你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Defender for Cloud 功能中的新增功能

本文总结了 Microsoft Defender for Cloud 中的新增功能。 它包括有关处于预览版或全面提供 (GA) 阶段的功能、新功能更新、即将推出的功能计划以及已弃用功能的信息。

  • 此页面会频繁更新,以反映 Defender for Cloud 中的最新动态。

  • 建议和警报中的新增功能中找到有关安全建议和警报的最新信息。

  • 若要查找 6 个月之前的项目,可以在新增功能存档中找到它们。

提示

通过将以下 URL 复制并粘贴到源阅读器中,可以在页面更新时收到通知:

https://aka.ms/mdc/rss

2025 年 6 月

日期 类别 更新
6 月 18 日 预览 无代理代码扫描 - GitHub 支持和可自定义的覆盖范围现已推出(预览版)

无代理代码扫描 - GitHub 支持和可自定义的覆盖范围现已推出(预览版)

2025 年 6 月 18 日

我们更新了无代理代码扫描功能,包括扩展覆盖范围和控制的关键功能。 这些更新包括:

  • 除了 Azure DevOps 之外,还支持 GitHub 存储库
  • 可自定义扫描程序选择 – 选择要运行的工具(例如,Bandit、Checkov、ESLint)
  • 精细范围配置 - 包括或排除特定组织、项目或存储库

无代理代码扫描提供可扩展的安全扫描解决方案,用于代码和基础设施即代码(IaC),无需更改 CI/CD 管道。 它可帮助安全团队检测漏洞和配置错误,而不会中断开发人员工作流。

详细了解 如何在 Azure DevOps 或 GitHub 中配置无代理代码扫描

2025年5月

日期 类别 更新
5 月 28 日 正式发布 Defender for Storage 中的可自定义上传时恶意软件扫描筛选器已正式发布
5 月 5 日 预览 活动用户(公共预览版)
5 月 1 日 正式发布 适用于 AI 服务的 Defender 正式发布
5 月 1 日 正式发布 智能 Microsoft Security Copilot 副驾驶® 现已在 Defender for Cloud 中正式发布
5 月 1 日 正式发布 正式发布数据和 AI 安全仪表板
5 月 1 日 即将发生的更改 Defender CSPM 开始为 Azure Database for MySQL 灵活服务器和 Azure Database for PostgreSQL 灵活服务器资源计费

Defender for Storage 中的可自定义上传时恶意软件扫描筛选器已正式发布

2025 年 5 月 28 日

上传恶意软件扫描现在支持可自定义的筛选器。 用户可以根据 Blob 路径前缀、后缀以及 Blob 大小设置上传恶意软件扫描的排除规则。 通过排除特定的 Blob 路径和类型(例如日志或临时文件),可以避免不必要的扫描并降低成本。

了解如何 配置可自定义的上传恶意软件扫描筛选器

活动用户(公共预览版)

活动用户功能可帮助安全管理员根据最近的控制平面活动快速识别并分配建议给最相关的用户。 对于每个建议,资源、资源组或订阅级别最多建议三个潜在活动用户。 管理员可以从列表中选择一个用户,分配建议,并设置截止日期,从而触发分配给分配的用户的通知。 这样可简化修正工作流,缩短调查时间,并增强整体安全态势。

Defender for AI Services 正式发布

2025 年 5 月 1 日

Defender for Cloud 现在支持 Azure AI 服务的运行时保护(以前称为 AI 工作负载的威胁防护)。

Azure AI 服务的保护涵盖特定于 AI 服务和应用程序的威胁,例如越狱、钱包滥用、数据泄露、可疑访问模式等。 检测使用来自Microsoft威胁智能和 Azure AI 提示防护盾的信号,并应用机器学习和 AI 来保护您的 AI 服务。

详细了解 Defender for AI Services

智能 Microsoft Security Copilot 副驾驶® 现已在 Defender for Cloud 中正式发布

2025 年 5 月 1 日

Microsoft Security Copilot 现已在 Defender for Cloud 中正式发布。

安全 Copilot 加快了安全团队的风险修正速度,使管理员能够更快、更轻松地应对云风险。 它提供 AI 生成的摘要、修正作和委派电子邮件,指导用户完成风险降低过程的每个步骤。

安全管理员可以通过电子邮件向资源所有者快速汇总建议、生成修正脚本和委托任务。 这些功能可减少调查时间,帮助安全团队了解上下文中的风险,并识别资源以快速修正。

详细了解 Defender for Cloud 中的 Microsoft Security Copilot

数据与 AI 的安全仪表板正式发布

2025 年 5 月 1 日

Defender for Cloud 正在增强“数据安全”仪表板,以便在正式发布的新“数据和 AI 安全”仪表板中包含 AI 安全性。 该仪表板提供一个集中的平台来监视和管理数据和 AI 资源,以及它们相关的风险和保护状态。

数据和 AI 安全仪表板的主要优势包括:

  • 统一视图:全面了解所有组织数据和 AI 资源。
  • 数据见解:了解数据存储的位置以及保存数据的资源类型。
  • 保护覆盖范围:评估数据和 AI 资源的保护覆盖范围。
  • 关键问题:根据高严重性建议、警报和攻击路径突出显示需要立即关注的资源。
  • 敏感数据发现:查找和汇总云和 AI 数据资产中的敏感数据资源。
  • AI 工作负载:发现 AI 应用程序占用内容,包括服务、容器、数据集和模型。

详细了解“数据和 AI 安全”仪表板

Defender CSPM 开始为 Azure Database for MySQL 灵活服务器和 Azure Database for PostgreSQL 灵活服务器资源计费

2025 年 5 月 1 日

更改的估计日期: 2025 年 6 月

从 2025 年 6 月 1 日开始,Microsoft Defender CSPM 将在启用了 Defender CSPM 的订阅中开始为 Azure Database for MySQL 灵活服务器Azure Database for PostgreSQL 灵活服务器 资源计费。 这些资源已受 Defender CSPM 保护,无需用户作。 计费开始后,帐单可能会增加。

有关详细信息,请参阅 CSPM 计划定价

2025 年 4 月

日期 类别 更新
4 月 29 日 预览 GCP Vertex AI 中的 AI 姿态管理(预览版)
4 月 29 日 预览 Defender for Cloud 与 Mend.io 集成(预览版)
4 月 29 日 更改 更新了 GitHub 应用程序权限
4 月 28 日 更改 更新到计算机计划上的 Defender for SQL Server
4 月 27 日 正式发布 Microsoft Defender for Storage 中上传恶意软件扫描的新默认上限
4 月 24 日 正式发布 Defender CSPM 计划中 API 安全状况管理本机集成正式发布
4 月 7 日 即将进行的更改 Defender for App Service 警报的增强功能

GCP Vertex AI 中的 AI 姿势管理(预览版)

2025 年 4 月 29 日

Defender for Cloud 的 AI 安全状况管理功能现在支持 Google Cloud Platform (GCP) 顶点 AI(预览版)中的 AI 工作负载。

此版本的主要功能包括:

  • 现代 AI 应用探索:自动探索并编录部署在 GCP Vertex AI 中的 AI 应用组件、数据和 AI 工件。
  • 安全态势增强:检测配置错误,并接收内置建议和修正作,以增强 AI 应用程序的安全态势。
  • 攻击路径分析:使用高级攻击路径分析识别和修正风险,以保护 AI 工作负载免受潜在威胁。

这些功能旨在为 AI 资源提供全面的可见性、配置错误检测和加固,确保降低在 GCP Vertex AI 平台上开发的 AI 工作负载的风险。

详细了解AI 安全态势管理

Defender for Cloud 与 Mend.io 集成(预览版)

2025 年 4 月 29 日

Defender for Cloud 现已与预览版中的 Mend.io 集成。 此集成通过识别和缓解合作伙伴依赖项中的漏洞来增强软件应用程序安全性。 此集成简化了发现和修正过程,提高了整体安全性。

详细了解 Mend.io 集成

GitHub 应用程序权限更新

2025 年 4 月 29 日

Defender for Cloud 中的 GitHub 连接器将更新为包含 [自定义属性] 的管理员权限。 此权限用于提供新的上下文化功能,并限定为管理自定义属性架构。 可通过两种不同的方式授予权限:

  1. 在 GitHub 组织中,转到设置中的 GitHub 应用>,找到 Microsoft 安全 DevOps 应用程序,并接受权限请求。

  2. 在 GitHub 支持发送的自动电子邮件中,选择审核权限请求以接受或拒绝此更改。

注意:如果未执行上述作,现有连接器将继续工作,而不使用新功能。

更新到计算机计划上的 Defender for SQL Server

2025 年 4 月 28 日

Microsoft Defender for Cloud 中规划的 Defender for SQL Server 可保护 Azure、AWS、GCP 和本地计算机上托管的 SQL Server 实例。

即日起,我们将逐步发布该计划的增强智能体解决方案。 基于代理的解决方案无需部署 Azure Monitor 代理(AMA),而是使用现有的 SQL 基础结构。 该解决方案旨在简化载入过程并提高保护覆盖范围。

必要的客户操作

  1. 更新计算机上 SQL 服务器防御者计划的配置:在今天之前启用了 SQL 服务器防御者服务计划的客户必须依据发布的增强代理版本,按照以下说明更新其配置。

  2. 验证 SQL Server 实例保护状态:预计开始日期为 2025 年 5 月,客户必须在其环境中验证其 SQL Server 实例的保护状态。 了解如何 排查计算机配置上 Defender for SQL 的任何部署问题

注意

智能体升级后,如果其他 SQL Server 实例受到计算机计划上已启用的 Defender for SQL Server 的保护,则可能会遇到计费增加的情况。 有关计费信息,请查看 Defender for Cloud 定价页

Microsoft Defender for Storage 中上传恶意软件扫描的新默认上限

2025 年 4 月 27 日

上传恶意软件扫描的默认上限值已从 5,000GB 更新为 10,000GB。 此新上限适用于以下方案:

  • 新订阅: 首次启用 Defender for Storage 的订阅。

  • 重新启用的订阅: 以前禁用 Defender for Storage 且现已重新启用的订阅。

为这些订阅启用 Defender for Storage Malware 扫描后,上传恶意软件扫描的默认上限将设置为 10,000GB。 此上限是可调整的,以满足你的特定需求。

有关更多详细信息,请参阅 有关恶意软件扫描的部分 - 按 GB 计费、每月上限和配置

Defender CSPM 计划中 API 安全状况管理本机集成正式发布

2025 年 4 月 24 日

API 安全状况管理现已正式发布,作为 Defender CSPM 计划的一部分。 此版本引入了 API 的统一库存清单以及安全状况洞察,帮助你直接从 Defender CSPM 计划中更有效地识别和确定 API 风险的优先级。 可以通过“环境设置”页启用此功能,方法是启用 API 安全状况扩展。

通过此更新,添加了新的风险因素,包括未经身份验证的 API(AllowsAnonymousAccess)的风险因素,以及缺少加密的 API(UnencryptedAccess)。 此外,通过 Azure API 管理发布的 API 现在允许映射回任何连接的 Kubernetes 入口和 VM,从而提供对 API 暴露的端到端可见性,并通过攻击路径分析支持风险修正。

Defender for App Service 警报的增强功能

2025 年 4 月 7 日

2025 年 4 月 30 日,将增强 Defender for App Service 警报功能。 我们将针对可疑的代码执行行为以及对内部或远程端点的访问添加警报。 此外,通过扩展逻辑并删除导致不必要的干扰的警报,改进了相关警报的覆盖范围和降低干扰。 在此过程中,将弃用警报“检测到可疑的 WordPress 主题调用”。

2025 年 3 月

日期 类别 更新
3 月 30 日 正式发布 通过针对 AKS 节点的漏洞评估和恶意软件检测增强的容器保护现已正式发布
3 月 27 日 预览 Kubernetes 封闭部署(预览版)
3 月 27 日 预览 可在 Defender for Storage 中自定义上传恶意软件扫描筛选器(预览版)
3 月 26 日 正式发布 Azure 中对 CMK 的无代理 VM 扫描支持正式发布
3 月 11 日 即将进行的更改 建议严重性级别的即将变更
3 月 3 日 正式发布 基于 Azure 政府中 Microsoft Defender for Endpoint 的文件完整性监视 (FIM) 正式发布

通过针对 AKS 节点的漏洞评估和恶意软件检测增强的容器保护现已正式发布

2025 年 3 月 30 日

Defender for Cloud 现在为 Azure Kubernetes 服务 (AKS) 中的节点提供正式发布的漏洞评估和恶意软件检测。 为这些 Kubernetes 节点提供安全保护,使客户能够在整个托管 Kubernetes 服务中维护安全性和合规性,并了解他们在与托管云提供商共同承担的安全责任中的一部分。 若要接收新功能,必须在订阅中启用“计算机无代理扫描”,作为 Defender CSPM、Defender for Containers 或 Defender for Servers P2 计划的一部分。

漏洞评估

Azure 门户中现在提供了新的建议: AKS 节点应已解决漏洞发现。 使用此建议,现在可以查看和修正在 Azure Kubernetes 服务(AKS)节点上发现的漏洞和 CVE。

恶意软件检测

当无代理恶意软件检测功能在 AKS 节点中检测到恶意软件时,将触发新的安全警报。 无代理恶意软件检测利用 Microsoft Defender 防病毒反恶意软件引擎来扫描和检测恶意文件。 若检测到任何威胁,系统会将安全警报定向到 Defender for Cloud 和 Defender XDR 中,用户可在其中进行调查和修正。

注意: AKS 节点的恶意软件检测仅适用于 Defender for Containers 或 Defender for Servers P2 启用的环境。

Kubernetes 封闭部署(预览版)

2025 年 3 月 27 日

我们将 Kubernetes 封闭部署(预览版)功能引入 Defender for Containers 计划。 Kubernetes 封闭部署是一种机制,通过控制违反组织安全策略的容器映像的部署来增强 Kubernetes 安全性。

此功能基于两项新功能:

  • 漏洞查找项目:为扫描漏洞评估的每个容器映像生成发现。
  • 安全规则:添加安全规则来提醒或阻止将易受攻击的容器映像部署到 Kubernetes 群集。

自定义安全规则:客户可以自定义各种环境的安全规则、组织内的 Kubernetes 群集或命名空间的安全规则,以实现根据特定需求和符合性要求定制的安全控制。

安全规则的可配置操作

  • 审核:尝试部署易受攻击的容器映像会触发“审核”作,生成包含容器映像冲突详细信息的建议。

  • 拒绝:尝试部署易受攻击的容器映像会触发“拒绝”作,以防止部署容器映像,确保仅部署安全且合规的映像。

端到端安全性:将易受攻击的容器映像部署保护定义为第一个安全规则,我们将引入端到端 Kubernetes 安全防护机制,确保易受攻击的容器不会进入客户的 Kubernetes 环境。

有关此功能的详细信息,请参阅 封闭式部署解决方案概述

可在 Defender for Storage 中自定义上传恶意软件扫描筛选器(预览版)

2025 年 3 月 27 日

上传恶意软件扫描现在支持可自定义的筛选器。 用户可以根据 Blob 路径前缀、后缀以及 Blob 大小设置上传恶意软件扫描的排除规则。 通过排除特定的 Blob 路径和类型(例如日志或临时文件),可以避免不必要的扫描并降低成本。

了解如何 配置可自定义的上传恶意软件扫描筛选器

Azure 中对 CMK 的无代理 VM 扫描支持正式发布

2025 年 3 月 26 日

使用 CMK 加密磁盘的 Azure VM 的无代理扫描功能现已正式发布。 Defender CSPM 计划和 Defender for Servers P2 都支持 VM 的无代理扫描,现在所有云都支持 CMK

了解如何 使用 CMK 加密磁盘为 Azure VM 启用无代理扫描

即将对建议严重性级别的更改

2025 年 3 月 11 日

我们正在增强建议的严重性级别,以提高风险评估和优先级。 作为此更新的一部分,我们重新评估了所有严重性分类,并引入了新的级别 - 关键级别。 以前,建议分为三个级别:低、中和高。 通过此更新,现在有四个不同的级别:低、中、高和关键,提供更精细的风险评估,帮助客户专注于最紧迫的安全问题。

因此,客户可能会注意到现有建议的严重性发生更改。 此外,仅面向 Defender CSPM 客户的风险级别评估也可能受到影响,因为考虑了建议严重性和资产上下文。 这些调整可能会影响总体风险级别。

预计的更改将于 2025 年 3 月 25 日进行。

基于 Azure 政府中 Microsoft Defender for Endpoint 的文件完整性监视 (FIM) 正式发布

2025 年 3 月 3 日

基于 Microsoft Defender for Endpoint 的文件完整性监视现已在 Azure 政府版(GCCH)中正式发布,作为 Defender for Servers 计划 2 的一部分。

  • 通过实时监视关键文件和注册表并审核更改,满足合规要求。
  • 通过检测可疑文件内容更改来识别潜在的安全问题。

这种改进的 FIM 体验用 Log Analytics 代理 (MMA) 停用取代了现有的弃用体验。 Azure 政府将继续支持基于 MMA 的 FIM 体验,直到 2023 年 3 月底。

在此版本中发布了一个产品内体验,你可将基于 MMA 的 FIM 配置迁移到基于 Defender for Endpoint 的新 FIM。

有关如何通过 Defender for Endpoint 启用 FIM 的信息,请参阅使用 Microsoft Defender for Endpoint 进行文件完整性监视。 有关如何禁用早期版本并使用迁移工具的信息,请参阅 从以前的版本迁移文件完整性监视

重要

目前不计划支持 Azure 中国世纪互联和 GCCM 云中的文件完整性监视功能。

2025 年 2 月

日期 类别 更新
2 月 27 日 更改 改进了 AWS EC2 资源名称显示
2 月 27 日 正式发布 Microsoft Defender for Storage 中的按需恶意软件扫描
2 月 27 日 正式发布 Defender for Storage 恶意软件扫描支持最高 50GB 的 Blob
2 月 23 日 预览 针对 AKS 运行时容器的容器注册表无关无代理漏洞评估(预览版)
2 月 23 日 预览 “数据和 AI 安全”仪表板(预览版)
2 月 19 日 预览 MDC 成本计算器(预览版)
2 月 19 日 预览 31 个新的和增强的多云监管标准覆盖范围

改进了 AWS EC2 资源名称显示

2025 年 2 月 27 日

更改的估计日期: 2025 年 3 月

我们正在增强如何在平台中显示 AWS EC2 实例的资源名称。 如果 EC2 实例定义了“name”标记,则 “资源名称 ”字段现在将显示该标记的值。 如果没有“name”标记, “资源名称 ”字段将继续像以前一样显示 实例 ID 。 资源 ID 仍将在 “资源 ID ”字段中提供供参考。

使用 EC2“name”标记,可以轻松使用自定义有意义的名称而不是 ID 来标识资源。 这使得查找和管理特定实例更快,减少了搜索或交叉引用实例详细信息所花费的时间和精力。

Microsoft Defender for Storage 中的按需恶意软件扫描

2025 年 2 月 27 日

Microsoft Defender for Storage 中的按需恶意软件扫描(现已正式发布)支持在需要时扫描 Azure 存储帐户中的现有 Blob。 可以从 Azure 门户 UI 或通过 REST API 启动扫描,支持通过逻辑应用、自动化 playbook 和 PowerShell 脚本实现自动化。 此功能将 Microsoft Defender 防病毒与最新的恶意软件定义配合用于每次扫描,并在扫描之前在 Azure 门户中提供前期成本估计。

用例:

  • 事件响应:检测到可疑活动后扫描特定存储帐户。
  • 安全基线:首次启用 Defender for Storage 时扫描所有存储的数据。
  • 合规性:设置自动化以安排有助于满足法规和数据保护标准的扫描。

有关详细信息,请参阅按需恶意软件扫描

Defender for Storage 恶意软件扫描支持最高 50 GB 的 Blob

2025 年 2 月 27 日

Defender for Storage 恶意软件扫描现在支持大小高达 50GB 的 Blob(以前限制为 2GB)。

请注意,对于上传大型 Blob 的存储帐户,增加的 Blob 大小限制将导致每月费用增加。

若要避免意外的高费用,可能需要对每月扫描的总 GB 设置适当的上限。 有关详细信息,请参阅上传时恶意软件扫描的成本控制

针对 AKS 运行时容器的容器注册表无关无代理漏洞评估(预览版)

2025 年 2 月 23 日

Defender for Containers 和 Defender for Cloud Security Posture Management(CSPM)计划现在包括针对 AKS 运行时容器的无需依赖特定容器注册表的无代理漏洞评估。 除了扫描 AKS 群集中运行的 Kubernetes 加载项和第三方工具外,此增强功能还扩展了漏洞评估范围,包括包含来自任何注册表(不限于受支持注册表)的映像正在运行的容器。 若要启用此功能,请确保在 Defender for Cloud 环境设置中为订阅启用了 无代理计算机扫描

“数据和 AI 安全”仪表板(预览版)

2025 年 2 月 23 日

Defender for Cloud 正在增强“数据安全”仪表板,以便在新的“数据和 AI 安全”仪表板(预览版)中包含 AI 安全性。 该仪表板提供一个集中的平台来监视和管理数据和 AI 资源,以及它们相关的风险和保护状态。

“数据和 AI 安全”仪表板的主要优势包括:

  • 统一视图:全面了解所有组织数据和 AI 资源。
  • 数据见解:了解数据存储的位置以及保存数据的资源类型。
  • 保护覆盖范围:评估数据和 AI 资源的保护覆盖范围。
  • 关键问题:根据高严重性建议、警报和攻击路径突出显示需要立即关注的资源。
  • 敏感数据发现:查找和汇总云和 AI 数据资产中的敏感数据资源。
  • AI 工作负载:发现 AI 应用程序占用内容,包括服务、容器、数据集和模型。

详细了解“数据和 AI 安全”仪表板

MDC 成本计算器(预览版)

2025 年 2 月 19 日

我们很高兴推出新的 MDC 成本计算器,帮助你轻松估算与保护云环境相关的成本。 此工具量身定制,便于你清晰、准确地了解你的支出,从而确保你能够有效地进行规划和预算。

为何要使用成本计算器?

我们的成本计算器可用于定义保护需求的范围,从而简化了估算成本的过程。 选择要启用的环境和计划,然后计算器会自动填充每个计划的可计费资源,包括任何适用的折扣。 你将毫无意外地全面了解你的潜在成本。

主要功能:

范围定义:选择感兴趣的计划和环境。 计算器会执行发现过程,自动填充每个环境中每个计划的计费单位数。

自动调整和手动调整:该工具支持自动收集数据和手动调整。 可修改单位数量和折扣级别,以查看更改如何影响总体成本。

综合成本估算:计算器为每个计划提供估算值并提供总成本报告。 你会获得详细的成本明细,更轻松地理解和管理支出。

多云支持:我们的解决方案适用于所有受支持的云,确保无论云提供商如何,你都能获得准确的成本估算。

导出和共享:获得成本估算后,可以轻松导出和共享该值进行预算规划和审批。

31 个新的和增强的多云监管标准覆盖范围

2025 年 2 月 19 日

我们很高兴地宣布,在 Azure、AWS 和 GCP 的 Defender for Cloud 中增强和扩展了对超过 31 个安全和监管框架的支持。 这种增强简化了实现和维护合规性的路径,降低了数据泄露的风险,并帮助避免罚款和声誉损害。

新的和增强的框架包括

标准
EU 2022 2555 (NIS2) 2022 Azure、AWS、GCP
欧盟一般数据保护条例 (GDPR) 2016 679 Azure、AWS、GCP
NIST CSF v2.0 Azure、AWS、GCP
NIST 800 171 Rev3 Azure、AWS、GCP
NIST SP 800 53 R5.1.1 Azure、AWS、GCP
PCI DSS v4.0.1 Azure、AWS、GCP
CIS AWS 基金会 v3.0.0 AWS
CIS Azure 基础 v2.1.0 蔚蓝
CIS Controls v8.1 Azure、AWS、GCP
CIS GCP 基础 v3.0 GCP
HITRUST CSF v11.3.0 Azure、AWS、GCP
SOC 2023 Azure、AWS、GCP
SWIFT客户安全控制框架2024 Azure、AWS、GCP
ISO IEC 27001:2022 Azure、AWS、GCP
ISO IEC 27002:2022 Azure、AWS、GCP
ISO IEC 27017:2015 Azure、AWS、GCP
网络安全成熟度模型认证 (CMMC) Level 2 v2.0 Azure、AWS、GCP
AWS 架构良好的框架 2024 AWS
加拿大联邦 PBMM 3.2020 Azure、AWS、GCP
APRA CPS 234 2019 Azure、AWS
CSA 云控制矩阵 v4.0.12 Azure、AWS、GCP
Cyber Essentials v3.1 Azure、AWS、GCP
刑事司法信息系统安全政策 v5.9.5 Azure、AWS、GCP
FFIEC CAT 2017 Azure、AWS、GCP
巴西通用数据保护法 (LGPD) 2018 蔚蓝
NZISM v3.7 Azure、AWS、GCP
萨班斯•奥克斯利法案 2022 (SOX) Azure、AWS
NCSC Cyber Assurance Framework (CAF) v3.2 Azure、AWS、GCP

这紧随几个月前最近发布的 CIS Azure Kubernetes 服务 (AKS) v1.5、CIS Google Kubernetes 引擎 (GKE) v1.6 和 CIS Amazon Elastic Kubernetes 服务 (EKS) v.15。

有关 Defender for Cloud 法规合规性产品/服务的详细信息,请了解详细信息>

2025 年 1 月

日期 类别 更新
1 月 30 日 正式发布 更新容器注册表的扫描条件
1 月 29 日 更改 基于 MDVM 技术支持的容器漏洞评估扫描的功能增强
1 月 27 日 正式发布 为 GCP 连接器添加了权限以支持 AI 平台
1 月 20 日 更改 由 GC 提供技术支持的 Linux 基线建议的增强功能

更新容器注册表的扫描标准

2025 年 1 月 30 日

我们正在更新适用于所有云和外部注册表(AzureAWSGCPDockerJFrog)的注册表映像的预览建议中的一项扫描条件。

有什么变化?

目前,在映像被推送到注册表后,我们将映像重新扫描 90 天。 现在将改回扫描 30 天。

注意

注册表映像上的容器漏洞评估 (VA) 的相关 GA 建议没有更改。

针对由 MDVM 提供技术支持的容器漏洞评估扫描的增强功能

2025 年 1 月 29 日

我们很高兴宣布通过以下更新增强了对容器漏洞评估扫描的覆盖范围:

  • 其他编程语言:现在支持 PHP、Ruby 和 Rust。

  • 扩展 Java 语言支持:包括扫描分离型 JAR。

  • 改进了内存使用:读取大型容器映像文件时优化了性能。

为 GCP 连接器添加了权限以支持 AI 平台

2025 年 1 月 27 日

GCP 连接器现在具有了其他权限,可支持 GCP AI 平台 (Vertex AI):

  • aiplatform.batchPredictionJobs.list
  • aiplatform.customJobs.list
  • aiplatform.datasets.list
  • aiplatform.datasets.get
  • aiplatform.endpoints.getIamPolicy
  • aiplatform.endpoints.list
  • aiplatform.indexEndpoints.list
  • aiplatform.indexes.list
  • aiplatform.models.list
  • aiplatform.models.get
  • aiplatform.pipelineJobs.list
  • aiplatform.schedules.list
  • aiplatform.tuningJobs.list
  • discoveryengine.dataStores.list
  • discoveryengine.documents.list
  • discoveryengine.engines.list
  • notebooks.instances.list

由 GC 提供技术支持的 Linux 基线建议的增强功能

2025 年 1 月 20 日

我们正在增强基线 Linux(由 GC 提供技术支持)功能,以提高其准确度和覆盖范围。 在 2 月,你可能会注意到一些更改,例如更新后的规则名称和其他规则。 这些改进旨在使基线评估更准确和保持最新状态。 有关变更的详细信息,请参阅相关博客

某些变更可能包括其他对“公共预览版”的更改。 此更新对你有所助益,我们希望让你随时了解情况。 如果你愿意,可以从资源中免除建议或删除 GC 扩展来退出此建议。

2024 年 12 月

日期 类别 更新
12 月 31 日 正式发布 对现有云连接器扫描间隔的更改
12 月 22 日 正式发布 需要进行 Microsoft Defender for Endpoint 客户端版本更新才能使用文件完整性监视 (FIM) 体验
12 月 17 日 预览 将 Defender for Cloud CLI 与常用 CI/CD 工具集成
12 月 10 日 正式发布 Defender for Cloud 设置体验
12 月 10 日 正式发布 适用于云环境的 Defender for Cloud 扫描的修订间隔选项
12 月 17 日 正式发布 敏感度扫描功能现在包括 Azure 文件共享

对现有云连接器扫描间隔的更改

2024 年 12 月 31 日

本月早些时候,发布了一项更新,内容涉及修订后的 Defender for Cloud 用于扫描云环境的时间间隔选项。 扫描间隔设置确定 Defender for Cloud 发现服务扫描云资源的频率。 此更改可确保扫描流程更加均衡,从而优化性能,并最大程度地降低达到 API 限制的风险。

现有 AWS 和 GCP 云连接器的扫描间隔设置将会更新,以确保 Defender for Cloud 具备扫描云环境的能力。

将进行以下调整:

  • 当前设置为 1-3 小时的间隔将更新为 4 小时。
  • 当前设置为 5 小时的间隔将更新为 6 小时。
  • 当前设置为 7-11 小时的间隔将更新为 12 小时。
  • 间隔为13小时或更长的时间将更新为24小时。

如果你希望采用不同的扫描间隔,可以使用环境设置页面来调整云连接器。 这些更改将于 2025 年 2 月初自动应用于所有客户,无需执行进一步操作。

敏感度扫描功能现在包括 Azure 文件共享

2024 年 12 月 17 日

除了 Blob 容器之外,Defender for Cloud 的云安全态势管理 (CSPM) 敏感度扫描功能现在还包括 Azure 文件共享正式发布版。

在此更新之前,在订阅上启用 Defender CSPM 计划会自动扫描存储帐户中的 Blob 容器以获取敏感数据。 通过此更新,Defender for CSPM 的敏感度扫描功能现在包括这些存储帐户中的文件共享。 此增强功能改进了敏感存储帐户的风险评估和保护,从而可对潜在风险进行更全面的分析。

详细了解敏感度扫描

Microsoft Defender for Cloud 中的 Defender for Cloud CLI 扫描功能与常用 CI/CD 工具的集成现已提供公共预览版。 现可将 CLI 用于 CI/CD 管道,以扫描和识别容器化源代码中的安全漏洞。 此功能可协助开发团队在管道执行期间检测和解决代码漏洞。 它要求针对 Microsoft Defender for Cloud 进行身份验证,并要求修改管道脚本。 扫描结果会上传到 Microsoft Defender for Cloud,便于安全团队查看并将结果与容器注册表中的容器相关联。 此解决方案自动且持续提供见解,加快风险检测和响应速度,确保安全的同时不会中断工作流。

用例:

  • 在 CI/CD 工具中扫描管道:安全地监视调用 CLI 的所有管道。
  • 早期漏洞检测:在管道中发布结果,并将结果发送到 Microsoft Defender for Cloud。
  • 持续安全见解:在开发周期内随时掌握安全情况并快速响应,而不会影响工作效率。

有关详细信息,请参阅将 Defender for Cloud CLI 与常用 CI/CD 工具集成

Defender for Cloud 设置体验

2024 年 12 月 10 日

设置体验允许你通过连接云基础设施、代码存储库和外部容器注册表等云环境,迈出使用 Microsoft Defender for Cloud 的第一步。

在设置云环境的过程中,你将得到指导,以便使用先进的安全性计划来保护你的资产,轻松执行快速操作以大规模提高安全覆盖范围,了解连接问题,并接收新安全功能的通知。 可以通过在 Defender for Cloud 菜单中选择“设置来访问新的体验。

适用于云环境的 Defender for Cloud 扫描的修订间隔选项

2024 年 12 月 10 日

与 AWS、GCP、Jfrog 和 DockerHub 相关联的云连接器的扫描间隔选项已得到修订。 扫描间隔功能允许你控制 Defender for Cloud 发起云环境扫描的频率。 在添加或编辑云连接器时,可以将扫描间隔设置为 4 小时、6 小时、12 小时或 24 小时。 新连接器的默认扫描间隔为 12 小时。

需要进行 Microsoft Defender for Endpoint 客户端版本更新才能使用文件完整性监视 (FIM) 体验

2025 年 6 月

从 2025 年 6 月开始,文件完整性监视(FIM)需要最低 Defender for Endpoint(MDE)客户端版本。 请确保使用的客户端版本不低于以下版本,以便能够继续在 Microsoft Defender for Cloud 中享受 FIM 带来的益处:Windows 系统需达到 10.8760 版本,Linux 系统需达到 30.124082 版本。 了解详细信息

后续步骤

查看安全建议和警报中的新增功能