概觀 - 關於數據安全性狀態管理
組織會使用多個數據存放區,例如物件存放區和受控/裝載資料庫,以指數速率將數據移至雲端,因為數字轉換會加速。 雲端的動態和複雜本質會增加數據威脅表面和風險。 安全性小組面臨數據可見度和保護雲端數據資產的挑戰。
適用於雲端的 Microsoft Defender 中的數據安全性狀態管理可協助您降低數據風險並回應數據外洩。 透過資料安全性狀態管理,您可以:
- 自動探索跨多個雲端的敏感性資料資源。
- 評估資料敏感度、資料暴露,以及資料在組織中的流動方式。
- 主動且持續地發現可能導致資料外洩的風險。
- 偵測可能顯示對敏感性資料資源持續造成威脅的可疑活動。
自動探索
數據安全性狀態管理會跨雲端尋找受控和陰影數據資源。 它包含不同類型的物件存放區和資料庫。
- 使用 Defender 雲端安全性狀態管理 (CSPM) 和適用於記憶體的 Defender 計劃中包含的敏感數據探索延伸模組來探索敏感數據。
- 此外,您可以在雲端安全性總管和攻擊路徑中探索託管的資料庫和數據流。 此功能可在 Defender CSPM 方案中取得,且不相依於敏感性資料探索延伸模組。
智慧取樣
「適用於雲端的 Defender」會使用智慧取樣來探索雲端資料存放區中選定數量的資產。 智慧取樣會探索敏感數據問題的證據,同時節省探索成本和時間。
Defender CSPM 中的資料安全性態勢管理
Defender CSPM 可提供對您的組織安全性態勢的可見度和內容深入解析。 將數據安全性狀態管理新增至 Defender CSPM 方案可讓您主動識別並排定重要數據風險的優先順序,使其與風險較低的問題區別開來。
攻擊路徑
攻擊路徑分析可協助您解決造成立即威脅的安全性問題,而且在您的環境中具有最大的惡意探索潛力。 適用於雲端的 Defender 分析哪些安全性問題是攻擊者可能用來入侵環境的潛在攻擊路徑的一部分。 它也強調需要解決以降低風險的安全性建議。
您可以藉由可存取敏感數據存放區之因特網公開 VM 的攻擊路徑來探索數據外泄風險。 駭客可以利用暴露的 VM 橫向移動,並存取這些存放區。
雲端安全性總管
Cloud Security Explorer 可協助您識別雲端環境中的安全性風險,方法是在 Cloud Security Graph 上執行圖形型查詢,適用於雲端的 Defender 的內容引擎。 您可以在考慮組織的特定內容和慣例時,排定安全性小組的考慮優先順序。
使用 Cloud Security Explorer 查詢範本來尋找設定錯誤數據資源的深入解析。 您也可以建置自己的查詢。 這些資源可公開存取,並包含跨多重雲端環境的敏感數據。 您可以執行查詢來檢查安全性問題,並將環境內容放入資產清查、暴露在因特網、訪問控制、數據流等等。 檢閱雲端圖深入解析。
適用於儲存體的 Defender 中的資料安全性態勢管理
適用於記憶體的 Defender 會使用進階威脅偵測功能來監視 Azure 記憶體帳戶。 它會藉由識別有害嘗試來存取或惡意探索數據,以及可能導致缺口的可疑組態變更,來偵測潛在的數據外洩。
當適用於記憶體的 Defender 偵測到早期可疑的徵兆時,會產生安全性警示,讓安全性小組能夠快速回應並減輕風險。
在記憶體資源上套用敏感度資訊類型和Microsoft Purview 敏感度卷標,以輕鬆排定著重於敏感數據的警示和建議的優先順序。
深入了解「適用於儲存體的 Defender」中的敏感性資料探索 。
資料敏感度設定
數據敏感度設定會定義組織中被視為敏感數據的內容。 適用於雲端的 Defender 以數據敏感度值為基礎:
- 預先定義的敏感性資訊類型:「適用於雲端的 Defender」會使用 Microsoft Purview 中內建的敏感性資訊類型。 此方法可確保跨服務和工作負載進行一致的分類。 適用於雲端的 Defender 預設會啟用其中一些類型。 您可以修改這些預設值。 在這些內建敏感性資訊類型中,有一個子集受敏感性資料探索支援。 您可以檢視此子集的參考清單,其中也列出了預設支援的資訊類型。
- 自訂資訊類型/標籤:您可以選擇性地匯入您在 Microsoft Purview 合規性入口網站中所定義的自訂敏感性資訊類型和標籤。
- 敏感性資料閾值:在「適用於雲端的 Defender」中,您可以設定敏感性資料標籤的閾值。 此閾值可決定標籤要在「適用於雲端的 Defender」中標示為敏感性的標籤的最低信賴度等級。 這些閾值可讓您更輕易地探索敏感性資料。
探索數據敏感度的資源時,適用於雲端的 Defender 根據這些設定的結果。
在適用於記憶體的Defender CSPM 或適用於記憶體的Defender方案中,使用敏感數據探索元件啟用資料安全性狀態管理。 此功能可讓 適用於雲端的 Defender 識別包含敏感數據的數據資源。 適用於雲端的 Defender 會根據數據敏感度設定來標記資源。
下次 適用於雲端的 Defender 探索資源時,敏感度設定中的變更就會生效。
敏感性資料探索
敏感數據探索會識別敏感性資源及其相關風險,然後協助排定優先順序並補救這些風險。
如果 適用於雲端的 Defender 偵測到敏感性資訊類型(SIT),並將 SIT 設定為敏感性,則會考慮資源敏感性。 請參閱預設視為敏感性的 SIT 清單。
敏感數據探索程式會藉由取樣資源的數據來運作。 它會使用範例數據來識別高度信賴的敏感性資源,而不需要對資源中的所有資產執行完整掃描。
Microsoft Purview 分類引擎可支援敏感數據探索程式。 不論其類型或裝載雲端廠商為何,它都會為所有數據存放區使用一組常見的 SIT 和標籤。
敏感數據探索會在雲端工作負載層級偵測敏感數據。 敏感性資料探索旨在識別各種類型的敏感性資訊,但可能不會偵測所有類型。
若要使用雲端資源中所有可用的 SIT 取得完整的資料編錄掃描結果,請使用來自 purview Microsoft 的掃描功能。
對於雲端儲存
適用於雲端的 Defender 的掃描演算法會針對容器內掃描的每個檔案,選取可能包含敏感性資訊和樣本最多 20 MB 的容器。
對於雲端資料庫
適用於雲端的 Defender 會使用非封鎖查詢,選取 300 到 1,024 個資料列之間的特定資料表和範例。