資料安全性態勢管理的支援和必要條件
在適用於雲端的 Microsoft Defender 中設定資料安全性態勢管理之前,請先檢閱此頁面上的需求。
啟用敏感資料探索
敏感資料探索可在 Defender CSPM、適用於儲存體的 Defender 和適用於資料庫的 Defender 方案中取得。
- 當您啟用其中一個方案時,敏感資料探索延伸模組會隨著計劃一同開啟。
- 如果您有現有的計劃正在執行中,可以使用延伸模組,但預設為關閉。
- 若有一或多個延伸模組未開啟,現有的計劃狀態會顯示為「部分」,而不是「完整」。
- 此功能會在訂用帳戶層級開啟。
- 如果開啟敏感資料探索,但未啟用 Defender CSPM,則只會掃描儲存體資源。
- 如果訂用帳戶是透過 Defender CSPM 啟用,且您平行使用 Purview 掃描相同的資源,則系統會忽略 Purview 的掃描結果,並預設顯示支援資源類型的適用於雲端的 Microsoft Defender 掃描結果。
提供哪些支援
下表摘要說明敏感性資料探索的可用性和支援案例。
支援 | 詳細資料 |
---|---|
我可以探索哪些 Azure 資料資源? | 物件儲存體: Azure 儲存體 v1/v2 中的區塊 Blob 儲存體帳戶 Azure Data Lake Storage Gen2 支援私人網路內的儲存體帳戶。 支援使用客戶管理伺服器端金鑰加密的儲存體帳戶。 如果儲存體帳戶端點具有對應的自訂網域,則不支援帳戶。 資料庫 Azure SQL Databases 使用透明資料加密的 Azure SQL Database |
我可以探索哪些 AWS 資料資源? | 物件儲存體: AWS S3 貯體 適用於雲端的 Defender 可以探索 KMS 加密的資料,但無法探索使用客戶管理金鑰加密的資料。 資料庫 - Amazon Aurora - Amazon RDS for PostgreSQL - Amazon RDS for MySQL - Amazon RDS for MariaDB - Amazon RDS for SQL Server (非自訂) - Amazon RDS for Oracle Database (僅限非自訂 SE2 版本) 必要條件和限制: - 必須啟用自動備份。 - 根據預設,為掃描而建立的 IAM 角色 (DefenderForCloud-DataSecurityPostureDB) 必須具有 RDS 執行個體加密所使用 KMS 密鑰的權限。 - 如果資料庫快照集採用包含永久或持續性選項的選項群組,則您無法共享該快照集,但具有 [時區] 或 [OLS] 選項 (或兩者皆有) 的 Oracle DB 執行個體不在此限。 深入了解 |
我可以探索哪些 GCP 資料資源? | GCP 儲存體貯體 標準類別 地區:區域、雙重區域、多區域 |
探索需要哪些權限? | 儲存體帳戶:訂用帳戶擁有者 or Microsoft.Authorization/roleAssignments/* (讀取、寫入、刪除) 與Microsoft.Security/pricings/* (讀取、寫入、刪除) 和Microsoft.Security/pricings/SecurityOperators (讀取、寫入)Amazon S3 貯體和 RDS 執行個體:AWS 帳戶執行 Cloud Formation 的權限 (以建立角色)。 GCP 儲存體貯體:執行指令碼的 Google 帳戶權限 (以建立角色)。 |
敏感資料探索支援哪些文件類型? | 支援的文件類型 (您無法選取子集):doc、.docm、.docx、.dot、.gz、.odp、.ods、.odt、.pdf、.pot、.pps、.ppsx、.ppt、.pptm、.pptx、.xlc、.xls、.xlsb、.xlsm、.xlsx、.xlt、.csv、.json、.psv、.ssv、.tsv、.txt.、xml、.parquet、.avro、.orc。 |
支援哪些 Azure 區域? | 您可以在下列區域中探索 Azure 儲存體帳戶: 東亞;東南亞;澳大利亞中部;澳大利亞中部 2;澳大利亞東部;澳大利亞東南部;巴西南部;巴西東南部;加拿大中部;加拿大東部;歐洲北部;歐洲西部;法國中部;法國南部;德國北部;德國中西部;印度中部;印度南部;日本東部;日本西部;JIO 印度西部;南韓中部;南韓南部;挪威東部;挪威西部;南非北部;南非西部;瑞典中部;瑞士北部;瑞士西部;阿拉伯聯合大公國北部;英國南部;英國西部;美國中部;美國東部;美國東部 2;美國中北部;美國中南部;美國西部;美國西部 2;美國西部 3;美國中西部; 您可以在支援 Defender CSPM 和 Azure SQL Database 的任何區域中探索 Azure SQL Database。 |
支援哪些 AWS 區域? | S3: 亞太地區 (孟買);亞太地區 (新加坡);亞太地區 (雪梨);亞太地區 (東京);加拿大 (蒙特婁);歐洲 (法蘭克福);歐洲 (愛爾蘭);歐洲 (倫敦);歐洲 (巴黎);歐洲 (斯德哥爾摩);南美洲 (聖保羅);美國東部 (俄亥俄州);美國東部 (北維吉尼亞州);美國西部 (北加州);美國西部 (俄勒岡州)。 RDS: 非洲 (開普敦);亞太地區 (香港特別行政區);亞太地區 (海德拉巴);亞太地區 (墨爾本);亞太地區 (孟買);亞太地區 (大阪);亞太地區 (首爾);亞太地區 (新加坡);亞太地區 (雪梨);亞太地區 (東京);加拿大 (中部);歐洲 (法蘭克福);歐洲 (愛爾蘭);歐洲 (倫敦);歐洲 (巴黎);歐洲 (斯德哥爾摩);歐洲 (蘇黎世);中東 (阿聯酋);南美洲 (聖保羅);美國東部 (俄亥俄州);美國東部 (北維吉尼亞州);美國西部 (北加州);美國西部 (俄勒岡州)。 探索會在區域內本地完成。 |
支援哪些 GCP 區域? | europe-west1、us-east1、us-west1、us-central1、us-east4、asia-south1、northamerica-northeast1 |
我需要安裝代理程式嗎? | 否,探索不需要安裝代理程式。 |
成本為何? | 此功能隨附於 Defender CSPM 和適用於儲存體的 Defender 方案,除了個別方案費用之外,不會產生額外的成本。 |
我需要哪些權限才能檢視/編輯資料敏感度設定? | 您需要下列其中一個 Microsoft Entra 角色: |
我需要哪些權限才能執行上線? | 您需要下列其中一個 Azure 角色型存取控制 (Azure RBAC) 角色:訂用帳戶層級的安全性管理員、參與者、擁有者 (GCP 專案所在的位置)。 若要取用安全性結果:訂用帳戶層級的安全性讀取者、安全性管理員、讀取者、參與者、擁有者 (GCP 專案所在的位置)。 |
設定資料敏感度設定
設定資料敏感度的主要步驟包括:
深入了解 Microsoft Purview 中的敏感度標籤。
探索
適用於雲端的 Defender 會在啟用方案後立即開始探索資料,或在執行中方案內開啟功能之後立即開始探索資料。
針對物件儲存體:
- 第一次探索最多需要 24 小時的時間才能提供結果。
- 當探索到的資源中有檔案更新後,資料會在八天內重新整理。
- 新增至已探索訂用帳戶的新 Azure 儲存體帳戶會在 24 小時內進行探索。
- 新增至已探索 AWS 帳戶或 Google 帳戶的新 AWS S3 貯體或 GCP 儲存體貯體會在 48 小時內進行探索。
- 儲存體的敏感性資料探索會在您的區域內在本機進行。 這可確保您的資料不會離開您的區域。 只有資源中繼資料,例如檔案、Blob、貯體名稱、偵測到的敏感度標籤,以及識別的敏感性資訊類型名稱 (SIT),才會傳輸至適用於雲端的 Defender。
如果是資料庫:
- 資料庫每週會掃描一次。
- 針對新啟用的訂用帳戶,結果會在 24 小時內顯示。
探索和掃描 Azure 儲存體帳戶
如果要掃描 Azure 儲存體帳戶,適用於雲端的 Microsoft Defender 會建立新的 storageDataScanner
資源並為其指派儲存體 Blob 資料讀者角色。 此角色授與下列權限:
- 清單
- 參閱
針對私人網路內的儲存體帳戶,我們會在儲存體帳戶的網路規則設定中允許的資源執行個體清單中包含 StorageDataScanner
。
探索和掃描 AWS S3 貯體
為了保護適用於雲端的 Defender 中的 AWS 資源,您可以,設定 AWS 連接器,使用 CloudFormation 範本將 AWS 帳戶上線。
- 為探索 AWS 資料資源,適用於雲端的 Defender 會更新 CloudFormation 範本。
- CloudFormation 範本會在 AWS IAM 中建立新角色,以授權適用於雲端的 Defender 掃描器存取 S3 貯體中的資料。
- 若要連線 AWS 帳戶,您需要帳戶的系統管理員權限。
- 該角色具備以下權限:S3 唯讀;KMS 解密。
探索和掃描 AWS RDS 執行個體
若要保護適用於雲端的 Defender 中的 AWS 資源,請使用 CloudFormation 範本設定 AWS 連接器以將 AWS 帳戶上線。
- 若要探索 AWS RDS 執行個體,適用於雲端的 Defender 會更新 CloudFormation 範本。
- CloudFormation 範本會在 AWS IAM 中建立新的角色,以授權適用於雲端的 Defender 掃描器取得執行個體最新可用的自動化快照集,並在相同 AWS 區域內的隔離掃描環境中將其上線。
- 若要連線 AWS 帳戶,您需要帳戶的系統管理員權限。
- 在相關的 RDS 執行個體/叢集上必須啟用自動化快照集。
- 該角色具備下列權限 (請檢閱 CloudFormation 範本以取得確切定義):
- 列出所有 RDS DB/叢集
- 複製所有 DB/叢集快照集
- 使用 defenderfordatabases 前置詞以刪除/更新 DB/叢集快照集
- 列出所有 KMS 金鑰
- 僅針對來源帳戶上的 RDS 使用所有 KMS 金鑰
- 在所有具有標籤前置詞 DefenderForDatabases 的 KMS 金鑰上建立完整控制
- 建立 KMS 金鑰的別名
- 包含 RDS 執行個體的每個區域都會建立一次 KMS 金鑰。 建立 KMS 金鑰可能會產生最低程度的額外成本,取決於 AWS KMS 定價。
探索和掃描 GCP 儲存體貯體
若要保護適用於雲端的 Defender 中的 GCP 資源,您可以使用指令碼範本來設定 Google 連接器,以將 GCP 帳戶上線。
- 為探索 GCP 儲存體貯體,適用於雲端的 Defender 會更新指令碼範本。
- 指令碼範本會在 Google 帳戶中建立新的角色,以授權適用於雲端的 Defender 掃描器存取 GCP 儲存體貯體中的資料。
- 若要連線 Google 帳戶,您需要帳戶的系統管理員權限。
公開至網際網路/允許公用存取
Defender CSPM 攻擊路徑和雲端安全性圖表深入解析會包含向網際網路公開,以及允許公用存取的儲存體資源相關資訊。 下表提供更多詳細資料。
州 (縣/市) | Azure 儲存體帳戶 | AWS S3 貯體 | GCP 儲存體貯體 |
---|---|---|---|
在網際網路中公開 | 如果啟用下列任一設定,Azure 儲存體帳戶就會視為對網際網路公開: Storage_account_name >[網路功能]>[公用網路存取]>[已從所有網路啟用] 或 Storage_account_name >[網路功能]>[公用網路存取]>[已從選取的虛擬網路和 IP 位址啟用] |
如果 AWS 帳戶/AWS S3 貯體原則沒有為 IP 位址設定條件,則 AWS S3 貯體會視為對網際網路公開。 | 根據預設,所有 GCP 儲存體貯體都會對網際網路公開。 |
允許公用存取 | 如果儲存體帳戶上啟用下列設定,Azure 儲存體帳戶容器會視為允許公用存取: Storage_account_name >組態>允許 Blob 匿名存取>啟用。 和下列任一設定: Storage_account_name >[容器]> container_name >[公用存取層級] 設為 [Blob (僅限 blob 的匿名讀取存取)] 或者,storage_account_name >[容器]> container_name >[公用存取層級] 設為 [容器 (容器和 blob 的匿名讀取存取)] |
如果 AWS 帳戶和 AWS S3 貯體都將 [封鎖所有公用存取] 設為 [關閉],且已設定下列任一設定,則 AWS S3 貯體會視為允許公用存取: 在原則中,未啟用 RestrictPublicBuckets,且 [主體] 設定會設定為 *,且 [效果] 設定為 [允許]。 或者,在存取控制清單中,未啟用 IgnorePublicAcl,且授權給 [所有人] 或 [驗證的使用者]。 |
如果 GCP 儲存體貯體具有符合下列準則的 IAM (身分識別和存取管理) 角色,則會視為允許公用存取: 角色會授與主體 allUsers 或 allAuthenticatedUsers。 角色至少有一個儲存體權限「不是」storage.buckets.create 或 storage.buckets.list。 GCP 中的公用存取稱為公用至網際網路。 |
資料庫資源不允許公用存取,但仍可公開至網際網路。
網際網路公開深入解析適用於下列資源:
Azure:
- Azure SQL Server
- Azure Cosmos DB
- Azure SQL 受控執行個體
- Azure MySQL 單一伺服器
- Azure MySQL 彈性伺服器
- Azure PostgreSQL 單一伺服器
- Azure PostgreSQL 彈性伺服器
- Azure MariaDB 單一伺服器
- Synapse 工作區
AWS:
- RDS 執行個體
注意
- 包含 0.0.0.0/0 的公開規則被視為「過度公開」,這表示其可以從任何公用 IP 存取。
- 公開規則為「0.0.0.0」的 Azure 資源可從 Azure 中的任何資源存取 (無論租用戶或訂用帳戶為何)。
後續步驟
啟用資料安全性態勢管理。