你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本页提供有关超过 6 个月的功能、修补程序和弃用的信息。 有关最新更新,请阅读
2025 年 6 月
| Date | Category | Update |
|---|---|---|
| 6 月 30 日 | Preview | 基于 Helm(预览版)Defender> |
| 6 月 25 日 | Preview | 用于存储恶意软件扫描结果的可选索引标记(预览版) |
| 6 月 25 日 | Preview | 用于函数应用和逻辑应用中的 API 的 API 发现与安全态势(预览版) |
| 6 月 25 日 | Preview | 无代理文件完整性监视 (预览版) |
| 6 月 18 日 | Preview | 无代理代码扫描 - GitHub支持和可自定义的覆盖范围现已提供(预览版) |
基于 Helm 的容器 DNS 检测Defender(预览版)
包括的内容:
基于 Helm 的部署支持
有关设置说明和更多详细信息,请参阅使用 Helm 的容器传感器的 Install Defender。
DNS 威胁检测
提高内存效率并减少大型群集部署的 CPU 消耗。
有关详细信息,请参阅:Sensor for Defender for Containers Changelog。
用于存储恶意软件扫描结果的可选索引标记(预览版)
2025 年 6 月 25 日
存储恶意软件扫描的Defender为上传和按需扫描引入了可选的索引标记。 借助这项新功能,用户可以选择在扫描 Blob 时将结果发布到 Blob 的索引标记(默认选项),或者不使用索引标记。 可以通过Azure门户或 API 在订阅和存储帐户级别启用或禁用索引标记。
函数应用和逻辑应用中托管的 API 的 API 发现和安全状况(预览版)
2025 年 6 月 25 日
Defender for Cloud现在扩展了 API 发现和安全态势功能,以包括托管在 Azure Function Apps 和 Logic Apps 中的 API,以及其对 Azure API 管理 中发布的 API 的现有支持。
此增强功能使安全团队能够全面且持续更新其组织的 API 攻击面视图。 关键功能包括:
- Centralized API Inventory:跨受支持的Azure服务自动发现和编录 API。
- 安全风险评估:识别和确定风险的优先级,包括识别可能要求删除的休眠 API,以及可能公开敏感数据的未加密 API。
这些功能
推出时间线:这些更新的推出将于 2025 年 6 月 25 日开始,预计将在一周内到达所有 受支持的区域 。
无代理文件完整性监视 (预览版)
2025 年 6 月 25 日
无代理文件完整性监视(FIM)现在以预览版提供。 此功能补充了基于 Microsoft Defender for Endpoint 代理的正式版 (GA) FIM 解决方案,并引入了对自定义文件和注册表监视的支持。
无代理 FIM 使组织能够在环境中监视文件和注册表更改,而无需部署其他代理。 它提供轻型、可缩放的替代方案,同时保持与基于代理的现有解决方案的兼容性。
关键功能包括:
- 自定义监视:通过定义和监视自定义文件路径和注册表项来满足特定的符合性和安全性要求。
- 统一体验:来自无代理和基于 MDE 的 FIM 的事件存储在同一工作区表中,其中包含明确的源指示器。
无代理代码扫描 - 现已提供GitHub支持和可自定义覆盖范围(预览版)
2025 年 6 月 18 日
我们更新了无代理代码扫描功能,包括扩展覆盖范围和控制的关键功能。 这些更新包括:
- 除了Azure DevOps之外,还支持GitHub存储库
- 可自定义扫描程序选择 – 选择要运行的工具(例如,Bandit、Checkov、ESLint)
- 精细范围配置 - 包括或排除特定组织、项目或存储库
无代理代码扫描提供可扩展的安全扫描解决方案,用于代码和基础设施即代码(IaC),无需更改 CI/CD 管道。 它可帮助安全团队检测漏洞和配置错误,而不会中断开发人员工作流。
详细了解如何在 Azure DevOps 或 GitHub
2025年5月
| Date | Category | Update |
|---|---|---|
| 5 月 28 日 | GA | |
| 5 月 5 日 | Preview | 活动用户(公共预览版) |
| 5 月 1 日 | GA | |
| 5 月 1 日 | GA | |
| 5 月 1 日 | GA | 正式发布数据和 AI 安全仪表板 |
| 5 月 1 日 | 即将发生的更改 | Defender CSPM开始计费Azure Database for MySQL灵活服务器和Azure Database for PostgreSQL灵活服务器资源 |
适用于存储Defender中可自定义上传恶意软件扫描筛选器的正式发布
2025 年 5 月 28 日
上传恶意软件扫描现在支持可自定义的筛选器。 用户可以根据 blob 路径前缀、后缀和 Blob 大小设置上传恶意软件扫描的排除规则。 通过排除特定的 Blob 路径和类型(例如日志或临时文件),可以避免不必要的扫描并降低成本。
了解如何 配置可自定义的上传恶意软件扫描筛选器。
活动用户(公共预览版)
活动用户功能可帮助安全管理员根据最近的控制平面活动快速识别并分配建议给最相关的用户。 对于每个建议,资源、资源组或订阅级别最多建议三个潜在活动用户。 管理员可以从列表中选择一个用户,分配建议,并设置截止日期,从而触发分配给分配的用户的通知。 这样可简化修正工作流,缩短调查时间,并增强整体安全态势。
适用于 AI 服务的 Defender正式发布
2025 年 5 月 1 日
Defender for Cloud现在支持对Azure AI 服务(以前称为 AI 工作负载的威胁防护)的运行时保护。
Azure AI 服务保护涵盖特定于 AI 服务和应用程序的威胁,例如越狱、钱包滥用、数据泄露、可疑访问模式等。 检测使用来自Microsoft威胁智能和Azure AI 提示盾牌的信号,并应用机器学习和 AI 来保护 AI 服务。
详细了解 适用于 AI 服务的 Defender。
智能 Microsoft Security Copilot 副驾驶®现已在 Defender for Cloud 中正式发布
2025 年 5 月 1 日
智能 Microsoft Security Copilot 副驾驶®现已在 Defender for Cloud 中正式发布。
Security Copilot加快安全团队的风险修正速度,使管理员能够更快、更轻松地应对云风险。 它提供 AI 生成的摘要、修正作和委派电子邮件,指导用户完成风险降低过程的每个步骤。
安全管理员可以通过电子邮件向资源所有者快速汇总建议、生成修正脚本和委托任务。 这些功能可减少调查时间,帮助安全团队了解上下文中的风险,并识别资源以快速修正。
在 Defender for Cloud 中详细了解
数据与 AI 的安全仪表板正式发布
2025 年 5 月 1 日
Defender for Cloud正在增强数据安全仪表板,以在正式版中包含新的数据和 AI 安全仪表板的 AI 安全性。 该仪表板提供一个集中的平台来监视和管理数据和 AI 资源,以及它们相关的风险和保护状态。
数据和 AI 安全仪表板的主要优势包括:
- 统一视图:全面了解所有组织数据和 AI 资源。
- 数据见解:了解数据存储的位置以及保存数据的资源类型。
- 保护覆盖范围:评估数据和 AI 资源的保护覆盖范围。
- 关键问题:根据高严重性建议、警报和攻击路径突出显示需要立即关注的资源。
- 敏感数据发现:查找和汇总云和 AI 数据资产中的敏感数据资源。
- AI 工作负载:发现 AI 应用程序占用内容,包括服务、容器、数据集和模型。
详细了解“数据和 AI 安全”仪表板。
Defender CSPM开始计费Azure Database for MySQL灵活服务器和Azure Database for PostgreSQL灵活服务器资源
2025 年 5 月 1 日
更改的估计日期: 2025 年 6 月
从 2025 年 6 月 1 日开始,Microsoft Defender CSPM 开始对订阅中的
有关详细信息,请参阅 CSPM 计划定价
2025 年 4 月
| Date | Category | Update |
|---|---|---|
| 4 月 29 日 | Preview | GCP Vertex AI 中的 AI 姿态管理(预览版) |
| 4 月 29 日 | Preview | |
| 4 月 29 日 | Change | 已更新GitHub应用程序权限 |
| 4 月 28 日 | Change | 更新为计算机计划上的 SQL Server Defender |
| 4 月 27 日 | GA | 存储Microsoft Defender中上传恶意软件扫描的新默认上限 |
| 4 月 24 日 | GA | Defender CSPM Plan 中 API 安全状况管理本机集成的一般可用性 |
| 4 月 7 日 | 即将进行的更改 | 应用服务警报Defender的enhancements |
GCP Vertex AI 中的 AI 姿势管理(预览版)
2025 年 4 月 29 日
Defender for Cloud的 AI 安全状况管理功能现在支持 Google Cloud Platform (GCP) 顶点 AI(预览版)中的 AI 工作负载。
此版本的主要功能包括:
- 现代 AI 应用探索:自动探索并编录部署在 GCP Vertex AI 中的 AI 应用组件、数据和 AI 工件。
- 安全态势增强:检测配置错误,并接收内置建议和修正作,以增强 AI 应用程序的安全态势。
- 攻击路径分析:使用高级攻击路径分析识别和修正风险,以保护 AI 工作负载免受潜在威胁。
这些功能旨在为 AI 资源提供全面的可见性、配置错误检测和加固,确保降低在 GCP Vertex AI 平台上开发的 AI 工作负载的风险。
详细了解AI 安全态势管理。
Defender for Cloud与 Mend.io 集成(预览版)
2025 年 4 月 29 日
Defender for Cloud现已与预览版中的 Mend.io 集成。 此集成通过识别和缓解合作伙伴依赖项中的漏洞来增强软件应用程序安全性。 此集成简化了发现和修正过程,提高了整体安全性。
详细了解 Mend.io 集成。
GitHub应用程序权限更新
2025 年 4 月 29 日
Defender for Cloud中的GitHub连接器将更新为包含 [自定义属性]的管理员权限。 此权限用于提供新的上下文化功能,并限定为管理自定义属性架构。 可通过两种不同的方式授予权限:
在 GitHub 组织中,导航到
Settings 并接受权限请求。GitHub Apps 在GitHub支持的自动电子邮件中,选择Review 权限请求接受或拒绝此更改。
注意:如果未执行上述作,现有连接器将继续工作,而不使用新功能。
更新为计算机计划上的 SQL Server Defender
2025 年 4 月 28 日
Microsoft Defender for Cloud中计划SQL Server的Defender可保护托管在 Azure、AWS、GCP 和本地计算机上的SQL Server实例。
从今天开始,我们将逐步推出针对该计划的代理解决方案的增强版。 基于代理的解决方案无需部署Azure Monitor代理(AMA),而是使用现有的 SQL 基础结构。 该解决方案旨在简化载入过程并提高保护覆盖范围。
所需的客户操作
更新计算机计划配置上的 SQL Server Defender:在今天之前为计算机计划中SQL Server启用Defender的客户需要按照以下说明更新其配置,遵循增强的代理版本。
Verify SQL Server 实例保护状态:预计开始日期为 2025 年 5 月,客户必须在环境中验证其SQL Server实例的保护状态。 了解如何在计算机配置上Defender sql
troubleshoot 任何部署问题。
Note
代理升级发生后,如果其他SQL Server实例受到保护,则可能会遇到计费增加的情况,这些实例会受到计算机计划上 SQL Server 的启用Defender保护。 有关计费信息,请查看 Defender for Cloud 定价页。
存储Microsoft Defender中上传恶意软件扫描的新默认上限
2025 年 4 月 27 日
上传恶意软件扫描的默认上限值已从 5,000 GB 更新为 10,000 GB。 此新上限适用于以下方案:
首次启用存储Defender的订阅:订阅。
已启用的 Subscriptions: 以前禁用了存储Defender的订阅,现已重新启用。
为这些订阅启用存储恶意软件扫描Defender时,上传恶意软件扫描的默认上限将设置为 10,000GB。 此上限是可调整的,以满足你的特定需求。
如需更多详细信息,请参阅有关恶意软件扫描 - 按 GB 计费、每月上限和配置的部分
DEFENDER CSPM计划中 API 安全状况管理本机集成正式发布
2025 年 4 月 24 日
API 安全状况管理现已正式发布,作为Defender CSPM计划的一部分。 此版本引入了 API 的统一清单以及状况见解,帮助你直接从Defender CSPM计划中识别和确定 API 风险的优先级。 可以通过“环境设置”页启用此功能,方法是启用 API 安全状况扩展。
通过此更新,添加了新的风险因素,包括未经身份验证的 API(AllowsAnonymousAccess)的风险因素,以及缺少加密的 API(UnencryptedAccess)。 此外,通过Azure API 管理发布的 API 现在允许映射回任何连接的 Kubernetes 入口和 VM,从而提供对 API 暴露的端到端可见性,并通过攻击路径分析支持风险修正。
应用服务警报Defender增强功能
2025 年 4 月 7 日
2025 年 4 月 30 日,将增强应用服务警报功能的Defender。 我们将针对可疑的代码执行行为以及对内部或远程端点的访问添加警报。 此外,通过扩展逻辑并删除导致不必要的干扰的警报,改进了相关警报的覆盖范围和降低干扰。 在此过程中,将弃用警报“检测到可疑的 WordPress 主题调用”。
2025 年 3 月
| Date | Category | Update |
|---|---|---|
| 3 月 30 日 | GA | 通过针对 AKS 节点的漏洞评估和恶意软件检测增强的容器保护现已正式发布 |
| 3 月 27 日 | Preview | Kubernetes 封闭部署(预览版) |
| 3 月 27 日 | Preview | |
| 3 月 26 日 | GA | |
| 3 月 11 日 | 即将进行的更改 | 建议严重性级别的即将变更 |
| 3 月 3 日 | GA |
通过针对 AKS 节点的漏洞评估和恶意软件检测增强的容器保护现已正式发布
2025 年 3 月 30 日
Defender for Cloud现在为Azure Kubernetes 服务 (AKS)中的节点提供漏洞评估和恶意软件检测作为正式版。 为这些 Kubernetes 节点提供安全保护,使客户能够在整个托管 Kubernetes 服务中维护安全性和合规性,并了解他们与托管云提供商共同承担的安全责任。 若要接收新功能,必须启用 无代理扫描计算机“作为Defender CSPM的一部分,为容器启用Defender,或订阅上的 Server P2 计划的Defender。
漏洞评估
现在,Azure门户中提供了新建议:AKS 节点应具有已解决的漏洞发现。使用此建议,现在可以查看和修正在Azure Kubernetes 服务 (AKS)节点上发现的漏洞和 CVE。
恶意软件检测
当无代理恶意软件检测功能在 AKS 节点中检测到恶意软件时,将触发新的安全警报。 无代理恶意软件检测使用Microsoft Defender防病毒反恶意软件引擎扫描和检测恶意文件。 检测到威胁时,安全警报将定向到Defender for Cloud和Defender XDR,可在其中进行调查和修正。
Note: AKS 节点的恶意软件检测仅适用于容器的Defender,或适用于启用了服务器 P2 环境的Defender。
Kubernetes 封闭部署(预览版)
2025 年 3 月 27 日
我们将 Kubernetes 封闭部署(预览版)功能引入容器计划的Defender。 Kubernetes 封闭部署是一种机制,通过控制违反组织安全策略的容器映像的部署来增强 Kubernetes 安全性。
此功能基于两项新功能:
- 漏洞查找项目:为扫描漏洞评估的每个容器映像生成发现。
- 安全规则:添加安全规则来提醒或阻止将易受攻击的容器映像部署到 Kubernetes 群集。
自定义安全规则:客户可以自定义各种环境的安全规则、组织内的 Kubernetes 群集或命名空间的安全规则,以实现根据特定需求和符合性要求定制的安全控制。
安全规则的可配置操作
审核:尝试部署易受攻击的容器映像会触发“审核”作,生成包含容器映像冲突详细信息的建议。
拒绝:尝试部署易受攻击的容器映像会触发“拒绝”作,以防止部署容器映像,确保仅部署安全且合规的映像。
端到端安全性:将易受攻击的容器映像部署保护定义为第一个安全规则,我们将引入端到端 Kubernetes 安全防护机制,确保易受攻击的容器不会进入客户的 Kubernetes 环境。
有关此功能的详细信息,请参阅 封闭式部署解决方案概述。
可在存储Defender中自定义上传恶意软件扫描筛选器(预览版)
2025 年 3 月 27 日
上传恶意软件扫描现在支持可自定义的筛选器。 用户可以根据 blob 路径前缀、后缀和 Blob 大小设置上传恶意软件扫描的排除规则。 通过排除特定的 Blob 路径和类型(例如日志或临时文件),可以避免不必要的扫描并降低成本。
了解如何 配置可自定义的上传恶意软件扫描筛选器。
Azure中对 CMK 的无代理 VM 扫描支持的正式发布
2025 年 3 月 26 日
使用 CMK 加密磁盘的无代理扫描Azure VM 现已正式发布。 Defender CSPM计划和服务器 P2 Defender都支持对 VM 进行无代理扫描,现在所有云都支持 CMK
了解如何使用 CMK 加密磁盘对Azure VM 进行无代理扫描可启用无代理扫描。
即将对建议严重性级别的更改
2025 年 3 月 11 日
我们正在增强建议的严重性级别,以提高风险评估和优先级。 作为此更新的一部分,我们重新评估了所有严重性分类,并引入了新的级别 - 关键级别。 以前,建议分为三个级别:低、中和高。 通过此更新,现在有四个不同的级别:低、中、高和关键,提供更精细的风险评估,帮助客户专注于最紧迫的安全问题。
因此,客户可能会注意到现有建议的严重性发生更改。 此外,风险级别评估仅适用于Defender CSPM客户,也可能受到影响,因为考虑了建议严重性和资产上下文。 这些调整可能会影响总体风险级别。
预计的更改将于 2025 年 3 月 25 日进行。
基于Azure 政府中的Microsoft Defender for Endpoint的文件完整性监视(FIM)正式发布
2025 年 3 月 3 日
基于Microsoft Defender for Endpoint的文件完整性监视现已正式发布,Azure 政府 (GCCH)作为服务器计划 2 Defender的一部分。
- 通过实时监视关键文件和注册表并审核更改,满足合规要求。
- 通过检测可疑文件内容更改来识别潜在的安全问题。
此改进的 FIM 体验取代了为弃用而设置的现有 FIM 体验,并取代了 Log Analytics 代理 (MMA) 停用。 FIM 体验在 MMA 将一直支持到 2023 年 3 月底Azure 政府。
在此版本中,将发布产品内体验,以便通过 MMA 将 FIM 配置迁移到新的 FIM,Defender终结点版本。
有关如何通过终结点Defender启用 FIM 的信息,请参阅使用 Microsoft Defender for Endpoint 文件完整性监视。 有关如何禁用早期版本并使用迁移工具的信息,请参阅 从以前的版本迁移文件完整性监视。
Important
目前计划不支持由世纪互联运营的 Azure中的文件完整性监视和 GCCM 云中的文件完整性监视。
2025 年 2 月
| Date | Category | Update |
|---|---|---|
| 2 月 27 日 | Change | 改进了 AWS EC2 资源名称显示 |
| 2 月 27 日 | GA | 存储Microsoft Defender中按需扫描恶意软件 |
| 2 月 27 日 | GA | Defender存储恶意软件扫描 blob 高达 50 GB |
| 2 月 23 日 | Preview | 针对 AKS 运行时容器的容器注册表无关无代理漏洞评估(预览版) |
| 2 月 23 日 | Preview | “数据和 AI 安全”仪表板(预览版) |
| 2 月 19 日 | Preview | MDC 成本计算器(预览版) |
| 2 月 19 日 | Preview | 31 个新的和增强的多云监管标准覆盖范围 |
改进了 AWS EC2 资源名称显示
2025 年 2 月 27 日
更改的估计日期: 2025 年 3 月
我们正在增强如何在平台中显示 AWS EC2 实例的资源名称。 如果 EC2 实例定义了“name”标记,则 “资源名称 ”字段现在将显示该标记的值。 如果没有“name”标记, “资源名称 ”字段将继续像以前一样显示 实例 ID 。 资源 ID 仍将在 “资源 ID ”字段中提供供参考。
使用 EC2“name”标记,可以轻松使用自定义有意义的名称而不是 ID 来标识资源。 这使得查找和管理特定实例更快,减少了搜索或交叉引用实例详细信息所花费的时间和精力。
存储Microsoft Defender中的按需恶意软件扫描
2025 年 2 月 27 日
Microsoft Defender中的按需恶意软件扫描,现已正式发布,可在 Azure 存储 帐户中扫描Azure 存储帐户中的现有 blob。 可以从Azure门户 UI 或通过 REST API 启动扫描,支持通过逻辑应用、自动化 playbook 和 PowerShell 脚本实现自动化。 此功能将Microsoft Defender防病毒与每个扫描的最新恶意软件定义配合使用,并在扫描之前在 Azure 门户中提供前期成本估算。
用例:
- 事件响应:检测可疑活动后扫描特定存储帐户。
- Security 基线:首次启用存储Defender时扫描所有存储的数据。
- 符合性:将自动化设置为计划有助于满足法规和数据保护标准的扫描。
有关详细信息,请参阅按需恶意软件扫描。
Defender存储恶意软件扫描 blob,最大为 50 GB
2025 年 2 月 27 日
Defender存储恶意软件扫描现在支持大小高达 50GB 的 blob(以前限制为 2GB)。
请注意,对于上传大型 Blob 的存储帐户,增加的 Blob 大小限制将导致每月费用增加。
若要避免意外的高费用,可能需要对每月扫描的总 GB 设置适当的上限。 有关详细信息,请参阅上传时恶意软件扫描的成本控制。
针对 AKS 运行时容器的容器注册表无关无代理漏洞评估(预览版)
2025 年 2 月 23 日
对于容器和Defender for Cloud安全状况管理(CSPM)计划,Defender现在包括 AKS 运行时容器的容器注册表不可知的无代理漏洞评估。 除了扫描 AKS 群集中运行的 Kubernetes 加载项和第三方工具外,此增强功能还扩展了漏洞评估范围,包括包含来自任何注册表(不限于受支持注册表)的映像正在运行的容器。 若要启用此功能,请确保在 Defender for Cloud 环境设置中为订阅启用了 Agentless 计算机扫描。
“数据和 AI 安全”仪表板(预览版)
2025 年 2 月 23 日
Defender for Cloud正在增强数据安全仪表板,以在预览版中包含新的数据和 AI 安全仪表板。 该仪表板提供一个集中的平台来监视和管理数据和 AI 资源,以及它们相关的风险和保护状态。
“数据和 AI 安全”仪表板的主要优势包括:
- 统一视图:全面了解所有组织数据和 AI 资源。
- 数据见解:了解数据存储的位置以及保存数据的资源类型。
- 保护覆盖范围:评估数据和 AI 资源的保护覆盖范围。
- 关键问题:根据高严重性建议、警报和攻击路径突出显示需要立即关注的资源。
- 敏感数据发现:查找和汇总云和 AI 数据资产中的敏感数据资源。
- AI 工作负载:发现 AI 应用程序占用内容,包括服务、容器、数据集和模型。
详细了解“数据和 AI 安全”仪表板。
MDC 成本计算器(预览版)
2025 年 2 月 19 日
我们很高兴推出新的 MDC 成本计算器,帮助你轻松估算与保护云环境相关的成本。 此工具量身定制,便于你清晰、准确地了解你的支出,从而确保你能够有效地进行规划和预算。
为何要使用成本计算器?
我们的成本计算器可用于定义保护需求的范围,从而简化了估算成本的过程。 选择要启用的环境和计划,然后计算器会自动填充每个计划的可计费资源,包括任何适用的折扣。 你将毫无意外地全面了解你的潜在成本。
主要功能:
范围定义: 选择感兴趣的计划和环境。 计算器会执行发现过程,自动填充每个环境中每个计划的计费单位数。
自动调整和手动调整:该工具支持自动收集数据和手动调整。 可修改单位数量和折扣级别,以查看更改如何影响总体成本。
综合成本估算:计算器为每个计划提供估算值并提供总成本报告。 你会获得详细的成本明细,更轻松地理解和管理支出。
多云支持: 我们的解决方案适用于所有受支持的云,确保无论云提供商如何,都能获得准确的成本估算。
导出和共享:获得成本估算后,可以轻松导出和共享该值进行预算规划和审批。
31 个新的和增强的多云监管标准覆盖范围
2025 年 2 月 19 日
我们很高兴地宣布,在Azure AWS 和 AWS 之间Defender for Cloud超过 31 个安全和监管框架的增强和扩展支持Gcp。 这种增强简化了实现和维护合规性的路径,降低了数据泄露的风险,并帮助避免罚款和声誉损害。
新的和增强的框架包括:
| Standards | Clouds |
|---|---|
| EU 2022 2555 (NIS2) 2022 | Azure、AWS、GCP |
| 欧盟一般数据保护条例 (GDPR) 2016 679 | Azure、AWS、GCP |
| NIST CSF v2.0 | Azure、AWS、GCP |
| NIST 800 171 Rev3 | Azure、AWS、GCP |
| NIST SP 800 53 R5.1.1 | Azure、AWS、GCP |
| PCI DSS v4.0.1 | Azure、AWS、GCP |
| CIS AWS 基金会 v3.0.0 | AWS |
| CIS Azure Foundations v2.1.0 | Azure |
| CIS Controls v8.1 | Azure、AWS、GCP |
| CIS GCP 基础 v3.0 | GCP |
| HITRUST CSF v11.3.0 | Azure、AWS、GCP |
| SOC 2023 | Azure、AWS、GCP |
| SWIFT客户安全控制框架2024 | Azure、AWS、GCP |
| ISO IEC 27001:2022 | Azure、AWS、GCP |
| ISO IEC 27002:2022 | Azure、AWS、GCP |
| ISO IEC 27017:2015 | Azure、AWS、GCP |
| 网络安全成熟度模型认证 (CMMC) Level 2 v2.0 | Azure、AWS、GCP |
| AWS 架构良好的框架 2024 | AWS |
| 加拿大联邦 PBMM 3.2020 | Azure、AWS、GCP |
| APRA CPS 234 2019 | Azure AWS |
| CSA 云控制矩阵 v4.0.12 | Azure、AWS、GCP |
| Cyber Essentials v3.1 | Azure、AWS、GCP |
| 刑事司法信息系统安全政策 v5.9.5 | Azure、AWS、GCP |
| FFIEC CAT 2017 | Azure、AWS、GCP |
| 巴西通用数据保护法 (LGPD) 2018 | Azure |
| NZISM v3.7 | Azure、AWS、GCP |
| 萨班斯•奥克斯利法案 2022 (SOX) | Azure AWS |
| NCSC Cyber Assurance Framework (CAF) v3.2 | Azure、AWS、GCP |
这加入了 CIS Azure Kubernetes 服务 (AKS) v1.5、CIS Google Kubernetes 引擎 (GKE) v1.6 和 CIS Amazon Elastic Kubernetes 服务 (EKS) v.15 的最新版本。
有关Defender for Cloud合规性产品/服务的详细信息,Learn more>
2025 年 1 月
| Date | Category | Update |
|---|---|---|
| 1 月 30 日 | GA | 更新容器注册表的扫描条件 |
| 1 月 29 日 | Change | 基于 MDVM 技术支持的容器漏洞评估扫描的功能增强 |
| 1 月 27 日 | GA | 为 GCP 连接器添加了权限以支持 AI 平台 |
| 1 月 20 日 | Change | 由 GC 提供技术支持的 Linux 基线建议的增强功能 |
更新容器注册表的扫描标准
2025 年 1 月 30 日
我们正在更新所有云和外部注册表(
有什么变化?
目前,在映像被推送到注册表后,我们将映像重新扫描 90 天。 现在将改回扫描 30 天。
Note
注册表映像上的容器漏洞评估 (VA) 的相关 GA 建议没有更改。
针对由 MDVM 提供技术支持的容器漏洞评估扫描的增强功能
2025 年 1 月 29 日
我们很高兴宣布通过以下更新增强了对容器漏洞评估扫描的覆盖范围:
其他编程语言:现在支持 PHP、Ruby 和 Rust。
Extended Java 语言支持:包括扫描爆炸的 JAR。
改进了内存使用:读取大型容器映像文件时优化了性能。
为 GCP 连接器添加了权限以支持 AI 平台
2025 年 1 月 27 日
GCP 连接器现在具有了其他权限,可支持 GCP AI 平台 (Vertex AI):
- aiplatform.batchPredictionJobs.list
- aiplatform.customJobs.list
- aiplatform.datasets.list
- aiplatform.datasets.get
- aiplatform.endpoints.getIamPolicy
- aiplatform.endpoints.list
- aiplatform.indexEndpoints.list
- aiplatform.indexes.list
- aiplatform.models.list
- aiplatform.models.get
- aiplatform.pipelineJobs.list
- aiplatform.schedules.list
- aiplatform.tuningJobs.list
- discoveryengine.dataStores.list
- discoveryengine.documents.list
- discoveryengine.engines.list
- notebooks.instances.list
由 GC 提供技术支持的 Linux 基线建议的增强功能
2025 年 1 月 20 日
我们正在增强基线 Linux(由 GC 提供技术支持)功能,以提高其准确度和覆盖范围。 在 2 月,你可能会注意到一些更改,例如更新后的规则名称和其他规则。 这些改进旨在使基线评估更准确和保持最新状态。 有关更改的详细信息,请参阅相关 博客
某些变更可能包括其他对“公共预览版”的更改。 此更新对你有所助益,我们希望让你随时了解情况。 如果你愿意,可以从资源中免除建议或删除 GC 扩展来退出此建议。
2024 年 12 月
| Date | Category | Update |
|---|---|---|
| 12 月 31 日 | GA | 对现有云连接器扫描间隔的更改 |
| 12 月 22 日 | GA | 需要Microsoft Defender for Endpoint客户端版本更新才能接收文件完整性监视(FIM)体验 |
| 12 月 17 日 | Preview | 使用常用 CI/CD 工具的Integrate Defender for Cloud CLI |
| 12 月 10 日 | GA | Defender for Cloud安装体验 |
| 12 月 10 日 | GA | 用于Defender for Cloud云环境扫描的已恢复间隔选项 |
| 12 月 17 日 | GA | Sensitivity 扫描功能现在包括Azure文件共享 |
对现有云连接器扫描间隔的更改
2024 年 12 月 31 日
本月早些时候,发布了update有关扫描云环境的修订Defender for Cloud间隔选项。 扫描间隔设置确定Defender for Cloud发现服务扫描云资源的频率。 此更改可确保扫描流程更加均衡,从而优化性能,并最大程度地降低达到 API 限制的风险。
将更新现有 AWS 和 GCP 云连接器的扫描间隔设置,以确保Defender for Cloud扫描云环境的能力。
将进行以下调整:
- 当前设置为 1-3 小时的间隔将更新为 4 小时。
- 当前设置为 5 小时的间隔将更新为 6 小时。
- 当前设置为 7-11 小时的间隔将更新为 12 小时。
- 间隔为13小时或更长的时间将更新为24小时。
如果你希望采用不同的扫描间隔,可以使用环境设置页面来调整云连接器。 这些更改将于 2025 年 2 月初自动应用于所有客户,无需执行进一步操作。
敏感度扫描功能现在包括Azure文件共享
2024 年 12 月 17 日
Defender for Cloud的安全状况管理(CSPM)敏感度扫描功能现在除了 blob 容器外,还包括正式版中的Azure文件共享。
在此更新之前,在订阅上启用Defender CSPM计划会自动扫描存储帐户中的 Blob 容器以获取敏感数据。 通过此更新,CSPM 敏感度扫描功能的Defender现在包括这些存储帐户中的文件共享。 此增强功能改进了敏感存储帐户的风险评估和保护,从而可对潜在风险进行更全面的分析。
详细了解 敏感度扫描。
将 Defender for Cloud CLI 与常用 CI/CD 工具集成
Defender for Cloud CLI 扫描与Microsoft Defender for Cloud中常用的 CI/CD 工具的集成现已提供公共预览版。 现可将 CLI 用于 CI/CD 管道,以扫描和识别容器化源代码中的安全漏洞。 此功能可协助开发团队在管道执行期间检测和解决代码漏洞。 它需要身份验证才能Microsoft Defender for Cloud和修改管道脚本。 扫描结果将上传到Microsoft Defender for Cloud,允许安全团队查看这些结果并将其与容器注册表中的容器相关联。 此解决方案自动且持续提供见解,加快风险检测和响应速度,确保安全的同时不会中断工作流。
用例:
- 在 CI/CD 工具中扫描管道:安全地监视调用 CLI 的所有管道。
- 早期漏洞检测:结果在管道中发布,并发送到Microsoft Defender for Cloud。
- 持续安全见解:在开发周期内随时掌握安全情况并快速响应,而不会影响工作效率。
有关详细信息,请参阅使用常用 CI/CD 工具的integrate Defender for Cloud CLI。
Defender for Cloud设置体验
2024 年 12 月 10 日
通过安装体验,可以通过连接云基础结构、代码存储库和外部容器注册表等云环境,通过Microsoft Defender for Cloud启动初始步骤。
在设置云环境的过程中,你将得到指导,以便使用先进的安全性计划来保护你的资产,轻松执行快速操作以大规模提高安全覆盖范围,了解连接问题,并接收新安全功能的通知。 可以通过选择
Defender for Cloud云环境扫描的修订间隔选项
2024 年 12 月 10 日
与 AWS、GCP、Jfrog 和 DockerHub 相关联的云连接器的扫描间隔选项已得到修订。 使用扫描间隔功能可以控制Defender for Cloud启动云环境扫描的频率。 在添加或编辑云连接器时,可以将扫描间隔设置为 4 小时、6 小时、12 小时或 24 小时。 新连接器的默认扫描间隔为 12 小时。
需要Microsoft Defender for Endpoint客户端版本更新才能接收文件完整性监视(FIM)体验
2025 年 6 月
从 2025 年 6 月开始,文件完整性监视(FIM)需要终结点(MDE)客户端版本的最低Defender。 请确保至少使用以下客户端版本才能继续从 Microsoft Defender for Cloud 中的 FIM 体验中受益:对于 Windows:10.8760,适用于 Linux:30.124082。 了解详细信息
2024 年 11 月
| Date | Category | Update |
|---|---|---|
| 11 月 28 日 | Preview | Sensitivity 扫描功能现在包括Azure文件共享(预览版) |
| 11 月 26 日 | Change | 敏感度标签同意更改 |
| 11 月 26 日 | Change | 敏感度标签更改 |
| 11 月 25 日 | Preview | Defender存储恶意软件扫描 blob 高达 50 GB |
| 11 月 19 日 | Preview | 针对托管 Kubernetes 环境的 CIS 标准的更新版本及新的建议 |
| 11 月 19 日 | Preview | 高级搜寻中的 Kubernetes 云进程事件的公共预览版 |
| 11 月 19 日 | Deprecation | 弃用漏洞管理中的自带许可 (BYOL) 功能 |
| 11 月 19 日 | Preview | |
| 11 月 19 日 | Preview | |
| 11 月 18 日 | Preview | JFrog Artifactory 容器注册表支持,Defender用于容器 |
| 11 月 18 日 | GA | AI 安全状况管理现已正式发布 (GA) |
| 11 月 18 日 | GA | |
| 11 月 18 日 | GA | 增强容器的关键资产保护 |
| 11 月 18 日 | GA | 检测和响应容器威胁的增强功能 |
| 11 月 15 日 | Preview | API 安全状况管理本机集成现在以公共预览版提供Defender CSPM计划 |
| 11 月 13 日 | Preview | 通过针对 AKS 节点的漏洞评估和恶意软件检测增强了容器保护 |
| 11 月 7 日 | GA | 增强的 Kubernetes (K8s) 警报文档和模拟工具 |
| 11 月 6 日 | GA | 增强了对 API 敏感数据分类的支持 |
| 11 月 6 日 | 公共预览版 | |
| 11 月 6 日 | GA | 对多区域Azure API 管理部署和管理 API 修订的 API 安全支持 |
敏感度扫描功能现在包括Azure文件共享(预览版)
2024 年 11 月 28 日
除了 blob 容器之外,Defender for Cloud的安全状况管理(CSPM)敏感度扫描功能现在还包括Azure文件共享(预览版)。
在此更新之前,在订阅上启用Defender CSPM计划会自动扫描存储帐户中的 Blob 容器以获取敏感数据。 通过此更新,CSPM 敏感度扫描功能的Defender现在包括这些存储帐户中的文件共享。 此增强功能改进了敏感存储帐户的风险评估和保护,从而可对潜在风险进行更全面的分析。
详细了解 敏感度扫描。
敏感度标签同意更改
2024 年 11 月 26 日
不再需要在“标签”页的“信息保护”部分下选择专用同意按钮,以便受益于在Microsoft 365 Defender门户或Microsoft Purview 门户中配置的自定义信息类型和敏感度标签。
通过此更改,所有自定义信息类型和敏感度标签都会自动导入到Microsoft Defender for Cloud门户中。
详细了解数据敏感度设置。
敏感度标签更改
2024 年 11 月 26 日
直到最近,Defender for Cloud从满足以下两个条件的 Microsoft 365 Defender 门户导入所有敏感度标签:
- 其范围设置为“Items -> Files”或“Items -> 电子邮件”的敏感度标签,位于“定义标签范围”部分的信息保护节下。
- 敏感度标签已配置自动标记规则。
截至 2024 年 11 月 26 日,用户界面(UI)中的敏感度标签范围的名称已在Microsoft 365 Defender门户和Microsoft Purview 门户中更新。 Defender for Cloud现在只会导入应用了“文件和其他数据资产”范围的敏感度标签。 Defender for Cloud不再导入应用了“电子邮件”范围的标签。
Note
此更改发生前配置为“Items -> Files”的标签会自动迁移到新的“文件和其他数据资产”范围。
详细了解如何配置敏感度标签。
Defender存储恶意软件扫描 blob 高达 50 GB (预览版)
2024 年 11 月 25 日
预计更改日期:2024 年 12 月 1 日
从 2024 年 12 月 1 日开始,存储恶意软件扫描Defender将支持最大大小为 50GB 的 blob(以前限制为 2GB)。
请注意,对于上传大型 Blob 的存储帐户,增加的 Blob 大小限制将导致每月费用增加。
为了避免意外的高额费用,可能需要对每月扫描的总 GB 设置适当的上限。 有关详细信息,请参阅上传时恶意软件扫描的成本控制。
更新了针对托管 Kubernetes 环境的 CIS 标准版本,并新增建议。
2024 年 11 月 19 日
Defender for Cloud的法规合规性仪表板现在提供更新版本的 Internet 安全中心(CIS)标准,用于评估托管 Kubernetes 环境的安全状况。
在该仪表板中,可以将以下标准分配给 AWS/EKS/GKE Kubernetes 资源:
- CIS Azure Kubernetes 服务 (AKS) v1.5.0
- CIS Google Kubernetes 引擎 (GKE) v1.6.0
- CIS Amazon Elastic Kubernetes 服务 (EKS) v1.5.0
为了确保这些标准的覆盖深度达到最佳水平,我们还发布了 79 个新的以 Kubernetes 为中心的建议,从而丰富了我们的覆盖范围。
若要使用这些新建议,请分配上面列出的标准或创建自定义标准,并在其中添加一个或多个新评估。
高级搜寻中的 Kubernetes 云进程事件的公共预览版
我们宣布在高级搜寻中发布了 Kubernetes 云进程事件的预览版。 此功能强大的集成提供有关跨多云环境发生的 Kubernetes 进程事件的详细信息。 可以使用它来发现可通过进程详细信息观察到的威胁,例如在云基础结构中调用的恶意进程。 有关详细信息,请参阅 CloudProcessEvents。
弃用漏洞管理中的 Bring your own License (BYOL) 功能
2024 年 11 月 19 日
预计更改日期:
2025 年 2 月 3 日:该功能将不再可用于加入新计算机和订阅。
2025 年 5 月 1 日:该功能将完全弃用,且不再可用。
作为改进Defender for Cloud安全体验的努力的一部分,我们正在简化漏洞评估解决方案。 我们正在删除Defender for Cloud中的“自带许可”功能。 现在,你将使用Microsoft 安全曝光管理连接器实现更无缝、集成和完整的解决方案。
建议在Microsoft 安全曝光管理中过渡到新的连接器解决方案。 我们的团队将提供支持,帮你完成这一转换。
有关使用连接器的详细信息,请参阅在Microsoft 安全曝光管理中连接数据源的Overview - Microsoft 安全曝光管理。
Microsoft Defender for Cloud中的无代理代码扫描(预览版)
2024 年 11 月 19 日
Microsoft Defender for Cloud中的无代理代码扫描现已提供公共预览版。 它为Azure DevOps组织中具有一个连接器的所有存储库提供快速且可缩放的安全性。 此解决方案可帮助安全团队在Azure DevOps环境中查找和修复代码和基础结构即代码(IaC)配置中的漏洞。 它不需要代理、管道更改或开发人员工作流的中断,使设置和维护变得简单。 它独立于持续集成和持续部署 (CI/CD) 管道运行。 该解决方案提供持续和自动化的见解,以加快风险检测和响应速度,确保安全且不会中断工作流。
用例:
- 组织范围的扫描:可以使用一个连接器安全地监视Azure DevOps组织中的所有存储库。
- 早期漏洞检测:快速查找代码和 IaC 风险,以便进行主动风险管理。
- 持续安全见解:在不影响工作效率的情况下,跨开发周期保持可见性并快速响应。
有关详细信息,请参阅 Microsoft Defender for Cloud0 中的
存储Microsoft Defender中的按需恶意软件扫描(预览版)
2024 年 11 月 19 日
按需恶意软件扫描Microsoft Defender存储,现在以公共预览版提供,可根据需要扫描Azure 存储帐户中的现有 blob。 可以从Azure门户 UI 或通过 REST API 启动扫描,支持通过逻辑应用、自动化 playbook 和 PowerShell 脚本实现自动化。 此功能将Microsoft Defender防病毒与每个扫描的最新恶意软件定义配合使用,并在扫描之前在 Azure 门户中提供前期成本估算。
用例:
- 事件响应:检测可疑活动后扫描特定存储帐户。
- Security 基线:首次启用存储Defender时扫描所有存储的数据。
- 符合性:将自动化设置为计划有助于满足法规和数据保护标准的扫描。
有关详细信息,请参阅按需恶意软件扫描。
Defender for Containers 支持 JFrog Artifactory 容器注册表(预览版)
2024 年 11 月 18 日
此功能扩展了外部注册表容器覆盖范围的Microsoft Defender,以包括 JFrog Artifactory。 使用Microsoft Defender 漏洞管理扫描 JFrog Artifactory 容器映像,以识别安全威胁并缓解潜在的安全风险。
AI 安全状况管理现已正式发布 (GA)
2024 年 11 月 18 日
Defender for Cloud的 AI 安全状况管理功能现已正式发布(正式版)。
Defender for Cloud通过以下方式降低跨云 AI 工作负载的风险:
发现生成式 AI 物料清单 (AI BOM),其中包括从代码到云的应用程序组件、数据和 AI 工件。
通过内置建议以及探查并修正安全风险,改进生成式 AI 应用程序的安全态势。
使用攻击路径分析来识别并修正风险。
详细了解AI 安全态势管理。
Microsoft Defender for Cloud中的关键资产保护
2024 年 11 月 18 日
今天,我们很高兴宣布Microsoft Defender for Cloud关键资产保护的正式发布。 此功能使安全管理员能够标记对其组织至关重要的“皇冠珠宝”资源,从而Defender for Cloud为他们提供最高级别的保护,并优先处理这些资产上的安全问题。 详细了解关键资产保护。
除了正式版外,我们还扩展了对标记 Kubernetes 和非人身份资源的支持。
增强容器重要资产的保护措施
2024 年 11 月 18 日
已扩展关键资产保护,以支持容器的其他用例。
用户现在可以根据资产 Kubernetes 命名空间和/或资产 Kubernetes 标签创建自定义规则,将 Kubernetes 管理的资产(工作负载、容器等)标记为关键资产。
与其他关键资产保护用例一样,Defender for Cloud考虑到风险优先级、攻击路径分析和安全资源管理器的资产关键性。
检测和响应容器威胁的增强功能
2024 年 11 月 18 日
Defender for Cloud提供了一套新功能,使 SOC 团队能够以更高的速度和精度在云原生环境中堆栈容器威胁。 这些增强功能包括威胁分析、GoHunt 功能、智能 Microsoft Security Copilot 副驾驶®引导式响应和 Kubernetes Pod 的云原生响应操作。
介绍适用于 Kubernetes Pod 的云原生响应操作(预览版)
Defender for Cloud现在为 Kubernetes Pod 提供多云响应操作,可通过 Defender XDR 门户进行独占访问。 这些功能增强了 AKS、EKS 和 GKE 群集的事件响应。
下面是新的响应操作:
网络隔离 - 立即阻止发送到 Pod 的所有流量,防止横向移动和数据外泄。 需要在 kubernetes 群集上配置网络策略。
Pod 终止 - 快速终止可疑 Pod,停止恶意活动,而不会中断更广泛的应用程序。
这些操作使 SOC 团队能够在各个云环境中有效地遏制威胁。
容器的威胁分析报告
我们引入了专用威胁分析报告,旨在借此全面了解针对容器化环境的威胁。 此报告为 SOC 团队提供见解,以检测和应对 AKS、EKS 和 GKE 群集上的最新攻击模式。
关键亮点:
- 详细分析 Kubernetes 环境中的主要威胁和相关攻击技术。
- 提供可操作的建议,以加强云原生安全状况并缓解新出现的风险。
GoHunt for Kubernetes Pod &Azure资源
GoHunt 现在扩展了其搜寻功能,以在 Defender XDR 门户中包括 Kubernetes Pod 和Azure资源。 此功能增强了主动威胁搜寻能力,使 SOC 分析师能够跨云原生工作负载进行深入调查。
主要功能:
- 用于检测 Kubernetes Pod 和Azure资源中的异常的高级查询功能,提供更丰富的威胁分析上下文。
- 与 Kubernetes 实体无缝集成,以高效搜寻并调查威胁。
Security Copilot Kubernetes Pod 的引导式响应
介绍 Kubernetes Pod 的引导式响应,这是由Security Copilot提供支持的功能。 这一新功能提供实时的分步指导,帮助 SOC 团队快速有效地应对容器威胁。
主要优势:
- 针对常见 Kubernetes 攻击场景定制的上下文响应剧本。
- 专家、来自Security Copilot的实时支持,弥合知识差距,实现更快的解决。
DEFENDER CSPM计划内的 API 安全状况管理本机集成现在以公共预览版提供
2024 年 11 月 15 日
API 安全状况管理(预览版)功能现在包含在Defender CSPM计划中,可以通过环境设置页下的计划内的扩展启用。 有关详细信息,请参阅改进 API 安全态势(预览版)。
通过针对 AKS 节点的漏洞评估和恶意软件检测增强了容器保护(预览版)
2024 年 11 月 13 日
Defender for Cloud现在为Azure Kubernetes 服务 (AKS)中的节点提供漏洞评估和恶意软件检测,并明确客户对其与托管云提供商共同承担的安全责任。
为这些 Kubernetes 节点提供安全保护让客户能够在整个托管 Kubernetes 服务中保持安全与合规。
若要接收新功能,必须在订阅中为Defender CSPM、容器Defender Defender或订阅中的 Server P2 计划启用无代理扫描选项。
漏洞评估
现在,Azure门户中提供了新建议:AKS nodes should have vulnerability findings resolved。 通过此建议,现在可以查看和修正在Azure Kubernetes 服务 (AKS)节点上发现的漏洞和 CVE。
恶意软件检测
当无代理恶意软件检测功能在 AKS 节点中检测到恶意软件时,将触发新的安全警报。
无代理恶意软件检测使用Microsoft Defender防病毒反恶意软件引擎扫描和检测恶意文件。 检测到威胁时,安全警报将定向到Defender for Cloud和Defender XDR,可在其中进行调查和修正。
Important
AKS 节点的恶意软件检测仅适用于容器的Defender,或适用于启用了服务器 P2 环境的Defender。
升级版 Kubernetes (K8s) 警报文档和仿真工具
2024 年 11 月 7 日
主要功能
- 基于场景的警报文档:K8s 警报现在根据实际场景记录在案,提供更清晰的指导来应对潜在威胁和建议操作。
- Microsoft Defender for Endpoint(MDE)集成:警报通过 MDE 的其他上下文和威胁情报丰富,从而提高了有效响应的能力。
- 新的模拟工具:强大的模拟工具可通过模拟各种攻击方案和生成相应的警报来测试安全状况。
Benefits
- 警报理解的改进:方案化文档提供了对 K8s 警报的更直观理解。
- 增强的威胁响应:通过有价值的上下文扩充警报内容,可实现更快、更准确的响应。
- 主动安全测试:新的模拟工具允许你测试安全防御,并提前识别可能被利用的漏洞。
增强了对 API 敏感数据分类的支持
2024 年 11 月 6 日
Microsoft Defender for Cloud将 API 安全敏感数据分类功能扩展到 API URL 路径和查询参数以及 API 请求和响应,包括 API 属性中找到的敏感信息源。 选择具有敏感数据的 API 管理作时,“攻击路径分析”体验、云安全资源管理器的 “其他详细信息 ”页以及“API 集合详细信息”页下的“API 安全仪表板”中提供了此信息,并提供了对找到的敏感数据的详细见解的新侧上下文菜单。 使安全团队能够有效地定位和缓解数据泄露风险。
Note
此更改将包括针对 API 和Defender CSPM客户的现有Defender的一次性推出。
新的支持将 Azure API 管理 API 终结点映射到后端计算
2024 年 11 月 6 日
Defender for Cloud的 API 安全状况现在支持将通过Azure API 管理网关发布的 API 终结点映射到Defender云安全状况管理(Defender CSPM)云安全资源管理器中的后端计算资源(例如虚拟机)。 此可见性有助于识别路由到后端云计算目标的 API 流量,使你能够检测和解决与 API 终结点及其连接的后端资源相关的风险。
针对多区域Azure API 管理部署和管理 API 修订的增强 API 安全支持
2024 年 11 月 6 日
Defender for Cloud中的 API 安全覆盖范围现在将完全支持Azure API 管理多区域部署,包括对主要区域和次要区域的完整安全状况和威胁检测支持
现在,Azure API 管理 API 级别管理将载入和卸载 API 到 Defender。 所有关联的Azure API 管理修订将自动包含在进程中,无需单独管理每个 API 修订的载入和卸载。
此更改包括针对 API 客户的现有Defender的一次性推出。
推出详细信息:
- 11 月 6 日,现有 API 客户的Defender将在 11 月 6 日推出。
- 如果Azure API 管理 API 的“当前”修订版已载入到 API Defender,该 API 的所有关联修订也将自动载入到 API Defender。
- 如果Azure API 管理 API 的“当前”修订未载入到 API Defender,则载入到 API Defender 的任何关联 API 修订都将卸载。
2024 年 10 月
| Date | Category | Update |
|---|---|---|
| 10 月 31 日 | 即将发生的更改 | 对多区域Azure API 管理部署和管理 API 修订的 API 安全支持 |
| 10 月 28 日 | GA | MMA 迁移体验现已推出 |
| 10 月 21 日 | GA | 没有 GitHub高级安全性的GitHub存储库的安全发现现已正式发布 |
| 10 月 14 日 | 即将发生的更改 | 已弃用三项合规标准 |
| 10 月 14 日 | 即将发生的更改 | 三个Defender for Cloud标准的弃用 |
| 10 月 9 日 | GA | 二进制偏移检测已正式发布 |
| 10 月 6 日 | Preview | 更新了容器运行时建议 |
| 10 月 6 日 | Preview | 安全图中的 Kubernetes 身份验证和访问控制信息 |
| 10 月 6 日 | Preview | 基于 Kubernetes 身份验证和访问控制信息的攻击路径 |
| 10 月 6 日 | GA | 改进了容器的攻击路径分析 |
| 10 月 6 日 | GA | 获取支持的注册表中容器映像的全部信息 |
| 10 月 6 日 | GA | 云安全资源管理器支持的容器软件清单 |
MMA 迁移体验现已推出
2024 年 10 月 28 日
现在,你可以确保所有环境都已为 2024 年 11 月底预期的Log Analytics代理(MMA)弃用做好了充分的准备。
Defender for Cloud添加了一个新的体验,使你能够针对所有受影响的环境大规模执行操作:
- 缺少获得服务器计划 2 Defender提供的完整安全覆盖所需的先决条件。
- 通过Log Analytics工作区使用旧版载入方法连接到服务器计划 2 的Defender。
- 这使用具有Log Analytics代理(MMA)的旧文件完整性监视(FIM)版本需要迁移到新的
使用终结点(MDE)0 的Defender的 FIM 版本。
了解如何使用新的 MMA 迁移流程。
没有GitHub高级安全性的GitHub存储库的安全发现现已正式发布
2024 年 10 月 21 日
现已正式发布GitHub存储库的基础结构即代码配置错误、容器漏洞和代码漏洞,而无需GitHub高级安全性,因此能够接收基础结构即代码(IaC)的安全发现。
请注意,使用 GitHub CodeQL 进行机密扫描、代码扫描和依赖项扫描仍需要GitHub高级扫描。
若要详细了解所需的许可证,请参阅 DevOps 支持页面。 若要了解如何将GitHub环境载入Defender for Cloud,请按照 GitHub 载入指南进行操作。 若要了解如何配置 Microsoft 安全 DevOps GitHub 操作,请参阅我们的 GitHub 操作文档。
已弃用三项合规标准
2024 年 10 月 14 日
预计更改日期:2024 年 11 月 17 日
即将从产品中移除三项合规标准:
- SWIFT CSP-CSCF v2020 (for Azure) - 此版本已被 v2022 版本取代
- CIS Microsoft Azure Foundations Benchmark v1.1.0 和 v1.3.0 - 我们提供了两个较新版本(v1.4.0 和 v2.0.0)
在
弃用三个Defender for Cloud标准
2024 年 10 月 8 日
预计更改日期:2024 年 11 月 17 日
为了简化 AWS 帐户和 GCP 项目的Defender for Cloud管理,我们将删除以下三个Defender for Cloud标准:
- 对于 AWS - AWS CSPM
- 对于 GCP - GCP CSPM 和 GCP 默认值
默认标准Microsoft Cloud安全基准(MCSB)现在包含这些标准特有的所有评估。
二进制偏移检测已正式发布
2024 年 10 月 9 日
二进制偏移检测现已在容器计划的Defender中发布为正式发布。 请注意,二进制偏移检测现在适用于所有 AKS 版本。
更新的容器运行时建议(预览版)
2024 年 10 月 6 日
针对“AWS/Azure/GCP 中运行的容器应已解决漏洞发现”的预览建议已更新为将所有属于同一工作负荷的容器分组为单个建议,减少重复,并避免因新的和终止的容器而导致的波动。
自 2024 年 10 月 6 日起,以下评估 ID 将取代这些建议:
| Recommendation | 以前的评估 ID | 新评估 ID |
|---|---|---|
| -- | -- | -- |
| 在Azure中运行的容器应已解决漏洞发现 | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
| 在 AWS 中运行的容器应解决漏洞问题 | d5d1e526-363a-4223-b860-f4b6e710859f | 8749bb43-cd24-4cf9-848c-2a50f632043c |
| 在 GCP 中运行的容器应解决漏洞问题 | c7c1d31d-a604-4b86-96df-63448618e165 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
如果你当前正在通过 API 从这些建议中检索漏洞报告,请确保使用新的评估 ID 更新 API 调用。
安全图中的 Kubernetes 身份验证和访问控制信息(预览版)
2024 年 10 月 6 日
Kubernetes 标识和访问信息将添加到安全图中,包括表示所有 Kubernetes 基于角色访问控制(RBAC)相关实体(服务帐户、角色、角色绑定等)的节点,以及表示 Kubernetes 对象之间权限的边缘。 客户现在可以查询其 Kubernetes RBAC 的安全图表,以及 Kubernetes 实体之间的相关关系(可凭此身份进行身份验证、可以模拟为、授予角色、访问权限定义者、授予访问权限、有权访问等)
基于 Kubernetes 身份验证和访问控制信息的攻击路径(预览版)
2024 年 10 月 6 日
使用安全图中的 Kubernetes RBAC 数据,Defender for Cloud现在检测到 Kubernetes、Kubernetes 到云,以及内部 Kubernetes 横向移动,并报告攻击者可能会滥用 Kubernetes 和云授权,以便横向移动到 Kubernetes 群集和内部 Kubernetes 群集。
改进了容器的攻击路径分析
2024 年 10 月 6 日
去年 11 月发布的新攻击路径分析引擎现在也支持容器用例,可以根据添加到图中的任何数据动态检测云环境中的新型攻击路径。 我们现在可以找到更多针对容器的攻击路径,并检测攻击者用来渗透云和 Kubernetes 环境的更复杂、更精密的攻击模式。
在支持的注册表中全面发现容器映像
2024 年 10 月 6 日
Defender for Cloud现在收集受支持注册表中所有容器映像的清单数据,从而为云环境中的所有映像提供安全图中的完整可见性,包括当前没有任何姿态建议的映像。
云安全资源管理器提供的查询功能得到了改进,因此用户现在可以根据元数据(摘要、存储库、操作系统、标签等)搜索容器映像。
云安全资源管理器支持的容器软件清单
2024 年 10 月 6 日
客户现在可以通过云安全资源管理器获取其容器和容器映像中安装的软件列表。 此列表还可用于快速了解客户环境的其他情况,例如,在 CVE 发布之前,找到受 0 时差漏洞影响的软件的所有容器和容器映像。
2024 年 9 月
| Date | Category | Update |
|---|---|---|
| 9 月 22 日 | 即将发生的更改 | 云安全资源管理器体验改进 |
| 9 月 18 日 | GA | |
| 9 月 18 日 | GA | |
| 9 月 18 日 | Deprecation | 弃用 MMA 自动预配功能 |
| 9 月 15 日 | GA | 与 Power BI 集成 |
| 9 月 11 日 | 即将发生的更改 | 更新 CSPM 多云网络要求 |
| 9 月 9 日 | Deprecation | 适用于服务器功能弃用的 Defender |
| 9 月 9 日 | GA | |
| 9 月 8 日 | GA | 修正计算机上的系统更新和修补程序建议 |
| 9 月 4 日 | GA | ServiceNow 的集成现在包括配置合规性模块 |
| 9 月 4 日 | 即将发生的更改 | Defender存储(经典)每个事务存储保护计划不适用于新订阅 |
| 9 月 1 日 | GA | Azure Policy来宾配置现已正式发布(GA) |
| 9 月 1 日 | Preview | 容器注册表Defender支持用于Docker Hub容器注册表的Public 预览版 |
云安全浏览器体验改进
2024 年 9 月 22 日
预计更改日期:2024 年 10 月
云安全资源管理器旨在提高性能和网格功能,为每个云资产提供更多数据扩充功能,改进搜索类别,并完善 CSV 导出报告,为导出的云资产提供更多见解。
基于Microsoft Defender for Endpoint的文件完整性监视的正式发布
2024 年 9 月 18 日
基于 Microsoft Defender for Endpoint 的新版本文件完整性监视现已正式发布,作为服务器计划 2 Defender的一部分。 FIM 使你可以:
- 通过实时监视关键文件和注册表并审核更改,满足合规要求。
- 通过检测可疑文件内容更改来识别潜在的安全问题。
此改进的 FIM 体验取代了为弃用而设置的现有 FIM 体验,并取代了 Log Analytics 代理 (MMA) 停用。 基于 MMA 的 FIM 体验将一直受支持,直到 2024 年 11 月底。
在此版本中,会发布产品内体验,以便通过 MMA 将 FIM 配置迁移到新的 FIM(通过 Defender for Endpoint 版本)。
有关如何通过终结点Defender启用 FIM 的信息,请参阅使用 Microsoft Defender for Endpoint 文件完整性监视。 有关如何禁用以前版本的信息,请参阅从以前的版本迁移文件完整性监视。
DEFENDER FOR CLOUD中提供了 FIM 迁移体验
2024 年 9 月 18 日
已发布产品内体验,允许通过 MMA 将 FIM 配置迁移到新的 FIM(通过终结点版本Defender)。 通过此体验,可以:
- 使用启用 MMA 的以前 FIM 版本检查受影响的环境,并进行必要的迁移。
- 从基于 MMA 的体验导出当前的 FIM 规则,并驻留在工作区中
- 通过新的基于 MDE 的 FIM 迁移到启用 P2 的订阅。
若要使用迁移体验,请导航到 “环境设置 ”窗格,然后选择上一行中的 MMA 迁移 按钮。
MMA 自动预配功能弃用
2024 年 9 月 18 日 作为 MMA 代理停用的一部分,也将分 2 个阶段弃用为 MDC 客户提供代理安装和配置的自动预配功能:
到 2024 年 9 月底 - 对于不再使用该功能的客户以及新创建的订阅,将禁用 MMA 自动预配。 在 9 月底之后,将无法再在这些订阅上重新启用该功能。
2024 年 11 月底 - 将在尚未关闭 MMA 自动预配的订阅上禁用该功能。 从该时刻开始,无法再在现有订阅上启用该功能。
与 Power BI 集成
2024 年 9 月 15 日
Defender for Cloud现在可以与Power BI集成。 通过此集成,可以使用来自Defender for Cloud的数据创建自定义报表和仪表板。 可以使用Power BI可视化和分析安全状况、合规性和安全建议。
详细了解新的
更新 CSPM 多云网络要求
2024 年 9 月 11 日
预计更改日期:2024 年 10 月
从 2024 年 10 月开始,我们将向多云发现服务添加额外的 IP 地址,以适应改进并确保所有用户获得更高效的体验。
若要确保从我们的服务不间断访问,应使用 此处提供的新范围更新 IP 允许列表。 应对防火墙设置、安全组或可能适用于你的环境的任何其他配置进行必要的调整。 该列表足以发挥 CSPM 基础(免费)产品的全部功能。
服务器功能弃用的Defender
2024 年 9 月 9 日
自适应应用程序控制和自适应网络强化现已弃用。
西班牙国家安全框架(Esquema Nacional de Seguridad (ENS)已添加到Azure的法规合规性仪表板
2024 年 9 月 9 日
希望检查其Azure环境是否符合 ENS 标准的组织现在可以使用Defender for Cloud执行此操作。
ENS 标准适用于西班牙整个公共部门,以及与行政部门合作的供应商。 它确立了保护以电子方式处理的信息和服务的基本原则、要求和安全措施。 目标是确保访问、机密性、完整性、可跟踪性、真实性、可用性和数据保留。
修正计算机上的系统更新和修补程序建议
2024 年 9 月 8 日
现在可以修正已启用Azure Arc的计算机和Azure VM 上的系统更新和修补程序建议。 系统更新和修补程序对于确保计算机安全且正常运行至关重要。 更新通常包含漏洞的安全修补程序,如果未修复,攻击者会利用这些漏洞。
现在使用 Azure 更新管理器 收集有关缺少的计算机更新的信息。
为了维护计算机系统更新和修补程序的安全性,需要在计算机上启用定期评估更新设置。
了解如何修正计算机上的系统更新和修补程序建议。
ServiceNow 的集成现在包括配置合规性模块
2024 年 9 月 4 日
Defender for Cloud的 CSPM 计划与 ServiceNow 的集成现在包括 ServiceNow 的配置符合性模块。 借助此功能,你可以识别、确定和修正云资产中的配置问题,同时通过自动化工作流程和实时洞察降低安全风险并改善整体合规状况。
详细了解 ServiceNow 与 Defender for Cloud 的集成。
Defender存储(经典)每个事务存储保护计划不适用于新订阅
2024 年 9 月 4 日
预计更改日期:2025 年 2 月 5 日
2025 年 2 月 5 日之后,除非订阅中已启用旧版存储保护计划,否则无法激活存储(经典)的旧版Defender。 有关详细信息,请参阅移动到存储计划的新Defender。
Azure Policy来宾配置现已正式发布(正式版)
2024 年 9 月 1 日
服务器Azure Policy来宾配置的Defender现已正式发布(正式版),适用于服务器计划 2 客户的所有多云Defender。 来宾配置提供统一的体验,用于管理整个环境的安全基线。 它使你能够在服务器上评估和强制实施安全配置,包括Windows和 Linux 计算机、Azure VM、AWS EC2 和 GCP 实例。
了解如何在环境中Azure Policy计算机配置。
容器Defender支持Docker Hub容器注册表的预览版
2024 年 9 月 1 日
我们将介绍容器扩展覆盖范围的 Microsoft Defender 的公共预览版,以包括外部注册表,从Docker Hub容器注册表开始。 作为组织的Microsoft Cloud安全状况管理的一部分,Docker Hub容器注册表的覆盖范围扩展为使用 Docker Hub 容器映像扫描的好处Microsoft Defender 漏洞管理识别安全威胁并缓解潜在安全风险。
有关此功能的详细信息,请参阅
2024 年 8 月
| Date | Category | Update |
|---|---|---|
| 8 月 28 日 | Preview | |
| 8 月 22 日 | 即将弃用 | 重新尝试Defender for Cloud警报与 Azure WAF 警报集成 |
| 8 月 1 日 | GA | 大规模计算机上 SQL Server 的可启用Microsoft Defender |
基于Microsoft Defender for Endpoint的新版本文件完整性监视
2024 年 8 月 28 日
基于Microsoft Defender for Endpoint的文件完整性监视的新版本现在以公共预览版提供。 它是服务器计划 2 Defender的一部分。 这使您能够:
- 通过实时监视关键文件和注册表并审核更改,满足合规要求。
- 通过检测可疑文件内容更改来识别潜在的安全问题。
在此版本中,DEFENDER FOR CLOUD门户中将不再提供通过 AMA 的 FIM 体验。 基于 MMA 的 FIM 体验将一直受支持,直到 2024 年 11 月底。 从 9 月初开始,将发布产品内体验,通过 MMA 将 FIM 配置迁移到新的 FIM,Defender终结点版本。
有关如何通过终结点Defender启用 FIM 的信息,请参阅使用 Microsoft Defender for Endpoint 文件完整性监视。 有关如何从以前的版本迁移的信息,请参阅从以前的版本迁移文件完整性监视。
停用Defender for Cloud警报与 Azure WAF 警报的集成
2024 年 8 月 22 日
预计更改日期:2024 年 9 月 25 日
Defender for Cloud警报集成,Azure WAF 警报将于 2024 年 9 月 25 日停用。 你无需采取任何措施。 对于Microsoft Sentinel客户,可以配置 Azure Web 应用程序防火墙 connector。
大规模为计算机上的 SQL Server 启用Microsoft Defender
2024 年 8 月 1 日
现在可以在政府云上大规模为计算机上的 SQL 服务器启用Microsoft Defender。 使用此功能,可以一次性为多个服务器上的 SQL 启用Microsoft Defender,从而节省时间和精力。
了解如何大规模为计算机上的 SQL Server 启用Microsoft Defender。
2024 年 7 月
| Date | Category | Update |
|---|---|---|
| 7 月 31 日 | GA | 用于终结点保护的增强型发现和配置建议已推出正式版 |
| 7 月 31 日 | 即将更新 | 弃用自适应网络强化 |
| 7 月 22 日 | Preview | GitHub的安全评估不再需要额外的许可 |
| 7 月 18 日 | 即将更新 | |
| 7 月 18 日 | 即将更新 | 弃用与 MMA 相关的功能,作为代理停用的一部分 |
| 7 月 15 日 | Preview | 容器Defender中的Binary Drift 公共预览版 |
| 7 月 14 日 | GA | AWS 和 GCP 的自动修正脚本现已正式发布 |
| 7 月 11 日 | 即将更新 | GitHub应用程序权限更新 |
| 7 月 10 日 | GA | 合规标准现已正式发布 |
| 7 月 9 日 | 即将更新 | 清单体验改进 |
| 7 月 8 日 | 即将更新 |
用于终结点保护的增强型发现和配置建议已推出正式版
2024 年 7 月 31 日
用于终结点保护解决方案的改进发现功能和增强的配置问题识别功能现已推出正式版,并可用于多云服务器。 这些更新包含在服务器计划 2 和Defender云安全状况管理(CSPM)的Defender中。
增强的建议功能使用无代理计算机扫描,能够全面发现和评估支持的终结点检测和响应解决方案的配置。 当识别到配置问题时,它会提供修正步骤。
通过此正式发布版,将扩展 受支持的解决方案 列表,包括另外两个终结点检测和响应工具:
- SentinelOne 的单一性平台
- Cortex XDR
弃用自适应网络强化
2024 年 7 月 31 日
预计更改日期:2024 年 8 月 31 日
服务器自适应网络强化Defender即将弃用。
此功能弃用包括以下体验:
- 建议: 应对面向 Internet 的虚拟机应用自适应网络强化建议 [评估密钥: f9f0eed0-f143-47bf-b856-671ea2eeed62]
- 警报: 从建议阻止的 IP 地址检测到的流量
预览版:GitHub的安全评估不再需要其他许可
2024 年 7 月 22 日
GitHub Defender for Cloud中的用户不再需要GitHub高级安全许可证来查看安全发现。 这适用于生成阶段在容器映像中检测到的代码缺陷、基础结构即代码 (IaC) 配置错误以及漏洞。
具有GitHub高级安全性的客户将继续在Defender for Cloud接收额外的安全评估,以获取公开凭据、开放源代码依赖项中的漏洞和 CodeQL 发现。
若要详细了解 Defender for Cloud 中的 DevOps 安全性,请参阅 DevOps 安全性概述。 若要了解如何将GitHub环境载入Defender for Cloud,请按照 GitHub 载入指南进行操作。 若要了解如何配置 Microsoft 安全 DevOps GitHub 操作,请参阅我们的 GitHub Action 文档。
更新了服务器计划 2 Defender中 MMA 弃用的时间线
2024 年 7 月 18 日
预计更改日期:2024 年 8 月
随着 8 月即将弃用 Log Analytics 代理,Defender for Cloud中服务器保护的所有安全值都将依赖于与 Microsoft Defender for Endpoint 集成(MDE)作为单个代理,以及云平台和无代理计算机扫描提供的无代理功能。
以下功能具有更新的时间线和计划,因此对 MMA 的支持将扩展到 2024 年 11 月底Defender for Cloud客户:
文件完整性监视 (FIM):计划于 2024 年 8 月在 MDE 发布 FIM 新版本的公共预览版。 由 Log Analytics 代理提供支持的 FIM 正式版将继续支持现有客户,直到 November 2024 结束。
Security Baseline: 作为基于 MMA 的版本替代方法, 基于来宾配置的当前预览版本将在September 2024. 由 Log Analytics 代理提供支持的 OS 安全基线将继续受现有客户支持,直到November 2024.
有关详细信息,请参阅 准备停用Log Analytics代理。
弃用与 MMA 相关的功能,作为代理停用的一部分
2024 年 7 月 18 日
预计更改日期:2024 年 8 月
作为弃用Microsoft监视代理(MMA)和服务器部署策略更新的Defender,服务器Defender的所有安全功能现在将通过单个代理(Defender for Endpoint)或通过无代理扫描功能提供。 这不需要依赖于 MMA 或 Azure Monitoring Agent (AMA)。
当我们在 2024 年 8 月停用代理时,将从 Defender for Cloud 门户中删除以下与 MMA 相关的功能:
- 在 Inventory 和 资源运行状况 边栏选项卡上显示 MMA 安装状态。
- 通过 Log Analytics 工作区将新的非Azure服务器载入Defender的功能将从 Inventory 和 Getting Started 边栏选项卡中删除。
Note
建议使用 legacy 方法加入本地服务器的当前客户现在应通过启用Azure Arc的服务器连接这些计算机。 我们还建议在连接到这些服务器的Azure订阅上为服务器计划 2 启用Defender。
如果已通过旧方法选择性地为服务器计划 2 启用Defender,请通过旧方法 Azure为服务器计划 2 启用Defender,以便在这些计算机的Azure订阅上为服务器计划 2 启用。 使用 server
这些步骤将确保由于Log Analytics代理停用而不会丢失安全覆盖。
为了保持安全连续性,我们建议具有服务器计划 2 Defender的客户,以在其订阅上启用 无代理计算机扫描和 与 Microsoft Defender for Endpoint集成。
可以使用 此自定义工作簿跟踪Log Analytics代理(MMA)资产,并监视跨 Azure VM 和 Azure Arc 计算机的服务器Defender部署状态。
有关详细信息,请参阅 准备停用Log Analytics代理。
二进制 Drift 公共预览版现已在适用于容器的Defender中提供
我们将介绍适用于容器Defender的二进制偏移的公共预览版。 此功能有助于识别和缓解与容器中未经授权的二进制文件相关的潜在安全风险。 二进制偏移可自主识别并发送有关容器内潜在有害二进制进程的警报。 此外,二进制偏移允许实施新的二进制偏移策略来控制警报偏好,支持根据特定安全需求定制通知。 有关此功能的详细信息,请参阅二进制偏移检测
AWS 和 GCP 的自动修正脚本现已正式发布
2024 年 7 月 14 日
3 月,我们发布了 AWS 和 GCP 到公共预览版的自动修正脚本,该脚本允许你以编程方式大规模修复针对 AWS 和 GCP 的建议。
今天,我们正式发布此功能(推出 GA 版)。 了解如何使用自动修正脚本。
GitHub应用程序权限更新
2024 年 7 月 11 日
预计更改日期:2024 年 7 月 18 日
Defender for Cloud中的 DevOps 安全性不断进行更新,这些更新要求具有GitHub连接器的客户Defender for Cloud更新 GitHub 中 Microsoft 安全 DevOps 应用程序的权限。
作为此更新的一部分,GitHub应用程序将需要GitHub Copilot Business 读取权限。 此权限将用于帮助客户更好地保护其GitHub Copilot部署。 建议尽快更新应用程序。
可通过两种不同的方式授予权限:
在GitHub组织中,导航到 Settings > GitHub Apps 中的 Microsoft 安全 DevOps 应用程序并接受权限请求。
在GitHub支持的自动电子邮件中,选择Review 权限请求接受或拒绝此更改。
合规标准现已正式发布
2024 年 7 月 10 日
3 月份,我们添加了许多新合规标准的预览版,供客户验证他们的 AWS 和 GCP 资源。
这些标准包括 CIS Google Kubernetes Engine (GKE) 基准、ISO/IEC 27001 和 ISO/IEC 27002、CRI 配置文件、CSA 云控制矩阵 (CCM)、巴西通用个人数据保护法 (LGPD)、加州消费者隐私法案 (CCPA) 等。
这些预览版标准现已正式发布 (GA)。
清单体验改进
2024 年 7 月 9 日
预计更改日期:2024 年 7 月 11 日
清单体验将更新,以提高性能,包括对Azure Resource Graph窗格中的“打开查询”查询逻辑的改进。 对Azure资源计算背后的逻辑的更新可能会导致其他资源计数和显示。
在GitHub中默认运行的容器映射工具
2024 年 7 月 8 日
预计更改日期:2024 年 8 月 12 日
借助 Microsoft Defender 云安全态势管理 (CSPM)中的 DevOps 安全功能,可以将云原生应用程序从代码映射到云,以便轻松启动开发人员修正工作流,并减少修正容器映像中漏洞的时间。 目前,必须手动配置容器映像映射工具,以在 GitHub 中的 Microsoft 安全 DevOps 操作中运行。 进行此更改后,容器映射将默认作为 Microsoft 安全 DevOps 操作的一部分运行。 Learn 详细了解 Microsoft 安全 DevOps 操作。
2024 年 6 月
| Date | Category | Update |
|---|---|---|
| 6 月 27 日 | GA | checkov IaC 扫描Defender for Cloud。 |
| 6 月 24 日 | Update | 容器多云Defender定价中的更改 |
| 6 月 20 日 | 即将弃用 |
弃用Microsoft监视代理(MMA)弃用的自适应建议的弃用。 预计将于 2024 年 8 月弃用。 |
| 6 月 10 日 | Preview | Defender for CloudCopilot> |
| 6 月 10 日 | 即将更新 |
在未配置的服务器上使用快速配置自动启用 SQL 漏洞评估。 预计更新时间:2024 年 7 月 10 日。 |
| 6 月 3 日 | 即将更新 |
对标识建议行为进行了更改 预计更新时间:2024 年 7 月 10 日。 |
GA:在 Defender for Cloud 中检查 IaC 扫描
2024 年 6 月 27 日
我们宣布正式发布 Checkov 集成,用于基础结构即代码(IaC)扫描 Microsoft 安全 DevOps(MSDO)。 作为此版本的一部分,Checkov 将替换 TerraScan 成为默认 IaC 分析器,该分析器作为 MSDO 命令行接口 (CLI) 的一部分运行。 TerraScan 可能仍可以通过 MSDO 的 环境变量 手动配置,但默认情况下不会运行。
Checkov 提供的安全发现是针对Azure DevOps存储库和GitHub存储库的建议Azure DevOps存储库应具有基础结构,因为代码查找已解决和GitHub存储库应具有基础结构作为代码查找解决。
若要详细了解 Defender for Cloud 中的 DevOps 安全性,请参阅 DevOps 安全性概述。 若要了解如何配置 MSDO CLI,请参阅 Azure DevOps 或 GitHub 文档。
更新:多云中容器Defender定价更改
2024 年 6 月 24 日
由于多云中的容器Defender现已正式发布,因此不再免费。 有关详细信息,请参阅 Microsoft Defender for Cloud 定价。
弃用:提醒弃用自适应建议
2024 年 6 月 20 日
预计更改日期:2024 年 8 月
作为 MMA 弃用和服务器更新部署策略的Defender的一部分,服务器安全功能的Defender将通过 Microsoft Defender for Endpoint (MDE) 代理或通过 无代理扫描功能提供。 这两个选项都不依赖于 MMA 或Azure监视代理(AMA)。
自适应安全建议(称为自适应应用程序控制和自适应网络强化)将停用。 基于 MMA 的当前 GA 版本和基于 AMA 的预览版将于 2024 年 8 月弃用。
预览:Defender for Cloud中的Copilot
2024 年 6 月 10 日
我们宣布将智能 Microsoft Security Copilot 副驾驶®集成到公共预览版中的Defender for Cloud。 Copilot在 Defender for Cloud 中的嵌入式体验为用户提供了以自然语言提问和获取答案的能力。 Copilot可以帮助你了解建议的上下文、实施建议的效果、实施建议所需的步骤、协助委派建议以及协助修正代码中的错误配置。
在 Defender for Cloud 中详细了解
更新:SQL 漏洞评估自动启用
2024 年 6 月 10 日
预计更改日期:2024 年 7 月 10 日
最初,在 2022 年 12 月 Express Configuration 引入后激活 SQL Microsoft Defender的服务器上,才自动启用具有 Express Configuration 的 SQL 漏洞评估(VA)。
我们将更新在 2022 年 12 月之前为 SQL 激活Microsoft Defender的所有Azure SQL服务器,并且没有现有的 SQL VA 策略,以便使用 Express Configuration 自动启用 SQL 漏洞评估(SQL VA)。
- 此更改的实现将逐步完成,跨越数周,无需用户方执行任何操作。
- 此更改适用于在Azure订阅级别激活 SQL Microsoft Defender的Azure SQL服务器。
- 具有现有经典配置(无论有效还是无效)的服务器不会受到此更改的影响。
- 激活后,可能会出现“SQL 数据库应已解决漏洞结果”建议,并且可能会影响你的安全功能分数。
更新:对标识建议行为进行了更改
2024 年 6 月 3 日
预计更改日期:2024 年 7 月
这些更改:
- 评估的资源将成为标识而不是订阅
- 建议不再具有“子建议”
- API 中“assessmentKey”字段的值将针对这些建议进行更改
将适用于以下建议:
- 应启用对Azure资源具有所有者权限的帐户
- 应启用对Azure资源具有写入权限的帐户
- 应启用对Azure资源具有读取权限的帐户
- 应删除对Azure资源具有所有者权限的来宾帐户
- 应删除对Azure资源具有写入权限的来宾帐户
- 应删除对Azure资源具有读取权限的来宾帐户
- 应删除对Azure资源具有所有者权限的阻止帐户
- 应删除对Azure资源具有读取和写入权限的阻止帐户
- 最多只能为订阅指定 3 个所有者
- 应该为你的订阅分配了多个所有者
2024 年 5 月
| Date | Category | Update |
|---|---|---|
| 5 月 30 日 | GA | |
| 5 月 22 日 | Update | 配置攻击路径的电子邮件通知 |
| 5 月 21 日 | Update | Microsoft Defender XDR中的高级搜寻包括Defender for Cloud警报和事件 |
| 5 月 9 日 | Preview | |
| 5 月 7 日 | GA | |
| 5 月 6 日 | Preview | AI 多云安全态势管理可用于 Azure 和 AWS。 |
| 5 月 6 日 | 受限预览版 | Azure 中针对 AI 工作负荷的保护。 |
| 5 月 2 日 | Update | 安全策略管理。 |
| 5 月 1 日 | Preview | Defender现在适用于 Amazon 实例的 AWS 上提供了开放源代码数据库。 |
| 5 月 1 日 | 即将弃用 |
通过 AMA 重新移动 FIM,并通过 Endpoint 的 Defender 发布新版本。 预计将于 2024 年 8 月弃用。 |
GA:服务器计划 2 Defender中的无代理恶意软件检测
2024 年 5 月 30 日
Defender for Cloud针对 Azure VM、AWS EC2 实例和 GCP VM 实例的无代理恶意软件检测现已正式发布,作为服务器计划 2>Defender 中的 <新功能。
无代理恶意软件检测使用 Microsoft Defender 防病毒反恶意软件引擎来扫描和检测恶意文件。 检测到的威胁将安全警报直接触发到Defender for Cloud和Defender XDR,可在其中进行调查和修正。 详细了解针对服务器的无代理恶意软件扫描和针对 VM 的无代理扫描。
更新:配置攻击路径的电子邮件通知
2024 年 5 月 22 日
你可以配置在检测到具有指定风险级别或更高级别的攻击路径时接收的电子邮件通知。 了解如何配置电子邮件通知。
更新:Microsoft Defender XDR中的高级搜寻包括Defender for Cloud警报和事件
2024 年 5 月 21 日
Defender for Cloud的警报和事件现已与Microsoft Defender XDR集成,可在Microsoft Defender门户中访问。 该集成为涉及云资源、设备和身份的调查提供了更丰富的上下文。 了解 XDR 集成中的高级搜寻。
预览:在 Defender for Cloud 中检查 IaC 扫描的集成
2024 年 5 月 9 日
Defender for Cloud中 DevOps 安全性的 Checkov 集成现已推出预览版。 此集成提高了 MSDO CLI 在扫描 IaC 模板时运行的基础结构即代码检查的质量和总数。
在预览版中,必须通过 MSDO CLI 的“tools”输入参数显式调用 Checkov。
详细了解 Defender for Cloud0 中的
正式版:Defender for Cloud中的权限管理
2024 年 5 月 7 日
Permissions 管理现已在 Defender for Cloud 中正式发布。
预览版:AI 多云安全状况管理
2024 年 5 月 6 日
AI 安全状况管理在 Defender for Cloud 中以预览版提供。 它为 Azure 和 AWS 提供 AI 安全态势管理功能,以增强 AI 管道和服务的安全性。
详细了解AI 安全态势管理。
有限预览版:Azure中 AI 工作负载的威胁防护
2024 年 5 月 6 日
Defender for Cloud中 AI 工作负载的威胁防护在有限预览版中可用。 此计划可帮助你监视运行时中 Azure OpenAI 支持的应用程序的恶意活动、识别和修正安全风险。 它提供 AI 工作负载威胁防护的上下文见解,与 Responsible AI 集成,以及Microsoft威胁智能。 相关安全警报集成到Defender门户中。
详细了解AI 工作负载的威胁防护。
GA:安全策略管理
2024 年 5 月 2 日
跨云(Azure、AWS、GCP)的安全策略管理现已正式发布。 这使安全团队能够以一致的方式通过新功能管理其安全策略
详细了解 Microsoft Defender for Cloud 中的
预览版:DEFENDER AWS 中提供的开放源代码数据库
2024 年 5 月 1 日
AWS 上的开放源代码数据库的Defender现在以预览版提供。 它增加了对各种 Amazon 关系数据库服务 (RDS) 实例类型的支持。
详细了解开放源代码数据库的 Defender以及如何为 AWS 上的开源数据库可启用Defender。
弃用:移除 FIM(使用 AMA)
2024 年 5 月 1 日
预计更改日期:2024 年 8 月
作为 MMA 弃用和服务器更新部署策略的Defender的一部分,服务器安全功能的所有Defender将通过单个代理(MDE)或无代理扫描功能提供,并且不依赖于 MMA 或 AMA。
通过 Microsoft Defender for Endpoint (MDE) 的新版本文件完整性监视(FIM),可以通过实时监视关键文件和注册表、审核更改和检测可疑文件内容更改来满足合规性要求。
作为此版本的一部分,从 2024 年 8 月开始,AMA 上的 FIM 体验将不再通过 Defender for Cloud 门户获得。 有关详细信息,请参阅文件完整性监视体验 - 更改和迁移指南。
有关新 API 版本的详细信息,请参阅 Microsoft Defender for Cloud REST API。
2024 年 4 月
| Date | Category | Update |
|---|---|---|
| 4 月 16 日 | 即将更新 |
CIEM 评估 ID 的更改。 预计更新时间:2024 年 5 月。 |
| 4 月 15 日 | GA | Defender现在可用于 AWS 和 GCP。 |
| 4 月 3 日 | Update | |
| 4 月 3 日 | Update | Defender开放源代码关系数据库更新。 |
更新:CIEM 评估 ID 的更改
2024 年 4 月 16 日
预计更改日期:2024 年 5 月
以下建议计划进行重新建模,这将导致其评估 ID 发生更改:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
正式版:适用于 AWS 和 GCP 的容器的Defender
2024 年 4 月 15 日
容器Defender中 AWS 和 GCP 的运行时威胁检测和无代理发现现已正式发布。 此外,AWS 中还有一项新的身份验证功能,可简化预配。
详细了解 containers 支持矩阵Defender for Cloud以及如何为容器组件配置Defender。
更新:风险优先级
2024 年 4 月 3 日
风险优先顺序现在是Defender for Cloud的默认体验。 此功能根据每个资源的风险因素对建议进行优先级排序,帮助你专注于环境中最关键的安全问题。 风险因素包括安全违规问题的潜在影响、风险类别以及安全问题所属的攻击路径。 详细了解确定风险优先级。
更新:Open-Source 关系数据库的Defender
2024 年 4 月 3 日
- Defender PostgreSQL 灵活服务器后 GA 更新 - 更新使客户能够在订阅级别对现有 PostgreSQL 灵活服务器强制实施保护,从而完全灵活地按资源启用保护或订阅级别的所有资源的自动保护。
- Defender for MySQL 灵活服务器可用性和 GA - Defender for Cloud通过合并 MySQL 灵活服务器扩展了对Azure开源关系数据库的支持。
此版本包括:
- 与 MySQL 单一服务器Defender的现有警报的警报兼容性。
- 支持单个资源。
- 在订阅级别受支持。
- Azure Database for MySQL灵活服务器的更新将在未来几周内推出。 如果看到错误
The server <servername> is not compatible with Advanced Threat Protection,可以等待更新,或打开支持票证以更快地将服务器更新到受支持的版本。
如果已使用开放源代码关系数据库的Defender保护订阅,则会自动启用、保护和计费灵活服务器资源。 已通过电子邮件向受影响的订阅发送具体的账单通知。
详细了解适用于开源关系数据库的 Microsoft Defender。
2024 年 3 月
| Date | Category | Update |
|---|---|---|
| 3 月 31 日 | GA | Windows容器映像扫描 |
| 3 月 25 日 | Update | 连续导出现在包括攻击路径数据 |
| 3 月 21 日 | Preview | |
| 3 月 17 日 | Preview | 基于 kQL for Azure 的Custom 建议。 |
| 3 月 13 日 | Update | Microsoft云安全基准中 DevOps 建议的 inclusion |
| 3 月 13 日 | GA | ServiceNow 集成。 |
| 3 月 13 日 | Preview | Microsoft Defender for Cloud中关键资产保护。 |
| 3 月 12 日 | Update | 使用自动修正脚本增强 AWS 和 GCP 建议 |
| 3 月 6 日 | Preview | 合规性标准已添加到合规性仪表板 |
| 3 月 6 日 | 即将更新 |
Defender开放源代码关系数据库更新 预计发布时间:2024 年 4 月 |
| 3 月 3 日 | 即将更新 |
在何处访问合规性产品/服务和Microsoft操作 预计发布时间:2025 年 9 月 |
| 3 月 3 日 | Deprecation | Defender for Cloud由 Qualys 停用提供支持的容器漏洞评估 |
| 3 月 3 日 | 即将更新 |
Changes,可在其中访问合规性产品/服务并Microsoft操作。 预计弃用时间:2025 年 9 月 30 日。 |
正式发布:Windows容器映像扫描
2024 年 3 月 31 日
我们宣布了Windows容器映像的正式发布(正式版),支持Defender进行容器扫描。
更新:连续导出现在包括攻击路径数据
2024 年 3 月 25 日
我们宣布连续导出现在包括攻击路径数据。 此功能允许将安全数据流式传输到Azure Monitor 中的 Log Analytics、Azure 事件中心或其他安全信息和事件管理(SIEM)、安全业务流程自动响应(SOAR)或 IT 经典部署模型解决方案。
了解有关 连续导出的详细信息。
预览版:无代理扫描支持 Azure 中的 CMK 加密 VM
2024 年 3 月 21 日
到目前为止,无代理扫描涵盖了 AWS 和 GCP 中的 CMK 加密 VM。 在此版本中,我们也正在完成对Azure的支持。 此功能在 Azure 中使用了 CMK 的唯一扫描方法:
- Defender for Cloud不会处理密钥或解密过程。 密钥和解密由Azure计算无缝处理,对Defender for Cloud的无代理扫描服务是透明的。
- 未加密的 VM 磁盘数据永远不会被复制或使用其他密钥重新加密。
- 在此过程中,不会复制原始密钥。 清除它可消除生产 VM 和Defender for Cloud临时快照上的数据。
在公共预览期间,此功能不会自动启用。 如果对服务器 P2 或 Defender CSPM 使用 Defender,并且环境具有具有 CMK 加密磁盘的 VM,则现在可以按照这些可启用步骤扫描它们来查找漏洞、机密和恶意软件。
预览:基于 Azure KQL 的自定义建议
2024 年 3 月 17 日
基于 Azure 的 KQL 的自定义建议现在以公共预览版提供,并支持所有云。 有关详细信息,请参阅创建自定义安全标准和建议。
更新:在 Microsoft 云安全基准中包含 DevOps 建议
2024 年 3 月 13 日
今天,我们宣布除了Azure、AWS 和 GCP 之外,还可以在 Microsoft 云安全基准(MCSB)中监视 DevOps 安全性和合规性状况。 DevOps 评估是 MCSB 中的 DevOps 安全性控件的一部分。
MCSB 是基于通用行业标准和合规性框架定义基本的云安全原则的框架。 MCSB 提供有关如何实施与云无关的安全建议的规范性详细信息。
详细了解将包含的 DevOps 建议以及 Microsoft 云安全基准。
GA:ServiceNow 集成现已正式发布
2024 年 3 月 12 日
我们宣布 ServiceNow 集成正式发布(正式发布)。
预览版:Microsoft Defender for Cloud中的关键资产保护
2024 年 3 月 12 日
Defender for Cloud现在包括业务关键性功能,使用Microsoft 安全曝光管理的关键资产引擎,通过风险优先级、攻击路径分析和云安全资源管理器来识别和保护重要资产。 有关详细信息,请参阅 Microsoft Defender for Cloud(预览版) 中的
更新:使用自动修正脚本增强 AWS 和 GCP 建议
2024 年 3 月 12 日
我们正在使用自动修正脚本增强 AWS 和 GCP 建议,使你能够以编程方式大规模修正这些建议。 详细了解自动修正脚本。
预览版:合规性标准已添加到合规性仪表板
2024 年 3 月 6 日
根据客户反馈,我们在预览版中添加了符合性标准,以Defender for Cloud。
我们不断致力于为 Azure、AWS 和 GCP 环境添加和更新新标准。
了解如何分配安全标准。
更新:开放源代码关系数据库更新Defender
2024 年 3 月 6 日**
预计更改日期:2024 年 4 月
Defender PostgreSQL 灵活服务器后 GA 更新 - 更新使客户能够在订阅级别对现有 PostgreSQL 灵活服务器强制实施保护,从而完全灵活地按资源启用保护或订阅级别的所有资源的自动保护。
Defender for MySQL 灵活服务器可用性和 GA - Defender for Cloud设置为通过合并 MySQL 灵活服务器扩展对Azure开源关系数据库的支持。 此版本将包括:
- 与 MySQL 单一服务器Defender的现有警报的警报兼容性。
- 支持单个资源。
- 在订阅级别受支持。
如果已使用开放源代码关系数据库的Defender保护订阅,则会自动启用、保护和计费灵活服务器资源。 已通过电子邮件向受影响的订阅发送具体的账单通知。
详细了解适用于开源关系数据库的 Microsoft Defender。
更新:对合规性产品/服务的更改和Microsoft操作设置
2024 年 3 月 3 日
预计更改日期:2025 年 9 月 30 日
2025 年 9 月 30 日,访问两个预览功能的位置(合规性产品/服务和Microsoft操作)将发生更改。
列出Microsoft产品符合性状态的表(从 Compliance 产品/服务按钮访问Defender规范合规性仪表板)。 从 Defender for Cloud 中删除此按钮后,仍可使用 Service Trust Portal 访问此信息。
对于控件的子集,可从控件详细信息窗格中的“Microsoft操作(预览)按钮访问操作Microsoft操作。 删除此按钮后,可以通过访问 Microsoft 的 Service Trust Portal for FedRAMP 并访问Azure系统安全计划文档来查看Microsoft操作。
更新:访问合规性产品/服务和Microsoft操作的位置更改
2024 年 3 月 3 日**
预计变更日期:2025 年 9 月
2025 年 9 月 30 日,访问两个预览功能的位置(合规性产品/服务和Microsoft操作)将发生更改。
列出Microsoft产品符合性状态的表(从 Compliance 产品/服务按钮访问Defender规范合规性仪表板)。 从 Defender for Cloud 中删除此按钮后,仍可使用 Service Trust Portal 访问此信息。
对于控件的子集,可从控件详细信息窗格中的“Microsoft操作(预览)按钮访问操作Microsoft操作。 删除此按钮后,可以通过访问 Microsoft 的 Service Trust Portal for FedRAMP 并访问Azure系统安全计划文档来查看Microsoft操作。
弃用:Defender for Cloud Qualys 停用提供支持的容器漏洞评估
2024 年 3 月 3 日
由 Qualys 提供支持的Defender for Cloud容器漏洞评估即将停用。 停用将于 3 月 6 日前完成,在该时间之前,部分结果可能仍会出现在 Qualys 建议和安全图的 Qualys 结果中。 以前使用此评估的任何客户都应升级到 Azure Microsoft Defender 漏洞管理 的可操作性评估。 有关转换为由 Microsoft Defender 漏洞管理 提供支持的容器漏洞评估产品的信息,请参阅 从 Qualys 过渡到 Microsoft Defender 漏洞管理。
2024 年 2 月
| Date | Category | Update |
|---|---|---|
| 2 月 28 日 | Deprecation | Microsoft 安全 Code Analysis(MSCA)不再运行。 |
| 2 月 28 日 | Update | 更新的安全策略管理扩展了对 AWS 和 GCP 的支持。 |
| 2 月 26 日 | Update | Cloud 对容器Defender的支持 |
| 2 月 20 日 | Update | 适用于容器Defender的Defender传感器的新版本 |
| 2 月 18 日 | Update | 开放容器计划 (OCI) 映像格式规范支持 |
| 2 月 13 日 | Deprecation | 由 Trivy 提供支持的 AWS 容器漏洞评估已停用。 |
| 2 月 5 日 | 即将更新 |
解除Microsoft授权。SecurityDevOps 资源提供程序 预计发布时间:2024 年 3 月 6 日 |
弃用:Microsoft 安全 Code Analysis(MSCA)不再运行
2024 年 2 月 28 日
2021 年 2 月,MSCA 任务的弃用已传达给所有客户,自 2022 年 3 月以来一直已结束生命周期支持。 自 2024 年 2 月 26 日起,MSCA 正式不再运营。
客户可以通过 < Defender for Cloud c0>Microsoft 安全 DevOps 获取最新的 DevOps 安全工具,并通过
更新:安全策略管理扩展了对 AWS 和 GCP 的支持
2024 年 2 月 28 日
管理安全策略的更新体验(最初在 Azure 预览版中发布)正在将其支持扩展到跨云(AWS 和 GCP)环境。 此预览版包括:
- 在 Azure、AWS 和 GCP 环境中Defender for Cloud管理 法规合规性标准。
- 创建和管理 Microsoft Cloud 安全基准(MCSB)自定义建议的跨云接口体验相同。
- 更新后的体验适用于 AWS 和 GCP,以便 使用 KQL 查询创建自定义建议。
更新:容器Defender的云支持
2024 年 2 月 26 日
Azure Kubernetes 服务 (AKS)容器Defender中的威胁检测功能现在完全支持商业云、Azure 政府云和Azure 中国世纪互联云。 查看 支持的功能。
更新:适用于容器Defender的 Defender 传感器的新版本
2024 年 2 月 20 日
更新:开放容器计划 (OCI) 映像格式规范支持
2024 年 2 月 18 日
Open 容器计划(OCI)映像格式规范现在受漏洞评估支持,由 AWS Microsoft Defender 漏洞管理 提供支持,Azure和;GCP 云。
弃用:由 Trivy 提供支持的 AWS 容器漏洞评估已停用
2024 年 2 月 13 日
由 Trivy 提供支持的容器漏洞评估已停用。 以前使用此评估的任何客户都应升级到由 Microsoft Defender 漏洞管理 提供支持的新
更新:停用Microsoft。SecurityDevOps 资源提供程序
2024 年 2 月 5 日
预计更改日期:2024 年 3 月 6 日
Microsoft Defender for Cloud停用在 DevOps 安全性公共预览版期间使用的资源提供程序 Microsoft.SecurityDevOps,该提供程序已迁移到现有的 Microsoft.Security 提供程序。 此更改的原因是通过减少与 DevOps 连接器关联的资源提供程序数量来提高客户体验。
在 下仍在使用 API 版本 Microsoft.SecurityDevOps 的客户将受到影响,以查询 devOps 安全数据Defender for Cloud。 为了避免服务中断,客户需要更新到 提供程序下的新 API 版本 Microsoft.Security。
当前从 Azure 门户使用 Defender for Cloud DevOps 安全性的客户不会受到影响。
2024 年 1 月
| Date | Category | Update |
|---|---|---|
| 1 月 31 日 | Update | 云安全资源管理器中活动存储库的新见解 |
| 1 月 30 日 | 即将更新 |
多云容器威胁检测的定价更改 预计发布时间:2024 年 4 月 |
| 1 月 29 日 | 即将更新 |
高级 DevOps 安全功能Defender CSPM的Enforcement。 预计发布时间:2024 年 3 月 |
| 1 月 24 日 | Preview | 适用于容器的 Defender 和 Defender CSPM 中 GCP 的无代理容器状态。 |
| 1 月 16 日 | Preview | 针对服务器进行无代理恶意软件扫描。 |
| 1 月 15 日 | GA | Defender for Cloud与 Microsoft Defender XDR 集成。 |
| 1 月 14 日 | Update |
升级到无代理 VM 扫描内置Azure角色 预计发布时间:2024 年 3 月 |
| 1 月 12 日 | Update | DevOps 安全拉取请求注释现在默认为Azure DevOps连接器启用。 |
| 1 月 9 日 | Deprecation |
Defender用于服务器内置漏洞评估(Qualys)停用路径。 预计发布时间:2024 年 5 月 |
| 1 月 3 日 | 即将更新 |
针对Defender for Cloud的多云网络要求的传入更改。 预计发布时间:2024 年 5 月。 |
更新:云安全资源管理器中活动存储库的新见解
2024 年 1 月 31 日
Azure DevOps存储库的新见解已添加到 Cloud Security Explorer,用于指示存储库是否处于活动状态。 此见解指示代码存储库未存档或禁用,这意味着对代码、生成和拉取请求的写入访问权限仍可供用户使用。 已存档和禁用的存储库可能被视为较低优先级,因为代码通常不用于活动部署。
若要通过云安全资源管理器测试查询,请使用此查询链接。
更新:多云容器威胁检测的定价更改
2024 年 1 月 30 日**
预计更改日期:2024 年 4 月
当多云容器威胁检测迁移到正式发布版时,它将不再免费。 有关详细信息,请参阅 Microsoft Defender for Cloud 定价。
更新:高级 DevOps 安全值的Defender CSPM强制实施
2024 年 1 月 29 日**
预计更改日期:2024 年 3 月 7 日
Defender for Cloud将从 20240>March 7。 如果在创建 DevOps 连接器所在的同一租户(Azure AWS、GCP)上启用了Defender CSPM计划,将继续不收取额外的费用接收高级 DevOps 功能。 如果你不是Defender CSPM客户,则必须先
有关基础 CSPM 和 Defender CSPM 计划中提供了哪些 DevOps 安全功能的详细信息,请参阅本文档概述功能可用性。
有关 Defender for Cloud 中的 DevOps Security 的详细信息,请参阅 overview 文档。
有关 Defender CSPM中云安全功能的代码的详细信息,请参阅
预览:容器和Defender CSPM Defender中 GCP 的无代理容器状况
2024 年 1 月 24 日
新的无代理容器状况(预览版)功能适用于 GCP,包括对具有 Microsoft Defender 漏洞管理 的 GCP 的
还可以阅读此博客文章,了解有关多云的无代理容器状况管理的信息。
预览版:针对服务器进行无代理恶意软件扫描
2024 年 1 月 16 日
我们宣布发布Defender for Cloud针对Azure虚拟机(VM)、AWS EC2 实例和 GCP VM 实例的无代理恶意软件检测,这是服务器计划 20 的
VM 的无代理恶意软件检测现在包含在无代理扫描平台中。 无代理恶意软件扫描利用 Microsoft Defender 防病毒反恶意软件引擎来扫描和检测恶意文件。 任何检测到的威胁,将安全警报直接触发到Defender for Cloud和Defender XDR,可在其中进行调查和修正。 无代理恶意软件扫描程序通过无摩擦载入的第二层威胁检测补充了基于代理的安全保障,并且不会影响计算机的性能。
详细了解针对服务器的无代理恶意软件扫描和针对 VM 的无代理扫描。
Defender for Cloud与Microsoft Defender XDR的集成正式发布
2024 年 1 月 15 日
我们宣布Defender for Cloud与Microsoft Defender XDR(前Office 365 Defender)之间的集成正式发布(正式版)。
该集成为安全运营中心 (SOC) 的日常工作带来了具有竞争力的云保护功能。 借助Microsoft Defender for Cloud和Defender XDR集成,SOC 团队可以发现从多个支柱(包括云、终结点、标识、Microsoft 365等)组合检测的攻击。
详细了解 Microsoft Defender XDR 中的
更新:无代理 VM 扫描内置Azure角色
2024 年 1 月 14 日**
预计更改日期:2024 年 2 月
在Azure中,对 VM 的无代理扫描使用内置角色(称为 VM 扫描程序操作员),以及扫描和评估 VM 是否存在安全问题所需的最低必要权限。 若要为具有加密卷的 VM 持续提供相关的扫描运行状况和配置建议,计划对此角色的权限进行更新。 此更新包括添加 Microsoft.Compute/DiskEncryptionSets/read 权限。 此权限仅允许改进 VM 中加密磁盘使用情况的标识。 它不提供 Defender for Cloud任何其他功能来解密或访问这些加密卷的内容,支持的任何加密方法此更改之前。 此更改预计将在 2024 年 2 月进行,你无需采取任何操作。
更新:默认情况下为 Azure DevOps 连接器启用 DevOps 安全拉取请求批注
2024 年 1 月 12 日
DevOps 安全团队在拉取请求 (PR) 中以注释的形式公开安全发现,以帮助开发人员在进入生产环境之前防止和修复潜在的安全漏洞和配置错误。 自 2024 年 1 月 12 日起,默认情况下,所有连接到Defender for Cloud的新和现有Azure DevOps存储库都默认启用 PR 批注。
默认情况下,系统仅针对高严重性基础结构即代码 (IaC) 发现启用 PR 注释。 客户仍需要为 DevOps(MSDO)配置Microsoft 安全,以便在 PR 生成中运行,并在Azure DevOps存储库设置中为 CI 生成启用生成验证策略。 客户可以从 DevOps 安全窗格存储库配置选项中为特定存储库禁用 PR 批注功能。
详细了解 为 Azure DevOps 启用拉取请求批注。
弃用:针对服务器内置漏洞评估(Qualys)停用路径Defender
2024 年 1 月 9 日**
预计更改日期:2024 年 5 月
由 Qualys 提供支持的服务器内置漏洞评估解决方案的Defender位于停用路径上,估计在 2024 年 2024 年 5 月 1 日
有关我们决定使用 Microsoft Defender 漏洞管理 统一漏洞评估产品/服务的详细信息,请阅读以下博客文章。
还可以查看有关转换到Microsoft Defender 漏洞管理解决方案的
更新:Defender for Cloud的多云网络要求
2024 年 1 月 3 日**
预计更改日期:2024 年 5 月
从 2024 年 5 月开始,我们将停用与多云发现服务关联的旧 IP 地址,以适应改进,并确保为所有用户提供更安全、更高效的体验。
为了确保我们的服务访问不会中断,应使用以下部分中提供的新范围更新你的 IP 允许列表。 应对防火墙设置、安全组或可能适用于你的环境的任何其他配置进行必要的调整。
此列表适用于所有计划,并且足以实现 CSPM 基础(免费)产品/服务的完整功能。
要停用的 IP 地址:
- 发现 GCP:104.208.29.200、52.232.56.127
- 发现 AWS:52.165.47.219、20.107.8.204
- 载入:13.67.139.3
要添加的新区域特定的 IP 范围:
- 西欧:52.178.17.48/28
- 北欧:13.69.233.80/28
- 美国中部:20.44.10.240/28
- 美国东部 2:20.44.19.128/28
2023 年 12 月
| Date | Update |
|---|---|
| 12 月 30 日 | Defender for Cloud的服务级别 2 名称的Consolidation |
| 12 月 24 日 | Defender可用于正式发布的资源级别的服务器 |
| 12 月 21 日 | 停用多云经典连接器 |
| 12 月 21 日 | 发布覆盖范围工作簿 |
| 12 月 14 日 | 由世纪互联运营的Azure 政府中由Microsoft Defender 漏洞管理和世纪互联运营的 Azure容器漏洞评估的一般可用性 |
| 12 月 14 日 | |
| 12 月 13 日 | 停用由 Trivy 提供支持的 AWS 容器漏洞评估 |
| 12 月 13 日 | |
| 12 月 13 日 | 通用可用性(GA)对开源关系数据库计划的 Defender PostgreSQL 灵活服务器的支持 |
| 12 月 12 日 | 由 Microsoft Defender 漏洞管理 提供支持的 Container 漏洞评估现在支持 Google Distroless |
合并Defender for Cloud的服务级别 2 名称
2023 年 12 月 30 日
我们将所有Defender for Cloud计划的旧服务级别 2 名称合并为单个新的服务级别 2 名称,Microsoft Defender for Cloud。
目前,有四个服务级别 2 名称:Azure Defender、Advanced Threat Protection、高级数据安全和安全中心。 Microsoft Defender for Cloud的各种计量按这些单独的服务级别 2 名称分组,在使用成本管理 + 计费、开票和其他Azure计费相关工具时创建复杂性。
此更改简化了审查Defender for Cloud费用的过程,并在成本分析中提供了更好的清晰度。
为了确保平稳过渡,我们采取了措施来保持产品/服务名称、SKU 和计量 ID 的一致性。 受影响的客户将收到信息性Azure服务通知来传达更改。
通过调用 API 检索成本数据的组织需要更新其调用中的值以适应更改。 例如,在此筛选器函数中,值将不返回任何信息:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| 旧服务级别 2 名称 | 新服务级别 2 名称 | 服务层级 - 服务级别 4(无更改) |
|---|---|---|
| 高级数据安全 | Microsoft Defender for Cloud | SQL Defender |
| 高级威胁防护 | Microsoft Defender for Cloud | 容器注册表的Defender |
| 高级威胁防护 | Microsoft Defender for Cloud | DNS 的Defender |
| 高级威胁防护 | Microsoft Defender for Cloud | 密钥保管库的Defender |
| 高级威胁防护 | Microsoft Defender for Cloud | 适用于 Kubernetes 的Defender |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for MySQL 安全防护工具 |
| 高级威胁防护 | Microsoft Defender for Cloud | 适用于 PostgreSQL 的 Defender |
| 高级威胁防护 | Microsoft Defender for Cloud | 资源管理器的Defender |
| 高级威胁防护 | Microsoft Defender for Cloud | 存储Defender |
| Azure Defender | Microsoft Defender for Cloud | 外部攻击Surface管理Defender |
| Azure Defender | Microsoft Defender for Cloud | Defender for Azure Cosmos DB |
| Azure Defender | Microsoft Defender for Cloud | Defender for Containers |
| Azure Defender | Microsoft Defender for Cloud | MariaDB 防御者 |
| 安全中心 | Microsoft Defender for Cloud | 应用服务的Defender |
| 安全中心 | Microsoft Defender for Cloud | Defender for Servers |
| 安全中心 | Microsoft Defender for Cloud | Defender 云安全态势管理 (CSPM) |
Defender可用于正式发布的资源级别的服务器
2023 年 12 月 24 日
现在可以管理订阅中特定资源上的服务器的Defender,从而完全控制保护策略。 借助此功能,可以使用与订阅级别配置的设置不同的自定义配置来配置特定资源。
详细了解 在资源级别为服务器启用Defender。
停用多云经典连接器
2023 年 12 月 21 日
经典多云连接器体验已停用,数据不再流式传输到通过该机制创建的连接器。 这些经典连接器用于连接 AWS 安全中心和 GCP 安全命令中心建议,以Defender for Cloud并将 AWS EC2 载入服务器Defender。
这些连接器的全部价值已被替换为本机多云安全连接器体验,自 2022 年 3 月以来,该体验已正式适用于 AWS 和 GCP,无需额外付费。
新的本机连接器包含在计划中,并提供自动载入体验,其中包含用于载入单一帐户、多个帐户(使用 Terraform)以及以下Defender计划的自动预配的组织加入:免费的基础 CSPM 功能、Defender云安全状况管理(CSPM),Defender for Servers,适用于 SQL 的Defender,以及用于容器的Defender。
发布覆盖范围工作簿
2023 年 12 月 21 日
通过“覆盖”工作簿,可以跟踪哪些Defender for Cloud计划在你的环境哪些部分处于活动状态。 此工作簿有助于确保环境和订阅受到充分保护。 通过访问详细的覆盖范围信息,你还可以识别可能需要其他保护的任何区域,并采取措施解决这些区域的问题。
了解有关 “覆盖”工作簿的详细信息。
由世纪互联运营的Azure 政府和由世纪互联运营的Azure Microsoft Defender 漏洞管理支持的容器漏洞评估正式发布
2023 年 12 月 14 日
Microsoft Defender 漏洞管理支持的Azure容器注册表中 Linux 容器映像的漏洞评估(VA)在世纪互联运营的Azure 政府中正式发布(正式版),Azure由世纪互联运营。 此新版本在容器Defender下提供,适用于容器注册表计划的Defender。
- 作为此更改的一部分,针对 GA 发布了新建议,并包含在安全功能分数计算中。 查看新的和更新的安全建议
- 由Microsoft Defender 漏洞管理提供支持的容器映像扫描现在也根据 计划定价产生费用。 由 Qualys 提供支持的容器 VA 产品/服务扫描的映像和由 Microsoft Defender 漏洞管理 提供支持的容器 VA 产品/服务将仅计费一次。
容器漏洞评估的 Qualys 建议已重命名,并继续可供在此版本之前在其任何订阅上为容器启用Defender的客户使用。 在此版本之后载入容器Defender的新客户将仅看到由Microsoft Defender 漏洞管理提供支持的新容器漏洞评估建议。
Windows支持由 Microsoft Defender 漏洞管理 提供支持的容器漏洞评估的公共预览版
2023 年 12 月 14 日
在公共预览版中发布了对Windows映像的支持,这是由Azure容器注册表和 Azure Kubernetes 服务Microsoft Defender 漏洞管理支持的漏洞评估(VA)的一部分。
停用由 Trivy 提供支持的 AWS 容器漏洞评估
2023 年 12 月 13 日
由 Trivy 提供支持的容器漏洞评估将于 2 月 13 日之前停用。 此功能现已弃用,但会在 2 月 13 日之前继续向使用此功能的现有客户提供。 我们鼓励使用此功能的客户升级到 2 月 13 日由 Microsoft Defender 漏洞管理 提供支持的新
容器和Defender CSPM Defender中 AWS 的无代理容器状况(预览版)
2023 年 12 月 13 日
新的无代理容器状态(预览版)功能可用于 AWS。 有关详细信息,请参阅 容器状况,了解容器Defender CSPM和 容器Defender中的无代理容器状态。
开放源代码关系数据库计划的 Defender 中 PostgreSQL 灵活服务器的正式发布支持
2023 年 12 月 13 日
我们宣布在开放源代码关系数据库的 Microsoft Defender 中正式发布 PostgreSQL 灵活服务器支持计划。 开源关系数据库的Microsoft Defender通过检测异常活动并生成安全警报,为 PostgreSQL 灵活服务器提供高级威胁防护。
了解如何为开源关系数据库Microsoft Defender。
由 Microsoft Defender 漏洞管理 提供支持的容器漏洞评估现在支持 Google Distroless
2023 年 12 月 12 日
由 Microsoft Defender 漏洞管理 提供支持的容器漏洞评估已经扩展,对 Linux OS 包进行了更多覆盖,现在支持 Google Distroless。
有关所有受支持的操作系统的列表,请参阅
2023 年 11 月
| Date | Update |
|---|---|
| 11 月 30 日 | 已弃用四个警报 |
| 11 月 27 日 | |
| 11 月 22 日 | |
| 11 月 22 日 | |
| 11 月 20 日 | 计算机上 SQL Server 的自动预配过程的正式发布 |
| 11 月 15 日 | API Defender的General 可用性 |
| 11 月 15 日 | |
| 11 月 15 日 | 容器漏洞评估的一般可用性,该评估由容器Defender中的 Microsoft Defender 漏洞管理(MDVM)和容器注册表的Defender |
| 11 月 15 日 | 对容器漏洞评估建议名称的更改 |
| 11 月 15 日 | 现在可以为建议确定风险优先级 |
| 11 月 15 日 | 攻击路径分析新引擎和广泛的增强功能 |
| 11 月 15 日 | Changes 到攻击路径的Azure Resource Graph表方案 |
| 11 月 15 日 | |
| 11 月 15 日 | 数据安全仪表板的正式发布版本 |
| 11 月 15 日 | 数据库敏感数据发现的正式发布版本 |
| 11 月 6 日 | 有关查找缺失的系统更新的新版建议现已正式发布 |
已弃用四个警报
2023 年 11 月 30 日
作为质量改进过程的一部分,以下安全警报已弃用:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
服务器和Defender CSPM Defender中扫描无代理机密的正式发布
2023 年 11 月 27 日
无代理机密扫描通过识别 VM 磁盘上的纯文本机密来增强基于云的安全虚拟机(VM)。 无代理机密扫描提供全面的信息,有助于确定检测到的结果的优先级,并在横向移动风险发生之前减轻风险。 这种主动方法可防止未经授权的访问,确保云环境的安全。
我们宣布了无代理机密扫描的正式发布(正式版),其中包括服务器 P20>Defender 和
无代理机密扫描利用云 API 捕获磁盘快照,进行带外分析,确保不会影响 VM 的性能。 无代理机密扫描扩大了跨 Azure、AWS 和 GCP 环境Defender for Cloud云资产提供的覆盖面,以增强云安全性。
在此版本中,Defender for Cloud的检测功能现在支持其他数据库类型、数据存储签名 URL、访问令牌等。
了解如何使用无代理机密扫描管理机密。
使用Defender for Cloud启用权限管理(预览版)
2023 年 11 月 22 日
Microsoft现在提供 Cloud-Native 应用程序保护平台(CNAPP)和云基础结构权利管理(CIEM)解决方案,Microsoft Defender for Cloud(CNAPP)和Microsoft Entra权限管理(CIEM)。
安全管理员可以在Defender for Cloud中集中查看其未使用或过多的访问权限。
安全团队可以驱动云资源的最低特权访问控制,并接收可操作的建议,以便在Azure、AWS 和 GCP 云环境中解决权限风险,这是其Defender云安全状况管理(CSPM)的一部分,无需任何额外的许可要求。
了解如何在 Microsoft Defender for Cloud(预览版)0 中
Defender for Cloud与 ServiceNow 的集成
2023 年 11 月 22 日
ServiceNow 现已与 Microsoft Defender for Cloud集成,使客户能够将 ServiceNow 连接到其Defender for Cloud环境,从而确定影响业务的建议的修正优先级。 Microsoft Defender for Cloud与 ITSM 模块(事件管理)集成。 作为此连接的一部分,客户可以从Microsoft Defender for Cloud创建/查看 ServiceNow 票证(链接到建议)。
可以详细了解 Defender for Cloud与 ServiceNow 的集成。
计算机计划上 SQL Server 的自动预配过程的正式发布
2023 年 11 月 20 日
为准备 2024 年 8 月弃用Microsoft监视代理(MMA),Defender for Cloud发布了SQL Server目标Azure监视代理(AMA)自动预配过程。 新进程会自动为所有新客户启用和配置,并为Azure SQL VM 和已启用 Arc 的 SQL Server 提供资源级别启用功能。
要求使用 MMA 自动预配过程的客户在计算机自动预配过程migrate 到适用于 SQL Server 的新Azure监视代理。 迁移过程是无缝的,会为所有计算机提供持续保护。
API Defender正式发布
2023 年 11 月 15 日
我们宣布推出 API Microsoft Defender正式发布版。 API Defender旨在保护组织免受 API 安全威胁。
DEFENDER API 允许组织保护其 API 和数据免受恶意参与者的攻击。 组织可以调查和改善 API 安全态势、确定漏洞修复的优先顺序,快速检测并响应活动实时威胁。 组织还可以将安全警报直接集成到其安全事件和事件管理(SIEM)平台(例如Microsoft Sentinel),以调查和会审问题。
了解如何使用 api Defender保护 API API。 还可以了解有关 api 的 About Microsoft Defender 的详细信息。
还可以阅读 此博客 ,了解有关 GA 公告的详细信息。
Defender for Cloud现已与Microsoft 365 Defender集成(预览版)
2023 年 11 月 15 日
企业可以通过Microsoft Defender for Cloud与Microsoft Defender XDR之间的新集成来保护其云资源和设备。 这种集成将云资源、设备和身份之间的点连接起来,而这以前需要多种体验。
该集成还为安全运营中心 (SOC) 的日常工作带来了具有竞争力的云保护功能。 借助Microsoft Defender XDR,SOC 团队可以轻松发现攻击,这些攻击结合了来自多个支柱的攻击,包括云、终结点、标识、Microsoft 365等。
一些主要优点包括:
SOC 团队的易于使用的界面:借助集成到 M365D 中的Defender for Cloud警报和云相关性,SOC 团队现在可以从单个界面访问所有安全信息,显著提高了运营效率。
一个攻击故事:通过使用结合了多个来源的安全警报的预构建关联,客户能够了解完整的攻击故事,包括其云环境。
Microsoft Defender XDR0 中的新云实体:Microsoft Defender XDR现在支持特定于Microsoft Defender for Cloud的新云实体,例如云资源。 客户可以将虚拟机 (VM) 实体与设备实体进行匹配,从而提供有关计算机的所有相关信息的统一视图,包括在该计算机上触发的警报和事件。 适用于Microsoft 安全产品的统一 API:客户现在可以使用单个 API 将其安全警报数据导出到所选系统中,因为Microsoft Defender for Cloud警报和事件现在是Microsoft Defender XDR公共 API 的一部分。
Defender for Cloud与Microsoft Defender XDR之间的集成适用于所有新客户和现有Defender for Cloud客户。
容器漏洞评估正式发布,该评估由容器Defender中的Microsoft Defender 漏洞管理(MDVM)和容器注册表的Defender提供支持
2023 年 11 月 15 日
Azure容器注册表中由 Microsoft Defender 漏洞管理 (MDVM) 提供支持的容器注册表中 Linux 容器映像的漏洞评估(VA)在适用于容器的Defender中发布,适用于容器注册表的Defender发布。
作为此更改的一部分,已针对 GA 发布以下建议并重命名,这些建议现在包含在安全功能分数计算中:
| 当前建议名称 | 新建议名称 | Description | 评估密钥 |
|---|---|---|---|
| 容器注册表映像应已解决漏洞发现(由Microsoft Defender 漏洞管理提供支持) | Azure注册表容器映像应已解决漏洞(由Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| 正在运行的容器映像应已解决漏洞发现(由Microsoft Defender 漏洞管理提供支持) | 运行容器映像Azure应已解决漏洞(由Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
MDVM 支持的容器映像扫描现在还会根据 计划定价产生费用。
Note
Qualys 支持的容器 VA 产品/服务和 MDVM 支持的容器 VA 产品/服务都扫描的映像将仅计费一次。
以下 Qualys 针对容器漏洞评估的建议已重命名,并且将继续适用于在 11 月 15 日之前为其任何订阅启用容器Defender的客户。 在 11 月 15 日之后加入容器Defender的新客户将仅看到由Microsoft Defender 漏洞管理提供支持的新容器漏洞评估建议。
| 当前建议名称 | 新建议名称 | Description | 评估密钥 |
|---|---|---|---|
| 容器注册表映像应已解决漏洞结果(由 Qualys 提供技术支持) | Azure注册表容器映像应已解决漏洞(由 Qualys 提供支持) | 容器映像漏洞评估功能会扫描注册表中的安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 运行容器映像应已解决漏洞结果(由 Qualys 提供支持) | Azure运行容器映像时应已解决漏洞 - (由 Qualys 提供支持) | 容器映像漏洞评估会扫描 Kubernetes 群集上运行的容器映像,以查找安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | 41503391-efa5-47ee-9282-4eff6131462c |
对容器漏洞评估建议名称的更改
以下容器漏洞评估建议已重命名:
| 当前建议名称 | 新建议名称 | Description | 评估密钥 |
|---|---|---|---|
| 容器注册表映像应已解决漏洞结果(由 Qualys 提供技术支持) | Azure注册表容器映像应已解决漏洞(由 Qualys 提供支持) | 容器映像漏洞评估功能会扫描注册表中的安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 运行容器映像应已解决漏洞结果(由 Qualys 提供支持) | Azure运行容器映像时应已解决漏洞 - (由 Qualys 提供支持) | 容器映像漏洞评估会扫描 Kubernetes 群集上运行的容器映像,以查找安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | 41503391-efa5-47ee-9282-4eff6131462c |
| 弹性容器注册表映像应已解决漏洞发现 | AWS 注册表容器映像应该已解决漏洞(由 Trivy 提供支持) | 容器映像漏洞评估功能会扫描注册表中的安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
现在可以为建议确定风险优先级
2023 年 11 月 15 日
现在可以根据安全建议构成的风险级别确定安全建议的优先级,同时考虑每个潜在安全问题的可利用性和潜在业务影响。
通过根据风险级别(严重、高、中、低)组织建议,能够解决环境中最严重的风险,并根据实际风险(例如互联网暴露、数据敏感性、横向移动可能性以及可以通过解决建议来缓解的潜在攻击路径)有效确定安全问题的修正优先级。
详细了解确定风险优先级。
攻击路径分析新引擎和广泛的增强功能
2023 年 11 月 15 日
我们正在发布对Defender for Cloud中攻击路径分析功能的增强功能。
新引擎 - 攻击路径分析具有新的引擎,该引擎使用路径查找算法来检测云环境中存在的每个可能的攻击路径(基于我们在图形中的数据)。 我们可以在环境中找到更多的攻击路径,并检测攻击者可用来破坏组织的更复杂的攻击模式。
改进 - 发布了以下改进:
- 风险优先级 - 基于风险的优先攻击路径列表(可利用性和业务影响)。
- 增强修正 - 查明应解决的具体建议,以实际中断链。
- 跨云攻击路径 – 检测跨云攻击路径(从一个云开始并在另一个云结束的路径)。
- MITRE – 将所有攻击路径映射到 MITRE 框架。
- 全新的用户体验 – 通过便于会审的更强大功能(高级筛选器、搜索和攻击路径分组)带来全新体验。
了解如何识别和修正攻击路径。
对攻击路径的Azure Resource Graph表方案的更改
2023 年 11 月 15 日
攻击路径的Azure Resource Graph表方案已更新。 已删除 attackPathType 属性,并添加其他属性。
Defender CSPM 中 GCP 支持的正式发布
2023 年 11 月 15 日
我们宣布正式发布Defender CSPM上下文云安全图和攻击路径分析,并支持 GCP 资源。 你可以应用Defender CSPM的强大功能,以便跨 GCP 资源实现全面的可见性和智能云安全性。
我们的 GCP 支持的主要功能包括:
- 攻击路径分析 - 了解攻击者可能采用的潜在路线。
- 云安全资源管理器 - 通过在安全图上运行基于图形的查询,主动识别安全风险。
- 无代理扫描 - 扫描服务器并识别机密和漏洞,而无需安装代理。
- 数据感知安全态势 - 发现并修正 Google Cloud Storage 存储桶中敏感数据的风险。
详细了解 Defender CSPM 计划选项。
Note
2024 年 2 月 1 日,Defender CSPM正式版 GCP 支持版本的计费将于 2024 年 2 月 1 日开始。
数据安全仪表板的正式发布版本
2023 年 11 月 15 日
数据安全仪表板现已在正式发布版(GA)中提供,作为Defender CSPM计划的一部分。
你可以通过数据安全仪表板查看组织的数据资产、敏感数据的风险以及有关数据资源的见解。
详细了解数据安全仪表板。
数据库敏感数据发现的正式发布版本
2023 年 11 月 15 日
托管数据库的敏感数据发现(包括Azure SQL数据库和 AWS RDS 实例(所有 RDBMS 风格)现已正式发布,并允许自动发现包含敏感数据的关键数据库。
若要在环境中启用此功能,需要在Defender CSPM中启用 Sensitive data discovery。 了解 如何在 Defender CSPM 中启用敏感数据发现。
还可以了解如何将敏感数据发现用于数据感知安全状况。
公共预览版公告:
有关查找缺失的系统更新的新版建议现已正式发布
2023 年 11 月 6 日
Azure VM 和Azure Arc计算机上不再需要额外的代理,以确保计算机具有所有最新的安全或关键系统更新。
新的系统更新建议(System updates should be installed on your machines (powered by Azure 更新管理器) 控件中的 Apply system updates)基于 Update Manager,现已完全正式发布。 该建议依赖于嵌入在每个Azure VM 和Azure Arc计算机而不是已安装的代理中的本机代理。 新建议中的快速修复可引导你在更新管理器门户中完成缺失的更新的一次性安装。
查找缺少的系统更新的旧版本和新版本在 2024 年 8 月之前都可用,届时较旧的版本将弃用。 这两项建议:System updates should be installed on your machines (powered by Azure 更新管理器) 和 System updates should be installed on your machines位于同一控件下:Apply system updates,结果相同。 因此,对安全分数的影响不会重复。
建议迁移到新建议并删除旧建议,方法是在Azure策略中将其从Defender for Cloud的内置计划中禁用。
建议[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)也已正式发布,且是先决条件,这将对安全功能分数产生负面影响。 可以使用提供的修复修正负面影响。
要应用新建议,需要:
- 将非Azure计算机连接到 Arc。
- 打开定期评估属性。 可使用“
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)”这一新建议中的快速修复来修复建议。
Note
未在其相关的订阅或连接器上启用已启用 Arc 的计算机的 Defender已启用 Arc 的计算机的定期评估不受Azure 更新管理器定价的约束。 已启用 Arc 的服务器计划 2Defender>在其相关订阅或连接器或任何Azure VM 上都启用了此功能,无需额外付费。
2023 年 10 月
| Date | Update |
|---|---|
| 10 月 30 日 | 更改自适应应用程序控制的安全警报的严重性 |
| 10 月 25 日 | Offline Azure API 管理从 API Defender中删除的修订 |
| 10 月 19 日 | 公共预览版中提供了 DevOps 安全态势管理建议 |
| 10 月 18 日 | 在法规合规性仪表板中恢复租赁 CIS Azure Foundations Benchmark v2.0.0 |
更改自适应应用程序控制安全警报的严重性
公告日期:2023 年 10 月 30 日
作为服务器Defender的安全警报质量改进过程的一部分,并且作为 adaptive 应用程序控制功能的一部分,以下安全警报的严重性将更改为“信息”:
| 警报 [警报类型] | 警报说明 |
|---|---|
| 自适应应用程序控制策略冲突已审核。[VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | 以下用户在此计算机上运行了违反你的组织的应用程序控制策略的应用程序。 它可能会使计算机面临恶意软件或应用程序漏洞的威胁。 |
若要在Microsoft Defender for Cloud门户中的“安全警报”页中继续查看此警报,请将默认视图筛选器 Severity 更改为在网格中包含 信息警报。
从 API Defender中删除的脱机Azure API 管理修订
2023 年 10 月 25 日
Defender API 更新了对 Azure API 管理 API 修订的支持。 脱机修订不再显示在 API 清单的载入Defender中,不再显示为已载入到 API Defender。 脱机修订版不允许向其发送任何流量,也不会构成任何安全风险。
公共预览版中提供了 DevOps 安全态势管理建议
2023 年 10 月 19 日
现在,所有具有连接器Azure DevOps或GitHub的客户都可以使用公共预览版提供新的 DevOps 状况管理建议。 DevOps 态势管理能够发现安全配置和访问控制中的弱点,从而帮助减少 DevOps 环境的攻击面。 详细了解 DevOps 态势管理。
在法规合规性仪表板中发布 CIS Azure基础基准 v2.0.0
2023 年 10 月 18 日
Microsoft Defender for Cloud现在支持最新的 CIS Azure Security Foundations Benchmark - 2.0.0 法规合规性dashboard和 Azure Policy 中的内置策略计划。 Microsoft Defender for Cloud中版本 2.0.0 的发布是Microsoft、Internet 安全中心与用户社区之间的共同努力。 版本 2.0.0 显著扩展了评估范围,现在包括 90 多个内置Azure策略,并在 Microsoft Defender for Cloud 和 Azure Policy 中成功运行以前的版本 1.4.0 和 1.3.0 和 1.0。 有关详细信息,可以查看此 博客文章。
2023年9月
| Date | Update |
|---|---|
| 9 月 30 日 | 将每日上限更改为Log Analytics上限 |
| 9 月 27 日 | 公共预览版中提供的数据安全仪表板 |
| 9 月 21 日 | Preview 版本:计算机上SQL Server的新自动预配过程 |
| 9 月 20 日 | |
| 9 月 11 日 | Exempt 功能现在可用于 API 建议Defender |
| 9 月 11 日 | 为 API 检测Defender创建示例警报 |
| 9 月 6 日 | Preview 版本:由Microsoft Defender 漏洞管理提供支持的容器漏洞评估现在支持在拉取时扫描 |
| 9 月 6 日 | 在合规性中更新了 Azure Center for Internet Security (CIS) 标准的命名格式 |
| 9 月 5 日 | PaaS 数据库的敏感数据发现(预览版) |
| 9 月 1 日 | 通用可用性(GA):存储Defender中的恶意软件扫描 |
更改为每日上限Log Analytics
Azure监视器提供对 Log Analytics 工作区上引入的数据设置每日上限的功能。 但是,这些排除项当前不支持Defender for Cloud安全事件。
Log Analytics每日上限不再排除以下一组数据类型:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Update
- UpdateSummary
- CommonSecurityLog
- Syslog
如果满足每日上限,则会限制所有计费数据类型。 此更改可提高你完全控制高于预期的数据引入成本的能力。
详细了解 workspaces with Microsoft Defender for Cloud。
公共预览版中提供的数据安全仪表板
2023 年 9 月 27 日
数据安全仪表板现已在公共预览版中作为Defender CSPM计划的一部分提供。 数据安全仪表板是一种以数据为中心的交互式仪表板,可揭示敏感数据的重大风险,确定跨混合云工作负载的数据的警报和潜在攻击路径的优先级。 详细了解数据安全仪表板。
预览版:计算机计划中SQL Server的新自动预配过程
2023 年 9 月 21 日
Microsoft监视代理(MMA)将于 2024 年 8 月弃用。 Defender for Cloud 更新了其策略,方法是将 MMA 替换为SQL Server目标Azure监视代理自动预配过程。
在预览期间,使用 MMA 自动预配过程和Azure Monitor代理(预览版)选项的客户会请求migrate到计算机(预览版)自动预配过程的新 Azure Monitoring Agent for SQL Server(预览版)自动预配过程。 迁移过程是无缝的,会为所有计算机提供持续保护。
有关详细信息,请参阅 SQL Server 目标Azure监视代理自动预配过程。
Defender for Cloud中用于Azure DevOps警报的GitHub高级安全性
2023 年 9 月 20 日
现在可以查看与 Defender for Cloud 中的 CodeQL、机密和依赖项相关的Azure DevOps(GHAzDO)警报GitHub高级安全性。 结果显示在“DevOps”页和“建议”中。 若要查看这些结果,请将已启用 GHAzDO 的存储库载入到Defender for Cloud。
详细了解 GitHub advanced Security for Azure DevOps。
现可用于 API 建议Defender的豁免功能
2023 年 9 月 11 日
现在可以免除针对 API 安全建议的以下Defender的建议。
| Recommendation | 说明及相关策略 | Severity |
|---|---|---|
| (预览版)应禁用和从 Azure API 管理 服务中删除未使用的 API 终结点 | 作为安全最佳做法,未收到流量 30 天的 API 终结点被视为未使用,应从Azure API 管理服务中删除。 保留未使用的 API 终结点可能会带来安全风险。 这些 API 可能已从 Azure API 管理 服务中弃用,但意外处于活动状态。 此类 API 通常不会受到最新的安全保护。 | Low |
| (预览版)应对Azure API 管理中的 API 终结点进行身份验证 | Azure API 管理中发布的 API 终结点应强制实施身份验证,以帮助最大程度地降低安全风险。 有时,身份验证机制的实现会不正确或缺失。 这会允许攻击者利用实现缺陷并访问数据。 对于Azure API 管理中发布的 API,此建议通过Azure API 管理中配置的订阅密钥、JWT 和客户端证书评估身份验证的执行。 如果在 API 调用期间未执行这些身份验证机制,则 API 将收到此建议。 | High |
详细了解 Defender for Cloud 中的
为 API 检测创建Defender示例警报
2023 年 9 月 11 日
现在可以为作为 API 公共预览版Defender一部分发布的安全检测生成示例警报。 详细了解 在 Defender for Cloud 中创建示例警报。
预览版:由Microsoft Defender 漏洞管理提供支持的容器漏洞评估现在支持在拉取时进行扫描
2023 年 9 月 6 日
由Microsoft Defender 漏洞管理提供支持的容器漏洞评估现在支持用于扫描从 ACR 拉取的图像的其他触发器。 除了现有触发器(用于扫描过去 90 天内推送到 ACR 的图像以及当前在 AKS 中运行的图像),此新添加的触发器还额外覆盖了可用图像。
新触发器将于今天开始推出,预计将于 9 月底向所有客户提供。
在合规性中更新了 Azure Center for Internet Security (CIS) 标准的命名格式
2023 年 9 月 6 日
合规性仪表板中 CIS (Center for Internet Security) 基础基准的命名格式将从 [Cloud] CIS [version number] 更改为 CIS [Cloud] Foundations v[version number]。 请参阅以下表:
| 当前名称 | 新名称 |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS 基础 v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS 基础 v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP 基础 v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP 基础 v1.2.0 |
了解如何改进法规合规性。
PaaS 数据库的敏感数据发现(预览版)
2023 年 9 月 5 日
PaaS 数据库的无摩擦敏感数据发现(Azure SQL数据库和任何类型的 Amazon RDS 实例)的数据感知安全态势功能现已以公共预览版提供。 借助此公共预览版,你可以创建关键数据的映射,无论它位于何处,以及这些数据库中的数据类型是什么。
Azure和 AWS 数据库的敏感数据发现添加到共享分类和配置中,该分类和配置已公开可用于云对象存储资源(Azure Blob 存储、AWS S3 存储桶和 GCP 存储存储桶),并提供单个配置和启用体验。
数据库每周扫描一次。 启用 sensitive data discovery 后,发现功能将在 24 小时内运行。 可以在云安全资源管理器中查看结果,也可以通过查看包含敏感数据的托管数据库的新攻击路径来查看结果。
数据库的数据感知安全状况可通过
可以通过以下文章进一步了解数据感知安全态势:
正式发布(GA):存储Defender中的恶意软件扫描
2023 年 9 月 1 日
恶意软件扫描现已正式发布(正式版),作为存储Defender的加载项。 使用Microsoft Defender防病毒功能,在存储Defender中扫描恶意软件有助于保护存储帐户免受恶意内容的攻击,方法是近乎实时地对上传的内容执行完全恶意软件扫描。 它旨在帮助满足处理不受信任内容的安全性和合规性要求。 恶意软件扫描功能是一种无代理 SaaS 解决方案,允许大规模设置,并支持大规模自动响应。
详细了解存储0 的 Defender
恶意软件扫描根据数据使用情况和预算进行定价。 计费从 2023 年 9 月 3 日开始。 有关详细信息,请访问 定价页 。
如果使用以前的计划,则需要主动 迁移到新计划 才能启用恶意软件扫描。
阅读 Microsoft Defender for Cloud 公告博客文章。
2023 年 8 月
8 月的更新包括:
| Date | Update |
|---|---|
| 8 月 30 日 | 适用于容器的 Defender:Kubernetes 的无代理发现 |
| 8 月 22 日 | 发布:应使用恶意软件扫描和敏感数据威胁检测启用存储Microsoft Defender |
| 8 月 17 日 | Defender for Cloud安全警报中的Extended 属性从活动日志中屏蔽 |
| 8 月 15 日 | |
| 8 月 7 日 | 服务器计划 2 Defender中的新安全警报:检测滥用虚拟机扩展 Azure的潜在攻击 |
| 8 月 1 日 | Defender for Cloud计划的Business 模型和定价更新 |
适用于容器的Defender:Kubernetes 的无代理发现
2023 年 8 月 30 日
我们很高兴介绍适用于容器的Defender:Kubernetes 的无代理发现。 此版本标志着容器安全性向前迈出了重要一步,为 Kubernetes 环境提供了高级见解和全面的清单功能。 新的容器产品/服务由Defender for Cloud上下文安全图提供支持。 以下是你在此最新更新中可以期待的内容:
- 无代理 Kubernetes 发现
- 全面的清单功能
- 特定于 Kubernetes 的安全见解
- 使用云安全资源管理器的增强风险搜寻
Kubernetes 的无代理发现现在可供所有用于容器客户的Defender使用。 你可以立即开始使用这些高级功能。 我们鼓励你更新订阅,以启用完整的扩展集,并受益于最新的扩充和功能。 访问容器订阅Defender的 Environment 和 settings 窗格以启用扩展。
Note
为容器客户启用最新添加不会产生对活动Defender的新成本。
有关详细信息,请参阅容器安全Microsoft Defender的Overview。
建议版本:应启用恶意软件扫描和敏感数据威胁检测的存储Microsoft Defender
2023 年 8 月 22 日
已发布存储Defender中的新建议。 此建议可确保使用恶意软件扫描和敏感数据威胁检测功能在订阅级别启用存储Defender。
| Recommendation | Description |
|---|---|
| 应使用恶意软件扫描和敏感数据威胁检测启用存储Microsoft Defender | 存储Microsoft Defender可检测对存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 存储计划的新Defender包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 使用简单的规模化无代理设置时,在订阅级别启用后,该订阅下的全部现有和新创建的存储帐户都将自动受到保护。 另外,也可以从受保护的订阅中排除特定的存储帐户。 |
此新建议取代了当前建议Microsoft Defender for Storage should be enabled(评估密钥 1be22853-8ed1-4005-9907-ddad64cb1417)。 但是,此建议仍可在Azure 政府云中使用。
详细了解存储Microsoft Defender。
Defender for Cloud安全警报中的扩展属性从活动日志中屏蔽
2023 年 8 月 17 日
我们最近更改了安全警报和活动日志的集成方式。 为了更好地保护敏感客户信息,我们不再在活动日志中包含此信息。 而是用星号屏蔽它。 但是,此信息仍可通过警报 API、连续导出和Defender for Cloud门户获得。
依赖活动日志将警报导出到 SIEM 解决方案的客户应考虑使用不同的解决方案,因为不建议使用Defender for Cloud安全警报导出方法。
有关如何将Defender for Cloud安全警报导出到 SIEM、SOAR 和其他第三方应用程序的说明,请参阅流警报到 SIEM、SOAR 或 IT Service Management 解决方案。
Defender CSPM中 GCP 支持的预览版
2023 年 8 月 15 日
我们宣布推出Defender CSPM上下文云安全图和攻击路径分析(支持 GCP 资源)的预览版。 你可以应用Defender CSPM的强大功能,以便跨 GCP 资源实现全面的可见性和智能云安全性。
我们的 GCP 支持的主要功能包括:
- 攻击路径分析 - 了解攻击者可能采用的潜在路线。
- 云安全资源管理器 - 通过在安全图上运行基于图形的查询,主动识别安全风险。
- 无代理扫描 - 扫描服务器并识别机密和漏洞,而无需安装代理。
- 数据感知安全态势 - 发现并修正 Google Cloud Storage 存储桶中敏感数据的风险。
详细了解 Defender CSPM 计划选项。
服务器计划 2 Defender中的新安全警报:检测滥用虚拟机扩展Azure的潜在攻击
2023 年 8 月 7 日
这一系列新警报侧重于检测Azure虚拟机扩展的可疑活动,并深入了解攻击者在虚拟机上企图入侵和执行恶意活动。
Microsoft Defender,服务器现在可以检测虚拟机扩展的可疑活动,从而更好地覆盖工作负荷安全性。
Azure虚拟机扩展是小型应用程序,这些应用程序在虚拟机上运行部署后,并提供配置、自动化、监视、安全性等功能。 虽然扩展是一种功能强大的工具,但威胁参与者可以使用它们来实现各种恶意意图,例如:
- 用于数据收集和监视。
- 对于具有高特权的代码执行和配置部署。
- 用于重置凭据和创建管理用户。
- 用于加密磁盘。
下面是新警报表格。
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
|
在订阅中安装 GPU 扩展时出现可疑故障(预览) (VM_GPUExtensionSuspiciousFailure) |
在不支持的 VM 上安装 GPU 扩展的可疑意图。 此扩展应安装在配备了图形处理器的虚拟机上,而在此例中,虚拟机没有配备图形处理器。 当恶意攻击者出于加密挖矿目的多次安装此类扩展时,可以看到这些故障。 | Impact | Medium |
|
在虚拟机上检测到可疑的 GPU 扩展安装活动(预览) (VM_GPUDriverExtensionUnusualExecution) 此警报于 2023 年 7 月发布。 |
通过分析订阅中的Azure 资源管理器操作,在虚拟机上检测到 GPU 扩展的可疑安装。 攻击者可能会使用 GPU 驱动程序扩展通过Azure 资源管理器在虚拟机上安装 GPU 驱动程序来执行加密劫持。 此活动被视为可疑,因为主体的行为偏离了其通常模式。 | Impact | Low |
|
在虚拟机上检测到具有可疑脚本的运行命令(预览) (VM_RunCommandSuspiciousScript) |
通过分析订阅中的Azure 资源管理器操作,在虚拟机上检测到具有可疑脚本的运行命令。 攻击者可以使用“运行命令”通过Azure 资源管理器在虚拟机上以高特权执行恶意代码。 该脚本被视为可疑,因为其中某些部分被标识为潜在的恶意内容。 | Execution | High |
|
在虚拟机上检测到未经授权使用运行命令的可疑行为(预览) (VM_RunCommandSuspiciousFailure) |
运行命令的可疑未授权使用失败,并通过分析订阅中的Azure 资源管理器操作在虚拟机上检测到。 攻击者可能尝试使用“运行命令”通过Azure 资源管理器在虚拟机上执行具有高特权的恶意代码。 此活动被视为可疑活动,因为以前并不常见。 | Execution | Medium |
|
在虚拟机上检测到使用运行命令的可疑行为(预览) (VM_RunCommandSuspiciousUsage) |
通过分析订阅中的Azure 资源管理器操作,在虚拟机上检测到运行命令的可疑使用情况。 攻击者可以使用“运行命令”通过Azure 资源管理器在虚拟机上以高特权执行恶意代码。 此活动被视为可疑活动,因为以前并不常见。 | Execution | Low |
|
在虚拟机上检测到使用多个监视或数据收集扩展的可疑行为(预览) (VM_SuspiciousMultiExtensionUsage) |
通过分析订阅中的Azure 资源管理器操作,在虚拟机上检测到多个监视或数据收集扩展插件的可疑使用情况。 攻击者可能会在订阅中滥用此类扩展来进行数据收集和网络流量监视等。 此使用行为被视为可疑行为,因为以前并不常见。 | Reconnaissance | Medium |
|
在虚拟机上检测到可疑的磁盘加密扩展安装活动(预览) (VM_DiskEncryptionSuspiciousUsage) |
通过分析订阅中的Azure 资源管理器操作,在虚拟机上检测到了磁盘加密扩展的可疑安装。 攻击者可能会滥用磁盘加密扩展,通过Azure 资源管理器在虚拟机上部署完整磁盘加密,以尝试执行勒索软件活动。 此活动被视为可疑活动,因为它以前并不常见,并且扩展安装次数较多。 | Impact | Medium |
|
在虚拟机上检测到使用 VMAccess 扩展的可疑行为(预览版) (VM_VMAccessSuspiciousUsage) |
在虚拟机上检测到使用 VMAccess 扩展的可疑行为。 攻击者可能会滥用 VMAccess 扩展来获取访问权限,并通过重置访问权限或管理管理用户来攻击具有高特权的虚拟机。 此活动被视为可疑活动,因为主体的行为偏离了其通常的模式,并且扩展安装次数较多。 | Persistence | Medium |
(VM_DSCExtensionSuspiciousScript) |
通过分析订阅中的Azure 资源管理器操作,在虚拟机上检测到具有可疑脚本的 Desired State Configuration (DSC) 扩展。 攻击者可能会使用 Desired State Configuration (DSC) 扩展在虚拟机上部署恶意配置,例如持久性机制、恶意脚本等。 该脚本被视为可疑,因为其中某些部分被标识为潜在的恶意内容。 | Execution | High |
|
虚拟机上检测到Desired State Configuration(DSC)扩展的使用情况(预览版) (VM_DSCExtensionSuspiciousUsage) |
通过分析订阅中的Azure 资源管理器操作,在虚拟机上检测到Desired State Configuration(DSC)扩展的可疑使用情况。 攻击者可能会使用 Desired State Configuration (DSC) 扩展在虚拟机上部署恶意配置,例如持久性机制、恶意脚本等。 此活动被视为可疑活动,因为主体的行为偏离了其通常的模式,并且扩展安装次数较多。 | Impact | Low |
|
在虚拟机上检测到具有可疑脚本的自定义脚本扩展(预览) (VM_CustomScriptExtensionSuspiciousCmd) (此警报已存在,并且已通过增强的逻辑和检测方法进行了改进。) |
通过分析订阅中的Azure 资源管理器操作,在虚拟机上检测到具有可疑脚本的自定义脚本扩展。 攻击者可能通过Azure 资源管理器使用自定义脚本扩展在虚拟机上以高特权执行恶意代码。 该脚本被视为可疑,因为其中某些部分被标识为潜在的恶意内容。 | Execution | High |
请参阅 server Defender 中基于 extension 的警报。
有关警报的完整列表,请参阅 reference 表,了解 Microsoft Defender for Cloud 中的所有安全警报。
Defender for Cloud计划的业务模型和定价更新
2023 年 8 月 1 日
Microsoft Defender for Cloud有三个提供服务层保护的计划:
密钥保管库的Defender
资源管理器的Defender
DNS 的Defender
这些计划已转换到具有不同定价和包装的新业务模型,以解决客户关于支出可预测性和简化总体成本结构的反馈。
业务模型和定价更改摘要:
密钥保管库Defender的现有客户、资源管理器 Defender,DNS Defender保留其当前的业务模式和定价,除非他们主动选择切换到新的业务模式和价格。
- Defender 资源管理器:此计划每月按订阅固定价格。 客户可以通过为每个订阅模型选择新资源管理器 Defender来切换到新的业务模型。
密钥保管库Defender的现有客户、资源管理器 Defender,DNS Defender保留其当前的业务模式和定价,除非他们主动选择切换到新的业务模式和价格。
- Defender 资源管理器:此计划每月按订阅固定价格。 客户可以通过为每个订阅模型选择新资源管理器 Defender来切换到新的业务模型。
- Defender 密钥保管库:此计划按保管库提供固定价格,每月不收取超额费用。 客户可以通过为每个保管库模型选择密钥保管库新的Defender来切换到新的业务模型
- 适用于 DNS 的 Defender:对于服务器计划 2 客户,Defender可以访问 DNS 值的Defender,这是服务器计划 2 Defender的一部分,无需额外付费。 对于服务器计划 2 具有Defender和 DNS Defender的客户不再对 DNS 的Defender收费。 DNS Defender不再作为独立计划提供。
在 Defender for Cloud 定价页中详细了解这些计划的定价。
2023 年 7 月
7 月的更新包括:
| Date | Update |
|---|---|
| 7 月 31 日 | |
| 7 月 30 日 | Defender CSPM 中的无代理容器状态现已正式发布 |
| 7 月 20 日 | Linux 终结点Defender自动更新管理 |
| 7 月 18 日 | 扫描服务器 P2 和Defender中虚拟机的无代理机密Defender CSPM |
| 7 月 12 日 | 服务器计划 2 Defender中的新安全警报:利用 Azure VM GPU 驱动程序扩展检测潜在攻击 |
| 7 月 9 日 | 支持禁用特定漏洞发现 |
| 7 月 1 日 | 数据感知安全态势现已正式发布 |
使用 Microsoft Defender 漏洞管理 预览版容器漏洞评估
2023 年 7 月 31 日
我们宣布发布适用于 Linux 容器 Azure映像的漏洞评估(VA),该映像由容器注册表Defender中的Microsoft Defender 漏洞管理提供支持,以及容器注册表的Defender。 新的容器 VA 产品/服务将与现有容器 VA 产品/服务一起提供,由 Qualys 提供支持,适用于容器注册表的Defender和容器注册表的Defender,并包括容器映像的每日重新扫描、可利用性信息、OS 和编程语言(SCA)支持等。
此新产品/服务将于今天开始推出,并预计将在 8 月 7 日之前向所有客户提供。
详细了解
Defender CSPM中的无代理容器状况现已正式发布
2023 年 7 月 30 日
无代理容器状况功能现已正式发布(GA),作为Defender CSPM(云安全状况管理)计划的一部分。
详细了解 Defender CSPM 中的无代理容器状态。
管理适用于 Linux 的 Endpoint 的Defender自动更新
2023 年 7 月 20 日
默认情况下,Defender for Cloud尝试使用 MDE.Linux 扩展载入的适用于 Linux 代理的终结点更新Defender。 使用此版本,可以管理此设置,并选择退出默认配置以手动管理更新周期。
在服务器 P2 和Defender中扫描虚拟机的无代理机密Defender CSPM
2023 年 7 月 18 日
机密扫描现在作为服务器 P2 和 Defender CSPM Defender无代理扫描的一部分提供。 此功能有助于检测保存在Azure虚拟机或 AWS 资源中的非托管和不安全的机密,这些机密可用于在网络中横向移动。 如果检测到机密,Defender for Cloud可以帮助确定优先级并采取可操作的修正步骤,以最大程度地降低横向移动的风险,所有这些都不会影响计算机的性能。
有关如何使用机密扫描保护机密的详细信息,请参阅 使用无代理机密扫描管理机密。
服务器计划 2 Defender中的新安全警报:利用 Azure VM GPU 驱动程序扩展检测潜在攻击
2023 年 7 月 12 日
此警报侧重于利用Azure虚拟机GPU 驱动程序扩展识别可疑活动,并提供攻击者入侵虚拟机尝试的见解。 该警报针对 GPU 驱动程序扩展的可疑部署;此类扩展经常被威胁参与者滥用,以利用 GPU 卡的全部功能并执行加密劫持。
| 警报显示名称 (警报类型) |
Description | Severity | MITRE 策略 |
|---|---|---|---|
| 虚拟机中 GPU 扩展的可疑安装(预览版) (VM_GPUDriverExtensionUnusualExecution) |
通过分析订阅中的Azure 资源管理器操作,在虚拟机中检测到 GPU 扩展的可疑安装。 攻击者可能会使用 GPU 驱动程序扩展通过Azure 资源管理器在虚拟机上安装 GPU 驱动程序来执行加密劫持。 | Low | Impact |
有关警报的完整列表,请参阅 reference 表,了解 Microsoft Defender for Cloud 中的所有安全警报。
支持禁用特定漏洞发现
2023 年 7 月 9 日
作为无代理容器状况的一部分,发布了对禁用容器注册表映像或运行映像的漏洞发现的支持。 如果组织需要忽略在容器注册表映像上发现的漏洞,而不是修复它,则可以选择禁用它。 禁用发现结果不会影响安全分数,也不会产生有害的噪音。
了解如何禁用容器注册表映像上的漏洞评估结果。
数据感知安全态势现已正式发布
2023 年 7 月 1 日
Microsoft Defender for Cloud中的数据感知安全状况现已正式发布。 它可帮助客户减少数据风险并响应数据违规。 使用数据感知安全态势,你可以:
- 跨 Azure 和 AWS 自动发现敏感数据资源。
- 评估数据敏感度、数据泄露以及数据在整个组织中的流动方式。
- 主动并持续发现可能导致数据泄露的风险。
- 检测可能指示对敏感数据资源构成持续威胁的可疑活动
有关详细信息,请参阅 Microsoft Defender for Cloud0 中
2023 年 6 月
6 月的更新包括以下内容:
| Date | Update |
|---|---|
| 6 月 26 日 | 通过增强的设置简化多云帐户加入 |
| 6 月 25 日 | 对存储Defender中的恶意软件扫描的Private Endpoint 支持 |
| 6 月 15 日 | 更新了 NIST 800-53 标准的合规性控制 |
| 6 月 11 日 | 使用Azure Migrate业务案例规划云迁移现在包括Defender for Cloud |
| 6 月 7 日 | SQL Defender中漏洞评估的Express 配置现已正式发布 |
| 6 月 6 日 | 添加到现有Azure DevOps连接器的作用域 |
| 6 月 4 日 |
通过增强的设置简化多云帐户加入
2023 年 6 月 26 日
Defender for Cloud改进了载入体验,除了新增了允许载入 AWS 和 GCP 环境的新功能外,还添加了新的简化用户界面和说明,同时提供对高级载入功能的访问权限。
对于采用 Hashicorp Terraform 实现自动化的组织,Defender for Cloud现在包括能够将 Terraform 用作部署方法以及 AWS CloudFormation 或 GCP Cloud Shell。 现在,你可以在创建集成时自定义所需的角色名称。 也可以在以下两个选项中进行选择:
Default 访问 - 允许Defender for Cloud扫描资源并自动包括将来的功能。
Least 特权访问 -Grants Defender for Cloud仅访问所选计划所需的当前权限。
如果选择最低特权权限,则只会收到有关获取连接器运行状况完整功能所需的任何新角色和权限的通知。
Defender for Cloud允许你根据云供应商的本机名称来区分云帐户。 例如,AWS 帐户别名和 GCP 项目名称。
专用终结点对存储Defender中的恶意软件扫描支持
2023 年 6 月 25 日
专用终结点支持现已作为恶意软件扫描公共预览版的一部分提供,Defender用于存储。 此功能允许在使用专用终结点的存储帐户上启用恶意软件扫描。 无需其他配置。
恶意软件扫描(预览版)用于存储的Defender,通过使用Microsoft Defender防病毒功能对上传的内容执行完全恶意软件扫描,帮助保护存储帐户免受恶意内容的攻击。 它旨在帮助满足处理不受信任内容的安全性和合规性要求。 它是一种无代理 SaaS 解决方案,允许进行大规模简单设置,无需维护,并支持大规模自动响应。
专用终结点提供与Azure 存储服务的安全连接,有效消除公共 Internet 公开,并被视为安全最佳做法。
对于启用了恶意软件扫描的专用终结点的存储帐户,需要禁用并 启用具有恶意软件扫描 的计划才能正常工作。
详细了解如何在
针对预览版发布的建议:正在运行的容器映像应已解决漏洞发现(由Microsoft Defender 漏洞管理提供支持)
2023 年 6 月 21 日
Defender CSPM中由 Microsoft Defender 漏洞管理 提供支持的新容器建议已发布预览版:
| Recommendation | Description | 评估密钥 |
|---|---|---|
| 正在运行的容器映像应已解决漏洞发现(由 Microsoft Defender 漏洞管理 提供支持)(预览版) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
此新建议仅替换由 Qualys 提供支持的同名当前建议(Defender CSPM 替换评估密钥 41503391-efa5-47ee-9282-4eff6131462c)。
更新了 NIST 800-53 标准的合规性控制
2023 年 6 月 15 日
NIST 800-53 标准(R4 和 R5)最近更新了Microsoft Defender for Cloud法规合规性的控制更改。 Microsoft管理的控件已从标准中删除,Microsoft责任实现(作为云共享责任模型的一部分)的信息现在仅在Microsoft操作下的控件详细信息窗格中可用。
这些控制以前按合格控制来计算,因此在 2023 年 4 月和 2023 年 5 月之间,NIST 标准的合规性分数可能会大幅下降。
有关合规性控制的详细信息,请参阅 Tutorial:法规合规性检查 - Microsoft Defender for Cloud。
使用Azure Migrate业务案例规划云迁移现在包括Defender for Cloud
2023 年 6 月 11 日
现在,可以通过在Azure Migrate业务案例的上下文中应用Defender for Cloud来发现潜在的安全性节省成本。
SQL Defender中漏洞评估的快速配置现已正式发布
2023 年 6 月 7 日
SQL Defender中漏洞评估的快速配置现已正式发布。 快速配置通过使用一键式配置(或 API 调用),为 SQL 漏洞评估提供了简化的加入体验。 托管存储帐户无需额外的设置或依赖项。
请查看此 博客 ,了解有关快速配置的详细信息。
可以了解快速配置和经典配置之间的差异。
添加到现有Azure DevOps连接器的更多范围
2023 年 6 月 6 日
Defender for DevOps向 Azure DevOps (ADO) 应用程序添加了以下额外范围:
高级安全性管理:
vso.advsec_manage。 若要允许启用、禁用和管理 ADO GitHub高级安全性,需要用到它。容器映射:
vso.extension_manage,vso.gallery_manager;这是必需的,以便与 ADO 组织共享修饰器扩展。
只有尝试将 ADO 资源载入Microsoft Defender for Cloud的新Defender for DevOps客户才会受到此更改的影响。
直接(无需Azure Arc)加入服务器Defender现已正式发布
2023 年 6 月 5 日
以前,需要Azure Arc才能将非Azure服务器载入到服务器Defender。 但是,使用最新版本,还可以仅使用 Microsoft Defender for Endpoint 代理将本地服务器加入Defender。
这种新方法简化了专注于核心终结点保护的客户的载入过程,并允许你利用针对云和非云资产的基于服务器的基于消耗的计费Defender。 从 7 月 1 日开始,可通过终结点的 Defender 直接载入选项进行计费。
有关详细信息,请参阅 连接非Azure计算机以使用 Endpoint Defender Microsoft Defender for Cloud。
将基于代理的发现替换为Defender CSPM中容器功能的无代理发现
2023 年 6 月 4 日
借助Defender CSPM中提供的无代理容器状况功能,基于代理的发现功能现已停用。 如果当前在 Defender CSPM 中使用容器功能,请确保启用了 relevant 扩展以继续接收与容器相关的新无代理功能(例如容器相关攻击路径、见解和清单)的容器相关值。 (最长可能需要 24 小时才能看到启用扩展的效果)。
详细了解无代理容器状况。
2023 年 5 月
5 月的更新包括以下内容:
- Defender 中密钥保管库的新警报。
- 支持在 AWS 中对加密磁盘进行无代理扫描。
- JIT(Just-In-Time)命名约定中的 Defender for Cloud。
- 加入所选 AWS 区域。
- 对标识建议的更改。
- 在合规性仪表板中弃用旧标准。
- 更新两项Defender for DevOps建议,以包括Azure DevOps扫描发现
- 服务器漏洞评估解决方案Defender的新默认设置。
- 能够下载云安全资源管理器查询结果的 CSV 报表(预览版)。
- 使用 Microsoft Defender 漏洞管理 释放容器漏洞评估。
- 由 Qualys 提供支持的容器建议的重命名。
- 更新到 Defender for DevOps GitHub Application。
- 更改为Defender for DevOps请求批注,Azure DevOps存储库中现在包含基础结构即代码配置错误。
密钥保管库 Defender中的新警报
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
(KV_UnusualAccessSuspiciousIP) |
在过去 24 小时内,用户或服务主体尝试从非Microsoft IP 对密钥保管库进行异常访问。 此异常访问模式可能是合法的活动。 它可能表明:用户或主体可能在尝试访问密钥保管库及其中包含的机密。 建议进一步调查。 | 凭据访问 | Medium |
有关所有可用警报,请参阅 Alerts for Azure 密钥保管库。
无代理扫描现在支持 AWS 中的加密磁盘
VM 的无代理扫描现在支持使用 CMK 和 PMK 在 AWS 中使用加密磁盘处理实例。
此扩展支持可增加云资产的覆盖范围和可见性,而不会影响正在运行的工作负载。 对加密磁盘的支持对正在运行的实例保持了相同的零影响方法。
- 对于在 AWS 中启用无代理扫描的新客户,加密磁盘覆盖范围是内置的,并且默认受支持。
- 对于具有已启用无代理扫描的 AWS 连接器的现有客户,需要将 CloudFormation 堆栈重新应用到载入的 AWS 帐户,以更新和添加处理加密磁盘所需的新权限。 更新后的 CloudFormation 模板包括允许Defender for Cloud处理加密磁盘的新分配。
可以详细了解用于扫描 AWS 实例的权限。
要重新应用 CloudFormation 堆栈,请:
- 转到Defender for Cloud环境设置并打开 AWS 连接器。
- 导航到“ 配置访问 ”选项卡。
- 选择“单击以下载 CloudFormation 模板”。
- 导航到 AWS 环境并应用更新后的模板。
详细了解如何在 AWS 中 启用无代理扫描 和 启用无代理扫描。
修订后的 JIT (仅In-Time) 规则命名约定Defender for Cloud
我们修订了 JIT (刚刚In-Time) 规则,以与Microsoft Defender for Cloud品牌保持一致。 我们更改了Azure 防火墙和 NSG(网络安全组)规则的命名约定。
这些更改按如下所示列出:
| Description | 旧名称 | 新名称 |
|---|---|---|
| NSG(网络安全组)中的 JIT 规则名称 | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| NSG 中的 JIT 规则说明 | ASC JIT 网络访问规则 | MDC JIT 网络访问规则 |
| JIT 防火墙规则集合名称 | ASC-JIT | MDC-JIT |
| JIT 防火墙规则名称 | ASC-JIT | MDC-JIT |
了解如何使用即时访问保护管理端口。
加入所选 AWS 区域
为了帮助你管理 AWS CloudTrail 成本和合规性需求,现在可以选择在添加或编辑云连接器时要扫描的 AWS 区域。 将 AWS 帐户载入Defender for Cloud时,现在可以扫描所选的特定 AWS 区域或所有可用区域(默认值)。 有关详细信息,连接 AWS 帐户以Microsoft Defender for Cloud。
针对标识建议进行了多项更改
以下建议现已作为正式发布 (GA) 发布,并将替换现已弃用的 V1 建议。
标识建议 V2 的正式发布 (GA) 版本
标识建议的 V2 版本引入了以下增强功能:
- 扫描范围已扩展,包括所有Azure资源,而不仅仅是订阅。 这会支持安全管理员查看每个帐户的角色分配。
- 现在可以免除特定帐户的评估。 安全管理员可以排除某些帐户,例如 breakglass 帐户或服务帐户。
- 扫描频率已从 24 小时增加到 12 小时,从而确保标识建议更加及时和准确。
以下安全建议将以 GA 形式提供,并替换 V1 建议:
| Recommendation | 评估密钥 |
|---|---|
| 应启用对Azure资源具有所有者权限的帐户 | 6240402e-f77c-46fa-9060-a7ce53997754 |
| 应启用对Azure资源具有写入权限的帐户 | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| 应启用对Azure资源具有读取权限的帐户 | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| 应删除对Azure资源具有所有者权限的来宾帐户 | 20606e75-05c4-48c0-9d97-add6daa2109a |
| 应删除对Azure资源具有写入权限的来宾帐户 | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| 应删除对Azure资源具有读取权限的来宾帐户 | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| 应删除对Azure资源具有所有者权限的阻止帐户 | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| 应删除对Azure资源具有读取和写入权限的阻止帐户 | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
弃用标识建议 V1
以下安全建议现已弃用:
| Recommendation | 评估密钥 |
|---|---|
| 应在对订阅具有所有者权限的帐户上启用 MFA。 | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| 应在对订阅具有写入权限的帐户上启用 MFA。 | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| 应在对订阅具有读取权限的帐户上启用 MFA。 | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| 应从订阅中删除具有所有者权限的外部帐户。 | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| 应从订阅中删除具有写入权限的外部帐户。 | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| 应从订阅中删除具有读取权限的外部帐户。 | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| 应从订阅中删除具有所有者权限的已弃用帐户。 | e52064aa-6853-e252-a11e-dffc675689c2 |
| 应从订阅中删除已弃用的帐户 | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
建议更新自定义脚本、工作流和治理规则,以符合 V2 建议。
弃用合规性仪表板中的旧版标准
旧版 PCI DSS v3.2.1 和旧版 SOC TSP 已在Defender for Cloud符合性仪表板中完全弃用,并替换为基于计划的符合性标准的 SOC 2 类型 2 计划以及 PCI DSS v4。 我们在世纪互联运营的Microsoft Azure中完全弃用了对 PCI DSS 标准/计划的支持。
了解如何在监管合规性仪表板中自定义标准集。
Defender for DevOps包括扫描发现Azure DevOps
Defender for DevOps Code 和 IaC 在 Microsoft Defender for Cloud 中扩展了其建议范围,以包括以下两项建议的Azure DevOps安全发现:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
以前,Azure DevOps安全扫描的覆盖范围仅包括机密建议。
详细了解 Defender for DevOps。
服务器漏洞评估解决方案Defender的新默认设置
漏洞评估 (VA) 解决方案对于保护计算机免受网络攻击和数据泄露至关重要。
Microsoft Defender 漏洞管理现在启用为默认的内置解决方案,适用于尚未选择 VA 解决方案的服务器Defender保护的所有订阅。
如果订阅在其任何 VM 上启用了 VA 解决方案,则不会进行任何更改,并且默认情况下不会在该订阅中的剩余 VM 上启用Microsoft Defender 漏洞管理。 可以选择在订阅上的剩余 VM 上启用 VA 解决方案。
下载云安全资源管理器查询结果的 CSV 报表(预览版)
Defender for Cloud添加了下载云安全资源管理器查询结果的 CSV 报表的功能。
运行查询搜索后,可以从 Defender for Cloud 的 Cloud Security Explorer 页面选择 Download CSV 报表(预览版)按钮。
了解如何使用云安全资源管理器生成查询
使用 Microsoft Defender 漏洞管理 发布容器漏洞评估
我们宣布在 Azure Defender CSPM中由Microsoft Defender 漏洞管理提供支持的容器注册表中发布 Linux 映像的漏洞评估。 此次发布包括每日扫描映像。 安全资源管理器和攻击路径中使用的发现依赖于Microsoft Defender漏洞评估,而不是 Qualys 扫描程序。
现有建议 Container registry images should have vulnerability findings resolved 将替换为新建议:
| Recommendation | Description | 评估密钥 |
|---|---|---|
| 容器注册表映像应已解决漏洞发现(由Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | dbd0cb49-b563-45e7-9724-889e799fa648 替换为 c0b7cfc6-3172-465a-b378-53c7ff2cc0d5。 |
详细了解 Defender CSPM 中的无代理容器状态。
详细了解 Microsoft Defender 漏洞管理。
重命名由 Qualys 提供支持的容器建议
容器Defender中的当前容器建议将重命名为如下所示:
| Recommendation | Description | 评估密钥 |
|---|---|---|
| 容器注册表映像应已解决漏洞结果(由 Qualys 提供技术支持) | 容器映像漏洞评估功能会扫描注册表中的安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 运行容器映像应已解决漏洞结果(由 Qualys 提供支持) | 容器映像漏洞评估会扫描 Kubernetes 群集上运行的容器映像,以查找安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 | 41503391-efa5-47ee-9282-4eff6131462c |
Defender for DevOps GitHub应用程序更新
Microsoft Defender for DevOps不断进行更改和更新,这些更改和更新要求 Defender for DevOps在Defender for Cloud中载入其GitHub环境的客户提供权限作为GitHub中部署的应用程序的一部分组织。 这些权限是必需的,以确保Defender for DevOps的所有安全功能正常运行且不会出现问题。
建议尽快更新权限,以确保继续访问Defender for DevOps的所有可用功能。
可通过两种不同的方式授予权限:
在组织中,选择GitHub应用。 找到你的组织,然后选择“ 审阅请求”。
你将从GitHub支持部门收到自动电子邮件。 在该电子邮件中,选择“评审权限请求以接受或拒绝此更改”。
遵循上述任一选项后,系统会将你导航到评审屏幕,应在其中评审请求。 选择“接受新权限”以批准请求。
如果需要任何帮助更新权限,可以创建Azure 支持请求。
还可以详细了解 Defender for DevOps。 如果订阅在其任何 VM 上启用了 VA 解决方案,则不会进行任何更改,并且默认情况下不会在该订阅中的剩余 VM 上启用Microsoft Defender 漏洞管理。 可以选择在订阅上的剩余 VM 上启用 VA 解决方案。
Defender for DevOps Azure DevOps存储库中的拉取请求注释现在包括基础结构即代码配置错误
Defender for DevOps扩展了Azure DevOps中的拉取请求(PR)批注覆盖率,以包括Azure 资源管理器和Bicep模板中检测到的基础结构即代码配置错误。
现在,开发人员可直接在其 PR 中查看 IaC 错误配置情况的注释。 在将基础结构预配到云工作负载之前,开发人员还可以修正关键安全问题。 为了简化修正,在每个注释中向开发人员提供了严重性级别、错误配置说明和修正说明。
以前,Azure DevOps中Defender for DevOps PR 注释的覆盖范围仅包含机密。
详细了解 Defender for DevOps 和 Pull 请求批注。
2023 年 4 月
4 月的更新包括:
Defender CSPM(预览版) - 统一磁盘加密建议全新预览
- “应安全配置计算机”建议中的更改
- 弃用应用服务语言监视策略
Defender 中为 资源管理器 - 已弃用资源管理器计划的Defender中的>警报
- Alerts 自动导出到Log Analytics工作区已弃用
- 针对 Windows 和 Linux Server 的所选警报的弃用和改进
- 针对 Azure Data Services 的新Microsoft Entra身份验证相关建议
- 与缺少操作系统 (OS) 更新相关的两个建议已正式发布
- Defender API(预览版)
Defender CSPM 中的无代理容器状况(预览版)
新的无代理容器状况(预览版)功能作为Defender CSPM(云安全状况管理)计划的一部分提供。
无代理容器状况允许安全团队识别容器和 Kubernetes 领域的安全风险。 无代理方法允许安全团队跨 SDLC 和运行时查看其 Kubernetes 和容器注册表,从而消除工作负载的摩擦和占用空间。
无代理容器状况提供容器漏洞评估,结合攻击路径分析,使安全团队能够优先考虑并放大特定的容器漏洞。 还可以使用云安全资源管理器来发现风险并搜寻容器状况见解,例如发现运行易受攻击的映像或向 Internet 公开的应用程序。
详细了解无代理容器状况(预览版)。
统一磁盘加密建议(预览)
预览版中新增了统一磁盘加密建议。
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost-
Linux virtual machines should enable Azure 磁盘加密 or EncryptionAtHost。
这些建议将替换检测到 Azure 磁盘加密 的 Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources,以及检测到 EncryptionAtHost 的策略 Virtual machines and virtual machine scale sets should have encryption at host enabled。 ADE 和 EncryptionAtHost 提供了可比较的静态加密覆盖率,建议在每个虚拟机上启用其中一个。 新的建议会检测是否已启用 ADE 或 EncryptionAtHost,并且仅在两者均未启用时发出警告。 我们还会在 VM 的部分(但并非所有)磁盘上启用 ADE 时发出警告(此条件不适用于 EncryptionAtHost)。
新建议需要Azure Automanage计算机配置。
这些建议基于以下策略:
详细了解 ADE 和 EncryptionAtHost 以及如何启用其中一个。
“应安全配置计算机”建议中的更改
建议 Machines should be configured securely 已更新。 更新可提高建议的性能和稳定性,使其体验与Defender for Cloud建议的通用行为保持一致。
作为此更新的一部分,建议的 ID 已从 181ac480-f7c4-544b-9865-11b8ffe87f47 更改为 c476dc48-8110-4139-91af-c8d940896b98。
客户方面无需执行任何操作,并且预期不会对安全分数产生影响。
弃用应用服务语言监视策略
以下应用服务语言监视策略已弃用,因为它们能够生成漏报,并且不能提供更好的安全性。 应始终确保所使用的语言版本不存在任何已知漏洞。
| 策略名称 | 策略 ID |
|---|---|
| 使用Java的应用服务应用应使用最新的“Java版本” | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| 使用 Python 的应用服务应用应使用最新的“Python版本” | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| 使用 Java 的 Function 应用应使用最新的“Java版本” | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| 使用 Python 的 Function 应用应使用最新的“Python版本” | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| 使用 PHP 的应用服务应用应使用最新“PHP 版本” | 7261b898-8a84-4db8-9e04-18527132abb3 |
客户可以使用备用内置策略来监视其应用服务的任何指定语言版本。
这些策略在Defender for Cloud的内置建议中不再可用。 可以将它们添加为自定义建议,使其Defender for Cloud监视它们。
资源管理器 Defender中的新警报
资源管理器的Defender具有以下新警报:
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
|
预览 - 检测到可疑的计算资源创建 (ARM_SuspiciousComputeCreation) |
Microsoft Defender,资源管理器识别了使用虚拟机/Azure规模集在订阅中创建计算资源的可疑情况。 所识别的操作旨在允许管理员在需要时可通过部署新资源来有效管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作进行加密挖掘。 活动被视为可疑,因为计算资源规模高于之前在订阅中观察到的规模。 这可能指示主体被盗用并且正在被恶意使用。 |
Impact | Medium |
可以看到可用于 资源管理器 的所有
已弃用资源管理器计划的Defender中的三个警报
已弃用资源管理器计划的Defender的以下三个警报:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
在检测到来自可疑 IP 地址的活动的情况下,以下 defenders for 资源管理器 计划警报之一Azure 资源管理器 operation from suspicious IP address或 Azure 资源管理器 operation from suspicious proxy IP address将存在。
已弃用自动导出到Log Analytics工作区的警报
Defender for Cloud安全警报会自动导出到资源级别的默认Log Analytics工作区。 这会导致不确定的行为,因此我们已弃用此功能。
相反,可以使用 连续导出将安全警报导出到专用Log Analytics工作区。
如果已将警报连续导出到Log Analytics工作区,则无需执行进一步操作。
弃用和改进Windows和 Linux 服务器的所选警报
服务器Defender的安全警报质量改进过程包括弃用Windows和 Linux 服务器的某些警报。 弃用的警报现在源自终结点威胁警报Defender并涵盖这些警报。
如果已启用 Endpoint 集成Defender,则无需执行进一步操作。 2023 年 4 月,警报量可能会减少。
如果在 server Defender中未启用 Endpoint 集成Defender,则需要为 Endpoint 集成启用Defender,以便维护和改进警报覆盖范围。
对于服务器客户的所有Defender,作为 Server 计划的 Defender 的一部分,对 Endpoint 集成Defender具有完全访问权限。
可以详细了解 Microsoft Defender for Endpoint 载入选项。
还可以查看设置为要弃用的完整警报列表。
阅读 Microsoft Defender for Cloud 博客。
针对 Azure Data Services 的新Microsoft Entra身份验证相关建议
我们为 Azure Data Services 添加了四个新的Microsoft Entra身份验证建议。
| 建议名称 | 建议说明 | Policy |
|---|---|---|
| Azure SQL 托管实例身份验证模式应仅Microsoft Entra ID | 禁用本地身份验证方法,仅允许Microsoft Entra身份验证可确保Azure SQL托管实例可通过Microsoft Entra ID标识独占访问来提高安全性。 | Azure SQL 托管实例应已启用Microsoft Entra ID身份验证 |
| Azure Synapse工作区身份验证模式应仅Microsoft Entra ID | Microsoft Entra ID仅身份验证方法可确保 Synapse Workspaces 专门要求Microsoft Entra ID标识进行身份验证,从而提高安全性。 了解详细信息。 | Synapse 工作区应仅使用Microsoft Entra ID标识进行身份验证 |
| Azure Database for MySQL应预配Microsoft Entra管理员 | 为Azure Database for MySQL预配Microsoft Entra管理员以启用Microsoft Entra身份验证。 Microsoft Entra身份验证使数据库用户和其他Microsoft 服务能够简化权限管理和集中标识管理 | 应为 MySQL 服务器预配A Microsoft Entra管理员 |
| Azure Database for PostgreSQL应预配Microsoft Entra管理员 | 为Azure Database for PostgreSQL预配Microsoft Entra管理员以启用Microsoft Entra身份验证。 Microsoft Entra身份验证使数据库用户和其他Microsoft 服务能够简化权限管理和集中标识管理 | 应为 PostgreSQL 服务器预配 A Microsoft Entra 管理员 |
与缺少操作系统 (OS) 更新相关的两个建议已正式发布
建议System updates should be installed on your machines (powered by Azure 更新管理器)和 Machines should be configured to periodically check for missing system updates已发布正式发布。
若要使用新建议,需要:
- 将非Azure计算机连接到 Arc。
-
启用定期评估属性。 可以使用 “修复”按钮。
该按钮位于
Machines should be configured to periodically check for missing system updates这一新建议中。
完成这些步骤后,可以通过在Azure策略中禁用旧建议System updates should be installed on your machines来将其从Defender for Cloud的内置计划中删除。
建议有两个版本:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
在 202><4 年 8 月 31 日弃用 Apply system updates 下。
新的建议System updates should be installed on your machines (powered by Azure 更新管理器)通过“修复”按钮提供修正流,可用于通过更新管理器(预览版)修正任何结果。 此修正过程仍处于预览状态。
新建议System updates should be installed on your machines (powered by Azure 更新管理器)不会影响安全功能分数,因为它的结果与旧建议System updates should be installed on your machines相同。
先决条件建议(启用定期评估属性)将对安全功能分数产生负面影响。 可以使用“可用 修复”按钮修正负面影响。
API Defender(预览版)
Microsoft的Defender for Cloud宣布推出新的 API Defender预览版。
API Defender提供 API 的完整生命周期保护、检测和响应覆盖范围。
API Defender可帮助你深入了解业务关键 API。 可以调查和改善 API 安全状况、确定漏洞修复的优先顺序,并快速检测活动实时威胁。
详细了解 api Defender。
2023 年 3 月
3 月的更新包括:
- 存储计划提供了新的Defender,包括近实时恶意软件扫描和敏感数据威胁检测
- 数据感知安全态势(预览版)
- 管理默认Azure安全策略的体验
- Defender CSPM(云安全状况管理)现已正式发布(GA)
Option 在 Microsoft Defender for Cloud - Microsoft云安全基准版本 1.0 现已正式发布(GA)
- 一些法规合规性标准现已在政府云中可用
- Azure SQL Server 的新预览版建议
密钥保管库
存储计划的新Defender可用,包括近实时恶意软件扫描和敏感数据威胁检测
云存储在组织中起着关键作用,存储大量有价值的敏感数据。 今天,我们宣布了存储计划的新Defender。 如果使用的是以前的计划(现在重命名为“存储Defender(经典版),则需要主动migrate到新计划才能使用新功能和优势。
新计划包括高级安全功能,可帮助防止恶意文件上传、敏感数据外泄和数据损坏。 该计划的定价结构也更具可预测性和更灵活,以便更好地控制覆盖范围和成本。
新计划现在以公共预览版提供新功能:
检测敏感数据泄露和外泄事件
跨所有文件类型的近实时 Blob 上传恶意软件扫描
使用 SAS 令牌检测无标识的实体
这些功能将基于控制和数据平面日志分析和行为建模来增强现有的活动监视功能,从而识别早期违规迹象。
所有这些功能都在新的可预测和灵活的定价计划中提供,该计划在订阅和资源级别提供对数据保护的精细控制。
有关详细信息,存储Microsoft Defender的Overview。
数据感知安全态势 (预览版)
Microsoft Defender for Cloud可帮助安全团队在降低风险和应对云中的数据泄露方面提高工作效率。 它允许他们通过数据上下文来消除干扰,并确定最关键安全风险的优先级,从而防止代价高昂的数据泄露。
- 跨云资产自动发现数据资源,并评估其可访问性、数据敏感度和配置的数据流。 -持续发现敏感数据资源的数据泄露风险、暴露或攻击路径,这些路径可能会指向使用横向移动技术的数据资源。
- 检测可能指示对敏感数据资源的持续威胁的可疑活动。
详细了解 数据感知安全状况。
改进了管理默认Azure安全策略的体验
我们为内置建议引入了改进Azure安全策略管理体验,从而简化了Defender for Cloud客户微调其安全要求的方式。 新体验包括以下新功能:
- 在管理Defender for Cloud内的默认安全策略时,简单的界面可以提供更好的性能和体验。
- Microsoft云安全基准(前Azure安全基准)提供的所有内置安全建议的单个视图。 建议会整理成逻辑组,以便更轻松地了解涵盖的资源类型,以及参数与建议之间的关系。
- 添加了筛选器和搜索等新功能。
了解如何管理安全策略。
阅读 Microsoft Defender for Cloud 博客。
Defender CSPM(云安全状况管理)现已正式发布(正式版)
我们宣布,Defender CSPM现已正式发布(正式版)。 Defender CSPM提供基础 CSPM 功能下提供的所有服务,并添加了以下优势:
- 攻击路径分析和 ARG API - 攻击路径分析使用基于图的算法,这种算法可扫描云安全图表,发现攻击路径并提出建议。这些建议旨在破坏攻击路径,防止攻击者成功破坏环境。 还可以通过查询 Azure Resource Graph (ARG) API 以编程方式使用攻击路径。 了解如何使用攻击路径分析
- 云安全资源管理器 - 通过使用云安全资源管理器对云安全图运行基于图的查询,你可以主动识别多云环境中的安全风险。 详细了解云安全资源管理器。
详细了解 Defender CSPM。
在 Microsoft Defender for Cloud 中创建自定义建议和安全标准的选项
Microsoft Defender for Cloud提供了使用 KQL 查询为 AWS 和 GCP 创建自定义建议和标准的选项。 可以使用查询编辑器生成和测试数据查询。 此功能是Defender CSPM(云安全状况管理)计划的一部分。 了解如何创建自定义建议和安全标准。
Microsoft云安全基准(MCSB)版本 1.0 现已正式发布(正式版)
Microsoft Defender for Cloud宣布,Microsoft云安全基准(MCSB)版本 1.0 现已正式发布(正式版)。
MCSB 版本 1.0 将Azure安全基准 (ASB) 版本 3 替换为Defender for Cloud的默认安全策略。 MCSB 版本 1.0 在合规性仪表板中显示为默认符合性标准,默认情况下为所有Defender for Cloud客户启用。
还可以了解 Microsoft云安全基准 (MCSB) 如何帮助你在云安全旅程中取得成功。
详细了解 MCSB。
一些法规合规性标准现已在政府云中可用
我们正在更新世纪互联运营的Azure 政府和Microsoft Azure中的客户这些标准。
Azure 政府:
由世纪互联运营的 Microsoft Azure:
了解如何在法规合规性仪表板中自定义标准集。
Azure SQL服务器的新预览版建议
我们添加了Azure SQL服务器(Azure SQL Server authentication mode should be Azure Active Directory Only (Preview))的新建议。
建议基于现有策略 Azure SQL 数据库 should have Azure Active Directory Only Authentication enabled
此建议禁用本地身份验证方法,仅允许Microsoft Entra身份验证,这通过确保Microsoft Entra ID标识可以独占访问Azure SQL数据库来提高安全性。
了解如何在 Azure Azure SQL 中启用仅限 AD 的身份验证创建服务器。
密钥保管库 Defender中的新警报
密钥保管库的Defender具有以下新警报:
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
|
已拒绝从可疑 IP 访问密钥保管库 (KV_SuspiciousIPAccessDenied) |
Microsoft威胁情报标识为可疑 IP 地址的 IP 尝试了密钥保管库访问失败。 尽管此次尝试失败,但这表明你的基础结构可能已遭入侵。 建议进一步调查。 | 凭据访问 | Low |
可以看到可用于 密钥保管库0 的所有
2023 年 2 月
2 月的更新包括:
- 增强型云安全资源管理器
- Defender容器对正在运行的 Linux 映像的漏洞扫描现已正式发布
- 宣布支持 AWS CIS 1.5.0 合规性标准
- Microsoft Defender for DevOps(预览版)现已在其他区域提供
- 内置策略 [预览]:应为密钥保管库配置专用终结点
增强型云安全资源管理器
云安全资源管理器的改进版本包括全新的用户体验,可显著消除查询摩擦,增加了运行多云和多资源查询的功能,以及针对每个查询选项的嵌入式文档。
云安全资源管理器现在允许跨资源运行云抽象查询。 可以使用预构建的查询模板或自定义搜索来应用筛选器以构建查询。 了解如何管理云安全资源管理器。
Defender容器对正在运行的 Linux 映像的漏洞扫描现已正式发布
容器Defender可检测正在运行的容器中的漏洞。 支持Windows和 Linux 容器。
2022 年 8 月,此功能以 Windows 和 Linux 预览版发布。 我们现在正在发布适用于 Linux 的正式发布版 (GA)。
检测到漏洞时,Defender for Cloud生成以下安全建议,其中列出了扫描结果:运行容器映像应已解决漏洞发现。
详细了解如何查看运行映像的漏洞。
宣布支持 AWS CIS 1.5.0 合规性标准
Defender for Cloud现在支持 CIS Amazon Web Services Foundations v1.5.0 符合性标准。 该标准可添加到法规合规性仪表板,并以 MDC 的现有多云建议和标准产品/服务为基础。
此新标准包括现有建议和新建议,这些建议将Defender for Cloud覆盖范围扩展到新的 AWS 服务和资源。
了解如何管理 AWS 评估和标准。
Microsoft Defender for DevOps(预览版)现已在其他区域中提供
当你加入Azure DevOps和GitHub资源时,Microsoft Defender for DevOps已扩展其预览版,现已在西欧和东澳大利亚区域提供。
详细了解 Microsoft Defender for DevOps。
内置策略 [预览版]:应为密钥保管库配置专用终结点已弃用
内置策略[Preview]: Private endpoint should be configured for 密钥保管库已弃用,并替换为 [Preview]: Azure 密钥保管库s should use private link 策略。
详细了解
2023 年 1 月
一月的更新包括:
- 终结点保护(Microsoft Defender for Endpoint)组件现已在“设置和监视”页中访问
- 有关查找缺失的系统更新的新版建议(预览版)
- 已连接的 AWS 和 GCP 帐户中已删除的 Azure Arc 计算机的Cleanup
- 允许连续导出到防火墙后的事件中心
- 安全评分控制的名称使用Azure高级网络解决方案保护应用程序已更改
- “SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址”策略已弃用
- 为虚拟机规模集启用诊断日志的命令已弃用
终结点保护(Microsoft Defender for Endpoint)组件现已在“设置和监视”页中访问
若要访问 Endpoint Protection,请导航到 Environment settings>Defender plans>Settings and monitoring。 可在此处将 Endpoint Protection 设置为 On。 还可以查看托管的其他组件。
详细了解使用适用于服务器的Defender在服务器上Microsoft Defender for Endpoint。
有关查找缺失的系统更新的新版建议(预览版)
不再需要Azure VM 和Azure Arc计算机上的代理,以确保计算机具有所有最新的安全或关键系统更新。
System updates should be installed on your machines (powered by Azure 更新管理器) 控件中的新系统更新建议Apply system updates基于 Update Manager (预览版)。 该建议依赖于嵌入在每个Azure VM 和Azure Arc计算机而不是已安装的代理中的本机代理。 新建议中的“快速修复”可引导你在更新管理器门户中完成缺失的更新的一次性安装。
若要使用新建议,需要:
- 将非Azure计算机连接到 Arc
- 打开定期评估属性。 可使用“
Machines should be configured to periodically check for missing system updates”这一新建议中的快速修复来修复建议。
现有的“应在计算机上安装系统更新”建议(依赖于Log Analytics代理)仍可在同一控制下使用。
清理已连接的 AWS 和 GCP 帐户中已删除Azure Arc计算机
连接到服务器Defender或计算机上 SQL Defender 所涵盖的 AWS 和 GCP 帐户的计算机以Defender for Cloud表示为Azure Arc计算机。 到目前为止,从 AWS 或 GCP 帐户中删除计算机时,该计算机并未从库存中删除。 导致表示已删除计算机的Defender for Cloud中留下的不必要的Azure Arc资源。
Defender for Cloud现在会在连接的 AWS 或 GCP 帐户中删除这些计算机时自动删除Azure Arc计算机。
允许连续导出到防火墙后的事件中心
现在可以将警报和建议作为受信任的服务持续导出到受Azure防火墙保护的事件中心。
可以在生成警报或建议时启用连续导出。 也可制定计划来定期发送所有新数据的快照。
了解如何启用连续导出到Azure防火墙后面的事件中心。
“安全功能分数控制保护应用程序”的名称已更改Azure高级网络解决方案
安全功能分数控制,Protect your applications with Azure advanced networking solutions更改为 Protect applications against DDoS attacks。
更新的名称反映在 Azure Resource Graph (ARG)、安全功能分数控制 API 和 Download CSV report。
“SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址”策略已弃用
SQL 漏洞评估电子邮件报告的Defender仍然可用,并且现有电子邮件配置尚未更改。
建议弃用为虚拟机规模集启用诊断日志
建议Diagnostic logs in 虚拟机规模集 should be enabled已弃用。
相关 策略定义 也已从法规合规性仪表板中显示的任何标准中弃用。
| Recommendation | Description | Severity |
|---|---|---|
| 应启用虚拟机规模集中的诊断日志 | 启用日志并将其保留长达一年。这使你能够在发生安全事件或网络遭到入侵时重新创建活动线索以供调查。 | Low |
2022 年 12 月
12 月的更新包括:
宣布在 sql Defender 中发布漏洞评估的快速配置
SQL Microsoft Defender中漏洞评估的快速配置为安全团队提供了在 Synapse 工作区外部Azure SQL数据库和专用 SQL 池的简化配置体验。
借助漏洞评估的快速配置体验,安全团队可以:
- 在 SQL 资源的安全配置中完成漏洞评估配置,无需对客户管理的存储帐户进行任何其他设置,也不需要在此类帐户上具备任何依赖项。
- 立即将扫描结果添加到基线,以便查找结果的状态从 “不正常 ”更改为“ 正常 ”,而无需重新扫描数据库。
- 一次向基线添加多个规则,并使用最新的扫描结果。
- 为订阅级别的数据库启用Microsoft Defender时,为所有Azure SQL服务器启用漏洞评估。
详细了解 sql 漏洞评估Defender。
2022 年 11 月
11 月的更新包括:
- 使用容器Defender保护 GCP 组织中的容器
- 用于容器保护的Validate Defender,其中包含示例警报
- 大规模治理规则(预览版)
- 在 AWS 和 GCP(预览版)中创建自定义评估的功能已弃用
- 为 Lambda 函数配置死信队列的建议已弃用
使用适用于容器的 Defender 保护 GCP 组织中的容器
现在可以为 GCP 环境启用 Defender c0>Defender,以保护整个 GCP 组织中的标准 GKE 群集。 只需在现有组织级别 GCP 连接器上为容器启用Defender或为容器启用Defender即可创建新的 GCP 连接器。
详细了解 连接 GCP 项目和组织以Defender for Cloud。
使用示例警报验证容器保护Defender
现在可以为容器计划的Defender创建示例警报。 新的示例警报显示为来自 AKS、连接 Arc 的群集、EKS 和 GKE 资源,具有不同的严重性和 MITRE 策略。 可以使用示例警报验证安全警报配置,例如 SIEM 集成、工作流自动化和电子邮件通知。
详细了解 警报验证。
大规模治理规则(预览版)
我们很高兴宣布在Defender for Cloud大规模应用治理规则(预览版)的新能力。
借助这一新体验,安全团队能够针对各种范围(订阅和连接器)批量定义治理规则。 安全团队可以使用管理范围(例如Azure管理组、AWS 顶级帐户或 GCP 组织)来完成此任务。
此外,“治理规则”(预览版)页显示组织环境中有效的所有可用治理规则。
详细了解新的大规模治理规则体验。
Note
自 2023 年 1 月 1 日起,为了体验治理提供的功能,必须在订阅或连接器上启用 Defender CSPM 计划。
在 AWS 和 GCP(预览版)中创建自定义评估的功能已弃用
已弃用 AWS 帐户 和 GCP 项目的自定义评估(即预览版功能)。
为 Lambda 函数配置死信队列的建议已弃用
建议Lambda functions should have a dead-letter queue configured已弃用。
| Recommendation | Description | Severity |
|---|---|---|
| Lambda 函数应配置有死信队列 | 此控件检查 Lambda 函数是否配置了死信队列。 如果没有为 Lambda 函数配置死信队列,则此控件将失败。 作为故障目标的替代方法,可以使用死信队列来配置函数,以便保存放弃的事件以供进一步处理。 死信队列的作用与故障目标相同。 当某个事件的所有处理尝试失败或未进行处理而过期,将使用死信队列。 使用死信队列可以回顾错误或对 Lambda 函数的失败请求,以便调试或识别异常行为。 从安全角度来看,务必了解函数失败的原因,并确保函数不会因此导致数据损坏或破坏数据安全。 例如,如果函数无法与基础资源通信,这可能表示网络中的其他位置出现拒绝服务 (DoS) 攻击。 | Medium |
2022 年 10 月
10月更新包括:
- announc0 Microsoft云安全基准
Defender for Cloud(预览版) - Azure 和 AWS 计算机的无代理扫描(预览版)
- Defender for DevOps(预览版)
- 规范合规性仪表板现在支持手动控制管理和有关Microsoft符合性状态的详细信息
- 自动预配已重命名为“设置”和“监视”,并具有更新的体验
- Defender云安全状况管理(CSPM)(预览版)
- MITRE ATT&CK 框架映射现在也可用于 AWS 和 GCP 安全建议
- 适用于容器的 Defender现在支持弹性容器注册表的漏洞评估(预览版)
宣布推出Microsoft云安全基准
Microsoft云安全基准(MCSB)是基于常见行业标准和合规性框架定义基本云安全原则的新框架。 再结合用于跨云平台实施这些最佳做法的详细技术指南。 MCSB 正在取代Azure安全基准。 MCSB 提供有关如何在多个云服务平台上实施与云无关的安全建议的规范性详细信息,最初涵盖Azure和 AWS。
现在可在单个集成仪表板中监视每个云的云安全合规性状况。 导航到Defender for Cloud的法规合规性仪表板时,可以将 MCSB 视为默认符合性标准。
载入Defender for Cloud时,Microsoft云安全基准会自动分配给Azure订阅和 AWS 帐户。
详细了解 Microsoft 云安全基准。
Defender for Cloud中的攻击路径分析和上下文安全功能(预览版)
新的云安全图、攻击路径分析和上下文云安全功能现已在预览版Defender for Cloud中提供。
安全团队今天面临的最大挑战之一是他们每天面临的安全问题的数量。 有许多安全问题需要解决,但从未有足够的资源来解决所有这些问题。
Defender for Cloud新的云安全图和攻击路径分析功能使安全团队能够评估每个安全问题背后的风险。 安全团队还可以确定需要尽快解决的风险性最高的问题。 Defender for Cloud与安全团队合作,以最有效的方式降低对环境造成影响的风险。
详细了解新的云安全图、攻击路径分析和云安全资源管理器。
Azure和 AWS 计算机的无代理扫描(预览版)
到目前为止,Defender for Cloud基于基于代理的解决方案对 VM 的状况评估。 为帮助客户最大限度地提高覆盖范围并减少加入和管理问题,我们将发布预览版 VM 无代理扫描。
使用 VM 无代理扫描,可以广泛了解已安装的软件和软件 CVE。 无需面对代理安装和维护、网络连接要求以及对工作负载的性能影响等挑战便能了解。 分析由Microsoft Defender 漏洞管理提供支持。
无代理漏洞扫描适用于服务器 P2>Defender,同时支持 AWS 和 Azure VM。
Defender for DevOps(预览版)
Microsoft Defender for Cloud支持跨混合和多云环境(包括Azure、AWS、Google 和本地资源)的全面可见性、态势管理和威胁防护。
现在,新的Defender for DevOps计划将源代码管理系统(如GitHub和Azure DevOps)集成到Defender for Cloud。 通过这种新的集成,我们使安全团队能够保护他们从代码到云的各项资源。
Defender for DevOps使你能够深入了解和管理连接的开发人员环境和代码资源。 目前,可以将 Azure DevOps 和 GitHub 系统连接到Defender for Cloud,并将 DevOps 存储库加入清单和新 DevOps Security 页。 它在统一的 DevOps 安全页中为安全团队提供了发现其存在的安全问题的简要概述。
可以在拉取请求上配置批注,以帮助开发人员直接在拉取请求上解决Azure DevOps中的机密扫描发现。
可以在Azure Pipelines和GitHub工作流上配置 Microsoft 安全 DevOps 工具,以启用以下安全扫描:
| Name | 语言 | License |
|---|---|---|
| Bandit | Python | Apache 许可证 2.0 |
| BinSkim | 二进制 – Windows、ELF | MIT 许可证 |
| ESlint | JavaScript | MIT 许可证 |
| CredScan (仅限Azure DevOps) | 凭据扫描程序(也称为 CredScan)是由Microsoft开发和维护的工具,用于识别凭据泄漏,例如源代码和配置文件中的凭据泄漏常见类型:默认密码、SQL 连接字符串、具有私钥的证书 | 非开放源代码 |
| Template Analyze | ARM 模板,Bicep文件 | MIT 许可证 |
| Terrascan | Terraform (HCL2)、Kubernetes (JSON/YAML)、Helm v3、Kustomize、Dockerfiles、Cloud Formation | Apache 许可证 2.0 |
| Trivy | 容器映像、文件系统、Git 存储库 | Apache 许可证 2.0 |
现在针对 DevOps 提供了以下新建议:
| Recommendation | Description | Severity |
|---|---|---|
| (预览)代码存储库应处理代码扫描结果 | Defender for DevOps在代码存储库中发现了漏洞。 为了改善存储库的安全状况,强烈建议修复这些漏洞。 (无相关策略) | Medium |
| (预览)代码存储库应处理机密扫描结果 | Defender for DevOps在代码存储库中找到了机密。 应立即修正此问题以防止安全漏洞。 在存储库中发现的机密可能会被泄露或被攻击者发现,导致应用程序或服务遭到入侵。 对于Azure DevOps,Microsoft 安全 DevOps CredScan 工具仅扫描其配置为运行的内部版本。 因此,结果可能无法反映存储库中机密的完整状态。 (无相关策略) | High |
| (预览)代码存储库应处理 Dependabot 扫描结果 | Defender for DevOps在代码存储库中发现了漏洞。 为了改善存储库的安全状况,强烈建议修复这些漏洞。 (无相关策略) | Medium |
| (预览)代码存储库应处理基础结构即代码扫描结果 | (预览)代码存储库应处理基础结构即代码扫描结果 | Medium |
| (预览版) GitHub存储库应启用代码扫描 | GitHub使用代码扫描分析代码,以便查找代码中的安全漏洞和错误。 代码扫描可用于查找、会审和优先排列代码中现有问题的修复。 代码扫描还可防止开发人员引入新问题。 扫描可安排在特定的日期和时间,也可以在存储库中发生特定事件(例如推送)时触发。 如果代码扫描在代码中发现潜在的漏洞或错误,GitHub在存储库中显示警报。 漏洞是项目代码中的问题,可能被人利用来损害项目的机密性、完整性或可用性。 (无相关策略) | Medium |
| (预览版) GitHub存储库应启用机密扫描 | GitHub扫描存储库中已知类型的机密,以防止对意外提交到存储库的机密的欺诈性使用。 机密扫描将扫描GitHub存储库中存在的所有分支上的整个 Git 历史记录,以获取任何机密。 机密的示例包括服务提供程序为进行身份验证而颁发的令牌和私钥。 如果将机密签入存储库,任何对存储库具有读取权限的人都可以使用该机密和这些权限访问外部服务。 机密应存储在项目存储库外部的专用、安全位置。 (无相关策略) | High |
| (预览版) GitHub 存储库应启用 Dependabot 扫描 | GitHub在检测到影响存储库的代码依赖项中的漏洞时发送 Dependabot 警报。 漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。 代码依赖于具有安全性漏洞的包时,这种易受攻击的依赖项会导致一系列问题。 (无相关策略) | Medium |
Defender for DevOps建议取代了容器Defender中包含的 CI/CD 工作流的弃用漏洞扫描程序。
详细了解 Defender for DevOps
法规合规性仪表板现在支持手动控制管理和有关Microsoft合规性状态的详细信息
Defender for Cloud中的合规性仪表板是客户帮助了解和跟踪其合规性状态的关键工具。 客户可按照许多不同标准和法规的要求持续监视环境。
现在可通过手动证明操作和其他控制措施来完全管理合规性状况。 现在可为非自动化控制提供合规性证据。 与自动评估配合使用,现在可以在选定的范围内生成完整的合规性报告,从而解决给定标准的整个控制集。
此外,借助更丰富的控制信息和Microsoft符合性状态的深入详细信息和证据,现在只需指尖即可获得审核所需的所有信息。
一些新优势如下:
手动客户操作提供一种手动证明非自动化控制合规性的机制。 这包括链接证据、设置合规性日期和到期日期的能力。
展示Microsoft操作和 manual 客户操作的受支持标准的更丰富的控制详细信息,以及现有的自动化客户操作。
Microsoft操作提供了Microsoft合规性状态的透明度,其中包括审核评估过程、测试结果和对偏差的Microsoft响应。
合规性产品/服务提供了一个中心位置,用于检查Azure、Dynamics 365和 Power Platform 产品及其各自的法规合规性认证。
详细了解如何使用 Defender for Cloud 实施法规合规性。
自动预配已重命名为“设置”和“监视”,并具有更新的体验
我们已将“自动预配”页重命名为 “设置”和“监视”。
自动预配旨在允许大规模启用Defender for Cloud的高级特性和功能所需的先决条件。 为了更好地支持扩展功能,我们将推出包含以下更改的新体验:
Defender for Cloud的计划页现在包括:
- 启用需要监视组件的Defender计划时,会启用这些组件以使用默认设置进行自动预配。 可选择随时编辑这些设置。
- 可以从Defender计划页访问每个Defender计划的监视组件设置。
- Defender计划页清楚地指示每个Defender计划的所有监视组件是否已到位,或者监视覆盖范围是否不完整。
“设置和监视”页:
- 每个监视组件都指示与其相关的Defender计划。
详细了解如何管理监视设置。
Defender云安全状况管理(CSPM)
Microsoft Defender for Cloud云安全的主要支柱之一是云安全状况管理(CSPM)。 CSPM 为你提供强化指南,帮助你高效且有效地提高安全性。 CSPM 还可以让你了解当前的安全情况。
我们宣布了一个新的Defender计划:Defender CSPM。 此计划可增强Defender for Cloud的安全功能,并包含以下新增和扩展的功能:
- 持续评估云资源的安全配置
- 用于修复配置错误和漏洞的安全建议
- 安全功能分数
- Governance
- 法规符合性
- 云安全图
- 攻击路径分析
- 计算机的无代理扫描
详细了解 Defender CSPM 计划。
MITRE ATT&CK 框架映射现在也可用于 AWS 和 GCP 安全建议
对于安全分析师,必须确定与安全建议相关的潜在风险并了解攻击途径,以便他们能够有效地确定任务优先级。
Defender for Cloud通过根据 MITRE ATT 和 MITRE ATT 映射 Azure、AWS 和 GCP 安全建议,使优先级更轻松CK 框架。 MITRE ATT&CK 框架是一种基于真实观察的全球可访问的攻击者策略和技术知识库,使客户能够加强环境的安全配置。
MITRE ATT&CK 框架以三种方式集成:
- 建议映射到 MITRE ATT&CK 策略和技术。
- 查询 MITRE ATT&使用 Azure Resource Graph 的建议的 CK 策略和技术。
适用于容器的Defender现在支持弹性容器注册表的漏洞评估(预览版)
适用于容器的Microsoft Defender现在为 Amazon AWS 中的弹性容器注册表(ECR)提供无代理漏洞评估扫描。 这在今年早些时候为 AWS 和 Google GCP 发布的高级威胁防护和 Kubernetes 环境强化的基础上,扩大了对多云环境的覆盖范围。 无代理模型在帐户中创建 AWS 资源以扫描映像,而无需从 AWS 帐户中提取映像,也不会占用工作负载。
针对 ECR 存储库中映像的无代理漏洞评估扫描通过持续扫描映像来识别和管理容器漏洞,从而帮助减少容器化资产的攻击面。 通过此新版本,Defender for Cloud将容器映像推送到存储库后扫描容器映像,并持续重新评估注册表中的 ECR 容器映像。 这些发现以建议的形式在Microsoft Defender for Cloud中提供,你可以使用Defender for Cloud的内置自动化工作流对结果采取措施,例如打开用于修复映像中严重性漏洞的票证。
详细了解 Amazon ECR 映像的漏洞评估。
2022 年 9 月
9 月的更新包括:
- 抑制基于容器和 Kubernetes 实体的警报
- Defender for Servers 支持使用 Azure Monitor 代理进行文件完整性监视
- 旧版评估 API 弃用
- 针对标识添加的额外建议
- 针对向跨租户Log Analytics工作区报告的计算机的已移动安全警报
抑制基于容器和 Kubernetes 实体的警报
- Kubernetes 命名空间
- Kubernetes Pod
- Kubernetes 机密
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Kubernetes 作业
- Kubernetes CronJob
详细了解警报抑制规则。
Defender for Servers 支持使用 Azure Monitor 代理监视文件完整性
文件完整性监视 (FIM) 检查操作系统文件和注册表,从而发现能表示遭到攻击的更改。
FIM 现已在基于 Azure Monitor 代理(AMA)的新版本中提供,可以通过 Defender for Cloud
旧版评估 API 弃用
以下 API 已弃用:
- 安全任务
- 安全状态
- 安全摘要
这三个 API 公开了旧格式的评估,并被 评估 API 和 SubAssessments API 取代。 这些旧 API 公开的所有数据也在新 API 中可用。
针对标识添加的额外建议
Defender for Cloud改进用户和帐户管理的建议。
新建议
新版本将包含以下功能:
Extended 评估范围 – 没有 MFA 的标识帐户和Azure资源(而不是仅订阅)上的标识帐户的覆盖范围得到了改进,这允许安全管理员查看每个帐户的角色分配。
改进刷新间隔 - 标识建议的刷新间隔现为 12 小时。
Account 豁免功能 - Defender for Cloud有许多可用于自定义体验的功能,并确保安全功能分数反映组织的安全优先级。 例如,可以从安全评分中免除资源和建议。
通过此更新,你将能够豁免下表中列出的六项建议对特定帐户的评估。
通常,你可以免除 MFA 建议中的紧急“破玻璃”帐户,因为此类帐户通常被故意排除在组织的 MFA 要求之外。 或者,你可能拥有想要允许其访问 MFA 但未为其启用 MFA 的外部帐户。
Tip
豁免某个帐户时,它不会显示为运行不正常,也不会导致订阅看起来不正常。
Recommendation 评估密钥 应启用对Azure资源具有所有者权限的帐户 6240402e-f77c-46fa-9060-a7ce53997754 应启用对Azure资源具有写入权限的帐户 c0cb17b2-0607-48a7-b0e0-903ed22de39b 应启用对Azure资源具有读取权限的帐户 dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c 应删除对Azure资源具有所有者权限的来宾帐户 20606e75-05c4-48c0-9d97-add6daa2109a 应删除对Azure资源具有写入权限的来宾帐户 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb 应删除对Azure资源具有读取权限的来宾帐户 fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 应删除对Azure资源具有所有者权限的阻止帐户 050ac097-3dda-4d24-ab6d-82568e7a50cf 应删除对Azure资源具有读取和写入权限的阻止帐户 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
这些建议虽然处于预览阶段,但将显示在当前正式发布的建议旁边。
删除了向跨租户Log Analytics工作区报告的计算机的安全警报
过去,Defender for Cloud允许选择Log Analytics代理报告的工作区。 当计算机属于一个租户(租户 A),但其Log Analytics代理向另一租户(“租户 B”)中的工作区报告时,有关计算机的安全警报将报告给第一个租户(租户 A)。
通过此更改,连接到不同租户Log Analytics工作区的计算机上的警报不再显示在Defender for Cloud中。
若要继续接收Defender for Cloud中的警报,请将相关计算机的Log Analytics代理连接到计算机所在的同一租户中的工作区。
详细了解 安全警报。
2022 年 8 月
8 月的更新包括:
- 运行映像的Vulnerabilities现在可见,Windows容器上的容器Defender
- Azure Monitor代理集成现在以预览版提供
- 已弃用关于与 Kubernetes 群集相关的可疑活动的 VM 警报
运行映像的漏洞现在可见,Windows容器上的容器Defender
容器的Defender现在显示运行Windows容器的漏洞。
检测到漏洞时,Defender for Cloud生成以下安全建议,其中列出了检测到的问题:运行容器映像应已解决漏洞发现。
详细了解如何查看运行映像的漏洞。
Azure Monitor代理集成现在以预览版提供
Defender for Cloud现在包括对 Azure Monitor Agent(AMA)的预览支持。 AMA 旨在替换旧版Log Analytics代理(也称为Microsoft监视代理 (MMA),该代理正在弃用的路径。 与旧版代理相比,AMA 具有许多优点。
在Defender for Cloud中,
已弃用关于与 Kubernetes 群集相关的可疑活动的 VM 警报
下表列出了已弃用的警报:
| 警报名称 | Description | Tactics | Severity |
|---|---|---|---|
|
在 Kubernetes 节点上检测到 Docker 生成操作 (VM_ImageBuildOnNode) |
计算机日志指示 Kubernetes 节点上发生了容器映像的生成操作。 此行为可能是合法的,不过,攻击者可能会在本地生成恶意映像以避开检测。 | 防御逃避 | Low |
|
对 Kubernetes API 的可疑请求 (VM_KubernetesAPI) |
计算机日志指示有人对 Kubernetes API 发出了可疑的请求。 该请求发送自 Kubernetes 节点,可能来自节点中运行的某个容器。 尽管此行为可能是故意的,但它可能指示节点运行的某个容器遭到入侵。 | LateralMovement | Medium |
|
SSH 服务器在容器中运行 (VM_ContainerSSH) |
计算机日志指示有 SSH 服务器在 Docker 容器中运行。 尽管此行为可能是故意的,但它通常指示容器配置不正确或者遭到破坏。 | Execution | Medium |
这些警报用于通知用户有关连接到 Kubernetes 群集的可疑活动。 警报将替换为匹配的警报,这些警报是Microsoft Defender for Cloud容器警报(K8S.NODE_ImageBuildOnNode、K8S.NODE_ KubernetesAPI和 K8S.NODE_ ContainerSSH)的一部分,这将提供改进的保真度和全面的上下文来调查和处理警报。 详细了解 Kubernetes 群集的警报。
容器漏洞现在包括详细的包信息
容器漏洞评估(VA)的Defender现在包括每个发现的详细包信息,包括:包名称、包类型、路径、已安装版本和固定版本。 利用包信息,可以查找易受攻击的包,以便修复漏洞或删除包。
此详细的包信息可用于新的图像扫描。
2022 年 7 月
7 月的更新包括:
- 用于 Kubernetes 运行时保护的云原生安全代理正式版 (GA)
Defender容器的 VA 增加了对检测语言特定包(预览版) - 防范 Operations Management Infrastructure 漏洞 CVE-2022-29149
- 与 Entra 权限管理集成
- 密钥保管库建议更改为“audit”
- 弃用应用服务的 API 应用策略
用于 Kubernetes 运行时保护的云原生安全代理正式版 (GA)
我们很高兴地宣布,用于 Kubernetes 运行时保护的云原生安全代理现已推出正式版 (GA)!
随着客户不断地容器化其应用程序,Kubernetes 群集的生产部署也在持续扩建。 为了帮助实现这种增长,容器团队Defender开发了面向云的 Kubernetes 安全代理。
新的安全代理是基于 eBPF 技术的 Kubernetes DaemonSet,它将作为 AKS 安全配置文件的一部分完全集成到 AKS 群集中。
可以通过自动预配、建议流、AKS RP 或使用Azure Policy大规模启用安全代理。
现在可以在 AKS 群集上部署Defender代理。
在发布本通告时,运行时保护 - 威胁检测(工作负载)也已推出正式版。
详细了解容器可用性 的Defender。
还可以查看所有提供的警报。
请注意,如果你使用的是预览版,则不再需要 AKS-AzureDefender 功能标志。
Defender容器的 VA 添加了对检测语言特定包的支持(预览版)
容器漏洞评估(VA)的Defender能够检测通过 OS 包管理器部署的 OS 包中的漏洞。 我们现在扩展了 VA 检测语言特定包中包含的漏洞的能力。
此功能目前为预览版,仅适用于 Linux 映像。
若要查看已添加的所有包含的语言特定包,请查看容器的完整功能及其可用性Defender。
防范 Operations Management Infrastructure 漏洞 CVE-2022-29149
Operations Management Infrastructure (OMI) 是一组基于云的服务,用于从一个位置管理本地和云环境。 OMI 组件完全托管在Azure中,而不是部署和管理本地资源。
与运行 OMI 版本 13 的Azure HDInsight集成Log Analytics需要修补程序来修正 CVE-2022-29149。 有关如何识别受此漏洞和修正步骤影响的资源的信息,请查看 Microsoft 安全 更新指南中有关此漏洞的报告。
如果已为启用了漏洞评估的服务器Defender,则可以使用 此工作簿来标识受影响的资源。
与 Entra 权限管理集成
Defender for Cloud已与 Microsoft Entra 权限管理 集成,这是一种云基础结构权利管理(CIEM)解决方案,可全面可见性和控制Azure、AWS 和 GCP 中的任何标识和任何资源的权限。
每个Azure加入的订阅、AWS 帐户和 GCP 项目现在都会显示Permission Creep Index (PCI)的视图。
详细了解 Entra 权限管理(以前称为 Cloudknox)
密钥保管库建议更改为“审核”
此处列出的密钥保管库建议的效果更改为“审核”:
| 建议名称 | 建议 ID |
|---|---|
| 存储在Azure 密钥保管库中的证书有效期不应超过 12 个月 | fc84abc0-eee6-4758-8372-a7681965ca44 |
| 密钥保管库机密应具有到期日期 | 14257785-9437-97fa-11ae-898cfb24302b |
| 密钥保管库密钥应具有过期日期 | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
弃用应用服务的 API 应用策略
我们弃用了以下策略,并改用已存在的对应策略以包括 API 应用:
| 即将弃用 | 更改为 |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
2022 年 6 月
6 月的更新包括以下内容:
通用可用性(GA)用于 Azure Cosmos DB - AWS 和 GCP 环境计算机上 SQL Defender的正式可用性(GA)
- 推动实现安全建议,以增强安全状况
- 按 IP 地址筛选安全警报
- 按资源组列出警报
- 统 Microsoft Defender for Endpoint一解决方案的Autoprovisioning
- 弃用“只能通过 HTTPS 访问 API 应用”策略
- 新的密钥保管库警报
Azure Cosmos DB Microsoft Defender正式发布(正式版)
Azure Cosmos DB的Microsoft Defender现已正式发布(GA),并支持 SQL(核心)API 帐户类型。
此次正式版是Microsoft Defender for Cloud数据库保护套件的一部分,其中包括不同类型的 SQL 数据库和 MariaDB。 Azure Cosmos DB的Microsoft Defender是一个Azure本机安全层,用于检测尝试利用Azure Cosmos DB帐户中的数据库。
通过启用此计划,你将收到以下方面的警报:潜在的 SQL 注入、已知恶意参与者、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。
当检测到潜在的恶意活动时,将生成安全警报。 这些警报提供可疑活动的详细信息以及相关的调查步骤、修正操作和安全建议。
Microsoft Defender,Azure Cosmos DB持续分析Azure Cosmos DB服务生成的遥测流,并将它们与Microsoft威胁智能和行为模型交叉,以检测任何可疑活动。 Defender,Azure Cosmos DB无法访问Azure Cosmos DB帐户数据,对数据库的性能没有任何影响。
详细了解 Microsoft Defender for Azure Cosmos DB。
随着对Azure Cosmos DB的支持增加,Defender for Cloud现在为基于云的数据库提供最全面的工作负荷保护产品之一。 安全团队和数据库所有者现在可以集中管理其环境的数据库安全性。
了解如何为数据库 启用保护 。
AWS 和 GCP 环境中的 SQL Defender正式发布(正式版)
Microsoft Defender for Cloud提供的数据库保护功能增加了对 AWS 或 GCP 环境中托管的 SQL 服务器的支持。
Defender SQL,企业现在可以保护其整个数据库资产,这些资产托管在 Azure、AWS、GCP 和本地计算机中。
Microsoft Defender FOR SQL 提供了统一的多云体验,用于查看 SQL Server 的安全建议、安全警报和漏洞评估结果以及WINDOWS操作系统的下划线。
使用多云载入体验,可以为 AWS EC2、RDS Custom for SQL Server 和 GCP 计算引擎上运行的 SQL 服务器启用和强制实施数据库保护。 启用这些计划中的任一计划后,订阅中存在的所有受支持的资源都将受到保护。 以后在同一订阅中创建的资源也会受到保护。
了解如何使用 Microsoft Defender for Cloud 保护和连接 AWS 环境和 GCP 组织。
推动实现安全建议,以增强安全状况
如今,组织面临的威胁日益增加,使得安全人员发挥其一切才能保护其不断扩展的工作负载。 安全团队面临着与实施其安全策略中定义的保护相关的挑战。
现在,通过预览版治理体验,安全团队可以向资源所有者分配安全建议修正,并要求制定修正计划。 他们可以完全透明地了解修正的进度,并在任务过期时得到通知。
有关治理体验的详细信息,请参阅推动组织通过建议治理修正安全问题。
按 IP 地址筛选安全警报
在许多攻击情况下,你希望根据攻击所涉及的实体的 IP 地址来跟踪警报。 到目前为止,IP 仅出现在单个警报窗格中的“相关实体”部分。 现在,你可以在安全警报页中筛选警报,以查看与 IP 地址相关的警报,并且可以搜索特定的 IP 地址。
按资源组列出警报
“安全警报”页面添加了按资源组进行筛选、排序和分组的功能。
警报网格添加了资源组列。
添加了一个新筛选器,可用于查看特定资源组的所有警报。
现在,还可以按资源组对警报进行分组,以查看每个资源组的所有警报。
自动预配Microsoft Defender for Endpoint统一解决方案
到目前为止,与 Microsoft Defender for Endpoint (MDE) 的集成包括自动安装新的 MDE 统一解决方案(Azure订阅和多云连接器),并启用了服务器计划 1 的Defender,以及启用了 Defender 的多云连接器为已启用“服务器计划 2”。 计划 2 for Azure 订阅仅启用了适用于 Linux 计算机和 Windows 2019 和 2022 服务器的统一解决方案。 Windows服务器 2012R2 和 2016 使用依赖于 Log Analytics 代理的 MDE 旧解决方案。
现在,对于Azure订阅和多云连接器,这两个计划中的所有计算机都可以使用新的统一解决方案。 对于启用了 MDE 集成
详细了解 MDE 与 server Defender 的集成。
弃用“只能通过 HTTPS 访问 API 应用”策略
策略 API App should only be accessible over HTTPS 已弃用。 此策略替换为 Web Application should only be accessible over HTTPS 策略,后者已重命名为 App Service apps should only be accessible over HTTPS。
若要详细了解 Azure 应用服务 的策略定义,请参阅
新的密钥保管库警报
为了扩展密钥保管库 Microsoft Defender提供的威胁防护,我们添加了两个新警报。
这些警报会将为任何密钥保管库检测到的访问被异常拒绝的情况通知你。
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
| 异常访问被拒绝 - 对大量密钥保管库的用户访问被拒绝 (KV_DeniedAccountVolumeAnomaly) |
用户或服务主体在过去 24 小时内尝试访问了异常多的密钥保管库。 此异常访问模式可能是合法的活动。 尽管此尝试失败,但它可能表明:用户或主体可能在尝试访问密钥保管库及其中包含的机密。 建议进一步调查。 | Discovery | Low |
| 异常访问被拒绝 - 对密钥保管库的异常用户访问被拒绝 (KV_UserAccessDeniedAnomaly) |
尝试访问密钥保管库的用户并未以正常方式访问密钥保管库,此异常访问模式可能是合法的活动。 尽管此尝试失败,但它可能表明:用户或主体可能在尝试访问密钥保管库及其中包含的机密。 | 初始访问、发现 | Low |
2022 年 5 月
5 月的更新包括以下内容:
服务器计划的多云设置现已可在连接器级别使用
现在,多云中服务器Defender连接器级设置。
新的连接器级别设置为每个连接器的定价和自动预配配置提供了独立于订阅的粒度选择。
默认情况下,连接器级别(Azure Arc、MDE 和漏洞评估)中提供的所有自动预配组件都已启用,新配置支持 Plan 1 和计划 2 定价层。
UI 中的更新包括对所选定价层和所需配置的组件的反射。
对漏洞评估的更改
容器的Defender现在显示具有中低严重性且不可修补的漏洞。
此更新现在会显示中低严重级别的漏洞,无论是否有可用的修补程序。 此更新提供了最大程度的可见性,但仍支持使用提供的禁用规则筛选掉无需考虑的漏洞。
详细了解 漏洞管理
适用于 VM 的 JIT(实时)访问现已可用于 AWS EC2 实例(预览版)
连接 AWS 帐户时,JIT 会自动评估实例安全组的网络配置,并建议哪些实例需要保护其公开的管理端口。 这类似于 JIT 如何与Azure配合使用。 加入不受保护的 EC2 实例时,JIT 将阻止对管理端口的公共访问,并仅在有限时间内通过授权请求来开启这些端口。
使用 CLI 为 AKS 群集添加和删除Defender传感器
容器Defender需要 Defender 代理来提供运行时保护并从节点收集信号。 现在可以使用Azure CLI添加并删除 AKS 群集的 Defender 代理。
Note
此选项包含在 Azure CLI 3.7 及更高版本中。
2022 年 4 月
4 月的更新包括:
- 服务器计划的新Defender
- 自定义建议重定位
- 将警报流式传输到 Splunk 和 QRadar 的 PowerShell 脚本
- 已弃用Azure Cache for Redis建议
- 存储Microsoft Defender的新警报变体(预览版)用于检测敏感数据的泄露
- 使用 IP 地址信誉扩充的容器扫描警报标题
- 查看与安全警报相关的活动日志
服务器计划的新Defender
服务器Microsoft Defender现在以两个增量计划提供:
- 服务器计划 2 的Defender,以前是服务器Defender
- Defender服务器计划 1,仅提供对Microsoft Defender for Endpoint的支持
尽管服务器计划 2 Defender继续提供对云和本地工作负载的威胁和漏洞的保护,但服务器计划 1 Defender仅提供终结点保护,由本机集成的终结点Defender提供支持。 详细了解 Server 计划的 Defender。
如果一直对服务器使用 Defender,直到现在不需要任何操作。
此外,Defender for Cloud还开始逐步支持适用于 Windows Server 2012 R2 和 2016 的 Endpoint 统一代理的 Defender。 Defender服务器计划 1 将新的统一代理部署到 Windows Server 2012 R2 和 2016 工作负荷。
自定义建议重定位
自定义建议是由用户创建的,对安全功能分数没有任何影响。 现可在“所有建议”选项卡下找到自定义建议。
使用新的“建议类型”筛选器查找自定义建议。
在创建自定义安全计划和策略中了解详细信息。
用于将警报流式传输到 Splunk 和 IBM QRadar 的 PowerShell 脚本
建议使用事件中心和内置连接器将安全警报导出到 Splunk 和 IBM QRadar。 现在,可以使用 PowerShell 脚本设置导出订阅或租户的安全警报所需的Azure资源。
只需下载并运行 PowerShell 脚本。 提供环境的一些详细信息后,脚本会为你配置资源。 然后,该脚本会生成你在 SIEM 平台中用于完成集成的输出。
若要了解详细信息,请参阅将警报流式传输到 Splunk 和 QRadar。
弃用了Azure Cache for Redis建议
建议Azure Cache for Redis should reside within a virtual network (预览版)已弃用。 我们更改了保护Azure Cache for Redis实例的指导。 建议使用专用终结点来限制对Azure Cache for Redis实例(而不是虚拟网络)的访问。
用于存储Microsoft Defender的新警报变体(预览版)用于检测敏感数据的泄露
当威胁参与者尝试扫描和公开、成功或不配置错误、公开打开的存储容器以尝试泄露敏感信息时,Microsoft Defender会通知你。
为了更快地进行会审和响应时间,当可能发生潜在敏感数据外泄时,我们发布了现有 Publicly accessible storage containers have been exposed 警报的新变体。
如果成功发现一个或多个公开开放的存储容器,而且容器的名称在统计上很少被公开,这表明容器可能包含敏感信息,则此时将以 Publicly accessible storage containers with potentially sensitive data have been exposed 严重性级别触发新警报 High。
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
|
预览版 - 公开了潜在敏感数据的可公开存储容器 (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
有人扫描了你的Azure 存储帐户,并公开了允许公共访问的容器。 一个或多个公开的容器具有指示它们可能包含敏感数据的名称。 这通常表示威胁参与者正在扫描可能包含敏感数据的未配置公共可访问的存储容器的侦查。 在威胁执行组件成功发现容器后,它们可能会通过泄露数据来继续。 ✔ Azure Blob 存储 ✖ Azure 文件存储 ✖ Azure Data Lake Storage Gen2 |
Collection | High |
使用 IP 地址信誉扩充的容器扫描警报标题
IP 地址的信誉可以表明扫描活动是来自已知的威胁参与者,还是来自使用 Tor 网络隐藏其身份的参与者。 这两个指标都表明存在恶意意图。 IP 地址的信誉由Microsoft威胁情报提供。
通过将 IP 地址的信誉添加到警报标题,可以快速评估参与者意图的方法,从而评估威胁的严重性。
以下警报将包括此信息:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
例如,添加到 Publicly accessible storage containers have been exposed 警报标题的信息将如下所示:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
存储Microsoft Defender的所有警报将继续在警报的“相关实体”部分下的 IP 实体中包含威胁情报信息。
查看与安全警报相关的活动日志
作为评估安全警报所要执行的操作的一部分,可以在检查资源上下文中找到相关的平台日志,以获取有关受影响资源的上下文。 Microsoft Defender for Cloud标识警报后一天内的平台日志。
平台日志可帮助你评估安全威胁,并确定可以采取的步骤来缓解已识别的风险。
2022 年 3 月
3 月的更新包括:
- 适用于 AWS 和 GCP 环境的安全评分的全球可用性
- 已弃用安装网络流量数据收集代理的建议
- 容器
Defender现在可以扫描Windows映像(预览版) 存储Microsoft Defender(预览版) - 通过警报配置电子邮件通知设置
- 已弃用预览版警报:ARM.MCAS_ActivityFromAnonymousIPAddresses
- 已将“应修正容器安全配置中的漏洞”建议从安全分数移到最佳做法
- 已弃用使用服务主体来保护订阅的建议
- 已将 ISO 27001 的旧版实现替换为新的 ISO 27001:2013 计划
- 已弃用Microsoft Defender for IoT设备建议
- 已弃用Microsoft Defender for IoT设备警报
- 面向 AWS 和 GCP 的态势管理和威胁防护已发布,现已正式发布 (GA)
- ACR 中Windows图像的Registry 扫描增加了对国家云的支持
适用于 AWS 和 GCP 环境的安全评分的全球可用性
Microsoft Defender for Cloud提供的云安全状况管理功能现已在安全功能分数中增加了对 AWS 和 GCP 环境的支持。
企业现在可以跨各种环境(例如Azure、AWS 和 GCP)查看其整体安全状况。
“安全评分”页已替换为“安全状况”仪表板。 通过“安全状况”仪表板,可以查看所有环境的总体综合分数,或查看基于所选环境的任意组合的安全状况明细。
“建议”页面也经过重新设计,以提供新功能,例如:云环境选择、基于内容(资源组、AWS 账户、GCP 项目等)的高级筛选器、改进的低分辨率用户界面、支持资源图中的打开查询等。 可以了解有关总体安全状况和安全建议的详细信息。
已弃用安装网络流量数据收集代理的建议
路线图和优先级的变更消除了对网络流量数据收集代理的需要。 已弃用以下两项建议及其相关策略。
| Recommendation | Description | Severity |
|---|---|---|
| 应在 Linux 虚拟机上安装网络流量数据收集代理 | Defender for Cloud使用 Microsoft Dependency Agent 从Azure虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | Medium |
| 应在Windows虚拟机上安装网络流量数据收集代理 | Defender for Cloud使用 Microsoft Dependency Agent 从Azure虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | Medium |
容器Defender现在可以扫描Windows映像中的漏洞(预览版)
容器映像扫描Defender现在支持托管在Azure 容器注册表中的Windows映像。 此功能在预览阶段是免费的,在正式发布时会产生费用。
在 使用容器Microsoft Defender来扫描映像是否存在漏洞的详细信息。
存储Microsoft Defender的新警报(预览版)
为了扩展存储Microsoft Defender提供的威胁防护,我们添加了新的预览警报。
威胁参与者使用应用程序和工具来发现和访问存储帐户。 Microsoft Defender存储会检测这些应用程序和工具,以便阻止它们并修正姿势。
此预览警报称为 Access from a suspicious application。 警报仅与Azure Blob 存储和 ADLS Gen2 相关。
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
| 预览 - 来自可疑应用程序的访问 (Storage.Blob_SuspiciousApp) |
指示可疑应用程序已通过身份验证成功访问存储帐户的容器。 这可能表示攻击者获取了访问该帐户所必要的凭据,并在利用该帐户。 这也可能是在你的组织中进行渗透测试的一个迹象。 适用于:Azure Blob 存储、Azure Data Lake Storage Gen2 |
初始访问 | Medium |
通过警报配置电子邮件通知设置
警报用户界面 (UI) 中添加了一个新部分,可让你查看和编辑谁将接收针对当前订阅触发的警报的电子邮件通知。
了解如何针对安全警报配置电子邮件通知。
已弃用预览版警报:ARM.MCAS_ActivityFromAnonymousIPAddresses
以下预览版警报已弃用:
| 警报名称 | Description |
|---|---|
| 预览 - 来自有风险的 IP 地址的活动 (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
检测到来自已被标识为匿名代理 IP 地址的 IP 地址的用户活动。 这些代理被想要隐藏其设备 IP 地址的用户使用,并可能用于恶意目的。 此项检测使用可以减少误报的机器学习算法,例如在组织中被用户广泛使用的错误标记的 IP 地址。 需要有效的Microsoft Defender for Cloud Apps许可证。 |
创建了一个新警报,该警报提供此信息并将它添加到其中。 此外,较新的警报(ARM_OperationFromSuspiciousIP,ARM_OperationFromSuspiciousProxyIP)不需要Microsoft Defender for Cloud Apps许可证(以前称为Microsoft Cloud应用安全)。
请参阅有关 资源管理器 的更多警报。
已将“应修正容器安全配置中的漏洞”建议从安全分数移到最佳做法
建议 Vulnerabilities in container security configurations should be remediated 已从“安全分数”部分移到“最佳做法”部分。
在当前用户体验中,仅当所有符合性检查都通过时才提供分数。 大多数客户都难以满足所有必需的检查要求。 我们正在努力改进此建议的体验,一旦发布后,建议将被移回安全分数。
已弃用使用服务主体来保护订阅的建议
随着组织不再使用管理证书来管理其订阅,我们最近宣布停用云服务(经典)部署模型,我们弃用了以下Defender for Cloud建议及其相关策略:
| Recommendation | Description | Severity |
|---|---|---|
| 应使用服务主体(而不是管理证书)来保护你的订阅 | 通过管理证书,任何使用它们进行身份验证的人员都可管理与它们关联的订阅。 若要更安全地管理订阅,建议使用具有资源管理器的服务主体来限制证书泄露时爆炸半径。 这也可以使资源管理自动进行。 (相关策略:应使用服务主体(而不是管理证书)来保护你的订阅) |
Medium |
了解详细信息:
- 云服务(经典)部署模型将于 2024 年 8 月 31 日停用
Azure 云服务 (经典) - 经典 VM 体系结构 Microsoft Azure的Workflow - 包括 RDFE 工作流基础知识
已将 ISO 27001 的旧版实现替换为新的 ISO 27001:2013 计划
ISO 27001 的旧实现已从Defender for Cloud的法规合规性仪表板中删除。 如果要跟踪 ISO 27001 符合Defender for Cloud,请为所有相关管理组或订阅加入新的 ISO 27001:2013 标准。
弃用Microsoft Defender for IoT设备建议
Microsoft Defender for IoT设备建议在Microsoft Defender for Cloud中不再可见。 这些建议仍可在Microsoft Defender for IoT的建议页上使用。
以下建议已弃用:
| 评估密钥 | Recommendations |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b:IoT 设备 | 设备上有开放端口 |
| ba975338-f956-41e7-a9f2-7614832d382d:IoT 设备 | 在输入链中发现了宽松的防火墙规则 |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c:IoT 设备 | 在其中一个链中找到了宽容防火墙策略 |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a:IoT 设备 | 在输出链中发现了宽松的防火墙规则 |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876:IoT 设备 | 操作系统基线验证失败 |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879:IoT 设备 | 代理正在发送未充分利用的消息 |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5:IoT 设备 | 需要进行 TLS 加密套件升级 |
| d74d2738-2485-4103-9919-69c7e63776ec:IoT 设备 |
Auditd 进程停止发送事件 |
已弃用Microsoft Defender for IoT设备警报
ioT 设备警报的所有Microsoft Defender在Microsoft Defender for Cloud中不再可见。 这些警报仍可在Microsoft Defender for IoT的“警报”页和Microsoft Sentinel中使用。
面向 AWS 和 GCP 的态势管理和威胁防护已发布,现已正式发布 (GA)
Defender for Cloud的 CSPM 功能扩展到 AWS 和 GCP 资源。 该无代理计划根据安全评分中包含的特定于云的安全建议评估多云资源。 将使用内置标准评估资源的合规性。 Defender for Cloud的资产清单页是一项启用了多云的功能,可用于管理 AWS 资源以及Azure资源。
Microsoft Defender for Servers为 AWS 和 GCP 中的计算实例带来威胁检测和高级防御。 Server 计划的Defender包括用于Microsoft Defender for Endpoint、漏洞评估扫描等的集成许可证。 了解虚拟机和服务器支持的所有功能。 利用自动加入功能,可以轻松连接在你的环境中发现的任何现有的或新的计算实例。
了解如何使用 Microsoft Defender for Cloud 保护和连接 AWS 环境和 GCP 组织。
ACR 中Windows映像的注册表扫描添加了对国家云的支持
世纪互联运营的Azure 政府和Microsoft Azure现在支持Windows映像的注册表扫描。 此新增功能目前处于预览状态。
详细了解 功能的可用性。
2022 年 2 月
2 月的更新包括:
- 已启用 Arc 的 Kubernetes 群集的 Kubernetes 工作负载保护
- 用于 GCP 计算实例的本机 CSPM for GCP 和威胁防护
- Microsoft Defender预览版发布的Azure Cosmos DB计划
- 针对 Google Kubernetes Engine (GKE) 群集的威胁防护
已启用 Arc 的 Kubernetes 群集的 Kubernetes 工作负载保护
对于以前仅在 Azure Kubernetes 服务 中运行的受保护的 Kubernetes 工作负荷的容器,Defender。 我们现在扩展了保护范围,包括启用了Azure Arc的 Kubernetes 群集。
了解如何为已启用 AKS 和Azure Arc的 Kubernetes 群集设置 Kubernetes 工作负载保护。
用于 GCP 计算实例的本机 CSPM for GCP 和威胁防护
通过新的 GCP 环境自动载入,可以使用 Microsoft Defender for Cloud 保护 GCP 工作负荷。 Defender for Cloud使用以下计划保护资源:
Defender for Cloud的 CSPM 功能扩展到 GCP 资源。 此无代理计划根据特定于 GCP 的安全建议(随Defender for Cloud一起提供)评估 GCP 资源。 GCP 建议包含在你的安全分数中,并将评估资源是否符合内置 GCP CIS 标准。 Defender for Cloud的资产清单页是一项支持多云的功能,可帮助你跨 Azure、AWS 和 GCP 管理资源。
Microsoft Defender for Servers为 GCP 计算实例带来威胁检测和高级防御。 此计划包括用于Microsoft Defender for Endpoint的集成许可证、漏洞评估扫描等。
有关可用功能的完整列表,请参阅虚拟机和服务器支持的功能。 利用自动加入功能,可以轻松连接在你的环境中发现的任何现有的和新的计算实例。
了解如何使用 Microsoft Defender for Cloud 保护和连接 GCP 项目。
Microsoft Defender预览版发布的Azure Cosmos DB计划
我们已扩展Microsoft Defender for Cloud的数据库覆盖范围。 现在可以为Azure Cosmos DB数据库启用保护。
Azure Cosmos DB的Microsoft Defender是一个Azure本机安全层,可检测Azure Cosmos DB帐户中数据库的任何尝试。 Microsoft Defender,Azure Cosmos DB会根据Microsoft威胁情报、可疑访问模式以及通过泄露的标识或恶意内部人员来检测潜在的 SQL 注入、已知的不良参与者。
它持续分析Azure Cosmos DB服务生成的客户数据流。
当检测到潜在的恶意活动时,将生成安全警报。 这些警报显示在Microsoft Defender for Cloud中,以及可疑活动的详细信息以及相关的调查步骤、修正操作和安全建议。
启用服务时,数据库性能没有影响,因为Azure Cosmos DB Defender无法访问Azure Cosmos DB帐户数据。
有关详细信息,请查看 Microsoft Defender Azure Cosmos DB 的Overview。
我们还将引入新的数据库安全性启用体验。 现在可以在订阅上启用Microsoft Defender for Cloud保护,以保护所有数据库类型,例如,Azure Cosmos DB、Azure SQL 数据库、计算机上的Azure SQL服务器和Microsoft Defender通过一个启用过程为开源关系数据库。 可以通过配置计划来包括或排除特定资源类型。
了解如何在订阅级别启用数据库安全性。
针对 Google Kubernetes Engine (GKE) 群集的威胁防护
在最近发布的 GCP 的 CSPM 和 GCP 计算实例的威胁防护之后,容器Microsoft Defender已将其 Kubernetes 威胁防护、行为分析和内置允许控制策略扩展到 Google 的 Kubernetes 引擎(GKE)标准群集。 通过我们的自动加入功能,可轻松将任何现有或新的 GKE 标准群集加入环境。 有关可用功能的完整列表,请查看 Container security with Microsoft Defender for Cloud。
2022 年 1 月
一月的更新包括:
- Microsoft Defender,资源管理器更新了新的警报,并更强调映射到 MITRE ATT 和的高风险操作CK® Matrix
建议在工作区Microsoft Defender(预览版) - Autoprovision Log Analytics 代理到启用Azure Arc的计算机(预览版)
- 已弃用有关对 SQL 数据库中的敏感数据进行分类的建议
- 与可疑域通信警报已扩展为包括已知的 Log4Shell 相关域
- 已将“复制警报 JSON”按钮添加到安全警报详细信息窗格
- 已重命名两条建议
- 已弃用“Kubernetes 群集容器应只侦听允许的端口”策略
- 添加了“活动警报”工作簿
- 已将“系统更新”建议添加到政府云
Microsoft Defender,资源管理器更新了新的警报,并更强调映射到 MITRE ATT 和的高风险操作CK® 矩阵
云管理层是连接到所有云资源的关键服务。 因此,它也是攻击者的潜在目标。 建议安全运营团队密切监视资源管理层。
Microsoft Defender,资源管理器会自动监视组织中的资源管理操作,无论是通过 Azure 门户、Azure REST API、Azure CLI或其他Azure编程客户端来执行的。 Defender for Cloud运行高级安全分析来检测有关可疑活动的威胁和警报。
该计划的保护极大地增强了组织对威胁参与者攻击的复原能力,并显著增加了受Defender for Cloud保护的Azure资源的数量。
2020年12月,我们推出了资源管理器 Defender预览版,2021年5月计划正式发布。
通过此更新,我们全面修改了资源管理器计划Microsoft Defender的重点。 更新后的计划包括许多注重于识别以可疑方式调用高风险操作的新警报。 这些新警报针对基于云的技术的完整 MITRE ATT&CK® 矩阵中的攻击提供广泛的监视。
此矩阵涵盖可能面向组织资源的威胁参与者的潜在意图范围: 初始访问、执行、持久性、特权升级、防御逃避、凭据访问、发现、横向移动、集合、外泄和影响。
此Defender计划的新警报涵盖这些意图,如下表所示。
Tip
这些警报也会显示在警报参考页中。
| 警报(警报类型) | Description | MITRE 策略(意图) | Severity |
|---|---|---|---|
| 检测到对高风险“初始访问”操作的可疑调用(预览版) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender,资源管理器标识了对订阅中高风险操作的可疑调用,这可能表示尝试访问受限资源。 所发现操作的设计意图是为了让管理员能够有效地访问其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来获取对你的环境中的受限资源的初始访问。 这可能表示该帐户已泄露并且正在被恶意使用。 | 初始访问 | Medium |
| 检测到对高风险“执行”操作的可疑调用(预览版) (ARM_AnomalousOperation.Execution) |
Microsoft Defender,资源管理器在订阅中的计算机上发现了对高风险操作的可疑调用,这可能表示尝试执行代码。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来访问受限凭据并泄露你的环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。 | Execution | Medium |
| 检测到对高风险“持久保留”操作的可疑调用(预览版) (ARM_AnomalousOperation.Persistence) |
资源管理器 Microsoft Defender标识了对订阅中高风险操作的可疑调用,这可能表示尝试建立持久性。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作在你的环境中建立持久性。 这可能表示该帐户已泄露并且正在被恶意使用。 | Persistence | Medium |
| 检测到对高风险“特权提升”操作的可疑调用(预览版) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender,资源管理器识别了对订阅中高风险操作的可疑调用,这可能表示尝试升级特权。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作在泄露你的环境中的资源时提升特权。 这可能表示该帐户已泄露并且正在被恶意使用。 | 特权提升 | Medium |
| 检测到对高风险“防御规避”操作的可疑调用(预览版) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender,资源管理器识别了对订阅中高风险操作的可疑调用,这可能表示试图逃避防御。 所发现操作的设计意图是为了让管理员能够有效地管理其环境的安全状况。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来避免在泄露你的环境中的资源时被检测到。 这可能表示该帐户已泄露并且正在被恶意使用。 | 防御逃避 | Medium |
| 检测到对高风险“凭据访问”操作的可疑调用(预览版) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender,资源管理器在订阅中发现了对高风险操作的可疑调用,这可能表示尝试访问凭据。 所发现操作的设计意图是为了让管理员能够有效地访问其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来访问受限凭据并泄露你的环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。 | 凭据访问 | Medium |
| 检测到对高风险“横向移动”操作的可疑调用(预览版) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender,资源管理器在订阅中发现了对高风险操作的可疑调用,这可能表示尝试执行横向移动。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁参与者可能会利用此类操作来损害环境中的其他资源。 这可能表示该帐户已泄露并且正在被恶意使用。 | 横向移动 | Medium |
| 检测到对高风险“数据收集”操作的可疑调用(预览版) (ARM_AnomalousOperation.Collection) |
Microsoft Defender,资源管理器识别了对订阅中高风险操作的可疑调用,这可能表示尝试收集数据。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来收集有关你的环境中的资源的敏感数据。 这可能表示该帐户已泄露并且正在被恶意使用。 | Collection | Medium |
| 检测到对高风险“造成影响”操作的可疑调用(预览版) (ARM_AnomalousOperation.Impact) |
Microsoft Defender,资源管理器标识了对订阅中高风险操作的可疑调用,这可能表示尝试的配置更改。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来访问受限凭据并泄露你的环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。 | Impact | Medium |
此外,此计划中的以下两个警报已推出预览版:
| 警报(警报类型) | Description | MITRE 策略(意图) | Severity |
|---|---|---|---|
| 来自可疑 IP 地址的 Azure 资源管理器 操作 (ARM_OperationFromSuspiciousIP) |
Microsoft Defender,资源管理器检测到 IP 地址中的操作,该 IP 地址在威胁情报源中标记为可疑。 | Execution | Medium |
| 来自可疑代理 IP 地址的 Azure 资源管理器 操作 (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender,资源管理器从与代理服务(如 TOR)关联的 IP 地址检测到资源管理操作。 虽然这种行为可能是合法的,但经常出现在恶意活动中,在这些恶意活动中,攻击者会试图隐藏其源 IP。 | 防御逃避 | Medium |
有关在工作区上启用Microsoft Defender计划的建议(预览版)
若要从适用于 Server Microsoft Defender>Microsoft Defender 和 Microsoft Defender(适用于计算机上的 SQL)获取的所有安全功能中受益,必须在 both 订阅和工作区级别启用计划。
当计算机位于启用了这些计划之一的订阅中时,你需要为完整保护付费。 但是,如果该计算机在未启用计划 的情况下 向工作区报告,则实际上不会获得这些权益。
我们添加了两项建议,其中突出显示了未启用这些计划的工作区,但有计算机从启用了该计划的订阅向它们报告。
这两条建议都提供自动修正(“修复”操作),它们是:
| Recommendation | Description | Severity |
|---|---|---|
| 应在工作区上启用服务器的 Microsoft Defender | Microsoft Defender服务器为 Windows 和 Linux 计算机带来威胁检测和高级防御。 在订阅上启用此Defender计划,但未在工作区上启用,需要为服务器Microsoft Defender的全部功能付费,但缺少某些权益。 为工作区上的服务器启用Microsoft Defender时,向该工作区报告的所有计算机都将针对服务器Microsoft Defender计费,即使这些计算机处于未启用Defender计划的订阅中也是如此。 除非还为订阅上的服务器启用Microsoft Defender,否则这些计算机将无法利用实时 VM 访问、自适应应用程序控制和Azure资源的网络检测。 有关详细信息, server Microsoft Defender的Overview。 (无相关策略) |
Medium |
| 应在工作区上为 SQL 启用 Microsoft Defender | Microsoft Defender服务器为 Windows 和 Linux 计算机带来威胁检测和高级防御。 在订阅上启用此Defender计划,但未在工作区上启用,需要为服务器Microsoft Defender的全部功能付费,但缺少某些权益。 为工作区上的服务器启用Microsoft Defender时,向该工作区报告的所有计算机都将针对服务器Microsoft Defender计费,即使这些计算机处于未启用Defender计划的订阅中也是如此。 除非还为订阅上的服务器启用Microsoft Defender,否则这些计算机将无法利用实时 VM 访问、自适应应用程序控制和Azure资源的网络检测。 有关详细信息, server Microsoft Defender的Overview。 (无相关策略) |
Medium |
将Log Analytics代理自动预配到启用Azure Arc的计算机(预览版)
Defender for Cloud使用 Log Analytics 代理从计算机收集与安全相关的数据。 该代理读取各种与安全相关的配置和事件日志,并将数据复制到工作区进行分析。
Defender for Cloud的自动预配设置具有每种受支持的扩展类型的切换,包括Log Analytics代理。
在进一步扩展混合云功能时,我们添加了一个选项,用于将Log Analytics代理自动预配到连接到Azure Arc的计算机。
与其他自动预配选项一样,此选项也是在订阅级别配置的。
启用此选项后,系统会提示你指定工作区。
Note
对于此预览版,不能选择由Defender for Cloud创建的默认工作区。 若要确保收到可用于启用Azure Arc的服务器的完整安全功能集,请验证是否已在所选工作区上安装相关的安全解决方案。
已弃用有关对 SQL 数据库中的敏感数据进行分类的建议
我们已删除建议应对 SQL 数据库中的敏感数据进行分类,这是Defender for Cloud如何识别和保护云资源中敏感日期的一部分。
即将对 Microsoft Defender for Cloud 页面进行的更改中出现有关此更改的提前通知。
与可疑域通信警报已扩展为包括已知的 Log4Shell 相关域
以下警报以前仅适用于启用了 DNS 的 Microsoft Defender 计划的组织。
通过此更新,还会针对启用了 Server 的 Microsoft Defender 或 Defender 订阅显示警报计划。
此外,Microsoft威胁情报扩展了已知恶意域的列表,包括与利用与 Log4j 关联的广泛公开漏洞的域。
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
|
与威胁情报识别的可疑域通信 (AzureDNS_ThreatIntelSuspectDomain) |
已通过分析资源中的 DNS 事务并与威胁情报源识别的已知恶意域进行比较,检测到了与可疑域之间的通信。 攻击者会频繁执行与恶意域的通信,这样的通信可能意味着你的资源已遭受入侵。 | 初始访问/持久保留/执行/指挥和控制/恶意利用 | Medium |
已将“复制警报 JSON”按钮添加到安全警报详细信息窗格
为了帮助我们的用户快速与其他人(例如,SOC 分析师、资源所有者和开发人员)共享警报详细信息,我们添加了一项功能,以便通过安全警报详细信息窗格中的一个按钮轻松提取特定警报的所有详细信息。
新的 “复制警报 JSON ”按钮将警报的详细信息(JSON 格式)放入用户的剪贴板。
已重命名两条建议
为了与其他建议名称保持一致,我们重命名了以下两条建议:
有关解决在运行的容器映像中发现的漏洞的建议
- 以前的名称:应修正正在运行的容器映像中的漏洞(由 Qualys 提供支持)
- 新名称:应解决在运行的容器映像中发现的漏洞
为Azure 应用服务启用诊断日志的建议
- 以前的名称:应在应用服务中启用诊断日志
- 新名称:应启用应用服务中的诊断日志
已弃用“Kubernetes 群集容器应只侦听允许的端口”策略
我们已弃用“Kubernetes 群集容器应只侦听允许的端口”建议。
| 策略名称 | Description | Effect(s) | Version |
|---|---|---|---|
| Kubernetes 群集容器应只侦听允许的端口 | 将容器限制为只侦听允许的端口,以确保对 Kubernetes 群集进行的访问安全。 此策略通常用于 Kubernetes 服务(AKS),以及已启用 AKS 引擎和Azure Arc Kubernetes 的预览版。 有关详细信息,请参阅适用于 Kubernetes 群集的 Understand Azure Policy。 | 审核、拒绝、已禁用 | 6.1.2 |
“服务应只侦听允许的端口”建议应该用于限制应用程序向 Internet 公开的端口。
添加了“活动警报”工作簿
为了帮助我们的用户了解其环境受到的活动威胁,并在修正过程中确定活动警报的优先级,我们添加了“活动警报”工作簿。
活动警报工作簿允许用户按严重性、类型、标记、MITRE ATT&CK 策略和位置查看其聚合警报的统一仪表板。 在使用“活动警报”工作簿中了解详细信息。
已将“系统更新”建议添加到政府云
现在会在所有政府云上提供“应在计算机上安装系统更新”建议。
此项更改可能会影响政府云订阅的安全评分。 我们预计此项更改会导致评分降低,但在某些情况下,包含该建议也可能会提高评分。
2021 年 12 月
12 月的更新包括:
- Microsoft Defender正式发布容器计划(正式发布)
- 正式发布存储Microsoft Defender的新警报(正式发布)
- 存储Microsoft Defender警报
- 从网络层警报中删除了“PortSweeping”警报
发布正式版容器计划的Microsoft Defender(正式版)
两年前,我们为容器注册表引入了 Defender 和 Defender作为Microsoft Defender for Cloud内Azure Defender产品/服务的一部分。
随着容器的 Microsoft Defender 发布,我们已合并了这两个现有的Defender计划。
新计划:
- 合并两个现有计划的功能 - Kubernetes 群集的威胁检测和存储在容器注册表中的映像的漏洞评估
- 引入新的和改进的功能 - 包括多云支持、通过 60 多种新的 Kubernetes 感知分析进行主机级威胁检测以及用于运行映像的漏洞评估
- 引入 Kubernetes 本机大规模加入 - 默认情况下,当你启用计划时,所有相关组件将被配置为自动部署
在此版本中,Kubernetes 的 Defender的可用性和呈现以及容器注册表Defender已发生更改,如下所示:
- 新订阅 - 之前的两个容器计划不再可用
- 现有订阅 - 无论它们出现在Azure门户中的位置, 计划显示为
Deprecated ,并说明如何升级到较新的计划< 容器注册表和 Kubernetes 计划的Defender sb1>Defender显示“已弃用”和升级信息。
新计划在 2021 年 12 月可免费使用。 有关从旧计划到容器Defender计费的潜在更改,以及有关此计划引入的好处的详细信息,请参阅 容器的简介Microsoft Defender。
有关详细信息,请参阅:
- 容器Microsoft Defender的Overview
- 用于容器的 Enable Microsoft Defender
- 适用于容器的引入Microsoft Defender - Microsoft技术社区
- 用于容器的 Microsoft Defender |字段 #3 中的Defender for Cloud - YouTube
针对正式版发布的存储Microsoft Defender的新警报(正式发布)
威胁参与者使用工具和脚本来扫描公开打开的容器,以便找到带有敏感数据的错误配置的已打开存储容器。
Microsoft Defender存储会检测这些扫描程序,以便阻止扫描程序并修正姿势。
检测到此情况的预览警报称为“公共存储容器的匿名扫描”。 为了更清楚地了解发现的可疑事件,我们已将这分为 两 个新警报。 这些警报仅与Azure Blob 存储相关。
我们改进了检测逻辑,更新了警报元数据,并更改了警报名称和警报类型。
以下是新警报:
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
| 成功发现可公开访问的存储容器 (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
在过去一小时内,通过扫描脚本或工具成功发现了存储帐户中公开打开的存储容器。 这通常表示存在侦查攻击,其中威胁参与者尝试通过猜测容器名称来列出 blob,以便找到其中包含敏感数据的配置错误的已打开存储容器。 威胁参与者可能使用自己的脚本或使用 Microburst 等已知扫描工具扫描公开打开的容器。 ✔ Azure Blob 存储 ✖ Azure 文件存储 ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
| 未成功扫描可公开访问的存储容器 (Storage.Blob_OpenContainersScanning.FailedAttempt) |
在过去一小时内,进行了一系列扫描公开打开的存储容器的失败尝试。 这通常表示存在侦查攻击,其中威胁参与者尝试通过猜测容器名称来列出 blob,以便找到其中包含敏感数据的配置错误的已打开存储容器。 威胁参与者可能使用自己的脚本或使用 Microburst 等已知扫描工具扫描公开打开的容器。 ✔ Azure Blob 存储 ✖ Azure 文件存储 ✖ Azure Data Lake Storage Gen2 |
Collection | Low |
有关详细信息,请参阅:
对存储Microsoft Defender警报的改进
初始访问警报现在提高了准确性并提供了更多数据来支持调查。
威胁参与者在初始访问中使用各种技术来获取网络中的据点。 存储警报中的两个
如果过去为这些警报 配置了自动化 或定义了 警报抑制规则 ,请根据这些更改更新它们。
检测来自 Tor 退出节点的访问
来自 Tor 退出节点的访问可能表明威胁参与者试图隐藏其身份。
该警报现在调整为仅针对经过身份验证的访问生成,从而提高了准确度和恶意活动的置信度。 此增强功能降低了良性检出率。
异常模式将具有高严重性,而不太异常的模式将具有中等严重性。
已更新警报名称和说明。 警报类型保持不变。
- 警报名称(旧):从 Tor 退出节点访问存储帐户
- 警报名称(新):来自 Tor 退出节点的经过身份验证的访问
- 警报类型:Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- 说明:存储帐户中的一个或多个存储容器/文件共享已从已知为 Tor 的活动退出节点(匿名代理)的 IP 地址成功访问。 威胁参与者使用 Tor 来使用户难以追踪到他们的活动。 来自 Tor 退出节点的经过身份验证的访问可能表明威胁参与者正试图隐藏他们的身份。 适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2
- MITRE 战术:初始访问
- 严重性:高/中
未经身份验证的异常访问
访问模式的更改可能表明威胁参与者能够利用对存储容器的公共读取访问权限,要么利用访问配置中的错误,要么更改访问权限。
此中等严重性警报现已通过改进的行为逻辑、更高的准确度以及恶意活动的置信度进行了调整。 此增强功能降低了良性检出率。
已更新警报名称和说明。 警报类型保持不变。
- 警报名称(旧):对存储帐户的匿名访问
- 警报名称(新):对存储容器的未经身份验证的异常访问
- 警报类型:Storage.Blob_AnonymousAccessAnomaly
- 说明:访问此存储帐户时没有身份验证,这是常见访问模式的更改。 对此容器的读取访问通常是经过身份验证的。 这可能表明威胁参与者能够利用对此存储帐户中存储容器的公共读取访问。 适用于:Azure Blob 存储
- MITRE 战术:集合
- 严重性:中等
有关详细信息,请参阅:
从网络层警报中删除了“PortSweeping”警报
由于效率低下,以下警报已从我们的网络层警报中删除:
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
|
检测到可能的传出端口扫描活动 (PortSweeping) |
网络流量分析检测到源自 %{Compromised Host} 的可疑传出流量。 此流量可能是端口扫描活动的结果。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 如果此行为是有意的,请注意,执行端口扫描针对Azure服务条款。 如果此行为无意中,则可能意味着资源已泄露。 | Discovery | Medium |
2021 年 11 月
我们的 Ignite 版本包括:
- Azure 安全中心和Azure Defender变为Microsoft Defender for Cloud
- 适用于 Amazon EKS 和 AWS EC2 的本机 CSPM for AWS 和威胁防护
数据敏感度(由Microsoft Purview提供支持)(预览版) - 使用Azure安全基准 v3 进行安全控制评估
- Microsoft Sentinel连接器的可选双向警报同步(正式发布)
将Azure Kubernetes 服务 (AKS)日志推送到 Microsoft Sentinel - 建议映射到 MITRE ATT&CK® 框架 - 已正式发布 (GA)
11 月的其他更改包括:
- Microsoft威胁和漏洞管理添加为漏洞评估解决方案 - 正式发布(GA)
- Microsoft Defender for Endpoint linux 现在受服务器Microsoft Defender支持 - 正式发布 (GA)
- 建议和安全检测结果的快照导出(预览版)
- 漏洞评估解决方案的自动预配已正式发布 (GA)
- 资产清单中的软件清单筛选器已正式发布 (GA)
- 添加到默认计划的新 AKS 安全策略 – 预览版
- 清单中显示本地计算机时应用不同的资源名称模板
Azure 安全中心和Azure Defender成为Microsoft Defender for Cloud
根据 2021 年云状态报告,92% 的组织现已采用多云策略。 在Microsoft,我们的目标是跨环境集中安全性,并帮助安全团队更有效地工作。
Microsoft Defender for Cloud是一种云安全状况管理(CSPM)和云工作负荷保护平台(CWPP)解决方案,可发现云配置中的弱点,有助于增强环境的整体安全态势,并跨多云和混合环境保护工作负荷。
在 Ignite 2019,我们分享了我们的愿景,以创建最完整的方法来保护数字资产,并将 XDR 技术集成到Microsoft Defender品牌下。 将Azure 安全中心 Azure 安全中心和Azure Defender统一到新名称Microsoft Defender for Cloud反映了安全产品/服务的综合功能以及支持任何云平台的能力。
适用于 Amazon EKS 和 AWS EC2 的本机 CSPM for AWS 和威胁防护
新的 环境设置 页提供对管理组、订阅和 AWS 帐户的更可见性和控制。 该页面旨在大规模载入 AWS 帐户:连接 AWS 管理帐户,并自动载入现有帐户和将来的帐户。
添加 AWS 帐户后,Defender for Cloud使用以下任何计划或全部计划保护 AWS 资源:
- Defender for Cloud的 CSPM 功能扩展到 AWS 资源。 此无代理计划根据特定于 AWS 的安全建议来评估 AWS 资源,这些建议包含在安全功能分数中。 还将评估这些资源是否符合特定于 AWS 的内置标准(AWS CIS、AWS PCI DSS 和 AWS 基础安全最佳做法)。 Defender for Cloud的 asset inventory page 是一项支持多云的功能,可帮助管理 AWS 资源以及Azure资源。
- Microsoft Defender for Kubernetes将其容器威胁检测和高级防御扩展到 Amazon EKS Linux 群集。
- Microsoft Defender for Servers为Windows和 Linux EC2 实例带来威胁检测和高级防御。 此计划包括用于Microsoft Defender for Endpoint、安全基线和 OS 级别评估、漏洞评估扫描、自适应应用程序控制(AAC)、文件完整性监视(FIM)等的集成许可证。
详细了解 将 AWS 帐户连接到 Microsoft Defender for Cloud。
按数据敏感度确定安全操作的优先级(由Microsoft Purview提供支持)(预览版)
数据资源仍旧是威胁行动者的热门目标。 因此,安全团队在其云环境中识别、保护敏感数据资源并确定优先级至关重要。
为了应对这一挑战,Microsoft Defender for Cloud现在集成了来自 Microsoft Purview 的敏感度信息。 Microsoft Purview是一种统一的数据治理服务,它提供对多云中数据和本地工作负荷中数据的敏感度的丰富见解。
与Microsoft Purview的集成可将Defender for Cloud的安全可见性从基础结构级别向下扩展到数据,从而为安全团队设置资源和安全活动的优先级。
在按数据敏感性确定安全操作的优先级中了解详细信息。
使用Azure安全基准 v3 扩展了安全控制评估
Azure安全基准支持Defender for Cloud中的安全建议。
Azure安全基准是Microsoft创作 Azure的、基于常见合规性框架的特定于安全性和合规性最佳做法的一组指南。 这一公认的基准建立在 Internet 安全中心 (CIS) 和国家标准与技术研究院 (NIST) 的控制基础上,重点关注以云为中心的安全性。
从 Ignite 2021 开始,Azure安全基准v3在 Defender for Cloud 的法规合规性仪表板中可用并作为受Microsoft Defender for Cloud保护的所有Azure订阅的新默认计划。
v3 的增强功能包括:
以下内容的更细化且可操作的控制指导和简介:
- 安全原则 - 提供有关构建建议基础的总体安全目标的见解。
- Azure指导 - 满足这些目标的技术“操作方法”。
新的控制措施包括 DevOps 安全性,例如威胁建模和软件供应链安全性,以及用于Azure最佳做法的密钥和证书管理。
在 安全基准 Azure中了解详细信息。
Microsoft Sentinel连接器针对正式版发布的可选双向警报同步 (GA)
7月,
将Microsoft Defender for Cloud连接到Microsoft Sentinel时,安全警报的状态将在两个服务之间同步。 例如,当警报在Defender for Cloud中关闭时,该警报也会在Microsoft Sentinel中显示为已关闭。 更改Defender for Cloud中警报的状态不会影响包含已同步Microsoft Sentinel警报的任何 Microsoft Sentinel cidents 的状态,仅影响已同步警报本身的状态。
启用 双向警报同步时会自动将原始Defender for Cloud警报的状态与包含这些警报副本的Microsoft Sentinel事件同步。 例如,当包含Defender for Cloud警报的Microsoft Sentinel事件关闭时,Defender for Cloud将自动关闭相应的原始警报。
在 Connect Azure Defender 警报中了解详细信息,从 Azure 安全中心 和 Stream 警报到 Microsoft Sentinel。
将Azure Kubernetes 服务 (AKS)日志推送到Microsoft Sentinel的新建议
为了进一步增强Defender for Cloud和Microsoft Sentinel的组合值,我们现在将突出显示Azure Kubernetes 服务实例,这些实例不会将日志数据发送到Microsoft Sentinel。
SecOps 团队可以直接从建议详细信息页中选择相关的Microsoft Sentinel工作区,并立即启用原始日志流式传输。 两个产品之间的这种无缝连接使得安全团队可以轻松确保日志记录全面覆盖其各个工作负载,以随时掌控其整个环境。
新建议“应启用 Kubernetes 服务中的诊断日志”提供“修复”选项以加快修正速度。
我们还增强了“应启用 SQL 服务器上的审核”建议,并使用相同的Microsoft Sentinel流式处理功能。
建议映射到 MITRE ATT&CK® 框架 - 已正式发布 (GA)
我们增强了Defender for Cloud的安全建议,以显示他们在 MITRE ATT 和CK® 框架。 这是全球都可访问的知识库,它基于真实观察结果显示威胁行动者使用的战术和技术,提供更多背景信息来了解对你的环境提出的建议所对应的风险。
无论你在哪里访问建议信息,都将找到这些战术:
Azure Resource Graph查询结果 相关建议包括 MITRE ATT&CK® 战术和技术。建议详细信息页面显示了所有相关建议的对应信息:
0> Defender for Cloud 筛选器,根据相关策略选择建议:
若要了解详细信息,请参阅查看安全建议。
Microsoft威胁和漏洞管理添加为漏洞评估解决方案 - 正式发布(正式版)
10月,
使用 reat 和漏洞管理通过启用 与启用了 Microsoft Defender for Endpoint 集成,无需进行其他代理或定期扫描,即可发现漏洞和错误配置。 威胁和漏洞管理会根据组织中的威胁形势和检测情况对漏洞进行优先级排序。
使用安全建议“应在虚拟机上启用漏洞评估解决方案”来手动发现威胁和漏洞管理针对支持的计算机检测到的漏洞。
若要在现有和新计算机上自动发现漏洞,而无需手动修正建议,请参阅现在可以自动启用漏洞评估解决方案(预览版)。
有关详细信息,Microsoft Defender for Endpoint的威胁和漏洞管理。
Microsoft Defender for Servers 现在支持适用于 Linux 的 Microsoft Defender for Endpoint - 正式发布(正式版)
今年8月,我们宣布预览版支持,用于将适用于 Linux 的 Endpoint for Linux 的 Defender 传感器部署到支持的 Linux 计算机。 此功能现已正式发布 (GA)。
server 的 Microsoft Defender 包括用于 Microsoft Defender for Endpoint 的集成许可证。 两者共同提供全面的终结点检测和响应 (EDR) 功能。
当终结点Defender检测到威胁时,它会触发警报。 警报显示在Defender for Cloud中。 从Defender for Cloud,还可以透视到 Endpoint 控制台的Defender,并执行详细调查以发现攻击的范围。
在
建议和安全检测结果的快照导出(预览版)
Defender for Cloud生成详细的安全警报和建议。 可以通过门户或编程工具查看它们。 你可能还需要部分或全部导出此信息,以使用环境中的其他监视工具进行跟踪。
Defender for Cloud的连续导出功能允许完全自定义将导出,where将导出。 有关详细信息,连续导出Microsoft Defender for Cloud数据。
尽管该功能称为 连续,但还可以选择导出每周快照。 到目前为止,这些每周快照仅限用于保护评分与合规性数据。 我们添加了导出建议和安全检测结果的功能。
漏洞评估解决方案的自动预配已正式发布 (GA)
10月,我们宣布将漏洞评估解决方案添加到Defender for Cloud的自动预配页面。 这与Azure虚拟机和Azure Arc受 server Azure Defender 保护的订阅上的虚拟机相关。 此功能现已正式发布 (GA)。
如果启用了
- (NEW)Microsoft Defender for Endpoint Microsoft威胁和漏洞管理模块(请参阅发行说明)
- 集成 Qualys 代理
所选解决方案将在受支持的计算机上自动启用。
请参阅为计算机自动配置漏洞评估以了解详细信息。
资产清单中的软件清单筛选器已正式发布 (GA)
10 月,我们宣布了资产清单页的新筛选器,以选择运行特定软件的计算机,甚至指定感兴趣的版本。 此功能现已正式发布 (GA)。
可以在 Azure Resource Graph Explorer 中查询软件清单数据。
若要使用这些功能,需要启用 与 Microsoft Defender for Endpoint 集成。
有关完整详细信息(包括用于Azure Resource Graph的示例 Kusto 查询),请参阅 Access 软件清单。
添加到默认计划的新 AKS 安全策略
为了确保 Kubernetes 工作负载默认安全,Defender for Cloud包括 Kubernetes 级别策略和强化建议,包括使用 Kubernetes 允许控制的强制选项。
作为此项目的一部分,我们添加了一个策略和建议(默认已禁用),用于在 Kubernetes 群集上进行门控部署。 该策略处于默认计划中,但仅适用于注册相关预览版的组织。
你可以放心地忽略这些策略和建议(“Kubernetes 群集应限制易受攻击映像的部署”),并且不会对环境造成任何影响。
如果想要参与预览版,则需要是预览圈的成员。 如果还没有成员, 请在此处提交请求。 预览开始时,我们会通知成员。
清单中显示本地计算机时应用不同的资源名称模板
为了改进 资产清单中资源的呈现,我们已从模板中删除了用于命名本地计算机的“source-computer-IP”元素。
-
以前的格式:
machine-name_source-computer-id_VMUUID -
从此更新中:
machine-name_VMUUID
2021 年 10 月
10月更新包括:
- Microsoft威胁和漏洞管理已添加为漏洞评估解决方案(预览版)
- 现在可以自动启用漏洞评估解决方案(预览版)
- 资产清单中新增的软件清单过滤器(预览版)
- 将某些警报类型的前缀从“ARM_”更改为“VM_”
- 对 Kubernetes 群集安全建议逻辑的更改
- 建议详细信息页现在显示相关建议
Kubernetes Azure Defender(预览版)
Microsoft威胁和漏洞管理添加为漏洞评估解决方案(预览版)
我们扩展了 Server Azure Defender 与 Microsoft Defender for Endpoint 之间的集成,以支持计算机的新漏洞评估提供程序:Microsoft威胁和漏洞管理。
使用 reat 和漏洞管理通过启用 与启用了 Microsoft Defender for Endpoint 集成,无需进行其他代理或定期扫描,即可发现漏洞和错误配置。 威胁和漏洞管理会根据组织中的威胁形势和检测情况对漏洞进行优先级排序。
使用安全建议“应在虚拟机上启用漏洞评估解决方案”来手动发现威胁和漏洞管理针对支持的计算机检测到的漏洞。
若要在现有和新计算机上自动发现漏洞,而无需手动修正建议,请参阅现在可以自动启用漏洞评估解决方案(预览版)。
有关详细信息,Microsoft Defender for Endpoint的威胁和漏洞管理。
现在可以自动启用漏洞评估解决方案(预览版)
安全中心的自动预配页面现在包含用于自动启用漏洞评估解决方案的选项,用于Azure虚拟机和Azure Arc受 server Azure Defender 保护的订阅上的虚拟机。
如果启用了
- (NEW)Microsoft Defender for Endpoint Microsoft威胁和漏洞管理模块(请参阅发行说明)
- 集成 Qualys 代理
所选解决方案将在受支持的计算机上自动启用。
请参阅为计算机自动配置漏洞评估以了解详细信息。
资产清单中新增的软件清单过滤器(预览版)
资产清单页现在包含一个筛选器,用于选择运行特定软件的计算机,甚至指定感兴趣的版本。
此外,还可以在 Azure Resource Graph Explorer 中查询软件清单数据。
若要使用这些新功能,需要启用 与 Microsoft Defender for Endpoint 集成。
有关完整详细信息(包括用于Azure Resource Graph的示例 Kusto 查询),请参阅 Access 软件清单。
将某些警报类型的前缀从“ARM_”更改为“VM_”
2021年7月,我们宣布对资源管理器警报Azure Defender进行重组
在重组Defender计划期间,我们已将资源管理器的警报从
通过此更新,我们更改了这些警报的前缀以匹配此重新分配,将“ARM_”替换为“VM_”,如下表所示:
| 原始名称 | 从此更改中 |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
详细了解 server Azure Defender for 资源管理器 和 Azure Defender 计划。
对 Kubernetes 群集安全建议逻辑的更改
建议“Kubernetes 群集不应使用默认命名空间”防止对一系列资源类型使用默认命名空间。 已删除此建议中包含的两种资源类型:ConfigMap 和 Secret。
在 Kubernetes 群集中详细了解此建议并强化 Kubernetes 群集Azure Policy。
建议详细信息页现在显示相关建议
为了阐明不同建议之间的关系,我们向许多建议的详细信息页添加了 “相关建议 ”区域。
这些页面上显示的三种关系类型如下:
- 先决条件 - 在所选建议之前必须完成的建议
- 替代 方法 - 提供另一种实现所选建议目标的方法的另一种建议
- 从属 - 所选建议是先决条件的建议
对于每条相关建议,“受影响的资源”列中会显示不正常资源的数量。
Tip
如果相关建议为灰显,则其依赖项尚未完成,因此不可用。
相关建议的示例:
安全中心会检查计算机是否具有受支持的漏洞评估解决方案:
应在虚拟机上启用漏洞评估解决方案如果找到解决方案,你将收到有关已发现漏洞的通知:
应修正虚拟机中的漏洞
显然,除非安全中心找到受支持的漏洞评估解决方案,否则无法通知你已发现的漏洞。
Therefore:
- 建议 1 是建议 2 的必备项
- 建议 2 取决于建议 1
适用于 Kubernetes 的 Azure Defender 的新警报(预览版)
为了扩展 Kubernetes Azure Defender提供的威胁防护,我们添加了两个预览警报。
这些警报基于新的机器学习模型和 Kubernetes 高级分析生成,根据群集中以前的活动以及Azure Defender监视的所有群集测量多个部署和角色分配属性。
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
| 异常 Pod 部署(预览版) (K8S_AnomalousPodDeployment) |
Kubernetes 审核日志分析根据以前的部署活动检测到异常 Pod 部署。 在检查部署作中不同功能如何相互关联时,此活动被视为异常。 受监视的功能包括使用的容器映像注册表、部署帐户、星期几、此帐户的部署频率、所使用的用户代理、命名空间部署模式和其他特征。 警报的扩展属性详细说明了将此标识为异常活动的主要原因。 | Execution | Medium |
| Kubernetes 群集中分配的角色权限过多(预览版) (K8S_ServiceAcountPermissionAnomaly) |
Kubernetes 审核日志分析检测到群集中分配了过多的角色权限。 检查角色分配时,列出的权限不是特定服务帐户常用的权限。 此检测将以前的角色分配视为跨受Azure监视的群集、每个权限的卷以及特定权限的影响的同一服务帐户。 用于此警报的异常情况检测模型考虑了如何跨Azure Defender监视的所有群集使用此权限。 | 特权提升 | Low |
有关 Kubernetes 警报的完整列表,请参阅适用于 Kubernetes 群集的警报。
2021 年 9 月
9 月发布了以下更新:
审核AZURE安全基线合规性的 OS 配置(预览版)的两个新建议
已发布以下两项建议,用于评估计算机符合 Windows 安全基线和 Linux 安全基线:
- 对于Windows计算机,Windows计算机上安全配置中的 Vulnerabilities 应修正(由来宾配置提供支持)
- 对于 Linux 计算机,应修正 Linux 计算机上的安全配置漏洞(由来宾配置提供支持)
这些建议利用Azure Policy的来宾配置功能,将计算机的 OS 配置与 Azure 安全基准中定义的基线进行比较。
若要详细了解如何使用这些建议,请参阅使用来宾配置强化计算机的 OS 配置。
2021 年 8 月
8 月的更新包括:
Microsoft Defender for Endpoint linux 现在受服务器(预览版) - 关于管理 Endpoint Protection 解决方案的两项新建议(预览版)
- 用于解决常见问题的内置故障排除和指南
法规遵从性合规性仪表板发布的正式发布(GA) - 建议“Log Analytics计算机上应解决代理运行状况问题”
Azure Defender容器注册表现在扫描受 Azure 专用链接 - 安全中心现在可以自动预配Azure Policy的来宾配置扩展(预览版)
- 建议现在支持“强制实施”。
- 建议数据的 CSV 导出现在限制为 20 MB
- 建议页面现在包含多个视图
Azure Defender for Servers 现在支持适用于 Linux 的 Microsoft Defender for Endpoint(预览版)
server 的
当终结点Defender检测到威胁时,它会触发警报。 警报在安全中心显示。 从安全中心,还可以透视到 Endpoint 控制台的Defender,并执行详细的调查,以发现攻击的范围。
在预览期间,你将部署适用于 Linux 的 Endpoint 的 Defender 传感器,以两种方式之一,具体取决于是否已将其部署到Windows计算机:
启用Defender for Cloud增强安全功能的用户,并为 Windows - 从未为 Windows 启用Microsoft Defender for Endpoint集成的新用户
在
关于管理 Endpoint Protection 解决方案的两项新建议(预览版)
我们添加了两个 预览 版建议,用于部署和维护计算机上的 Endpoint Protection 解决方案。 这两项建议包括支持Azure虚拟机和连接到Azure Arc的服务器的计算机。
| Recommendation | Description | Severity |
|---|---|---|
| 应在计算机上安装 Endpoint Protection | 若要保护计算机免受威胁和漏洞的侵害,请安装受支持的 Endpoint Protection 解决方案。
详细了解如何评估计算机的 Endpoint Protection。 (相关策略: |
High |
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。
here记录了Azure 安全中心支持的终结点保护解决方案。
此处介绍了终结点保护评估。 (相关策略: |
Medium |
Note
建议显示其刷新间隔为 8 小时,但在某些情况下,这可能需要更长的时间。 例如,删除本地计算机时,安全中心需要 24 小时才能标识删除。 之后,评估最多需要 8 小时才能返回信息。 因此,在这种情况下,计算机可能需要 32 小时才能从受影响的资源列表中删除。
用于解决常见问题的内置故障排除和指南
Azure门户中安全中心页面的一个新的专用区域提供了一组整理的、不断发展的自助材料,用于解决安全中心和Azure Defender共同挑战。
当你遇到问题,或向我们的支持团队寻求建议时,“诊断并解决问题”是另一种帮助你找到解决方案的工具:
法规合规性仪表板发布的Azure审核报告正式发布(正式版)
法规合规性仪表板的工具栏为应用于订阅的标准提供Azure和Dynamics认证报告。
可以选择用于相关报告类型(PCI、SOC 和 ISO 等)的选项卡,然后使用筛选器来查找所需的特定报告。
有关详细信息,请参阅生成合规性状态报告和证书。
弃用的建议“应在计算机上解决Log Analytics代理运行状况问题”
我们发现,应在计算机上解决代理运行状况问题Log Analytics建议影响安全分数的方式与安全中心云安全状况管理(CSPM)焦点不一致。 通常,CSPM 与识别安全错误配置有关。 代理运行状况问题不适用于此类问题。
此外,和与安全中心相关的其他代理相比时,该建议也是异常的:这是唯一一个具有与运行状况问题相关的建议的代理。
建议已弃用。
由于此弃用,我们还对安装 Log Analytics 代理(Log Analytics代理)的建议进行了细微更改...)。
此更改可能会影响安全分数。 对于大多数订阅,此更改应会导致分数增加,但在某些情况下,对安装建议的更新可能会导致分数降低。
Tip
资产清单页也受到此更改的影响,因为它显示计算机(受监视、未监视或部分监视)的受监视状态 -表示有运行状况问题的代理的状态。
容器注册表的Azure Defender现在扫描受Azure 专用链接保护的注册表中的漏洞
容器注册表的Azure Defender包括用于扫描Azure 容器注册表注册表中的映像的漏洞扫描程序。 了解如何在
若要限制对托管在 Azure 容器注册表 中的注册表的访问,请将虚拟网络专用 IP 地址分配给注册表终结点,并使用 Azure 专用链接,如
作为我们持续为支持其他环境和用例而努力的一部分,Azure Defender现在还会扫描受 Azure 专用链接 保护的容器注册表。
安全中心现在可以自动预配Azure Policy的来宾配置扩展(预览版)
Azure Policy可以审核计算机内的设置,无论是针对在 Azure 中运行的计算机,还是 Arc 连接的计算机。 验证由来宾配置扩展和客户端执行。 有关详细信息,请参阅 Understand Azure Policy 的来宾配置。
通过此更新,你现在可以将安全中心设置为自动将此扩展预配到所有受支持的计算机。
若要详细了解自动预配的工作原理,请参阅为代理和扩展配置自动预配。
建议现在支持“强制实施”
安全中心包括两项功能,可帮助确保以安全方式预配新创建的资源: 强制 和 拒绝。 当某项建议提供这些选项时,你可以确保每当有人试图创建资源时,你的安全要求都能得到满足:
- 拒绝 阻止创建不正常的资源
- 创建资源时,强制自动修正不合规的资源
通过此更新,现在可针对启用Azure Defender计划(如应用服务的 Azure Defender)启用强制选项,应启用密钥保管库Azure Defender应为存储启用Azure Defender)。
若要详细了解这些选项,请参阅使用“强制执行/拒绝”建议防止错误配置。
建议数据的 CSV 导出现在限制为 20 MB
导出安全中心建议数据时,我们规定了 20 MB 的限制。
如果需要导出大量数据,请在选择数据前使用可用的筛选器,或选择订阅的子集并批量下载数据。
详细了解如何执行安全建议的 CSV 导出。
建议页面现在包含多个视图
建议页面现在包含两个选项卡,可提供替代方法来查看与资源相关的建议:
- 安全功能分数建议 - 使用此选项卡查看按安全控制分组的建议列表。 若要详细了解这些控制,请参阅安全控制及其建议。
- 所有建议 - 使用此选项卡可将建议列表作为平面列表查看。 此选项卡还有助于了解是哪个计划(包括法规合规性标准)生成了建议。 若要详细了解计划及其与建议的关系,请参阅什么是安全策略、计划和建议?
2021 年 7 月
7 月的更新包括:
- Microsoft Sentinel连接器现在包括可选的双向警报同步(预览版)
- 资源管理器警报Azure Defender的逻辑重组
- 建议启用 Azure 磁盘加密 (ADE)
- 安全功能分数和法规合规性数据的连续导出功能正式发布 (GA)
- 对法规合规性评估的更改可以触发工作流自动化 (GA)
- 评估 API 字段“FirstEvaluationDate”和“StatusChangeDate”现在可用于工作区架构和逻辑应用
- 添加到Azure Monitor工作簿库的“合规性”工作簿模板
Microsoft Sentinel连接器现在包括可选的双向警报同步(预览版)
安全中心原生与 Microsoft Sentinel 集成,Azure的云原生 SIEM 和 SOAR 解决方案。
Microsoft Sentinel包括用于订阅和租户级别的Azure 安全中心的内置连接器。 在 Stream 警报中了解详细信息,Microsoft Sentinel。
将Azure Defender连接到Microsoft Sentinel时,两个服务之间将同步引入Microsoft Sentinel的Azure Defender警报的状态。 例如,当警报在Azure Defender中关闭时,该警报也会在Microsoft Sentinel中显示为已关闭。 更改Azure Defender“不会”* 中的警报状态会影响包含已同步Microsoft Sentinel警报的任何 Microsoft Sentinel cidents 的状态,仅影响已同步警报本身的状态。
启用预览功能双向警报同步时,它会自动将原始Azure Defender警报的状态与包含这些Azure Defender警报副本的Microsoft Sentinel事件同步。 因此,例如,当包含Azure Defender警报的Microsoft Sentinel事件关闭时,Azure Defender将自动关闭相应的原始警报。
在 Connect Azure Defender 警报中了解详细信息,Azure 安全中心。
资源管理器警报Azure Defender的逻辑重组
下面列出的警报作为 资源管理器 计划的
作为某些Azure Defender计划的逻辑重组的一部分,我们已将 资源管理器Azure Defender
警报根据如下两个主要原则进行组织:
- 提供控制平面保护的警报(跨许多Azure资源类型)是资源管理器 Azure Defender的一部分
- 保护特定工作负荷的警报位于与相应工作负荷相关的Azure Defender计划中
这些警报是资源管理器 Azure Defender的一部分,由于此更改,这些警报现在是服务器Azure Defender的一部分:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
详细了解 server Azure Defender for 资源管理器 和 Azure Defender 计划。
启用Azure 磁盘加密的建议增强功能(ADE)
根据用户反馈,我们已重命名建议“应对虚拟机应用磁盘加密”。
新建议使用相同的评估 ID,名为“虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流”。
说明也已更新,以更好地解释此强化建议的目的:
| Recommendation | Description | Severity |
|---|---|---|
| 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不加密,数据在计算和存储资源之间流动时也不加密。 有关详细信息,请参阅 Azurecomparison>。 使用Azure 磁盘加密加密所有这些数据。 如果使用主机加密功能(1)或(2)服务器端 托管磁盘加密满足安全要求,则忽略此建议。 在服务器端加密Azure 磁盘存储中了解详细信息。 |
High |
安全功能分数和法规合规性数据的连续导出功能正式发布 (GA)
连续导出 提供了导出安全警报的机制,以及用于跟踪环境中其他监视工具的建议。
设置连续导出时,可以配置导出的内容以及导出的位置。 若要了解详细信息,请参阅连续导出概述。
随着时间的推移,我们对此功能进行了增强和扩展:
2020 年 11 月,我们添加了 预览 选项,用于将更改流式传输到 安全分数。
2020 年 12 月,我们添加了 预览 选项,用于流式传输 对法规合规性评估数据的更改。
在此更新中,这两个选项正式发布 (GA)。
对法规合规性评估的更改可以触发工作流自动化 (GA)
2021 年 2 月,我们在工作流自动化的触发器选项中添加了 预览 版第三种数据类型:对法规合规性评估的更改。 若要了解详细信息,请参阅对法规合规性评估的更改可以触发工作流自动化。
在此更新中,此触发器选项正式发布 (GA)。
了解如何使用自动响应安全中心触发器中的工作流自动化工具。
评估 API 字段“FirstEvaluationDate”和“StatusChangeDate”现在可用于工作区架构和逻辑应用
2021 年 5 月,我们使用两个新字段 (FirstEvaluationDate 和 StatusChangeDate)更新了评估 API。 有关完整的详细信息,请参阅评估 API 扩充了两个新字段。
可通过 REST API、Azure Resource Graph、连续导出和 CSV 导出访问这些字段。
通过此更改,我们将提供Log Analytics工作区架构和逻辑应用中的信息。
添加到Azure Monitor工作簿库的“一段时间内符合性”工作簿模板
今年3月,我们宣布了安全中心集成Azure Monitor工作簿体验(请参阅Azure Monitor工作簿集成到安全中心,并提供三个模板)。
初始版本包括三个模板,用于生成有关组织安全状况的动态和视觉报告。
我们现在添加了一个工作簿,专门用于跟踪订阅是否符合适用的法规或行业标准。
如需了解如何使用这些报告或生成自己的报告,请参阅创建丰富的交互式安全中心数据报表。
2021 年 6 月
6 月的更新包括以下内容:
Azure Defender 密钥保管库 - 默认禁用使用客户管理的密钥 (CMK) 进行加密的建议
- Kubernetes 警报的前缀已从“AKS_”更改为“K8S_”
- 弃用了“应用系统更新”安全控制中的两个建议
密钥保管库 Azure Defender的新警报
为了扩展Azure Defender为密钥保管库提供的威胁防护,我们添加了以下警报:
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
| 可疑 IP 地址对 Key Vault 的访问 (KV_SuspiciousIPAccess) |
Microsoft威胁情报标识为可疑 IP 地址的 IP 已成功访问密钥保管库。 这可能表示基础结构已遭入侵。 建议进一步调查。 | 凭据访问 | Medium |
有关详细信息,请参阅:
为 密钥保管库 - 密钥保管库警报的Azure Defender
Azure Defender为 密钥保管库
默认禁用使用客户管理的密钥 (CMK) 进行加密的建议
安全中心包含多个建议,它们建议使用客户管理的密钥对静态数据进行加密,例如:
- 容器注册表应使用客户管理的密钥 (CMK) 进行加密
- Azure Cosmos DB帐户应使用客户管理的密钥来加密静态数据
- 应使用客户管理的密钥(CMK)加密Azure 机器学习工作区
Azure中的数据是使用平台管理的密钥自动加密的,因此,仅当组织选择强制实施的特定策略时,才应应用客户管理的密钥的使用。
如此更改后,现已默认禁用使用 CMK 的建议。 与组织相关时,可以通过将相应安全策略 的 Effect 参数更改为 AuditIfNotExists 或 Enforce 来启用它们。 有关详细信息,请参阅启用安全建议。
此更改将反映在包含新前缀的建议名称中, [Enable if required] ,如以下示例所示:
- [Enable if required] 存储帐户应使用客户管理的密钥来加密静态数据
- [Enable if required] 应使用客户管理的密钥 (CMK) 来加密容器寄存器
- [如果需要,请启用]Azure Cosmos DB帐户应使用客户管理的密钥来加密静态数据
Kubernetes 警报的前缀已从“AKS_”更改为“K8S_”
Azure Defender,Kubernetes 最近进行了扩展,以保护本地和多云环境中托管的 Kubernetes 群集。 有关详细信息,使用适用于 Kubernetes 的 Azure Defender 来保护混合和多云 Kubernetes 部署(预览版)。
为了反映 Kubernetes Azure Defender提供的安全警报不再局限于 Azure Kubernetes 服务 上的群集,我们已将警报类型的前缀从“AKS_”更改为“K8S_”。如有必要,名称和说明也会更新。 例如,以下警报:
| 警报(警报类型) | Description |
|---|---|
| 检测到 Kubernetes 渗透测试工具 (AKS_PenTestToolsKubeHunter) |
Kubernetes 审核日志分析检测到 AKS 群集中 Kubernetes 渗透测试工具的使用情况。 此行为可能是合法的,不过,攻击者可能会出于恶意使用此类公用工具。 |
已更改为此警报:
| 警报(警报类型) | Description |
|---|---|
| 检测到 Kubernetes 渗透测试工具 (K8S_PenTestToolsKubeHunter) |
Kubernetes 审核日志分析检测到 Kubernetes 渗透测试工具在 Kubernetes 群集中的使用情况。 此行为可能是合法的,不过,攻击者可能会出于恶意使用此类公用工具。 |
将自动转换提到以“AKS_”开始的警报的所有抑制规则。 如果已设置 SIEM 导出或按警报类型引用 Kubernetes 警报的自定义自动化脚本,则需要使用新的警报类型对其进行更新。
有关 Kubernetes 警报的完整列表,请参阅适用于 Kubernetes 群集的警报。
弃用了“应用系统更新”安全控制中的两个建议
以下两项建议已被弃用:
- 应为云服务角色更新 OS 版本 - 默认情况下,Azure定期将来宾 OS 更新为服务配置(.cscfg)中指定的操作系统系列中的最新受支持的映像,例如Windows Server 2016。
- Kubernetes Services 应升级到不容易受到攻击的 Kubernetes 版本 - 这项建议的评估覆盖面并不像我们所希望的那样广泛。 我们计划使用增强版本替换建议,以更好地满足你的安全需求。
2021 年 5 月
5 月的更新包括以下内容:
- 适用于 DNS 的
Azure Defender,适用于正式发布(正式版) - Azure Defender正式发布开放源代码关系数据库(GA)
资源管理器 - 使用GitHub工作流和Azure Defender(预览版)CI/CD 漏洞扫描>
- 可用于某些建议的更多 Resource Graph 查询
- 更改了 SQL 数据分类建议严重性
- 用于启用受信任启动功能(预览版)的新建议
- 用于强化 Kubernetes 群集(预览版)的新建议
- 评估 API 扩充了两个新字段
- 资产盘存增加了云环境筛选器
适用于 DNS 的Azure Defender和正式版发布的资源管理器 Azure Defender(正式版)
这两个云原生广度的威胁保护计划现已正式发布。
这些新保护极大地增强了针对威胁参与者攻击的复原能力,并显著增加了受Azure Defender保护的Azure资源的数量。
Azure Defender for 资源管理器 - 自动监视组织中执行的所有资源管理操作。 有关详细信息,请参阅:
引入到 资源管理器 - 资源管理器警报的Azure Defender
Azure Defender为 资源管理器
针对 DNS 的 Azure Defender - 持续监视来自Azure资源的所有 DNS 查询。 有关详细信息,请参阅:
若要简化启用这些计划的过程,请使用建议:
- 应启用资源管理器的 Azure Defender
- 应为 DNS 启用 Azure Defender
Note
启用Azure Defender计划会产生费用。 了解安全中心 定价页上每个区域的定价详细信息。
面向正式版发布的开源关系数据库的Azure Defender (正式版)
Azure 安全中心使用新的捆绑包扩展了 SQL 保护产品/服务,以涵盖开源关系数据库:
- Azure SQL数据库服务器的 Azure Defender - 保护Azure本机 SQL Server
- Azure Defender适用于计算机上的 SQL 服务器 - 将相同的保护扩展到混合、多云和本地环境中的 SQL 服务器
- 适用于开源关系数据库的 Azure Defender - 为 mySQL、PostgreSQL 和 MariaDB 单一服务器保护 Azure Databases for MySQL、PostgreSQL 和 MariaDB 单一服务器
开放源代码关系数据库的Azure Defender会不断监视服务器的安全威胁,并检测异常数据库活动,指示Azure Database for MySQL、PostgreSQL 和 MariaDB 的潜在威胁。 下面是一些示例:
- 暴力攻击 - 开源关系数据库的Azure Defender提供了有关尝试和成功的暴力攻击的详细信息。 让你可以更全面地了解你的环境中的攻击的性质和状态,据此展开调查和进行响应。
- Behavioral 警报检测 - Azure Defender用于开放源代码关系数据库警报,提醒你在服务器上出现可疑和意外行为,例如数据库的访问模式更改。
- 基于智能的检测 - Azure Defender应用Microsoft的威胁情报和庞大的知识库来显示威胁警报,以便你可以应对它们。
在 对开源关系数据库的Azure Defender进行简介了解详细信息。
资源管理器 Azure Defender的新警报
为了扩展Azure Defender为资源管理器提供的威胁防护,我们添加了以下警报:
| 警报(警报类型) | Description | MITRE 策略 | Severity |
|---|---|---|---|
|
为 RBAC 角色授予 RBAC 角色的异常 Azure方式(预览版) (ARM_AnomalousRBACRoleAssignment) |
对于资源管理器,Azure Defender检测到 RBAC 角色分配与同一分配者/为租户中同一分配人执行的其他分配时异常,原因如下:分配时间、分配器位置、分配器、身份验证方法、分配实体、使用的客户端软件、分配范围。 此操作可能是由你的组织中的合法用户执行的。 或者,这可能表示组织中的某个帐户被入侵,威胁方正在尝试向其拥有的其他用户帐户授予权限。 | 横向移动,防御规避 | Medium |
|
以可疑方式为订阅创建的特权自定义角色(预览) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender,资源管理器在订阅中检测到特权自定义角色定义的可疑创建。 此操作可能是由你的组织中的合法用户执行的。 或者,这可能表明你的组织中的帐户被入侵,并且威胁方正在尝试创建特权角色,以在将来用于规避检测。 | 横向移动,防御规避 | Low |
(ARM_OperationFromSuspiciousIP) |
Azure Defender,资源管理器检测到 IP 地址中的操作,该 IP 地址在威胁情报源中标记为可疑。 | Execution | Medium |
| 来自可疑代理 IP 地址的 Azure 资源管理器 操作(预览版) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender 资源管理器检测到与代理服务(如 TOR)关联的 IP 地址的资源管理操作。 虽然这种行为可能是合法的,但经常出现在恶意活动中,在这些恶意活动中,攻击者会试图隐藏其源 IP。 | 防御逃避 | Medium |
有关详细信息,请参阅:
引入到 资源管理器 - 资源管理器警报的Azure Defender
Azure Defender为 资源管理器
使用GitHub工作流和Azure Defender扫描容器映像的 CI/CD 漏洞扫描(预览版)
容器注册表的Azure Defender现在为 GitHub Actions 工作流提供 DevSecOps 团队可观测性。
使用 Trivy 的容器映像的新漏洞扫描功能有助于在将映像推送到容器注册表 之前 扫描容器映像中的常见漏洞。
容器扫描报告在Azure 安全中心中汇总,为安全团队提供更深入的见解,并了解易受攻击的容器映像的来源以及来自其来源的工作流和存储库。
有关详细信息,请参阅识别 CI/CD 工作流中有漏洞的容器映像。
可用于某些建议的更多资源图查询
所有安全中心的建议都可以选择使用
安全中心包含内置的漏洞扫描程序,用于扫描 VM、SQL 服务器及其主机,以及容器注册表,以发现安全漏洞。 这些结果将作为建议返回,其中关于每个资源类型的所有单个发现都将集中到一个视图中。 这三个建议是:
- 应修正Azure 容器注册表图像中的漏洞(由 Qualys 提供支持)
- 应修正虚拟机中的漏洞
- SQL 数据库应已解决漏洞结果
- 计算机上的 SQL 服务器应已解决漏洞结果
通过此更改,可以使用 “打开查询 ”按钮打开显示安全发现结果的查询。
“ 打开查询 ”按钮为相关其他建议提供了其他选项。
了解关于安全中心漏洞扫描程序的更多信息:
- Azure Defender针对Azure和混合计算机的集成 Qualys 漏洞扫描程序
- Azure Defender SQL Server 的集成漏洞评估扫描程序
- Azure Defender容器注册表的集成漏洞评估扫描程序
更改了 SQL 数据分类建议严重性
已将“应对 SQL 数据库中的敏感数据进行分类”建议的严重性从“高”更改为“低”。
这是我们即将发布的更改页面中宣布的此建议的持续更改的一部分。
用于启用受信任启动功能(预览版)的新建议
Azure以无缝方式提供受信任的启动,以提高 generation 2 VM 的安全性。 受信任启动能够防范具有持续性的高级攻击手法。 受信任启动由多种可单独启用的协调式基础结构技术组成。 每种技术都针对错综复杂的威胁提供另一层防御。 在 虚拟机的受信任 Azure启动中了解详细信息。
Important
受信任启动要求创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。
受信任启动目前为公共预览版。 此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。
安全中心的建议是,vTPM 应在受支持的虚拟机上启用,确保Azure VM 正在使用 vTPM。 硬件受信任的平台模块的这个虚拟化版本通过测量 VM(UEFI、OS、系统和驱动程序)的整个启动链来实现证明。
启用 vTPM 后, 来宾证明扩展名可以远程验证安全启动。 以下建议可确保部署此扩展名:
- 应在受支持的Windows虚拟机上启用Secure Boot
- 应在受支持的Windows虚拟机上安装 Guest 证明扩展
- 应在受支持的 Windows 虚拟机规模集Guest 证明扩展>
- 应在受支持的 Linux 虚拟机上安装来宾证明扩展名
- 应在受支持的 Linux 虚拟机规模集Guest 证明扩展>
用于强化 Kubernetes 群集(预览版)的新建议
以下建议可用于进一步强化 Kubernetes 群集
- Kubernetes 群集不得使用默认命名空间 - 防止在 Kubernetes 群集中使用默认命名空间,以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行未经授权的访问。
- Kubernetes 群集应禁用自动装载 API 凭据 - 若要防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令,请禁用自动装载 API 凭据。
- Kubernetes 群集不应授予 CAPSYSADMIN 安全功能
如需了解安全中心如何保护容器化环境,请查阅安全中心的容器安全性。
评估扩充了两个新字段的 API
我们已将以下两个字段添加到评估 REST API中:
- FirstEvaluationDate – 创建建议并首次评估的时间。 返回为 ISO 8601 格式的 UTC 时间。
- StatusChangeDate – 建议状态上次更改的时间。 返回为 ISO 8601 格式的 UTC 时间。
这些字段的初始默认值(对于所有建议)为 2021-03-14T00:00:00+0000000Z。
若要访问此信息,可以使用下表中的任意方法。
| Tool | Details |
|---|---|
| REST API 调用 | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| 连续导出 | 两个专用字段将可用于Log Analytics工作区数据 |
| CSV 导出 | CSV 文件中包含这两个字段 |
详细了解评估 REST API。
资产盘存增加了云环境筛选器
安全中心的资产清单页提供多个筛选器,可快速优化显示的资源列表。 有关详细信息,请参阅利用资产清单浏览和管理资源。
新的筛选器提供了根据已连接到安全中心多云功能的云帐户优化列表的选项。
详细了解多云功能:
2021 年 4 月
4 月的更新包括:
- 刷新了资源运行状况页(预览版)
- 现在会每周重新扫描最近拉取的容器注册表映像(正式发布 (GA))
- 为 Kubernetes 使用 Azure Defender 来保护混合和多云 Kubernetes 部署(预览版)
Microsoft Defender for Endpoint与Azure Defender的集成现在支持正式版(GA) - 为 DNS 和资源管理器(预览版)启用Azure Defender
- 添加了Azure CIS 1.3.0、CMMC 级别 3 和新西兰 ISM 受限
- 与来宾配置相关的四个新建议(预览版)
- CMK 建议移动到最佳做法安全控制
- Eleven Azure Defender警报已弃用
- “应用系统更新”安全控制中的两个建议已弃用
- Azure Defender从Azure Defender仪表板中删除的计算机磁贴上的 SQL
- 建议在不同安全控件之间进行了调动
刷新了资源运行状况页(预览版)
资源健康状况已展开、增强和改进,提供单个资源总体健康状况的快照视图。
可以查看有关该资源的详细信息以及适用于该资源的所有建议。 此外,如果使用
若要打开资源的资源运行状况页,请从资产清单页中选择任何资源。
安全中心门户页面中的此预览页显示:
- 资源信息:资源组及其附加到的订阅,以及地理位置等。
- 应用安全功能 - 是否为资源启用Azure Defender。
- 未完成的建议和警报的计数 - 未完成的安全建议和Azure Defender警报的数量。
- 可操作的建议和警报:两个选项卡列出适用于资源的建议和警报。
参阅教程:调查资源的运行状况,了解更多信息。
现在会每周重新扫描最近拉取的容器注册表映像(正式发布 (GA))
容器注册表的Azure Defender包括内置漏洞扫描程序。 此扫描程序会立即扫描推送到注册表中的任何映像以及在过去 30 天内拉取的任何映像。
每天都会发现新漏洞。 通过此更新,过去 30 天内从注册表提取的容器映像将每周 重新扫描 。 这可确保在映像中识别新发现的漏洞。
扫描按映像收费,因此重新扫描不产生额外费用。
在
使用适用于 Kubernetes 的Azure Defender来保护混合和多云 Kubernetes 部署(预览版)
适用于 Kubernetes 的Azure Defender正在扩展其威胁防护功能,以便在部署群集时保护群集。 这通过与已启用 Azure Arc 的 Kubernetes 及其新的 extensions 功能集成来实现。
在非Azure Kubernetes 群集上启用Azure Arc后,Azure 安全中心提供的新建议,只需单击几下鼠标即可将Azure Defender代理部署到它们。
使用建议(Azure Arc启用的 Kubernetes 群集应已安装Azure Defender的扩展)和扩展来保护在其他云提供程序中部署的 Kubernetes 群集,尽管不是在其托管 Kubernetes 服务上。
Azure 安全中心、Azure Defender和已启用Azure Arc的 Kubernetes 之间的这种集成带来了:
- 轻松将Azure Defender代理预配到已启用Azure Arc保护的 Kubernetes 群集(手动和大规模)
- 从 Azure Arc 门户监视Azure Defender代理及其预配状态
- 安全中心的安全建议在 Azure Arc 门户的新“安全”页中报告
- Azure Arc门户的新“安全”页中报告Azure Defender中识别的安全威胁
- 已启用Azure Arc的 Kubernetes 群集集成到Azure 安全中心平台和体验中
有关详细信息,使用本地和多云 Kubernetes 群集为 Kubernetes Azure Defender。
Microsoft Defender for Endpoint与Azure Defender集成现在支持正式版发布的Windows虚拟桌面上的Windows Server 2019和Windows 10(正式版)
Microsoft Defender for Endpoint是一个整体的、云提供的终结点安全解决方案。 它提供基于风险的漏洞管理和评估以及终结点检测和响应 (EDR)。 有关将 Defender for Endpoint 与 Azure 安全中心 结合使用的好处的完整列表,请参阅 使用安全中心的集成 EDR 解决方案保护终结点:Microsoft Defender for Endpoint。
为运行Windows Server的服务器启用Azure Defender时,计划中包含终结点Defender许可证。 如果已为服务器启用Azure Defender,并且订阅中有Windows Server 2019服务器,则通过此更新会自动收到 Endpoint Defender。 无需手动操作。
现已扩展支持,在
Note
如果要在 Windows Server 2019 服务器上为 Endpoint 启用Defender,请确保它满足 启用 Microsoft Defender for Endpoint 集成中所述的先决条件。
为 DNS 和资源管理器启用Azure Defender的建议(预览版)
添加了两项新建议,用于简化为 dns 启用 < 资源管理器Azure Defender c>0>Azure Defender 和
- 应启用资源管理器的 Azure Defender - 资源管理器的Defender会自动监视组织中的资源管理操作。 Azure Defender检测到有关可疑活动的威胁和警报。
- 应启用 DNS 的 Azure Defender - Defender为云资源提供额外的保护层,方法是持续监视来自Azure资源的所有 DNS 查询。 Azure Defender在 DNS 层发出可疑活动的警报。
启用Azure Defender计划会产生费用。 了解安全中心 定价页上每个区域的定价详细信息。
Tip
预览版建议不会显示资源运行不正常,并且在计算安全功能分数时不会包含这些建议。 请尽量修正这些建议,以便在预览期结束之后,借助这些建议提高安全功能分数。 详细了解如何在
添加了三项法规符合性标准:Azure CIS 1.3.0、CMMC 级别 3 和新西兰 ISM 受限
我们添加了三个用于Azure 安全中心的标准。 使用监管合规性仪表板,现在可以根据以下标准来跟踪合规性:
可以按照在监管合规性仪表板中自定义标准集中所述,将这些标准分配给订阅。
了解详细信息,请参阅:
与来宾配置相关的四个新建议(预览版)
Azure的 Guest Configuration 扩展向安全中心报告,以帮助确保虚拟机的来宾内设置得到强化。 已启用 Arc 的服务器不需要该扩展,因为已连接 Arc 的计算机代理中包含该扩展。 扩展需要计算机上系统托管标识。
我们已将四个新建议添加到安全中心,以便充分利用此扩展。
这两个建议会提示安装该扩展及其所需的系统托管标识:
- 应在计算机上安装来宾配置扩展
- 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展
当扩展已安装并正在运行时,它将开始审核你的计算机,此时系统将提示你强化设置,例如配置操作系统和环境设置。 这两项建议将提示你强化Windows和 Linux 计算机,如下所示:
- 应在计算机上启用 Microsoft Defender Exploit Guard
- 对 Linux 虚拟机进行身份验证需要 SSH 密钥
有关详细信息,请参阅 Understand Azure Policy 的来宾配置。
CMK 建议移动到最佳做法安全控制
每个组织的安全计划都包含数据加密要求。 默认情况下,Azure客户的数据使用服务管理的密钥进行静态加密。 但是,客户管理的密钥 (CMK) 通常需要满足法规符合性标准。 使用 CMK,可以使用由你创建和拥有的 Azure 密钥保管库 密钥来加密数据。 你可以完全控制并负责关键生命周期,包括轮换和管理。
Azure 安全中心的安全控制是相关安全建议的逻辑组,反映易受攻击的攻击面。 对于每个控制,可以看到为所有资源修正该控制中列出的所有建议后,安全评分可以增加的最高分数。 “实现安全最佳做法”这一安全控制得分为零。 因此,此控制中的建议不会影响安全评分。
下面列出的建议将移到“实现安全最佳做法”这一安全控制,以更好地反应它们的可选性质。 这一移动确保了这些建议都处于最适当的控制之下,以满足其目标。
- Azure Cosmos DB帐户应使用客户管理的密钥来加密静态数据
- 应使用客户管理的密钥(CMK)加密Azure 机器学习工作区
- Azure AI 服务帐户应使用客户管理的密钥(CMK)启用数据加密
- 容器注册表应使用客户管理的密钥 (CMK) 进行加密
- SQL 托管实例应使用客户管理的密钥进行静态数据加密
- SQL Server 应使用客户管理的密钥进行静态数据加密
- 存储帐户应使用客户管理的密钥 (CMK) 进行加密
请在安全控件及其建议中了解每个安全控件中的建议。
11 个Azure Defender警报已弃用
下面列出的 11 个Azure Defender警报已弃用。
新警报将取代下面两种警报并扩大覆盖范围:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo 预览版 - 检测到 MicroBurst 工具包“Get-AzureDomainInfo”函数运行 ARM_MicroBurstRunbook 预览版 - 检测到 MicroBurst 工具包“Get-AzurePasswords”函数运行 这九个警报与已弃用的Microsoft Entra标识保护连接器(IPC)相关:
AlertType AlertDisplayName UnfamiliarLocation 不熟悉的登录属性 AnonymousLogin 匿名 IP 地址 InfectedDeviceLogin 受恶意软件感染的 IP 地址 ImpossibleTravel 异常位置登录 MaliciousIP 恶意 IP 地址 LeakedCredentials 凭据泄露 PasswordSpray 密码喷射 LeakedCredentials Microsoft Entra ID威胁情报 AADAI Microsoft Entra ID AI Tip
这 9 种 IPC 警报绝不是安全中心警报。 它们是发送到安全中心的Microsoft Entra标识保护连接器(IPC)的一部分。 在过去两年中,唯一看到这些警报的客户是 2019 年或更早版本中配置导出(从连接器到 ASC)的组织。 Microsoft Entra ID IPC 继续在其自己的警报系统中显示它们,并且它们将继续在Microsoft Sentinel中提供。 唯一的更改是它们不再出现在安全中心。
“应用系统更新”安全控制中的两项建议已弃用
下面这两个建议已弃用,这些更改可能会对安全分数产生轻微影响:
- 应重启计算机来应用系统更新
- 应在计算机上安装监视代理。 此建议仅与本地计算机相关,其某些逻辑将传输到另一个建议,Log Analytics代理运行状况问题应在计算机上得到解决
建议检查连续导出和工作流自动化配置,以查看这些建议是否包括在其中。 此外,任何仪表板或其他可能使用它们的监视工具都应该相应地进行更新。
从Azure Defender仪表板中删除的计算机磁贴上的 SQL Azure Defender
Azure Defender仪表板的覆盖范围区域包括环境相关Azure Defender计划的磁贴。 由于报告受保护和未受保护的资源的数量存在问题,我们决定暂时删除计算机上 SQL Azure Defender的资源覆盖率状态,直到问题得到解决。
在安全控制之间移动的建议
以下建议已移动到其他的安全控件。 安全控件是相关安全建议的逻辑组,反映了你易受攻击的攻击面。 这一调动确保了每个建议都处于最适当的控制之下,以满足其目标。
请在安全控件及其建议中了解每个安全控件中的建议。
| Recommendation | 更改和影响 |
|---|---|
| 应对 SQL Server 启用漏洞评估 应对 SQL 托管实例启用漏洞评估 应立即修正 SQL 数据库的漏洞 应修正 VM 中的 SQL 数据库漏洞 |
从“修正漏洞”(得 6 分) 变为“修正安全配置“(得 4 分)。 根据你的环境,这些建议会减少对评分的影响。 |
| 应该为你的订阅分配了多个所有者 自动化帐户变量应进行加密 IoT 设备 - 经审核的进程已停止发送事件 IoT 设备 - 操作系统基线验证失败 IoT 设备 - 需要进行 TLS 加密套件升级 IoT 设备 - 打开设备上的端口 IoT 设备 - 在其中一个链中找到了宽容防火墙策略 IoT 设备 - 在输入链中找到了宽容防火墙规则 IoT 设备 - 在输出链中找到了宽容防火墙规则 应启用IoT 中心中的诊断日志 IoT 设备 - 代理正在发送未充分利用的消息 IoT 设备 - 默认 IP 筛选策略应为“拒绝” IoT 设备 - IP 筛选器规则为“大范围 IP” IoT 设备 - 应调整代理消息间隔和大小 IoT 设备 - 完全相同的身份验证凭据 IoT 设备 - 经审核的进程停止发送事件 IoT 设备 - 应修复操作系统 (OS) 基线配置 |
移到实施安全最佳做法。 如果某条建议移到“实施安全最佳做法”控制(不得分),则这条建议不再影响安全分数。 |
2021 年 3 月
3 月的更新包括:
- 集成到安全中心Azure 防火墙管理
- SQL 漏洞评估现在包含“禁用规则”体验(预览)
- Azure Monitor集成到安全中心的工作簿和提供的三个模板
- 监管合规性仪表板现在包括Azure审核报告(预览版)
- < 可以使用“在 ARG 中浏览”c0>命令数据>
- 更新部署工作流自动化的的策略
- 两个旧建议不再将数据直接写入Azure活动日志
- 建议页面功能增强
集成到安全中心的Azure 防火墙管理
打开Azure 安全中心时,显示的第一个页面是概述页。
此交互式仪表板提供了混合云工作负载安全状况的统一视图。 此外,它还显示安全警报、覆盖范围信息等等。
作为从中心体验查看安全状态的一部分,我们已将Azure 防火墙管理器集成到此仪表板中。 现在可以检查所有网络的防火墙覆盖范围状态,并从安全中心开始集中管理Azure 防火墙策略。
有关此仪表板的详细信息,请参阅 Azure 安全中心 概述页。
SQL 漏洞评估现在包含“禁用规则”体验(预览)
安全中心包含内置漏洞扫描仪,有助于发现、跟踪和修正潜在的数据库漏洞。 评估扫描结果概述了 SQL 计算机的安全状态以及任何安全发现结果的详细信息。
如果组织需要忽略发现结果,而不是修正漏洞,则可以选择禁用发现结果。 禁用发现结果不会影响安全分数,也不会产生有害的噪音。
有关详细信息,请参阅禁用特定发现结果。
Azure Monitor集成到安全中心并提供三个模板的工作簿
作为 Ignite Spring 2021 的一部分,我们宣布了安全中心的集成Azure Monitor工作簿体验。
可以使用新集成开始使用安全中心库中的现用模板。 通过使用工作簿模板,可以访问和生成动态和可视化报表来跟踪组织的安全状况。 此外,还可以基于安全中心数据或任何其他受支持的数据类型创建新工作簿,并从安全中心的GitHub社区快速部署社区工作簿。
提供了三个模板报告:
- 一段时间内的安全功能分数 - 跟踪订阅的分数以及对资源建议的更改
- 系统更新 - 按资源、OS、严重性等查看缺少的系统更新
- 可用性评估结果 - 查看Azure资源的漏洞扫描结果
如需了解如何使用这些报告或生成自己的报告,请参阅创建丰富的交互式安全中心数据报表。
法规合规性仪表板现在包括Azure审核报告(预览版)
从法规合规性仪表板的工具栏中,现在可以下载Azure和Dynamics认证报告。
可以选择用于相关报告类型(PCI、SOC 和 ISO 等)的选项卡,然后使用筛选器来查找所需的特定报告。
有关详细信息,请参阅管理法规合规性仪表板中的标准。
可以使用“在 ARG 中浏览”Azure Resource Graph查看建议数据
建议详细信息页现在包含“在 ARG 中浏览”工具栏按钮。 使用此按钮可打开Azure Resource Graph查询,并浏览、导出和共享建议的数据。
Azure Resource Graph(ARG)提供对云环境中资源信息的即时访问,并提供可靠的筛选、分组和排序功能。 它是以编程方式或从Azure门户中跨Azure订阅查询信息的快速高效方法。
详细了解 Azure Resource Graph。
对部署工作流自动化的的策略的更新
自动执行组织的监视和事件响应流程可以显著缩短调查和缓解安全事件所需的时间。
我们提供三Azure Policy“DeployIfNotExist”策略来创建和配置工作流自动化过程,以便你可以在整个组织中部署自动化:
| Goal | Policy | 策略 ID |
|---|---|---|
| 安全警报的工作流自动化 | 用于Azure 安全中心警报的部署工作流自动化 | f1525828-9a90-4fcf-be48-268cdd02361e |
| 安全建议的工作流自动化 | 用于Azure 安全中心建议的部署工作流自动化 | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| 用于法规合规性的工作流自动化发生更改 | 用于Azure 安全中心法规合规性的部署工作流自动化 | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
以下是对这些策略的功能进行的两项更新:
- 分配后,它们将通过强制执行保持启用状态。
- 现在可以自定义这些策略,并更新任意参数,即使它们已部署,也是如此。 例如,可以添加或编辑评估密钥。
开始使用 workflow 自动化模板。
了解如何自动响应安全中心触发器。
两项旧版建议不再将数据直接写入Azure活动日志
安全中心将几乎所有安全建议的数据传递给Azure 顾问,进而将其写入Azure活动日志。
对于两个建议,数据同时直接写入Azure活动日志。 通过这项更改,安全中心会停止将这些旧版安全建议的数据直接写入活动日志。 相反,我们将数据导出到Azure 顾问,就像我们针对所有其他建议所做的那样。
这两条旧版建议为:
- 应在计算机上解决 Endpoint Protection 运行状况问题
- 应该修复计算机上安全配置中的漏洞
如果你一直是在活动日志的“TaskDiscovery 类型的建议”类别中访问这两条建议的信息,现在不再可以这样操作。
建议页面功能增强
我们发布了改进版本的建议列表,以便直观地显示更多信息。
此页面现在显示:
- 每个安全控制措施的最高分数和当前分数。
- 替换标记(如 修复 和 预览)的图标。
- 显示与每个建议相关的 策略计划 的新列 - 禁用“按控件分组”时可见。
在 Azure 安全中心
2021 年 2 月
2 月的更新包括:
- 发布正式发布Azure门户中的新安全警报页
- Kubernetes 工作负载保护建议已正式发布 (GA)
Microsoft Defender for Endpoint与Azure Defender集成现在支持Windows虚拟桌面(预览版) - 直接链接到建议详细信息页中的策略
- SQL 数据分类建议不再影响安全功能分数
- 工作流自动化可以由对法规合规性评估的更改触发(预览)
- 资产清单页增强功能
Azure门户中发布的正式发布的新安全警报页(正式版)
Azure 安全中心的安全警报页经过重新设计以提供:
- 更好的警报会审体验 - 列表包含可自定义的筛选器和分组选项,有助于减少警报疲劳,让你能够更轻松地专注于相关度最高的威胁。
- 警报列表中包含更多信息 - 例如 MITRE ATT&ACK 策略。
- Button 创建示例警报 - 评估Azure Defender功能和测试警报。 配置(对于 SIEM 集成、电子邮件通知和工作流自动化),可以从所有Azure Defender计划创建示例警报。
- 具有Azure Sentinel 事件体验 - 对于使用这两种产品的客户,在两者之间切换现在是一种更直接的体验,并且很容易从另一种体验中学习。
- 大型警报列表的性能更佳。
- 通过警报列表导航键盘。
- 来自 Azure Resource Graph 的Alerts - 可以查询所有资源的 Azure Resource Graph(类似于 Kusto 的 API)中的警报。 如果要构建自己的警报仪表板,这也很有用。 详细了解 Azure Resource Graph。
- 创建示例警报功能 - 若要从新的警报体验创建示例警报,请参阅 Generate 示例Azure Defender警报。
Kubernetes 工作负载保护建议已正式发布 (GA)
我们很高兴地宣布,已正式发布一组针对 Kubernetes 工作负载保护的建议。
为了确保 Kubernetes 工作负载在默认情况下是安全的,安全中心添加了 Kubernetes 级别的强化建议,其中包括具有 Kubernetes 准入控制的执行选项。
在Azure Kubernetes 服务 (AKS)群集上安装 Kubernetes Azure Policy时,对 Kubernetes API 服务器的每个请求都将根据预定义的最佳做法集(显示为 13 个安全建议)进行监视,然后再保存到群集。 然后,可以配置为强制实施最佳做法,并规定将其用于未来的工作负载。
例如,可以规定不应创建特权容器,并且阻止以后的任何请求。
有关详细信息,请参阅使用 Kubernetes 准入控制实现工作负载保护最佳做法。
Note
虽然建议之前为预览版,但它们当时未显示 AKS 群集资源运行不正常,而且在计算安全功能分数时没有纳入这些建议。 在此 GA 公告中,这些内容将包含在分数计算中。 如果尚未对其进行修正,则可能会对安全功能分数造成轻微影响。 请尽可能按照 Azure 安全中心 中的修正建议进行修正。
Microsoft Defender for Endpoint与Azure Defender集成现在支持Windows虚拟桌面上的Windows Server 2019和Windows 10(预览版)
Microsoft Defender for Endpoint是一个整体的、云提供的终结点安全解决方案。 它提供基于风险的漏洞管理和评估以及终结点检测和响应 (EDR)。 有关将 Defender for Endpoint 与 Azure 安全中心 结合使用的好处的完整列表,请参阅 使用安全中心的集成 EDR 解决方案保护终结点:Microsoft Defender for Endpoint。
为运行Windows Server的服务器启用Azure Defender时,计划中包含终结点Defender许可证。 如果已为服务器启用Azure Defender,并且订阅中有Windows Server 2019服务器,则通过此更新会自动收到 Endpoint Defender。 无需手动操作。
现已扩展支持,在
Note
如果要在 Windows Server 2019 服务器上为 Endpoint 启用Defender,请确保它满足 启用 Microsoft Defender for Endpoint 集成中所述的先决条件。
直接链接到建议详细信息页中的策略
查看建议的详细信息时,能够查看基础策略通常会很有帮助。 对于策略支持的每条建议,建议详细信息页面上都有一个新链接:
使用此链接可查看策略定义和计算逻辑。
SQL 数据分类建议不再影响安全功能分数
“应对 SQL 数据库中的敏感数据进行分类”建议不再影响安全功能分数。 安全控制 应用包含它的数据分类 现在的安全功能分数值为 0。
有关所有安全控件的完整列表,以及每个控件中的分数和建议的列表,请参阅 安全控件及其建议。
工作流自动化可以由对法规合规性评估的更改触发(预览)
我们向工作流自动化的触发器选项添加了第三种数据类型:对监管合规性评估的更改。
了解如何使用自动响应安全中心触发器中的工作流自动化工具。
资产清单页增强功能
Azure 安全中心的资产库存页已经过改进:
页面顶部的摘要现在包括 “未注册的订阅”,其中显示了未启用安全中心的订阅数。
筛选器进行了扩展和增强,包括:
计数 - 每个筛选器显示满足每个类别条件的资源数
在 Azure 安全中心. 包含豁免筛选器(可选)- 将结果范围缩小为有/没有豁免的资源。 默认情况下不显示此筛选器,但可从 “添加筛选器 ”按钮访问。
详细了解如何利用资产清单浏览和管理资源。
2021 年 1 月
一月的更新包括:
Azure安全基准现在是 Azure 安全中心 - 本地和多云计算机的漏洞评估已正式发布 (GA)
- 预览版中现可提供管理组的安全分数
- 安全功能分数 API 已正式发布 (GA)
- 添加到应用服务Azure Defender的>对 DNS 保护
- 多云连接器已正式发布 (GA)
- 从订阅和管理组的安全分数中免除所有建议
- 用户现在可以向其全局管理员请求租户范围内的可见性
- 35 预览版建议增加了对Azure安全基准的覆盖面
- 将经筛选的建议列表导出为 CSV
- “不适用”资源现在在Azure Policy评估中报告为“合规”
- 通过连续导出(预览版)导出安全分数和法规合规性数据的每周快照
Azure安全基准现在是Azure 安全中心的默认策略计划
Azure安全基准是Microsoft创作的、基于常见合规性框架Azure特定指南集的安全与合规性最佳做法。 这一公认的基准建立在 Internet 安全中心 (CIS) 和国家标准与技术研究院 (NIST) 的控制基础上,重点关注以云为中心的安全性。
最近几个月,安全中心的内置安全建议列表已显著增加,从而扩大了此基准的覆盖范围。
在此版本中,基准测试是安全中心建议的基础,并完全集成为默认策略计划。
所有Azure服务在其文档中都有一个安全基线页。 这些基线基于Azure安全基准构建。
如果使用的是安全中心的法规符合性仪表板,则你在过渡期间会看到两个基准实例:
现有建议不受影响,并且随着基准的增加,安全中心内将自动反映出这些更改。
若要了解详细信息,请参阅以下页面:
本地和多云计算机的漏洞评估已正式发布 (GA)
10月,我们宣布了一项预览版,用于扫描启用了 Azure Arc 的服务器Azure Defender集成漏洞评估扫描程序(由 Qualys 提供支持)。
现已正式发布 (GA)。
在非Azure计算机上启用Azure Arc后,安全中心将提供在非Azure计算机上部署集成的漏洞扫描程序(手动和大规模)。
通过此更新,你可以释放 server 的 Azure Defender 功能,以便在所有Azure和非Azure资产中整合漏洞管理计划。
主要功能:
- 监视Azure Arc计算机上的 VA(漏洞评估)扫描程序预配状态
- 将集成的 VA 代理预配到未受保护的Windows和 Linux Azure Arc 计算机(手动和大规模)
- 从部署的代理接收和分析检测到的漏洞(手动和大规模)
- Azure VM 和Azure Arc计算机的统一体验
详细了解如何将集成式 Qualys 漏洞扫描程序部署到混合计算机。
预览版中现可提供管理组的安全分数
除了订阅级别外,“安全分数”页面现在还会显示管理组的汇总安全分数。 因此,现在可以查看组织中管理组的列表以及每个管理组的分数。
在 Azure 安全中心 中了解有关
安全功能分数 API 已正式发布 (GA)
现在可以通过安全分数 API 访问分数。 通过 API 方法,可灵活地查询数据,久而久之构建自己的安全功能分数报告机制。 例如:
- 使用 安全功能分数 API 获取特定订阅的分数
- 使用安全功能分数控件 API 列出安全控件和订阅的当前分数
了解在
在 Azure 安全中心 中了解有关
为应用服务添加到Azure Defender的悬空 DNS 保护
子域接管是组织常见的严重威胁。 当拥有指向已撤销的网站的 DNS 记录时,可能会发生子域接管。 这类 DNS 记录也称为“无关联的 DNS”项。 CNAME 记录特别容易受到此威胁的攻击。
子域接管使威胁参与者能够将针对组织域的流量重定向到执行恶意活动的站点。
应用服务Azure Defender现在在应用服务网站停用时检测悬而未完成的 DNS 条目。 当时,DNS 条目指向不存在的资源,并且网站容易受到子域接管攻击。 无论域是使用Azure DNS还是外部域注册机构进行管理,这些保护都可用,并适用于Windows和Linux 上的应用服务上的应用服务。
了解详细信息:
- 应用服务警报引用表 - 包括两个新的Azure Defender警报,这些警报在检测到悬空 DNS 条目时触发
- 防止无关联的 DNS 条目并避免子域接管 - 了解子域接管威胁和无关联的 DNS 方面
- 应用服务Azure Defender简介
多云连接器已正式发布 (GA)
由于云工作负载通常跨多个云平台分布,因此云安全服务也需要如此。
Azure 安全中心保护 Azure、Amazon Web Services(AWS)和 Google Cloud Platform (GCP)中的工作负荷。
连接 AWS 或 GCP 项目可将其本机安全工具(如 AWS 安全中心和 GCP 安全命令中心)集成到Azure 安全中心。
此功能意味着安全中心可以在所有主要的云环境中提供可见性和保护。 此集成的一些优势如下:
- 自动代理预配 - 安全中心使用Azure Arc将Log Analytics代理部署到 AWS 实例
- 策略管理
- 漏洞管理
- 嵌入的终结点检测和响应 (EDR)
- 检测安全配置错误
- 显示所有云提供商提供的安全建议的单一视图
- 将所有资源整合到安全中心的安全分数计算中
- AWS 和 GCP 资源的法规符合性评估
从Defender for Cloud的菜单中选择Multicloud 连接器,你将看到用于创建新连接器的选项:
了解详细信息,请参阅:
从订阅和管理组的安全分数中免除所有建议
我们正在扩展免除功能,以免除所有建议。 提供其他选项来微调安全中心针对订阅、管理组或资源提出的安全建议。
有时,当你知道问题已被第三方工具解决,而安全中心未检测到时,资源将被列为运行不正常。 或者,建议会在你认为它不属于的范围内显示。 该建议可能不适用于特定的订阅。 或者,组织可能决定接受与特定资源或建议相关的风险。
使用此预览功能,现在可以针对建议创建免除,以执行以下操作:
免除某资源,以确保其将来不会被列入运行不正常的资源,并且不会影响安全分数。 该资源将被列为不适用,原因将显示“已免除”以及你选择的特定理由。
免除某订阅或管理组,以确保建议不会影响安全分数,并且将来不会针对该订阅或管理组显示。 这与现有资源以及将来创建的任何资源相关。 建议将标记有你针对所选范围选择的特定理由。
了解详细信息,请参阅从安全评分中免除资源和建议。
用户现在可以向其全局管理员请求租户范围内的可见性
如果用户不具有查看安全中心数据的权限,他们现在将会看到一个链接,用于向其组织的全局管理员请求权限。 该请求包括他们想要的角色以及需要这样做的理由。
了解详细信息,请参阅当你的权限不足时请求租户范围内的权限。
添加了 35 个预览版建议,以提高Azure安全基准的覆盖范围
Azure安全基准是Azure 安全中心中的默认策略计划。
为扩大此基准的覆盖范围,安全中心已添加下列 35 条预览建议。
Tip
预览版建议不会显示资源运行不正常,并且在计算安全功能分数时不会包含这些建议。 请尽量修正这些建议,以便在预览期结束之后,借助这些建议提高安全功能分数。 详细了解如何在
| 安全控制 | 新建议 |
|---|---|
| 启用静态加密 | - Azure Cosmos DB帐户应使用客户管理的密钥来加密静态数据 - Azure 机器学习工作区应使用客户管理的密钥(CMK) 进行加密 - 应为 MySQL 服务器启用“创建自己的密钥”数据保护 - 应为 PostgreSQL 服务器启用“创建自己的密钥”数据保护 - Azure AI 服务帐户应使用客户管理的密钥(CMK)启用数据加密 - 容器注册表应使用客户管理的密钥 (CMK) 进行加密 - SQL 托管实例应使用客户管理的密钥进行静态数据加密 - SQL Server 应使用客户管理的密钥进行静态数据加密 - 存储帐户应使用客户管理的密钥 (CMK) 进行加密 |
| 实现安全最佳实践 | - 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 - 应在订阅上启用Log Analytics代理的自动预配 - 应启用高严重性警报的电子邮件通知 - 应启用向订阅所有者发送高严重性警报的电子邮件通知 - 密钥保管库应启用清除保护 - 密钥保管库应启用软删除 |
| 管理访问和权限 | - 确保函数应用已启用“客户端证书(传入客户端证书)” |
| 保护应用程序免受 DDoS 攻击 | - 应为应用程序网关启用Web 应用程序防火墙(WAF) - 应为 Azure Front Door 服务 服务启用 Web 应用程序防火墙 (WAF) |
| 限制未经授权的网络访问 | - 应在密钥保管库上启用防火墙 - 应为密钥保管库配置专用终结点 - 应用程序配置应使用专用链接 - Azure Cache for Redis应驻留在虚拟网络中 - Azure 事件网格域应使用专用链接 - Azure 事件网格主题应使用专用链接 - Azure 机器学习工作区应使用专用链接 - Azure SignalR 服务应使用专用链接 - Azure Spring Cloud 应使用网络注入 - 容器注册表不得允许无限制的网络访问 - 容器注册表应使用专用链接 - 应为 MariaDB 服务器禁用公用网络访问 - 应为 MySQL 服务器禁用公用网络访问 - 应为 PostgreSQL 服务器禁用公用网络访问 - 存储帐户应使用专用链接连接 - 存储帐户应使用虚拟网络规则来限制网络访问 - VM 映像生成器模板应使用专用链接 |
相关链接:
- 详细了解Azure安全基准
- 详细了解 Azure Database for MariaDB
- 详细了解 Azure Database for MySQL
- 详细了解 Azure Database for PostgreSQL
将经筛选的建议列表导出为 CSV
2020 年 11 月,我们向建议页添加了筛选器。
随着此次公告的发布,我们将更改为“下载到 CSV”按钮的行为,使 CSV 导出仅包含经筛选的列表中当前显示的建议。
例如,在下图中,可以看到列表已筛选为显示两个建议。 生成的 CSV 文件包括受这两个建议影响的每项资源的状态详细信息。
在 Azure 安全中心
在Azure Policy评估中,“不适用”资源现在报告为“合规”
以前,针对建议进行评估且发现不适用的资源显示在Azure Policy显示为“不符合”。 任何用户操作都不能将资源状态更改为“合规”。进行此更改后,为了显得更加清楚,将资源报告为“合规”。
唯一的影响将出现在Azure Policy,其中合规资源的数量将增加。 在Azure 安全中心中,安全分数不会受到影响。
通过连续导出(预览版)导出安全分数和法规合规性数据的每周快照
我们向 连续导出 工具添加了新的预览功能,用于导出安全评分和法规合规性数据的每周快照。
定义连续导出时,请设置导出频率:
- 流式处理 – 更新资源运行状况时将发送评估(如果未发生更新,则不会发送任何数据)。
- 快照 - 将每周发送所有法规符合性评估的当前状态的快照(这是安全分数和法规合规性数据的每周快照的预览功能)。
请在持续导出安全中心数据中详细了解此功能的所有性能。
2020 年 12 月
12 月的更新包括:
- 计算机上的 SQL Server Azure Defender 已正式发布
- Azure Defender正式发布Azure Synapse Analytics专用 SQL 池的 SQL 支持
- 全局管理员现在可以授予自己的租户级别权限
- 两个新的Azure Defender计划:Azure Defender dns 和 资源管理器 Azure Defender(预览版)
Azure 门户(预览版) 在 Azure SQL 数据库 & 中重新获得安全中心体验SQL 托管实例 - 更新了资产清单工具和筛选器
- 有关请求 SSL 证书的 Web 应用的建议不再属于安全功能分数
- 建议页面包含用于环境、严重性和可用响应的新筛选器
- 连续导出获得新的数据类型和改进的 deployifnotexist 策略
计算机上 SQL Server 的Azure Defender已正式发布
Azure 安全中心为 SQL Server 提供两个Azure Defender计划:
- Azure SQL数据库服务器的 Azure Defender - 保护Azure本机 SQL Server
- Azure Defender适用于计算机上的 SQL 服务器 - 将相同的保护扩展到混合、多云和本地环境中的 SQL 服务器
在此公告中,Azure Defender for SQL现在保护数据库及其数据(无论它们位于何处)。
SQL 的Azure Defender包括漏洞评估功能。 漏洞评估工具包括以下高级功能:
- 基线配置 (新增!)可智能地将漏洞扫描结果优化为可能表示实际安全问题的漏洞扫描结果。 建立基线安全状态后,漏洞评估工具仅报告与该基线状态的偏差。 与基线匹配的结果被视为通过后续扫描。 这样,你和你的分析师就可以将注意力集中在重要的方面。
- 详细的基准信息有助于了解已发现的结果,以及这些结果为何与资源相关。
- 修正脚本 ,帮助你缓解已识别的风险。
详细了解适用于 SQL 的 Azure Defender。
Azure Synapse Analytics专用 SQL 池的 SQL 支持Azure Defender已正式发布
Azure Synapse Analytics(前 SQL DW)是一种分析服务,它结合了企业数据仓库和大数据分析。 专用 SQL 池是Azure Synapse的企业数据仓库功能。 在
sql 的Azure Defender通过:
- 用于检测威胁和攻击的高级威胁防护
- 用于识别和修正安全错误配置的漏洞评估功能
Azure Defender,SQL 池支持Azure Synapse Analytics SQL 池会自动添加到Azure 安全中心中的Azure SQL数据库捆绑包。 Azure 门户中 Synapse 工作区页中有一个新的 sql Azure Defender 选项卡。
详细了解适用于 SQL 的 Azure Defender。
全局管理员现在可以授予自己的租户级别权限
具有
若要向你自己分配租户级别的权限,请按照授予自己租户范围的权限中的说明操作。
两个新的Azure Defender计划:DNS 的Azure Defender和资源管理器的Azure Defender(预览版)
我们为Azure环境添加了两个新的云原生威胁防护功能。
这些新保护极大地增强了针对威胁参与者攻击的复原能力,并显著增加了受Azure Defender保护的Azure资源的数量。
Azure Defender for 资源管理器 - 自动监视组织中执行的所有资源管理操作。 有关详细信息,请参阅:
引入到 资源管理器 - 资源管理器警报的Azure Defender
Azure Defender为 资源管理器
针对 DNS 的 Azure Defender - 持续监视来自Azure资源的所有 DNS 查询。 有关详细信息,请参阅:
Azure门户中的新安全警报页(预览版)
Azure 安全中心的安全警报页经过重新设计以提供:
- 更好的警报会审体验 - 帮助减少警报疲劳,让你能够专注于相关度最高的威胁,列表包含可自定义的筛选器和分组选项
- 警报列表中的更多信息 - 例如 MITRE ATT&ACK 策略
- Button 创建示例警报 - 评估Azure Defender功能和测试警报配置(对于 SIEM 集成、电子邮件通知和工作流自动化),可以从所有Azure Defender计划创建示例警报
- 具有Azure Sentinel 事件体验 - 对于使用这两种产品的客户,在两个产品之间进行切换现在是一种更直接的体验,很容易从另一个产品中学习一个
- 大型警报列表的性能更佳
- 通过 警报列表导航键盘
- 来自 Azure Resource Graph 的Alerts - 可以查询所有资源的 Azure Resource Graph(类似于 Kusto 的 API)中的警报。 如果要构建自己的警报仪表板,这也很有用。 详细了解 Azure Resource Graph。
若要访问新体验,请使用安全警报页顶部横幅中的“立即试用”链接。
若要从新的警报体验创建示例警报,请参阅 Generate 示例Azure Defender警报。
振兴了Azure SQL 数据库的安全中心体验SQL 托管实例
SQL 中的安全中心体验提供对以下安全中心和 SQL 功能Azure Defender的访问权限:
- 安全建议 – 安全中心定期分析所有连接的Azure资源的安全状态,以确定潜在的安全配置错误。 然后,它提供有关如何修正这些漏洞和改进组织安全状况的建议。
- 安全警报 – 一种检测服务,用于持续监视 SQL 注入、暴力攻击和特权滥用等威胁的Azure SQL活动。 此服务在安全中心触发详细的和面向操作的安全警报,并提供用于继续调查Microsoft Sentinel的选项,Microsoft的Azure本机 SIEM 解决方案。
- Findings – 一种漏洞评估服务,可持续监视Azure SQL配置并帮助修正漏洞。 评估扫描概述了Azure SQL安全状态以及详细的安全发现。
更新了资产清单工具和筛选器
Azure 安全中心中的清单页已刷新,并进行了以下更改:
工具栏上添加了“指南和反馈”。 该操作会打开一个窗格,其中有指向相关信息和工具的链接。
已添加到资源可用的默认筛选器的订阅筛选器。
打开查询链接,用于将当前筛选器选项作为Azure Resource Graph查询(以前称为“在资源图资源管理器中查看”)。
每个筛选器的运算符选项。 现在,可从“=”之外的其他逻辑运算符中进行选择。 例如,你可能想要查找所有具有活动建议且标题包含“encrypt”字符串的资源。
有关清单的详细信息,请参阅利用资产清单浏览和管理资源。
有关请求 SSL 证书的 Web 应用的建议不再属于安全功能分数
“Web 应用应请求一个 SSL 证书用于所有传入请求”这一建议已从“管理访问和权限”安全控制(分值最多为 4)移至“实施安全最佳做法”(分值为 0)。
确保 Web 应用请求的是肯定会增强其安全性的证书。 但是,对于面向公众的 Web 应用,这是不相关的。 如果通过 HTTP 而不是 HTTPS 访问站点,不会收到任何客户端证书。 因此,如果应用程序需要客户端证书,则你不应允许通过 HTTP 对应用程序发出请求。 有关详细信息,配置用于 Azure 应用服务 的 TLS 相互身份验证。
在此更改后,此建议现在已是推荐的最佳做法,不会影响你的分数。
请在安全控件及其建议中了解每个安全控件中的建议。
建议页面包含用于环境、严重性和可用响应的新筛选器
Azure 安全中心监视所有连接的资源并生成安全建议。 使用这些建议来强化你的混合云状况,并跟踪与组织、行业和国家/地区相关的策略和标准的合规性。
随着安全中心不断扩展其覆盖范围和功能,安全建议的列表每月都在扩充。 例如,请参阅 Twenty 9 个预览版建议,以增加Azure安全基准的覆盖范围。
随着列表的扩充,需要筛选建议来找出最感兴趣的建议。 11 月,我们在“建议”页面中添加了筛选器(请参阅建议列表现包含筛选器)。
本月添加的筛选器提供了一些选项,可根据以下条件优化建议列表:
Environment - 查看 AWS、GCP 或Azure资源的建议(或任何组合)
严重性 - 根据安全中心设置的严重性分类查看建议
响应作 - 根据安全中心响应选项的可用性查看建议:修复、拒绝和强制实施
连续导出获得新的数据类型和改进的 deployifnotexist 策略
Azure 安全中心的持续导出工具使你可以导出安全中心的建议和警报,以便在环境中与其他监视工具一起使用。
“连续导出”使你可以完全自定义将要导出的内容,以及要导出到的位置 。 有关完整详细信息,请参阅连续导出安全中心数据。
这些工具已通过以下方式进行了增强和扩展:
连续导出的 deployifnotexist 策略已得到增强。 策略目前执行以下操作:
检查配置是否已启用。 如果未启用,策略将显示为不合规,并将创建合规的资源。 在
设置连续导出 。支持导出安全结果。 使用Azure Policy模板时,可以将连续导出配置为包括发现。 这在导出具有子建议的建议时非常重要,例如漏洞评估扫描程序的结果或针对“应在计算机上安装系统更新”这一父建议的特定系统更新。
支持导出安全功能分数数据。
已添加合规性评估数据(预览)。 现在可以将更新持续导出到法规合规性评估(包括针对任何自定义计划)导出到Log Analytics工作区或事件中心。 此功能在国家云上不可用。
2020 年 11 月
11 月的更新包括:
- 29 预览版建议增加了对Azure安全基准的覆盖面
- 向安全中心的法规合规性仪表板添加了 NIST SP 800 171 R2
- 建议列表现包含筛选器
- 自动预配体验得到改进和扩展
- 现可在连续导出中使用安全功能分数(预览)
- “应在计算机上安装系统更新”建议现包含子建议
- Azure门户中的 Policy 管理页现在显示默认策略分配的状态
添加了 29 个预览版建议,以提高Azure安全基准的覆盖范围
Azure安全基准是基于常见合规性框架Microsoft创作的、特定于Azure的一组安全与合规性最佳做法指南。 详细了解Azure安全基准。
已在安全中心添加下列 29 条预览建议,以扩大此基准的覆盖范围。
预览版建议不会显示资源运行不正常,并且在计算安全功能分数时不会包含这些建议。 请尽量修正这些建议,以便在预览期结束之后,借助这些建议提高安全功能分数。 详细了解如何在
| 安全控制 | 新建议 |
|---|---|
| 加密传输中的数据 | - 应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” - 应为 MySQL 数据库服务器启用“强制 SSL 连接” - 应将 TLS 更新为 API 应用的最新版本 - 应将 TLS 更新为函数应用的最新版本 - 应将 TLS 更新为 Web 应用的最新版本 - 应在 API 应用中要求使用 FTPS - 应在函数应用中要求使用 FTPS - 应在 Web 应用中要求使用 FTPS |
| 管理访问和权限 | - Web 应用应请求一个用于所有传入请求的 SSL 证书 - 应在 API 应用中使用托管标识 - 应在函数应用中使用托管标识 - 应在 Web 应用中使用托管标识 |
| 限制未经授权的网络访问 | - 应为 PostgreSQL 服务器启用专用终结点 - 应为 MariaDB 服务器启用专用终结点 - 应为 MySQL 服务器启用专用终结点 |
| 启用审核和日志记录 | - 应启用应用服务中的诊断日志 |
| 实现安全最佳实践 | - 应为虚拟机启用Azure 备份 - 应为Azure Database for MariaDB启用异地冗余备份 - 应为Azure Database for MySQL启用异地冗余备份 - 应为Azure Database for PostgreSQL启用异地冗余备份 - 应将 PHP 更新为 API 应用的最新版本 - 应将 PHP 更新为 Web 应用的最新版本 - Java应更新为 API 应用的最新版本 - Java应更新为函数应用的最新版本 - 应将Java更新为 Web 应用的最新版本 - Python应更新为 API 应用的最新版本 - 应将Python更新为函数应用的最新版本 - 应将Python更新为 Web 应用的最新版本 - 应将 SQL Server 的审核保留设置为至少 90 天 |
相关链接:
- 详细了解Azure安全基准
- 详细了解 Azure API 应用
- 详细了解Azure函数应用
- 详细了解 Azure Web 应用
- 详细了解 Azure Database for MariaDB
- 详细了解 Azure Database for MySQL
- 详细了解 Azure Database for PostgreSQL
向安全中心的法规合规性仪表板添加了 NIST SP 800 171 R2
NIST SP 800-171 R2 标准现已作为内置计划提供,用于Azure 安全中心的法规合规性仪表板。 有关控制措施的映射,可参阅 NIST SP 800-171 R2 法规合规性内置计划的详细信息。
若要将该标准用于订阅并持续监视合规性状态,请按照自定义法规合规性仪表板中的标准集中的说明操作。
有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2。
建议列表现包含筛选器
现在,你可以根据一系列条件筛选安全建议列表。 在以下示例中,建议列表经过筛选,以显示满足以下条件的建议:
- 已正式发布(即不是预览版)
- 适用于 存储帐户
- 支持 快速修复 修正
自动预配体验得到改进和扩展
自动预配功能通过在新的和现有的 VM 上安装所需的扩展来帮助减少管理开销,Azure VM,以便它们可以从安全中心的保护中受益。
随着Azure 安全中心的增长,已开发更多的扩展,安全中心可以监视更大的资源类型列表。 自动预配工具现已扩展,以利用Azure Policy的功能来支持其他扩展和资源类型。
现在可以配置以下项的自动预配:
- Log Analytics代理
- (新)适用于 Kubernetes 的 Azure Policy
- (新)Microsoft依赖关系代理
在 Autoprovisioning agents and extensions from Azure 安全中心 中了解详细信息。
现可在连续导出中使用安全功能分数(预览)
通过连续导出安全功能分数,可以实时将分数的更改流式传输到Azure 事件中心或Log Analytics工作区。 此功能可用于:
- 通过动态报表跟踪一段时间内的安全功能分数
- 将安全评分数据导出到Microsoft Sentinel(或任何其他 SIEM)
- 将此数据与你可能已在使用的任何进程集成来监视你组织中的安全功能分数
详细了解如何连续导出安全中心数据。
“应在计算机上安装系统更新”建议现包含子建议
“应在计算机上安装系统更新”建议已得到增强。 新版本包括针对每个缺失的更新的子建议,其中还引入了以下改进:
Azure门户Azure 安全中心页面中重新设计的体验。 “应在计算机上安装系统更新”的建议详细信息页包括发现结果列表,如下所示。 选择单个发现结果时,结果窗格将打开,并提供指向修正信息和受影响资源列表的链接。
Azure Resource Graph (ARG) 中建议的扩充数据。 ARG 是一项Azure服务,旨在提供高效的资源探索。 可以使用 ARG 在一组给定的订阅中进行大规模查询,以便有效地控制环境。
对于Azure 安全中心,可以使用 ARG 和 Kusto 查询语言(KQL)查询各种安全状况数据。
以前,如果你在 ARG 中查询此建议,唯一提供的信息就是“需要在计算机上修正建议”。 以下查询的增强版本将返回按计算机分组的每个缺失的系统更新。
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Azure门户中的策略管理页现在显示默认策略分配的状态
现在,可以在Azure门户的安全中心安全策略页中查看订阅是否分配了默认的安全中心策略。
2020 年 10 月
10月更新包括:
- 本地和多云计算机的漏洞评估(预览版)
- 添加了 Azure 防火墙 建议(预览版)
- “应在 Kubernetes 服务上定义已授权的 IP 范围”建议更新了快速修复
- 法规合规性仪表板现在包含用于删除标准的选项
Microsoft。从 Azure Resource Graph
本地和多云计算机的漏洞评估(预览版)
适用于 Server 的 Azure Defender 集成漏洞评估扫描程序(由 Qualys 提供支持)现在扫描已启用Azure Arc的服务器。
在非Azure计算机上启用Azure Arc后,安全中心将提供在非Azure计算机上部署集成的漏洞扫描程序(手动和大规模)。
通过此更新,你可以释放 server 的 Azure Defender 功能,以便在所有Azure和非Azure资产中整合漏洞管理计划。
主要功能:
- 监视Azure Arc计算机上的 VA(漏洞评估)扫描程序预配状态
- 将集成的 VA 代理预配到未受保护的Windows和 Linux Azure Arc 计算机(手动和大规模)
- 从部署的代理接收和分析检测到的漏洞(手动和大规模)
- Azure VM 和Azure Arc计算机的统一体验
详细了解如何将集成式 Qualys 漏洞扫描程序部署到混合计算机。
添加了Azure 防火墙建议(预览版)
添加了一项新建议,用于通过Azure 防火墙保护所有虚拟网络。
建议
详细了解 Azure 防火墙。
“应在 Kubernetes 服务上定义已授权的 IP 范围”建议更新了快速修复
“应在 Kubernetes 服务上定义已授权的 IP 范围”建议现提供一个快速修复选项。
法规合规性仪表板现在包含用于删除标准的选项
安全中心的法规合规性仪表板基于你满足特定合规控制和要求的情况来提供合规态势的见解。
该仪表板包含一组默认的法规标准。 如果提供的任何标准都与你的组织不相关,那么现在简单操作一下就可在订阅的 UI 中将它们删除。 只能在 订阅 级别删除标准;不是管理组范围。
有关详细信息,请参阅从仪表板中删除标准。
Microsoft。从 Azure Resource Graph 中删除了 Security/securityStatuses 表 (ARG)
Azure Resource Graph是Azure中的一项服务,旨在提供高效的资源探索,能够大规模地跨一组给定的订阅进行查询,以便有效地管理环境。
对于Azure 安全中心,可以使用 ARG 和 Kusto 查询语言(KQL)查询各种安全状况数据。 例如:
- 资产清单利用 ARG
- 我们提供了一个示例 ARG 查询,说明如何在未启用多重身份验证 (MFA) 的情况下标识帐户
ARG 中提供了可以在查询中使用的数据表。
Tip
ARG 文档列出了 Azure Resource Graph 表和资源类型引用中的所有可用表。
从此更新中,Microsoft。安全/securityStatuses表已删除。 securityStatuses API 仍可用。
数据替换可由Microsoft使用。安全/评估表。
Microsoft之间的主要区别。Security/securityStatuses 和 Microsoft。安全/评估是,当第一个显示评估聚合时,秒将为每个记录保留一条记录。
例如,Microsoft。Security/securityStatuses 将返回包含两个 policyAssessments 数组的结果:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
而Microsoft。安全/评估为每个此类策略评估保留记录,如下所示:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
将使用 securityStatuses 的现有 ARG 查询转换为现在使用 Assessments 表的示例:
引用 SecurityStatuses 的查询:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Assessments 表的替换查询:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
若要了解详细信息,请参阅下列链接:
2020 年 9 月
9 月的更新包括:
- 安全中心获得新的外观!
- 已发布Azure Defender
- 密钥保管库的 Azure Defender 已正式发布
- 适用于文件和 ADLS Gen2 存储保护的 Azure Defender 已正式发布
- 资产清单工具现已正式发布
- 对容器注册表和虚拟机的扫描禁用特定漏洞发现结果
- 从建议中免除资源
- 安全中心的 AWS 和 GCP 连接器引入了多云体验
- Kubernetes 工作负载保护建议捆绑
- 漏洞评估发现结果现已可以连续导出
- 在创建新资源时通过强制执行建议来防止安全性配置错误
- 改进了网络安全组建议
- 弃用了预览 AKS 建议“应在 Kubernetes 服务上定义 Pod 安全策略”
- 改进Azure 安全中心邮件通知
- 安全功能分数不包括预览建议
- 建议现在包含严重性指标和新鲜度间隔
安全中心获得新的外观
我们已发布安全中心门户页面的更新 UI。 新页面包括用于安全评分、资产清单和Azure Defender的新概述页和仪表板。
重新设计的概述页面现在有一个磁贴,用于访问安全功能分数、资产清单和Azure Defender仪表板。 它还包含一个可以链接到合规性面板的磁贴。
了解有关 概述页的详细信息。
已发布Azure Defender
Azure Defender是安全中心内集成的云工作负荷保护平台(CWPP),用于高级、智能、保护Azure和混合工作负荷。 它取代了安全中心的标准定价层选项。
从Azure 安全中心的 Pricing 和设置区域启用Azure Defender时,将同时启用以下Defender计划,并为环境的计算、数据和服务层提供全面的防御:
- server 的 Azure Defender
- 应用服务的 Azure Defender
- 存储的 Azure Defender
- sqlAzure Defender>
- 适用于 密钥保管库Azure Defender>
- 适用于 Kubernetes 的 Azure Defender
- 容器注册表的 Azure Defender
安全中心的文档对其中每个计划单独进行了介绍。
借助专用仪表板,Azure Defender为虚拟机、SQL 数据库、容器、Web 应用程序、网络等提供安全警报和高级威胁防护。
密钥保管库的Azure Defender已正式发布
Azure 密钥保管库是一种云服务,用于保护加密密钥和机密,例如证书、连接字符串和密码。
Azure Defender for 密钥保管库为Azure 密钥保管库提供Azure原生高级威胁防护,提供额外的安全智能层。 通过扩展,密钥保管库的Azure Defender因此保护依赖于密钥保管库帐户的许多资源。
可选计划现已正式发布。 此功能以“Azure 密钥保管库的高级威胁防护”为预览版提供。
此外,Azure门户中的密钥保管库页现在包括一个专用的 Security 页,用于 Security Center 建议和警报。
详细了解 Azure Defender for 密钥保管库。
适用于文件和 ADLS Gen2 存储保护的Azure Defender已正式发布
Azure Defender用于存储检测Azure 存储帐户上的潜在有害活动。 无论数据是存储为 blob 容器、文件共享还是数据湖,都可以为其提供保护。
现已正式发布对 Azure 文件存储 和 Azure Data Lake Storage Gen2 的支持。
从 2020 年 10 月 1 日起,我们将开始有偿保护这些服务上的资源。
有关详细信息,Azure Defender for Storage。
资产清单工具现已正式发布
Azure 安全中心的资产清单页提供了一个页面,用于查看已连接到安全中心的资源的安全状况。
安全中心定期分析Azure资源的安全状态,以确定潜在的安全漏洞。 然后会提供有关如何消除这些安全漏洞的建议。
当任何资源具有未完成的建议时,它们将显示在清单中。
有关详细信息,请参阅利用资产清单浏览和管理资源。
对容器注册表和虚拟机的扫描禁用特定漏洞发现结果
Azure Defender包括用于扫描Azure 容器注册表和虚拟机中的映像的漏洞扫描程序。
如果组织需要忽略发现结果,而不是修正漏洞,则可以选择禁用发现结果。 禁用发现结果不会影响安全分数,也不会产生有害的噪音。
当发现结果与在禁用规则中定义的条件相匹配时,它不会显示在发现结果列表中。
此选项在建议详细信息页中提供,用于:
- 应修正Azure 容器注册表图像中的 Vulnerabilities
- 应修正虚拟机中的漏洞
从建议中免除资源
有时,某个资源就某个特定建议而言会被列为不正常(因而会降低安全分数),尽管你认为不应是这样。 它可能已被安全中心未跟踪的进程修正。 或者,你的组织可能已决定接受该特定资源的风险。
在这种情况下,可以创建免除规则,确保将来不会将该资源列为不正常资源。 这些规则可以包括下文所述的书面理由。
有关详细信息,请参阅从建议和安全分数中免除资源。
安全中心的 AWS 和 GCP 连接器引入了多云体验
由于云工作负载通常跨多个云平台分布,因此云安全服务也需要如此。
Azure 安全中心现在保护Azure、Amazon Web Services(AWS)和 Google 云平台(GCP)中的工作负载。
将 AWS 和 GCP 项目载入安全中心时,它将 AWS 安全中心、GCP 安全命令和Azure 安全中心集成。
在 连接 AWS 帐户以Azure 安全中心和连接 GCP 项目以Azure 安全中心的详细信息。
Kubernetes 工作负载保护建议捆绑
为了确保 Kubernetes 工作负载在默认情况下是安全的,安全中心将添加 Kubernetes 级别强化建议,其中包括具有 Kubernetes 准入控制的执行选项。
在 AKS 群集上为 Kubernetes 安装Azure Policy后,对 Kubernetes API 服务器的每个请求都将根据预定义的最佳做法集进行监视,然后再保存到群集。 然后,可以配置为强制实施最佳做法,并规定将其用于未来的工作负载。
例如,可以规定不应创建特权容器,并且阻止以后的任何请求。
有关详细信息,请参阅使用 Kubernetes 准入控制实现工作负载保护最佳做法。
漏洞评估发现结果现已可以连续导出
使用连续导出将警报和建议流式传输到Azure 事件中心、Log Analytics工作区或Azure Monitor。 在此处,可以将此数据与 SIEM 集成,例如Microsoft Sentinel、Power BI、Azure 数据资源管理器等。
安全中心的集成漏洞评估工具在“父”建议中将有关资源的发现结果作为可操作性建议返回,例如“应修正虚拟机中的漏洞”。
现在选择建议并启用“包括安全性结果”选项时,可以通过连续导出来导出安全性结果。
相关页面:
在创建新资源时通过强制执行建议来防止安全性配置错误
安全性配置错误是造成安全事件的主要原因。 安全中心现在可以帮助 防止 有关特定建议的新资源配置错误。
此功能可帮助保护工作负载的安全和稳定安全分数。
可以在两种模式下根据特定建议强制实施安全配置:
使用拒绝Azure Policy模式,可以阻止创建不正常的资源
使用强制选项,可以利用 Azure Policy 的 DeployIfNotExist 效果,并在创建时自动修正不合规的资源
这适用于所选的安全建议,位于资源详细信息页的顶部。
有关详细信息,请参阅使用“强制执行/拒绝”建议防止错误配置。
改进了网络安全组建议
以下与网络安全组相关的安全建议已得到优化,可减少误报。
- 应在与 VM 关联的 NSG 上限制所有网络端口
- 应关闭虚拟机上的管理端口
- 面向 Internet 的虚拟机应使用网络安全组进行保护
- 子网应与网络安全组关联
弃用了预览 AKS 建议“应在 Kubernetes 服务上定义 Pod 安全策略”
预览版建议“应在 Kubernetes 服务上定义 Pod 安全策略”已弃用,如 Azure Kubernetes 服务 文档中所述。
Pod 安全策略(预览版)功能已设置为弃用,在 2020 年 10 月 15 日之后将不再可用,以支持 AKS Azure Policy。
弃用 Pod 安全策略(预览版)后,必须使用已弃用的功能禁用任何现有群集上的功能,以执行将来的群集升级并保留在Azure 支持中。
改进了来自Azure 安全中心的电子邮件通知
电子邮件中与安全警报相关的以下部分已得到优化:
- 添加了发送针对所有严重性级别的电子邮件警报通知的功能
- 添加了在订阅上通知具有不同Azure角色的用户的功能
- 默认情况下,我们会主动向订阅所有者通知高严重性警报(这些警报很可能表示真正的漏洞)
- 我们已从电子邮件通知配置页面中删除了电话号码字段
有关详细信息,请参阅设置安全警报的电子邮件通知。
安全功能分数不包括预览建议
安全中心会持续评估资源、订阅和组织的安全问题。 然后,它将所有调查结果汇总成一个分数,让你可以一目了然地了解当前的安全状况:分数越高,识别出的风险级别就越低。
发现新的威胁后,安全中心会通过提出新的建议来提供新的安全建议。 为避免意外更改安全分数,并提供宽限期,可以在新建议影响分数之前浏览新建议,标记为 预览 的建议不再包含在安全功能分数的计算中。 但仍应尽可能按这些建议进行修正,这样在预览期结束时,它们会有助于提升分数。
此外, 预览 建议不会呈现资源“不正常”。
预览建议示例如下:
建议现包含严重性指示器和刷新时间间隔
现在,建议的详细信息页面包括一个刷新时间间隔指示器(如相关),并且清楚显示了建议的严重性。
2020 年 8 月
8 月的更新包括:
- 资产清单 - 功能强大的资产安全状况新视图
对Microsoft Entra ID安全默认值(用于多重身份验证) - 添加了服务主体建议
- VM 上的漏洞评估 - 已合并建议和策略
- 添加到ASC_default计划的新 AKS 安全策略
资产清单 - 功能强大的资产安全状况新视图
安全中心的资产清单页(当前为预览版)提供了一种方法,用于查看已连接到安全中心的资源的安全状况。
安全中心定期分析Azure资源的安全状态,以确定潜在的安全漏洞。 然后会提供有关如何消除这些安全漏洞的建议。 当任何资源具有未完成的建议时,它们将显示在清单中。
你可以使用该视图及其筛选器来浏览安全状况数据,并根据发现结果采取更多操作。
详细了解 资产清单。
添加了对Microsoft Entra ID安全默认值的支持(用于多重身份验证)
安全中心添加了对安全默认值的完全支持,Microsoft的免费标识安全保护。
安全默认值提供了预配置的标识安全设置,以保护组织免受与标识相关的常见攻击。 安全默认值总计已保护了逾 500 万名租户;50,000 名租户也受安全中心的保护。
每当安全中心标识未启用安全默认值的Azure订阅时,安全中心现在都提供安全建议。 到目前为止,安全中心建议使用条件访问启用多重身份验证,这是Microsoft Entra ID高级许可证的一部分。 对于使用免费Microsoft Entra ID的客户,我们现在建议启用安全默认值。
我们的目标是鼓励更多客户使用 MFA 保护其云环境,并缓解也是安全 评分影响最大的风险之一。
详细了解 安全默认值。
添加了服务主体建议
添加了新的建议,建议使用管理证书管理订阅的安全中心客户切换到服务主体。
建议服务主体用于保护订阅而不是管理证书建议使用服务主体或Azure 资源管理器更安全地管理订阅。
详细了解 Microsoft Entra ID 中的
VM 漏洞评估 - 合并了建议和策略
安全中心检查 VM,以检测其是否正在运行漏洞评估解决方案。 如果未找到漏洞评估解决方案,安全中心将建议简化部署。
如果发现漏洞,安全中心将建议总结结果,以便必要时进行调查和修正。
无论用户使用哪些类型的扫描仪,为确保所有用户享受一致的体验,我们已将四条建议统一为以下两条:
| 统一建议 | 更改描述 |
|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 替换以下两条建议: ***** 在虚拟机上启用内置漏洞评估解决方案(由 Qualys 提供支持)(现已弃用)(仅标准层显示此建议) ***** 漏洞评估解决方案应安装在虚拟机上(现已弃用)(标准和免费层显示此建议) |
| 应修正虚拟机中的漏洞 | 替换以下两条建议: ***** 修正虚拟机上发现的漏洞(由 Qualys 提供支持)(现已弃用) ***** 应通过漏洞评估解决方案修正漏洞(现已弃用) |
现在,你将使用相同的建议部署安全中心的漏洞评估扩展或合作伙伴(例如 Qualys 或 Rapid7)的私下许可解决方案(“BYOL”)。
此外,发现漏洞并报告到安全中心时,无论哪个漏洞评估解决方案标识了结果,都会有一条建议提醒你注意这些结果。
更新依赖项
如果脚本、查询或自动化引用了先前的建议或策略密钥/名称,请使用下表更新引用:
2020 年 8 月之前
| Recommendation | Scope |
|---|---|
|
在虚拟机上启用内置漏洞评估解决方案(由 Qualys 提供支持) 密钥:550e890b-e652-4d22-8274-60b3bdb24c63 |
Built-in |
| 修正虚拟机上发现的漏洞(由 Qualys 提供支持) 密钥:1195afff-c881-495e-9bc5-1486211ae03f |
Built-in |
| 应在虚拟机上安装漏洞评估解决方案 密钥:01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
|
应通过漏洞评估解决方案修复漏洞 密钥:71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Scope |
|---|---|
|
应对虚拟机启用漏洞评估 策略 ID:501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Built-in |
|
应通过漏洞评估解决方案修正漏洞 策略 ID:760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
2020 年 8 月之后
| Recommendation | Scope |
|---|---|
|
应在虚拟机上启用漏洞评估解决方案 密钥:ffff0522-1e88-47fc-8382-2a80ba848f5d |
内置 + BYOL |
|
应修正虚拟机中的漏洞 密钥:1195afff-c881-495e-9bc5-1486211ae03f |
内置 + BYOL |
| Policy | Scope |
|---|---|
|
应对虚拟机启用漏洞评估 策略 ID:501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
内置 + BYOL |
添加到ASC_default计划的新 AKS 安全策略
为了确保 Kubernetes 工作负载在默认情况下是安全的,安全中心将添加 Kubernetes 级别策略和强化建议,其中包括具有 Kubernetes 准入控制的执行选项。
此项目的早期阶段包括预览版,以及向ASC_default计划添加新(已禁用)策略。
可以放心地忽略这些策略,这些策略不会对环境造成影响。 若要启用预览版,请通过
- 单个预览 版 – 仅加入此预览版。 明确提及将“ASC 连续扫描”作为要加入的预览版。
- 正在进行的计划 - 要添加到此预览版和将来的预览版。 你需要完成个人资料和隐私协议。
2020 年 7 月
7 月的更新包括:
- 虚拟机的漏洞评估现在适用于非市场映像
- 扩展Azure 存储的reat 保护,包括Azure 文件存储和Azure Data Lake Storage Gen2(预览版)
- 启用威胁防护功能的八条新建议
- 容器安全性优化 - 注册表扫描和刷新文档速度更快
- 更新了自适应应用程序控制,添加了新建议以及对路径规则中的通配符的支持
- 已弃用六个 SQL 高级数据安全策略
虚拟机的漏洞评估现在适用于非市场映像
部署漏洞评估解决方案时,安全中心以前会在部署之前执行验证检查。 检查的目的是确认目标虚拟机的市场 SKU。
从此更新中删除检查,现在可以将漏洞评估工具部署到“自定义”Windows和 Linux 计算机。 自定义映像是你根据市场默认值修改的映像。
虽然现在可以在更多台计算机上部署集成的漏洞评估扩展(由 Qualys 提供支持),但只有在使用将集成漏洞扫描程序部署到标准层 VM列出的操作系统时,才可以使用支持
详细了解虚拟机集成漏洞扫描程序(需要Azure Defender)。
详细了解如何从 Qualys 或Rapid7部署合作伙伴漏洞扫描解决方案中使用你自己的专用许可漏洞评估解决方案。
Azure 存储的威胁防护已展开,包括Azure 文件存储和Azure Data Lake Storage Gen2(预览版)
Azure 存储威胁防护可检测Azure 存储帐户上的潜在有害活动。 安全中心在检测到对存储帐户的访问或攻击尝试时会显示警报。
无论数据是存储为 blob 容器、文件共享还是数据湖,都可以为其提供保护。
启用威胁防护功能的八条新建议
添加了八项新建议,以便为以下资源类型启用Azure 安全中心的威胁防护功能:虚拟机、应用服务计划、Azure SQL 数据库服务器、计算机上的 SQL 服务器、Azure 存储帐户、Azure Kubernetes 服务群集、Azure 容器注册表注册表和Azure 密钥保管库保管库。
新建议如下所示:
- 应在 Azure SQL 数据库 服务器上启用Advanced 数据安全性
- 应在计算机的 SQL 服务器上启用高级数据安全
- 应对Azure 应用服务计划启用 Advanced 威胁防护
- 应在Azure 容器注册表注册表上启用Advanced 威胁防护
- 应在Azure 密钥保管库保管库上启用Advanced 威胁防护
- 应在Azure Kubernetes 服务群集上启用Advanced 威胁防护
- 应在 Azure 存储 帐户上启用 Advanced 威胁防护
- 应对虚拟机启用高级威胁防护
建议还包括快速修复功能。
Important
修正任一建议都将产生相关资源的保护费用。 如果当前订阅中有相关资源,则立即开始计费。 或者以后在你添加资源时,开始计费。
例如,如果订阅中没有任何Azure Kubernetes 服务群集,并且启用了威胁防护,则不会产生任何费用。 如果以后在同一订阅中添加了群集,它将自动受到保护,并从该时间点开始计费。
详细了解 Azure 安全中心 中的
容器安全性优化 - 注册表扫描和刷新文档速度更快
作为容器安全域中持续投资的一部分,我们很高兴在安全中心动态扫描存储在Azure 容器注册表中的容器映像方面分享显著的性能改进。 目前,扫描通常会在大约两分钟内完成。 在某些情况下,可能最多需要 15 分钟。
为了提高有关Azure 安全中心容器安全功能的明确性和指导,我们还刷新了容器安全文档页。
更新了自适应应用程序控制,添加了新建议以及对路径规则中的通配符的支持
自适应应用程序控制功能已收到两个重要更新:
一项新的建议指出以前不允许的可能合法的行为。 “应更新自适应应用程序控制策略中的允许列表规则”这一新建议提示向现有策略添加新规则,以减少自适应应用程序控制违规警报的误报数。
路径规则现支持通配符。 在此更新中,可以使用通配符配置允许的路径规则。 支持以下两种方案:
在路径末尾使用通配符可允许此文件夹和子文件夹中的所有可执行文件。
如果在路径中间使用通配符,则可在变化的文件夹名称中具有已知的可执行文件名称(例如,使用已知可执行文件的个人用户文件夹、自动生成的文件夹名称等)。
已弃用六个 SQL 高级数据安全性策略
即将弃用与 SQL 计算机的高级数据安全性相关的六个策略:
- 应在 SQL 托管实例的“高级数据安全”设置中将“高级威胁保护类型”设置为“全部”
- 应在 SQL Server 的高级数据安全设置中将“高级威胁防护类型”设置为“全部”
- SQL 托管实例的“高级数据安全性”设置应包含用于接收安全警报的电子邮件地址
- SQL 服务器的“高级数据安全性”设置应包含用于接收安全警报的电子邮件地址
- 应在 SQL 托管实例高级数据安全设置中启用“向管理员和订阅所有者发送电子邮件通知”
- 应在 SQL 服务器高级数据安全设置中为管理员和订阅所有者启用电子邮件通知
详细了解 内置策略。
2020 年 6 月
6 月的更新包括以下内容:
- 安全分数 API(预览)
SQL 计算机(Azure、其他云和本地)(预览版) 将Log Analytics代理部署到Azure Arc计算机(预览版) - 大规模创建连续导出和工作流自动化配置的新策略
- 使用 NSG 保护非面向 Internet 的虚拟机的新建议
- 启用威胁防护和高级数据安全性的新策略
安全功能分数 API(预览)
可以通过安全功能分数 API(当前处于预览阶段)立即访问分数。 通过 API 方法,可灵活地查询数据,久而久之构建自己的安全功能分数报告机制。 例如,可以使用 安全功能分数 API 获取特定订阅的分数。 此外,还可以使用安全功能分数控件 API 列出安全控件和订阅的当前分数。
有关使用安全功能分数 API 实现的外部工具的示例,请参阅 GitHub社区的安全分数区域。
在 Azure 安全中心 中了解有关
SQL 计算机的高级数据安全性(Azure、其他云和本地)(预览版)
Azure 安全中心 SQL 计算机的高级数据安全性现在可保护托管在其他云环境甚至本地计算机上Azure中托管的 SQL Server。 这扩展了Azure本机 SQL Server 的保护,以完全支持混合环境。
高级数据安全可为任何位置的 SQL 计算机提供漏洞评估和高级威胁防护。
设置包含两个步骤:
将Log Analytics代理部署到SQL Server的主机,以提供与 Azure 帐户的连接。
在安全中心的“定价和设置”页中启用可选捆绑。
详细了解 SQL 计算机的高级数据安全。
将Log Analytics代理部署到Azure Arc计算机(预览版)的两个新建议
添加了两个新建议,以帮助将 Log Analytics Agent 部署到Azure Arc计算机,并确保它们受到Azure 安全中心的保护:
- Log Analytics代理应安装在基于Windows的Azure Arc计算机上(预览版)
- Log Analytics代理应安装在基于 Linux 的Azure Arc计算机上(预览版)
这些新建议将出现在“应在计算机上安装监视代理”这一现有(相关)建议所在的四个安全控制中:修正安全配置、应用自适应应用程序控制、应用系统更新,以及启用 Endpoint Protection。
建议还包括快速修复功能,可加速部署进程。
详细了解 Azure 安全中心 如何在
详细了解 Azure Arc 计算机的 extensions。
大规模创建连续导出和工作流自动化配置的新策略
自动执行组织的监视和事件响应流程可以显著缩短调查和缓解安全事件所需的时间。
若要在整个组织中部署自动化配置,请使用这些内置的“DeployIfdNotExist”Azure策略来创建和配置连续导出和workflow 自动化过程:
可以在Azure Policy中找到策略定义:
| Goal | Policy | 策略 ID |
|---|---|---|
| 连续导出到事件中心 | Deploy 导出到事件中心以获取Azure 安全中心警报和建议 | cdfcce10-4578-4ecd-9703-530938e4abcb |
| 连续导出到Log Analytics工作区 | Deploy 导出到Log Analytics工作区以获取Azure 安全中心警报和建议 | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| 安全警报的工作流自动化 | 用于Azure 安全中心警报的部署工作流自动化 | f1525828-9a90-4fcf-be48-268cdd02361e |
| 安全建议的工作流自动化 | 用于Azure 安全中心建议的部署工作流自动化 | 73d6ab6c-2475-4850-afd6-43795f3492ef |
开始使用 workflow 自动化模板。
请参阅使用提供的策略大规模地配置工作流自动化以及设置连续导出,了解关于如何使用两种导出策略的详细信息。
使用 NSG 保护非面向 Internet 的虚拟机的新建议
“实现安全最佳做法”安全控制现包括以下新建议:
- 应使用网络安全组来保护非面向 Internet 的虚拟机
“应使用网络安全组保护面向 Internet 的虚拟机”这一现有建议不区分面向 Internet 的虚拟机和面向非 Internet 的虚拟机。 对于这两种情况,如果未将 VM 分配给网络安全组,则会生成高严重性建议。 这一新建议将区分面向非 Internet 的计算机,以减少误报并避免出现不必要的高严重性警报。
启用威胁防护和高级数据安全性的新策略
下面的新策略定义已添加到 ASC 默认计划中,旨在协助为相关资源类型启用威胁防护或高级数据安全。
可以在Azure Policy中找到策略定义:
| Policy | 策略 ID |
|---|---|
| 应在 Azure SQL 数据库 服务器上启用Advanced 数据安全性 | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| 应在计算机的 SQL 服务器上启用高级数据安全 | 6581d072-105e-4418-827f-bd446d56421b |
| 应在 Azure 存储 帐户上启用 Advanced 威胁防护 | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| 应在Azure 密钥保管库保管库上启用Advanced 威胁防护 | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| 应对Azure 应用服务计划启用 Advanced 威胁防护 | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| 应在Azure 容器注册表注册表上启用Advanced 威胁防护 | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| 应在Azure Kubernetes 服务群集上启用Advanced 威胁防护 | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
| 应在 虚拟机Advanced 威胁防护> | 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
详细了解 Azure 安全中心 中的
2020 年 5 月
5 月的更新包括以下内容:
- 警报抑制规则(预览版)
- 虚拟机漏洞评估现已正式发布
- 对实时 (JIT) 虚拟机 (VM) 访问权限的更改
- 自定义建议已移至单独的安全控件
- 已添加开关,可在控件中显示建议或以简单列表的形式显示
- 扩展了“实现安全最佳做法”这一安全控件
- 具有自定义元数据的自定义策略现已正式发布
- 故障转储分析功能正在迁至无文件攻击检测中
警报抑制规则(预览版)
这项新功能目前为预览版,它可帮助缓解警报疲劳。 可使用规则来自动隐藏已知无害或已知与你组织中的正常活动相关的警报。 这可让你专注于最相关的威胁。
仍将生成与你启用的抑制规则相匹配的警报,但它们的状态将设置为“已取消”。 可以在Azure门户中查看状态,或者访问安全中心安全警报。
抑制规则定义了自动取消警报所应遵循的条件。 通常,使用抑制规则来:
取消已标识为“误报”的警报
取消限制过于频繁地触发而失去作用的警报
虚拟机漏洞评估现已正式发布
安全中心的标准层现包含集成的虚拟机漏洞评估,该扩展免费提供。 该扩展由 Qualys 提供支持,但将检测结果直接报告回安全中心。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。
这一新的解决方案可持续扫描你的虚拟机来找出漏洞,并在安全中心显示检测结果。
若要部署该解决方案,请使用新的安全建议:
“在虚拟机上启用内置漏洞评估解决方案(由 Qualys 提供支持)”
详细了解安全中心集成的虚拟机漏洞评估。
对实时 (JIT) 虚拟机 (VM) 访问权限的更改
安全中心包含一项可选功能,可保护 VM 的管理端口。 这可抵御最常见形式的暴力攻击。
本次更新就此功能进行了以下更改:
重命名了推荐你在 VM 上启用 JIT 的建议。 以前的名称为“应对虚拟机应用实时网络访问控制”,现在改为“应通过即时网络访问控制来保护虚拟机的管理端口”。
建议仅在有管理端口打开时才触发。
详细了解 JIT 访问功能。
自定义建议已移至单独的安全控件
安全分数增强版引入的一个安全控件是“实施安全最佳做法”。为订阅创建的所有自定义建议已自动放入该控件中。
为便于查找自定义建议,我们已将这些建议移到一个名为“自定义建议”的专用安全控件中。此控件不会影响你的安全功能分数。
在
已添加开关,可在控件中显示建议或以简单列表的形式显示
安全控件是相关安全建议的逻辑组。 它们反映了易受攻击的攻击面。 控件是一组安全建议,附有帮助你实施这些建议的说明。
若要立即查看组织对每个攻击面的保护情况,请查看每个安全控件的分数。
默认情况下,你的建议显示在安全控件中。 通过本次更新,你还可以采用列表形式显示它们。 若要以简单列表的形式查看它们,且列表按受影响的资源的运行状况排序,请使用新的“按控件分组”开关。 开关位于门户中列表的上面。
安全控件及其开关是新的安全功能分数体验的一部分。 请记得在门户中提供反馈。
在
扩展了“实现安全最佳做法”这一安全控件
安全分数增强版引入的一个安全控件是“实施安全最佳做法”。如果建议在此控件中显示,则不影响安全功能分数。
通过本次更新,已将三项建议从它们原先所在的控件移动到这个最佳做法控件中。 我们采取此步骤的原因是我们判定这三项建议的风险比最初设想的要低。
此外,还引入了两项新建议,它们也添加到了此控件中。
移动的三项建议如下:
- 应在对订阅拥有读取权限的帐户上启用 MFA(原先位于“启用 MFA”控件中)
- 应从订阅中删除具有读取权限的外部帐户(原先位于“管理访问和权限”控件中)
- 只多只为订阅指定 3 个所有者(原先位于“管理访问和权限”控件中)
添加到控件中的两项新建议如下:
应在Windows虚拟机(预览版)上安装配置扩展 - 使用 Azure Policy 来宾配置可在虚拟机中查看服务器和应用程序设置(仅限Windows)。
Microsoft Defender攻击防护应在计算机上启用(预览版) - Microsoft Defender Exploit Guard 利用Azure Policy来宾配置代理。 Exploit Guard 有四个组件,旨在锁定设备免受各种攻击途径和恶意软件攻击中常用的阻止行为,同时使企业能够平衡其安全风险和生产力要求(仅Windows)。
在 创建和部署 Exploit Guard 策略中了解有关 Microsoft Defender Exploit Guard 的详细信息。
要详细了解安全控件,请参阅安全功能分数增强版(预览版)。
具有自定义元数据的自定义策略现已正式发布
自定义策略现显示在安全中心的建议体验、安全功能分数和法规符合性标准仪表板中。 此功能现已正式发布,可用于在安全中心扩大你组织的安全评估范围。
在Azure Policy中创建自定义计划,向其添加策略并将其载入Azure 安全中心,并将其可视化为建议。
现在,我们还添加了可编辑自定义建议元数据的选项。 元数据选项中有严重级别、修正步骤和威胁信息等。
详细了解利用详细信息增强自定义建议。
故障转储分析功能正在迁至无文件攻击检测中
我们将Windows故障转储分析(CDA)检测功能集成到无文件攻击检测。 无文件攻击检测分析为Windows计算机带来了以下安全警报的改进版本:发现代码注入、伪装Windows模块检测到、检测到 Shell 代码和检测到可疑代码段。
该转换的一些优势如下:
主动及时检测恶意软件 - 使用 CDA 方法时,会等到故障发生后再运行分析来查找恶意项目。 使用无文件攻击检测后,可在内存中威胁正在运行时主动识别它们。
扩充的警报 - 来自无文件攻击检测的安全警报包括 CDA 中不可用的扩充,例如活动网络连接信息。
警报聚合 - 当 CDA 检测到单个故障转储中的多个攻击模式时,会触发多个安全警报。 而无文件攻击检测将从同一进程中确定的所有攻击模式组合到一个警报中,免去了关联多个警报的必要性。
对Log Analytics工作区的要求 - 不再将包含潜在敏感数据的故障转储上传到Log Analytics工作区。
2020 年 4 月
4 月的更新包括:
动态符合性包现已正式发布
Azure 安全中心法规合规性仪表板现在包括动力学合规性包(现已正式发布),用于跟踪其他行业和法规标准。
可通过安全中心的安全策略页面将动态符合性包添加到订阅或管理组中。 加入标准或基准后,该标准会出现在法规符合性仪表板中,所有关联的符合性数据都映射为评估。 还将提供已加入的所有标准的摘要报表供下载。
现在,你可添加如下标准:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official 和 UK NHS
- 加拿大联邦 PBMM
- Azure CIS 1.1.0 (new)(这是Azure CIS 1.1.0 的更完整表示形式)
此外,我们最近添加了 Azure 安全基准,这是基于常见合规性框架的Microsoft创作Azure特定安全与符合性最佳做法指南。 其他标准一经提供就将在仪表板中受到支持。
详细了解如何在法规符合性仪表板中自定义一组标准。
标识建议现在包含在Azure 安全中心免费层中
Azure 安全中心免费层上标识和访问的安全建议现已正式发布。 这是我们努力使云安全状态管理 (CSPM) 功能免费而取得的成果之一。 截至目前,这些建议仅在标准定价层中提供。
标识和访问建议的示例包括:
- “应在对订阅拥有所有者权限的帐户上启用多重身份验证。”
- “最多只能为订阅指定 3 个所有者。”
- “应从订阅中删除弃用的帐户。”
如果你有订阅在免费定价层,则此更改将影响它们的安全功能分数,因为它们之前从未接受过标识和访问安全性评估。
2020 年 3 月
3 月的更新包括:
- 工作流自动化现已正式发布
Azure 安全中心 与 Windows Admin Center - 适用于 Azure Kubernetes 服务Protection>
- 改进了实时体验
- 弃用了两项针对 Web 应用的安全建议
工作流自动化现已正式发布
Azure 安全中心的工作流自动化功能现已正式发布。 它可用于在安全警报和建议上自动触发逻辑应用。 此外,也可对提供了快速修复选项的警报和所有建议执行手动触发。
每个安全计划都包含事件响应的多个工作流。 这些流程可能包含通知相关利益干系人、启动更改管理进程,以及应用特定的修正步骤。 安全专家建议你尽可能多地将这些流程自动化。 自动化可减少开销,还可确保根据你预定义的要求快速、一致地执行处理步骤,从而增强安全性。
有关运行工作流的自动和手动安全中心功能的详细信息,请参阅 工作流自动化。
详细了解如何创建逻辑应用。
将Azure 安全中心与Windows Admin Center集成
现在可以将本地Windows服务器从Windows Admin Center直接移动到Azure 安全中心。 然后,安全中心将成为单一窗格,查看所有Windows Admin Center资源(包括本地服务器、虚拟机和其他 PaaS 工作负载)的安全信息。
将服务器从Windows Admin Center移动到Azure 安全中心后,你将能够:
- 在Windows Admin Center的安全中心扩展中查看安全警报和建议。
- 查看安全状况,并在Azure门户(或通过 API)在安全中心检索Windows Admin Center托管服务器的其他详细信息。
详细了解
保护Azure Kubernetes 服务
Azure 安全中心正在扩展其容器安全功能,以保护Azure Kubernetes 服务 (AKS)。
常见的开源平台 Kubernetes 被广泛采用,现在已成为容器业务流程方面的行业标准。 尽管得到了广泛实施,但在如何保护 Kubernetes 环境方面,人们仍然缺少了解。 要抵御容器化应用程序的攻击面,需要具备专业知识来确保基础结构已安全配置且受到持续监视,防范潜在威胁。
安全中心的防范包括:
- 发现和可见性 - 在安全中心内注册的订阅中持续发现托管的 AKS 实例。
- 安全建议 - 可作建议,可帮助你遵守 AKS 的安全最佳做法。 这些建议包含在安全功能分数中,确保被视为组织的安全状态的一部分。 你可能会看到的一个与 AKS 相关的建议示例是,“应使用基于角色的访问控制来限制对 Kubernetes 服务群集的访问”。
- 威胁防护 - 通过持续分析 AKS 部署,安全中心会提醒你在主机和 AKS 群集级别检测到的威胁和恶意活动。
详细了解 Azure Kubernetes 服务与安全中心的集成。
详细了解安全中心内的容器安全功能。
改进了实时体验
Azure 安全中心的实时工具的功能、操作和 UI 已得到增强,如下所示:
- Justification 字段 - 通过Azure门户的实时页面请求访问虚拟机(VM)时,可以使用新的可选字段输入请求的理由。 可在活动日志中跟踪在此字段中输入的信息。
- 自动清除冗余实时 (JIT) 规则 - 无论何时更新 JIT 策略,都会自动运行清理工具来检查整个规则集的有效性。 该工具还将查看你策略中的规则与 NSG 中的规则之间是否存在不匹配的情况。 如果清理工具发现不匹配的情况,它将确定原因,并在确定可安全操作的情况下,删除不再需要的内置规则。 清理工具绝不会删除你创建的规则。
详细了解 JIT 访问功能。
弃用了两项针对 Web 应用的安全建议
即将弃用下面两项与 Web 应用相关的安全建议:
应加强 IaaS NSG 上 Web 应用的规则。 (相关策略:应该强化 IaaS 上 Web 应用程序的 NSG 规则)
应限制对应用服务的访问。 (相关策略:应限制对应用服务的访问 [预览版])
这些建议将不再在安全中心的建议列表中显示。 相关策略将不再包含在名为“安全中心默认设置”的计划中。
2020 年 2 月
面向 Linux 的无文件攻击检测(预览版)
随着攻击者越来越多地使用偷窃方法来避免检测,除了Windows外,Azure 安全中心还会扩展适用于 Linux 的无文件攻击检测。 无文件攻击利用软件漏洞、将恶意有效负载注入良性系统进程,并隐藏在内存中。 这些技术:
- 最大程度地减少或消除了磁盘上恶意软件的痕迹
- 大大降低了基于磁盘的恶意软件扫描解决方案的检测机会
为了应对此威胁,Azure 安全中心于 2018 年 10 月发布了针对 Windows 的无文件攻击检测,现在还扩展了 Linux 上的无文件攻击检测。
2020 年 1 月
安全功能分数增强版(预览版)
Azure 安全中心安全功能的增强版本现在以预览版提供。 在此版本中,多个建议被组合到安全控件中,可更好地反映出你易受攻击的攻击面(例如限制对管理端口的访问)。
请在预览阶段熟悉安全功能分数的更改之处,确定可帮助你进一步保护环境的其他修正措施。
详细了解安全功能分数增强版(预览版)。
2019 年 11 月
11 月的更新包括:
- 北美区域Azure 密钥保管库的Azure 密钥保管库保护(预览版)
- 针对Azure 存储的Rereat 保护包括恶意软件信誉筛选
- 使用逻辑应用实现工作流自动化(预览版)
- 批量资源快速修复功能已推出正式版
- 扫描容器映像的漏洞(预览版)
- 其他监管合规标准(预览版)
- Azure Kubernetes 服务(预览版)保护
- 虚拟机漏洞评估(预览版)
Azure 虚拟机(预览版) - 支持自定义策略(预览版)
- 使用社区和合作伙伴的平台进行Azure 安全中心覆盖
- 支持导出建议和警报的高级集成(预览版)
从 Windows Admin Center(预览版)
北美区域Azure 密钥保管库威胁防护(预览版)
Azure 密钥保管库是保护数据和提高云应用程序性能的基本服务,它提供集中管理云中的密钥、机密、加密密钥和策略的能力。 由于Azure 密钥保管库存储敏感和业务关键型数据,因此它需要密钥保管库及其中存储的数据的最大安全性。
Azure 安全中心对Azure 密钥保管库威胁防护的支持提供了额外的安全智能层,用于检测访问或利用密钥保管库的异常和潜在有害尝试。 此新保护层使得客户无需成为安全专家或管理安全监视系统,就能应对其密钥保管库受到的威胁。 此功能在北美区域推出了公共预览版。
Azure 存储的威胁防护包括恶意软件信誉筛选
Azure 存储的威胁防护提供由Microsoft威胁情报提供支持的新检测,用于检测恶意软件上传到Azure 存储,使用哈希信誉分析和从活动 Tor 退出节点(匿名代理)进行可疑访问。 现在可以使用Azure 安全中心查看存储帐户中检测到的恶意软件。
使用逻辑应用实现工作流自动化(预览版)
在集中管理安全性和 IT/运营的组织的环境中发现差异时,这些组织可以实施内部工作流程来驱动所需的操作。 在许多情况下,这些工作流是可重复的流程,而自动化可以在组织内部大幅简化流程。
今天,我们在安全中心引入了一项新功能,使客户能够利用Azure 逻辑应用创建自动化配置,并创建基于特定 ASC 发现(如建议或警报)自动触发的策略。 Azure逻辑应用可配置为执行逻辑应用连接器社区支持的任何自定义操作,或使用安全中心提供的模板之一,例如发送电子邮件或打开 ServiceNow™ 票证。
有关运行工作流的自动和手动安全中心功能的详细信息,请参阅 工作流自动化。
若要了解如何创建逻辑应用,请参阅 Azure 逻辑应用。
批量资源快速修复功能已推出正式版
由于用户在安全评分中要执行许多任务,有效修正大型机群中的问题可能会变得困难。
使用“快速修复”修正功能来修复安全配置错误、修正对多个资源的建议并提高安全分数。
此操作允许你选择要对其应用修正的资源,并启动一个将代表你对设置进行配置的修正操作。
现在,安全中心建议页上已向客户推出了快速修复正式版。
扫描容器映像的漏洞(预览版)
Azure 安全中心现在可以扫描Azure 容器注册表中的容器映像来查找漏洞。
映像扫描的工作原理是分析容器映像文件,然后查看是否存在任何已知漏洞(由 Qualys 提供支持)。
将新的容器映像推送到Azure 容器注册表时,会自动触发扫描本身。 发现的漏洞将以安全中心建议的形式显示,其中包括安全评分,以及有关如何修补这些漏洞以减小允许的受攻击面的信息。
其他监管合规标准(预览版)
“监管合规”仪表板基于安全中心评估结果提供合规态势的见解。 该仪表板会显示你的环境是否符合特定法规标准和行业基准指定的控制措施与要求,并提供有关如何符合这些要求的规范性建议。
到目前为止,法规合规性仪表板支持四个内置标准:Azure CIS 1.1.0、PCI-DSS、ISO 27001 和 SOC-TSP。 我们现在宣布公开发布其他受支持的标准:NIST SP 800-53 R4、SWIFT CSP CSCF v2020、加拿大联邦 PBMM 和英国官方以及英国 NHS。 我们还发布了 Azure CIS 1.1.0 的更新版本,涵盖标准中的更多控件并提高可扩展性。
Azure Kubernetes 服务威胁防护(预览版)
Kubernetes 很快就成了在云中部署和管理软件的新标准。 只有少量的用户对 Kubernetes 拥有丰富的经验;很多用户只是注重一般的工程和管理,而忽略了安全方面。 需要精心配置 Kubernetes 环境以使其保持安全,确保不会公开任何以容器为中心的受攻击面,避免为攻击者打开后门。 安全中心正在将容器空间中的支持扩展到Azure增长最快的服务之一-Azure Kubernetes 服务 (AKS)。
此公共预览版中的新功能包括:
- 发现和可见性 - 在安全中心的已注册订阅中持续发现 AKS 托管实例。
- 安全功能分数建议 - 可操作的项目,用于帮助客户遵守 AKS 的安全最佳做法,并提高其安全功能分数。 建议包括诸如“应使用基于角色的访问控制来限制对 Kubernetes 服务群集的访问”之类的项目。
- 威胁检测 - 主机和基于群集的分析,例如“检测到特权容器”。
虚拟机漏洞评估(预览版)
安装在虚拟机中的应用程序可能经常出现漏洞,导致虚拟机遭到入侵。 我们宣布安全中心标准层包括针对虚拟机的内置漏洞评估,无需额外付费。 由 Qualys 提供支持的漏洞评估公共预览版可让你持续扫描虚拟机上安装的所有应用程序以找出有漏洞的应用程序,并在安全中心门户体验中显示扫描结果。 安全中心负责处理所有部署操作,不需要用户额外付出精力。 今后,我们计划提供漏洞评估选项,以支持客户独特的业务需求。
了解有关Azure 虚拟机漏洞评估的详细信息。
Azure 虚拟机上的 SQL Server 的高级数据安全性(预览版)
Azure 安全中心对 IaaS VM 上运行的 SQL DB 的威胁防护和漏洞评估的支持现已推出预览版。
漏洞评估 是一种易于配置的服务,可发现、跟踪和帮助你修正潜在的数据库漏洞。 此服务可让你查看以安全评分提供的安全态势,并包含用于解决安全问题和增强数据库防御能力的步骤。
高级威胁防护检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用你的 SQL 服务器。 它会持续监视数据库中的可疑活动,并针对异常的数据库访问模式提供操作导向的安全警报。 这些警报提供可疑活动的详细信息,以及有助于调查和缓解威胁的建议操作。
支持自定义策略(预览版)
Azure 安全中心现在支持自定义策略(预览版)。
我们的客户一直希望根据他们在Azure Policy中创建的策略,使用自己的安全评估来扩展其当前安全评估范围。 由于支持自定义策略,这种愿望已得到实现。
安全中心建议体验、安全评分和监管合规标准仪表板中将会包含这些新策略。 借助对自定义策略的支持,现在可以在Azure Policy中创建自定义计划,然后将其添加为安全中心的策略,并将其可视化为建议。
使用社区和合作伙伴的平台扩展Azure 安全中心覆盖范围
使用安全中心不仅从Microsoft接收建议,还接收来自合作伙伴(例如 Check Point、Tenable 和 CyberArk)的现有解决方案的建议,同时提供更多集成。 安全中心的简单加入流可以将你现有的解决方案连接到安全中心,使你能够在一个地方查看安全状况建议、运行统一的报告,以及根据内置的建议和合作伙伴的建议利用安全中心的所有功能。 你还可以将安全中心建议导出到合作伙伴产品。
支持导出建议和警报的高级集成(预览版)
为了在安全中心之上启用企业级方案,现在可以在除Azure门户或 API 以外的其他位置使用安全中心警报和建议。 可以直接将其导出到事件中心和Log Analytics工作区。 下面是可以围绕这些新功能创建的一些工作流:
- 导出到Log Analytics工作区后,可以使用Power BI创建自定义仪表板。
- 导出到事件中心后,可以将安全中心警报和建议导出到第三方 SIEM、第三方解决方案或Azure 数据资源管理器。
从 Windows Admin Center 将本地服务器载入到安全中心(预览版)
Windows Admin Center是一个管理门户,适用于未部署在Azure中的Windows服务器,提供多个Azure管理功能,例如备份和系统更新。 我们最近添加了载入这些非Azure服务器的功能,以便直接从 Windows Admin Center 体验保护 ASC。
用户现在可以将 WAC 服务器加入Azure 安全中心,并在Windows Admin Center体验中直接查看其安全警报和建议。
2019 年 9 月
9 月的更新包括:
- 使用自适应应用程序控制管理规则的功能已改进
- 使用 Azure PolicyControl 容器安全建议>
使用自适应应用程序控制管理规则的功能已改进
使用自适应应用程序控制管理虚拟机规则的体验已得到改进。 Azure 安全中心的自适应应用程序控制可帮助控制可在虚拟机上运行的应用程序。 除了对规则管理做出了一般性的改进外,在添加新规则时,你还可以通过一个新功能来控制要保护哪些文件类型。
详细了解自适应应用程序控制。
使用 Azure Policy 控制容器安全建议
现在可以通过Azure Policy启用或禁用Azure 安全中心修正容器安全性中的漏洞的建议。
若要查看已启用的安全策略,请在安全中心内打开“安全策略”页。
2019 年 8 月
8 月的更新包括:
用于Azure 防火墙的实时 (JIT) VM 访问
Azure 防火墙的实时 (JIT) VM 访问现已正式发布。 除了 NSG 保护的环境之外,还使用它来保护Azure 防火墙受保护的环境。
JIT VM 访问仅在需要时使用 NSG 和Azure 防火墙规则提供对 VM 的受控访问,从而减少了网络卷攻击的暴露。
为 VM 启用 JIT 时,可创建一个策略来确定要保护的端口、端口保持打开状态的时间,以及可从哪些已批准的 IP 地址访问这些端口。 此策略可帮助你控制用户在请求访问权限时可执行哪些操作。
请求记录在Azure活动日志中,因此可以轻松监视和审核访问。 此实时页面还可帮助你快速识别已启用 JIT 的现有 VM,以及建议启用 JIT 的 VM。
提升安全态势的一键式修正(预览版)
安全评分是一个可帮助你评估工作负荷安全状况的工具。 它会评审你的安全建议并确定其优先级,以便你知道要首先执行哪些建议。 这可帮助你找到最严重的安全漏洞,以确定调查优先级。
为了简化对安全错误配置的修正并帮助你快速提高安全评分,我们添加了一项新功能,允许你通过一次单击执行对大量资源的修正建议。
此操作允许你选择要对其应用修正的资源,并启动一个将代表你对设置进行配置的修正操作。
跨租户管理
安全中心现在支持跨租户管理方案,作为Azure Lighthouse的一部分。 此功能使你能够在安全中心查看和管理多个租户的安全态势。
2019 年 7 月
网络建议的更新
Azure 安全中心(ASC)推出了新的网络建议,并改进了一些现有建议。 现在,使用安全中心可以确保进一步为资源提供更好的网络保护。
2019 年 6 月
自适应网络强化 - 正式发布
公有云中运行的工作负荷面对的最大受攻击面之一是与公共 Internet 之间的连接。 我们的客户发现很难知道应制定哪些网络安全组(NSG)规则,以确保Azure工作负载仅适用于所需的源范围。 借助此功能,安全中心了解Azure工作负荷的网络流量和连接模式,并为面向 Internet 的虚拟机提供 NSG 规则建议。 这有助于我们的客户更好地配置其网络访问策略,并限制受到攻击的风险。