你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
即将推出的对 Microsoft Defender for Cloud 的重要更改
重要
此页上的信息与预发行的产品或功能相关,这些产品或功能在正式发布之前可能会进行重大修改(如果有的话)。 对于此处提供的信息,Microsoft 不做任何承诺或者明示或暗示的保证。
在此页上,你可了解针对 Defender for Cloud 计划的更改。 此页介绍对产品所做的计划性修改,这些修改可能会影响安全分数或工作流之类的内容。
提示
通过将以下 URL 复制并粘贴到源阅读器中,可以在页面更新时收到通知:
https://aka.ms/mdc/upcoming-rss
如果要查找最新的发行说明,可查看 Microsoft Defender for Cloud 的新增功能。
计划的更改
弃用无文件攻击警报
公告日期:2024 年 4 月 18 日
预计更改日期:2024 年 5 月
2024 年 5 月,为了提高 Defender for Servers 的安全警报质量,特定于 Windows 和 Linux 虚拟机的无文件攻击警报将停止。 这些警报将由 Defender for Endpoint 生成:
- 检测到无文件攻击工具包 (VM_FilelessAttackToolkit.Windows)
- 检测到无文件攻击技术 (VM_FilelessAttackTechnique.Windows)
- 检测到无文件攻击行为 (VM_FilelessAttackBehavior.Windows)
- 检测到无文件攻击工具包 (VM_FilelessAttackToolkit.Linux)
- 检测到无文件攻击技术 (VM_FilelessAttackTechnique.Linux)
- 检测到无文件攻击行为 (VM_FilelessAttackBehavior.Linux)
已弃用警报涵盖的所有安全方案都完全涵盖 Defender for Endpoint 威胁警报。
如果已启用 Defender for Endpoint 集成,则无需执行任何操作。 2024 年 5 月,警报量可能会减少,但仍会受到保护。 如果当前在 Defender for Servers 中未启用 Defender for Endpoint 集成,则需要启用集成来维护和改进警报覆盖范围。 所有 Defender for Server 客户都可以访问 Defender for Endpoint 集成的完整价值,无需额外付费。 有关详细信息,请参阅启用 Defender for Endpoint 集成。
CIEM 评估 ID 的更改
公告日期:2024 年 4 月 16 日
预计更改日期:2024 年 5 月
以下建议计划进行重新建模,这将导致其评估 ID 发生更改:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
弃用加密建议
公告日期:2024 年 4 月 3 日
预计更改日期:2024 年 5 月
建议虚拟机应加密计算和存储资源之间的临时磁盘、缓存和数据流设置为已弃用。
弃用虚拟机建议
公告日期:2024 年 4 月 2 日
预计更改日期:2024 年 4 月 30 日
建议应将虚拟机迁移到新的 Azure 资源管理器资源设置为已弃用。 应不会对客户产生影响,因为这些资源不再存在。
正式发布统一磁盘加密建议
公告日期:2024 年 3 月 28 日
预计更改日期:2024 年 4 月 30 日
统一磁盘加密建议将于 2024 年 4 月在 Azure 公有云中正式发布 (GA)。 这些建议使客户能够使用 Azure 磁盘加密或 EncryptionAtHost 审核虚拟机的加密合规性。
将正式发布的建议:
| 建议名称 | 评估密钥 |
|---|---|
| Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost | a40cc620-e72c-fdf4-c554-c6ca2cd705c0 |
| Windows 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost | 0cb5f317-a94b-6b80-7212-13a9cc8826af |
Azure 磁盘加密 (ADE) 和 EncryptionAtHost 提供静态加密,如托管磁盘加密选项概述 - Azure 虚拟机中所述,建议在虚拟机上启用二者中任一项。
相关建议取决于来宾配置。 应在虚拟机上实现加入来宾配置的先决条件,以便相关建议按预期完成合规性扫描。
这些建议将取代建议“虚拟机应加密计算和存储资源之间的临时磁盘、缓存和数据流”。
用于访问合规性产品/服务和 Microsoft Actions 的位置的变更
公告日期:2024 年 3 月 3 日
预计更改日期:2025 年 9 月 30 日
在 2025 年 9 月 30 日,用于访问两个预览版功能(合规性产品和 Microsoft Actions)的位置将发生变更。
列出了 Microsoft 产品的合规性状态的表(从 Defender 的法规合规性仪表板工具栏中的“合规性产品/服务”按钮访问)。 从 Defender for Cloud 中移除此按钮后,仍可使用服务信任门户访问此信息。
对于控件的子集,可从控件详细信息窗格中的“Microsoft Actions(预览版)”按钮访问 Microsoft Actions。 移除此按钮后,可以通过访问 Microsoft 的 FedRAMP 服务信任门户并访问 Azure 系统安全计划文档来查看 Microsoft Actions。
Microsoft Security Code Analysis (MSCA) 不再运行
公告日期:2024 年 2 月 26 日
预计更改日期:2024 年 2 月 26 日
2021 年 2 月,我们已向所有客户传达 MSCA 任务的弃用,从2022 年 3 月起已结束生命周期支持。 自 2024 年 2 月 26 日起,MSCA 正式不再运营。
客户可以通过 Microsoft Security DevOps 从 Defender for Cloud 获得最新 DevOps 安全工具,并通过 GitHub Advanced Security for Azure DevOps 获得更多安全工具。
停用 Microsoft.SecurityDevOps 资源提供程序
公告日期:2024 年 2 月 5 日
预计更改日期:2024 年 3 月 6 日
Microsoft Defender for Cloud 正在停用在 DevOps 安全性的公共预览版期间使用的资源提供程序 Microsoft.SecurityDevOps,现已迁移到现有的 Microsoft.Security 提供程序。 此更改的原因是通过减少与 DevOps 连接器关联的资源提供程序数量来提高客户体验。
仍在使用 Microsoft.SecurityDevOps 下的 API 版本 2022-09-01-preview 来查询 Defender for Cloud DevOps 安全性数据的客户将受到影响。 为了避免服务中断,客户需要更新到 Microsoft.Security 提供程序下新的 API 版本 2023-09-01-preview。
当前通过 Azure 门户使用 Defender for Cloud DevOps 安全性的客户不会受到影响。
有关新 API 版本的详细信息,请参阅 Microsoft Defender for Cloud REST API。
Endpoint Protection 建议中的更改
公告日期:2024 年 2 月 1 日
预计更改日期:2024 年 3 月
由于 Azure Monitor 代理 (AMA) 和 Log Analytics 代理(也称为 Microsoft Monitoring Agent (MMA))将在 Defender for Servers 中逐步淘汰,因此,依赖于这些代理的现有终结点建议将替换为新建议。 新建议依赖于无代理计算机扫描,这使得这些建议可以发现和评估受支持终结点检测和响应解决方案的配置,并在发现问题时提供修正步骤。
这些公共预览版建议将弃用。
| 建议 | Agent | 弃用日期 | 替换建议 |
|---|---|---|---|
| 应在计算机上安装 Endpoint Protection(公共) | MMA/AMA | 2024 年 3 月 | 新的无代理建议。 |
| 应在计算机上解决 Endpoint Protection 运行状况问题(公共) | MMA/AMA | 2024 年 3 月 | 新的无代理建议。 |
当前正式发布的建议将继续得到支持,直到 2024 年 8 月。
作为该弃用的一部分,我们将引入新的无代理 Endpoint Protection 建议。 这些建议将在 Defender for Servers 计划 2 和 Defender CSPM 计划中提供。 它们将支持 Azure 和多云计算机。 不支持本地计算机。
| 初步建议名称 | 预计发布日期 |
|---|---|
| 应在虚拟机上安装终结点检测和响应 (EDR) 解决方案 | 2024 年 3 月 |
| 应在 EC2 上安装终结点检测和响应 (EDR) 解决方案 | 2024 年 3 月 |
| 应在虚拟机 (GCP) 上安装终结点检测和响应 (EDR) 解决方案 | 2024 年 3 月 |
| 应在虚拟机上解决终结点检测和响应 (EDR) 配置问题 | 2024 年 3 月 |
| 应在 EC2 上解决终结点检测和响应 (EDR) 配置问题 | 2024 年 3 月 |
| 应在 GCP 虚拟机上解决终结点检测和响应 (EDR) 配置问题 | 2024 年 3 月 |
详细了解如何迁移到更新的“终结点保护建议”体验。
多云容器威胁检测的定价更改
公告日期:2024 年 1 月 30 日
预计更改日期:2024 年 4 月
当多云容器威胁检测迁移到正式发布版时,它将不再免费。 有关详细信息,请参阅 Microsoft Defender for Cloud 定价。
针对高级 DevOps 安全值强制实施 Defender CSPM
公告日期:2024 年 1 月 29 日
预计更改日期:2024 年 3 月 7 日
Defender for Cloud 将从 2024 年 3 月 7 日开始针对高级 DevOps 安全值强制实施 Defender CSPM 计划检查。 如果在创建 DevOps 连接器的同一租户内的云环境(Azure、AWS、GCP)中启用了 Defender CSPM 计划,你将继续获得高级 DevOps 功能,且无需支付额外费用。 如果你不是 Defender CSPM 客户,则必须在 2024 年 3 月 7 日之前启用 Defender CSPM,否则会失去对这些安全功能的访问权限。 若要在 2024 年 3 月 7 日之前在互联云环境中启用 Defender CSPM,请按照此处所述的启用文档进行操作。
有关基础 CSPM 和 Defender CSPM 计划中可用 DevOps 安全功能的详细信息,请参阅有关功能可用性的文档。
有关 Defender for Cloud 中的 DevOps 安全性的详细信息,请参阅概述文档。
有关 Defender CSPM 中云安全功能的代码的详细信息,请参阅如何使用 Defender CSPM 保护资源。
更新到无代理 VM 扫描内置 Azure 角色
公告日期:2024 年 1 月 14 日
预计更改日期:2024 年 2 月
在 Azure 中,VM 的无代理扫描使用内置角色(称为 VM 扫描程序操作员),该角色具有扫描和评估 VM 是否存在安全问题所需的最低必要权限。 若要为具有加密卷的 VM 持续提供相关的扫描运行状况和配置建议,计划对此角色的权限进行更新。 此更新包括增加 Microsoft.Compute/DiskEncryptionSets/read 权限。 此权限仅允许改进 VM 中加密磁盘使用情况的标识。 除了在此更改之前已支持的加密方法之外,它不会为 Defender for Cloud 提供任何其他功能来解密或访问这些加密卷的内容。 此更改预计将在 2024 年 2 月进行,你无需采取任何操作。
Defender for Servers 内置漏洞评估 (Qualys) 即将停用
公告日期:2024 年 1 月 9 日
预计更改日期:2024 年 5 月
由 Qualys 提供支持的 Defender for Servers 内置漏洞评估解决方案即将停用,预计将于 2024 年 5 月 1 日完成。 如果你当前正在使用由 Qualys 提供支持的漏洞评估解决方案,则应计划过渡到集成的 Microsoft Defender 漏洞管理解决方案。
有关我们决定将漏洞评估产品与 Microsoft Defender 漏洞管理统一的更多信息,你可以阅读这篇博客文章。
你还可以查看有关过渡到 Microsoft Defender 漏洞管理解决方案的常见问题。
Defender for Cloud 的多云网络要求即将发生的更改
公告日期:2024 年 1 月 3 日
预计更改日期:2024 年 5 月
从 2024 年 5 月开始,我们将停用与多云发现服务关联的旧 IP 地址,以适应改进,并确保为所有用户提供更安全、更高效的体验。
为了确保我们的服务访问不会中断,应使用以下部分中提供的新范围更新你的 IP 允许列表。 应对防火墙设置、安全组或可能适用于你的环境的任何其他配置进行必要的调整。
此列表适用于所有计划,并且足以实现 CSPM 基础(免费)产品/服务的完整功能。
要停用的 IP 地址:
- 发现 GCP:104.208.29.200、52.232.56.127
- 发现 AWS:52.165.47.219、20.107.8.204
- 加入:13.67.139.3
要添加的新区域特定的 IP 范围:
- 西欧 (weu):52.178.17.48/28
- 北欧 (neu):13.69.233.80/28
- 美国中部 (cus):20.44.10.240/28
- 美国东部 2 (eus2):20.44.19.128/28
弃用两项 DevOps 安全建议
公告日期:2023 年 11 月 30 日
预计更改日期:2024 年 1 月
随着 DevOps 环境状况管理的正式发布,我们将更新方法,使其以子评估格式显示建议。 以前,我们提出了涵盖多个调查结果的广泛建议。 现在,我们将针对每个具体的发现提出个别建议。 通过此更改,将弃用两项广泛的建议:
Azure DevOps Posture Management findings should be resolvedGitHub Posture Management findings should be resolved
这意味着,我们将为每个问题提供不同的建议,例如“Azure DevOps 服务连接不应授予对所有管道的访问权限”。 此更改旨在增强特定问题的清晰度和可见性。
有关详细信息,请参阅新建议。
Defender for Cloud 服务级别 2 名称汇总
公告日期:2023 年 11 月 1 日
预计更改日期:2023 年 12 月
我们正在将所有 Defender for Cloud 计划的旧服务级别 2 名称合并为一个新的服务级别 2 名称 - Microsoft Defender for Cloud。
如今,有 4 个服务级别 2 名称:Azure Defender、高级威胁防护、高级数据安全和安全中心。 Microsoft Defender for Cloud 的各种计量按照这些单独的服务级别 2 名称进行分组,这在使用成本管理 + 计费、开具发票和其他 Azure 计费相关工具时造成了复杂性。
这项更改将简化查看 Defender for Cloud 费用的过程,并让你更清楚地了解成本分析。
为了确保平稳过渡,我们采取了措施来保持产品/服务名称、SKU 和计量 ID 的一致性。 受影响的客户将收到包含信息的 Azure 服务通知,其中就更改进行了说明。
通过调用 API 检索成本数据的组织需要更新其调用中的值以适应更改。 例如,在此筛选器函数中,值将不返回任何信息:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
此更改计划于 2023 年 12 月 1 日生效。
| 旧服务级别 2 名称 | 新服务级别 2 名称 | 服务层级 - 服务级别 4(无更改) |
|---|---|---|
| 高级数据安全 | Microsoft Defender for Cloud | Defender for SQL |
| 高级威胁防护 | Microsoft Defender for Cloud | 适用于容器注册表的 Defender |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for DNS |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for Key Vault |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for Kubernetes |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for MySQL |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for PostgreSQL |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for Resource Manager |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for Storage |
| Azure Defender | Microsoft Defender for Cloud | 适用于外部攻击面管理的 Defender |
| Azure Defender | Microsoft Defender for Cloud | Defender for Azure Cosmos DB |
| Azure Defender | Microsoft Defender for Cloud | Defender for Containers |
| Azure Defender | Microsoft Defender for Cloud | Defender for MariaDB |
| 安全中心 | Microsoft Defender for Cloud | Defender for App Service |
| 安全中心 | Microsoft Defender for Cloud | 适用于服务器的 Defender |
| 安全中心 | Microsoft Defender for Cloud | Defender CSPM |
Microsoft 成本管理中对 Microsoft Defender for Cloud 成本的呈现方式的更改
公告日期:2023 年 10 月 26 日
预计更改日期:2023 年 11 月
在 11 月,Microsoft Defender for Cloud 成本在成本管理和订阅发票中的呈现方式将发生更改。
将列示每个受保护的资源的成本,而不是订阅的所有资源的总成本。
如果资源已应用标记(组织通常使用标记来执行财务退款流程),则会将其添加到相应的计费行。
将“密钥保管库应启用清除保护”建议替换为“密钥保管库应启用删除保护”这一组合建议
预计更改日期:2023 年 6 月
Key Vaults should have purge protection enabled 建议已在监管合规性仪表板/Azure 安全基准计划中弃用,并替换为新的合并建议 Key Vaults should have deletion protection enabled。
| 建议名称 | 说明 | 效果 | 版本 |
|---|---|---|---|
| Key Vault 应启用删除保护 | 你组织中的恶意内部人员可能会删除和清除密钥保管库。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 | 审核、拒绝、已禁用 | 2.0.0 |
请参阅 Key Vault 的 Azure Policy 内置策略定义的完整索引。
Log Analytics 每日上限变更
Azure Monitor 提供对 Log Analytics 工作区上引入的数据设置每日上限的功能。 但是,这些排除项目前不支持 Defender for Cloud 安全事件。
从 2023 年 9 月 18 日开始,Log Analytics 每日上限将不再排除以下一组数据类型:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- 更新
- UpdateSummary
- CommonSecurityLog
- Syslog
届时,如果满足每日上限,将会为所有计费数据类型设置上限。 此更改可提高你完全控制高于预期的数据引入成本的能力。
详细了解使用 Microsoft Defender for Cloud 的工作区。
Defender for DevOps 的 DevOps 资源重复数据删除
预计更改日期:2023 年 11 月
为了改进 Defender for DevOps 用户体验,并支持与 Defender for Coud 丰富功能集的进一步集成,Defender for DevOps 将不再支持将 DevOps 组织的重复实例载入 Azure 租户。
如果未多次将 DevOps 组织的实例载入组织,无需执行进一步操作。 如果将 DevOps 组织的多个实例载入到租户,订阅所有者将收到通知,并且需要导航到 Defender for Cloud 环境设置以删除不想保留的 DevOps Connector。
客户须在 2023 年 11 月 14 日之前解决此问题。 在此日期之后,只有最近创建的 DevOps 连接器(其中存在 DevOps 组织实例)将保持载入到 Defender for DevOps。 例如,如果 connectorA 和 connectorB 中都存在组织 Contoso,并且 connectorB 是在 connectorA 之后创建的,则将从 Defender for DevOps 中移除 connectorA。
面向 Log Analytics 代理弃用的 Defender for Cloud 计划和策略
预计更改日期:2024 年 8 月
Azure Log Analytics 代理(也称为 Microsoft Monitoring Agent [MMA])将于 2024 年 8 月停用。因此,依赖于 Log Analytics 代理的两个 Defender for Cloud 计划的功能将会受到影响,并且它们更新了策略:Defender for Servers 和计算机上的 Defender for SQL Server。
关键策略点
- Azure Monitor 代理 (AMA) 不是 Defender for Servers 产品/服务的要求,但作为 Defender for SQL 的一部分仍是必需的。
- Defender for Servers 基于 MMA 的特性和功能将于 2024 年 8 月在其 Log Analytics 版本中弃用,并在 MMA 弃用日期之前通过替代基础结构提供。
- 此外,将会相应调整提供两个代理 (MMA/AMA) 安装和配置的当前共享自动预配过程。
适用于服务器的 Defender
下表说明了 Log Analytics 代理停用后如何提供每项功能:
| 功能 | 弃用计划 | 替代项 |
|---|---|---|
| 适用于下层计算机的 Defender for Endpoint/Defender for Cloud 集成(Windows Server 2012 R2、2016) | 2024 年 8 月之后,将不会支持使用旧版 Defender for Endpoint 传感器的 Defender for Endpoint 传感器和 Log Analytics 代理 (适用于 Windows Server 2016 和 Windows Server 2012 R2 计算机)的 Defender for Endpoint 集成。 | 启用 GA 统一代理集成以保持对计算机的支持,并接收完整的扩展功能集。 有关详细信息,请参阅启用 Microsoft Defender for Endpoint 集成。 |
| 操作系统级威胁检测(基于代理) | 基于 Log Analytics 代理的 OS 级威胁检测在 2024 年 8 月之后将不可用。 即将提供已弃用检测的完整列表。 | OS 级检测由 Defender for Endpoint 集成提供,并已正式发布。 |
| 自适应应用程序控制 | 基于 Log Analytics 代理的当前 GA 版本与基于 Azure 监视代理的预览版本将于 2024 年 8 月弃用。 | 目前的自适应应用程序控制功能将停用,应用程序控制领域中的新功能(基于目前 Defender for Endpoint 和 Windows Defender 应用程序控制提供的功能)将被视为未来 Defender for Servers 路线图的一部分。 |
| 终结点保护发现建议 | 当前用于安装终结点保护以及修复检测到的解决方案中运行状况问题的正式版建议将于 2024 年 8 月弃用。 如果通过无代理磁盘扫描功能提供替代项,则目前可通过 Log Analytic 代理提供的预览版建议将被弃用。 | 截至 2024 年 6 月,将为发现和配置差距提供新的无代理版本。 作为此升级的一部分,此功能将作为 Defender for Servers 计划 2 和 Defender CSPM 的组件提供,并且不会涵盖本地或已连接 Arc 的计算机。 |
| 缺少操作系统补丁(系统更新) | 2024 年 8 月之后,将不会提供基于 Log Analytics 代理应用系统更新的建议。 当通过 Microsoft Defender 漏洞管理高级功能提供替代项时,现在通过来宾配置代理提供的预览版将弃用。 Docker 中心和 VMMS 对此功能的支持将于 2024 年 8 月弃用,并且将被视为未来 Defender for Servers 路线图的一部分。 | 基于与更新管理器的集成,新建议已正式发布,且没有代理依赖项。 |
| OS 配置错误(Azure 安全基准建议) | 基于 Log Analytics 代理的当前 GA 版本在 2024 年 8 月后将不可用。 随着 Microsoft Defender 漏洞管理集成的推出,将会弃用使用来宾配置代理的当前预览版本。 | 2024 年初,基于与高级 Microsoft Defender 漏洞管理集成的新版本将会作为 Defender for Servers 计划 2 的一部分推出。 |
| 文件完整性监视 | 基于 Log Analytics 代理的当前 GA 版本在 2024 年 8 月后将不可用。 如果通过 Defender for Endpoint 提供替代项,则基于 Azure Monitor 代理 (AMA) 的 FIM 公共预览版将被弃用。 | 此功能的新版本将在 2024 年 6 月前基于 Microsoft Defender for Endpoint 集成提供。 |
| 适用于数据引入的 500 MB 权益 | 对于 Defender for Servers P2 涵盖的订阅下的计算机,仍将通过 AMA 代理支持通过定义的表进行数据引入的 500 MB 权益。 每台计算机仅有资格享受一次权益,即使计算机上同时安装了 Log Analytics 代理和 Azure Monitor 代理也是如此。 |
Log Analytics 和 Azure 监视代理自动预配体验
当前提供两个代理 (MMA/AMA) 的安装和配置的配置过程将根据上述计划进行调整:
MMA 自动预配机制及其相关政策举措将保持可选状态,并通过 Defender for Cloud 平台提供支持,直至 2024 年 8 月。
2023 年 10 月:
当前共享的“Log Analytics 代理”/“Azure Monitor 代理”自动预配机制将更新并仅应用于“Log Analytics 代理”。
- 与 Azure Monitor 代理 (AMA) 相关的公共预览版策略计划将被弃用,并替换为 Azure Monitor 代理 (AMA) 的新自动预配流程,仅面向在 Azure 上注册的 SQL 服务器(Azure VM 上的 SQL Server/启用 Arc 的 SQL Server)。
已启用公共预览策略计划的 AMA 现有客户仍将获得支持,但建议迁移到新策略。
要确保服务器的安全性并从 Defender for Servers 接收所有安全更新,请确保在订阅上启用 Defender for Endpoint 集成和无代理磁盘扫描。 此操作也将使服务器与备用可交付结果保持最新。
代理迁移规划
首先,建议所有 Defender for Servers 客户启用 Defender for Endpoint 集成和无代理磁盘扫描,它们是 Defender for Servers 产品的一部分,无需额外付费。 这将确保你自动获得新的替代交付成果,无需额外的入职培训。
接下来,根据组织要求制定你的迁移计划:
| 需要 Azure Monitor 代理(对于Defender for SQL 或其他方案) | 需要 FIM/EPP 发现/基线,作为 Defender for Server 的一部分 | 该怎么做 |
|---|---|---|
| 否 | 是 | 从 2024 年 4 月开始,你可以根据需要使用 GA 版本的 Defender for Server 功能删除 MMA(预览版本将更早提供) |
| 否 | 否 | 现在可以开始删除 MMA |
| 是 | 否 | 现在可以开始从 MMA 迁移到 AMA |
| 是 | 是 | 可以从 2024 年 4 月开始从 MMA 迁移到 AMA,也可以从现在开始并行使用这两个代理。 |
启用了 Log Analytics 代理 (MMA) 的客户
如果你的组织需要以下功能:文件完整性监控 (FIM)、端点保护建议、操作系统配置错误(安全基线建议),你可以在 2024 年 4 月开始停用 MMA,届时将在 GA 中提供替代方案(预览版本将更早提供)。
如果你的组织需要上述功能,并且其他服务也需要 Azure Monitor 代理 (AMA),你可以在 2024 年 4 月开始从 MMA 迁移到 AMA。 或者,同时使用 MMA 和 AMA 以获取所有 GA 功能,然后于 2024 年 4 月删除 MMA。
如果不需要上述功能,并且其他服务需要 Azure Monitor 代理 (AMA),则现在就可以开始从 MMA 迁移到 AMA。 但请注意,通过 AMA 提供的 Defender for Servers 预览版功能将于 2024 年 4 月弃用。
已启用 Azure Monitor 代理 (AMA) 的客户
你无需执行任何操作。
- 你将通过 Agentless 和 Defender for Endpoint 获得所有 Defender for Servers GA 功能。 以下功能将于 2024 年 4 月在 GA 中提供:文件完整性监控 (FIM)、终结点保护建议、操作系统配置错误(安全基线建议)。 通过 AMA 的预览版 Defender for Servers 功能将于 2024 年 4 月弃用。
重要
有关如何规划此更改的详细信息,请参阅 Microsoft Defender for Cloud - Log Analytics 代理 (MMA) 弃用策略与计划。
计算机上的 Defender for SQL Server
计算机上的 Defender for SQL Server 计划依赖于 Log Analytics 代理 (MMA) / Azure 监视代理 (AMA),可为 IaaS SQL Server 实例提供漏洞评估和高级威胁防护。 该计划支持处于正式发布状态的 Log Analytics 代理自动预配,以及处于公共预览状态的 Azure 监视代理自动预配。
以下部分介绍了计划引入面向 SQL Server 的新 Azure 监视代理 (AMA) 自动预配过程,以及 Log Analytics 代理 (MMA) 的弃用过程。 由于 AMA 要求,使用 MMA 的本地 SQL 服务器在迁移到新进程时需要使用 Azure Arc 代理。 使用新自动预配过程的客户将受益于简单无缝的代理配置,从而减少载入错误并提供更广泛的保护范围。
| 里程碑 | Date | 详细信息 |
|---|---|---|
| 面向 SQL 的 AMA 自动预配公共预览版本 | 2023 年 10 月 | 新的自动预配过程将仅面向已注册 Azure 的 SQL 服务器(Azure VM 上的 SQL Server /已启用 Arc 的 SQL Server)。 当前 AMA 自动预配过程及其相关策略计划将被弃用。 它仍可供客户使用,但他们不符合获得支持的条件。 |
| 面向 SQL 的 AMA 自动预配 GA 版本 | 2023 年 12 月 | 面向 SQL 的 AMA 自动预配进程的正式发布版本。 发布后,它将定义为所有新客户的默认选项。 |
| MMA 弃用 | 2024 年 8 月 | 当前 MMA 自动预配过程及其相关策略计划将被弃用。 它仍可供客户使用,但他们不符合获得支持的条件。 |
弃用两个安全事件
预计更改日期:2023 年 11 月
在质量改进过程后,以下安全事件设置为弃用:Security incident detected suspicious virtual machines activity 和 Security incident detected on multiple machines。
后续步骤
有关 Defender for Cloud 的所有最新更改,请参阅 Microsoft Defender for Cloud 的新增功能。