關於資料安全性態勢管理
隨著數位轉型的加速,組織會使用多個資料存放區 (例如物件存放區和受控/裝載的資料庫),以指數速度將資料移至雲端。 雲端的動態和複雜性增加了資料威脅面和風險。 這給安全性小組帶來了資料可見度和保護雲端資料資產方面的挑戰。
適用於雲端的 Microsoft Defender 中的資料安全性態勢管理可協助您降低資料風險並應對資料外洩問題。 使用資料安全性態勢管理,您可以:
- 自動探索跨多個雲端的敏感性資料資源。
- 評估資料敏感度、資料暴露,以及資料在組織中的流動方式。
- 主動且持續地發現可能導致資料外洩的風險。
- 偵測可能顯示對敏感性資料資源持續造成威脅的可疑活動。
自動探索
資料安全性態勢管理會自動且持續地探索跨雲端的受控和影子資料資源,包括不同類型的物件存放區和資料庫。
- 使用「Defender 雲端安全性態勢管理 (CSPM)」和「適用於儲存體的 Defender」方案中包含的敏感性資料探索延伸模組來探索敏感性資料。
- 此外,您還可以在「雲端安全性總管」和攻擊路徑中探索裝載的資料庫和資料流程。 此功能可在 Defender CSPM 方案中取得,且不相依於敏感性資料探索延伸模組。
智慧取樣
「適用於雲端的 Defender」會使用智慧取樣來探索雲端資料存放區中選定數量的資產。 智慧取樣結果會探索敏感性資料問題的證據,同時節省探索成本和時間。
Defender CSPM 中的資料安全性態勢管理
Defender CSPM 可提供對您的組織安全性態勢的可見度和內容深入解析。 將資料安全性態勢管理新增至 Defender CSPM 方案,可讓您主動識別並排定重大資料風險的優先順序,將其與風險較低的問題區分開來。
攻擊路徑
攻擊路徑分析可協助您解決構成直接威脅並在您的環境中最有可能被惡意探索的安全性問題。 適用於雲端的 Defender 會分析哪些安全性問題屬於攻擊者可用來入侵環境的潛在攻擊路徑。 它還強調了需要解決問題以減輕風險的安全性建議。
您可以透過有權存取敏感性資料存放區且的暴露於網際網路的 VM 的攻擊路徑來探索資料外洩的風險。 駭客可以利用暴露的 VM 在企業中橫向移動以存取這些存放區。
雲端安全性總管
「雲端安全性總管」可透過在 Cloud Security Graph (「適用於雲端的 Defender」的內容引擎) 上執行圖形式查詢,協助您識別雲端環境中的安全性風險。 您可以優先處理安全性小組的疑慮,同時考慮組織的特定內容和慣例。
您可以使用「雲端安全性總管」查詢範本或建置自己的查詢,來尋找跨多雲環境之間可公開存取和包含敏感性資料的錯誤設定資料資源的深入解析。 您可以執行查詢來檢查安全性問題,以及將環境內容放入您的資產清查、網際網路暴露區、存取控制、資料流程等。 檢閱雲端圖深入解析。
適用於儲存體的 Defender 中的資料安全性態勢管理
「適用於儲存體的 Defender」會透過進階威脅偵測功能來監視 Azure 儲存體帳戶。 它會透過識別存取或利用資料的有害嘗試以及識別可能導致洩漏的可疑設定變更來偵測潛在的資料外洩問題。
偵測到早期可疑跡象時,「適用於儲存體的 Defender」會產生安全性警示,讓安全性小組能夠快速回應並減輕風險。
藉由在儲存體資源上套用敏感度資訊類型和 Microsoft Purview 敏感度標籤,您可以輕易地確定針對敏感性資料的警示和建議的優先順序。
深入了解「適用於儲存體的 Defender」中的敏感性資料探索 。
資料敏感度設定
資料敏感度設定可定義組織中被視為敏感性資料的內容。 「適用於雲端的 Defender」中的資料敏感度值是以下列為基礎:
- 預先定義的敏感性資訊類型:「適用於雲端的 Defender」會使用 Microsoft Purview 中內建的敏感性資訊類型。 這可確保服務與工作負載之間的一致性分類。 其中一些類型在「適用於雲端的 Defender」中預設為啟用。 您可以修改這些預設值。 在這些內建敏感性資訊類型中,有一個子集受敏感性資料探索支援。 您可以檢視此子集的參考清單,其中也列出了預設支援的資訊類型。
- 自訂資訊類型/標籤:您可以選擇性地匯入您在 Microsoft Purview 合規性入口網站中所定義的自訂敏感性資訊類型和標籤。
- 敏感性資料閾值:在「適用於雲端的 Defender」中,您可以設定敏感性資料標籤的閾值。 此閾值可決定標籤要在「適用於雲端的 Defender」中標示為敏感性的標籤的最低信賴度等級。 這些閾值可讓您更輕易地探索敏感性資料。
探索資料敏感度的資源時,結果會以這些設定為基礎。
當您使用 Defender CSPM 或「適用於儲存體的 Defender」方案中的敏感性資料探索元件來啟用資料安全性態勢管理功能時,「適用於雲端的 Defender」會使用演算法來識別似乎包含敏感性資料的資料資源。 資源會根據資料敏感度設定來標示。
敏感度設定的變更會在下次探索資源時生效。
敏感性資料探索
敏感性資料探索可識別敏感性資源及其相關風險,然後協助排定優先順序並補救這些風險。
如果在資源中偵測到敏感性資訊類型 (SIT),且您已將 SIT 設定成視為敏感性,則適用於雲端的 Defender 會將該資源視為敏感性。 請參閱預設視為敏感性的 SIT 清單。
敏感性資料探索程序的運作方式是採用資源的資料範例。 然後,範例資料用於識別高度信賴的敏感性資源,而不需對資源中的所有資產執行完整掃描。
敏感性資料探索程序是由 Microsoft Purview 分類引擎提供支援,不論其類型或裝載雲端廠商為何,都會對所有資料存放區使用一組通用的 SIT 和標籤。
敏感性資料探索可偵測雲端工作負載層級是否有敏感性資料存在。 敏感性資料探索旨在識別各種類型的敏感性資訊,但可能不會偵測所有類型。
若要使用雲端資源中所有可用的 SIT 取得完整的資料編目掃描結果,建議您使用來自 Microsoft Purview 的掃描功能。
對於雲端儲存
適用於雲端的 Defender 的掃描演算法會針對容器內掃描的每個檔案,選取可能包含最多 20 MB 敏感性資訊和範例的容器。
對於雲端資料庫
適用於雲端的 Defender 會使用非封鎖查詢,選取 300 到 1,024 個資料列之間的特定資料表和範例。