你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Cloud 有哪些新增功能?
Defender for Cloud 正在积极开发中,并不断得到改进。 为及时了解最新开发成果,此页提供了有关新功能、bug 修复和已弃用功能的信息。
此页会使用 Defender for Cloud 中的最新更新频繁更新。
提示
通过将以下 URL 复制并粘贴到源阅读器中,可以在页面更新时收到通知:
https://aka.ms/mdc/rss
若要了解即将在 Defender for Cloud 中推出的计划性更改,请参阅即将推出的对 Microsoft Defender for Cloud 的重要更改。
若要查找 6 个月之前的项,可查看 Microsoft Defender for Cloud 的新增功能存档。
2024 年 4 月
| 日期 | 更新 |
|---|---|
| 4 月 15 日 | Defender for Containers 现已面向 AWS 和 GCP 正式发布(正式版) |
| 4 月 3 日 | 风险优先级现在是 Defender for Cloud 中的默认体验 |
| 4 月 3 日 | 新的容器漏洞评估建议 |
| 4 月 3 日 | 适用于开源关系数据库的 Defender 更新 |
| 4 月 2 日 | 更新建议以与 Azure AI 服务资源保持一致 |
| 4 月 2 日 | 弃用认知服务建议 |
| 4 月 2 日 | 容器多云建议 (GA) |
Defender for Containers 现已面向 AWS 和 GCP 正式发布(正式版)
2024 年 4 月 15 日
Defender for Containers 中针对 AWS 和 GCP 的运行时威胁检测和无代理发现功能现已正式发布(正式发布)。 有关详细信息,请参阅 Defender for Cloud 中的容器支持矩阵。
此外,AWS 中还有一项新的身份验证功能,可简化预配。 有关详细信息,请参阅配置 Microsoft Defender for Containers 组件。
风险优先级现在是 Defender for Cloud 中的默认体验
2024 年 4 月 3 日
风险优先级现在是 Defender for Cloud 中的默认体验。 此功能根据每个资源的风险因素对建议进行优先级排序,帮助你专注于环境中最关键的安全问题。 风险因素包括安全违规问题的潜在影响、风险类别以及安全问题所属的攻击路径。
详细了解确定风险优先级。
新的容器漏洞评估建议
2024 年 4 月 3 日
为了支持基于风险的新优先级建议体验,我们为 Azure、AWS 和 GCP 中的容器漏洞评估创建了新建议。 它们报告了注册表的容器映像和运行时的容器工作负载:
- Azure 注册表中的容器映像应解决漏洞问题
- 在 Azure 中运行的容器应解决漏洞问题
- AWS 注册表中的容器映像应解决漏洞问题
- 在 AWS 中运行的容器应解决漏洞问题
- GCP 注册表中的容器映像应解决漏洞问题
- 在 GCP 中运行的容器应解决漏洞问题
以前的容器漏洞评估建议已处于停用状态,当新建议正式发布时将被删除。
- Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持)
- Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持)
- AWS 注册表容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持)
- AWS 运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持)
- GCP 注册表容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持)- Microsoft Azure
- GCP 运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持)- Microsoft Azure
注意
新建议目前以公共预览版提供,不会用于安全评分的计算。
适用于开源关系数据库的 Defender 更新
2024 年 4 月 3 日
Defender for PostgreSQL 灵活服务器正式发布后更新 - 更新后,客户能够在订阅级别对现有 PostgreSQL 灵活服务器强制实施保护,从而实现完全灵活地按资源启用保护或自动保护订阅级别的所有资源。
Defender for MySQL 灵活服务器可用性和正式发布 - Defender for Cloud 将通过合并 MySQL 灵活服务器来扩展对 Azure 开源关系数据库的支持。
此版本包括:
- 与 Defender for MySQL 单一服务器的现有警报的警报兼容性。
- 支持单个资源。
- 在订阅级别受支持。
如果已使用适用于开源关系数据库的 Defender 保护订阅,则将自动启用和保护灵活服务器资源并进行计费。
已通过电子邮件向受影响的订阅发送具体的账单通知。
有关详细信息,请参阅适用于开源关系数据库的 Microsoft Defender。
注意
Azure Database for MySQL 灵活服务器的更新将在未来几周内推出。 如果看到错误消息 The server <servername> is not compatible with Advanced Threat Protection,可以等待更新推出,或打开支持工单以更快地将服务器更新到受支持的版本。
更新建议以与 Azure AI 服务资源保持一致
2024 年 4 月 2 日
已更新以下建议,以与 Azure AI 服务类别(以前称为认知服务和认知搜索)保持一致,以符合新的 Azure AI 服务命名格式,并与相关资源保持一致。
| 旧版建议 | 更新后的建议 |
|---|---|
| 认知服务帐户应限制网络访问 | Azure AI 服务资源应限制网络访问 |
| 认知服务帐户应禁用本地身份验证方法 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) |
| 应启用搜索服务的诊断日志 | 应启用 Azure AI 服务资源中的诊断日志 |
请参阅安全性建议列表。
弃用认知服务建议
2024 年 4 月 2 日
建议 Public network access should be disabled for Cognitive Services accounts 已弃用。 相关策略定义 Cognitive Services accounts should disable public network access 已从监管合规性仪表板中移除。
Azure AI 服务的另一个网络建议(Cognitive Services accounts should restrict network access)已涵盖此建议。
请参阅安全性建议列表。
容器多云建议 (GA)
2024 年 4 月 2 日
作为 Defender for Containers 多云正式发布版的一部分,以下建议还宣布推出了 GA:
- 针对 Azure
| 建议 | 描述 | 评估密钥 |
|---|---|---|
| Azure 注册表容器映像应已解决漏洞问题 | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| 运行容器映像的 Azure 应已解决漏洞问题 | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- 适用于 GCP
| 建议 | 描述 | 评估密钥 |
|---|---|---|
| GCP 注册表容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持)- Microsoft Azure | 扫描 GCP 注册表容器映像中常见的漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | c27441ae-775c-45be-8ffa-655de37362ce |
| GCP 运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持)- Microsoft Azure | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Google Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
- 适用于 AWS
| 建议 | 描述 | 评估密钥 |
|---|---|---|
| AWS 注册表容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) | 扫描 GCP 注册表容器映像中常见的漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 扫描 AWS 注册表容器映像中常见的漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | c27441ae-775c-45be-8ffa-655de37362ce |
| AWS 运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Elastic Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
建议会影响安全功能分数的计算。
2024 年 3 月
| 日期 | 更新 |
|---|---|
| 3 月 31 日 | Windows 容器映像扫描现已正式发布 (GA) |
| 3 月 25 日 | 连续导出现在包括攻击路径数据 |
| 3 月 21 日 | 无代理扫描支持 Azure 中的 CMK 加密 VM(预览版) |
| 3 月 18 日 | 新的终结点检测和响应建议 |
| 3 月 17 日 | Azure 基于 KQL 的自定义建议现在提供公共预览版 |
| 3 月 13 日 | 在 Microsoft 云安全基准中包含 DevOps 建议 |
| 3 月 13 日 | ServiceNow 集成现已正式发布 (GA) |
| 3 月 13 日 | Microsoft Defender for Cloud 中的关键资产保护(预览版) |
| 3 月 13 日 | 使用自动修正脚本增强 AWS 和 GCP 建议 |
| 3 月 6 日 | (预览版)合规性标准已添加到合规性仪表板 |
| 3 月 5 日 | 弃用与 PCI 相关的两条建议 |
| 3 月 3 日 | 停用由 Qualys 提供支持的 Defender for Cloud 容器漏洞评估 |
Windows 容器映像扫描现已正式发布 (GA)
2024 年 3 月 31 日
我们宣布 Windows 容器映像的正式发布版 (GA) 支持通过 Defender for Containers 进行扫描。
连续导出现在包括攻击路径数据
2024 年 3 月 25 日
我们宣布连续导出现在包括攻击路径数据。 此功能使你可将安全数据流式传输到 Azure Monitor 中的 Log Analytics、Azure 事件中心或其他安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 或 IT 经典部署模型解决方案。
详细了解连续导出。
无代理扫描支持 Azure 中的 CMK 加密 VM
2024 年 3 月 21 日
到目前为止,无代理扫描涵盖了 AWS 和 GCP 中的 CMK 加密 VM。 在此版本中,我们还将完成对 Azure 的支持。 此功能对 Azure 中的 CMK 采用独特的扫描方法:
- Defender for Cloud 不处理密钥或解密过程。 密钥处理和解密由 Azure 计算无缝处理,并且对于 Defender for Cloud 的无代理扫描服务是透明的。
- 未加密的 VM 磁盘数据永远不会被复制或使用其他密钥重新加密。
- 在此过程中,不会复制原始密钥。 清除原始密钥将清除生产 VM 和 Defender for Cloud 临时快照上的数据。
在公共预览期间,此功能不会自动启用。 如果你使用 Defender for Servers P2 或 Defender CSPM,并且你的环境具有带有 CMK 加密磁盘的 VM,现在可以按照这些启用步骤扫描它们是否存在漏洞、机密和恶意软件。
新的终结点检测和响应建议
2024 年 3 月 18 日
我们宣布推出新的终结点检测和响应建议,可用于发现和评估支持的终结点检测和响应已解决方案的配置。 如果发现问题,这些建议将提供修正步骤。
如果你的订阅上启用了 Defender for Servers 计划 2 或 Defender CSPM 计划并启用了无代理计算机扫描功能,则现在可以使用以下新的无代理终结点保护建议。 这些建议支持 Azure 和多云计算机。 不支持本地计算机。
| 建议名称 | 说明 | 严重性 |
|---|---|---|
| 应在虚拟机上安装 EDR 解决方案 | 为了保护虚拟机,请安装终结点检测和响应 (EDR) 解决方案。 EDR 有助于阻止、检测、调查和响应高级威胁。 请使用 Microsoft Defender for Servers 部署 Microsoft Defender for Endpoint。 如果资源被归类为“不正常”,则它未安装受支持的 EDR 解决方案 [占位符链接 - 了解详细信息]。 如果安装了无法通过此建议发现的 EDR 解决方案,则可以免除该解决方案。 | 高 |
| 应在 EC2 上安装 EDR 解决方案 | 为了保护 EC2,请安装终结点检测和响应 (EDR) 解决方案。 EDR 有助于阻止、检测、调查和响应高级威胁。 请使用 Microsoft Defender for Servers 部署 Microsoft Defender for Endpoint。 如果资源被归类为“不正常”,则它未安装受支持的 EDR 解决方案 [占位符链接 - 了解详细信息]。 如果安装了无法通过此建议发现的 EDR 解决方案,则可以免除该解决方案。 | 高 |
| 应在 GCP 虚拟机上安装 EDR 解决方案 | 为了保护虚拟机,请安装终结点检测和响应 (EDR) 解决方案。 EDR 有助于阻止、检测、调查和响应高级威胁。 请使用 Microsoft Defender for Servers 部署 Microsoft Defender for Endpoint。 如果资源被归类为“不正常”,则它未安装受支持的 EDR 解决方案 [占位符链接 - 了解详细信息]。 如果安装了无法通过此建议发现的 EDR 解决方案,则可以免除该解决方案。 | 高 |
| 应在虚拟机上解决 EDR 配置问题 | 为了保护虚拟机免受最新威胁和漏洞的影响,请使用已安装的终结点检测和响应 (EDR) 解决方案解决所有已发现的配置问题。 注意:目前,此建议仅适用于已启用 Microsoft Defender for Endpoint (MDE) 的资源。 |
高 |
| 应在 EC2 上解决 EDR 配置问题 | 为了保护虚拟机免受最新威胁和漏洞的影响,请使用已安装的终结点检测和响应 (EDR) 解决方案解决所有已发现的配置问题。 注意:目前,此建议仅适用于已启用 Microsoft Defender for Endpoint (MDE) 的资源。 |
高 |
| 应在 GCP 虚拟机上解决 EDR 配置问题 | 为了保护虚拟机免受最新威胁和漏洞的影响,请使用已安装的终结点检测和响应 (EDR) 解决方案解决所有已发现的配置问题。 注意:目前,此建议仅适用于已启用 Microsoft Defender for Endpoint (MDE) 的资源。 |
高 |
了解如何管理这些新的终结点检测和响应建议(无代理)
这些公共预览版建议将于 3 月底弃用。
| 建议 | Agent |
|---|---|
| 应在计算机上安装 Endpoint Protection(公共) | MMA/AMA |
| 应在计算机上解决 Endpoint Protection 运行状况问题(公共) | MMA/AMA |
当前正式发布的建议将继续得到支持,直到 2024 年 8 月。
了解如何为新的终结点检测建议体验做好准备。
Azure 基于 KQL 的自定义建议现在提供公共预览版
2024 年 3 月 17 日
Azure 基于 KQL 的自定义建议现在提供公共预览版,并且支持所有云。 有关详细信息,请参阅创建自定义安全标准和建议。
在 Microsoft 云安全基准中包含 DevOps 建议
2024 年 3 月 13 日
今天,我们宣布除了 Azure、AWS 和 GCP 之外,现在还可以在 Microsoft 云安全基准 (MCSB) 中监视 DevOps 安全性和合规性状况。 DevOps 评估是 MCSB 中的 DevOps 安全性控件的一部分。
MCSB 是基于通用行业标准和合规性框架定义基本的云安全原则的框架。 MCSB 提供有关如何实施与云无关的安全建议的规范性详细信息。
详细了解将要包括的 DevOps 建议和 Microsoft 云安全基准。
ServiceNow 集成现已正式发布 (GA)
2024 年 3 月 12 日
我们宣布正式发布 (GA) ServiceNow 集成。
Microsoft Defender for Cloud 中的关键资产保护(预览版)
2024 年 3 月 12 日
Defender for Cloud 现在包括业务关键性功能,即使用 Microsoft 安全暴露管理的关键资产引擎,通过风险优先级、攻击路径分析和云安全资源管理器来识别和保护重要资产。 有关详细信息,请参阅 Microsoft Defender for Cloud 中的关键资产保护(预览版)。
使用自动修正脚本增强 AWS 和 GCP 建议
2024 年 3 月 12 日
我们正在使用自动修正脚本增强 AWS 和 GCP 建议,使你能够以编程方式大规模修正这些建议。 详细了解自动修正脚本。
(预览版)合规性标准已添加到合规性仪表板
2024 年 3 月 6 日
根据客户的反馈,我们在 Defender for Cloud 中添加了合规性标准预览版。
我们不断致力于为 Azure、AWS 和 GCP 环境添加新标准和更新标准。
了解如何分配安全标准。
弃用与 PCI 相关的两条建议
2024 年 3 月 5 日
以下两条与权限蠕变指数 (PCI) 相关的建议即将弃用:
- 应调查帐户中的过度预配标识,以减少权限蠕变索引 (PCI)
- 应调查订阅中的过度预配标识,以减少权限蠕变指数 (PCI)
请参阅已弃用安全性建议列表。
停用由 Qualys 提供支持的 Defender for Cloud 容器漏洞评估
2024 年 3 月 3 日
由 Qualys 提供支持的 Defender for Cloud 容器漏洞评估即将停用。 停用将于 3 月 6 日前完成,在该时间之前,部分结果可能仍会出现在 Qualys 建议和安全图的 Qualys 结果中。 以前使用此评估的任何客户都应升级到使用 Microsoft Defender 漏洞管理的 Azure 漏洞评估。 要了解如何转换到由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估产品/服务,请参阅从 Qualys 转换到 Microsoft Defender 漏洞管理。
2024 年 2 月
| 日期 | 更新 |
|---|---|
| 2 月 28 日 | 更新的安全策略管理扩展了对 AWS 和 GCP 的支持 |
| 2 月 26 日 | Defender for Containers 的云支持 |
| 2 月 20 日 | 适用于 Defender for Containers 的 Defender 传感器的新版本 |
| 2 月 18 日 | 开放容器计划 (OCI) 映像格式规范支持 |
| 2 月 13 日 | 由 Trivy 提供支持的 AWS 容器漏洞评估已停用 |
| 2 月 8 日 | 发布预览版的建议:针对 Azure Stack HCI 资源类型的四项建议 |
更新的安全策略管理扩展了对 AWS 和 GCP 的支持
2024 年 2 月 28 日
更新后的安全策略管理体验最初是在 Azure 预览版中发布的,它正在将其支持扩展到跨云(AWS 和 GCP)环境。 此预览版包括:
- 跨 Azure、AWS 和 GCP 环境管理 Defender for Cloud 中的法规合规性标准。
- 相同的跨云接口体验用来创建和管理 Microsoft 云安全基准 (MCSB) 自定义建议。
- 更新后的体验适用于 AWS 和 GCP,以便 使用 KQL 查询创建自定义建议。
Defender for Containers 的云支持
2024 年 2 月 26 日
现在商业云、Azure 政府云和 Azure 中国世纪互联云中提供对 Defender for Containers 中 Azure Kubernetes 服务 (AKS) 威胁检测功能的完全支持。 查看支持的功能。
适用于 Defender for Containers 的 Defender 传感器的新版本
2024 年 2 月 20 日
适用于 Defender for Containers 的 Defender 传感器已推出新版本。 其中包括性能和安全性改进,支持 AMD64 和 ARM64 架构节点(仅限 Linux),并使用 Inspektor Gadget 代替 Sysdig 作为进程收集代理。 新版本仅在 Linux 内核版本 5.4 及更高版本上受支持,因此如果你有旧版本的 Linux 内核,则需要进行升级。 对 ARM 64 的支持仅适用于 AKS V1.29 及更高版本。 有关详细信息,请参阅支持的主机操作系统。
开放容器计划 (OCI) 映像格式规范支持
2024 年 2 月 18 日
开放容器计划 (OCI) 映像格式规范现在支持由适用于 AWS、Azure 和 GCP 云的 Microsoft Defender 漏洞管理提供支持的漏洞评估。
由 Trivy 提供支持的 AWS 容器漏洞评估已停用
2024 年 2 月 13 日
由 Trivy 提供支持的容器漏洞评估已停用。 以前使用此评估的任何客户都应升级到由 Microsoft Defender 漏洞管理提供支持的新 AWS 容器漏洞评估。 有关如何升级的说明,请参阅如何从已停用的 Trivy 漏洞评估升级到由 Microsoft Defender 漏洞管理提供支持的 AWS 漏洞评估?
发布预览版的建议:针对 Azure Stack HCI 资源类型的四项建议
2024 年 2 月 8 日
我们为 Azure Stack HCI 添加了四项新建议,将其作为可通过 Microsoft Defender for Cloud 进行管理的新资源类型。 这些新建议目前以公共预览版提供。
| 建议 | 说明 | 严重性 |
|---|---|---|
| (预览版)Azure Stack HCI 服务器应满足安全核心要求 | 确保所有 Azure Stack HCI 服务器都满足安全核心要求。 (相关策略:应在计算机上安装来宾配置扩展 - Microsoft Azure) | 低 |
| (预览版)Azure Stack HCI 服务器应一致地强制实施应用程序控制策略 | 至少在所有 Azure Stack HCI 服务器上以强制模式应用 Microsoft WDAC 基本策略。 应用的 Windows Defender 应用程序控制 (WDAC) 策略必须在同一群集中的服务器之间保持一致。 (相关策略:应在计算机上安装来宾配置扩展 - Microsoft Azure) | 高 |
| (预览版)Azure Stack HCI 系统应具有加密卷 | 使用 BitLocker 加密 Azure Stack HCI 系统上的 OS 和数据卷。 (相关策略:应在计算机上安装来宾配置扩展 - Microsoft Azure) | 高 |
| (预览版)主机和 VM 网络应在 Azure Stack HCI 系统上受保护 | 保护 Azure Stack HCI 主机网络和虚拟机网络连接上的数据。 (相关策略:应在计算机上安装来宾配置扩展 - Microsoft Azure) | 低 |
请参阅安全性建议列表。
2024 年 1 月
| 日期 | 更新 |
|---|---|
| 1 月 31 日 | 云安全资源管理器中活动存储库的新见解 |
| 1 月 25 日 | 弃用安全警报并将安全警报更新为信息严重性级别 |
| 1 月 24 日 | Defender for Containers 和 Defender CSPM 中 GCP 的无代理容器状况(预览版) |
| 1 月 16 日 | 针对服务器进行无代理恶意软件扫描的公共预览版 |
| 1 月 15 日 | Defender for Cloud 与 Microsoft Defender XDR 的集成正式发布 |
| 1 月 12 日 | DevOps 安全拉取请求注释现在默认为 Azure DevOps 连接器启用 |
| 1 月 4 日 | 针对预览版发布的建议:九项新的 Azure 安全建议 |
云安全资源管理器中活动存储库的新见解
2024 年 1 月 31 日
Azure DevOps 存储库的新见解已添加到云安全资源管理器,以指示存储库是否处于活动状态。 此见解会指示代码存储库未存档或禁用,这意味着对代码、生成和拉取请求的写入访问权限仍提供给用户。 已存档和禁用的存储库可能被视为较低优先级,因为代码通常不用于活动部署。
若要通过云安全资源管理器测试查询,请使用此查询链接。
弃用安全警报并将安全警报更新为信息性严重级别
2024 年 1 月 25 日
此公告包括已弃用的容器安全警报,以及其严重性级别已更新为信息性的安全警报。
将弃用以下容器安全警报:
Anomalous pod deployment (Preview) (K8S_AnomalousPodDeployment)Excessive role permissions assigned in Kubernetes cluster (Preview) (K8S_ServiceAcountPermissionAnomaly)Anomalous access to Kubernetes secret (Preview) (K8S_AnomalousSecretAccess)
以下安全警报将更新为信息性严重级别:
Windows 计算机警报:
Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlWindowsViolationAudited)Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlLinuxViolationAudited)
容器警报:
Attempt to create a new Linux namespace from a container detected (K8S.NODE_NamespaceCreation)Attempt to stop apt-daily-upgrade.timer service detected (K8S.NODE_TimerServiceDisabled)Command within a container running with high privileges (K8S.NODE_PrivilegedExecutionInContainer)Container running in privileged mode (K8S.NODE_PrivilegedContainerArtifacts)Container with a sensitive volume mount detected (K8S_SensitiveMount)Creation of admission webhook configuration detected (K8S_AdmissionController)Detected suspicious file download (K8S.NODE_SuspectDownloadArtifacts)Docker build operation detected on a Kubernetes node (K8S.NODE_ImageBuildOnNode)New container in the kube-system namespace detected (K8S_KubeSystemContainer)New high privileges role detected (K8S_HighPrivilegesRole)Privileged container detected (K8S_PrivilegedContainer)Process seen accessing the SSH authorized keys file in an unusual way (K8S.NODE_SshKeyAccess)Role binding to the cluster-admin role detected (K8S_ClusterAdminBinding)SSH server is running inside a container (K8S.NODE_ContainerSSH)
DNS 警报:
Communication with suspicious algorithmically generated domain (AzureDNS_DomainGenerationAlgorithm)Communication with suspicious algorithmically generated domain (DNS_DomainGenerationAlgorithm)Communication with suspicious random domain name (Preview) (DNS_RandomizedDomain)Communication with suspicious random domain name (AzureDNS_RandomizedDomain)Communication with possible phishing domain (AzureDNS_PhishingDomain)Communication with possible phishing domain (Preview) (DNS_PhishingDomain)
Azure 应用服务警报:
NMap scanning detected (AppServices_Nmap)Suspicious User Agent detected (AppServices_UserAgentInjection)
Azure 网络层警报:
Possible incoming SMTP brute force attempts detected (Generic_Incoming_BF_OneToOne)Traffic detected from IP addresses recommended for blocking (Network_TrafficFromUnrecommendedIP)
Azure 资源管理器警报:
Privileged custom role created for your subscription in a suspicious way (Preview)(ARM_PrivilegedRoleDefinitionCreation)
请参阅完整的安全警报列表。
Defender for Containers 和 Defender CSPM 中 GCP 的无代理容器状况(预览版)
2024 年 1 月 24 日
新的无代理容器状况(预览版)功能可用于 GCP,包括使用 Microsoft Defender 漏洞管理对 GCP 进行漏洞评估。 有关所有功能的详细信息,请参阅 Defender CSPM 中的无代理容器状况和 Defender for Containers 中的无代理功能。
还可以阅读此博客文章,了解有关多云的无代理容器状况管理的信息。
针对服务器进行无代理恶意软件扫描的公共预览版
2024 年 1 月 16 日
我们宣布发布 Defender for Cloud 针对 Azure 虚拟机 (VM)、AWS EC2 实例和 GCP VM 实例的无代理恶意软件检测,这是 Defender for Servers 计划 2 中包含的新功能。
VM 的无代理恶意软件检测现在包含在无代理扫描平台中。 无代理恶意软件扫描利用 Microsoft Defender 防病毒反恶意软件引擎来扫描和检测恶意文件。 若检测到任何威胁,系统会直接在 Defender for Cloud 和 Defender XDR 中触发安全警报,并在其中进行调查和修正。 无代理恶意软件扫描程序通过无摩擦载入的第二层威胁检测补充了基于代理的安全保障,并且不会影响计算机的性能。
详细了解针对服务器的无代理恶意软件扫描和针对 VM 的无代理扫描。
Defender for Cloud 与 Microsoft Defender XDR 的集成正式发布
2024 年 1 月 15 日
我们宣布 Defender for Cloud 与 Microsoft Defender XDR(以前为 Microsoft 365 Defender)之间的集成正式发布 (GA)。
该集成为安全运营中心 (SOC) 的日常工作带来了具有竞争力的云保护功能。 借助 Microsoft Defender for Cloud 和 Defender XDR 集成,SOC 团队可以发现结合多个支柱(包括云、终结点、标识、Office 365 等)检测的攻击。
详细了解 Microsoft Defender XDR 中的警报和事件。
DevOps 安全拉取请求注释现在默认为 Azure DevOps 连接器启用
2024 年 1 月 12 日
DevOps 安全团队在拉取请求 (PR) 中以注释的形式公开安全发现,以帮助开发人员在进入生产环境之前防止和修复潜在的安全漏洞和配置错误。 自 2024 年 1 月 12 日起,默认情况下,所有连接到 Defender for Cloud 的新 Azure DevOps 存储库和现有的 Azure DevOps 存储库都会默认启用 PR 注释。
默认情况下,系统仅针对高严重性基础结构即代码 (IaC) 发现启用 PR 注释。 客户仍需要将 Microsoft Security for DevOps (MSDO) 配置为在 PR 生成中运行,并在 Azure DevOps 存储库设置中为 CI 生成启用生成验证策略。 客户可以从 DevOps 安全边栏选项卡存储库配置选项中,为特定存储库禁用 PR 注释功能。
针对预览版发布的建议:九项新的 Azure 安全建议
2024 年 1 月 4 日
我们新增了九项符合 Microsoft 云安全基准的 Azure 安全建议。 这些新建议目前以公共预览版提供。
| 建议 | 说明 | 严重性 |
|---|---|---|
| 认知服务帐户应禁用本地身份验证方法 | 禁用本地身份验证方法可确保认知服务帐户需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 了解详细信息:https://aka.ms/cs/auth。(相关策略:认知服务帐户应禁用本地身份验证方法)。 | 低 |
| 认知服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 详细了解专用链接。 (相关策略:认知服务应使用专用链接)。 | 中 |
| 虚拟机和虚拟机规模集应启用主机中加密 | 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe。 (相关策略:虚拟机和虚拟机规模集应启用主机加密)。 | 中 |
| Azure Cosmos DB 应禁用公用网络访问 | 禁用公用网络访问可确保 Cosmos DB 帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可限制 Cosmos DB 帐户公开。 了解详细信息。 (相关策略:Azure Cosmos DB 应禁用公用网络访问)。 | 中 |
| Cosmos DB 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Cosmos DB 帐户,可以降低数据泄露风险。 详细了解专用链接。 (相关策略:Cosmos DB 帐户应使用专用链接)。 | 中 |
| VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 | 禁用本地身份验证方法可确保 VPN 网关仅使用 Azure Active Directory 标识进行身份验证,从而提高安全性。 详细了解 Azure AD 身份验证。 (相关策略:VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证)。 | 中 |
| Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 | 将 TLS 版本设置为 1.2 或更高版本,可以确保只能从使用 TLS 1.2 或更高版本的客户端访问 Azure SQL 数据库,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 (相关策略:Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本)。 | 中 |
| Azure SQL 托管实例应禁用公用网络访问 | 禁用 Azure SQL 托管实例上的公用网络访问(公共终结点)可确保只能从其虚拟网络内部或专用终结点访问它们,从而提高安全性。 详细了解公用网络访问权限。 (相关策略:Azure SQL 托管实例应禁用公用网络访问)。 | 中 |
| 存储帐户应阻止共享密钥访问 | 审核 Azure Active Directory (Azure AD) 授予存储帐户请求权限的要求。 默认情况下,可以使用 Azure Active Directory 凭据对请求进行授权,或使用帐户访问密钥对其进行共享密钥授权。 在这两种类型的授权中,与共享密钥相比,Azure AD 提供更高级别的安全性和易用性,是 Microsoft 推荐的授权方法。 (相关策略:存储帐户应阻止共享密钥访问)。 | 中 |
请参阅安全性建议列表。
2023 年 12 月
| 日期 | 更新 |
|---|---|
| 12 月 24 日 | 作为正式版提供的资源级别的 Defender for Servers |
| 12 月 21 日 | 停用多云经典连接器 |
| 12 月 21 日 | 发布覆盖范围工作簿 |
| 12 月 14 日 | 由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估在 Azure 政府中以及由世纪互联运营的 Azure 中正式发布 |
| 12 月 14 日 | Windows 对由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估的支持的公共预览版 |
| 12 月 13 日 | 停用由 Trivy 提供支持的 AWS 容器漏洞评估 |
| 12 月 13 日 | Defender for Containers 和 Defender CSPM(预览版)中 AWS 的无代理容器状态 |
| 12 月 13 日 | 用于开放源代码关系数据库计划的 Defender 中对 PostgreSQL 灵活服务器的正式发布 (GA) 支持 |
| 12 月 12 日 | 由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估现在支持 Google Distroless |
| 12 月 4 日 | Defender for Storage 警报已发布预览版:从存储帐户下载了恶意 blob |
作为正式版提供的资源级别的 Defender for Servers
2023 年 12 月 24 日
现在可以在订阅中的特定资源上管理 Defender for Servers,从而完全控制保护策略。 借助此功能,可以使用与订阅级别配置的设置不同的自定义配置来配置特定资源。
详细了解如何在资源级别启用 Defender for Servers。
停用多云经典连接器
2023 年 12 月 21 日
经典多云连接器体验已停用,数据不再流式传输到通过该机制创建的连接器。 这些经典连接器用于将 AWS 安全中心和 GCP 安全命令中心建议连接到 Defender for Cloud,并将 AWS EC2 加入 Defender for Servers。
这些连接器的全部价值已被替换为本机多云安全连接器体验,自 2022 年 3 月以来,该体验已正式适用于 AWS 和 GCP,无需额外付费。
新的本机连接器已包含在你的计划中,并提供自动加入体验,包括加入单个帐户、多个帐户(通过 Terraform)的选项,以及在以下 Defender 计划中通过自动预配进行组织加入:免费基础 CSPM 功能、Defender 云安全态势管理 (CSPM)、Defender for Servers、Defender for SQL、Defender for Containers。
发布覆盖范围工作簿
2023 年 12 月 21 日
使用覆盖范围工作簿,你可以跟踪哪些 Defender for Cloud 计划在环境的哪些部分处于活动状态。 此工作簿有助于确保环境和订阅受到充分保护。 通过访问详细的覆盖范围信息,你还可以识别可能需要其他保护的任何区域,并采取措施解决这些区域的问题。
详细了解覆盖范围工作簿。
由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估在 Azure 政府中以及由世纪互联运营的 Azure 中正式发布
2023 年 12 月 14 日
已在 Azure 政府中以及由世纪互联运营的 Azure 中正式发布 (GA) 适用于 Azure 容器注册表中 Linux 容器映像的漏洞评估 (VA),其由 Microsoft Defender 漏洞管理提供支持。 此新版本可在 Defender for Containers 和 Defender for Container Registries 计划下使用。
以下建议是此更改的一部分,已正式发布,包含在安全分数计算中:
| 建议名称 | 说明 | 评估密钥 |
|---|---|---|
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| 运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) | Azure 正在运行的容器映像应该已解决漏洞(由 Microsoft Defender 漏洞管理提供支持)。 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 |
c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
由 Microsoft Defender 漏洞管理提供支持的容器映像扫描现在也会根据计划定价产生费用。
注意
Qualys 支持的容器 VA 产品/服务和 Microsoft Defender 漏洞管理支持的容器 VA 产品/服务都扫描的映像将仅计费一次。
以下针对容器漏洞评估的 Qualys 建议已重命名,将继续适用于在此版本之前在其任何订阅上启用了 Defender for Containers 的客户。 此版本之后加入 Defender for Containers 的新客户将仅看到由 Microsoft Defender 漏洞管理提供支持的新的容器漏洞评估建议。
| 当前建议名称 | 新建议名称 | 说明 | 评估密钥 |
|---|---|---|---|
| 容器注册表映像应已解决漏洞结果(由 Qualys 提供技术支持) | Azure 注册表容器映像应该已解决漏洞(由 Qualys 提供支持) | 容器映像漏洞评估功能会扫描注册表中的安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 运行容器映像应已解决漏洞结果(由 Qualys 提供支持) | Azure 正在运行的容器映像应该已解决漏洞(由 Qualys 提供支持) | 容器映像漏洞评估会扫描 Kubernetes 群集上运行的容器映像,以查找安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | 41503391-efa5-47ee-9282-4eff6131462c |
Windows 对由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估的支持的公共预览版
2023 年 12 月 14 日
对 Windows 映像的支持已在公共预览版中发布,作为漏洞评估 (VA) 的一部分,该漏洞评估由适用于 Azure 容器注册表和 Azure Kubernetes 服务的 Microsoft Defender 漏洞管理提供支持。
停用由 Trivy 提供支持的 AWS 容器漏洞评估
2023 年 12 月 13 日
由 Trivy 提供支持的容器漏洞评估将于 2 月 13 日之前停用。 此功能现已弃用,但会在 2 月 13 日之前继续向使用此功能的现有客户提供。 我们鼓励使用此功能的客户在 2 月 13 日之前升级到新的由 Microsoft Defender 漏洞管理提供支持的 AWS 容器漏洞评估。
Defender for Containers 和 Defender CSPM(预览版)中 AWS 的无代理容器状态
2023 年 12 月 13 日
新的无代理容器状态(预览版)功能可用于 AWS。 有关详细信息,请参阅 Defender CSPM 中的无代理容器状态和 Defender for Containers 中的无代理功能。
用于开放源代码关系数据库计划的 Defender 中对 PostgreSQL 灵活服务器的正式发布支持
2023 年 12 月 13 日
我们宣布在适用于开放源代码关系数据库的 Microsoft Defender 计划中正式发布 (GA) PostgreSQL 灵活服务器支持。 适用于开放源代码关系数据库的 Microsoft Defender 通过检测异常活动并生成安全警报,为 PostgreSQL 灵活服务器提供高级威胁防护。
了解如何启用适用于开放源代码关系数据库的 Microsoft Defender。
由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估现在支持 Google Distroless
2023 年 12 月 12 日
由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估已通过 Linux OS 包的额外覆盖范围进行了扩展,现在支持 Google Distroless。
有关所有支持的操作系统的列表,请参阅 Azure 的注册表和映像支持 - 由 Microsoft Defender 漏洞管理提供支持的漏洞评估。
Defender for Storage 警报已发布预览版:从存储帐户下载了恶意 blob
2023 年 12 月 4 日
正在发布以下预览版警报:
| 警报(警报类型) | 说明 | MITRE 技巧 | Severity |
|---|---|---|---|
| 从存储帐户下载了恶意 blob(预览版) Storage.Blob_MalwareDownload |
该警报指示从存储帐户下载了恶意 blob。 潜在原因可能包括恶意软件,恶意软件在上传到存储帐户后没有删除或隔离,从而使威胁行动者能够下载该恶意软件,或者合法用户或应用程序无意中下载了该恶意软件。 适用于:具有新的 Defender for Storage 计划并且启用了恶意软件扫描功能的 Azure Blob(标准常规用途 v2、Azure Data Lake Storage Gen2 或高级块 blob)存储帐户。 |
横向移动 | 高,如果 Eicar - 低 |
请参阅 Defender for Storage 中基于扩展的警报。
有关警报的完整列表,请参阅 Microsoft Defender for Cloud 中所有安全警报的参考表。
2023 年 11 月
| 日期 | 更新 |
|---|---|
| 11 月 30 日 | 已弃用四个警报 |
| 11 月 27 日 | 在 Defender for Servers 和 Defender CSPM 中正式发布无代理机密扫描功能 |
| 11 月 22 日 | 使用 Defender for Cloud 启用权限管理(预览版) |
| 11 月 22 日 | Defender for Cloud 与 ServiceNow 的集成 |
| 11 月 20 日 | 计算机计划上 SQL Server 的自动预配过程的正式发布 |
| 11 月 8 日 | 正式发布 Defender for API |
| 11 月 8 日 | Defender for Cloud 现已与 Microsoft 365 Defender 集成(预览版) |
| 11 月 8 日 | 在 Defender for Containers 和 Defender for Container Registries 中正式发布 Microsoft Defender 漏洞管理 (MDVM) 支持的容器漏洞评估 |
| 11 月 8 日 | 对容器漏洞评估建议名称的更改 |
| 11 月 8 日 | 现在可以为建议确定风险优先级 |
| 11 月 8 日 | 攻击路径分析新引擎和广泛的增强功能 |
| 11 月 8 日 | 对攻击路径的 Azure Resource Graph 表方案的更改 |
| 11 月 8 日 | Defender CSPM 中 GCP 支持的正式发布版本 |
| 11 月 8 日 | 数据安全仪表板的正式发布版本 |
| 11 月 8 日 | 数据库敏感数据发现的正式发布版本 |
| 11 月 6 日 | 有关查找缺失的系统更新的新版建议现已正式发布 |
已弃用四个警报
2023 年 11 月 30 日
作为质量改进过程的一部分,以下安全警报已弃用:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
在 Defender for Servers 和 Defender CSPM 中正式发布无代理机密扫描功能
2023 年 11 月 27 日
无代理机密扫描通过识别 VM 磁盘上的明文机密来增强基于云的虚拟机 (VM) 的安全性。 无代理机密扫描提供全面的信息,有助于确定检测到的结果的优先级,并在横向移动风险发生之前减轻风险。 这种主动方法可防止未经授权的访问,确保云环境的安全。
我们宣布正式发布 (GA) 无代理机密扫描,该功能包含在 Defender for Servers P2 和 Defender CSPM 计划中。
无代理机密扫描利用云 API 捕获磁盘快照,进行带外分析,确保不会影响 VM 的性能。 无代理机密扫描扩大了 Defender for Cloud 对 Azure、AWS 和 GCP 环境中的云资产的覆盖范围,从而增强云安全。
在此版本中,Defender for Cloud 的检测功能现在支持其他数据库类型、数据存储签名 URL、访问令牌等。
了解如何使用无代理机密扫描管理机密。
使用 Defender for Cloud 启用权限管理(预览版)
2023 年 11 月 22 日
Microsoft 现在通过 Microsoft Defender for Cloud (CNAPP) 和 Microsoft Entra 权限管理 (CIEM) 提供云原生应用程序保护平台 (CNAPP) 和云基础结构权利管理 (CIEM) 解决方案。
安全管理员可以在 Defender for Cloud 中集中查看其未使用或过度的访问权限。
安全团队可以在其 Defender 云安全态势管理 (CSPM) 中推动实现对云资源的最低特权访问控制,并接收有关解决 Azure、AWS 和 GCP 云环境中的权限风险的建议,而无需满足任何额外的许可要求。
了解如何在 Microsoft Defender for Cloud 中启用权限管理(预览版)。
Defender for Cloud 与 ServiceNow 的集成
2023 年 11 月 22 日
ServiceNow 现已与 Microsoft Defender for Cloud 集成,这使客户能够将 ServiceNow 连接到其 Defender for Cloud 环境,从而优先修正影响业务的建议。 Microsoft Defender for Cloud 与 ITSM 模块(事件管理)集成。 作为这种连接的一部分,客户将能够从 Microsoft Defender for Cloud 创建/查看 ServiceNow 票证(与建议相关联)。
你可以详细了解 Defender for Cloud 与 ServiceNow 的集成。
计算机计划上 SQL Server 的自动预配过程的正式发布
2023 年 11 月 20 日
为准备 2024 年 8 月对 Microsoft Monitoring Agent (MMA) 的弃用,Defender for Cloud 发布了针对 SQL Server 的 Azure Monitoring Agent (AMA) 自动预配过程。 该新过程会自动为所有新客户启用和配置,并为 Azure SQL VM 和已启用 Arc 的 SQL Server 提供在资源级别启用的能力。
使用 MMA 自动预配过程的客户请迁移到计算机上适用于 SQL Server 的新 Azure Monitoring Agent 自动预配过程。 迁移过程是无缝的,会为所有计算机提供持续保护。
正式发布 Defender for API
2023 年 11 月 15 日
我们宣布 Microsoft Defender for API 已正式发布 (GA)。 Defender for API 旨在保护组织免受 API 安全威胁。
Defender for API 使组织能够保护其 API 和数据免受恶意行动者的侵害。 组织可以调查和改善 API 安全态势、确定漏洞修复的优先顺序,快速检测并响应活动实时威胁。 组织还可以将安全警报直接集成到其安全信息和事件管理 (SIEM) 平台(例如 Microsoft Sentinel)中,以调查和会审问题。
你可以了解如何使用 Defender for API 来保护 API。 你还可以详细了解 Microsoft Defender for API。
你还可以阅读此博客,详细了解 GA 公告。
Defender for Cloud 现已与 Microsoft 365 Defender 集成(预览版)
2023 年 11 月 15 日
企业可以使用 Microsoft Defender for Cloud 与 Microsoft Defender XDR 之间的新集成来保护其云资源和设备。 这种集成将云资源、设备和身份之间的点连接起来,而这以前需要多种体验。
该集成还为安全运营中心 (SOC) 的日常工作带来了具有竞争力的云保护功能。 利用 Microsoft Defender XDR,SOC 团队可以轻松发现结合多个支柱(包括云、终结点、标识、Office 365 等)检测的攻击。
一些主要优点包括:
为 SOC 团队提供一个易于使用的界面:通过将 Defender for Cloud 的警报和云关联集成到 M365D 中,SOC 团队现在可以从单个界面访问所有安全信息,从而显著提高运营效率。
一个攻击故事:通过使用结合了多个来源的安全警报的预构建关联,客户能够了解完整的攻击故事,包括其云环境。
Microsoft Defender XDR 中的新云实体:Microsoft Defender XDR 现在支持 Microsoft Defender for Cloud 独有的新云实体,例如云资源。 客户可以将虚拟机 (VM) 实体与设备实体进行匹配,从而提供有关计算机的所有相关信息的统一视图,包括在该计算机上触发的警报和事件。
适用于 Microsoft 安全产品的 Unified API:客户现在可以使用单个 API 将安全警报数据导出到他们选择的系统中,因为 Microsoft Defender for Cloud 警报和事件现在是 Microsoft Defender XDR 公共 API 的一部分。
Defender for Cloud 和 Microsoft Defender XDR 之间的集成可供所有新的和现有的 Defender for Cloud 客户使用。
在 Defender for Containers 和 Defender for Container Registries 中正式发布 Microsoft Defender 漏洞管理 (MDVM) 支持的容器漏洞评估
2023 年 11 月 15 日
已在 Defender for Containers 和 Defender for Container Registries 中正式发布 (GA) 适用于 Azure 容器注册表中 Linux 容器映像的漏洞评估 (VA),其由 Microsoft Defender 漏洞管理 (MDVM) 提供支持。
作为此更改的一部分,已针对 GA 发布以下建议并重命名,这些建议现在包含在安全功能分数计算中:
| 当前建议名称 | 新建议名称 | 说明 | 评估密钥 |
|---|---|---|---|
| 容器注册表映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) | Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| 运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) | Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
由 MDVM 支持的容器映像扫描现在也按照计划定价收取费用。
注意
Qualys 支持的容器 VA 产品/服务和 MDVM 支持的容器 VA 产品/服务都扫描的映像将仅计费一次。
以下针对容器漏洞评估的 Qualys 建议已重命名,并将继续适用于在 11 月 15 日之前在其任何订阅上启用 Defender for Containers 的客户。 11 月 15 日之后加入 Defender for Containers 的新客户将仅看到由 Microsoft Defender 漏洞管理提供支持的新的容器漏洞评估建议。
| 当前建议名称 | 新建议名称 | 说明 | 评估密钥 |
|---|---|---|---|
| 容器注册表映像应已解决漏洞结果(由 Qualys 提供技术支持) | Azure 注册表容器映像应该已解决漏洞(由 Qualys 提供支持) | 容器映像漏洞评估功能会扫描注册表中的安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 运行容器映像应已解决漏洞结果(由 Qualys 提供支持) | Azure 正在运行的容器映像应该已解决漏洞(由 Qualys 提供支持) | 容器映像漏洞评估会扫描 Kubernetes 群集上运行的容器映像,以查找安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | 41503391-efa5-47ee-9282-4eff6131462c |
对容器漏洞评估建议名称的更改
以下容器漏洞评估建议已重命名:
| 当前建议名称 | 新建议名称 | 说明 | 评估密钥 |
|---|---|---|---|
| 容器注册表映像应已解决漏洞结果(由 Qualys 提供技术支持) | Azure 注册表容器映像应该已解决漏洞(由 Qualys 提供支持) | 容器映像漏洞评估功能会扫描注册表中的安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 运行容器映像应已解决漏洞结果(由 Qualys 提供支持) | Azure 正在运行的容器映像应该已解决漏洞(由 Qualys 提供支持) | 容器映像漏洞评估会扫描 Kubernetes 群集上运行的容器映像,以查找安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | 41503391-efa5-47ee-9282-4eff6131462c |
| 弹性容器注册表映像应已解决漏洞发现 | AWS 注册表容器映像应该已解决漏洞(由 Trivy 提供支持) | 容器映像漏洞评估功能会扫描注册表中的安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
现在可以为建议确定风险优先级
2023 年 11 月 15 日
现在可以根据安全建议构成的风险级别确定安全建议的优先级,同时考虑每个潜在安全问题的可利用性和潜在业务影响。
通过根据风险级别(严重、高、中、低)组织建议,能够解决环境中最严重的风险,并根据实际风险(例如互联网暴露、数据敏感性、横向移动可能性以及可以通过解决建议来缓解的潜在攻击路径)有效确定安全问题的修正优先级。
详细了解确定风险优先级。
攻击路径分析新引擎和广泛的增强功能
2023 年 11 月 15 日
我们正在发布 Defender for Cloud 中攻击路径分析功能的增强功能。
新引擎 - 攻击路径分析有一个新引擎,它使用路径查找算法来检测云环境中存在的每个可能的攻击路径(基于我们图表中的数据)。 我们可以在环境中找到更多的攻击路径,并检测攻击者可用来破坏组织的更复杂的攻击模式。
改进 - 发布了以下改进:
- 确定风险优先级 - 根据风险(可利用性和业务影响)确定攻击路径的优先级列表。
- 增强的修正措施 - 明确应解决以真正打破链条的具体建议。
- 跨云攻击路径 – 检测跨云攻击路径(从一个云开始并在另一个云结束的路径)。
- MITRE – 将所有攻击路径映射到 MITRE 框架。
- 全新的用户体验 – 通过便于会审的更强大功能(高级筛选器、搜索和攻击路径分组)带来全新体验。
了解如何识别和修正攻击路径。
对攻击路径的 Azure Resource Graph 表方案的更改
2023 年 11 月 15 日
攻击路径的 Azure Resource Graph (ARG) 表方案已更新。 已删除 attackPathType 属性,并添加其他属性。
Defender CSPM 中 GCP 支持的正式发布版本
2023 年 11 月 15 日
我们宣布推出支持 GCP 资源的 Defender CSPM 上下文云安全图和攻击路径分析的正式发布版本 (GA)。 你可以应用 Defender CSPM 的强大功能,实现跨 GCP 资源的全面可见性和智能云安全性。
我们的 GCP 支持的主要功能包括:
- 攻击路径分析 - 了解攻击者可能采用的潜在路线。
- 云安全资源管理器 - 通过在安全图上运行基于图形的查询,主动识别安全风险。
- 无代理扫描 - 扫描服务器并识别机密和漏洞,而无需安装代理。
- 数据感知安全态势 - 发现并修正 Google Cloud Storage 存储桶中敏感数据的风险。
详细了解 Defender CSPM 计划选项。
注意
Defender CSPM 中 GCP 支持的 GA 版本将于 2024 年 2 月 1 日开始计费。
数据安全仪表板的正式发布版本
2023 年 11 月 15 日
数据安全仪表板现已推出正式发布版本 (GA),作为 Defender CSPM 计划的一部分。
你可以通过数据安全仪表板查看组织的数据资产、敏感数据的风险以及有关数据资源的见解。
详细了解数据安全仪表板。
数据库敏感数据发现的正式发布版本
2023 年 11 月 15 日
适用于托管数据库(包括 Azure SQL 数据库以及各种 RDBMS 风格的 AWS RDS 实例)的敏感数据发现现已正式发布,并且能够自动发现包含敏感数据的关键数据库。
若要在环境中启用此功能,需要在 Defender CSPM 中启用 Sensitive data discovery。 了解如何在 Defender CSPM 中启用敏感数据发现。
还可以了解如何将敏感数据发现用于数据感知安全状况。
公共预览版公告:对 Microsoft Defender for Cloud 中多云数据安全性的全新扩展可见性。
有关查找缺失的系统更新的新版建议现已正式发布
2023 年 11 月 6 日
Azure VM 和 Azure Arc 计算机上不再需要其他代理以确保计算机具有所有最新安全更新或关键系统更新。
Apply system updates控制措施中新的系统更新建议System updates should be installed on your machines (powered by Azure Update Manager)基于更新管理器,现已完全正式发布。 该建议依赖于嵌入到每个 Azure VM 和 Azure Arc 计算机中的本机代理,而不是已安装的代理。 新建议中的快速修复可引导你在更新管理器门户中完成缺失的更新的一次性安装。
查找缺少的系统更新的旧版本和新版本在 2024 年 8 月之前都可用,届时较旧的版本将弃用。 System updates should be installed on your machines (powered by Azure Update Manager)和System updates should be installed on your machines这两个建议在相同的控制措施Apply system updates下可用,并具有相同的结果。 因此,对安全分数的影响不会重复。
建议迁移到新建议并删除旧建议,方法是在 Azure 策略中的 Defender for Cloud 内置计划中禁用它。
建议[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)也已正式发布,且是先决条件,这将对安全功能分数产生负面影响。 可以使用提供的修复修正负面影响。
要应用新建议,需要:
- 将非 Azure 计算机连接到 Arc。
- 打开定期评估属性。 可使用“
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)”这一新建议中的快速修复来修复建议。
注意
为已启用 Arc 的计算机(在其相关订阅或连接器上未启用 Defender for Servers 计划 2)启用定期评估,需遵守Azure 更新管理器定价。 已启用 Arc 的计算机(在其相关订阅或连接器或任何 Azure VM 上已启用Defender for Servers 计划 2)有资格享受此功能,无需额外付费。
2023 年 10 月
| 日期 | 更新 |
|---|---|
| 10 月 30 日 | 更改自适应应用程序控制的安全警报的严重性 |
| 10 月 25 日 | Defender for API 中删除了脱机 Azure API 管理修订版 |
| 10 月 19 日 | 公共预览版中提供了 DevOps 安全态势管理建议 |
| 10 月 18 日 | 合规性仪表板中发布了 CIS Azure 基础基准检验 v2.0.0 |
更改自适应应用程序控制安全警报的严重性
公告日期:2023 年 10 月 30 日
作为 Defender for Servers 的安全警报质量改进过程的一部分,并作为自适应应用程序控制功能的一部分,以下安全警报的严重性将更改为“信息性”:
| 警报 [警报类型] | 警报描述 |
|---|---|
| 自适应应用程序控制策略冲突已审核。[VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | 以下用户在此计算机上运行了违反你的组织的应用程序控制策略的应用程序。 它可能会使计算机面临恶意软件或应用程序漏洞的威胁。 |
要在 Microsoft Defender for Cloud 门户的“安全警报”页中继续查看此警报,请更改默认视图筛选器“严重性”,在网格中包含“信息性”警报。
Defender for API 中删除了脱机 Azure API 管理修订版
2023 年 10 月 25 日
Defender for API 已更新其对 Azure API 管理 API 修订版的支持。 脱机修订版不再显示在已载入的 Defender for API 清单中,也不再显示为待载入 Defender for API。 脱机修订版不允许向其发送任何流量,也不会构成任何安全风险。
公共预览版中提供了 DevOps 安全态势管理建议
2023 年 10 月 19 日
现在,所有具有 Azure DevOps 或 GitHub 连接器的客户都可以使用公共预览版中新增的 DevOps 态势管理建议。 DevOps 态势管理能够发现安全配置和访问控制中的弱点,从而帮助减少 DevOps 环境的攻击面。 详细了解 DevOps 态势管理。
合规性仪表板中发布了 CIS Azure 基础基准检验 v2.0.0
2023 年 10 月 18 日
现在,Microsoft Defender for Cloud 的合规性仪表板支持最新的 CIS Azure 安全基础基准检验 - 版本 2.0.0,以及 Azure Policy 中的内置策略计划。 Microsoft Defender for Cloud 版本 2.0.0 是 Microsoft、Center for Internet Security (CIS) 与用户社区共同协作发布的。 版本 2.0.0 大幅扩展了评估范围,现在包括 90 多个内置 Azure 策略,并继承了 Microsoft Defender for Cloud 和 Azure Policy 中的先前版本 1.4.0、1.3.0 和 1.0。 有关详细信息,可以查看此博客文章。
后续步骤
有关 Defender for Cloud 的以往更改,请参阅 Defender for Cloud 的新增功能存档。