你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Defender for Cloud 的新增功能存档

  • 项目

Defender for Cloud 有什么新增功能?发行说明主页包含过去六个月的更新,而本页包含更早的项目。

本页提供以下方面的信息:

  • 新增功能
  • Bug 修复
  • 已弃用的功能

2023 年 9 月

日期 更新
9 月 27 日 公共预览版中提供的数据安全仪表板
9 月 21 日 预览版:计算机计划上 SQL Server 的新自动预配过程
9 月 20 日 Defender for Cloud 中的 Azure DevOps 警报的 GitHub Advanced Security
9 月 11 日 Defender for API 建议现在可使用豁免功能
9 月 11 日 为 Defender for API 检测创建示例警报
9 月 6 日 预览版:由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估现在支持拉取扫描
9 月 6 日 在合规性中更新了 Azure Center for Internet Security (CIS) 标准的命名格式
9 月 5 日 PaaS 数据库的敏感数据发现(预览版)
9 月 1 日 正式发布 (GA):Defender for Storage 中的恶意软件扫描

公共预览版中提供的数据安全仪表板

2023 年 9 月 27 日

数据安全仪表板现已在公共预览版中作为 Defender CSPM 计划的一部分提供。 数据安全仪表板是一种以数据为中心的交互式仪表板,可揭示敏感数据的重大风险,确定跨混合云工作负载的数据的警报和潜在攻击路径的优先级。 详细了解数据安全仪表板

预览版:计算机计划上 SQL Server 的新自动预配过程

2023 年 9 月 21 日

Microsoft Monitoring Agent (MMA) 将于 2024 年 8 月弃用。 Defender for Cloud 更新了其策略,将 MMA 替换为发布面向 SQL Server 的 Azure Monitoring Agent 自动预配过程。

在预览期间,将 MMA 自动预配过程与 Azure Monitor 代理(预览版)选项配合使用的客户需要迁移到计算机上用于 SQL Server 的新 Azure Monitoring Agent(预览版)自动预配过程。 迁移过程是无缝的,会为所有计算机提供持续保护。

有关详细信息,请参阅迁移到面向 SQL Server 的 Azure Monitoring Agent 自动预配过程

Defender for Cloud 中的 Azure DevOps 警报的 GitHub Advanced Security

2023 年 9 月 20 日

现在可以在 Defender for Cloud 中查看与 CodeQL、机密和依赖项相关的 GitHub Advanced Security for Azure DevOps (GHAzDO) 警报。 结果显示在“DevOps”页和“建议”中。 若要查看这些结果,请将已启用 GHAzDO 的存储库加入 Defender for Cloud。

要了解详细信息,请参阅适用于 Azure DevOps 的 GitHub Advanced Security

Defender for API 建议现在可使用豁免功能

2023 年 9 月 11 日

现在可以豁免针对以下 Defender for API 安全建议的建议。

建议 说明及相关策略 Severity
(预览版)应禁用未使用的 API 终结点并将其从 Azure API Management 服务中移除 作为安全最佳做法,30 天内未收到流量的 API 终结点被视为未使用,并应从 Azure API 管理服务中移除。 保留未使用的 API 终结点可能会带来安全风险。 这些 API 可能是本应从 Azure API 管理服务中弃用,但意外保持活动状态的 API。 此类 API 通常不会受到最新的安全保护。
(预览版)应对 Azure API 管理中的 API 终结点进行身份验证 Azure API 管理中发布的 API 终结点应强制实施身份验证,以帮助最大程度地降低安全风险。 有时,身份验证机制的实现会不正确或缺失。 这会允许攻击者利用实现缺陷并访问数据。 对于 Azure API 管理中发布的 API,此建议通过在 Azure API 管理中配置的订阅密钥、JWT 和客户端证书评估身份验证的执行情况。 如果在 API 调用期间未执行这些身份验证机制,则 API 将收到此建议。

详细了解在 Defender for Cloud 中豁免建议

为 Defender for API 检测创建示例警报

2023 年 9 月 11 日

现在可以为已作为 Defender for API 公共预览版的一部分发布的安全检测生成示例警报。 详细了解如何在 Defender for Cloud 中生成示例警报

预览版:由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估现在支持拉取扫描

2023 年 9 月 6 日

由 Microsoft Defender 漏洞管理 (MDVM) 提供支持的容器漏洞评估现在支持额外的触发器,用于扫描从 ACR 拉取的图像。 除了现有触发器(用于扫描过去 90 天内推送到 ACR 的图像以及当前在 AKS 中运行的图像),此新添加的触发器还额外覆盖了可用图像。

新触发器将于今天开始推出,预计将于 9 月底向所有客户提供。

有关详细信息,请参阅由 MDVM 提供支持的容器漏洞评估

在合规性中更新了 Azure Center for Internet Security (CIS) 标准的命名格式

2023 年 9 月 6 日

合规性仪表板中 CIS (Center for Internet Security) 基础基准的命名格式将从 [Cloud] CIS [version number] 更改为 CIS [Cloud] Foundations v[version number]。 请参阅以下表:

当前名称 新名称
Azure CIS 1.1.0 CIS Azure 基础 v1.1.0
Azure CIS 1.3.0 CIS Azure 基础 v1.3.0
Azure CIS 1.4.0 CIS Azure 基础 v1.4.0
AWS CIS 1.2.0 CIS AWS 基础 v1.2.0
AWS CIS 1.5.0 CIS AWS 基础 v1.5.0
GCP CIS 1.1.0 CIS GCP 基础 v1.1.0
GCP CIS 1.2.0 CIS GCP 基础 v1.2.0

了解如何改进法规合规性

PaaS 数据库的敏感数据发现(预览版)

2023 年 9 月 5 日

数据感知安全态势功能现为公共预览状态,可为 PaaS 数据库(Azure SQL 数据库和任何类型的 Amazon RDS 实例)实现顺畅的敏感数据发现。 借助此公共预览版,你可以创建关键数据的映射,无论它位于何处,以及这些数据库中的数据类型是什么。

Azure 和 AWS 数据库的敏感数据发现,增加了已对云对象存储资源公开的共享分类和配置(Azure Blob 存储、AWS S3 Bucket 和 GCP Bucket),并提供精简的配置和启用体验。

数据库每周扫描一次。 启用 sensitive data discovery 后,发现功能将在 24 小时内运行。 可以在云安全资源管理器中查看结果,也可以通过查看包含敏感数据的托管数据库的新攻击路径来查看结果。

数据库的数据感知安全态势可通过Defender CSPM 计划使用,并且会在启用了sensitive data discovery选项的订阅上自动启用。

可以通过以下文章进一步了解数据感知安全态势:

正式发布 (GA):Defender for Storage 中的恶意软件扫描

2023 年 9 月 1 日

恶意软件扫描现已作为 Defender for Storage 的附加产品正式发布 (GA)。 Defender for Storage 中的恶意软件扫描通过使用 Microsoft Defender 防病毒功能对上传的内容进行近实时的完整恶意软件扫描,帮助保护存储帐户免受恶意内容的攻击。 它旨在帮助满足处理不受信任内容的安全性和合规性要求。 恶意软件扫描功能是一种无代理 SaaS 解决方案,允许大规模设置,并支持大规模自动响应。

详细了解 Defender for Storage 中的恶意软件扫描

恶意软件扫描根据数据使用情况和预算进行定价。 计费从 2023 年 9 月 3 日开始。 有关详细信息,请访问定价页面。

如果使用以前的计划(现在重命名为“Microsoft Defender for Storage(经典)”),则需要主动迁移到新计划,才能启用恶意软件扫描。

阅读 Microsoft Defender for Cloud 公告博客文章

2023 年 8 月

8 月的更新包括:

日期 更新
8 月 30 日 Defender for Containers:适用于 Kubernetes 的无代理发现
8 月 22 日 建议发布:应当为 Microsoft Defender for Storage 启用恶意软件扫描和敏感数据威胁检测功能
8 月 17 日 Defender for Cloud 安全警报中的扩展属性从活动日志中屏蔽
8 月 15 日 Defender CSPM 中 GCP 支持的预览版
8 月 7 日 Defender for Servers 计划 2 中的新安全警报:检测滥用 Azure 虚拟机扩展的潜在攻击
8 月 1 日 Defender for Cloud 计划的业务模型和定价更新

Defender for Containers:适用于 Kubernetes 的无代理发现

2023 年 8 月 30 日

我们很高兴地介绍 Defender for Containers:适用于 Kubernetes 的无代理发现。 此版本标志着容器安全性向前迈出了重要一步,为 Kubernetes 环境提供了高级见解和全面的清单功能。 新的容器服务由 Defender for Cloud 上下文安全图提供支持。 以下是你在此最新更新中可以期待的内容:

  • 无代理 Kubernetes 发现
  • 全面的清单功能
  • 特定于 Kubernetes 的安全见解
  • 使用云安全资源管理器的增强风险搜寻

适用于 Kubernetes 的无代理发现现在可供所有 Defender for Containers 客户使用。 你可以立即开始使用这些高级功能。 我们鼓励你更新订阅,以启用完整的扩展集,并受益于最新的扩充和功能。 访问你的 Defender for Containers 订阅的“环境和设置”窗格以启用该扩展

注意

启用最新的扩充功能不会给活动的 Defender for Containers 客户带来新的费用。

有关详细信息,请参阅容器安全性 Microsoft Defender for Containers 概述

建议发布:应当为 Microsoft Defender for Storage 启用恶意软件扫描和敏感数据威胁检测功能

2023 年 8 月 22 日

Defender for Storage 中的一个新建议已发布。 此建议确保使用恶意软件扫描和敏感数据威胁检测功能在订阅级别启用 Defender for Storage。

建议 说明
应当为 Microsoft Defender for Storage 启用恶意软件扫描和敏感数据威胁检测功能 Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测功能。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 使用简单的规模化无代理设置时,在订阅级别启用后,该订阅下的全部现有和新创建的存储帐户都将自动受到保护。 另外,也可以从受保护的订阅中排除特定的存储帐户。

此新建议将替换当前建议 Microsoft Defender for Storage should be enabled(评估密钥 1be22853-8ed1-4005-9907-ddad64cb1417)。 但是,此建议在 Azure 政府云中仍然可用。

详细了解 Microsoft Defender for Storage

Defender for Cloud 安全警报中的扩展属性从活动日志中屏蔽

2023 年 8 月 17 日

我们最近更改了安全警报和活动日志的集成方式。 为了更好地保护敏感客户信息,我们不再在活动日志中包含此信息。 而是用星号屏蔽它。 但是,仍可通过警报 API、连续导出和 Defender for Cloud 门户获取此信息。

依赖活动日志将警报导出到其 SIEM 解决方案的客户应考虑使用其他解决方案,因为不建议使用此方法导出 Defender for Cloud 安全警报。

有关如何将 Defender for Cloud 安全警报导出到 SIEM、SOAR 和其他第三方应用程序的说明,请参阅将警报流式传输到 SIEM、SOAR 或 IT 服务管理解决方案

Defender CSPM 中 GCP 支持的预览版

2023 年 8 月 15 日

我们宣布推出支持 GCP 资源的 Defender CSPM 上下文云安全图和攻击路径分析的预览版。 你可以应用 Defender CSPM 的强大功能,实现跨 GCP 资源的全面可见性和智能云安全性。

我们的 GCP 支持的主要功能包括:

  • 攻击路径分析 - 了解攻击者可能采用的潜在路线。
  • 云安全资源管理器 - 通过在安全图上运行基于图形的查询,主动识别安全风险。
  • 无代理扫描 - 扫描服务器并识别机密和漏洞,而无需安装代理。
  • 数据感知安全态势 - 发现并修正 Google Cloud Storage 存储桶中敏感数据的风险。

详细了解 Defender CSPM 计划选项

Defender for Servers 计划 2 中的新安全警报:检测滥用 Azure 虚拟机扩展的潜在攻击

2023 年 8 月 7 日

这一新系列的警报侧重于检测 Azure 虚拟机扩展的可疑活动,并提供有关攻击者试图在虚拟机上进行破坏和执行恶意活动的见解。

Microsoft Defender 服务器现在可以检测虚拟机扩展的可疑活动,从而更好地覆盖工作负载安全性。

Azure 虚拟机扩展是在虚拟机上部署后运行的小型应用程序,提供配置、自动化、监视、安全性等功能。 虽然扩展是一种功能强大的工具,但威胁参与者可以使用它们来实现各种恶意意图,例如:

  • 数据收集和监视
  • 高特权下的代码执行和配置部署
  • 重置凭据并创建管理用户
  • 加密磁盘

下面是新警报表格。

警报(警报类型) 说明 MITRE 技巧 Severity
在订阅中安装 GPU 扩展时出现可疑故障(预览)
(VM_GPUExtensionSuspiciousFailure)		 在不支持的 VM 上安装 GPU 扩展的可疑意图。 此扩展应安装在配备了图形处理器的虚拟机上,而在此例中,虚拟机没有配备图形处理器。 当恶意攻击者出于加密挖矿目的多次安装此类扩展时,可以看到这些故障。 影响
在虚拟机上检测到可疑的 GPU 扩展安装活动(预览)
(VM_GPUDriverExtensionUnusualExecution)
此警报于 2023 年 7 月发布		 通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到可疑的 GPU 扩展安装活动。 攻击者可能会使用 GPU 驱动程序扩展通过 Azure 资源管理器在虚拟机上安装 GPU 驱动程序,以执行加密劫持。 此活动被视为可疑,因为主体的行为偏离了其通常模式。 影响
在虚拟机上检测到具有可疑脚本的运行命令(预览)
(VM_RunCommandSuspiciousScript)		 通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到具有可疑脚本的运行命令。 攻击者可能会使用运行命令,通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。 该脚本被视为可疑,因为其中某些部分被标识为潜在的恶意内容。 执行
在虚拟机上检测到未经授权使用运行命令的可疑行为(预览)
(VM_RunCommandSuspiciousFailure)		 未经授权使用运行命令的可疑行为失败,并通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到了该行为。 攻击者可能会尝试使用运行命令,通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。 此活动被视为可疑活动,因为以前并不常见。 执行
在虚拟机上检测到使用运行命令的可疑行为(预览)
(VM_RunCommandSuspiciousUsage)		 通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到使用运行命令的可以行为。 攻击者可能会使用运行命令,通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。 此活动被视为可疑活动,因为以前并不常见。 执行
在虚拟机上检测到使用多个监视或数据收集扩展的可疑行为(预览)
(VM_SuspiciousMultiExtensionUsage)		 通过分析订阅中的 Azure 资源管理器操作,在虚拟机上检测到使用多个监视或数据收集扩展的可疑行为。 攻击者可能会在订阅中滥用此类扩展来进行数据收集和网络流量监视等。 此使用行为被视为可疑行为,因为以前并不常见。 侦测
在虚拟机上检测到可疑的磁盘加密扩展安装活动(预览)
(VM_DiskEncryptionSuspiciousUsage)		 通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到可疑的磁盘加密扩展安装活动。 攻击者可能会滥用磁盘加密扩展,通过 Azure 资源管理器在虚拟机上部署完整磁盘加密,以尝试执行勒索软件活动。 此活动被视为可疑活动,因为它以前并不常见,并且扩展安装次数较多。 影响
在虚拟机上检测到使用 VMAccess 扩展的可疑行为(预览版)
(VM_VMAccessSuspiciousUsage)		 在虚拟机上检测到使用 VMAccess 扩展的可疑行为。 攻击者可能会滥用 VMAccess 扩展来获取访问权限,并通过重置访问权限或管理管理用户来攻击具有高特权的虚拟机。 此活动被视为可疑活动,因为主体的行为偏离了其通常的模式,并且扩展安装次数较多。 持久性
在虚拟机上检测到具有可疑脚本的 Desired State Configuration (DSC) 扩展(预览)
(VM_DSCExtensionSuspiciousScript)		 通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到具有可疑脚本的 Desired State Configuration (DSC) 扩展。 攻击者可能会使用 Desired State Configuration (DSC) 扩展在虚拟机上部署具有高权限的恶意配置,例如持久性机制、恶意脚本等。 该脚本被视为可疑,因为其中某些部分被标识为潜在的恶意内容。 执行
在虚拟机上检测到使用 Desired State Configuration (DSC) 扩展的可疑行为(预览)
(VM_DSCExtensionSuspiciousUsage)		 通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到使用 Desired State Configuration (DSC) 扩展的可疑行为。 攻击者可能会使用 Desired State Configuration (DSC) 扩展在虚拟机上部署具有高权限的恶意配置,例如持久性机制、恶意脚本等。 此活动被视为可疑活动,因为主体的行为偏离了其通常的模式,并且扩展安装次数较多。 影响
在虚拟机上检测到具有可疑脚本的自定义脚本扩展(预览)
(VM_CustomScriptExtensionSuspiciousCmd)
(此警报已存在,并且已通过增强的逻辑和检测方法进行了改进。)		 通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到具有可疑脚本的自定义脚本扩展。 攻击者可能会使用自定义脚本扩展,通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。 该脚本被视为可疑,因为其中某些部分被标识为潜在的恶意内容。 执行

请参阅 Defender for Servers 中基于扩展的警报

有关警报的完整列表,请参阅 Microsoft Defender for Cloud 中所有安全警报的参考表

Defender for Cloud 计划的业务模型和定价更新

2023 年 8 月 1 日

Microsoft Defender for Cloud 具有三个提供服务层保护的计划:

  • Defender for Key Vault

  • Defender for Resource Manager

  • Defender for DNS

这些计划已转换到具有不同定价和包装的新业务模型,以解决客户关于支出可预测性和简化总体成本结构的反馈。

业务模型和定价更改摘要

Defender for Key-Vault、Defender for Resource Manager 和 Defender for DNS 的现有客户将保留其当前的业务模型和定价,除非他们主动选择切换到新的业务模型和价格。

  • Defender for Resource Manager:此计划实行每月每个订阅的固定价格。 客户可以切换到新的业务模型,方法是选择 Defender for Resource Manager 的新的每订阅模型。

Defender for Key-Vault、Defender for Resource Manager 和 Defender for DNS 的现有客户将保留其当前的业务模型和定价,除非他们主动选择切换到新的业务模型和价格。

  • Defender for Resource Manager:此计划实行每月每个订阅的固定价格。 客户可以切换到新的业务模型,方法是选择 Defender for Resource Manager 的新的每订阅模型。
  • Defender for Key Vault:此计划实行每月每保管库的固定价格,且无超额费用。 客户可以通过选择 Defender for Key Vault 新每保管库模型来切换到新的业务模型
  • Defender for DNS:Defener for Servers 计划 2 客户有权访问属于该计划一部分的 Defender for DNS,而无需额外付费。 同时拥有 Defender for Server 计划 2 和 Defender for DNS 的客户不再支付 Defender for DNS 的费用。 Defender for DNS 不再作为独立计划提供。

请在 Defender for Cloud 定价页中详细了解这些计划的定价。

2023 年 7 月

7 月的更新包括:

Date 更新
7 月 31 日 由 Defender for Containers 和 Defender for Container Registries 中的 Microsoft Defender 漏洞管理 (MDVM) 支持的容器漏洞评估预览版
7 月 30 日 Defender CSPM 中的无代理容器状况现已正式发布
7 月 20 日 适用于 Linux 的 Defender for Endpoint 的自动更新管理
7 月 18 日 Defender 中针对服务器 P2 和 Defender CSPM 中的虚拟机进行无代理机密扫描
7 月 12 日 Defender for Servers 计划 2 中的新安全警报:检测利用 Azure VM GPU 驱动程序扩展发起的潜在攻击
7 月 9 日 支持禁用特定漏洞发现
7 月 1 日 数据感知安全态势现已正式发布

由 Defender for Containers 和 Defender for Container Registries 中的 Microsoft Defender 漏洞管理 (MDVM) 支持的容器漏洞评估预览版

2023 年 7 月 31 日

我们宣布发布适用于 Azure 容器注册表中 LInux 容器映像的漏洞评估 (VA),它由 Defender for Containers 和 Defender for Container Registries 中的 Microsoft Defender 漏洞管理 (MDVM) 提供支持。 新的容器 VA 产品/服务将与 Defender for Containers 和 Defender for Container Registries 中由 Qualys 提供支持的现有 Container VA 产品/服务一起提供,并包括容器映像的每日重新扫描、可利用性信息、对 OS 和编程语言的支持 (SCA) 等。

此新产品/服务将于今天开始推出,并预计将在 8 月 7 日之前向所有客户提供。

有关详细信息,请参阅由 MDVM 提供支持的容器漏洞评估Microsoft Defender 漏洞管理 (MDVM)

Defender CSPM 中的无代理容器状况现已正式发布

2023 年 7 月 30 日

无代理容器状况功能现已正式发布,作为 Defender CSPM(云安全态势管理)计划的一部分提供。

详细了解 Defender CSPM 中的无代理容器状况

适用于 Linux 的 Defender for Endpoint 的自动更新管理

2023 年 7 月 20 日

默认情况下,Defender for Cloud 会使用 MDE.Linux 扩展尝试更新已加入的适用于 Linux 的 Defender for Endpoint 代理。 使用此版本,可以管理此设置,并选择退出默认配置以手动管理更新周期。

了解如何管理 Linux 的自动更新配置

Defender 中针对服务器 P2 和 Defender CSPM 中的虚拟机进行无代理机密扫描

2023 年 7 月 18 日

机密扫描现在可以在 Defender for Servers P2 和 Defender CSPM 的无代理扫描过程中进行。 此功能有助于检测保存在 Azure 或 AWS 资源中的虚拟机上的非托管和不安全机密,这些机密可用于在网络中横向移动。 如果检测到此类机密,Defender for Cloud 可以帮助确定优先级并采取切实可行的修正步骤,最大限度降低横向移动的风险,整个过程完全不会影响到计算机的性能。

有关如何使用机密扫描保护机密的详细信息,请参阅 使用无代理机密扫描管理机密。

Defender for Servers 计划 2 中的新安全警报:检测利用 Azure VM GPU 驱动程序扩展发起的潜在攻击

2023 年 7 月 12 日

此警报重点识别利用 Azure 虚拟机 GPU 驱动程序扩展进行的可疑活动,并深入了解攻击者尝试危害虚拟机的行为。 该警报针对 GPU 驱动程序扩展的可疑部署;此类扩展经常被威胁参与者滥用,以利用 GPU 卡的全部功能并执行加密劫持。

警报显示名称
(警报类型)		 说明 严重性 MITRE 技巧
虚拟机中 GPU 扩展的可疑安装(预览版)
(VM_GPUDriverExtensionUnusualExecution)		 通过分析订阅中的 Azure 资源管理器操作,在虚拟机中检测到 GPU 扩展的可疑安装。 攻击者可能会使用 GPU 驱动程序扩展通过 Azure 资源管理器在虚拟机上安装 GPU 驱动程序,以执行加密劫持。 影响

有关警报的完整列表,请参阅 Microsoft Defender for Cloud 中所有安全警报的参考表

支持禁用特定漏洞发现

2023 年 7 月 9 日

作为无代理容器状况的一部分,发布了对禁用容器注册表映像或运行映像的漏洞发现的支持。 如果组织需要忽略在容器注册表映像上发现的漏洞,而不是修复它,则可以选择禁用它。 禁用发现结果不会影响安全分数,也不会产生有害的噪音。

了解如何禁用容器注册表映像上的漏洞评估结果

数据感知安全态势现已正式发布

2023 年 7 月 1 日

Microsoft Defender for Cloud 中的数据感知安全态势现已正式发布。 它可帮助客户减少数据风险并响应数据违规。 使用数据感知安全态势,你可以:

  • 跨 Azure 和 AWS 自动发现敏感数据资源。
  • 评估数据敏感度、数据泄露以及数据在整个组织中的流动方式。
  • 主动并持续发现可能导致数据泄露的风险。
  • 检测可能指示对敏感数据资源构成持续威胁的可疑活动

有关详细信息,请参阅 Microsoft Defender for Cloud 中的数据感知安全态势

2023 年 6 月

6 月的更新包括以下内容:

Date 更新
6 月 26 日 通过增强的设置简化多云帐户加入
6 月 25 日 Defender for Storage 中恶意软件扫描的专用终结点支持
6 月 15 日 更新了 NIST 800-53 标准的合规性控制
6 月 11 日 使用 Azure Migrate 业务案例规划云迁移现在包括 Defender for Cloud
6 月 7 日 Defender for SQL 中的漏洞评估快速配置现已正式发布
6 月 6 日 向现有 Azure DevOps 连接器添加了更多范围
6 月 4 日 针对 Defender CSPM 中的容器功能,将基于代理的发现替换为无代理发现

通过增强的设置简化多云帐户加入

2023 年 6 月 26 日

Defender for Cloud 改进了载入体验,以包括新的简化用户界面和说明,以及允许你加入 AWS 和 GCP 环境的新功能,同时提供对高级载入功能的访问权限。

对于已采用 Hashicorp Terraform 实现自动化的组织,Defender for Cloud 现在包含将 Terraform 用作部署方法以及 AWS CloudFormation 或 GCP Cloud Shell 的功能。 现在,你可以在创建集成时自定义所需的角色名称。 也可以在以下两个选项中进行选择:

  • 默认访问权限 - 允许 Defender for Cloud 扫描资源并自动包含将来的功能。

  • 最低特权访问权限 - 仅向 Defender for Cloud 授予当前访问所选计划需要具有的权限。

如果选择最低特权权限,则只会收到有关获取连接器运行状况完整功能所需的任何新角色和权限的通知。

使用 Defender for Cloud,可以根据云供应商的本机名称来区分云帐户。 例如,AWS 帐户别名和 GCP 项目名称。

Defender for Storage 中恶意软件扫描的专用终结点支持

2023 年 6 月 25 日

专用终结点支持现已作为 Defender for Storage 中恶意软件扫描公共预览版的一部分提供。 此功能允许在使用专用终结点的存储帐户上启用恶意软件扫描。 无需其他配置。

Defender for Storage 中的恶意软件扫描(预览版)通过使用 Microsoft Defender 防病毒功能对上传的内容进行近实时的完整恶意软件扫描,帮助保护存储帐户免受恶意内容的攻击。 它旨在帮助满足处理不受信任内容的安全性和合规性要求。 它是一种无代理 SaaS 解决方案,允许进行大规模简单设置,无需维护,并支持大规模自动响应。

专用终结点提供到 Azure 存储服务的安全连接,可有效消除公共 Internet 暴露风险,因此被视为安全性最佳做法。

对于具有已启用恶意软件扫描的专用终结点的存储帐户,需要禁用并启用具有恶意软件扫描的计划,以支持此功能正常工作。

详细了解如何在Defender for Storage中使用专用终结点以及如何进一步保护存储服务。

为预览版发布的建议:运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持)

2023 年 6 月 21 日

即将针对预览版发布 Defender CSPM 中由 MDVM 提供支持的新容器建议:

建议 说明 评估密钥
运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持)(预览版) 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

这一新建议仅在 Defender CSPM 中替换当前由 Qualys 提供支持的同名建议(替换评估密钥 41503391-efa5-47ee-9282-4eff6131462c)。

更新了 NIST 800-53 标准的合规性控制

2023 年 6 月 15 日

NIST 800-53 标准(R4 和 R5)最近已更新,Microsoft Defender for Cloud 的合规性控制发生了更改。 Microsoft 托管的控制已从标准中删除,有关 Microsoft 责任实现(作为云共担责任模型的一部分)的信息现在仅在控制详细信息窗格的“Microsoft 操作”下提供。

这些控制以前按合格控制来计算,因此在 2023 年 4 月和 2023 年 5 月之间,NIST 标准的合规性分数可能会大幅下降。

有关合规性控制的详细信息,请参阅教程:合规性检查 - Microsoft Defender for Cloud

使用 Azure Migrate 业务案例规划云迁移现在包括 Defender for Cloud

2023 年 6 月 11 日

现在,可以通过在 Azure Migrate 业务案例的上下文中应用 Defender for Cloud 来发现在安全方面的潜在成本节省空间。

Defender for SQL 中的漏洞评估快速配置现已正式发布

2023 年 6 月 7 日

Defender for SQL 中的漏洞评估快速配置现已正式发布。 快速配置通过使用一键式配置(或 API 调用),为 SQL 漏洞评估提供了简化的加入体验。 托管存储帐户无需额外的设置或依赖项。

请查看此博客,详细了解快速配置。

可以了解快速配置和经典配置之间的差异。

向现有 Azure DevOps 连接器添加了更多范围

2023 年 6 月 6 日

Defender for DevOps 向 Azure DevOps (ADO) 应用程序添加了以下额外范围:

  • 高级安全性管理vso.advsec_manage。 需要哪一个来为 ADO 启用、禁用和管理 GitHub Advanced Security。

  • 容器映射vso.extension_managevso.gallery_manager;需要哪一个来与 ADO 组织共享装饰器扩展。

此更改只会影响尝试将 ADO 资源加入到 Microsoft Defender for Cloud 的新 Defender for DevOps 客户。

直接加入(无 Azure Arc) Defender for Servers 的功能现已正式发布

2023 年 6 月 5 日

以前,需要 Azure Arc 才能将非 Azure 服务器加入 Defender for Servers。 但是,在最新版本中,你也可以仅使用 Microsoft Defender for Endpoint 代理就将本地服务器加入 Defender for Servers。

此新方法简化了专注于核心终结点保护的客户加入过程,并让你可以利用 Defender for Servers 基于消耗的云资产和非云资产计费规则。 通过 Defender for Endpoint 直接加入的选项现已推出,从 7 月 1 日开始对加入的计算机计费。

有关详细信息,请参阅使用 Defender for Endpoint 将非 Azure 计算机连接到 Microsoft Defender for Cloud

针对 Defender CSPM 中的容器功能,将基于代理的发现替换为无代理发现

2023 年 6 月 4 日

随着无代理容器状况功能在 Defender CSPM 中推出,基于代理的发现功能现已停用。 如果当前在 Defender CSPM 中使用容器功能,请确保启用相关扩展,以继续接收新的无代理功能(例如与容器相关的攻击路径、见解和清单)的容器相关值。 (最长可能需要 24 小时才能看到启用扩展的效果)。

详细了解无代理容器状况

2023 年 5 月

更新包括:

密钥保管库的 Defender 新警报

警报(警报类型) 说明 MITRE 技巧 严重性
从可疑 IP(非 Microsoft 或外部 IP)异常访问密钥保管库
(KV_UnusualAccessSuspiciousIP)		 用户或服务主体在过去 24 小时内尝试从非 Microsoft IP 异常访问密钥保管库。 此异常访问模式可能是合法的活动。 它可能表明:用户或主体可能在尝试访问密钥保管库及其中包含的机密。 建议进一步调查。 凭据访问 中型

有关所有可用警报,请参阅 Azure 密钥保管库警报

无代理扫描现在支持 AWS 中的加密磁盘

VM 的无代理扫描现在支持使用 CMK 和 PMK 在 AWS 中使用加密磁盘处理实例。

此扩展支持可增加云资产的覆盖范围和可见性,而不会影响正在运行的工作负载。 对加密磁盘的支持对正在运行的实例保持了相同的零影响方法。

  • 对于在 AWS 中启用无代理扫描的新客户,加密磁盘覆盖范围是内置的,并且默认受支持。
  • 对于具有已启用无代理扫描的 AWS 连接器的现有客户,需要将 CloudFormation 堆栈重新应用到载入的 AWS 帐户,以更新和添加处理加密磁盘所需的新权限。 更新后的 CloudFormation 模板包括允许 Defender for Cloud 处理加密磁盘的新分配。

可以详细了解用于扫描 AWS 实例的权限

要重新应用 CloudFormation 堆栈,请

  1. 转到 Defender for Cloud 环境设置并打开 AWS 连接器。
  2. 导航到“配置访问权限”选项卡。
  3. 选择“单击以下载 CloudFormation 模板”。
  4. 导航到 AWS 环境并应用更新后的模板。

详细了解无代理扫描在 AWS 中启用无代理扫描

修订了 Defender for Cloud 中的 JIT(即时)规则命名约定

我们修订了 JIT(即时)规则,以便与 Microsoft Defender for Cloud 品牌保持一致。 我们更改了 Azure 防火墙 和 NSG(网络安全组)规则的命名约定。

这些更改按如下所示列出:

说明 旧名称 新名称
NSG(网络安全组)中的 JIT 规则名称 SecurityCenter-JITRule MicrosoftDefenderForCloud-JITRule
NSG 中的 JIT 规则说明 ASC JIT 网络访问规则 MDC JIT 网络访问规则
JIT 防火墙规则集合名称 ASC-JIT MDC-JIT
JIT 防火墙规则名称 ASC-JIT MDC-JIT

了解如何使用即时访问保护管理端口

加入所选 AWS 区域

为了帮助你管理 AWS CloudTrail 成本和合规性需求,现在可以选择在添加或编辑云连接器时要扫描的 AWS 区域。 现在,将 AWS 帐户加入 Defender for Cloud 时,可以扫描所选的特定 AWS 区域或所有可用区域(默认)。 要了解详细信息,请参阅将 AWS 帐户连接到 Microsoft Defender for Cloud

针对标识建议进行了多项更改

以下建议现已作为正式发布 (GA) 发布,并将替换现已弃用的 V1 建议。

标识建议 V2 的正式发布 (GA) 版本

标识建议的 V2 版本引入了以下增强功能:

  • 扫描范围已扩展为包括所有 Azure 资源,而不仅是订阅。 这会支持安全管理员查看每个帐户的角色分配。
  • 现在可以免除特定帐户的评估。 安全管理员可以排除某些帐户,例如 breakglass 帐户或服务帐户。
  • 扫描频率已从 24 小时增加到 12 小时,从而确保标识建议更加及时和准确。

以下安全建议将以 GA 形式提供,并替换 V1 建议:

建议 评估密钥
对 Azure 资源拥有所有者权限的帐户应启用 MFA 6240402e-f77c-46fa-9060-a7ce53997754
对 Azure 资源拥有写入权限的帐户应启用 MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b
对 Azure 资源拥有读取权限的帐户应启用 MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
应删除对 Azure 资源拥有所有者权限的来宾帐户 20606e75-05c4-48c0-9d97-add6daa2109a
应删除对 Azure 资源拥有写入权限的来宾帐户 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
应删除对 Azure 资源拥有读取权限的来宾帐户 fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
应删除对 Azure 资源拥有所有者权限的已封锁帐户 050ac097-3dda-4d24-ab6d-82568e7a50cf
应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

弃用标识建议 V1

以下安全建议现已弃用:

建议 评估密钥
应在对订阅拥有所有者权限的帐户上启用 MFA 94290b00-4d0c-d7b4-7cea-064a9554e681
应在对订阅拥有写入权限的帐户上启用 MFA 57e98606-6b1e-6193-0e3d-fe621387c16b
应在对订阅拥有读取权限的帐户上启用 MFA 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
应从订阅中删除拥有所有者权限的外部帐户 c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
应从订阅中删除拥有写入权限的外部帐户 04e7147b-0deb-9796-2e5c-0336343ceb3d
应从订阅中删除拥有读取权限的外部帐户 a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
应从订阅中删除拥有所有者权限的已弃用帐户 e52064aa-6853-e252-a11e-dffc675689c2
应从订阅中删除已弃用的帐户 00c6d40b-e990-6acf-d4f3-471e747a27c4

建议更新自定义脚本、工作流和治理规则,以符合 V2 建议。

弃用合规性仪表板中的旧版标准

旧版 PCI DSS v3.2.1 和旧版 SOC TSP 已在 Defender for Cloud 合规性仪表板中完全弃用,代之以 SOC 2 类型 2 计划和基于 PCI DSS v4 计划的合规性标准。 我们已完全弃用由世纪互联运营的 Microsoft Azure PCI DSS 标准/计划的支持。

了解如何在监管合规性仪表板中自定义标准集

现在,两项 Defender for DevOps 建议包括 Azure DevOps 扫描结果

Defender for DevOps 代码和 IaC 在 Microsoft Defender for Cloud 中扩展了其建议范围,以包括以下两项建议的 Azure DevOps 安全发现:

  • Code repositories should have code scanning findings resolved

  • Code repositories should have infrastructure as code scanning findings resolved

以前,Azure DevOps 安全扫描的覆盖范围仅包括机密建议。

详细了解 Defender for DevOps

Defender for Servers 漏洞评估解决方案的新默认设置

漏洞评估 (VA) 解决方案对于保护计算机免受网络攻击和数据泄露至关重要。

Microsoft Defender 漏洞管理 (MDVM) 现已作为默认内置解决方案启用,适用于尚未选择 VA 解决方案的 Defender for Servers 保护的所有订阅。

如果订阅在其任何 VM 上启用了 VA 解决方案,则不会进行任何更改,并且默认情况下不会在该订阅中的剩余 VM 上启用 MDVM。 可以选择在订阅上的剩余 VM 上启用 VA 解决方案

了解如何使用无代理扫描查找漏洞和收集软件清单(预览版)

下载云安全资源管理器查询结果的 CSV 报表(预览版)

Defender for Cloud 新增了下载云安全资源管理器查询结果 CSV 报表的功能。

运行查询搜索后,可以从 Defender for Cloud 中的“云安全资源管理器”页中选择“下载 CSV 报表(预览版)”按钮。

了解如何使用云安全资源管理器生成查询

由 Defender CSPM 中的 Microsoft Defender 漏洞管理 (MDVM) 提供支持的容器漏洞评估发布

我们宣布,针对由 Defender CSPM 中的 Microsoft Defender 漏洞管理 (MDVM) 提供支持的 Azure 容器注册表中的 Linux 映像的漏洞评估现已发布。 此次发布包括每日扫描映像。 安全资源管理器和攻击路径中使用的结果依赖于 MDVM 漏洞评估,而不是 Qualys 扫描程序。

现有建议 Container registry images should have vulnerability findings resolved 已替换为 MDVM 支持的新建议:

建议 说明 评估密钥
容器注册表映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 dbd0cb49-b563-45e7-9724-889e799fa648
替换为 c0b7cfc6-3172-465a-b378-53c7ff2cc0d5

详细了解 Defender CSPM 中的无代理容器状况

详细了解 Microsoft Defender 漏洞管理 (MDVM)

重命名由 Qualys 提供支持的容器建议

Defender for Containers 中的当前容器建议将重命名为:

建议 说明 评估密钥
容器注册表映像应已解决漏洞结果(由 Qualys 提供技术支持) 容器映像漏洞评估功能会扫描注册表中的安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 dbd0cb49-b563-45e7-9724-889e799fa648
运行容器映像应已解决漏洞结果(由 Qualys 提供支持) 容器映像漏洞评估会扫描 Kubernetes 群集上运行的容器映像,以查找安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 41503391-efa5-47ee-9282-4eff6131462c

Defender for DevOps GitHub 应用程序更新

Microsoft Defender for DevOps 在不断更改和更新,这需要在 Defender for Cloud 中加入其 GitHub 环境的 Defender for DevOps 客户在他们的 GitHub 组织中部署应用程序时提供权限。 这些权限是确保 Defender for DevOps 的所有安全功能正常运行且不出现问题所必需的。

建议尽快更新权限,以确保能够继续访问 Defender for DevOps 的所有可用功能。

可通过两种不同的方式授予权限:

  • 在组织中,选择“GitHub 应用”。 找到你的组织,然后选择“评审请求”。

  • 你将收到一封来自 GitHub 支持的自动电子邮件。 在该电子邮件中,选择“评审权限请求以接受或拒绝此更改”。

遵循上述任一选项后,系统会将你导航到评审屏幕,应在其中评审请求。 选择“接受新权限”以批准请求。

如需有关更新权限的任何帮助,可以创建 Azure 支持请求

也可以详细了解 Defender for DevOps。 如果订阅在其任何 VM 上启用了 VA 解决方案,则不会进行任何更改,并且默认情况下不会在该订阅中的剩余 VM 上启用 MDVM。 可以选择在订阅上的剩余 VM 上启用 VA 解决方案

了解如何使用无代理扫描查找漏洞和收集软件清单(预览版)

Azure DevOps 存储库中的 Defender for DevOps 拉取请求注释现在包括基础结构即代码错误配置情况

Defender for DevOps 扩展了 Azure DevOps 中的拉取请求 (PR) 注释范围,以包括在 Azure 资源管理器和 Bicep 模板中检测到的基础结构即代码 (IaC) 错误配置情况。

现在,开发人员可直接在其 PR 中查看 IaC 错误配置情况的注释。 在将基础结构预配到云工作负载之前,开发人员还可以修正关键安全问题。 为了简化修正,在每个注释中向开发人员提供了严重性级别、错误配置说明和修正说明。

以前,Azure DevOps 中 Defender for DevOps PR 注释的覆盖范围仅包括机密。

详细了解 Defender for DevOps拉取请求注释

2023 年 4 月

4 月的更新包括:

Defender CSPM 中的无代理容器状况(预览版)

新的无代理容器状况(预览版)功能作为 Defender CSPM(云安全态势管理)计划的一部分提供。

无代理容器状况允许安全团队识别容器和 Kubernetes 领域的安全风险。 无代理方法允许安全团队跨 SDLC 和运行时查看其 Kubernetes 和容器注册表,从而消除工作负载的摩擦和占用空间。

无代理容器状况提供容器漏洞评估,结合攻击路径分析,使安全团队能够优先考虑并放大特定的容器漏洞。 还可以使用云安全资源管理器来发现风险并搜寻容器状况见解,例如发现运行易受攻击的映像或向 Internet 公开的应用程序。

详细了解无代理容器状况(预览版)

统一磁盘加密建议(预览)

我们引入了处于公共预览状态的统一磁盘加密建议 Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHostLinux virtual machines should enable Azure Disk Encryption or EncryptionAtHost

这些建议将替换检测 Azure 磁盘加密的 Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources 和检测 EncryptionAtHost 的策略 Virtual machines and virtual machine scale sets should have encryption at host enabled。 ADE 和 EncryptionAtHost 提供了可比较的静态加密覆盖率,建议在每个虚拟机上启用其中一个。 新的建议会检测是否已启用 ADE 或 EncryptionAtHost,并且仅在两者均未启用时发出警告。 我们还会在 VM 的部分(但并非所有)磁盘上启用 ADE 时发出警告(此条件不适用于 EncryptionAtHost)。

新建议需要 Azure Automanage 机器配置

这些建议基于以下策略:

详细了解 ADE 和 EncryptionAtHost 以及如何启用其中一个

“应安全配置计算机”建议中的更改

建议 Machines should be configured securely 已更新。 此更新可提高建议的性能和稳定性,并将其体验与 Defender for Cloud 建议的一般行为保持一致。

作为此更新的一部分,建议的 ID 已从 181ac480-f7c4-544b-9865-11b8ffe87f47 更改为 c476dc48-8110-4139-91af-c8d940896b98

客户方面无需执行任何操作,并且预期不会对安全分数产生影响。

弃用应用服务语言监视策略

以下应用服务语言监视策略已弃用,因为它们能够生成漏报,并且不能提供更好的安全性。 应始终确保所使用的语言版本不存在任何已知漏洞。

策略名称 策略 ID
使用 Java 的应用服务应用应使用最新“Java 版本” 496223c3-ad65-4ecd-878a-bae78737e9ed
使用 Python 的应用服务应用应使用最新“Python 版本” 7008174a-fd10-4ef0-817e-fc820a951d73
使用 Java 的函数应用应使用最新“Java 版本” 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
使用 Python 的函数应用应使用最新“Python 版本” 7238174a-fd10-4ef0-817e-fc820a951d73
使用 PHP 的应用服务应用应使用最新“PHP 版本” 7261b898-8a84-4db8-9e04-18527132abb3

客户可以使用备用内置策略来监视其应用服务的任何指定语言版本。

这些策略在 Defender for Cloud 的内置建议中不再可用。 可以将它们添加为自定义建议,以便 Defender for Cloud 对其进行监视。

Defender 中适用于资源管理器的新警报

适用于资源管理器的 Deferder 具有如下警报:

警报(警报类型) 说明 MITRE 技巧 严重性
预览 - 检测到可疑的计算资源创建
(ARM_SuspiciousComputeCreation)		 适用于资源管理器的 Microsoft Defender 使用 虚拟机/Azure 规模集在订阅中发现了可以的计算资源创建。 所识别的操作旨在允许管理员在需要时可通过部署新资源来有效管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作进行加密挖掘。
活动被视为可疑,因为计算资源规模高于之前在订阅中观察到的规模。
这可能指示主体被盗用并且正在被恶意使用。		 影响 中型

可以看到可用于资源管理器的所有警报的列表。

Defender for Resource Manager 计划中的三个警报已停用

已弃用 Defender for Resource Manager 计划的以下三个警报:

  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

如果检测到来自可疑 IP 地址的活动,将显示以下 Defender for Resource Manager 计划警报 Azure Resource Manager operation from suspicious IP addressAzure Resource Manager operation from suspicious proxy IP address

警报自动导出到 Log Analytics 工作区已停用

Defender for Cloud 安全警报自动导出到资源级别的默认 Log Analytics 工作区。 这会导致不确定的行为,因此我们已弃用此功能。

相反,你可以使用连续导出将安全警报导出到专用的 Log Analytics 工作区。

如果你已将警报的连续导出配置为 Log Analytics 工作区,则无需进一步操作。

弃用和改进 Windows 和 Linux 服务器的所选警报

Defender for Servers 的安全警报质量改进过程包括弃用 Windows 和 Linux 服务器的某些警报。 现在,已弃用的警报将源自 Defender for Endpoint 威胁警报,并涵盖在这些警报的范围内。

如果已启用 Defender for Endpoint 集成,则无需执行进一步操作。 2023 年 4 月,警报量可能会减少。

如果未在 Defender for Servers 中启用 Defender for Endpoint 集成,则需要启用 Defender for Endpoint 集成来维护和改进警报覆盖范围。

作为 Defender for Servers 计划的一部分,所有 Defender for Server 客户都具有对 Defender for Endpoint 集成的完整访问权限。

可以详细了解 Microsoft Defender for Endpoint 加入选项

还可以查看设置为要弃用的完整警报列表

请阅读 Microsoft Defender for Cloud 博客

我们已为 Azure 数据服务添加了四项新的 Azure Active Directory 身份验证建议。

建议名称 建议说明 策略
Azure SQL 托管实例身份验证模式应已为仅 Azure Active Directory 通过禁用本地身份验证方法并仅允许 Azure Active Directory 身份验证,可确保 Azure SQL 托管实例只能由 Azure Active Directory 标识访问,从而提高安全性。 Azure SQL 托管实例应已启用仅 Azure Active Directory 身份验证
Azure Synapse 工作区身份验证模式应已为仅 Azure Active Directory 仅限 Azure Active Directory 身份验证方法通过确保 Synapse 工作区专门要求使用 Azure AD 标识进行身份验证来提高安全性。 了解详细信息 Synapse 工作区应仅使用 Azure Active Directory 标识进行身份验证
Azure Database for MySQL 应预配 Azure Active Directory 管理员 预配 Azure Database for MySQL 的 Azure AD 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 应为 MySQL 服务器预配 Azure Active Directory 管理员
Azure Database for PostgreSQL 应预配 Azure Active Directory 管理员 预配 Azure Database for PostgreSQL 的 Azure AD 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 应为 PostgreSQL 服务器预配 Azure Active Directory 管理员

建议 System updates should be installed on your machines (powered by Azure Update Manager)Machines should be configured to periodically check for missing system updates 已正式发布。

若要使用新建议,需要:

  • 将非 Azure 计算机连接到 Arc。
  • 启用定期评估属性。 可使用“修复”按钮来修复建议。 该按钮位于 Machines should be configured to periodically check for missing system updates 这一新建议中。

完成上述步骤后,可以删除旧建议 System updates should be installed on your machines,方法是在 Azure 策略中的 Defender for Cloud 内置计划中禁用它。

建议有两个版本:

2024 年 8 月 31 日弃用 Log Analytics 代理之前,两个版本都会存在,弃用代理后,也会弃用旧版本的建议 (System updates should be installed on your machines)。 两个建议返回相同的结果,并位于同一控件 Apply system updates 下。

新建议 System updates should be installed on your machines (powered by Azure Update Manager) 可通过“修复”按钮提供修正流程,该流程可用于通过更新管理器(预览版)修正结果。 此修正过程仍处于预览状态。

新建议 System updates should be installed on your machines (powered by Azure Update Manager) 预计不会影响安全功能分数,因为它的结果与旧建议 System updates should be installed on your machines 相同。

先决条件建议(启用定期评估属性)将对安全功能分数产生负面影响。 可使用提供的“修复”按钮修正负面效果。

Defender for API(预览版)

Microsoft 的 Defender for Cloud 宣布推出新的 Defender for API 预览版。

Defender for APIs 为 API 提供完整生命周期的保护、检测和响应覆盖。

Defender for API 可帮助你了解业务关键型 API。 可以调查和改善 API 安全状况、确定漏洞修复的优先顺序,并快速检测活动实时威胁。

详细了解 Defender for API

2023 年 3 月

3 月的更新包括:

新的 Defender for Storage 计划可用,包括近实时恶意软件扫描和敏感数据威胁检测

云存储在组织中起着关键作用,存储大量有价值的敏感数据。 今天,我们将宣布新的 Defender for Storage 计划。 如果使用以前的计划(现在重命名为“Defender for Storage(经典)”),则需要主动迁移到新计划,才能使用新功能和权益。

新计划包括高级安全功能,可帮助防止恶意文件上传、敏感数据外泄和数据损坏。 该计划的定价结构也更具可预测性和更灵活,以便更好地控制覆盖范围和成本。

新计划现在以公共预览版提供新功能:

  • 检测敏感数据泄露和外泄事件

  • 跨所有文件类型的近实时 Blob 上传恶意软件扫描

  • 使用 SAS 令牌检测无标识的实体

这些功能将基于控制和数据平面日志分析和行为建模来增强现有的活动监视功能,从而识别早期违规迹象。

所有这些功能都在新的可预测和灵活的定价计划中提供,该计划在订阅和资源级别提供对数据保护的精细控制。

有关详细信息,请参阅适用于存储的 Microsoft Defender 概述

数据感知安全态势 (预览版)

Microsoft Defender for Cloud 可帮助安全团队在降低风险和应对云中的数据泄露方面提高工作效率。 它允许他们通过数据上下文来消除干扰,并确定最关键安全风险的优先级,从而防止代价高昂的数据泄露。

  • 跨云资产自动发现数据资源,并评估其可访问性、数据敏感度和配置的数据流。 -持续发现敏感数据资源的数据泄露风险、暴露或攻击路径,这些路径可能会指向使用横向移动技术的数据资源。
  • 检测可能指示对敏感数据资源的持续威胁的可疑活动。

详细了解数据感知安全态势

改进了管理默认 Azure 安全策略的体验

我们为内置建议引入了改进的 Azure 安全策略管理体验,简化了 Defender for Cloud 客户微调其安全要求的方式。 新体验包括以下新功能:

  • 在 Defender for Cloud 中管理默认安全策略时,简单的界面可以提供更好的性能和体验。
  • Microsoft 云安全基准提供的所有内置安全建议的单一视图 (以前的 Azure 安全基准) 。 建议会整理成逻辑组,以便更轻松地了解涵盖的资源类型,以及参数与建议之间的关系。
  • 添加了筛选器和搜索等新功能。

了解如何管理安全策略

请阅读 Microsoft Defender for Cloud 博客

Defender CSPM(云安全态势管理)现已正式发布 (GA)

我们宣布 Defender CSPM 现已正式发布 (GA)。 Defender CSPM 提供基础 CSPM 功能提供的所有服务,并增加了以下优势:

  • 攻击路径分析和 ARG API - 攻击路径分析使用基于图的算法,这种算法可扫描云安全图表,发现攻击路径并提出建议。这些建议旨在破坏攻击路径,防止攻击者成功破坏环境。 可以通过查询 Azure Resource Graph (ARG) API 以编程方式化解攻击路径。 了解如何使用攻击路径分析
  • 云安全资源管理器 - 通过使用云安全资源管理器对云安全图运行基于图的查询,你可以主动识别多云环境中的安全风险。 详细了解云安全资源管理器

详细了解 Defender CSPM

在 Microsoft Defender for Cloud 中创建自定义建议和安全标准的选项

Microsoft Defender for Cloud 提供了使用 KQL 查询为 AWS 和 GCP 创建自定义建议和标准的选项。 可以使用查询编辑器生成和测试数据查询。 此功能是 Defender CSPM (云安全态势管理) 计划的一部分。 了解如何创建自定义建议和安全标准

Microsoft 云安全基准 (MCSB) 版本 1.0 现已正式发布 (GA)

Microsoft Defender for Cloud 宣布 Microsoft 云安全基准 (MCSB) 版本 1.0 现已正式发布 (GA)。

MCSB 版本 1.0 取代了 Azure 安全基准 (ASB) 版本 3,作为 Defender for Cloud 的默认安全策略。 MCSB 版本 1.0 在合规性仪表板中显示为默认合规性标准,并且默认为所有 Defender for Cloud 客户启用。

还可以了解 Microsoft 云安全基准 (MCSB) 如何帮助你在云安全旅程中取得成功

详细了解 MCSB

一些法规合规性标准现已在政府云中可用

我们正在为世纪互联运营的 Azure 政府和 Microsoft Azure 客户更新这些标准。

Azure 政府

由世纪互联运营的 Microsoft Azure:

了解如何在法规合规性仪表板中自定义标准集

Azure SQL 服务器的新预览版建议

我们为 Azure SQL 服务器添加了新建议,Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)

建议基于现有策略 Azure SQL Database should have Azure Active Directory Only Authentication enabled

此建议禁用本地身份验证方法并仅允许 Azure Active Directory 身份验证,可确保 Azure SQL 数据库只能由 Azure Active Directory 标识访问,从而提高安全性。

了解如何在 Azure SQL 中创建启用了仅限 Azure AD 的身份验证的服务器

密钥保管库的 Defender 新警报

密钥保管库的 Deferder 新警报如下:

警报(警报类型) 说明 MITRE 技巧 严重性
已拒绝从可疑 IP 访问密钥保管库
(KV_SuspiciousIPAccessDenied)		 已被 Microsoft 威胁情报标识为可疑 IP 地址的 IP 尝试访问密钥保管库失败。 尽管此次尝试失败,但这表明你的基础结构可能已遭入侵。 建议进一步调查。 凭据访问

可以看到可用于密钥保管库的所有警报的列表。

2023 年 2 月

2 月的更新包括:

增强型云安全资源管理器

云安全资源管理器的改进版本包括全新的用户体验,可显著消除查询摩擦,增加了运行多云和多资源查询的功能,以及针对每个查询选项的嵌入式文档。

云安全资源管理器现在允许跨资源运行云抽象查询。 可以使用预构建的查询模板或自定义搜索来应用筛选器以构建查询。 了解如何管理云安全资源管理器

Defender for Containers 对正在运行的 Linux 映像的漏洞扫描现已正式发布

Defender for Containers 检测正在运行的容器中的漏洞。 Windows 和 Linux 容器均受支持。

2022 年 8 月,此功能面向 Windows 和 Linux 以预览版形式发布。 我们现在正在发布适用于 Linux 的正式发布版 (GA)。

检测到漏洞时,Defender for Cloud 会生成以下安全建议,其中列出了扫描的调查结果:运行容器映像应已解决漏洞发现

详细了解如何查看运行映像的漏洞

宣布支持 AWS CIS 1.5.0 合规性标准

Defender for Cloud 现在支持 CIS Amazon Web Services Foundations v1.5.0 合规性标准。 该标准可添加到法规合规性仪表板,并以 MDC 的现有多云建议和标准产品/服务为基础。

此新标准包括现有建议和新建议,这些建议将 Defender for Cloud 的覆盖范围扩展到新的 AWS 服务和资源。

了解如何管理 AWS 评估和标准

Microsoft Defender for DevOps(预览版)现已在其他区域提供

Microsoft Defender for DevOps 扩大了其预览版使用范围,现已在欧洲西部和澳大利亚东部区域提供,当你加入 Azure DevOps 和 GitHub 资源时即可使用。

详细了解 Microsoft Defender for DevOps

内置策略[预览]:应配置专用终结点,因为密钥保管库已停用

内置策略 [Preview]: Private endpoint should be configured for Key Vault 已停用,并将替换为 [Preview]: Azure Key Vaults should use private link 策略。

详细了解如何将 Azure Key Vault 与 Azure Policy 集成

2023 年 1 月

一月的更新包括:

现可在“设置和监视”页中访问 Endpoint Protection (Microsoft Defender for Endpoint) 组件

要访问 Endpoint Protection,ke 导航到“环境设置”>“Defender 计划”>“设置和监视”。 可在此处将终结点保护设置为“”。 还可以查看托管的其他组件。

详细了解如何在具有 Defender for Servers 的服务器上启用 Microsoft Defender for Endpoint

有关查找缺失的系统更新的新版建议(预览版)

不再需要在 Azure VM 和 Azure Arc 计算机上安装代理即可确保计算机具有所有最新安全更新或关键系统更新。

Apply system updates”控制措施中新的系统更新建议“System updates should be installed on your machines (powered by Azure Update Manager)”基于更新管理器(预览版)。 该建议依赖于嵌入到每个 Azure VM 和 Azure Arc 计算机中的本机代理,而不是已安装的代理。 新建议中的“快速修复”可引导你在更新管理器门户中完成缺失的更新的一次性安装。

若要使用新建议,需要:

  • 将非 Azure 计算机连接到 Arc
  • 打开定期评估属性。 可使用“Machines should be configured to periodically check for missing system updates”这一新建议中的快速修复来修复建议。

依赖于 Log Analytics 代理的现有“应在计算机上安装系统更新”建议仍在同一控制措施下提供。

在连接的 AWS 和 GCP 帐户中清理已删除的 Azure Arc 计算机

连接到 AWS 和 GCP 帐户并由计算机上的 Defender for Servers 或 Defender for SQL 涵盖的计算机在 Defender for Cloud 中表示为 Azure Arc 计算机。 到目前为止,从 AWS 或 GCP 帐户中删除计算机时,该计算机并未从库存中删除。 这会导致 Defender for Cloud 中留下不必要的 Azure Arc 资源,这些资源代表已删除的计算机。

现在,当连接的 AWS 或 GCP 帐户中的 Azure Arc 计算机被删除时,Defender for Cloud 将自动删除这些计算机。

允许连续导出到防火墙后的事件中心

现可启用警报和建议的连续导出,此功能作为到受 Azure 防火墙保护的事件中心的受信任服务提供。

可以在生成警报或建议时启用连续导出。 也可制定计划来定期发送所有新数据的快照。

了解如何启用连续导出到 Azure 防火墙后的事件中心

名为“通过 Azure 高级网络解决方案保护应用程序”的安全分数控制措施的名称已更改

安全分数控制措施 Protect your applications with Azure advanced networking solutions 已更改为 Protect applications against DDoS attacks

更新后的名称将反映在 Azure Resource Graph (ARG)、安全分数控制 API 和“Download CSV report”上。

“SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址”策略已弃用

策略 Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports 已弃用。

Defender for SQL 漏洞评估电子邮件报告仍然可用,现有电子邮件配置也未更改。

为虚拟机规模集启用诊断日志的建议已弃用

建议 Diagnostic logs in Virtual Machine Scale Sets should be enabled 已弃用。

相关的策略定义也已从法规合规性仪表板中显示的任何标准中弃用。

建议 说明 严重性
应启用虚拟机规模集中的诊断日志 启用日志并将其保留长达一年。这使你能够在发生安全事件或网络遭到入侵时重新创建活动线索以供调查。

2022 年 12 月

12 月的更新包括:

宣布在 Defender for SQL 中推出漏洞评估的快速配置

Microsoft Defender for SQL 中用于漏洞评估的快速配置为安全团队简化了 Synapse 工作区外部的 Azure SQL 数据库和专用 SQL 池上的配置体验。

借助漏洞评估的快速配置体验,安全团队可以:

  • 在 SQL 资源的安全配置中完成漏洞评估配置,无需对客户管理的存储帐户进行任何其他设置,也不需要在此类帐户上具备任何依赖项。
  • 立即将扫描结果添加到基线,以将查找结果的状态从“不正常”更改为“正常”,且无需重新扫描数据库。
  • 一次向基线添加多个规则,并使用最新的扫描结果。
  • 在订阅级别为数据库启用 Microsoft Defender 时,为所有 Azure SQL 服务器启用漏洞评估。

详细了解 Defender for SQL 漏洞评估

2022 年 11 月

11 月的更新包括:

使用 Defender for Containers 保护整个 GCP 组织的容器

现在可以为 GCP 环境启用 Defender for Containers,以保护整个 GCP 组织中的标准 GKE 群集。 只需创建一个新的 GCP 连接器,并启用 Defender for Containers,或者在现有组织级 GCP 连接器上启用 Defender for Containers。

详细了解如何连接 GCP 项目和组织到 Defender for Cloud。

使用示例警报验证 Defender for Containers 保护功能

现在还可以为 Defender for Containers 计划创建示例警报。 新的示例警报显示为来自 AKS、连接 Arc 的群集、EKS 和 GKE 资源,具有不同的严重性和 MITRE 策略。 可以使用示例警报验证安全警报配置,例如 SIEM 集成、工作流自动化和电子邮件通知。

详细了解警报验证

大规模治理规则(预览版)

我们很高兴宣布,在 Defender for Cloud 中应用大规模治理规则(预览版)这项新功能。

借助这一新体验,安全团队能够针对各种范围(订阅和连接器)批量定义治理规则。 安全团队可以使用管理范围(例如 Azure 管理组、AWS 顶层帐户或 GCP 组织)来完成此任务。

此外,“治理规则(预览版)”页显示了在组织环境中有效的所有可用治理规则。

详细了解新的大规模治理规则体验

注意

自 2023 年 1 月 1 日起,若要体验治理提供的功能,必须在订阅或连接器上启用 Defender CSPM 计划

在 AWS 和 GCP(预览版)中创建自定义评估的功能已弃用

AWS 帐户GCP 项目创建自定义评估的功能(一项预览版功能)已弃用。

为 Lambda 函数配置死信队列的建议已弃用

建议 Lambda functions should have a dead-letter queue configured 已弃用。

建议 说明 严重性
Lambda 函数应配置有死信队列 此控件检查 Lambda 函数是否配置了死信队列。 如果没有为 Lambda 函数配置死信队列,则此控件将失败。 作为故障目标的替代方法,可以使用死信队列来配置函数,以便保存放弃的事件以供进一步处理。 死信队列的作用与故障目标相同。 当某个事件的所有处理尝试失败或未进行处理而过期,将使用死信队列。 使用死信队列可以回顾错误或对 Lambda 函数的失败请求,以便调试或识别异常行为。 从安全角度来看,务必了解函数失败的原因,并确保函数不会因此导致数据损坏或破坏数据安全。 例如,如果函数无法与基础资源通信,这可能表示网络中的其他位置出现拒绝服务 (DoS) 攻击。

2022 年 10 月

10月更新包括:

宣布推出 Microsoft 云安全基准

Microsoft 云安全基准 (MCSB) 是一个新的框架,基于通用行业标准和合规性框架定义基本的云安全原则, 再结合用于跨云平台实施这些最佳做法的详细技术指南。 MCSB 将取代 Azure 安全基准。 MCSB 提供有关如何在多个云服务平台上实施与云无关的安全建议的规范性详细信息,最初涵盖 Azure 和 AWS。

现在可在单个集成仪表板中监视每个云的云安全合规性状况。 导航到 Defender for Cloud 的法规合规性仪表板时,可看到 MCSB 是默认合规性标准。

加入 Defender for Cloud 时,Microsoft 云安全基准会自动分配给 Azure 订阅和 AWS 帐户。

详细了解 Microsoft 云安全基准

Defender for Cloud 中的攻击路径分析和上下文安全功能(预览版)

新的云安全图、攻击路径分析和上下文云安全功能现已在 Defender for Cloud 中以预览版形式提供。

安全团队今天面临的最大挑战之一是他们每天面临的安全问题的数量。 有许多安全问题需要解决,但从未有足够的资源来解决所有这些问题。

Defender for Cloud 的新云安全图和攻击路径分析功能使安全团队能够评估每个安全问题背后的风险。 安全团队还可以确定需要尽快解决的风险性最高的问题。 Defender for Cloud 可帮助安全团队以最有效的方式降低对其环境造成影响的入侵风险。

详细了解新的云安全图、攻击路径分析和云安全资源管理器

Azure 和 AWS 计算机的无代理扫描(预览版)

到目前为止,Defender for Cloud 根据基于代理的解决方案对 VM 进行状况评估。 为帮助客户最大限度地提高覆盖范围并减少加入和管理问题,我们将发布预览版 VM 无代理扫描。

使用 VM 无代理扫描,可以广泛了解已安装的软件和软件 CVE。 无需面对代理安装和维护、网络连接要求以及对工作负载的性能影响等挑战便能了解。 分析由Microsoft Defender 漏洞管理提供支持。

无代理漏洞扫描可在 Defender 云安全态势管理 (CSPM) 和 Defender for Servers P2 中使用,同时原生支持 AWS 和 Azure VM。

Defender for DevOps(预览版)

Microsoft Defender for Cloud 可实现跨混合和多云环境(包括 Azure、AWS、Google 和本地资源)的全面可见性、态势管理和威胁防护。

现在,全新 Defender for DevOps 计划将源代码管理系统(如 GitHub 和 Azure DevOps)集成到 Defender for Cloud 中。 通过这种新的集成,我们使安全团队能够保护他们从代码到云的各项资源。

借助 Defender for DevOps,可以了解和管理已连接的开发人员环境和代码资源。 目前,可以将 Azure DevOpsGitHub 系统连接到 Defender for Cloud,并将 DevOps 存储库加入清单和新的 DevOps 安全页。 它在统一的 DevOps 安全页中为安全团队提供了发现其存在的安全问题的简要概述。

可以在拉取请求上配置批注,以帮助开发人员直接在其拉取请求上解决 Azure DevOps 中查找的机密问题。

可以在 Azure Pipelines 和 GitHub 工作流中配置 Microsoft 安全 DevOps 工具,用于启用以下安全扫描:

名称 语言 许可证
Bandit Python Apache 许可证 2.0
BinSkim 二进制 - Windows、ELF MIT 许可证
ESlint JavaScript MIT 许可证
CredScan(仅限 Azure DevOps Only) 凭据扫描程序(也称为 CredScan)是由 Microsoft 开发和维护的工具,用于识别凭据泄漏,例如源代码和配置文件中的凭据泄漏。常见类型:默认密码、SQL 连接字符串、带私钥的证书 非开放源代码
模板分析 ARM 模板、Bicep 文件 MIT 许可证
Terrascan Terraform (HCL2)、Kubernetes (JSON/YAML)、Helm v3、Kustomize、Dockerfiles、Cloud Formation Apache 许可证 2.0
Trivy 容器映像、文件系统、Git 存储库 Apache 许可证 2.0

现在针对 DevOps 提供了以下新建议:

建议 说明 严重性
(预览)代码存储库应处理代码扫描结果 Defender for DevOps 在代码存储库中发现漏洞。 为了改善存储库的安全状况,强烈建议修复这些漏洞。 (无相关策略) 中型
(预览)代码存储库应处理机密扫描结果 Defender for DevOps 在代码存储库中发现了机密。  应立即修正此问题以防止安全漏洞。  在存储库中发现的机密可能会被泄露或被攻击者发现,导致应用程序或服务遭到入侵。 对于 Azure DevOps,Microsoft Security DevOps CredScan 工具仅扫描它配置为运行的生成。 因此,结果可能无法反映存储库中机密的完整状态。 (无相关策略)
(预览)代码存储库应处理 Dependabot 扫描结果 Defender for DevOps 在代码存储库中发现漏洞。 为了改善存储库的安全状况,强烈建议修复这些漏洞。 (无相关策略) 中型
(预览)代码存储库应处理基础结构即代码扫描结果 (预览)代码存储库应处理基础结构即代码扫描结果 中型
(预览)GitHub 存储库应启用代码扫描 GitHub 使用代码扫描分析代码,以查找代码中的安全性漏洞和错误。 代码扫描可用于查找、会审和优先排列代码中现有问题的修复。 代码扫描还可防止开发人员引入新问题。 扫描可安排在特定的日期和时间,也可以在存储库中发生特定事件(例如推送)时触发。 如果代码扫描发现代码中的潜在漏洞或错误,GitHub 会在存储库中显示警报。 漏洞是项目代码中的问题,可能被人利用来损害项目的机密性、完整性或可用性。 (无相关策略) 中型
(预览)GitHub 存储库应启用机密扫描 GitHub 扫描存储库以查找已知类型的机密,防止欺诈性使用意外提交到存储库中的机密。 机密扫描将扫描 GitHub 存储库中存在的所有分支上的整个 Git 历史记录,以查找任何机密。 机密的示例包括服务提供程序为进行身份验证而颁发的令牌和私钥。 如果将机密签入存储库,任何对存储库具有读取权限的人都可以使用该机密和这些权限访问外部服务。 机密应存储在项目存储库外部的专用、安全位置。 (无相关策略)
(预览)GitHub 存储库应启用 Dependabot 扫描 当 GitHub 检测到影响存储库的代码依赖项中的漏洞时,它会发送 Dependabot 警报。 漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。 代码依赖于具有安全性漏洞的包时,这种易受攻击的依赖项会导致一系列问题。 (无相关策略) 中型

Defender for DevOps 建议取代了 Defender for Containers 中已弃用的 CI/CD 工作流漏洞扫描程序。

详细了解 Defender for DevOps

法规合规性仪表板现在支持手动控制管理以及有关 Microsoft 合规性状态的详细信息

Defender for Cloud 中的合规性仪表板是帮助客户了解和跟踪其合规性状态的关键工具。 客户可按照许多不同标准和法规的要求持续监视环境。

现在可通过手动证明操作和其他控制措施来完全管理合规性状况。 现在可为非自动化控制提供合规性证据。 与自动评估配合使用,现在可以在选定的范围内生成完整的合规性报告,从而解决给定标准的整个控制集。

此外,有了更丰富的控制信息和 Microsoft 合规性状态的深入详细信息和证据,你现在可以轻松掌握审核所需的所有信息。

一些新优势如下:

  • 手动客户操作提供一种手动证明非自动化控制合规性的机制。 这包括链接证据、设置合规性日期和到期日期的能力。

  • 更丰富的受支持标准的控制详细信息,除了已有的自动化客户操作外,还展示 Microsoft 操作和手动客户操作。

  • Microsoft 操作将明确显示 Microsoft 合规性状态,包括审核评估过程、测试结果和 Microsoft 对偏差的响应。

  • 合规性产品提供一个中心位置,用于检查 Azure、Dynamics 365 和 Power Platform 产品及其各自的法规合规性认证。

详细了解如何通过 Defender for Cloud 提高法规合规性

自动预配已重命名为设置和监视,并具有更新的体验

我们已将“自动预配”页重命名为设置和监视

自动预配旨在允许大规模启用 Defender for Cloud 的高级特性和功能所需的先决条件。 为了更好地支持扩展功能,我们将推出包含以下更改的新体验:

Defender for Cloud 的计划页现在包括:

  • 启用需要监视组件的 Defender 计划时,会启用这些组件以使用默认设置进行自动预配。 可选择随时编辑这些设置。
  • 可从 Defender 计划页访问每个 Defender 计划的监视组件设置。
  • Defender 计划页明确指示每个 Defender 计划的所有监视组件是否都已到位,或者监视覆盖范围是否不完整。

设置和监视页

  • 每个监视组件都指示与之相关的 Defender 计划。

详细了解如何管理监视设置

Defender 云安全态势管理 (CSPM)

Microsoft Defender for Cloud 的云安全主要支柱之一是云安全态势管理 (CSPM)。 CSPM 为你提供强化指南,帮助你高效且有效地提高安全性。 CSPM 还可以让你了解当前的安全情况。

我们宣布推出一个新的 Defender 计划:Defender CSPM。 此计划增强了 Defender for Cloud 的安全功能,并包含以下新功能和扩展功能:

  • 持续评估云资源的安全配置
  • 用于修复配置错误和漏洞的安全建议
  • 安全功能分数
  • 调控
  • 法规符合性
  • 云安全图
  • 攻击路径分析
  • 计算机的无代理扫描

详细了解 Defender CSPM 计划

MITRE ATT&CK 框架映射现在也可用于 AWS 和 GCP 安全建议

对于安全分析师来说,确定与安全建议相关的潜在风险并了解攻击途径是至关重要的,这样他们才能有效地确定任务的优先级。

Defender for Cloud 通过根据 MITRE ATT&CK 框架映射 Azure、AWS 和 GCP 安全建议,使优先级更轻松。 MITRE ATT&CK 框架是一种基于真实观察的全球可访问的攻击者策略和技术知识库,使客户能够加强环境的安全配置。

MITRE ATT&CK 框架以三种方式集成:

  • 推荐映射到 MITRE ATT&CK 策略和技术。
  • 使用 Azure Resource Graph 查询 MITRE ATT&CK 策略和技术,了解建议。

显示 MITRE 攻击在 Azure 门户中的位置的屏幕截图。

Defender for Containers 现在支持弹性容器注册表漏洞评估(预览版)

Microsoft Defender for Containers 现在为 Amazon AWS 中的弹性容器注册表 (ECR) 提供无代理漏洞评估扫描。 这在今年早些时候为 AWS 和 Google GCP 发布的高级威胁防护和 Kubernetes 环境强化的基础上,扩大了对多云环境的覆盖范围。 无代理模型在帐户中创建 AWS 资源以扫描映像,而无需从 AWS 帐户中提取映像,也不会占用工作负载。

针对 ECR 存储库中映像的无代理漏洞评估扫描通过持续扫描映像来识别和管理容器漏洞,从而帮助减少容器化资产的攻击面。 在这个新版本中,Defender for Cloud 会在容器映像推送到存储库后扫描这些容器映像,并不断重新评估注册表中的 ECR 容器映像。 这些结果在 Microsoft Defender for Cloud 中以建议的形式提供,你可使用 Defender for Cloud 的内置自动化工作流根据结果采取措施,例如打开用于修复映像中严重性较高的漏洞的工单。

详细了解 Amazon ECR 映像的漏洞评估

2022 年 9 月

9 月的更新包括:

抑制基于容器和 Kubernetes 实体的警报

  • Kubernetes 命名空间
  • Kubernetes Pod
  • Kubernetes 机密
  • Kubernetes ServiceAccount
  • Kubernetes ReplicaSet
  • Kubernetes statefulset
  • Kubernetes DaemonSet
  • Kubernetes 作业
  • Kubernetes CronJob

详细了解警报抑制规则

Defender for Servers 支持使用 Azure Monitor 代理进行文件完整性监视

文件完整性监视 (FIM) 检查操作系统文件和注册表,从而发现能表示遭到攻击的更改。

FIM 现已在基于 Azure Monitor 代理 (AMA) 的新版本中提供,可以通过 Defender for Cloud 进行部署

详细了解 Azure Monitor 代理的文件完整性监视

旧版评估 API 弃用

以下 API 已弃用:

  • 安全性任务
  • 安全状态
  • 安全摘要

这三个 API 公开了旧格式的评估,并将替换为评估 API子评估 API。 这些旧 API 公开的所有数据也在新 API 中可用。

针对标识添加的额外建议

Defender for Cloud 关于改进用户和帐户管理的建议。

新建议

新版本将包含以下功能:

  • 扩展评估范围 - 没有 MFA 的标识账户和 Azure 资源上的外部帐户(而不仅是订阅)的覆盖范围已得到改进,这使安全管理员能够查看每个帐户的角色分配。

  • 改进刷新间隔 - 标识建议的刷新间隔现为 12 小时。

  • 帐户豁免功能 - Defender for Cloud 具有许多功能,可用于进行体验自定义并确保安全功能分数反映组织的安全优先级。 例如,可以从安全评分中免除资源和建议

    通过此更新,你将能够豁免下表中列出的六项建议对特定帐户的评估。

    通常,将从 MFA 建议中豁免紧急“破窗”帐户,因为此类帐户通常被有意排除在组织的 MFA 要求之外。 或者,你可能拥有想要允许其访问 MFA 但未为其启用 MFA 的外部帐户。

    提示

    豁免某个帐户时,它不会显示为运行不正常,也不会导致订阅看起来不正常。

    建议 评估密钥
    对 Azure 资源拥有所有者权限的帐户应启用 MFA 6240402e-f77c-46fa-9060-a7ce53997754
    对 Azure 资源拥有写入权限的帐户应启用 MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b
    对 Azure 资源拥有读取权限的帐户应启用 MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
    应删除对 Azure 资源拥有所有者权限的来宾帐户 20606e75-05c4-48c0-9d97-add6daa2109a
    应删除对 Azure 资源拥有写入权限的来宾帐户 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
    应删除对 Azure 资源拥有读取权限的来宾帐户 fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
    应删除对 Azure 资源拥有所有者权限的已封锁帐户 050ac097-3dda-4d24-ab6d-82568e7a50cf
    应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

这些建议虽然处于预览阶段,但将显示在当前正式发布的建议旁边。

删除向跨租户 Log Analytics 工作区报告的计算机安全警报

过去,Defender for Cloud 可让你选择 Log Analytics 代理向其报告的工作区。 当计算机属于一个租户(“租户 A”)但其 Log Analytics 代理向其他租户(“租户 B”)中的工作区报告时,有关计算机的安全警报将报告给第一个租户(“租户 A”)。

进行此更改后,连接到不同租户中 Log Analytics 工作区的计算机上的警报将不再显示在 Defender for Cloud 中。

如果要继续在 Defender for Cloud 中接收警报,请将相关计算机的 Log Analytics 代理连接到计算机所在的同一租户中的工作区。

详细了解安全警报

2022 年 8 月

8 月的更新包括:

现在可在 Windows 容器上的 Defender for Containers 中查看运行映像的漏洞

Defender for Containers 现在显示运行 Windows 容器的漏洞。

检测到漏洞时,Defender for Cloud 会生成以下安全建议,其中列出了检测到的问题:运行容器映像应已解决漏洞发现

详细了解如何查看运行映像的漏洞

Azure Monitor 代理集成现在处于预览阶段

Defender for Cloud 现包括对 Azure Monitor 代理 (AMA) 的预览支持。 AMA 用于替换位于弃用路径上的旧版 Log Analytics 代理,也称为 Microsoft Monitoring Agent (MMA)。 与旧版代理相比,AMA 具有许多优点

在 Defender for Cloud 中,启用 AMA 自动预配时,代理将部署在订阅中检测到的现有 VM 和新 VM 以及已启用 Azure Arc 的计算机上。 如果启用了 Defender for Cloud 计划,AMA 将从 Azure VM 和 Azure Arc 计算机收集配置信息和事件日志。 AMA 集成处于预览阶段,因此我们建议在测试环境中使用它,而不是在生产环境中使用。

下表列出了已弃用的警报:

警报名称 说明 策略 严重性
在 Kubernetes 节点上检测到 Docker 生成操作
(VM_ImageBuildOnNode)		 计算机日志指示 Kubernetes 节点上发生了容器映像的生成操作。 此行为可能是合法的,不过,攻击者可能会在本地生成恶意映像以避开检测。 防御规避
对 Kubernetes API 的可疑请求
(VM_KubernetesAPI)		 计算机日志指示有人对 Kubernetes API 发出了可疑的请求。 该请求发送自 Kubernetes 节点,可能来自节点中运行的某个容器。 尽管此行为可能是故意的,但它可能指示节点运行的某个容器遭到入侵。 横向移动 中型
SSH 服务器在容器中运行
(VM_ContainerSSH)		 计算机日志指示有 SSH 服务器在 Docker 容器中运行。 尽管此行为可能是故意的,但它通常指示容器配置不正确或者遭到破坏。 执行 中型

这些警报用于通知用户有关连接到 Kubernetes 群集的可疑活动。 警报将替换为 Microsoft Defender for Cloud 容器警报(K8S.NODE_ImageBuildOnNodeK8S.NODE_ KubernetesAPIK8S.NODE_ ContainerSSH)中的匹配警报,这将提供更高的保真度和全面的上下文来调查和处理警报。 详细了解 Kubernetes 群集的警报。

容器漏洞现在包括详细的包信息

Defender for Container 的漏洞评估 (VA) 现在包括每个发现的详细包信息,包括包名称、包类型、路径、已安装版本和不可编辑的版本。 利用包信息,可以查找易受攻击的包,以便修复漏洞或删除包。

此详细的包信息可用于新的图像扫描。

容器漏洞的包信息屏幕截图。

2022 年 7 月

7 月的更新包括:

用于 Kubernetes 运行时保护的云原生安全代理正式版 (GA)

我们很高兴地宣布,用于 Kubernetes 运行时保护的云原生安全代理现已推出正式版 (GA)!

随着客户不断地容器化其应用程序,Kubernetes 群集的生产部署也在持续扩建。 为了协助这种发展局面,Defender for Containers 团队开发了面向云原生 Kubernetes 的安全代理。

新的安全代理是基于 eBPF 技术的 Kubernetes DaemonSet,它将作为 AKS 安全配置文件的一部分完全集成到 AKS 群集中。

可以通过自动预配、建议流、AKS RP 启用该安全代理,或使用 Azure Policy 大规模启用。

现在你可以在 AKS 群集上部署 Defender 代理

在发布本通告时,运行时保护 - 威胁检测(工作负载)也已推出正式版。

详细了解 Defender for Container 的功能可用性

还可以查看所有提供的警报

请注意,如果你使用的是预览版,则不再需要 AKS-AzureDefender 功能标志。

Defender for Container 的 VA 增加了对检测语言特定包的支持(预览版)

Defender for Container 的漏洞评估 (VA) 能够检测通过 OS 包管理器部署的 OS 包中的漏洞。 我们现在扩展了 VA 检测语言特定包中包含的漏洞的能力。

此功能目前为预览版,仅适用于 Linux 映像。

若要查看已增加的所有包含的语言特定包,请查看 Defender for Container 功能及其可用性的完整列表。

防范 Operations Management Infrastructure 漏洞 CVE-2022-29149

Operations Management Infrastructure (OMI) 是一组基于云的服务,用于从一个位置管理本地和云环境。 OMI 组件完全在 Azure 中托管,而不是在本地资源上部署和管理。

与运行 OMI 版本 13 的 Azure HDInsight 集成的 Log Analytics 需要修补程序来修正 CVE-2022-29149。 请查看 Microsoft 安全更新指南中有关此漏洞的报告,了解如何识别受此漏洞影响的资源和补救步骤。

如果通过漏洞评估启用了 Defender for Servers,则可以使用此工作簿来识别受影响的资源。

与 Entra 权限管理集成

Defender for Cloud 已与 Microsoft Entra 权限管理集成,这是一种云基础结构权利管理 (CIEM) 解决方案,可为 Azure、AWS 和 GCP 中的任何标识和任何资源提供全面的可见性和权限控制。

你加入的每个 Azure 订阅、AWS 帐户和 GCP 项目现在都将显示权限蠕变索引 (PCI) 视图。

详细了解 Entra 权限管理(以前称为 Cloudknox)

密钥保管库建议已更改为“审核”

此处列出的密钥保管库建议的效果已更改为“审核”:

建议名称 建议 ID
存储在 Azure Key Vault 中的证书的有效期不得超过 12 个月 fc84abc0-eee6-4758-8372-a7681965ca44
Key Vault 机密应具有到期日期 14257785-9437-97fa-11ae-898cfb24302b
Key Vault 密钥应具有到期日期 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

弃用应用服务的 API 应用策略

我们弃用了以下策略,并改用已存在的对应策略以包括 API 应用:

即将弃用 改用
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

2022 年 6 月

6 月的更新包括以下内容:

正式发布 Microsoft Defender for Azure Cosmos DB

Microsoft Defender for Azure Cosmos DB 现已正式发布 (GA),并且支持 SQL(核心)API 帐户类型。

此新正式发布版本是 Microsoft Defender for Cloud 数据库保护套件的一部分,后者包括不同类型的 SQL 数据库和 MariaDB。 Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层,可检测企图利用 Azure Cosmos DB 帐户中的数据库的行为。

通过启用此计划,你将收到以下方面的警报:潜在的 SQL 注入、已知恶意参与者、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。

当检测到潜在的恶意活动时,将生成安全警报。 这些警报提供可疑活动的详细信息以及相关的调查步骤、修正操作和安全建议。

Microsoft Defender for Azure Cosmos DB 持续分析 Azure Cosmos DB 服务生成的遥测流,并将其与 Microsoft 威胁情报和行为模型交叉以检测任何可疑活动。 Defender for Azure Cosmos DB 不会访问 Azure Cosmos DB 帐户数据,也不会对数据库的性能产生任何影响。

详细了解 Microsoft Defender for Azure Cosmos DB

添加了对 Azure Cosmos DB 的支持后,Defender for Cloud 现在为基于云的数据库提供了最全面的工作负载保护产品/服务之一。 安全团队和数据库所有者现在可以集中管理其环境的数据库安全性。

了解如何为数据库启用保护

在计算机上正式提供适用于 AWS 和 GCP 环境的 Defender for SQL

Microsoft Defender for Cloud 提供的数据库保护功能增加了对托管在 AWS 或 GCP 环境中的 SQL Server 的支持。

借助 Defender for SQL,企业现在可以保护其托管在 Azure、AWS、GCP 和本地计算机上的整个数据库资产。

Microsoft Defender for SQL 提供了统一的多云体验,用于查看 SQL Server 和底层 Windows 操作系统的安全建议、安全警报和漏洞评估结果。

使用多云加入体验,可以为 AWS EC2、RDS Custom for SQL Server 和 GCP 计算引擎上运行的 SQL Server 启用和强制实施数据库保护。 启用这些计划中的任一计划后,订阅中存在的所有受支持的资源都将受到保护。 以后在同一订阅中创建的资源也会受到保护。

了解如何使用 Microsoft Defender for Cloud 保护和连接 AWS 环境GCP 组织

推动实现安全建议,以增强安全状况

如今,组织面临的威胁日益增加,使得安全人员发挥其一切才能保护其不断扩展的工作负载。 安全团队面临着与实施其安全策略中定义的保护相关的挑战。

现在,通过预览版治理体验,安全团队可以向资源所有者分配安全建议修正,并要求制定修正计划。 他们可以完全透明地了解修正的进度,并在任务过期时得到通知。

有关治理体验的详细信息,请参阅推动组织通过建议治理修正安全问题

按 IP 地址筛选安全警报

在许多攻击情况下,你希望根据攻击所涉及的实体的 IP 地址来跟踪警报。 到目前为止,IP 仅出现在单个警报窗格中的“相关实体”部分。 现在,你可以在安全警报页中筛选警报,以查看与 IP 地址相关的警报,并且可以搜索特定的 IP 地址。

Defender for Cloud 警报中 IP 地址筛选器的屏幕截图。

按资源组列出警报

“安全警报”页面添加了按资源组进行筛选、排序和分组的功能。

警报网格添加了资源组列。

新添加的资源组列的屏幕截图。

添加了一个新筛选器,可用于查看特定资源组的所有警报。

显示新资源组筛选器的屏幕截图。

现在,还可以按资源组对警报进行分组,以查看每个资源组的所有警报。

显示当警报按资源组分组时如何查看警报的屏幕截图。

自动预配 Microsoft Defender for Endpoint 统一解决方案

到目前为止,与 Microsoft Defender for Endpoint (MDE) 的集成包括自动安装新的 MDE 统一解决方案,该解决方案适用于已启用 Defender for Servers 计划 1 的计算机(Azure 订阅和多云连接器)以及已启用 Defender for Servers 计划 2 的多云连接器。 适用于 Azure 订阅的计划 2 仅为 Linux 计算机和 Windows 2019 和 2022 服务器启用了统一解决方案。 Windows Server 2012R2 和 2016 使用了依赖于 Log Analytics 代理的 MDE 旧解决方案。

现在,新的统一解决方案适用于这两个计划中的所有计算机,适用于 Azure 订阅和多云连接器。 对于其 Servers 计划 2 在 2022 年 6 月 20 日之后启用了 MDE 集成的 Azure 订阅,默认情况下,统一解决方案已针对所有计算机启用。其 Defender for Servers 计划 2 在 2022 年 6 月 20 日之前启用了 MDE 集成的 Azure 订阅现在可以通过“集成”页中的专用按钮为 Windows Server 2012R2 和 2016 启用统一解决方案安装:

详细了解 MDE 与 Defender for Servers 的集成

弃用“只能通过 HTTPS 访问 API 应用”策略

策略 API App should only be accessible over HTTPS 已弃用。 此策略替换为 Web Application should only be accessible over HTTPS 策略,后者已重命名为 App Service apps should only be accessible over HTTPS

若要详细了解 Azure 应用服务的策略定义,请参阅 Azure 应用服务的 Azure Policy 内置定义

新 Key Vault 警报

为了扩展 Microsoft Defender for Key Vault 提供的威胁防护,我们添加了两个新警报。

这些警报会将为任何密钥保管库检测到的访问被异常拒绝的情况通知你。

警报(警报类型) 说明 MITRE 技巧 严重性
异常访问被拒绝 - 对大量密钥保管库的用户访问被拒绝
(KV_DeniedAccountVolumeAnomaly)		 用户或服务主体在过去 24 小时内尝试访问了异常多的密钥保管库。 此异常访问模式可能是合法的活动。 尽管此尝试失败,但它可能表明:用户或主体可能在尝试访问密钥保管库及其中包含的机密。 建议进一步调查。 发现
异常访问被拒绝 - 对密钥保管库的异常用户访问被拒绝
(KV_UserAccessDeniedAnomaly)		 尝试访问密钥保管库的用户并未以正常方式访问密钥保管库,此异常访问模式可能是合法的活动。 尽管此尝试失败,但它可能表明:用户或主体可能在尝试访问密钥保管库及其中包含的机密。 初始访问、发现

2022 年 5 月

5 月的更新包括以下内容:

服务器计划的多云设置现已可在连接器级别使用

现在已有连接器级别的设置可用于多云中的 Defender for Servers。

新的连接器级别设置为每个连接器的定价和自动预配配置提供了独立于订阅的粒度选择。

默认情况下,连接器级别(Azure Arc、MDE 和漏洞评估)中可用的所有自动预配组件都已启用,且新配置同时支持计划 1 和计划 2 定价层

UI 中的更新包括对所选定价层和所需配置的组件的反射。

使用服务器计划多云设置的主计划页的屏幕截图。

启用了多云连接器的自动预配页的屏幕截图。

对漏洞评估的更改

Defender for Containers 现在显示了无法修补的中、低严重级别的漏洞。

此更新现在会显示中低严重级别的漏洞,无论是否有可用的修补程序。 此更新提供了最大程度的可见性,但仍支持使用提供的禁用规则筛选掉无需考虑的漏洞。

禁用规则屏幕的屏幕截图。

详细了解漏洞管理

适用于 VM 的 JIT(实时)访问现已可用于 AWS EC2 实例(预览版)

连接 AWS 帐户时,JIT 会自动评估实例安全组的网络配置,并建议哪些实例需要保护其公开的管理端口。 这类似于 JIT 与 Azure 配合工作的方式。 加入不受保护的 EC2 实例时,JIT 将阻止对管理端口的公共访问,并仅在有限时间内通过授权请求来开启这些端口。

了解 JIT 如何保护 AWS EC2 实例

使用 CLI 为 AKS 群集添加和删除 Defender 传感器

Defender for Containers 需要 Defender 代理,以提供运行时保护和从节点收集信号。 现在可以使用 Azure CLI 为 AKS 群集添加和删除 Defender 代理

注意

此选项包含在 Azure CLI 3.7 及更高版本中

2022 年 4 月

4 月的更新包括:

新的 Defender for Servers 计划

Microsoft Defender for Servers 现在分两种增量计划提供:

  • Defender for Servers 计划 2,以前是 Defender for Servers
  • Defender for Servers 计划 1,仅支持 Defender for Endpoint

虽然 Defender for Servers 计划 2 为云和本地工作负载继续提供保护来防范威胁和漏洞,但 Defender for Servers 计划 1 仅提供终结点保护,由本地集成的 Defender for Endpoint 提供支持。 详细了解 Defender for Servers 计划

如果到现在你一直都在使用 Defender for Servers,则无需执行任何操作。

此外,Defender for Cloud 还开始逐步支持适用于 Windows Server 2012 R2 和 2016 的 Defender for Endpoint 统一代理。 Defender for Servers 计划 1 将新的统一代理部署到 Windows Server 2012 R2 和 2016 工作负载。

自定义建议重定位

自定义建议是由用户创建的,对安全功能分数没有任何影响。 现可在“所有建议”选项卡下找到自定义建议。

使用新的“建议类型”筛选器查找自定义建议。

创建自定义安全计划和策略中了解详细信息。

用于将警报流式传输到 Splunk 和 IBM QRadar 的 PowerShell 脚本

建议使用事件中心和内置连接器将安全警报导出到 Splunk 和 IBM QRadar。 现在,你可以使用 PowerShell 脚本来设置为你的订阅或租户导出安全警报所需的 Azure 资源。

只需下载并运行 PowerShell 脚本。 提供环境的一些详细信息后,脚本会为你配置资源。 然后,该脚本会生成你在 SIEM 平台中用于完成集成的输出。

若要了解详细信息,请参阅将警报流式传输到 Splunk 和 QRadar

已弃用了 Azure Cache for Redis 建议

建议 Azure Cache for Redis should reside within a virtual network(预览版)已弃用。 我们更改了关于保护 Azure Cache for Redis 实例的指南。 我们建议使用专用终结点来限制对 Azure Cache for Redis 实例的访问,而不是使用虚拟网络。

Microsoft Defender for Storage(预览版)的新警报变体,用于检测敏感数据是否泄露

在威胁参与者尝试扫描和公开错误配置、公开开放存储容器以试图泄露敏感信息时(无论成功与否),Microsoft Defender for Storage 的警报会通知你。

为了在潜在敏感数据外泄可能已经发生时加快分类并缩短响应时间,我们发布了现有 Publicly accessible storage containers have been exposed 警报的新变体。

如果成功发现一个或多个公开开放的存储容器,而且容器的名称在统计上很少被公开,这表明容器可能包含敏感信息,则此时将以 High 严重性级别触发新警报 Publicly accessible storage containers with potentially sensitive data have been exposed

警报(警报类型) 说明 MITRE 技巧 严重性
预览版 - 公开了潜在敏感数据的可公开存储容器
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)		 有人扫描了你的 Azure 存储帐户并公开了允许公共访问的容器。 一个或多个公开容器的名称表明它们可能包含敏感数据。

这通常表明威胁参与者正在进行侦察,也就是扫描可能包含敏感数据且配置错误的可公开访问的存储容器。

在威胁参与者成功发现容器后,他们可能会继续窃取数据。
✔ Azure Blob 存储
✖ Azure 文件存储
✖ Azure Data Lake Storage Gen2		 集合

使用 IP 地址信誉扩充的容器扫描警报标题

IP 地址的信誉可以表明扫描活动是来自已知的威胁参与者,还是来自使用 Tor 网络隐藏其身份的参与者。 这两个指标都表明存在恶意意图。 IP 地址的信誉由 Microsoft 威胁情报提供。

通过将 IP 地址的信誉添加到警报标题,可以快速评估参与者意图的方法,从而评估威胁的严重性。

以下警报将包括此信息:

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

例如,添加到 Publicly accessible storage containers have been exposed 警报标题的信息将如下所示:

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

Microsoft Defender 的所有警报将继续在警报的“相关实体”部分下的 IP 实体中包含威胁情报信息。

查看与安全警报相关的活动日志

作为评估安全警报所要执行的操作的一部分,可以在检查资源上下文中找到相关的平台日志,以获取有关受影响资源的上下文。 Microsoft Defender for Cloud 标识警报一天内的平台日志。

平台日志可帮助你评估安全威胁,并确定可以采取的步骤来缓解已识别的风险。

2022 年 3 月

3 月的更新包括:

适用于 AWS 和 GCP 环境的安全评分的全球可用性

Microsoft Defender for Cloud 提供的云安全状况管理功能现已在安全评分中添加了对 AWS 和 GCP 环境的支持。

企业现在可以跨各种环境(如 Azure、AWS 和 GCP)查看其整体安全状况。

“安全评分”页已替换为“安全状况”仪表板。 通过“安全状况”仪表板,可以查看所有环境的总体综合分数,或查看基于所选环境的任意组合的安全状况明细。

“建议”页面也经过重新设计,以提供新功能,例如:云环境选择、基于内容(资源组、AWS 账户、GCP 项目等)的高级筛选器、改进的低分辨率用户界面、支持资源图中的打开查询等。 你可以了解有关整体安全状况安全建议的更多信息。

已弃用安装网络流量数据收集代理的建议

路线图和优先级的变更消除了对网络流量数据收集代理的需要。 已弃用以下两项建议及其相关策略。

建议 说明 严重性
应在 Linux 虚拟机上安装网络流量数据收集代理 Defender for Cloud 使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 中型
应在 Windows 虚拟机上安装网络流量数据收集代理 Defender for Cloud 使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 中型

Defender for Containers 现在可以扫描 Windows 映像中的漏洞(预览版)

Defender for Containers 映像扫描现在支持托管在 Azure 容器注册表中的 Windows 映像。 此功能在预览阶段是免费的,在正式发布时会产生费用。

使用 Microsoft Defender for Containers 扫描映像中的漏洞中了解详细信息。

Microsoft Defender for Storage 的新警报(预览版)

为了扩展 Microsoft Defender for Storage 提供的威胁防护,我们添加了新的预览警报。

威胁参与者使用应用程序和工具来发现和访问存储帐户。 Microsoft Defender for Storage 检测这些应用程序和工具,以便你可以阻止它们并修正你的状况。

此预览警报称为 Access from a suspicious application。 此警报仅与 Azure Blob 存储和 ADLS Gen2 相关。

警报(警报类型) 说明 MITRE 技巧 严重性
预览 - 来自可疑应用程序的访问
(Storage.Blob_SuspiciousApp)		 指示可疑应用程序已通过身份验证成功访问存储帐户的容器。
这可能表示攻击者获取了访问该帐户所必要的凭据,并在利用该帐户。 这也可能是在你的组织中进行渗透测试的一个迹象。
适用于:Azure Blob 存储、Azure Data Lake Storage Gen2		 初始访问 中型

通过警报配置电子邮件通知设置

警报用户界面 (UI) 中添加了一个新部分,可让你查看和编辑谁将接收针对当前订阅触发的警报的电子邮件通知。

新 UI 的屏幕截图,其中显示了如何配置电子邮件通知。

了解如何针对安全警报配置电子邮件通知

已弃用预览版警报:ARM.MCAS_ActivityFromAnonymousIPAddresses

以下预览版警报已弃用:

警报名称 说明
预览 - 来自有风险的 IP 地址的活动
(ARM.MCAS_ActivityFromAnonymousIPAddresses)		 检测到来自已被标识为匿名代理 IP 地址的 IP 地址的用户活动。
这些代理被想要隐藏其设备 IP 地址的用户使用,并可能用于恶意目的。 此项检测使用可以减少误报的机器学习算法,例如在组织中被用户广泛使用的错误标记的 IP 地址。
需要有效的 Microsoft Defender for Cloud 应用许可证。

创建了一个新警报,该警报提供此信息并将它添加到其中。 此外,较新的警报(ARM_OperationFromSuspiciousIP、ARM_OperationFromSuspiciousProxyIP)不需要 Microsoft Defender for Cloud Apps(以前称为 Microsoft Cloud App Security)的许可证。

请查看更多资源管理器警报。

已将“应修正容器安全配置中的漏洞”建议从安全分数移到最佳做法

建议 Vulnerabilities in container security configurations should be remediated 已从“安全分数”部分移到“最佳做法”部分。

在当前用户体验中,仅当所有符合性检查都通过时才提供分数。 大多数客户都难以满足所有必需的检查要求。 我们正在努力改进此建议的体验,一旦发布后,建议将被移回安全分数。

已弃用使用服务主体来保护订阅的建议

随着组织不再使用管理证书来管理其订阅,以及我们最近宣布将停用云服务(经典)部署模型,我们已弃用以下 Defender for Cloud 建议及其相关策略:

建议 说明 严重性
应使用服务主体(而不是管理证书)来保护你的订阅 通过管理证书,任何使用它们进行身份验证的人员都可管理与它们关联的订阅。 为了更安全地管理订阅,建议将服务主体和资源管理器结合使用来限制证书泄露所造成的影响范围。 这也可以使资源管理自动进行。
(相关策略:应使用服务主体(而不是管理证书)来保护你的订阅		 中型

了解详细信息:

已将 ISO 27001 的旧版实现替换为新的 ISO 27001:2013 计划

从 Defender for Cloud 的法规合规性仪表板中删除了 ISO 27001 的旧版实施。 如果要跟踪 ISO 27001 与 Defender for Cloud 的合规性,请针对所有相关管理组或订阅加入新的 ISO 27001:2013 标准。

Defender for Cloud 的法规合规性仪表板,其中显示了有关删除 ISO 27001 的旧版实现的消息。

已弃用 Microsoft Defender for IoT 设备建议

Microsoft Defender for IoT 设备建议在 Microsoft Defender for Cloud 中不再可见。 这些建议在 Microsoft Defender for IoT 的“建议”页中仍然提供。

以下建议已弃用:

评估密钥 建议
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b:IoT 设备 设备上有开放端口
ba975338-f956-41e7-a9f2-7614832d382d:IoT 设备 在输入链中发现了宽松的防火墙规则
beb62be3-5e78-49bd-ac5f-099250ef3c7c:IoT 设备 在其中一个链中找到了宽容防火墙策略
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a:IoT 设备 在输出链中发现了宽松的防火墙规则
5f65e47f-7a00-4bf3-acae-90ee441ee876:IoT 设备 操作系统基线验证失败
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879:IoT 设备 代理正在发送未充分利用的消息
2acc27c6-5fdb-405e-9080-cb66b850c8f5:IoT 设备 需要进行 TLS 加密套件升级
d74d2738-2485-4103-9919-69c7e63776ec:IoT 设备 经审核的进程已停止发送事件

已弃用 Microsoft Defender for IoT 设备警报

所有 Microsoft Defender for IoT 设备警报在 Microsoft Defender for Cloud 中不再可见。 这些警报在 Microsoft Defender for IoT 的“警报”页和 Microsoft Sentinel 中仍然提供。

面向 AWS 和 GCP 的态势管理和威胁防护已发布,现已正式发布 (GA)

  • Defender for Cloud 的 CSPM 功能扩展到 AWS 和 GCP 资源。 该无代理计划根据安全评分中包含的特定于云的安全建议评估多云资源。 将使用内置标准评估资源的合规性。 Defender for Cloud 的资产清单页是一个支持多云的功能,可以同时管理 AWS 资源和 Azure 资源。

  • Microsoft Defender for Servers 为 AWS 和 GCP 中的计算实例提供威胁检测和高级防护功能。 Defender for Servers 计划包括 Microsoft Defender for Endpoint、漏洞评估扫描等功能的集成许可证。 了解虚拟机和服务器支持的所有功能。 利用自动加入功能,可以轻松连接在你的环境中发现的任何现有的或新的计算实例。

了解如何将你的 AWS 环境GCP 组织与 Microsoft Defender for Cloud 连接并进行保护。

ACR 中 Windows 映像的注册表扫描添加了对国家/地区云的支持

Azure 政府和由世纪互联运营的 Microsoft Azure 现在支持 Windows 映像的注册表扫描。 此新增功能目前处于预览状态。

详细了解功能的可用性

2022 年 2 月

2 月的更新包括:

已启用 Arc 的 Kubernetes 群集的 Kubernetes 工作负载保护

Defender for Containers 以前只保护在 Azure Kubernetes 服务中运行的 Kubernetes 工作负载。 我们现在扩展了保护范围,将已启用 Azure Arc 的 Kubernetes 群集包括在内。

了解如何为 AKS 和启用了 Azure Arc 的 Kubernetes 群集设置 Kubernetes 工作负载保护

用于 GCP 计算实例的本机 CSPM for GCP 和威胁防护

使用 GCP 环境的新自动加入功能,可以通过 Microsoft Defender for Cloud 保护 GCP 工作负载。 Defender for Cloud 可通过以下计划保护资源:

  • Defender for Cloud 的 CSPM 功能扩展到 GCP 资源。 此无代理计划根据与 Defender for Cloud 一起提供的特定于 GCP 的安全建议来评估你的 GCP 资源。 GCP 建议包含在你的安全分数中,并将评估资源是否符合内置 GCP CIS 标准。 Defender for Cloud 的资产清单页是一个支持多云的功能,有助于同时管理 Azure、AWS 和 GCP 资源。

  • Microsoft Defender for Servers 为 GCP 计算实例提供威胁检测和高级防护功能。 此计划包括 Microsoft Defender for Endpoint 的集成许可证、漏洞评估扫描等。

    有关可用功能的完整列表,请参阅虚拟机和服务器支持的功能。 利用自动加入功能,可以轻松连接在你的环境中发现的任何现有的和新的计算实例。

了解如何使用 Microsoft Defender for Cloud 保护和连接 GCP 项目

Microsoft Defender for Azure Cosmos DB 计划已发布预览版

我们扩展了 Microsoft Defender for Cloud 的数据库覆盖范围。 现在,可以为 Azure Cosmos DB 数据库启用保护。

Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层,可检测任何企图利用 Azure Cosmos DB 帐户中的数据库的行为。 Microsoft Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者(基于 Microsoft 威胁智能)、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。

它持续分析 Azure Cosmos DB 服务生成的客户数据流。

当检测到潜在的恶意活动时,将生成安全警报。 这些警报与可疑活动的详细信息以及相关的调查步骤、修补操作和安全建议一起显示在“Microsoft Defender for Cloud”中。

启用该服务时不会影响数据库性能,因为 Defender for Azure Cosmos DB 不会访问 Azure Cosmos DB 帐户数据。

有关详细信息,请参阅 Microsoft Defender for Azure Cosmos DB 概述

我们还将引入新的数据库安全性启用体验。 现在,你可以在订阅上启用 Microsoft Defender for Cloud 保护,以通过一个启用过程保护所有数据库类型,例如 Azure Cosmos DB、Azure SQL 数据库、计算机上的 Azure SQL 服务器和用于开源关系数据库的 Microsoft Defender。 可以通过配置计划来包括或排除特定资源类型。

了解如何在订阅级别启用数据库安全性

针对 Google Kubernetes Engine (GKE) 群集的威胁防护

继最近宣布的 GCP 的本机 CSPM 和用于 GCP 计算实例的威胁防护之后,Microsoft Defender for Containers 已将其 Kubernetes 威胁防护、行为分析和内置准入控制策略扩展到 Google 的 Kubernetes Engine (GKE) 标准群集。 通过我们的自动加入功能,可轻松将任何现有或新的 GKE 标准群集加入环境。 查看 Microsoft Defender for Cloud 的容器安全性,了解可用功能的完整列表。

2022 年 1 月

一月的更新包括:

Microsoft Defender for 资源管理器更新了新警报,并更强调映射到 MITRE ATT&CK® 矩阵的高风险操作

云管理层是连接到所有云资源的关键服务。 因此,它也是攻击者的潜在目标。 建议安全运营团队密切监视资源管理层。

无论操作是通过 Azure 门户、Azure REST API、Azure CLI 还是其他 Azure 编程客户端执行的,适用于资源管理器的 Microsoft Defender 都会自动监视组织中的资源管理操作。 Defender for Cloud 运行高级安全分析来检测威胁并向你发出有关可疑活动的警报。

该计划提供的保护极大增强了组织在遭到威胁行动者攻击后的复原能力,还大大增加了受 Defender for Cloud 保护的 Azure 资源数量。

2020 年 12 月,我们推出了适用于资源管理器的 Defender 预览版,并计划于 2021 年 5 月发布正式版。

凭借此项更新,我们全面修订了适用于资源管理器的 Microsoft Defender 计划的重点。 更新后的计划包括许多注重于识别以可疑方式调用高风险操作的新警报。 这些新警报针对基于云的技术的完整MITRE ATT&CK® 矩阵中的攻击提供广泛的监视。

此矩阵涵盖了可能以组织资源为目标的威胁行动者的以下潜在意图:初始访问、执行、持久保留、特权提升、防御规避、凭据访问、发现、横向移动、收集、外泄和造成影响。

此 Defender 计划的新警报涵盖了下表中所示的意图。

提示

这些警报也会显示在警报参考页中。

警报(警报类型) 说明 MITRE 策略(意图) 严重性
检测到对高风险“初始访问”操作的可疑调用(预览版)
(ARM_AnomalousOperation.InitialAccess)		 适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用,这可能表示尝试访问受限资源。 所发现操作的设计意图是为了让管理员能够有效地访问其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来获取你环境中受限资源的访问权限。 这可能表示该帐户已泄露并且正在被恶意使用。 初始访问 中型
检测到对高风险“执行”操作的可疑调用(预览版)
(ARM_AnomalousOperation.Execution)		 适用于资源管理器的 Microsoft Defender 在你的订阅中的某个计算机上发现了对高风险操作的可疑调用,这可能表示尝试执行代码。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来访问受限制的凭据并入侵你环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。 执行 中型
检测到对高风险“持久保留”操作的可疑调用(预览版)
(ARM_AnomalousOperation.Persistence)		 适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用,这可能表示尝试建立持久化。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作在你的环境中建立持久化。 这可能表示该帐户已泄露并且正在被恶意使用。 持久性 中型
检测到对高风险“特权提升”操作的可疑调用(预览版)
(ARM_AnomalousOperation.PrivilegeEscalation)		 适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用,这可能表示尝试提升特权。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作在入侵你环境中的资源时提升特权。 这可能表示该帐户已泄露并且正在被恶意使用。 特权提升 中型
检测到对高风险“防御规避”操作的可疑调用(预览版)
(ARM_AnomalousOperation.DefenseEvasion)		 适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用,这可能表示尝试规避防御。 所发现操作的设计意图是为了让管理员能够有效地管理其环境的安全状况。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来避免在入侵你环境中的资源时被检测到。 这可能表示该帐户已泄露并且正在被恶意使用。 防御规避
检测到对高风险“凭据访问”操作的可疑调用(预览版)
(ARM_AnomalousOperation.CredentialAccess)		 适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用,这可能表示尝试访问凭据。 所发现操作的设计意图是为了让管理员能够有效地访问其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来访问受限制的凭据并入侵你环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。 凭据访问 中型
检测到对高风险“横向移动”操作的可疑调用(预览版)
(ARM_AnomalousOperation.LateralMovement)		 适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用,这可能表示尝试执行横向移动。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来入侵你环境中的其他资源。 这可能表示该帐户已泄露并且正在被恶意使用。 横向移动 中型
检测到对高风险“数据收集”操作的可疑调用(预览版)
(ARM_AnomalousOperation.Collection)		 适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用,这可能表示尝试收集数据。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来针对你环境中的资源收集敏感数据。 这可能表示该帐户已泄露并且正在被恶意使用。 集合 中型
检测到对高风险“造成影响”操作的可疑调用(预览版)
(ARM_AnomalousOperation.Impact)		 适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用,这可能表示尝试更改配置。 所发现操作的设计意图是为了让管理员能够有效地管理其环境。 虽然此活动可能是合法的,但威胁行动者可能会利用此类操作来访问受限制的凭据并入侵你环境中的资源。 这可能表示该帐户已泄露并且正在被恶意使用。 影响 中型

此外,此计划中的以下两个警报已推出预览版:

警报(警报类型) 说明 MITRE 策略(意图) 严重性
来自可疑 IP 地址的 Azure 资源管理器操作
(ARM_OperationFromSuspiciousIP)		 Microsoft Defender for Resource Manager 检测到来自某个 IP 地址的操作,这个 IP 地址在威胁情报源中被标记为可疑。 执行 中型
来自可疑代理 IP 地址的 Azure 资源管理器操作
(ARM_OperationFromSuspiciousProxyIP)		 Microsoft Defender for Resource Manager 检测到来自某个 IP 地址的资源管理操作,而这个 IP 地址与代理服务(如 TOR)相关联。 虽然这种行为可能是合法的,但经常出现在恶意活动中,在这些恶意活动中,攻击者会试图隐藏其源 IP。 防御规避

有关在工作区中启用 Microsoft Defender 计划的建议(预览版)

若要从 Microsoft Defender for Servers计算机上的 Microsoft Defender for SQL 提供的所有安全功能中受益,必须在订阅级别和工作区级别启用计划。

当计算机位于启用了这些计划之一的订阅中时,你需要为完整保护付费。 但是,如果该计算机向未启用该计划的工作区报告,则你实际上不会获得这些好处。

我们添加了两条建议,其中重点提到了未启用这些计划的工作区,但尽管如此,仍有计算机从确实启用了该计划的订阅向这些工作区报告。

这两条建议都提供自动修正(“修复”操作),它们是:

建议 说明 严重性
应在工作区上启用 Microsoft Defender for Servers Microsoft Defender for Servers 提供适用于 Windows 和 Linux 计算机的威胁检测和高级防护功能。
如果订阅上启用了此 Defender 计划,但工作区上未启用,则需要为 Microsoft Defender for Servers 的全部功能付费,但会错过某些权益。
在工作区上启用了 Microsoft Defender for Servers 时,向该工作区报告的所有计算机都将为 Microsoft Defender for Servers 付费,即使它们位于未启用 Defender 计划的订阅中。 除非还在订阅上启用了 Microsoft Defender for Servers,否则这些计算机将无法利用实时 VM 访问、自适应应用程序控制和 Azure 资源的网络检测。
有关详细信息,请参阅 Microsoft Defender for Servers 概述
(无相关策略)		 中型
应在工作区中的计算机上启用 Microsoft Defender for SQL Microsoft Defender for Servers 提供适用于 Windows 和 Linux 计算机的威胁检测和高级防护功能。
如果订阅上启用了此 Defender 计划,但工作区上未启用,则需要为 Microsoft Defender for Servers 的全部功能付费,但会错过某些权益。
在工作区上启用了 Microsoft Defender for Servers 时,向该工作区报告的所有计算机都将为 Microsoft Defender for Servers 付费,即使它们位于未启用 Defender 计划的订阅中。 除非还在订阅上启用了 Microsoft Defender for Servers,否则这些计算机将无法利用实时 VM 访问、自适应应用程序控制和 Azure 资源的网络检测。
有关详细信息,请参阅 Microsoft Defender for Servers 概述
(无相关策略)

将 Log Analytics 代理自动预配到已启用 Azure Arc 的计算机(预览版)

Defender for Cloud 使用 Log Analytics 代理从计算机收集安全相关的数据。 该代理读取各种与安全相关的配置和事件日志,并将数据复制到工作区进行分析。

对于每种支持的扩展类型(包括 Log Analytics 代理),Defender for Cloud 的自动预配设置都有相应的切换开关。

在进一步扩展我们的混合云功能后,我们添加了一个选项,用于将 Log Analytics 代理自动预配到与 Azure Arc 连接的计算机。

与其他自动预配选项一样,此选项也是在订阅级别配置的。

启用此选项后,系统会提示你指定工作区。

注意

在此预览版中,无法选择 Defender for Cloud 创建的默认工作区。 为确保获得已启用 Azure Arc 的服务器可用的整套安全功能,请确认已在所选工作区中安装了相关的安全解决方案。

如何将 Log Analytics 代理自动预配到已启用 Azure Arc 的计算机的屏幕截图。

已弃用有关对 SQL 数据库中的敏感数据进行分类的建议

我们删除了“应该对 SQL 数据库中的敏感数据进行分类”建议,这是我们在大幅修改 Defender for Cloud 识别和保护云资源中敏感数据的方式期间做出的决定。

在过去六个月,即将推出的对 Microsoft Defender for Cloud 的重要更改页中已发布了有关此项更改的提前通知。

以下警报以前仅适用于启用了 Microsoft Defender for DNS 计划的组织。

应用此项更新后,还将针对启用了 Microsoft Defender for Servers适用于应用服务的 Defender 计划的订阅显示该警报。

此外,Microsoft 威胁情报扩展了已知恶意域的列表,该列表现在包括与恶意利用广泛公布的、与 Log4j 相关的漏洞关联的域。

警报(警报类型) 说明 MITRE 技巧 严重性
与威胁情报识别的可疑域通信
(AzureDNS_ThreatIntelSuspectDomain)		 已通过分析资源中的 DNS 事务并与威胁情报源识别的已知恶意域进行比较,检测到了与可疑域之间的通信。 攻击者会频繁执行与恶意域的通信,这样的通信可能意味着你的资源已遭受入侵。 初始访问/持久保留/执行/指挥和控制/恶意利用 中型

已将“复制警报 JSON”按钮添加到安全警报详细信息窗格

为了帮助我们的用户快速与其他人(例如,SOC 分析师、资源所有者和开发人员)共享警报详细信息,我们添加了一项功能,以便通过安全警报详细信息窗格中的一个按钮轻松提取特定警报的所有详细信息。

单击新的“复制警报 JSON”按钮可将 JSON 格式的警报详细信息复制到用户的剪贴板中。

警报详细信息窗格中“复制警报 JSON”按钮的屏幕截图。

已重命名两条建议

为了与其他建议名称保持一致,我们重命名了以下两条建议:

  • 有关解决在运行的容器映像中发现的漏洞的建议

    • 以前的名称:应修正正在运行的容器映像中的漏洞(由 Qualys 提供支持)
    • 新名称:应解决在运行的容器映像中发现的漏洞

  • 有关为 Azure 应用服务启用诊断日志的建议

    • 以前的名称:应在应用服务中启用诊断日志
    • 新名称:应启用应用服务中的诊断日志

已弃用“Kubernetes 群集容器应只侦听允许的端口”策略

我们已弃用“Kubernetes 群集容器应只侦听允许的端口”建议。

策略名称 说明 效果 版本
Kubernetes 群集容器应只侦听允许的端口 将容器限制为只侦听允许的端口,以确保对 Kubernetes 群集进行的访问安全。 此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc 审核、拒绝、已禁用 6.1.2

服务应只侦听允许的端口”建议应该用于限制应用程序向 Internet 公开的端口。

添加了“活动警报”工作簿

为了帮助我们的用户了解其环境受到的活动威胁,并在修正过程中确定活动警报的优先级,我们添加了“活动警报”工作簿。

一个屏幕截图,其中显示了“活动警报”工作簿的添加。

活动警报工作簿允许用户按严重性、类型、标记、MITRE ATT&CK 策略和位置查看其聚合警报的统一仪表板。 在使用“活动警报”工作簿中了解详细信息。

已将“系统更新”建议添加到政府云

现在会在所有政府云上提供“应在计算机上安装系统更新”建议。

此项更改可能会影响政府云订阅的安全评分。 我们预计此项更改会导致评分降低,但在某些情况下,包含该建议也可能会提高评分。

2021 年 12 月

12 月的更新包括:

适用于容器的 Microsoft Defender 计划正式发布 (GA)

两年多前,我们引入了 Defender for Kubernetes适用于容器注册表的 Defender,作为 Microsoft Defender for Cloud 中 Azure Defender 产品/服务的一部分。

随着适用于容器的 Microsoft Defender 的发布,我们合并了这两个现有的 Defender 计划。

新计划:

  • 合并两个现有计划的功能 - Kubernetes 群集的威胁检测和存储在容器注册表中的映像的漏洞评估
  • 引入新的和改进的功能 - 包括多云支持、通过 60 多种新的 Kubernetes 感知分析进行主机级威胁检测以及用于运行映像的漏洞评估
  • 引入 Kubernetes 本机大规模加入 - 默认情况下,当你启用计划时,所有相关组件将被配置为自动部署

在此版本中,Defender for Kubernetes 和适用于容器注册表的 Defender 的可用性和表示形式已更改,如下所示:

  • 新订阅 - 之前的两个容器计划不再可用
  • 现有订阅 - 无论计划出现在 Azure 门户中的何处,都显示为“已弃用”,并说明如何升级到较新的计划Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

新计划在 2021 年 12 月可免费使用。 有关从旧计划对适用于容器的 Defender 进行计费的潜在更改,以及有关此计划中引入的优势的详细信息,请参阅适用于容器的 Microsoft Defender 简介

有关详细信息,请参阅:

适用于存储的 Microsoft Defender 的新警报正式发布 (GA)

威胁参与者使用工具和脚本来扫描公开打开的容器,以便找到带有敏感数据的错误配置的已打开存储容器。

适用于存储的 Microsoft Defender 检测到这些扫描程序,以便你可以阻止它们并修正你的状况。

检测到这种情况的预览版警报以前称为“公共存储容器的匿名扫描”。 为了更清晰地了解发现的可疑事件,我们已将此警报划分为两个新的警报。 这些警报仅与 Azure Blob 存储相关。

我们改进了检测逻辑,更新了警报元数据,并更改了警报名称和警报类型。

以下是新警报:

警报(警报类型) 说明 MITRE 技巧 严重性
成功发现可公开访问的存储容器
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)		 在过去一小时内,通过扫描脚本或工具成功发现了存储帐户中公开打开的存储容器。

这通常表示存在侦查攻击,其中威胁参与者尝试通过猜测容器名称来列出 blob,以便找到其中包含敏感数据的配置错误的已打开存储容器。

威胁参与者可以使用自己的脚本或使用 Microburst 等已知扫描工具来扫描公开打开的容器。

✔ Azure Blob 存储
✖ Azure 文件存储
✖ Azure Data Lake Storage Gen2		 集合 中型
未成功扫描可公开访问的存储容器
(Storage.Blob_OpenContainersScanning.FailedAttempt)		 在过去一小时内,进行了一系列扫描公开打开的存储容器的失败尝试。

这通常表示存在侦查攻击,其中威胁参与者尝试通过猜测容器名称来列出 blob,以便找到其中包含敏感数据的配置错误的已打开存储容器。

威胁参与者可以使用自己的脚本或使用 Microburst 等已知扫描工具来扫描公开打开的容器。

✔ Azure Blob 存储
✖ Azure 文件存储
✖ Azure Data Lake Storage Gen2		 集合

有关详细信息,请参阅:

适用于存储的 Microsoft Defender 的警报改进

初始访问警报现在提高了准确性并提供了更多数据来支持调查。

威胁参与者在初始访问中使用各种技术来获取网络中的据点。 在此阶段检测行为异常的两个适用于存储的 Microsoft Defender 警报现已改进了检测逻辑,具有额外的数据来支持调查。

如果你过去曾为这些警报配置自动化或定义警报抑制规则,请根据这些更改对其进行更新。

检测来自 Tor 退出节点的访问

来自 Tor 退出节点的访问可能表明威胁参与者试图隐藏其身份。

该警报现在调整为仅针对经过身份验证的访问生成,从而提高了准确度和恶意活动的置信度。 此增强功能降低了良性检出率。

异常模式将具有高严重性,而不太异常的模式将具有中等严重性。

已更新警报名称和说明。 警报类型保持不变。

  • 警报名称(旧):从 Tor 退出节点访问存储帐户
  • 警报名称(新):来自 Tor 退出节点的经过身份验证的访问
  • 警报类型:Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
  • 说明:存储帐户中的一个或多个存储容器/文件共享已从已知为 Tor 的活动退出节点(匿名代理)的 IP 地址成功访问。 威胁参与者使用 Tor 来使用户难以追踪到他们的活动。 来自 Tor 退出节点的经过身份验证的访问可能表明威胁参与者正试图隐藏他们的身份。 适用于:Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2
  • MITRE 战术:初始访问
  • 严重性:高/中

未经身份验证的异常访问

访问模式的更改可能表明威胁参与者能够通过利用访问配置中的错误或通过更改访问权限来利用对存储容器的公共读取访问。

此中等严重性警报现已通过改进的行为逻辑、更高的准确度以及恶意活动的置信度进行了调整。 此增强功能降低了良性检出率。

已更新警报名称和说明。 警报类型保持不变。

  • 警报名称(旧):对存储帐户的匿名访问
  • 警报名称(新):对存储容器的未经身份验证的异常访问
  • 警报类型:Storage.Blob_AnonymousAccessAnomaly
  • 说明:访问此存储帐户时没有身份验证,这是常见访问模式的更改。 对此容器的读取访问通常是经过身份验证的。 这可能表明威胁参与者能够利用对此存储帐户中存储容器的公共读取访问。 适用于:Azure Blob 存储
  • MITRE 战术:集合
  • 严重级别:中

有关详细信息,请参阅:

从网络层警报中删除了“PortSweeping”警报

由于效率低下,以下警报已从我们的网络层警报中删除:

警报(警报类型) 说明 MITRE 技巧 严重性
检测到可能的传出端口扫描活动
(PortSweeping)		 网络流量分析检测到源自 %{Compromised Host} 的可疑传出流量。 此流量可能由端口扫描活动产生。 如果遭到入侵的资源是负载均衡器或应用程序网关,则表示可疑的传出流量源自(负载均衡器或应用程序网关)后端池中的一个或多个资源。 如果此行为是有意的,请注意执行端口扫描活动违反 Azure 服务条款。 如果此行为是无意的,则可能表示资源遭到入侵。 发现 中型

2021 年 11 月

我们的 Ignite 版本包括:

11 月的其他更改包括:

Azure 安全中心和 Azure Defender 现在改称为 Microsoft Defender For Cloud

根据 2021 年云状态报告,92% 的组织现已采用多云策略。 Microsoft 的目标是集中管理环境的安全性,并帮助安全团队提高工作效率。

Microsoft Defender for Cloud 是一种云安全态势管理 (CSPM) 和云工作负载保护 (CWP) 解决方案,可以发现云配置中的弱点,帮助强化环境的整体安全态势,并保护多云环境和混合环境中的工作负载。

在 Ignite 2019 中,我们分享了我们的愿景,那就是创建最完整的方案来保护数字资产,并在 Microsoft Defender 品牌中集成 XDR 技术。 将 Azure 安全中心和 Azure Defender 统一为新名称 Microsoft Defender for Cloud 反映了我们安全产品/服务的集成功能,以及我们支持任何云平台的能力。

适用于 Amazon EKS 和 AWS EC2 的本机 CSPM for AWS 和威胁防护

新的“环境设置”页提供管理组、订阅和 AWS 帐户的更高可见性和控制度。 在该页中可以大规模加入 AWS 帐户:连接 AWS 管理帐户,并自动加入现有和将来的帐户。

使用新的“环境设置”页连接 AWS 帐户。

添加 AWS 帐户后,Defender for Cloud 会通过以下任何或所有计划保护你的 AWS 资源:

  • Defender for Cloud 的 CSPM 功能扩展到 AWS 资源。 此无代理计划根据特定于 AWS 的安全建议来评估 AWS 资源,这些建议包含在安全功能分数中。 还将评估这些资源是否符合特定于 AWS 的内置标准(AWS CIS、AWS PCI DSS 和 AWS 基础安全最佳做法)。 Defender for Cloud 的资产清单页是一个支持多云的功能,有助于同时管理 AWS 资源和 Azure 资源。
  • Microsoft Defender For Kubernetes 将其容器威胁检测和高级防护功能扩展到 Amazon EKS Linux 群集 。
  • Microsoft Defender for Servers 向 Windows 和 Linux EC2 实例提供威胁检测和高级防护功能。 此计划包括用于 Microsoft Defender for Endpoint、安全基线和 OS 级别评估、漏洞评估扫描、自适应应用程序控制 (AAC)、文件完整性监视 (FIM) 等的集成许可证。

详细了解如何将 AWS 帐户连接到 Microsoft Defender for Cloud

按数据敏感性确定安全操作的优先级(由 Microsoft Purview 提供支持)(预览版)

数据资源仍旧是威胁行动者的热门目标。 因此,安全团队在其云环境中识别、保护敏感数据资源并确定优先级至关重要。

为了应对这一挑战,Microsoft Defender for Cloud 现在集成了来自 Microsoft Purview 的敏感性信息。 Microsoft Purview 是统一的数据治理服务,针对多云和本地工作负载中数据的敏感性提供丰富见解。

与 Microsoft Purview 的集成将 Defender for Cloud 中的安全可见性从基础结构级别向下扩展到了数据级别,使安全团队能够以全新的方式确定资源和安全活动的优先级。

按数据敏感性确定安全操作的优先级中了解详细信息。

使用 Azure 安全基准 v3 扩展了安全控制评估

Azure 安全基准支持 Defender for Cloud 中的安全建议。

Azure 安全基准是 Microsoft 制定的一组 Azure 专属准则,适合基于常见合规框架的安全性与合规性最佳做法。 这一公认的基准建立在 Internet 安全中心 (CIS)国家标准与技术研究院 (NIST) 的控制基础上,重点关注以云为中心的安全性。

从 Ignite 2021 开始,Azure 安全基准 v3 可在 Defender for Cloud 的合规性仪表板中使用,并启用为所有受 Microsoft Defender for Cloud 保护的 Azure 订阅的新默认计划。

v3 的增强功能包括:

  • 进一步映射到行业框架 PCI-DSS v3.2.1CIS Controls v8

  • 以下内容的更细化且可操作的控制指导和简介:

    • 安全原则 - 提供为我们的建议奠定基础的总体安全目标的见解。
    • Azure 指导 - 用于实现这些目标的技术性“操作指南”。

  • 新的控制包括用于解决威胁建模和软件供应链安全性等问题的 DevOps 安全性,以及在 Azure 中根据最佳做法进行密钥和证书管理。

有关详细信息,请参阅 Azure 安全基准简介

Microsoft Sentinel 连接器的可选双向警报同步已正式发布 (GA)

在 7 月份,我们已宣布预览功能“双向警报同步”,该功能适用于 Microsoft Sentinel(Microsoft 的云原生 SIEM 和 SOAR 解决方案)中的内置连接器。 此功能现已正式发布 (GA)。

当你将 Microsoft Defender for Cloud 连接到 Microsoft Sentinel 时,安全警报的状态会在两个服务之间同步。 例如,当某个警报在 Defender for Cloud 中处于已关闭状态时,该警报在 Microsoft Sentinel 中也会显示为已关闭。 在 Defender for Cloud 中更改警报的状态不会影响包含同步 Microsoft Sentinel 警报的任何 Microsoft Sentinel 事件的状态,只会影响同步警报自身的状态。

启用双向警报同步后,会自动将原始 Defender for Cloud 警报的状态与包含这些警报副本的 Microsoft Sentinel 事件的状态同步。 例如,当关闭包含 Defender for Cloud 警报的 Microsoft Sentinel 事件时,Defender for Cloud 将自动关闭相应的原始警报。

从 Azure 安全中心连接 Azure Defender 警报将警报流式传输到 Azure Sentinel中了解详细信息。

有关将 Azure Kubernetes 服务 (AKS) 日志推送到 Sentinel 的新建议

为了进一步增强 Defender for Cloud 和 Microsoft Sentinel 的组合价值,我们现在会注重不向 Microsoft Sentinel 发送日志数据的 Azure Kubernetes 服务实例。

SecOps 团队可以直接从建议详细信息页中选择相关的 Microsoft Sentinel 工作区,并立即启用原始日志的流式传输。 两个产品之间的这种无缝连接使得安全团队可以轻松确保日志记录全面覆盖其各个工作负载,以随时掌控其整个环境。

新建议“应启用 Kubernetes 服务中的诊断日志”提供“修复”选项以加快修正速度。

我们还使用相同的 Sentinel 流式传输功能增强了“应启用 SQL 服务器上的审核”建议。

建议映射到 MITRE ATT&CK® 框架 - 已正式发布 (GA)

我们增强了 Defender for Cloud 的安全建议,使其在 MITRE ATT&CK® 框架上发挥作用。 这是全球都可访问的知识库,它基于真实观察结果显示威胁行动者使用的战术和技术,提供更多背景信息来了解对你的环境提出的建议所对应的风险。

无论你在哪里访问建议信息,都将找到这些战术:

  • 针对相关建议的 Azure Resource Graph 查询结果显示了 MITRE ATT&CK® 战术和技术

  • 建议详细信息页面显示了所有相关建议的对应信息:

  • Defender for Cloud 中的建议页面上有一个新的 筛选器,它用于根据与建议关联的战术来选择建议:

若要了解详细信息,请参阅查看安全建议

Microsoft 威胁和漏洞管理新增了漏洞评估解决方案 - 已正式发布 (GA)

在 10 月份,我们已宣布扩展了 Microsoft Defender for Servers 和 Microsoft Defender for Endpoint 之间的集成,以支持为你的计算机提供的新漏洞评估提供程序:Microsoft 威胁和漏洞管理。 此功能现已正式发布 (GA)。

在集成了 Microsoft Defender for Endpoint 的情况下使用威胁和漏洞管理,可以近乎实时地发现漏洞和错误配置,而无需额外的代理或定期扫描。 威胁和漏洞管理会根据组织中的威胁形势和检测情况对漏洞进行优先级排序。

使用安全建议“应在虚拟机上启用漏洞评估解决方案”来手动发现威胁和漏洞管理针对支持的计算机检测到的漏洞。

若要在现有和新计算机上自动发现漏洞,而无需手动修正建议,请参阅现在可以自动启用漏洞评估解决方案(预览版)

若要了解详细信息,请参阅通过 Microsoft Defender for Endpoint 威胁和漏洞管理调查弱点

Microsoft Defender for Endpoint for Linux 现在受 Microsoft Defender for Servers 的支持 - 已正式发布 (GA)

在 8 月份,我们已宣布推出一项预览版支持,以将 Defender for Endpoint for Linux 传感器部署到受支持的 Linux 计算机。 此功能现已正式发布 (GA)。

Microsoft Defender for servers 包含 Microsoft Defender for Endpoint 的集成许可证。 两者共同提供全面的终结点检测和响应 (EDR) 功能。

用于终结点的 Defender 在检测到威胁时会触发警报。 该警报显示在 Defender for Cloud 中。 在 Defender for Cloud 中,还可以透视 Defender for Endpoint 控制台,并执行详细调查来发现攻击范围。

若要了解详细信息,请参阅通过安全中心的集成式 EDR 解决方案保护终结点:Microsoft Defender for Endpoint

建议和安全检测结果的快照导出(预览版)

Defender for Cloud 生成详细的安全警报和建议。 可以通过门户或编程工具查看它们。 你可能还需要部分或全部导出此信息,以使用环境中的其他监视工具进行跟踪。

使用 Defender for Cloud 的连续导出功能,可以全面自定义要导出的内容及其导出位置 。 有关详细信息,请参阅连续导出 Microsoft Defender for Cloud 数据

尽管该功能称为连续导出,但还是提供了一个用于导出每周快照的选项。 到目前为止,这些每周快照仅限用于保护评分与合规性数据。 我们添加了导出建议和安全检测结果的功能。

漏洞评估解决方案的自动预配已正式发布 (GA)

在 10 月份,我们宣布在 Defender for Cloud 的自动预配页中添加了漏洞评估解决方案。 这与 Azure Defender for Servers 保护的订阅上的 Azure 虚拟机和 Azure Arc 计算机相关。 此功能现已正式发布 (GA)。

如果启用了与 Microsoft Defender for Endpoint 的集成,Defender for Cloud 会提供漏洞评估解决方案供用户选择:

  • (新)Microsoft Defender for Endpoint 的 Microsoft 威胁和漏洞管理模块(请参阅发行说明
  • 集成 Qualys 代理

所选解决方案将在受支持的计算机上自动启用。

请参阅为计算机自动配置漏洞评估以了解详细信息。

资产清单中的软件清单筛选器已正式发布 (GA)

在 10 月份,我们已宣布资产清单页中提供新的筛选器,用于选择运行特定软件的计算机 - 甚至可以指定所需的版本。 此功能现已正式发布 (GA)。

可以在 Azure Resource Graph Explorer 中查询软件清单数据。

若要使用这些功能,需要启用与 Microsoft Defender for Endpoint 的集成

有关完整的详细信息,包括 Azure Resource Graph 的示例 Kusto 查询,请参阅访问软件清单

新的 AKS 安全策略已添加到默认计划 - 仅供个人预览版客户使用

为了确保 Kubernetes 工作负载在默认情况下是安全的,Defender for Cloud 包含了 Kubernetes 级别策略和强化建议,其中包括具有 Kubernetes 准入控制的强制执行选项。

作为此项目的一部分,我们添加了一个策略和建议(默认已禁用),用于在 Kubernetes 群集上进行门控部署。 该策略包含在默认计划中,但仅与注册相关个人预览版的组织有关。

你可以放心地忽略这些策略和建议(“Kubernetes 群集应限制易受攻击映像的部署”),并且不会对环境造成任何影响。

如果你想要参与个人预览,需要成为个人预览圈的成员。 如果你不是成员,请在此处提交请求。 预览开始时,我们会通知成员。

清单中显示本地计算机时应用不同的资源名称模板

为了改进资产清单中资源的表示形式,我们已从用于命名本地计算机的模板中删除了“source-computer-IP”元素。

  • 以前的格式:machine-name_source-computer-id_VMUUID
  • 更新的格式:machine-name_VMUUID

2021 年 10 月

10月更新包括:

添加了 Microsoft 威胁和漏洞管理作为漏洞评估解决方案(预览版)

我们扩展了 Azure Defender for Servers 和 Microsoft Defender for Endpoint 之间的集成,以支持为你的计算机提供的新漏洞评估提供程序:Microsoft 威胁和漏洞管理

在集成了 Microsoft Defender for Endpoint 的情况下使用威胁和漏洞管理,可以近乎实时地发现漏洞和错误配置,而无需额外的代理或定期扫描。 威胁和漏洞管理会根据组织中的威胁形势和检测情况对漏洞进行优先级排序。

使用安全建议“应在虚拟机上启用漏洞评估解决方案”来手动发现威胁和漏洞管理针对支持的计算机检测到的漏洞。

若要在现有和新计算机上自动发现漏洞,而无需手动修正建议,请参阅现在可以自动启用漏洞评估解决方案(预览版)

若要了解详细信息,请参阅通过 Microsoft Defender for Endpoint 威胁和漏洞管理调查弱点

现在可以自动启用漏洞评估解决方案(预览版)

安全中心的自动预配页面现在包括一个选项,可用于在受 Azure Defender for Servers 保护的订阅上自动为 Azure 虚拟机和 Azure Arc 计算机启用漏洞评估解决方案。

如果启用了与 Microsoft Defender for Endpoint 的集成,Defender for Cloud 会提供漏洞评估解决方案供用户选择:

  • (新)Microsoft Defender for Endpoint 的 Microsoft 威胁和漏洞管理模块(请参阅发行说明
  • 集成 Qualys 代理

从Azure 安全中心配置 Microsoft 危险和漏洞管理的自动预配。

所选解决方案将在受支持的计算机上自动启用。

请参阅为计算机自动配置漏洞评估以了解详细信息。

资产清单中新增的软件清单过滤器(预览版)

资产清单页面现在包含一个过滤器,用于选择运行特定软件的计算机 - 甚至指定感兴趣的版本。

此外,还可以在 Azure Resource Graph Explorer 中查询软件清单数据。

若要使用这些新功能,需要启用与 Microsoft Defender for Endpoint 的集成

有关完整的详细信息,包括 Azure Resource Graph 的示例 Kusto 查询,请参阅访问软件清单

如果已启用威胁和漏洞解决方案,安全中心的资产清单会提供一个筛选器,用于按已安装的软件选择资源。

将某些警报类型的前缀从“ARM_”更改为“VM_”

2021 年 7 月,我们发布了适用于资源管理器的 Azure Defender 的警报的逻辑重组

在对 Defender 计划进行重组的过程中,我们已将警报从适用于资源管理器的 Azure Defender 移至 Azure Defender for Servers

通过此更新,我们更改了这些警报的前缀以匹配此重新分配,将“ARM_”替换为“VM_”,如下表所示:

原始名称 从此更改中
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

详细了解适用于资源管理器的 Azure DefenderAzure Defender for Servers 计划。

对 Kubernetes 群集安全建议逻辑的更改

建议“Kubernetes 群集不应使用默认命名空间”防止对一系列资源类型使用默认命名空间。 已删除此建议中包含的两种资源类型:ConfigMap 和 Secret。

若要详细了解此建议并强化 Kubernetes 群集,请参阅了解适用于 Kubernetes 群集的 Azure Policy

为了阐明不同建议之间的关系,我们在许多建议的详细信息页中添加了“相关建议”区域。

这些页面上显示的三种关系类型如下:

  • 必备项 - 必须在选定建议之前完成的建议
  • 替代项 - 可提供其他方式来实现选定建议目标的其他建议
  • 依赖项 - 选定建议是其必备项的建议

对于每条相关建议,“受影响的资源”列中会显示不正常资源的数量。

提示

如果相关建议为灰显,则其依赖项尚未完成,因此不可用。

相关建议的示例:

  1. 安全中心会检查计算机是否具有受支持的漏洞评估解决方案:
    应在虚拟机上启用漏洞评估解决方案

  2. 如果找到解决方案,你将收到有关已发现漏洞的通知:
    应修正虚拟机中的漏洞

显然,除非安全中心找到受支持的漏洞评估解决方案,否则无法通知你已发现的漏洞。

因此:

  • 建议 1 是建议 2 的必备项
  • 建议 2 取决于建议 1

部署漏洞评估解决方案的建议屏幕截图。

解决发现的漏洞的建议屏幕截图。

Azure Defender for Kubernetes 的新警报(预览版)

为了扩展 Azure Defender for Kubernetes 提供的威胁保护,我们添加了两个预览版警报。

这些警报是基于新的机器学习模型和 Kubernetes 高级分析生成的,根据群集中以前的活动以及 Azure Defender 监视的所有群集度量多个部署和角色分配属性。

警报(警报类型) 说明 MITRE 技巧 严重性
异常 Pod 部署(预览版)
(K8S_AnomalousPodDeployment)		 Kubernetes 会审核日志分析检测到基于上一个 Pod 部署活动的异常 Pod 部署。 在考虑部署操作中不同功能的关联方式时,会将活动视为异常情况。 此分析所监视的功能包括使用的容器映像注册表、执行部署的帐户、星期几、帐户执行 Pod 部署的频率、操作中使用的用户代理、命名空间是否经常进行 pod 部署或其他功能。 警报扩展属性下详细介绍了引发异常活动警报的主要原因。 执行 中型
Kubernetes 群集中分配的角色权限过多(预览版)
(K8S_ServiceAcountPermissionAnomaly)		 Kubernetes 审核日志分析检测到群集中分配了过多的角色权限。 检查角色分配时,列出的权限不是特定服务帐户常用的权限。 此检测会考虑先前向 Azure 所监视群集中的同一服务帐户分配的角色、每个权限的分配量以及特定权限的影响。 此警报使用的异常情况检测模型会考虑在 Azure Defender 所监视的所有群集中使用权限的方式。 特权提升

有关 Kubernetes 警报的完整列表,请参阅适用于 Kubernetes 群集的警报

2021 年 9 月

9 月发布了以下更新:

用于审核 Azure 安全基线符合性的 OS 配置的两个新建议(预览版)

发布了以下两个建议来评估计算机是否符合 Windows 安全基线Linux 安全基线

这些建议使用 Azure Policy 的来宾配置功能,将计算机的 OS 配置与 Azure 安全基准中定义的基线进行比较。

若要详细了解如何使用这些建议,请参阅使用来宾配置强化计算机的 OS 配置

2021 年 8 月

8 月的更新包括:

适用于 Linux 的 Microsoft Defender for Endpoint 现在由适用于服务器的 Azure Defender 提供支持(预览版)

适用于服务器的 Azure Defender 包含 Microsoft Defender for Endpoint 的集成许可证。 两者共同提供全面的终结点检测和响应 (EDR) 功能。

用于终结点的 Defender 在检测到威胁时会触发警报。 警报在安全中心显示。 在安全中心,还可以透视用于终结点的 Defender 控制台,并执行详细调查来发现攻击范围。

在预览期间,你将通过以下两种方式之一将 适用于 Linux 的 Defender for Endpoint 传感器部署到受支持的 Linux 计算机上,具体取决于你是否已将其部署到 Windows 计算机上:

若要了解详细信息,请参阅通过安全中心的集成式 EDR 解决方案保护终结点:Microsoft Defender for Endpoint

关于管理 Endpoint Protection 解决方案的两项新建议(预览版)

我们就如何在计算机上部署和维护 Endpoint Protection 解决方案,增加了两项预览建议。 这两项建议均包括对 Azure 虚拟机和连接到已启用 Azure Arc 的服务器的计算机的支持。

建议 说明 严重性
应在计算机上安装 Endpoint Protection 若要保护计算机免受威胁和漏洞的侵害,请安装受支持的 Endpoint Protection 解决方案。 详细了解如何评估计算机的 Endpoint Protection。
(相关策略:监视 Azure 安全中心 Endpoint Protection 的缺失情况
应在计算机上解决 Endpoint Protection 运行状况问题 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此处介绍了 Azure 安全中心支持的 Endpoint Protection 解决方案。 此处介绍了 Endpoint Protection 评估。
(相关策略:监视 Azure 安全中心 Endpoint Protection 的缺失情况		 中型

注意

建议显示其刷新间隔为 8 小时,但在某些情况下,这可能需要更长的时间。 例如,当本地计算机被删除时,安全中心需要 24 小时来识别删除。 之后,评估最多需要 8 小时才能返回信息。 因此,在这种特定情况下,可能需要 32 小时才能将计算机从受影响资源列表中删除。

这两项新安全中心建议的刷新间隔指示器

用于解决常见问题的内置故障排除和指南

Azure 门户中安全中心页面的一个新专用区域提供了一套经过整理的、不断扩充的自助材料,用于解决安全中心和 Azure Defender 面临的常见挑战。

当你遇到问题,或向我们的支持团队寻求建议时,“诊断并解决问题”是另一种帮助你找到解决方案的工具:

安全中心的“诊断并解决问题”页面

法规合规性仪表板的 Azure 审核报告正式发布 (GA)

法规合规性仪表板的工具栏提供适用于订阅的标准的 Azure 和 Dynamics 认证报告。

法规合规性仪表板的工具栏,显示用于生成审核报告的按钮。

可以选择用于相关报告类型(PCI、SOC 和 ISO 等)的选项卡,然后使用筛选器来查找所需的特定报告。

有关详细信息,请参阅生成合规性状态报告和证书

可用 Azure 审核报告的选项卡式列表。显示了 ISO 报告、SOC 报告、PCI 等选项卡。

已弃用建议“应在计算机上解决 Log Analytics 代理运行状况问题”

我们发现,建议“应在计算机上解决 Log Analytics 代理运行状况问题”会因与安全中心的云安全态势管理 (CSPM) 不一致而影响安全分数。 通常,CSPM 与识别安全错误配置有关。 代理运行状况问题不适用于此类问题。

此外,和与安全中心相关的其他代理相比时,该建议也是异常的:这是唯一一个具有与运行状况问题相关的建议的代理。

建议已弃用。

由于此弃用,我们还对安装 Log Analytics 代理的建议进行了少许更改(Log Analytics 代理应安装在...)。

此更改可能会影响安全分数。 对于大多数订阅,此更改应会导致分数增加,但在某些情况下,对安装建议的更新可能会导致分数降低。

提示

资产清单页也受到此更改的影响,因为该页面显示计算机的受监视状态(被监视、未被监视或被部分监视 - 指存在运行状况问题的代理的状态)。

适用于容器注册表的 Azure Defender 包含漏洞扫描程序,用于扫描 Azure 容器注册表中的映像。 若要了解如何扫描注册表并修复发现的漏洞,请参阅使用适用于容器注册表的 Azure Defender 来扫描映像是否存在漏洞

若要限制对 Azure 容器注册表中托管的注册表的访问,请将虚拟网络专用 IP 地址分配给注册表终结点并使用 Azure 专用链接,如使用 Azure 专用链接以私密方式连接到 Azure 容器注册表中所述。

在我们为更多环境和用例提供支持的不懈努力下,Azure Defender 现在还扫描受 Azure 专用链接保护的容器注册表。

安全中心现在可以自动预配 Azure Policy 的来宾配置扩展(预览版)

Azure Policy 可以审核计算机内部的设置,包括在 Azure 中运行的计算机和 Arc 连接的计算机。 验证由来宾配置扩展和客户端执行。 详细了解 Azure Policy 的来宾配置

通过此更新,你现在可以将安全中心设置为自动将此扩展预配到所有受支持的计算机。

启用来宾配置扩展的自动部署。

若要详细了解自动预配的工作原理,请参阅为代理和扩展配置自动预配

关于启用 Azure Defender 计划的建议现在支持“强制执行”

安全中心包括以下两项功能,可帮助确保以安全的方式预配新创建的资源:强制执行和拒绝。 当某项建议提供这些选项时,你可以确保每当有人试图创建资源时,你的安全要求都能得到满足:

  • 拒绝:停止创建运行不正常的资源
  • 强制执行:在创建不合规的资源时自动修正它们

通过此更新,关于启用 Azure Defender 计划的建议中现在提供强制执行选项(例如“应启用适用于应用服务的 Azure Defender”、“应启用适用于 Key Vault 的 Azure Defender”、“应启用适用于存储的 Azure Defender”)。

若要详细了解这些选项,请参阅使用“强制执行/拒绝”建议防止错误配置

建议数据的 CSV 导出现在限制为 20 MB

导出安全中心建议数据时,我们规定了 20 MB 的限制。

安全中心的“下载 CSV 报表”按钮,用于导出建议数据。

如果需要导出大量数据,请在选择数据前使用可用的筛选器,或选择订阅的子集并批量下载数据。

在 Azure 门户中筛选“订阅”。

详细了解如何执行安全建议的 CSV 导出

建议页面现在包含多个视图

建议页面现在包含两个选项卡,可提供替代方法来查看与资源相关的建议:

  • 安全功能分数建议 - 使用此选项卡查看按安全控制分组的建议列表。 若要详细了解这些控制,请参阅安全控制及其建议
  • 所有建议 - 使用此选项卡以简单列表的形式查看建议列表。 此选项卡还有助于了解是哪个计划(包括法规合规性标准)生成了建议。 若要详细了解计划及其与建议的关系,请参阅什么是安全策略、计划和建议?

用于更改 Azure 安全中心的建议列表视图的选项卡。

2021 年 7 月

7 月的更新包括:

Azure Sentinel 连接器现在包含可选的双向警报同步(预览版)

安全中心以原生方式与 Azure Sentinel(Azure 的云原生 SIEM 和 SOAR 解决方案)集成。

Azure Sentinel 包括 Azure 安全中心在订阅和租户级别的内置连接器。 若要了解详细信息,请参阅将警报流式传输到 Azure Sentinel

将 Azure Defender 连接到 Azure Sentinel 时,会在这两项服务之间同步已引入到 Azure Sentinel 中的 Azure Defender 警报的状态。 例如,当某个警报在 Azure Defender 中处于已关闭状态时,该警报在 Azure Sentinel 中也会显示为已关闭。 在 Azure Defender 中更改警报的状态不会影响包含同步 Azure Sentinel 警报的任何 Azure Sentinel 事件的状态,只会影响同步警报自身的状态。

启用预览功能双向警报同步后,系统会自动将原始 Azure Defender 警报的状态与包含这些 Azure Defender 警报副本的 Azure Sentinel 事件的状态同步。 例如,当包含 Azure Defender 警报的 Azure Sentinel 事件被关闭时,Azure Defender 将自动关闭相应的原始警报。

若要了解详细信息,请参阅从 Azure 安全中心连接 Azure Defender 警报

资源管理器警报的 Azure Defender 的逻辑重组

适用于资源管理器的 Azure Defender 计划中提供了下列警报。

在对某些 Azure Defender 计划进行逻辑重组的过程中,我们已将一些警报从适用于资源管理器的 Azure Defender 移至适用于服务器的 Azure Defender

警报根据如下两个主要原则进行组织:

  • 跨许多 Azure 资源类型提供控制平面保护的警报属于适用于资源管理器的 Azure Defender
  • 保护特定工作负载的警报位于与相应工作负载相关的 Azure Defender 计划中

以下警报以前属于适用于资源管理器的 Azure Defender,经过本次更改后,现在属于适用于服务器的 Azure Defender:

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

详细了解适用于资源管理器的 Azure Defender适用于服务器的 Azure Defender 计划。

增强了关于启用 Azure 磁盘加密 (ADE) 的建议

根据用户反馈,我们已重命名建议“应对虚拟机应用磁盘加密”。

新建议使用相同的评估 ID,名为“虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流”。

说明也已更新,以更好地解释此强化建议的目的:

建议 说明 严重性
虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不加密,数据在计算和存储资源之间流动时也不加密。 有关详细信息,请参阅 Azure 中不同磁盘加密技术的比较
使用 Azure 磁盘加密来加密所有这些数据。 如果出现以下情况,请忽略此建议:(1) 你正在使用主机加密功能,或者 (2) 托管磁盘上的服务器端加密满足你的安全要求。 若要了解详细信息,请参阅“Azure 磁盘存储的服务器端加密”。

安全功能分数和法规合规性数据的连续导出功能正式发布 (GA)

连续导出提供了导出安全警报和建议的机制,以便使用环境中的其他监视工具进行跟踪。

设置连续导出时,可以配置导出的内容以及导出的位置。 若要了解详细信息,请参阅连续导出概述

随着时间的推移,我们对此功能进行了增强和扩展:

在此更新中,这两个选项正式发布 (GA)。

对法规合规性评估的更改可以触发工作流自动化 (GA)

2021 年 2 月,我们向工作流自动化的触发器选项添加了第三种预览数据类型:对法规合规性评估的更改。 若要了解详细信息,请参阅对法规合规性评估的更改可以触发工作流自动化

在此更新中,此触发器选项正式发布 (GA)。

了解如何使用自动响应安全中心触发器中的工作流自动化工具。

使用对监管合规性评估的更改来触发工作流自动化。

评估 API 字段“FirstEvaluationDate”和“StatusChangeDate”现在可用于工作区架构和逻辑应用

2021 年 5 月,我们使用两个新字段更新了评估 API,即“FirstEvaluationDate”和“StatusChangeDate”。 有关完整的详细信息,请参阅评估 API 扩充了两个新字段

这些字段可通过 REST API、Azure Resource Graph、连续导出和 CSV 导出访问。

通过此次更改,我们现在在 Log Analytics 工作区架构和逻辑应用中提供这些信息。

3 月,我们在安全中心发布了集成式 Azure Monitor 工作簿体验(请参阅集成到安全中心的 Azure Monitor 工作簿以及提供的三个模板)。

初始版本包括三个模板,用于生成有关组织安全状况的动态和视觉报告。

我们现在添加了一个工作簿,专门用于跟踪订阅是否符合适用的法规或行业标准。

如需了解如何使用这些报告或生成自己的报告,请参阅创建丰富的交互式安全中心数据报表

Azure 安全中心的“一段时间内的合规性”工作簿

2021 年 6 月

6 月的更新包括以下内容:

适用于 Key Vault 的 Azure Defender 的新警报

为了扩展 Azure Defender 为 Key Vault 提供的威胁保护,我们添加了以下警报:

警报(警报类型) 说明 MITRE 技巧 严重性
可疑 IP 地址对 Key Vault 的访问
(KV_SuspiciousIPAccess)		 被 Microsoft 威胁情报标识为可疑 IP 地址的 IP 已经成功访问了 key vault。 这可能表示基础结构已遭到入侵。 建议进一步调查。 详细了解 Microsoft 威胁智能功能 凭据访问 中型

有关详细信息,请参阅:

默认禁用使用客户管理的密钥 (CMK) 进行加密的建议

安全中心包含多个建议,它们建议使用客户管理的密钥对静态数据进行加密,例如:

  • 容器注册表应使用客户管理的密钥 (CMK) 进行加密
  • Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据
  • Azure 机器学习工作区应使用客户管理的密钥 (CMK) 进行加密

使用平台管理的密钥自动对 Azure 中的数据进行加密,因此,只有在要求符合组织选择执行的特定政策时,才使用客户管理的密钥。

如此更改后,现已默认禁用使用 CMK 的建议。 当与你的组织相关时,可以通过将相应安全策略的效果参数更改为 AuditIfNotExistsEnforce 来启用它们。 有关详细信息,请参阅启用安全建议

此更改将反映在包含新前缀的建议名称中, [Enable if required] ,如以下示例所示:

  • [Enable if required] 存储帐户应使用客户管理的密钥来加密静态数据
  • [Enable if required] 应使用客户管理的密钥 (CMK) 来加密容器寄存器
  • [Enable if required] Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据

默认禁用安全中心的 CMK 建议。

Kubernetes 警报的前缀已从“AKS_”更改为“K8S_”

Azure Defender for Kubernetes 最近已扩展,可保护托管在本地和多云环境中的 Kubernetes 群集。 参阅使用 Azure Defender for Kubernetes 保护混合和多云 Kubernetes 部署(预览版),了解更多信息。

为了反映 Azure Defender for Kubernetes 提供的安全警报不再限于 Azure Kubernetes 服务上的群集,我们已将警报类型的前缀从“AKS_”更改为“K8S_”。必要时,还会更新名称和说明。 例如,以下警报:

警报(警报类型) 说明
检测到 Kubernetes 渗透测试工具
(AKS_PenTestToolsKubeHunter)		 Kubernetes 审核日志分析检测到在 AKS 群集中使用了 Kubernetes 渗透测试工具。 此行为可能是合法的,不过,攻击者可能会出于恶意使用此类公用工具。

已更改为:

警报(警报类型) 说明
检测到 Kubernetes 渗透测试工具
(K8S_PenTestToolsKubeHunter)		 Kubernetes 审核日志分析检测到在 Kubernetes 群集中使用了 Kubernetes 渗透测试工具。 此行为可能是合法的,不过,攻击者可能会出于恶意使用此类公用工具。

将自动转换提到以“AKS_”开始的警报的所有抑制规则。 如果已设置 SIEM 导出或按警报类型引用 Kubernetes 警报的自定义自动化脚本,则需要使用新的警报类型对其进行更新。

有关 Kubernetes 警报的完整列表,请参阅适用于 Kubernetes 群集的警报

弃用了“应用系统更新”安全控制中的两个建议

以下两项建议已被弃用:

  • 应为你的云服务角色更新 OS 版本 - 默认情况下,Azure 会定期将来宾 OS 更新为 OS 系列(在服务配置 (.cscfg) 中指定)中支持的最新映像,例如 Windows Server 2016。
  • Kubernetes Services 应升级到不容易受到攻击的 Kubernetes 版本 - 这项建议的评估覆盖面并不像我们所希望的那样广泛。 我们计划使用增强版本替换建议,以更好地满足你的安全需求。

2021 年 5 月

5 月的更新包括以下内容:

适用于 DNS 的 Azure Defender 和适用于资源管理器的 Azure Defender 正式发布 (GA)

这两个云原生广度的威胁保护计划现已正式发布。

这些新的防护极大增强了你在遭到威胁行为体攻击后的复原能力,还大大增加了受 Azure Defender 保护的 Azure 资源数量。

若要简化启用这些计划的过程,请使用建议:

  • 应启用 Azure Defender for Resource Manager
  • 应启用 Azure Defender for DNS

注意

启用 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页

适用于开放源代码关系数据库的 Azure Defender 正式发布 (GA)

Azure 安全中心使用新的捆绑包扩展其 SQL 保护产品/服务,以涵盖开放源代码关系数据库:

  • 适用于 Azure SQL 数据库服务器的 Azure Defender - 保护 Azure 原生 SQL 服务器
  • 适用于计算机上的 SQL 服务器的 Azure Defender - 将相同的保护扩展到混合、多云和本地环境中的 SQL 服务器
  • 适用于开放源代码关系数据库的 Azure Defender - 保护你的Azure Database for MySQL、PostgreSQL 和 MariaDB 单一服务器

适用于开放源代码关系数据库的 Azure Defender 持续监视服务器是否受到安全威胁,并检测异常的数据库活动,指出对 Azure Database for MySQL、PostgreSQL 和 MariaDB 的潜在威胁。 下面是一些示例:

  • 精确检测暴力攻击 - 适用于开放源代码关系数据库的 Azure Defender 提供有关尝试的和成功的暴力攻击的详细信息。 让你可以更全面地了解你的环境中的攻击的性质和状态,据此展开调查和进行响应。
  • 行为警报检测 - 适用于开放源代码关系数据库的 Azure Defender 会提醒你服务器上存在的可疑和意外行为,例如对数据库的访问模式的更改。
  • 基于威胁情报的检测 -Azure Defender 应用 Microsoft 的威胁情报和巨大的知识库来发出威胁警报,以便你进行应对。

阅读适用于开放源代码关系数据库的 Azure Defender 的简介,了解更多信息。

适用于资源管理器的 Azure Defender 的新警报

为了扩展适用于资源管理器的 Azure Defender 提供的威胁保护,我们添加以下提醒:

警报(警报类型) 说明 MITRE 技巧 严重性
针对你的 Azure 环境(预览版),以异常方式授予 RBAC 角色的权限
(ARM_AnomalousRBACRoleAssignment)		 比较同一个分配者执行的其他分配、同一分配者为相同被分派人执行的其他分配以及在租户中执行的其他分配时,适用于资源管理器的 Azure Defender 检测到异常的 RBAC 角色分配,原因是存在以下异常:分配时间、分配者的地点、分配者、身份验证方法、分配的实体、使用的客户端软件、分配范围。 此操作可能是由你的组织中的合法用户执行的。 或者,这可能表示组织中的某个帐户被入侵,威胁方正在尝试向其拥有的其他用户帐户授予权限。 横向移动,防御规避 中等
以可疑方式为订阅创建的特权自定义角色(预览)
(ARM_PrivilegedRoleDefinitionCreation)		 适用于资源管理器的 Azure Defender 检测到你的订阅中发生了可疑的特权自定义角色定义创建行为。 此操作可能是由你的组织中的合法用户执行的。 或者,这可能表明你的组织中的帐户被入侵,并且威胁方正在尝试创建特权角色,以在将来用于规避检测。 横向移动,防御规避
来自可疑 IP 地址的 Azure 资源管理器操作(预览版)
(ARM_OperationFromSuspiciousIP)		 适用于资源管理器的 Azure Defender 检测到来自某个 IP 地址的操作,这个 IP 地址在威胁情报源中被标记为可疑。 执行 中型
Azure 资源管理器对可疑代理 IP 地址的操作(预览)
(ARM_OperationFromSuspiciousProxyIP)		 适用于资源管理器的 Azure Defender 检测到来自某个 IP 地址的资源管理操作,而这个 IP 地址与代理服务(如 TOR)相关联。 虽然这种行为可能是合法的,但经常出现在恶意活动中,在这些恶意活动中,攻击者会试图隐藏其源 IP。 防御规避 中型

有关详细信息,请参阅:

通过 GitHub 工作流和 Azure Defender (预览版)扫描容器映像的 CI/CD 漏洞

适用于容器注册表的 Azure Defender 现在让 DevSecOps 团队可以观察 GitHub 操作工作流。

针对容器映像的新漏洞扫描功能利用 Trivy 帮助你在将映像推送到容器注册表之前,扫描其容器映像中的常见漏洞。

容器扫描报告在 Azure 安全中心中进行汇总,使安全团队能够更好地理解和了解易受攻击的容器映像来源,以及是从哪里生成工作流和存储库。

有关详细信息,请参阅识别 CI/CD 工作流中有漏洞的容器映像

可用于某些建议的更多资源图查询

安全中心的所有建议都可以使用打开查询中的“Azure 资源图”查看有关受影响的资源的状态信息。 有关此强大功能的完整详细信息,请参阅在 Azure Resource Graph 资源管理器 (ARG) 中查看建议数据

安全中心包含内置的漏洞扫描程序,用于扫描 VM、SQL 服务器及其主机,以及容器注册表,以发现安全漏洞。 这些结果将作为建议返回,其中关于每个资源类型的所有单个发现都将集中到一个视图中。 这三个建议是:

  • 应修正 Azure 容器注册表映像中的漏洞(由 Qualys 提供技术支持)
  • 应修正虚拟机中的漏洞
  • SQL 数据库应已解决漏洞结果
  • 计算机上的 SQL 服务器应已解决漏洞结果

进行此更改后,也可以使用打开查询按钮打开显示安全发现的查询。

“打开查询”按钮现提供更详细的查询选项,显示漏洞扫描程序相关建议的安全发现。

打开查询按钮提供了一些其他相关建议的附加选项。

了解关于安全中心漏洞扫描程序的更多信息:

更改了 SQL 数据分类建议严重性

已将“应对 SQL 数据库中的敏感数据进行分类”建议的严重性从“”更改为“”。

这是我们即将发布的更改页面中宣布的此建议的持续更改的一部分。

用于启用受信任启动功能(预览版)的新建议

Azure 提供受信任启动作为一种无缝提高第 2 代 VM 安全性的方式。 受信任启动能够防范具有持续性的高级攻击手法。 受信任启动由多种可单独启用的协调式基础结构技术组成。 每种技术都针对错综复杂的威胁提供另一层防御。 在 Azure 虚拟机的受信任启动中了解详细信息。

重要

受信任启动要求创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。

受信任启动目前为公共预览版。 此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。

安全中心的建议应在受支持的虚拟机上启用 vTPM 确保你的 Azure VM 会使用 vTPM。 硬件受信任的平台模块的这个虚拟化版本通过测量 VM(UEFI、OS、系统和驱动程序)的整个启动链来实现证明。

启用 vTPM 后, 来宾证明扩展名可以远程验证安全启动。 以下建议可确保部署此扩展名:

  • 应在受支持的 Windows 虚拟机上启用安全启动
  • 应在受支持的 Windows 虚拟机上安装来宾证明扩展名
  • 应在受支持的 Windows 虚拟机规模集上安装来宾证明扩展
  • 应在受支持的 Linux 虚拟机上安装来宾证明扩展名
  • 应在受支持的 Linux 虚拟机规模集上安装来宾证明扩展

Azure 虚拟机的受信任启动中了解详细信息。

用于强化 Kubernetes 群集(预览版)的新建议

以下建议可用于进一步强化 Kubernetes 群集

  • Kubernetes 群集不得使用默认命名空间 - 防止在 Kubernetes 群集中使用默认命名空间,以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行未经授权的访问。
  • Kubernetes 群集应禁用自动装载 API 凭据 - 若要防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令,请禁用自动装载 API 凭据。
  • Kubernetes 群集不应授予 CAPSYSADMIN 安全功能

如需了解安全中心如何保护容器化环境,请查阅安全中心的容器安全性

评估扩充了两个新字段的 API

我们已将以下两个字段添加到评估 REST API中:

  • FirstEvaluationDate – 创建和首次评估建议的时间。 返回为 ISO 8601 格式的 UTC 时间。
  • StatusChangeDate – 建议状态上次更改的时间。 返回为 ISO 8601 格式的 UTC 时间。

这些字段的初始默认值(对于所有建议)为 2021-03-14T00:00:00+0000000Z

若要访问此信息,可以使用下表中的任意方法。

工具 详细信息
REST API 调用 GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph securityresources
where type == "microsoft.security/assessments"
连续导出 这两个专用字段将可用于 Log Analytics 工作区数据
CSV 导出 CSV 文件中包含这两个字段

详细了解评估 REST API

资产盘存增加了云环境筛选器

安全中心的资产清单页提供多个筛选器,可快速优化显示的资源列表。 有关详细信息,请参阅利用资产清单浏览和管理资源

一个新筛选器可用来根据你已使用安全中心的多云功能连接的云帐户来优化列表:

盘存环境筛选器

详细了解多云功能:

2021 年 4 月

4 月的更新包括:

刷新了资源运行状况页(预览版)

资源健康状况已展开、增强和改进,提供单个资源总体健康状况的快照视图。

可以查看有关该资源的详细信息以及适用于该资源的所有建议。 另外,如果使用的是 Microsoft Defender 的高级保护计划,还可查看该特定资源的未解决安全警报。

若要打开资源的资源运行状况页,请从资产清单页中选择任何资源。

安全中心门户页面中的此预览页显示:

  1. 资源信息:资源组及其附加到的订阅,以及地理位置等。
  2. 应用的安全功能:是否为资源启用 Azure Defender。
  3. 未完成的建议和警报数:未完成的安全建议和 Azure Defender 警报的数量。
  4. 可操作的建议和警报:两个选项卡列出适用于资源的建议和警报。

显示虚拟机运行状况信息的 Azure 安全中心的资源运行状况页

参阅教程:调查资源的运行状况,了解更多信息。

现在会每周重新扫描最近拉取的容器注册表映像(正式发布 (GA))

适用于容器注册表的 Azure Defender 包含内置漏洞扫描程序。 此扫描程序会立即扫描推送到注册表中的任何映像以及在过去 30 天内拉取的任何映像。

每天都会发现新漏洞。 通过此更新,将每周重新扫描一次过去 30 天内从注册表拉取的容器映像。 这可确保在映像中识别新发现的漏洞。

扫描按映像收费,因此重新扫描不产生额外费用。

可在使用适用于容器注册表的 Azure Defender 来扫描映像是否存在漏洞中详细了解此扫描程序。

使用 Azure Defender for Kubernetes 保护混合和多云 Kubernetes 部署(预览版)

Azure Defender for Kubernetes 正在扩展其威胁防护功能,以便在部署时保护其群集。 这已通过集成已启用 Azure Arc 的 Kubernetes 及其新的扩展功能来实现。

在非 Azure Kubernetes 群集上启用 Azure Arc 后,根据 Azure 安全中心提供的新建议,仅需单击几下,即可将 Azure Defender 代理部署到其中。

使用建议(已启用 Azure Arc 的 Kubernetes 群集应已安装 Azure Defender 的扩展)和扩展保护在其他云提供程序中部署的 Kubernetes 群集,但不支持其托管的 Kubernetes 服务。

Azure 安全中心、Azure Defender 和已启用 Azure Arc 的 Kubernetes 之间的集成将带来以下影响:

  • 轻松地将 Azure Defender 代理预配到未受保护的、已启用 Azure Arc 的 Kubernetes 群集(手动和大规模)
  • 从 Azure Arc 门户监视 Azure Defender 代理及其预配状态
  • 请转到 Azure Arc 门户的新“安全性”页中,查看所报告的安全中心安全建议
  • 请转到 Azure Arc 门户的新“安全性”页中,查看所报告的 Azure Defender 标识安全威胁
  • 已启用 Azure Arc 的 Kubernetes 群集可以集成到 Azure 安全中心平台和体验

有关详细信息,请参阅在本地和多云 Kubernetes 群集中使用 Azure Defender for Kubernetes

有关为已启用 Azure Arc 的 Kubernetes 群集部署 Azure Defender 代理的 Azure 安全中心建议。

Microsoft Defender for Endpoint 与 Azure Defender 的集成现在支持 Windows 虚拟桌面(正式发布版 (GA))上的 Windows Server 2019 和 Windows 10

Microsoft Defender for Endpoint 是一种整体的、云交付的终结点安全解决方案。 它提供基于风险的漏洞管理和评估以及终结点检测和响应 (EDR)。 有关将 Defender for Endpoint 与 Azure 安全中心一起使用的好处的完整列表,请参阅使用安全中心的集成式 EDR 解决方案 (Microsoft Defender for Endpoint) 保护终结点

为运行 Windows Server 的服务器启用 Azure Defender 时,Defender for Endpoint 的许可证会包含在计划中。 如果已为服务器启用 Azure Defender 并且订阅中有 Windows Server 2019 服务器,则它们会自动接收包含此更新的 Defender for Endpoint。 无需手动操作。

支持现在已扩展为包括 Windows 虚拟桌面上的 Windows Server 2019 和 Windows 10。

注意

如果要在 Windows Server 2019 服务器上启用 Defender for Endpoint,请确保它满足启用 Microsoft Defender for Endpoint 集成中所述的先决条件。

关于启用适用于 DNS 和资源管理器的 Azure Defender 的建议(预览版)

添加了两项新建议,以简化启用适用于资源管理器的 Azure Defender适用于 DNS 的 Azure Defender

  • 应启用适用于资源管理器的 Azure Defender - 适用于资源管理器的 Defender 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。
  • 应启用适用于 DNS 的 Azure Defender - 适用于 DNS 的 Defender 通过持续监视所有来自 Azure 资源的 DNS 查询为云资源额外提供保护层。 Azure Defender 会在 DNS 层向你发出有关可疑活动的警报。

启用 Azure Defender 计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页

提示

预览版建议不会显示资源运行不正常,并且在计算安全功能分数时不会包含这些建议。 请尽量修正这些建议,以便在预览期结束之后,借助这些建议提高安全功能分数。 如需详细了解如何响应这些建议,请参阅修正 Azure 安全中心的建议

添加了三个监管合规性标准:Azure CIS 1.3.0、CMMC 级别 3 和限制性的新西兰 ISM

我们添加了适用于 Azure 安全中心的三个标准。 使用监管合规性仪表板,现在可以根据以下标准来跟踪合规性:

可以按照在监管合规性仪表板中自定义标准集中所述,将这些标准分配给订阅。

添加了三个标准,用于 Azure 安全中心的监管合规性仪表板。

了解详细信息,请参阅:

Azure 的来宾配置扩展 向安全中心报告,以帮助确保强化虚拟机的来宾内设置。 已启用 Arc 的服务器不需要该扩展,因为已连接 Arc 的计算机代理中包含该扩展。 扩展需要计算机上系统托管标识。

我们已将四个新建议添加到安全中心,以便充分利用此扩展。

  • 这两个建议会提示安装该扩展及其所需的系统托管标识:

    • 应在计算机上安装来宾配置扩展
    • 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展

  • 当扩展已安装并正在运行时,它将开始审核你的计算机,此时系统将提示你强化设置,例如配置操作系统和环境设置。 这两个建议将提示你按如下所述强化 Windows 和 Linux 计算机:

    • 应在计算机上启用 Windows Defender 攻击防护
    • 对 Linux 虚拟机进行身份验证需要 SSH 密钥

详细了解 Azure Policy 的来宾配置

CMK 建议移动到最佳做法安全控制

每个组织的安全计划都包含数据加密要求。 默认情况下,通过服务托管密钥对 Azure 客户的数据进行静态加密。 但是,客户管理的密钥 (CMK) 通常需要满足法规符合性标准。 通过 CMK 能够使用自己创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。

Azure 安全中心的安全控制是相关安全建议的逻辑组,反映了你易受攻击的攻击面。 对于每个控制,可以看到为所有资源修正该控制中列出的所有建议后,安全评分可以增加的最高分数。 “实现安全最佳做法”这一安全控制得分为零。 因此,此控制中的建议不会影响安全评分。

下面列出的建议将移到“实现安全最佳做法”这一安全控制,以更好地反应它们的可选性质。 这一移动确保了这些建议都处于最适当的控制之下,以满足其目标。

  • Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据
  • Azure 机器学习工作区应使用客户管理的密钥 (CMK) 进行加密
  • Azure AI 服务帐户应启用使用客户管理的密钥 (CMK) 进行数据加密
  • 容器注册表应使用客户管理的密钥 (CMK) 进行加密
  • SQL 托管实例应使用客户管理的密钥进行静态数据加密
  • SQL Server 应使用客户管理的密钥进行静态数据加密
  • 存储帐户应使用客户管理的密钥 (CMK) 进行加密

请在安全控件及其建议中了解每个安全控件中的建议。

11 Azure Defender 警报已弃用

下面列出的 11 个 Azure Defender 警报已弃用。

  • 新警报将取代下面两种警报并扩大覆盖范围:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo 预览版 - 检测到 MicroBurst 工具包“Get-AzureDomainInfo”函数运行
    ARM_MicroBurstRunbook 预览版 - 检测到 MicroBurst 工具包“Get-AzurePasswords”函数运行

  • 下面 9 种警报与已弃用的 Azure Active Directory 标识保护连接器 (IPC) 相关:

    AlertType AlertDisplayName
    UnfamiliarLocation 不熟悉的登录属性
    AnonymousLogin 匿名 IP 地址
    InfectedDeviceLogin 受恶意软件感染的 IP 地址
    ImpossibleTravel 异常位置登录
    MaliciousIP 恶意 IP 地址
    LeakedCredentials 凭据泄露
    PasswordSpray 密码喷射
    LeakedCredentials Azure AD 威胁智能
    AADAI Azure AD AI

    提示

    这 9 种 IPC 警报绝不是安全中心警报。 它们是 Azure Active Directory (AAD) 标识保护连接器 (IPC) 的一部分,此连接器将这些警警报发送给安全中心。 在过去 2 年中,只看到这些警报的客户就是在 2019 或更早版本中配置了导出(从连接器到 ASC)。 AAD IPC 继续将其显示其专属的警报系统中,并在 Azure Sentinel 中继续提供。 唯一的变化是它们不再出现在安全中心。

“应用系统更新”安全控制中的两项建议已弃用

下面这两个建议已弃用,这些更改可能会对安全分数产生轻微影响:

  • 应重启计算机来应用系统更新
  • 应在计算机上安装监视代理。 此建议仅与本地计算机相关,其中某些逻辑将转移到另一条建议,即“应在计算机上解决 Log Analytics 代理运行状况问题”

建议检查连续导出和工作流自动化配置,以查看这些建议是否包括在其中。 此外,任何仪表板或其他可能使用它们的监视工具都应该相应地进行更新。

有关这些建议的详细信息,请参阅安全建议参考页面

从 Azure Defender 仪表板中删除了适用于计算机上的 SQL 的 Azure Defender 磁贴

Azure Defender 仪表板的覆盖区包括对应于环境相关 Azure Defender 计划的磁贴。 由于报告受保护和未受保护资源数量时出现问题,我们决定在解决此问题前暂时删除适用于计算机上的 SQL 的 Azure Defender 的资源覆盖状态。

21 条建议在不同安全控件之间进行了调动

以下建议已移动到其他的安全控件。 安全控件是相关安全建议的逻辑组,反映了你易受攻击的攻击面。 这一调动确保了每个建议都处于最适当的控制之下,以满足其目标。

请在安全控件及其建议中了解每个安全控件中的建议。

建议 更改和影响
应对 SQL Server 启用漏洞评估
应对 SQL 托管实例启用漏洞评估
应立即修正 SQL 数据库的漏洞
应修正 VM 中的 SQL 数据库漏洞		 从“修正漏洞”(得 6 分)
变为“修正安全配置“(得 4 分)。
根据你的环境,这些建议会减少对评分的影响。
应该为你的订阅分配了多个所有者
自动化帐户变量应进行加密
IoT 设备 - 经审核的进程已停止发送事件
IoT 设备 - 操作系统基线验证失败
IoT 设备 - 需要进行 TLS 加密套件升级
IoT 设备 - 打开设备上的端口
IoT 设备 - 在其中一个链中找到了宽容防火墙策略
IoT 设备 - 在输入链中找到了宽容防火墙规则
IoT 设备 - 在输出链中找到了宽容防火墙规则
应启用 IoT 中心的诊断日志
IoT 设备 - 代理正在发送未充分利用的消息
IoT 设备 - 默认 IP 筛选策略应为“拒绝”
IoT 设备 - IP 筛选器规则为“大范围 IP”
IoT 设备 - 应调整代理消息间隔和大小
IoT 设备 - 完全相同的身份验证凭据
IoT 设备 - 经审核的进程停止发送事件
IoT 设备 - 应修复操作系统 (OS) 基线配置		 移到实施安全最佳做法
如果某条建议移到“实施安全最佳做法”控制(不得分),则这条建议不再影响安全分数。

2021 年 3 月

3 月的更新包括:

集成到安全中心的 Azure 防火墙管理

打开 Azure 安全中心时,首先显示的是概述页面。

此交互式仪表板提供了混合云工作负载安全状况的统一视图。 此外,它还显示安全警报、覆盖范围信息等等。

在帮助你通过中心体验查看安全状态的过程中,我们已将 Azure 防火墙管理器集成到此仪表板中。 你现在可以检查所有网络的防火墙覆盖状态,并从安全中心开始集中管理 Azure 防火墙策略。

有关此仪表板的详细信息,请参阅 Azure 安全中心的概述页面

安全中心的概述仪表板,其中包含 Azure 防火墙的磁贴

SQL 漏洞评估现在包含“禁用规则”体验(预览)

安全中心包含内置漏洞扫描仪,有助于发现、跟踪和修正潜在的数据库漏洞。 评估扫描结果概述了 SQL 计算机的安全状态以及任何安全发现结果的详细信息。

如果组织需要忽略发现结果,而不是修正漏洞,则可以选择禁用发现结果。 禁用发现结果不会影响安全分数,也不会产生有害的噪音。

有关详细信息,请参阅禁用特定发现结果

集成到安全中心的 Azure Monitor 工作簿以及提供的三个模板

在 Ignite Spring 2021 召开过程中,我们宣布在安全中心中推出集成式 Azure Monitor 工作簿。

借助新集成,可以开始使用安全中心的库中的现成模板。 通过使用工作簿模板,可以访问并生成动态、可视化报告,以跟踪组织的安全状况。 此外,还可以根据安全中心数据或任何其他受支持的数据类型创建新的工作簿,并且快速部署来自安全中心 GitHub 社区的社区工作簿。

提供了三个模板报告:

  • 一段时间内的安全功能分数 - 跟踪订阅的分数以及对资源建议的更改
  • 系统更新 - 按资源、OS 和严重性等查看缺失的系统更新
  • 漏洞评估发现结果 - 查看对 Azure 资源进行漏洞扫描的发现结果

如需了解如何使用这些报告或生成自己的报告,请参阅创建丰富的交互式安全中心数据报表

一段时间内的安全功能分数报告。

法规合规性仪表板现在包含 Azure 审核报告(预览)

现在可以从法规合规性仪表板的工具栏中下载 Azure 和 Dynamics 认证报告。

法规合规性仪表板的工具栏

可以选择用于相关报告类型(PCI、SOC 和 ISO 等)的选项卡,然后使用筛选器来查找所需的特定报告。

有关详细信息,请参阅管理法规合规性仪表板中的标准

筛选可用 Azure 审核报告的列表。

可以在 Azure Resource Graph 中通过“在 ARG 中浏览”查看建议数据

建议详细信息页现在包含“在 ARG 中浏览”工具栏按钮。 请使用此按钮来打开 Azure Resource Graph 查询,并浏览、导出和共享建议的数据。

使用 Azure Resource Graph (ARG),可以通过可靠的筛选、分组和排序功能,快速访问你的云环境中的资源信息。 这是以编程方式或从 Azure 门户中查询 Azure 订阅中的信息的一种快速且有效的方式。

详细了解 Azure Resource Graph (ARG)

在 Azure Resource Graph 中浏览建议数据。

对部署工作流自动化的的策略的更新

自动执行组织的监视和事件响应流程可以显著缩短调查和缓解安全事件所需的时间。

我们提供三个 Azure Policy“DeployIfNotExist”策略,这些策略可以创建并配置工作流自动化过程,以便你可以在组织内部署自动化:

目标 策略 策略 ID
安全警报的工作流自动化 为 Azure 安全中心警报部署工作流自动化 f1525828-9a90-4fcf-be48-268cdd02361e
安全建议的工作流自动化 为 Azure 安全中心建议部署工作流自动化 73d6ab6c-2475-4850-afd6-43795f3492ef
用于法规合规性的工作流自动化发生更改 部署 Azure 安全中心合规工作流自动化 509122b9-ddd9-47ba-a5f1-d0dac20be63c

以下是对这些策略的功能进行的两项更新:

  • 分配后,它们将通过强制执行保持启用状态。
  • 现在可以自定义这些策略,并更新任意参数,即使它们已部署,也是如此。 例如,可以添加或编辑评估密钥。

开始使用工作流自动化模板

了解如何自动响应安全中心触发器

两条旧版建议不再将数据直接写入 Azure 活动日志

安全中心会将几乎所有安全建议的数据都传递到 Azure 顾问,而后者又会将这些数据写入 Azure 活动日志

对于其中两条建议,数据将同时直接写入 Azure 活动日志。 通过这项更改,安全中心会停止将这些旧版安全建议的数据直接写入活动日志。 而我们要将数据导出到 Azure 顾问,就像我们针对所有其他建议所做的那样。

这两条旧版建议为:

  • 应在计算机上解决 Endpoint Protection 运行状况问题
  • 应该修复计算机上安全配置中的漏洞

如果你一直是在活动日志的“TaskDiscovery 类型的建议”类别中访问这两条建议的信息,现在不再可以这样操作。

建议页面功能增强

我们发布了改进版本的建议列表,以便直观地显示更多信息。

此页面现在显示:

  1. 每个安全控制措施的最高分数和当前分数。
  2. 图标(代替标记),如“修复”和“预览” 。
  3. 一个新列,显示与每条建议相关的策略计划,在禁用“按控制措施分组”时显示。

Azure 安全中心的建议页的功能增强 - 2021 年 3 月

Azure 安全中心的建议“平面”列表的功能增强 - 2021 年 3 月

可在 Azure 安全中心内的安全建议中了解详细信息。

2021 年 2 月

2 月的更新包括:

Azure 门户中的“新建安全警报”页面已正式发布 (GA)

Azure 安全中心的安全警报页经过重新设计,可提供以下内容:

  • 更好的警报会审体验 - 列表包含可自定义的筛选器和分组选项,有助于减少警报疲劳,让你能够更轻松地专注于相关度最高的威胁。
  • 警报列表中包含更多信息 - 例如 MITRE ATT&ACK 策略
  • 用于创建示例警报的按钮 - 要评估 Azure Defender 功能并测试警报 配置(对于 SIEM 集成、电子邮件通知和工作流自动化),可以从所有 Azure Defender 计划创建示例警报。
  • 与 Azure Sentinel 事件体验的一致性 - 对于同时使用这两种产品的客户,现在可以更直接地在它们之间进行切换。
  • 更好的大型警报列表性能。
  • 警报列表键盘导航。
  • 来自 Azure Resource Graph 的警报 - 可以在 Azure Resource Graph 中查询警报,它是适用于所有资源的类 Kusto API。 如果要构建自己的警报仪表板,这也很有用。 详细了解 Azure Resource Graph
  • 创建示例警报功能 - 若要通过新的警报体验创建示例警报,请参阅生成 Azure Defender 示例警报

Kubernetes 工作负载保护建议已正式发布 (GA)

我们很高兴地宣布,已正式发布一组针对 Kubernetes 工作负载保护的建议。

为了确保 Kubernetes 工作负载在默认情况下是安全的,安全中心添加了 Kubernetes 级别的强化建议,其中包括具有 Kubernetes 准入控制的执行选项。

在 Azure Kubernetes 服务 (AKS) 群集上安装适用于 Kubernetes 的 Azure Policy 后,将按照预先定义的一组最佳做法(显示为 13 条安全建议)监视对 Kubernetes API 服务器的每个请求,然后再将其保存到群集。 然后,可以配置为强制实施最佳做法,并规定将其用于未来的工作负载。

例如,可以规定不应创建特权容器,并且阻止以后的任何请求。

有关详细信息,请参阅使用 Kubernetes 准入控制实现工作负载保护最佳做法

注意

虽然建议之前为预览版,但它们当时未显示 AKS 群集资源运行不正常,而且在计算安全功能分数时没有纳入这些建议。 发布此 GA 后,计算分数时将纳入这些建议。 如果尚未对其进行修正,则可能会对安全功能分数造成轻微影响。 请尽量进行修正,具体请参阅修正 Azure 安全中心内的建议

Microsoft Defender for Endpoint 与 Azure Defender 的集成现在支持 Windows 虚拟桌面(预览版)上的 Windows Server 2019 和 Windows 10

Microsoft Defender for Endpoint 是一种整体的、云交付的终结点安全解决方案。 它提供基于风险的漏洞管理和评估以及终结点检测和响应 (EDR)。 有关将 Defender for Endpoint 与 Azure 安全中心一起使用的好处的完整列表,请参阅使用安全中心的集成式 EDR 解决方案 (Microsoft Defender for Endpoint) 保护终结点

为运行 Windows Server 的服务器启用 Azure Defender 时,Defender for Endpoint 的许可证会包含在计划中。 如果已为服务器启用 Azure Defender 并且订阅中有 Windows Server 2019 服务器,则它们会自动接收包含此更新的 Defender for Endpoint。 无需手动操作。

支持现在已扩展为包括 Windows 虚拟桌面上的 Windows Server 2019 和 Windows 10。

注意

如果要在 Windows Server 2019 服务器上启用 Defender for Endpoint,请确保它满足启用 Microsoft Defender for Endpoint 集成中所述的先决条件。

直接链接到建议详细信息页中的策略

查看建议的详细信息时,能够查看基础策略通常会很有帮助。 对于策略支持的每条建议,建议详细信息页面上都有一个新链接:

链接到 Azure Policy 页面,了解支持建议的具体策略。

使用此链接可查看策略定义和计算逻辑。

如果查看安全建议参考指南上的建议列表,你还将看到指向策略定义页面的链接:

直接从 Azure 安全中心建议参考页访问 Azure Policy 页面来了解具体策略。

SQL 数据分类建议不再影响安全功能分数

“应对 SQL 数据库中的敏感数据进行分类”建议不再影响安全功能分数。 这是“应用数据分类”安全控件中唯一的建议,因此该控件目前的安全功能分数值为 0。

有关安全中心中所有安全控件的完整列表及其分数和每个安全控件中的建议列表,请参阅安全控件及其建议

工作流自动化可以由对法规合规性评估的更改触发(预览)

我们向工作流自动化的触发器选项添加了第三种数据类型:对监管合规性评估的更改。

了解如何使用自动响应安全中心触发器中的工作流自动化工具。

使用对监管合规性评估的更改来触发工作流自动化。

资产清单页增强功能

Azure 安全中心的资产库存页已经过改进:

  • 页面顶部的摘要现在包括“未注册的订阅”,显示未启用安全中心的订阅数。

    资产清单页面顶部摘要中未注册订阅的计数。

  • 筛选器进行了扩展和增强,包括:

    • 计数 - 每个筛选器都会显示满足每一类条件的资源数

      Azure 安全中心“资产清单”页的筛选器中的计数。

    • 包含豁免筛选器(可选)- 将结果范围缩小为有/没有豁免的资源。 默认情况下不会显示此筛选器,但可从添加筛选器按钮进行访问。

      在 Azure 安全中心的“资产清单”页中添加筛选器“包含豁免”

详细了解如何利用资产清单浏览和管理资源

2021 年 1 月

一月的更新包括:

Azure 安全基准现在是 Azure 安全中心的默认策略计划

Azure 安全基准是由 Microsoft 创作的特定于 Azure 的一组准则,适用于基于常见合规框架的安全与合规最佳做法。 这一公认的基准建立在 Internet 安全中心 (CIS)国家标准与技术研究院 (NIST) 的控制基础上,重点关注以云为中心的安全性。

最近几个月,安全中心的内置安全建议列表已显著增加,从而扩大了此基准的覆盖范围。

从此版本开始,该基准是安全中心建议的基础,并且已完全集成为默认策略计划。

所有 Azure 服务文档中都有一个安全基线页面。 这些基线均基于 Azure 安全基准。

如果使用的是安全中心的法规符合性仪表板,则你在过渡期间会看到两个基准实例:

Azure 安全中心的法规符合性仪表板显示 Azure 安全基准

现有建议不受影响,并且随着基准的增加,安全中心内将自动反映出这些更改。

若要了解详细信息,请参阅以下页面:

本地和多云计算机的漏洞评估已正式发布 (GA)

10 月,我们随适用于服务器的 Azure Defender 的集成式漏洞评估扫描程序(由 Qualys 提供支持)提供了扫描已启用 Azure Arc 的服务器的预览版。

现已正式发布 (GA)。

当你在非 Azure 计算机上启用了 Azure Arc 后,安全中心将提供两种向计算机部署集成式漏洞扫描器的选项(手动和大规模)。

此次更新后,你便可以发掘 Azure Defender 的强大功能,合并所有 Azure 和非 Azure 资产的漏洞管理计划。

主要功能:

  • 监视 Azure Arc 计算机上的 VA(漏洞评估)扫描器预配状态
  • 将集成式 VA 代理预配到未受保护的 Windows 和 Linux Azure Arc 计算机(手动或大规模)
  • 从部署的代理接收和分析检测到的漏洞(手动和大规模)
  • 统一的 Azure VM 和 Azure Arc 计算机体验

详细了解如何将集成式 Qualys 漏洞扫描程序部署到混合计算机

详细了解已启用 Azure Arc 的服务器

预览版中现可提供管理组的安全分数

除了订阅级别外,“安全分数”页面现在还会显示管理组的汇总安全分数。 因此,现在可以查看组织中管理组的列表以及每个管理组的分数。

正在查看管理组的安全分数。

详细了解 Azure 安全中心的安全分数和安全控件

安全功能分数 API 已正式发布 (GA)

现在可以通过安全分数 API 访问分数。 通过 API 方法,可灵活地查询数据,久而久之构建自己的安全功能分数报告机制。 例如:

  • 使用安全功能分数 API 获取特定订阅的分数
  • 使用安全功能分数控件 API 列出安全控件和订阅的当前分数

若要了解可通过安全功能分数 API 实现的外部工具,请参阅 GitHub 社区的安全功能分数区域

详细了解 Azure 安全中心的安全分数和安全控件

用于应用服务的 Azure Defender 添加了无关联的 DNS 保护

子域接管是组织常见的严重威胁。 当拥有指向已撤销的网站的 DNS 记录时,可能会发生子域接管。 这类 DNS 记录也称为“无关联的 DNS”项。 CNAME 记录特别容易受到此威胁的攻击。

通过子域接管,威胁参与者可以将要流向组织的域的流量重定向到执行恶意活动的站点。

现在,当对应用服务网站解除授权时,用于应用服务的 Azure Defender 会检测到无关联的 DNS 条目。 当时,DNS 条目指向不存在的资源,并且网站容易受到子域接管攻击。 无论你的域是由 Azure DNS 托管还是由外部域注册器托管,都可使用这些保护;这些保护既适用于 Windows 上的应用服务,也适用于 Linux 上的应用服务。

了解详细信息:

多云连接器已正式发布 (GA)

由于云工作负载通常跨多个云平台分布,因此云安全服务也需要如此。

Azure 安全中心可保护 Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中的工作负载。

连接 AWS 或 GCP 项目会将其本机安全工具(如 AWS 安全中心和 GCP 安全命令中心)集成到 Azure 安全中心。

此功能意味着安全中心可以在所有主要的云环境中提供可见性和保护。 此集成的一些优势如下:

  • 自动代理预配 - 安全中心使用 Azure Arc 将 Log Analytics 代理部署到 AWS 实例
  • 策略管理
  • 漏洞管理
  • 嵌入的终结点检测和响应 (EDR)
  • 检测安全配置错误
  • 显示所有云提供商提供的安全建议的单一视图
  • 将所有资源整合到安全中心的安全分数计算中
  • AWS 和 GCP 资源的法规符合性评估

在 Defender for Cloud 的菜单中,选择“多云连接器”,此时将显示用于新建连接器的选项:

安全中心“多云连接器”页上的“添加 AWS 帐户”按钮

了解详细信息,请参阅:

从订阅和管理组的安全分数中免除所有建议

我们正在扩展免除功能,以免除所有建议。 提供其他选项来微调安全中心针对订阅、管理组或资源提出的安全建议。

有时,当你知道问题已被第三方工具解决,而安全中心未检测到时,资源将被列为运行不正常。 或者,建议会在你认为它不属于的范围内显示。 该建议可能不适用于特定的订阅。 或者,组织可能决定接受与特定资源或建议相关的风险。

使用此预览功能,现在可以针对建议创建免除,以执行以下操作:

  • 免除某资源,以确保其将来不会被列入运行不正常的资源,并且不会影响安全分数。 该资源将被列为不适用,原因将显示“已免除”以及你选择的特定理由。

  • 免除某订阅或管理组,以确保建议不会影响安全分数,并且将来不会针对该订阅或管理组显示。 这与现有资源以及将来创建的任何资源相关。 建议将标记有你针对所选范围选择的特定理由。

了解详细信息,请参阅从安全评分中免除资源和建议

用户现在可以向其全局管理员请求租户范围内的可见性

如果用户不具有查看安全中心数据的权限,他们现在将会看到一个链接,用于向其组织的全局管理员请求权限。 该请求包括他们想要的角色以及需要这样做的理由。

横幅通知用户他们可以请求租户范围内的权限。

了解详细信息,请参阅当你的权限不足时请求租户范围内的权限

添加了 35 条预览建议,以扩大 Azure 安全基准的覆盖范围

Azure 安全基准是 Azure 安全中心的默认策略计划。

为扩大此基准的覆盖范围,安全中心已添加下列 35 条预览建议。

提示

预览版建议不会显示资源运行不正常,并且在计算安全功能分数时不会包含这些建议。 请尽量修正这些建议,以便在预览期结束之后,借助这些建议提高安全功能分数。 如需详细了解如何响应这些建议,请参阅修正 Azure 安全中心的建议

安全控制 新建议
启用静态加密 - Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据
- Azure 机器学习工作区应使用客户管理的密钥 (CMK) 进行加密
- 应为 MySQL 服务器启用“创建自己的密钥”数据保护
- 应为 PostgreSQL 服务器启用“创建自己的密钥”数据保护
- Azure AI 服务帐户应启用使用客户管理的密钥 (CMK) 进行数据加密
- 容器注册表应使用客户管理的密钥 (CMK) 进行加密
- SQL 托管实例应使用客户管理的密钥进行静态数据加密
- SQL Server 应使用客户管理的密钥进行静态数据加密
- 存储帐户应使用客户管理的密钥 (CMK) 进行加密
实现安全最佳实践 - 订阅应有一个联系人电子邮件地址,用于接收安全问题通知
你的订阅应启用 Log Analytics 代理自动预配
- 应启用高严重性警报的电子邮件通知
- 应启用向订阅所有者发送高严重性警报的电子邮件通知
- 密钥保管库应启用清除保护
- 密钥保管库应启用软删除
管理访问和权限 - 确保函数应用已启用“客户端证书(传入客户端证书)”
保护应用程序免受 DDoS 攻击 - 应为应用程序网关启用 Web 应用程序防火墙 (WAF)
- 应为 Azure Front Door 服务启用 Web 应用程序防火墙 (WAF)
限制未经授权的网络访问 - 应在 Key Vault 上启用防火墙
- 应为 Key Vault 配置专用终结点
- 应用程序配置应使用专用链接
- Azure Cache for Redis 应驻留在虚拟网络中
- Azure 事件网格域应使用专用链接
- Azure 事件网格主题应使用专用链接
- Azure 机器学习工作区应使用专用链接
- Azure SignalR 服务应使用专用链接
- Azure Spring Cloud 应使用网络注入
- 容器注册表不得允许无限制的网络访问
- 容器注册表应使用专用链接
- 应为 MariaDB 服务器禁用公用网络访问
- 应为 MySQL 服务器禁用公用网络访问
- 应为 PostgreSQL 服务器禁用公用网络访问
- 存储帐户应使用专用链接连接
- 存储帐户应使用虚拟网络规则来限制网络访问
- VM 映像生成器模板应使用专用链接

相关链接:

将经筛选的建议列表导出为 CSV

2020 年 11 月,我们在“建议”页面中添加了筛选器(建议列表现包含筛选器)。 12 月,我们扩展了这些筛选器(建议页面包含用于环境、严重性和可用响应的新筛选器)。

随着此次公告的发布,我们将更改为“下载到 CSV”按钮的行为,使 CSV 导出仅包含经筛选的列表中当前显示的建议。

例如,在下图中,可以看到列表已筛选为显示两个建议。 生成的 CSV 文件包括受这两个建议影响的每项资源的状态详细信息。

将经筛选的建议导出到 CSV 文件。

可在 Azure 安全中心内的安全建议中了解详细信息。

在 Azure Policy 评估中,“不适用”资源现报告为“合规”

以前,为建议评估且发现不适用的资源在 Azure Policy 中显示为“不合规”。 任何用户操作都不能将资源状态更改为“合规”。进行此更改后,为了显得更加清楚,将资源报告为“合规”。

唯一的影响是 Azure Policy 中合规资源的数量将增加。 Azure 安全中心的安全评分不受影响。

通过连续导出(预览版)导出安全分数和法规合规性数据的每周快照

我们已在连续导出工具中添加了新的预览功能,用于导出安全分数和法规合规性数据的每周快照。

定义连续导出时,请设置导出频率:

选择连续导出的频率。

  • 流式处理 - 更新资源的运行状况时,将发送评估(如果没有更新,则不发送任何数据)。
  • 快照 - 每周将发送所有法规合规性评估的当前状态的快照(这是面向安全分数和法规合规性数据每周快照的一项预览功能)。

请在持续导出安全中心数据中详细了解此功能的所有性能。

2020 年 12 月

12 月的更新包括:

适用于计算机上的 SQL 服务器的 Azure Defender 现已正式发布

Azure 安全中心为 SQL 服务器提供两个 Azure Defender 计划:

  • 适用于 Azure SQL 数据库服务器的 Azure Defender - 保护 Azure 原生 SQL 服务器
  • 适用于计算机上的 SQL 服务器的 Azure Defender - 将相同的保护扩展到混合、多云和本地环境中的 SQL 服务器

根据此公告,适用于 SQL 的 Azure Defender 现在可以保护位于任何位置的数据库及其数据。

适用于 SQL 的 Azure Defender 包括漏洞评估功能。 漏洞评估工具包括以下高级功能:

  • 基线配置(新功能!),可以智能地将漏洞扫描的结果细化为可能表示实际安全问题的结果。 建立基线安全状态后,漏洞评估工具仅报告与该基线状态的偏差。 与基线匹配的结果被视为通过后续扫描。 这样,你和你的分析师就可以将注意力集中在重要的方面。
  • 详细的基准信息有助于了解已发现的结果,以及这些结果为何与资源相关。
  • 修正脚本有助于减轻已确定的风险。

详细了解 Azure Defender for SQL

针对 Azure Synapse Analytics 专用 SQL 池的 Azure Defender for SQL 支持现已正式发布

Azure Synapse Analytics(以前称为 SQL DW)是一种分析服务,它将企业数据仓库和大数据分析合并在一起。 专用 SQL 池是 Azure Synapse 的企业数据仓库功能。 有关详细信息,请参阅什么是 Azure Synapse Analytics(以前称为 SQL DW)?

适用于 SQL 的 Azure Defender 可通过以下方式保护专用 SQL 池:

  • 用于检测威胁和攻击的高级威胁防护
  • 用于识别和修正安全错误配置的漏洞评估功能

针对 Azure Synapse Analytics SQL 池的 Azure Defender for SQL 支持会自动添加到 Azure 安全中心中的 Azure SQL 数据库捆绑中。 你可以在 Azure 门户的 Synapse 工作区页面中找到新的“适用于 SQL 的 Azure Defender”选项卡。

详细了解 Azure Defender for SQL

全局管理员现在可以授予自己的租户级别权限

具有 Azure Active Directory“全局管理员”角色的用户可能要承担租户范围内的责任,但缺乏 Azure 权限,无法在 Azure 安全中心查看组织范围内的信息。

若要向你自己分配租户级别的权限,请按照授予自己租户范围的权限中的说明操作。

两项新的 Azure Defender 计划:适用于 DNS 的 Azure Defender 和适用于资源管理器的 Azure Defender(预览版)

我们为你的 Azure 环境添加了两项新的云原生广度威胁防护功能。

这些新的防护极大增强了你在遭到威胁行为体攻击后的复原能力,还大大增加了受 Azure Defender 保护的 Azure 资源数量。

Azure 门户中的新安全警报页(预览版)

Azure 安全中心的安全警报页经过重新设计,可提供以下内容:

  • 更好的警报会审体验 - 帮助减少警报疲劳,让你能够专注于相关度最高的威胁,列表包含可自定义的筛选器和分组选项
  • 警报列表中的更多信息 - 例如 MITRE ATT&ACK 策略
  • 用于创建示例警报的按钮 - 要评估 Azure Defender 功能并测试警报配置(对于 SIEM 集成、电子邮件通知和工作流自动化),可以从所有 Azure Defender 计划创建示例警报
  • 与 Azure Sentinel 事件体验的一致性 - 对于同时使用这两种产品的客户,现在可以更直接地在它们之间进行切换
  • 更好的大型警报列表性能
  • 警报列表键盘导航
  • 来自 Azure Resource Graph 的警报 - 可以在 Azure Resource Graph 中查询警报,它是适用于所有资源的类 Kusto API。 如果要构建自己的警报仪表板,这也很有用。 详细了解 Azure Resource Graph

若要访问新体验,请使用安全警报页顶部横幅中的“立即试用”链接。

带有新预览版提醒体验链接的横幅。

若要通过新的警报体验创建示例警报,请参阅生成 Azure Defender 示例警报

在 Azure SQL 数据库和 SQL 托管实例中更新了安全中心体验

通过 SQL 中的安全中心体验,可访问安全中心和 Azure Defender for SQL 的下列功能:

  • 安全建议 - 安全中心会定期分析所有已连接的 Azure 资源的安全状态,以识别潜在的安全配置错误。 然后,它会提供建议来指导如何修正这些漏洞和提升组织的安全状况。
  • 安全警报 - 一种检测服务,用于持续监视 Azure SQL 活动是否存在 SQL 注入、暴力攻击和特权滥用等威胁。 该服务会在安全中心触发面向操作的详细安全警报,并提供选项便于继续使用 Azure Sentinel(Microsoft 的 Azure 原生 SIEM 解决方案)进行调查。
  • 结果 - 一种漏洞评估服务,可持续监视 Azure SQL 配置并帮助修正漏洞。 评估扫描会提供 Azure SQL 安全状态的概述以及详细的安全扫描结果。

Azure 安全中心适用于 SQL 的安全功能在 Azure SQL 中可用

更新了资产清单工具和筛选器

Azure 安全中心的“清单”页面已刷新,并进行了以下更改:

  • 工具栏上添加了“指南和反馈”。 该操作会打开一个窗格,其中有指向相关信息和工具的链接。

  • 可用于资源的默认筛选器中添加了“订阅筛选器”。

  • “打开查询”链接,它用于将当前筛选器选项作为 Azure Resource Graph 查询(以前称为“在 Resource Graph 资源管理器中查看”)打开。

  • 每个筛选器都有了运算符选项。 现在,可从“=”之外的其他逻辑运算符中进行选择。 例如,你可能想要查找所有具有活动建议且标题包含“encrypt”字符串的资源。

    资产清单筛选器中运算符选项的控件

有关清单的详细信息,请参阅利用资产清单浏览和管理资源

有关请求 SSL 证书的 Web 应用的建议不再属于安全功能分数

“Web 应用应请求一个 SSL 证书用于所有传入请求”这一建议已从“管理访问和权限”安全控制(分值最多为 4)移至“实施安全最佳做法”(分值为 0)。

确保 Web 应用请求的是肯定会增强其安全性的证书。 但是,对于面向公众的 Web 应用,这是不相关的。 如果通过 HTTP 而不是 HTTPS 访问站点,不会收到任何客户端证书。 因此,如果应用程序需要客户端证书,则你不应允许通过 HTTP 对应用程序发出请求。 有关详细信息,请参阅为 Azure 应用服务配置 TLS 相互身份验证

在此更改后,此建议现在已是推荐的最佳做法,不会影响你的分数。

请在安全控件及其建议中了解每个安全控件中的建议。

建议页面包含用于环境、严重性和可用响应的新筛选器

Azure 安全中心会监视所有已连接的资源并生成安全建议。 使用这些建议来强化你的混合云状况,并跟踪与组织、行业和国家/地区相关的策略和标准的合规性。

随着安全中心不断扩展其覆盖范围和功能,安全建议的列表每月都在扩充。 例如,请参阅添加了 29 条预览建议,以扩大 Azure 安全基准的覆盖范围

随着列表的扩充,需要筛选建议来找出最感兴趣的建议。 11 月,我们在“建议”页面中添加了筛选器(请参阅建议列表现包含筛选器)。

本月添加的筛选器提供了一些选项,可根据以下条件优化建议列表:

  • 环境 - 查看有关 AWS、GCP 或 Azure 资源(或任何组合)的建议

  • 严重性 - 根据安全中心设置的严重性分类来查看建议

  • 响应操作 - 根据安全中心响应选项的可用性来查看建议:修复、拒绝和强制实施

    提示

    “响应操作”筛选器替代了“可用的快速修复(是/否)”筛选器。

    请详细了解每个响应选项:

按安全控制分组的建议。

连续导出获得新的数据类型和改进的 deployifnotexist 策略

借助 Azure 安全中心的连续导出工具,可导出安全中心的建议和警报,以便与环境中的其他监视工具一起使用。

“连续导出”使你可以完全自定义将要导出的内容,以及要导出到的位置 。 有关完整详细信息,请参阅连续导出安全中心数据

这些工具已通过以下方式进行了增强和扩展:

  • 连续导出的 deployifnotexist 策略已得到增强。 策略目前执行以下操作:

    • 检查配置是否已启用。 如果未启用,策略将显示为不合规,并将创建合规的资源。 若要详细了解所提供的 Azure Policy 模板,请参阅设置连续导出的“使用 Azure Policy 选项卡大规模部署”。

    • 支持导出安全结果。 使用 Azure 策略模板时,可配置连续导出,使其包含结果。 这在导出具有子建议的建议时非常重要,例如漏洞评估扫描程序的结果或针对“应在计算机上安装系统更新”这一父建议的特定系统更新。

    • 支持导出安全功能分数数据。

  • 已添加合规性评估数据(预览)。 现在,你可将对法规合规性评估的更新(包括针对任何自定义计划的更新)连续导出到 Log Analytics 工作区或事件中心。 此功能在国家云上不可用。

    用于将法规合规性评估信息包含在连续导出数据中的选项。

2020 年 11 月

11 月的更新包括:

添加了 29 条预览建议,以扩大 Azure 安全基准的覆盖范围

Azure 安全基准是 Microsoft 制定的一组 Azure 专属准则,适合基于常见合规框架的安全性与合规性最佳做法。 详细了解 Azure 安全基准

已在安全中心添加下列 29 条预览建议,以扩大此基准的覆盖范围。

预览版建议不会显示资源运行不正常,并且在计算安全功能分数时不会包含这些建议。 请尽量修正这些建议,以便在预览期结束之后,借助这些建议提高安全功能分数。 如需详细了解如何响应这些建议,请参阅修正 Azure 安全中心的建议

安全控制 新建议
加密传输中的数据 - 应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”
- 应为 MySQL 数据库服务器启用“强制 SSL 连接”
- 应将 TLS 更新为 API 应用的最新版本
- 应将 TLS 更新为函数应用的最新版本
- 应将 TLS 更新为 Web 应用的最新版本
- 应在 API 应用中要求使用 FTPS
- 应在函数应用中要求使用 FTPS
- 应在 Web 应用中要求使用 FTPS
管理访问和权限 - Web 应用应请求一个用于所有传入请求的 SSL 证书
- 应在 API 应用中使用托管标识
- 应在函数应用中使用托管标识
- 应在 Web 应用中使用托管标识
限制未经授权的网络访问 - 应为 PostgreSQL 服务器启用专用终结点
- 应为 MariaDB 服务器启用专用终结点
- 应为 MySQL 服务器启用专用终结点
启用审核和日志记录 - 应启用应用服务中的诊断日志
实现安全最佳实践 - 应为虚拟机启用 Azure 备份
- 应为 Azure Database for MariaDB 启用异地冗余备份
- 应为 Azure Database for MySQL 启用异地冗余备份
- 应为 Azure Database for PostgreSQL 启用异地冗余备份
- 应将 PHP 更新为 API 应用的最新版本
- 应将 PHP 更新为 Web 应用的最新版本
- 应将 Java 更新为 API 应用的最新版本
- 应将 Java 更新为函数应用的最新版本
- 应将 Java 更新为 Web 应用的最新版本
- 应将 Python 更新为 API 应用的最新版本
- 应将 Python 更新为函数应用的最新版本
- 应将 Python 更新为 Web 应用的最新版本
- 应将 SQL Server 的审核保留设置为至少 90 天

相关链接:

向安全中心的法规合规性仪表板添加了 NIST SP 800 171 R2

NIST SP 800-171 R2 标准现可以内置计划的形式提供,用于安全中心的法规合规性仪表板。 有关控制措施的映射,可参阅 NIST SP 800-171 R2 法规合规性内置计划的详细信息

若要将该标准用于订阅并持续监视合规性状态,请按照自定义法规合规性仪表板中的标准集中的说明操作。

安全中心法规合规性仪表板中的 NIST SP 800 171 R2 标准

有关此符合性标准的详细信息,请参阅 NIST SP 800-171 R2

建议列表现包含筛选器

现在,你可以根据一系列条件筛选安全建议列表。 在以下示例中,建议列表经过筛选,以显示满足以下条件的建议:

  • 已正式发布(即不是预览版)
  • 适用于存储帐户
  • 支持快速修复修正

建议列表的筛选器。

自动预配体验得到改进和扩展

通过在新的和现有的 Azure VM 上安装所需的扩展,使 VM 能够受益于安全中心的保护,自动预配功能有助于降低管理开销。

随着 Azure 安全中心的发展,更多的扩展得到了开发,安全中心可以监视更大的资源类型列表。 自动预配工具已经过扩展,现支持通过 Azure Policy 的功能使用其他扩展和资源类型。

现在可以配置以下项的自动预配:

  • Log Analytics 代理
  • (新)适用于 Kubernetes 的 Azure Policy
  • (新)Microsoft Dependency Agent

有关详细信息,请参阅从 Azure 安全中心自动预配代理和扩展

现可在连续导出中使用安全功能分数(预览)

借助安全功能分数的连续导出,你可将对分数的更改实时地流式传输到 Azure 事件中心或 Log Analytics 工作区。 此功能可用于:

  • 通过动态报表跟踪一段时间内的安全功能分数
  • 将安全功能分数数据导出到 Azure Sentinel(或任何其他 SIEM)
  • 将此数据与你可能已在使用的任何进程集成来监视你组织中的安全功能分数

详细了解如何连续导出安全中心数据

“应在计算机上安装系统更新”建议现包含子建议

应在计算机上安装系统更新”建议已得到增强。 新版本包括针对每个缺失的更新的子建议,其中还引入了以下改进:

  • 重新设计了 Azure 门户的 Azure 安全中心页面的体验。 “应在计算机上安装系统更新”的建议详细信息页包括发现结果列表,如下所示。 选择单个发现结果时,结果窗格将打开,并提供指向修正信息和受影响资源列表的链接。

    在门户体验中打开其中一个子建议,了解更新的建议。

  • 丰富了 Azure Resource Graph (ARG) 的建议数据。 ARG 是一项 Azure 服务,专用于提供高效的资源探索。 可以使用 ARG 在一组给定的订阅中进行大规模查询,以便有效地控制环境。

    对于 Azure 安全中心,你可以使用 ARG 和 Kusto 查询语言 (KQL) 来查询各种安全状态数据。

    以前,如果你在 ARG 中查询此建议,唯一提供的信息就是“需要在计算机上修正建议”。 以下查询的增强版本将返回按计算机分组的每个缺失的系统更新。

    securityresources
| where type =~ "microsoft.security/assessments/subassessments"
| where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
| where properties.status.code == "Unhealthy"

Azure 门户中的“策略管理”页现在显示默认策略分配的状态

现在,你可以在 Azure 门户安全中心的“安全策略”页面中,查看订阅是否已分配到默认安全中心策略。

Azure 安全中心的“策略管理”页面,其中显示了默认策略分配。

2020 年 10 月

10月更新包括:

本地和多云计算机的漏洞评估(预览版)

适用于服务器的 Azure Defender 的集成式漏洞评估扫描程序(由 Qualys 提供支持)现可扫描已启用 Azure Arc 的服务器。

当你在非 Azure 计算机上启用了 Azure Arc 后,安全中心将提供两种向计算机部署集成式漏洞扫描器的选项(手动和大规模)。

此次更新后,你便可以发掘 Azure Defender 的强大功能,合并所有 Azure 和非 Azure 资产的漏洞管理计划。

主要功能:

  • 监视 Azure Arc 计算机上的 VA(漏洞评估)扫描器预配状态
  • 将集成式 VA 代理预配到未受保护的 Windows 和 Linux Azure Arc 计算机(手动或大规模)
  • 从部署的代理接收和分析检测到的漏洞(手动和大规模)
  • 统一的 Azure VM 和 Azure Arc 计算机体验

详细了解如何将集成式 Qualys 漏洞扫描程序部署到混合计算机

详细了解已启用 Azure Arc 的服务器

添加了 Azure 防火墙建议(预览版)

添加了新的建议,即使用 Azure 防火墙保护所有虚拟网络。

“虚拟网络应受 Azure 防火墙保护”建议使用 Azure 防火墙限制虚拟网络的访问权限和防止潜在威胁。

了解有关 Azure 防火墙的详细信息。

“应在 Kubernetes 服务上定义已授权的 IP 范围”建议更新了快速修复

“应在 Kubernetes 服务上定义已授权的 IP 范围”建议现提供一个快速修复选项。

要详细了解此建议以及其他各项安全中心建议,请参阅安全建议 - 参考指南

具有快速修复选项的“应在 Kubernetes 服务上定义授权 IP 范围”建议。

法规合规性仪表板现在包含用于删除标准的选项

安全中心的法规合规性仪表板基于你满足特定合规控制和要求的情况来提供合规态势的见解。

该仪表板包含一组默认的法规标准。 如果提供的任何标准都与你的组织不相关,那么现在简单操作一下就可在订阅的 UI 中将它们删除。 只能在“订阅”级别删除标准,而不能从管理组范围删除。

有关详细信息,请参阅从仪表板中删除标准

从 Azure Resource Graph (ARG) 中删除了 Microsoft.Security/securityStatuses 表

Azure Resource Graph 是 Azure 中的一项服务,旨在提供高效的资源浏览功能,它能够在一组给定的订阅中进行大规模查询,使你能够有效地管理环境。

对于 Azure 安全中心,你可以使用 ARG 和 Kusto 查询语言 (KQL) 来查询各种安全状态数据。 例如:

ARG 中提供了可以在查询中使用的数据表。

Azure Resource Graph 浏览器和可用的表。

提示

ARG 文档列出了 Azure Resource Graph 表和资源类型参考中所有可用的表。

在此次更新中,删除了 Microsoft.Security/securityStatuses。 securityStatuses API 仍可用。

Microsoft.Security/Assessments 表可以使用数据替换。

Microsoft.Security/securityStatuses 和 Microsoft.Security/Assessments 的主要区别在于,前者显示评估聚合,而后者会为每项评估保留一条记录。

例如,Microsoft.Security/securityStatuses 将返回包含两个 policyAssessments 数组的结果:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

而 Microsoft.Security/Assessments 会为此类策略评估各保留一条记录,如下所示:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

将使用 securityStatuses 的现有 ARG 查询转换为现在使用 Assessments 表的示例:

引用 SecurityStatuses 的查询:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Assessments 表的替换查询:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

若要了解详细信息,请参阅下列链接:

2020 年 9 月

9 月的更新包括:

安全中心获得新的外观

我们已发布安全中心门户页面的更新 UI。 新页面中有一个新的概述页面,还有安全功能分数、资产清单和 Azure Defender 的面板。

重新设计的概述页面现在包含一个磁贴,用于访问安全分数、资产清单和 Azure Defender 的面板。 它还包含一个可以链接到合规性面板的磁贴。

详细了解概述页面

Azure Defender 已发布

Azure Defender 是集成到安全中心内部的云工作负载保护平台 (CWPP),用于为 Azure 和混合工作负载提供高级智能的保护。 它取代了安全中心的标准定价层选项。

从 Azure 安全中心的“定价和设置”区域启用 Azure Defender 时,将同时启用以下 Defender 计划,并为环境的计算、数据和服务层提供全面防护:

安全中心的文档对其中每个计划单独进行了介绍。

借助其专用面板,Azure Defender 为虚拟机、SQL 数据库、容器、Web 应用程序、网络等提供安全警报和高级威胁防护。

详细了解 Azure Defender

适用于 Key Vault 的 Azure Defender 已正式发布

Azure 密钥保管库是一种云服务,用于保护加密密钥和机密(例如证书、连接字符串和密码)。

适用于 Key Vault 的 Azure Defender 提供针对 Azure Key Vault 的 Azure 原生高级威胁防护,从而提供额外的安全情报层。 因此,适用于 Key Vault 的 Azure Defender 可保护依赖于 Key Vault 帐户的多个资源。

可选计划现已正式发布。 此功能在预览版中为“Azure 密钥保管库的高级威胁防护”。

此外,Azure 门户中的 Key Vault 页面现在添加了一个专门的“安全性”页面,用于提供安全中心的建议和警报 。

有关详细信息,请参阅适用于 Key Vault 的 Azure Defender

适用于存储的 Azure Defender 针对文件存储和 ADLS Gen2 的保护已正式发布

适用于存储的 Azure Defender 会检测 Azure 存储帐户上可能存在的有害活动。 无论数据是存储为 blob 容器、文件共享还是数据湖,都可以为其提供保护。

Azure 文件存储Azure Data Lake Storage Gen2 的支持现已正式发布。

从 2020 年 10 月 1 日起,我们将开始有偿保护这些服务上的资源。

有关详细信息,请参阅适用于存储的 Azure Defender

资产清单工具现已正式发布

Azure 安全中心的资产清单页提供了一个页面,用于查看已连接到安全中心的资源的安全状况。

安全中心会定期分析 Azure 资源的安全状态,以识别潜在的安全漏洞。 然后会提供有关如何消除这些安全漏洞的建议。

当任何资源具有未完成的建议时,它们将显示在清单中。

有关详细信息,请参阅利用资产清单浏览和管理资源

对容器注册表和虚拟机的扫描禁用特定漏洞发现结果

Azure Defender 包含漏洞扫描程序,用于扫描 Azure 容器注册表和虚拟机中的映像。

如果组织需要忽略发现结果,而不是修正漏洞,则可以选择禁用发现结果。 禁用发现结果不会影响安全分数,也不会产生有害的噪音。

当发现结果与在禁用规则中定义的条件相匹配时,它不会显示在发现结果列表中。

此选项在建议详细信息页中提供,用于:

  • 应修正 Azure 容器注册表映像中的漏洞
  • 应修正虚拟机中的漏洞

有关详细信息,请参阅禁用容器映像的特定发现结果禁用虚拟机的特定发现结果

从建议中免除资源

有时,某个资源就某个特定建议而言会被列为不正常(因而会降低安全分数),尽管你认为不应是这样。 它可能已被安全中心未跟踪的进程修正。 或者,你的组织可能已决定接受该特定资源的风险。

在这种情况下,可以创建免除规则,确保将来不会将该资源列为不正常资源。 这些规则可以包括下文所述的书面理由。

有关详细信息,请参阅从建议和安全分数中免除资源

安全中心的 AWS 和 GCP 连接器引入了多云体验

由于云工作负载通常跨多个云平台分布,因此云安全服务也需要如此。

Azure 安全中心现在可保护 Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中的工作负载。

将 AWS 和 GCP 项目加入安全中心时,它会将 AWS 安全中心、GCP 安全命令和 Azure 安全中心相集成。

有关详细信息,请参阅将 AWS 帐户连接到 Azure 安全中心将 GCP 项目连接到 Azure 安全中心

Kubernetes 工作负载保护建议捆绑

为了确保 Kubernetes 工作负载在默认情况下是安全的,安全中心将添加 Kubernetes 级别强化建议,其中包括具有 Kubernetes 准入控制的执行选项。

在 AKS 群集上安装了适用于 Kubernetes 的 Azure Policy 后,将按照预先定义的一组最佳做法监视对 Kubernetes API 服务器的每个请求,然后再将其保存到群集。 然后,可以配置为强制实施最佳做法,并规定将其用于未来的工作负载。

例如,可以规定不应创建特权容器,并且阻止以后的任何请求。

有关详细信息,请参阅使用 Kubernetes 准入控制实现工作负载保护最佳做法

漏洞评估发现结果现已可以连续导出

使用连续导出将警报和建议流式传输到 Azure 事件中心、Log Analytics 工作区或 Azure Monitor。 在此处可以将此数据与 SIEM(如 Azure Sentinel、Power BI、Azure 数据资源管理器等)集成。

安全中心的集成漏洞评估工具在“父”建议中将有关资源的发现结果作为可操作性建议返回,例如“应修正虚拟机中的漏洞”。

现在选择建议并启用“包括安全性结果”选项时,可以通过连续导出来导出安全性结果。

在连续导出配置中包含安全检测结果切换开关。

相关页面:

在创建新资源时通过强制执行建议来防止安全性配置错误

安全性配置错误是造成安全事件的主要原因。 安全中心现在能够帮助阻止新资源在特定建议方面的错误配置。

此功能可帮助保护工作负载的安全和稳定安全分数。

可以在两种模式下根据特定建议强制实施安全配置:

  • 利用 Azure Policy 的“拒绝”效果,可以阻止创建不正常的资源

  • 通过“强制执行”选项,可以利用 Azure Policy 的“DeployIfNotExist”效果,在创建时自动修正不合规的资源

这适用于所选的安全建议,位于资源详细信息页的顶部。

有关详细信息,请参阅使用“强制执行/拒绝”建议防止错误配置

改进了网络安全组建议

以下与网络安全组相关的安全建议已得到优化,可减少误报。

  • 应在与 VM 关联的 NSG 上限制所有网络端口
  • 应关闭虚拟机上的管理端口
  • 面向 Internet 的虚拟机应使用网络安全组进行保护
  • 子网应与网络安全组关联

弃用了预览 AKS 建议“应在 Kubernetes 服务上定义 Pod 安全策略”

Azure Kubernetes 服务文档中所述,弃用了预览建议“应在 Kubernetes Services 上定义 Pod 安全策略”。

Pod 安全策略(预览版)功能已设置为弃用,并且在 2020 年 10 月 15 日之后将不再提供,以支持 AKS 的 Azure Policy。

弃用 Pod 安全策略(预览版)之后,必须在使用已弃用功能的任何现有群集上禁用该功能,以执行将来的群集升级并保留在 Azure 支持范围内。

优化了 Azure 安全中心内的电子邮件通知

电子邮件中与安全警报相关的以下部分已得到优化:

  • 添加了发送针对所有严重性级别的电子邮件警报通知的功能
  • 添加了在订阅上通知具有不同 Azure 角色的用户的功能
  • 默认情况下,我们会主动向订阅所有者通知高严重性警报(这些警报很可能表示真正的漏洞)
  • 我们已从电子邮件通知配置页面中删除了电话号码字段

有关详细信息,请参阅设置安全警报的电子邮件通知

安全功能分数不包括预览建议

安全中心会持续评估资源、订阅和组织的安全问题。 然后,它将所有调查结果汇总成一个分数,让你可以一目了然地了解当前的安全状况:分数越高,识别出的风险级别就越低。

发现新的威胁后,安全中心会通过提出新的建议来提供新的安全建议。 为避免安全功能分数出现意外变化,以及为了提供一个宽限期(可以在新建议影响分数之前在此宽限期内了解新建议),安全功能分数的计算中将不再包括标记为“预览”的建议。 但仍应尽可能按这些建议进行修正,这样在预览期结束时,它们会有助于提升分数。

此外,“预览”建议不会使资源“运行不正常”。

预览建议示例如下:

带有预览标志的建议。

详细了解安全功能分数

建议现包含严重性指示器和刷新时间间隔

现在,建议的详细信息页面包括一个刷新时间间隔指示器(如相关),并且清楚显示了建议的严重性。

显示新鲜度和严重性的建议页面。

2020 年 8 月

8 月的更新包括:

资产清单 - 功能强大的资产安全状况新视图

安全中心的资产清单页(当前为预览版)提供了一种方法,用于查看已连接到安全中心的资源的安全状况。

安全中心会定期分析 Azure 资源的安全状态,以识别潜在的安全漏洞。 然后会提供有关如何消除这些安全漏洞的建议。 当任何资源具有未完成的建议时,它们将显示在清单中。

你可以使用该视图及其筛选器来浏览安全状况数据,并根据发现结果采取更多操作。

详细了解资产清单

添加了对 Azure Active Directory 安全默认值的支持(用于多重身份验证)

安全中心已添加对安全默认值的完全支持,即 Microsoft 的免费标识安全保护。

安全默认值提供了预配置的标识安全设置,以保护组织免受与标识相关的常见攻击。 安全默认值总计已保护了逾 500 万名租户;50,000 名租户也受安全中心的保护。

现在,安全中心在识别出未启用安全默认值的 Azure 订阅时将提供安全建议。 到目前,安全中心仍建议使用 Azure Active Directory (AD) 高级许可证中的条件访问启用多重身份验证。 对于使用 Azure AD Free 的客户,我们现在建议启用安全默认值。

我们旨在鼓励更多客户使用 MFA 保护其云环境,并缓解对安全功能分数影响最大的最高风险。

详细了解安全默认值

添加了服务主体建议

添加了新的建议,建议使用管理证书管理订阅的安全中心客户切换到服务主体。

“应使用服务主体而不是管理证书来保护订阅”这一建议推荐使用服务主体或 Azure 资源管理器,以更安全地管理订阅。

详细了解 Azure Active Directory 中的应用程序对象和服务主体对象

VM 漏洞评估 - 合并了建议和策略

安全中心检查 VM,以检测其是否正在运行漏洞评估解决方案。 如果未找到漏洞评估解决方案,安全中心将建议简化部署。

如果发现漏洞,安全中心将建议总结结果,以便必要时进行调查和修正。

无论用户使用哪些类型的扫描仪,为确保所有用户享受一致的体验,我们已将四条建议统一为以下两条:

统一的建议 更改描述
应在虚拟机上启用漏洞评估解决方案 替换以下两条建议:
***** 在虚拟机上启用内置漏洞评估解决方案(由 Qualys 提供支持)(现已弃用)(仅标准层显示此建议)
***** 漏洞评估解决方案应安装在虚拟机上(现已弃用)(标准和免费层显示此建议)
应修正虚拟机中的漏洞 替换以下两条建议:
***** 修正虚拟机上发现的漏洞(由 Qualys 提供支持)(现已弃用)
***** 应通过漏洞评估解决方案修正漏洞(现已弃用)

现在,你将使用相同的建议部署安全中心的漏洞评估扩展或合作伙伴(例如 Qualys 或 Rapid7)的私下许可解决方案(“BYOL”)。

此外,发现漏洞并报告到安全中心时,无论哪个漏洞评估解决方案标识了结果,都会有一条建议提醒你注意这些结果。

更新依赖项

如果脚本、查询或自动化引用了先前的建议或策略密钥/名称,请使用下表更新引用:

2020 年 8 月之前
建议 范围
在虚拟机上启用内置漏洞评估解决方案(由 Qualys 提供支持)
注册表项:550e890b-e652-4d22-8274-60b3bdb24c63		 内置
修正虚拟机上发现的漏洞(由 Qualys 提供支持)
注册表项:1195afff-c881-495e-9bc5-1486211ae03f		 内置
应在虚拟机上安装漏洞评估解决方案
注册表项:01b1ed4c-b733-4fee-b145-f23236e70cf3		 BYOL
应通过漏洞评估解决方案修复漏洞
注册表项:71992a2a-d168-42e0-b10e-6b45fa2ecddb		 BYOL
策略 范围
应对虚拟机启用漏洞评估
策略 ID:501541f7-f7e7-4cd6-868c-4190fdad3ac9		 内置
应通过漏洞评估解决方案修正漏洞
策略 ID:760a85ff-6162-42b3-8d70-698e268f648c		 BYOL
2020 年 8 月之后
建议 范围
应在虚拟机上启用漏洞评估解决方案
密钥:ffff0522-1e88-47fc-8382-2a80ba848f5d		 内置 + BYOL
应修正虚拟机中的漏洞
注册表项:1195afff-c881-495e-9bc5-1486211ae03f		 内置 + BYOL
策略 范围
应对虚拟机启用漏洞评估
策略 ID:501541f7-f7e7-4cd6-868c-4190fdad3ac9		 内置 + BYOL

新的 AKS 安全策略已添加到 ASC_default 计划 - 仅供个人预览版客户使用

为了确保 Kubernetes 工作负载在默认情况下是安全的,安全中心将添加 Kubernetes 级别策略和强化建议,其中包括具有 Kubernetes 准入控制的执行选项。

早期阶段的此项目包括个人预览版,并增加了 ASC_default 计划的新策略(默认情况下禁用)。

可以放心地忽略这些策略,这些策略不会对环境造成影响。 如果想启用它们,请通过 Microsoft 云安全专用社区注册预览版并从以下选项中进行选择:

  1. 单个预览版 – 仅加入此个人预览版。 明确提及将“ASC 连续扫描”作为要加入的预览版。
  2. 正在进行的程序 – 将添加到当前个人预览版和将来的个人预览版。 你需要完成个人资料和隐私协议。

2020 年 7 月

7 月的更新包括:

虚拟机的漏洞评估现在适用于非市场映像

部署漏洞评估解决方案时,安全中心以前会在部署之前执行验证检查。 检查的目的是确认目标虚拟机的市场 SKU。

从本次更新起,该项检查已被删除,你现在可以将漏洞评估工具部署到“自定义”Windows 和 Linux 计算机。 自定义映像是你根据市场默认值修改的映像。

虽然现在可以在更多台计算机上部署集成的漏洞评估扩展(由 Qualys 提供支持),但只有在使用将集成漏洞扫描程序部署到标准层 VM列出的操作系统时,才可以使用支持

详细了解虚拟机的集成漏洞扫描程序(需要 Azure Defender)

要详细了解如何使用 Qualys 或 Rapid7 中自己私下许可的漏洞评估解决方案,请参阅部署合作伙伴漏洞扫描解决方案

Azure 存储的威胁防护已扩展为包括 Azure 文件存储和 Azure Data Lake Storage Gen2(预览版)

Azure 存储的威胁防护可检测 Azure 存储帐户上的潜在有害活动。 安全中心在检测到对存储帐户的访问或攻击尝试时会显示警报。

无论数据是存储为 blob 容器、文件共享还是数据湖,都可以为其提供保护。

启用威胁防护功能的八条新建议

添加了八条新建议,简化了为以下资源类型启用 Azure 安全中心的威胁防护功能的过程:虚拟机、应用服务计划、Azure SQL 数据库服务器、计算机上的 SQL 服务器、Azure 存储帐户、Azure Kubernetes 服务群集、Azure 容器注册表注册表和 Azure Key Vault 保管库。

新建议如下所示:

  • 应在 Azure SQL 数据库服务器上启用高级数据安全
  • 应在计算机的 SQL 服务器上启用高级数据安全
  • 应在 Azure 应用服务计划上启用高级威胁防护
  • 应对 Azure 容器注册表的注册表启用高级威胁防护
  • 应对 Azure Key Vault 的保管库启用高级威胁防护
  • 应对 Azure Kubernetes 服务的群集启用高级威胁防护
  • 应对 Azure 存储帐户启用高级威胁防护
  • 应对虚拟机启用高级威胁防护

这些新建议属于“启用 Azure Defender”安全控制。

建议还包括快速修复功能。

重要

修正任一建议都将产生相关资源的保护费用。 如果当前订阅中有相关资源,则立即开始计费。 或者以后在你添加资源时,开始计费。

例如,如果订阅中没有任何 Azure Kubernetes 服务群集,并且启用了威胁防护,则不会产生任何费用。 如果以后在同一订阅中添加了群集,它将自动受到保护,并从该时间点开始计费。

有关上述各项的详细信息,请参阅安全建议参考页面

详细了解 Azure 安全中心的威胁防护

容器安全性优化 - 注册表扫描和刷新文档速度更快

作为对容器安全领域的持续投资的一部分,我们很高兴分享安全中心对 Azure 容器注册表中存储的容器映像的动态扫描方面的显著性能优化。 目前,扫描通常会在大约两分钟内完成。 在某些情况下,可能最多需要 15 分钟。

为更好地说明和指导 Azure 安全中心的容器安全功能,我们还更新了容器安全文档页面。

若要详细了解安全中心的容器安全,请参阅以下文章:

更新了自适应应用程序控制,添加了新建议以及对路径规则中的通配符的支持

自适应应用程序控制功能已收到两个重要更新:

  • 一项新的建议指出以前不允许的可能合法的行为。 “应更新自适应应用程序控制策略中的允许列表规则”这一新建议提示向现有策略添加新规则,以减少自适应应用程序控制违规警报的误报数。

  • 路径规则现支持通配符。 在此更新中,可以使用通配符配置允许的路径规则。 支持以下两种方案:

    • 在路径末尾使用通配符可允许此文件夹和子文件夹中的所有可执行文件。

    • 如果在路径中间使用通配符,则可在变化的文件夹名称中具有已知的可执行文件名称(例如,使用已知可执行文件的个人用户文件夹、自动生成的文件夹名称等)。

详细了解自适应应用程序控制

已弃用六个 SQL 高级数据安全性策略

即将弃用与 SQL 计算机的高级数据安全性相关的六个策略:

  • 应在 SQL 托管实例的“高级数据安全”设置中将“高级威胁保护类型”设置为“全部”
  • 应在 SQL Server 的高级数据安全设置中将“高级威胁防护类型”设置为“全部”
  • SQL 托管实例的“高级数据安全性”设置应包含用于接收安全警报的电子邮件地址
  • SQL 服务器的“高级数据安全性”设置应包含用于接收安全警报的电子邮件地址
  • 应在 SQL 托管实例高级数据安全设置中启用“向管理员和订阅所有者发送电子邮件通知”
  • 应在 SQL 服务器高级数据安全设置中为管理员和订阅所有者启用电子邮件通知

了解有关内置策略的详细信息。

2020 年 6 月

6 月的更新包括以下内容:

安全功能分数 API(预览)

可以通过安全功能分数 API(当前处于预览阶段)立即访问分数。 通过 API 方法,可灵活地查询数据,久而久之构建自己的安全功能分数报告机制。 例如,你可以使用安全功能分数 API 来获取特定订阅的分数。 此外,还可以使用安全功能分数控件 API 列出安全控件和订阅的当前分数。

有关使用安全功能分数 API 实现的外部工具的示例,请参阅 GitHub 社区的安全功能分数区域

详细了解 Azure 安全中心的安全分数和安全控件

SQL 计算机(Azure、其他云和本地)的高级数据安全(预览)

Azure 安全中心的 SQL 计算机高级数据安全现在保护托管在 Azure 中、其他云环境,甚至本地计算机上的 SQL Server。 这会扩展 Azure 原生 SQL Server 的保护,以完全支持混合环境。

高级数据安全可为任何位置的 SQL 计算机提供漏洞评估和高级威胁防护。

设置包含两个步骤:

  1. 将 Log Analytics 代理部署到 SQL Server 的主机计算机,以提供与 Azure 帐户的连接。

  2. 在安全中心的“定价和设置”页中启用可选捆绑。

详细了解 SQL 计算机的高级数据安全

将 Log Analytics 代理部署到 Azure Arc 计算机的两条新建议(预览)

添加了两条新建议,以帮助将 Log Analytics 代理部署到 Azure Arc 计算机,并确保其受 Azure 安全中心的保护:

  • Log Analytics 代理应安装在基于 Windows 的 Azure Arc 计算机上(预览)
  • Log Analytics 代理应安装在基于 Linux 的 Azure Arc 计算机上(预览)

这些新建议将出现在“应在计算机上安装监视代理”这一现有(相关)建议所在的四个安全控制中:修正安全配置、应用自适应应用程序控制、应用系统更新,以及启用 Endpoint Protection。

建议还包括快速修复功能,可加速部署进程。

有关这两项新建议的详细信息,请参阅计算和应用建议

若要详细了解 Azure 安全中心如何使用代理,请参阅什么是 Log Analytics 代理?

详细了解 Azure Arc 计算机的扩展

大规模创建连续导出和工作流自动化配置的新策略

自动执行组织的监视和事件响应流程可以显著缩短调查和缓解安全事件所需的时间。

若要在整个组织中部署自动化配置,请使用以下内置的“DeployIfdNotExist”Azure 策略来创建和配置连续导出工作流自动化过程:

可以在 Azure Policy 中找到策略定义:

目标 策略 策略 ID
连续导出到事件中心 为 Azure 安全中心警报和建议部署“导出到事件中心”配置 cdfcce10-4578-4ecd-9703-530938e4abcb
将内容连续导出到 Log Analytics 工作区 为 Azure 安全中心警报和建议配置“导出到 Log Analytics 工作区”配置 ffb6f416-7bd2-4488-8828-56585fef2be9
安全警报的工作流自动化 为 Azure 安全中心警报部署工作流自动化 f1525828-9a90-4fcf-be48-268cdd02361e
安全建议的工作流自动化 为 Azure 安全中心建议部署工作流自动化 73d6ab6c-2475-4850-afd6-43795f3492ef

开始使用工作流自动化模板

请参阅使用提供的策略大规模地配置工作流自动化以及设置连续导出,了解关于如何使用两种导出策略的详细信息。

使用 NSG 保护非面向 Internet 的虚拟机的新建议

“实现安全最佳做法”安全控制现包括以下新建议:

  • 应使用网络安全组来保护非面向 Internet 的虚拟机

“应使用网络安全组保护面向 Internet 的虚拟机”这一现有建议不区分面向 Internet 的虚拟机和面向非 Internet 的虚拟机。 对于这两种情况,如果未将 VM 分配给网络安全组,则会生成高严重性建议。 这一新建议将区分面向非 Internet 的计算机,以减少误报并避免出现不必要的高严重性警报。

有关详细详细,请参阅网络建议表。

启用威胁防护和高级数据安全性的新策略

下面的新策略定义已添加到 ASC 默认计划中,旨在协助为相关资源类型启用威胁防护或高级数据安全。

可以在 Azure Policy 中找到策略定义:

策略 策略 ID
应在 Azure SQL 数据库服务器上启用高级数据安全 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
应在计算机的 SQL 服务器上启用高级数据安全 6581d072-105e-4418-827f-bd446d56421b
应对 Azure 存储帐户启用高级威胁防护 308fbb08-4ab8-4e67-9b29-592e93fb94fa
应对 Azure Key Vault 的保管库启用高级威胁防护 0e6763cc-5078-4e64-889d-ff4d9a839047
应在 Azure 应用服务计划上启用高级威胁防护 2913021d-f2fd-4f3d-b958-22354e2bdbcb
应对 Azure 容器注册表的注册表启用高级威胁防护 c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
应对 Azure Kubernetes 服务的群集启用高级威胁防护 523b5cd1-3e23-492f-a539-13118b6d1e3a
应在虚拟机上启用高级威胁防护 4da35fc9-c9e7-4960-aec9-797fe7d9051d

详细了解 Azure 安全中心的威胁防护

2020 年 5 月

5 月的更新包括以下内容:

警报抑制规则(预览版)

这项新功能目前为预览版,它可帮助缓解警报疲劳。 可使用规则来自动隐藏已知无害或已知与你组织中的正常活动相关的警报。 这可让你专注于最相关的威胁。

仍将生成与你启用的抑制规则相匹配的警报,但它们的状态将设置为“已取消”。 你可在 Azure 门户中查看状态,也可在安全中心查看安全警报。

抑制规则定义了自动取消警报所应遵循的条件。 通常,使用抑制规则来:

  • 取消已标识为“误报”的警报

  • 取消限制过于频繁地触发而失去作用的警报

详细了解如何取消来自 Azure 安全中心威胁防护服务的警报

虚拟机漏洞评估现已正式发布

安全中心的标准层现包含集成的虚拟机漏洞评估,该扩展免费提供。 该扩展由 Qualys 提供支持,但将检测结果直接报告回安全中心。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。

这一新的解决方案可持续扫描你的虚拟机来找出漏洞,并在安全中心显示检测结果。

若要部署该解决方案,请使用新的安全建议:

“在虚拟机上启用内置漏洞评估解决方案(由 Qualys 提供支持)”

详细了解安全中心集成的虚拟机漏洞评估

对实时 (JIT) 虚拟机 (VM) 访问权限的更改

安全中心包含一项可选功能,可保护 VM 的管理端口。 这可抵御最常见形式的暴力攻击。

本次更新就此功能进行了以下更改:

  • 重命名了推荐你在 VM 上启用 JIT 的建议。 以前的名称为“应对虚拟机应用实时网络访问控制”,现在改为“应通过即时网络访问控制来保护虚拟机的管理端口”。

  • 建议仅在有管理端口打开时才触发。

详细了解 JIT 访问功能

自定义建议已移至单独的安全控件

安全分数增强版引入的一个安全控件是“实施安全最佳做法”。为订阅创建的所有自定义建议已自动放入该控件中。

为便于查找自定义建议,我们已将这些建议移到一个名为“自定义建议”的专用安全控件中。此控件不会影响你的安全功能分数。

要详细了解安全控件,请参阅 Azure 安全中心的安全功能分数增强版(预览版)

已添加开关,可在控件中显示建议或以简单列表的形式显示

安全控件是相关安全建议的逻辑组。 它们反映了易受攻击的攻击面。 控件是一组安全建议,附有帮助你实施这些建议的说明。

若要立即查看组织对每个攻击面的保护情况,请查看每个安全控件的分数。

默认情况下,你的建议显示在安全控件中。 通过本次更新,你还可以采用列表形式显示它们。 若要以简单列表的形式查看它们,且列表按受影响的资源的运行状况排序,请使用新的“按控件分组”开关。 开关位于门户中列表的上面。

安全控件及其开关是新的安全功能分数体验的一部分。 请记得在门户中提供反馈。

要详细了解安全控件,请参阅 Azure 安全中心的安全功能分数增强版(预览版)

建议的“按控件分组”开关。

扩展了“实现安全最佳做法”这一安全控件

安全分数增强版引入的一个安全控件是“实施安全最佳做法”。如果建议在此控件中显示,则不影响安全功能分数。

通过本次更新,已将三项建议从它们原先所在的控件移动到这个最佳做法控件中。 我们采取此步骤的原因是我们判定这三项建议的风险比最初设想的要低。

此外,还引入了两项新建议,它们也添加到了此控件中。

移动的三项建议如下:

  • 应在对订阅拥有读取权限的帐户上启用 MFA(原先位于“启用 MFA”控件中)
  • 应从订阅中删除具有读取权限的外部帐户(原先位于“管理访问和权限”控件中)
  • 只多只为订阅指定 3 个所有者(原先位于“管理访问和权限”控件中)

添加到控件中的两项新建议如下:

  • 应在 Windows 虚拟机上安装来宾配置扩展(预览版) - 如果使用 Azure Policy 来宾配置,则可在虚拟机中查看服务器和应用程序设置(仅限 Windows)。

  • 应在计算机上启用 Windows Defender 攻击防护(预览版) - Windows Defender 攻击防护采用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。

要详细了解 Windows Defender 攻击防护,可参阅创建和部署攻击防护策略

要详细了解安全控件,请参阅安全功能分数增强版(预览版)

具有自定义元数据的自定义策略现已正式发布

自定义策略现显示在安全中心的建议体验、安全功能分数和法规符合性标准仪表板中。 此功能现已正式发布,可用于在安全中心扩大你组织的安全评估范围。

在 Azure Policy 中创建自定义计划,向该计划添加策略并将它加入 Azure 安全中心,然后将它作为建议直观呈现。

现在,我们还添加了可编辑自定义建议元数据的选项。 元数据选项中有严重级别、修正步骤和威胁信息等。

详细了解利用详细信息增强自定义建议

故障转储分析功能正在迁至无文件攻击检测中

我们正在将 Windows 故障转储分析 (CDA) 检测功能集成到无文件攻击检测中。 无文件攻击检测分析改进了 Windows 计算机的以下安全警报:“发现代码注入”、“检测到伪装 Windows 模块”、“发现 Shell 代码”和“检测到可疑代码段”。

该转换的一些优势如下:

  • 主动及时检测恶意软件 - 使用 CDA 方法时,会等到故障发生后再运行分析来查找恶意项目。 使用无文件攻击检测后,可在内存中威胁正在运行时主动识别它们。

  • 警报信息更丰富 - 来自无文件攻击检测的安全警报包含 CDA 中不提供的丰富信息,例如有效网络连接信息。

  • 警报聚合 - CDA 在一个故障转储中检测到多个攻击模式时,会触发多个安全警报。 而无文件攻击检测将从同一进程中确定的所有攻击模式组合到一个警报中,免去了关联多个警报的必要性。

  • 降低了对 Log Analytics 工作区的要求 - 包含潜在敏感数据的故障转储将无法上传到 Log Analytics 工作区。

2020 年 4 月

4 月的更新包括:

动态符合性包现已正式发布

Azure 安全中心的法规符合性仪表板现包含动态符合性包(现已正式发布),可跟踪更多行业和法规标准。

可通过安全中心的安全策略页面将动态符合性包添加到订阅或管理组中。 加入标准或基准后,该标准会出现在法规符合性仪表板中,所有关联的符合性数据都映射为评估。 还将提供已加入的所有标准的摘要报表供下载。

现在,你可添加如下标准:

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • UK Official 和 UK NHS
  • 加拿大联邦 PBMM
  • Azure CIS 1.1.0(新版) ,它是 Azure CIS 1.1.0 的完整表示形式

此外,我们还添加了 Azure 安全基准,它是 Microsoft 创作的特定于 Azure 的准则,适合基于常见符合性框架的安全与合规最佳做法。 其他标准一经提供就将在仪表板中受到支持。

详细了解如何在法规符合性仪表板中自定义一组标准

标识建议现包含在 Azure 安全中心的免费层中

Azure 安全中心免费层中针对标识和访问的安全建议现已正式发布。 这是我们努力使云安全状态管理 (CSPM) 功能免费而取得的成果之一。 截至目前,这些建议仅在标准定价层中提供。

标识和访问建议的示例包括:

  • “应在对订阅拥有所有者权限的帐户上启用多重身份验证。”
  • “最多只能为订阅指定 3 个所有者。”
  • “应从订阅中删除弃用的帐户。”

如果你有订阅在免费定价层,则此更改将影响它们的安全功能分数,因为它们之前从未接受过标识和访问安全性评估。

详细了解标识和访问建议

详细了解管理订阅上的多重身份验证 (MFA) 实施

2020 年 3 月

3 月的更新包括:

工作流自动化现已正式发布

Azure 安全中心现已正式发布工作流自动化功能。 它可用于在安全警报和建议上自动触发逻辑应用。 此外,也可对提供了快速修复选项的警报和所有建议执行手动触发。

每个安全计划都包含事件响应的多个工作流。 这些流程可能包含通知相关利益干系人、启动更改管理进程,以及应用特定的修正步骤。 安全专家建议你尽可能多地将这些流程自动化。 自动化可减少开销,还可确保根据你预定义的要求快速、一致地执行处理步骤,从而增强安全性。

若要详细了解用于运行工作流的自动和手动安全中心功能,请参阅工作流自动化

详细了解如何创建逻辑应用

Azure 安全中心与 Windows Admin Center 的集成

现可将本地 Windows 服务器从 Windows Admin Center 直接移动到 Azure 安全中心。 安全中心然后变成你的单一管理界面,可在这里查看 Windows Admin Center 各项资源(包括本地服务器、虚拟机和其他 PaaS 工作负载)的安全信息。

在将服务器从 Windows Admin Center 直接移动到 Azure 安全中心后,你将能够:

  • 在 Windows Admin Center 的安全中心扩展中查看安全警报和建议。
  • 在 Azure 门户的安全中心内(或通过 API)查看安全状态和检索 Windows Admin Center 托管服务器的其他详细信息。

详细了解如何将 Azure 安全中心与 Windows Admin Center 集成

Azure Kubernetes 服务保护

Azure 安全中心正在扩展其容器安全功能,现可保护 Azure Kubernetes 服务 (AKS)。

常见的开源平台 Kubernetes 被广泛采用,现在已成为容器业务流程方面的行业标准。 尽管得到了广泛实施,但在如何保护 Kubernetes 环境方面,人们仍然缺少了解。 要抵御容器化应用程序的攻击面,需要具备专业知识来确保基础结构已安全配置且受到持续监视,防范潜在威胁。

安全中心的防范包括:

  • 发现和可见性 - 在安全中心内注册的订阅中持续发现托管的 AKS 实例。
  • 安全建议 - 帮助你遵守 AKS 安全最佳做法的可操作建议。 这些建议包含在安全功能分数中,确保被视为组织的安全状态的一部分。 你可能会看到的一个与 AKS 相关的建议示例是,“应使用基于角色的访问控制来限制对 Kubernetes 服务群集的访问”。
  • 威胁防护 - 通过对 AKS 部署的持续分析,Azure 安全中心会提醒你注意在主机和 AKS 群集级别检测到的威胁和恶意活动。

详细了解 Azure Kubernetes 服务与安全中心的集成

详细了解安全中心内的容器安全功能

改进了实时体验

增强了 Azure 安全中心内保护管理端口的实时工具的功能、操作和 UI,如下所示:

  • “理由”字段 - 通过 Azure 门户的实时页面请求对虚拟机 (VM) 的访问时,现有一个新的可选字段可用来输入请求原因。 可在活动日志中跟踪在此字段中输入的信息。
  • 自动清除冗余实时 (JIT) 规则 - 无论何时更新 JIT 策略,都会自动运行清理工具来检查整个规则集的有效性。 该工具还将查看你策略中的规则与 NSG 中的规则之间是否存在不匹配的情况。 如果清理工具发现不匹配的情况,它将确定原因,并在确定可安全操作的情况下,删除不再需要的内置规则。 清理工具绝不会删除你创建的规则。

详细了解 JIT 访问功能

弃用了两项针对 Web 应用的安全建议

即将弃用下面两项与 Web 应用相关的安全建议:

  • 应加强 IaaS NSG 上 Web 应用的规则。 (相关策略:应该强化 IaaS 上 Web 应用程序的 NSG 规则)

  • 应限制对应用服务的访问。 (相关策略:应限制对应用服务的访问 [预览版])

这些建议将不再在安全中心的建议列表中显示。 相关策略将不再包含在名为“安全中心默认设置”的计划中。

详细了解安全建议

2020 年 2 月

面向 Linux 的无文件攻击检测(预览版)

随着攻击者越来越多地采用更隐蔽的方法来避免被发现,除了 Windows 之外,Azure 安全中心还扩大了无文件攻击检测范围,现涵盖 Linux。 无文件攻击利用软件漏洞、将恶意有效负载注入良性系统进程,并隐藏在内存中。 这些技术:

  • 最大程度地减少或消除了磁盘上恶意软件的痕迹
  • 大大降低了基于磁盘的恶意软件扫描解决方案的检测机会

为了应对这种威胁,Azure 安全中心于 2018 年 10 月发布了面向 Windows 的无文件攻击检测,现在还将该检测扩展到了 Linux 上。

2020 年 1 月

安全功能分数增强版(预览版)

Azure 安全中心的安全功能分数增强版现提供预览版。 在此版本中,多个建议被组合到安全控件中,可更好地反映出你易受攻击的攻击面(例如限制对管理端口的访问)。

请在预览阶段熟悉安全功能分数的更改之处,确定可帮助你进一步保护环境的其他修正措施。

详细了解安全功能分数增强版(预览版)

2019 年 11 月

11 月的更新包括:

针对北美区域 Azure Key Vault 的威胁防护(预览版)

Azure Key Vault 是一个基本服务,它通过提供集中管理云中密钥、机密、加密密钥和策略的功能,来保护数据和提高云应用程序的性能。 由于 Azure Key Vault 存储敏感数据和业务关键数据,因此必须保证密钥保管库及其存储的数据的最高安全性。

Azure 安全中心对 Azure Key Vault 的威胁防护的支持提供额外的安全情报层,用于检测以非寻常和可能有害的方式访问或恶意利用密钥保管库的企图。 此新保护层使得客户无需成为安全专家或管理安全监视系统,就能应对其密钥保管库受到的威胁。 此功能在北美区域推出了公共预览版。

针对 Azure 存储的威胁防护包括恶意软件信誉屏蔽

针对 Azure 存储的威胁防护提供由 Microsoft 威胁情报支持的新检测,可以使用哈希信誉分析来检测将恶意软件上传到 Azure 存储的行为,并可以检测从活动的 Tor 出口节点(一个匿名代理)进行的可疑访问。 现在,你可以使用 Azure 安全中心查看在各个存储帐户中检测到的恶意软件。

使用逻辑应用实现工作流自动化(预览版)

在集中管理安全性和 IT/运营的组织的环境中发现差异时,这些组织可以实施内部工作流程来驱动所需的操作。 在许多情况下,这些工作流是可重复的流程,而自动化可以在组织内部大幅简化流程。

目前我们正在安全中心内引入一项新功能,它可以让客户创建利用 Azure 逻辑应用的自动化配置,并创建可根据具体 ASC 发现结果自动触发这些配置的策略(例如“建议”或“警报”)。 可将 Azure 逻辑应用配置为执行逻辑应用连接器大型社区所支持的任何自定义操作,或使用安全中心提供的某个模板,例如,发送电子邮件或开具 ServiceNow™ 票证。

若要详细了解用于运行工作流的自动和手动安全中心功能,请参阅工作流自动化

若要了解如何创建逻辑应用,请参阅 Azure 逻辑应用

批量资源快速修复功能已推出正式版

由于用户在安全评分中要执行许多任务,有效修正大型机群中的问题可能会变得困难。

使用“快速修复”修正功能来修复安全配置错误、修正对多个资源的建议并提高安全分数。

此操作允许你选择要对其应用修正的资源,并启动一个将代表你对设置进行配置的修正操作。

现在,安全中心建议页上已向客户推出了快速修复正式版。

安全建议参考指南中了解哪些建议启用了快速修复。

扫描容器映像的漏洞(预览版)

Azure 安全中心现在可以扫描 Azure 容器注册表中容器映像的漏洞。

映像扫描的工作原理是分析容器映像文件,然后查看是否存在任何已知漏洞(由 Qualys 提供支持)。

将新容器映像推送到 Azure 容器注册表时,会自动触发扫描本身。 发现的漏洞将以安全中心建议的形式显示,其中包括安全评分,以及有关如何修补这些漏洞以减小允许的受攻击面的信息。

其他监管合规标准(预览版)

“监管合规”仪表板基于安全中心评估结果提供合规态势的见解。 该仪表板会显示你的环境是否符合特定法规标准和行业基准指定的控制措施与要求,并提供有关如何符合这些要求的规范性建议。

目前,监管合规仪表板支持四项内置标准:Azure CIS 1.1.0、PCI-DSS、ISO 27001 和 SOC-TSP。 我们现在宣布推出其他受支持标准的公共预览版:NIST SP 800-53 R4、SWIFT CSP CSCF v2020、加拿大联邦 PBMM、UK Official 和 UK NHS。 此外,我们正在发布 Azure CIS 1.1.0 的更新版本,其中涵盖了标准中的更多控制措施,并增强了扩展性。

详细了解如何在监管合规仪表板中自定义标准集

针对 Azure Kubernetes 服务的威胁防护(预览版)

Kubernetes 很快就成了在云中部署和管理软件的新标准。 只有少量的用户对 Kubernetes 拥有丰富的经验;很多用户只是注重一般的工程和管理,而忽略了安全方面。 需要精心配置 Kubernetes 环境以使其保持安全,确保不会公开任何以容器为中心的受攻击面,避免为攻击者打开后门。 安全中心正在将其在容器领域的支持扩展到 Azure 中发展速度最快的服务之一 - Azure Kubernetes 服务 (AKS)。

此公共预览版中的新功能包括:

  • 发现和可见性 - 在安全中心的已注册订阅中持续发现 AKS 托管实例。
  • 安全功能分数建议 - 可操作的项目,用于帮助客户遵守 AKS 的安全最佳做法,并提高其安全功能分数。 建议包括诸如“应使用基于角色的访问控制来限制对 Kubernetes 服务群集的访问”之类的项目。
  • 威胁检测 - 基于主机和群集的分析,例如“检测到特权容器”。

虚拟机漏洞评估(预览版)

安装在虚拟机中的应用程序可能经常出现漏洞,导致虚拟机遭到入侵。 我们宣布,安全中心标准层包含针对虚拟机的内置漏洞评估,且不收取额外的费用。 由 Qualys 提供支持的漏洞评估公共预览版可让你持续扫描虚拟机上安装的所有应用程序以找出有漏洞的应用程序,并在安全中心门户体验中显示扫描结果。 安全中心负责处理所有部署操作,不需要用户额外付出精力。 接下来,我们计划提供漏洞评估选项来支持客户实现其独特的业务需求。

详细了解针对 Azure 虚拟机的漏洞评估

Azure 虚拟机上的 SQL 服务器的高级数据安全性(预览版)

Azure 安全中心对 IaaS VM 上运行的 SQL 数据库的威胁防护和漏洞评估支持现已推出预览版。

漏洞评估是一项易于配置的服务,可以发现、跟踪并帮助修正潜在的数据库漏洞。 此服务可让你查看以安全评分提供的安全态势,并包含用于解决安全问题和增强数据库防御能力的步骤。

高级威胁防护检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用你的 SQL 服务器。 它会持续监视数据库中的可疑活动,并针对异常的数据库访问模式提供操作导向的安全警报。 这些警报提供可疑活动的详细信息,以及有助于调查和缓解威胁的建议操作。

支持自定义策略(预览版)

Azure 安全中心现在支持自定义策略(预览版)。

我们的客户一直希望在安全中心内扩大其当前安全评估的涵盖范围,以便能够基于他们在 Azure Policy 中创建的策略执行自己的安全评估。 由于支持自定义策略,这种愿望已得到实现。

安全中心建议体验、安全评分和监管合规标准仪表板中将会包含这些新策略。 由于支持自定义策略,现在可以在 Azure Policy 中创建一个自定义计划,然后将其作为策略添加到安全中心,并将其作为建议可视化。

在面向社区和合作伙伴的平台中扩大 Azure 安全中心的涵盖范围

使用安全中心不仅可以接收来自 Microsoft 的建议,还可以接收来自合作伙伴(例如 Check Point、Tenable 和 CyberArk)的现有解决方案中的建议,它们以后会提供更多的集成。 安全中心的简单加入流可以将你现有的解决方案连接到安全中心,使你能够在一个地方查看安全状况建议、运行统一的报告,以及根据内置的建议和合作伙伴的建议利用安全中心的所有功能。 你还可以将安全中心建议导出到合作伙伴产品。

详细了解 Microsoft 智能安全关联

支持导出建议和警报的高级集成(预览版)

若要在安全中心的顶层实现企业级方案,现在可以在除 Azure 门户或 API 以外的其他位置使用安全中心警报和建议。 可直接将这些警报和建议导出到事件中心与 Log Analytics 工作区。 下面是可以围绕这些新功能创建的一些工作流:

  • 由于可以导出到 Log Analytics 工作区,因此你可以使用 Power BI 创建自定义仪表板。
  • 借助导出到事件中心的功能,可将安全中心警报和建议导出到第三方 SIEM、导出到第三方解决方案,或导出到 Azure 数据资源管理器。

从 Windows 管理中心将本地服务器加入安全中心(预览版)

Windows 管理中心是一个管理门户,适用于未在 Azure 中部署的 Windows Server,为它们提供多项 Azure 管理功能(例如备份和系统更新)。 我们最近添加了一项功能,允许直接从 Windows 管理中心体验加入这些非 Azure 服务器,使其受 ASC 保护。

使用此新体验,用户可以直接在 Windows 管理中心体验中将 WAC 服务器加入 Azure 安全中心,并查看其安全警报和建议。

2019 年 9 月

9 月的更新包括:

使用自适应应用程序控制管理规则的功能已改进

使用自适应应用程序控制管理虚拟机规则的体验已得到改进。 Azure 安全中心的自适应应用程序控制可帮助你控制哪些应用程序能够在你的虚拟机上运行。 除了对规则管理做出了一般性的改进外,在添加新规则时,你还可以通过一个新功能来控制要保护哪些文件类型。

详细了解自适应应用程序控制

使用 Azure Policy 控制容器安全建议

现在可以通过 Azure Policy 启用或禁用 Azure 安全中心提供的用于修复容器安全相关漏洞的建议。

若要查看已启用的安全策略,请在安全中心内打开“安全策略”页。

2019 年 8 月

8 月的更新包括:

Azure 防火墙的实时 (JIT) VM 访问

Azure 防火墙的实时 (JIT) VM 访问现已推出正式版。 使用此功能可以确保 Azure 防火墙保护的环境以及 NSG 保护的环境的安全。

JIT VM 访问使用 NSG 和 Azure 防火墙规则,仅在需要时才提供对 VM 的受控访问,以此减少受到网络容量耗尽攻击的风险。

为 VM 启用 JIT 时,可创建一个策略来确定要保护的端口、端口保持打开状态的时间,以及可从哪些已批准的 IP 地址访问这些端口。 此策略可帮助你控制用户在请求访问权限时可执行哪些操作。

请求将记录在 Azure 活动日志中,因此你可以轻松监视和审核访问。 此实时页面还可帮助你快速识别已启用 JIT 的现有 VM,以及建议启用 JIT 的 VM。

详细了解 Azure 防火墙

提升安全态势的一键式修正(预览版)

安全评分是一个可帮助你评估工作负荷安全状况的工具。 它会评审你的安全建议并确定其优先级,以便你知道要首先执行哪些建议。 这可帮助你找到最严重的安全漏洞,以确定调查优先级。

为了简化对安全错误配置的修正并帮助你快速提高安全评分,我们添加了一项新功能,允许你通过一次单击执行对大量资源的修正建议。

此操作允许你选择要对其应用修正的资源,并启动一个将代表你对设置进行配置的修正操作。

安全建议参考指南中了解哪些建议启用了快速修复。

跨租户管理

安全中心现在可通过 Azure Lighthouse 支持跨租户管理方案。 此功能使你能够在安全中心查看和管理多个租户的安全态势。

详细了解跨租户管理体验

2019 年 7 月

网络建议的更新

Azure 安全中心 (ASC) 已推出新的网络建议,并改进了一些现有的建议。 现在,使用安全中心可以确保进一步为资源提供更好的网络保护。

详细了解网络建议

2019 年 6 月

自适应网络强化 - 正式发布

公有云中运行的工作负荷面对的最大受攻击面之一是与公共 Internet 之间的连接。 我们的客户发现,他们很难知道要部署哪些网络安全组 (NSG) 规则来确保仅在所需的源范围内提供 Azure 工作负荷。 使用此功能,安全中心可以了解 Azure 工作负荷的网络流量和连接模式,并为面向 Internet 的虚拟机提供 NSG 规则建议。 这有助于我们的客户更好地配置其网络访问策略,并限制受到攻击的风险。

详细了解自适应网络强化