Veri güvenliği duruş yönetimi için destek ve önkoşullar

Bulut için Microsoft Defender'da veri güvenliği duruş yönetimi ayarlamadan önce bu sayfadaki gereksinimleri gözden geçirin.

Hassas veri bulmayı etkinleştirme

Hassas veri bulma, Defender Bulut Güvenliği Duruş Yönetimi (CSPM), Depolama için Defender ve Veritabanları için Defender planlarında kullanılabilir.

  • Planlardan birini etkinleştirdiğinizde, hassas veri bulma uzantısı planın bir parçası olarak açılır.
  • Halihazırda planlarınız çalışıyorsa, uzantı kullanılabilir, ancak varsayılan olarak kapalıdır.
  • Bir veya daha fazla uzantı açık değilse mevcut plan durumu "Tam" yerine "Kısmi" olarak gösterilir.
  • Özellik abonelik düzeyinde açılır.
  • Hassas veri bulma özelliği açılır ancak Defender CSPM etkin değilse yalnızca depolama kaynakları taranır.
  • Bir abonelik Defender CSPM'yi etkinleştirdiğinde, Purview kullanarak aynı kaynakları tararsanız, Purview'un tarama sonuçları göz ardı edilir. Varsayılan olarak desteklenen kaynak türü için Bulut için Microsoft Defender tarama sonuçlarını görüntüler.

Desteklenenler

Tabloda, hassas veri bulma için kullanılabilirlik ve desteklenen senaryolar özetlenmektedir.

Destek Detaylar
Hangi Azure veri kaynaklarını keşfedebilirim? Nesne depolama:

Azure Depolama v1/v2'de blob depolama hesaplarını engelleme

Azure Depolama v1/v2'deki Azure dosyaları. Yalnızca SMB protokolü kullanılarak desteklenir

Azure Data Lake Storage 2. Nesil

Özel ağların arkasındaki depolama hesapları desteklenir.

Müşteri tarafından yönetilen sunucu tarafı anahtarıyla şifrelenen depolama hesapları desteklenir.

Eğer bir depolama hesabı uç noktasına özel bir etki alanı eşlenmişse, hesaplar desteklenmez.

Önkoşullar ve sınırlamalar:
- Dosya Paylaşımlarını taramak için Bulut için Defender, Depolama Dosyası Verileri Ayrıcalıklı Okuyucu rolünü StorageDataScanner'a atar.


Veritaban -ları

Azure SQL Veritabanı

Saydam veri şifrelemesi ile şifrelenmiş Azure SQL Veritabanı
Hangi AWS veri kaynaklarını keşfedebilirim? Nesne depolama:

AWS S3 demetleri

Bulut için Defender KMS ile şifrelenmiş verileri bulabilir, ancak müşteri tarafından sağlanan anahtarlarla (SSE-C) şifrelenen verileri keşfedemez.

Veritaban -ları

- Amazon Aurora
- PostgreSQL için Amazon RDS
- MySQL için Amazon RDS
- MariaDB için Amazon RDS
- SQL Server için Amazon RDS (özel olmayan)
- Oracle Veritabanı için Amazon RDS (özel olmayan, yalnızca SE2 Sürümü)

Önkoşullar ve sınırlamalar:
- Otomatik yedeklemelerin etkinleştirilmesi gerekir.
- Tarama amacıyla oluşturulan IAM rolünün (varsayılan olarak DefenderForCloud-DataSecurityPostureDB) RDS örneğinin şifrelenmesi için kullanılan KMS anahtarına yönelik izinlere sahip olması gerekir.
- Saat dilimi veya OLS seçeneğine (veya her ikisine) sahip Oracle DB örnekleri dışında kalıcı veya kalıcı seçeneklere sahip bir seçenek grubu kullanan bir veritabanı anlık görüntüsünü paylaşamazsınız. Daha fazla bilgi edinin
Hangi GCP veri kaynaklarını keşfedebilirim? GCP depolama demetleri
Standart Sınıf
Coğrafi: bölge, çift bölge, çok bölgeli
Bulma için hangi izinlere ihtiyacım var? Depolama hesabı: Abonelik Sahibi
veya
Microsoft.Authorization/roleAssignments/* (okuma, yazma, silme) veMicrosoft.Security/pricings/* (okuma, yazma, silme) veMicrosoft.Security/pricings/SecurityOperators (okuma, yazma)

Amazon S3 demetleri ve RDS örnekleri: Aws hesabı bulut oluşumunu çalıştırma izni (rol oluşturmak için).

GCP depolama demetleri: Betiği çalıştırmak için Google hesabı izni (rol oluşturmak için).
Hassas veri bulma için hangi dosya türleri desteklenir? Desteklenen dosya türleri (alt küme seçemezsiniz) - .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc.
Hangi Azure bölgeleri desteklenir? Azure depolama hesaplarını şu şekilde bulabilirsiniz:

Batı Avrupa (westeurope), Orta Kanada (canadacentral), Birleşik Krallık Güney (uksouth), Doğu Japonya (japaneast), Doğu ABD 2 (eastus2), Avustralya Doğu (avustralyaeast), Doğu Kanada (canadaeast), Doğu ABD (eastus), Orta Güney ABD (güney merkez), Kuzey Orta ABD (northcentralus), Batı ABD 2 (westus2), Güneydoğu Asya (güneydoğu avrupa), Orta ABD (centralus), Brezilya Güney (brezilyasouth), Orta Fransa (francecentral), Kuzey Avrupa (kuzey avrupa), Batı Japonya (japanwest), Güneydoğu Avustralya (avustralyasoutheast), Batı ABD (westus), Doğu ABD 2 EUAP (eastus2euap), Orta Avustralya (avustralyamerkez), Doğu Asya (doğuasia), Birleşik Krallık Batı (ukwest), Orta Hindistan (orta hindistan), Norveç Doğu (norveçyeast), Güney Afrika Kuzey (güneyafricanorth), İsveç Orta (İsveç merkezli)ral), Batı ABD 3 (westus3), Orta Batı ABD (westcentralus), Güney Hindistan (güneyindia), BAE Kuzey (uaenorth), İsviçre Kuzey (İsviçre), Orta Batı Almanya (germanywestcentral), Orta Kore (koremerkez), Güney Kore (kore) Jio Hindistan Batı (jioindiawest), İsrail Orta (İsrailmerkez), İsviçre Batı (İsviçre), Orta Polonya (polonyamerkez), Kuzey Almanya (almanyanorth), İtalya Kuzey (italynorth), Norveç Batı (norveçwest), Orta Avustralya 2 (avustralyamerkez2), Güney Afrika Batı (southafricawest), Orta Meksika (mexicocentral), BAE Orta (uaecentral), Fransa Güney (francesouth), Brezilya Güneydoğu (brezilyasoutheast), Jio Hindistan Orta (jioindiacentral), İsveç Güney (swedensouth), İspanya Orta (spaincentral), Yeni Zelanda Kuzey (newzealandnorth)

Defender CSPM ve Azure SQL Veritabanı'ların desteklendiği herhangi bir bölgede Azure SQL Veritabanı bulabilirsiniz.
Hangi AWS bölgeleri desteklenir? S3:

AB (Stockholm), AB (Londra), AB (Paris), Asya Pasifik (Mumbai), Kanada (Orta), Güney Amerika (São Paulo), ABD Batı (N. California), ABD Batı (Oregon), Asya Pasifik (Tokyo), Asya Pasifik (Singapur), Asya Pasifik (Sidney), AB (İrlanda), ABD Doğu (N. Virginia), AB (Frankfurt), ABD Doğu (Ohio)


RDS:

Afrika (Cape Town); Asya Pasifik (Hong Kong ÖİB); Asya Pasifik (Hyderabad); Asya Pasifik (Melbourne); Asya Pasifik (Mumbai); Asya Pasifik (Osaka); Asya Pasifik (Seul); Asya Pasifik (Singapur); Asya Pasifik (Sidney); Asya Pasifik (Tokyo); Kanada (Orta); Avrupa (Frankfurt); Avrupa (İrlanda); Avrupa (Londra); Avrupa (Paris); Avrupa (Stockholm); Avrupa (Zürih); Orta Doğu (BAE); Güney Amerika (São Paulo); ABD Doğu (Ohio); ABD Doğu (N. Virginia); ABD Batı (N. California): ABD Batı (Oregon).

Bulma işlemi bölge içinde yerel olarak yapılır.
Hangi GCP bölgeleri desteklenir? Tel Aviv (me-west1), Mumbai (asya-güney1), Güney Carolina (abd-doğu1), Montréal (northamerica-northeast1), Iowa (abd-orta1), Oregon (abd-batı1), Belçika (avrupa-batı1), Kuzey Virginia (abd-doğu4)
Aracı yüklemem gerekiyor mu? Hayır, bulma aracı yüklemesi gerektirmez.
Maliyeti nedir? Bu özellik Defender CSPM ve Depolama için Defender planlarına dahil edilmiştir ve ilgili plan maliyetleri dışında ek maliyetler doğurmaz.
Diğer maliyetler Azure Depolama hesapları için hassas veri bulma, diğer Azure hizmetlerine dayanır. Bu güven, Azure Depolama okuma işlemleri de dahil olmak üzere ek maliyetlere neden olabilir.
Veri duyarlılığı ayarlarını görüntülemek/düzenlemek için hangi izinlere ihtiyacım var? Şu Microsoft Entra rollerinden birine ihtiyacınız vardır:
  • Uyumluluk Veri Yöneticisi, Uyumluluk Yöneticisi veya üzeri
  • Güvenlik İşleci, Güvenlik Yöneticisi veya üzeri
    		•
    Ekleme gerçekleştirmek için hangi izinlere ihtiyacım var? Şu Azure rol tabanlı erişim denetimi (Azure RBAC) rollerinden birine ihtiyacınız vardır: Abonelik düzeyinde Güvenlik Yöneticisi, Katkıda Bulunan, Sahip (GCP projelerinin bulunduğu yer). Güvenlik bulgularını tüketmek için: Abonelik düzeyinde (GCP projelerinin bulunduğu yerde) Güvenlik Okuyucusu, Güvenlik Yöneticisi, Okuyucu, Katkıda Bulunan, Sahip.

    Veri duyarlılığı ayarlarını yapılandırma

    Veri duyarlılığı ayarlarını yapılandırmaya yönelik ana adımlar şunlardır:

    Microsoft Purview'da duyarlılık etiketleri hakkında daha fazla bilgi edinin.

    Bulma

    Bulut için Defender, bir planı etkinleştirdikten hemen sonra veya plan özelliklerini etkinleştirdikten hemen sonra verileri bulmaya başlar.

    Nesne depolama için:

    • Sonuçlar 24 saat içinde ilk kez keşfedilebilir.
    • Bulunan kaynaklardaki dosyaları güncelleştirdikten sonra veriler sekiz gün içinde yenilenir.
    • Zaten bulunan bir aboneliğe eklenen yeni bir Azure depolama hesabı 24 saat veya daha kısa bir süre içinde bulunur.
    • Daha önce keşfedilmiş bir AWS veya Google hesabına eklenen yeni bir AWS S3 kovası veya GCP depolama kovası, 48 saat veya daha kısa bir süre içinde keşfedilir.
    • Depolama için hassas veri bulma, bölgenizde yerel olarak yürütülür. Bu, verilerinizin bölgenizden ayrılmamasını sağlar. Yalnızca dosyalar, bloblar, demet adları, algılanan duyarlılık etiketleri ve tanımlanan Hassas Bilgi Türlerinin (STS) adları gibi kaynak meta verileri Bulut için Defender'a aktarılır.

    Veritabanları için:

    • Haftalık olarak taranır.
    • Yeni etkinleştirilen abonelikler için sonuçlar 24 saat içinde görünür.

    Bulut Güvenliği Gezgini

    İlişkili içgörülerinden bağımsız olarak Azure Depolama Hesapları, AWS Bucket'lar ve GCP Demetleri dahil olmak üzere tüm depolama türlerini görüntüleriz. Blob Kapsayıcıları ve Dosya Paylaşımları içeren Azure Depolama Hesapları için aşağıdaki kurallar geçerlidir:

    • Blob Kapsayıcıları aşağıdaki ölçütlerden herhangi birini karşılıyorsa görüntülenir:

      • Hassas veri içeren içgörüleri vardır.

      • Onların Genel Erişim içgörüleri var.

      • Başka bir bloba veya blobdan çoğaltma kuralına sahipler.

    • Dosya Paylaşımları yalnızca "Hassas Veriler İçerir" içgörülerine sahipse görüntülenir.

    Azure depolama hesaplarını bulma ve tarama

    Azure depolama hesaplarını taramak için Bulut için Microsoft Defender yeni storageDataScanner bir kaynak oluşturur ve bu kaynağa Depolama Blobu Veri Okuyucusu rolü atar. Bu rol aşağıdaki izinleri verir:

    • Liste
    • Okundu

    Özel ağların arkasındaki depolama hesapları için, depolama hesabının ağ kuralları yapılandırmasına izin verilen kaynak örnekleri listesine öğesini ekleriz StorageDataScanner .

    AWS S3 demetlerini keşfetme ve tarama

    Bulut için Defender'da AWS kaynaklarını korumak için, AWS hesabını eklemek için CloudFormation şablonu kullanarak bir AWS bağlayıcısı ayarlayın.

    • AWS veri kaynaklarını keşfetmek için Bulut için Defender CloudFormation şablonunu güncelleştirir.
    • CloudFormation şablonu, Bulut için Defender tarayıcısının S3 demetlerindeki verilere erişmesine izin vermek için AWS IAM'de yeni bir rol oluşturur.
    • AWS hesaplarını bağlamak için hesapta Yönetici izinlerine sahip olmanız gerekir.
    • Rol şu izinlere izin verir: S3 salt okunur; KMS şifresi çözülür.

    AWS RDS örneklerini bulma ve tarama

    Bulut için Defender'da AWS kaynaklarını korumak için, AWS hesabını eklemek için CloudFormation şablonu kullanarak bir AWS bağlayıcısı ayarlayın.

    • AWS RDS örneklerini keşfetmek için Bulut için Defender CloudFormation şablonunu güncelleştirir.
    • CloudFormation şablonu, Bulut için Defender tarayıcısının örneğinizin son kullanılabilir otomatik anlık görüntüsünü almasına ve aynı AWS bölgesindeki yalıtılmış bir tarama ortamında çevrimiçi duruma getirmesine izin vermek için AWS IAM'de yeni bir rol oluşturur.
    • AWS hesaplarını bağlamak için hesapta Yönetici izinlerine sahip olmanız gerekir.
    • Otomatik anlık görüntülerin ilgili RDS Örneklerinde/Kümelerinde etkinleştirilmesi gerekir.
    • Rol bu izinlere izin verir (tam tanımlar için CloudFormation şablonunu gözden geçirin):
      • Tüm RDS DB'lerini/kümelerini listeleme
      • Tüm VERITABANı/küme anlık görüntülerini kopyalama
      • Defenderfordatabases ön ekiyle DB/küme anlık görüntüsünü silme/güncelleştirme
      • Tüm KMS anahtarlarını listeleme
      • Tüm KMS anahtarlarını yalnızca kaynak hesapta RDS için kullanın
      • DefenderForDatabases etiket ön ekiyle tüm KMS anahtarlarında & tam denetim oluşturma
      • KMS anahtarları için diğer ad oluşturma
    • KMS anahtarları, RDS örneklerini içeren her bölge için bir kez oluşturulur. AWS KMS fiyatlandırmasına göre KMS anahtarının oluşturulması en düşük ek maliyete neden olabilir.

    GCP depolama demetlerini bulma ve tarama

    Bulut için Defender'da GCP kaynaklarını korumak için GCP hesabını eklemek için betik şablonu kullanarak bir Google bağlayıcısı ayarlayın.

    • GCP depolama demetlerini bulmak için Bulut için Defender betik şablonunu güncelleştirir.
    • Betik şablonu, Bulut için Defender tarayıcısının GCP depolama demetlerindeki verilere erişmesine izin vermek için Google hesabında yeni bir rol oluşturur.
    • Google hesaplarını bağlamak için hesapta Yönetici izinlerine sahip olmanız gerekir.

    İnternet'e açık/genel erişime izin verir

    Defender CSPM saldırı yolları ve bulut güvenlik grafiği içgörüleri, İnternet'e sunulan ve genel erişime izin veren depolama kaynakları hakkında bilgi içerir. Aşağıdaki tabloda daha fazla ayrıntı sağlanmaktadır.

    Devlet Azure depolama hesapları AWS S3 Bucket'lar GCP Depolama Demetleri
    İnternet'e açık Bu ayarlardan biri etkinse, Azure depolama hesabı İnternet'e açık olarak kabul edilir:

    Storage_account_name >Ağ Oluşturma>Genel ağ erişimi>Tüm ağlardan etkinleştirildi

    veya

    > Storage_account_name >Genel ağ erişimi>Seçili sanal ağlar ve IP adreslerinden etkinleştirme.    		 AWS hesabı/AWS S3 demeti ilkelerinin IP adresleri için ayarlanmış bir koşulu yoksa AWS S3 demetinin İnternet'e açık olduğu kabul edilir. Tüm GCP depolama demetleri varsayılan olarak İnternet'e sunulur.
    Genel erişime izin verir Bir Azure depolama hesabı kapsayıcısı, depolama hesabında bu ayarlar etkinse genel erişime izin verme olarak kabul edilir:

    > Storage_account_name Yapılandırması>Blob Anonim Erişimine izin verildi> ve Etkin.

    ve şu ayarlardan biri :

    > Storage_account_name Kapsayıcılar> container_name >Genel erişim düzeyiBlob olarak ayarlanmıştır (yalnızca bloblar için anonim okuma erişimi)

    > storage_account_name Kapsayıcılar> container_name >Genel erişim düzeyiKapsayıcı (kapsayıcılar ve bloblar için anonim okuma erişimi) olarak ayarlanır.    		 AWS hesabı ve AWS S3 demetinde Tüm genel erişimi engelle ayarı Kapalı olarak ayarlanmışsa ve bu ayarlardan biri ayarlanmışsa AWS S3 demeti genel erişime izin vermek için kabul edilir:

    İlkede RestrictPublicBuckets etkinleştirilmez ve Sorumlu ayarı * olarak, Efekt ise İzin Ver olarak ayarlanır.

    Ya da erişim denetimi listesinde IgnorePublicAcl etkin değildir ve Herkes veya Kimliği Doğrulanmış kullanıcılar için izin verilir.    		 GCP depolama demetleri, şu ölçütleri karşılayan bir IAM (Kimlik ve Erişim Yönetimi) rolüne sahipse genel erişime izin vermek için kabul edilir:

    Rol allUsers veya allAuthenticatedUsers'a verilir.

    Rolün storage.buckets.create veya storage.buckets.listolmayan en az bir depolama izni vardır. GCP'de genel erişim İnternete açık olarak adlandırılır.

    Veritabanı kaynakları genel erişime izin vermez, ancak yine de İnternet'e açık olabilir.

    İnternet'te açığa çıkarma içgörüleri aşağıdaki kaynaklar için kullanılabilir:

    Gök mavisi:

    • Azure SQL Server
    • Azure Cosmos DB veritabanı
    • Azure SQL Yönetilen Örnek
    • Azure MySQL Tek Sunucu
    • Azure MySQL Esnek Sunucusu
    • Azure PostgreSQL Tek Sunucu
    • Azure PostgreSQL Esnek Sunucusu
    • Azure MariaDB Tek Sunucusu
    • Synapse Çalışma Alanı

    AWS:

    • RDS örneği

    Not

    • 0.0.0.0/0 içeren pozlama kuralları "aşırı kullanıma açık" olarak kabul edilir, yani bunlara herhangi bir genel IP'den erişilebilir.
    • "0.0.0.0" pozlama kuralına sahip Azure kaynaklarına Azure'daki herhangi bir kaynaktan (kiracı veya abonelikten bağımsız olarak) erişilebilir.

    İlgili içerik

    Veri güvenliği duruş yönetimini etkinleştirin.

    • Last updated on