即將推出之適用於雲端的 Microsoft Defender 重要變更
重要
本頁中載明的資訊與預先發行產品或功能相關,且內容可能在公開上市之前修改。 Microsoft 對於此處提供的資訊不做任何明示或暗示的承諾或保證。
本頁內容可帶您了解為適用於雲端的 Defender 規劃的各項變更。 其說明規劃對產品進行的修改,這些修改可能會影響您的安全分數或工作流程等。
提示
將下列 URL 複製並貼到您的摘要讀取器,以在本頁更新時收到通知:
https://aka.ms/mdc/upcoming-rss
如果要尋找最新的發行備註,您可以在適用於雲端的 Microsoft Defender 的新功能 (部分機器翻譯) 中找到這些資訊。
規劃的變更
規劃的變更 | 公告日期 | 變更的預估日期 |
---|---|---|
適用於雲端的 Defender 中的 Checkov IaC 掃描正式發行 | 2024 年 6 月 24 日 | 2024 年 7 月 |
MMA 淘汰中調適型建議淘汰範圍的提醒事項 | 2024 年 6 月 20 日 | 2024 年 8 月 |
在未設定的伺服器上使用快速設定自動啟用 SQL 弱點評定 | 2024 年 6 月 10 日 | 2024 年 7 月 10 日 |
身分識別建議的變更 | 2024 年 6 月 3 日 | 2024 年 7 月 |
透過 AMA 移除 FIM,並透過適用於端點的 Defender 發行新版本 | 2024 年 5 月 1 日 | 2024 年 6 月 |
淘汰系統更新建議 | 2024 年 5 月 1 日 | 2024 年 5 月 |
淘汰 MMA 相關建議 | 2024 年 5 月 1 日 | 2024 年 5 月 |
淘汰無檔案攻擊警示 | 2024 年 4 月 18 日 | 2024 年 5 月 |
CIEM 評定識別碼中的變更 | 2024 年 4 月 16 日 | 2024 年 5 月 |
淘汰加密建議 | 2024 年 4 月 3 日 | 2024 年 5 月 |
淘汰虛擬機器建議 | 2024 年 4 月 2 日 | 2024 年 7 月 |
正式推出整合磁碟加密建議 | 2024 年 3 月 28 日 | 2024 年 4 月 30 日 |
合規性供應項目和 Microsoft 動作的存取位置變更 | 2024 年 3 月 3 日 | 2025 年 9 月 30 日 |
Microsoft.SecurityDevOps 資源提供者的解除委任 | 2024 年 2 月 5 日 | 2024 年 3 月 6 日 |
針對進階 DevOps 安全性功能的 Defender CSPM 強制執行 | 2024 年 1 月 29 日 | 2024 年 3 月 |
針對無代理程式 VM 掃描內建 Azure 角色的更新 | 2024 年 1 月 14 日 | 2024 年 2 月 |
針對適用於雲端的 Defender 的多重雲端網路需求即將推出的變更 | 2024 年 1 月 3 日 | 2024 年 5 月 |
兩個 DevOps 安全性建議的淘汰 | 2023 年 11 月 30 日 | 2024 年一月 |
變更適用於雲端的 Microsoft Defender 的成本在 Microsoft 成本管理中的顯示方式 | 2023 年 10 月 25 日 | 2023 年 11 月 |
將「金鑰保存庫應啟用清除保護」建議取代為合併的「金鑰保存庫應啟用刪除保護」建議 | 2023 年 6 月 | |
適用於 DevOps 的 Defender 的 DevOps 資源重複資料刪除 | 2023 年 11 月 | |
淘汰兩個安全性事件 | 2023 年 11 月 | |
針對 Log Analytics 代理程式淘汰的適用於雲端的 Defender 方案和策略 | 2024 年 8 月 |
適用於雲端的 Defender 中的 Checkov IaC 掃描正式發行
公告日期:2024 年 6 月 24 日
預估變更日期:2024 年 7 月
透過 MSDO 進行基礎結構即程式碼 (IaC) 掃描的 Checkov 整合將於 2024 年 7 月正式發行 (GA)。 作為此版本的一部分,Checkov 會取代 Terrascan 成為預設 IaC 分析器,該分析器作為 MSDO CLI 的一部分執行。 Terrascan 仍可透過 MSDO 的環境變數手動設定,但預設情況下不會執行。
來自 Checkov 的安全性結果會在評量下以建議的形式呈現給 Azure DevOps 和 GitHub 存放庫:「Azure DevOps 存放庫應該已解決基礎結構即程式碼的結果」和「GitHub 存放庫應該已解決基礎結構即程式碼的結果」。
若要深入了解適用於雲端的 Defender 中的 DevOps 安全性,請參閱 DevOps 安全性概觀。 若要了解如何立即在 MSDO 中手動設定 Checkov,請參閱 Azure DevOps 或 GitHub 文件。
MMA 淘汰中調適型建議淘汰範圍的提醒事項
公告日期:2024 年 6 月 20 日
預估變更日期:2024 年 8 月
在 MMA 淘汰和適用於伺服器的 Defender 更新部署策略中,適用於伺服器的 Defender 安全性功能將會透過適用於端點的 Microsoft Defender (MDE) 代理程式或透過無代理程式掃描功能來提供。 這兩個選項都不需要依賴 Log Analytics 代理程式 (MMA) 或 Azure 監視代理程式 (AMA)。
將停用調適型安全性建議 (稱為自適性應用程式控制和自適性網路強化)。 以 Log Analytics 代理程式 (MMA) 為基礎的目前 GA 版本和以 Azure 監視代理程式 (AMA) 為基礎的預覽版本都將於 2024 年 8 月淘汰。
在未設定的伺服器上使用快速設定自動啟用 SQL 弱點評定
公告日期:2024 年 6 月 10 日
預估變更日期:2024 年 7 月 10 日
最初,只有在 2022 年 12 月快速設定推出之後啟用適用於 SQL 的 Microsoft Defender 的伺服器上,才會自動啟用具有快速設定的 SQL 弱點評定 (VA)。
在 2022 年 12 月之前啟用適用於 SQL 之 Microsoft Defender 且沒有現有 SQL VA 原則的所有 Azure SQL Server,將更新為使用快速設定自動啟用 SQL 弱點評定 (SQL VA)。
這項變更將以漸進方式花費數週實施,使用者不需要採取任何動作。
注意
這項變更適用於在 Azure 訂用帳戶層級或個別伺服器層級啟用適用於 SQL 之 Microsoft Defender 的 Azure SQL Server。
具有現有傳統設定 (無論是否有效) 的伺服器將不會受到這項變更的影響。
啟用時,「SQL 資料庫應已解決發現的弱點」建議可能會顯示,並可能會影響您的安全分數。
身分識別建議的變更
公告日期:2024 年 6 月 3 日
預估變更日期:2024 年 7 月
下列變更:
- 評定的資源將成為身分識別,而不是訂用帳戶
- 建議不再有「子建議」
- API 中 'assessmentKey' 欄位的值將會針對這些建議變更
將會套用至下列建議:
- 具有 Azure 資源擁有者權限的帳戶應啟用 MFA
- 具有 Azure 資源寫入權限的帳戶應啟用 MFA
- 具有 Azure 資源讀取權限的帳戶應啟用 MFA
- 具有 Azure 資源擁有者權限的來賓帳戶應移除
- 具有 Azure 資源寫入權限的來賓帳戶應移除
- 具有 Azure 資源讀取權限的來賓帳戶應移除
- 具有 Azure 資源擁有者權限的已封鎖帳戶應移除
- 具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除
- 應針對您的訂用帳戶指定最多 3 位擁有者
- 應將一個以上的擁有者指派給您的訂用帳戶
透過 AMA 移除 FIM,並透過適用於端點的 Defender 發行新版本
公告日期:2024 年 5 月 1 日
變更的預估日期:2024 年 8 月
在 MMA 淘汰和適用於伺服器的 Defender 更新部署策略中,所有適用於伺服器的 Defender 安全性功能都會透過單一代理程式 (MDE) 或無代理程式掃描功能來提供,而不需要依賴 Log Analytics 代理程式 (MMA) 或 Azure 監視代理程式 (AMA)。
透過適用於端點之 Microsoft Defender (MDE) 的新版檔案完整性監視 (FIM) 功能可讓您即時監視重要檔案和登錄、稽核變更,並偵測可疑的檔案內容變更,以符合規範。
在此版本中,自 2024 年 8 月起,您將無法再透過適用於雲端的 Defender 入口網站取得透過 AMA 的 FIM 體驗。 如需詳細資訊,請參閱檔案完整性監視體驗 - 變更和移轉指引。
淘汰系統更新建議
公告日期:2024 年 5 月 1 日
預估變更日期:2024 年 7 月
隨著 Azure 監視器代理程式 (AMA) 和 Log Analytics 代理程式 (也稱為 Microsoft Monitoring Agent (MMA)) 的使用在適用於伺服器的 Defender 中逐步淘汰,以下依賴這些代理程式的建議也將淘汰:
以 Azure 更新管理員整合為基礎的新建議已正式推出,沒有代理程式相依性。
淘汰 MMA 相關建議
公告日期:2024 年 5 月 1 日
預估變更日期:2024 年 7 月
在 MMA 淘汰和適用於伺服器的 Defender 更新部署策略中,所有適用於伺服器的 Defender 安全性功能都會透過單一代理程式 (MDE) 或無代理程式掃描功能來提供,而不需要依賴 Log Analytics 代理程式 (MMA) 或 Azure 監視代理程式 (AMA)。
其中為了降低複雜性,將會淘汰下列建議:
Display name | 相關功能 |
---|---|
應在啟用 Azure Arc 的 Windows 電腦上安裝 Log Analytics 代理程式 | MMA 啟用 |
應在虛擬機器擴展集上安裝 Log Analytics 代理程式 | MMA 啟用 |
應在訂用帳戶上啟用 Log Analytics 代理程式的自動佈建 | MMA 啟用 |
應在虛擬機器上安裝 Log Analytics 代理程式 | MMA 啟用 |
應在啟用 Azure Arc 的 Linux 電腦上安裝 Log Analytics 代理程式 | MMA 啟用 |
您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | AAC |
您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | AAC |
淘汰無檔案攻擊警示
公告日期:2024 年 4 月 18 日
變更的預估日期:2024 年 5 月
在 2024 年 5 月,為了提高適用於伺服器的 Defender 安全性警示品質,將停用 Windows 和 Linux 虛擬機器特定的無檔案攻擊警示。 這些警示將改為由適用於端點的 Defender 產生:
- 偵測到無檔案攻擊工具組 (VM_FilelessAttackToolkit.Windows)
- 偵測到無檔案攻擊技術 (VM_FilelessAttackTechnique.Windows)
- 偵測到無檔案攻擊行為 (VM_FilelessAttackBehavior.Windows)
- 偵測到無檔案攻擊工具組 (VM_FilelessAttackToolkit.Linux)
- 偵測到無檔案攻擊技術 (VM_FilelessAttackTechnique.Linux)
- 偵測到無檔案攻擊行為 (VM_FilelessAttackBehavior.Linux)
已淘汰警示涵蓋的所有安全性案例都將在適用於端點的 Defender 威脅警示中完整涵蓋。
如果您已啟用適用於端點的 Defender 整合,則不需要採取任何動作。 在 2024 年 5 月,您可能會經歷警示量減少的情況,但仍會受到保護。 如果您目前未在適用於伺服器的 Defender 中啟用適用於端點的 Defender 整合,您必須啟用整合,以維護和改善警示涵蓋範圍。 所有適用於伺服器的 Defender 客戶不須額外付費,就能獲得適用於端點之 Defender 整合的完整價值。 如需詳細資訊,請參閱啟用適用於端點的 Defender 整合。
CIEM 評定識別碼中的變更
公告日期:2024 年 4 月 16 日
變更的預估日期:2024 年 5 月
下列建議已排程重新建置,這會導致其評定識別碼變更:
Azure overprovisioned identities should have only the necessary permissions
AWS Overprovisioned identities should have only the necessary permissions
GCP overprovisioned identities should have only the necessary permissions
Super identities in your Azure environment should be removed
Unused identities in your Azure environment should be removed
淘汰加密建議
公告日期:2024 年 4 月 3 日
變更的預估日期:2024 年 5 月
虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程建議即將淘汰。
淘汰虛擬機器建議
公告日期:2024 年 4 月 2 日
預估變更日期:2024 年 7 月 30 日
虛擬機器應移轉到新的 Azure Resource Manager 資源建議即將淘汰。 由於這些資源已不存在,因此應該不會對客戶造成任何影響。
正式推出整合磁碟加密建議
公告日期:2024 年 3 月 28 日
預估變更日期:2024 年 4 月 30 日
整合磁碟加密建議將於 2024 年 4 月在 Azure 公用雲端內正式推出 (GA)。 這些建議可讓客戶使用 Azure 磁碟加密或 EncryptionAtHost 稽核虛擬機器的加密合規性。
正式推出的建議:
建議名稱 | 評量金鑰 |
---|---|
Linux 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost | a40cc620-e72c-fdf4-c554-c6ca2cd705c0 |
Windows 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost | 0cb5f317-a94b-6b80-7212-13a9cc8826af |
Azure 磁碟加密 (ADE) 和 EncryptionAtHost 提供待用加密涵蓋範圍 (如受控磁碟加密選項概觀 - Azure 虛擬機器中所述),建議在虛擬機器上啟用其中一項。
這些建議取決於來賓設定。 應在虛擬機器上啟用連線到來賓設定的必要條件,以便建議如預期般完成合規性掃描。
這些建議將取代「虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程」建議。
合規性供應項目和 Microsoft 動作的存取位置變更
公告日期:2024 年 3 月 3 日
預估變更日期:2025 年 9 月 30 日
在 2025 年 9 月 30 日,您存取合規性供應項目和 Microsoft 動作這兩個預覽功能的位置將會變更。
列出 Microsoft 產品合規性狀態的表格之前是透過 Defender 法規合規性儀表板工具列中的 [合規性供應項目] 按鈕存取。 從適用於雲端的 Defender 移除此按鈕之後,您仍然可以使用服務信任入口網站存取這項資訊。
針對一部分控制項,您可以透過控制項詳細資料窗格中的 [Microsoft 動作 (預覽)] 按鈕存取 Microsoft 動作。 移除此按鈕之後,您可以透過瀏覽 Microsoft 服務信任入口網站中的 FedRAMP 並存取 Azure 系統安全計劃文件來檢視 Microsoft 動作。
Microsoft.SecurityDevOps 資源提供者的解除委任
公告日期:2024 年 2 月 5 日
變更的預估日期:2024 年 3 月 6 日
適用於雲端的 Microsoft Defender 將對用於 DevOps 安全性公開預覽的資源提供者 Microsoft.SecurityDevOps
進行解除委任,因為已將該提供者移轉至現有的 Microsoft.Security
提供者。 此變更的原因是為了減少與 DevOps 連接器相關聯的資源提供者數目來改善客戶體驗。
仍使用 Microsoft.SecurityDevOps
下的 2022-09-01-preview 版 API 來查詢適用於雲端的 Defender DevOps 安全性資料的客戶將會受到影響。 若要避免其服務的中斷,客戶必須更新至 Microsoft.Security
提供者下的新 2023-09-01-preview 版 API。
目前從 Azure 入口網站上使用適用於雲端的 Defender DevOps 安全性的客戶將不會受到影響。
如需新 API 版本的詳細資料,請參閱適用於雲端的 Microsoft Defender REST API (部分機器翻譯)。
端點保護建議的變更
公告日期:2024 年 2 月 1 日
變更的預估日期:2024 年 3 月
隨著 Azure 監視器代理程式 (AMA) 和 Log Analytics 代理程式 (也稱為 Microsoft Monitoring Agent (MMA)) 的使用在適用於伺服器的 Defender 中逐步淘汰 (英文),仰賴那些代理程式的現有端點建議也將會取代為新的建議。 新的建議會仰賴無代理程式機器掃描 (部分機器翻譯),其允許建議探索及評估支援的端點偵測及回應解決方案的設定,並在找到問題的情況下提供補救步驟。
這些公開預覽建議將會淘汰。
建議 | 專員 | 取代日期 | 取代的建議 |
---|---|---|---|
您的機器上應安裝端點保護 (公用) | MMA/AMA | 2024 年 3 月 | 新的無代理程式建議。 |
應解決機器上端點保護健康情況的問題 (公開) | MMA/AMA | 2024 年 3 月 | 新的無代理程式建議。 |
將會持續支援目前正式推出的建議,直到 2024 年 8 月為止。
作為該淘汰的一部分,我們將推出新的無代理程式端點保護建議。 這些建議將會在適用於伺服器的 Defender 方案 2 和 Defender CSPM 方案中提供。 其將支援 Azure 和多重雲端機器。 不支援內部部署機器。
初步建議名稱 | 預估發行日期 |
---|---|
應在虛擬機器上安裝端點偵測及回應 (EDR) 解決方案 | 2024 年 3 月 |
應在 EC2 上安裝端點偵測及回應 (EDR) 解決方案 | 2024 年 3 月 |
應在虛擬機器 (GCP) 上安裝端點偵測及回應 (EDR) 解決方案 | 2024 年 3 月 |
應該解決虛擬機器上的端點偵測及回應 (EDR) 設定問題 | 2024 年 3 月 |
應該解決 EC2 上的端點偵測及回應 (EDR) 設定問題 | 2024 年 3 月 |
應該解決 GCP 虛擬機器上的端點偵測及回應 (EDR) 設定問題 | 2024 年 3 月 |
深入了解移轉至更新的端點保護建議體驗 (部分機器翻譯)。
針對進階 DevOps 安全性值的 Defender CSPM 強制執行
公告日期:2024 年 1 月 29 日
變更的預估日期:2024 年 3 月 7 日
從 2024 年 3 月 7 日開始,適用於雲端的 Defender 將開始針對進階 DevOps 安全性值強制執行 Defender CSPM 方案檢查。 如果您已在您 DevOps 連接器建立所在的相同租用戶內的雲端環境 (Azure、AWS、GCP) 上啟用 Defender CSPM 方案,您將能在不需額外支付費用的情況下,繼續接收進階 DevOps 功能。 如果您不是 Defender CSPM 客戶,您必須在 2024 年 3 月 7 日之前啟用 Defender CSPM,否則便會失去對這些安全性功能的存取權。 若要在 2024 年 3 月 7 日之前於連線的雲端環境上啟用 Defender CSPM,請遵循此處 (部分機器翻譯) 所述的啟用文件。
如需基礎 CSPM 和 Defender CSPM 方案上提供的 DevOps 安全性功能的詳細資訊,請參閱我們概述功能可用性的文件。
如需適用於雲端的 Defender 中 DevOps 安全性的詳細資訊,請參閱概觀文件 (部分機器翻譯)。
如需 Defender CSPM 中存取雲端安全性功能之程式碼的詳細資訊,請參閱如何使用 Defender CSPM 保護您的資源 (部分機器翻譯)。
針對無代理程式 VM 掃描內建 Azure 角色的更新
公告日期:2024 年 1 月 14 日
變更的預估日期:2024 年 2 月
在 Azure 中,針對 VM 的無代理程式掃描會使用內建角色 (稱為 VM 掃描器操作員 (部分機器翻譯)),此角色具有針對安全性問題對您的 VM 進行掃描和評估的最低必要權限。 為了針對具有加密磁碟區的 VM 持續提供相關掃描健康情況和設定建議,我們已規劃對此角色的權限進行更新。 該更新包括新增 Microsoft.Compute/DiskEncryptionSets/read
權限。 此權限僅能改善對 VM 中加密磁碟使用方式的識別。 除了在推出此變更之前已經支援 (部分機器翻譯) 的加密方法,此變更並不會提供適用於雲端的 Defender 對這些加密磁碟區內容額外的解密或存取能力。 此變更預計在 2024 年 2 月進行,且不需要您採取任何動作。
針對適用於雲端的 Defender 的多重雲端網路需求即將推出的變更
公告日期:2024 年 1 月 3 日
變更的預估日期:2024 年 5 月
從 2024 年 5 月開始,我們將淘汰與我們的多重雲端探索服務相關聯的舊 IP 位址,以因應改善並確保所有使用者都能獲得更安全且更有效率的體驗。
為了確保對我們服務的存取不會中斷,您應該將 IP 允許清單更新為下列小節中所提供的新範圍。 您應該對防火牆設定、安全性群組或可能適用於您環境的任何其他設定進行必要的調整。
此清單適用於所有方案,且足以對應 CSPM 基礎 (免費) 供應項目的完整功能。
即將淘汰的 IP 位址:
- 探索 GCP:104.208.29.200、52.232.56.127
- 探索 AWS:52.165.47.219、20.107.8.204
- 上線:13.67.139.3
即將新增的新區域特定 IP 範圍:
- 西歐 (weu):52.178.17.48/28
- 北歐 (neu):13.69.233.80/28
- 美國中部 (cus):20.44.10.240/28
- 美國東部 2 (eus2):20.44.19.128/28
兩個 DevOps 安全性建議的淘汰
公告日期:2023 年 11 月 30 日
變更的預估日期:2024 年 1 月
隨著 DevOps 環境狀態管理的正式發行,我們也將更新為以子評量格式顯示建議的做法。 之前,我們提供的是涵蓋多個調查結果的廣泛建議。 現在,我們將改成針對每個特定調查結果提供個別的建議。 隨著此變更,有兩個廣泛的建議將會淘汰:
Azure DevOps Posture Management findings should be resolved
GitHub Posture Management findings should be resolved
這表示我們不再會針對所有已探索到的錯誤設定提供單一建議,而是會針對每個問題提供不同的建議,例如「Azure DevOps 服務連線不應該為所有管線授與存取權」。 此變更的目的是要增強特定問題的清晰性和可見度。
如需詳細資訊,請參閱新建議 (部分機器翻譯)。
變更適用於雲端的 Microsoft Defender 的成本在 Microsoft 成本管理中的顯示方式
公告日期:2023 年 10 月 26 日
變更的預估日期:2023 年 11 月
在 11 月,我們將會變更適用於雲端的 Microsoft Defender 的成本在成本管理和訂用帳戶發票中顯示的方式。
成本將會針對每個受保護的資源呈現,而非訂用帳戶中所有資源的彙總。
如果資源已套用標記 (組織通常會使用此方式來執行財務退款流程),其將會新增至適當的計費明細中。
將「金鑰保存庫應啟用清除保護」建議取代為合併的「金鑰保存庫應啟用刪除保護」建議
變更的預期日期:2023 年 6 月
Key Vaults should have purge protection enabled
建議已從 (法規合規性儀表板/Azure 安全性基準計畫) 中淘汰,並取代為新的合併建議 Key Vaults should have deletion protection enabled
。
建議名稱 | 描述 | 效果 | 版本 |
---|---|---|---|
金鑰保存庫應啟用刪除保護 | 您組織中可能有惡意的內部人員能夠刪除和清除金鑰保存庫。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 | 稽核、拒絕、停用 | 2.0.0 |
請參閱適用於 Key Vault 之 Azure 原則內建原則定義的完整索引 (部分機器翻譯)。
適用於 DevOps 的 Defender 的 DevOps 資源重複資料刪除
變更的預估日期:2023 年 11 月
為了改善適用於 DevOps 的 Defender 使用者體驗並實現與適用於雲端的 Defender 豐富功能集的進一步整合,適用於 DevOps 的 Defender 不再支援將重複的 DevOps 組織執行個體針對 Azure 租用戶進行上線。
如果您沒有將 DevOps 組織執行個體針對您的組織進行多次上線,則不需要採取進一步的動作。 如果您有針對租用戶多次上線的 DevOps 組織執行個體,訂用帳戶擁有者將會收到通知,且必須瀏覽至適用於雲端的 Defender [環境設定] 並刪除他們不想要保留的 DevOps 連接器。
客戶必須在 2023 年 11 月 14 日之前解決此問題。 在此日期之後,只有存在 DevOps 組織執行個體且最近建立的 DevOps 連接器才會持續針對適用於 DevOps 的 Defender 上線。 例如,如果 Contoso 組織同時存在於 connectorA 和 connectorB 中,且 connectorB 是在 connectorA 之後建立,則系統會從適用於 DevOps 的 Defender 中移除 connectorA。
針對 Log Analytics 代理程式淘汰的適用於雲端的 Defender 方案和策略
變更的預估日期:2024 年 8 月
Azure Log Analytics 代理程式 (也稱為 Microsoft Monitoring Agent (MMA)) 將於 2024 年 8 月淘汰 (英文)。因此,仰賴 Log Analytics 代理程式的兩個適用於雲端的 Defender 方案的功能將會受到影響,且其將具有更新的策略:適用於伺服器的 Defender 和機器上適用於 SQL Server 的 Defender。
重要策略點
- Azure 監視代理程式 (AMA) 不再是適用於伺服器的 Defender 供應項目的需求,但將持續是適用於 SQL 的 Defender 必要的一部分。
- 適用於伺服器的 Defender Log Analytics 版本以 MMA 為基礎的功能和能力將在 2024 年 8 月淘汰,並會在 MMA 淘汰日期之前透過替代基礎結構傳遞。
- 此外,目前提供這兩個代理程式 (MMA/AMA) 的安裝和設定的共用自動佈建流程也將會據以調整。
適用於伺服器的 Defender
下表說明在 Log Analytics 代理程式淘汰之後,將如何提供每個功能:
功能 | 淘汰計畫 | 替代 |
---|---|---|
適用於下層機器 (Windows Server 2012 R2、2016) 的適用於端點的 Defender/適用於雲端的 Defender 整合 | 使用舊版適用於端點的 Defender 感應器和 Log Analytics 代理程式的適用於端點的 Defender 整合 (適用於 Windows Server 2016 和 Windows Server 2012 R2 機器),在 2024 年 8 月後將不再受到支援。 | 請啟用 GA 整合代理程式整合來維持對機器的支援,並接收完整的擴充功能集。 如需詳細資訊,請參閱啟用適用於端點的 Microsoft Defender 整合 (部分機器翻譯)。 |
OS 層級威脅偵測 (代理程式型) | 以 Log Analytics 代理程式為基礎的 OS 層級威脅偵測在 2024 年 8 月後將不再可用。 我們很快將會提供已淘汰偵測的完整清單。 | OS 層級偵測是由適用於端點的 Defender 整合提供,且已經處於 GA。 |
自適性應用程式控制 | 以 Log Analytics 代理程式為基礎的目前 GA 版本 (部分機器翻譯) 將會與以 Azure 監視代理程式為基礎的預覽版本一起在 2024 年 8 月淘汰。 | 目前的自適性應用程式控制功能將會中止,而針對應用程式控制領域 (適用於端點的 Defender 和 Windows Defender 應用程式控制目前所提供的功能之外) 的新功能,將會作為未來適用於伺服器的 Defender 藍圖的一部分加以考量。 |
端點保護探索建議 | 目前針對在已偵測到的解決方案中安裝端點保護和修正健康情況問題的 GA 建議 (部分機器翻譯) 將在 2024 年 8 月淘汰。 目前透過 Log Analytics 代理程式提供的預覽建議,將會在透過無代理程式磁碟掃描功能提供替代方案後淘汰。 | 將在 2024 年 6 月之前針對探索和設定間隙提供新的無代理程式版本。 作為此升級的一部分,此功能將以適用於伺服器的 Defender 方案 2 和 Defender CSPM 元件之一部分的形式提供,且不會涵蓋內部部署或已連線至 Arc 的機器。 |
遺失 OS 修補檔 (系統更新) | 以 Log Analytics 代理程式為基礎套用系統更新的建議,在 2024 年 8 月後將不再可用。 目前透過來賓設定代理程式提供的預覽版本,將會在透過 Microsoft Defender 弱點管理進階功能提供替代方案後淘汰。 此功能針對 Docker 中樞和 VMMS 的支援將會在 2024 年 8 月淘汰,且將會作為未來適用於伺服器的 Defender 藍圖的一部分加以考量。 | 以和更新管理員的整合為基礎的新建議 (部分機器翻譯) 已經處於 GA,且沒有代理程式相依性。 |
OS 設定錯誤 (Azure 安全性基準建議) | 以 Log Analytics 代理程式為基礎的目前 GA 版本 (部分機器翻譯) 在 2024 年 8 月之後將不再可用。 使用來賓設定代理程式的目前預覽版本,將會在提供 Microsoft Defender 弱點管理整合後淘汰。 | 以和進階 Microsoft Defender 弱點管理的整合為基礎的新版本,將會在 2024 年年初以適用於伺服器的 Defender 方案 2 之一部分的形式提供。 |
檔案完整性監視 | 以 Log Analytics 代理程式為基礎的目前 GA 版本 (部分機器翻譯) 在 2024 年 8 月之後將不再可用。 以 Azure 監視器代理程式 (AMA) 為基礎的 FIM 公開預覽版本 (部分機器翻譯) 將於透過適用於端點的 Defender 提供替代方案後淘汰。 | 此功能的新版本將根據適用於端點的 Microsoft Defender 整合,在 2024 年 6 月之前提供。 |
針對資料擷取的 500 MB 權益 (部分機器翻譯) | 針對已定義資料表上資料擷取的 500 MB 權益 (部分機器翻譯),在適用於伺服器的 Defender P2 所涵蓋之訂用帳戶下的機器上仍會透過 AMA 代理程式支援。 每部機器都有資格獲得一次權益,即使 Log Analytics 代理程式和 Azure 監視器代理程式都安裝在其上方也一樣。 |
Log Analytics 和 Azure 監視代理程式自動佈建體驗
目前提供這兩個代理程式 (MMA/AMA) 的安裝和設定的佈建流程,也將會針對上述方案據以調整:
MMA 自動佈建機制及其相關原則計畫將透過適用於雲端的 Defender 平台保持選擇性且受到支援,直到 2024 年 8 月為止。
在 2023 年 10 月:
目前共用的「Log Analytics 代理程式」/「Azure 監視器代理程式」自動佈建機制將只會更新並套用至「Log Analytics 代理程式」。
- 與 Azure 監視器代理程式 (AMA) 相關的公開預覽原則計畫將會淘汰,並取代為適用於 Azure 監視器代理程式 (AMA) 的新自動佈建流程,且僅以 Azure 註冊的 SQL 伺服器 (Azure VM 上的 SQL 伺服器/已啟用 Arc 的 SQL 伺服器) 為目標。
目前具有已啟用公開預覽原則計畫之 AMA 的客戶將持續受到支援,但仍建議其移轉至新的原則。
為了確保您伺服器的安全性,並能接收來自適用於伺服器的 Defender 的所有安全性更新,請務必在您的訂用帳戶上啟用適用於端點的 Defender 整合 (部分機器翻譯) 和無代理程式磁碟掃描 (部分機器翻譯)。 這也能使您的伺服器在替代交付項目方面保持在最新狀態。
代理程式移轉規劃
首先,建議所有適用於伺服器的 Defender 客戶都啟用作為適用於伺服器的 Defender 供應項目之一部分的適用於端點的 Defender 整合和無代理程式磁碟掃描,不需額外付費。 這將能確保您能夠自動獲得新替代交付項目的涵蓋,且無需進行額外的上線動作。
接下來,請根據您的組織需求規劃您的移轉計畫:
需要 Azure 監視器代理程式 (AMA) (針對適用於 SQL 的 Defender 或其他案例) | 需要 FIM/EPP 探索/基準,作為適用於伺服器的 Defender 的一部分 | 我該做什麼 |
---|---|---|
No | Yes | 從 2024 年 4 月開始,您便可以移除 MMA,並根據您的需求使用 GA 版本的適用於伺服器的 Defender (將會提早提供預覽版本) |
No | No | 您可以立即移除 MMA |
是 | No | 您可以立即從 MMA 移轉至 AMA |
Yes | Yes | 您可以在 2024 年 4 月開始從 MMA 移轉至 AMA,也可以從現在起同時使用這兩個代理程式。 |
已啟用 Log Analytics 代理程式(MMA) 的客戶
如果您的組織需要下列功能:檔案完整性監視 (FIM)、端點保護建議、OS 錯誤設定 (安全性基準建議),您可以在替代方案於 2024 年 4 月以 GA 形式提供時淘汰 MMA (將會提早提供預覽版本)。
如果您的組織需要上述功能,且其他服務也需要 Azure 監視器代理程式 (AMA),您可以在 2024 年 4 月開始從 MMA 移轉至 AMA。 或者,您可以同時使用 MMA 和 AMA 以取得所有 GA 功能,然後在 2024 年 4 月移除 MMA。
如果您不需要上述功能,且其他服務需要 Azure 監視器代理程式 (AMA),您可以立即開始從 MMA 移轉至 AMA。 不過請注意,透過 AMA 提供的預覽適用於伺服器的 Defender 功能將在 2024 年 4 月淘汰。
已啟用 Azure 監視器代理程式 (AMA) 的客戶
您不需採取任何動作。
- 您將會透過無代理程式和適用於端點的 Defender 接收到所有適用於伺服器的 Defender GA 功能。 下列功能將在 2024 年 4 月以 GA 形式提供:檔案完整性監視 (FIM)、端點保護建議、OS 錯誤設定 (安全性基準建議)。 透過 AMA 提供的預覽適用於伺服器的 Defender 功能將在 2024 年 4 月淘汰。
重要
如需如何針對此變更進行規劃的詳細資訊,請參閱適用於雲端的 Microsoft Defender - 針對 Log Analytics 代理程式 (MMA) 淘汰的策略和規劃 (英文)。
機器上適用於 SQL Server 的 Defender
機器上適用於 SQL Server 的 Defender 方案需仰賴 Log Analytics 代理程式 (MMA)/Azure 監視代理程式 (AMA) 來針對 IaaS SQL Server 執行個體提供弱點評量和進階威脅防護。 該方案支援處於 GA 的 Log Analytics 代理程式自動佈建,以及處於公開預覽的 Azure 監視代理程式自動佈建。
下列小節描述以 SQL Server 為目標的全新改良 Azure 監視代理程式 (AMA) 自動佈建流程的規劃推出,以及 Log Analytics 代理程式 (MMA) 的淘汰程序。 使用 MMA 的內部部署 SQL 伺服器在移轉至新流程時,由於 AMA 需求的緣故,將會需要 Azure Arc 代理程式。 使用新自動佈建流程的客戶將能受益於簡單且順暢的代理程式設定,並減少上線錯誤,同時提供更廣泛的保護涵蓋範圍。
里程碑 | Date | 其他相關資訊 |
---|---|---|
以 SQL 為目標的 AMA 自動佈建公開預覽發行 | 2023 年 10 月 | 新的自動佈建流程將僅以 Azure 註冊的 SQL 伺服器 (Azure VM 上的 SQL 伺服器/已啟用 Arc 的 SQL 伺服器) 為目標。 目前的 AMA 自動佈建流程及其相關原則計畫將會淘汰。 客戶仍然可以加以使用,但其已不再受到支援。 |
以 SQL 為目標的 AMA 自動佈建 GA 發行 | 2023 年 12 月 | 以 SQL 為目標的 AMA 自動佈建流程的 GA 發行。 在發行之後,其將會定義為所有新客戶的預設選項。 |
MMA 淘汰 | 2024 年 8 月 | 目前的 MMA 自動佈建流程及其相關原則計畫將會淘汰。 客戶仍然可以加以使用,但其已不再受到支援。 |
淘汰兩個安全性事件
變更的預估日期:2023 年 11 月
為了遵循品質改善流程,下列安全性事件預計將會淘汰:Security incident detected suspicious virtual machines activity
和 Security incident detected on multiple machines
。
下一步
如需 Defender for Cloud 的所有最近變更,請參閱Microsoft Defender for Cloud 的新功能。
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: