數據安全性狀態管理的支援和必要條件
在 適用於雲端的 Microsoft Defender 中設定資料安全性狀態管理之前,請先檢閱此頁面的需求。
啟用敏感資料探索
敏感資料探索可在 Defender CSPM、適用於儲存體的 Defender 和適用於資料庫的 Defender 方案中取得。
- 當您啟用其中一個方案時,敏感資料探索延伸模組會隨著計劃一同開啟。
- 如果您有現有的計劃正在執行中,可以使用延伸模組,但預設為關閉。
- 若有一或多個延伸模組未開啟,現有的計劃狀態會顯示為「部分」,而不是「完整」。
- 此功能會在訂用帳戶層級開啟。
- 如果開啟敏感資料探索,但未啟用 Defender CSPM,則只會掃描儲存體資源。
- 如果訂用帳戶是透過 Defender CSPM 啟用,且您平行使用 Purview 掃描相同的資源,則系統會忽略 Purview 的掃描結果,並預設顯示支援資源類型的適用於雲端的 Microsoft Defender 掃描結果。
提供哪些支援
下表摘要說明敏感數據探索的可用性和支援案例。
| 支援 | 詳細資料 |
|---|---|
| 我可以探索哪些 Azure 資料資源? | 物件儲存體: Azure 儲存體 v1/v2 中的區塊 Blob 儲存體帳戶 Azure Data Lake Storage Gen2 支援私人網路內的儲存體帳戶。 支援使用客戶管理伺服器端金鑰加密的儲存體帳戶。 如果啟用上述任何設定,則不支持帳戶:記憶體帳戶定義為 Azure DNS 區域;記憶體帳戶端點具有 對應的自定義網域。 資料庫 Azure SQL 資料庫 使用透明數據加密加密的 Azure SQL 資料庫 |
| 我可以探索哪些 AWS 資料資源? | 物件儲存體: AWS S3 貯體 適用於雲端的 Defender 可以探索 KMS 加密的資料,但無法探索使用客戶管理金鑰加密的資料。 資料庫 - Amazon Aurora - Amazon RDS for PostgreSQL - Amazon RDS for MySQL - Amazon RDS for MariaDB - Amazon RDS for SQL Server (非自定義) - Amazon RDS for Oracle Database (僅限非自定義、SE2 Edition) 必要條件和限制: - 必須啟用自動備份。 - 根據預設,為掃描而建立的 IAM 角色 (DefenderForCloud-DataSecurityPostureDB) 必須具有 RDS 執行個體加密所使用 KMS 密鑰的權限。 - 如果資料庫快照集採用包含永久或持續性選項的選項群組,則您無法共享該快照集,但具有 [時區] 或 [OLS] 選項 (或兩者皆有) 的 Oracle DB 執行個體不在此限。 深入了解 |
| 我可以探索哪些 GCP 資料資源? | GCP 儲存體貯體 標準類別 地區:區域、雙重區域、多區域 |
| 探索需要哪些權限? | 儲存體帳戶:訂用帳戶擁有者 or Microsoft.Authorization/roleAssignments/* (讀取、寫入、刪除) 與Microsoft.Security/pricings/* (讀取、寫入、刪除) 和Microsoft.Security/pricings/SecurityOperators (讀取、寫入)Amazon S3 貯體和 RDS 執行個體:AWS 帳戶執行 Cloud Formation 的權限 (以建立角色)。 GCP 儲存體貯體:執行指令碼的 Google 帳戶權限 (以建立角色)。 |
| 敏感資料探索支援哪些文件類型? | 支援的文件類型 (您無法選取子集):doc、.docm、.docx、.dot、.gz、.odp、.ods、.odt、.pdf、.pot、.pps、.ppsx、.ppt、.pptm、.pptx、.xlc、.xls、.xlsb、.xlsm、.xlsx、.xlt、.csv、.json、.psv、.ssv、.tsv、.txt.、xml、.parquet、.avro、.orc。 |
| 支援哪些 Azure 區域? | 您可以在下列區域中探索 Azure 儲存體帳戶: 東亞;東南亞;澳大利亞中部;澳大利亞中部 2;澳大利亞東部;澳大利亞東南部;巴西南部;巴西東南部;加拿大中部;加拿大東部;歐洲北部;歐洲西部;法國中部;法國南部;德國北部;德國中西部;印度中部;印度南部;日本東部;日本西部;JIO 印度西部;南韓中部;南韓南部;挪威東部;挪威西部;南非北部;南非西部;瑞典中部;瑞士北部;瑞士西部;阿拉伯聯合大公國北部;英國南部;英國西部;美國中部;美國東部;美國東部 2;美國中北部;美國中南部;美國西部;美國西部 2;美國西部 3;美國中西部; 您可以在支援 Defender CSPM 和 Azure SQL Database 的任何區域中探索 Azure SQL Database。 |
| 支援哪些 AWS 區域? | S3: 亞太地區 (孟買);亞太地區 (新加坡);亞太地區 (雪梨);亞太地區 (東京);加拿大 (蒙特婁);歐洲 (法蘭克福);歐洲 (愛爾蘭);歐洲 (倫敦);歐洲 (巴黎);歐洲 (斯德哥爾摩);南美洲 (聖保羅);美國東部 (俄亥俄州);美國東部 (北維吉尼亞州);美國西部 (北加州);美國西部 (俄勒岡州)。 RDS: 非洲(開普敦):亞太地區(香港特別行政區):亞太地區(海德拉巴):亞太地區(墨爾本):亞太地區(孟買):亞太地區(大阪):亞太地區(首爾):亞太地區(新加坡):亞太地區(悉尼):亞太地區(東京):加拿大(中部):歐洲(法蘭克福):歐洲(愛爾蘭):歐洲(倫敦):歐洲(巴黎):歐洲(斯德哥爾摩):歐洲(蘇黎世):中東(阿聯酋):南美洲(聖保羅):美國東部(俄亥俄州):美國東部 (N. 維吉尼亞州):美國西部(N. 加州):美國西部(俄勒岡州)。 探索會在區域內本地完成。 |
| 支援哪些 GCP 區域? | europe-west1、us-east1、us-west1、us-central1、us-east4、asia-south1、northamerica-northeast1 |
| 我需要安裝代理程式嗎? | 否,探索不需要安裝代理程式。 |
| 成本為何? | 此功能隨附於 Defender CSPM 和適用於儲存體的 Defender 方案,除了個別方案費用之外,不會產生額外的成本。 |
| 我需要哪些權限才能檢視/編輯資料敏感度設定? | 您需要下列其中一個 Microsoft Entra 角色:全域管理員、合規性管理員、合規性資料管理員、安全性系統管理員、安全性操作員。 |
| 我需要哪些權限才能執行上線? | 您需要下列其中一個 Azure 角色型存取控制 (Azure RBAC) 角色:訂用帳戶層級的安全性管理員、參與者、擁有者 (GCP 專案所在的位置)。 若要取用安全性結果:訂用帳戶層級的安全性讀取者、安全性管理員、讀取者、參與者、擁有者 (GCP 專案所在的位置)。 |
設定資料敏感度設定
設定資料敏感度的主要步驟包括:
深入了解 Microsoft Purview 中的敏感度標籤。
探索
適用於雲端的 Defender 會在啟用方案後立即開始探索資料,或在執行中方案內開啟功能之後立即開始探索資料。
針對物件儲存體:
- 第一次探索最多需要 24 小時的時間才能提供結果。
- 當探索到的資源中有檔案更新後,資料會在八天內重新整理。
- 新增至已探索訂用帳戶的新 Azure 儲存體帳戶會在 24 小時內進行探索。
- 新增至已探索 AWS 帳戶或 Google 帳戶的新 AWS S3 貯體或 GCP 儲存體貯體會在 48 小時內進行探索。
如果是資料庫:
- 資料庫每週會掃描一次。
- 針對新啟用的訂用帳戶,結果會顯示在24小時內。
探索 AWS S3 貯體
為了保護適用於雲端的 Defender 中的 AWS 資源,您可以,設定 AWS 連接器,使用 CloudFormation 範本將 AWS 帳戶上線。
- 為探索 AWS 資料資源,適用於雲端的 Defender 會更新 CloudFormation 範本。
- CloudFormation 範本會在 AWS IAM 中建立新角色,以授權適用於雲端的 Defender 掃描器存取 S3 貯體中的資料。
- 若要連線 AWS 帳戶,您需要帳戶的系統管理員權限。
- 該角色具備以下權限:S3 唯讀;KMS 解密。
探索 AWS RDS 執行個體
若要保護適用於雲端的 Defender 中的 AWS 資源,請使用 CloudFormation 範本設定 AWS 連接器以將 AWS 帳戶上線。
- 若要探索 AWS RDS 執行個體,適用於雲端的 Defender 會更新 CloudFormation 範本。
- CloudFormation 範本會在 AWS IAM 中建立新的角色,以授權適用於雲端的 Defender 掃描器取得執行個體最新可用的自動化快照集,並在相同 AWS 區域內的隔離掃描環境中將其上線。
- 若要連線 AWS 帳戶,您需要帳戶的系統管理員權限。
- 在相關的 RDS 執行個體/叢集上必須啟用自動化快照集。
- 該角色具備下列權限 (請檢閱 CloudFormation 範本以取得確切定義):
- 列出所有 RDS DB/叢集
- 複製所有 DB/叢集快照集
- 使用 defenderfordatabases 前置詞以刪除/更新 DB/叢集快照集
- 列出所有 KMS 金鑰
- 僅針對來源帳戶上的 RDS 使用所有 KMS 金鑰
- 在所有具有標籤前置詞 DefenderForDatabases 的 KMS 金鑰上建立完整控制
- 建立 KMS 金鑰的別名
- 包含 RDS 執行個體的每個區域都會建立一次 KMS 金鑰。 根據 AWS KMS 定價,建立 KMS 金鑰可能會產生最少的額外成本。
探索 GCP 儲存體貯體
若要保護適用於雲端的 Defender 中的 GCP 資源,您可以使用指令碼範本來設定 Google 連接器,以將 GCP 帳戶上線。
- 為探索 GCP 儲存體貯體,適用於雲端的 Defender 會更新指令碼範本。
- 指令碼範本會在 Google 帳戶中建立新的角色,以授權適用於雲端的 Defender 掃描器存取 GCP 儲存體貯體中的資料。
- 若要連線 Google 帳戶,您需要帳戶的系統管理員權限。
公開至網際網路/允許公用存取
Defender CSPM 攻擊路徑和雲端安全性圖表深入解析會包含向網際網路公開,以及允許公用存取的儲存體資源相關資訊。 下表提供更多詳細資料。
| 州 (縣/市) | Azure 儲存體帳戶 | AWS S3 貯體 | GCP 儲存體貯體 |
|---|---|---|---|
| 在網際網路中公開 | 如果啟用下列任一設定,Azure 儲存體帳戶就會視為對網際網路公開: Storage_account_name >[網路功能]>[公用網路存取]>[已從所有網路啟用] 或 Storage_account_name >[網路功能]>[公用網路存取]>[已從選取的虛擬網路和 IP 位址啟用] |
如果 AWS 帳戶/AWS S3 貯體原則沒有為 IP 位址設定條件,則 AWS S3 貯體會視為對網際網路公開。 | 根據預設,所有 GCP 儲存體貯體都會對網際網路公開。 |
| 允許公用存取 | 如果儲存體帳戶上啟用下列設定,Azure 儲存體帳戶容器會視為允許公用存取: Storage_account_name >[組態]>[允許 Blob 公開存取]>[已啟用] 和下列任一設定: Storage_account_name >[容器]> container_name >[公用存取層級] 設為 [Blob (僅限 blob 的匿名讀取存取)] 或者,storage_account_name >[容器]> container_name >[公用存取層級] 設為 [容器 (容器和 blob 的匿名讀取存取)] |
如果 AWS 帳戶和 AWS S3 貯體都將 [封鎖所有公用存取] 設為 [關閉],且已設定下列任一設定,則 AWS S3 貯體會視為允許公用存取: 在原則中,未啟用 RestrictPublicBuckets,且 [主體] 設定會設定為 *,且 [效果] 設定為 [允許]。 或者,在存取控制清單中,未啟用 IgnorePublicAcl,且授權給 [所有人] 或 [驗證的使用者]。 |
如果 GCP 儲存體貯體具有符合下列準則的 IAM (身分識別和存取管理) 角色,則會視為允許公用存取: 角色會授與主體 allUsers 或 allAuthenticatedUsers。 角色至少有一個儲存體權限「不是」storage.buckets.create 或 storage.buckets.list。 GCP 中的公用存取稱為「公用至網際網路」。 |
資料庫資源不允許公用存取,但仍可公開至網際網路。
網際網路公開深入解析適用於下列資源:
Azure:
- Azure SQL Server
- Azure Cosmos DB
- Azure SQL 受控執行個體
- Azure MySQL 單一伺服器
- Azure MySQL 彈性伺服器
- Azure PostgreSQL 單一伺服器
- Azure PostgreSQL 彈性伺服器
- Azure MariaDB 單一伺服器
- Synapse 工作區
AWS:
- RDS 執行個體
注意
- 包含 0.0.0.0/0 的公開規則被視為「過度公開」,這表示其可以從任何公用 IP 存取。
- 公開規則為「0.0.0.0」的 Azure 資源可從 Azure 中的任何資源存取 (無論租用戶或訂用帳戶為何)。
後續步驟
啟用 資料安全性狀態管理。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: