啟用資料安全性態勢管理
本文說明如何在適用於雲端的 Microsoft Defender 中啟用資料安全性態勢管理。
在您開始使用 Intune 之前
- 啟用資料安全性態勢管理之前,請先檢閱支援和必要條件。
- 當您啟用 Defender CSPM 或適用於儲存體的 Defender 方案時,會自動啟用敏感性資料探索延伸模組。 如果您不想使用資料安全性態勢管理,則可以停用此設定,但建議您使用此功能從適用於雲端的 Defender 獲得最大價值。
- 會根據適用於雲端的 Defender 中的資料敏感度設定來識別敏感性資料。 您可以自訂資料敏感度設定,以識別組織認為敏感性的資料。
- 啟用此功能之後,最多需要 24 小時才能看到第一次探索的結果。
在 Defender CSPM 中啟用 (Azure)
請遵照以下步驟以啟用資料安全性態勢管理。 開始之前,別忘了檢閱必要權限 (部分機器翻譯)。
瀏覽至 [適用於雲端的 Microsoft Defender]>[環境設定]。
選取相關的 Azure 訂用帳戶。
針對 Defender CSPM 方案,選取 [開啟] 狀態。
如果 Defender CSPM 已開啟,請在 Defender CSPM 方案的 [監視涵蓋範圍] 欄位中選取 [設定],並確定將 [敏感性資料探索] 元件設定為 [開啟] 狀態。
當敏感性資料探索在 Defender CSPM 中 [開啟] 後,隨著支援的資源類型範圍的擴展,它將自動納入對其他資源類型的支援。
在 Defender CSPM 中啟用 (AWS)
在您開始使用 Intune 之前
- 別忘了檢閱 AWS 探索的需求 (部分機器翻譯) 和必要權限 (部分機器翻譯)。
- 確定沒有任何原則會封鎖 Amazon S3 貯體連線。
- 針對 RDS 執行個體:支援跨帳戶 KMS 加密,但 KMS 存取的其他原則可能會禁止存取。
啟用 AWS 資源
S3 貯體和 RDS 執行個體
- 如上所述啟用資料安全性態勢
- 繼續按照說明下載 CloudFormation 範本並在 AWS 中執行。
自動探索 AWS 帳戶中的 S3 貯體會自動啟動。
針對 S3 貯體,適用於雲端的 Defender 掃描器會在 AWS 帳戶中執行,並連線到您的 S3 貯體。
針對 RDS 執行個體,當開啟 [敏感性資料探索] 後,就會觸發探索。 掃描器將為執行個體拍攝最新的自動快照集、在來源帳戶內建立手動快照集,並將其複製到相同區域內,Microsoft 擁有的隔離環境中。
會快照集使用建立即時執行個體,該執行個體會啟動、掃描,然後立即銷毀 (連同複製的快照集)。
掃描平台只會報告掃描結果。
查看 S3 封鎖原則
如果啟用處理序因為封鎖的原則而無法運作,請查看下列項目:
- 確定 S3 貯體原則未封鎖連線。 在 AWS S3 貯體中,選取 [權限] 索引標籤 > [貯體原則]。 請查看原則詳細資料,確保在 AWS 的 Microsoft 帳戶中執行的適用於雲端的 Microsoft Defender 掃描器服務未被封鎖。
- 確定沒有任何 SCP 原則會封鎖 S3 貯體連線。 例如,您的 SCP 原則可能會封鎖裝載 S3 貯體之 AWS 區域的讀取 API 呼叫。
- 查看 SCP 原則是否允許這些必要的 API 呼叫:AssumeRole、GetBucketLocation、GetObject、ListBucket、GetBucketPublicAccessBlock
- 查看您的 SCP 原則是否允許 us-east-1 AWS 區域的呼叫,而這是 API 呼叫的預設區域。
在適用於儲存體的 Defender 中啟用資料感知監視
當在適用於儲存體的 Defender 方案中啟用敏感性資料探索元件時,預設會啟用敏感性資料威脅偵測。 深入了解。
如果關閉 Defender CSPM 方案,則只會掃描 Azure 儲存體資源。