Veri güvenliği duruş yönetimi için destek ve önkoşullar
Bulut için Microsoft Defender'de veri güvenliği duruş yönetimini ayarlamadan önce bu sayfadaki gereksinimleri gözden geçirin.
Hassas veri bulmayı etkinleştirme
Hassas veri bulma, Defender CSPM, Depolama için Defender ve Veritabanları için Defender planlarında kullanılabilir.
- Planlardan birini etkinleştirdiğinizde, planın bir parçası olarak hassas veri bulma uzantısı açılır.
- Çalışan mevcut planlarınız varsa uzantı kullanılabilir, ancak varsayılan olarak kapalıdır.
- Bir veya daha fazla uzantı açık değilse mevcut plan durumu "Tam" yerine "Kısmi" olarak gösterilir.
- Özellik abonelik düzeyinde açıktır.
- Hassas veri bulma açıksa ancak Defender CSPM etkin değilse, yalnızca depolama kaynakları taranır.
- Defender CSPM ile bir abonelik etkinleştirildiyse ve paralel olarak Purview ile aynı kaynakları taradıysanız, Purview'un tarama sonucu yoksayılır ve desteklenen kaynak türü için Bulut için Microsoft Defender tarama sonuçlarının görüntülenmesi varsayılan olarak kullanılır.
Desteklenenler
Tabloda, hassas veri bulma için kullanılabilirlik ve desteklenen senaryolar özetlenmektedir.
Destek | Ayrıntılar |
---|---|
Hangi Azure veri kaynaklarını keşfedebilirim? | Nesne depolama: Azure Depolama v1/v2'de blob depolama hesaplarını engelleme Azure Data Lake Storage 2. Nesil Özel ağların arkasındaki depolama hesapları desteklenir. Müşteri tarafından yönetilen sunucu tarafı anahtarıyla şifrelenen depolama hesapları desteklenir. Depolama hesabı uç noktasının buna eşlenmiş özel bir etki alanı varsa hesaplar desteklenmez. Veritabanları Azure SQL Veritabanı ile şifrelenmiş Azure SQL VeritabanıSaydam veri şifrelemesi |
Hangi AWS veri kaynaklarını keşfedebilirim? | Nesne depolama: AWS S3 demetleri Bulut için Defender KMS ile şifrelenmiş verileri bulabilir, ancak müşteri tarafından yönetilen bir anahtarla şifrelenen verileri keşfedemez. Veritabanları - Amazon Aurora - PostgreSQL için Amazon RDS - MySQL için Amazon RDS - MariaDB için Amazon RDS - SQL Server için Amazon RDS (özel olmayan) - Oracle Veritabanı için Amazon RDS (özel olmayan, yalnızca SE2 Sürümü) Önkoşullar ve sınırlamalar: - Otomatik yedeklemelerin etkinleştirilmesi gerekir. - Tarama amacıyla oluşturulan IAM rolünün (varsayılan olarak DefenderForCloud-DataSecurityPostureDB) RDS örneğinin şifrelenmesi için kullanılan KMS anahtarına yönelik izinlere sahip olması gerekir. - Saat dilimi veya OLS seçeneğine (veya her ikisine) sahip Oracle DB örnekleri dışında kalıcı veya kalıcı seçeneklere sahip bir seçenek grubu kullanan bir veritabanı anlık görüntüsünü paylaşamazsınız. Daha fazla bilgi edinin |
Hangi GCP veri kaynaklarını keşfedebilirim? | GCP depolama demetleri Standart Sınıf Coğrafi: bölge, çift bölge, çok bölgeli |
Bulma için hangi izinlere ihtiyacım var? | Depolama hesabı: Abonelik Sahibi veya Microsoft.Authorization/roleAssignments/* (okuma, yazma, silme) ve Microsoft.Security/pricings/* (okuma, yazma, silme) ve Microsoft.Security/pricings/SecurityOperators (okuma, yazma)Amazon S3 demetleri ve RDS örnekleri: Aws hesabı bulut oluşumunu çalıştırma izni (rol oluşturmak için). GCP depolama demetleri: Betiği çalıştırmak için Google hesabı izni (rol oluşturmak için). |
Hassas veri bulma için hangi dosya türleri desteklenir? | Desteklenen dosya türleri (alt küme seçemezsiniz) - .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
Hangi Azure bölgeleri desteklenir? | Azure depolama hesaplarını şu şekilde bulabilirsiniz: Doğu Asya; Asya Güney Doğu; Orta Avustralya; Orta Avustralya 2; Doğu Avustralya; Güney Doğu Avustralya; Güney Brezilya; Brezilya Güneydoğu; Orta Kanada; Doğu Kanada; Kuzey Avrupa; Batı Avrupa; Orta Fransa; Güney Fransa; Kuzey Almanya; Orta Batı Almanya; Hindistan Orta; Hindistan Güney; Doğu Japonya; Batı Japonya; Jio Hindistan Batı; Kore Orta; Güney Kore; Doğu Norveç; Batı Norveç; Güney Afrika Kuzey; Güney Afrika Batı; İsveç Orta; Kuzey İsviçre; Batı İsviçre; BAE Kuzey; Güney Birleşik Krallık; Birleşik Krallık Batı; ABD Orta; ABD Doğu; ABD Doğu 2; ABD Orta Kuzey; ABD Orta Güney; ABD Batı; ABD Batı 2; ABD Batı 3; ORTA ABD Batı; Defender CSPM ve Azure SQL Veritabanı'ların desteklendiği herhangi bir bölgede Azure SQL Veritabanı bulabilirsiniz. |
Hangi AWS bölgeleri desteklenir? | S3: Asya Pasifik (Mumbai); Asya Pasifik (Singapur); Asya Pasifik (Sidney); Asya Pasifik (Tokyo); Kanada (Montreal); Avrupa (Frankfurt); Avrupa (İrlanda); Avrupa (Londra); Avrupa (Paris); Avrupa (Stockholm); Güney Amerika (São Paulo); ABD Doğu (Ohio); ABD Doğu (N. Virginia); ABD Batı (N. California): ABD Batı (Oregon). RDS: Afrika (Cape Town); Asya Pasifik (Hong Kong ÖİB); Asya Pasifik (Hyderabad); Asya Pasifik (Melbourne); Asya Pasifik (Mumbai); Asya Pasifik (Osaka); Asya Pasifik (Seul); Asya Pasifik (Singapur); Asya Pasifik (Sidney); Asya Pasifik (Tokyo); Kanada (Orta); Avrupa (Frankfurt); Avrupa (İrlanda); Avrupa (Londra); Avrupa (Paris); Avrupa (Stockholm); Avrupa (Zürih); Orta Doğu (BAE); Güney Amerika (São Paulo); ABD Doğu (Ohio); ABD Doğu (N. Virginia); ABD Batı (N. California): ABD Batı (Oregon). Bulma işlemi bölge içinde yerel olarak yapılır. |
Hangi GCP bölgeleri desteklenir? | europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1 |
Aracı yüklemem gerekiyor mu? | Hayır, bulma aracı yüklemesi gerektirmez. |
Maliyeti nedir? | Bu özellik Defender CSPM ve Depolama için Defender planlarına dahil edilmiştir ve ilgili plan maliyetleri dışında ek maliyetler doğurmaz. |
Veri duyarlılığı ayarlarını görüntülemek/düzenlemek için hangi izinlere ihtiyacım var? | Şu Microsoft Entra rollerinden birine ihtiyacınız vardır: |
Ekleme gerçekleştirmek için hangi izinlere ihtiyacım var? | Şu Azure rol tabanlı erişim denetimi (Azure RBAC) rollerinden birine ihtiyacınız vardır: Abonelik düzeyinde Güvenlik Yöneticisi, Katkıda Bulunan, Sahip (GCP projelerinin bulunduğu yer). Güvenlik bulgularını tüketmek için: Abonelik düzeyinde (GCP projelerinin bulunduğu yerde) Güvenlik Okuyucusu, Güvenlik Yöneticisi, Okuyucu, Katkıda Bulunan, Sahip. |
Veri duyarlılığı ayarlarını yapılandırma
Veri duyarlılığı ayarlarını yapılandırmaya yönelik ana adımlar şunlardır:
- özel duyarlılık bilgisi türlerini/etiketlerini Microsoft Purview uyumluluk portalı içeri aktarma
- Hassas veri kategorilerini/türlerini özelleştirme
- Duyarlılık etiketleri için eşiği ayarlama
Microsoft Purview'da duyarlılık etiketleri hakkında daha fazla bilgi edinin.
Bulma
Bulut için Defender, bir planı etkinleştirdikten hemen sonra veya zaten çalışmakta olan planlarda özelliği açtıktan sonra verileri bulmaya başlar.
Nesne depolama için:
- İlk kez bulma işleminin sonuçlarını görmek 24 saat kadar sürer.
- Bulunan kaynaklarda dosyalar güncelleştirildikten sonra veriler sekiz gün içinde yenilenir.
- Zaten bulunan bir aboneliğe eklenen yeni bir Azure depolama hesabı 24 saat veya daha kısa bir süre içinde bulunur.
- Zaten bulunan bir AWS hesabına veya Google hesabına eklenen yeni bir AWS S3 demeti veya GCP depolama demeti 48 saat veya daha kısa bir süre içinde bulunur.
- Depolama için hassas veri bulma, bölgenizde yerel olarak gerçekleştirilir. Bu, verilerinizin bölgenizden ayrılmamasını sağlar. Yalnızca dosyalar, bloblar, demet adları, algılanan duyarlılık etiketleri ve tanımlanan Hassas Bilgi Türlerinin (STS) adları gibi kaynak meta verileri Bulut için Defender aktarılır.
Veritabanları için:
- Veritabanları haftalık olarak taranır.
- Yeni etkinleştirilen abonelikler için sonuçlar 24 saat içinde görünür.
Azure depolama hesaplarını bulma ve tarama
Azure depolama hesaplarını taramak için Bulut için Microsoft Defender yeni storageDataScanner
bir kaynak oluşturur ve depolama blobu veri okuyucusu rolü atar. Bu rol aşağıdaki izinleri verir:
- Liste
- Okundu
Özel ağların arkasındaki depolama hesapları için, depolama hesabının ağ kuralları yapılandırmasına izin verilen kaynak örnekleri listesine öğesini ekleriz StorageDataScanner
.
AWS S3 demetlerini bulma ve tarama
Bulut için Defender AWS kaynaklarını korumak için, AWS hesabını eklemek için CloudFormation şablonu kullanarak bir AWS bağlayıcısı ayarlarsınız.
- AWS veri kaynaklarını keşfetmek için Bulut için Defender CloudFormation şablonunu güncelleştirir.
- CloudFormation şablonu, Bulut için Defender tarayıcısının S3 demetlerindeki verilere erişmesine izin vermek için AWS IAM'de yeni bir rol oluşturur.
- AWS hesaplarını bağlamak için hesapta Yönetici izinlerine sahip olmanız gerekir.
- Rol şu izinlere izin verir: S3 salt okunur; KMS şifresi çözülür.
AWS RDS örneklerini bulma ve tarama
Bulut için Defender'da AWS kaynaklarını korumak için, AWS hesabını eklemek için CloudFormation şablonu kullanarak bir AWS bağlayıcısı ayarlayın.
- AWS RDS örneklerini keşfetmek için Bulut için Defender CloudFormation şablonunu güncelleştirir.
- CloudFormation şablonu AWS IAM'de yeni bir rol oluşturarak Bulut için Defender tarayıcının örneğinizin son kullanılabilir otomatik anlık görüntüsünü almasına ve aynı AWS bölgesindeki yalıtılmış bir tarama ortamında çevrimiçi duruma getirmesine izin verir.
- AWS hesaplarını bağlamak için hesapta Yönetici izinlerine sahip olmanız gerekir.
- Otomatik anlık görüntülerin ilgili RDS Örneklerinde/Kümelerinde etkinleştirilmesi gerekir.
- Rol bu izinlere izin verir (tam tanımlar için CloudFormation şablonunu gözden geçirin):
- Tüm RDS DB'lerini/kümelerini listeleme
- Tüm VERITABANı/küme anlık görüntülerini kopyalama
- Defenderfordatabases ön ekiyle DB/küme anlık görüntüsünü silme/güncelleştirme
- Tüm KMS anahtarlarını listeleme
- Tüm KMS anahtarlarını yalnızca kaynak hesapta RDS için kullanın
- DefenderForDatabases etiket ön ekiyle tüm KMS anahtarlarında & tam denetim oluşturma
- KMS anahtarları için diğer ad oluşturma
- KMS anahtarları, RDS örneklerini içeren her bölge için bir kez oluşturulur. AWS KMS fiyatlandırmasına göre KMS anahtarının oluşturulması en düşük ek maliyete neden olabilir.
GCP depolama demetlerini bulma ve tarama
Bulut için Defender'da GCP kaynaklarını korumak için, GCP hesabını eklemek için betik şablonu kullanarak bir Google bağlayıcısı ayarlayabilirsiniz.
- GCP depolama demetlerini bulmak için Bulut için Defender betik şablonunu güncelleştirir.
- Betik şablonu, Bulut için Defender tarayıcısının GCP depolama demetlerindeki verilere erişmesine izin vermek için Google hesabında yeni bir rol oluşturur.
- Google hesaplarını bağlamak için hesapta Yönetici izinlerine sahip olmanız gerekir.
İnternet'e açık/genel erişime izin verir
Defender CSPM saldırı yolları ve bulut güvenlik grafiği içgörüleri, İnternet'e sunulan ve genel erişime izin veren depolama kaynakları hakkında bilgi içerir. Aşağıdaki tabloda daha fazla ayrıntı sağlanmaktadır.
İl | Azure depolama hesapları | AWS S3 Demetleri | GCP Depolama Demetleri |
---|---|---|---|
İnternet'e açık | Bu ayarlardan biri etkinse, Azure depolama hesabı İnternet'e açık olarak kabul edilir: >Storage_account_name Ağ>Genel ağ erişimi>Tüm ağlardan etkinleştirildi veya Storage_account_name Ağ>Genel ağ erişimi>Seçili sanal ağlardan ve IP adreslerinden etkinleştir'i seçin.> |
AWS hesabı/AWS S3 demeti ilkelerinin IP adresleri için ayarlanmış bir koşulu yoksa AWS S3 demetinin İnternet'e açık olduğu kabul edilir. | Tüm GCP depolama demetleri varsayılan olarak İnternet'e sunulur. |
Genel erişime izin verir | Bir Azure depolama hesabı kapsayıcısı, depolama hesabında bu ayarlar etkinse genel erişime izin verme olarak kabul edilir: Storage_account_name Yapılandırması>Blob Anonim erişimine>izin ver etkin.> ve şu ayarlardan biri : >Storage_account_name Kapsayıcılar> container_name> Genel erişim düzeyi Blob olarak ayarlanmıştır (yalnızca bloblar için anonim okuma erişimi) >Storage_account_name Kapsayıcılar> container_name> Genel erişim düzeyi Kapsayıcı (kapsayıcılar ve bloblar için anonim okuma erişimi) olarak ayarlanır. |
AWS hesabı ve AWS S3 demetinde Tüm genel erişimi engelle ayarı Kapalı olarak ayarlanmışsa ve bu ayarlardan biri ayarlanmışsa AWS S3 demeti genel erişime izin vermek için kabul edilir: İlkede RestrictPublicBuckets etkinleştirilmez ve Sorumlu ayarı * olarak, Efekt ise İzin Ver olarak ayarlanır. Ya da erişim denetimi listesinde IgnorePublicAcl etkin değildir ve Herkes veya Kimliği Doğrulanmış kullanıcılar için izin verilir. |
GCP depolama demetleri, şu ölçütleri karşılayan bir IAM (Kimlik ve Erişim Yönetimi) rolüne sahipse genel erişime izin vermek için kabul edilir: Rolün sorumlusuna allUsers veya allAuthenticatedUsers verilir. Rolün storage.buckets.create veya storage.buckets.list olmayan en az bir depolama izni vardır. GCP'de genel erişim genel İnternet olarak adlandırılır. |
Veritabanı kaynakları genel erişime izin vermez, ancak yine de İnternet'e açık olabilir.
İnternet'te açığa çıkarma içgörüleri aşağıdaki kaynaklar için kullanılabilir:
Azure:
- Azure SQL Server
- Azure Cosmos DB
- Azure SQL Yönetilen Örnek
- Azure MySQL Tek Sunucu
- Azure MySQL Esnek Sunucusu
- Azure PostgreSQL Tek Sunucu
- Azure PostgreSQL Esnek Sunucusu
- Azure MariaDB Tek Sunucusu
- Synapse Çalışma Alanı
AWS:
- RDS örneği
Not
- 0.0.0.0/0 içeren pozlama kuralları "aşırı kullanıma açık" olarak kabul edilir, yani bunlara herhangi bir genel IP'den erişilebilir.
- "0.0.0.0" pozlama kuralına sahip Azure kaynaklarına Azure'daki herhangi bir kaynaktan (kiracı veya abonelikten bağımsız olarak) erişilebilir.