga verktyg i skadliga syften. |
Eventuella undertryckningsregler som refererar till aviseringar som börjar "AKS_" konverterades automatiskt. Om du har konfigurerat SIEM-exporter eller anpassade automatiseringsskript som refererar till Kubernetes-aviseringar efter aviseringstyp måste du uppdatera dem med de nya aviseringstyperna.
En fullständig lista över Kubernetes-aviseringar finns i Aviseringar för Kubernetes-kluster.
Inaktuella två rekommendationer från säkerhetskontrollen "Tillämpa systemuppdateringar"
Följande två rekommendationer är inaktuella:
- Operativsystemets version bör uppdateras för dina molntjänstroller – Som standard uppdaterar Azure regelbundet ditt gästoperativsystem till den senaste avbildningen som stöds i operativsystemfamiljen som du har angett i tjänstkonfigurationen (.cscfg), till exempel Windows Server 2016.
- Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version – Den här rekommendationens utvärderingar är inte så omfattande som vi vill att de ska vara. Vi planerar att ersätta rekommendationen med en förbättrad version som är bättre anpassad till dina säkerhetsbehov.
May 2021
Uppdateringar i maj inkluderar:
- Azure Defender för DNS och Azure Defender för Resource Manager har släppts för allmän tillgänglighet (GA)
- Azure Defender för relationsdatabaser med öppen källkod som släppts för allmän tillgänglighet (GA)
- Nya aviseringar för Azure Defender för Resource Manager
- CI/CD-sårbarhetsgenomsökning av containeravbildningar med GitHub-arbetsflöden och Azure Defender (förhandsversion)
- Fler Resource Graph-frågor för vissa rekommendationer
- Allvarlighetsgraden för SQL-dataklassificeringsrekommendationer har ändrats
- Nya rekommendationer för att aktivera betrodda startfunktioner (i förhandsversion)
- Nya rekommendationer för härdning av Kubernetes-kluster (i förhandsversion)
- Utvärderings-API expanderat med två nya fält
- Tillgångsinventering hämtar ett molnmiljöfilter
Azure Defender för DNS och Azure Defender för Resource Manager har släppts för allmän tillgänglighet (GA)
Dessa två molnbaserade planer för skydd mot hot är nu allmänt tillgängliga.
Dessa nya skydd förbättrar avsevärt din återhämtning mot attacker från hotaktörer och ökar avsevärt antalet Azure-resurser som skyddas av Azure Defender.
Azure Defender för Resource Manager – övervakar automatiskt alla resurshanteringsåtgärder som utförs i din organisation. Mer information finns i:
Azure Defender för DNS – övervakar kontinuerligt alla DNS-frågor från dina Azure-resurser . Mer information finns i:
Använd rekommendationerna för att förenkla processen med att aktivera dessa planer:
- Azure Defender för Resource Manager ska vara aktiverat
- Azure Defender för DNS ska vara aktiverat
Note
Aktivering av Azure Defender-planer resulterar i avgifter. Learn about the pricing details per region on Security Center's pricing page.
Azure Defender för relationsdatabaser med öppen källkod som släppts för allmän tillgänglighet (GA)
Azure Security Center utökar sitt erbjudande för SQL-skydd med ett nytt paket som täcker dina relationsdatabaser med öppen källkod:
- Azure Defender för Azure SQL-databasservrar – försvarar dina Azure-inbyggda SQL-servrar
- Azure Defender för SQL-servrar på datorer – utökar samma skydd till dina SQL-servrar i hybridmiljöer, multimoln och lokala miljöer
- Azure Defender för relationsdatabaser med öppen källkod – försvarar dina enskilda Azure Databases for MySQL-, PostgreSQL- och MariaDB-servrar
Azure Defender för relationsdatabaser med öppen källkod övervakar ständigt dina servrar för säkerhetshot och identifierar avvikande databasaktiviteter som indikerar potentiella hot mot Azure Database for MySQL, PostgreSQL och MariaDB. Några exempel är:
- Detaljerad identifiering av brute force-attacker – Azure Defender för relationsdatabaser med öppen källkod innehåller detaljerad information om försök till och lyckade brute force-attacker. På så sätt kan du undersöka och svara med en mer fullständig förståelse för attackens natur och status på din miljö.
- Identifiering av beteendeaviseringar – Azure Defender för relationsdatabaser med öppen källkod varnar dig om misstänkta och oväntade beteenden på dina servrar, till exempel ändringar i åtkomstmönstret till databasen.
- Hotinformationsbaserad identifiering – Azure Defender tillämpar Microsofts hotinformation och stora kunskapsbas på aviseringar om ythot så att du kan agera mot dem.
Läs mer i Introduktion till Azure Defender för relationsdatabaser med öppen källkod.
Nya aviseringar för Azure Defender för Resource Manager
För att utöka hotskyddet som tillhandahålls av Azure Defender för Resource Manager har vi lagt till följande aviseringar:
| Avisering (aviseringstyp) | Description | MITRE tactics | Severity |
|---|---|---|---|
|
Behörigheter som beviljas för en RBAC-roll på ett ovanligt sätt för din Azure-miljö (förhandsversion) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender för Resource Manager identifierade en RBAC-rolltilldelning som är ovanlig jämfört med andra tilldelningar som utförs av samma tilldelare/som utförts för samma tilldelare/i din klientorganisation på grund av följande avvikelser: tilldelningstid, tilldelningsplats, tilldelningsmetod, autentiseringsmetod, tilldelade entiteter, klientprogramvara som används, tilldelnings omfattning. Den här åtgärden kan ha utförts av en legitim användare i din organisation. Alternativt kan det tyda på att ett konto i din organisation har brutits och att hotskådespelaren försöker bevilja behörigheter till ett ytterligare användarkonto som de äger. | Lateral rörelse, försvarsundandragande | Medium |
|
Privilegierad anpassad roll som skapats för din prenumeration på ett misstänkt sätt (förhandsversion) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender för Resource Manager identifierade en misstänkt skapande av privilegierad anpassad rolldefinition i din prenumeration. Den här åtgärden kan ha utförts av en legitim användare i din organisation. Alternativt kan det tyda på att ett konto i din organisation har brutits och att hotskådespelaren försöker skapa en privilegierad roll som ska användas i framtiden för att undvika identifiering. | Lateral rörelse, försvarsundandragande | Low |
|
Azure Resource Manager-åtgärd från misstänkt IP-adress (förhandsversion) (ARM_OperationFromSuspiciousIP) |
Azure Defender för Resource Manager identifierade en åtgärd från en IP-adress som har markerats som misstänkt i hotinformationsflöden. | Execution | Medium |
|
Azure Resource Manager-åtgärd från misstänkt proxy-IP-adress (förhandsversion) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender för Resource Manager identifierade en resurshanteringsåtgärd från en IP-adress som är associerad med proxytjänster, till exempel TOR. Även om det här beteendet kan vara legitimt, visas det ofta i skadliga aktiviteter, när hotaktörer försöker dölja sin käll-IP. | Defense Evasion | Medium |
Mer information finns i:
- Introduktion till Azure Defender för Resource Manager
- Svara på Azure Defender för Resource Manager-aviseringar
- Lista över aviseringar som tillhandahålls av Azure Defender för Resource Manager
CI/CD-sårbarhetsgenomsökning av containeravbildningar med GitHub-arbetsflöden och Azure Defender (förhandsversion)
Azure Defender för containerregister ger nu DevSecOps-team observerbarhet i GitHub Actions-arbetsflöden.
The new vulnerability scanning feature for container images, utilizing Trivy, helps you to scan for common vulnerabilities in their container images before pushing images to container registries.
Rapporter för containergenomsökning sammanfattas i Azure Security Center, vilket ger säkerhetsteamen bättre insikt och förståelse för källan till sårbara containeravbildningar samt arbetsflöden och lagringsplatser där de kommer.
Läs mer i Identifiera sårbara containeravbildningar i dina CI/CD-arbetsflöden.
Fler Resource Graph-frågor för vissa rekommendationer
All of Security Center's recommendations have the option to view the information about the status of affected resources using Azure Resource Graph from the Open query. Fullständig information om den här kraftfulla funktionen finns i Granska rekommendationsdata i Azure Resource Graph Explorer.
Security Center innehåller inbyggda sårbarhetsskannrar för att genomsöka dina virtuella datorer, SQL-servrar och deras värdar samt containerregister efter säkerhetsrisker. Resultaten returneras som rekommendationer med alla enskilda resultat för varje resurstyp som samlats in i en enda vy. Rekommendationerna är:
- Säkerhetsrisker i Azure Container Registry-avbildningar bör åtgärdas (drivs av Qualys)
- Säkerhetsrisker på dina virtuella datorer bör åtgärdas
- SQL-databaser bör lösa sårbarhetsresultat
- SQL-servrar på datorer bör ha sårbarhetsresultat lösta
With this change, you can use the Open query button to also open the query showing the security findings.
The Open query button offers additional options for some other recommendations where relevant.
Läs mer om Säkerhetscenters sårbarhetsskannrar:
- Azure Defenders integrerade Qualys-sårbarhetsskanner för Azure- och hybriddatorer
- Azure Defenders integrerade skanner för sårbarhetsbedömning för SQL-servrar
- Azure Defenders integrerade skanner för sårbarhetsbedömning för containerregister
Allvarlighetsgraden för SQL-dataklassificeringsrekommendationer har ändrats
Allvarlighetsgraden för rekommendationen Känsliga data i dina SQL-databaser ska klassificeras har ändrats från Hög till Låg.
Detta är en del av en pågående ändring av den här rekommendationen som tillkännages på vår kommande ändringssida.
Nya rekommendationer för att aktivera betrodda startfunktioner (i förhandsversion)
Azure offers trusted launch as a seamless way to improve the security of generation 2 VMs. Betrodd start skyddar mot avancerade och beständiga attacktekniker. Betrodd start består av flera samordnade infrastrukturtekniker som kan aktiveras oberoende av varandra. Varje teknik ger ytterligare ett lager av skydd mot sofistikerade hot. Läs mer i Betrodd start för virtuella Azure-datorer.
Important
Betrodd start kräver att nya virtuella datorer skapas. Du kan inte aktivera betrodd start på befintliga virtuella datorer som ursprungligen skapades utan den.
Betrodd start är för närvarande i offentlig förhandsversion. Förhandsversionen tillhandahålls utan ett serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade.
Security Centers rekommendation är att vTPM ska aktiveras på virtuella datorer som stöds, vilket säkerställer att dina virtuella Azure-datorer använder en vTPM. Den här virtualiserade versionen av en trusted platform-modul för maskinvara möjliggör attestering genom att mäta hela startkedjan för den virtuella datorn (UEFI, OPERATIVSYSTEM, system och drivrutiner).
Med vTPM aktiverat kan gästattesteringstillägget fjärrstyra den säkra starten. Följande rekommendationer säkerställer att det här tillägget distribueras:
- Säker start bör aktiveras på virtuella Windows-datorer som stöds
- Gästattesteringstillägget bör installeras på virtuella Windows-datorer som stöds
- Gästattesteringstillägget bör installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds
- Gästattesteringstillägget bör installeras på virtuella Linux-datorer som stöds
- Gästattesteringstillägget bör installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds
Läs mer i Betrodd start för virtuella Azure-datorer.
Nya rekommendationer för härdning av Kubernetes-kluster (i förhandsversion)
Med följande rekommendationer kan du ytterligare härda dina Kubernetes-kluster
- Kubernetes-kluster bör inte använda standardnamnområdet – Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount.
- Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter – Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster.
- Kubernetes-kluster bör inte bevilja CAPSYSADMIN-säkerhetsfunktioner
Lär dig hur Security Center kan skydda dina containerbaserade miljöer i Container Security i Security Center.
Utvärderings-API expanderat med två nya fält
Vi har lagt till följande två fält i REST API:et för utvärderingar:
- FirstEvaluationDate – The time that the recommendation was created and first evaluated. Returneras som UTC-tid i ISO 8601-format.
- StatusChangeDate – The time that the status of the recommendation last changed. Returneras som UTC-tid i ISO 8601-format.
Det första standardvärdet för dessa fält – för alla rekommendationer – är 2021-03-14T00:00:00+0000000Z.
Om du vill komma åt den här informationen kan du använda någon av metoderna i tabellen nedan.
| Tool | Details |
|---|---|
| REST API-anrop | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Diagram över Azure-resurser | securityresourceswhere type == "microsoft.security/assessments" |
| Continuous export | De två dedikerade fälten kommer att vara tillgängliga för Log Analytics-arbetsytedata |
| CSV export | De två fälten ingår i CSV-filerna |
Läs mer om REST-API:et för utvärderingar.
Tillgångsinventering hämtar ett molnmiljöfilter
Security Centers tillgångsinventeringssida erbjuder många filter för att snabbt förfina listan över resurser som visas. Läs mer i Utforska och hantera dina resurser med tillgångsinventering.
Ett nytt filter erbjuder alternativet att förfina listan enligt de molnkonton som du har anslutit med Security Centers multimolnfunktion.
Läs mer om funktionerna i flera moln:
- Ansluta dina AWS-konton till Azure Security Center
- Ansluta dina GCP-projekt till Azure Security Center
April 2021
Uppdateringar i april inkluderar:
- Uppdaterad resurshälsosida (i förhandsversion)
- Containerregisteravbildningar som nyligen har hämtats genomsöks nu varje vecka (släpps för allmän tillgänglighet (GA))
- Använda Azure Defender för Kubernetes för att skydda Kubernetes-hybriddistributioner och kubernetes-distributioner i flera moln (i förhandsversion)
- Microsoft Defender för Endpoint integrering med Azure Defender har nu stöd för Windows Server 2019 och Windows 10 på Windows Virtual Desktop som släppts för allmän tillgänglighet (GA)
- Rekommendationer för att aktivera Azure Defender för DNS och Resource Manager (i förhandsversion)
- Tre standarder för regelefterlevnad har lagts till: Azure CIS 1.3.0, CMMC Level 3 och Nya Zeeland ISM Restricted
- Fyra nya rekommendationer som rör gästkonfiguration (i förhandsversion)
- CMK-rekommendationer övergick till metodtips för säkerhetskontroll
- Elva Azure Defender-aviseringar är inaktuella
- Två rekommendationer från säkerhetskontrollen "Tillämpa systemuppdateringar" är inaktuella
- Azure Defender för SQL på datorpanelen har tagits bort från Azure Defender-instrumentpanelen
- Rekommendationer flyttades mellan säkerhetskontroller
Uppdaterad resurshälsosida (i förhandsversion)
Resurshälsan utökades, förbättrades och förbättrades för att ge en ögonblicksbildsvy över den övergripande hälsan för en enskild resurs.
Du kan granska detaljerad information om resursen och alla rekommendationer som gäller för resursen. Om du använder microsoft Defenders avancerade skyddsplaner kan du också se utestående säkerhetsaviseringar för den specifika resursen.
Om du vill öppna resurshälsosidan för en resurs väljer du valfri resurs på sidan för tillgångsinventering.
Den här förhandsgranskningssidan på Security Centers portalsidor visar:
- Resource information - The resource group and subscription it's attached to, the geographic location, and more.
- Tillämpad säkerhetsfunktion – Om Azure Defender är aktiverat för resursen.
- Antal utestående rekommendationer och aviseringar – Antalet utestående säkerhetsrekommendationer och Azure Defender-aviseringar.
- Åtgärdsbara rekommendationer och aviseringar – Två flikar visar de rekommendationer och aviseringar som gäller för resursen.
Läs mer i Självstudie: Undersöka hälsotillståndet för dina resurser.
Containerregisteravbildningar som nyligen har hämtats genomsöks nu varje vecka (släpps för allmän tillgänglighet (GA))
Azure Defender för containerregister innehåller en inbyggd sårbarhetsskanner. Den här skannern söker omedelbart igenom alla avbildningar som du skickar till registret och alla avbildningar som hämtats under de senaste 30 dagarna.
Nya sårbarheter upptäcks varje dag. With this update, container images that were pulled from your registries during the last 30 days will be rescanned every week. Detta säkerställer att nyligen identifierade sårbarheter identifieras i dina bilder.
Genomsökning debiteras per bild, så det tillkommer ingen extra kostnad för dessa genomsökningar.
Läs mer om den här skannern i Använda Azure Defender för containerregister för att genomsöka dina bilder efter säkerhetsrisker.
Använda Azure Defender för Kubernetes för att skydda Kubernetes-hybriddistributioner och kubernetes-distributioner i flera moln (i förhandsversion)
Azure Defender för Kubernetes utökar sina hotskyddsfunktioner för att försvara dina kluster var de än distribueras. Detta aktiverades genom integrering med Azure Arc-aktiverade Kubernetes och dess nya tilläggsfunktioner.
När du har aktiverat Azure Arc i dina kubernetes-kluster som inte är Azure erbjuder en ny rekommendation från Azure Security Center att distribuera Azure Defender-agenten till dem med bara några få klick.
Använd rekommendationen (Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Defender-tillägget installerat) och tillägget för att skydda Kubernetes-kluster som distribuerats i andra molnleverantörer, men inte på deras hanterade Kubernetes-tjänster.
Den här integreringen mellan Azure Security Center, Azure Defender och Azure Arc-aktiverade Kubernetes medför:
- Enkel etablering av Azure Defender-agenten till oskyddade Azure Arc-aktiverade Kubernetes-kluster (manuellt och i stor skala)
- Övervakning av Azure Defender-agenten och dess etableringstillstånd från Azure Arc-portalen
- Säkerhetsrekommendationer från Security Center rapporteras på den nya sidan Säkerhet i Azure Arc-portalen
- Identifierade säkerhetshot från Azure Defender rapporteras på den nya säkerhetssidan i Azure Arc-portalen
- Azure Arc-aktiverade Kubernetes-kluster är integrerade i Azure Security Center-plattformen och upplevelsen
Microsoft Defender för Endpoint integrering med Azure Defender har nu stöd för Windows Server 2019 och Windows 10 på Windows Virtual Desktop som släppts för allmän tillgänglighet (GA)
Microsoft Defender för Endpoint är en holistisk, molnlevererad slutpunktssäkerhetslösning. Det ger riskbaserad hantering av säkerhetsrisker och utvärdering samt identifiering och åtgärd på slutpunkt (EDR). En fullständig lista över fördelarna med att använda Defender för Endpoint tillsammans med Azure Security Center finns i Skydda dina slutpunkter med Security Centers integrerade EDR-lösning: Microsoft Defender för Endpoint.
När du aktiverar Azure Defender för servrar som kör Windows Server ingår en licens för Defender för Endpoint i planen. Om du redan har aktiverat Azure Defender för servrar och du har Windows Server 2019-servrar i din prenumeration får de automatiskt Defender för Endpoint med den här uppdateringen. Ingen manuell åtgärd krävs.
Stödet har nu utökats till att omfatta Windows Server 2019 och Windows 10 på Windows Virtual Desktop.
Note
Om du aktiverar Defender för Endpoint på en Windows Server 2019-server kontrollerar du att den uppfyller de krav som beskrivs i Aktivera Microsoft Defender för Endpoint integrering.
Rekommendationer för att aktivera Azure Defender för DNS och Resource Manager (i förhandsversion)
Två nya rekommendationer har lagts till för att förenkla processen med att aktivera Azure Defender för Resource Manager och Azure Defender för DNS:
- Azure Defender för Resource Manager ska vara aktiverat – Defender for Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet.
- Azure Defender för DNS ska vara aktiverat – Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet på DNS-lagret.
Aktivering av Azure Defender-planer resulterar i avgifter. Learn about the pricing details per region on Security Center's pricing page.
Tip
Förhandsversionsrekommendationer återger inte en resurs som inte är felfri och ingår inte i beräkningarna av din säkerhetspoäng. Åtgärda dem när det är möjligt, så att de bidrar till din poäng när förhandsgranskningsperioden är slut. Läs mer om hur du svarar på dessa rekommendationer i Åtgärda rekommendationer i Azure Security Center.
Tre standarder för regelefterlevnad har lagts till: Azure CIS 1.3.0, CMMC Level 3 och Nya Zeeland ISM Restricted
Vi har lagt till tre standarder för användning med Azure Security Center. Med instrumentpanelen för regelefterlevnad kan du nu spåra din efterlevnad med:
Du kan tilldela dessa till dina prenumerationer enligt beskrivningen i Anpassa standarduppsättningen på instrumentpanelen för regelefterlevnad.
Läs mer i:
- Anpassa uppsättningen standarder i instrumentpanelen för regelefterlevnad
- Självstudie: Förbättra din regelefterlevnad
- Vanliga frågor och svar om instrumentpanelen för regelefterlevnad
Fyra nya rekommendationer som rör gästkonfiguration (i förhandsversion)
Azures gästkonfigurationstillägg rapporterar till Security Center för att säkerställa att dina virtuella datorers gästinställningar är härdade. Tillägget krävs inte för Arc-aktiverade servrar eftersom det ingår i Arc Connected Machine-agenten. Tillägget kräver en systemhanterad identitet på datorn.
Vi har lagt till fyra nya rekommendationer i Security Center för att få ut mesta möjliga av det här tillägget.
Två rekommendationer uppmanar dig att installera tillägget och dess nödvändiga systemhanterade identitet:
- Gästkonfigurationstillägget ska installeras på dina datorer
- Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet
När tillägget installeras och körs börjar det granska dina datorer och du uppmanas att härda inställningar som konfiguration av operativsystem och miljöinställningar. Dessa två rekommendationer uppmanar dig att härda dina Windows- och Linux-datorer enligt beskrivningen:
- Windows Defender Exploit Guard ska vara aktiverat på dina datorer
- Autentisering till Linux-datorer bör kräva SSH-nycklar
Läs mer i Förstå Azure Policys gästkonfiguration.
CMK-rekommendationer övergick till metodtips för säkerhetskontroll
Varje organisations säkerhetsprogram innehåller krav på datakryptering. Som standard krypteras Azure-kundernas data i vila med tjänsthanterade nycklar. Kundhanterade nycklar (CMK) krävs dock ofta för att uppfylla standarder för regelefterlevnad. Med CMK:er kan du kryptera dina data med en Azure Key Vault-nyckel som skapats och ägs av dig. Detta ger dig fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering.
Säkerhetskontrollerna i Azure Security Center är logiska grupper med relaterade säkerhetsrekommendationer och återspeglar dina sårbara attackytor. Varje kontroll har ett maximalt antal poäng som du kan lägga till i din säkerhetspoäng om du åtgärdar alla rekommendationer som anges i kontrollen för alla dina resurser. Säkerhetskontrollen Implementera säkerhetsmetoder är värd noll poäng. Så rekommendationer i den här kontrollen påverkar inte din säkerhetspoäng.
Rekommendationerna nedan flyttas till säkerhetskontrollen Implementera bästa praxis för säkerhet för att bättre återspegla deras valfria karaktär. Den här flytten säkerställer att dessa rekommendationer är i den lämpligaste kontrollen för att uppfylla deras mål.
- Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data
- Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel (CMK)
- Azure AI-tjänstkonton bör aktivera datakryptering med en kundhanterad nyckel (CMK)
- Containerregister ska krypteras med en kundhanterad nyckel (CMK)
- SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data
- SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data
- Lagringskonton bör använda kundhanterad nyckel (CMK) för kryptering
Lär dig vilka rekommendationer som finns i varje säkerhetskontroll i Säkerhetskontroller och deras rekommendationer.
11 Azure Defender-aviseringar inaktuella
De elva Azure Defender-aviseringarna som anges nedan är inaktuella.
Nya aviseringar ersätter dessa två aviseringar och ger bättre täckning:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo FÖRHANDSVERSION – Funktionskörningen "Get-AzureDomainInfo" i MicroBurst har identifierats ARM_MicroBurstRunbook FÖRHANDSVERSION – Funktionskörningen "Get-AzurePasswords" i MicroBurst har identifierats Dessa nio aviseringar gäller en Azure Active Directory Identity Protection-anslutningsapp (IPC) som redan har blivit inaktuell:
AlertType AlertDisplayName UnfamiliarLocation Obekanta inloggningsegenskaper AnonymousLogin Anonym IP-adress InfectedDeviceLogin IP-adress länkad till skadlig kod ImpossibleTravel Atypical travel MaliciousIP Skadlig IP-adress LeakedCredentials Leaked credentials PasswordSpray Password Spray LeakedCredentials Azure AD-hotinformation AADAI Azure AD AI Tip
Dessa nio IPC-aviseringar var aldrig Security Center-aviseringar. De är en del av Azure Active Directory Identity Protection-anslutningsappen (IPC) som skickade dem till Security Center. Under de senaste två åren är de enda kunder som har sett dessa aviseringar organisationer som konfigurerade exporten (från anslutningsappen till ASC) 2019 eller tidigare. Azure Active Directory IPC har fortsatt att visa dem i sina egna aviseringssystem och de har fortsatt att vara tillgängliga i Microsoft Sentinel. Den enda ändringen är att de inte längre visas i Security Center.
Två rekommendationer från säkerhetskontrollen "Tillämpa systemuppdateringar" är inaktuella
Följande två rekommendationer är inaktuella och ändringarna kan leda till en liten inverkan på din säkerhetspoäng:
- Dina datorer bör startas om för att tillämpa systemuppdateringar
- Övervakningsagenten bör installeras på dina datorer. Den här rekommendationen gäller endast lokala datorer och en del av dess logik överförs till en annan rekommendation. Problem med Log Analytics-agentens hälsotillstånd bör lösas på dina datorer
Vi rekommenderar att du kontrollerar konfigurationerna för kontinuerlig export och arbetsflödesautomatisering för att se om dessa rekommendationer ingår i dem. Dessutom bör alla instrumentpaneler eller andra övervakningsverktyg som använder dem uppdateras i enlighet med detta.
Azure Defender för SQL på datorpanelen har tagits bort från Azure Defender-instrumentpanelen
Azure Defender-instrumentpanelens täckningsområde innehåller paneler för relevanta Azure Defender-planer för din miljö. På grund av ett problem med rapporteringen av antalet skyddade och oskyddade resurser har vi beslutat att tillfälligt ta bort resurstäckningsstatusen för Azure Defender för SQL på datorer tills problemet har lösts.
Rekommendationer flyttas mellan säkerhetskontroller
Följande rekommendationer flyttades till olika säkerhetskontroller. Säkerhetskontroller är logiska grupper med relaterade säkerhetsrekommendationer och återspeglar dina sårbara attackytor. Den här flytten säkerställer att var och en av dessa rekommendationer är i den lämpligaste kontrollen för att uppfylla sitt mål.
Lär dig vilka rekommendationer som finns i varje säkerhetskontroll i Säkerhetskontroller och deras rekommendationer.
| Recommendation | Ändra och påverka |
|---|---|
| Utvärdering av säkerhetsrisker bör aktiveras på dina SQL-servrar Sårbarhetsbedömning ska aktiveras på dina SQL-hanterade instanser Sårbarheter i dina SQL-databaser bör åtgärdas nya Sårbarheter i dina SQL-databaser på virtuella datorer bör åtgärdas |
Flytta från Åtgärda sårbarheter (värda sex poäng) för att åtgärda säkerhetskonfigurationer (värda fyra punkter). Beroende på din miljö har dessa rekommendationer en minskad inverkan på din poäng. |
| Det bör finnas fler än en ägare för prenumerationen Automation-kontovariabler ska krypteras IoT-enheter – Granskningsprocessen slutade skicka händelser IoT-enheter – Valideringsfel vid validering av operativsystembaslinje IoT-enheter – uppgradering av TLS-chifferpaket krävs IoT-enheter – Öppna portar på enheten IoT-enheter – Tillåtande brandväggsprincip i en av kedjorna hittades IoT-enheter – Tillåten brandväggsregel i indatakedjan hittades IoT-enheter – Tillåten brandväggsregel i utdatakedjan hittades Diagnostikloggar i IoT Hub ska vara aktiverade IoT-enheter – Agenten skickar underutnytttagna meddelanden IoT-enheter – Standardprincipen för IP-filter ska nekas IoT-enheter – IP-filterregel stort IP-intervall IoT-enheter – Agentmeddelandeintervall och storlek ska justeras IoT-enheter – identiska autentiseringsuppgifter IoT-enheter – Den granskade processen slutade skicka händelser IoT-enheter – Baslinjekonfigurationen för operativsystem (OS) bör åtgärdas |
Gå över till Implementera metodtips för säkerhet. När en rekommendation flyttas till säkerhetskontrollen Implementera bästa praxis för säkerhet, som inte är värd några poäng, påverkar rekommendationen inte längre din säkerhetspoäng. |
March 2021
Uppdateringar i mars inkluderar:
- Azure Firewall-hantering integrerad i Security Center
- SQL-sårbarhetsbedömning innehåller nu funktionen "Inaktivera regel" (förhandsversion)
- Azure Monitor-arbetsböcker integrerade i Security Center och tre mallar som tillhandahålls
- Instrumentpanelen för regelefterlevnad innehåller nu Azure-granskningsrapporter (förhandsversion)
- Rekommendationsdata kan visas i Azure Resource Graph med "Utforska i ARG"
- Uppdateringar av principerna för distribution av arbetsflödesautomation
- Två äldre rekommendationer skriver inte längre data direkt till Azure-aktivitetsloggen
- Förbättringar av sidan Rekommendationer
Azure Firewall-hantering integrerad i Security Center
När du öppnar Azure Security Center är den första sidan som visas översiktssidan.
Den här interaktiva instrumentpanelen ger en enhetlig vy över säkerhetsstatusen för dina hybridmolnarbetsbelastningar. Dessutom visas säkerhetsaviseringar, täckningsinformation med mera.
Som en del av att hjälpa dig att visa din säkerhetsstatus från en central upplevelse har vi integrerat Azure Firewall Manager i den här instrumentpanelen. Nu kan du kontrollera brandväggens täckningsstatus i alla nätverk och centralt hantera Azure Firewall-principer från Och med Security Center.
Läs mer om den här instrumentpanelen på översiktssidan för Azure Security Center.
SQL-sårbarhetsbedömning innehåller nu funktionen "Inaktivera regel" (förhandsversion)
Security Center innehåller en inbyggd sårbarhetsskanner som hjälper dig att identifiera, spåra och åtgärda potentiella sårbarheter i databasen. Resultatet från dina utvärderingsgenomsökningar ger en översikt över dina SQL-datorers säkerhetstillstånd och information om eventuella säkerhetsresultat.
Om du har en organisation som behöver ignorera en sökning i stället för att åtgärda den kan du inaktivera den. Inaktiverade resultat påverkar inte din säkerhetspoäng eller genererar oönskat brus.
Läs mer i Inaktivera specifika resultat.
Azure Monitor-arbetsböcker integrerade i Security Center och tre mallar som tillhandahålls
Som en del av Ignite Spring 2021 tillkännagav vi en integrerad Azure Monitor-arbetsboksupplevelse i Security Center.
Du kan använda den nya integreringen för att börja använda färdiga mallar från Security Center-galleriet. Med hjälp av arbetsboksmallar kan du komma åt och skapa dynamiska och visuella rapporter för att spåra organisationens säkerhetsstatus. Dessutom kan du skapa nya arbetsböcker baserat på Security Center-data eller andra datatyper som stöds och snabbt distribuera community-arbetsböcker från Security Centers GitHub-community.
Tre mallrapporter tillhandahålls:
- Säker poäng över tid – Spåra dina prenumerationers poäng och ändringar i rekommendationer för dina resurser
- System Updates - View missing system updates by resources, OS, severity, and more
- Resultat av sårbarhetsbedömning – Visa resultaten av sårbarhetsgenomsökningar av dina Azure-resurser
Lär dig mer om hur du använder dessa rapporter eller skapar egna i Skapa omfattande interaktiva rapporter med Security Center-data.
Instrumentpanelen för regelefterlevnad innehåller nu Azure-granskningsrapporter (förhandsversion)
Från instrumentpanelen för regelefterlevnad kan du nu ladda ned Azure- och Dynamics-certifieringsrapporter.
Du kan välja fliken för relevanta rapporttyper (PCI, SOC, ISO och andra) och använda filter för att hitta de specifika rapporter du behöver.
Läs mer om att hantera standarderna på instrumentpanelen för regelefterlevnad.
Rekommendationsdata kan visas i Azure Resource Graph med "Utforska i ARG"
Rekommendationsinformationssidorna innehåller nu verktygsfältsknappen "Utforska i ARG". Använd den här knappen om du vill öppna en Azure Resource Graph-fråga och utforska, exportera och dela rekommendationens data.
Azure Resource Graph (ARG) ger omedelbar åtkomst till resursinformation i dina molnmiljöer med robusta funktioner för filtrering, gruppering och sortering. Det är ett snabbt och effektivt sätt att fråga information i Azure-prenumerationer programmatiskt eller inifrån Azure Portal.
Läs mer om Azure Resource Graph.
Uppdateringar av principerna för distribution av arbetsflödesautomation
Att automatisera organisationens övervaknings- och incidenthanteringsprocesser kan avsevärt förbättra den tid det tar att undersöka och minimera säkerhetsincidenter.
Vi tillhandahåller tre Principer för Azure Policy "DeployIfNotExist" som skapar och konfigurerar procedurer för arbetsflödesautomatisering så att du kan distribuera dina automatiseringar i organisationen:
| Goal | Policy | Policy ID |
|---|---|---|
| Arbetsflödesautomatisering för säkerhetsaviseringar | Distribuera arbetsflödesautomation för Azure Security Center-aviseringar | f1525828-9a90-4fcf-be48-268cdd02361e |
| Arbetsflödesautomatisering för säkerhetsrekommendationer | Distribuera arbetsflödesautomation för Azure Security Center-rekommendationer | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Arbetsflödesautomatisering för regelefterlevnadsändringar | Distribuera arbetsflödesautomation för regelefterlevnad i Azure Security Center | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Det finns två uppdateringar av funktionerna i dessa principer:
- När de tilldelas förblir de aktiverade genom tillämpning.
- Du kan nu anpassa dessa principer och uppdatera någon av parametrarna även efter att de redan har distribuerats. Du kan till exempel lägga till eller redigera en utvärderingsnyckel.
Kom igång med mallar för arbetsflödesautomatisering.
Läs mer om hur du automatiserar svar på Security Center-utlösare.
Två äldre rekommendationer skriver inte längre data direkt till Azure-aktivitetsloggen
Security Center skickar data för nästan alla säkerhetsrekommendationer till Azure Advisor, som i sin tur skriver dem till Azure-aktivitetsloggen.
För två rekommendationer skrivs data samtidigt direkt till Azure-aktivitetsloggen. Med den här ändringen slutar Security Center att skriva data för dessa äldre säkerhetsrekommendationer direkt till aktivitetsloggen. I stället exporterar vi data till Azure Advisor som vi gör för alla andra rekommendationer.
De två äldre rekommendationerna är:
- Problem med slutpunktsskyddshälsa bör lösas på dina datorer
- Säkerhetsluckor i datorernas säkerhetskonfiguration bör åtgärdas
Om du har använt information för dessa två rekommendationer i aktivitetsloggens kategori "Rekommendation av typen TaskDiscovery" är detta inte längre tillgängligt.
Förbättringar av sidan Rekommendationer
Vi har släppt en förbättrad version av rekommendationslistan för att snabbt presentera mer information.
Nu visas följande på sidan:
- Maximal poäng och aktuell poäng för varje säkerhetskontroll.
- Icons replacing tags such as Fix and Preview.
- A new column showing the Policy initiative related to each recommendation - visible when "Group by controls" is disabled.
Läs mer i Säkerhetsrekommendationer i Azure Security Center.
February 2021
Uppdateringar i februari inkluderar:
- Ny sida med säkerhetsaviseringar i Azure Portal som släppts för allmän tillgänglighet (GA)
- Rekommendationer för Kubernetes-arbetsbelastningsskydd som släppts för allmän tillgänglighet (GA)
- Microsoft Defender för Endpoint integrering med Azure Defender stöder nu Windows Server 2019 och Windows 10 på Windows Virtual Desktop (i förhandsversion)
- Direktlänk till princip från sidan med rekommendationsinformation
- Rekommendationen för SQL-dataklassificering påverkar inte längre din säkerhetspoäng
- Arbetsflödesautomatiseringar kan utlösas av ändringar i utvärderingar av regelefterlevnad (i förhandsversion)
- Förbättringar av tillgångsinventeringssidan
Ny sida med säkerhetsaviseringar i Azure Portal som släppts för allmän tillgänglighet (GA)
Sidan säkerhetsaviseringar i Azure Security Center har gjorts om för att tillhandahålla:
- Förbättrad sorteringsupplevelse för aviseringar – hjälper till att minska aviseringströtthet och fokusera på de mest relevanta hoten enklare, listan innehåller anpassningsbara filter och grupperingsalternativ.
- Mer information i aviseringslistan – till exempel MITRE ATT&ACK-taktik.
- Knapp för att skapa exempelaviseringar – för att utvärdera Azure Defender-funktioner och testa dina aviseringar. konfiguration (för SIEM-integrering, e-postaviseringar och arbetsflödesautomatiseringar) kan du skapa exempelaviseringar från alla Azure Defender-planer.
- Anpassning till Azure Sentinels incidentupplevelse – för kunder som använder båda produkterna är det nu enklare att växla mellan dem och det är lätt att lära sig det ena från det andra.
- Better performance for large alerts lists.
- Keyboard navigation through the alert list.
- Aviseringar från Azure Resource Graph – du kan fråga efter aviseringar i Azure Resource Graph, kusto-liknande API för alla dina resurser. Detta är också användbart om du skapar egna instrumentpaneler för aviseringar. Läs mer om Azure Resource Graph.
- Skapa exempelaviseringsfunktionen – Information om hur du skapar exempelaviseringar från den nya aviseringsupplevelsen finns i Generera Azure Defender-exempelaviseringar.
Rekommendationer för Kubernetes-arbetsbelastningsskydd som släppts för allmän tillgänglighet (GA)
Vi är glada att kunna meddela allmän tillgänglighet (GA) för uppsättningen rekommendationer för Kubernetes-arbetsbelastningsskydd.
För att säkerställa att Kubernetes-arbetsbelastningar är säkra som standard har Security Center lagt till rekommendationer för kubernetes-nivåhärdning, inklusive tvingande alternativ med Kubernetes-åtkomstkontroll.
När Azure Policy for Kubernetes installeras i ditt AKS-kluster (Azure Kubernetes Service) övervakas varje begäran till Kubernetes API-servern mot den fördefinierade uppsättningen metodtips – som visas som 13 säkerhetsrekommendationer – innan de sparas i klustret. Du kan sedan konfigurera för att framtvinga bästa praxis och ge dem mandat för framtida arbetsbelastningar.
Du kan till exempel kräva att privilegierade containrar inte ska skapas och eventuella framtida begäranden om detta blockeras.
Läs mer i Metodtips för arbetsbelastningsskydd med kubernetes-antagningskontroll.
Note
Även om rekommendationerna var i förhandsversion återger de inte en AKS-klusterresurs som inte är felfri och de ingick inte i beräkningarna av din säkerhetspoäng. Med detta GA-meddelande inkluderas dessa i poängberäkningen. Om du inte redan har åtgärdat dem kan det leda till en liten inverkan på din säkerhetspoäng. Åtgärda dem när det är möjligt enligt beskrivningen i Åtgärda rekommendationer i Azure Security Center.
Microsoft Defender för Endpoint integrering med Azure Defender stöder nu Windows Server 2019 och Windows 10 på Windows Virtual Desktop (i förhandsversion)
Microsoft Defender för Endpoint är en holistisk, molnlevererad slutpunktssäkerhetslösning. Det ger riskbaserad hantering av säkerhetsrisker och utvärdering samt identifiering och åtgärd på slutpunkt (EDR). En fullständig lista över fördelarna med att använda Defender för Endpoint tillsammans med Azure Security Center finns i Skydda dina slutpunkter med Security Centers integrerade EDR-lösning: Microsoft Defender för Endpoint.
När du aktiverar Azure Defender för servrar som kör Windows Server ingår en licens för Defender för Endpoint i planen. Om du redan har aktiverat Azure Defender för servrar och du har Windows Server 2019-servrar i din prenumeration får de automatiskt Defender för Endpoint med den här uppdateringen. Ingen manuell åtgärd krävs.
Stödet har nu utökats till att omfatta Windows Server 2019 och Windows 10 på Windows Virtual Desktop.
Note
Om du aktiverar Defender för Endpoint på en Windows Server 2019-server kontrollerar du att den uppfyller de krav som beskrivs i Aktivera Microsoft Defender för Endpoint integrering.
Direktlänk till princip från sidan med rekommendationsinformation
När du granskar information om en rekommendation är det ofta bra att kunna se den underliggande principen. För varje rekommendation som stöds av en princip finns det en ny länk från rekommendationsinformationssidan:
Använd den här länken om du vill visa principdefinitionen och granska utvärderingslogik.
Rekommendationen för SQL-dataklassificering påverkar inte längre din säkerhetspoäng
Rekommendationen Känsliga data i DINA SQL-databaser ska klassificeras påverkar inte längre din säkerhetspoäng. Säkerhetskontrollen Tillämpa dataklassificering som innehåller den har nu ett värde för säker poäng på 0.
En fullständig lista över alla säkerhetskontroller, tillsammans med deras poäng och en lista över rekommendationerna i var och en, finns i Säkerhetskontroller och deras rekommendationer.
Arbetsflödesautomatiseringar kan utlösas av ändringar i utvärderingar av regelefterlevnad (i förhandsversion)
Vi har lagt till en tredje datatyp i utlösaralternativen för dina arbetsflödesautomatiseringar: ändringar i utvärderingar av regelefterlevnad.
Lär dig hur du använder verktygen för arbetsflödesautomatisering i Automatisera svar på Security Center-utlösare.
Förbättringar av tillgångsinventeringssidan
Sidan för tillgångsinventering i Security Center förbättrades:
Summaries at the top of the page now include Unregistered subscriptions, showing the number of subscriptions without Security Center enabled.
Filter har utökats och förbättrats så att de omfattar:
Counts - Each filter presents the number of resources that meet the criteria of each category
Innehåller undantagsfilter (valfritt) – begränsa resultatet till resurser som har/inte har undantag. This filter isn't shown by default, but is accessible from the Add filter button.
Läs mer om hur du utforskar och hanterar dina resurser med tillgångsinventering.
January 2021
Uppdateringar i januari inkluderar:
- Azure Security Benchmark är nu standardprincipinitiativet för Azure Security Center
- Sårbarhetsbedömning för lokala datorer och datorer med flera moln släpps för allmän tillgänglighet (GA)
- Säkerhetspoäng för hanteringsgrupper finns nu i förhandsversion
- API för säker poäng släpps för allmän tillgänglighet (GA)
- Skydd mot överflödig DNS har lagts till i Azure Defender för App Service
- Anslutningsprogram för flera moln släpps för allmän tillgänglighet (GA)
- Undanta hela rekommendationer från din säkerhetspoäng för prenumerationer och hanteringsgrupper
- Användare kan nu begära synlighet för hela klientorganisationen från sin globala administratör
- 35 förhandsversionsrekommendationer har lagts till för att öka täckningen för Azure Security Benchmark
- CSV-export av filtrerad lista med rekommendationer
- "Ej tillämpliga" resurser rapporteras nu som "kompatibla" i Azure Policy-utvärderingar
- Exportera veckovisa ögonblicksbilder av data för säkerhetspoäng och regelefterlevnad med kontinuerlig export (förhandsversion)
Azure Security Benchmark är nu standardprincipinitiativet för Azure Security Center
Azure Security Benchmark är den Microsoft-skapade, Azure-specifika uppsättningen riktlinjer för bästa praxis för säkerhet och efterlevnad baserat på vanliga efterlevnadsramverk. Detta allmänt respekterade riktmärke bygger på kontrollerna från Center for Internet Security (CIS) och National Institute of Standards and Technology (NIST) med fokus på molncentrerad säkerhet.
Under de senaste månaderna har Security Centers lista över inbyggda säkerhetsrekommendationer ökat avsevärt för att utöka vår täckning av detta riktmärke.
Från den här versionen är riktmärket grunden för Security Centers rekommendationer och helt integrerat som standardprincipinitiativ.
Alla Azure-tjänster har en säkerhetsbaslinjesida i sin dokumentation. Dessa baslinjer bygger på Azure Security Benchmark.
Om du använder Instrumentpanelen för regelefterlevnad i Security Center ser du två instanser av riktmärket under en övergångsperiod:
Befintliga rekommendationer påverkas inte och när riktmärket växer återspeglas ändringarna automatiskt i Security Center.
Mer information finns på följande sidor:
- Läs mer om Azure Security Benchmark
- Anpassa uppsättningen standarder i instrumentpanelen för regelefterlevnad
Sårbarhetsbedömning för lokala datorer och datorer med flera moln släpps för allmän tillgänglighet (GA)
I oktober tillkännagav vi en förhandsversion för genomsökning av Azure Arc-aktiverade servrar med Azure Defender for Servers integrerade skanner för sårbarhetsbedömning (drivs av Qualys).
Det har nu släppts för allmän tillgänglighet (GA).
När du har aktiverat Azure Arc på dina datorer som inte är Azure erbjuder Security Center att distribuera den integrerade sårbarhetsskannern på dem – manuellt och i stor skala.
Med den här uppdateringen kan du frigöra kraften hos Azure Defender för servrar för att konsolidera ditt hantering av säkerhetsrisker program över alla dina Azure- och icke-Azure-tillgångar.
Main capabilities:
- Övervaka etableringstillståndet för VA-skannern (sårbarhetsbedömning) på Azure Arc-datorer
- Etablera den integrerade VA-agenten till oskyddade Windows- och Linux Azure Arc-datorer (manuellt och i stor skala)
- Ta emot och analysera identifierade sårbarheter från distribuerade agenter (manuellt och i stor skala)
- Enhetlig upplevelse för virtuella Azure-datorer och Azure Arc-datorer
Läs mer om hur du distribuerar den integrerade Qualys-sårbarhetsskannern till dina hybriddatorer.
Läs mer om Azure Arc-aktiverade servrar.
Säkerhetspoäng för hanteringsgrupper finns nu i förhandsversion
Sidan för säker poäng visar nu de aggregerade säkra poängen för dina hanteringsgrupper utöver prenumerationsnivån. Nu kan du alltså se listan över hanteringsgrupper i din organisation och poängen för varje hanteringsgrupp.
Läs mer om säkerhetspoäng och säkerhetskontroller i Azure Security Center.
API för säker poäng släpps för allmän tillgänglighet (GA)
Nu kan du komma åt din poäng via API:et för säker poäng. API-metoderna ger flexibiliteten att köra frågor mot data och skapa en egen rapporteringsmekanism för dina säkra poäng över tid. For example:
- use the Secure Scores API to get the score for a specific subscription
- använd API:et för kontroller för säker poäng för att lista säkerhetskontrollerna och den aktuella poängen för dina prenumerationer
Lär dig mer om externa verktyg som möjliggörs med API:et för säker poäng i området för säker poäng i vår GitHub-community.
Läs mer om säkerhetspoäng och säkerhetskontroller i Azure Security Center.
Skydd mot överflödig DNS har lagts till i Azure Defender för App Service
Underdomänövertaganden är ett vanligt hot med hög allvarlighetsgrad för organisationer. Ett övertagande av underdomäner kan inträffa när du har en DNS-post som pekar på en avetablerade webbplats. Sådana DNS-poster kallas även "dinglande DNS"-poster. CNAME-poster är särskilt sårbara för det här hotet.
Underdomänövertaganden gör det möjligt för hotaktörer att omdirigera trafik som är avsedd för en organisations domän till en webbplats som utför skadlig aktivitet.
Azure Defender för App Service identifierar nu dinglande DNS-poster när en App Service-webbplats inaktiveras. Det här är det ögonblick då DNS-posten pekar på en resurs som inte finns och din webbplats är sårbar för ett underdomänövertagande. Dessa skydd är tillgängliga oavsett om dina domäner hanteras med Azure DNS eller en extern domänregistrator och gäller för både App Service i Windows och App Service på Linux.
Learn more:
- Referenstabell för App Service-avisering – Innehåller två nya Azure Defender-aviseringar som utlöses när en dinglande DNS-post identifieras
- Förhindra dangling DNS-poster och undvik underdomänövertagande – Lär dig mer om hotet om övertagande av underdomäner och dangling DNS-aspekten
- Introduktion till Azure Defender för App Service
Anslutningsprogram för flera moln släpps för allmän tillgänglighet (GA)
Med molnarbetsbelastningar som ofta omfattar flera molnplattformar måste molnsäkerhetstjänster göra detsamma.
Azure Security Center skyddar arbetsbelastningar i Azure, Amazon Web Services (AWS) och Google Cloud Platform (GCP).
När du ansluter dina AWS- eller GCP-projekt integreras deras interna säkerhetsverktyg som AWS Security Hub och GCP Security Command Center i Azure Security Center.
Den här funktionen innebär att Security Center ger synlighet och skydd i alla större molnmiljöer. Några av fördelarna med den här integreringen:
- Automatisk agentetablering – Security Center använder Azure Arc för att distribuera Log Analytics-agenten till dina AWS-instanser
- Policy management
- Vulnerability management
- EDR (Embedded Endpoint Detection and Response)
- Identifiering av felkonfigurationer för säkerhet
- En enda vy som visar säkerhetsrekommendationer från alla molnleverantörer
- Införliva alla dina resurser i Security Centers beräkningar för säker poäng
- Utvärderingar av regelefterlevnad för dina AWS- och GCP-resurser
From Defender for Cloud's menu, select Multicloud connectors and you'll see the options for creating new connectors:
Läs mer i:
- Ansluta dina AWS-konton till Azure Security Center
- Ansluta dina GCP-projekt till Azure Security Center
Undanta hela rekommendationer från din säkerhetspoäng för prenumerationer och hanteringsgrupper
Vi utökar undantagsfunktionen till att omfatta hela rekommendationer. Ge ytterligare alternativ för att finjustera säkerhetsrekommendationerna som Security Center ger för dina prenumerationer, hanteringsgrupp eller resurser.
Ibland visas en resurs som felaktig när du vet att problemet löses av ett verktyg från tredje part som Security Center inte har identifierat. Eller så visas en rekommendation i ett omfång där du känner att den inte hör hemma. Rekommendationen kan vara olämplig för en specifik prenumeration. Eller så kanske din organisation har beslutat att acceptera de risker som är relaterade till den specifika resursen eller rekommendationen.
Med den här förhandsgranskningsfunktionen kan du nu skapa ett undantag för en rekommendation om att:
Undanta en resurs för att säkerställa att den inte visas med resurser som inte är felfria i framtiden och påverkar inte din säkerhetspoäng. Resursen visas som inte tillämplig och orsaken visas som "undantagen" med den specifika motivering som du väljer.
Undanta en prenumeration eller hanteringsgrupp för att säkerställa att rekommendationen inte påverkar din säkerhetspoäng och inte visas för prenumerationen eller hanteringsgruppen i framtiden. Detta gäller befintliga resurser och alla du skapar i framtiden. Rekommendationen markeras med den specifika motivering som du väljer för det omfång som du har valt.
Läs mer i Undanta resurser och rekommendationer från din säkerhetspoäng.
Användare kan nu begära synlighet för hela klientorganisationen från sin globala administratör
Om en användare inte har behörighet att se Security Center-data visas nu en länk för att begära behörigheter från organisationens globala administratör. Begäran innehåller den roll de vill ha och motiveringen till varför det är nödvändigt.
Läs mer i Begär behörigheter för hela klientorganisationen när dina är otillräckliga.
35 förhandsversionsrekommendationer har lagts till för att öka täckningen för Azure Security Benchmark
Azure Security Benchmark är standardprincipinitiativet i Azure Security Center.
För att öka täckningen för det här riktmärket har följande 35 förhandsversionsrekommendationer lagts till i Security Center.
Tip
Förhandsversionsrekommendationer återger inte en resurs som inte är felfri och ingår inte i beräkningarna av din säkerhetspoäng. Åtgärda dem när det är möjligt, så att de bidrar till din poäng när förhandsgranskningsperioden är slut. Läs mer om hur du svarar på dessa rekommendationer i Åtgärda rekommendationer i Azure Security Center.
| Security control | New recommendations |
|---|---|
| Aktivera kryptering i vila | – Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data – Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel (CMK) – Bring your own key data protection ska vara aktiverat för MySQL-servrar – Bring your own key data protection ska vara aktiverat för PostgreSQL-servrar – Azure AI-tjänstkonton bör aktivera datakryptering med en kundhanterad nyckel (CMK) – Containerregister ska krypteras med en kundhanterad nyckel (CMK) – SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data – SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data – Lagringskonton bör använda kundhanterad nyckel (CMK) för kryptering |
| Implementera bästa praxis för säkerhet | – Prenumerationer bör ha en e-postadress för kontakt för säkerhetsproblem – Automatisk etablering av Log Analytics-agenten ska vara aktiverad i din prenumeration – E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat – E-postavisering till prenumerationsägaren för aviseringar med hög allvarlighetsgrad ska aktiveras – Nyckelvalv bör ha rensningsskydd aktiverat – Nyckelvalv ska ha mjuk borttagning aktiverat |
| Hantera åtkomst och behörigheter | – Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat |
| Skydda program mot DDoS-attacker | – Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway – Brandväggen för webbaserade program (WAF) ska vara aktiverad för Azure Front Door Service |
| Begränsa obehörig nätverksåtkomst | – Brandväggen ska vara aktiverad i Key Vault – Privat slutpunkt ska konfigureras för Key Vault – Appkonfiguration bör använda privat länk – Azure Cache for Redis bör finnas i ett virtuellt nätverk – Azure Event Grid-domäner bör använda privat länk – Azure Event Grid-ämnen bör använda privat länk – Azure Machine Learning-arbetsytor bör använda privat länk – Azure SignalR Service bör använda privat länk – Azure Spring Cloud bör använda nätverksinmatning – Containerregister bör inte tillåta obegränsad nätverksåtkomst – Containerregister bör använda privat länk – Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar – Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar – Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar – Lagringskontot bör använda en privat länkanslutning – Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk – Mallar för VM Image Builder ska använda privat länk |
Related links:
- Läs mer om Azure Security Benchmark
- Läs mer om Azure Database for MariaDB
- Läs mer om Azure Database for MySQL
- Läs mer om Azure Database for PostgreSQL
CSV-export av filtrerad lista med rekommendationer
I november 2020 lade vi till filter på rekommendationssidan.
Med det här meddelandet ändrar vi beteendet för knappen Ladda ned till CSV så att CSV-exporten endast innehåller de rekommendationer som för närvarande visas i den filtrerade listan.
I bilden nedan kan du till exempel se att listan filtreras efter två rekommendationer. CSV-filen som genereras innehåller statusinformationen för varje resurs som påverkas av dessa två rekommendationer.
Läs mer i Säkerhetsrekommendationer i Azure Security Center.
"Ej tillämpliga" resurser rapporteras nu som "kompatibla" i Azure Policy-utvärderingar
Previously, resources that were evaluated for a recommendation and found to be not applicable appeared in Azure Policy as "Non-compliant". Inga användaråtgärder kan ändra deras tillstånd till "Kompatibel". Med den här ändringen rapporteras de som "Kompatibla" för bättre klarhet.
Den enda effekten visas i Azure Policy där antalet kompatibla resurser ökar. Din säkerhetspoäng påverkas inte i Azure Security Center.
Exportera veckovisa ögonblicksbilder av data för säkerhetspoäng och regelefterlevnad med kontinuerlig export (förhandsversion)
We've added a new preview feature to the continuous export tools for exporting weekly snapshots of secure score and regulatory compliance data.
När du definierar en kontinuerlig export anger du exportfrekvensen:
- Streaming – assessments will be sent when a resource's health state is updated (if no updates occur, no data will be sent).
- Snapshots – a snapshot of the current state of all regulatory compliance assessments will be sent every week (this is a preview feature for weekly snapshots of secure scores and regulatory compliance data).
Läs mer om de fullständiga funktionerna i den här funktionen i Exportera security center-data kontinuerligt.
December 2020
Uppdateringar i december inkluderar:
- Azure Defender för SQL-servrar på datorer är allmänt tillgängligt
- Azure Defender för SQL-stöd för azure Synapse Analytics dedikerad SQL-pool är allmänt tillgängligt
- Globala administratörer kan nu bevilja sig själva behörigheter på klientnivå
- Två nya Azure Defender-planer: Azure Defender för DNS och Azure Defender för Resource Manager (i förhandsversion)
- Sidan Nya säkerhetsaviseringar i Azure Portal (förhandsversion)
- Återupplivad Security Center-upplevelse i Azure SQL Database och SQL Managed Instance
- Verktyg och filter för tillgångsinventering har uppdaterats
- Rekommendation om webbappar som begär SSL-certifikat som inte längre ingår i säkerhetspoängen
- Sidan Rekommendationer innehåller nya filter för miljö, allvarlighetsgrad och tillgängliga svar
- Kontinuerlig export hämtar nya datatyper och förbättrade principer för deployifnotexist
Azure Defender för SQL-servrar på datorer är allmänt tillgängligt
Azure Security Center erbjuder två Azure Defender-planer för SQL-servrar:
- Azure Defender för Azure SQL-databasservrar – försvarar dina Azure-inbyggda SQL-servrar
- Azure Defender för SQL-servrar på datorer – utökar samma skydd till dina SQL-servrar i hybridmiljöer, multimoln och lokala miljöer
Med det här meddelandet skyddar Azure Defender för SQL nu dina databaser och deras data var de än finns.
Azure Defender för SQL innehåller funktioner för sårbarhetsbedömning. Verktyget för sårbarhetsbedömning innehåller följande avancerade funktioner:
- Baseline configuration (New!) to intelligently refine the results of vulnerability scans to those that might represent real security issues. När du har upprättat säkerhetstillståndet för baslinjen rapporterar verktyget för sårbarhetsbedömning endast avvikelser från baslinjetillståndet. Resultat som matchar baslinjen anses klara efterföljande genomsökningar. På så sätt kan du och dina analytiker fokusera på var det är viktigt.
- Detaljerad referensinformation som hjälper dig att förstå de upptäckta resultaten och varför de relaterar till dina resurser.
- Remediation scripts to help you mitigate identified risks.
Läs mer om Azure Defender för SQL.
Azure Defender för SQL-stöd för azure Synapse Analytics dedikerad SQL-pool är allmänt tillgängligt
Azure Synapse Analytics (tidigare SQL DW) är en analystjänst som kombinerar lagring av företagsdata och stordataanalys. Dedikerade SQL-pooler är funktionerna för företagsdatalager i Azure Synapse. Läs mer i Vad är Azure Synapse Analytics (tidigare SQL DW)?.
Azure Defender för SQL skyddar dina dedikerade SQL-pooler med:
- Avancerat skydd mot hot för att identifiera hot och attacker
- Funktioner för sårbarhetsbedömning för att identifiera och åtgärda säkerhetsfelkonfigurationer
Azure Defender för SQL:s stöd för Azure Synapse Analytics SQL-pooler läggs automatiskt till i Azure SQL-databaspaketet i Azure Security Center. Det finns en ny Azure Defender för SQL-flik på synapse-arbetsytans sida i Azure Portal.
Läs mer om Azure Defender för SQL.
Globala administratörer kan nu bevilja sig själva behörigheter på klientnivå
A user with the Azure Active Directory role of Global Administrator might have tenant-wide responsibilities, but lack the Azure permissions to view that organization-wide information in Azure Security Center.
Om du vill tilldela dig själv behörigheter på klientnivå följer du anvisningarna i Bevilja klientomfattande behörigheter till dig själv.
Två nya Azure Defender-planer: Azure Defender för DNS och Azure Defender för Resource Manager (i förhandsversion)
Vi har lagt till två nya molnbaserade funktioner för skydd mot hot i din Azure-miljö.
Dessa nya skydd förbättrar avsevärt din återhämtning mot attacker från hotaktörer och ökar avsevärt antalet Azure-resurser som skyddas av Azure Defender.
Azure Defender för Resource Manager – övervakar automatiskt alla resurshanteringsåtgärder som utförs i din organisation. Mer information finns i:
Azure Defender för DNS – övervakar kontinuerligt alla DNS-frågor från dina Azure-resurser . Mer information finns i:
Sidan Nya säkerhetsaviseringar i Azure Portal (förhandsversion)
Sidan säkerhetsaviseringar i Azure Security Center har gjorts om för att tillhandahålla:
- Förbättrad sorteringsupplevelse för aviseringar – hjälper till att minska aviseringströtthet och fokusera på de mest relevanta hoten enklare, listan innehåller anpassningsbara filter och grupperingsalternativ
- Mer information i aviseringslistan – till exempel MITRE ATT&ACK-taktik
- Knapp för att skapa exempelaviseringar – för att utvärdera Azure Defender-funktioner och testa konfigurationen av aviseringar (för SIEM-integrering, e-postmeddelanden och arbetsflödesautomatiseringar) kan du skapa exempelaviseringar från alla Azure Defender-planer
- Anpassning till Azure Sentinels incidentupplevelse – för kunder som använder båda produkterna är det nu enklare att växla mellan dem och det är enkelt att lära sig det ena från det andra
- Better performance for large alerts lists
- Keyboard navigation through the alert list
- Aviseringar från Azure Resource Graph – du kan fråga efter aviseringar i Azure Resource Graph, kusto-liknande API för alla dina resurser. Detta är också användbart om du skapar egna instrumentpaneler för aviseringar. Läs mer om Azure Resource Graph.
För att komma åt den nya upplevelsen använder du länken "prova nu" från banderollen överst på sidan med säkerhetsaviseringar.
Information om hur du skapar exempelaviseringar från den nya aviseringsupplevelsen finns i Generera Azure Defender-exempelaviseringar.
Återupplivad Security Center-upplevelse i Azure SQL Database och SQL Managed Instance
Security Center-upplevelsen i SQL ger åtkomst till följande Security Center- och Azure Defender för SQL-funktioner:
- Security recommendations – Security Center periodically analyzes the security state of all connected Azure resources to identify potential security misconfigurations. Den ger sedan rekommendationer om hur du åtgärdar dessa säkerhetsrisker och förbättrar organisationens säkerhetsstatus.
- Security alerts – a detection service that continuously monitors Azure SQL activities for threats such as SQL injection, brute-force attacks, and privilege abuse. Den här tjänsten utlöser detaljerade och åtgärdsorienterade säkerhetsaviseringar i Security Center och tillhandahåller alternativ för fortsatta undersökningar med Microsoft Sentinel, Microsofts Azure-inbyggda SIEM-lösning.
- Findings – a vulnerability assessment service that continuously monitors Azure SQL configurations and helps remediate vulnerabilities. Utvärderingsgenomsökningar ger en översikt över Azure SQL-säkerhetstillstånd tillsammans med detaljerade säkerhetsresultat.
Verktyg och filter för tillgångsinventering har uppdaterats
Inventeringssidan i Azure Security Center uppdaterades med följande ändringar:
Guider och feedback har lagts till i verktygsfältet. Då öppnas ett fönster med länkar till relaterad information och verktyg.
Subscriptions filter added to the default filters available for your resources.
Open query link for opening the current filter options as an Azure Resource Graph query (formerly called "View in resource graph explorer").
Operator options for each filter. Nu kan du välja mellan fler logiska operatorer än =. Du kanske till exempel vill hitta alla resurser med aktiva rekommendationer vars rubriker innehåller strängen "encrypt".
Läs mer om inventering i Utforska och hantera dina resurser med tillgångsinventering.
Rekommendation om webbappar som begär SSL-certifikat som inte längre ingår i säkerhetspoängen
Rekommendationen "Webbappar bör begära ett SSL-certifikat för alla inkommande begäranden" flyttades från säkerhetskontrollen Hantera åtkomst och behörigheter (värda högst 4 punkter) till Implementera metodtips för säkerhet (vilket inte är värt några poäng).
Att se till att en webbapp begär ett certifikat gör det säkert säkrare. För offentliga webbappar är det dock irrelevant. Om du kommer åt webbplatsen via HTTP och inte HTTPS får du inget klientcertifikat. Så om ditt program kräver klientcertifikat bör du inte tillåta begäranden till ditt program via HTTP. Läs mer i Konfigurera ömsesidig TLS-autentisering för Azure App Service.
Med den här ändringen är rekommendationen nu en rekommenderad metod som inte påverkar din poäng.
Lär dig vilka rekommendationer som finns i varje säkerhetskontroll i Säkerhetskontroller och deras rekommendationer.
Sidan Rekommendationer innehåller nya filter för miljö, allvarlighetsgrad och tillgängliga svar
Azure Security Center övervakar alla anslutna resurser och genererar säkerhetsrekommendationer. Använd dessa rekommendationer för att stärka din hybridmolnstatus och spåra efterlevnaden av de principer och standarder som är relevanta för din organisation, bransch och land/region.
I takt med att Security Center fortsätter att utöka sin täckning och sina funktioner växer listan med säkerhetsrekommendationer varje månad. Se till exempel Tjugonio förhandsversionsrekommendationer som lagts till för att öka täckningen för Azure Security Benchmark.
Med den växande listan finns det ett behov av att filtrera rekommendationerna för att hitta de som är mest intressanta. I november lade vi till filter på rekommendationssidan (se listan Rekommendationer innehåller nu filter).
Filtren som lagts till den här månaden ger alternativ för att förfina rekommendationslistan enligt:
Environment - View recommendations for your AWS, GCP, or Azure resources (or any combination)
Severity - View recommendations according to the severity classification set by Security Center
Response actions - View recommendations according to the availability of Security Center response options: Fix, Deny, and Enforce
Tip
Filtret svarsåtgärder ersätter det tillgängliga snabbkorrigeringsfiltret (Ja/Nej).
Läs mer om vart och ett av följande svarsalternativ:
Kontinuerlig export hämtar nya datatyper och förbättrade principer för deployifnotexist
Med Azure Security Centers verktyg för kontinuerlig export kan du exportera Security Centers rekommendationer och aviseringar för användning med andra övervakningsverktyg i din miljö.
Med kontinuerlig export kan du helt anpassa vad som ska exporteras och vart det ska gå. Fullständig information finns i Kontinuerligt exportera Security Center-data.
Dessa verktyg har förbättrats och utökats på följande sätt:
Den kontinuerliga exportens deployifnotexist-principer har förbättrats. Principerna nu:
Kontrollera om konfigurationen är aktiverad. Om den inte är det visas principen som icke-kompatibel och skapar en kompatibel resurs. Läs mer om de angivna Azure Policy-mallarna på fliken "Distribuera i stor skala med Azure Policy" i Konfigurera en kontinuerlig export.
Stöd för export av säkerhetsresultat. När du använder Azure Policy-mallarna kan du konfigurera din kontinuerliga export så att den innehåller resultat. Detta är relevant när du exporterar rekommendationer som har "sub"-rekommendationer, till exempel resultat från skannrar för sårbarhetsbedömning eller specifika systemuppdateringar för den överordnade rekommendationen "Systemuppdateringar bör installeras på dina datorer".
Stöd för export av data för säker poäng.
Data för utvärdering av regelefterlevnad har lagts till (i förhandsversion). Nu kan du kontinuerligt exportera uppdateringar till utvärderingar av regelefterlevnad, inklusive för anpassade initiativ, till en Log Analytics-arbetsyta eller Event Hubs. Den här funktionen är inte tillgänglig i nationella moln.
November 2020
Uppdateringar i november inkluderar:
- 29 förhandsversionsrekommendationer har lagts till för att öka täckningen för Azure Security Benchmark
- NIST SP 800 171 R2 har lagts till på Security Centers instrumentpanel för regelefterlevnad
- Listan med rekommendationer innehåller nu filter
- Funktionen för automatisk avetablering har förbättrats och utökats
- Säker poäng är nu tillgänglig i kontinuerlig export (förhandsversion)
- Rekommendationen "Systemuppdateringar bör installeras på dina datorer" innehåller nu underkommandon
- Sidan Principhantering i Azure Portal visar nu status för standardprinciptilldelningar
29 förhandsversionsrekommendationer har lagts till för att öka täckningen för Azure Security Benchmark
Azure Security Benchmark är den Microsoft-skapade, Azure-specifika uppsättningen riktlinjer för bästa praxis för säkerhet och efterlevnad baserat på vanliga efterlevnadsramverk. Läs mer om Azure Security Benchmark.
Följande 29 förhandsversionsrekommendationer har lagts till i Security Center för att öka täckningen för det här riktmärket.
Förhandsversionsrekommendationer återger inte en resurs som inte är felfri och ingår inte i beräkningarna av din säkerhetspoäng. Åtgärda dem när det är möjligt, så att de bidrar till din poäng när förhandsgranskningsperioden är slut. Läs mer om hur du svarar på dessa rekommendationer i Åtgärda rekommendationer i Azure Security Center.
| Security control | New recommendations |
|---|---|
| Kryptera data under överföring | – Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar – Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar – TLS bör uppdateras till den senaste versionen för din API-app – TLS bör uppdateras till den senaste versionen för din funktionsapp – TLS bör uppdateras till den senaste versionen för din webbapp – FTPS bör krävas i DIN API-app – FTPS bör krävas i funktionsappen – FTPS bör krävas i webbappen |
| Hantera åtkomst och behörigheter | – Webbappar bör begära ett SSL-certifikat för alla inkommande begäranden – Hanterad identitet ska användas i din API-app – Hanterad identitet ska användas i funktionsappen – Hanterad identitet ska användas i webbappen |
| Begränsa obehörig nätverksåtkomst | – Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar – Privat slutpunkt ska vara aktiverad för MariaDB-servrar – Privat slutpunkt ska vara aktiverad för MySQL-servrar |
| Aktivera granskning och loggning | – Diagnostikloggar i App Services ska vara aktiverade |
| Implementera bästa praxis för säkerhet | – Azure Backup ska vara aktiverat för virtuella datorer – Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB – Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL – Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for PostgreSQL – PHP bör uppdateras till den senaste versionen för din API-app – PHP bör uppdateras till den senaste versionen för din webbapp – Java bör uppdateras till den senaste versionen för din API-app – Java bör uppdateras till den senaste versionen för din funktionsapp – Java bör uppdateras till den senaste versionen för din webbapp – Python bör uppdateras till den senaste versionen för din API-app – Python bör uppdateras till den senaste versionen för din funktionsapp – Python bör uppdateras till den senaste versionen för din webbapp – Granskningskvarhållning för SQL-servrar ska vara inställt på minst 90 dagar |
Related links:
- Läs mer om Azure Security Benchmark
- Läs mer om Azure API-appar
- Läs mer om Azure-funktionsappar
- Läs mer om Azure-webbappar
- Läs mer om Azure Database for MariaDB
- Läs mer om Azure Database for MySQL
- Läs mer om Azure Database for PostgreSQL
NIST SP 800 171 R2 har lagts till på Security Centers instrumentpanel för regelefterlevnad
NIST SP 800-171 R2-standarden är nu tillgänglig som ett inbyggt initiativ för användning med Azure Security Centers instrumentpanel för regelefterlevnad. Mappningarna för kontrollerna beskrivs i Information om det inbyggda initiativet NIST SP 800-171 R2 Regulatory Compliance.
Om du vill tillämpa standarden på dina prenumerationer och kontinuerligt övervaka din efterlevnadsstatus använder du anvisningarna i Anpassa standarduppsättningen på instrumentpanelen för regelefterlevnad.
Mer information om den här efterlevnadsstandarden finns i NIST SP 800-171 R2.
Listan med rekommendationer innehåller nu filter
Nu kan du filtrera listan med säkerhetsrekommendationer enligt en rad olika kriterier. I följande exempel filtreras rekommendationslistan för att visa rekommendationer som:
- are generally available (that is, not preview)
- are for storage accounts
- support quick fix remediation
Funktionen för automatisk avetablering har förbättrats och utökats
Funktionen för automatisk konfiguration hjälper till att minska hanteringskostnaderna genom att installera de tillägg som krävs på nya och befintliga virtuella Azure-datorer så att de kan dra nytta av Security Centers skydd.
I takt med att Azure Security Center växer har fler tillägg utvecklats och Security Center kan övervaka en större lista över resurstyper. Verktygen för automatisk etablering har nu utökats för att stödja andra tillägg och resurstyper genom att utnyttja funktionerna i Azure Policy.
Nu kan du konfigurera automatisk avetablering av:
- Log Analytics handläggare
- (Ny) Azure Policy för Kubernetes
- (Ny) Microsoft Dependency-agent
Läs mer i Automatisk etablering av agenter och tillägg från Azure Security Center.
Säker poäng är nu tillgänglig i kontinuerlig export (förhandsversion)
Med kontinuerlig export av säker poäng kan du strömma ändringar i din poäng i realtid till Azure Event Hubs eller en Log Analytics-arbetsyta. Använd den här funktionen för att göra följande:
- spåra din säkerhetspoäng över tid med dynamiska rapporter
- exportera säkerhetspoängdata till Microsoft Sentinel (eller andra SIEM)
- integrera dessa data med alla processer som du kanske redan använder för att övervaka säker poäng i din organisation
Läs mer om hur du kontinuerligt exporterar Security Center-data.
Rekommendationen "Systemuppdateringar bör installeras på dina datorer" innehåller nu underkommandon
Systemuppdateringarna bör installeras på dina datorers rekommendation har förbättrats . Den nya versionen innehåller underkommandon för varje uppdatering som saknas och ger följande förbättringar:
En omdesignad upplevelse på Azure Security Center-sidorna i Azure Portal. Rekommendationsinformationssidan för Systemuppdateringar bör installeras på dina datorer och innehåller en lista över resultat som visas nedan. När du väljer en enda sökning öppnas informationsfönstret med en länk till reparationsinformationen och en lista över berörda resurser.
Berikade data för rekommendationen från Azure Resource Graph (ARG). ARG är en Azure-tjänst som är utformad för att ge effektiv resursutforskning. Du kan använda ARG för att fråga i stor skala över en viss uppsättning prenumerationer så att du effektivt kan styra din miljö.
För Azure Security Center kan du använda ARG och Kusto-frågespråk (KQL) för att köra frågor mot en mängd olika säkerhetsstatusdata.
Tidigare, om du frågade den här rekommendationen i ARG, var den enda tillgängliga informationen att rekommendationen måste åtgärdas på en dator. Följande fråga om den förbättrade versionen returnerar varje saknade systemuppdateringar grupperade efter dator.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Sidan Principhantering i Azure Portal visar nu status för standardprinciptilldelningar
You can now see whether or not your subscriptions have the default Security Center policy assigned, in the Security Center's security policy page of the Azure portal.
October 2020
Uppdateringar i oktober inkluderar:
- Sårbarhetsbedömning för lokala datorer och datorer med flera moln (förhandsversion)
- Rekommendation för Azure Firewall har lagts till (förhandsversion)
- Auktoriserade IP-intervall bör definieras på Kubernetes Services-rekommendationen uppdateras med snabbkorrigering
- Instrumentpanelen för regelefterlevnad innehåller nu alternativ för att ta bort standarder
- Tabellen Microsoft.Security/securityStatuses har tagits bort från Azure Resource Graph
Sårbarhetsbedömning för lokala datorer och datorer med flera moln (förhandsversion)
Azure Defender for Servers integrerade skanner för sårbarhetsbedömning (drivs av Qualys) söker nu igenom Azure Arc-aktiverade servrar.
När du har aktiverat Azure Arc på dina datorer som inte är Azure erbjuder Security Center att distribuera den integrerade sårbarhetsskannern på dem – manuellt och i stor skala.
Med den här uppdateringen kan du frigöra kraften hos Azure Defender för servrar för att konsolidera ditt hantering av säkerhetsrisker program över alla dina Azure- och icke-Azure-tillgångar.
Main capabilities:
- Övervaka etableringstillståndet för VA-skannern (sårbarhetsbedömning) på Azure Arc-datorer
- Etablera den integrerade VA-agenten till oskyddade Windows- och Linux Azure Arc-datorer (manuellt och i stor skala)
- Ta emot och analysera identifierade sårbarheter från distribuerade agenter (manuellt och i stor skala)
- Enhetlig upplevelse för virtuella Azure-datorer och Azure Arc-datorer
Läs mer om hur du distribuerar den integrerade Qualys-sårbarhetsskannern till dina hybriddatorer.
Läs mer om Azure Arc-aktiverade servrar.
Rekommendation för Azure Firewall har lagts till (förhandsversion)
En ny rekommendation har lagts till för att skydda alla dina virtuella nätverk med Azure Firewall.
Rekommendationen att virtuella nätverk ska skyddas av Azure Firewall rekommenderar att du begränsar åtkomsten till dina virtuella nätverk och förhindrar potentiella hot med hjälp av Azure Firewall.
Learn more about Azure Firewall.
Auktoriserade IP-intervall bör definieras på Kubernetes Services-rekommendationen uppdateras med snabbkorrigering
Rekommendationen Auktoriserade IP-intervall ska definieras på Kubernetes Services har nu ett snabbkorrigeringsalternativ.
Instrumentpanelen för regelefterlevnad innehåller nu alternativ för att ta bort standarder
Security Centers instrumentpanel för regelefterlevnad ger insikter om din efterlevnadsstatus baserat på hur du uppfyller specifika efterlevnadskontroller och krav.
Instrumentpanelen innehåller en standarduppsättning med regelstandarder. Om någon av de angivna standarderna inte är relevanta för din organisation är det nu en enkel process att ta bort dem från användargränssnittet för en prenumeration. Standards can be removed only at the subscription level; not the management group scope.
Läs mer i Ta bort en standard från instrumentpanelen.
Tabellen Microsoft.Security/securityStatuses har tagits bort från Azure Resource Graph (ARG)
Azure Resource Graph är en tjänst i Azure som är utformad för att ge effektiv resursutforskning med möjlighet att köra frågor i stor skala över en viss uppsättning prenumerationer så att du effektivt kan styra din miljö.
För Azure Security Center kan du använda ARG och Kusto-frågespråk (KQL) för att köra frågor mot en mängd olika säkerhetsstatusdata. For example:
- Tillgångslager använder ARG
- Vi har dokumenterat en ARG-exempelfråga för att identifiera konton utan multifaktorautentisering (MFA) aktiverat
I ARG finns det datatabeller som du kan använda i dina frågor.
Tip
I ARG-dokumentationen visas alla tillgängliga tabeller i Azure Resource Graph-tabellen och resurstypsreferensen.
From this update, the Microsoft.Security/securityStatuses table was removed. SecurityStatuses-API:et är fortfarande tillgängligt.
Dataersättning kan användas av tabellen Microsoft.Security/Assessments.
Den största skillnaden mellan Microsoft.Security/securityStatuses och Microsoft.Security/Assessments är att medan den första visar sammansättning av utvärderingar, innehåller sekunderna en enda post för var och en.
Till exempel skulle Microsoft.Security/securityStatuses returnera ett resultat med en matris med två policyEr:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Microsoft.Security/Assessments har en post för varje sådan principutvärdering enligt följande:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Exempel på konvertering av en befintlig ARG-fråga med securityStatuses för att nu använda utvärderingstabellen:
Fråga som refererar till SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Ersättningsfråga för tabellen Utvärderingar:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Läs mer på följande länkar:
September 2020
Uppdateringar i september inkluderar:
- Security Center får ett nytt utseende!
- Azure Defender har släppts
- Azure Defender för Key Vault är allmänt tillgängligt
- Azure Defender for Storage-skydd för filer och ADLS Gen2 är allmänt tillgängligt
- Tillgångsinventeringsverktyg är nu allmänt tillgängliga
- Inaktivera en specifik sårbarhetssökning för genomsökningar av containerregister och virtuella datorer
- Undanta en resurs från en rekommendation
- AWS- och GCP-anslutningsappar i Security Center ger en upplevelse med flera moln
- Rekommendationspaket för Kubernetes-arbetsbelastningsskydd
- Resultat av sårbarhetsbedömning är nu tillgängliga vid kontinuerlig export
- Förhindra felkonfigurationer av säkerhet genom att framtvinga rekommendationer när nya resurser skapas
- Rekommendationer för nätverkssäkerhetsgrupp har förbättrats
- Föråldrad förhandsversion av AKS-rekommendationen "Pod Security Policies should be defined on Kubernetes Services" (Pod Security Policies should be defined on Kubernetes Services)
- E-postmeddelanden från Azure Security Center har förbättrats
- Säkerhetspoäng innehåller inte förhandsversionsrekommendationer
- Rekommendationerna innehåller nu en allvarlighetsindikator och friskhetsintervallet
Security Center får ett nytt utseende
Vi har släppt ett uppdaterat användargränssnitt för Security Centers portalsidor. De nya sidorna innehåller en ny översiktssida och instrumentpaneler för säker poäng, tillgångsinventering och Azure Defender.
Den omdesignade översiktssidan har nu en panel för åtkomst till instrumentpanelerna för säker poäng, tillgångsinventering och Azure Defender. Den har också en panellänkning till instrumentpanelen för regelefterlevnad.
Learn more about the overview page.
Azure Defender har släppts
Azure Defender is the cloud workload protection platform (CWPP) integrated within Security Center for advanced, intelligent, protection of your Azure and hybrid workloads. Den ersätter alternativet för standardprisnivån i Security Center.
När du aktiverar Azure Defender från området Priser och inställningar i Azure Security Center aktiveras alla följande Defender-planer samtidigt och ger omfattande skydd för beräknings-, data- och tjänstskikten i din miljö:
- Azure Defender för servrar
- Azure Defender för App Service
- Azure Defender för lagring
- Azure Defender för SQL
- Azure Defender för Key Vault
- Azure Defender för Kubernetes
- Azure Defender för containerregister
Var och en av dessa planer förklaras separat i Security Center-dokumentationen.
Med sin dedikerade instrumentpanel tillhandahåller Azure Defender säkerhetsaviseringar och avancerat skydd mot hot för virtuella datorer, SQL-databaser, containrar, webbprogram, ditt nätverk med mera.
Azure Defender för Key Vault är allmänt tillgängligt
Azure Key Vault är en molntjänst som skyddar krypteringsnycklar och hemligheter som certifikat, anslutningssträng och lösenord.
Azure Defender för Key Vault ger Azure-inbyggt, avancerat skydd mot hot för Azure Key Vault, vilket ger ytterligare ett lager med säkerhetsinformation. I tillägg skyddar Azure Defender för Key Vault därför många av resurserna som är beroende av dina Key Vault-konton.
Den valfria planen är nu GA. Den här funktionen var i förhandsversion som "avancerat skydd mot hot för Azure Key Vault".
Also, the Key Vault pages in the Azure portal now include a dedicated Security page for Security Center recommendations and alerts.
Läs mer i Azure Defender för Key Vault.
Azure Defender for Storage-skydd för filer och ADLS Gen2 är allmänt tillgängligt
Azure Defender för Storage identifierar potentiellt skadlig aktivitet på dina Azure Storage-konton. Dina data kan skyddas oavsett om de lagras som blobcontainrar, filresurser eller datasjöar.
Support for Azure Files and Azure Data Lake Storage Gen2 is now generally available.
Från och med den 1 oktober 2020 börjar vi ta betalt för att skydda resurser på dessa tjänster.
Läs mer i Azure Defender för Storage.
Tillgångsinventeringsverktyg är nu allmänt tillgängliga
Sidan tillgångsinventering i Azure Security Center innehåller en enda sida för att visa säkerhetsstatusen för de resurser som du har anslutit till Security Center.
Security Center analyserar regelbundet säkerhetstillståndet för dina Azure-resurser för att identifiera potentiella säkerhetsrisker. Sedan får du rekommendationer om hur du åtgärdar dessa säkerhetsrisker.
När en resurs har utestående rekommendationer visas de i inventeringen.
Läs mer i Utforska och hantera dina resurser med tillgångsinventering.
Inaktivera en specifik sårbarhetssökning för genomsökningar av containerregister och virtuella datorer
Azure Defender innehåller sårbarhetsskannrar för att skanna avbildningar i Azure Container Registry och dina virtuella datorer.
Om du har en organisation som behöver ignorera en sökning i stället för att åtgärda den kan du inaktivera den. Inaktiverade resultat påverkar inte din säkerhetspoäng eller genererar oönskat brus.
När en sökning matchar de kriterier som du har definierat i dina inaktiverade regler visas den inte i listan över resultat.
Det här alternativet är tillgängligt från rekommendationernas informationssidor för:
- Säkerhetsrisker i Azure Container Registry-avbildningar bör åtgärdas
- Säkerhetsrisker på dina virtuella datorer bör åtgärdas
Undanta en resurs från en rekommendation
Ibland visas en resurs som felaktig när det gäller en specifik rekommendation (och därmed sänka din säkerhetspoäng) även om du anser att den inte borde vara det. Det kan ha åtgärdats av en process som inte spårats av Security Center. Eller så har din organisation valt att acceptera risken för den specifika resursen.
I sådana fall kan du skapa en undantagsregel och se till att resursen inte visas bland de resurser som inte är felfria i framtiden. Dessa regler kan innehålla dokumenterade motiveringar enligt beskrivningen nedan.
Läs mer i Undanta en resurs från rekommendationer och säkerhetspoäng.
AWS- och GCP-anslutningsappar i Security Center ger en upplevelse med flera moln
Med molnarbetsbelastningar som ofta omfattar flera molnplattformar måste molnsäkerhetstjänster göra detsamma.
Azure Security Center skyddar nu arbetsbelastningar i Azure, Amazon Web Services (AWS) och Google Cloud Platform (GCP).
När du registrerar AWS- och GCP-projekt i Security Center integreras AWS Security Hub, GCP Security Command och Azure Security Center.
Läs mer i Ansluta dina AWS-konton till Azure Security Center och Anslut dina GCP-projekt till Azure Security Center.
Rekommendationspaket för Kubernetes-arbetsbelastningsskydd
För att säkerställa att Kubernetes-arbetsbelastningar är säkra som standard lägger Security Center till rekommendationer för kubernetes-nivåhärdning, inklusive tvingande alternativ med Kubernetes-åtkomstkontroll.
När du har installerat Azure Policy for Kubernetes i aks-klustret övervakas varje begäran till Kubernetes API-servern mot den fördefinierade uppsättningen metodtips innan de sparas i klustret. Du kan sedan konfigurera för att framtvinga bästa praxis och ge dem mandat för framtida arbetsbelastningar.
Du kan till exempel kräva att privilegierade containrar inte ska skapas och eventuella framtida begäranden om detta blockeras.
Läs mer i Metodtips för arbetsbelastningsskydd med kubernetes-antagningskontroll.
Resultat av sårbarhetsbedömning är nu tillgängliga vid kontinuerlig export
Använd kontinuerlig export för att strömma dina aviseringar och rekommendationer till Azure Event Hubs, Log Analytics-arbetsytor eller Azure Monitor. Därifrån kan du integrera dessa data med SIEM:er, till exempel Microsoft Sentinel, Power BI, Azure Data Explorer med mera.
Security Centers integrerade verktyg för sårbarhetsbedömning returnerar resultat om dina resurser som åtgärdbara rekommendationer i en "överordnad" rekommendation, till exempel "Sårbarheter på dina virtuella datorer bör åtgärdas".
Säkerhetsresultaten är nu tillgängliga för export via kontinuerlig export när du väljer rekommendationer och aktiverar alternativet inkludera säkerhetsresultat .
Related pages:
- Security Centers integrerade Qualys-lösning för sårbarhetsbedömning för virtuella Azure-datorer
- Security Centers integrerade lösning för sårbarhetsbedömning för Azure Container Registry-avbildningar
- Continuous export
Förhindra felkonfigurationer av säkerhet genom att framtvinga rekommendationer när nya resurser skapas
Säkerhetsfel är en viktig orsak till säkerhetsincidenter. Security Center now has the ability to help prevent misconfigurations of new resources with regard to specific recommendations.
Den här funktionen kan hjälpa dig att skydda dina arbetsbelastningar och stabilisera din säkerhetspoäng.
Du kan framtvinga en säker konfiguration, baserat på en specifik rekommendation, i två lägen:
Med hjälp av nekat läge i Azure Policy kan du förhindra att resurser som inte är felfria skapas
Using the enforced option, you can take advantage of Azure Policy's DeployIfNotExist effect and automatically remediate non-compliant resources upon creation
Detta är tillgängligt för valda säkerhetsrekommendationer och finns överst på resursinformationssidan.
Läs mer i Förhindra felkonfigurationer med rekommendationer för framtvinga/neka.
Rekommendationer för nätverkssäkerhetsgrupp har förbättrats
Följande säkerhetsrekommendationer för nätverkssäkerhetsgrupper har förbättrats för att minska vissa instanser av falska positiva identifieringar.
- Alla nätverksportar bör begränsas på NSG som är associerade med den virtuella datorn
- Hanteringsportarna bör vara stängda på de virtuella datorerna
- Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper
- Undernät bör vara kopplade till en nätverkssäkerhetsgrupp
Föråldrad förhandsversion av AKS-rekommendationen "Pod Security Policies should be defined on Kubernetes Services" (Pod Security Policies should be defined on Kubernetes Services)
Förhandsgranskningsrekommendationen "Pod Security Policies should be defined on Kubernetes Services" är inaktuell enligt beskrivningen i Dokumentationen om Azure Kubernetes Service .
Funktionen poddsäkerhetsprincip (förhandsversion) är inställd för utfasning och kommer inte längre att vara tillgänglig efter den 15 oktober 2020 till förmån för Azure Policy för AKS.
När poddsäkerhetsprincipen (förhandsversionen) är inaktuell måste du inaktivera funktionen i alla befintliga kluster med den inaktuella funktionen för att utföra framtida klusteruppgraderingar och hålla dig inom Azure Support.
E-postmeddelanden från Azure Security Center har förbättrats
Följande områden i e-postmeddelandena om säkerhetsaviseringar har förbättrats:
- Möjligheten att skicka e-postaviseringar om aviseringar för alla allvarlighetsnivåer har lagts till
- Möjligheten att meddela användare med olika Azure-roller i prenumerationen har lagts till
- Vi meddelar prenumerationsägare proaktivt som standard om aviseringar med hög allvarlighetsgrad (som har hög sannolikhet att vara verkliga överträdelser)
- Vi har tagit bort fältet telefonnummer från konfigurationssidan för e-postmeddelanden
Läs mer i Konfigurera e-postaviseringar för säkerhetsaviseringar.
Säkerhetspoäng innehåller inte förhandsversionsrekommendationer
Security Center utvärderar kontinuerligt dina resurser, prenumerationer och organisationen och letar efter säkerhetsproblem. Den aggregerar sedan alla resultat till en enda poäng så att du snabbt kan se din aktuella säkerhetssituation: ju högre poäng, desto lägre identifierad risknivå.
När nya hot upptäcks görs nya säkerhetsrekommendationer tillgängliga i Security Center genom nya rekommendationer. To avoid surprise changes your secure score, and to provide a grace period in which you can explore new recommendations before they impact your scores, recommendations flagged as Preview are no longer included in the calculations of your secure score. De bör fortfarande åtgärdas när det är möjligt, så att de bidrar till din poäng när förhandsgranskningsperioden är slut.
Also, Preview recommendations don't render a resource "Unhealthy".
Ett exempel på en förhandsgranskningsrekommendering:
Rekommendationerna innehåller nu en allvarlighetsindikator och friskhetsintervallet
Informationssidan för rekommendationer innehåller nu en indikator för färskhetsintervall (när det är relevant) och en tydlig visning av rekommendationens allvarlighetsgrad.
August 2020
Uppdateringar i augusti inkluderar:
- Inventering av tillgångar – en kraftfull ny vy över säkerhetsstatusen för dina tillgångar
- Stöd har lagts till för Azure Active Directory-säkerhetsstandarder (för multifaktorautentisering)
- Rekommendation om tjänstens huvudnamn har lagts till
- Sårbarhetsbedömning på virtuella datorer – rekommendationer och principer har konsoliderats
- Nya AKS-säkerhetsprinciper har lagts till i ASC_default initiativ
Inventering av tillgångar – en kraftfull ny vy över säkerhetsstatusen för dina tillgångar
Security Centers tillgångslager (för närvarande i förhandsversion) är ett sätt att visa säkerhetsstatusen för de resurser som du har anslutit till Security Center.
Security Center analyserar regelbundet säkerhetstillståndet för dina Azure-resurser för att identifiera potentiella säkerhetsrisker. Sedan får du rekommendationer om hur du åtgärdar dessa säkerhetsrisker. När en resurs har utestående rekommendationer visas de i inventeringen.
Du kan använda vyn och dess filter för att utforska dina säkerhetsstatusdata och vidta ytterligare åtgärder baserat på dina resultat.
Learn more about asset inventory.
Stöd har lagts till för Azure Active Directory-säkerhetsstandarder (för multifaktorautentisering)
Security Center has added full support for security defaults, Microsoft's free identity security protections.
Säkerhetsstandarder tillhandahåller förkonfigurerade identitetssäkerhetsinställningar för att skydda din organisation från vanliga identitetsrelaterade attacker. Säkerhetsstandarder skyddar redan över 5 miljoner klientorganisationer totalt. 50 000 klienter skyddas också av Security Center.
Security Center tillhandahåller nu en säkerhetsrekommendation när den identifierar en Azure-prenumeration utan att standardinställningarna för säkerhet är aktiverade. Hittills har Security Center rekommenderat att aktivera multifaktorautentisering med villkorlig åtkomst, vilket är en del av Azure Active Directory-premiumlicensen (AD). För kunder som använder Azure AD kostnadsfritt rekommenderar vi nu att du aktiverar standardinställningar för säkerhet.
Our goal is to encourage more customers to secure their cloud environments with MFA, and mitigate one of the highest risks that is also the most impactful to your secure score.
Learn more about security defaults.
Rekommendation om tjänstens huvudnamn har lagts till
En ny rekommendation har lagts till för att rekommendera att Security Center-kunder som använder hanteringscertifikat för att hantera sina prenumerationer byter till tjänstens huvudnamn.
Rekommendationen att tjänstens huvudnamn ska användas för att skydda dina prenumerationer i stället för hanteringscertifikat rekommenderar att du använder tjänstens huvudnamn eller Azure Resource Manager för att hantera dina prenumerationer på ett säkrare sätt.
Läs mer om objekt för program och tjänstens huvudnamn i Azure Active Directory.
Sårbarhetsbedömning på virtuella datorer – rekommendationer och principer har konsoliderats
Security Center inspekterar dina virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning. Om ingen lösning för sårbarhetsbedömning hittas ger Security Center en rekommendation för att förenkla distributionen.
När säkerhetsrisker hittas ger Security Center en rekommendation som sammanfattar resultaten så att du kan undersöka och åtgärda vid behov.
För att säkerställa en konsekvent upplevelse för alla användare, oavsett vilken skannertyp de använder, har vi samlat fyra rekommendationer i följande två:
| Unified recommendation | Change description |
|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Ersätter följande två rekommendationer: Aktivera den inbyggda lösningen för sårbarhetsbedömning på virtuella datorer (drivs av Qualys (nu inaktuell) (ingår med standardnivån) Lösningen för sårbarhetsbedömning bör installeras på dina virtuella datorer (nu inaktuell) (standard- och kostnadsfria nivåer) |
| Säkerhetsrisker på dina virtuella datorer bör åtgärdas | Ersätter följande två rekommendationer: Åtgärda sårbarheter som finns på dina virtuella datorer (drivs av Qualys) (nu inaktuella) Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning (nu inaktuell) |
Nu använder du samma rekommendation för att distribuera Security Centers tillägg för sårbarhetsbedömning eller en privat licensierad lösning ("BYOL") från en partner som Qualys eller Rapid 7.
När sårbarheter hittas och rapporteras till Security Center får du en enda rekommendation som varnar dig om resultaten oavsett vilken lösning för sårbarhetsbedömning som identifierade dem.
Updating dependencies
Om du har skript, frågor eller automatiseringar som refererar till tidigare rekommendationer eller principnycklar/namn använder du tabellerna nedan för att uppdatera referenserna:
Före augusti 2020
| Recommendation | Scope |
|---|---|
|
Aktivera den inbyggda lösningen för sårbarhetsbedömning på virtuella datorer (drivs av Qualys) Key: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
|
Åtgärda sårbarheter som finns på dina virtuella datorer (drivs av Qualys) Key: 1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
|
Lösningen för sårbarhetsbedömning bör installeras på dina virtuella datorer Key: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning Key: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
Sårbarhetsbedömning ska aktiveras på virtuella datorer Princip-ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning Princip-ID: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Från augusti 2020
| Recommendation | Scope |
|---|---|
|
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer Key: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Inbyggd + BYOL |
|
Säkerhetsrisker på dina virtuella datorer bör åtgärdas Key: 1195afff-c881-495e-9bc5-1486211ae03f |
Inbyggd + BYOL |
| Policy | Scope |
|---|---|
|
Sårbarhetsbedömning ska aktiveras på virtuella datorer Princip-ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Inbyggd + BYOL |
Nya AKS-säkerhetsprinciper har lagts till i ASC_default initiativ
För att säkerställa att Kubernetes-arbetsbelastningar är säkra som standard lägger Security Center till Kubernetes-nivåprinciper och härdningsrekommendationer, inklusive tvingande alternativ med Kubernetes-antagningskontroll.
Den tidiga fasen i det här projektet innehåller en förhandsversion och tillägg av nya principer (inaktiverade som standard) i ASC_default initiativ.
Du kan ignorera dessa principer på ett säkert sätt och det kommer inte att påverka din miljö. Om du vill aktivera dem registrerar du dig för förhandsversionen via Microsoft Cloud Security Private Community och väljer bland följande alternativ:
- Single Preview – To join only this preview. Nämn uttryckligen "ASC Continuous Scan" som den förhandsversion som du vill ansluta till.
- Ongoing Program – To be added to this and future previews. Du måste slutföra ett profil- och sekretessavtal.
July 2020
Uppdateringar i juli inkluderar:
- Sårbarhetsbedömning för virtuella datorer är nu tillgänglig för avbildningar som inte finns på Marketplace
- Hotskydd för Azure Storage utökas till att omfatta Azure Files och Azure Data Lake Storage Gen2 (förhandsversion)
- Åtta nya rekommendationer för att aktivera hotskyddsfunktioner
- Förbättringar av containersäkerhet – snabbare registergenomsökning och uppdaterad dokumentation
- Anpassningsbara programkontroller uppdaterades med en ny rekommendation och stöd för jokertecken i sökvägsregler
- Sex principer för avancerad datasäkerhet i SQL är inaktuella
Sårbarhetsbedömning för virtuella datorer är nu tillgängligt för avbildningar som inte kommer från Marketplace
När du distribuerade en lösning för sårbarhetsbedömning utförde Security Center tidigare en valideringskontroll före distributionen. Kontrollen var att bekräfta en marketplace-SKU för den virtuella måldatorn.
Från den här uppdateringen tas kontrollen bort och du kan nu distribuera verktyg för sårbarhetsbedömning till "anpassade" Windows- och Linux-datorer. Anpassade avbildningar är de som du har ändrat från marketplace-standardinställningarna.
Även om du nu kan distribuera tillägget för integrerad sårbarhetsbedömning (drivs av Qualys) på många fler datorer är support endast tillgängligt om du använder ett operativsystem som anges i Distribuera den integrerade sårbarhetsskannern till virtuella datorer på standardnivå
Läs mer om den integrerade sårbarhetsskannern för virtuella datorer (kräver Azure Defender).
Läs mer om hur du använder en egen privat licensierad lösning för sårbarhetsbedömning från Qualys eller Rapid7 i Distribuera en lösning för sårbarhetsgenomsökning för partner.
Hotskydd för Azure Storage utökas till att omfatta Azure Files och Azure Data Lake Storage Gen2 (förhandsversion)
Hotskydd för Azure Storage identifierar potentiellt skadlig aktivitet på dina Azure Storage-konton. Security Center visar aviseringar när det identifierar försök att komma åt eller utnyttja dina lagringskonton.
Dina data kan skyddas oavsett om de lagras som blobcontainrar, filresurser eller datasjöar.
Åtta nya rekommendationer för att aktivera hotskyddsfunktioner
Åtta nya rekommendationer har lagts till för att ge ett enkelt sätt att aktivera Azure Security Centers hotskyddsfunktioner för följande resurstyper: virtuella datorer, App Service-planer, Azure SQL Database-servrar, SQL-servrar på datorer, Azure Storage-konton, Azure Kubernetes Service-kluster, Azure Container Registry-register och Azure Key Vault-valv.
De nya rekommendationerna är:
- Avancerad datasäkerhet bör aktiveras på Azure SQL Database-servrar
- Avancerad datasäkerhet bör aktiveras på SQL-servrar på datorer
- Avancerat skydd mot hot bör aktiveras i Azure App Service-planer
- Avancerat skydd mot hot ska aktiveras i Azure Container Registry-register
- Avancerat skydd mot hot ska aktiveras i Azure Key Vault-valv
- Avancerat skydd mot hot ska aktiveras i Azure Kubernetes Service-kluster
- Avancerat skydd mot hot ska aktiveras på Azure Storage-konton
- Avancerat skydd mot hot ska aktiveras på virtuella datorer
Rekommendationerna omfattar även funktionen för snabbkorrigering.
Important
Om du åtgärdar någon av dessa rekommendationer kommer du att debiteras för att skydda relevanta resurser. Dessa avgifter börjar omedelbart om du har relaterade resurser i den aktuella prenumerationen. Eller i framtiden, om du lägger till dem vid ett senare tillfälle.
Om du till exempel inte har några Azure Kubernetes Service-kluster i din prenumeration och aktiverar skydd mot hot debiteras inga avgifter. Om du i framtiden lägger till ett kluster i samma prenumeration skyddas det automatiskt och avgifterna börjar då.
Läs mer om skydd mot hot i Azure Security Center.
Förbättringar av containersäkerhet – snabbare registergenomsökning och uppdaterad dokumentation
Som en del av de kontinuerliga investeringarna i containersäkerhetsdomänen delar vi gärna en betydande prestandaförbättring i Security Centers dynamiska genomsökningar av containeravbildningar som lagras i Azure Container Registry. Genomsökningar slutförs nu vanligtvis på ungefär två minuter. I vissa fall kan det ta upp till 15 minuter.
För att förbättra tydligheten och vägledningen om Azure Security Centers containersäkerhetsfunktioner har vi även uppdaterat dokumentationssidorna för containersäkerhet.
Anpassningsbara programkontroller uppdaterades med en ny rekommendation och stöd för jokertecken i sökvägsregler
Funktionen för anpassningsbara programkontroller har fått två viktiga uppdateringar:
En ny rekommendation identifierar potentiellt legitimt beteende som inte tidigare har tillåtits. Den nya rekommendationen Allowlist rules in your adaptive application control policy should be updateds you to add new rules to the existing policy to reduce the number of false positives in adaptive application controls violation alerts.the new recommendation, Allowlist rules in your adaptive application control policy should be updated you to add new rules to the existing policy to reduce the number of false positives in adaptive application controls violation alerts.
Sökvägsregler stöder nu jokertecken. Från den här uppdateringen kan du konfigurera tillåtna sökvägsregler med jokertecken. Det finns två scenarier som stöds:
Använd ett jokertecken i slutet av en sökväg för att tillåta alla körbara filer i den här mappen och undermapparna.
Använd ett jokertecken mitt i en sökväg för att aktivera ett känt körbart namn med ett namn på en ändrad mapp (t.ex. personliga användarmappar med en känd körbar, automatiskt genererad mappnamn osv.).
Sex principer för avancerad datasäkerhet i SQL är inaktuella
Sex principer som rör avancerad datasäkerhet för SQL-datorer håller på att bli inaktuella:
- Avancerade hotskyddstyper ska anges till "Alla" i avancerade datasäkerhetsinställningar för SQL-hanterade instanser
- Avancerade hotskyddstyper ska anges till "Alla" i avancerade datasäkerhetsinställningar för SQL Server
- Avancerade datasäkerhetsinställningar för SQL-hanterad instans bör innehålla en e-postadress för att ta emot säkerhetsaviseringar
- Avancerade datasäkerhetsinställningar för SQL Server bör innehålla en e-postadress för att ta emot säkerhetsaviseringar
- E-postaviseringar till administratörer och prenumerationsägare ska aktiveras i avancerade datasäkerhetsinställningar för SQL-hanterade instanser
- E-postaviseringar till administratörer och prenumerationsägare bör aktiveras i de avancerade inställningarna för datasäkerhet för SQL-servern
Learn more about built-in policies.
June 2020
Uppdateringar i juni inkluderar:
- API för säker poäng (förhandsversion)
- Avancerad datasäkerhet för SQL-datorer (Azure, andra moln och lokalt) (förhandsversion)
- Två nya rekommendationer för att distribuera Log Analytics-agenten till Azure Arc-datorer (förhandsversion)
- Nya principer för att skapa konfigurationer för kontinuerlig export och arbetsflödesautomatisering i stor skala
- Ny rekommendation för att använda NSG:er för att skydda virtuella datorer som inte är Internetuppkopplade
- Nya principer för att aktivera skydd mot hot och avancerad datasäkerhet
API för säker poäng (förhandsversion)
Nu kan du komma åt din poäng via API:et för säker poäng (för närvarande i förhandsversion). API-metoderna ger flexibiliteten att köra frågor mot data och skapa en egen rapporteringsmekanism för dina säkra poäng över tid. For example, you can use the Secure Scores API to get the score for a specific subscription. Dessutom kan du använda API:et för kontroller för säker poäng för att visa en lista över säkerhetskontrollerna och den aktuella poängen för dina prenumerationer.
Exempel på externa verktyg som möjliggörs med API:et för säker poäng finns i området för säker poäng i vår GitHub-community.
Läs mer om säkerhetspoäng och säkerhetskontroller i Azure Security Center.
Avancerad datasäkerhet för SQL-datorer (Azure, andra moln och lokalt) (förhandsversion)
Azure Security Centers avancerade datasäkerhet för SQL-datorer skyddar nu SQL-servrar som finns i Azure, i andra molnmiljöer och även på lokala datorer. Detta utökar skyddet för dina Azure-inbyggda SQL-servrar för fullt stöd för hybridmiljöer.
Avancerad datasäkerhet ger sårbarhetsbedömning och avancerat skydd mot hot för dina SQL-datorer var de än befinner sig.
Konfigurationen omfattar två steg:
Distribuera Log Analytics-agenten till SQL Server-värddatorn för att tillhandahålla anslutningen till Azure-kontot.
Aktivera det valfria paketet på sidan för priser och inställningar i Security Center.
Läs mer om avancerad datasäkerhet för SQL-datorer.
Två nya rekommendationer för att distribuera Log Analytics-agenten till Azure Arc-datorer (förhandsversion)
Två nya rekommendationer har lagts till för att distribuera Log Analytics-agenten till dina Azure Arc-datorer och se till att de skyddas av Azure Security Center:
- Log Analytics-agenten bör installeras på dina Windows-baserade Azure Arc-datorer (förhandsversion)
- Log Analytics-agenten bör installeras på dina Linux-baserade Azure Arc-datorer (förhandsversion)
Dessa nya rekommendationer visas i samma fyra säkerhetskontroller som den befintliga (relaterade) rekommendationen Övervakningsagenten ska installeras på dina datorer: åtgärda säkerhetskonfigurationer, tillämpa anpassningsbar programkontroll, tillämpa systemuppdateringar och aktivera slutpunktsskydd.
Rekommendationerna omfattar även snabbkorrigeringsfunktionen för att påskynda distributionsprocessen.
Läs mer om hur Azure Security Center använder agenten i Vad är Log Analytics-agenten?.
Läs mer om tillägg för Azure Arc-datorer.
Nya principer för att skapa konfigurationer för kontinuerlig export och arbetsflödesautomatisering i stor skala
Att automatisera organisationens övervaknings- och incidenthanteringsprocesser kan avsevärt förbättra den tid det tar att undersöka och minimera säkerhetsincidenter.
To deploy your automation configurations across your organization, use these built-in 'DeployIfdNotExist' Azure policies to create and configure continuous export and workflow automation procedures:
Principdefinitionerna finns i Azure Policy:
| Goal | Policy | Policy ID |
|---|---|---|
| Kontinuerlig export till Event Hubs | Distribuera export till Event Hubs för Azure Security Center-aviseringar och rekommendationer | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Kontinuerlig export till Log Analytics-arbetsyta | Distribuera export till Log Analytics-arbetsytan för aviseringar och rekommendationer i Azure Security Center | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Arbetsflödesautomatisering för säkerhetsaviseringar | Distribuera arbetsflödesautomation för Azure Security Center-aviseringar | f1525828-9a90-4fcf-be48-268cdd02361e |
| Arbetsflödesautomatisering för säkerhetsrekommendationer | Distribuera arbetsflödesautomation för Azure Security Center-rekommendationer | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Kom igång med mallar för arbetsflödesautomatisering.
Läs mer om hur du använder de två exportprinciperna i Konfigurera arbetsflödesautomation i stor skala med hjälp av de angivna principerna och Konfigurera en kontinuerlig export.
Ny rekommendation för att använda NSG:er för att skydda virtuella datorer som inte är Internetuppkopplade
Säkerhetskontrollen "Implementera metodtips för säkerhet" innehåller nu följande nya rekommendation:
- Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper
En befintlig rekommendation är att internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper, inte skilja mellan internetuppkopplade och icke-Internetuppkopplade virtuella datorer. För båda genererades en rekommendation med hög allvarlighetsgrad om en virtuell dator inte tilldelades en nätverkssäkerhetsgrupp. Den här nya rekommendationen separerar datorer som inte är internetuppkopplade för att minska falska positiva identifieringar och undvika onödiga aviseringar med hög allvarlighetsgrad.
Nya principer för att aktivera skydd mot hot och avancerad datasäkerhet
De nya principdefinitionerna nedan lades till i ASC-standardinitiativet och är utformade för att hjälpa till med att aktivera skydd mot hot eller avancerad datasäkerhet för relevanta resurstyper.
Principdefinitionerna finns i Azure Policy:
| Policy | Policy ID |
|---|---|
| Avancerad datasäkerhet bör aktiveras på Azure SQL Database-servrar | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| Avancerad datasäkerhet bör aktiveras på SQL-servrar på datorer | 6581d072-105e-4418-827f-bd446d56421b |
| Avancerat skydd mot hot ska aktiveras på Azure Storage-konton | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| Avancerat skydd mot hot ska aktiveras i Azure Key Vault-valv | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| Avancerat skydd mot hot bör aktiveras i Azure App Service-planer | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| Avancerat skydd mot hot ska aktiveras i Azure Container Registry-register | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| Avancerat skydd mot hot ska aktiveras i Azure Kubernetes Service-kluster | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
| Avancerat skydd mot hot ska aktiveras på virtuella datorer | 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
Läs mer om skydd mot hot i Azure Security Center.
May 2020
Uppdateringar i maj inkluderar:
- Regler för aviseringsundertryckning (förhandsversion)
- Sårbarhetsbedömning av virtuella datorer är nu allmänt tillgängligt
- Ändringar för Just-in-time-åtkomst (JIT) för virtuella datorer
- Anpassade rekommendationer har flyttats till en separat säkerhetskontroll
- Växlingsreglage har lagts till för att visa rekommendationer i kontroller eller som en platt lista
- Utökad säkerhetskontroll, ”implementera metodtips för säkerhet”
- Anpassade principer med anpassade metadata är nu allmänt tillgängliga
- Funktioner för analys av kraschdumpar som migrerar till fillös attackidentifiering
Regler för aviseringsundertryckning (förhandsversion)
Den här nya funktionen (för närvarande i förhandsversion) hjälper till att minska aviseringströttheten. Använd regler för att automatiskt dölja aviseringar som är kända för att vara harmlösa eller relaterade till normala aktiviteter i din organisation. På så sätt kan du fokusera på de mest relevanta hoten.
Aviseringar som matchar dina aktiverade undertryckningsregler genereras fortfarande, men deras tillstånd kommer att vara inställt på att avvisas. Du kan se tillståndet i Azure Portal eller hur du kommer åt säkerhetsaviseringar i Security Center.
Undertryckningsregler definierar de kriterier för vilka aviseringar ska avvisas automatiskt. Vanligtvis använder du en undertryckningsregel för att:
ignorera aviseringar som du har identifierat som falska positiva identifieringar
förhindra aviseringar som utlöses för ofta för att vara användbara
Läs mer om att förhindra aviseringar från Hotskydd i Azure Security Center.
Sårbarhetsbedömning av virtuella datorer är nu allmänt tillgängligt
Security Centers standardnivå innehåller nu en integrerad sårbarhetsbedömning för virtuella datorer utan extra kostnad. Det här tillägget drivs av Qualys men rapporterar resultaten direkt tillbaka till Security Center. Du behöver inte en Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Security Center.
Den nya lösningen kan kontinuerligt genomsöka dina virtuella datorer för att hitta sårbarheter och presentera resultaten i Security Center.
Om du vill distribuera lösningen använder du den nya säkerhetsrekommendatorn:
"Aktivera den inbyggda lösningen för sårbarhetsbedömning på virtuella datorer (drivs av Qualys)"
Läs mer om Security Centers integrerade sårbarhetsbedömning för virtuella datorer.
Ändringar för Just-in-time-åtkomst (JIT) för virtuella datorer
Security Center innehåller en valfri funktion för att skydda hanteringsportarna för dina virtuella datorer. Detta ger skydd mot den vanligaste formen av råstyrkeattacker.
Den här uppdateringen medför följande ändringar i den här funktionen:
Rekommendationen som råder dig att aktivera JIT på en virtuell dator har bytt namn. Tidigare "Just-in-time network access control should be applied on virtual machines" (Just-in-time network access control should be applied on virtual machines) är nu: "Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk."
Rekommendationen utlöses endast om det finns öppna hanteringsportar.
Läs mer om JIT-åtkomstfunktionen.
Anpassade rekommendationer har flyttats till en separat säkerhetskontroll
En säkerhetskontroll som introducerades med den förbättrade säkerhetspoängen var "Implementera bästa praxis för säkerhet". Alla anpassade rekommendationer som skapats för dina prenumerationer placerades automatiskt i den kontrollen.
För att göra det enklare att hitta dina anpassade rekommendationer har vi flyttat dem till en dedikerad säkerhetskontroll, "Anpassade rekommendationer". Den här kontrollen påverkar inte din säkerhetspoäng.
Läs mer om säkerhetskontroller i Förbättrad säkerhetspoäng (förhandsversion) i Azure Security Center.
Växlingsreglage har lagts till för att visa rekommendationer i kontroller eller som en platt lista
Säkerhetskontroller är logiska grupper med relaterade säkerhetsrekommendationer. De återspeglar dina sårbara attackytor. En kontroll är en uppsättning säkerhetsrekommendationer med instruktioner som hjälper dig att implementera dessa rekommendationer.
Om du omedelbart vill se hur väl din organisation skyddar varje enskild attackyta läser du poängen för varje säkerhetskontroll.
Som standard visas dina rekommendationer i säkerhetskontrollerna. Från den här uppdateringen kan du också visa dem som en lista. Om du vill visa dem som en enkel lista sorterad efter hälsostatusen för de berörda resurserna använder du den nya växlingsknappen "Gruppera efter kontroller". Växlingsknappen finns ovanför listan i portalen.
Säkerhetskontrollerna – och den här växlingsknappen – är en del av den nya säkerhetspoängen. Kom ihåg att skicka oss din feedback från portalen.
Läs mer om säkerhetskontroller i Förbättrad säkerhetspoäng (förhandsversion) i Azure Security Center.
Utökad säkerhetskontroll, ”implementera metodtips för säkerhet”
En säkerhetskontroll som introduceras med den förbättrade säkerhetspoängen är "Implementera metodtips för säkerhet". När en rekommendation finns i den här kontrollen påverkar den inte säkerhetspoängen.
Med den här uppdateringen har tre rekommendationer flyttats från de kontroller som de ursprungligen placerades i och till den här bästa praxiskontrollen. Vi har tagit det här steget eftersom vi har fastställt att risken för dessa tre rekommendationer är lägre än vad som ursprungligen troddes.
Dessutom har två nya rekommendationer införts och lagts till i den här kontrollen.
De tre rekommendationerna som flyttades är:
- MFA ska aktiveras på konton med läsbehörighet för din prenumeration (ursprungligen i kontrollen "Aktivera MFA")
- Externa konton med läsbehörigheter bör tas bort från din prenumeration (ursprungligen i kontrollen Hantera åtkomst och behörigheter)
- Högst 3 ägare bör utses för din prenumeration (ursprungligen i kontrollen "Hantera åtkomst och behörigheter")
De två nya rekommendationerna som lagts till i kontrollen är:
Gästkonfigurationstillägget ska installeras på virtuella Windows-datorer (förhandsversion) – Med hjälp av Azure Policy Guest Configuration får du insyn i virtuella datorer för server- och programinställningar (endast Windows).
Windows Defender Exploit Guard ska vara aktiverat på dina datorer (förhandsversion) – Windows Defender Exploit Guard utnyttjar Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows).
Läs mer om Windows Defender Exploit Guard i Skapa och distribuera en Exploit Guard-princip.
Läs mer om säkerhetskontroller i Förbättrad säkerhetspoäng (förhandsversion).
Anpassade principer med anpassade metadata är nu allmänt tillgängliga
Anpassade principer är nu en del av security center-rekommendationer, säkerhetspoäng och instrumentpanelen för regelefterlevnadsstandarder. Den här funktionen är nu allmänt tillgänglig och gör att du kan utöka organisationens säkerhetsutvärderingstäckning i Security Center.
Skapa ett anpassat initiativ i Azure Policy, lägg till principer till det och registrera det i Azure Security Center och visualisera det som rekommendationer.
Vi har nu också lagt till alternativet för att redigera metadata för den anpassade rekommendationen. Metadataalternativen omfattar allvarlighetsgrad, reparationssteg, hotinformation med mera.
Läs mer om att förbättra dina anpassade rekommendationer med detaljerad information.
Funktioner för analys av kraschdumpar som migrerar till fillös attackidentifiering
Vi integrerar identifieringsfunktionerna för Windows-kraschdumpanalys (CDA) i fillös attackidentifiering. Analys av fillös attackidentifiering ger förbättrade versioner av följande säkerhetsaviseringar för Windows-datorer: Identifierad kodinmatning, Maskering av Windows-modul identifierad, Identifierad Shell-kod och Misstänkt kodsegment identifierad.
Några av fördelarna med den här övergången:
Proaktiv och snabb identifiering av skadlig kod – CDA-metoden innebar att vänta på att en krasch skulle inträffa och sedan köra analys för att hitta skadliga artefakter. Att använda fillös attackidentifiering ger proaktiv identifiering av minnesinterna hot medan de körs.
Enriched alerts - The security alerts from fileless attack detection include enrichments that aren't available from CDA, such as the active network connections information.
Alert aggregation - When CDA detected multiple attack patterns within a single crash dump, it triggered multiple security alerts. Fillös attackidentifiering kombinerar alla identifierade attackmönster från samma process till en enda avisering, vilket tar bort behovet av att korrelera flera aviseringar.
Minskade krav på Log Analytics-arbetsytan – Kraschdumpar som innehåller potentiellt känsliga data laddas inte längre upp till Log Analytics-arbetsytan.
April 2020
Uppdateringar i april inkluderar:
- Dynamiska efterlevnadspaket är nu allmänt tillgängliga
- Identitetsrekommendationer ingår nu på den kostnadsfria nivån i Azure Security Center
Dynamiska efterlevnadspaket är nu allmänt tillgängliga
På instrumentpanelen för regelefterlevnad i Azure Security Center finns nu dynamiska efterlevnadspaket (nu allmänt tillgängliga) för att hålla koll på ytterligare bransch- och regelstandarder.
Du kan lägga till dynamiska efterlevnadsprinciper i din prenumeration eller hanteringsgrupp på säkerhetsprincipsidan i Security Center. När du har registrerat en standard eller benchmark visas standarden på instrumentpanelen för regelefterlevnad med alla tillhörande efterlevnadsdata mappade som utvärderingar. Du kan hämta en sammanfattningsrapport för de standarder som har registrerats.
Nu kan du lägga till standarder som:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official och UK NHS
- Kanada Federal PBMM
- Azure CIS 1.1.0 (ny) (som är en mer fullständig representation av Azure CIS 1.1.0)
Dessutom har vi nyligen lagt till Azure Security Benchmark, Microsofts Azure-specifika riktlinjer för säkerhet och efterlevnad som utgår ifrån vanliga efterlevnadsramverk. Ytterligare standarder kommer att läggas till på instrumentpanelen när de blir tillgängliga.
Läs mer om hur du anpassar standarduppsättningen på instrumentpanelen för regelefterlevnad.
Identitetsrekommendationer ingår nu i Azure Security Center på den kostnadsfria nivån
Säkerhetsrekommendationer för identitet och åtkomst i Azure Security Center på den kostnadsfria nivån är nu allmänt tillgängliga. Detta är en del av arbetet med att göra CSPM-funktionerna (Cloud Security Posture Management) kostnadsfria. Hittills har dessa rekommendationer endast varit tillgängliga på standardprisnivån.
Exempel på identitets- och åtkomstrekommendationer är:
- ”Multifaktorautentisering måste vara aktiverat för konton med ägarbehörigheter för din prenumeration.”
- ”Högst tre ägare bör anges för din prenumeration.”
- ”Du bör ta bort inaktuella konton från din prenumeration.”
Om du har prenumerationer på den kostnadsfria prisnivån kommer säkerhetspoängen att påverkas av den här ändringen eftersom identitets- och åtkomstsäkerheten aldrig utvärderades.
March 2020
Uppdateringar i mars inkluderar:
- Arbetsflödesautomation är nu allmänt tillgänglig
- Integrering av Azure Security Center med Windows Admin Center
- Skydd för Azure Kubernetes Service
- Förbättrad just-in-time-upplevelse
- Två säkerhetsrekommendationer för inaktuella webbprogram
Arbetsflödesautomation är nu allmänt tillgänglig
Nu är funktionen för arbetsflödesautomation i Azure Security Center allmänt tillgänglig. Använd funktionen till att automatiskt utlösa logikappar vid säkerhetsaviseringar och rekommendationer. Dessutom finns manuella utlösare för aviseringar och alla rekommendationer som har snabbkorrigeringsalternativet tillgängligt.
Varje säkerhetsprogram innehåller flera arbetsflöden för incidenthantering. De här processerna kan omfatta att meddela relevanta intressenter, starta en process för förändringshantering och tillämpa vissa reparationssteg. Säkerhetsexperter rekommenderar att du automatiserar så många steg som möjligt i dessa procedurer. Automation minskar kostnaderna och kan förbättra säkerheten genom att säkerställa att processtegen utförs snabbt, konsekvent och enligt dina fördefinierade krav.
For more information about the automatic and manual Security Center capabilities for running your workflows, see workflow automation.
Läs mer om att skapa Logic Apps.
Integrering av Azure Security Center med Windows Admin Center
Nu är det möjligt att flytta dina lokala Windows-servrar från Windows Admin Center direkt till Azure Security Center. Security Center blir sedan ditt enda fönster för att visa säkerhetsinformation för alla dina Windows Admin Center-resurser, till exempel lokala servrar, virtuella datorer och ytterligare PaaS-arbetsbelastningar.
När du har flyttat en server från Windows Admin Center till Azure Security Center kan du:
- visa säkerhetsaviseringar och rekommendationer i Security Center-tillägget för Windows Admin Center
- visa säkerhetsstatus och hämta ytterligare detaljerad information om dina Windows Admin Center-hanterade servrar i Security Center på Azure-portalen (eller via ett API).
Läs mer om hur du integrerar Azure Security Center med Windows Admin Center.
Skydd för Azure Kubernetes Service
Azure Security Center får utökade säkerhetsfunktioner för containrar för att skydda Azure Kubernetes Service (AKS).
Den populära plattformen Kubernetes med öppen källkod antas så brett att den nu är en branschstandard för containerorkestrering. Trots den här omfattande implementeringen finns det fortfarande en brist på förståelse för hur du kan skydda en Kubernetes-miljö. Det krävs expertkunskaper för att skydda attackytorna i ett containerprogram för att säkerställa att infrastrukturen har konfigureras säkert och ständigt övervakas mot potentiella hot.
I Security Center-skyddet ingår följande:
- Identifiering och synlighet – Kontinuerlig identifiering av hanterade AKS-instanser i de prenumerationer som är registrerade i Security Center.
- Security recommendations - Actionable recommendations to help you comply with security best-practices for AKS. Dessa rekommendationer ingår i din säkerhetspoäng för att säkerställa att de visas som en del av din organisations säkerhetsstatus. Ett exempel på en AKS-relaterad rekommendation som du kan se är "Rollbaserad åtkomstkontroll bör användas för att begränsa åtkomsten till ett Kubernetes-tjänstkluster".
- Threat protection - Through continuous analysis of your AKS deployment, Security Center alerts you to threats and malicious activity detected at the host and AKS cluster level.
Läs mer om Integrering av Azure Kubernetes Services med Security Center.
Läs mer om containersäkerhetsfunktionerna i Security Center.
Förbättrad just-in-time-upplevelse
Funktionerna, driften och användargränssnittet för Azure Security Centers just-in-time-verktyg som skyddar dina hanteringsportar har förbättrats på följande sätt:
- Justification field - When requesting access to a virtual machine (VM) through the just-in-time page of the Azure portal, a new optional field is available to enter a justification for the request. Information som anges i det här fältet kan spåras i aktivitetsloggen.
- Automatisk rensning av redundanta jit-regler (just-in-time) – När du uppdaterar en JIT-princip körs automatiskt ett rensningsverktyg för att kontrollera giltigheten för hela regeluppsättningen. Verktyget söker efter avvikelser mellan reglerna i principen och reglerna i NSG. Om rensningsverktyget hittar ett matchningsfel avgör det orsaken och tar bort inbyggda regler som inte behövs längre när det är säkert att göra det. Rensningen tar aldrig bort regler som du har skapat.
Läs mer om JIT-åtkomstfunktionen.
Två säkerhetsrekommendationer för inaktuella webbprogram
Två säkerhetsrekommendationer som rör webbappar görs inaktuella:
Reglerna för webbappar på IaaS-nätverkssäkerhetsgrupper bör skärpas. (Relaterad princip: NSG-reglerna för webbprogram på IaaS bör härdas)
Åtkomst till App Services bör begränsas. (Relaterad princip: Åtkomst till App Services bör begränsas [förhandsversion])
De här rekommendationerna visas inte längre i Security Center-listan med rekommendationer. Relaterade principer tas inte längre med i initiativet "Security Center Default".
February 2020
Fillös attackidentifiering för Linux (förhandsversion)
Angripare tillämpar alltmer dolda angreppsmetoder för att undvika identifiering. Därför omfattar Azure Security Center-funktionen för identifiering av fillösa angrepp nu även Linux, i tillägg till Windows. Fillösa angrepp utnyttjar sårbarheter i programvara, injicerar skadliga nyttolaster i ofarliga systemprocesser och döljer sig i minnet. These techniques:
- minimera eller eliminera spår av skadlig kod på disken
- minska risken för identifiering av diskbaserade lösningar för genomsökning av skadlig kod
För att motverka det här hotet lanserade Azure Security Center identifiering av fillösa angrepp för Windows i oktober 2018, och funktionen omfattar nu även Linux.
January 2020
Förbättrad säkerhetspoäng (förhandsversion)
Nu finns en förbättrad version av funktionen för säkerhetspoäng i Azure Security Center tillgänglig i förhandsversion. I den här versionen grupperas flera rekommendationer i säkerhetskontroller som bättre speglar dina sårbara attackytor (till exempel för att begränsa åtkomsten till hanteringsportar).
Utforska ändringarna i funktionen för säkerhetspoäng under förhandsgranskningen och se vilka andra förbättringar som kan hjälpa dig att skydda din miljö ännu bättre.
Läs mer om förbättrad säkerhetspoäng (förhandsversion).
November 2019
Uppdateringar i november inkluderar:
- Hotskydd för Azure Key Vault i Nordamerika regioner (förhandsversion)
- Skydd mot hot för Azure Storage innehåller skydd mot skadlig kod
- Arbetsflödesautomatisering med Logic Apps (förhandsversion)
- Snabbkorrigering för massresurser allmänt tillgängliga
- Sök igenom containeravbildningar efter sårbarheter (förhandsversion)
- Ytterligare standarder för regelefterlevnad (förhandsversion)
- Threat Protection för Azure Kubernetes Service (förhandsversion)
- Sårbarhetsbedömning för virtuell dator (förhandsversion)
- Avancerad datasäkerhet för SQL-servrar på virtuella Azure-datorer (förhandsversion)
- Stöd för anpassade principer (förhandsversion)
- Utöka Azure Security Center-täckningen med plattform för community och partner
- Avancerade integreringar med export av rekommendationer och aviseringar (förhandsversion)
- Registrera lokala servrar till Security Center från Windows Admin Center (förhandsversion)
Hotskydd för Azure Key Vault i Nordamerika regioner (förhandsversion)
Azure Key Vault är en väsentlig tjänst för att skydda data och förbättra prestanda hos molnprogram genom att erbjuda möjligheten att centralt hantera nycklar, hemligheter, kryptografiska nycklar och principer i molnet. Eftersom Azure Key Vault lagrar känsliga och affärskritiska data kräver det högsta möjliga säkerhet för nyckelvalven och de data som lagras i dem.
Azure Security Centers stöd för Threat Protection för Azure Key Vault ger ytterligare ett lager säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja nyckelvalv. Med det här nya skyddslagret kan kunder hantera hot mot sina nyckelvalv utan att vara någon säkerhetsexpert eller hantera säkerhetsövervakningssystems. Den här funktionen finns i allmän förhandsversion i regionerna i Nordamerika.
Hotskydd för Azure Storage innefattar Malware Reputation Screening
Hotskydd för Azure Storage erbjuder nu nya identifieringar via Microsoft Threat Intelligence för identifiering av uppladdningar av skadlig kod till Azure Storage med hashryktesanalys och misstänkta mönster från en aktiv Tor-slutnod (en anonymiserande proxy). Du kan nu visa identifierad skadlig kod i lagringskonton med Azure Security Center.
Arbetsflödesautomatisering med Logic Apps (förhandsversion)
Organisationer med centralt hanterad säkerhet och IT/drift implementerar interna arbetsflödesprocesser för att främja nödvändiga åtgärder i organisationen när avvikelser upptäcks i deras miljöer. I många fall är dessa arbetsflöden repeterbara processer och automatisering kan effektivisera processer i organisationen avsevärt.
Idag introducerar vi en ny funktion i Security Center som gör det möjligt för kunder att skapa automatiseringskonfigurationer som utnyttjar Azure Logic Apps och skapa principer som automatiskt utlöser dem baserat på specifika ASC-resultat, till exempel rekommendationer eller aviseringar. Azure Logic App kan konfigureras till att utföra valfri åtgärd som stöds av den stora communityn med Logic App-anslutningsprogram eller använda en av de mallar som tillhandahålls av Security Center, till exempel för att skicka ett e-postmeddelande eller öppna ett ServiceNow™-ärende.
For more information about the automatic and manual Security Center capabilities for running your workflows, see workflow automation.
Mer information om logikappar finns i Azure Logic Apps.
Snabbkorrigering för massresurser allmänt tillgängliga
De många uppgifter som en användare får som en del av Secure Score gör det svårt att omedelbart åtgärda problem i en stor maskinpark.
Använd Snabbkorrigeringsreparation för att åtgärda säkerhetsfelkonfigurationer, åtgärda rekommendationer för flera resurser och förbättra din säkerhetspoäng.
Detta gör att du kan välja de resurser som du vill tillämpa åtgärden på och starta en ny reparationsåtgärd som konfigurerar inställningen åt dig.
Snabbkorrigering är allmänt tillgänglig för kunder i dag som en del av rekommendationer för Security Center.
Sök igenom containeravbildningar efter sårbarheter (förhandsversion)
Azure Security Center kan nu avsöka containeravbildningar i Azure Container Registry efter sårbarheter.
Avbildningsgenomsökningen parsar containeravbildningsfilen och kontrollerar sedan om det finns några kända sårbarheter (drivs av Qualys).
Själva genomsökningen utlöses automatiskt när nya containeravbildningar skickas till Azure Container Registry. Säkerhetsrisker som hittas visas som Security Center-rekommendationer och ingår i säkerhetspoängen tillsammans med information om hur du korrigerar dem för att minska den attackyta som de tillät.
Ytterligare standarder för regelefterlevnad (förhandsversion)
Instrumentpanelen för regelefterlevnad ger insikter om din efterlevnadsstatus baserat på Security Center-utvärderingar. Instrumentpanelen visar hur din miljö följer kontroller och krav som anges av specifika regelstandarder och branschriktlinjer. Den ger preskriptiva rekommendationer om hur du hanterar dessa krav.
Instrumentpanelen för regelefterlevnad har hittills stöd för fyra inbyggda standarder: Azure CIS 1.1.0, PCI-DSS, ISO 27001 och SOC-TSP. Nu presenterar vi den offentliga förhandsversionen av ytterligare standarder som stöds: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM och UK Official tillsammans med UK NHS. Vi släpper också en uppdaterad version av Azure CIS 1.1.0, som täcker fler kontroller från standarden och förbättrar utökningsbarheten.
Läs mer om hur du anpassar standarduppsättningen på instrumentpanelen för regelefterlevnad.
Threat Protection för Azure Kubernetes Service (förhandsversion)
Kubernetes håller snabbt på att bli den nya standarden för distribution och hantering av programvara i molnet. Få personer har stor erfarenhet av Kubernetes, och många fokuserar på allmän teknik och administration samtidigt som de missar säkerhetsaspekten. Kubernetes-miljön behöver konfigureras för att vara säker. Det måste säkerställas att inga dörrar lämnas öppna för angripare som utnyttjar containerfokuserade attackytor. Security Center utökar sitt stöd inom containrar till en av de snabbast växande tjänsterna i Azure – Azure Kubernetes Service (AKS).
Bland de nya funktionerna i den här offentliga förhandsversionen finns följande:
- Identifiering och synlighet – Kontinuerlig identifiering av hanterade AKS-instanser i Security Centers registrerade prenumerationer.
- Rekommendationer för säker poäng – Åtgärdsbara objekt som hjälper kunderna att följa bästa praxis för säkerhet för AKS och öka deras säkerhetspoäng. Rekommendationerna omfattar bland annat "Rollbaserad åtkomstkontroll ska användas för att begränsa åtkomsten till ett Kubernetes-tjänstkluster".
- Threat Detection - Host and cluster-based analytics, such as "A privileged container detected".
Sårbarhetsbedömning för virtuell dator (förhandsversion)
Program som installeras på virtuella datorer kunde ofta ha sårbarheter som kan leda till intrång i den virtuella datorn. Vi meddelar att standardnivån security center innehåller inbyggd sårbarhetsbedömning för virtuella datorer utan extra kostnad. Sårbarhetsbedömningen, som drivs av Qualys i den offentliga förhandsversionen, gör att du kontinuerligt kan genomsöka alla installerade program på en virtuell dator för att hitta sårbara program och presentera resultaten i Security Center-portalens upplevelse. Security Center hanterar alla distributionsåtgärder så att användaren inte behöver göra något extra arbete. Framöver planerar vi att tillhandahålla alternativ för sårbarhetsbedömning för att stödja våra kunders unika affärsbehov.
Läs mer om sårbarhetsbedömningar för dina virtuella Azure-datorer.
Avancerad datasäkerhet för SQL-servrar på virtuella Azure-datorer (förhandsversion)
Azure Security Centers stöd för hotskydd och sårbarhetsbedömning för SQL-databaser som körs på virtuella IaaS-datorer är nu i förhandsversion.
Vulnerability assessment is an easy to configure service that can discover, track, and help you remediate potential database vulnerabilities. Den ger insyn i din säkerhetsstatus som en del av säkerhetspoängen och innehåller stegen för att lösa säkerhetsproblem och förbättra dina databasbefästningar.
Avancerat hotskydd identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja din SQL-server. Det övervakar kontinuerligt din databas och letar efter misstänkta aktiviteter. Du får åtgärdsinriktade säkerhetsvarningar om avvikande åtkomstmönster i databasen. Dessa aviseringar ger information om misstänkt aktivitet och rekommenderade åtgärder för att undersöka och åtgärda hotet.
Stöd för anpassade principer (förhandsversion)
Azure Security Center har nu stöd för anpassade principer (i förhandsversion).
Våra kunder har velat utöka sin aktuella täckning för säkerhetsutvärderingar i Security Center med sina egna säkerhetsutvärderingar baserat på principer som de skapar i Azure Policy. Tack vare stödet för anpassade principer är detta nu möjligt.
De här nya principerna kommer att ingå i upplevelsen för Security Center-rekommendationer samt på instrumentpanelen för standarder för regelefterlevnad. Med stöd för anpassade principer kan du nu skapa ett anpassat initiativ i Azure Policy och sedan lägga till det som en princip i Security Center och visualisera det som en rekommendation.
Utökad Azure Security Center-täckning med plattform för communityn och partner
Använd Security Center för att få rekommendationer inte bara från Microsoft utan även från befintliga lösningar från partner som Check Point, Tenable och CyberArk med många fler integreringar som kommer. Security Centers enkla registreringsflöde kan ansluta dina befintliga lösningar till Security Center, så att du kan visa dina säkerhetsstatusrekommendationer på en enda plats, köra enhetliga rapporter och utnyttja alla Security Centers funktioner mot både inbyggda rekommendationer och partnerrekommendationer. Du kan även exportera Security Center-rekommendationer till partnerprodukter.
Läs mer om Microsoft Intelligent Security Association.
Avancerade integreringar med export av rekommendationer och aviseringar (förhandsversion)
För att aktivera scenarier på företagsnivå ovanpå Security Center är det nu möjligt att använda Security Center-aviseringar och rekommendationer på ytterligare platser förutom Azure Portal eller API. Dessa kan exporteras direkt till en händelsehubb och till Log Analytics-arbetsytor. Här är några arbetsflöden som du kan skapa för de här nya funktionerna:
- Med export till Log Analytics-arbetsytan kan du skapa anpassade instrumentpaneler med Power BI.
- Med export till Event Hubs kan du exportera Security Center-aviseringar och rekommendationer till dina SIEM från tredje part, till en lösning från tredje part eller Azure Data Explorer.
Registrera lokala servrar till Security Center från Windows Admin Center (förhandsversion)
Windows Admin Center är en hanteringsportal för Windows-servrar som inte är distribuerade i Azure. Servrarna får flera Azure-hanteringsfunktioner, till exempel säkerhetskopiering och systemuppdateringar. Vi har nyligen lagt till möjligheten att registrera dessa icke-Azure-servrar till att bli skyddade av ASC direkt från Windows Admin Center-upplevelsen.
Användare kan nu registrera en WAC-server till Azure Security Center och aktivera visning av säkerhetsaviseringar och rekommendationer direkt i Windows Admin Center-upplevelsen.
September 2019
Uppdateringar i september inkluderar:
- Hantera regler med förbättringar av anpassningsbara programkontroller
- Kontrollera säkerhetsrekommendations för containrar med Azure Policy
Hantera regler med förbättringar av anpassningsbara programkontroller
Funktionerna för att hantera anpassningsbara programkontroller för virtuella datorer har förbättrats. Med Azure Security Centers anpassningsbara programkontroller kan du styra vilka program som kan köras på dina virtuella datorer. Utöver en allmän förbättring av regelhanteringen kan du med en ny fördel styra vilka filtyper som skyddas när du lägger till en ny regel.
Läs mer om anpassningsbara programkontroller.
Kontrollera säkerhetsrekommendations för containrar med Azure Policy
Azure Security Centers rekommendation att åtgärda säkerhetsrisker i containersäkerhet kan nu aktiveras eller inaktiveras via Azure Policy.
Om du vill visa dina aktiverade säkerhetsprinciper öppnar du sidan Säkerhetsprincip från Security Center.
August 2019
Uppdateringar i augusti inkluderar:
- Just-in-time-åtkomst (JIT) för virtuella datorer för Azure Firewall
- Enkelklicksreparation för att öka din säkerhetsstatus (förhandsversion)
- Cross-tenant management
Just-in-time-åtkomst (JIT) för virtuella datorer för Azure Firewall
Just-in-time-åtkomst (JIT) för virtuella datorer för Azure Firewall är nu allmänt tillgängligt. Använd detta för att göra miljöer som skyddas av Azure Firewall och NSG säkra.
JIT-åtkomst för virtuella datorer minskar exponeringen för volymetriska attacker i nätverk genom att ge kontrollerad åtkomst till virtuella datorer endast när det behövs, via dina NSG- och Azure Firewall-regler.
När du aktiverar JIT för dina virtuella datorer skapar du en princip som bestämmer vilka portar som ska skyddas, hur länge portarna ska vara öppnat samt godkända IP-adresser som dessa portar kan kommas åt från. Den här principen hjälper dig att kontrollera vad användare kan göra när de begär åtkomst.
Begäranden loggas i Azure-aktivitetsloggen så att du enkelt kan övervaka och granska åtkomst. Sidan just-in-time hjälper dig också att snabbt identifiera befintliga virtuella datorer som har JIT aktiverat och virtuella datorer där JIT rekommenderas.
Enkelklicksreparation för att öka din säkerhetsstatus (förhandsversion)
Secure Score är ett verktyg som hjälper dig att utvärdera säkerhetsstatusen för dina arbetsbelastningar. Det granskar dina säkerhetsrekommendationer och prioriterar dem så att du vet vilka rekommendationer som bör genomföras först. Detta hjälper dig att hitta de allvarligaste säkerhetssårbarheterna att prioritera för undersökning.
För att förenkla reparationen av säkerhetsfel och hjälpa dig att snabbt förbättra din säkerhetspoäng har vi lagt till en ny funktion som gör att du kan åtgärda en rekommendation om en mängd resurser med ett enda klick.
Detta gör att du kan välja de resurser som du vill tillämpa åtgärden på och starta en ny reparationsåtgärd som konfigurerar inställningen åt dig.
Cross-tenant management
Security Center har nu stöd för scenarier med hantering av flera klienter i Azure Lighthouse. Detta gör att du kan få insyn i och hantera säkerhetssituationen för flera klienter i Security Center.
Läs mer om hanteringsupplevelser mellan klientorganisationer.
July 2019
Uppdateringar av nätverksrekommendationer
I Azure Security Center (ASC) finns nu nya nätverksrekommendationer, och en del av de befintliga har förbättrats. Nu får du ännu bättre nätverksskydd för dina resurser när du använder Security Center.
June 2019
Adaptiv nätverkshärdning – allmänt tillgänglig
En av de största angreppsytorna för arbetsbelastningar som körs i det offentliga molnet är anslutningarna till och från det offentliga internet. Våra kunder har ofta svårt att veta vilka NSG-regler (nätverkssäkerhetsgrupper) som ska användas så att Azure-arbetsbelastningar bara är tillgängliga för de källintervall som verkligen behövs. Med den här nya funktionen så lär sig Security Center nätverkstrafiken och anslutningsmönstren för Azure-arbetsbelastningar och ger rekommendationer om NSG-regler för internetanslutna virtuella datorer. På så sätt kan våra kunder konfigurera sina policyer för nätverksåtkomst och begränsa exponeringen mot attacker.