適用於雲端的 Defender-What's new archive

此頁面提供功能、修正和淘汰功能的相關信息，這些功能、修正和取代時間超過六個月。 欲獲得最新更新，請閱讀 適用於雲端的 Defender 有什麼新消息？。

2025 年 6 月

Date	Category	Update
6 月 30 日	Preview	Defender 用於基於 Helm （Preview）
6月25日	Preview	儲存惡意程式碼掃描結果的選擇性索引標籤 （預覽）
6月25日	Preview	函數應用程式和邏輯應用程式中託管的 API 的 API 探索和安全性態勢 (預覽)
6月25日	Preview	無代理程式檔案完整性監視 （預覽）
6月18日	Preview	無代理程式碼掃描——GitHub支援與可自訂覆蓋現已開放（預覽）

基於 Helm 的容器 DNS 偵測 Defender（預覽版）

包含項目：

• 基於 Helm 的部署支援

  關於設定說明及更多細節，請參見使用 Helm 安裝容器感測器的 Defender安裝容器感測器。

• DNS 威脅偵測

  提高記憶體效率並降低大型叢集部署的 CPU 使用量。

欲了解更多資訊，請參閱：Sensor for Defender for Containers Changelog。

儲存惡意程式碼掃描結果的選擇性索引標籤 （預覽）

2025年6月25日

Defender for Storage 惡意軟體掃描引入了可選的索引標籤，適用於上傳與按需掃描。 有了這項新功能，用戶可以選擇在掃描 Blob 時，是否要將結果發佈至 Blob 的索引標籤（預設值）或不使用索引卷標。 索引標籤可透過訂閱與儲存帳號層級，透過 Azure 入口網站或 API 啟用或停用。

函數應用程式與 Logic Apps 中託管之 API 的探索及安全配置（預覽）

2025年6月25日

適用於雲端的 Defender 現在擴展了其 API 發現與安全態勢，涵蓋託管於 Azure Function Apps 和 Logic Apps 中的 API，除了對 Azure API 管理 年發佈的 API 既有支援之外。

這項增強功能可讓安全性小組全面且持續更新其組織的 API 攻擊面檢視。 主要功能包括：

• 集中式 API Inventory：自動發現並編目支援Azure服務間的 API。
• 安全性風險評估：識別並排定風險的優先順序，包括識別可能需要移除的休眠 API，以及可能公開敏感數據的未加密 API。

這些功能對所有啟用 API 安全態勢管理擴充功能 的 適用於雲端的 Defender 安全態勢管理（DCSPM）> 客戶自動<可用。

推出時程表：這些更新的推出將於 2025 年 6 月 25 日開始，預計將在一周內到達所有 支持的區域 。

無代理程式檔案完整性監視 （預覽）

2025年6月25日

無代理程式檔案完整性監視 （FIM） 現已提供預覽版。 此功能補充了基於 適用於端點的 Microsoft Defender 代理程式的普遍可用（GA）FIM 解決方案，並引入了自訂檔案與登錄檔監控的支援。

無代理程式 FIM 可讓組織監視其環境中的檔案和登錄變更，而不需要部署其他代理程式。 它提供輕量且可調整的替代方案，同時維持與現有代理程式型解決方案的相容性。

主要功能包括：

• 自定義監視：藉由定義及監視自定義檔案路徑和登錄機碼，以符合特定的合規性和安全性需求。
• 整合體驗：無代理程式和 MDE 型 FIM 的事件會儲存在相同的工作區數據表中，並具有清楚的來源指標。

深入瞭解 檔案完整性監視 ，以及如何 啟用檔案完整性監視。

無代理程式碼掃描——GitHub 支援及可自訂覆蓋現已開放（預覽版）

2025年6月18日

我們已更新無代理程式代碼掃描功能，以包含擴充涵蓋範圍和控制的重要功能。 這些更新包括：

• 支援 GitHub 倉庫，以及 Azure DevOps
• 可自訂的掃描器選取 – 選取要執行的工具（例如 Bandit、Checkov、ESLint）
• 細微範圍設定 – 包含或排除特定組織、專案或存放庫

無代理程式代碼掃描可為程式代碼和基礎結構即程序代碼 （IaC） 提供可調整的安全性掃描，而不需要變更 CI/CD 管線。 它可協助安全性小組偵測弱點和設定錯誤，而不會中斷開發人員工作流程。

了解更多關於配置無代理碼掃描的資訊，Azure DevOps或GitHub。

2025年5月

Date	Category	Update
5 月 28 日	GA	可自訂上傳時惡意軟體掃描過濾器的普遍可用性Defender 用於儲存
5 月 5 日	Preview	活躍使用者 （公開預覽）
5 月 1 日	GA	適用於 AI 服務的 Defender
5 月 1 日	GA	Microsoft Security Copilot 現已於 適用於雲端的 Defender
5 月 1 日	GA	一般可用性數據和 AI 安全儀錶板
5 月 1 日	即將發生的變更	Defender CSPM 開始為彈性伺服器適用於 MySQL 的 Azure 資料庫及適用於 PostgreSQL 的 Azure 資料庫彈性伺服器資源計費

Defender 儲存時可自訂的上傳時惡意軟體掃描過濾器的正式可用性

2025年5月28日

上傳惡意代碼掃描現在支援可自定義的篩選。 用戶可以根據 Blob 路徑前置詞、後綴和 Blob 大小來設定上傳惡意代碼掃描的排除規則。 藉由排除特定的 Blob 路徑和類型，例如記錄檔或暫存盤，您可以避免不必要的掃描並降低成本。

瞭解如何 設定可自定義上傳惡意代碼掃描篩選器。

作用中使用者 (公開預覽)

活躍用戶功能可協助安全性系統管理員根據最近的控制平面活動，快速識別並指派建議給最相關的使用者。 針對每項建議，在資源、資源群組或訂閱層級，最多會推薦三個潛在的活躍使用者。 系統管理員可以從清單中選取使用者、指派建議，以及設定到期日，以觸發通知給指派的使用者。 這樣可簡化補救工作流程、減少調查時間，並強化整體安全性狀態。

適用於 AI 服務的 Defender 正式上市

2025年5月1日

適用於雲端的 Defender 現在支援 Azure AI 服務（過去稱為 AI 工作負載的威脅防護）的執行時保護。

Azure AI 服務 的防護涵蓋針對 AI 服務與應用的特定威脅，如越獄、錢包濫用、資料外洩、可疑存取模式等。 這些偵測利用 Microsoft 威脅情報與 Azure AI 提示盾的訊號，並運用機器學習與 AI 來保護您的 AI 服務。

了解更多關於適用於 AI 服務的 Defender。

Microsoft Security Copilot 現已正式在 適用於雲端的 Defender 中推出

2025年5月1日

Microsoft Security Copilot 現已正式在 適用於雲端的 Defender 中推出。

Security Copilot 加速安全團隊的風險修復，讓管理員能更快更輕鬆地處理雲端風險。 它提供 AI 產生的摘要、補救動作和委派電子郵件，引導使用者完成風險降低程式的每個步驟。

安全性管理員可以快速摘要建議、產生補救腳本，以及透過電子郵件將工作委派給資源擁有者。 這些功能可減少調查時間、協助安全性小組瞭解內容中的風險，以及識別資源以進行快速補救。

在適用於雲端的 Defender中了解更多關於Microsoft Security Copilot的資訊。

正式發行資料和 AI 安全性儀錶板

2025年5月1日

適用於雲端的 Defender 正在透過 GA 新增的資料與 AI 安全儀表板，將資料安全儀表板納入 AI 安全。 儀錶板提供集中式平臺來監視及管理數據和 AI 資源，以及其相關聯的風險和保護狀態。

主要的數據與 AI 安全儀表板優勢包括：

• 統一檢視：取得所有組織數據和 AI 資源的完整檢視。
• 數據深入解析：了解數據的儲存位置，以及保存數據的資源類型。
• 保護涵蓋範圍：評估數據與 AI 資源的保護涵蓋範圍。
• 重大問題：根據高嚴重性建議、警示和攻擊路徑，醒目提示需要立即注意的資源。
• 敏感數據探索：找出並摘要雲端和 AI 資產中的敏感數據資源。
• AI 工作負載：探索 AI 應用程式使用量，包括服務、容器、數據集和模型。

深入了解資料和 AI 安全性儀表板。

Defender CSPM 開始為 適用於 MySQL 的 Azure 資料庫 Flexible Server 及 適用於 PostgreSQL 的 Azure 資料庫 Flexible Server resources 計費

2025年5月1日

變更的估計日期： 2025年6月

自 2025 年 6 月 1 日起，Microsoft Defender CSPM 將開始為您的訂閱中的 適用於 MySQL 的 Azure 資料庫 Flexible Server 及 適用於 PostgreSQL 的 Azure 資料庫 Flexible Server 資源計費，適用於您的訂閱中Defender CSPM 已啟用。 這些資源已由 Defender CSPM 保護，且無需使用者操作。 計費開始之後，您的帳單可能會增加。

如需詳細資訊，請參閱 CSPM 方案定價

2025年4月

Date	Category	Update
4 月 29 日	Preview	GCP Vertex AI 中的 AI 態勢管理 (預覽)
4 月 29 日	Preview	適用於雲端的 Defender 與 Mend.io （Preview）
4 月 29 日	Change	已更新GitHub應用程式權限
4 月 28 日	Change	更新至Defender for SQL server on Machines plan
4 月 27 日	GA	在 Microsoft Defender 中儲存 Storage
4月24日	GA	Defender CSPM Plan
4 月 7 日	即將進行的變更	適用於 App Service 的 Defender 警示增強功能

GCP Vertex AI 中的 AI 態勢管理（預覽）

2025年4月29日

適用於雲端的 Defender 的 AI 安全態勢管理功能現已支援 Google Cloud Platform （GCP） Vertex AI（預覽版）中的 AI 工作負載。

此版本的主要功能包括：

• 現代 AI 應用程式探索：自動探索和編錄部署在 GCP Vertex AI 中的 AI 應用程式元件、數據和 AI 產出。
• 安全性狀態加強：偵測設定錯誤，並接收內建的建議和補救動作，以增強 AI 應用程式的安全性狀態。
• 攻擊路徑分析：使用進階攻擊路徑分析來識別和補救風險，以保護 AI 工作負載免於潛在威脅。

這些功能的設計目的是為 AI 資源提供完整的可見度、設定錯誤檢測和加固措施，以確保在 GCP Vertex AI 平台上開發的 AI 工作負載風險降低。

深入了解 AI 安全性態勢管理。

適用於雲端的 Defender 與 Mend.io 的整合（預覽）

2025年4月29日

適用於雲端的 Defender 現在已經與 Mend.io 預覽版整合。 這項整合可藉由識別及減輕合作夥伴相依性中的弱點，來增強軟體應用程式安全性。 這項整合可簡化探索和補救程式，以改善整體安全性。

深入瞭解 Mend.io 整合。

GitHub 應用程式權限更新

2025年4月29日

適用於雲端的 Defender 中的GitHub連接器將更新，包含管理員權限[自訂屬性]。 此許可權可用來提供新的內容化功能，並限定為管理自定義屬性架構的範圍。 可以透過兩種不同的方式授與權限：

1. 在你的GitHub組織中，進入Settings > GitHub Apps 中的Microsoft 安全性 DevOps 應用程式，並接受權限請求。

2. 在GitHub支援的自動電子郵件中，選擇Review 權限請求以接受或拒絕此變更。

注意：如果未採取上述動作，現有的連接器會繼續在沒有新功能的情況下運作。

更新到 Defender for Machines server on Machines 方案

2025 年 4 月 28 日

適用於雲端的 Microsoft Defender 中的 Defender for SQL Server on machines 計畫保護託管於 Azure、AWS、GCP 及本地機上的 SQL Server 實例。

從今天開始，我們將逐步推出計劃的增強版代理解決方案。 基於代理的解決方案免除了部署 Azure 監視器 Agent（AMA）的需求，改用現有的 SQL 基礎架構。 此解決方案的設計目的是讓上線程式更容易並改善保護涵蓋範圍。

必要的客戶動作：

1. 機器上 SQL 伺服器方案設定 更新Defender：先前啟用機器上SQL Server Defender的客戶，必須依照以下指示更新其配置，並依據增強代理版本發布。

2. Verify SQL Server instances protection狀態：預計於 2025 年 5 月開始，客戶必須在其環境中驗證其 SQL Server instances 的保護狀態。 學習如何troubleshooting任何部署問題，Defender 在機器上使用 SQL，configuration。

Note

代理程式升級完成後，若您啟用的 Defender for SQL Server on Machines 方案保護額外的 SQL Server 實例，帳單可能會增加。 有關帳單資訊，請參閱適用於雲端的 Defender價格頁面。

Microsoft Defender 儲存裝置中上傳時惡意軟體掃描的新預設上限

2025年4月27日

上傳惡意代碼掃描的預設上限值已從 5,000 GB 更新為 10,000 GB。 這個新的上限適用於下列案例：

• 新訂閱： 首次啟用儲存Defender的訂閱。

• 重新啟用訂閱： 先前關閉儲存Defender但現在重新啟用的訂閱。

當這些訂閱啟用 Defender for Storage 惡意軟體掃描後，上傳時惡意軟體掃描的預設上限將設為 10,000GB。 此上限可調整以符合您的特定需求。

如需詳細資訊，請參閱惡意代碼掃描 - 每 GB 計費、每月上限和設定一節

Defender CSPM 計畫中 API 安全態勢管理原生整合的普遍可用性

2025年4月24日

API 安全態勢管理現已作為 Defender CSPM 計畫的一部分普遍提供。 此版本引入了統一的 API 清單及態勢洞察，幫助您更有效地從 Defender CSPM 計畫中識別並優先排序 API 風險。 您可以開啟 API 安全性狀態擴充功能，透過 [環境設定] 頁面啟用此功能。

透過此更新，已新增新的風險因素，包括未經驗證 API 的風險因素（AllowsAnonymousAccess）以及未經加密的 API 的風險因素（UnencryptedAccess）。 此外，透過 Azure API 管理 發布的 API 現在允許映射回任何連接的 Kubernetes 入口與虛擬機，提供端對端的 API 暴露可視性，並透過攻擊路徑分析支援風險修復。

Defender 應用程式服務警示的增強

2025 年 4 月 7 日

2025 年 4 月 30 日，Defender for App Service 的警示功能將獲得強化。 我們將新增對可疑程式碼執行和存取內部或遠端端點的警示。 此外，我們藉由擴充邏輯並移除造成不必要雜訊的警示，以改善相關警示的涵蓋範圍並降低來自相關警示的雜訊。 在此程式中，將會淘汰「偵測到可疑的 WordPress 主題調用」警示。

2025年3月

Date	Category	Update
3 月 30 日	GA	使用 AKS 節點的弱點評估和惡意程式碼偵測增強的容器保護現已正式發行
3 月 27 日	Preview	Kubernetes 階段性部署（預覽版）
3 月 27 日	Preview	可在Defender中自訂上傳時掃描惡意軟體過濾器，用於儲存（預覽）
3 月 26 日	GA	Azure
3 月 11 日	即將進行的變更	即將變更建議嚴重性層級
3 月 3 日	GA	基於Azure Government

強化的容器保護，透過對 AKS 節點進行弱點評估和惡意程式碼檢測，現已正式推出。

2025 年 3 月 30 日

適用於雲端的 Defender 現在以 GA 形式提供 Azure Kubernetes Service （AKS） 節點的漏洞評估與惡意軟體偵測。 為這些 Kubernetes 節點提供安全性保護，可讓客戶維護受控 Kubernetes 服務的安全性與合規性，並瞭解其在與受控雲端提供者共同安全性責任中的部分。 要獲得新功能，您必須在您的訂閱 P2 方案中啟用無代理掃描機器」，作為 Defender CSPM、容器Defender或伺服器 Defender」的一部分。

弱點評量

Azure入口網站現已提供一項新建議：AKS 節點應已解決漏洞發現。 利用此建議，您現在可以檢視並修復Azure Kubernetes Service (AKS)節點上的漏洞與 CVE。

惡意程式碼偵測

當無代理程式惡意代碼偵測功能偵測 AKS 節點中的惡意代碼時，就會觸發新的安全性警示。 無代理惡意軟體偵測使用 Microsoft Defender 防毒軟體引擎來掃描並偵測惡意檔案。 當偵測到威脅時，安全警示會直接傳送至 適用於雲端的 Defender 和 Defender 全面偵測回應，以便調查與修復。

註： AKS 節點的惡意軟體偵測僅適用於容器Defender或伺服器 P2 環境的 Defender。

Kubernetes 閘道部署 (預覽)

2025年3月27日

我們正在為 Defender for Containers 計畫引入 Kubernetes 的門控部署（預覽）功能。 Kubernetes 閘道部署是一種機制，可藉由控制違反組織安全策略的容器映像部署，來增強 Kubernetes 安全性。

這項功能是以兩項新功能為基礎：

• 弱點結果成品：針對掃描弱點評估的每個容器映像產生結果。
• 安全性規則：新增安全性規則來警示或防止將易受攻擊的容器映射部署至 Kubernetes 叢集。

自定義的安全性規則：客戶可以針對各種環境、針對其組織內的 Kubernetes 叢集或命名空間自定義安全性規則，以啟用針對特定需求和合規性需求量身打造的安全性控制。

安全性規則的可設定動作：

• 稽核：嘗試部署易受攻擊的容器映像會觸發「稽核」動作，產生關於容器映像違規細節的建議。

• 拒絕：嘗試部署易受攻擊的容器映射會觸發「拒絕」動作，以防止部署容器映像，確保只會部署安全且相容的映像。

端對端安全性：將易受攻擊容器映射部署的保護定義為第一個安全性規則，我們會引進端對端 Kubernetes 安全管制機制，確保易受攻擊的容器不會進入客戶的 Kubernetes 環境。

如需此功能的詳細資訊，請參閱 閘道部署解決方案概觀。

Defender 儲存時可自訂的上傳時惡意軟體掃描過濾器（預覽）

2025年3月27日

上傳惡意代碼掃描現在支援可自定義的篩選。 用戶可以根據 Blob 路徑前置詞、後綴和 Blob 大小來設定上傳惡意代碼掃描的排除規則。 藉由排除特定的 Blob 路徑和類型，例如記錄檔或暫存盤，您可以避免不必要的掃描並降低成本。

瞭解如何 設定可自定義上傳惡意代碼掃描篩選器。

Azure 中 CMK 無代理 VM 掃描支援的一般可用性

2025年3月26日

Azure VM 搭配 CMK 加密磁碟的無代理掃描現已普遍提供。 Defender CSPM 方案與 Defender for Servers P2 皆支援虛擬機無代理掃描，現已支援所有雲端的 CMK

了解如何為使用 CMK 加密磁碟的Azure虛擬機啟用啟用無代理掃描。

即將變更建議嚴重性層級

2025 年 3 月 11 日

我們正在增強建議的嚴重性層級，以改善風險評估和優先順序。 在此更新中，我們重新評估所有嚴重性分類，並引進了新的層級 — 重大。 先前，建議分為三個層級：低、中和高。 透過此更新，現在有四個不同的層級：低、中、高和關鍵，提供更細微的風險評估，協助客戶專注於最緊迫的安全性問題。

因此，客戶可能會注意到現有建議嚴重性變更。 此外，僅對 Defender CSPM 客戶開放的風險等級評估也可能受到影響，因為建議的嚴重程度與資產背景同時被考量。 這些調整可能會影響整體風險層級。

預計的變更將於 2025 年 3 月 25 日進行。

基於適用於端點的 Microsoft Defender in Azure Government的File Integrity Monitoring （FIM） General Availability of File Integrity Monitoring （FIM）

2025 年 3 月 3 日

基於 適用於端點的 Microsoft Defender 的檔案完整性監控現已在 Azure Government（GCCH）中正式啟用，作為 Defender for Servers Plan 2 的一部分。

• 即時監視重要檔案和登錄並稽核變更，以符合合規性需求。
• 偵測可疑的檔案內容變更，找出潛在的安全性問題。

此改良的 FIM 體驗取代了原本預計淘汰的 Log Analytics Agent（MMA）退休功能。 FIM體驗將持續支援MMAAzure Government至2023年3月底。

這次釋出將釋出產品內體驗，讓你能將 FIM 配置 over MMA 遷移到新的 FIM over Defender for Endpoint 版本。

關於如何在 Endpoint 上啟用 FIM over Defender，請參見使用 適用於端點的 Microsoft DefenderFile Integrity Monitoring 。 如需如何停用舊版和使用移轉工具的資訊，請參閱 從舊版移轉檔案完整性監視。

Important

目前不計畫支援 21Vianet 在 Azure 及 GCCM 雲端中的檔案完整性監控。

2025年2月

Date	Category	Update
2月27日	Change	改善的 AWS EC2 資源名稱顯示
2月27日	GA	按需惡意軟體掃描Microsoft Defender用於儲存
2月27日	GA	Defender用於掃描高達50 GB
2 月 23 日	Preview	適用於 AKS 執行階段容器的無容器登錄限制的代理程式弱點評估 (預覽)
2 月 23 日	Preview	資料與人工智慧 (AI) 安全性儀表板（預覽）
2 月 19 日	Preview	MDC 成本計算機 （預覽）
2 月 19 日	Preview	31 個新的和增強的多重雲端法規標準涵蓋範圍

改善的 AWS EC2 資源名稱顯示

2025年2月27日

變更的估計日期： 2025年3月

我們正在增強平臺中 AWS EC2 實例的資源名稱顯示方式。 如果 EC2 執行個體定義了「名稱」標籤，則 資源名稱 欄位現在將顯示該標籤的值。 如果沒有「名稱」標籤，則 「資源名稱」 欄位將繼續顯示 執行個體ID ，如同以前一樣。 資源 ID 仍會位於 資源 ID 欄位中以供參考。

使用 EC2 “name” 標籤可讓您輕鬆地使用自定義且有意義的名稱來識別資源，而不是識別碼。 這可讓您更快速地尋找及管理特定實例，減少搜尋或交叉參考實例詳細數據所花費的時間和精力。

Microsoft Defender 中的隨選惡意軟體掃描用於儲存

2025年2月27日

Microsoft Defender for Storage（現已支援通用版）中的隨需惡意軟體掃描，能在需要時掃描 Azure 儲存體 帳戶中現有的 blob。 掃描可從 Azure 入口網站介面發起，或透過 REST API 啟動，並支援透過 Logic Apps、Automation Playbook 及 PowerShell 腳本進行自動化。 此功能使用 Microsoft Defender 防毒軟體，並針對每次掃描提供最新的惡意軟體定義，並在掃描前於 Azure 入口網站提供前期成本估算。

應用案例：

• 事件回應：在偵測到可疑活動之後掃描特定儲存體帳戶。
• Security baseline：在首次啟用儲存Defender時掃描所有儲存的資料。
• 合規性：設定自動化以安排有助於滿足法規和資料保護標準的掃描。

如需詳細資訊，請參閱 隨選惡意代碼掃描。

Defender for Storage 惡意軟體掃描最高 50 GB 的 blob

2025年2月27日

Defender for Storage 惡意軟體掃描現在支援最大 50GB 的 blob（先前限制為 2GB）。

請注意，對於上傳大型 Blob 的記憶體帳戶，增加的 Blob 大小限制會導致每月費用較高。

若要避免非預期的高費用，您可以針對每月掃描的總 GB 設定適當的上限。 如需詳細資訊，請參閱 上傳惡意代碼掃描的成本控制。

適用於 AKS 執行階段容器的無容器登錄限制的代理程式弱點評估 (預覽)

2025年2月23日

Defender for Containers 與 適用於雲端的 Defender 安全態勢管理（CSPM）計畫，現已包含容器登錄檔無關的無代理漏洞評估，適用於 AKS 執行時容器。 除了掃描 AKS 叢集中執行的 Kubernetes 附加元件和第三方工具之外，這項增強功能可擴充弱點評估涵蓋範圍，以包含使用來自任何登錄中映像的執行容器 (不限於支援的登錄)。 要啟用此功能，請確保在適用於雲端的 Defender環境設定中啟用無代理機器掃描。

數據與 AI 安全儀表板 （預覽）

2025年2月23日

適用於雲端的 Defender 正在強化資料安全儀表板，加入 AI 安全，新增 Preview 中的 Data 與 AI 安全儀表板。 儀錶板提供集中式平臺來監視及管理數據和 AI 資源，以及其相關聯的風險和保護狀態。

資料和 AI 安全性儀表板的主要優點包括：

• 統一檢視：取得所有組織數據和 AI 資源的完整檢視。
• 數據深入解析：了解數據的儲存位置，以及保存數據的資源類型。
• 保護涵蓋範圍：評估數據與 AI 資源的保護涵蓋範圍。
• 重大問題：根據高嚴重性建議、警示和攻擊路徑，醒目提示需要立即注意的資源。
• 敏感數據探索：找出並摘要雲端和 AI 資產中的敏感數據資源。
• AI 工作負載：探索 AI 應用程式使用量，包括服務、容器、數據集和模型。

深入了解資料和 AI 安全性儀表板。

MDC 成本計算機 （預覽）

2025年2月19日

我們很高興引進新的 MDC 成本計算機 ，以協助您輕鬆預估與保護雲端環境相關的成本。 此工具是量身打造的，可讓您清楚且準確地了解費用，以確保您可以有效地規劃和預算。

為什麼要使用成本計算機？

我們的成本計算機可讓您定義保護需求的範圍，藉此簡化預估成本的程式。 您選擇想要啟用的環境和方案後，計算器會自動填入每個方案的可計費資源，包括任何適用的折扣。 您獲得了一個全面的潛在成本概覽，不會有任何意外。

主要功能：

範圍定義： 選取您感興趣的計劃和環境。 計算機會執行探索程序，以針對每個環境的每個方案自動填入計費單位數目。

自動和手動調整： 此工具允許自動收集數據和手動調整。 您可以修改單位數量和折扣層級，以查看變更如何影響整體成本。

綜合成本估計： 計算器會為每個方案提供估計值，並生成總成本報告。 系統會提供詳細的成本明細，讓您更輕鬆地瞭解和管理費用。

多雲支持： 我們的解決方案適用於所有支援的雲端，確保您無論使用何種雲端供應商都能獲得準確的成本估算。

匯出和共用： 當您有了成本估算後，您可以輕鬆地匯出並共用，用於預算規劃和批准。

31 個新的和增強的多重雲端法規標準涵蓋範圍

2025年2月19日

我們很高興宣布，適用於雲端的 Defender 在 Azure、AWS 及GCP。 這項增強功能可簡化達成和維護合規性的路徑、降低數據外泄的風險，並協助避免罰款和信譽損害。

新的與增強的架構如下：

Standards	Clouds
歐盟 2022 2555 （NIS2） 2022	Azure， AWS， GCP
歐盟一般數據保護規定 （GDPR） 2016 679	Azure， AWS， GCP
NIST CSF v2.0	Azure， AWS， GCP
NIST 800 171 修訂版 3	Azure， AWS， GCP
NIST SP 800 53 R5.1.1	Azure， AWS， GCP
PCI DSS v4.0.1 版本	Azure， AWS， GCP
CIS AWS 基礎 v3.0.0	AWS
CIS Azure Foundations v2.1.0	Azure
CIS 控制項 v8.1	Azure， AWS， GCP
CIS GCP 基礎 v3.0	GCP
HITRUST CSF v11.3.0	Azure， AWS， GCP
SOC 2023	Azure， AWS， GCP
SWIFT 客戶安全性控制架構 2024	Azure， AWS， GCP
ISO IEC 27001：2022	Azure， AWS， GCP
ISO IEC 27002：2022	Azure， AWS， GCP
ISO IEC 27017：2015	Azure， AWS， GCP
網路安全性成熟度模型認證 （CMMC） 層級 2 v2.0	Azure， AWS， GCP
AWS 良好架構框架 2024	AWS
加拿大聯邦 PBMM 3.2020	Azure， AWS， GCP
APRA CPS 234 2019 年	Azure， AWS
CSA 雲端控件矩陣 v4.0.12	Azure， AWS， GCP
網路必備版 v3.1	Azure， AWS， GCP
刑事司法資訊服務安全策略 v5.9.5	Azure， AWS， GCP
FFIEC CAT 2017	Azure， AWS， GCP
巴西一般數據保護法 （LGPD） 2018	Azure
NZISM v3.7	Azure， AWS， GCP
薩班斯奧克斯利法案（SOX）2022	Azure， AWS
NCSC 網路保證架構 （CAF） v3.2	Azure， AWS， GCP

這與幾個月前推出的 CIS Azure Kubernetes Service （AKS） v1.5、CIS Google Kubernetes Engine （GKE） v1.6 以及 CIS Amazon Elastic Kubernetes Service（EKS）v.15 的釋出並列。

欲了解更多適用於雲端的 Defender法規遵循服務，請了解更多>

2025年1月

Date	Category	Update
1 月 30 日	GA	更新以掃描容器登錄的準則
1 月 29 日	Change	由 MDVM 驅動的容器弱點評估掃描功能增強
1 月 27 日	GA	許可權已添加至 GCP 連接器，以支援 AI 平台
1月20日	Change	由 GC 提供之 Linux 基準線建議的強化

更新以掃描容器登錄的準則

2025年1月30日

我們正在更新預覽建議中註冊表映像的掃描標準之一，適用於所有雲端及外部登錄檔（Azure、AWS、GCP、Docker、JFrog）。

正在變更什麼？

目前，我們會在映像推送至登錄之後重新掃描 90 天。 現在，這會變更為掃描 30 天。

Note

登錄映像上容器弱點評估 (VA) 的相關 GA 建議沒有變更。

MDVM 所提供容器弱點評估掃描的增強功能

2025年1月29日

我們很高興透過下列更新宣佈容器弱點評估掃描覆蓋範圍的改進：

• 其他程式設計語言：現在支援 PHP、Ruby 和 Rust。

• 擴展Java語言支援：包含掃描爆炸的JARs。

• 改善記憶體使用量：讀取大型容器映像檔時的優化效能。

新增至 GCP 連接器以支援 AI 平台的權限

2025 年 1 月 27 日

GCP 連接器現在有額外的權限以支援 GCP AI 平台（Vertex AI）

• aiplatform.batchPredictionJobs.list
• aiplatform.customJobs.list
• aiplatform.datasets.list
• aiplatform.datasets.get
• aiplatform.endpoints.getIamPolicy
• aiplatform.endpoints.list
• aiplatform.indexEndpoints.list
• aiplatform.indexes.list
• aiplatform.models.list
• aiplatform.models.get
• aiplatform.pipelineJobs.list
• aiplatform.schedules.list
• aiplatform.tuningJobs.list
• discoveryengine.dataStores.list
• discoveryengine.documents.list
• discoveryengine.engines.list
• notebooks.instances.list

由 GC 所提供 Linux 基準建議的增強功能

2025年1月20日

我們正在增強由 GC 支援的基準線 Linux 功能，以提升其精確度和涵蓋範圍。 在 2 月期間，您可能會注意到變更，例如更新的規則名稱和其他規則。 這些改進功能的設計目的是讓基準評量更準確且最新。 有關更改的更多信息，請參閱相關 博客

部分變更可能包含其他「公開預覽」變更。 此更新對您有幫助，我們想要讓您隨時掌握資訊。 如果您想要的話，您可以在您的資源中排除此次建議，或移除 GC 擴充功能以退出此建議。

2024年12月

Date	Category	Update
12 月 31 日	GA	現有雲端連接器掃描間隔的變更
12月22日	GA	適用於端點的 Microsoft Defender客戶端版本更新是獲得檔案完整性監控（FIM）體驗
12 月 17 日	Preview	將 CLI 與流行的 CI/CD 工具整合適用於雲端的 Defender
12 月 10 日	GA	適用於雲端的 Defender 設定體驗
12 月 10 日	GA	修訂版雲端環境掃描間隔選項適用於雲端的 Defender
12 月 17 日	GA	敏感度掃描功能現在包含Azure檔案分享

現有雲端連接器掃描間隔的變更

2024 年 12 月 31 日

本月初，發布了一份 更新，內容涉及掃描雲端環境的修訂後適用於雲端的 Defender間隔選項。 掃描間隔設定決定 適用於雲端的 Defender 的發現服務掃描你的雲端資源的頻率。 這項變更可確保更平衡的掃描程式、優化效能，以及將達到API限制的風險降到最低。

現有 AWS 與 GCP 雲端連接器的掃描間隔設定將更新，以確保 適用於雲端的 Defender 能掃描您的雲端環境。

將會進行下列調整：

• 目前設定介於 1 到 3 小時的間隔將會更新為 4 小時。
• 設定為 5 小時的間隔將會更新為 6 小時。
• 設定在 7-11 小時之間的間隔將會更新為 12 小時。
• 13 小時或以上的間隔將會更新為 24 小時。

如果您偏好不同的掃描間隔，您可以使用 [環境設定] 頁面來調整雲端連接器。 這些變更將在 2025 年 2 月初自動套用至所有客戶，而且不需要採取進一步的動作。

敏感度掃描功能現在包含 Azure 檔案共享

2024 年 12 月 17 日

適用於雲端的 Defender 的安全態勢管理（CSPM）敏感度掃描功能現在除了 blob 容器外，還包含 Azure 檔案共享（GA）。

在這次更新之前，啟用訂閱的 Defender CSPM 方案會自動掃描儲存帳號內的 blob 容器以尋找敏感資料。 隨著這次更新，Defender for CSPM 的敏感度掃描功能現在包含了這些儲存帳戶中的檔案共享。 這項增強功能可改善敏感性記憶體帳戶的風險評估和保護，以提供對潛在風險的更全面分析。

深入瞭解 靈敏度掃描。

將 適用於雲端的 Defender CLI 與熱門的 CI/CD 工具整合

適用於雲端的 Defender 與 適用於雲端的 Microsoft Defender 中流行 CI/CD 工具的 CLI 掃描整合現已公開預覽。 CLI 現在可以併入 CI/CD 管線，以掃描和識別容器化原始碼中的安全性弱點。 此功能可協助開發小組在管線執行期間偵測和解決程式代碼弱點。 這需要對 適用於雲端的 Microsoft Defender 進行認證，並修改管線腳本。 掃描結果將上傳至 適用於雲端的 Microsoft Defender，讓資安團隊能檢視並與容器登錄檔中的容器進行關聯。 此解決方案提供持續且自動化的深入解析，以加速風險偵測和響應，確保安全性，而不會中斷工作流程。

應用案例：

• CI/CD 工具內的管線掃描：安全地監視叫用 CLI 的所有管線。
• 早期漏洞偵測：結果會在流程中公布並傳送至 適用於雲端的 Microsoft Defender。
• 持續的安全性深入解析：在開發週期內保持可見度並快速回應，而不會妨礙生產力。

欲了解更多資訊，請參閱 Integration 適用於雲端的 Defender CLI with Popular CI/CD Tools。

適用於雲端的 Defender 設定體驗

2024 年 12 月 10 日

設定體驗讓您能透過連接雲端環境（如雲端基礎設施、程式碼庫及外部容器登錄）開始使用 適用於雲端的 Microsoft Defender 的初步步驟。

您會引導您設定雲端環境，使用進階安全性計劃保護您的資產，並毫不費力地執行快速動作，以大規模增加安全性涵蓋範圍、注意連線問題，並收到新的安全性功能通知。 你可以從適用於雲端的 Defender選單選擇Setup進入新體驗。

適用於雲端的 Defender 掃描雲端環境的修訂間隔選項

2024 年 12 月 10 日

已修訂與 AWS、GCP、Jfrog 和 DockerHub 相關聯的雲端連接器掃描間隔選項。 掃描間隔功能讓你能控制 適用於雲端的 Defender 啟動雲端環境掃描的頻率。 您可以在新增或編輯雲端連接器時，將掃描間隔設定為 4、6、12 或 24 小時。 新連接器的預設掃描間隔會持續 12 小時。

適用於端點的 Microsoft Defender 用戶端版本更新是取得檔案完整性監控（FIM）體驗的必要條件

2025 年 6 月

自 2025 年 6 月起，檔案完整性監控（FIM）要求最低 Defender for Endpoint（MDE）客戶端版本。 請確保您至少安裝以下客戶端版本，才能繼續享受 適用於雲端的 Microsoft Defender 的 FIM 體驗：Windows 版 10.8760，Linux 版 30.124082。 瞭解更多資訊

2024年11月

Date	Category	Update
11 月 28 日	Preview	Sensitivity 掃描功能現在包含Azure檔案分享（預覽）
11 月 26 日	Change	敏感度標籤同意變更
11 月 26 日	Change	敏感度標籤變更
11月25日	Preview	Defender用於掃描高達50 GB
11 月 19 日	Preview	已更新的適用於托管 Kubernetes 環境的 CIS 標準版本和新建議
11 月 19 日	Preview	進階搜捕中 Kubernetes 雲端處理事件的公開預覽
11 月 19 日	Deprecation	在弱點管理中停用自備授權（BYOL）功能
11 月 19 日	Preview	適用於雲端的 Microsoft Defender
11 月 19 日	Preview	隨需惡意軟體掃描於Microsoft Defender中儲存空間（預覽）
11 月 18 日	Preview	JFrog Artifactory 容器登錄檔支援 Defender for Containers
11 月 18 日	GA	AI 安全性狀態管理現已正式推出（GA）
11 月 18 日	GA	關鍵資產保護在適用於雲端的 Microsoft Defender
11 月 18 日	GA	增強容器的關鍵資產保護
11 月 18 日	GA	偵測和回應容器威脅的增強功能
11月15日	Preview	API 安全態勢管理原生整合，現已公開預覽Defender CSPM
11 月 13 日	Preview	透過弱點評估和惡意程式偵測，強化 AKS 節點的容器保護
11月7日	GA	增強的 Kubernetes （K8s） 警示文件及模擬工具
11月6日	GA	增強對 API 敏感數據分類的支援
11月6日	公開預覽	新增支援將 API 端點映射到 Azure API 管理 後端運算
11月6日	GA	加強多區域Azure API 管理部署及管理 API 修訂的 API 安全性支援

敏感度掃描功能現已包含 Azure 檔案分享（預覽版）

2024年11月28日

適用於雲端的 Defender 的安全態勢管理（CSPM）敏感度掃描功能現在除了 blob 容器外，還包含 Azure 檔案分享（預覽階段）。

在這次更新之前，啟用訂閱的 Defender CSPM 方案會自動掃描儲存帳號內的 blob 容器以尋找敏感資料。 隨著這次更新，Defender for CSPM 的敏感度掃描功能現在包含了這些儲存帳戶中的檔案共享。 這項增強功能可改善敏感性記憶體帳戶的風險評估和保護，以提供對潛在風險的更全面分析。

深入瞭解 靈敏度掃描。

敏感度標籤同意變更

2024 年 11 月 26 日

您不再需要在「標籤」頁面的「資訊保護」區塊下選擇專用同意按鈕，即可使用在 Microsoft 365 Defender 入口網站或 Microsoft Purview 入口網站 中設定的自訂資訊類型與敏感性標籤。

此變更後，所有自訂資訊類型與敏感度標籤會自動匯入 適用於雲端的 Microsoft Defender 入口網站。

深入了解 數據敏感度設定。

敏感度標籤變更

2024 年 11 月 26 日

直到最近，適用於雲端的 Defender 匯入了所有符合以下兩個條件的敏感標籤，這些標籤來自 Microsoft 365 Defender 入口網站：

• 敏感度標籤的範圍設定為「項目 -> 檔案」或「項目 -> 電子郵件」，皆可選於資訊保護區的「定義標籤範圍」區塊。
• 敏感度標籤已設定自動標籤規則。

截至 2024 年 11 月 26 日，使用者介面（UI）中敏感度標籤範圍的名稱已在 Microsoft 365 Defender 入口網站與 Microsoft Purview 入口網站 中更新。 適用於雲端的 Defender 現在只會匯入帶有「檔案及其他資料資產」範圍的敏感性標籤。 適用於雲端的 Defender 不再匯入帶有「電子郵件」範圍的標籤。

Note

在此變更發生前，配置為「項目 -> 檔案」的標籤會自動移轉至新的「檔案和其他資料資產」範疇。

深入瞭解 如何設定敏感度標籤。

Defender for Storage 惡意軟體掃描 50 GB 以下的 blobs（預覽）

2024 年 11 月 25 日

預估變更日期： 2024年12月1日

自 2024 年 12 月 1 日起，Defender for Storage 惡意軟體掃描將支援最高 50GB 大小的 blobs（先前限制為 2GB）。

請注意，對於上傳大型 Blob 的記憶體帳戶，增加的 Blob 大小限制會導致每月費用較高。

若要避免非預期的高費用，您可以針對每月掃描的總 GB 設定適當的上限。 如需詳細資訊，請參閱 上傳惡意代碼掃描的成本控制。

經更新的適用於受控 Kubernetes 環境的 CIS 標準版本及新建議

2024 年 11 月 19 日

適用於雲端的 Defender 的法規合規儀表板現已提供更新版的網際網路安全中心（CIS）標準，用於評估受管 Kubernetes 環境的安全態勢。

您可以從儀錶板將下列標準指派給 AWS/EKS/GKE Kubernetes 資源：

• CIS Azure Kubernetes Service （AKS） v1.5.0
• CIS Google Kubernetes Engine （GKE） v1.6.0
• CIS Amazon Elastic Kubernetes Service （EKS） v1.5.0

為了確保這些標準涵蓋範圍的最佳深度，我們也發佈了 79 項以 Kubernetes 為中心的新建議，來擴充我們的涵蓋範圍。

若要使用這些新建議，請指派上述標準或建立自定義標準，並在其中包含一或多個新的評量。

進階搜捕中 Kubernetes 雲端處理事件的公開預覽

我們會在進階搜捕中宣佈 Kubernetes 雲端處理事件的預覽版本。 這項功能強大的整合提供 Kubernetes 進程事件在多雲端環境中發生的詳細資訊。 您可以使用它來發現可透過程序詳細資訊觀察到的威脅，例如在您雲端基礎設施中被啟動的惡意程序。 如需詳細資訊，請參閱 CloudProcessEvents。

淘汰在弱點管理中自備授權 (BYOL) 功能

2024 年 11 月 19 日

變更的估計日期：

• 2025年2月3日：此功能將不再可供上線新機器和訂用帳戶。

• 2025 年 5 月 1 日：此功能將完全過時，不再提供此功能。

作為提升 適用於雲端的 Defender 安全體驗的努力之一，我們正在簡化漏洞評估解決方案。 我們正在移除 適用於雲端的 Defender 中的「自帶授權」功能。 你現在將使用 Microsoft 安全性 Exposure Management 連接器，打造更無縫、整合且完整的解決方案。

我們建議您轉換至 Microsoft 安全性 Exposure Management 中的新連接器解決方案。 我們的小組在這裡支援您完成此轉換。

欲了解更多連接器的使用資訊，請參閱Microsoft 安全性暴露管理中的連結資料來源概覽Microsoft 安全性暴露管理。

適用於雲端的 Microsoft Defender 中的無代理碼掃描（預覽版）

2024 年 11 月 19 日

適用於雲端的 Microsoft Defender 的無代理程式碼掃描現已開放公開預覽。 它透過一個連接器，為 Azure DevOps 組織中的所有儲存庫提供快速且可擴展的安全性。 此解決方案協助資安團隊在 Azure DevOps 環境中發現並修正程式碼與基礎設施即代碼（IaC）配置中的漏洞。 它不需要代理程式、管線變更，或開發人員工作流程中斷，讓設定和維護變得簡單。 它與持續整合與持續部署 (CI/CD) 管線獨立運作。 此解決方案提供持續且自動化的深入解析，以加速風險偵測和響應，確保安全性，而不會中斷工作流程。

應用案例：

• 組織範圍掃描： 你可以用一個連接器安全地監控Azure DevOps組織中的所有儲存庫。
• 早期弱點偵測： 快速尋找主動式風險管理的程序代碼和 IaC 風險。
• 持續安全性深入解析： 在開發周期之間保持可見度並快速回應，而不會影響生產力。

欲了解更多資訊，請參閱適用於雲端的 Microsoft Defender中的Agentless code scaning。

Microsoft Defender 中的隨需惡意軟體掃描儲存（預覽版）

2024 年 11 月 19 日

Microsoft Defender for Storage 中的隨需惡意軟體掃描功能，現已進入公開預覽階段，能在需要時掃描 Azure 儲存體 帳戶中現有的 blobs。 掃描可從 Azure 入口網站介面發起，或透過 REST API 啟動，並支援透過 Logic Apps、Automation Playbook 及 PowerShell 腳本進行自動化。 此功能使用 Microsoft Defender 防毒軟體，並針對每次掃描提供最新的惡意軟體定義，並在掃描前於 Azure 入口網站提供前期成本估算。

應用案例：

• 事件回應：在偵測到可疑活動之後掃描特定儲存體帳戶。
• Security baseline：在首次啟用儲存Defender時掃描所有儲存的資料。
• 合規性：設定自動化以安排有助於滿足法規和資料保護標準的掃描。

如需詳細資訊，請參閱 隨選惡意代碼掃描。

Defender for Containers 對 JFrog Artifactory 容器登錄檔的支援（預覽版）

2024 年 11 月 18 日

此功能將 Microsoft Defender for Containers 對外部登錄檔的覆蓋範圍擴展至 JFrog Artifactory。 您的 JFrog Artifactory 容器映像會使用 Microsoft Defender 弱點管理 掃描，以識別安全威脅並降低潛在安全風險。

AI 安全性態勢管理現已正式發行 (GA)

2024 年 11 月 18 日

適用於雲端的 Defender 的 AI 安全態勢管理功能現已正式開放（GA）。

適用於雲端的 Defender 透過以下方式降低跨雲端 AI 工作負載的風險：

• 探索生成式 AI 用料表 (AI BOM)，其中包含從程式碼到雲端的應用程式元件、資料和 AI 成品。

• 採用內建建議，並探索並補救安全性風險，藉此加強生成式 AI 應用程式安全性態勢。

• 使用攻擊路徑分析來識別和補救風險。

深入了解 AI 安全性態勢管理。

適用於雲端的 Microsoft Defender 中的關鍵資產保護

2024 年 11 月 18 日

今天，我們很高興宣布 適用於雲端的 Microsoft Defender 中關鍵資產保護功能正式正式上市。 此功能使安全管理員能標註對組織最關鍵的「皇冠明珠」資源，使 適用於雲端的 Defender 能提供最高層級的保護，並將這些資產的安全問題置於優先事項之上。 深入瞭解重要資產保護。

除了正式釋出的同時，我們也擴大了對 Kubernetes 標籤及非人類身份資源的支援。

增強容器的關鍵資產保護

2024 年 11 月 18 日

重要資產保護 已擴充，以支援容器的其他使用案例。

用戶現在可以建立自定義規則，根據 Kubernetes 命名空間和/或資產 Kubernetes 標籤，將 Kubernetes 管理的資產（工作負載、容器等）標示為重要。

與其他關鍵資產保護案例一樣，適用於雲端的 Defender 會考慮資產關鍵性以進行風險優先排序、攻擊路徑分析及安全探索器。

偵測和回應容器威脅的增強功能

2024 年 11 月 18 日

適用於雲端的 Defender 提供一系列新功能，使 SOC 團隊能在雲端原生環境中以更高的速度與精確度應對容器威脅。 這些強化包括威脅分析、GoHunt 功能、Microsoft Security Copilot 導引式回應，以及 Kubernetes Pod 的雲端原生回應動作。

介紹 Kubernetes Pod 的雲端原生回應動作 （預覽）

適用於雲端的 Defender 現提供多雲回應動作，專為 Kubernetes Pods 提供，僅能從 Defender 全面偵測回應 入口網站存取。 這些功能可增強 AKS、EKS 和 GKE 叢集的事件回應。

以下是新的回應動作：

網路隔離 - 立即阻止 Pod 的所有流量，防止橫向移動和資料外洩。 需要在您的 Kubernetes 叢集上配置網路政策。

Pod 終止 - 快速終止可疑 Pod，阻止惡意活動，而不會中斷更廣泛的應用程式。

這些動作可讓 SOC 小組有效地跨雲端環境包含威脅。

容器的威脅分析報告

我們引進了專用的威脅分析報告，其設計目的是提供針對容器化環境之威脅的完整可見度。 此報告為SOC小組提供深入解析，以偵測及回應 AKS、EKS 和 GKE 叢集的最新攻擊模式。

主要亮點：

• 詳細分析 Kubernetes 環境中的主要威脅和相關聯的攻擊技術。
• 加強雲端原生安全性狀態並降低新興風險的可採取動作建議。

GoHunt 的 Kubernetes Pod 與Azure resources

GoHunt 現在擴展了搜尋功能，包含 Kubernetes Pods 和 Azure 資源，這些都包含在 Defender 全面偵測回應 入口網站中。 這項功能可增強主動式威脅搜捕，讓SOC分析師跨雲端原生工作負載進行深入調查。

主要特徵：

• 進階查詢功能可偵測 Kubernetes Pod 與 Azure 資源中的異常，為威脅分析提供更豐富的上下文。
• 與 Kubernetes 實體緊密整合，以有效率地搜捕和調查威脅。

Security Copilot 針對 Kubernetes Pods 的引導式回應

介紹由 Security Copilot 驅動的 Kubernetes Pods 導向回應功能。 這項新功能提供即時的逐步指引，協助SOC小組快速且有效地回應容器威脅。

主要優點：

• 針對常見 Kubernetes 攻擊案例量身打造的情境回應劇本。
• Security Copilot 提供專業且即時的支援，彌合知識鴻溝，加速解決方案。

API 安全態勢管理 Defender CSPM 計畫內原生整合現已公開預覽

2024 年 11 月 15 日

API 安全態勢管理（預覽版）功能現已包含在 Defender CSPM 計畫中，並可透過計畫內的環境設定頁面擴充功能啟用。 如需詳細資訊，請參閱改善 API 安全性狀態（預覽版）。

使用 AKS 節點弱點評估和惡意程式碼偵測的增強容器保護 （預覽）

2024 年 11 月 13 日

適用於雲端的 Defender 現在提供 Azure Kubernetes Service （AKS） 中節點的漏洞評估與惡意軟體偵測，並為客戶在與受管雲端供應商共同承擔的安全責任時提供明確說明。

為這些 Kubernetes 節點提供安全性保護，可讓客戶跨受控 Kubernetes 服務維護安全性與合規性。

要獲得新功能，您必須在Defender CSPM中啟用無代理掃描機器選項，Defender容器，或Defender伺服器 P2 方案。

弱點評量

Azure平台現已提供新推薦：AKS nodes should have vulnerability findings resolved。 透過此建議，您現在可以檢視並修復 Azure Kubernetes Service （AKS） 節點上的漏洞與 CVE。

惡意程式碼偵測

當無代理程式惡意代碼偵測功能偵測 AKS 節點中的惡意代碼時，就會觸發新的安全性警示。

無代理惡意軟體偵測使用 Microsoft Defender 防毒軟體引擎來掃描並偵測惡意檔案。 當偵測到威脅時，安全警示會直接傳送至 適用於雲端的 Defender 和 Defender 全面偵測回應，以便調查與修復。

Important

AKS 節點的惡意軟體偵測僅適用於支援 P2 的 Defender for Containers 或 Defender for Servers P2 環境。

增強的 Kubernetes (K8s) 警示文件和模擬工具

2024 年 11 月 7 日

主要功能

• 情境式警報文件：K8s 警報現在已根據真實世界情境進行記錄，提供更清楚的潛在威脅和建議行動指引。
• 適用於端點的 Microsoft Defender（MDE）整合：警示內容會加入來自 MDE 的額外情境與威脅情報，提升你有效回應的能力。
• 新的模擬工具：強大的模擬工具可藉由模擬各種攻擊案例併產生對應的警示，來測試您的安全性狀態。

Benefits

• 改善警示瞭解：以案例為基礎的檔可讓您更直覺地瞭解 K8s 警示。
• 增強式威脅回應：警示會被加上寶貴背景資訊，以更快速且精確地回應。
• 主動式安全性測試：新的模擬工具可讓您測試安全性防禦，並在惡意探索前識別潛在的弱點。

增強對 API 敏感數據分類的支援

2024 年 11 月 6 日

適用於雲端的 Microsoft Defender 將 API 安全性敏感資料分類功能擴展至 API URL 路徑與查詢參數，以及 API 請求與回應，包括 API 屬性中敏感資訊的來源。 當選取具有敏感性資料的 API 管理 作業時，這項資訊將在攻擊路徑分析體驗、雲端安全性總管的 [ 其他詳細資料 ] 頁面中提供，以及 [API 安全性儀表板] 底下的 [API 集合詳細資料] 頁面內的工作負載保護，以及新的側邊操作功能表，可提供找到的敏感性資料的詳細深入解析， 使安全團隊能夠有效地定位和減輕資料暴露風險。

Note

此變更將包含一次性推出給現有 Defender for API 及 Defender CSPM 客戶。

將 Azure API 管理 API 端點對應至後端計算的新支援

2024 年 11 月 6 日

適用於雲端的 Defender 的 API 安全態勢現支援將透過 Azure API 管理 Gateway 發布的 API 端點映射到後端運算資源，如虛擬機，Defender Cloud Security Posture Management （Defender CSPM） Cloud Security Explorer。 此可見度可協助識別 API 流量路由至後端雲端計算目的地，讓您偵測並解決與 API 端點及其已連線後端資源相關聯的風險。

加強多區域 Azure API 管理 部署與 API 版本管理的 API 安全性支援

2024 年 11 月 6 日

適用於雲端的 Defender 內的 API 安全覆蓋將全面支援 Azure API 管理 多區域部署，包括對主要及次要區域的完整安全態勢與威脅偵測支援

Defender for API 的導入與離職將由 Azure API 管理 API 層級管理。 所有相關的 Azure API 管理 版本 都會自動納入流程，免除每個 API 版本個別管理入職與離職的需求。

此變更包含一次性推送至現有 Defender for API 客戶。

推出詳情：

• 現有 Defender for API 客戶將於 11 月 6 日當週推出。
• 如果 Azure API 管理 API 的「目前」版本已經被 Defender for API 導入，該 API 的所有相關版本也會自動被 Defender for API 導入。
• 如果 Azure API 管理 API 的「目前」版本沒有被 Defender for APIs 導入，那麼所有已導入 Defender for APIs 的相關 API 版本都會被外接。

2024年10月

Date	Category	Update
10 月 31 日	即將發生的變更	加強多區域Azure API 管理部署及管理 API 修訂的 API 安全性支援
10 月 28 日	GA	MMA 移轉體驗現已推出
10 月 21 日	GA	Security 對於未啟用 Advanced Security 的 GitHub 倉庫GitHub 現在已升級為 GA
10 月 14 日	即將發生的變更	淘汰三個合規性標準
10 月 14 日	即將發生的變更	棄用三個適用於雲端的 Defender標準
10 月 9 日	GA	發行為 GA 的二進位漂移偵測
10 月 6 日	Preview	已更新容器運行時間建議
10 月 6 日	Preview	安全性圖表中的 Kubernetes 身分識別和存取資訊
10 月 6 日	Preview	Kubernetes 身分識別和存取以資訊為基礎的攻擊路徑
10 月 6 日	GA	改善容器的攻擊路徑分析
10 月 6 日	GA	在受支持的註冊表中完整發現容器鏡像
10 月 6 日	GA	使用 Cloud Security Explorer 的容器軟體清查

MMA 移轉體驗現已推出

2024 年 10 月 28 日

您現在可以確保所有環境都已充分準備，迎接預計於 2024 年 11 月底 Log Analytics 代理（MMA）淘汰後的階段。

適用於雲端的 Defender 新增了一項新體驗，讓你能對所有受影響的環境進行大規模行動：

• 這還缺少獲得 Defender for Servers Plan 2 完整安全保障所需的前提條件。
• 這是用舊有的 Workspace 方式，連接到 Servers Plan 2 的 Log Analytics Defender。
• 該版本使用舊版檔案完整性監控（FIM）及Log Analytics代理（MMA）需遷移至新的、改良版 FIM 並Defender端點（MDE）。

瞭解如何 使用新的 MMA 移轉體驗。

沒有 GitHub Advanced Security 的 GitHub 倉庫的安全發現現已開放

2024 年 10 月 21 日

現在已普遍提供針對基礎設施即程式碼（IaC）錯誤設定、容器漏洞及程式碼弱點的安全性發現，適用於沒有 GitHub Advanced Security 的 GitHub 倉庫。

請注意，秘密掃描、使用 GitHub CodeQL 的程式碼掃描，以及依賴性掃描仍需GitHub進階掃描。

若要深入瞭解必要的授權，請參閱 DevOps支援頁面。 要了解如何將GitHub環境導入適用於雲端的 Defender，請遵循GitHub入職指南。 想了解如何配置 Microsoft 安全性 DevOps GitHub Action，請參閱我們的 GitHub Action 文件。

淘汰三個合規性標準

2024 年 10 月 14 日

預估變更日期： 2024年11月17日

已從產品中移除三個合規性標準：

• SWIFT CSP-CSCF v2020（用於 Azure） - 此版本已被 v2022 版本取代
• CIS Microsoft Azure Foundations Benchmark v1.1.0 以及 v1.3.0 - 我們有兩個較新版本（v1.4.0 和 v2.0.0）

想了解更多適用於雲端的 Defender可用的合規標準，請參閱可用合規標準。

三個 適用於雲端的 Defender 標準的廢止

2024 年 10 月 8 日

預估變更日期： 2024年11月17日

為了簡化 適用於雲端的 Defender 與 AWS 帳號及 GCP 專案的管理，我們將移除以下三項 適用於雲端的 Defender 標準：

• 適用於 AWS - AWS CSPM
• 對於GCP — GCP、CSPM 和 GCP預設值

預設標準Microsoft Cloud安全基準（MCSB），現在包含了這些標準獨有的所有評估。

發行為 GA 的二進位漂移偵測

2024 年 10 月 9 日

二元漂移偵測現已在 Defender for Container 計畫中以 GA 形式釋出。 請注意，二進位漂移偵測現在適用於所有AKS版本。

已更新容器執行時間建議 （預覽）

2024 年 10 月 6 日

預覽版中「在 AWS/Azure/GCP 執行的容器應已解決漏洞發現」的建議已更新，將所有屬於同一工作負載的容器歸為單一建議，減少重複並避免因新容器與終止容器而產生的波動。

自 2024 年 10 月 6 日起，下列評量識別碼會取代為這些建議：

Recommendation	先前的評量識別碼	新的評量標識碼
--	--	--
在 Azure 中運行的容器應該已經解決了漏洞發現	e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0	c5045ea3-afc6-4006-ab8f-86c8574dbf3d
在 AWS 上執行的容器應當加以解決已發現的弱點。	d5d1e526-363a-4223-b860-f4b6e710859f	8749bb43-cd24-4cf9-848c-2a50f632043c
在 GCP 中執行的容器映像應該已解決發現的弱點	c7c1d31d-a604-4b86-96df-63448618e165	1b3abfa4-9e53-46f1-9627-51f2957f8bba

如果您目前透過 API 從這些建議擷取弱點報告，請確定您使用新的評估標識碼更新 API 呼叫。

安全性圖表中的 Kubernetes 身分識別和存取資訊 （預覽）

2024 年 10 月 6 日

Kubernetes 身份與存取資訊會被加入安全圖譜，包括代表所有 Kubernetes 基於角色的 存取控制（RBAC）相關實體（服務帳號、角色、角色綁定等）的節點，以及代表 Kubernetes 物件間權限的邊。 客戶現在可以查詢其 Kubernetes RBAC 的安全性圖表，以及 Kubernetes 實體之間的相關關聯性 (可以驗證身分、可模擬身分、授與角色、定義存取權、授與存取權、具有權限等)

Kubernetes 身分識別和存取資訊型攻擊路徑 （預覽）

2024 年 10 月 6 日

利用安全圖中的 Kubernetes RBAC 資料，適用於雲端的 Defender 現在能偵測 Kubernetes、Kubernetes 到雲端以及內部 Kubernetes 的橫向移動，並報告其他攻擊路徑，讓攻擊者濫用 Kubernetes 與雲端授權，橫向移動至 Kubernetes 叢集、從 Kubernetes 叢集內部移動。

改善容器的攻擊路徑分析

2024 年 10 月 6 日

去年11月發行的新攻擊路徑分析引擎 現在也支援容器使用案例，並根據新增至圖表的數據，動態偵測雲端環境中的新攻擊路徑類型。 我們現在可以找到更多容器的攻擊路徑，並偵測攻擊者用來滲透雲端和 Kubernetes 環境的更複雜的攻擊模式。

在支援的登錄中完整探索容器映像

2024 年 10 月 6 日

適用於雲端的 Defender 現在會收集所有支援登錄庫容器映像檔的庫存資料，讓你在安全圖中完整看到雲端環境中的所有影像，包括目前沒有任何態勢建議的影像。

透過 Cloud Security Explorer 查詢功能已改善，讓用戶現在可以根據其元數據搜尋容器映像（摘要、存放庫、OS、標記等）。

使用 Cloud Security Explorer 的容器軟體清查

2024 年 10 月 6 日

客戶現在可以 透過 Cloud Security Explorer 取得其容器和容器映像中安裝的軟體清單。 此清單也可以用來快速取得客戶環境的其他見解，如尋找所有受到零日漏洞影響的容器和容器映像檔的軟體，甚至在 CVE 發佈之前。

2024 年 9 月

Date	Category	Update
9 月 22 日	即將發生的變更	雲端安全性探索體驗改善
9 月 18 日	GA	基於 適用於端點的 Microsoft Defender
9 月 18 日	GA	FIM遷移經驗可在適用於雲端的 Defender
9 月 18 日	Deprecation	淘汰 MMA 自動配置功能
9月15日	GA	與 Power BI
9 月 11 日	即將發生的變更	更新 CSPM 多重雲端網路需求
9 月 9 日	Deprecation	Defender 伺服器功能棄用
9 月 9 日	GA	西班牙國家安全框架（Esquema Nacional de Seguridad （ENS））已新增至Azure
9 月 8 日	GA	補救機器上的系統更新和修補程式建議
9 月 4 日	GA	ServiceNow 的整合現在包含設定合規性模組
9 月 4 日	即將發生的變更	Defender用於儲存（經典）每筆交易的儲存保護計畫，新訂閱者無法使用
9月1日	GA	Azure 原則訪客配置現已普遍提供（GA）
9月1日	Preview	公開預覽版 Docker Hub 容器登錄檔支援，由 Defender for Containers

雲端安全性總管體驗改善

2024 年 9 月 22 日

預估的變更日期：2024 年 10 月

Cloud Security Explorer 設定為改善效能和方格功能、在每個雲端資產上提供更多數據擴充、改善搜尋類別，以及使用更多有關導出雲端資產的深入解析來改善 CSV 導出報告。

基於 適用於端點的 Microsoft Defender 的檔案完整性監控功能正式推出

2024 年 9 月 18 日

基於 適用於端點的 Microsoft Defender 的新版本檔案完整性監控現已正式上線，作為 Defender for Servers Plan 2 的一部分。 FIM 可以讓您：

• 即時監視重要檔案和登錄並稽核變更，以符合合規性需求。
• 偵測可疑的檔案內容變更，找出潛在的安全性問題。

此改良的 FIM 體驗取代了原本預計淘汰的 Log Analytics Agent（MMA）退休功能。 我們將持續支援基於 MMA 的 FIM 體驗到 2024 年 11 月底。

此版本釋出產品內體驗，讓你能將 FIM 配置 over MMA 遷移至新的 FIM over Defender for Endpoint 版本。

關於如何在 Endpoint 上啟用 FIM over Defender，請參見使用 適用於端點的 Microsoft DefenderFile Integrity Monitoring 。 如需關於如何停用舊版的資訊，請參閱從舊版移轉檔案完整性監視。

FIM 遷移體驗可在 適用於雲端的 Defender 中取得

2024 年 9 月 18 日

產品內建體驗讓你能將 FIM 配置 over MMA 遷移到新的 FIM over Defender for Endpoint 版本。 在這個體驗中，您可以：

• 使用啟用 MMA 且需要移轉的先前 FIM 版本檢閱受影響的環境。
• 從 MMA 型體驗並在工作區匯出您目前的 FIM 規則
• 透過 MDE 移轉至具有新 FIM 的 P2 啟用訂用帳戶。

若要使用移轉體驗，請流覽至 [環境設定] 窗格，然後選取上列的 [MMA 移轉 ] 按鈕。

淘汰 MMA 自動佈建功能

2024 年 9 月 18 日，作為 MMA 代理程式淘汰計畫的一部分，提供 MDC 客戶代理程式安裝和設定的自動布建功能也將分兩個階段逐步淘汰：

1. 到 2024 年 9 月底，MMA 的自動布建將會針對不再使用此功能的客戶，以及新建立的訂用帳戶停用。 在 9 月底之後，這些功能將無法再在這些訂用帳戶上重新啟用。

2. 2024 年 11 月底， MMA 的自動布建將會在尚未關閉的訂用帳戶上停用。 之後，便無法再在現有的訂用帳戶上啟用此功能。

與 Power BI 的整合

2024 年 9 月 15 日

適用於雲端的 Defender 現在可以與 Power BI 整合。 此整合讓您能利用 適用於雲端的 Defender 的資料建立自訂報告與儀表板。 你可以使用 Power BI 來視覺化並分析你的安全態勢、合規性及安全建議。

了解更多關於與 Power BI 的新 整合。

更新至 CSPM 多雲端網路需求

2024 年 9 月 11 日

預估的變更日期：2024 年 10 月

從 2024 年 10 月開始，我們會在多重雲端探索服務中新增更多 IP 位址，以因應改善，並確保所有使用者都能更有效率的體驗。

為確保我們的服務不間斷地存取，您應該使用 此處提供的新範圍更新您的 IP 允許清單。 您應該在防火牆設定、安全組或任何其他可能適用於您環境的組態中進行必要的調整。 該清單足以滿足 CSPM 基礎 (免費) 產品的全部功能。

Defender for Servers 功能棄用

2024 年 9 月 9 日

自適性應用程式控制和自適性網路強化現在都已淘汰。

西班牙國家安全框架（Esquema Nacional de Seguridad （ENS））已新增至 Azure 的監管合規儀表板

2024 年 9 月 9 日

想要檢查其 Azure 環境是否符合 ENS 標準的組織，現在可以使用 適用於雲端的 Defender 進行。

ENS 標準適用於西班牙整個公共部門，以及與政府合作的供應商。 它制定了保護電子處理資訊和服務的基本原則、要求和安全措施。 目標是確保存取、機密性、完整性、可追溯性、真實性、可用性和資料保存。

查看支援的合規性標準完整清單。

補救機器上的系統更新和修補程式建議

2024 年 9 月 8 日

你現在可以在啟用 Azure Arc 的機器和 Azure VM 上進行系統更新和修補建議。 系統更新和修補程式對於保持電腦的安全性和健康狀態至關重要。 更新通常包含針對弱點的安全性修補程式，如果未修正，攻擊者會利用這些弱點。

關於缺少機器更新的資訊現在會透過 Azure 更新管理員 收集。

為了維護電腦在系統更新和修補程式方面的安全性，您必須在電腦上啟用定期評估更新設定。

了解如何在您的設備上處理系統更新和修補程式建議。

ServiceNow 的整合現在包含設定合規性模組

2024 年 9 月 4 日

適用於雲端的 Defender 的 CSPM 方案與 ServiceNow 整合，現在包含 ServiceNow 的配置合規模組。 這項功能可讓您識別、排定優先順序及補救雲端資產中的設定問題，同時降低安全性風險，並透過自動化工作流程和即時深入解析改善整體合規性態勢。

了解更多關於 ServiceNow 與 適用於雲端的 Defender 的整合。

Defender for Storage（經典版）每筆交易儲存保護計畫不適用於新訂閱

2024 年 9 月 4 日

預計變更日期：2025 年 2 月 5 日

2025 年 2 月 5 日之後，除非訂閱中已啟用舊版 Defender for Storage（經典版）的每次交易儲存保護方案，否則將無法啟用。 欲了解更多資訊，請參閱 移至新Defender的儲存計畫。

Azure 原則 guest configuration 現已正式公開（GA）

2024 年 9 月 1 日

Defender for Server 的 Azure 原則 訪客配置現已正式開放（GA），適用於所有多雲 Defender for Servers Plan 2 客戶。 來賓設定提供統一的體驗，讓您管理整個環境的安全性基準。 它讓您能評估並執行伺服器的安全設定，包括 Windows 和 Linux 機器、Azure 虛擬機、AWS EC2 以及 GCP 實例。

學習如何在你的環境<<>c0>啟用Azure 原則機器設定。

Defender for Containers 支援 Docker Hub 容器登錄預覽

2024 年 9 月 1 日

我們正在推出 Microsoft Defender for Containers 擴充覆蓋的公開預覽版，將包含外部登錄檔，從 Docker Hub 容器登錄檔開始。 作為貴組織 Microsoft Cloud 安全態勢管理的一部分，將覆蓋範圍擴展至 Docker Hub 容器登錄檔，提供使用 Docker Hub 容器映像掃描的好處Microsoft Defender 弱點管理 用以識別安全威脅並降低潛在安全風險。

欲了解更多此功能資訊，請參閱 Docker Hub 脆弱性評估>

2024 年 8 月

Date	Category	Update
8月28日	Preview	基於 適用於端點的 Microsoft Defender
8月22日	即將進行的淘汰	適用於雲端的 Defender警示整合與Azure WAF 警示
8 月 1 日	GA	在大規模機器上啟用 SQL 伺服器Microsoft Defender

基於 適用於端點的 Microsoft Defender 的新版本檔案完整性監控

2024 年 8 月 28 日

基於 適用於端點的 Microsoft Defender 的新版本檔案完整性監控現已進入公開預覽階段。 它是 Defender for Servers Plan 2 的一部分。 這可讓您：

• 即時監視重要檔案和登錄並稽核變更，以符合合規性需求。
• 偵測可疑的檔案內容變更，找出潛在的安全性問題。

作為本次版本的一部分，AMA 上的 FIM 體驗將不再提供在 適用於雲端的 Defender 入口網站中。 我們將持續支援基於 MMA 的 FIM 體驗到 2024 年 11 月底。 九月初將釋出產品內體驗，讓你能將 FIM 配置 over MMA 遷移到新的 FIM over Defender for Endpoint 版本。

關於如何在 Endpoint 上啟用 FIM over Defender，請參見使用 適用於端點的 Microsoft DefenderFile Integrity Monitoring 。 如需瞭解如何從舊版移轉，請參閱從舊版移轉檔案完整性監視。

Retirement of 適用於雲端的 Defender alert integration with Azure WAF alerts

2024 年 8 月 22 日

預計變更日期：2024 年 9 月 25 日

適用於雲端的 Defender警示整合Azure WAF警示將於2024年9月25日退役。 您不需採取任何動作。 對於Microsoft Sentinel客戶，你可以設定 Azure Web 應用程式防火牆 connector。

在大規模機器上啟用 Microsoft Defender for SQL 伺服器

2024 年 8 月 1 日

你現在可以在政府雲端的機器上大規模啟用 Microsoft Defender for SQL 伺服器。 此功能允許您同時在多台伺服器啟用 Microsoft Defender for SQL，節省時間與精力。

學習如何在大規模機器上啟用 SQL 伺服器的 Microsoft Defender。

2024年7月

Date	Category	Update
7 月 31 日	GA	正式發行端點保護的增強型探索和設定建議
7 月 31 日	即將進行的更新	自適性網路強化淘汰
7 月 22 日	Preview	安全評估GitHub不再需要額外的授權
7 月 18 日	即將進行的更新	伺服器計畫2
7 月 18 日	即將進行的更新	在代理程式淘汰過程中淘汰 MMA 相關功能
7月15日	Preview	Binary Drift 公開預覽於 Defender for Containers
7 月 14 日	GA	AWS 和 GCP 的自動化補救指令碼現在是 GA
7 月 11 日	即將進行的更新	GitHub application permissions update
7 月 10 日	GA	合規性標準現在是 GA
7 月 9 日	即將進行的更新	詳細目錄體驗改進
7 月 8 日	即將進行的更新	容器映射工具預設在 GitHub

正式發行端點保護的增強型探索和設定建議

2024 年 7 月 31 日

已改善端點保護解決方案的探索功能，增強型識別設定問題功能現在已正式發行，可在多雲端伺服器中使用。 這些更新包含在 Defender for Servers Plan 2 及 Defender 雲端安全態勢管理（CSPM）中。

增強型建議功能使用無代理程式機器掃描，進而可完整探索和評估支援端點偵測和回應解決方案的設定。 識別設定問題時，系統將提供補救步驟。

在此正式發行版本中， 支援的解決方案 清單已擴充，以包含另外兩個端點偵測和回應工具：

• Singularity Platform (由 SentinelOne 開發)
• 皮質 XDR

自適性網路強化淘汰

2024 年 7 月 31 日

變更的預估日期：2024 年 8 月 31 日

Defender for Server 的自適應網路強化功能正在被棄用。

淘汰的功能包含下列體驗：

• 建議： 應在網際網路對向虛擬機器上套用調適性網路強化建議 [評定索引鍵：f9f0eed0-f143-47bf-b856-671ea2eeed62]
• 警示：偵測 到來自建議封鎖的 IP 位址的流量

預覽：GitHub 的安全評估不再需要額外授權

2024年7月22日

GitHub 用戶在 適用於雲端的 Defender 中不再需要 GitHub 進階安全授權即可查看安全發現。 這適用於對程式碼弱點、基礎結構即程式碼 (IaC) 錯誤設定以及在組建階段偵測到的容器映像中的弱點進行安全性評量。

使用 GitHub Advanced Security 的客戶將持續在 適用於雲端的 Defender 中獲得額外的安全評估，涵蓋外洩憑證、開放原始碼 相依漏洞及 CodeQL 發現。

想了解更多關於適用於雲端的 Defender DevOps 安全，請參閱 DevOps 安全概述。 要了解如何將GitHub環境導入適用於雲端的 Defender，請遵循GitHub入職指南。 想了解如何配置 Microsoft 安全性 DevOps GitHub Action，請參閱我們的 GitHub Action 文件。

Defender for Servers Plan 2 中 MMA 淘汰的最新時間表

2024年7月18日

變更的預估日期：2024 年 8 月

隨著 即將於 8 月 Log Analytics淘汰代理，適用於雲端的 Defender 伺服器保護的所有安全價值都將依賴於與 適用於端點的 Microsoft Defender 的整合（MDE）作為單一代理，以及由雲端平台與無代理機器掃描所提供的無代理功能。

以下功能已更新時程與計畫，因此 適用於雲端的 Defender 客戶對 MMA 的支援將延長至 2024 年 11 月底：

• 檔案完整性監視 (FIM)：計劃於 2024 年 8 月在 MDE 發佈 FIM 新版本的公開預覽版。 由 Log Analytics 代理驅動的 GA 版本 FIM 將持續支援現有客戶至 November 2024 結束。

• Security Baseline：作為基於 MMA 版本的替代方案，目前基於訪客配置的預覽版本將於 2024 年 9 月正式發布。由 Log Analytics 代理驅動的作業系統安全基線將持續支援現有客戶至 2024 年 11 月底。

欲了解更多資訊，請參閱準備退休Log Analytics代理人。

在代理程式淘汰過程中淘汰 MMA 相關功能

2024年7月18日

變更的預估日期：2024 年 8 月

作為棄用Microsoft監控代理（MMA）及更新Defender版伺服器部署策略的一部分，所有伺服器Defender的安全功能將透過單一代理（端點Defender）或無代理掃描功能提供。 這不需要依賴 MMA 或 Azure 監控代理程式（AMA）。

隨著該代理人於 2024 年 8 月退休，以下與 MMA 相關的功能將從 適用於雲端的 Defender 入口網站中移除：

• 顯示 Inventory 及 資源健康狀態 刀片上的 MMA 安裝狀態。
• 將Inventory及Getting Started刀片移除將移除將Log Analytics工作區Defender新非Azure伺服器的能力。

Note

我們建議現有客戶，若已使用 legacy 方法 進行本地伺服器接手，現在應該透過支援 Azure Arc 的伺服器連接這些機器。 我們也建議在這些伺服器所連接的 Azure 訂閱上啟用 Defender for Servers Plan 2。

如果你透過舊有方式在特定 Azure 虛擬機上選擇性啟用 Defender for Servers Plan 2，請在這些機器的 Azure 訂閱上啟用 Defender for Servers Plan 2。 使用伺服器覆蓋Defender 每資源配置，將個別機器排除在伺服器覆蓋Defender之外。

這些措施將確保 Log Analytics 代理退休後不會失去安全覆蓋。

為維持安全連續性，我們建議擁有伺服器方案2 Defender的客戶，在其訂閱中啟用無代理機器掃描及整合於適用於端點的 Microsoft Defender。

您可以使用 這本自訂工作簿來追蹤您的 Log Analytics 代理（MMA）資產，並監控伺服器在 Azure 虛擬機與Azure Arc機器Defender間的部署狀態。

欲了解更多資訊，請參閱準備退休Log Analytics代理人。

《二元漂移》公開預覽版現已於 Defender for Containers 上架

我們正在為 Defender for Containers 推出 Binary Drift 的公開預覽版。 這項功能有助於識別並降低與容器中未經授權二進位檔案相關聯的潛在安全性風險。 二進位漂移會自動識別並傳送容器內潛在有害二進位流程的警示。 此外，它允許實作新的二進位漂移原則來控制警示喜好設定，讓您能夠針對特定的安全性需求量身打造通知。 如需這項功能的詳細資訊，請參閱 二進位漂移偵測

AWS 和 GCP 的自動化補救指令碼現在是 GA

2024 年 7 月 14 日

在 3 月，我們發行了 AWS 和 GCP 的自動化補救指令碼至公開預覽版，可讓您以程式設計的方式補救 AWS 和 GCP 的建議。

今天，我們將此功能發佈至正式推出（GA）。 瞭解如何使用自動化補救腳本。

GitHub 應用程式權限更新

2024 年 7 月 11 日

變更的預估日期：2024 年 7 月 18 日

適用於雲端的 Defender 的 DevOps 安全系統不斷更新，要求擁有 適用於雲端的 Defender GitHub 連接器的客戶必須更新 GitHub 中Microsoft 安全性 DevOps 應用程式的權限。

作為本次更新的一部分，GitHub 應用程式將需要 GitHub Copilot Business 的讀取權限。 此權限將用於協助客戶更好地保護其 GitHub Copilot 部署的安全。 建議您儘快更新應用程式。

可以透過兩種不同的方式授與權限：

1. 在你的GitHub組織中，進入Settings > GitHub Apps 的 Microsoft 安全性 DevOps 應用程式，並接受權限請求。

2. 在GitHub支援的自動電子郵件中，選擇Review 權限請求以接受或拒絕此變更。

合規性標準現在是 GA

2024 年 7 月 10 日

在 3 月，我們新增了許多新合規性標準的預覽版本，讓客戶驗證其 AWS 和 GCP 資源。

這些標準包括 CIS Google Kubernetes Engine (GKE) 基準、ISO/IEC 27001 和 ISO/IEC 27002、CRI 設定檔、CSA 雲端控制矩陣 (CCM)、巴西一般個人資料保護法 (LGPD)、加州消費者隱私法 (CCPA) 等。

這些預覽標準現已正式推出（GA）。

查看支援的合規性標準完整清單。

詳細目錄體驗改進

2024 年 7 月 9 日

變更的預估日期：2024 年 7 月 11 日

庫存體驗將持續更新以提升效能，包括改善 Azure Resource Graph 中窗格的「Open query」查詢邏輯。 更新 Azure 資源計算邏輯可能會導致其他資源被計算並呈現。

容器映射工具，預設可在 GitHub 執行

2024 年 7 月 8 日

預估變更日期：2024 年 8 月 12 日

透過 Microsoft Defender 雲端安全性態勢管理（CSPM）中的 DevOps 安全功能，您可以將雲端原生應用程式從程式碼映射到雲端，輕鬆啟動開發者修復工作流程，並縮短容器映像中漏洞修復的時間。 目前，您必須手動設定容器映像映射工具，才能在 GitHub 的 Microsoft 安全性 DevOps 動作中執行。 隨著此變更，容器映射將預設作為 Microsoft 安全性 DevOps 行動的一部分執行。 了解更多關於Microsoft 安全性 DevOps 行動。

2024年6月

Date	Category	Update
6 月 27 日	GA	Checkov IaC 掃描適用於雲端的 Defender。
6 月 24日	Update	多雲Defender容器價格變動
6月20日	即將進行的淘汰	Microsoft 監控代理（MMA）棄用 的自適應性建議退役提醒。 預計淘汰：2024 年 8 月。
6 月 10 日	Preview	Copilot 適用於雲端的 Defender
6 月 10 日	即將進行的更新	在未設定的伺服器上使用快速設定自動啟用 SQL 弱點評定。 預計更新：2024 年 7 月 10 日。
6 月 3 日	即將進行的更新	身分識別建議行為的變更 預計更新：2024 年 7 月 10 日。

GA：在 適用於雲端的 Defender 中檢查 IaC 掃描

2024年6月27日

我們宣布 Checkov 整合，可用於 Microsoft 安全性 DevOps 掃描基礎設施即程式碼（IaC）（MSDO）。 作為此版本的一部分，Checkov 會取代 TerraScan 作為 MSDO 命令行介面 （CLI） 一部分執行的預設 IaC 分析器。 TerraScan 可能仍可透過 MSDO 的 環境變數 手動設定，但預設不會執行。

Checkov 的安全發現作為對 Azure DevOps 與 GitHub 資料庫的建議，分別在評估Azure DevOps資料庫應具備基礎設施，程式碼發現已解決GitHub資料庫應具備基礎設施，程式碼發現已解決。

想了解更多關於適用於雲端的 Defender DevOps 安全，請參閱 DevOps 安全概述。 欲了解如何設定 MSDO CLI，請參閱 Azure DevOps 或 GitHub 文件。

更新：多雲中 Defender 容器價格變動

2024 年 6 月 24 日

由於 Defender for Containers 在多雲中已經普遍可用，它不再是免費的。 更多資訊請參閱適用於雲端的 Microsoft Defender價格。

淘汰：調整建議的淘汰提醒事項

2024年6月20日

變更的預估日期：2024 年 8 月

作為 MMA 棄用及伺服器Defender更新部署策略的一部分，伺服器安全Defender將透過 適用於端點的 Microsoft Defender（MDE）代理程式，或 無代理掃描能力提供。 這兩種選項都不依賴 MMA 或 Azure 監控代理程式（AMA）。

將停用調適型安全性建議 (稱為自適性應用程式控制和自適性網路強化)。 以 MMA 為基礎的目前 GA 版本和以 AMA 為基礎的預覽版本都將於 2024 年 8 月淘汰。

預覽：適用於雲端的 Defender 中的 Copilot

2024年6月10日

我們宣布將 Microsoft Security Copilot 整合進 適用於雲端的 Defender 的公開預覽版。 Copilot 在 適用於雲端的 Defender 中的內嵌體驗，讓使用者能用自然語言提問並獲得答案。 Copilot 能協助你理解建議的背景、實施建議的影響、實施建議所需的步驟、協助建議委派，以及協助修正程式碼中錯誤設定。

在適用於雲端的 Defender中了解更多關於Microsoft Security Copilot的資訊。

更新：SQL 弱點評定自動啟用

2024年6月10日

預估變更日期：2024 年 7 月 10 日

最初，只有在 2022 年 12 月 Express Configuration 推出後啟用 Microsoft Defender for SQL 的伺服器上，才會自動啟用 SQL 漏洞評估（VA）。

我們將更新所有在 2022 年 12 月前啟用 Microsoft Defender for SQL 且沒有現有 SQL VA 政策的 Azure SQL 伺服器，並自動啟用 SQL 漏洞評估（SQL VA），並搭配 Express Configuration。

• 這項變更的實作會逐漸進行，跨越數周，且不需要使用者的任何動作。
• 此變更適用於 Azure SQL 伺服器，該伺服器在 Azure 訂閱層級啟用了 Microsoft Defender for SQL。
• 具有現有傳統組態的伺服器（無論有效還是無效），都不會受到這項變更的影響。
• 啟用時，「SQL 資料庫應已解決弱點結果」的建議可能會出現，而且可能會影響您的安全分數。

更新：身分識別建議行為的變更

2024 年 6 月 3 日

預估變更日期：2024 年 7 月

這些變更：

• 評定的資源將成為身分識別，而不是訂用帳戶
• 建議不再有「子命令」
• API 中 'assessmentKey' 欄位的值將會針對這些建議變更

將會套用至下列建議：

• 在 Azure 資源上擁有擁有權的帳號應該啟用多重驗證（MFA）
• 在 Azure 資源上有寫入權限的帳號應該啟用多重身份驗證（MFA）
• 對 Azure 資源有讀取權限的帳號應該啟用多重認證（MFA）
• 擁有 Azure 資源擁有擁有權的訪客帳號應該被移除
• 對 Azure 資源有寫入權限的訪客帳號應該被移除
• 在 Azure 資源上擁有讀取權限的訪客帳號應該被移除
• 在 Azure 資源上擁有擁有權的被封鎖帳號應該被移除
• 在 Azure 資源上擁有讀寫權限的被封鎖帳號應該被移除
• 您的訂用帳戶最多應指定三個擁有者
• 應將一個以上的擁有者指派給您的訂用帳戶

2024 年 5 月

Date	Category	Update
5 月 30 日	GA	伺服器方案 2
5 月 22 日	Update	設定攻擊路徑的電子郵件通知
5 月 21 日	Update	高級狩獵Microsoft Defender 全面偵測回應包含適用於雲端的 Defender警報與事件
5 月 9 日	Preview	Checkov 整合用於 適用於雲端的 Defender
5 月 7 日	GA	適用於雲端的 Defender
5 月 6 日	Preview	AI 多雲安全態勢管理支援 Azure 與 AWS。
5 月 6 日	限定預覽	Azure 中 AI 工作負載的威脅防護。
5 月 2 日	Update	安全性原則管理。
5 月 1 日	Preview	Defender 開源資料庫現已在 AWS 上提供，適用於 Amazon 實例。
5 月 1 日	即將進行的淘汰	移除 FIM 在 AMA 上，並在 Defender 上發布新版本，適用於 Endpoint。 預計淘汰：2024 年 8 月。

GA：Defender for Servers Plan 2 中的無代理惡意軟體偵測

2024 年 5 月 30 日

適用於雲端的 Defender 針對 Azure 虛擬機、AWS EC2 實例及 GCP 虛擬機實例的無代理惡意軟體偵測功能，現已在 Defender 中作為新功能，適用於伺服器 Plan 2。

無代理惡意軟體偵測使用 Microsoft Defender 防毒軟體反惡意軟體引擎來掃描並偵測惡意檔案。 偵測到的威脅會直接觸發安全警示至 適用於雲端的 Defender 和 Defender 全面偵測回應，以便調查與修復。 深入了解伺服器的無代理程式惡意程式碼掃描，以及 VM 的無代理程式掃描。

更新：設定攻擊路徑的電子郵件通知

2024年5月22日

您現在可以設定在偵測到具有指定風險等級或更高層級的攻擊路徑時傳送電子郵件通知。 了解如何設定電子郵件通知。

更新：Microsoft Defender 全面偵測回應 的進階搜尋功能包含 適用於雲端的 Defender 的警示與事件

2024年5月21日

適用於雲端的 Defender 的警示與事件現已整合至 Microsoft Defender 全面偵測回應，並可透過 Microsoft Defender 入口網站存取。 此整合可跨雲端資源、裝置和身分識別提供更豐富的調查內容。 深入了解 XDR 整合的進階搜捕 (部分機器翻譯)。

預覽：Checkov 整合 IaC 掃描於 適用於雲端的 Defender 中

2024年5月9日

適用於雲端的 Defender 中 DevOps 安全的 Checkov 整合現已進入預覽階段。 此整合可改善掃描 IaC 範本時，MSDO CLI 所執行基礎結構即程式碼檢查的質量和總數。

在預覽期間，必須透過 MSDO CLI 的 'tools' 輸入參數明確叫用 Checkov。

了解更多關於 適用於雲端的 DefenderDevOps 安全性，以及如何為 Azure DevOps 和 GitHub 配置 MSDO CLI。

GA：適用於雲端的 Defender 中的權限管理

2024年5月7日

Permissions management 現已在 適用於雲端的 Defender 上普遍提供。

預覽：AI 多雲端安全性態勢管理

2024 年 5 月 6 日

AI 安全態勢管理已在 適用於雲端的 Defender 預覽版中提供。 它為 Azure 和 AWS 提供 AI 安全態勢管理功能，以提升您的 AI 管線與服務的安全性。

深入了解 AI 安全性態勢管理。

有限預覽：Azure 中 AI 工作負載的威脅防護

2024 年 5 月 6 日

適用於雲端的 Defender 中針對 AI 工作負載的威脅防護功能目前僅有有限預覽版本。 此計畫幫助您在執行時監控 Azure OpenAI 驅動的應用程式是否有惡意活動，識別並修復安全風險。 它提供關於 AI 工作負載威脅防護的情境洞見，並整合負責任的 AI 及 Microsoft 威脅情報。 相關的安全警示整合進 Defender 入口網站。

深入了解 AI 工作負載威脅防護。

正式發行：安全性原則管理

2024年5月2日

跨雲端（Azure、AWS、GCP）的安全政策管理現已普遍提供。 這可讓安全性小組以一致的方式以及新功能來管理其安全策略

了解更多關於 適用於雲端的 Microsoft Defender 中的 security 政策。

預覽：Defender 用於 AWS 提供的開源資料庫

2024 年 5 月 1 日

Defender for Open-Source databases 在 AWS 上現已提供預覽版。 其中新增對各種類型的 Amazon 關聯式資料庫服務 (RDS) 執行個體類型的支援。

了解更多關於開源資料庫<Defender>以及如何在 AWS 上啟用開源資料庫Defender。

淘汰：移除 FIM (透過 AMA)

2024 年 5 月 1 日

變更的預估日期：2024 年 8 月

作為 MMA 棄用及伺服器Defender更新部署策略的一部分，所有伺服器安全功能Defender將透過單一代理（MDE）或無代理掃描功能提供，且不依賴 MMA 或 AMA。

新版本的檔案完整性監控（FIM）取代 適用於端點的 Microsoft Defender（MDE），讓您能即時監控關鍵檔案與登錄檔、稽核變更及偵測可疑檔案內容變更，以符合合規要求。

作為本次發布的一部分，自 2024 年 8 月起，透過 適用於雲端的 Defender 入口網站將不再提供 FIM 體驗。 如需詳細資訊，請參閱檔案完整性監視體驗 - 變更和移轉指引。

關於新 API 版本的詳細資訊，請參見 適用於雲端的 Microsoft Defender REST APIs。

2024 年 4 月

Date	Category	Update
4 月 16 日	即將進行的更新	CIEM 評定識別碼中的變更。 預計更新：2024 年 5 月。
4 月 15 日	GA	Defender for Containers 現已支援 AWS 和 GCP。
4 月 3 日	Update	風險優先排序現在成為適用於雲端的 Defender
4 月 3 日	Update	Defender用於開源關聯式資料庫更新。

更新：CIEM 評定識別碼中的變更

2024 年 4 月 16 日

變更的預估日期：2024 年 5 月

下列建議已排程重新建置，這會導致其評定識別碼變更：

• Azure overprovisioned identities should have only the necessary permissions
• AWS Overprovisioned identities should have only the necessary permissions
• GCP overprovisioned identities should have only the necessary permissions
• Super identities in your Azure environment should be removed
• Unused identities in your Azure environment should be removed

GA：AWS 和 GCP 的 Defender 容器

2024 年 4 月 15 日

AWS 與 GCP 在 Defender for Containers 中的執行時威脅偵測與無代理發現功能現已普遍提供。 此外，AWS 中有一個新的驗證功能，可簡化佈建。

了解更多關於 適用於雲端的 Defender 中的 containers 支援矩陣，以及如何為容器元件配置 配置 Defender。

更新：風險優先順序

2024 年 4 月 3 日

風險優先排序現在已成為 適用於雲端的 Defender 的預設體驗。 這項功能可協助您根據每個資源的風險因素，將建議優先順序放在環境中最重要的安全性問題。 風險因素包括安全性問題遭到入侵的潛在影響、風險類別，以及安全性問題所屬的攻擊路徑。 深入了解 風險優先順序。

更新：Open-Source 關聯式資料庫的Defender

2024 年 4 月 3 日

• Defender 適用於 GA 更新後的 PostgreSQL 彈性伺服器 - 此更新讓客戶能在訂閱層級強制保護現有的 PostgreSQL 彈性伺服器，允許完全彈性地以資源為單位保護，或自動保護訂閱層級的所有資源。
• Defender 用於 MySQL Flexible Servers Availability 及 GA - 適用於雲端的 Defender 透過整合 MySQL 靈活伺服器，擴展對Azure開源關聯式資料庫的支援。

此版本包括：

• 與現有 Defender for MySQL 單一伺服器的警報相容性。
• 啟用個別資源。
• 已在訂用帳戶層級啟用。
• 適用於 MySQL 的 Azure 資料庫 靈活伺服器的更新將在接下來幾週陸續推出。 如果你看到錯誤The server <servername> is not compatible with 進階威脅防護，你可以選擇等待更新，或是開支援單，讓伺服器更早更新到支援版本。

如果你已經用 Defender 保護你的開源關聯式資料庫訂閱，你的彈性伺服器資源會自動啟用、保護並計費。 特定帳單通知已透過電子郵件傳送給受影響的訂用帳戶。

了解更多關於開源關聯式資料庫的 Microsoft Defender。

2024 年 3 月

Date	Category	Update
3 月 31 日	GA	Windows容器影像掃描中
3 月 25 日	Update	連續匯出現在包含攻擊路徑資料
3月21日	Preview	無代理掃描支援 Azure
3 月 17 日	Preview	基於 KQL 對 Azure 的自訂建議。
3 月 13 日	Update	DevOps 建議納入Microsoft雲端安全基準
3 月 13 日	GA	ServiceNow 整合。
3 月 13 日	Preview	關鍵資產保護，適用於雲端的 Microsoft Defender。
3 月 12 日	Update	使用自動化補救指令碼增強的 AWS 和 GCP 建議
3 月 6 日	Preview	合規性標準已新增至合規性儀表板
3 月 6 日	即將進行的更新	Defender用於開源關聯式資料庫更新 預計日期：2024 年 4 月
3 月 3 日	即將進行的更新	變更您存取合規服務與Microsoft行動 預計日期：2025 年 9 月
3 月 3 日	Deprecation	適用於雲端的 Defender 由 Qualys retirement
3 月 3 日	即將進行的更新	變更您存取合規服務與Microsoft行動。 預計淘汰：2025 年 9 月 30 日。

GA：掃描 Windows 容器映像

2024 年 3 月 31 日

我們宣布 Windows 容器映像支援的 Defender for Containers 掃描功能正式開放（GA）。

更新：連續匯出現在包含攻擊路徑資料

2024 年 3 月 25 日

我們宣佈持續導出現在包含攻擊路徑資料。 此功能允許您將安全資料串流至 Azure Monitor 中的 Azure 監視器中的記錄分析、Azure 事件中樞，或其他安全資訊與事件管理（SIEM）、安全協調自動回應（SOAR）或 IT 經典部署模型解決方案。

深入瞭解 連續匯出。

預覽：無代理掃描支援 Azure 中的 CMK 加密虛擬機

2024 年 3 月 21 日

到目前為止，無代理程式掃描涵蓋 AWS 和 GCP 中的 CMK 加密 VM。 這次版本也完成了對 Azure 的支援。 此功能採用 Azure 中 CMK 獨特的掃描方法：

• 適用於雲端的 Defender 不處理金鑰或解密的過程。 金鑰與解密由 Azure Compute 無縫處理，對 適用於雲端的 Defender 的無代理掃描服務而言是透明的。
• 未加密的 VM 磁碟資料永遠不會以另一個金鑰複製或重新加密。
• 原始金鑰不會在程序期間複寫。 清除它會清除你生產虛擬機和 適用於雲端的 Defender 臨時快照中的資料。

在公開預覽期間，此功能不會自動啟用。 如果你使用 Defender 伺服器 P2 或 Defender CSPM，且你的環境有 CMK 加密磁碟的虛擬機，現在你可以依照這些 啟用步驟 掃描它們是否有漏洞、秘密或惡意軟體。

Preview： Custom recommendations based of the KQL for Azure

2024 年 3 月 17 日

基於 Azure KQL 的自訂推薦現已進入公開預覽版，並支援所有雲端平台。 如需更多資訊，請參閱建立自訂安全性標準和建議。

更新：將 DevOps 建議納入 Microsoft 雲端安全基準測試

2024 年 3 月 13 日

今天，我們宣布除了 Azure、AWS 和 GCP，您還可以在 Microsoft 雲端安全基準（MCSB）中監控您的 DevOps 安全與合規態勢。 DevOps 評量是 MCSB 中 DevOps 安全性控件的一部分。

MCSB 是一種架構，可根據常見的業界標準和合規性架構來定義基本雲端安全性準則。 MCSB 提供如何實作其無從驗證安全性建議的規範詳細資料。

了解更多將包含的DevOps 建議以及 Microsoft雲端安全基準測試。

正式發行：ServiceNow 整合已正式發行

2024 年 3 月 12 日

我們宣布 ServiceNow 整合正式推出 （GA）。

預覽：適用於雲端的 Microsoft Defender 中的關鍵資產保護

2024 年 3 月 12 日

適用於雲端的 Defender 現在包含一項業務關鍵性功能，利用 Microsoft 安全性 Exposure Management 的關鍵資產引擎，透過風險優先排序、攻擊路徑分析及雲端安全探索器來識別並保護重要資產。 欲了解更多資訊，請參閱適用於雲端的 Microsoft Defender（預覽）中的關鍵資產保護。

更新：使用自動化補救指令碼增強的 AWS 和 GCP 建議

2024 年 3 月 12 日

我們會使用自動化補救指令碼來增強 AWS 和 GCP 建議，讓您以程式設計方式和大規模地進行補救。 深入了解自動化補救指令碼。

預覽：合規性標準已新增至合規性儀表板

2024 年 3 月 6 日

根據客戶回饋，我們已在預覽版中新增了 適用於雲端的 Defender 的合規標準。

查看支援的合規性標準完整清單

我們持續致力於新增與更新 Azure、AWS 及 GCP 環境的新標準。

了解如何指派安全性標準。

更新：Defender 開源關聯式資料庫更新

2024 年 3 月 6 日**

變更的預估日期：2024 年 4 月

Defender 適用於 GA 更新後的 PostgreSQL 彈性伺服器 - 此更新讓客戶能在訂閱層級強制保護現有的 PostgreSQL 彈性伺服器，允許完全彈性地以資源為單位保護，或自動保護訂閱層級的所有資源。

Defender 用於 MySQL 彈性伺服器可用性與 GA - 適用於雲端的 Defender 將透過整合 MySQL 靈活伺服器來擴展對Azure開源關聯式資料庫的支援。 此版本將包含：

• 與現有 Defender for MySQL 單一伺服器的警報相容性。
• 啟用個別資源。
• 已在訂用帳戶層級啟用。

如果你已經用 Defender 保護你的開源關聯式資料庫訂閱，你的彈性伺服器資源會自動啟用、保護並計費。 特定帳單通知已透過電子郵件傳送給受影響的訂用帳戶。

了解更多關於開源關聯式資料庫的 Microsoft Defender。

更新：合規服務與 Microsoft 行動設定的變更

2024 年 3 月 3 日

預估變更日期：2025 年 9 月 30 日

2025 年 9 月 30 日起，您可存取兩項預覽功能——合規服務（Compliance Offering）與 Microsoft Actions 的地點將有所變動。

列出 Microsoft 產品合規狀態的表格（可從Defender法規合規儀表板工具列中的 Compliance Offerings 按鈕存取）。 此按鈕從適用於雲端的 Defender移除後，您仍可透過Service Trust Portal存取此資訊。

對於部分控制項，Microsoft 動作可從控制細節欄的 Microsoft 動作（預覽）按鈕進入。 移除此按鈕後，您可以造訪Microsoft的 c0>Service Trust Portal，並存取Azure系統安全計畫文件，查看Microsoft行動。

更新：關於您存取合規服務與 Microsoft Actions 的管道變更

2024 年 3 月 3 日**

變更的預估日期：2025 年 9 月

2025 年 9 月 30 日起，您可存取兩項預覽功能——合規服務（Compliance Offering）與 Microsoft Actions 的地點將有所變動。

列出 Microsoft 產品合規狀態的表格（可從Defender法規合規儀表板工具列中的 Compliance Offerings 按鈕存取）。 此按鈕從適用於雲端的 Defender移除後，您仍可透過Service Trust Portal存取此資訊。

對於部分控制項，Microsoft 動作可從控制細節欄的 Microsoft 動作（預覽）按鈕進入。 移除此按鈕後，您可以造訪Microsoft的 c0>Service Trust Portal，並存取Azure系統安全計畫文件，查看Microsoft行動。

棄用：由 Qualys 退休提供支援的 適用於雲端的 Defender 容器漏洞評估

2024 年 3 月 3 日

由 Qualys 提供支援的 適用於雲端的 Defender 容器漏洞評估即將退役。 淘汰作業將於 3 月 6 日完成，直到該時間部分結果可能仍會出現在 Qualys 建議中，而 Qualys 結果則會在安全性圖表中。 先前使用此評估的客戶應升級為漏洞評估，適用於Microsoft Defender 弱點管理Azure。 關於轉用由 Microsoft Defender 弱點管理 驅動的容器脆弱性評估服務的資訊，請參見 從 Qualys 過渡到 Microsoft Defender 弱點管理。

2024年2月

Date	Category	Update
2 月 28 日	Deprecation	Microsoft 安全性 Code Analysis（MSCA）已停止運作。
2 月 28 日	Update	更新的安全策略管理可擴充 AWS 和 GCP 的支援。
2 月 26 日	Update	Cloud 對 Defender for Containers
2月20日	Update	容器Defender
2月18日	Update	Open Container Initiative (OCI) 映像格式規格支援
2 月 13 日	Deprecation	Trivy 所提供的 AWS 容器弱點評量已淘汰。
2 月 5 日	即將進行的更新	Microsoft除役。SecurityDevOps 資源提供者 預計日期：2024 年 3 月 6 日

退役情況：Microsoft 安全性 Code Analysis（MSCA）已停止運作

2024 年 2 月 28 日

2021 年 2 月，MSCA 任務的棄用已傳達給所有客戶，並且自 2022 年 3 月以來已過生命週期終止支援。 自 2024 年 2 月 26 日起，MSCA 正式停止運作。

客戶可從 適用於雲端的 Defender 到 Microsoft 安全性 DevOps獲得最新的 DevOps 安全工具，並透過 GitHub Advanced Security for Azure DevOps 獲得更多安全工具。

更新：安全策略管理可擴充 AWS 和 GCP 的支援

2024 年 2 月 28 日

最初於 Azure 預覽版釋出的安全政策管理更新體驗，現正擴展支援至跨雲（AWS 與 GCP）環境。 此預覽版本包括：

• 管理跨Azure、AWS及GCP環境下的適用於雲端的 Defender法規合規標準。
• 建立和管理 Microsoft Cloud 安全基準（MCSB）自訂建議 的跨雲端介面體驗相同。
• 更新的體驗會套用至 AWS 和 GCP，以使用 KQL 查詢建立自定義建議。

更新：Defender for Containers 的雲端支援

2024 年 2 月 26 日

Defender for Containers 中的 Azure Kubernetes Service （AKS） 威脅偵測功能現已在商業、Azure Government 及 Azure China 21Vianet 雲端全面支援。 檢閱 支援的功能。

更新：Defender for Containers 的新版 Defender 感測器

2024 年 2 月 20 日

Defender 感測器的新版本 現已推出，用於容器 Defender。 它包括性能和安全性改進，支持 AMD64 和 Arm64 拱節點（僅限 Linux），並使用 Inspektor Gadget 作為進程收集代理而不是 Sysdig。 只有 Linux 核心 5.4 版和更新版本才支援新版本，因此如果您使用舊版的 Linux 核心，則需要升級。 對 Arm64 的支援僅從 AKS V1.29 和更新版本開始提供。 如需詳細資訊，請參閱支援的主機作業系統。

更新：Open Container Initiative (OCI) 映像格式規格支援

2024 年 2 月 18 日

Open Container Initiative （OCI）影像格式規範現已由 Microsoft Defender 弱點管理 for AWS、Azure & AWS 支援的漏洞評估系統支援GCP 雲。

淘汰：Trivy 所提供的 AWS 容器弱點評量已淘汰

2024 年 2 月 13 日

針對 Trivy 所提供的容器弱點評量已淘汰。 先前使用此評估的客戶應升級至由 Microsoft Defender 弱點管理 驅動的新 AWS 容器漏洞評估。 關於如何升級的說明，請參見 如何從已停用的 Trivy 漏洞評估升級到 Microsoft Defender 弱點管理？

更新：Microsoft 退役。SecurityDevOps 資源提供者

2024 年 2 月 5 日

變更的預估日期：2024 年 3 月 6 日

適用於雲端的 Microsoft Defender 正在停用在 DevOps 安全性公開預覽期間使用的資源提供者 Microsoft.SecurityDevOps，並已遷移到現有的 Microsoft.Security 供應商。 此變更的原因是為了減少與 DevOps 連接器相關聯的資源提供者數目來改善客戶體驗。

仍在使用 API 版本 2022-09-01-previewMicrosoft.SecurityDevOps 來查詢 適用於雲端的 Defender DevOps 安全資料的客戶將受到影響。 為避免服務中斷，客戶需更新至提供者下的新 API 版本 Microsoft.Security。

目前使用 Azure 入口網站的 適用於雲端的 Defender DevOps 安全保障的客戶不會受到影響。

2024 年 1 月

Date	Category	Update
1 月 31 日	Update	雲端安全性總管中作用中存放庫新的深入解析
1 月 30 日	即將進行的更新	多重雲端容器威脅偵測的價格變更 預計日期：2024 年 4 月
1 月 29 日	即將進行的更新	為高級 DevOps 安全能力執行Defender CSPM。 預計日期：2024 年 3 月
1 月 24 日	Preview	容器Defender中容器與Defender CSPM的無代理容器態態。
1月16日	Preview	伺服器的無代理程式惡意程式碼掃描。
1月15日	GA	適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應 的整合。
1 月 14 日	Update	更新至無代理虛擬機掃描內建Azure角色 預計日期：2024 年 3 月
1 月 12 日	Update	DevOps 安全拉取請求註解現在預設啟用於 Azure DevOps 連接器。
1 月 9 日	Deprecation	Defender 用於伺服器內建漏洞評估（Qualys）的退休路徑。 預計日期：2024 年 5 月
1 月 3 日	即將進行的更新	即將變更的適用於雲端的 Defender多雲網路需求。 預計日期：2024 年 5 月。

更新：雲端安全性總管中作用中存放庫新的深入解析

2024 年 1 月 31 日

Azure DevOps 倉庫的新洞見已新增至 Cloud Security Explorer，用以顯示倉庫是否活躍。 此深入解析指出程式代碼存放庫未封存或停用，這表示使用者仍可使用對程式代碼、組建和提取要求的寫入存取權。 封存和停用的存放庫可能會被視為優先順序較低，因為程式碼通常不會用於作用中的部署。

若要透過雲端安全性總管測試查詢，請使用此查詢連結。

更新：多重雲端容器威脅偵測的價格變更

2024 年 1 月 30 日**

變更的預估日期：2024 年 4 月

當多重雲端容器威脅偵測 (部分機器翻譯) 移至 GA 時，其將不再免費提供。 更多資訊請參閱適用於雲端的 Microsoft Defender價格。

更新：強制使用 Defender CSPM 以提升高級 DevOps 安全價值

2024 年 1 月 29 日**

變更的預估日期：2024 年 3 月 7 日

適用於雲端的 Defender 將於 3 月 7 日 2024 開始執行 Defender CSPM 計畫的高級 DevOps 安全價值檢查。 如果你在與 DevOps 連接器建立的同一租戶中啟用 Defender CSPM 方案（Azure、AWS、GCP），你將繼續免費獲得高級 DevOps 功能。 如果您不是Defender CSPM客戶，您必須在 2024 年 3 月 7 日 之前啟用 Defender CSPM，否則將失去這些安全功能。 欲在 2024 年 3 月 7 日前啟用連網雲端環境Defender CSPM，請遵循所列啟用文件here。

欲了解基礎CSPM與Defender CSPM計畫中可用的DevOps安全功能，請參閱我們的功能可用性文件。

欲了解更多關於 適用於雲端的 Defender DevOps 安全性的資訊，請參閱 overview 文件。

欲了解更多關於Defender CSPM雲端安全程式碼的資訊，請參閱如何用 Defender CSPM保護你的資源。

預覽：Defender for Containers 與 Defender CSPM 中 GCP 的無代理容器態勢

2024 年 1 月 24 日

GCP 已提供新的無代理容器態勢（預覽版）功能，包括針對 GCP Microsoft Defender 弱點管理 的 脆弱性評估。 欲了解更多所有功能資訊，請參閱 Defender CSPM 中的 Agentless container posure，以及 ContainersDefender 中的 Agentless capabilities。

您也可以在此部落格文章中閱讀 Multicloud 的無代理程式容器態勢管理。

預覽：伺服器的無代理程式惡意程式碼掃描

2024 年 1 月 16 日

我們宣布 適用於雲端的 Defender 的無代理惡意軟體偵測功能，適用於Azure虛擬機（VM）、AWS EC2 實例及 GCP 虛擬機實例，作為 Defender for Servers Plan 2 的新功能。

VM 的無代理程式惡意程式碼偵測現在已包含在無代理程式掃描平台中。 無代理惡意軟體掃描利用Microsoft Defender防毒軟體反惡意軟體引擎來掃描並偵測惡意檔案。 任何偵測到的威脅，都會直接觸發安全警示到 適用於雲端的 Defender 和 Defender 全面偵測回應，以便調查並修復。 無代理程式惡意程式碼掃描器會使用無摩擦上線的第二層威脅偵測來補充代理程式型涵蓋範圍，且不會影響您機器的效能。

深入了解伺服器的無代理程式惡意程式碼掃描，以及 VM 的無代理程式掃描。

適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應 整合的正式可用性

2024 年 1 月 15 日

我們宣布 適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應（前稱 Office 365 Defender）整合系統的全面可用性（GA）。

整合會將具競爭力的雲端保護功能導入日常安全性作業中心 (SOC)。 透過 適用於雲端的 Microsoft Defender 與 Defender 全面偵測回應 整合，SOC 團隊能發現結合多個支柱偵測的攻擊，包括雲端、端點、身份、Microsoft 365 等。

了解更多關於警報與事件的資訊，請參閱Microsoft Defender 全面偵測回應。

更新：內建 Azure 角色的無代理虛擬機掃描

2024 年 1 月 14 日**

變更的預估日期：2024 年 2 月

在Azure中，虛擬機的無代理掃描使用內建角色（稱為 VM 掃描操作員），具備掃描與評估虛擬機安全問題所需的最低權限。 為了針對具有加密磁碟區的 VM 持續提供相關掃描健康情況和設定建議，我們已規劃對此角色的權限進行更新。 這次更新新增了 Microsoft.Compute/DiskEncryptionSets/read 權限。 此權限僅能改善對 VM 中加密磁碟使用方式的識別。 它不提供適用於雲端的 Defender任何解密或存取這些加密卷內容的能力，除了此變更前的加密方法已支援。 此變更預計在 2024 年 2 月進行，且不需要您採取任何動作。

更新：Azure DevOps 連接器預設啟用了 DevOps 安全拉取請求註解

2024 年 1 月 12 日

DevOps 安全性會將安全性結果公開為提取要求 (PR) 中的註釋，以協助開發人員在進入生產環境之前，防止並修正潛在的安全性弱點和設定錯誤。 自 2024 年 1 月 12 日起，所有新舊 Azure DevOps 倉庫（連接至 適用於雲端的 Defender）預設啟用 PR 註解。

根據預設，PR 註釋只會針對高嚴重性基礎結構即程式碼 (IaC) 結果啟用。 客戶仍需設定 Microsoft 安全性 for DevOps （MSDO） 以執行於 PR 建置，並在 Azure DevOps 儲存庫設定中啟用 CI 建置的建置驗證政策。 客戶可以從 DevOps 安全性窗格存放庫組態選項中停用特定存放庫的 PR 批註功能。

了解更多關於 enabling Pull Request 註解的 Azure DevOps 的資訊。

棄用：Defender for Servers 內建漏洞評估（Qualys）退役路徑

2024 年 1 月 9 日**

變更的預估日期：2024 年 5 月

由 Qualys 驅動的內建漏洞評估解決方案 Defender for Servers 已進入退役階段，預計將於 2024 年 < c>0 月 1 日 5 月 1 日完成。 如果您目前使用由 Qualys 支援的漏洞評估解決方案，應規劃您的 轉換至整合Microsoft Defender漏洞管理解決方案。

欲了解更多關於我們將脆弱性評估服務與 Microsoft Defender 弱點管理 統一的決定，請閱讀 此部落格文章。

你也可以參考常見問題，關於過渡到Microsoft Defender 弱點管理解。

更新：適用於雲端的 Defender 的多雲網路需求

2024 年 1 月 3 日**

變更的預估日期：2024 年 5 月

從 2024 年 5 月開始，我們將淘汰與我們的多重雲端探索服務相關聯的舊 IP 位址，以因應改善並確保所有使用者都能獲得更安全且更有效率的體驗。

為了確保對我們服務的存取不會中斷，您應該將 IP 允許清單更新為下列小節中所提供的新範圍。 您應該在防火牆設定、安全組或任何其他可能適用於您環境的組態中進行必要的調整。

此清單適用於所有方案，且足以對應 CSPM 基礎 (免費) 供應項目的完整功能。

即將淘汰的 IP 位址：

• 探索 GCP：104.208.29.200、52.232.56.127
• 探索 AWS：52.165.47.219、20.107.8.204
• 上線：13.67.139.3

即將新增的新區域特定 IP 範圍：

• 西歐：52.178.17.48/28
• 北歐：13.69.233.80/28
• 美國中部：20.44.10.240/28
• 美國東部 2：20.44.19.128/28

2023 年 12 月

Date	Update
12月30日	適用於雲端的 Defender服務等級名稱整合
12 月 24 日	Defender用於資源層級的伺服器，提供 GA
12 月 21 日	淘汰適用於多重雲端的傳統連接器
12 月 21 日	涵蓋範圍活頁簿的版本
12 月 14 日	容器脆弱性評估，由Microsoft Defender 弱點管理 in Azure Government及Azure由21Vianet
12 月 14 日	由 Microsoft Defender 弱點管理
12 月 13 日	淘汰針對 Trivy 所提供的 AWS 容器弱點評量
12 月 13 日	Agentless container posure for AWS in Defender for Containers and Defender CSPM （Preview）
12 月 13 日	開放原始碼關聯式資料庫計畫中 PostgreSQL 彈性伺服器的 Defender 計畫 計畫
12 月 12 日	Container 漏洞評估由 Microsoft Defender 弱點管理 提供支援，現已支援 Google Distroless

適用於雲端的 Defender 服務等級 2 名稱的整合

2023 年 12 月 30 日

我們正在將所有適用於雲端的 Defender計畫的舊有服務等級2名稱合併成一個新的服務等級2名稱，適用於雲端的 Microsoft Defender。

目前，服務等級二有四個名稱：Azure Defender、進階威脅防護、先進資料安全與安全中心。 適用於雲端的 Microsoft Defender 的各種電表會分散在這些獨立的服務等級 2 名稱中，使用成本管理 + 計費、發票及其他 Azure 計費相關工具時會造成複雜性。

此變更簡化了審查 適用於雲端的 Defender 費用的流程，並提升成本分析的清晰度。

為了確保能夠順利轉換，我們已採取措施以維護產品/服務名稱、SKU 及計量識別碼的一致性。 受影響的客戶將收到一份資訊性 Azure 服務通知，以通知變更。

透過呼叫我們的 API 來擷取成本資料的組織，必須更新其呼叫中的值來因應此變更。 例如，在此篩選函式中，其中的值將不會傳回任何資訊：

"filter": {
          "dimensions": {
              "name": "MeterCategory",
              "operator": "In",
              "values": [
                  "Advanced Threat Protection",
                  "Advanced Data Security",
                  "Azure Defender",
                  "Security Center"
                ]
          }
      }

舊服務等級 2 名稱	新服務等級 2 名稱	服務層級 - 服務等級 4 (無變更)
進階資料安全性	適用於雲端的 Microsoft Defender	適用於 SQL 的 Defender
進階威脅防護	適用於雲端的 Microsoft Defender	Defender for Container Registry
進階威脅防護	適用於雲端的 Microsoft Defender	DNS 防護者
進階威脅防護	適用於雲端的 Microsoft Defender	金鑰保存庫防護程式
進階威脅防護	適用於雲端的 Microsoft Defender	Defender for Kubernetes（Kubernetes 防護者）
進階威脅防護	適用於雲端的 Microsoft Defender	MySQL 防護程式
進階威脅防護	適用於雲端的 Microsoft Defender	PostgreSQL 專用防護者
進階威脅防護	適用於雲端的 Microsoft Defender	資源管理器防護程式
進階威脅防護	適用於雲端的 Microsoft Defender	儲存空間防護
Azure Defender	適用於雲端的 Microsoft Defender	Defender for External Attack Surface Management
Azure Defender	適用於雲端的 Microsoft Defender	適用於 Azure Cosmos DB 的 Defender
Azure Defender	適用於雲端的 Microsoft Defender	適用於容器的 Defender
Azure Defender	適用於雲端的 Microsoft Defender	MariaDB 的 Defender
資訊安全中心	適用於雲端的 Microsoft Defender	適用於 App Service 的 Defender
資訊安全中心	適用於雲端的 Microsoft Defender	適用於伺服器的 Defender
資訊安全中心	適用於雲端的 Microsoft Defender	Defender CSPM

Defender for Server 在資源層級作為通用存取權（GA）可用

2023 年 12 月 24 日

現在你可以在訂閱內的特定資源管理 Defender for Servers，讓你完全掌控自己的防護策略。 您可以透過這項功能，使用與訂用帳戶層級所設定不同的設定自訂設定來設定特定資源。

了解更多關於資源層級伺服器啟用Defender。

淘汰適用於多重雲端的傳統連接器

2023 年 12 月 21 日

傳統多重雲端連接器體驗已淘汰，且資料不再串流至透過該機制建立的連接器。 這些經典連接器用於將 AWS Security Hub 與 GCP Security Command Center 的建議連接到 適用於雲端的 Defender，並將 AWS EC2 內建至 Defender for Servers。

這些連接器的完整價值已取代為原生多重雲端安全性連接器體驗，自 2022 年 3 月起，AWS 和 GCP 已正式推出，無需額外費用。

這些新的原生連接器已包含在您的方案中，並提供自動化的入職體驗，支援單一帳號、多個帳號（使用 Terraform）及組織自動配置，支援以下 Defender 方案：免費基礎 CSPM 功能、Defender Cloud Security Posture Management（CSPM）、Defender for Servers，SQL 用 Defender，容器用 Defender。

涵蓋範圍活頁簿的版本

2023 年 12 月 21 日

覆蓋範圍工作簿讓你能追蹤哪些 適用於雲端的 Defender 方案在你環境的哪些區域處於活躍狀態。 此活頁簿可協助您確保環境和訂用帳戶受到完整保護。 透過存取詳細的涵蓋範圍資訊，您也可以識別任何可能需要其他保護的區域，並對這些區域採取行動。

深入瞭解 [涵蓋範圍] 活頁簿。

由Microsoft Defender 弱點管理驅動的容器脆弱性評估於Azure Government及由21Vianet運營的Azure，全面可用性

2023 年 12 月 14 日

針對 Azure 容器登錄檔中 Linux 容器映像的脆弱性評估（VA），由 Microsoft Defender 弱點管理 提供支援，已於 Azure Government 及 21Vianet 運營的 Azure 全面可用性（GA）中發布。 此新版本可依 Defender for Containers 及 Defender for Container Registry 計畫取得。

• 在這項變更中，GA 已發行新的建議，並包含在安全分數計算中。 檢閱新的和更新的安全性建議
• 由 Microsoft Defender 弱點管理 驅動的容器影像掃描現在也會依照 plan 價格產生費用。 由我們的容器 VA（由 Qualys 支援）和由 Microsoft Defender 弱點管理 支援的容器 VA 服務掃描的影像，只會收費一次。

Qualys 對容器脆弱性評估的建議已更名，並持續提供給在此版本前啟用任何訂閱服務的 Defender for Containers 用戶。 新客戶在此版本後導入 Defender for Containers，將僅能看到由 Microsoft Defender 弱點管理 提供的新容器漏洞評估建議。

Windows 對容器脆弱性評估的公開預覽版，由 Microsoft Defender 弱點管理 提供支援

2023 年 12 月 14 日

Windows 映像的支援作為 Microsoft Defender 弱點管理 為 Azure 容器登錄檔及 Azure Kubernetes Services 提供支援的漏洞評估（VA）的一部分，已在公開預覽中釋出。

淘汰針對 Trivy 所提供的 AWS 容器弱點評量

2023 年 12 月 13 日

Trivy 所提供的容器弱點評量現在已走上淘汰路徑，將於 2 月 13 日完成。 現在已淘汰這項功能，且使用此功能的現有客戶將可繼續使用到 2 月 13 日為止。 我們鼓勵使用此功能的客戶於 2 月 13 日前升級至 Microsoft Defender 弱點管理 驅動的新 AWS 容器漏洞評估系統。

Defender for Containers 和 Defender CSPM （Preview） 中的 AWS 無代理容器態勢

2023 年 12 月 13 日

AWS 可以使用新的無代理程式容器態勢 (預覽) 功能。 欲了解更多資訊，請參閱 Defender CSPM 中的 Agentless container posure，以及 ContainersDefender 中的 Agentless capabilities。

Defender 中 PostgreSQL 彈性伺服器的一般可用性支援，支援開源關聯式資料庫計畫

2023 年 12 月 13 日

我們宣布 PostgreSQL 彈性伺服器支援的 Microsoft Defender 開放原始碼關聯式資料庫 計畫正式發布。 Microsoft Defender 對於開源關聯式資料庫，透過偵測異常活動並產生 安全警示，為 PostgreSQL 彈性伺服器提供進階威脅防護。

了解如何啟用Microsoft Defender以支援開源關聯式資料庫。

由 Microsoft Defender 弱點管理 提供支援的容器漏洞評估現已支援 Google Distroless

2023 年 12 月 12 日

由 Microsoft Defender 弱點管理 驅動的容器漏洞評估已擴展，涵蓋更多 Linux 作業系統套件，現已支援 Google Distroless。

欲查詢所有支援作業系統的清單，請參見Registry and image support for Azure - 由 Microsoft Defender 弱點管理。

2023 年 11 月

Date	Update
11 月 30 日	已淘汰四個警示
11 月 27 日	伺服器及 Defender CSPM
11 月 22 日	啟用權限管理，使用 適用於雲端的 Defender （Preview）
11 月 22 日	適用於雲端的 Defender 與 ServiceNow
11 月 20 日	機器上 SQL Server 的自動布建程式正式運作
11月15日	API Defender 的普遍可用性
11月15日	適用於雲端的 Defender 現在已整合至 Microsoft 365 Defender（預覽）
11月15日	由Microsoft Defender 弱點管理驅動的容器脆弱性評估（MDVM）於Defender年提供，容器註冊處則Defender
11月15日	容器弱點評量建議名稱變更
11月15日	風險優先順序現在可供建議使用
11月15日	攻擊路徑分析新的引擎和廣泛的增強功能
11月15日	Attack Path Azure Resource Graph表方案的變更
11月15日	GCP 支援於 Defender CSPM
11月15日	資料安全性儀表板的正式發行版本
11月15日	資料庫的敏感資料探索正式發行版本
11月6日	尋找遺漏系統更新的新版本建議現已正式發行

已淘汰四個警示

2023 年 11 月 30 日

在品質改進程序中，已淘汰下列安全性警示：

• Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
• Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
• Suspicious process termination burst (VM_TaskkillBurst)
• PsExec execution detected (VM_RunByPsExec)

Defender 伺服器與 Defender CSPM 中無代理秘密掃描的普遍可用性

2023 年 11 月 27 日

無代理秘密掃描透過識別虛擬機磁碟上的明文字密，強化雲端虛擬機器（虛擬機器， VM）的安全防護。 無代理程式秘密掃描提供完整的資訊，可協助排定所偵測到結果的優先順序，並在橫向移動風險發生前就降低風險。 此主動式方法可防止未經授權的存取，確保您的雲端環境保持安全。

我們宣布無代理秘密掃描的正式可用性（GA），這功能包含在 P2 伺服器的 Defender 以及 Defender CSPM 計畫中。

無代理程式秘密掃描會利用雲端 API 來擷取磁碟的快照集，並進行頻外分析，以確保 VM 的效能不會有任何影響。 無代理秘密掃描擴大了 適用於雲端的 Defender 在 Azure、AWS 及 GCP 環境中雲端資產的覆蓋範圍，提升您的雲端安全。

隨著這次版本，適用於雲端的 Defender 的偵測功能現在支援其他資料庫類型、資料儲存、簽名網址、存取權杖等功能。

了解如何使用無代理程式祕密掃描來管理祕密。

啟用 適用於雲端的 Defender （預覽版） 的權限管理

2023 年 11 月 22 日

Microsoft 現提供 Cloud-Native 應用保護平台（CNAPP）及雲端基礎設施權利管理（CIEM）解決方案，包括 適用於雲端的 Microsoft Defender（CNAPP） 及 Microsoft Entra權限管理（CIEM）。

安全管理員可以在 適用於雲端的 Defender 中集中檢視其未使用或過多的存取權限。

安全團隊可推動雲端資源的最低權限存取控制，並在Defender雲端安全態勢管理（CSPM）中獲得可行建議，解決Azure、AWS及GCP雲端環境的權限風險，且無需額外授權要求。

學習如何在適用於雲端的 Microsoft Defender（預覽版）<>啟用權限管理。

適用於雲端的 Defender 與 ServiceNow 的整合

2023 年 11 月 22 日

ServiceNow 現已整合至 適用於雲端的 Microsoft Defender，讓客戶能將 ServiceNow 連接到其 適用於雲端的 Defender 環境，優先處理影響您業務的建議。 適用於雲端的 Microsoft Defender 與 ITSM 模組（事件管理）整合。 作為此連結的一部分，客戶可以從 適用於雲端的 Microsoft Defender 建立/查看 ServiceNow 工單（連結至推薦）。

你可以了解更多關於 適用於雲端的 Defender 與 ServiceNow 的整合。

機器方案上 SQL Server 自動佈建程序正式發行

2023 年 11 月 20 日

為準備 2024 年 8 月的 Microsoft 監控代理（MMA）退役，適用於雲端的 Defender 發布了針對 SQL Server 的 Azure 監控代理程式（AMA）自動配置流程。 新流程會自動啟用並設定給所有新客戶，並且也支援 Azure SQL VM 及 ArcGIS 啟用的 SQL Server 的資源層級啟用。

使用 MMA 自動配置流程的客戶被要求遷移至新的 Azure Monitoring Agent for SQL Server on machines。 移轉流程不會產生中斷，可為所有機器提供持續保護。

Defender API 的普遍可用性

2023 年 11 月 15 日

我們宣布 Microsoft Defender API 正式正式推出（GA）。 Defender for APIs 旨在保護組織免受 API 安全威脅。

Defender for APIs 讓組織能保護其 API 與資料免受惡意行為者的侵害。 組織可以調查並改善其 API 安全性態勢、排定弱點修正的優先順序，以及快速偵測並回應作用中的即時威脅。 組織也可以直接將安全警示整合到其安全事件與事件管理（SIEM）平台，例如 Microsoft Sentinel，以調查並分流問題。

你可以學習如何用 Defender for API 保護你的 API。 你也可以了解更多關於 About Microsoft Defender for API。

您也可以閱讀 此部落格 ，以深入瞭解 GA 公告。

適用於雲端的 Defender 現已整合至 Microsoft 365 Defender（預覽版）

2023 年 11 月 15 日

企業可以透過 適用於雲端的 Microsoft Defender 與 Microsoft Defender 全面偵測回應 之間的新整合來保護其雲端資源與裝置。 此整合會連接雲端資源、裝置和身分識別之間的點，這些點先前需要多個體驗。

整合也會將具競爭力的雲端保護功能導入日常安全性作業中心 (SOC)。 透過 Microsoft Defender 全面偵測回應，SOC 團隊能輕鬆發現結合多個支柱偵測的攻擊，包括雲端、端點、身份、Microsoft 365 等。

一些主要優點包括：

• SOC 團隊 的簡易介面：隨著 適用於雲端的 Defender 的警示與雲端關聯整合於 M365D，SOC 團隊現在能從單一介面存取所有安全資訊，顯著提升營運效率。

• 一個攻擊案例：客戶能夠使用結合多個來源安全性警示的預先建置相互關聯，了解完整的攻擊案例，包括其雲端環境。

• Microsoft Defender 全面偵測回應 中的新雲端實體：Microsoft Defender 全面偵測回應 現在支援 適用於雲端的 Microsoft Defender 獨有的新雲端實體，例如雲端資源。 客戶可以比對虛擬機器 (VM) 實體與裝置實體，提供機器相關資訊的統一檢視，包括機器上觸發的警示和事件。

• Microsoft 安全性 產品的統一 API：客戶現在可以透過單一 API 將安全警示資料匯出至所選系統，因為適用於雲端的 Microsoft Defender警示與事件現已成為 Microsoft Defender 全面偵測回應 公開 API 的一部分。

適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應 之間的整合，對所有新舊 適用於雲端的 Defender 客戶皆可使用。

由 Microsoft Defender 弱點管理（MDVM）驅動的容器漏洞評估，已於 Defender for Containers 及 Defender for Container Registry 中全面提供

2023 年 11 月 15 日

Azure 容器登錄檔中針對 Linux 容器映像的脆弱性評估（VA），由 Microsoft Defender 弱點管理（MDVM）驅動，已於 Defender for Containers 及 Defender for Container 登錄庫中正式發布，提供一般可用性（GA）。

在這項變更中，下列建議會針對 GA 發行並重新命名，且現在會包含在安全分數計算中：

目前的建議名稱	新的建議名稱	Description	評量金鑰
容器登錄映像應該已經解決了漏洞發現（由 Microsoft Defender 弱點管理 提供支援）	Azure 登錄容器映像應該已解決漏洞（由 Microsoft Defender 弱點管理 提供支援）	容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE)，並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢，並在部署前確保映像可安全使用。	c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
執行容器映像時，漏洞發現應該已經解決（由 Microsoft Defender 弱點管理 提供支援）	Azure 運行容器映像時應該已經解決漏洞（由 Microsoft Defender 弱點管理 提供支援	容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE)，並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵，可大幅降低容器化工作負載的受攻擊面。	c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

由 MDVM 提供支援的容器映像掃描現在也會根據 計劃定價產生費用。

Note

由 Qualys 提供的容器 VA 供應項目和由 MDVM 所提供的容器 VA 供應項目所掃描的映像，只會計費一次。

以下 Qualys 關於容器脆弱性評估的建議已更名，並將繼續提供給在 11 月 15 日前任何訂閱上啟用 Defender for Containers 的客戶。 11 月 15 日後新加入 Defender for Containers 的新客戶，將只能看到由 Microsoft Defender 弱點管理 提供的新容器漏洞評估建議。

目前的建議名稱	新的建議名稱	Description	評量金鑰
容器登錄映像應該解決發現的弱點 (由 Qualys 提供)	Azure 登錄容器映像應該已解決漏洞（由 Qualys 提供技術）	容器映像弱點評定會掃描您的登錄，以判斷是否有安全性弱點，並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態，並保護容器免於遭受攻擊。	dbd0cb49-b563-45e7-9724-889e799fa648
執行容器映像應該解決發現的弱點 (由 Qualys 提供)	Azure 運行容器映像檔時，漏洞應該已經解決 - （由 Qualys 提供技術）	容器映像弱點評定會掃描 Kubernetes 叢集上執行的容器映像，了解是否有任何安全性弱點，並公開每個映像的詳細發現。 解決這些弱點可以大幅改善容器的安全性狀態，並保護容器免於遭受攻擊。	41503391-efa5-47ee-9282-4eff6131462c

容器弱點評量建議名稱變更

已重新命名下列容器弱點評量建議：

目前的建議名稱	新的建議名稱	Description	評量金鑰
容器登錄映像應該解決發現的弱點 (由 Qualys 提供)	Azure 登錄容器映像應該已解決漏洞（由 Qualys 提供技術）	容器映像弱點評定會掃描您的登錄，以判斷是否有安全性弱點，並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態，並保護容器免於遭受攻擊。	dbd0cb49-b563-45e7-9724-889e799fa648
執行容器映像應該解決發現的弱點 (由 Qualys 提供)	Azure 運行容器映像檔時，漏洞應該已經解決 - （由 Qualys 提供技術）	容器映像弱點評定會掃描 Kubernetes 叢集上執行的容器映像，了解是否有任何安全性弱點，並公開每個映像的詳細發現。 解決這些弱點可以大幅改善容器的安全性狀態，並保護容器免於遭受攻擊。	41503391-efa5-47ee-9282-4eff6131462c
彈性容器登錄映像應已解決發現的弱點	AWS 登錄容器映像應已解決弱點 (由 Trivy 提供)	容器映像弱點評定會掃描您的登錄，以判斷是否有安全性弱點，並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態，並保護容器免於遭受攻擊。	03587042-5d4b-44ff-af42-ae99e3c71c87

風險優先順序現在可供建議使用

2023 年 11 月 15 日

您現在可以根據建議所構成的風險層級來排定安全性建議的優先順序，同時考量每個基礎安全性問題的惡意探索性和潛在商業效果。

若您根據建議的風險層級 (重大、高、中、低) 來組織您的建議，就能夠解決環境中最重大的風險，並根據網際網路暴露、資料敏感度、橫向移動可能性，以及可透過解決建議來緩和的潛在攻擊路徑，有效率地排定安全性問題的補救優先順序。

深入了解 風險優先順序。

攻擊路徑分析新的引擎和廣泛的增強功能

2023 年 11 月 15 日

我們正在釋出 適用於雲端的 Defender 攻擊路徑分析功能的增強功能。

• 新引擎 - 攻擊路徑分析有一個新引擎，它使用路徑查找算法來檢測雲環境中存在的每個可能的攻擊路徑（根據我們在圖表中的數據）。 我們可以在您的環境中找到更多攻擊路徑，並偵測攻擊者可用來入侵貴組織更複雜且更精密的攻擊模式。

• 改進 - 已發布以下改進：

  • 風險優先順序 - 根據風險 （可利用性和業務影響） 的攻擊路徑優先順序清單。
  • 增強的補救 - 找出應解決的具體建議，以實際中斷鏈結。
  • 跨雲端攻擊路徑 – 偵測跨雲端的攻擊路徑 (從一個雲端開始並結束於另一個雲端的路徑)。
  • MITRE — 將所有攻擊路徑對應至 MITRE 架構。
  • 重新整理的使用者體驗 – 重新整理過而具有更強大功能的體驗：進階篩選、搜尋和群組攻擊路徑，以方便分級。

了解如何識別及補救攻擊路徑。

Attack Path Azure Resource Graph 表格方案的變更

2023 年 11 月 15 日

攻擊路徑的 Azure Resource Graph 表格方案已更新。 已移除 attackPathType 屬性，並新增其他屬性。

Defender CSPM 中 GCP 支援的正式釋出

2023 年 11 月 15 日

我們宣布 Defender CSPM 情境式雲端安全圖譜與攻擊路徑分析的 GA（全面可用性）版本，並支援 GCP 資源。 你可以運用 Defender CSPM 的力量，實現 GCP 資源中的全面可視化與智慧雲安全。

GCP 支援的主要功能包括：

• 攻擊路徑分析 - 了解攻擊者可能採取的潛在路由。
• 雲端安全性總管 - 透過在安全性圖表上執行圖表式查詢，主動識別安全性風險。
• 無代理程式掃描 - 掃描伺服器並識別秘密和漏洞，而無需安裝代理程式。
• 資料感知安全性態勢 - 探索並補救 Google Cloud Storage 貯體中敏感資料的風險。

了解更多關於Defender CSPM計畫選項。

Note

Defender CSPM 中 GCP 支援的 GA 發布帳單將於 2024 年 2 月 1 日開始。

資料安全性儀表板的正式發行版本

2023 年 11 月 15 日

資料安全儀表板現已作為 Defender CSPM 計畫的一部分，正式開放（GA）狀態。

資料安全性儀表板可讓您檢視貴組織的資料資產、敏感資料的風險，以及資料資源的深入解析。

深入了解資料安全性儀表板。

資料庫的敏感資料探索正式發行版本

2023 年 11 月 15 日

敏感資料發現功能現已普遍提供，涵蓋管理型資料庫，包括 Azure SQL 資料庫及 AWS RDS 實例（所有關聯式資料庫管理系統），並允許自動發現包含敏感資料的關鍵資料庫。

要在你環境中所有支援的資料儲存庫啟用此功能，你需要在Defender CSPM啟用 Sensitive data discovery。 學習如何在Defender CSPM啟用敏感資料發現。

您也可以了解敏感資料探索在資料感知安全性態勢中的使用方式。

公開預覽公告：適用於雲端的 Microsoft Defender 新增多雲資料安全可視度。

尋找遺漏系統更新的新版本建議現已正式發行

2023 年 11 月 6 日

在您的 Azure VM 和 Azure Arc 機器上，不再需要額外的代理程式來確保這些機器擁有所有最新的安全或關鍵系統更新。

新的系統更新建議，System updates should be installed on your machines (powered by Azure 更新管理員)控制中的Apply system updates，基於Update Manager，現已完全開放。 該建議依賴於嵌入每台 Azure VM 與 Azure Arc 機器中的原生代理程式，而非安裝代理程式。 新建議中的快速修正會將您導覽至 [更新管理員] 入口網站中的一次性安裝遺失更新。

在 2024 年 8 月 (也就是舊版淘汰的時間) 之前，尋找遺漏系統更新的舊版本和新版本建議都可供使用。 這兩種建議：System updates should be installed on your machines (powered by Azure 更新管理員) 和 System updates should be installed on your machines 在相同的對照條件下都有：Apply system updates，結果相同。 因此，安全分數的影響並不會重複。

我們建議遷移到新建議，並移除舊的，方法是從 適用於雲端的 Defender 內建的 Azure 政策計畫中停用它。

建議 [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) 也已正式發行，且為必要條件，這會對您的安全分數產生負面影響。 您可以使用可用的修正來補救負面影響。

若要套用新的建議，您需要：

1. 把你的非 Azure 機器連接到 Arc。
2. 開啟定期評量屬性。 您可以在新的建議 ([Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)) 中使用 [快速修正]，以修正建議。

Note

啟用 Arc 啟用的機器，若其相關訂閱或連接器未啟用 Servers Plan 2 Defender，則需依 Azure 更新管理員 價格 規範。 啟用 Arc 的機器若在其相關訂閱或連接器或任何Azure虛擬機上啟用 Defender 的伺服器方案 2，皆可享有此功能且無需額外費用。

2023 年 10 月

Date	Update
10 月 30 日	變更自適性應用程控的安全性警示嚴重性
10 月 25 日	離線Azure API 管理版本已從Defender移除，適用於 API
10 月 19 日	公開預覽版中提供的 DevOps 安全性態勢管理建議
10月18日	於法規遵循儀表板中發布 CIS Azure Foundations Benchmark v2.0.0

變更自適性應用程式控制項安全性警示的嚴重性

公告日期：2023 年 10 月 30 日

作為伺服器安全警示品質改進流程Defender的一部分，以及adaptive application Controls功能的一部分，以下安全警示的嚴重程度將改為「資訊性」：

警示 [警示類型]	警示說明
已稽核自適性應用程式控制原則違規。[VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited]	下列使用者在此機器上執行了違反貴組織應用程式控制原則的應用程式。 其可能會向惡意程式碼或應用程式弱點公開機器。

若要在適用於雲端的 Microsoft Defender入口網站的「安全警示」頁面持續查看此警示，請將預設檢視篩選器嚴重性改為包含informational警示。

Offline Azure API 管理 revisions 已從 Defender for APIs 移除

2023 年 10 月 25 日

Defender for APIs 更新了對 Azure API 管理 API 版本的支援。 離線版本不再出現在已上線的 Defender for API 庫存中，也不再顯示被導入 Defender for API。 離線修訂不允許對其傳送任何流量，且從安全性觀點來看，並不會造成任何風險。

公開預覽版中提供的 DevOps 安全性態勢管理建議

2023 年 10 月 19 日

新的 DevOps 態勢管理建議現已公開預覽，適用於所有使用 Azure DevOps 或 GitHub 連接器的客戶。 DevOps 態勢管理會找出安全性設定和存取控制的弱點，藉此協助減少 DevOps 環境的受攻擊面。 深入了解 DevOps 態勢管理。

在法規合規儀表板中發佈 CIS Azure Foundations Benchmark v2.0.0

2023 年 10 月 18 日

適用於雲端的 Microsoft Defender 現支援最新的 CIS Azure安全基礎基準測試 - 2.0.0，dashboard，並支援 Azure 原則 內建政策倡議。 適用於雲端的 Microsoft Defender 2.0.0 版本的發布是 Microsoft、網際網路安全中心（CIS）及使用者社群的共同合作成果。 2.0.0 版本大幅擴展評估範圍，新增 90+ 內建 Azure 政策，並接替先前的 1.4.0、1.3.0 及 1.0 版本，涵蓋 適用於雲端的 Microsoft Defender 與 Azure 原則。 欲了解更多信息，您可以查看這篇 博文。

2023 年 9 月

Date	Update
9 月 30 日	改為Log Analytics每日上限
9 月 27 日	公開預覽中可用的資料安全性儀表板
9 月 21 日	預覽版本：機器
9 月 20 日	GitHub 適用於雲端的 Defender
9 月 11 日	Exempt 功能現已提供給Defender API 推薦
9 月 11 日	為 API 偵測建立範例警示Defender
9月6日	預覽版：由 Microsoft Defender 弱點管理 驅動的容器漏洞評估現支援拉取掃描
9月6日	更新了法規合規性中 Center for Internet Security (CIS) 標準的命名格式
9 月 5 日	PaaS 資料庫的敏感資料探索 (預覽)
9月1日	一般可用性（GA）：Defender 中惡意軟體掃描以取得儲存空間

更改 Log Analytics 每日上限

Azure監控器提供設定每日上限的能力，涵蓋您的日誌分析工作區所接收的資料。 然而，目前這些排除條款中不支援 適用於雲端的 Defender 的安全事件。

Log Analytics Daily Cap 不再排除以下資料類型：

• WindowsEvent
• SecurityAlert
• SecurityBaseline
• SecurityBaselineSummary
• SecurityDetection
• SecurityEvent
• WindowsFirewall
• MaliciousIPCommunication
• LinuxAuditLog
• SysmonEvent
• ProtectionStatus
• Update
• UpdateSummary
• CommonSecurityLog
• Syslog

如果符合每日上限，所有可計費數據類型都會被限制。 此變更能改善您控制高於預期的資料擷取所帶來之成本的能力。

了解更多關於 workspaces 的 適用於雲端的 Microsoft Defender。

公開預覽中可用的資料安全性儀表板

2023 年 9 月 27 日

資料安全儀表板現已作為 Defender CSPM 計畫的一部分，公開預覽版中可用。 資料安全性儀表板是互動式並且以資料為中心的儀表板，可說明敏感資料的重大風險，並針對混合式雲端工作負載之間的資料排定警示的優先順序和潛在攻擊路徑。 深入了解資料安全性儀表板。

預覽版：機器計畫上的 SQL Server 新自動配置流程

2023 年 9 月 21 日

Microsoft 監控代理程式（MMA）將於 2024 年 8 月被淘汰。 適用於雲端的 Defender 更新策略，以釋出針對SQL Server的Azure監控代理自動配置流程取代 MMA。

在預覽期間，使用Azure 監視器代理（預覽）選項的 MMA 自動配置流程的客戶，需遷移至新的 Azure 監視器ing Agent for SQL Server on machines（預覽）自動配置程序。 移轉流程不會產生中斷，可為所有機器提供持續保護。

更多資訊請參見 遷移至 SQL 伺服器目標Azure監控代理自動配置流程。

GitHub Advanced Security for Azure DevOps alerts in 適用於雲端的 Defender

2023 年 9 月 20 日

您現在可以查看 GitHub Advanced Security for Azure DevOps（GHAzDO）關於 適用於雲端的 Defender 中 CodeQL、secrets 及依賴性的警示。 結果會顯示在 DevOps 頁面和建議中。 要查看這些結果，請將啟用 GHAzDO 的資料庫導入 適用於雲端的 Defender。

了解更多關於GitHub Azure DevOps 進階安全資訊。

Defender API 推薦功能現已提供豁免功能

2023 年 9 月 11 日

您現在可以豁免以下 Defender for API 的安全建議。

Recommendation	描述與相關原則	Severity
（預告）未使用的 API 端點應該被停用並從 Azure API 管理 服務中移除	作為安全最佳實務，30 天內未收到流量的 API 端點被視為未使用，應從 Azure API 管理 服務中移除。 保留未使用的 API 端點可能會造成安全性風險。 這些可能是本應從 Azure API 管理 服務中棄用，但卻意外被保留為啟用狀態的 API。 這類 API 通常不會收到最新的安全性涵蓋範圍。	Low
（預告）Azure API 管理 中的 API 端點應該被認證	在 Azure API 管理 中發布的 API 端點應強制認證，以降低安全風險。 驗證機制的實作有時會不正確或遺失。 這會讓攻擊者能夠利用實作缺陷以及存取資料。 對於在 Azure API 管理 中發布的 API，本建議評估透過 Azure API 管理 中設定的訂閱金鑰、JWT 及用戶端憑證來執行認證。 如果在 API 呼叫期間未執行這些驗證機制，則 API 將會收到此建議。	High

了解更多關於適用於雲端的 Defender中豁免建議的資訊。

為 Defender API 偵測建立範例警示

2023 年 9 月 11 日

你現在可以為 Defender for API 公開預覽版中發布的安全偵測產生範例警示。 了解更多關於生成樣本警示的資訊，請參考適用於雲端的 Defender。

預覽版：由 Microsoft Defender 弱點管理 提供支援的容器漏洞評估現已支援拉取掃描

2023 年 9 月 6 日

由 Microsoft Defender 弱點管理 提供支援的容器漏洞評估，現在支援額外觸發器，用於掃描從 ACR 拉取的影像。 這個新增的觸發程序除了現有觸發程序會掃描過去 90 天內推送至 ACR 的映像，以及目前在 AKS 中執行的映像之外，還提供作用中映像的額外涵蓋範圍。

新的觸發程序將於今天開始推出，並且預計將於 9 月底提供給所有客戶使用。

深入瞭解。

更新了法規合規性中 Center for Internet Security (CIS) 標準的命名格式

2023 年 9 月 6 日

合規性儀表板中 CIS (Center for Internet Security) Foundations 基準的命名格式會從 [Cloud] CIS [version number] 變更為 CIS [Cloud] Foundations v[version number]。 如需詳細資訊，請參閱下表：

目前名稱	新名稱
Azure CIS 1.1.0	CIS Azure Foundations v1.1.0
Azure CIS 1.3.0	CIS Azure Foundations v1.3.0
Azure CIS 1.4.0	CIS Azure Foundations v1.4.0
AWS CIS 1.2.0	CIS AWS 基礎 v1.2.0
AWS CIS 1.5.0	CIS AWS 基礎 v1.5.0
GCP CIS 1.1.0	CIS GCP 基礎 v1.1.0
GCP CIS 1.2.0	CIS GCP 基礎 v1.2.0

了解如何改善您的法規合規性。

PaaS 資料庫的敏感資料探索 (預覽)

2023 年 9 月 5 日

針對 PaaS 資料庫（Azure SQL 資料庫及任何類型的 Amazon RDS 實例）進行無摩擦敏感資料發現的資料感知安全態勢，現已進入公開預覽階段。 此公開預覽讓您不論重要資料的位置都能建立資料地圖，以及這些資料庫中找到的資料類型。

Azure 與 AWS 資料庫的敏感資料發現，為共享的分類法與設定增添內容，這些分類法與設定已公開用於雲端物件儲存資源（Azure Blob 儲存體、AWS S3 buckets 及 GCP 儲存桶），並提供單一的設定與啟用體驗。

資料庫每週會掃描一次。 如果您啟用 sensitive data discovery，則探索會在 24 小時內執行。 您可以在雲端安全性總管中檢視結果，或檢閱具有敏感資料的受控資料庫新攻擊路徑。

資料庫的資料感知安全態勢可透過 Defender CSPM 計畫提供，且在啟用 sensitive data discovery 選項的訂閱中自動啟用。

您可以在下列文章中深入了解資料感知安全性態勢：

• 資料感知安全性態勢的支援和必要條件
• 啟用資料感知安全性態勢
• 探索敏感性資料的風險

一般可用性（GA）：在 Defender 中進行惡意軟體掃描以進行儲存

2023 年 9 月 1 日

惡意軟體掃描現已普遍提供（GA），作為 Defender for Storage 的附加元件。 Defender for Storage 中的惡意軟體掃描，透過 Microsoft Defender 防毒功能，幾乎即時對上傳內容進行完整惡意掃描，幫助保護您的儲存帳號免受惡意內容侵害。 其設計目的是為了協助滿足處理不受信任內容的安全性與合規性需求。 惡意程式碼掃描功能是無代理程式 SaaS 解決方案，可大規模進行設定，並支援大規模自動回應。

了解更多關於 malware 掃描的資訊，請參考 Defender Storage。

惡意程式碼掃描會根據您的資料使用量和預算來定價。 帳單從 2023 年 9 月 3 日開始。 請造訪 定價頁面 以取得更多資訊。

如果您使用上一個方案，您必須主動 移轉至新方案 ，才能啟用惡意代碼掃描。

請閱讀適用於雲端的 Microsoft Defender公告文章。

2023 年 8 月

8 月的更新包括：

Date	Update
8月30日	Defender 容器：Kubernetes 的無代理發現
8月22日	建議發布：應啟用儲存Microsoft Defender，並具備惡意軟體掃描及敏感資料威脅偵測
8 月 17 日	適用於雲端的 Defender安全警示中的擴展屬性會被活動日誌遮蔽
8月15日	GCP 支援預覽版Defender CSPM
8 月 7 日	伺服器計畫2 Defender新增安全警示：偵測濫用Azure虛擬機器擴充的潛在攻擊
8 月 1 日	適用於雲端的 Defender方案的商業模式與價格更新

Defender For Containers：Kubernetes 的無代理發現

2023 年 8 月 30 日

我們很高興向 Defender For Containers：Kubernetes 的無代理發現（Agentless discovery）介紹。 此版本代表容器安全性向前邁出了重要的一步，讓您具備 Kubernetes 環境的進階深入解析和完整的詳細目錄功能。 這項新容器產品由 適用於雲端的 Defender 情境安全圖譜驅動。 以下是您預期在最新更新中看到的內容：

• 無代理程式 Kubernetes 探索
• 完整的詳細目錄功能
• Kubernetes 特定的安全性深入解析
• 使用雲端安全性總管增強的風險搜捕

Kubernetes 的無代理發現現已對所有 Defender For Containers 客戶開放。 您可以立即開始使用這些進階功能。 我們鼓勵您更新您的訂用帳戶，以啟用完整的擴充功能集，並受益於最新的新增項目和功能。 請造訪您的容器服務訂閱Defender中的 Environment 與設定面板以啟用該擴充功能。

Note

啟用最新功能不會讓活躍的 Defender for Containers 用戶產生額外費用。

欲了解更多資訊，請參閱 > 容器安全Microsoft Defender概述。

建議發布：Microsoft Defender for Storage 應啟用惡意軟體掃描及敏感資料威脅偵測功能

2023 年 8 月 22 日

Defender for Storage 發布了一項新的建議。 此建議確保 Defender for Storage 在訂閱層級啟用，具備惡意軟體掃描及敏感資料威脅偵測功能。

Recommendation	Description
Microsoft Defender for Storage 應啟用惡意軟體掃描與敏感資料威脅偵測功能	Microsoft Defender for Storage 能偵測對你儲存帳號的潛在威脅。 這有助於防止資料和工作負載受到三大影響：惡意檔案上傳、敏感性資料外流和資料損毀。 新的 Defender for Storage 計畫包含惡意軟體掃描與敏感資料威脅偵測。 此方案也提供可預測的定價結構 (每一儲存體帳戶)，以控制涵蓋範圍和成本。 透過大規模的簡單無代理程式設定，在訂用帳戶層級啟用時，該訂用帳戶下的所有現有和新建的儲存體帳戶都會自動受到保護。 您也可以從受保護的訂用帳戶中排除特定的儲存體帳戶。

此新建議取代現行建議Microsoft Defender for Storage should be enabled（評估說明 1be22853-8ed1-4005-9907-ddad64cb1417）。 不過，這項建議仍可在 Azure Government 雲端使用。

了解更多關於 StorageMicrosoft Defender 的資訊。

適用於雲端的 Defender 中擴展的安全性警報會被活動日誌遮蔽

2023 年 8 月 17 日

我們最近變更了安全性警示與活動記錄的整合方式。 為了更妥善保護敏感性客戶資訊，我們不再將這項資訊包含在活動記錄中。 相反地，我們會使用星號將其遮罩。 不過，這些資訊仍可透過警示 API、持續匯出及 適用於雲端的 Defender 入口網站取得。

依賴活動日誌匯出警示至其 SIEM 解決方案的客戶，應考慮使用其他方案，因為這並非匯出 適用於雲端的 Defender 安全警示的推薦方法。

關於如何將適用於雲端的 Defender安全警示匯出至SIEM、SOAR及其他第三方應用程式的說明，請參見串流警示至SIEM、SOAR或IT服務管理解決方案。

Defender CSPM GCP 支援預覽版

2023 年 8 月 15 日

我們宣布 Defender CSPM 情境式雲端安全圖與攻擊路徑分析的預覽版，並支援 GCP 資源。 你可以運用 Defender CSPM 的力量，實現 GCP 資源中的全面可視化與智慧雲安全。

GCP 支援的主要功能包括：

• 攻擊路徑分析 - 了解攻擊者可能採取的潛在路由。
• 雲端安全性總管 - 透過在安全性圖表上執行圖表式查詢，主動識別安全性風險。
• 無代理程式掃描 - 掃描伺服器並識別秘密和漏洞，而無需安裝代理程式。
• 資料感知安全性態勢 - 探索並補救 Google Cloud Storage 貯體中敏感資料的風險。

了解更多關於Defender CSPM計畫選項。

Defender for Servers 計畫 2 新增安全警示：偵測利用 Azure 虛擬機擴充的潛在攻擊

2023 年 8 月 7 日

這一系列新警示聚焦於偵測 Azure 虛擬機擴充的可疑行為，並提供攻擊者試圖入侵及對虛擬機器進行惡意行為的洞察。

Microsoft Defender for Servers 現在能偵測虛擬機擴充功能的可疑活動，讓你能更全面地監控工作負載的安全。

Azure 虛擬機器擴充是部署後在虛擬機上執行的小型應用程式，提供設定、自動化、監控、安全等功能。 雖然擴充功能是功能強大的工具，但可能被威脅執行者用來進行各種惡意意圖，例如：

• 用於數據收集和監視。
• 針對具有高許可權的程式代碼執行和組態部署。
• 若要重設認證並建立系統管理使用者。
• 用於加密磁碟。

以下是新警示的資料表。

警示 (警示類型)	Description	MITRE 策略	Severity
在訂用帳戶中安裝 GPU 擴充功能時發生可疑的失敗 (預覽) (VM_GPUExtensionSuspiciousFailure)	在不支援的 VM 上安裝 GPU 擴充功能的可疑意圖。 此擴充功能應該安裝在配備圖形處理器的虛擬機器上，在此情況下，虛擬機器並未配備這類功能。 當惡意敵人針對密碼編譯採礦目的執行多次安裝這類擴充功能時，就可以看到這些失敗。	Impact	Medium
在虛擬機器上偵測到 GPU 擴充功能的可疑安裝 (預覽) (VM_GPUDriverExtensionUnusualExecution) 此警示於 2023 年 7 月發行。	透過分析您的訂閱中的 Azure Resource Manager 操作，偵測到可疑安裝 GPU 擴充功能。 攻擊者可能會利用 GPU 驅動程式擴充功能，透過 Azure Resource Manager 在你的虛擬機器上安裝 GPU 驅動程式，進行加密劫持。 當主體的行為偏離其一般模式時，此活動會被視為可疑。	Impact	Low
在虛擬機器上偵測到具有可疑指令碼的執行指令 (預覽) (VM_RunCommandSuspiciousScript)	透過分析您的訂閱中的 Azure Resource Manager 操作，偵測到一個帶有可疑腳本的執行指令。 攻擊者可能會使用 Run Command 透過 Azure Resource Manager 在你的虛擬機器上執行高權限的惡意程式碼。 因為某些部分已識別為潛在的惡意，所以指令碼被視為可疑。	Execution	High
在虛擬機器上偵測到可疑的未經授權執行命令使用量 (預覽) (VM_RunCommandSuspiciousFailure)	透過分析您的訂閱中 Azure Resource Manager 操作，發現可疑未經授權的執行指令使用失敗。 攻擊者可能會嘗試使用 Run Command 透過 Azure Resource Manager 在你的虛擬機器上執行高權限的惡意程式碼。 此活動被視為可疑，因為其以前並未經常看到。	Execution	Medium
在虛擬機器上偵測到可疑的執行命令使用量 (預覽) (VM_RunCommandSuspiciousUsage)	透過分析您的訂閱中的 Azure Resource Manager 操作，偵測到虛擬機上有可疑使用 Run Command。 攻擊者可能會使用 Run Command 透過 Azure Resource Manager 在你的虛擬機器上執行高權限的惡意程式碼。 此活動被視為可疑，因為其以前並未經常看到。	Execution	Low
在虛擬機器上偵測到多個監視或資料收集擴充功能的可疑使用量 (預覽) (VM_SuspiciousMultiExtensionUsage)	透過分析您的訂閱中的 Azure Resource Manager 操作，偵測到虛擬機器上可疑使用多個監控或資料收集擴充功能。 攻擊者可能會在您的訂用帳戶中濫用這類資料收集、網路流量監視等擴充功能。 此使用量被視為可疑，因為其以前並未經常看到。	Reconnaissance	Medium
在虛擬機器上偵測到磁碟加密擴充功能的可疑安裝 (預覽) (VM_DiskEncryptionSuspiciousUsage)	透過分析您的訂閱中的 Azure Resource Manager 操作，偵測到虛擬機上安裝可疑磁碟加密擴充功能。 攻擊者可能會濫用磁碟加密擴充功能，透過 Azure Resource Manager 在你的虛擬機器上部署完整磁碟加密，試圖執行勒索軟體活動。 因為過去並不常見到此活動，且由於大量安裝擴充功能，所以此活動被認為很可疑。	Impact	Medium
在虛擬機器上偵測到 VM 存取擴充功能的可疑使用量 (預覽) (VM_VMAccessSuspiciousUsage)	在虛擬機器上偵測到 VM 存取擴充功能的可疑使用量。 攻擊者可能會濫用 VM 存取擴充功能，藉由重設存取權或管理系統管理使用者，以高權限存取並危害虛擬機器。 因為主體的行為偏離其一般模式，且由於大量安裝擴充功能，所以此活動被視為可疑。	Persistence	Medium
在您的虛擬機器（預覽）Desired State Configuration（DSC）擴充功能> (VM_DSCExtensionSuspiciousScript)	透過分析您的訂閱中的 Azure Resource Manager 操作，偵測到虛擬機上存在帶有可疑腳本的 Desired State Configuration （DSC） 擴充功能。 攻擊者可能會利用 Desired State Configuration（DSC）擴充功能，在你的虛擬機器上以高權限部署惡意設定，例如持久化機制、惡意腳本等。 因為某些部分已識別為潛在的惡意，所以指令碼被視為可疑。	Execution	High
偵測到可疑使用Desired State Configuration（DSC）擴充功能（預覽） (VM_DSCExtensionSuspiciousUsage)	透過分析您的訂閱中的 Azure Resource Manager 操作，偵測到虛擬機上可疑使用了 Desired State Configuration（DSC）擴充功能。 攻擊者可能會利用 Desired State Configuration（DSC）擴充功能，在你的虛擬機器上以高權限部署惡意設定，例如持久化機制、惡意腳本等。 因為主體的行為偏離其一般模式，且由於大量安裝擴充功能，所以此活動被視為可疑。	Impact	Low
在虛擬機器上偵測到具有可疑指令碼的自訂指令碼延伸模組 (預覽) (VM_CustomScriptExtensionSuspiciousCmd) (此警示已經存在，並已透過更增強的邏輯和偵測方法進行改善。)	透過分析您的訂閱中的 Azure Resource Manager 操作，偵測到帶有可疑腳本的自訂腳本擴充功能。 攻擊者可能會利用自訂腳本擴充功能，透過 Azure Resource Manager 在你的虛擬機器上執行高權限的惡意程式碼。 因為某些部分已識別為潛在的惡意，所以指令碼被視為可疑。	Execution	High

請參閱 Defender 中的 Servers 中基於 extension 的警示。

完整警報清單請參閱適用於雲端的 Microsoft Defender中所有安全警報的 reference 表格。

適用於雲端的 Defender 方案的商業模式與價格更新

2023 年 8 月 1 日

適用於雲端的 Microsoft Defender 有三種方案提供服務層保護：

• 金鑰保存庫防護程式

• 資源管理器防護程式

• DNS 防護者

這些方案已轉換為具有不同定價和封裝的新商務模型，可解決有關支出可預測性及簡化整體成本結構的客戶意見反應。

商務模型和定價變更摘要：

Defender for Key-Vault、Defender for Resource Manager 及 Defender for DNS 的現有客戶，除非他們主動選擇轉換到新的商業模式與定價，否則會維持現有的商業模式與定價。

• Defender Resource Manager：此方案每月訂閱固定價格。 客戶可透過選擇 Defender for Resource Manager 新訂閱模式，轉換為新的商業模式。

Defender for Key-Vault、Defender for Resource Manager 及 Defender for DNS 的現有客戶，除非他們主動選擇轉換到新的商業模式與定價，否則會維持現有的商業模式與定價。

• Defender Resource Manager：此方案每月訂閱固定價格。 客戶可透過選擇 Defender for Resource Manager 新訂閱模式，轉換為新的商業模式。
• Defender 金鑰保存庫：此方案按金庫固定價格，每月不收取超額費用。 客戶可選擇 Defender for 金鑰保存庫 新款，轉換為新的商業模式
• Defender 用於 DNS：伺服器方案 2 的Defender客戶可免費存取 DNS 值Defender，作為伺服器方案 2 Defender的一部分。 同時擁有伺服器方案2 Defender和DNS Defender的客戶，現在不再需要為DNS Defender收費。 Defender for DNS 已不再作為獨立方案提供。

想了解更多這些方案的價格，請參閱適用於雲端的 Defender價格頁面。

2023 年 7 月

7 月的更新包括：

Date	Update
7 月 31 日	容器漏洞評估預覽版，由 Microsoft Defender 弱點管理 in Defender 提供容器與容器註冊
7 月 30 日	無代理容器態態現已Defender CSPM普遍可用
7 月 20 日	管理 Endpoint for Linux
7 月 18 日	無代理秘密掃描 Defender 中虛擬機，針對伺服器 P2 與Defender CSPM
7 月 12 日	伺服器計畫2的Defender新安全警示：利用Azure VM GPU驅動程式擴充偵測潛在攻擊
7 月 9 日	支援停用特定弱點結果
7 月 1 日	數據感知安全性狀態現已正式推出

容器脆弱性評估預覽版，含 Microsoft Defender 弱點管理

2023 年 7 月 31 日

我們宣布將針對 Azure 容器登錄檔中的 Linux 容器映像發布脆弱性評估（VA），該服務由 Microsoft Defender 弱點管理 在 Defender for Containers 及 Defender for Container Registrys 中提供支援。 新的容器虛擬助理服務將與我們現有由 Qualys 驅動的容器虛擬存取服務一同提供，涵蓋 Defender for Containers 與 Defender for Container 註冊表，並包含每日重新掃描容器映像檔、可利用性資訊、作業系統與程式語言（SCA）支援等功能。

這項新供應專案將於今天推出，預計在8月7日前可供所有客戶使用。

透過 Microsoft Defender 弱點管理 了解更多關於 容器脆弱性評估的資訊。

Defender CSPM 中的無代理容器態勢現已正式推出

2023年7月30日

無代理容器態勢功能現已作為 Defender CSPM（雲端安全態勢管理）計畫的一部分，正式提供（GA）。

了解更多關於Defender CSPM中無代理容器態態的資訊。

管理 Linux 版 Defender for Endpoint 的自動更新

2023 年 7 月 20 日

預設情況下，適用於雲端的 Defender 會嘗試更新你以 MDE.Linux 擴充功能為基礎的 Endpoint for Linux 代理程式的 Defender。 使用此版本，您可以管理此設定，並退出宣告預設組態，以手動管理您的更新週期。

Defender 中為伺服器 P2 及Defender CSPM

2023 年 7 月 18 日

秘密掃描現已作為 Defender 無代理掃描的一部分，適用於 P2 和 Defender CSPM 伺服器。 這項功能有助於偵測儲存在 Azure 或 AWS 資源中虛擬機上的未受管理及不安全秘密，這些秘密可用於網路中橫向移動。 若偵測到機密，適用於雲端的 Defender 能協助優先排序並採取可行的補救措施，降低橫向移動風險，且不影響機器效能。

如需如何使用秘密掃描來保護秘密的詳細資訊，請參閱 使用無代理程式秘密掃描來管理秘密。

Defender for Server 計畫 2 新增安全警示：利用 Azure VM GPU 驅動程式擴充偵測潛在攻擊

2023 年 7 月 12 日

此警示重點在於識別利用虛擬機AzureGPU驅動擴充套件進行的可疑行為，並提供攻擊者試圖入侵您虛擬機器的見解。 警示以 GPU 驅動程式延伸模組的可疑部署為目標;這類擴充功能通常會受到威脅執行者濫用，以利用 GPU 記憶卡的完整功能並執行密碼編譯。

警示顯示名稱 （警示類型）	Description	Severity	MITRE 戰術
在虛擬機器中可疑安裝 GPU 擴充功能 （預覽版） (VM_GPUDriverExtensionUnusualExecution)	透過分析您的訂閱中的 Azure Resource Manager 操作，偵測到可疑安裝 GPU 擴充功能。 攻擊者可能會利用 GPU 驅動程式擴充功能，透過 Azure Resource Manager 在你的虛擬機器上安裝 GPU 驅動程式，進行加密劫持。	Low	Impact

完整警報清單請參閱適用於雲端的 Microsoft Defender中所有安全警報的 reference 表格。

支援停用特定弱點結果

2023年7月9日

針對您的容器登錄映像停用弱點結果或執行映像作為無代理程式容器狀態一部分的支援版本。 如果您有組織需要忽略容器登錄映像上的弱點尋找，而不是加以補救，您可以選擇性地將其停用。 停用的結果不會影響您的安全分數或產生不想要的雜訊。

瞭解如何 停用容器登錄映像上的弱點評估結果。

數據感知安全性狀態現已正式推出

2023 年 7 月 1 日

適用於雲端的 Microsoft Defender 中的資料感知安全態勢現已正式開放。 它可協助客戶降低數據風險，並響應數據外洩。 使用資料感知安全性態勢，您可以：

• 自動發現 Azure 與 AWS 上的敏感資料資源。
• 評估資料敏感度、資料暴露，以及資料在組織中的流動方式。
• 主動且持續地發現可能導致資料外洩的風險。
• 偵測可能表示敏感數據資源持續威脅的可疑活動

欲了解更多資訊，請參閱適用於雲端的 Microsoft Defender中的資料感知安全態勢。

2023 年 6 月

6 月的更新包括：

Date	Update
6 月 26 日	使用增強的設定簡化多雲端帳戶上線
6月25日	Private Endpoint 支援 Storage
6月15日	控制更新已針對 NIST 800-53 標準進行法規合規性
6 月 11 日	雲端遷移規劃與Azure Migrate商業案例現在包含 適用於雲端的 Defender
6月7日	Express 在 Defender for SQL 的漏洞評估設定現已公開
6 月 6 日	在現有Azure DevOps連接器
6月4日	在Defender CSPM

使用增強的設定簡化多雲端帳戶上線

2023 年 6 月 26 日

適用於雲端的 Defender 提升了新手入職體驗，新增了簡化的使用者介面與說明，並新增功能，讓您能在 AWS 與 GCP 環境中順利上線，同時使用進階的入職功能。

對於已採用 Hashicorp Terraform 進行自動化的組織，適用於雲端的 Defender 現在可將 Terraform 作為部署方式，與 AWS CloudFormation 或 GCP Cloud Shell 並行。 您現在可以在建立整合時自定義必要的角色名稱。 您也可以在兩者之間選取：

• Default access - 允許適用於雲端的 Defender掃描資源並自動包含未來的功能。

• 最低權限存取 -Grants 適用於雲端的 Defender僅存取所選方案所需的當前權限。

如果您選取最低許可權，則只會在連接器健康情況取得完整功能所需的任何新角色和許可權上收到通知。

適用於雲端的 Defender 允許你依據雲端廠商的原生名稱區分雲端帳號。 例如，AWS 帳戶別名和 GCP 項目名稱。

Defender 儲存用惡意軟體掃描的私有端點支援

2023年6月25日

私有端點支援現已作為 Defender for Storage 惡意軟體掃描公開預覽版的一部分提供。 此功能允許在使用私人端點的記憶體帳戶上啟用惡意代碼掃描。 不需要其他設定。

Defender for Storage 中的 Malware 掃描（預覽） 透過近乎即時地對上傳內容進行完整惡意掃描，並利用Microsoft Defender防毒功能，幫助保護您的儲存帳號免受惡意內容侵害。 其設計目的是為了協助滿足處理不受信任內容的安全性與合規性需求。 它是一種無代理程式 SaaS 解決方案，可讓您大規模進行簡單的設定，且零維護，並支援大規模自動化回應。

私有端點提供與 Azure 儲存體 服務的安全連接，有效消除公共網路暴露，被視為安全最佳實務。

針對已啟用惡意代碼掃描的私人端點的記憶體帳戶，您必須停用並 啟用具有惡意代碼掃描 的計劃，才能運作。

了解更多關於在 Defender 中使用 private endpoints 用於 Storage 以及如何進一步保護您的儲存服務。

預覽版建議：執行容器映像檔時，漏洞發現應已解決（由 Microsoft Defender 弱點管理 提供支援）

2023 年 6 月 21 日

由 Microsoft Defender 弱點管理 驅動的 Defender CSPM 新容器建議已釋出預覽版：

Recommendation	Description	評量鍵
執行容器映像檔時，漏洞發現應該已解決（由 Microsoft Defender 弱點管理 提供支援）（預覽版）	容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE)，並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵，可大幅降低容器化工作負載的受攻擊面。	c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

此新建議取代目前同名、由 Qualys 驅動的建議，僅在 Defender CSPM 中支援（取代評估金鑰 41503391-efa5-47ee-9282-4eff6131462c）。

控制更新已針對 NIST 800-53 標準進行法規合規性

2023 年 6 月 15 日

NIST 800-53 標準（包括 R4 與 R5）最近隨著 適用於雲端的 Microsoft Defender 法規遵循的控制變更而更新。 Microsoft管理的控制措施已從標準中移除，Microsoft責任實作（作為雲端共同責任模型的一部分）現僅在控制細節欄Microsoft行動中提供。

這些控件先前已計算為通過的控件，因此您可能會在 2023 年 4 月至 2023 年 5 月之間看到 NIST 標準的合規性分數大幅下降。

欲了解更多合規控制資訊，請參閱教學：法規合規檢查 - 適用於雲端的 Microsoft Defender。

現在規劃 Azure Migrate 商業案例中的雲端遷移已包含 適用於雲端的 Defender

2023年6月11日

現在，你可以透過將適用於雲端的 Defender應用於Azure Migrate商業案例，發現潛在的安全成本節省。

Defender for SQL 中脆弱性評估的快速設定現已正式提供

2023 年 6 月 7 日

Defender for SQL 中脆弱性評估的快速設定現已正式開放。 快速設定使用單鍵組態（或 API 呼叫），為 SQL 弱點評估提供簡化的上線體驗。 不需要額外的設定或相依性受控記憶體帳戶。

查看此 部落格 以了解有關快速配置的更多資訊。

您可以瞭解快速和傳統組態之間的差異。

更多範圍加到現有 Azure DevOps 連接器

2023 年 6 月 6 日

適用於 DevOps 的 Defender 為 Azure DevOps （ADO） 應用程式新增了以下額外範圍：

• 進階安全性管理： vso.advsec_manage。 這是為了讓你啟用、停用並管理 GitHub Advanced Security for ADO 所必須的。

• 容器映射： vso.extension_manage， ; vso.gallery_manager這是允許您與 ADO 組織共用裝飾器延伸模組的必要條件。

只有嘗試將 ADO 資源導入 適用於雲端的 Microsoft Defender 的新 適用於 DevOps 的 Defender 客戶才會受到此變更的影響。

直接（不含 Azure Arc）加入 Defender for Servers 現在已普遍可用

2023 年 6 月 5 日

過去，Azure Arc 必須將非 Azure 伺服器導入 Defender for Servers。 不過，在最新版本中，你也可以只用 適用於端點的 Microsoft Defender 代理程式，將本地伺服器導入 Defender for Servers。

此新方法簡化了專注於核心端點防護的客戶的入職流程，並讓您能利用 Defender for Server 基於消費的計費，涵蓋雲端與非雲端資產。 透過 Defender for Endpoint 的直接入職選項現已開放，已啟用的機器將於 7 月 1 日開始計費。

欲了解更多資訊，請參閱 將你的非Azure機器連接到 Endpoint 的 Defender 與 適用於雲端的 Microsoft Defender。

以無代理程式發現取代 Defender CSPM 容器能力的代理式發現

2023年6月4日

隨著 Defender CSPM 提供無代理容器態勢功能，基於代理的發現功能現已退役。 如果您目前在 Defender CSPM 中使用容器功能，請確保啟用 相關擴充功能，以持續接收新的無代理功能（如容器相關攻擊路徑、洞察與庫存）的容器相關價值。 （最多可能需要 24 小時才能看到啟用擴充功能的效果）。

深入瞭解 無代理程式容器狀態。

2023 年 5 月

5 月份的更新包括：

• Defender 金鑰保存庫 有新警報。
• 支援 AWS 中加密磁碟的無代理程序掃描。
• JIT（Just-In-Time）命名規則的變更 適用於雲端的 Defender。
• 所選 AWS 區域的上線。
• 身分識別建議的變更。
• 淘汰合規性儀錶板中的舊版標準。
• 兩項適用於 DevOps 的 Defender建議的更新，納入Azure DevOps掃描結果
• 伺服器Defender漏洞評估解決方案的新預設設定。
• 能夠下載雲端安全性總管查詢結果的 CSV 報告（預覽）。
• 以 Microsoft Defender 弱點管理 發布容器脆弱性評估。
• 由 Qualys 提供之容器建議的重新命名。
• 應用程式 更新適用於 DevOps 的 Defender GitHub。
• 變更為適用於 DevOps 的 Defender包含基礎設施即程式碼錯誤配置的 Assembly Request 註解Azure DevOps庫。

Defender 中針對 金鑰保存庫 的新警示

警示 (警示類型)	Description	MITRE 策略	Severity
來自可疑 IP（非Microsoft或外部） (KV_UnusualAccessSuspiciousIP)	過去 24 小時內，有使用者或服務主體嘗試從非 Microsoft IP 異常存取金鑰保險庫。 此異常存取模式可能是合法的活動。 這可能表示可能嘗試取得金鑰保存庫及其內含秘密的存取權。 我們建議進一步調查。	憑證存取	Medium

關於所有可用的警示，請參見警示 Azure Key Vault。

無代理程式掃描現在支援 AWS 中的加密磁碟

VM 的無代理程式掃描現在支援使用 CMK 和 PMK 在 AWS 中使用加密磁碟處理實例。

此延伸支援會增加雲端資產的涵蓋範圍和可見度，而不會影響您執行中的工作負載。 對加密磁碟的支援會維護對執行中實例的相同零影響方法。

• 針對在 AWS 中啟用無代理程式掃描的新客戶， 加密磁碟涵蓋範圍預設為內建和支援。
• 對於已啟用無代理程序掃描的 AWS 連接器的現有客戶，您必須將 CloudFormation 堆疊重新套用至已上線的 AWS 帳戶，以更新並新增處理加密磁碟所需的新許可權。 更新後的 CloudFormation 範本包含新的指派，讓 適用於雲端的 Defender 能處理加密磁碟。

您可以深入瞭解 用來掃描 AWS 實例的許可權。

若要重新套用 CloudFormation 堆疊：

1. 進入 適用於雲端的 Defender 環境設定，打開你的 AWS 連接器。
2. 導覽至 「設定存取」 標籤。
3. 選取 [按兩下] 以下載 CloudFormation 樣本。
4. 流覽至您的 AWS 環境並套用更新的範本。

進一步了解 無代理程式掃描 和 在 AWS 中啟用無代理程式掃描。

修訂版 JIT（Just-In-Time）規則命名慣例 適用於雲端的 Defender

我們修訂了 JIT（Just-In-Time）規則，以符合 適用於雲端的 Microsoft Defender 品牌。 我們更改了 Azure 防火牆 和 NSG（網路安全群組）規則的命名慣例。

這些變更會如下所示：

Description	舊名稱	新名稱
NSG 中的 JIT 規則名稱 （允許與拒絕 ）	SecurityCenter-JITRule	MicrosoftDefenderForCloud-JITRule
NSG 中的 JIT 規則描述	ASC JIT 網路存取規則	MDC JIT 網路存取規則
JIT 防火牆規則集合名稱	ASC-JIT	MDC-JIT
JIT 防火牆規則名稱	ASC-JIT	MDC-JIT

瞭解如何 使用 Just-In-Time 存取來保護管理埠。

將選取的 AWS 區域上線

為了協助您管理 AWS CloudTrail 成本和合規性需求，您現在可以在新增或編輯雲端連接器時選取要掃描的 AWS 區域。 當你將 AWS 帳號導入 適用於雲端的 Defender 時，現在可以掃描特定的特定 AWS 區域或所有可用區域（預設）。 欲了解更多，請見 Connect Your AWS account to 適用於雲端的 Microsoft Defender。

身分識別建議的多個變更

下列建議現已發行為正式運作（GA），並取代現已淘汰的 V1 建議。

正式運作 （GA） 版本的身分識別建議 V2

身分識別建議的 V2 版本引進下列增強功能：

• 掃描範圍已擴大至涵蓋所有 Azure 資源，而不僅僅是訂閱。 這可讓安全性系統管理員檢視每個帳戶的角色指派。
• 特定帳戶現在可以免除評估。 安全性系統管理員可以排除像是中斷帳戶或服務帳戶等帳戶。
• 掃描頻率已從 24 小時增加到 12 小時，從而確保身分識別建議更最新且準確。

GA 提供下列安全性建議，並取代 V1 建議：

Recommendation	評量鍵
在 Azure 資源上擁有擁有權的帳號應該啟用多重驗證（MFA）	6240402e-f77c-46fa-9060-a7ce53997754
在 Azure 資源上有寫入權限的帳號應該啟用多重身份驗證（MFA）	c0cb17b2-0607-48a7-b0e0-903ed22de39b
對 Azure 資源有讀取權限的帳號應該啟用多重認證（MFA）	dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
擁有 Azure 資源擁有擁有權的訪客帳號應該被移除	20606e75-05c4-48c0-9d97-add6daa2109a
對 Azure 資源有寫入權限的訪客帳號應該被移除	0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
在 Azure 資源上擁有讀取權限的訪客帳號應該被移除	fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
在 Azure 資源上擁有擁有權的被封鎖帳號應該被移除	050ac097-3dda-4d24-ab6d-82568e7a50cf
在 Azure 資源上擁有讀寫權限的被封鎖帳號應該被移除	1ff0b4c9-ed56-4de6-be9c-d7ab39645926

淘汰身分識別建議 V1

現在已淘汰下列安全性建議：

Recommendation	評量鍵
應該在具有訂用帳戶擁有者許可權的帳戶上啟用 MFA。	94290b00-4d0c-d7b4-7cea-064a9554e681
應該在具有訂用帳戶寫入許可權的帳戶上啟用 MFA。	57e98606-6b1e-6193-0e3d-fe621387c16b
應該在具有訂用帳戶讀取許可權的帳戶上啟用 MFA。	151e82c5-5341-a74b-1eb0-bc38d2c84bb5
具有擁有者許可權的外部帳戶應該從訂用帳戶中移除。	c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
應從訂用帳戶中移除具有寫入許可權的外部帳戶。	04e7147b-0deb-9796-2e5c-0336343ceb3d
應從訂用帳戶中移除具有讀取許可權的外部帳戶。	a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
具有擁有者許可權的已淘汰帳戶應該從訂用帳戶中移除。	e52064aa-6853-e252-a11e-dffc675689c2
已淘汰的帳戶應該從訂用帳戶中移除	00c6d40b-e990-6acf-d4f3-471e747a27c4

建議您更新自定義腳本、工作流程和治理規則，以對應 V2 建議。

淘汰合規性儀錶板中的舊版標準

舊有的 PCI DSS v3.2.1 及舊有的 SOC TSP 已在 適用於雲端的 Defender 合規儀表板中完全棄用，並由 SOC 2 Type 2 倡議及 PCI DSS v4 倡議型合規標準取代。 我們已完全棄用由 21Vianet 運營的 Microsoft Azure PCI DSS 標準/倡議的支援。

瞭解如何 在法規合規性儀錶板中自定義一組標準。

適用於 DevOps 的 Defender 包含 Azure DevOps 掃描結果

適用於 DevOps 的 Defender 程式碼與 IaC 已擴大其在 適用於雲端的 Microsoft Defender 中的推薦覆蓋範圍，納入以下兩項 Azure DevOps 的安全發現：

• Code repositories should have code scanning findings resolved

• Code repositories should have infrastructure as code scanning findings resolved

過去，Azure DevOps 安全掃描的保障僅包含秘密建議。

了解更多關於 適用於 DevOps 的 Defender。

Defender for Servers 漏洞評估解決方案的新預設設定

弱點評估 （VA） 解決方案對於保護機器免於網路攻擊和數據外洩至關重要。

Microsoft Defender 弱點管理 現已啟用為所有未選擇 VA 解決方案的 Defender for Servers 保護訂閱的預設內建解決方案。

如果訂閱中的任何虛擬機啟用了 VA 解決方案，則不會有變更，且該訂閱中剩餘的虛擬機預設不會啟用 Microsoft Defender 弱點管理。 您可以選擇在 訂用帳戶上的其餘 VM 上啟用 VA 解決方案 。

瞭解如何使用無代理程式掃描來尋找弱點並收集軟體清查（預覽版）。

下載雲端安全性總管查詢結果的 CSV 報告 （預覽）

適用於雲端的 Defender 新增了下載雲端安全總管查詢結果的 CSV 報告的功能。

搜尋查詢後，您可以從適用於雲端的 Defender的雲端安全總管頁面選擇Download CSV report （Preview）按鈕。

瞭解如何 使用雲端安全性總管建置查詢

與 Microsoft Defender 弱點管理 合作推出容器漏洞評估功能

我們宣布，Azure 容器登錄庫中 Linux 映像的脆弱性評估即將推出，該服務由 Defender CSPM 中的 Microsoft Defender 弱點管理 提供支援。 此版本包含每日掃描影像。 安全總覽與攻擊路徑所使用的發現依賴於 Microsoft Defender 漏洞評估，而非 Qualys 掃描器。

現有的建議 Container registry images should have vulnerability findings resolved 會由新的建議取代：

Recommendation	Description	評量鍵
容器登錄映像應該已經解決了漏洞發現（由 Microsoft Defender 弱點管理 提供支援）	容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE)，並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵，可大幅降低容器化工作負載的受攻擊面。	dbd0cb49-b563-45e7-9724-889e799fa648 由 c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 取代。

了解更多關於Defender CSPM中無代理容器態勢的資訊。

了解更多關於Microsoft Defender 弱點管理。

重新命名由 Qualys 提供的容器建議

目前 Defender for Containers 中的容器建議將重新命名如下：

Recommendation	Description	評量鍵
容器登錄映像應該解決發現的弱點 (由 Qualys 提供)	容器映像弱點評定會掃描您的登錄，以判斷是否有安全性弱點，並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態，並保護容器免於遭受攻擊。	dbd0cb49-b563-45e7-9724-889e799fa648
執行容器映像應該解決發現的弱點 (由 Qualys 提供)	容器映像弱點評定會掃描 Kubernetes 叢集上執行的容器映像，了解是否有任何安全性弱點，並公開每個映像的詳細發現。 解決這些弱點可以大幅改善容器的安全性狀態，並保護容器免於遭受攻擊。	41503391-efa5-47ee-9282-4eff6131462c

適用於 DevOps 的 Defender GitHub 應用程式更新

適用於 DevOps 的 Microsoft Defender 持續進行變更與更新，要求已將 GitHub 環境導入 適用於雲端的 Defender 的 適用於雲端的 Defender 客戶，必須在 GitHub 部署的應用程式中提供權限組織。 這些權限是確保 適用於 DevOps 的 Defender 所有安全功能正常運作且無問題所必需的。

我們建議盡快更新權限，以確保持續使用適用於 DevOps 的 Defender所有可用功能。

可以透過兩種不同的方式授與權限：

• 在您的組織中，選擇GitHub應用程式。 找出 [您的組織]，然後選取 [ 檢閱要求]。

• 你會收到 GitHub 支援的自動郵件。 在電子郵件中，選取 [ 檢閱許可權要求] 以接受或拒絕此變更。

遵循上述任一選項之後，您將會流覽至檢閱畫面，供您檢閱要求。 選取 [ 接受新許可權 ] 以核准要求。

如果您需要協助更新權限，可以建立Azure 支援請求。

你也可以了解更多關於適用於 DevOps 的 Defender。 如果訂閱中的任何虛擬機啟用了 VA 解決方案，則不會有變更，且該訂閱中剩餘的虛擬機預設不會啟用 Microsoft Defender 弱點管理。 您可以選擇在 訂用帳戶上的其餘 VM 上啟用 VA 解決方案 。

瞭解如何使用無代理程式掃描來尋找弱點並收集軟體清查（預覽版）。

適用於 DevOps 的 Defender Pull Request 註解喺 Azure DevOps 倉庫入面 現已包含 Infrastructure as Code misconfigurations

適用於 DevOps 的 Defender 已擴展其在 Azure DevOps 中的 Pull Request （PR） 註解覆蓋範圍，納入在 Azure Resource Manager 和 Bicep 範本中偵測到的基礎設施即程式碼（IaC）錯誤配置。

開發人員現在可以直接在PR中看到IaC設定錯誤的批注。 開發人員也可以在將基礎結構布建到雲端工作負載之前補救重大安全性問題。 為了簡化補救，開發人員會提供嚴重性層級、設定錯誤描述，以及每個批注內的補救指示。

過去，Azure DevOps 中 適用於 DevOps 的 Defender PR 註解的覆蓋僅包含秘密。

了解更多關於 適用於 DevOps 的 Defender 以及 Pull Request 註解。

2023 年 4 月

4 月的更新包括：

• Agentless Container Posture in Defender CSPM （Preview）
• 新的預覽整合磁碟加密建議
• 建議機器中的變更應安全地設定
• 取代 App Service 語言監視原則
• Defender Resource Manager
• Defender中針對Resource Manager計畫的三個警示已被停用
• Alerts 自動匯出到Log Analytics工作區已被棄用
• Windows 與 Linux 伺服器部分警示的棄用與改進
• Azure資料服務
• 已發行兩項與遺漏操作系統 （OS） 更新相關的建議
• Defender for APIs （Preview）

Defender CSPM 中的無代理容器態勢（預覽版）

新的無代理容器態勢（預覽版）功能是 Defender CSPM（雲端安全態勢管理）計畫的一部分。

無代理程式容器狀態可讓安全性小組識別容器和 Kubernetes 領域的安全性風險。 無代理程式方法可讓安全性小組在 SDLC 和運行時間之間查看其 Kubernetes 和容器登錄，並移除工作負載的摩擦和使用量。

無代理程式容器狀態提供容器弱點評估，結合攻擊路徑分析，可讓安全性小組排定優先順序並放大特定容器弱點。 您也可以使用雲端安全性總管來找出風險，並搜尋容器狀態深入解析，例如探索執行易受攻擊的映像或公開至因特網的應用程式。

若要深入瞭解，請參閱 無代理程式容器狀態 （預覽） 。

整合磁碟加密建議 （預覽）

預覽版中有新的統一磁碟加密建議。

• Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
• Linux virtual machines should enable Azure 磁碟加密 or EncryptionAtHost。

這些建議取代了偵測 Azure 磁碟加密 的 Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources 以及偵測 EncryptionAtHost 的政策 Virtual machines and virtual machine scale sets should have encryption at host enabled。 ADE 和 EncryptionAtHost 提供可比較的待用加密涵蓋範圍，我們建議在每個虛擬機上啟用其中一個加密。 新的建議會偵測是否已啟用 ADE 或 EncryptionAtHost，而且只有在兩者都未啟用時才會發出警告。 我們也會在某些 VM 上啟用 ADE，但並非所有 VM 磁碟上都啟用警告（此條件不適用於 EncryptionAtHost）。

新建議要求Azure Automanage機器配置。

這些建議是以下列原則為基礎：

• （預覽版）Windows虛擬機器應啟用 Azure 磁碟加密 或 EncryptionAtHost
• （預覽版）Linux 虛擬機器應啟用 Azure 磁碟加密 或 EncryptionAtHost

深入瞭解 ADE 和 EncryptionAtHost，以及如何啟用其中一個。

建議機器中的變更應安全地設定

Machines should be configured securely建議已更新。 此更新提升了推薦的效能與穩定性，並使其體驗與 適用於雲端的 Defender 推薦的通用行為相符。

在此更新中，建議的識別碼已從 181ac480-f7c4-544b-9865-11b8ffe87f47 變更為 c476dc48-8110-4139-91af-c8d940896b98。

用戶端不需要採取任何動作，且安全分數沒有預期的效果。

取代 App Service 語言監視原則

下列 App Service 語言監視原則已被取代，因為它們能夠產生誤判，而且無法提供更好的安全性。 您應該一律確定您使用的是語言版本，而不會有任何已知的弱點。

原則名稱	原則識別碼
App Service 應用程式若使用Java，應該使用最新的「Java 版本」	496223c3-ad65-4ecd-878a-bae78737e9ed
使用 Python 的 App Service 應用程式應該使用最新的「Python 版本」	7008174a-fd10-4ef0-817e-fc820a951d73
Function 應用程式使用 Java 應該使用最新的「Java 版本」	9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
使用 Python 的 Function 應用程式應該使用最新的「Python 版本」	7238174a-fd10-4ef0-817e-fc820a951d73
使用 PHP 的 App Service 應用程式應使用最新的「PHP 版本」	7261b898-8a84-4db8-9e04-18527132abb3

客戶可以使用替代的內建原則來監視其App Services的任何指定語言版本。

這些政策已不再出現在 適用於雲端的 Defender 內建的建議中。 你可以新增為自訂推薦 讓適用於雲端的 Defender監控。

Defender for Resource Manager 新增警示

Defender for Resource Manager 有以下新警示：

警示 (警示類型)	Description	MITRE 策略	Severity
預覽 - 偵測到可疑的計算資源建立 (ARM_SuspiciousComputeCreation)	Microsoft Defender for Resource Manager 發現您的訂閱中，使用 虛擬機器/Azure Scale Set 建立了可疑的運算資源。 識別的作業是設計來允許系統管理員在需要時部署新的資源，以有效率地管理其環境。 雖然此活動可能是合法的，但威脅執行者可能會利用這類作業來執行密碼編譯採礦。 活動被視為可疑，因為計算資源規模高於先前在訂用帳戶中觀察到的。 這表示主體遭到入侵，且正與惡意意圖搭配使用。	Impact	Medium

您可以查看所有可用於Resource Manager<>>的

Defender for Resource Manager 計畫中的三個警示已被棄用

以下三個針對 Defender for Resource Manager 計畫的警示已被棄用：

• Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
• Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
• Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

若偵測到可疑 IP 位址的活動，將會出現以下 Defenders for Resource Manager plan 警示Azure Resource Manager operation from suspicious IP address 或 Azure Resource Manager operation from suspicious proxy IP address。

自動匯出至 Log Analytics 工作區的警示已被棄用

適用於雲端的 Defender 的安全警示會自動匯出到資源層級的預設 Log Analytics 工作區。 這會導致不確定的行為，因此我們已淘汰這項功能。

相反地，你可以用 Continuous Export，將安全警示匯出到專用的 Log Analytics 工作區。

如果您已設定持續匯出警報至 Log Analytics 工作區，則無需進一步操作。

針對 Windows 與 Linux 伺服器的部分警示的棄用與改進

Defender for Servers 的安全警示品質改進流程包含部分 Windows 與 Linux 伺服器的警示被棄用。 已棄用的警報現由 Defender for Endpoint 威脅警報來源並涵蓋。

如果您已經啟用 Defender for Endpoint 整合，則無需進一步操作。 您可能會在 2023 年 4 月遇到警示量減少的問題。

如果您在 Defender for Servers 中尚未啟用 Defender for Endpoint 整合，則需要啟用 Defender for Endpoint 整合，以維持並提升您的警示覆蓋範圍。

所有伺服器客戶Defender，都能完全存取端點整合的Defender，作為Defender伺服器方案的一部分。

你可以了解更多關於適用於端點的 Microsoft Defender入職選項。

您也可以檢視 設定為已淘汰之警示 的完整清單。

請閱讀適用於雲端的 Microsoft Defender部落格。

New Microsoft Entra authentication-related recommendations for Azure Data Services

我們新增了四項針對 Azure Data Services 的 Microsoft Entra 認證建議。

建議名稱	推薦說明	原則
Azure SQL 受控執行個體 認證模式應該只使用 Microsoft Entra ID	關閉本地認證方法並只允許 Microsoft Entra 認證，能提升安全性，確保 Azure SQL 管理實例只能由 Microsoft Entra ID 身份存取。	Azure SQL 受控執行個體 應該啟用 Microsoft Entra ID Only Authentication
Azure Synapse Workspace authentication mode should should be Microsoft Entra ID Only	僅使用 Microsoft Entra ID 的認證方法提升安全性，確保 Synapse Workspaces 僅要求 Microsoft Entra ID 身份來進行認證。 深入瞭解。	Synapse 工作區應只使用Microsoft Entra ID身份來進行驗證
適用於 MySQL 的 Azure 資料庫 應該有 Microsoft Entra 管理員 provisioned	為您的適用於 MySQL 的 Azure 資料庫設定一位Microsoft Entra管理員以啟用Microsoft Entra認證。 Microsoft Entra 認證使資料庫使用者及其他 Microsoft 服務 的權限管理與集中身份管理成為可能	應該為 MySQL 伺服器配置 Microsoft Entra 管理員
適用於 PostgreSQL 的 Azure 資料庫 應該有 Microsoft Entra 管理員 provisioned	為你嘅 適用於 PostgreSQL 的 Azure 資料庫 配置 Microsoft Entra 管理員，以啟用 Microsoft Entra 認證。 Microsoft Entra 認證使資料庫使用者及其他 Microsoft 服務 的權限管理與集中身份管理成為可能	應為 PostgreSQL 伺服器設定Microsoft Entra管理員

已發行兩項與遺漏操作系統 （OS） 更新相關的建議

建議書System updates should be installed on your machines (powered by Azure 更新管理員) 與 Machines should be configured to periodically check for missing system updates 已發布，供一般使用。

若要使用新的建議，您需要：

• 把你的非 Azure 機器連接到 Arc。
• 啟用定期評定屬性。 您可以使用 [修正] 按鈕。 在新的建議中， Machines should be configured to periodically check for missing system updates 若要修正建議。

完成這些步驟後，你可以透過在Azure政策中適用於雲端的 Defender內建的倡議中停用舊的推薦函碼System updates should be installed on your machines。

建議的兩個版本：

• System updates should be installed on your machines
• System updates should be installed on your machines (powered by Azure Update Manager)

兩者皆可使用，直到 Log Analytics 代理於 2024 年 8 月 31 日被棄用為止， 也將在此時，舊版（System updates should be installed on your machines）的推薦也會被棄用。 這兩個建議都會傳回相同的結果，而且可在相同的控件 Apply system updates下取得。

新的建議System updates should be installed on your machines (powered by Azure 更新管理員) 透過「修正」按鈕提供修復流程，該流程可用於透過更新管理員（預覽）修復任何結果。 此補救程式仍處於預覽狀態。

新的建議 System updates should be installed on your machines (powered by Azure 更新管理員) 預計不會影響你的安全分數，因為它的結果與舊建議的 System updates should be installed on your machines 相同。

必要條件建議 （啟用定期評定屬性） 會對您的安全分數產生負面影響。 您可以使用可用的 修正按鈕來修復負面影響。

Defender for APIS （預覽版）

Microsoft 的 適用於雲端的 Defender 宣布全新 Defender for API 已進入預覽階段。

Defender for APIs 提供完整的生命週期保護、偵測與回應覆蓋。

Defender for APIs 幫助你掌握對業務關鍵 API 的可視化。 您可以調查並改善 API 安全性態勢、排定弱點修正的優先順序，以及快速偵測作用中的即時威脅。

了解更多關於 Defender for API。

2023 年 3 月

3 月的更新包括：

• 新增儲存Defender方案，包含近即時惡意軟體掃描及敏感資料威脅偵測
• 資料感知安全性狀態 （預覽）
• 改善管理預設Azure安全政策的體驗
• Defender CSPM（雲端安全態勢管理）現已正式開放（GA）
• 在 適用於雲端的 Microsoft Defender
• Microsoft 雲端安全基準測試（MCSB）1.0 版本現已正式發布（GA）
• 政府雲端現已提供一些法規合規性標準
• Azure SQL伺服器
• Defender 金鑰保存庫

全新 Defender for Storage 計畫推出，包含近即時惡意軟體掃描及敏感資料威脅偵測

雲端記憶體在組織中扮演重要角色，並儲存大量的寶貴和敏感數據。 今天我們宣布全新 Defender for Storage 計畫。 如果你使用的是舊方案（現已改名為「Defender for Storage （classic）」），你需要主動遷移到新方案才能使用新功能和好處。

新方案包含進階安全性功能，可協助防範惡意檔案上傳、敏感性資料外流和資料損毀。 它也提供更可預測的彈性定價結構，以更好地控制涵蓋範圍和成本。

新的方案現在有公開預覽的新功能：

• 偵測敏感數據暴露和外洩事件

• 跨所有文件類型進行近乎即時的 Blob 上傳惡意代碼掃描

• 使用SAS令牌偵測沒有身分識別的實體

這些功能會根據控制和數據平面記錄分析和行為模型，來增強現有的活動監視功能，以識別早期缺口跡象。

所有這些功能都可在新的可預測且彈性的定價方案中取得，可針對訂用帳戶和資源層級的數據保護提供細微的控制。

欲了解更多，請參見 儲存Microsoft Defender概覽。

資料感知安全性狀態 （預覽）

適用於雲端的 Microsoft Defender 幫助資安團隊在降低風險並回應雲端資料外洩方面更有效率。 其可讓它們透過數據內容來減少雜訊，並排定最重要的安全性風險優先順序，以防止代價高昂的數據外泄。

• 自動探索雲端資產中的數據資源，並評估其輔助功能、數據敏感度和已設定的數據流。 -持續找出敏感數據資源的數據外洩、暴露或攻擊路徑的風險，這些路徑可能會使用橫向移動技術導致數據資源。
• 偵測可能表示敏感數據資源持續威脅的可疑活動。

深入瞭解 資料感知安全性狀態。

改善管理預設 Azure 安全政策的體驗

我們引入了更完善的 Azure 安全政策管理體驗，內建建議，簡化 適用於雲端的 Defender 客戶微調安全需求的過程。 新的體驗包含下列新功能：

• 簡單的介面能提升管理 適用於雲端的 Defender 預設安全政策時的效能與體驗。
• Microsoft 雲端安全基準測試（前稱 Azure 安全基準測試）所提供的所有內建安全建議的單一視圖。 建議會組織成邏輯群組，讓您更輕鬆地瞭解涵蓋的資源類型，以及參數和建議之間的關聯性。
• 已新增篩選和搜尋等新功能。

瞭解如何 管理安全策略。

請閱讀適用於雲端的 Microsoft Defender部落格。

Defender CSPM（雲端安全態勢管理）現已正式推出（GA）

我們宣布 Defender CSPM 現已正式推出（GA）。 Defender CSPM 提供基礎 CSPM 功能下的所有服務，並新增以下優勢：

• 攻擊路徑分析和ARG API - 攻擊路徑分析會使用圖表型演算法來掃描雲端安全性圖表來公開攻擊路徑，並建議建議如何最佳補救破壞攻擊路徑並防止成功入侵的問題。 你也可以透過查詢 Azure Resource Graph（ARG）API 來程式化地接收攻擊路徑。 瞭解如何使用 攻擊路徑分析
• 雲端安全性總 管 - 使用 Cloud Security Explorer 在雲端安全性圖表上執行圖形式查詢，以主動識別多重雲端環境中的安全性風險。 深入瞭解 雲端安全性總管。

了解更多關於Defender CSPM。

在 適用於雲端的 Microsoft Defender 中建立自訂推薦與安全標準的選項

適用於雲端的 Microsoft Defender 提供使用 KQL 查詢為 AWS 和 GCP 建立自訂建議與標準的選項。 您可以使用查詢編輯器來建置及測試資料的查詢。 此功能是 Defender CSPM（雲端安全態勢管理）計畫的一部分。 瞭解如何 建立自定義建議和標準。

Microsoft 雲端安全基準測試（MCSB）1.0 版本現已正式推出（GA）

適用於雲端的 Microsoft Defender 宣布 Microsoft 雲端安全基準測試（MCSB）版本 1.0 現已正式發布（GA）。

MCSB 1.0 版本取代了 Azure 安全基準測試（ASB）第 3 版，成為 適用於雲端的 Defender 的預設安全政策。 MCSB 版本 1.0 作為合規儀表板中的預設合規標準，並預設啟用給所有 適用於雲端的 Defender 客戶。

您也可以學習 雲端安全基準（MCSB）Microsoft如何幫助您在雲端安全旅程中取得成功。

了解有關 MCSB 的更多信息。

政府雲端現已提供一些法規合規性標準

我們正在為 21Vianet 運營的 Azure Government 和 Microsoft Azure 客戶更新這些標準。

Azure Government：

• PCI DSS v4
• SOC 2 類型 2
• ISO 27001：2013 認證

Microsoft Azure 由 21Vianet 操作：

• SOC 2 類型 2
• ISO 27001：2013 認證

瞭解如何 在法規合規性儀錶板中自定義一組標準。

New preview recommendation for Azure SQL Servers

我們新增了Azure SQL伺服器推薦，Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)。

此建議基於現有保單Azure SQL Database should have Azure Active Directory Only Authentication enabled

此建議禁用本地認證方法，僅允許 Microsoft Entra 認證，確保 Azure SQL 資料庫僅能由 Microsoft Entra ID 身份存取，從而提升安全性。

學習如何在中啟用僅Azure AD 認證的 c0> 建立伺服器。

Defender 中針對 金鑰保存庫 的新警示

Defender for 金鑰保存庫 發布了以下新警示：

警示 (警示類型)	Description	MITRE 策略	Severity
拒絕從可疑IP存取金鑰保存庫 (KV_SuspiciousIPAccessDenied)	一個未成功的金鑰保險庫存取曾被 Microsoft 威脅情報部門識別為可疑 IP 位址的 IP 進行。 雖然此嘗試失敗，但表示您的基礎結構可能已遭入侵。 我們建議進一步調查。	憑證存取	Low

您可以查看所有可用於金鑰保存庫的警示清單。

2023 年 2 月

2 月的更新包括：

• 增強型雲端安全性總管
• Defender用於容器對執行 Linux 映像檔的漏洞掃描，現已改為 GA
• 宣佈支援 AWS CIS 1.5.0 合規性標準
• 適用於 DevOps 的 Microsoft Defender（預覽版）現已在其他地區
• 內建政策 [預覽]：私有端點應配置為已棄用金鑰保存庫

增強型雲端安全性總管

雲端安全性總管的改良版本包含重新整理的用戶體驗，可大幅移除查詢摩擦、新增執行多重雲端和多重資源查詢的功能，以及每個查詢選項的內嵌檔。

Cloud Security Explorer 現在可讓您跨資源執行雲端抽象查詢。 您可以使用預先建置的查詢範本，或使用自訂搜尋來套用篩選來建置查詢。 瞭解如何 管理 Cloud Security Explorer。

Defender for Containers 對執行 Linux 映像檔的漏洞掃描現已公開

Defender for Containers 能偵測運行中的容器漏洞。 支援 Windows 和 Linux 容器。

2022 年 8 月，這項功能以 Windows 和 Linux 的預覽版形式釋出。 我們現在發行適用於Linux的正式發行（GA）。

當偵測到漏洞時，適用於雲端的 Defender 會產生以下安全建議，列出掃描結果：執行容器映像檔時，漏洞發現應該已解決。

深入了解檢視 執行中映像的弱點。

宣佈支援 AWS CIS 1.5.0 合規性標準

適用於雲端的 Defender 現已支援 CIS Amazon Web Services Foundations v1.5.0 合規標準。 標準可以 新增至您的法規合規性儀錶板，並以 MDC 的現有供應專案為基礎來建置多重雲端建議和標準。

這項新標準包含現有與新建議，將 適用於雲端的 Defender 的覆蓋範圍擴展至新的 AWS 服務與資源。

瞭解如何 管理 AWS 評定和標準。

適用於 DevOps 的 Microsoft Defender（預覽版）現已在其他地區提供

適用於 DevOps 的 Microsoft Defender 已擴展其預覽版，現已在西歐及東澳地區提供，當您啟用 Azure DevOps 與 GitHub 資源時即可使用。

了解更多關於適用於 DevOps 的 Microsoft Defender。

內建政策 [預覽]：私有端點應配置為 金鑰保存庫 已不再支持。

內建的政策 [Preview]: Private endpoint should be configured for 金鑰保存庫 已被棄用，並由 [Preview]: Azure 金鑰保存庫s should use private link 政策取代。

了解更多關於整合Azure Key Vault與Azure 原則。

2023年1月

1 月的更新包括：

• 端點保護（適用於端點的 Microsoft Defender）元件現在可在設定與監控頁面
• 尋找遺漏系統更新的新版本建議 （預覽）
• 清理連接的 AWS 和 GCP 帳號中刪除的 Azure Arc 機器
• 允許連續匯出至防火牆後方的事件中樞
• 安全分數控制 保護您的應用程式Azure先進網路解決方案的名稱已更改
• SQL Server 的原則弱點評量設定應包含接收掃描報告的電子郵件位址已被取代
• 建議啟用診斷日誌虛擬機器擴展集已不再推薦

端點防護（適用於端點的 Microsoft Defender）元件現在可在設定與監控頁面中存取

要存取端點保護，請前往 Environment settings>Defender plans>Settings and monitoring。 從這裡，您可以將端點保護設定為 開啟。 您也可以查看受管理的其他元件。

想了解更多關於enabling 適用於端點的 Microsoft Defender 的資訊，請參閱 Defender for Servers。

尋找遺漏系統更新的新版本建議 （預覽）

你不再需要在 Azure VM 和 Azure Arc 機器上安裝代理，確保這些機器擁有最新的安全或關鍵系統更新。

新的系統更新建議，System updates should be installed on your machines (powered by Azure 更新管理員) 控制項中的 Apply system updates，是基於 Update Manager （preview）。 該建議依賴於嵌入每台 Azure VM 與 Azure Arc 機器中的原生代理程式，而非安裝代理程式。 新建議中的快速修正會導致您在 Update Manager 入口網站中一次性安裝遺失的更新。

若要使用新的建議，您需要：

• 將你的非 Azure 機器連接到 Arc
• 開啟定期評量屬性。 您可以在新的建議 (Machines should be configured to periodically check for missing system updates) 中使用 [快速修正]，以修正建議。

現有的「系統更新應安裝在您的機器上」的建議，依賴 Log Analytics 代理程式，仍可在相同控制下使用。

清理已刪除的 Azure Arc 機器，連接在 AWS 和 GCP 帳號中

連接到 AWS 和 GCP 帳號且由 Defender for Servers 或 Defender for SQL 在機器上覆蓋的機器，在 適用於雲端的 Defender 中會以 Azure Arc 機器的形式呈現。 到目前為止，當機器從AWS或 GCP 帳戶中刪除時，該計算機不會從清查中刪除。 導致 適用於雲端的 Defender 中留下了不必要的 Azure Arc 資源，代表已刪除的機器。

適用於雲端的 Defender 現在會在連接的 AWS 或 GCP 帳號中刪除 Azure Arc 機器時自動刪除這些機器。

允許連續匯出至防火牆後方的事件中樞

你現在可以啟用持續匯出警報和建議，作為受信任的服務，傳送到受 Azure 防火牆保護的事件中心。

您可以啟用連續匯出，因為產生警示或建議。 您也可以定義排程，以傳送所有新數據的定期快照集。

學習如何啟用 continuous 匯出到 Azure firewall 後面的事件集線器。

安全分數控制的名稱已更改，使用 Azure 進階網路解決方案保護您的應用程式

安全分數控制Protect your applications with Azure advanced networking solutions改為Protect applications against DDoS attacks。

更新後的名稱反映在Azure Resource Graph（ARG）、安全分數控制API及Download CSV report。

SQL Server 的原則弱點評量設定應包含接收掃描報告的電子郵件位址已被取代

Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports原則已被取代。

Defender for SQL 的漏洞評估電子郵件報告仍然可用，且現有的電子郵件設定也未改變。

啟用 虛擬機器擴展集 診斷日誌的建議已被棄用

建議的 Diagnostic logs in 虛擬機器擴展集 should be enabled 已被淘汰。

相關 原則定義 也已從法規合規性儀表板中顯示的任何標準中取代。

Recommendation	Description	Severity
虛擬機器擴展集 中的診斷日誌應啟用	啟用記錄並保留最多一年，讓您在發生安全性事件或網路遭到入侵時，重新建立活動線索以供調查之用。	Low

2022 年 12 月

12 月的更新包括：

• 宣布 SQL

宣布 Defender for SQL 漏洞評估的快速配置

Microsoft Defender for SQL 的漏洞評估快速設定，為資安團隊提供在 Synapse Workspaces 之外的 Azure SQL 資料庫及專用 SQL 池上的簡化設定體驗。

透過弱點評估的快速設定體驗，安全性小組可以：

• 在 SQL 資源的安全性設定中完成弱點評估組態，而不需要對客戶管理的記憶體帳戶進行任何其他設定或相依性。
• 立即將掃描結果新增至基準線，以便發現項目的狀態從 狀況不良 變更為 狀況良好 ，而無需重新掃描資料庫。
• 將多個規則一次新增至基準，並使用最新的掃描結果。
• 在訂閱層級啟用 Microsoft Defender 資料庫時，啟用所有 Azure SQL 伺服器的漏洞評估。

了解更多關於 SQL 漏洞評估Defender。

2022 年 11 月

11 月的更新包括：

• 使用 Defender for Containers
• 用範例警示驗證容器保護Defender
• 大規模治理規則 （預覽）
• 在 AWS 和 GCP 中建立自訂評定的能力已被取代
• 針對 Lambda 函式設定寄不出的信件佇列的建議已被取代

使用 Defender for Containers 保護您的 GCP 組織內的容器

現在你可以啟用 Defender for Containers 來保護整個 GCP 組織中的標準 GKE 叢集。 只要建立一個啟用 Defender for Containers 的新 GCP 連接器，或是在現有組織層級的 GCP 連接器上啟用 Defender for Containers 即可。

了解更多關於 連結 GCP 專案與組織 與 適用於雲端的 Defender。

透過範例警示驗證 Defender 的容器保護

你現在也可以為 Defender for Containers 計畫製作範例警示。 新的範例警示會顯示為來自 AKS、Arc 連線的叢集、EKS 和 GKE 資源，具有不同嚴重性和 MITRE 策略。 您可以使用範例警示來驗證安全性警示設定，例如 SIEM 整合、工作流程自動化和電子郵件通知。

深入瞭解 警示驗證。

大規模治理規則 （預覽）

我們很高興宣布，適用於雲端的 Defender 新增了大規模應用治理規則（預覽版）的功能。

有了這個新的體驗，安全性小組就能夠針對各種範圍（訂用帳戶和連接器）大量定義治理規則。 資安團隊可透過管理範圍（如 Azure 管理群組、AWS 頂層帳號或 GCP 組織）來完成此任務。

此外，治理規則 （預覽） 頁面會呈現組織環境中有效的所有可用治理規則。

深入了解 大規模的新治理規則體驗。

Note

自 2023 年 1 月 1 日起，若要體驗治理所提供的功能，您必須在您的訂閱或連接器上啟用 Defender CSPM 方案。

在 AWS 和 GCP 中建立自訂評定的能力已被取代

為 AWS 帳戶 和 GCP 專案建立自訂評估的功能 （預覽功能） 已被取代。

針對 Lambda 函式設定寄不出的信件佇列的建議已被取代

建議的 Lambda functions should have a dead-letter queue configured 已被淘汰。

Recommendation	Description	Severity
Lambda 函式應該已設定寄不出的信件佇列	此控制項會檢查 Lambda 函式是否已設定成寄不出的信件佇列。 如果未使用寄不出的信件佇列來設定 Lambda 函式，控件就會失敗。 作為失敗目的地的替代方案，您可以使用寄不出的信件佇列來設定函式，以儲存捨棄的事件以供進一步處理。 寄不出的信件佇列的作用與失敗目的地相同。 當事件失敗所有處理嘗試或到期時，不會進行處理時，就會使用它。 寄不出的信件佇列可讓您回顧 Lambda 函式的錯誤或失敗要求，以偵錯或識別不尋常的行為。 從安全性觀點來看，請務必瞭解您的函式失敗的原因，並確保您的函式不會因此卸除數據或危害數據安全性。 例如，如果您的函式無法與基礎資源通訊，可能是網路其他地方拒絕服務 （DoS） 攻擊的徵兆。	Medium

2022 年 10 月

10 月的更新包括：

• 宣布Microsoft雲端安全基準
• 攻擊路徑分析與情境安全能力適用於雲端的 Defender（預覽版）
• 無代理掃描，適用於Azure與 AWS 機器（預覽版）
• 適用於 DevOps 的 Defender（預覽）
• 法規合規儀表板現支援手動控制管理及詳細合規Microsoft狀態
• 自動布建已重新命名為 [設定與監視]，並具有更新的體驗
• Defender 雲端安全態勢管理（CSPM）（預覽版）
• MITRE ATT&CK 架構對應現在也可供 AWS 和 GCP 安全性建議使用
• Defender for Containers 現在支援 Elastic Container Registry（預覽版）

宣布 Microsoft 雲端安全基準測試

Microsoft雲端安全基準（MCSB）是一個新的框架，基於共同的產業標準與合規框架，定義了基本的雲端安全原則。 以及跨雲端平台實作這些最佳做法的詳細技術指引。 MCSB 將取代 Azure 安全基準測試。 MCSB 提供如何在多個雲端服務平台上實施其雲端無關安全建議的具體細節，最初涵蓋 Azure 與 AWS。

您現在可以在單一整合式儀錶板中監視每個雲端的雲端安全性合規性狀態。 當您瀏覽 適用於雲端的 Defender 的法規合規儀表板時，可以看到 MCSB 作為預設的合規標準。

當你啟用 適用於雲端的 Defender 時，Microsoft 雲端安全基準會自動分配到你的 Azure 訂閱和 AWS 帳號上。

了解更多關於 Microsoft 雲端安全基準測試。

適用於雲端的 Defender（預覽版）中的攻擊路徑分析與情境安全功能

新的雲端安全圖譜、攻擊路徑分析及情境式雲端安全功能，現已在 適用於雲端的 Defender 預覽版中提供。

安全性小組目前所面臨的最大挑戰之一，就是每天遇到的安全性問題數目。 有許多安全性問題需要解決，用來解決所有問題的資源卻永遠不夠。

適用於雲端的 Defender 新增的雲端安全圖譜與攻擊路徑分析功能，讓資安團隊能夠評估每個安全問題背後的風險。 安全性小組也可以識別需要儘快解決的最高風險問題。 適用於雲端的 Defender 與資安團隊合作，以最有效的方式降低環境遭受嚴重外洩的風險。

深入瞭解新的 雲端安全性圖表、攻擊路徑分析和雲端安全性總管。

Azure and AWS machines 的無代理掃描（預覽版）

直到現在，適用於雲端的 Defender 對虛擬機的態勢評估都是基於代理解決方案。 為了協助客戶將涵蓋範圍最大化並降低上線和管理摩擦，我們會釋出 VM 的無代理程式掃描以預覽。

透過 VM 的無代理程式掃描，您可以廣泛瞭解已安裝的軟體與軟體 CVE。 您無須挑戰代理程式安裝和維護、網路連線需求，以及工作負載的效能影響，即可取得可見度。 該分析由 Microsoft Defender 弱點管理 提供。

無代理漏洞掃描可在雲端安全態勢管理（CSPM）Defender以及伺服器 P2 的 Defender 中提供，並原生支援 AWS 及 Azure 虛擬機。

• 進一步了解 無代理程式掃描。
• 瞭解如何啟用 無代理程式弱點評估。

適用於 DevOps 的 Defender（預覽版）

適用於雲端的 Microsoft Defender 能在混合雲與多雲環境（包括 Azure、AWS、Google 及本地資源）中提供全面的可視化、態勢管理與威脅防護。

現在，新的 適用於 DevOps 的 Defender 計畫將原始碼管理系統，如 GitHub 和 Azure DevOps，整合進 適用於雲端的 Defender。 透過這項新的整合，我們讓安全性小組能夠保護其資源，使其免於程式代碼到雲端。

適用於 DevOps 的 Defender 讓你能更深入了解並管理連接的開發者環境與程式碼資源。 目前，你可以將 Azure DevOps 和 GitHub 系統連接到 適用於雲端的 Defender，並將 DevOps 倉庫接入 Inventory 及新的 DevOps Security 頁面。 它會為安全性小組提供在整合DevOps安全性頁面中所探索到的安全性問題概觀。

你可以在拉取請求上設定註解，幫助開發者直接在 Azure DevOps 中處理秘密掃描結果。

您可以在 Azure Pipelines 和 GitHub 工作流程中設定 Microsoft 安全性 DevOps 工具，以啟用以下安全掃描：

Name	語言	License
Bandit	Python	Apache 授權 2.0
BinSkim	二進位 – Windows、ELF	麻省理工學院許可證
ESlint	JavaScript	麻省理工學院許可證
CredScan（僅限Azure DevOps）	憑證掃描器（亦稱為 CredScan）是由 Microsoft 開發並維護的一款工具，用以識別憑證洩漏，例如原始碼與設定檔中的洩漏，常見類型包括預設密碼、SQL 連線字串、帶有私鑰的憑證	不是開放原始碼
Template Analyze	ARM 範本，Bicep 檔案	麻省理工學院許可證
Terrascan	Terraform （HCL2）、Kubernetes （JSON/YAML）、Helm v3、Kustomize、Dockerfiles、Cloud Formation	Apache 授權 2.0
Trivy	容器映像， 檔案系統， git 存放庫	Apache 授權 2.0

DevOps 現在提供下列新建議：

Recommendation	Description	Severity
（預覽） 程式代碼存放庫應該已解決程式代碼掃描結果	適用於 DevOps 的 Defender 發現了程式碼庫中的漏洞。 若要改善存放庫的安全性狀態，強烈建議您補救這些弱點。 （無相關政策）	Medium
（預覽） 程式代碼存放庫應該已解決秘密掃描結果	適用於 DevOps 的 Defender 在程式碼庫中發現了一個祕密。  這應該立即補救，以避免發生安全性缺口。  在存放庫中發現的秘密可由敵人洩漏或探索，導致應用程式或服務遭到入侵。 對於 Azure DevOps，Microsoft 安全性 DevOps CredScan 工具只會掃描它設定要執行的建置。 因此，結果可能不會反映存放庫中秘密的完整狀態。 （無相關政策）	High
（預覽） 程式代碼存放庫應該已解決 Dependabot 掃描結果	適用於 DevOps 的 Defender 發現了程式碼庫中的漏洞。 若要改善存放庫的安全性狀態，強烈建議您補救這些弱點。 （無相關政策）	Medium
（預覽） 程式代碼存放庫應具有基礎結構，因為程式代碼掃描結果已解決	（預覽）程式代碼存放庫應具有基礎結構，因為程式代碼掃描結果已解決	Medium
（預覽）GitHub 儲存庫應該啟用程式碼掃描	GitHub 利用程式碼掃描來分析程式碼，以找出程式碼中的安全漏洞與錯誤。 程式代碼掃描可用來尋找、分級和排定程式代碼中現有問題的修正程式。 程式代碼掃描也可以防止開發人員引入新的問題。 掃描可以排程特定天數和時間，或在存放庫中發生特定事件時觸發掃描，例如推送。 如果程式碼掃描發現潛在的漏洞或錯誤，GitHub 會在倉庫中顯示警示。 弱點是專案程序代碼中可能會遭到惡意探索的問題，以損害專案的機密性、完整性或可用性。 （無相關政策）	Medium
（預覽）GitHub 儲存庫應該啟用秘密掃描	GitHub 會掃描資料庫中已知的秘密類型，以防止誤入資料庫的秘密被詐騙使用。 秘密掃描會掃描 GitHub 倉庫中所有分支的 Git 歷史，尋找任何秘密。 秘密的範例包括服務提供者可以簽發的令牌和私鑰來進行驗證。 如果秘密簽入存放庫，任何具有存放庫讀取許可權的人都可以使用秘密來存取具有這些許可權的外部服務。 秘密應該儲存在專案的存放庫外部的專用安全位置。 （無相關政策）	High
（預覽）GitHub 倉庫應該啟用 Dependabot 掃描	GitHub 在偵測到影響程式碼庫的依賴性漏洞時，會發送 Dependabot 警示。 弱點是專案程序代碼中可能會遭到惡意探索的問題，以損害專案的機密性、完整性或可用性，或使用其程序代碼的其他專案。 弱點的類型、嚴重性和攻擊方法會有所不同。 當程式代碼相依於有安全性弱點的套件時，此易受攻擊的相依性可能會導致一系列問題。 （無相關政策）	Medium

適用於 DevOps 的 Defender 的建議取代了 Defender for Containers 中已廢棄的 CI/CD 工作流程漏洞掃描器。

了解更多關於 適用於 DevOps 的 Defender

法規合規儀表板現支援手動控制管理及 Microsoft 合規狀態的詳細資訊

適用於雲端的 Defender 中的合規儀表板是客戶了解並追蹤合規狀態的關鍵工具。 客戶可以根據許多不同的標準和法規的需求，持續監視環境。

現在，您可以手動證明操作和其他控件，以完全管理合規性狀態。 您現在可以為未自動化的控制項提供合規性證據。 與自動化評定一起，您現在可以在所選範圍內產生合規性的完整報告，以解決指定標準的完整控件集。

此外，憑藉更豐富的控制資訊以及 Microsoft 合規狀況的深入細節與證據，您現在擁有所有審計所需的資訊。

一些新的優點包括：

• 手動客戶動作 提供一種機制，可手動證明與非自動化控件的合規性。 包括連結辨識項的能力、設定合規性日期和到期日。

• 支援標準的控制細節更豐富，展示 Microsoft 動作 與 手動客戶行動，此外還包含已存在的自動化客戶操作。

• Microsoft 行動提供 Microsoft 合規狀態的透明度，包括稽核評估程序、測試結果及 Microsoft 對偏差的回應。

• 合規服務提供一個集中平台，讓您檢查Azure、Dynamics 365及Power Platform產品及其相應的法規合規認證。

了解如何提升您的法規合規 與 適用於雲端的 Defender。

自動布建已重新命名為 [設定與監視]，並具有更新的體驗

我們已將 [自動布建] 頁面重新命名為 [設定與監視]。

自動配置旨在允許大規模啟用 適用於雲端的 Defender 進階功能與能力所需的前置條件。 為了更進一步支援我們擴充的功能，我們正透過下列變更來啟動新的體驗：

適用於雲端的 Defender的計畫頁面現包含：

• 當你啟用需要監控元件的 Defender 計畫時，這些元件會以預設設定自動配置。 您可以隨時選擇性地編輯這些設定。
• 你可以從 Defender 計畫頁面存取每個 Defender 計畫的監控元件設定。
• Defender 計畫頁面清楚標示每個 Defender 計畫是否已具備所有監控元件，或是你的監控覆蓋不完整。

[設定與監視] 頁面：

• 每個監控元件都標示其所關聯的 Defender 計畫。

深入瞭解 如何管理監視設定。

Defender 雲端安全態勢管理（CSPM）

適用於雲端的 Microsoft Defender 在雲端安全的主要支柱之一是雲端安全態勢管理（Cloud Security Posture Management，CSPM）。 CSPM 提供您強化指引，可協助您迅速有效改善安全性。 CSPM 也可讓您瞭解目前的安全性情況。

我們宣布一項新的 Defender 計畫：Defender CSPM。 此計畫提升了 適用於雲端的 Defender 的安全能力，並包含以下新增及擴充功能：

• 持續評估雲端資源的安全性設定
• 用於修正錯誤設定和弱點的安全性建議
• 安全分數
• Governance
• 法規合規性
• 雲端安全性圖表
• 攻擊路徑分析
• 機器的無代理程式掃描

了解更多關於Defender CSPM計畫。

MITRE ATT&CK 架構對應現在也可供 AWS 和 GCP 安全性建議使用

對於安全性分析師，請務必找出與安全性建議相關聯的潛在風險，並了解攻擊媒介，以便他們有效率地排定工作優先順序。

適用於雲端的 Defender 透過將 Azure、AWS 和 GCP 的安全建議與 MITRE ATT&CK 框架。 MITRE ATT&CK 架構是一種全球可存取的 知識庫 基於真實世界觀察的敵人策略和技術，讓客戶能夠加強其環境的安全設定。

MITRE ATT&CK 架構以三種方式整合：

• 建議對應至 MITRE ATT&CK 策略和技術。
• 查詢 MITRE ATT&利用 Azure Resource Graph 推薦的 CK 策略與技巧。

Defender for Containers 現在支援 Elastic Container Registry（預覽版）的漏洞評估

Microsoft Defender for Containers 現已提供 Amazon AWS 中彈性容器登錄（ECR）的無代理漏洞評估掃描。 擴充多重雲端環境的涵蓋範圍，以今年早些時候針對AWS和Google GCP的進階威脅防護和 Kubernetes 環境強化版本為基礎。 無代理程式模型會在您的帳戶中建立 AWS 資源，以掃描您的映射，而不需要從 AWS 帳戶中擷取映像，且工作負載上沒有使用量。

ECR 存放庫中映像的無代理程式弱點評估掃描可藉由持續掃描映射來識別和管理容器弱點，協助減少容器化資產的攻擊面。 在這個新版本中，適用於雲端的 Defender 會在容器映像推送到倉庫後掃描，並持續重新評估登錄檔中的 ECR 容器映像。 這些發現可在 適用於雲端的 Microsoft Defender 中作為建議提供，您也可以利用 適用於雲端的 Defender 內建的自動化工作流程，針對發現採取行動，例如開啟修正圖片中高嚴重漏洞的工單。

深入瞭解 Amazon ECR 映射的弱點評估。

2022 年 9 月

9 月的更新包括：

• 根據容器和 Kubernetes 實體隱藏警示
• Defender for Servers 支援使用 Azure 監視器 Agent
• 舊版評定 API 已淘汰
• 新增至身分識別的額外建議
• 移除跨租戶Log Analytics工作空間

根據容器和 Kubernetes 實體隱藏警示

• Kubernetes 命名空間
• Kubernetes Pod
• Kubernetes 秘密
• Kubernetes 服務帳戶
• Kubernetes 複本集
• Kubernetes StatefulSet
• Kubernetes DaemonSet
• Kubernetes 作業
• Kubernetes CronJob

深入瞭解 警示歸並規則。

Defender for Servers 支援使用 Azure 監視器 代理進行檔案完整性監控

檔案完整性監視 （FIM） 會檢查作業系統檔案和登錄是否有可能表示攻擊的變更。

FIM 現已推出基於 Azure 監視器 Agent（AMA）的新版本，您可以透過 適用於雲端的 Defender 部署。

舊版評定 API 已淘汰

下列 API 已被取代：

• 安全任務
• 安全狀態
• 安全性摘要

這三個 API 會公開舊的評量格式，並由 評定 API 和 子評定 API 取代。 這些舊版 API 所公開的所有數據，也可以在新的 API 中使用。

新增至身分識別的額外建議

適用於雲端的 Defender 關於改善使用者與帳號管理的建議。

新建議

新版本包含下列功能：

• 擴展評估範圍 – 針對未啟用多重身份驗證的身份帳號及外部帳Azure號（非僅訂閱）的覆蓋範圍提升，讓資安管理員能查看每個帳號的角色分配。

• 改善的新鮮度間隔 - 身分識別建議現在有 12 小時的新鮮度間隔。

• 帳戶豁免功能 - 適用於雲端的 Defender 擁有多項功能，讓你自訂體驗，確保安全分數反映組織的安全優先事項。 例如，您可以 免除安全分數的資源和建議。

  此更新可讓您使用下表所列的六項建議，免除特定帳戶的評估。

  一般而言，您會免除 MFA 建議的緊急「打破玻璃」帳戶，因為這類帳戶通常被故意排除在組織的 MFA 需求之外。 或者，您可能有想要允許存取的外部帳戶，但未啟用 MFA。

  Tip

  當您豁免帳戶時，它不會顯示為狀況不良，也不會造成訂用帳戶顯示為狀況不良。

  Recommendation	評量金鑰
  在 Azure 資源上擁有擁有權的帳號應該啟用多重驗證（MFA）	6240402e-f77c-46fa-9060-a7ce53997754
  在 Azure 資源上有寫入權限的帳號應該啟用多重身份驗證（MFA）	c0cb17b2-0607-48a7-b0e0-903ed22de39b
  對 Azure 資源有讀取權限的帳號應該啟用多重認證（MFA）	dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
  擁有 Azure 資源擁有擁有權的訪客帳號應該被移除	20606e75-05c4-48c0-9d97-add6daa2109a
  對 Azure 資源有寫入權限的訪客帳號應該被移除	0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
  在 Azure 資源上擁有讀取權限的訪客帳號應該被移除	fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
  在 Azure 資源上擁有擁有權的被封鎖帳號應該被移除	050ac097-3dda-4d24-ab6d-82568e7a50cf
  在 Azure 資源上擁有讀寫權限的被封鎖帳號應該被移除	1ff0b4c9-ed56-4de6-be9c-d7ab39645926

雖然處於預覽狀態，但建議會出現在 GA 中的建議旁邊。

移除跨租戶 Log Analytics 工作區報告機器的安全警示

過去，適用於雲端的 Defender 允許你選擇 Log Analytics 代理所報告的工作區。 當一台機器屬於一個租戶（租戶 A），但其 Log Analytics 代理卻回報到另一個租戶（「租戶 B」）的工作空間時，關於該機器的安全警示會回報給第一個租戶（租戶 A）。

此變更後，連接於不同租戶Log Analytics工作空間的機器上的警報不再出現在適用於雲端的 Defender中。

如果你想繼續在 適用於雲端的 Defender 中接收警報，請將相關機器的 Log Analytics 代理連接到與該機器同一個租戶的工作空間。

深入瞭解 安全性警示。

2022 年 8 月

8 月的更新包括：

• 執行映像檔的漏洞現在可以透過容器Defender顯示在你的Windows容器
• Azure 監視器 代理整合現已預覽
• 與 Kubernetes 叢集相關的可疑活動已淘汰的 VM 警示

現在，Windows 容器上的 Defender for Containers 顯示執行映像檔的漏洞

Defender for Containers 現在顯示執行 Windows 容器的漏洞。

當偵測到漏洞時，適用於雲端的 Defender 會產生以下安全建議，列出偵測到的問題：執行容器映像檔時，漏洞發現應該已解決。

深入了解檢視 執行中映像的弱點。

Azure 監視器 Agent integration now in preview

適用於雲端的 Defender 現在包含對 Azure 監視器 Agent（AMA）的預覽支援。 AMA 旨在取代舊有的 Log Analytics 代理程式（亦稱為 Microsoft Monitoring Agent，MMA），後者正走向淘汰的趨勢。 AMA 為舊版代理程式提供許多優點 。

在 適用於雲端的 Defender 中，當你啟用 AMA 的自動配置時，代理程式會部署在現有與新虛擬機，以及在你的訂閱中偵測到的啟用 Azure Arc 的機器上。 若啟用 適用於雲端的 Defender 方案，AMA 會從 Azure VM 與 Azure Arc 機器收集設定資訊與事件日誌。 AMA 整合處於預覽狀態，因此建議您在測試環境中使用它，而不是在生產環境中使用。

與 Kubernetes 叢集相關的可疑活動已淘汰的 VM 警示

下表列出已被取代的警示：

警示名稱	Description	Tactics	Severity
在 Kubernetes 節點上偵測到的 Docker 建置作業 (VM_ImageBuildOnNode)	機器記錄指出 Kubernetes 節點上容器映像的建置作業。 雖然此行為可能是合法的，但攻擊者可能會在本機建置其惡意映射，以避免偵測。	防禦閃避	Low
Kubernetes API 的可疑要求 (VM_KubernetesAPI)	計算機記錄指出已對 Kubernetes API 提出可疑的要求。 要求是從 Kubernetes 節點傳送的，可能是來自節點中執行的其中一個容器。 雖然此行為可能是刻意的，但它可能表示節點正在執行遭入侵的容器。	LateralMovement	Medium
SSH 伺服器正在容器內執行 (VM_ContainerSSH)	計算機記錄指出 SSH 伺服器正在 Docker 容器內執行。 雖然此行為可能是刻意的，但通常會指出容器設定錯誤或遭到入侵。	Execution	Medium

這些警示可用來通知用戶連線至 Kubernetes 叢集的可疑活動。 這些警報將被適用於雲端的 Microsoft Defender容器警報中的相符警報取代（K8S.NODE_ImageBuildOnNode、K8S.NODE_ KubernetesAPI 和 K8S.NODE_ ContainerSSH），以提供更精確且全面的背景，以便調查並執行警報。 深入瞭解 Kubernetes 叢集的警示。

容器弱點現在包含詳細的套件資訊

Defender for Container 的漏洞評估（VA）現在包含每個發現的詳細套件資訊，包括：套件名稱、套件類型、路徑、已安裝版本及修正版本。 套件資訊可讓您尋找易受攻擊的套件，以便補救弱點或移除套件。

此詳細的套件資訊可用於影像的新掃描。

2022年7月

7 月的更新包括：

• 適用於 Kubernetes 執行時間保護的雲端原生安全性代理程式的正式運作 （GA）
• Defender 用於容器的 VA，新增了對特定語言套件偵測的支援（預覽版）
• 防範 Operations Management 基礎結構弱點 CVE-2022-29149
• 與 Entra 許可權管理整合
• 金鑰保存庫建議改為「審計」
• 取代 App Service 的 API 應用程式原則

適用於 Kubernetes 執行時間保護的雲端原生安全性代理程式的正式運作 （GA）

我們很高興分享 Kubernetes 運行時間保護的雲端原生安全性代理程式現已正式推出 （GA）！

Kubernetes 叢集的生產部署會隨著客戶繼續容器化其應用程式而持續成長。 為了協助這項成長，Defender for Containers 團隊開發了一款雲端原生的 Kubernetes 導向安全代理程式。

新的安全性代理程式是以 eBPF 技術為基礎的 Kubernetes DaemonSet，且已完全整合到 AKS 叢集，作為 AKS 安全性配置檔的一部分。

安全代理啟用可透過自動配置、推薦流程、AKS RP 或大規模使用 Azure 原則 來實現。

你今天就可以在 AKS 叢集上部署 >。

在此公告中，運行時間防護 - 威脅偵測（工作負載）現在也已正式推出。

了解更多關於 Container feature availability 的Defender。

您也可以檢閱 所有可用的警示。

請注意，如果您使用預覽版本， AKS-AzureDefender 則不再需要功能旗標。

Defender for Container 的 VA 新增了對特定語言套件偵測的支援（預覽版）

Defender for Container 的漏洞評估（VA）能夠偵測透過作業系統套件管理器部署的作業系統套件中的漏洞。 我們現在擴充了 VA 偵測語言特定套件中包含的弱點的能力。

此功能處於預覽狀態，僅適用於Linux映像。

想查看所有新增的語言專屬套件，請參考 Defender Container 的完整 功能及其可用性。

防範 Operations Management 基礎結構弱點 CVE-2022-29149

Operations Management Infrastructure （OMI） 是一組雲端式服務，可從單一位置管理內部部署和雲端環境。 OMI 元件完全託管於 Azure，而非部署和管理本地資源。

Log Analytics與執行 OMI 13 版的Azure HDInsight整合，需要修補程式來修復 CVE-2022-29149。 請參閱 Microsoft 安全性 更新指南 中的報告，了解如何識別受此漏洞影響的資源及修復步驟。

如果你啟用了 Defender for Servers 並啟用漏洞評估，可以使用 this workbook來識別受影響的資源。

與 Entra 許可權管理整合

適用於雲端的 Defender 已整合 Microsoft Entra 權限管理，一套雲端基礎設施授權管理（CIEM）解決方案，提供對 Azure、AWS 及 GCP 中任何身份與資源權限的全面可視化與控制。

你加入的每個Azure訂閱、AWS 帳號和 GCP 專案，現在都會顯示你的 權限膨脹指數（PCI）。

深入瞭解 Entra Permission Management （先前稱為 Cloudknox）

金鑰保存庫 建議改為「稽核」

此處列出的 金鑰保存庫 建議效果已改為「稽核」：

建議名稱	建議標識碼
存放在 Azure Key Vault 的憑證有效期不應超過 12 個月	fc84abc0-eee6-4758-8372-a7681965ca44
金鑰保存庫 的秘密應該有有效期限	14257785-9437-97fa-11ae-898cfb24302b
金鑰保存庫 金鑰應該有有效期限	1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

取代 App Service 的 API 應用程式原則

我們已將下列原則取代為已存在的對應原則，以包含API 應用程式：

即將淘汰	變更為
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On'	App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app	App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App	App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App	App Service apps should use managed identity
Remote debugging should be turned off for API Apps	App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app	App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App	App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app	App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App	App Service apps should use the latest TLS version

2022年6月

6 月的更新包括：

• Azure Cosmos DB
• AWS與GCP環境機器上SQL Defender的一般可用性（GA）
• 推動安全性建議的實作，以增強安全性狀態
• 依IP位址篩選安全性警示
• 依資源群組的警示
• 自動配置適用於端點的 Microsoft Defender統一解決方案
• 取代「API 應用程式只能透過 HTTPS 存取」原則
• 新金鑰保存庫警報

General availability （GA） for Microsoft Defender for Azure Cosmos DB

Microsoft Defender for Azure Cosmos DB 現已正式推出（GA），並支援 SQL（核心）API 帳號類型。

這次新版本的 GA 是 適用於雲端的 Microsoft Defender 資料庫保護套件的一部分，該套件包含不同類型的 SQL 資料庫，以及 MariaDB。 Microsoft Defender for Azure Cosmos DB 是 Azure 原生的安全層，能偵測到有人試圖利用你 Azure Cosmos DB 帳號中的資料庫。

透過啟用此計畫，您將透過遭入侵的身分識別或惡意測試人員，收到潛在 SQL 插入、已知不良動作專案、可疑存取模式，以及資料庫潛在探索的警示。

偵測到潛在的惡意活動時，系統會產生安全性警示。 這些警示提供可疑活動的詳細數據，以及相關的調查步驟、補救動作和安全性建議。

Microsoft Defender for Azure Cosmos DB 持續分析 Azure Cosmos DB 服務產生的遙測串流，並與 Microsoft 威脅情報及行為模型交叉，以偵測任何可疑活動。 Defender for Azure Cosmos DB 不會存取 Azure Cosmos DB 帳號資料，也不會影響你資料庫的效能。

了解更多關於Microsoft Defender的資訊，Azure Cosmos DB。

隨著支援 Azure Cosmos DB，適用於雲端的 Defender 現提供最全面的雲端資料庫工作負載保護方案之一。 安全性小組和資料庫擁有者現在可以集中體驗來管理其環境的資料庫安全性。

瞭解如何啟用資料庫的 保護 。

Defender for SQL 在 AWS 與 GCP 環境機器上的一般可用性（GA）

適用於雲端的 Microsoft Defender 提供的資料庫保護功能，新增了對 AWS 或 GCP 環境中 SQL 伺服器的支援。

Defender for SQL 讓企業現在可以保護他們整個資料庫資產，這些資料庫託管於 Azure、AWS、GCP 及本地機種。

Microsoft Defender for SQL 提供統一的多雲體驗，讓您瀏覽 SQL 伺服器及底層 Windows OS 的安全建議、安全警示與漏洞評估結果。

利用多雲導入體驗，您可以啟用並強制保護運行於 AWS EC2、RDS Custom for SQL Server 及 GCP 運算引擎上的 SQL 伺服器。 啟用上述任一方案之後，訂用帳戶內所有支持的資源都會受到保護。 未來在相同訂用帳戶上建立的資源也會受到保護。

學習如何保護並連結您的 AWS 環境以及您的 GCP 組織與 適用於雲端的 Microsoft Defender。

推動安全性建議的實作，以增強安全性狀態

現今對組織的日益嚴重的威脅會延展安全性人員的限制，以保護其擴充的工作負載。 安全性小組會受到挑戰，以實作其安全策略中定義的保護。

現在有了預覽版的治理體驗，安全性小組可以將安全性建議的補救指派給資源擁有者，並要求補救排程。 他們可以完全透明地瞭解補救進度，並在工作逾期時收到通知。

深入瞭解推動貴組織補救建議治理的安全性問題中的治理體驗。

依IP位址篩選安全性警示

在許多情況下，您想要根據攻擊中實體的IP位址來追蹤警示。 到目前為止，IP 只會出現在單一警示窗格中的 [相關實體] 區段中。 現在，您可以在安全性警示頁面中篩選警示，以查看與IP位址相關的警示，而且您可以搜尋特定IP位址。

依資源群組的警示

依資源群組篩選、排序和分組的能力會新增至 [安全性警示] 頁面。

資源群組數據行會新增至警示方格。

已新增新的篩選，可讓您檢視特定資源群組的所有警示。

您現在可以依資源群組分組警示，以檢視每個資源群組的所有警示。

適用於端點的 Microsoft Defender 統一解決方案的自動配置

迄今為止，與 適用於端點的 Microsoft Defender（MDE）的整合包括自動安裝新的 MDE 統一解決方案，適用於啟用 Servers Plan 1 Defender 的機器（Azure訂閱與多雲連接器），以及多雲連接器Defender伺服器則啟用了 Plan 2。 Plan 2 用於 Azure 訂閱，僅支援 Linux 機器及 Windows 2019 和 2022 伺服器的統一解決方案。 Windows 2012R2 與 2016 伺服器則使用依賴 Log Analytics agent 的 MDE 舊有解決方案。

現在，這個新的統一解決方案已適用於所有兩種方案的機器，無論是 Azure 訂閱還是多雲連接器。 對於啟用 MDE 整合after的 Servers Plan 2 訂閱Azure，所有啟用 MDE 整合Defender的 Servers Plan 2 before2022 年 6 月 20 日可啟用統一解決方案安裝，預設為所有 Unified 解決方案安裝的機器Windows Azure透過整合頁面的專用按鈕，伺服器 2012R2 與 2016 版：

了解更多關於 MDE 與 Defender for Servers 的整合。

取代「API 應用程式只能透過 HTTPS 存取」原則

API App should only be accessible over HTTPS原則已被取代。 此原則會取代為 Web Application should only be accessible over HTTPS 重新命名為 App Service apps should only be accessible over HTTPS的原則。

欲了解更多關於Azure App 服務政策定義，請參閱Azure App 服務<>的Azure 原則內建定義。

新 金鑰保存庫 警示

為了擴展 Microsoft Defender for 金鑰保存庫 提供的威脅防護，我們新增了兩個警示。

這些警示會通知您任何金鑰保存庫的存取遭拒異常。

警示 (警示類型)	Description	MITRE 策略	Severity
異常拒絕存取 - 使用者存取大量密鑰保存庫遭到拒絕 (KV_DeniedAccountVolumeAnomaly)	用戶或服務主體在過去 24 小時內嘗試存取異常大量的金鑰保存庫。 此異常存取模式可能是合法的活動。 雖然此嘗試失敗，但可能是可能嘗試取得密鑰保存庫及其內含秘密的嘗試。 我們建議進一步調查。	Discovery	Low
異常存取遭拒 - 異常使用者存取密鑰保存庫遭拒 (KV_UserAccessDeniedAnomaly)	未正常存取金鑰保存庫的用戶嘗試存取金鑰保存庫，此異常存取模式可能是合法的活動。 雖然此嘗試失敗，但可能是可能嘗試取得密鑰保存庫及其內含秘密的嘗試。	初始存取、探索	Low

2022 年 5 月

5 月份的更新包括：

• 伺服器方案的多重雲端設定現在可在連接器層級中使用
• VM 的 JIT （Just-In-Time） 存取現已可供 AWS EC2 實例使用（預覽）
• 使用 CLI

伺服器方案的多重雲端設定現在可在連接器層級中使用

現在多雲中 Defender for Servers 有連接器層級的設定。

新的連接器層級設定會針對每個連接器提供定價和自動布建組態的數據粒度，與訂用帳戶無關。

連接器層級所有自動配置元件（Azure Arc、MDE 及漏洞評估）預設皆已啟用，且新配置支援 Plan 1 與 Plan 2 定價層級。

UI 中的更新包含所選定價層的反映，以及設定的必要元件。

弱點評估的變更

Defender for Containers 現在顯示的漏洞是中低嚴重且無法修補的。

在此更新中，現在會顯示有中度和低嚴重性弱點的弱點，無論是否有可用的修補程式。 此更新提供最大可見度，但仍可讓您使用提供的 [停用] 規則來篩選出不想要的弱點。

進一步了解 漏洞管理

VM 的 JIT （Just-In-Time） 存取現已可供 AWS EC2 實例使用（預覽）

當您 連線 AWS 帳戶時，JIT 會自動評估實例安全組的網路設定，並建議哪些實例需要保護其公開的管理埠。 這和 JIT 在 Azure 上的運作方式很像。 當您將未受保護的 EC2 實例上線時，JIT 會封鎖對管理埠的公用存取，並只以有限的時間範圍內授權要求開啟它們。

瞭解 JIT 如何 保護您的 AWS EC2 實例

使用 CLI 新增或移除 AKS 叢集的 Defender 感測器

Defender代理是容器Defender提供執行時保護並從節點收集訊號所必需的。 你現在可以用Azure CLI來add，並移除 AKS 叢集的 Defender agent。

Note

此選項包含於Azure CLI 3.7及以上。

2022 年 4 月

4 月的更新包括：

• 伺服器計畫新Defender
• 重新配置自定義建議
• 將警示串流至 Splunk 和 QRadar 的 PowerShell 腳本
• 已棄用Azure Cache for Redis推薦
• 新的警報變體用於儲存（預覽）Microsoft Defender偵測敏感資料暴露
• 使用IP位址信譽增強的容器掃描警示標題
• 查看與安全性警示相關的活動記錄

新 Defender for Servers 計畫

Microsoft Defender for Servers 現在提供兩個增量方案：

• Defender for Servers Plan 2，前身為 Defender for Servers
• Defender for Servers Plan 1，僅支援 適用於端點的 Microsoft Defender

雖然 Defender for Servers Plan 2 持續為您的雲端及本地工作負載提供威脅與漏洞防護，而 Defender for Servers Plan 1 僅提供端點保護，並由原生整合的 Defender for Endpoint 提供支援。 閱讀更多關於伺服器Defender方案。

如果你之前一直使用 Defender for Server，則不需要任何操作。

此外，適用於雲端的 Defender 也開始逐步支援 Defender for Endpoint unified agent for Windows Server 2012 R2 和 2016。 Defender for Servers Plan 1 將新的統一代理部署至 Windows Server 2012 R2 與 2016 工作負載。

重新配置自定義建議

自定義建議是由使用者所建立，且對安全分數沒有任何影響。 您現在可以在 [所有建議] 索引標籤下找到自訂建議。

使用新的「建議類型」篩選條件，找出自定義建議。

在建立自定義安全性計劃與原則中深入瞭解。

將警示串流至 Splunk 和 IBM QRadar 的 PowerShell 腳本

我們建議您使用事件中樞和內建連接器，將安全性警示導出至Splunk和IBM QRadar。 現在你可以用 PowerShell 腳本設定 Azure 資源，匯出訂閱或租戶的安全警示。

只要下載並執行PowerShell腳本即可。 在您提供一些環境詳細數據之後，腳本會為您設定資源。 然後腳本會產生您在 SIEM 平臺中用來完成整合的輸出。

若要深入瞭解，請參閱 將警示串流至 Splunk 和 QRadar。

Deprecated the Azure Cache for Redis recommendation

推薦的 Azure Cache for Redis should reside within a virtual network（預覽）已被棄用。 我們已經更改了關於保護 Azure Cache for Redis 實例的指引。 我們建議使用私人端點來限制對 Azure Cache for Redis 實例的存取，而非虛擬網路。

Microsoft Defender for Storage（預覽版）新警示變體，用以偵測敏感資料暴露

Microsoft Defender for Storage 的警示會在威脅行為者試圖掃描並揭露（無論成功與否）錯誤配置、公開開放的儲存容器以試圖外洩敏感資訊時通知您。

為了允許更快的分級和回應時間，當可能外泄潛在敏感數據時，我們已發行現有 Publicly accessible storage containers have been exposed 警示的新變化。

新的警示 Publicly accessible storage containers with potentially sensitive data have been exposed會以 High 嚴重性層級觸發，在成功探索具有統計上很少公開的名稱公開的記憶體容器之後，建議他們可能會保存敏感性資訊。

警示 (警示類型)	Description	MITRE 策略	Severity
預覽 - 公開具有潛在敏感數據的可公開記憶體容器 (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)	有人掃描了你的 Azure 儲存體 帳號和允許公開存取的容器。 一或多個公開的容器具有名稱，指出它們可能包含敏感數據。 這通常表示威脅執行者正在掃描可能包含敏感數據之已設定錯誤的可公開存取記憶體容器的偵察。 在威脅執行者成功探索容器之後，它們可能會繼續外泄數據。 ✔ Azure Blob 儲存體 ✖ Azure 檔案儲存體 ✖ Azure Data Lake Storage Gen2	Collection	High

使用IP位址信譽增強的容器掃描警示標題

IP 位址的信譽可以指出掃描活動是否來自已知的威脅執行者，或來自使用 Tor 網路來隱藏其身分識別的動作專案。 這兩個指標都表明有惡意意圖。 該 IP 位址的聲譽由 Microsoft Threat Intelligence 提供。

將IP位址的信譽新增至警示標題，可讓您快速評估動作專案的意圖，進而評估威脅的嚴重性。

下列警示將包含這項資訊：

• Publicly accessible storage containers have been exposed

• Publicly accessible storage containers with potentially sensitive data have been exposed

• Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

例如，警示標題 Publicly accessible storage containers have been exposed 中新增的信息看起來會像這樣：

• Publicly accessible storage containers have been exposedby a suspicious IP address

• Publicly accessible storage containers have been exposedby a Tor exit node

所有 Microsoft Defender for Storage 的警示仍將包含該 IP 實體的威脅情報，並於警示的相關實體區塊中。

查看與安全性警示相關的活動記錄

身為評估安全性警示所採取動作的一部分，您可以在 [檢查資源內容] 中找到相關的平台記錄，以取得受影響資源的相關內容。 適用於雲端的 Microsoft Defender 會識別在警報發出後一天內的平台日誌。

平台記錄可協助您評估安全性威脅，並識別可採取以減輕已識別風險的步驟。

2022 年 3 月

3 月的更新包括：

• AWS 和 GCP 環境的安全分數全域可用性
• 已淘汰安裝網路流量數據收集代理程序的建議
• 容器Defender現在可以掃描Windows影像中的漏洞（預覽）
• 儲存Microsoft Defender新警示
• 從警示設定電子郵件通知設定
• 已淘汰的預覽警示：ARM。MCAS_ActivityFromAnonymousIPAddresses
• 將容器安全性設定中的弱點建議從安全分數補救到最佳做法
• 已淘汰使用服務主體來保護訂用帳戶的建議
• 舊版 ISO 27001 實作已取代為新的 ISO 27001：2013 方案
• 已棄用的適用於 IoT 的 Microsoft Defender裝置推薦
• 已棄用的適用於 IoT 的 Microsoft Defender裝置警示
• AWS 和 GCP 的狀態管理和威脅防護已發行正式運作 （GA）
• Registry 掃描 ACR 中的 Windows 影像，新增對國家雲

AWS 和 GCP 環境的安全分數全域可用性

適用於雲端的 Microsoft Defender 提供的雲端安全態勢管理功能，現在已在您的 Secure Score 中新增對 AWS 與 GCP 環境的支援。

企業現在可以檢視其在多種環境中的整體安全態勢，如 Azure、AWS 和 GCP。

[安全分數] 頁面會取代為 [安全性狀態] 儀錶板。 [安全性狀態] 儀錶板可讓您檢視所有環境的整體合併分數，或根據您選擇的任何環境組合，檢視安全性狀態的細目。

[建議] 頁面也經過重新設計，以提供新功能，例如：雲端環境選取、以內容為基礎的進階篩選（資源群組、AWS 帳戶、GCP 專案等等），改善在低解析度上的使用者介面、支援在資源圖表中開啟查詢等等。 您可以深入瞭解整體 安全性狀態 和安全 建議。

已淘汰安裝網路流量數據收集代理程序的建議

我們的藍圖和優先順序變更已移除網路流量數據收集代理程式的需求。 下列兩項建議及其相關原則已被取代。

Recommendation	Description	Severity
應在Linux虛擬機上安裝網路流量數據收集代理程式	適用於雲端的 Defender 使用 Microsoft Dependency agent 從您的 Azure 虛擬機器收集網路流量資料，啟用進階網路保護功能，如網路地圖上的流量視覺化、網路強化建議及特定網路威脅。	Medium
網路流量資料收集代理程式應安裝於 Windows 虛擬機器上	適用於雲端的 Defender 使用 Microsoft Dependency 代理程式，從您的 Azure 虛擬機器收集網路流量資料，以啟用進階網路保護功能，如網路地圖上的流量視覺化、網路強化建議及特定網路威脅。	Medium

Defender for Containers 現在可以掃描 Windows 映像檔中的漏洞（預覽版）

Defender for Container 的映像掃描現在支援託管在 Azure Container Registry 中的 Windows 映像檔。 此功能在預覽期間是免費的，而且會在正式推出時產生成本。

請參考 Use Microsoft Defender for Container 掃描您的影像漏洞 了解更多。

Microsoft Defender for Storage （preview） 新alert

為了擴充 Microsoft Defender for Storage 提供的威脅防護，我們新增了預覽警示。

威脅執行者會使用應用程式和工具來探索和存取記憶體帳戶。 Microsoft Defender for Storage 能偵測這些應用程式與工具，讓您能阻擋並修復您的狀況。

此預覽警示稱為 Access from a suspicious application。 這個警報只適用於 Azure Blob 儲存體 和 ADLS Gen2。

警示 (警示類型)	Description	MITRE 策略	Severity
預覽 - 從可疑應用程式存取 (Storage.Blob_SuspiciousApp)	表示可疑的應用程式已成功存取具有驗證的記憶體帳戶容器。 這可能表示攻擊者已取得存取帳戶所需的認證，並正在利用它。 這也表示在您的組織中進行的滲透測試。 適用於：Azure Blob 儲存體， Azure Data Lake Storage Gen2	初始訪問	Medium

從警示設定電子郵件通知設定

已將新區段新增至警示使用者介面 （UI），可讓您檢視和編輯誰將會收到目前訂用帳戶上觸發之警示的電子郵件通知。

瞭解如何 設定安全性警示的電子郵件通知。

已淘汰的預覽警示：ARM。MCAS_ActivityFromAnonymousIPAddresses

下列預覽警示已被取代：

警示名稱	Description
預覽 - 來自具風險 IP 位址的活動 (ARM.MCAS_ActivityFromAnonymousIPAddresses)	偵測到已識別為匿名 Proxy IP 位址的IP位址的用戶活動。 這些 Proxy 可供想要隱藏其裝置 IP 位址的人員使用，並可用於惡意意圖。 此偵測會使用可減少誤判的機器學習演算法，例如組織使用者廣泛使用的錯誤標記IP位址。 需要有效持有 Microsoft Defender for Cloud Apps 授權。

已建立新的警示，提供這項資訊並新增至該警示。 此外，較新的警示（ARM_OperationFromSuspiciousIP、ARM_OperationFromSuspiciousProxyIP）不需授權Microsoft Defender for Cloud Apps（前稱Microsoft Cloud App Security）。

查看更多關於Resource Manager的警示。

將容器安全性設定中的弱點建議從安全分數補救到最佳做法

建議 Vulnerabilities in container security configurations should be remediated 已從安全分數區段移至最佳做法區段。

目前的用戶體驗只會提供所有合規性檢查通過時的分數。 大部分的客戶都很難滿足所有必要的檢查。 我們正在處理此建議的改善體驗，一旦發行建議，建議就會移回安全分數。

已淘汰使用服務主體來保護訂用帳戶的建議

隨著組織逐漸放棄使用管理憑證來管理訂閱，我們最近宣布將退休雲端服務（經典）部署模式，我們已棄用以下適用於雲端的 Defender建議及其相關政策：

Recommendation	Description	Severity
服務主體應該用來保護您的訂用帳戶，而不是管理憑證	管理憑證可讓任何向他們進行驗證的人員管理他們相關聯的訂用帳戶。 為了更安全地管理訂閱，建議使用服務主體搭配 Resource Manager，以限制憑證遭到入侵時的爆炸範圍。 它也會自動化資源管理。 （相關原則： 服務主體應該用來保護您的訂用帳戶，而不是管理憑證）	Medium

瞭解詳情：

• 雲端服務 (傳統) 部署模型將於 2024 年 8 月 31 日淘汰
• 經典Azure 雲端服務概述
• 經典虛擬機架構的工作流程Microsoft Azure包括RDFE工作流程基礎

舊版 ISO 27001 實作已取代為新的 ISO 27001：2013 方案

舊有的 ISO 27001 實作已從 適用於雲端的 Defender 的法規合規儀表板中移除。 如果你正在追蹤 適用於雲端的 Defender 的 ISO 27001 合規狀況，請為所有相關管理群組或訂閱加入新的 ISO 27001：2013 標準。

適用於雲端的 Defender 的法規合規儀表板顯示有關移除 ISO 27001.

已棄用 適用於 IoT 的 Microsoft Defender device recommendations

適用於 IoT 的 Microsoft Defender 裝置推薦在 適用於雲端的 Microsoft Defender 中已不再可見。 這些建議仍可在 適用於 IoT 的 Microsoft Defender 的建議頁面上取得。

下列建議已被取代：

評量金鑰	Recommendations
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b：IoT 裝置	在裝置上開啟埠
ba975338-f956-41e7-a9f2-7614832d382d：IoT 裝置	在輸入鏈結中發現寬鬆的防火牆規則
beb62be3-5e78-49bd-ac5f-099250ef3c7c：IoT 裝置	找到其中一個鏈結中的寬鬆防火牆原則
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a：IoT 裝置	在輸出鏈結中發現寬鬆的防火牆規則
5f65e47f-7a00-4bf3-acae-90ee441ee876：IoT 裝置	操作系統基準驗證失敗
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879：IoT 裝置	傳送使用量過低訊息的代理程式
2acc27c6-5fdb-405e-9080-cb66b850c8f5：IoT 裝置	需要升級 TLS 加密套件
d74d2738-2485-4103-9919-69c7e63776ec：IoT 裝置	Auditd 進程已停止傳送事件

已棄用的 適用於 IoT 的 Microsoft Defender 裝置警報

Microsoft 所有 Defender for IoT 裝置警報在 適用於雲端的 Microsoft Defender 中已不再可見。 這些警示仍可在 適用於 IoT 的 Microsoft Defender 的警示頁面及 Microsoft Sentinel 中取得。

AWS 和 GCP 的狀態管理和威脅防護已發行正式運作 （GA）

• 適用於雲端的 Defender 的 CSPM 功能 延伸至你的 AWS 和 GCP 資源。 此無代理程式方案會根據安全分數中包含的雲端特定安全性建議，評估您的多重雲端資源。 資源會使用內建標準來評估合規性。 適用於雲端的 Defender 的資產庫存頁面是一個多雲啟用的功能，讓你能同時管理 AWS 資源與 Azure 資源。

• Microsoft Defender for Servers 將威脅偵測與進階防禦功能帶入 AWS 與 GCP 的運算實例。 Defender for Servers 方案包含整合的 適用於端點的 Microsoft Defender 授權、漏洞評估掃描等功能。 瞭解虛擬機和伺服器的所有支援功能。 自動上線功能可讓您輕鬆地連接環境中探索到的任何現有或新的計算實例。

學習如何保護並連結您的 AWS 環境 以及 GCP 組織與 適用於雲端的 Microsoft Defender。

ACR 中對 Windows 映像的登錄檔掃描增加了對國家雲端的支援

Windows 映像的登錄檔掃描現已支援 Azure Government 及 21Vianet 運營的 Microsoft Azure。 此新增功能目前為預覽狀態。

進一步了解我們 功能的可用性。

2022年2月

2 月的更新包括：

• 已啟用 Arc 的 Kubernetes 叢集 Kubernetes 工作負載保護
• GCP 的原生 CSPM 和 GCP 計算實例的威脅防護
• Microsoft Defender 用於Azure Cosmos DB計畫預覽版
• Google Kubernetes Engine （GKE） 叢集的威脅防護

已啟用 Arc 的 Kubernetes 叢集 Kubernetes 工作負載保護

Defender for Containers 之前只保護運行於 Azure Kubernetes Service 中的 Kubernetes 工作負載。 我們現在已擴展保護範圍，包含支援 Azure Arc 的 Kubernetes 叢集。

學習如何為 AKS 及啟用 Kubernetes Azure Arc叢集設置 >c0。

GCP 的原生 CSPM 和 GCP 計算實例的威脅防護

GCP 環境的新自動導入功能，讓你能用 適用於雲端的 Microsoft Defender 保護 GCP 工作負載。 適用於雲端的 Defender 透過以下計畫保護您的資源：

• 適用於雲端的 Defender 的 CSPM 功能延伸至您的 GCP 資源。 此無代理方案會根據 適用於雲端的 Defender 提供的 GCP 專用安全建議來評估您的 GCP 資源。 GCP 建議會包含在您的安全分數中，系統會評估資源是否符合內建的 GCP CIS 標準。 適用於雲端的 Defender 的資產庫存頁面是一項多雲啟用的功能，幫助你管理跨越 Azure、AWS 和 GCP 的資源。

• Microsoft Defender for Servers 為您的 GCP 運算實例帶來威脅偵測與先進防禦功能。 此計畫包含 適用於端點的 Microsoft Defender 的整合授權、漏洞評估掃描等功能。

  如需可用功能的完整清單，請參閱 虛擬機和伺服器的支援功能。 自動上線功能可讓您輕鬆地連接環境中探索到的任何現有和新的計算實例。

學習如何保護並與 適用於雲端的 Microsoft Defender 連結你的 GCP 專案。

Microsoft Defender for Azure Cosmos DB plan release for preview

我們已擴展 適用於雲端的 Microsoft Defender 的資料庫覆蓋範圍。 你現在可以啟用 Azure Cosmos DB 資料庫的保護。

Microsoft Defender for Azure Cosmos DB 是一套 Azure 原生的安全層，能偵測任何試圖利用你 Azure Cosmos DB 帳號資料庫的行為。 Microsoft Defender for Azure Cosmos DB 偵測潛在的 SQL 注入、基於 Microsoft 威脅情報的已知惡意行為者、可疑存取模式，以及透過身份被盜或惡意內部人員可能利用你的資料庫。

它持續分析由 Azure Cosmos DB 服務產生的客戶資料流。

偵測到潛在的惡意活動時，系統會產生安全性警示。 這些警示會顯示在 適用於雲端的 Microsoft Defender 中，並附有可疑活動的詳細資料、相關調查步驟、修復措施和安全建議。

啟用服務時對資料庫效能沒有影響，因為 Defender for Azure Cosmos DB 不會存取 Azure Cosmos DB 帳號資料。

欲了解更多，請參見 Azure Cosmos DB Microsoft Defender概覽。

我們也引進了資料庫安全性的新啟用體驗。 你現在可以在訂閱中啟用 適用於雲端的 Microsoft Defender 保護，以保護所有資料庫類型，例如 Azure Cosmos DB、Azure SQL Database、Azure SQL 伺服器（機器）以及 Microsoft Defender針對開源關聯式資料庫，透過單一啟用流程。 您可以透過設定方案來包含或排除特定資源類型。

瞭解如何 在訂用帳戶層級啟用資料庫安全性。

Google Kubernetes Engine （GKE） 叢集的威脅防護

繼我們最近宣布的 Native CSPM for GCP 及 GCP 計算實例威脅防護後，Microsoft Defender for Containers 將其 Kubernetes 威脅防護、行為分析及內建准入控制政策擴展至 Google 的 Kubernetes Engine （GKE） Standard 叢集。 您可以透過我們的自動上線功能，輕鬆地將任何現有或新的 GKE Standard 叢集上架到您的環境。 可以參考 Container security with 適用於雲端的 Microsoft Defender，裡面有完整的可用功能清單。

2022 年 1 月

1 月的更新包括：

• Microsoft Defender for Resource Manager 更新了新的警示，並加強對應於 MITRE ATT& 的高風險作業。CK® 矩陣
• 建議在工作區啟用Microsoft Defender計畫（預覽版）
• Autoprovision Log Analytics agent to Azure Arc啟用機器（預覽）
• 已淘汰在 SQL 資料庫中分類敏感數據的建議
• 與可疑網域警示的通訊已擴充為包含的已知Log4Shell相關網域
• [複製警示 JSON] 按鈕已新增至安全性警示詳細資料窗格
• 已重新命名兩個建議
• 取代 Kubernetes 叢集容器應該只接聽允許的埠原則
• 已新增 [作用中警示] 活頁簿
• 新增至政府雲端的「系統更新」建議

Microsoft Defender for Resource Manager 更新，新增警示並加強對應於 MITRE ATT& 的高風險作業。CK® 矩陣

雲端管理層是可連線至您所有雲端資源的關鍵服務。 因此，這也是攻擊者的潛在目標。 我們建議安全性作業小組密切監視資源管理層。

Microsoft Defender for Resource Manager 會自動監控組織中的資源管理操作，無論是透過 Azure 入口網站、Azure REST API、Azure CLI 或其他 Azure 程式化用戶端執行。 適用於雲端的 Defender 運行先進的安全分析，偵測威脅並提醒你有可疑活動。

該計畫的防護大幅提升組織對威脅行為者攻擊的韌性，並大幅增加 適用於雲端的 Defender 保護的 Azure 資源數量。

2020 年 12 月，我們推出了 Defender for Resource Manager 的預覽版，並於 2021 年 5 月正式發布，供一般使用。

這次更新，我們全面修訂了 Microsoft Defender for Resource Manager 計畫的重點。 更新的計劃包含許多 新的警示，著重於識別高風險作業的可疑調用。 這些新警報為基於雲的技術提供了對整個 MITRE ATT&CK® 矩陣中的攻擊的廣泛監控。

此矩陣涵蓋威脅執行者可能以組織資源為目標的潛在意圖範圍： 初始存取、執行、持續性、許可權提升、防禦疏散、認證存取、探索、橫向移動、集合、外泄和影響。

本 Defender 計畫的新警示涵蓋了這些意圖，如下表所示。

Tip

這些警示也會出現在 [警示參考] 頁面中。

警示 (警示類型)	Description	MITRE 策略 （意圖）	Severity
偵測到高風險「初始存取」作業的可疑調用（預覽） (ARM_AnomalousOperation.InitialAccess)	Microsoft Defender for Resource Manager 發現您的訂閱中出現了高風險操作的可疑調用，這可能表示您試圖存取受限資源。 識別的作業是設計來允許系統管理員有效率地存取其環境。 雖然此活動可能是合法的，但威脅執行者可能會利用這類作業來取得環境中受限制資源的初始存取權。 這表示帳戶遭到入侵，且正與惡意意圖搭配使用。	初始訪問	Medium
偵測到高風險「執行」作業的可疑調用（預覽） (ARM_AnomalousOperation.Execution)	Microsoft Defender for Resource Manager 發現訂閱中某台機器上有可疑的高風險操作被呼叫，可能表示嘗試執行程式碼。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的，但威脅執行者可能會利用這類作業來存取受限制的認證，並危害您環境中的資源。 這表示帳戶遭到入侵，且正與惡意意圖搭配使用。	Execution	Medium
偵測到高風險「持續性」作業的可疑調用（預覽） (ARM_AnomalousOperation.Persistence)	Microsoft Defender for Resource Manager 偵測到您的訂閱中有可疑的高風險操作呼叫，可能表示嘗試建立持久性。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的，但威脅執行者可能會利用這類作業在您的環境中建立持續性。 這表示帳戶遭到入侵，且正與惡意意圖搭配使用。	Persistence	Medium
偵測到高風險「許可權提升」作業的可疑調用（預覽） (ARM_AnomalousOperation.PrivilegeEscalation)	Microsoft Defender for Resource Manager 發現您的訂閱中出現了高風險操作的可疑呼叫，這可能表示您試圖升級權限。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的，但威脅執行者可能會利用這類作業來提升許可權，同時危害您環境中的資源。 這表示帳戶遭到入侵，且正與惡意意圖搭配使用。	權限提升	Medium
偵測到高風險「防禦逃逸」作業的可疑調用（預覽） (ARM_AnomalousOperation.DefenseEvasion)	Microsoft Defender for Resource Manager 發現您的訂閱中出現了高風險操作的可疑引用，這可能表示您試圖規避防禦措施。 識別的作業是設計來讓系統管理員有效率地管理其環境的安全性狀態。 雖然此活動可能是合法的，但威脅執行者可能會利用這類作業，以避免在危害您環境中的資源時偵測到。 這表示帳戶遭到入侵，且正與惡意意圖搭配使用。	防禦閃避	Medium
偵測到高風險「認證存取」作業的可疑調用（預覽） (ARM_AnomalousOperation.CredentialAccess)	Microsoft Defender for Resource Manager 發現您的訂閱中出現了高風險操作的可疑呼叫，這可能表示有人試圖存取憑證。 識別的作業是設計來允許系統管理員有效率地存取其環境。 雖然此活動可能是合法的，但威脅執行者可能會利用這類作業來存取受限制的認證，並危害您環境中的資源。 這表示帳戶遭到入侵，且正與惡意意圖搭配使用。	憑證存取	Medium
偵測到高風險「橫向移動」作業的可疑調用（預覽） (ARM_AnomalousOperation.LateralMovement)	Microsoft Defender for Resource Manager 偵測到您的訂閱中出現了高風險操作的可疑呼叫，這可能表示您試圖進行橫向移動。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的，但威脅執行者可能會利用這類作業來危害環境中的其他資源。 這表示帳戶遭到入侵，且正與惡意意圖搭配使用。	橫向移動	Medium
偵測到高風險「數據收集」作業的可疑調用（預覽） (ARM_AnomalousOperation.Collection)	Microsoft Defender for Resource Manager 發現您的訂閱中有可疑的高風險操作被調用，可能表示有人試圖收集資料。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的，但威脅執行者可能會利用這類作業來收集環境中資源的敏感數據。 這表示帳戶遭到入侵，且正與惡意意圖搭配使用。	Collection	Medium
偵測到高風險「影響」作業的可疑調用（預覽） (ARM_AnomalousOperation.Impact)	Microsoft Defender for Resource Manager 發現您的訂閱中出現了可疑的高風險操作呼叫，這可能表示設定變更嘗試。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的，但威脅執行者可能會利用這類作業來存取受限制的認證，並危害您環境中的資源。 這表示帳戶遭到入侵，且正與惡意意圖搭配使用。	Impact	Medium

此外，此方案的這兩個警示已推出預覽：

警示 (警示類型)	Description	MITRE 策略 （意圖）	Severity
Azure Resource Manager 來自可疑 IP 位址 (ARM_OperationFromSuspiciousIP)	Microsoft Defender for Resource Manager 偵測到一個在威脅情報串流中被標記為可疑的 IP 位址進行操作。	Execution	Medium
Azure Resource Manager 來自可疑代理 IP 位址 (ARM_OperationFromSuspiciousProxyIP)	Microsoft Defender for Resource Manager偵測到來自與代理服務（如TOR）相關的IP位址進行資源管理操作。 雖然此行為可能是合法的，但當威脅執行者嘗試隱藏其來源IP時，通常會出現在惡意活動中。	防禦閃避	Medium

啟用 Microsoft Defender 計畫於工作空間（預覽階段）的建議

要享受 Microsoft Defender for Servers 以及 Microsoft Defender 用於機器 SQL 的所有安全功能，這些計畫必須在 both 訂閱與工作區層級啟用。

當計算機位於已啟用其中一個方案的訂用帳戶中時，系統會向您收取完整的保護費用。 不過，如果該電腦在未啟用方案 的情況下 向工作區報告，您實際上不會收到這些好處。

我們新增了兩個建議，醒目提示未啟用這些方案的工作區，但這些工作區仍會讓電腦從 已 啟用方案的訂用帳戶向它們報告。

這兩個建議都提供自動化補救（「修正」動作），包括：

Recommendation	Description	Severity
伺服器的 Microsoft Defender 應該在 workspaces	Microsoft Defender for Servers 為你的 Windows 和 Linux 機器帶來威脅偵測與進階防禦功能。 當你的訂閱系統啟用這個 Defender 方案，但工作空間卻沒有啟用時，你支付的是 Microsoft Defender for Servers 的完整功能，卻錯過了部分好處。 當你在某個工作空間啟用 Microsoft Defender for Servers 時，所有報告該工作空間的機器都會被計費給 Microsoft Defender for Servers——即使它們在沒有啟用 Defender 方案的訂閱中。 除非你同時在訂閱中啟用 Microsoft Defender for Servers，否則這些機器將無法利用即時虛擬機存取、自適應應用程式控制以及 Azure 資源的網路偵測功能。 欲了解更多，請參閱 伺服器Microsoft Defender 概覽。 （無相關政策）	Medium
Microsoft Defender 用於機器上的 SQL 應在工作區啟用	Microsoft Defender for Servers 為你的 Windows 和 Linux 機器帶來威脅偵測與進階防禦功能。 當你的訂閱系統啟用這個 Defender 方案，但工作空間卻沒有啟用時，你支付的是 Microsoft Defender for Servers 的完整功能，卻錯過了部分好處。 當你在某個工作空間啟用 Microsoft Defender for Servers 時，所有報告該工作空間的機器都會被計費給 Microsoft Defender for Servers——即使它們在沒有啟用 Defender 方案的訂閱中。 除非你同時在訂閱中啟用 Microsoft Defender for Servers，否則這些機器將無法利用即時虛擬機存取、自適應應用程式控制以及 Azure 資源的網路偵測功能。 欲了解更多，請參閱 伺服器Microsoft Defender 概覽。 （無相關政策）	Medium

Autoprovision Log Analytics agent to Azure Arc-enabled machines （preview）

適用於雲端的 Defender 使用 Log Analytics 代理程式從機器收集與安全相關的資料。 代理程式會讀取各種安全性相關組態和事件記錄檔，並將數據複製到您的工作區進行分析。

適用於雲端的 Defender 的自動配置設定針對每種支援的擴充功能都有切換開關，包括 Log Analytics 代理程式。

在我們混合雲功能的進一步擴展中，新增了自動配置 Log Analytics 代理程式給連接 Azure Arc 的機器的選項。

如同其他自動布建選項，這會在訂用帳戶層級進行設定。

當您啟用此選項時，系統會提示您輸入工作區。

Note

在這個預覽中，你無法選擇由 適用於雲端的 Defender 建立的預設工作區。 為確保您獲得 Azure Arc 啟用伺服器的完整安全功能，請確認您已在所選工作空間安裝相關安全解決方案。

已淘汰在 SQL 資料庫中分類敏感數據的建議

我們已移除建議 您的 SQL 資料庫中的敏感資料應分類為，作為 適用於雲端的 Defender 對雲端資源中敏感日期識別與保護方式的全面改革的一部分。

此變更的提前通知已在 重要即將變更適用於雲端的 Microsoft Defender頁面中出現。

與可疑網域警示的通訊已擴充為包含的已知Log4Shell相關網域

以下警示先前僅對已啟用 Microsoft Defender for DNS 計畫的組織提供。

隨著這次更新，啟用 Microsoft Defender 0 for Servers 或 Defender 用於 App Service 方案的訂閱，警報也會顯示。

此外，Microsoft 威脅情報部門擴大了已知惡意網域名單，納入與利用廣泛報導的 Log4j 漏洞相關的網域。

警示 (警示類型)	Description	MITRE 策略	Severity
與威脅情報所識別可疑網域的通訊 (AzureDNS_ThreatIntelSuspectDomain)	分析來自您資源的 DNS 交易，並與威脅情報摘要所識別的已知惡意網域進行比較，偵測到與可疑網域的通訊。 攻擊者經常執行與惡意網域的通訊，並可能表示您的資源遭到入侵。	初始存取/持續性/執行/命令和控制/惡意探索	Medium

[複製警示 JSON] 按鈕已新增至安全性警示詳細資料窗格

為了協助使用者快速與其他人分享警示的詳細數據（例如SOC分析師、資源擁有者和開發人員），我們已新增功能，輕鬆地從安全性警示的詳細數據窗格中擷取特定警示的所有詳細數據。

新的 [複製警示 JSON] 按鈕會將警示的詳細數據，以 JSON 格式放入使用者的剪貼簿。

已重新命名兩個建議

為了與其他建議名稱保持一致性，我們已將下列兩個建議重新命名：

• 解決執行中容器映像中探索到弱點的建議

  • 先前的名稱：應補救執行中容器映像中的弱點（由 Qualys 提供電源）
  • 新名稱：執行容器映像應已解決弱點結果

• Recommendation to enable diagnostic logs for Azure App 服務

  • 先前的名稱：應在App Service 中啟用診斷記錄
  • 新名稱：應啟用App Service中的診斷記錄

取代 Kubernetes 叢集容器應該只接聽允許的埠原則

我們已淘汰 Kubernetes 叢集容器，應該只接聽允許的埠 建議。

原則名稱	Description	Effect(s)	Version
Kubernetes 叢集容器應該只接聽允許的埠	限制容器只在允許的埠上接聽，以保護對 Kubernetes 叢集的存取。 此政策一般可用於Kubernetes Service（AKS），以及AKS Engine與啟用Azure Arc的Kubernetes預覽版。 欲了解更多資訊，請參閱 Kubernetes 叢集的 UnderstandUnderstand Azure 原則。	稽核、拒絕、停用	6.1.2

服務應該只接聽允許的埠建議，以限制應用程式向因特網公開的埠。

已新增 [作用中警示] 活頁簿

為了協助使用者瞭解其環境的作用中威脅，並在補救程式期間設定作用中警示之間的優先順序，我們新增了作用中警示活頁簿。

作用中警示活頁簿可讓使用者依嚴重性、類型、標籤、MITRE ATT&CK策略和位置來檢視其匯總警示的統一儀錶板。 若要深入瞭解，請參閱使用「作用中 警示」活頁簿。

新增至政府雲端的「系統更新」建議

所有政府雲端現在都提供「應該在您的機器上安裝系統更新」建議。

這項變更可能會影響您的政府雲端訂用帳戶的安全分數。 我們預期變更會導致分數降低，但在某些情況下，建議的包含可能會導致分數增加。

2021年12月

12 月的更新包括：

• Microsoft Defender 容器計畫，已釋出一般可用性（GA）
• 儲存Microsoft Defender新警示發布一般可用性（GA）
• 對 Storage
• 已從網路層警示中移除 「埠][推播] 警示

Microsoft Defender for Containers 計畫正式發布（GA）

兩年多前，我們推出了 Defender 用於 Kubernetes，以及用於容器登錄>Defender

隨著 Microsoft Defender for Containers 的發布，我們將這兩個現有的 Defender 計畫合併。

新的計劃：

• 結合兩個現有方案 的功能 - Kubernetes 叢集的威脅偵測，以及容器登錄中所儲存映像的弱點評估
• 帶來新的和改進的功能 -- 包括多重雲端支援、具有超過 60 個全新 Kubernetes 感知分析的主機層級威脅偵測，以及執行映像的弱點評估
• 引進 Kubernetes 原生大規模上線 - 根據預設，當您啟用計劃時，所有相關元件都會設定為自動部署

隨著本次發布，Defender for Kubernetes 與 Defender for container 登錄的可用性與呈現方式有所變更：

• 新增訂用帳戶 - 前兩個容器方案已無法使用
• 現有訂閱 - 無論在 Azure 入口網站中，計畫會顯示為 Deprecated，並附有如何升級到較新方案的說明

新方案在 2021 年 12 月免費。 關於舊計畫對貨櫃Defender的帳單可能變更，以及本計畫帶來的更多好處，請參見Introducing Microsoft Defender for Containers。

如需詳細資訊，請參閱

• 容器
• 啟用容器
• 介紹貨櫃Microsoft Defender - Microsoft科技社群
• Microsoft Defender 容器 |適用於雲端的 Defender in the Field #3 - YouTube

Microsoft Defender for Storage 新警示已釋出，供一般可用性（GA）

威脅執行者會使用工具和腳本來掃描公開開啟的容器，希望找到設定錯誤的開放記憶體容器與敏感數據。

Microsoft Defender for Storage 能偵測這些掃描器，讓你能阻擋它們並修復你的姿態。

偵測到此情況的預覽警示稱為 「公用記憶體容器的匿名掃描」。 為了更清楚地了解發現的可疑事件，我們將其分為 兩個 新警報。 這些警報僅與 Azure Blob 儲存體 相關。

我們已改善偵測邏輯、更新警示元數據，以及變更警示名稱和警示類型。

以下是新的警示：

警示 (警示類型)	Description	MITRE 策略	Severity
已成功探索可公開存取的記憶體容器 (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)	掃描文本或工具在過去一小時內，已成功探索記憶體帳戶中公開開啟的記憶體容器。 這通常表示偵察攻擊，威脅執行者會嘗試藉由猜測容器名稱來列出 Blob，希望尋找設定錯誤的開放記憶體容器，並在其中含有敏感數據。 威脅執行者可能會使用自己的腳本，或使用 Microburst 等已知掃描工具來掃描公開開啟的容器。 ✔ Azure Blob 儲存體 ✖ Azure 檔案儲存體 ✖ Azure Data Lake Storage Gen2	Collection	Medium
未成功掃描可公開存取的記憶體容器 (Storage.Blob_OpenContainersScanning.FailedAttempt)	過去一小時內已執行一系列嘗試掃描公開開啟的記憶體容器。 這通常表示偵察攻擊，威脅執行者會嘗試藉由猜測容器名稱來列出 Blob，希望尋找設定錯誤的開放記憶體容器，並在其中含有敏感數據。 威脅執行者可能會使用自己的腳本，或使用 Microburst 等已知掃描工具來掃描公開開啟的容器。 ✔ Azure Blob 儲存體 ✖ Azure 檔案儲存體 ✖ Azure Data Lake Storage Gen2	Collection	Low

如需詳細資訊，請參閱

• 記憶體服務的威脅矩陣
• 儲存Microsoft Defender概述
• 儲存

Microsoft Defender for Storage 警示的改進

初始存取警示現在已改善精確度和更多數據，以支持調查。

威脅執行者在初始存取中使用各種技術，在網路內取得立足點。 其中兩個用於 Storage Microsoft Defender 警示，能偵測此階段的行為異常，現在已具備更佳的偵測邏輯及更多資料以支持調查。

如果您過去已為這些警示 設定自動化 或定義 警示隱藏規則 ，請根據這些變更進行更新。

偵測 Tor 結束節點的存取

從 Tor 結束節點存取可能表示威脅執行者嘗試隱藏其身分識別。

警示現在已調整為只針對已驗證的存取產生，這會導致活動是惡意的較高精確度和信賴度。 此增強功能可降低良性正率。

郊外模式的嚴重性會很高，而異常模式的異常模式將具有中度嚴重性。

警示名稱和描述已更新。 AlertType 保持不變。

• 警示名稱（舊）：從 Tor 結束節點存取記憶體帳戶
• 警示名稱（新增）：來自 Tor 結束節點的已驗證存取權
• 警示類型：Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
• 描述：您記憶體帳戶中的一或多個記憶體容器/檔案共用已成功從已知為 Tor 的作用中結束節點的 IP 位址存取（匿名 Proxy）。 威脅執行者會使用 Tor 將活動追蹤回去變得困難。 來自 Tor 結束節點的已驗證存取可能表示威脅執行者正嘗試隱藏其身分識別。 適用於：Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake Storage Gen2
• MITRE 策略：初始存取
• 嚴重性：高/中

異常未經驗證的存取

存取模式的變更可能表示威脅執行者能夠利用存取容器的公用讀取許可權、利用存取組態的錯誤，或變更訪問許可權。

此中等嚴重性警示現在已透過改善的行為邏輯、更高的精確度，以及活動惡意的信心進行微調。 此增強功能可降低良性正率。

警示名稱和描述已更新。 AlertType 保持不變。

• 警示名稱（舊）：記憶體帳戶的匿名存取
• 警示名稱（新增）：對記憶體容器的異常未驗證存取
• 警示類型：Storage.Blob_AnonymousAccessAnomaly
• 描述：此記憶體帳戶未經驗證即可存取，這是常見存取模式的變更。 此容器的讀取許可權通常會經過驗證。 這可能表示威脅執行者能夠利用此記憶體帳戶中記憶體容器的公用讀取許可權。 適用於：Azure Blob 儲存體
• MITRE 策略：集合
• 嚴重性：中等

如需詳細資訊，請參閱

• 記憶體服務的威脅矩陣
• Introduction to Microsoft Defender for Storage
• 儲存

已從網路層警示中移除 「埠][推播] 警示

下列警示已從網路層警示中移除，因為效率不佳：

警示 (警示類型)	Description	MITRE 策略	Severity
偵測到可能的傳出埠掃描活動 (PortSweeping)	網路流量分析偵測到來自 %{Compromised Host} 的可疑連出流量。 此流量可能是埠掃描活動的結果。 當遭入侵的資源是負載平衡器或應用程式閘道時，可疑的連出流量已源自後端集區（負載平衡器或應用程式網關的一或多個資源）。 如果這種行為是故意的，請注意執行埠掃描違反了 Azure 服務條款。 如果此行為不小心，可能表示您的資源已遭入侵。	Discovery	Medium

2021年11月

我們的 Ignite 版本包括：

• Azure 資訊安全中心 Azure Defender 變成 適用於雲端的 Microsoft Defender
• 適用於 AWS 的原生 CSPM 和 Amazon EKS 和 AWS EC2 的威脅防護
• 以資料敏感度優先排序安全行動（由 Microsoft Purview 提供技術）（預覽中）
• 擴展安全控制評估，採用Azure安全基準 v3
• Microsoft Sentinel連接器可選的雙向警示同步功能，已於一般可用性（GA）
• 新建議將Azure Kubernetes Service (AKS)日誌推送到 Microsoft Sentinel
• 對應至 MITRE ATT&CK® 架構的建議 - 正式發行 （GA）

11 月的其他變更包括：

• Microsoft 威脅與漏洞管理作為漏洞評估解決方案新增——已發布為一般可用性（GA）
• 適用於端點的 Microsoft Defender Linux 版本現已由 Microsoft Defender for Servers 支援——正式開放（GA）
• 建議和安全性結果的快照集匯出 （預覽版）
• 針對公開上市發行的弱點評估解決方案自動布建 （GA）
• 針對正式上市發行的資產清查中的軟體清查篩選 （GA）
• 新增至預設方案的新 AKS 安全策略 – 預覽
• 內部部署機器的清查顯示會套用不同的資源名稱範本

Azure 資訊安全中心和Azure Defender 適用於雲端的 Microsoft Defender

根據 2021 年雲端狀態報告，92% 的組織現在具有多重雲端策略。 在 Microsoft，我們的目標是將安全集中在各環境之間，並協助資安團隊更有效率地工作。

適用於雲端的 Microsoft Defender 是一款雲端安全態勢管理（CSPM）與雲端工作負載保護平台（CWPP）解決方案，能發現雲端配置中的弱點，協助強化環境整體安全態勢，並保護跨多雲與混合環境的工作負載。

在 Ignite 2019 大會上，我們分享了打造最完整的數位資產安全方案，並將 XDR 技術整合至 Microsoft Defender 品牌的願景。 統一Azure 資訊安全中心與Azure Defender以新名稱適用於雲端的 Microsoft Defender反映出我們安全產品的整合能力，以及我們支援任何雲端平台的能力。

適用於 AWS 的原生 CSPM 和 Amazon EKS 和 AWS EC2 的威脅防護

新的 環境設定 頁面可讓您更清楚地看到和管理群組、訂用帳戶和 AWS 帳戶。 此頁面旨在大規模上線 AWS 帳戶：連接您的 AWS 管理帳戶，您將自動上線現有和未來的帳戶。

當您新增 AWS 帳號後，適用於雲端的 Defender 會透過以下任何或全部計畫來保護您的 AWS 資源：

• 適用於雲端的 Defender 的 CSPM 功能 也延伸到你的 AWS 資源。 此無代理程式方案會根據 AWS 特定的安全性建議來評估您的 AWS 資源，而這些建議會包含在您的安全分數中。 資源也會評估是否符合 AWS 專屬的內建標準 (AWS CIS、AWS PCI DSS 和 AWS 基礎安全性最佳做法)。 適用於雲端的 Defender 的 asset inventory 頁面 是一項多雲功能，幫助你與Azure資源同時管理 AWS 資源。
• Microsoft Defender for Kubernetes將其容器威脅偵測與先進防禦擴展至您的 Amazon EKS Linux 叢集。
• Microsoft Defender for Servers 為你的 Windows 和 Linux EC2 實例帶來威脅偵測與進階防禦功能。 此計畫包含 適用於端點的 Microsoft Defender 的整合授權、安全基線與作業系統層級評估、漏洞評估掃描、自適應應用程式控制（AAC）、檔案完整性監控（FIM）等多項功能。

了解更多關於將您的 AWS 帳號連結至 適用於雲端的 Microsoft Defender。

依資料敏感度優先排序安全行動（由 Microsoft Purview 提供技術）（預覽中）

數據資源仍然是威脅執行者的熱門目標。 因此，安全性小組必須識別、排定優先順序，並保護其雲端環境中的敏感數據資源。

為了解決此挑戰，適用於雲端的 Microsoft Defender 現在整合了來自 Microsoft Purview 的敏感度資訊。 Microsoft Purview 是一項統一的資料治理服務，提供豐富的資料敏感度洞察，涵蓋多雲及本地工作負載中的資料敏感度。

與 Microsoft Purview 的整合，將您在 適用於雲端的 Defender 中從基礎設施層級延伸到資料的安全可視性，為資安團隊提供全新資源與資安活動的優先排序。

若要深入瞭解，請參閱 依數據敏感度排定安全性動作的優先順序。

擴展安全控制評估與 Azure Security Benchmark v3

適用於雲端的 Defender 的安全建議由 Azure 安全基準支持。

Azure 安全基準 是由Microsoft著、針對安全與合規最佳實務制定的Azure特定指引，基於共同的合規架構。 這項廣受公認好評的效能評定以美國網際網路安全中心 (CIS) 和國家標準與技術研究院 (NIST) 的控制項為基礎，著重以雲端為中心的安全性。

自 Ignite 2021 起，Azure 安全基準測試v3已在 適用於雲端的 Defender 的法規合規儀表板中啟用，並作為所有受 適用於雲端的 Microsoft Defender 保護的 Azure 訂閱的新預設計畫。

v3 的增強功能包括：

• 產業架構的其他對應 PCI-DSS v3.2.1 和 CIS Controls v8。

• 透過引進下列專案，更細微且可採取動作的控件指引：

  • 安全性原則 - 深入瞭解整體安全性目標，為我們的建議奠定基礎。
  • Azure 指導 - 達成這些目標的技術「操作」。

• 新的控制措施包括針對威脅建模與軟體供應鏈安全等議題的 DevOps 安全，以及 Azure 最佳實務的金鑰與憑證管理。

欲了解更多，請參閱 安全基準Azure導論。

Microsoft Sentinel 連接器的可選雙向警示同步功能已釋出，供一般可用性（GA）

七月時，我們宣布預覽功能雙向警報同步），針對Microsoft Sentinel（Microsoft雲端原生 SIEM 與 SOAR 解決方案）內建連接器。 這項功能現已正式推出（GA）。

當你將 適用於雲端的 Microsoft Defender 連接到 Microsoft Sentinel 時，兩項服務之間的安全警示狀態會同步。 舉例來說，當 適用於雲端的 Defender 中的警示被關閉時，該警示在 Microsoft Sentinel 中也會顯示為已關閉。 在 適用於雲端的 Defender 中更改警示狀態，不會影響包含同步Microsoft Sentinel警示的任何 Microsoft Sentinel incidents 的狀態，只會影響同步警示本身的狀態。

當你啟用 雙向警報同步時，你會自動將原始適用於雲端的 Defender警報的狀態與包含該警報副本的Microsoft Sentinel事件同步。 舉例來說，當包含 適用於雲端的 Defender 警示的 Microsoft Sentinel 事件被關閉時，適用於雲端的 Defender 會自動關閉對應的原始警示。

在 Connect Azure Defender Azure 資訊安全中心 和 Stream alerts 至 Microsoft Sentinel 了解更多。

New recommendation to push Azure Kubernetes Service （AKS） logs to Microsoft Sentinel

為了進一步提升 適用於雲端的 Defender 與 Microsoft Sentinel 的綜合價值，我們現在將重點介紹那些不會將日誌資料傳送給 Microsoft Sentinel 的 Azure Kubernetes Service 實例。

SecOps 團隊可直接從推薦細節頁面選擇相關的 Microsoft Sentinel 工作空間，並立即啟用原始日誌串流。 這兩個產品之間的無縫連線可讓安全性小組輕鬆確保整個工作負載的完整記錄涵蓋範圍，以維持整個環境。

新的建議「應啟用 Kubernetes 服務中的診斷記錄」包含 「修正」選項，以加快補救速度。

我們也強化了「應啟用 SQL Server 審計」的建議，並保留了相同的 Microsoft Sentinel 串流功能。

對應至 MITRE ATT&CK® 架構的建議 - 正式發行 （GA）

我們已強化 適用於雲端的 Defender 的安全建議，以顯示他們在 MITRE ATT&;CK® 框架。 這個全球可存取 知識庫 以真實世界觀察為基礎的威脅執行者策略和技術，提供更多內容來協助您了解環境建議的相關風險。

無論您在何處存取建議資訊，您都會找到這些策略：

• Azure Resource Graph查詢結果相關建議包括 MITRE ATT&;CK® 戰術與技巧。

• 建議詳細數據頁面 會顯示所有相關建議的對應：

• 適用於雲端的 Defender 的推薦頁面新增了一個新的 篩選器，可依照相關策略選擇推薦：

若要深入瞭解，請參閱 檢閱您的安全性建議。

Microsoft 威脅與漏洞管理作為漏洞評估解決方案新增——正式發布以供一般可用性（GA）

十月，我們宣布 擴展了 Microsoft Defender for Servers 與 適用於端點的 Microsoft Defender 之間的整合，以支援您機器的新漏洞評估服務提供者：Microsoft威脅與漏洞管理。 這項功能現已正式推出（GA）。

使用 威脅與漏洞管理，啟用 整合與 適用於端點的 Microsoft Defender，幾乎即時發現漏洞與配置錯誤，無需額外代理或定期掃描。 威脅和 弱點管理 會根據組織中的威脅狀況和偵測，排定弱點的優先順序。

使用安全性建議「應在您的虛擬機上啟用弱點評估解決方案」，來呈現您支持機器 威脅與漏洞管理 偵測到的弱點。

若要在現有和新計算機上自動呈現弱點，而不需要手動補救建議，請參閱弱點評估解決方案現在可以自動啟用（預覽版）。

欲了解更多，請參閱 調查 適用於端點的 Microsoft Defender 威脅與漏洞管理的弱點。

適用於端點的 Microsoft Defender for Linux 現已由 Microsoft Defender for Servers 支援 - 正式發布（GA）

八月，我們宣布預覽版支援，將部署 Defender for Endpoint for Linux 感測器至支援的 Linux 機器。 這項功能現已正式推出（GA）。

Microsoft Defender for Servers包含適用於端點的 Microsoft Defender的整合授權。 兩者搭配運作下，可提供完整的端點偵測及回應 (EDR) 功能。

當 Defender for Endpoint 偵測到威脅時，會觸發警示。 該警示顯示在 適用於雲端的 Defender 中。 從 適用於雲端的 Defender，你也可以切換到 Defender for Endpoint 主控台，進行詳細調查，以揭露攻擊範圍。

在 Protect Your Endpoints with Security Center 的整合 EDR 解決方案：適用於端點的 Microsoft Defender 中了解更多。

建議和安全性結果的快照集匯出 （預覽版）

適用於雲端的 Defender 會產生詳細的安全警示與建議。 您可以在入口網站中或透過程式設計工具來檢視。 您可能也需要匯出部分或全部資訊，才能追蹤您環境中的其他監視工具。

適用於雲端的 Defender 的 continuous export 功能讓你可以完全自訂 what 會被匯出，where 就會被匯出。 在 持續匯出適用於雲端的 Microsoft Defender資料 了解更多。

儘管該功能被稱為 連續，但也可以選擇匯出每週快照。 到目前為止，這些每周快照集僅限於安全分數和法規合規性數據。 我們已新增匯出建議和安全性結果的功能。

針對公開上市發行的弱點評估解決方案自動布建 （GA）

去年十月，我們宣布 在 適用於雲端的 Defender 的自動配置頁面新增漏洞評估解決方案。 這對於Azure虛擬機以及受 Azure Defender for Servers 保護的訂閱Azure Arc機器都相關。 這項功能現已正式推出（GA）。

若啟用與 適用於端點的 Microsoft Defender 的 整合，適用於雲端的 Defender 會提供多種漏洞評估解決方案：

• （NEW）適用於端點的 Microsoft Defender 的Microsoft威脅與漏洞管理模組（參見 發布說明）
• 整合式 Qualys 代理程式

您所選擇的解決方案將會在支援的電腦上自動啟用。

若要深入瞭解，請參閱 自動為您的機器設定弱點評估。

針對正式上市發行的資產清查中的軟體清查篩選 （GA）

10 月，我們宣布了資產清單頁面的新過濾器，以選擇運行特定軟體的機器，甚至指定感興趣的版本。 這項功能現已正式推出（GA）。

你可以在 Azure Resource Graph Explorer 查詢軟體庫存資料。

要使用這些功能，你需要啟用與 適用於端點的 Microsoft Defender 的 整合。

完整細節，包括Azure Resource Graph的 Kusto 範例查詢，請參見 Access a software inventory。

新增至預設方案的新 AKS 安全策略

為確保 Kubernetes 工作負載預設安全，適用於雲端的 Defender 包含 Kubernetes 層級政策與強化建議，並包含 Kubernetes 准入控制的強制執行選項。

在此專案中，我們已新增原則和建議（預設為停用）來設定 Kubernetes 叢集上的部署。 此原則處於預設方案，但僅適用於註冊相關預覽的組織。

您可以放心地忽略原則和建議（「Kubernetes 叢集應該閘道部署易受攻擊的映像」），而且不會對您的環境造成任何影響。

如果您想要參與預覽，您必須是預覽通道的成員。 如果您還不是會員，請 在此處提交請求。 成員會在預覽開始時收到通知。

內部部署機器的清查顯示會套用不同的資源名稱範本

為了改善 資產清查中資源的呈現方式，我們已從範本中移除 “source-computer-IP” 元素，以命名內部部署機器。

• 以前的格式：machine-name_source-computer-id_VMUUID
• 從此更新：machine-name_VMUUID

2021年10月

10 月的更新包括：

• Microsoft 威脅與漏洞管理作為漏洞評估解決方案（預覽版）
• 弱點評估解決方案現在可以自動啟用（預覽版）
• 新增至資產清查的軟體清查篩選 （預覽版）
• 已將某些警示類型的前置詞從 “ARM_”變更為 “VM_”
• Kubernetes 叢集安全性建議邏輯的變更
• 建議詳細數據頁面現在會顯示相關建議
• New alerts for Azure Defender for Kubernetes （預覽版）

Microsoft 威脅與漏洞管理（Threat and Vulnerability Management）作為漏洞評估解決方案新增（預覽階段）

我們已擴展 Azure Defender for Servers 與 適用於端點的 Microsoft Defender 之間的整合，以支援您的機器全新的漏洞評估服務提供者：Microsoft 威脅與漏洞管理。

使用 威脅與漏洞管理，啟用 整合與 適用於端點的 Microsoft Defender，幾乎即時發現漏洞與配置錯誤，無需額外代理或定期掃描。 威脅和 弱點管理 會根據組織中的威脅狀況和偵測，排定弱點的優先順序。

使用安全性建議「應在您的虛擬機上啟用弱點評估解決方案」，來呈現您支持機器 威脅與漏洞管理 偵測到的弱點。

若要在現有和新計算機上自動呈現弱點，而不需要手動補救建議，請參閱弱點評估解決方案現在可以自動啟用（預覽版）。

欲了解更多，請參閱 調查 適用於端點的 Microsoft Defender 威脅與漏洞管理的弱點。

弱點評估解決方案現在可以自動啟用（預覽版）

Security Center 的自動配置頁面現在包含了自動啟用漏洞評估解決方案的選項，適用於Azure虛擬機及Azure Arc機器，且訂閱時受 Azure Defender for Servers 保護。

若啟用與 適用於端點的 Microsoft Defender 的 整合，適用於雲端的 Defender 會提供多種漏洞評估解決方案：

• （NEW）適用於端點的 Microsoft Defender 的Microsoft威脅與漏洞管理模組（參見 發布說明）
• 整合式 Qualys 代理程式

配置 Azure 資訊安全中心.

您所選擇的解決方案將會在支援的電腦上自動啟用。

若要深入瞭解，請參閱 自動為您的機器設定弱點評估。

新增至資產清查的軟體清查篩選 （預覽版）

資產清單頁面現在包含一個過濾器，用於選擇運行特定軟體的機器，甚至指定感興趣的版本。

此外，你也可以在 Azure Resource Graph Explorer 查詢軟體庫存資料。

要使用這些新功能，你需要啟用與 適用於端點的 Microsoft Defender 的 整合。

完整細節，包括Azure Resource Graph的 Kusto 範例查詢，請參見 Access a software inventory。

已將某些警示類型的前置詞從 “ARM_”變更為 “VM_”

2021 年 7 月，我們宣布對 Resource Manager 警示邏輯重組>

在Defender計畫重組期間，我們將 Resource Manager 的警示從 Azure Defender 移至 Servers 的 Azure Defender。

透過此更新，我們已變更這些警示的前置詞，以符合此重新指派，並將 “ARM_” 取代為 “VM_”，如下表所示：

原名	從這項變更
ARM_AmBroadFilesExclusion	VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution	VM_AmDisablementAndCodeExecution
ARM_AmDisablement	VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution	VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution	VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion	VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled	VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement	VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec	VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion	VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement	VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion	VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd	VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint	VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload	VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure	VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion	VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution	VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset	VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset	VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset	VM_VMAccessUnusualSSHReset

了解更多關於 Resource Manager 的 Azure Defender 以及 Servers 計畫的 Azure Defender。

Kubernetes 叢集安全性建議邏輯的變更

「Kubernetes 叢集不應使用預設命名空間」的建議可防止使用資源類型範圍的預設命名空間。 已移除此建議中包含的兩個資源類型：ConfigMap 和秘密。

請在 了解 Kubernetes 叢集的Azure 原則 中進一步了解此建議及加強 Kubernetes 叢集的做法。

建議詳細數據頁面現在會顯示相關建議

為了釐清不同建議之間的關係，我們在許多建議的詳細資料頁面中新增了 [相關建議] 區域。

這些頁面上顯示的三種關聯性類型如下：

• 必要條件 - 在選取的建議之前必須完成的建議
• 替代 — 不同的建議，提供另一種方式來達成所選建議的目標
• 相依 — 所選建議是先決條件的建議

針對每個相關建議，狀況不良的資源數目會顯示於 [受影響的資源] 資料行中。

Tip

如果相關的建議呈現灰色，則其相依性尚未完成，因此無法使用。

相關建議的範例：

1. 資訊安全中心會檢查您的電腦是否有支援的弱點評估解決方案：
   虛擬機器上應啟用弱點評估解決方案

2. 如果找到其中一個，您將會收到已探索到弱點的通知：
   應補救虛擬機中的弱點

顯然，除非資訊安全中心發現支援的弱點評估解決方案，否則資訊安全中心無法通知您已探索到的弱點。

Therefore:

• 建議 #1 是建議的必要條件 #2
• 建議 #2 取決於建議 #1

Kubernetes Azure Defender 的新警報（預覽階段）

為了擴展 Azure Defender 為 Kubernetes 提供的威脅防護，我們新增了兩個預覽警示。

這些警示是基於新的機器學習模型與 Kubernetes 的先進分析產生，衡量多個部署與角色分配屬性，並比較叢集中先前活動及所有由 Azure Defender 監控的叢集。

警示 (警示類型)	Description	MITRE 策略	Severity
例外 Pod 部署 （預覽） (K8S_AnomalousPodDeployment)	Kubernetes 稽核日誌分析發現了一處異常的 pod 部署，基於先前的部署活動。 當檢視部署操作中不同特徵之間的關聯時，這種活動被視為異常現象。 監控的功能包括所使用的容器映像登錄檔、部署帳戶、星期幾、該帳戶的部署頻率、所使用的使用者代理、命名空間部署模式及其他特性。 警報的擴展特性詳細說明了將此現象認定為異常活動的主要原因。	Execution	Medium
在 Kubernetes 叢集中指派過多的角色權限 （預覽） (K8S_ServiceAcountPermissionAnomaly)	Kubernetes 稽核記錄的分析偵測到叢集的許可權過多角色指派。 從檢查角色指派，列出的許可權對特定服務帳戶來說並不常見。 此偵測會考慮先前對同一服務帳號在 Azure 監控叢集間的角色指派、每個權限的磁碟量，以及該權限的影響。 用於此警報的異常偵測模型會考量Azure Defender監控的所有叢集中權限的使用情況。	權限提升	Low

如需 Kubernetes 警示的完整清單，請參閱 Kubernetes 叢集的警示。

2021 年 9 月

9 月發行了下列更新：

兩項新建議：審核 Azure 安全基線合規作業系統配置（預覽中）

已發布以下兩項建議，以評估您的機器是否符合 Windows 安全基準 以及 Linux 安全基準：

• 對於Windows機器，Windows機器的安全設定中的漏洞應該由訪客配置
• 針對 Linux 機器， 應補救 Linux 機器上安全性設定中的弱點（由客體設定提供電源）

這些建議利用 Azure 原則 的訪客配置功能，將機器的作業系統設定與 Azure 安全基準 所定義的基線進行比較。

在使用客體設定強化計算機的OS設定中深入瞭解如何使用這些建議。

2021 年 8 月

8 月的更新包括：

• 適用於端點的 Microsoft Defender Linux 版本現已由 Azure Defender for Servers（預覽版）
• 管理端點保護解決方案的兩個新建議（預覽版）
• 解決常見問題的內建疑難解答和指引
• 法規合規儀表板的Azure審計報告已發布供一般可用性（GA）
• Deprecated 建議：「Log Analytics代理健康問題應該會在你的機器
• 容器登錄檔的 Azure Defender 現在會掃描使用 Azure Private Link
• Security Center 現在可以自動配置 Azure 原則 的訪客設定擴充功能（預覽版）
• 建議現在支援「強制執行」 。
• 建議數據的 CSV 導出現在限制為 20 MB
• [建議] 頁面現在包含多個檢視

適用於端點的 Microsoft Defender Linux 版本現已由 Azure Defender for Servers（預覽版）支援

Azure Defender for Servers包含適用於端點的 Microsoft Defender的整合授權。 兩者搭配運作下，可提供完整的端點偵測及回應 (EDR) 功能。

當 Defender for Endpoint 偵測到威脅時，會觸發警示。 警示會顯示在資訊安全中心。 從安全中心，你也可以切換到 Defender for Endpoint 主控台，進行詳細調查以揭露攻擊的規模。

在預覽期間，您將以兩種方式部署 Defender for Endpoint for Linux 感測器到支援的 Linux 機器，具體方式取決於您是否已部署到Windows機器：

• 現有用戶啟用 適用於雲端的 Defender 增強的安全功能，並適用於端點的 Microsoft Defender Windows
• 從未啟用過與 適用於端點的 Microsoft Defender for Windows 整合的新用戶

在 Protect Your Endpoints with Security Center 的整合 EDR 解決方案：適用於端點的 Microsoft Defender 中了解更多。

管理端點保護解決方案的兩個新建議（預覽版）

我們已新增兩個 預覽 建議，以在您的電腦上部署和維護端點保護解決方案。 這兩項建議都包含對 Azure 虛擬機及連接至 Azure Arc 啟用伺服器的機器的支援。

Recommendation	Description	Severity
您的機器上應安裝端點保護	若要保護您的機器免於威脅和弱點的侵害，請安裝支援的端點保護解決方案。 深入瞭解如何評估計算機的 Endpoint Protection。 （相關政策：監控 Azure 資訊安全中心）	High
應解決您機器上端點保護健康情況的問題	解決虛擬機器上的端點保護健康情況問題，以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點防護解決方案已以here作為文件說明。 端點保護評估記錄 在這裡。 （相關政策：監控 Azure 資訊安全中心）	Medium

Note

建議會將其新鮮度間隔顯示為8小時，但在某些情況下，這可能需要相當長的時間。 例如，刪除內部部署電腦時，安全中心需要 24 小時才能識別刪除。 之後，評估最多需要8小時才能傳回資訊。 因此，在該特定情況下，機器可能需要 32 小時才會從受影響的資源清單中移除。

解決常見問題的內建疑難解答和指引

Azure入口網站安全中心頁面新增一個專門區域，提供一套整合且不斷擴充的自助材料，幫助解決安全中心與Azure Defender常見的挑戰。

當您遇到問題或向支援小組尋求建議時， 診斷和解決問題 是另一個協助您尋找解決方案的工具：

法規合規儀表板的 Azure 審計報告已正式發布（GA）

法規合規儀表板的工具列提供適用於您訂閱的 Azure 與 Dynamics 認證報告。

您可以選取相關報表類型的索引標籤（PCI、SOC、ISO 等），並使用篩選來尋找您需要的特定報表。

如需詳細資訊，請參閱 產生合規性狀態報告和憑證。

已棄用的建議：「Log Analytics 代理的健康問題應該在您的機器上解決」

我們發現建議Log Analytics代理健康問題應在您的機器上解決對安全分數的影響與安全中心的雲端安全態勢管理（CSPM）重點不符。 一般而言，CSPM 與識別安全性設定錯誤有關。 代理程式健康情況問題不符合此類別的問題。

此外，相較於與資訊安全中心相關的其他代理程式，建議是異常：這是唯一與健康情況問題相關的建議代理程式。

建議已被取代。

由於這次棄用，我們也對安裝 Log Analytics agent （Log Analytics agent 安裝建議做了些微調整......）。

這項變更可能會影響您的安全分數。 對於大部分的訂用帳戶，我們預期變更會導致分數增加，但在某些情況下，安裝建議的更新可能會導致分數降低。

Tip

資產清單頁面也受到此變更的影響，因為它會顯示機器的受監控狀態 （已監控、未監控或部分監控 - 指有健康情況問題的代理程式的狀態）。

Azure Defender for container registry 現在會掃描受 Azure Private Link 保護的登錄檔中的漏洞

容器登錄Azure Defender包含漏洞掃描器，可掃描Azure Container Registry登錄檔中的影像。 學習如何掃描你的登錄檔並修復使用容器登記Azure Defender掃描影像漏洞。

若要限制對Azure Container Registry託管的登錄檔的存取，請將虛擬網路的私有 IP 位址分配給登錄檔端點，並依照 Connect 所述，私密使用 Azure Private Link Azure Private Link Azure container registry 使用。

作為我們持續支援更多環境與使用案例的一部分，Azure Defender 現在也會掃描以 Azure Private Link 保護的容器登錄檔。

Security Center 現在可以自動配置 Azure 原則 的 Guest Configuration 擴充功能（預覽版）

Azure 原則 可以稽核機器內部的設定，無論是在 Azure 上運行的機器，還是 Arc 連接的機器。 此驗證會由「來賓設定」延伸模組和用戶端執行。 在 了解 Azure 原則 的訪客配置 了解更多。

透過此更新，您現在可以將資訊安全中心設定為自動將此延伸模組布建至所有支持的機器。

深入了解自動布建如何在設定代理程式和擴充功能的自動布建中運作。

建議現在支援「強制」

資訊安全中心包含兩項功能，可協助確保以安全的方式佈建新建立的資源： 強制執行 和 拒絕。 當建議提供這些選項時，您可以確保每當有人嘗試建立資源時，都會符合您的安全性需求：

• 拒絕 會阻止建立狀況不良的資源
• 強制執行 會在建立不合規資源時自動補救資源

隨著這次更新，強制執行選項現在可以在建議中啟用Azure Defender方案（例如應用服務的 Azure Defender應啟用、金鑰保存庫 Azure Defender 應啟用、儲存Azure Defender應該啟用）。

若要深入瞭解這些選項，請參閱 使用強制/拒絕建議防止設定錯誤。

建議數據的 CSV 導出現在限制為 20 MB

匯出資訊安全中心建議數據時，我們會設定 20 MB 的限制。

如果您需要匯出較大的數據量，請在選取之前先使用可用的篩選，或選取訂用帳戶的子集，並以批次的方式下載數據。

深入瞭解 如何執行安全性建議的 CSV 導出。

[建議] 頁面現在包含多個檢視

[建議] 頁面現在有兩個索引標籤，可提供替代方式來檢視與您的資源相關的建議：

• 安全分數建議 - 使用此索引標籤來檢視依安全性控制分組的建議清單。 在安全性控件及其建議中深入了解這些控制件。
• 所有建議 - 使用此索引標籤可將建議清單檢視為一般清單。 此索引標籤也非常適合瞭解哪個方案（包括法規合規性標準）產生建議。 若要深入了解計劃及其與建議的關係， 請參閱什麼是安全策略、計劃和建議？。

Tabs 可更改 Azure 資訊安全中心.

2021年7月

7 月的更新包括：

• Microsoft Sentinel連接器現在包含可選的雙向警示同步功能（預覽版）
• Resource Manager警示
• 建議增強以啟用Azure 磁碟加密（ADE）
• 針對公開上市發行的安全分數和法規合規性數據持續匯出 （GA）
• 工作流程自動化可以透過法規合規性評估的變更來觸發 （GA）
• 評定 API 欄位 'FirstEvaluationDate' 和 'StatusChangeDate' 現在可在工作區架構和邏輯應用程式中使用
• 『Compliance over time』工作簿範本已新增至Azure 監視器工作簿畫廊

Microsoft Sentinel 連接器現在包含可選的雙向警示同步功能（預覽版）

Security Center 原生整合於 Microsoft Sentinel，Azure 的雲端原生 SIEM 與 SOAR 解決方案。

Microsoft Sentinel 在訂閱與租戶層級內建 Azure 資訊安全中心 連接器。 在 Stream alerts 至 Microsoft Sentinel 了解更多。

當你將 Azure Defender 連接到 Microsoft Sentinel 時，匯入 Microsoft Sentinel 的 Azure Defender 警示狀態會在兩個服務間同步。 例如，當警報在Azure Defender被關閉時，該警報在Microsoft Sentinel也會顯示為關閉。 在Azure Defender「不會」*中更改警報狀態，會影響包含同步Microsoft Sentinel警報的任何Microsoft Sentinel incidents的狀態，僅影響同步警報本身的狀態。

啟用預覽功能雙向警示同步，會自動將原始Azure Defender警示的狀態與包含該Azure Defender警示副本的Microsoft Sentinel事件同步。 例如，當包含Azure Defender警示的Microsoft Sentinel事件被關閉時，Azure Defender會自動關閉對應的原始警示。

在Azure 資訊安全中心的警示Connect Azure Defender中了解更多。

Resource Manager警示Azure Defender的邏輯重組

以下列出的警示是作為Azure Defender for Resource Manager計畫的一部分提供。

作為部分Azure Defender計畫邏輯重組的一部分，我們將部分警示從 Resource Manager 的 Azure Defender 移至 Servers 的 Azure Defender。

警示會根據兩個主要原則進行組織：

• 提供控制平面保護的警報——涵蓋多種Azure資源類型——是Azure Defender Resource Manager的一部分
• 保護特定工作負載的警示會包含在與相應工作負載相關的Azure Defender計畫中

這些是Resource Manager Azure Defender 通知的一部分，且因這次變更，現在成為伺服器Azure Defender的一部分：

• ARM_AmBroadFilesExclusion
• ARM_AmDisablementAndCodeExecution
• ARM_AmDisablement
• ARM_AmFileExclusionAndCodeExecution
• ARM_AmTempFileExclusionAndCodeExecution
• ARM_AmTempFileExclusion
• ARM_AmRealtimeProtectionDisabled
• ARM_AmTempRealtimeProtectionDisablement
• ARM_AmRealtimeProtectionDisablementAndCodeExec
• ARM_AmMalwareCampaignRelatedExclusion
• ARM_AmTemporarilyDisablement
• ARM_UnusualAmFileExclusion
• ARM_CustomScriptExtensionSuspiciousCmd
• ARM_CustomScriptExtensionSuspiciousEntryPoint
• ARM_CustomScriptExtensionSuspiciousPayload
• ARM_CustomScriptExtensionSuspiciousFailure
• ARM_CustomScriptExtensionUnusualDeletion
• ARM_CustomScriptExtensionUnusualExecution
• ARM_VMAccessUnusualConfigReset
• ARM_VMAccessUnusualPasswordReset
• ARM_VMAccessUnusualSSHReset

了解更多關於 Resource Manager 的 Azure Defender 以及 Servers 計畫的 Azure Defender。

Enhancements to recommendation to enable Azure 磁碟加密 （ADE）

在使用者意見反應之後，我們已將建議 磁碟加密套用到虛擬機上。

新的建議使用相同的評量標識碼，稱為 虛擬機應該加密計算和記憶體資源之間的暫存磁碟、快取和數據流。

描述也已更新，以進一步說明此強化建議的目的：

Recommendation	Description	Severity
虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程	根據預設，虛擬機器的 OS 和資料磁碟會使用平台代控金鑰進行待用加密；暫存磁碟和資料快取不會加密，而且資料在計算與儲存體資源之間流動時不會加密。 欲了解更多資訊，請參閱 Azure 中不同磁碟加密技術的比較。 使用 Azure 磁碟加密 來加密所有這些資料。 如果有：（1） 你使用主機加密功能，或 （2） 受控磁碟 的伺服器端加密符合你的安全需求，請忽略此建議。 了解更多關於 Azure 磁碟儲存體 的伺服器端加密。	High

針對公開上市發行的安全分數和法規合規性數據持續匯出 （GA）

連續匯出 提供匯出安全性警示的機制，以及使用環境中其他監視工具進行追蹤的建議。

當您設定連續匯出時，您可以設定匯出的內容，以及匯出的位置。 在持續匯出的概觀中深入瞭解。

我們已在一段時間內增強和擴充這項功能：

• 在 2020 年 11 月，我們新增了 預覽 選項，以串流 安全分數的變更。

• 在 2020 年 12 月，我們新增了 預覽 選項，以串流法規 合規性評估資料的變更。

透過此更新，這兩個選項會針對正式推出 （GA） 發行。

工作流程自動化可以透過法規合規性評估的變更來觸發 （GA）

在 2021 年 2 月，我們將 預覽 第三種資料類型新增至工作流程自動化的觸發選項：法規合規性評估的變更。 在工作流程自動化中 深入瞭解，可透過法規合規性評定的變更來觸發。

透過此更新，此觸發程式選項會針對正式推出 （GA） 發行。

瞭解如何使用自動化資訊安全中心觸發程序的回應中的工作流程自動化工具。

評定 API 欄位 'FirstEvaluationDate' 和 'StatusChangeDate' 現在可在工作區架構和邏輯應用程式中使用

2021 年 5 月，我們更新了評定 API，其中包含兩個新欄位： FirstEvaluationDate 和 StatusChangeDate。 如需完整詳細數據，請參閱 使用兩個新字段展開的評定 API。

這些欄位可透過 REST API、Azure Resource Graph、持續匯出及 CSV 匯出存取。

透過這項變更，我們將資訊提供在 Log Analytics 工作空間架構及邏輯應用程式中。

「Compliance over Time」工作簿範本已加入 Azure 監視器 工作簿畫廊

三月時，我們宣布了安全中心整合的Azure 監視器工作簿體驗（參見Azure 監視器安全中心整合的工作簿及提供的三個範本）。

初始版本包含三個範本，可建置有關組織安全性狀態的動態和可視化報告。

我們現在已新增一個專門用來追蹤訂用帳戶合規性的活頁簿，並套用至該活頁簿的法規或業界標準。

瞭解如何使用這些報告，或在建立資訊安全中心數據的豐富互動式報表中建立您自己的報表。

Azure 資訊安全中心 的合規工作簿

2021年6月

6 月的更新包括：

• 金鑰保存庫
• 預設會停用以客戶管理的金鑰加密的建議
• Kubernetes 警示的前置詞已從 “AKS_” 變更為 “K8S_”
• 已淘汰「套用系統更新」安全性控件的兩項建議

Azure Defender 的新警報 金鑰保存庫

為了擴展Azure Defender為金鑰保存庫提供的威脅防護，我們新增了以下警示：

警示 (警示類型)	Description	MITRE 策略	Severity
從可疑IP位址存取金鑰保存庫 (KV_SuspiciousIPAccess)	一個金鑰保險庫已被 Microsoft 威脅情報部門識別為可疑 IP 位址的 IP 成功存取。 這可能表示您的基礎結構已遭入侵。 我們建議進一步調查。	憑證存取	Medium

如需詳細資訊，請參閱

• 金鑰保存庫
• 回應Azure Defender 金鑰保存庫警報
• Azure Defender 為 金鑰保存庫

預設會停用以客戶管理的金鑰加密的建議

資訊安全中心包含使用客戶自控密鑰加密待用數據的多個建議，例如：

• 容器登錄應使用客戶管理的金鑰加密 （CMK）
• Azure Cosmos DB 帳戶應該使用客戶管理的密鑰來加密靜態資料
• Azure Machine Learning workspaces 應該用客戶管理密鑰（CMK）加密

Azure 中的資料會自動使用平台管理的金鑰加密，因此只有在符合組織選擇執行的特定政策時，才應使用客戶管理金鑰。

有了這項變更，現在預設會停用使用CMK的建議。 當與您的組織相關時，您可以將對應安全性原則的 Effect 參數變更為 AuditIfNotExists 或 Enforce，以啟用它們。 若要深入瞭解，請參閱 啟用安全性建議。

這項變更會反映在具有新前置詞 [啟用] 的建議名稱中，如下列範例所示：

• [視需要啟用]儲存體帳戶應使用客戶管理的密鑰來加密待用數據
• [必要時啟用] 容器登錄應使用客戶自控金鑰 (CMK) 來加密
• [必要時啟用]Azure Cosmos DB 帳戶應該使用客戶管理的密鑰來加密靜態資料

Kubernetes 警示的前置詞已從 “AKS_” 變更為 “K8S_”

Azure Defender for Kubernetes 最近擴展至保護本地及多雲環境中託管的 Kubernetes 叢集。 欲了解更多，請參閱 Use Azure Defender for Kubernetes 以保護混合與多雲 Kubernetes 部署（預覽版）。

為了反映 Kubernetes Azure Defender 提供的安全警示不再侷限於 Azure Kubernetes Service 上的叢集，我們已將警示類型的前綴從「AKS_」改為「K8S_」。必要時，名稱與描述也已更新。 例如，此警示：

警示 (警示類型)	Description
偵測到 Kubernetes 滲透測試工具 (AKS_PenTestToolsKubeHunter)	Kubernetes 稽核記錄分析偵測到 AKS 叢集中 Kubernetes 滲透測試工具的使用方式。 雖然此行為可能是合法的，但攻擊者可能會針對惡意目的使用這類公用工具。

已變更為此警示：

警示 (警示類型)	Description
偵測到 Kubernetes 滲透測試工具 (K8S_PenTestToolsKubeHunter)	Kubernetes 稽核記錄分析偵測到 Kubernetes 叢集中使用 Kubernetes 滲透測試工具。 雖然此行為可能是合法的，但攻擊者可能會針對惡意目的使用這類公用工具。

任何參考「AKS_」警示的歸併規則都會自動轉換。 如果您已依警示類型設定 SIEM 匯出或參考 Kubernetes 警示的自定義自動化腳本，則必須使用新的警示類型來更新它們。

如需 Kubernetes 警示的完整清單，請參閱 Kubernetes 叢集的警示。

已淘汰「套用系統更新」安全性控件的兩項建議

下列兩項建議已被取代：

• OS 版本應針對您的雲端服務角色- 預設情況下，Azure會定期將訪客作業系統更新為您在服務設定中指定的作業系統家族（.cscfg）中，如 Windows Server 2016 的支援映像檔。
• Kubernetes Services 應該升級為非易受攻擊的 Kubernetes 版本 - 此建議的評估範圍不如我們想要的。 我們計劃將建議取代為更符合您安全性需求的增強版本。

2021 年 5 月

5 月份的更新包括：

• Azure Defender用於DNS，Azure Defender用於一般可用性（GA）
• Azure Defender 用於開放原始碼關聯式資料庫，並已發布為一般可用性（GA）
• Resource Manager
• CI/CD 漏洞掃描，具備GitHub工作流程與 Azure Defender（預覽）
• 更多資源圖表查詢可供一些建議使用
• SQL 數據分類建議嚴重性已變更
• 啟用受信任啟動功能的新建議（預覽版）
• 強化 Kubernetes 叢集的新建議（預覽版）
• 使用兩個新欄位展開的評定 API
• 資產清查會取得雲端環境篩選

Azure Defender 用於 DNS，Azure Defender 用於一般公開（GA）發布的Resource Manager

這兩個雲端原生廣度威脅防護計劃現已正式推出。

這些新防護大幅提升您對威脅行為者攻擊的韌性，並大幅增加受Azure Defender保護的Azure資源數量。

• Azure Defender for Resource Manager - 自動監控組織中所有的資源管理操作。 如需詳細資訊，請參閱

  • Resource Manager
  • 回應Azure Defender Resource Manager警示
  • Azure Defender 提供的 Resource Manager

• Azure Defender 用於 DNS - 持續監控你Azure資源中的所有 DNS 查詢。 如需詳細資訊，請參閱

  • DNS
  • 回應 DNS 警示Azure Defender
  • DNS

若要簡化啟用這些方案的程式，請使用建議：

• Azure Defender 對於Resource Manager應該啟用
• Azure Defender DNS 應該啟用

Note

啟用Azure Defender計畫會導致費用。 在資訊安全中心的 定價頁面上了解每個區域的定價詳細資料。

Azure Defender 開放原始碼關聯式資料庫，已釋出供一般使用（GA）

Azure 資訊安全中心 擴充其 SQL 保護方案，推出全新套件，涵蓋您的開源關聯式資料庫：

• Azure Defender 用於Azure SQL資料庫伺服器 - 保護你Azure原生的 SQL 伺服器
• Azure Defender 適用於機器上的 SQL 伺服器 - 將相同的保護擴展到混合、多雲及本地環境中的 SQL 伺服器
• Azure Defender 用於開源關聯式資料庫 - 保護你Azure MySQL、PostgreSQL 和 MariaDB 單伺服器資料庫

Azure Defender 對於開源關聯式資料庫，會持續監控您的伺服器是否有安全威脅，並偵測異常資料庫活動，顯示對 適用於 MySQL 的 Azure 資料庫、PostgreSQL 及 MariaDB 可能構成威脅。 一些範例包括：

• 暴力破解攻擊的細粒偵測 - Azure Defender 用於開源關聯式資料庫，提供關於暴力破解攻擊嘗試及成功的詳細資訊。 這可讓您更完整地調查和響應環境攻擊的性質和狀態。
• 行為警示偵測 - Azure Defender 用於開源關聯式資料庫，會警示你伺服器上的可疑及意外行為，例如資料庫存取模式的變更。
• 基於威脅情報的偵測 - Azure Defender 將 Microsoft 的威脅情報與豐富的知識庫應用於表面威脅警報，讓你能夠採取行動應對。

欲了解更多，請參閱開源關聯式資料庫Azure Defender導論。

Azure Defender 的新警示 Resource Manager

為了擴展Azure Defender for Resource Manager提供的威脅防護，我們新增了以下警示：

警示 (警示類型)	Description	MITRE 策略	Severity
權限以不尋常的方式授予 RBAC 角色，適用於您的Azure環境（預覽） (ARM_AnomalousRBACRoleAssignment)	Azure Defender Resource Manager偵測到一個 RBAC 角色分配，與同一指派者/同一受派人/你租戶中其他指派不同，原因包括：指派時間、指派者位置、指派者、認證方式、指派實體、使用的客戶端軟體、指派範圍。 此作業可能是由組織中的合法使用者所執行。 或者，它可能表示貴組織中的帳戶遭到入侵，而且威脅執行者正在嘗試將許可權授與他們所擁有的其他用戶帳戶。	橫向運動，防禦逃避	Medium
以可疑的方式為訂用帳戶建立的特殊許可權自訂角色 （預覽） (ARM_PrivilegedRoleDefinitionCreation)	Azure Defender Resource Manager 偵測到你的訂閱中有可疑的特權自訂角色定義。 此作業可能是由組織中的合法使用者所執行。 或者，它可能表示貴組織中的帳戶遭到入侵，而且威脅執行者正嘗試建立特殊許可權角色，以在未來用來逃避偵測。	橫向運動，防禦逃避	Low
Azure Resource Manager 來自可疑 IP 位址的操作（預覽） (ARM_OperationFromSuspiciousIP)	Azure Defender Resource Manager偵測到一個在威脅情報資料中被標記為可疑的 IP 位址的行動。	Execution	Medium
Azure Resource Manager 來自可疑代理 IP 位址的操作（預覽） (ARM_OperationFromSuspiciousProxyIP)	Azure Defender Resource Manager偵測到來自與代理服務（如 TOR）相關的 IP 位址進行資源管理操作。 雖然此行為可能是合法的，但當威脅執行者嘗試隱藏其來源IP時，通常會出現在惡意活動中。	防禦閃避	Medium

如需詳細資訊，請參閱

• Resource Manager
• 回應Azure Defender Resource Manager警示
• Azure Defender 提供的 Resource Manager

利用GitHub工作流程與Azure Defender掃描容器映像的 CI/CD 漏洞（預覽）

容器登錄的 Azure Defender 現在能讓 DevSecOps 團隊對GitHub Actions工作流程進行可觀察性。

容器映像的新漏洞掃描功能利用 Trivy，可幫助您在將映像推送到容器登錄 之前掃描 其容器映像中的常見漏洞。

容器掃描報告會被 Azure 資訊安全中心 匯總，讓安全團隊能更深入了解脆弱容器映像的來源，以及其來源的工作流程和資料庫。

深入了解識別您的 CI/CD 工作流程中易受攻擊的容器映像。

更多資源圖表查詢可供一些建議使用

所有 Security Center 的建議都可以選擇使用 Open query 查詢受影響資源的狀態資訊Azure Resource Graph。 欲了解此功能的完整細節，請參閱 Azure Resource Graph Explorer 中的 Review 推薦資料。

資訊安全中心包含內建的弱點掃描器，可掃描您的 VM、SQL 伺服器及其主機，以及用於安全性弱點的容器登錄。 結果會以建議的形式傳回，每個資源類型的個別結果都會收集到單一檢視中。 建議如下：

• Azure Container Registry 映像中的漏洞應該被修復（由 Qualys 提供）
• 應補救虛擬機中的弱點
• SQL 資料庫應已解決發現的弱點
• 機器上的 SQL Server 應已解決發現的弱點

透過此變更，您可以使用 [ 開啟查詢 ] 按鈕來開啟顯示安全性發現項目的查詢。

[ 開啟查詢 ] 按鈕會針對其他一些相關建議提供其他選項。

深入瞭解資訊安全中心的弱點掃描器：

• Azure Defender 整合的 Qualys 漏洞掃描器，適用於Azure與混合機器
• Azure Defender 整合的 SQL 伺服器漏洞評估掃描器
• Azure Defender 的整合式容器登錄系統漏洞評估掃描器

SQL 數據分類建議嚴重性已變更

應分類 SQL 資料庫中建議敏感數據的嚴重性已從 [高] 變更為 [低]。

這是我們即將推出的變更頁面所宣佈這項建議的持續變更的一部分。

啟用受信任啟動功能的新建議（預覽版）

Azure 提供可信啟動，作為提升 世代 2 虛擬機安全性的無縫方式。 可信啟動會防止進階和持續性攻擊技術侵擾。 可信啟動是由數種可獨立啟用的協調基礎結構技術組成。 每個技術都會針對複雜的威脅提供另一層防禦。 在 Trusted launch for Azure virtual machine 了解更多。

Important

信任的啟動需要建立新的虛擬機。 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。

受信任的啟動目前處於公開預覽狀態。 預覽版在沒有服務等級協議的情況下提供，不建議用於生產工作負載。 可能不支援特定功能，或可能已經限制功能。

Security Center 建議，vTPM 應在支援的虛擬機上啟用，確保你的Azure虛擬機都在使用 vTPM。 此虛擬化的硬體信任平臺模組版本可藉由測量 VM 的整個開機鏈結來證明（UEFI、OS、系統和驅動程式）。

啟用 vTPM 後， 客體證明延伸模組 可以從遠端驗證安全開機。 下列建議可確保部署此擴充功能：

• 安全開機應在支援的Windows虛擬機上啟用
• Guest Atestation 擴充功能應安裝於支援的Windows虛擬機
• Guest Attestation 擴充功能應安裝於支援的 Windows 虛擬機器擴展集
• 客體證明擴充功能應該安裝在支援的Linux虛擬機上
• Guest Atestation 擴充功能應安裝於支援的 Linux 虛擬機器擴展集

在 Trusted launch for Azure virtual machine 了解更多。

強化 Kubernetes 叢集的新建議（預覽版）

下列建議可讓您進一步強化 Kubernetes 叢集

• Kubernetes 叢集不應使用預設命名空間 - 若要防止 ConfigMap、Pod、Secret、Service 和 ServiceAccount 資源類型的未經授權存取，請防止在 Kubernetes 叢集中使用預設命名空間。
• Kubernetes 叢集應該停用自動掛接 API 認證 - 若要防止可能遭入侵的 Pod 資源對 Kubernetes 叢集執行 API 命令，請停用自動掛接 API 認證。
• Kubernetes 叢集不應授與 CAPSYSADMIN 安全性功能

了解資訊安全中心如何在資訊安全中心的容器安全性中保護您的容器化環境。

使用兩個新欄位展開的評定 API

我們已將下列兩個字段新增至 評定 REST API：

• FirstEvaluationDate — 建立並首次評估建議的時間。 以 ISO 8601 格式傳回為 UTC 時間。
• StatusChangeDate — 建議狀態上次變更的時間。 以 ISO 8601 格式傳回為 UTC 時間。

這些欄位的初始預設值 -- 針對所有建議 - 為 2021-03-14T00:00:00+0000000Z。

若要存取這項資訊，您可以使用下表中的任何方法。

Tool	Details
REST API 呼叫	GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph	securityresources where type == "microsoft.security/assessments"
連續匯出	另外兩個專用欄位將開放給 Log Analytics 工作區資料
CSV 匯出	CSV 檔案中包含這兩個字段

深入瞭解 評定 REST API。

資產清查會取得雲端環境篩選

資訊安全中心的資產清查頁面提供許多篩選條件，以快速精簡顯示的資源清單。 若要深入瞭解，請參閱 使用資產清查探索和管理您的資源。

新的篩選條件提供選項，根據您已連線到資訊安全中心多重雲端功能的雲端帳戶來精簡清單。

深入瞭解多重雲端功能：

• 將你的 AWS 帳號連接到 Azure 資訊安全中心
• 將你的 GCP 專案連結到 Azure 資訊安全中心

2021年4月

4 月的更新包括：

• 重新整理的資源健康情況頁面 （預覽版）
• 最近提取的容器登錄映像現在每周重新掃描 （正式推出））
• Use Azure Defender for Kubernetes 以保護混合與多雲 Kubernetes 部署（預覽階段）
• 適用於端點的 Microsoft Defender 與 Azure Defender 的整合現已支援在 Windows 虛擬桌面上Windows Server 2019與Windows 10，並以一般可用性（GA）
• 建議啟用 DNS 與 Resource Manager Azure Defender（預覽版）
• 新增三項合規標準：Azure CIS 1.3.0、CMMC Level 3 及紐西蘭 ISM 限制
• 與來賓設定相關的四個新建議（預覽版）
• CMK 建議已移至最佳做法安全性控制
• Eleven Azure Defender警示已停用
• 「套用系統更新」安全性控件的兩項建議已被取代
• Azure Defender 用於機器磁貼上的 SQL 從儀表板移除Azure Defender
• 建議在安全性控制之間移動

重新整理的資源健康情況頁面 （預覽版）

資源健康狀態已擴充、增強及改善，以提供單一資源整體健康情況的快照集檢視。

您可以檢閱資源的詳細資訊，以及該資源適用的所有建議。 此外，如果你使用的是Microsoft Defender的進階防護計畫，你也能看到該資源的未完成安全警示。

若要開啟資源的資源健康狀態頁面，請從 資產清查頁面選取任何資源。

資訊安全中心入口網站頁面中的這個預覽頁面會顯示：

1. 資源資訊 - 資源群組及其附加的訂用帳戶、地理位置等等。
2. Applied security feature - 資源是否啟用了Azure Defender。
3. 未完成的建議與警示數量 - 未完成的安全建議與Azure Defender警示數量。
4. 可操作的建議和警示：以兩個索引標籤列出適用於該資源的建議和警示。

Azure 資訊安全中心 的資源健康頁面，顯示虛擬機的健康資訊

若要深入瞭解，請參閱教學 課程：調查資源的健康情況。

最近提取的容器登錄映像現在每周重新掃描 （正式推出））

容器登錄Azure Defender內建漏洞掃描器。 此掃描器會立即掃描您推送至登錄的任何映像，以及過去 30 天內提取的任何映像。

每天都會發現新的弱點。 透過此更新，每週將重新 掃描 過去 30 天內從登錄提取的容器映像。 這可確保在映像中識別新探索到的弱點。

掃描會依每個影像收費，因此這些重新掃描不需要額外費用。

在 Use Azure Defender for container registrys（容器註冊）中了解更多， 掃描影像漏洞。

使用 Azure Defender for Kubernetes 來保護混合與多雲 Kubernetes 部署（預覽階段）

Kubernetes 的 Azure Defender 正在擴展其威脅防護能力，以保護你部署在何處的叢集。 這是透過整合支援 Azure Arc 的 Kubernetes 及其新的 擴充功能來實現的。

當你已在非Azure的 Kubernetes 叢集啟用 Azure Arc 後，Azure 資訊安全中心 的新建議建議只需幾次點擊即可部署 Azure Defender 代理。

建議使用建議（啟用 Azure Arc 的 Kubernetes 叢集應安裝 Azure Defender 的擴充功能）以及擴充功能來保護部署在其他雲端服務的 Kubernetes 叢集，但不在其管理的 Kubernetes 服務上。

Azure 資訊安全中心、Azure Defender與Azure Arc Kubernetes 之間的整合帶來了：

• 輕鬆將 Azure Defender 代理配置至未受保護的 Azure Arc 啟用 Kubernetes 叢集（手動及大規模）
• 從Azure Arc入口監控Azure Defender代理及其配置狀態
• Security Center 的安全性建議可在 Azure Arc 入口網站的新安全頁面中報告
• Azure Defender已識別的安全威脅會在Azure Arc入口網站的新安全頁面中回報
• 啟用 Azure Arc 的 Kubernetes 叢集已整合進 Azure 資訊安全中心 平台與體驗中

在 Use Azure Defender for Kubernetes 與您的本地及多雲 Kubernetes 叢集 了解更多。

適用於端點的 Microsoft Defender與 Azure Defender 的整合現已支援在 Windows Virtual Desktop 上提供一般可用性（GA）的Windows Server 2019與Windows 10

適用於端點的 Microsoft Defender 是一款全方位、雲端交付的端點安全解決方案。 它提供風險型 弱點管理 和評估，以及 端點偵測及回應（EDR）。 欲了解與 Azure 資訊安全中心 一起使用 Defender for Endpoint 的完整優點，請參閱 Protect your endpoints with Security Center 的整合 EDR 解決方案：適用於端點的 Microsoft Defender。

當你啟用運行Windows Server的伺服器Azure Defender時，計畫中會附贈端點Defender授權。 如果你已經啟用了伺服器Azure Defender，且訂閱中有Windows Server 2019台伺服器，這些伺服器會隨著這次更新自動獲得端點的Defender。 不需要手動動作。

支援現已擴展至Windows虛擬桌面上的Windows Server 2019與Windows 10。

Note

如果你在 Windows Server 2019 伺服器上啟用 Endpoint 的 Defender，請確保它符合 啟用 適用於端點的 Microsoft Defender 整合 中描述的前提條件。

啟用 DNS 與 Resource Manager Azure Defender 的建議（預覽階段）

新增兩項建議，簡化啟用 Azure Defender 用於 Resource Manager 及啟用 Azure Defender用於 DNS：

• Azure Defender for Resource Manager 應該啟用 - Defender for Resource Manager 會自動監控組織中的資源管理操作。 Azure Defender偵測威脅並提醒你有可疑活動。
• Azure Defender for DNS 應該啟用 - Defender for DNS 透過持續監控來自 Azure 資源的所有 DNS 查詢，為你的雲端資源提供額外保護。 Azure Defender 會提醒你 DNS 層有可疑活動。

啟用Azure Defender計畫會導致費用。 在資訊安全中心的 定價頁面上了解每個區域的定價詳細資料。

Tip

預覽建議不會呈現資源狀況不良，且不會包含在安全分數的計算中。 請盡可能補救它們，以便在預覽期間結束時，為分數做出貢獻。 請參考Remediate建議，Azure 資訊安全中心中了解更多如何回應這些建議。

新增三項法規遵循標準：Azure CIS 1.3.0、CMMC Level 3 及紐西蘭 ISM 限制版

我們新增了三項標準供 Azure 資訊安全中心 使用。 使用法規合規性儀錶板，您現在可以追蹤您的合規性：

• CIS Microsoft Azure Foundations 基準 1.3.0
• CMMC 第 3 級
• 紐西蘭 ISM Restricted

您可以將這些指派給您的訂用帳戶，如自定義法規合規性儀錶板中的一組標準中所述。

深入瞭解：

• 在法規合規性儀表板中自訂一組標準
• 教學課程：改善法規合規性
• 常見問題集 - 法規合規性儀表板

與來賓設定相關的四個新建議（預覽版）

Azure 的 Guest Configuration extension 會回報給 Security Center，協助確保虛擬機在訪客內的設定被強化。 啟用 Arc 的伺服器不需要此擴充功能，因為其包含在連結 Arc 的機器代理程式中。 擴充功能需要計算機上的系統受控識別。

我們已將四個新建議新增至資訊安全中心，以充分利用此延伸模組。

• 有兩個建議會提示您安裝擴充功能及其必要的系統受控識別：

  • 應在您的電腦上安裝來賓設定延伸模組
  • 應使用系統指派的受控識別，部署虛擬機器的來賓設定延伸模組

• 安裝並執行擴充功能時，將會開始稽核您的計算機，系統會提示您強化設定，例如作業系統和環境設定的設定。 這兩個建議會促使你如前所述加強 Windows 和 Linux 機器的防護：

  • Microsoft Defender 你的機器應該啟用漏洞防護
  • 對 Linux 電腦進行驗證需要 SSH 金鑰

在 了解 Azure 原則 的訪客配置 了解更多。

CMK 建議已移至最佳做法安全性控制

每個組織的安全性計劃都包含數據加密需求。 預設情況下，Azure 客戶的資料在靜態時會以服務管理金鑰加密。 不過，客戶管理的密鑰 （CMK） 通常需要符合法規合規性標準。 CMK 允許你用自己創建並擁有的 Azure Key Vault 金鑰加密資料。 這可讓您完全控制關鍵生命週期，包括輪替和管理。

Azure 資訊安全中心 的安全控制是邏輯上相關的安全建議群組，反映你脆弱的攻擊面。 如果您針對所有資源補救控件中列出的所有建議，則每個控件都有可新增至安全分數的最大點數。 實作 安全性最佳做法 安全性控件的價值為零點。 因此，此控件中的建議不會影響您的安全分數。

下列建議會移至 實作安全性最佳做法 安全性控件，以更充分反映其選擇性性質。 這項移動可確保這些建議處於最適當的控制中，以符合其目標。

• Azure Cosmos DB 帳戶應該使用客戶管理的密鑰來加密靜態資料
• Azure Machine Learning workspaces 應該用客戶管理密鑰（CMK）加密
• Azure AI 服務 帳號應啟用使用客戶管理金鑰（CMK）進行資料加密
• 容器登錄應使用客戶管理的金鑰加密 （CMK）
• SQL 受控執行個體應使用客戶自控金鑰來加密待用資料
• SQL 伺服器應使用客戶自控金鑰來加密待用資料
• 儲存體帳戶應使用客戶自控金鑰 (CMK) 加密

了解安全性控件中每個安全性控件 中有哪些建議及其建議。

11 Azure Defender警報已停用

以下列出的十一個Azure Defender警示已被棄用。

• 新的警示將會取代這兩個警示，並提供更佳的涵蓋範圍：

  AlertType	AlertDisplayName
  ARM_MicroBurstDomainInfo	預覽 - 偵測到 MicroBurst 工具組 “Get-AzureDomainInfo” 函式執行
  ARM_MicroBurstRunbook	預覽 - 偵測到 MicroBurst 工具組 “Get-AzurePasswords” 函式執行

• 這九則警示與一個已經被棄用的 Microsoft Entra 身份保護連接器（IPC）有關：

  AlertType	AlertDisplayName
  UnfamiliarLocation	不熟悉的登入屬性
  AnonymousLogin	匿名 IP 位址
  InfectedDeviceLogin	已連結惡意程式碼的 IP 位址
  ImpossibleTravel	非慣用移動
  MaliciousIP	惡意 IP 位址
  LeakedCredentials	認證外洩
  PasswordSpray	密碼噴灑
  LeakedCredentials	Microsoft Entra ID 威脅情報
  AADAI	Microsoft Entra ID AI

  Tip

  這九個 IPC 警示絕不是資訊安全中心警示。 它們是 Microsoft Entra 身份保護連接器（IPC）的一部分，該連接器將它們傳送到安全中心。 在過去兩年中，唯一看到這些警示的客戶是 2019 年或更早版本中設定匯出 （從連接器到 ASC） 的組織。 Microsoft Entra ID IPC 持續在其警示系統中顯示這些訊息，並且在 Microsoft Sentinel 中也持續提供。 唯一的變更是不再出現在資訊安全中心。

「套用系統更新」安全性控件的兩項建議已被取代

下列兩個建議已被取代，變更可能會導致對安全分數產生輕微影響：

• 您的電腦應該重新啟動以套用系統更新
• 監視代理程式應該安裝在您的電腦上。 此建議僅適用於本地機，部分邏輯會轉移到另一建議，Log Analytics代理健康問題應在你的機器上解決

建議您檢查您的連續匯出和工作流程自動化設定，以查看這些建議是否包含在其中。 此外，應該據以更新可能使用這些儀錶板的任何儀錶板或其他監視工具。

從Azure Defender儀表板移除機器磚塊上的 SQL Azure Defender

Azure Defender儀表板的覆蓋區域包含針對您環境相關 Azure Defender 計畫的圖塊。 由於受保護與未受保護資源數量的報告出現問題，我們決定暫時移除機器上 SQL 的資源覆蓋狀態Azure Defender，直到問題解決為止。

在安全性控制之間移動的建議

下列建議已移至不同的安全性控制。 安全性控制是相關安全性建議的邏輯群組，並反映易受攻擊面。 此舉可確保這些建議都處於最適當的控制中，以符合其目標。

了解安全性控件中每個安全性控件 中有哪些建議及其建議。

Recommendation	變更和影響
弱點評估應於您的 SQL 伺服器上啟用 SQL 受控執行個體上應啟用弱點評定 應補救 SQL 資料庫上的弱點 應補救 VM 中 SQL 資料庫的弱點	從補救弱點移出 （價值六分） 以補救安全性設定（價值四點）。 根據您的環境，這些建議會對分數產生降低的影響。
應將一個以上的擁有者指派給您的訂用帳戶 應加密自動化帳戶變數 IoT 裝置 - 稽核的進程已停止傳送事件 IoT 裝置 - 作業系統基準驗證失敗 IoT 裝置 - 需要 TLS 加密套件升級 IoT 裝置 - 開啟裝置上的連接埠 IoT 裝置 - 在其中一個鏈結中找到寬鬆的防火牆原則 IoT 裝置 - 在輸入鏈結中找到寬鬆的防火牆規則 IoT 裝置 - 在輸出鏈結中找到寬鬆的防火牆規則 IoT 中樞 中的診斷日誌應該被啟用 IoT 裝置 - 代理程式傳送使用量過低的訊息 IoT 裝置 - 預設 IP 篩選原則應為拒絕 IoT 裝置 - IP 篩選規則大型IP範圍 IoT 裝置 - 應調整代理程式訊息間隔和大小 IoT 裝置 - 相同的驗證認證 IoT 裝置 - 稽核的進程已停止傳送事件 IoT 裝置 - 作業系統 （OS） 基準設定應修正	移至實 作安全性最佳做法。 當建議移至實作安全性最佳做法安全性控件時，建議不會再影響您的安全分數。

2021 年 3 月

3 月的更新包括：

• Azure 防火牆管理整合於 Security Center
• SQL 弱點評估現在包含「停用規則」體驗（預覽）
• Azure 監視器 工作簿整合進安全中心，並提供三個範本
• 法規合規儀表板現已包含Azure審計報告（預覽版）
• 推薦資料可在Azure Resource Graph中以「探索ARG」查看
• 部署工作流程自動化原則的更新
• 兩個舊有建議不再直接將資料寫入Azure活動日誌
• 建議頁面增強功能

Azure 防火牆 管理整合於安全中心

當你打開 Azure 資訊安全中心 時，第一個會出現的頁面是概覽頁面。

此互動式儀錶板提供混合式雲端工作負載安全性狀態的統一檢視。 此外，它也會顯示安全性警示、涵蓋範圍資訊等等。

作為協助您從中央體驗查看安全狀態的一部分，我們已將 Azure 防火牆管理員 整合進這個儀表板。 你現在可以查看所有網路的防火牆覆蓋狀態，並從安全中心開始集中管理 Azure 防火牆 政策。

想了解更多關於此儀表板的資訊，請參閱Azure 資訊安全中心的總覽頁面。

Security Center 的總覽儀表板，包含 Azure 防火牆

SQL 弱點評估現在包含「停用規則」體驗（預覽）

資訊安全中心包含內建的弱點掃描器，可協助您探索、追蹤和補救潛在的資料庫弱點。 評估掃描的結果提供 SQL 機器的安全性狀態概觀，以及任何安全性結果的詳細數據。

如果您的組織需要忽略某個結果，而不是將其修復，您可以選擇性地停用該結果。 停用的結果不會影響您的安全分數或產生不想要的雜訊。

在停用特定結果中深入瞭解。

Azure 監視器 工作簿整合進安全中心，並提供三個範本

作為 Ignite 2021 春季展的一部分，我們宣布在安全中心整合 Azure 監視器 工作簿體驗。

您可以使用新的整合，從資訊安全中心的資源庫開始使用現用的範本。 藉由使用活頁簿範本，您可以存取及建置動態和可視化報表，以追蹤組織的安全性狀態。 此外，你也可以根據 Security Center 的資料或其他支援的資料類型建立新的工作簿，並快速部署來自 Security Center GitHub 社群的社群工作簿。

提供三個範本報表：

• 經過一段時間 的安全分數 - 追蹤訂用帳戶的分數，以及資源建議的變更
• 系統更新 - 按資源、操作系統、嚴重性等查看丟失的系統更新
• 脆弱性評估結果 - 查看您Azure資源漏洞掃描的結果

瞭解如何使用這些報告，或在建立資訊安全中心數據的豐富互動式報表中建立您自己的報表。

法規合規儀表板現已包含 Azure 審計報告（預覽版）

從法規合規儀表板的工具列，您現在可以下載 Azure 和 Dynamics 認證報告。

您可以選取相關報表類型的索引標籤（PCI、SOC、ISO 等），並使用篩選來尋找您需要的特定報表。

深入瞭解管理 法規合規性儀錶板中的標準。

建議資料可在 Azure Resource Graph 中透過「探索 ARG 」查看。

建議詳細數據頁面現在包含 [在 ARG 中探索] 工具列按鈕。 使用此按鈕開啟 Azure Resource Graph 查詢，並探索、匯出並分享推薦資料。

Azure Resource Graph（ARG）提供跨雲端環境的即時資源資訊存取，具備強大的過濾、分組與排序功能。 這是一種快速且高效的方式，可以程式化或在 Azure 入口網站內查詢 Azure 訂閱的資訊。

了解更多關於 Azure Resource Graph。

部署工作流程自動化原則的更新

自動化組織的監視和事件回應程程序，可大幅改善調查和緩解安全性事件所需的時間。

我們提供三種 Azure 原則「DeployIfNotExist」政策，建立並配置工作流程自動化程序，讓您能在整個組織部署自動化：

Goal	原則	原則識別碼
安全性警示的工作流程自動化	部署工作流程自動化Azure 資訊安全中心警示	f1525828-9a90-4fcf-be48-268cdd02361e
安全性建議的工作流程自動化	部署工作流程自動化，Azure 資訊安全中心推薦	73d6ab6c-2475-4850-afd6-43795f3492ef
法規合規性變更的工作流程自動化	部署工作流程自動化以Azure 資訊安全中心法規遵循	509122b9-ddd9-47ba-a5f1-d0dac20be63c

這些原則的功能有兩個更新：

• 指派時，強制仍會啟用它們。
• 您現在可以自定義這些原則，並在部署這些原則之後更新任何參數。 例如，您可以新增或編輯評定金鑰。

開始使用 工作流程自動化範本。

深入瞭解如何 自動響應資訊安全中心觸發程式。

有兩個舊有建議不再直接寫入 Azure 活動日誌

Security Center 會將幾乎所有安全建議的資料傳交給 Azure Advisor， 再將其寫入 Azure活動日誌。

有兩個建議，資料會同時直接寫入 Azure 活動日誌。 透過這項變更，資訊安全中心會停止將這些舊版安全性建議的數據直接寫入活動記錄。 相反地，我們會像其他推薦一樣，將資料匯出到 Azure Advisor。

這兩個舊版建議如下：

• 應解決您機器上端點保護健康情況的問題
• 您應在機器上修復安全性組態的弱點

如果您已在活動記錄的「TaskDiscovery 類型建議」類別中存取這兩項建議的資訊，就無法再使用。

建議頁面增強功能

我們已發行建議清單的改良版本，以一目了然地呈現更多資訊。

現在您會在頁面上看到：

1. 每個安全性控制件的最大分數和目前分數。
2. 取代標籤的圖示，例如 Fix 和 Preview。
3. 顯示與每個建議相關的 原則計劃 的新資料行 - 在停用「分組依據控制項」時顯示。

更多資訊請參閱 Azure 資訊安全中心 中的 Security 建議。

2021 年 2 月

2 月的更新包括：

• 新安全警示頁面於Azure入口網站釋出，供一般可用性
• 正式運作的 Kubernetes 工作負載保護建議 （GA）
• 適用於端點的 Microsoft Defender 與 Azure Defender 的整合現在支援在 Windows 虛擬桌面（預覽版）
• 從建議詳細數據頁面直接連結至原則
• SQL 數據分類建議不再影響您的安全分數
• 工作流程自動化可以透過法規合規性評定的變更來觸發 （預覽版）
• 資產清查頁面增強功能

Azure 入口網站中新推出的安全警示頁面，供一般可用性（GA）使用

Azure 資訊安全中心 的安全警示頁面重新設計，提供：

• 改善警示 的分級體驗 - 協助降低警示疲勞，並更輕鬆地專注於最相關的威脅，清單包含可自定義的篩選和群組選項。
• 警示清單中的 詳細資訊 - 例如 MITRE ATT&ACK 策略。
• 按鈕用於建立範例警示 - 評估Azure Defender能力並測試警示。 設定方面（用於 SIEM 整合、電子郵件通知及工作流程自動化），你可以從所有Azure Defender計畫中建立範例警示。
• 與 Azure Sentinel 事件經驗 - 對於同時使用兩種產品的客戶來說，切換變得更直接，也更容易從其中一種中學習。
• 大型警示清單的效能更好。
• 通過警報列表的鍵盤導航。
• Alerts from Azure Resource Graph - 你可以在 Azure Resource Graph 查詢警報，這是類似 Kusto 的 API，涵蓋你所有資源。 如果您要建置自己的警示儀錶板，這也很有用。 了解更多關於Azure Resource Graph。
• 建立範例警示功能 - 要從新警示體驗中建立範例警示，請參見 產生樣本Azure Defender警示。

正式運作的 Kubernetes 工作負載保護建議 （GA）

我們很高興宣佈 Kubernetes 工作負載保護的一組建議正式推出 （GA）。

為了確保 Kubernetes 工作負載預設是安全的，資訊安全中心已新增 Kubernetes 層級強化建議，包括使用 Kubernetes 許可控制強制執行選項。

當您的 Azure Kubernetes Service （AKS） 叢集安裝 Azure 原則 for Kubernetes 時，每個對 Kubernetes API 伺服器的請求都會依照預設的最佳實務集（顯示為 13 項安全建議）進行監控，然後再持續執行至叢集。 接下來，您便可透過設定來實施最佳做法，並為未來的工作負載授權採取這些做法。

例如，您可以授權禁止建立特殊權限容器，今後任何這類要求都會受到阻止。

在使用 Kubernetes 許可控制的工作負載保護最佳做法中深入瞭解。

Note

雖然建議處於預覽狀態，但並未呈現 AKS 叢集資源狀況不良，且未包含在安全分數的計算中。 在此 GA 公告中，這些將會包含在分數計算中。 如果您尚未補救它們，這可能會導致對安全分數產生輕微的影響。 如Remediate建議，Azure 資訊安全中心中所述，盡可能進行修復。

適用於端點的 Microsoft Defender與 Azure Defender 的整合現在支援虛擬桌面上的Windows Server 2019與Windows 10 Windows預覽版

適用於端點的 Microsoft Defender 是一款全方位、雲端交付的端點安全解決方案。 它提供風險型 弱點管理 和評估，以及 端點偵測及回應（EDR）。 欲了解與 Azure 資訊安全中心 一起使用 Defender for Endpoint 的完整優點，請參閱 Protect your endpoints with Security Center 的整合 EDR 解決方案：適用於端點的 Microsoft Defender。

當你啟用運行Windows Server的伺服器Azure Defender時，計畫中會附贈端點Defender授權。 如果你已經啟用了伺服器Azure Defender，且訂閱中有Windows Server 2019台伺服器，這些伺服器會隨著這次更新自動獲得端點的Defender。 不需要手動動作。

支援現已擴展至Windows虛擬桌面上的Windows Server 2019與Windows 10。

Note

如果你在 Windows Server 2019 伺服器上啟用 Endpoint 的 Defender，請確保它符合 啟用 適用於端點的 Microsoft Defender 整合 中描述的前提條件。

從建議詳細數據頁面直接連結至原則

當您檢閱建議的詳細資料時，通常有助於查看基礎原則。 對於原則所支援的每個建議，建議詳細數據頁面會有新的連結：

使用此連結來檢視原則定義，並檢閱評估邏輯。

SQL 數據分類建議不再影響您的安全分數

建議 SQL 資料庫中的敏感數據應該不再影響您的安全分數。 安全性控制檔 [套用數據分類 ]，其中包含它現在的安全分數值為 0。

如需所有安全性控件的完整清單，以及其分數和每個建議的清單，請參閱 安全性控件及其建議。

工作流程自動化可以透過法規合規性評定的變更來觸發 （預覽版）

我們已將第三個數據類型新增至工作流程自動化的觸發程式選項：法規合規性評定的變更。

瞭解如何使用自動化資訊安全中心觸發程序的回應中的工作流程自動化工具。

資產清查頁面增強功能

資訊安全中心的資產清查頁面已改善：

• 頁面頂端的摘要現在包含 [未註冊的訂用帳戶]，顯示未啟用資訊安全中心的訂用帳戶數目。

  

• 篩選已展開並增強，包括：

  • 計數 - 每個篩選器都會顯示符合每個類別準則的資源數目

    counts 在 Azure 資訊安全中心.

  • 包含豁免篩選 條件 （選擇性） - 將結果縮小為沒有豁免的資源。 預設不會顯示此篩選器，但可從 [新增篩選器 ] 按鈕存取。

    

深入瞭解如何使用 資產清查探索和管理您的資源。

2021 年 1 月

1 月的更新包括：

• Azure安全基準現已成為Azure 資訊安全中心
• 內部部署和多雲端機器的弱點評估已發行，正式運作 （GA）
• 管理群組的安全分數現已提供預覽 (英文)
• 公開上市的安全分數 API 已發行 （GA）
• 懸吊 DNS 保護新增於 App Service
• 多雲端連接器已發行正式運作 （GA）
• 免除訂用帳戶和管理群組安全分數的整個建議
• 用戶現在可以從其全域管理員要求全租用戶可見度
• 35 預覽建議新增，以擴大 Azure Security Benchmark
• 已篩選建議清單的 CSV 匯出 (英文)
• 「不適用」資源現已在Azure 原則評估中被報告為「合規」
• 使用連續匯出，匯出安全分數和法規合規性資料的每週快照集 (預覽) (英文)

Azure Security Benchmark 現已成為 Azure 資訊安全中心 的預設政策倡議

Azure 安全基準是 Microsoft 撰寫、針對 Azure 特定的安全與合規最佳實務指引，基於常見的合規框架。 這項廣受公認好評的效能評定以美國網際網路安全中心 (CIS) 和國家標準與技術研究院 (NIST) 的控制項為基礎，著重以雲端為中心的安全性。

近幾個月來，資訊安全中心的內建安全性建議清單已大幅增加，以擴大我們對此基準的涵蓋範圍。

在此版本中，基準檢驗是資訊安全中心建議的基礎，並完全整合為默認原則計劃。

所有 Azure 服務的文件中都有安全基線頁面。 這些基準是建立在 Azure 安全基準測試之上。

如果您使用資訊安全中心的法規合規性儀錶板，您會在轉換期間看到基準檢驗的兩個實例：

現有的建議不會受到影響，而且隨著基準檢驗的成長，變更會自動反映在資訊安全中心內。

若要深入瞭解，請參閱下列頁面：

• 了解更多關於 Azure Security Benchmark
• 在法規合規性儀表板中自訂一組標準

內部部署和多雲端機器的弱點評估已發行，正式運作 （GA）

十月時，我們宣布了搭載Azure Defender for Servers」整合漏洞評估掃描器（由 Qualys 提供）的掃描Azure Arc啟用伺服器的預覽版。

現已發行正式上市（GA）。

當你在非 Azure 機器上啟用 Azure Arc 後，Security Center 會提供在這些機器上手動且大規模部署整合的漏洞掃描器。

透過這次更新，你可以釋放 Azure Defender for Servers 的力量，整合你所有Azure及非Azure資產的漏洞管理計畫。

主要能力：

• 監控 Azure Arc 機器上的 VA（漏洞評估）掃描器配置狀態
• 將整合的 VA 代理程式配置到未受保護的 Windows 和 Linux Azure Arc 機器（手動且大規模配置）
• 從已部署的代理程式接收和分析偵測到的弱點（手動和大規模）
• Azure VMs and Azure Arc machines 的統一體驗

深入瞭解如何將整合式 Qualys 弱點掃描器部署到混合式機器。

了解更多關於啟用Azure Arc的伺服器。

管理群組的安全分數現已提供預覽 (英文)

除了訂用帳戶層級之外，安全分數頁面現在也會顯示管理群組的匯總安全分數。 因此，您現在可以查看組織中的管理群組清單，以及每個管理群組的分數。

了解更多關於>安全分數與安全控制的資訊。

公開上市的安全分數 API 已發行 （GA）

您現在可以透過 安全分數 API 存取分數。 API 方法可讓您靈活地查詢資料，並在一段時間後建立您自己的安全分數報告機制。 例如：

• 使用 安全分數 API 來取得特定訂用帳戶的分數
• 使用安全 分數控制項 API 列出安全性控制項和您訂用帳戶的目前分數

在我們GitHub社群的安全分數區，了解透過安全分數 API 所帶來的外部工具。

了解更多關於>安全分數與安全控制的資訊。

為應用程式服務新增懸浮 DNS 保護Azure Defender

子網域接管是組織的常見高嚴重性威脅。 當您有指向已取消布建網站的 DNS 記錄時，可能會發生子域接管。 這類 DNS 記錄也稱為「無關聯 DNS」項目。 CNAME 記錄特別容易遭受此威脅。

子域接管可讓威脅執行者將適用於組織網域的流量重新導向至執行惡意活動的月臺。

Azure Defender for App Service 現在會在 App Service 網站停用時偵測到懸浮的 DNS 條目。 這是 DNS 進入指向不存在的資源，且您的網站容易受到子域接管的影響。 無論您的網域是使用 Azure DNS 或外部網域註冊商管理，這些保護都適用於 Windows 上的 App Service 及 Linux 上的 Linux 上的 App Service。

瞭解詳情：

• App Service 警示參考表 - 包含兩個新的 Azure Defender 警示，當偵測到懸浮的 DNS 條目時會觸發
• 防止懸空 DNS 專案並避免子域接管 - 瞭解子域接管 的威脅和懸空的 DNS 層面
• App Service

多雲端連接器已發行正式運作 （GA）

由於雲端工作負載通常需要跨越多個雲端平台，因此雲端安全性服務必須執行相同動作。

Azure 資訊安全中心 保護 Azure、Amazon Web Services （AWS） 及 Google Cloud Platform （GCP） 中的工作負載。

連接您的 AWS 或 GCP 專案，將它們的原生安全工具如 AWS Security Hub 和 GCP Security Command Center 整合進 Azure 資訊安全中心。

這項功能表示資訊安全中心可在所有主要雲端環境中提供可見度和保護。 這項整合的一些優點：

• 自動代理配置 - Security Center 使用 Azure Arc 將 Log Analytics 代理部署到您的 AWS 實例
• 政策管理
• 弱點管理
• 內嵌端點偵測及回應 (EDR)
• 偵測安全性設定錯誤
• 顯示所有雲端提供者安全性建議的單一檢視
• 將所有資源納入資訊安全中心的安全分數計算
• AWS 和 GCP 資源的法規合規性評定

從 適用於雲端的 Defender 的選單中，選擇 Multicloud connectors，你會看到建立新連接器的選項：

深入瞭解：

• 將你的 AWS 帳號連接到 Azure 資訊安全中心
• 將你的 GCP 專案連結到 Azure 資訊安全中心

免除訂用帳戶和管理群組安全分數的整個建議

我們正在擴充豁免功能，以包含整個建議。 提供進一步選項來微調資訊安全中心針對訂用帳戶、管理群組或資源提出的安全性建議。

有時候，當您知道問題已由資訊安全中心未偵測到的第三方工具解決時，資源會列為狀況不良。 或者，建議會顯示在您覺得不屬於的範圍中。 建議可能不適用於特定訂用帳戶。 或者，您的組織可能已決定接受與特定資源或建議相關的風險。

透過此預覽功能，您現在可以建立建議的豁免：

• 豁免資源 ，以確保它不會在未來以狀況不良的資源列出，而且不會影響您的安全分數。 資源將會列為不適用，而且原因將會顯示為「豁免」您所選取特定理由。

• 豁免訂用帳戶或管理群組 ，以確保建議不會影響您的安全分數，而且未來不會針對訂用帳戶或管理群組顯示。 這與現有資源以及您未來建立的任何資源有關。 系統會將建議標上您所選取範圍的特定理由。

深入瞭解 從安全分數豁免資源和建議。

用戶現在可以從其全域管理員要求全租用戶可見度

如果使用者沒有查看資訊安全中心數據的許可權，他們現在會看到從其組織的全域管理員要求許可權的連結。 要求包含他們想要的角色，以及其必要原因的理由。

在要求全租用戶許可權不足時深入瞭解。

新增35項預覽建議以擴大Azure安全基準的覆蓋範圍

Azure 安全基準測試是Azure 資訊安全中心的預設政策倡議。

為了增加此基準的涵蓋範圍，資訊安全中心已新增下列 35 個預覽建議。

Tip

預覽建議不會呈現資源狀況不良，且不會包含在安全分數的計算中。 請盡可能補救它們，以便在預覽期間結束時，為分數做出貢獻。 請參考Remediate建議，Azure 資訊安全中心中了解更多如何回應這些建議。

安全性控制項	新建議
啟用待用加密	- Azure Cosmos DB 帳號應使用客戶管理的金鑰來加密靜態資料 - Azure Machine Learning 工作區應以客戶管理金鑰（CMK）加密 - 應該為 MySQL 伺服器啟用您自己的金鑰數據保護 - 應該為 PostgreSQL 伺服器啟用您自己的金鑰數據保護 - Azure AI 服務 帳號應啟用使用客戶管理金鑰（CMK）進行資料加密 - 容器登入應使用客戶管理的金鑰加密 （CMK） - SQL 受控實例應該使用客戶自控密鑰來加密待用數據 - SQL 伺服器應使用客戶管理的金鑰來加密待用數據 - 儲存器帳戶應使用客戶管理的金鑰 （CMK） 進行加密
實作安全性最佳做法	- 訂用帳戶應有安全性問題的聯繫人電子郵件位址 - 訂閱時應啟用 Log Analytics 代理的自動配置 - 應啟用高嚴重性警示的電子郵件通知 - 應啟用高嚴重性警示的訂用帳戶擁有者的電子郵件通知 - 金鑰保存庫應該已啟用清除保護 - 金鑰保存庫應該已啟用虛刪除
管理存取權與權限	- 函式應用程式應已啟用「用戶端憑證」（傳入客戶端憑證）」
保護應用程式免受 DDoS 攻擊	- 應用閘道應啟用 Web 應用程式防火牆（WAF） - Web 應用程式防火牆 （WAF） 應啟用用於 Azure Front Door Service 服務
限制未經授權的網路存取	- 防火牆應在 金鑰保存庫 啟用 - 私有端點應設定為 金鑰保存庫 - 應用程式組態 應該使用私人連結 - Azure Cache for Redis 應該位於虛擬網路中 - Azure 事件方格 網域應使用 private link - Azure 事件方格 主題應使用 private link - Azure Machine Learning 工作空間應使用 Private Link - Azure SignalR Service should use private link - Azure Spring Cloud 應該使用網路注入 - 容器登錄不應允許不受限制的網路存取 - 容器登錄應該使用私人連結 - 應停用 MariaDB 伺服器的公用網路存取 - MySQL 伺服器應停用公用網路存取 - 應停用 PostgreSQL 伺服器的公用網路存取 - 記憶體帳戶應使用私人連結連線 - 記憶體帳戶應使用虛擬網路規則來限制網路存取 - VM 映射產生器範本應該使用私人連結

相關連結：

• 了解更多關於 Azure Security Benchmark
• 了解更多關於適用於 MariaDB 的 Azure 資料庫
• 了解更多關於適用於 MySQL 的 Azure 資料庫
• 了解更多關於適用於 PostgreSQL 的 Azure 資料庫

已篩選建議清單的 CSV 匯出 (英文)

在 2020 年 11 月，我們已將篩選新增至建議頁面。

在此公告中，我們會變更 [下載至 CSV] 按鈕的行為 ，讓 CSV 匯出只包含篩選清單中目前顯示的建議。

例如，在下圖中，您可以看到清單已篩選為兩個建議。 產生的 CSV 檔案包含受這兩項建議影響之每個資源的狀態詳細數據。

更多資訊請參閱 Azure 資訊安全中心 中的 Security 建議。

「不適用」資源現在在 Azure 原則 評估中被回報為「合規」

過去，經過評估並被認定為不適用的資源，會在Azure 原則中顯示為「不合規」。 使用者動作無法將其狀態變更為「符合規範」。透過這項變更，系統會將他們回報為「相容」，以改善清晰度。

唯一影響會發生在 Azure 原則，因為合規資源數量會增加。 在 Azure 資訊安全中心 的安全分數不會受到影響。

使用連續匯出，匯出安全分數和法規合規性資料的每週快照集 (預覽) (英文)

我們已將新的預覽功能新增至 連續匯出 工具，以匯出安全分數和法規合規性資料的每週快照集。

當您定義連續匯出時，請設定匯出頻率：

• 串流 — 當資源的健康情況狀態更新時，將會傳送評估 （如果未發生更新，則不會傳送任何資料）。
• 快照集 — 每週都會傳送所有法規合規性評估目前狀態的快照集 （這是安全分數和法規合規性資料每週快照集的預覽功能）。

在持續匯出資訊安全中心數據中深入瞭解這項功能的完整功能。

2020 年 12 月

12 月的更新包括：

• Azure Defender 用於機器上的 SQL 伺服器已普遍提供
• Azure Defender 用於 SQL 專用 SQL 池的支援Azure Synapse Analytics已普遍提供
• 全域管理員現在可以授與自己租用戶層級的許可權
• 兩個新的Azure Defender方案：Azure Defender用於DNS和Azure Defender用於Resource Manager（預覽中）
• 新安全警示頁面，Azure入口網站（預覽）
• 振興安全中心Azure SQL Database與SQL 受管理執行個體
• 資產清查工具和篩選已更新
• 要求 SSL 憑證的 Web 應用程式不再屬於安全分數的一部分的建議
• [建議] 頁面有適用於環境、嚴重性和可用回應的新篩選
• 連續導出會取得新的數據類型，並改善 deployifnotexist 原則

針對機器上的 SQL 伺服器 Azure Defender 已普遍提供

Azure 資訊安全中心 提供兩種 SQL Server 的 Azure Defender 方案：

• Azure Defender 用於Azure SQL資料庫伺服器 - 保護你Azure原生的 SQL 伺服器
• Azure Defender 適用於機器上的 SQL 伺服器 - 將相同的保護擴展到混合、多雲及本地環境中的 SQL 伺服器

隨著這項公告，Azure Defender for SQL 現在能保護你的資料庫及其資料，無論它們位於何處。

SQL Azure Defender包含漏洞評估功能。 弱點評估工具包含下列進階功能：

• 基準組態 （New！），以智慧方式將弱點掃描的結果精簡為可能代表實際安全問題的結果。 建立基準安全性狀態之後，弱點評量工具只會報告與該基準狀態的偏差。 符合基準的結果會被視為通過後續掃描。 這可讓您和分析師將注意力放在重要的地方。
• 詳細的基準檢驗資訊 可協助您 瞭解 探索到的結果，以及它們為何與您的資源相關。
• 補救指令碼，可協助您降低已識別的風險。

了解更多關於 Azure Defender 用於 SQL。

Azure Defender Azure Synapse Analytics專用 SQL 池的 SQL 支援已普遍提供

Azure Synapse Analytics（前稱 SQL DW）是一項結合企業資料倉儲與大數據分析的分析服務。 專用 SQL 池是 Azure Synapse 的企業資料倉儲功能。 在 什麼是 Azure Synapse Analytics（前稱 SQL DW）？ 了解更多。

Azure Defender for SQL 保護你的專用 SQL 池，包括：

• 偵測威脅和攻擊的進階威脅防護
• 識別及補救安全性設定的弱點評估功能

Azure Defender SQL 對 Azure Synapse Analytics SQL 池的支援會自動加入 Azure 資訊安全中心 Azure SQL 資料庫套件中。 在 Azure 入口網站的 Synapse 工作區頁面，有一個新的 Azure Defender 用於 SQL 分頁。

了解更多關於 Azure Defender 用於 SQL。

全域管理員現在可以授與自己租用戶層級的許可權

擁有Global AdministratorMicrosoft Entra ID角色的使用者可能擁有租戶範圍的責任，但缺乏Azure權限以在Azure 資訊安全中心中查看該組織性資訊。

若要指派自己租用戶層級的許可權，請遵循將全租用戶許可權授與自己中的指示。

兩個新的Azure Defender方案：Azure Defender 用於 DNS 和 Azure Defender for Resource Manager（預覽中）

我們為您的 Azure 環境新增了兩項雲端原生廣度威脅防護功能。

這些新防護大幅提升您對威脅行為者攻擊的韌性，並大幅增加受Azure Defender保護的Azure資源數量。

• Azure Defender for Resource Manager - 自動監控組織中所有的資源管理操作。 如需詳細資訊，請參閱

  • Resource Manager
  • 回應Azure Defender Resource Manager警示
  • Azure Defender 提供的 Resource Manager

• Azure Defender 用於 DNS - 持續監控你Azure資源中的所有 DNS 查詢。 如需詳細資訊，請參閱

  • DNS
  • 回應 DNS 警示Azure Defender
  • DNS

Azure portal （preview） 中的新安全警報頁面

Azure 資訊安全中心 的安全警示頁面重新設計，提供：

• 改善警示 的分級體驗 - 協助減少警示疲勞，並更輕鬆地專注於最相關的威脅，清單包含可自定義的篩選和群組選項
• 警示清單中的 詳細資訊 - 例如 MITRE ATT&ACK 策略
• Button 用於建立範例警示 - 為了評估Azure Defender能力並測試警示設定（用於 SIEM 整合、電子郵件通知及工作流程自動化），你可以從所有Azure Defender計畫中建立範例警示
• 與 Sentinel 事件經驗對Azure Sentinel 事件經驗的對齊/c0 - 對於同時使用兩種產品的客戶來說，切換使用變得更直接，也更容易學習兩者之間的差異
• 大型警示清單的效能更好
• 鍵盤瀏覽警示清單
• Alerts from Azure Resource Graph - 你可以在 Azure Resource Graph 查詢警報，這是類似 Kusto 的 API，涵蓋你所有資源。 如果您要建置自己的警示儀錶板，這也很有用。 了解更多關於Azure Resource Graph。

若要存取新的體驗，請使用安全性警示頁面頂端橫幅中的 [立即試用] 連結。

若要從新警示體驗中建立範例警示，請參見 Generate sample Azure Defender alerts。

Azure SQL Database & 中的 Revitalized Security Center 經驗 &SQL 受管理執行個體

SQL 中的安全中心體驗提供以下安全中心及 SQL 功能的Azure Defender：

• Security 建議 – Security Center 定期分析所有連接Azure資源的安全狀態，以識別潛在的安全錯誤配置。 接著會提供如何補救這些弱點並改善組織安全性狀態的建議。
• Security alerts – 一項偵測服務，持續監控Azure SQL活動，偵測如 SQL 注入、暴力破解攻擊及權限濫用等威脅。 此服務會在安全中心觸發詳細且行動導向的安全警示，並提供持續調查選項，使用Microsoft Azure原生的 SIEM 解決方案 Microsoft Sentinel。
• Findings – 一項持續監控Azure SQL配置並協助修復漏洞的漏洞評估服務。 評估掃描提供 Azure SQL 安全狀態的概覽及詳細的安全發現。

Azure 資訊安全中心 的 SQL 安全功能可從 Azure SQL

資產清查工具和篩選已更新

Azure 資訊安全中心 的庫存頁面進行了以下更新：

• 已新增至工具列的指南和意見反應 。 這會開啟包含相關信息和工具連結的窗格。

• 訂閱篩選器 已新增至資源可用的預設篩選器。

• Open query連結，用於開啟目前篩選選項作為Azure Resource Graph查詢（前稱「資源圖瀏覽器中的檢視」）。

• 每個過濾器的運算子選項。 現在您可以從 『=』 以外的更多邏輯運算子中進行選擇。 例如，您可能想要尋找具有使用中建議的所有資源，其標題包含字串 'encrypt'。

  

若要深入瞭解清查，請參閱 使用資產清查探索和管理您的資源。

要求 SSL 憑證的 Web 應用程式不再屬於安全分數的一部分的建議

建議「Web 應用程式應要求所有傳入要求的 SSL 憑證」已從安全性控制 管理存取權和許可權 （最多 4 點）移至 實作安全性最佳做法 （不值得點）。

確保 Web 應用程式要求憑證一定會使其更安全。 不過，針對面向公眾的 Web 應用程式，這無關緊要。 如果您透過 HTTP 存取您的網站，而非 HTTPS，將不會收到任何用戶端憑證。 因此如果您的應用程式需要用戶端憑證，請勿允許透過 HTTP 傳入您應用程式的要求。 詳情請參見 配置 TLS 互認證 Azure App 服務。

有了這項變更，建議現在是不會影響分數的建議最佳做法。

了解安全性控件中每個安全性控件 中有哪些建議及其建議。

[建議] 頁面有適用於環境、嚴重性和可用回應的新篩選

Azure 資訊安全中心 監控所有連接的資源並產生安全建議。 使用這些建議來強化混合式雲端狀態，並追蹤與貴組織、產業和國家/地區相關的原則和標準合規性。

隨著資訊安全中心持續擴充其涵蓋範圍和功能，每個月的安全性建議清單都會增加。 例如，請參考新增的Twenty99 預覽建議，以擴大 Azure 安全基準測試。

隨著清單的成長，需要篩選建議，以找出最感興趣的建議。 在11月，我們已將篩選新增至建議頁面（請參閱 建議清單現在包含篩選條件）。

本月新增的篩選會提供選項，以根據下列專案來精簡建議清單：

• Environment - 查看 AWS、GCP 或 Azure 資源（或任意組合）的建議

• 嚴重性 - 根據安全中心設定的嚴重性分類檢視建議

• 回應動作 - 根據安全性中心回應選項的可用性檢視建議：修正、拒絕和強制執行

  Tip

  回應動作篩選會 取代 [快速修正] 可用的 [是/否] 篩選條件。

  深入瞭解下列每個回應選項：

  • 修復按鈕
  • 防止強制/拒絕建議的設定錯誤

連續導出會取得新的數據類型，並改善 deployifnotexist 原則

Azure 資訊安全中心 的持續匯出工具允許您將 Security Center 的建議與警示匯出，供您環境中的其他監控工具使用。

連續匯出可讓您完整自定義將導出的內容，以及其前往何處。 如需完整詳細數據，請參閱 持續導出資訊安全中心數據。

這些工具已透過下列方式增強和擴充：

• 持續導出的 deployifnotexist 原則增強。 原則現在：

  • 檢查組態是否已啟用。 如果不是，原則會顯示為不符合規範，並建立相容的資源。 請參考Set a continuous export中的「大規模部署，使用Azure 原則分頁」中提供Azure 原則範本。

  • 支援匯出安全性結果。 使用 Azure 原則 範本時，你可以設定持續匯出以包含發現結果。 這在導出具有「子」建議的建議時相關，例如「應該在您的機器上安裝系統更新」的弱點評估掃描儀或特定系統更新的結果。

  • 支援導出安全分數數據。

• 已新增法規合規性評定數據（預覽版）。 您現在可以持續將法規合規評估的更新，包括任何自訂計畫，匯出至 Log Analytics 工作空間或事件中心。 國家雲端無法使用此功能。

  

2020 年 11 月

11 月的更新包括：

• 29 預覽建議新增，以擴大 Azure 安全基準
• NIST SP 800 171 R2 已新增至資訊安全中心的法規合規性儀錶板
• 建議清單現在包含篩選
• 自動布建體驗已改善和擴充
• 安全分數現已可在連續匯出中使用（預覽）
• 「系統更新應該安裝在您的電腦上」建議現在包含子命令
• Policy Management 頁面在 Azure 入口網站顯示預設政策指派狀態

新增 29 項預覽建議以擴大 Azure 安全基準的覆蓋範圍

Azure 安全基準是 Microsoft 撰寫、針對 Azure 專屬的安全與合規最佳實務指引，基於常見的合規框架。 了解更多關於Azure安全基準。

下列 29 個預覽建議已新增至資訊安全中心，以增加此基準檢驗的涵蓋範圍。

預覽建議不會呈現資源狀況不良，且不會包含在安全分數的計算中。 請盡可能補救它們，以便在預覽期間結束時，為分數做出貢獻。 請參考Remediate建議，Azure 資訊安全中心中了解更多如何回應這些建議。

安全性控制項	新建議
加密傳輸中的資料	- 應針對 PostgreSQL 資料庫伺服器啟用 SSL 連線 - 應為 MySQL 資料庫伺服器啟用強制 SSL 連線 - TLS 應更新為 API 應用程式的最新版本 - 函式應用程式的 TLS 應更新為最新版本 - TLS 應更新為 Web 應用程式的最新版本 - 您的 API 應用程式中應該需要 FTPS - 函式應用程式中應該需要 FTPS - Web 應用程式中應該需要 FTPS
管理存取權與權限	- Web 應用程式應針對所有傳入要求要求要求 SSL 憑證 - 您的 API 應用程式應該使用受控識別 - 函式應用程式中應該使用受控識別 - 應在 Web 應用程式中使用受控識別
限制未經授權的網路存取	- 應為 PostgreSQL 伺服器啟用私人端點 - 應為 MariaDB 伺服器啟用私人端點 - 應為 MySQL 伺服器啟用私人端點
啟用稽核與記錄	- 應啟用 App Services 中的診斷記錄
實作安全性最佳做法	- Azure 備份 應啟用於虛擬機上 - 適用於 MariaDB 的 Azure 資料庫 應啟用地理冗餘備份 - 適用於 MySQL 的 Azure 資料庫 應啟用地理冗餘備份 - 適用於 PostgreSQL 的 Azure 資料庫 應啟用地理冗餘備份 - PHP 應該更新為 API 應用程式的最新版本 - PHP 應更新為 Web 應用程式的最新版本 - Java 應更新至你的 API 應用程式最新版本 - Java 應更新至函式應用程式的最新版本 - Java 應更新至您的網頁應用程式最新版本 - Python 應更新至您的 API 應用程式最新版本 - Python 應更新至你的函式應用程式最新版本 - Python 應更新至您的網頁應用程式最新版本 - 稽核 SQL 伺服器的保留期應設定為至少 90 天

相關連結：

• 了解更多關於 Azure Security Benchmark
• 了解更多關於Azure API 應用程式
• 了解更多關於Azure功能應用程式
• 了解更多關於Azure網頁應用程式
• 了解更多關於適用於 MariaDB 的 Azure 資料庫
• 了解更多關於適用於 MySQL 的 Azure 資料庫
• 了解更多關於適用於 PostgreSQL 的 Azure 資料庫

NIST SP 800 171 R2 已新增至資訊安全中心的法規合規性儀錶板

NIST SP 800-171 R2 標準現已作為內建計畫，供 Azure 資訊安全中心 的法規合規儀表板使用。 控件的對應描述 於 NIST SP 800-171 R2 法規合規性內建方案的詳細數據中。

若要將標準套用至您的訂用帳戶，並持續監視合規性狀態，請使用在法規合規性儀錶板中自定義標準集中的指示。

如需此合規性標準的詳細資訊，請參閱 NIST SP 800-171 R2。

建議清單現在包含篩選

您現在可以根據一系列準則來篩選安全性建議清單。 在下列範例中，會篩選建議清單以顯示建議：

• 正式 推出 （即非預覽版）
• 適用於 儲存體帳戶
• 支援 快速修正 補救

自動布建體驗已改善和擴充

自動配置功能透過在新舊 Azure 虛擬機上安裝所需的擴充功能，降低管理負擔，讓它們能享受安全中心的保護。

隨著 Azure 資訊安全中心 的成長，更多擴充功能被開發出來，Security Center 也能監控更多資源類型。 自動配置工具現已擴展至支援其他擴充功能與資源類型，並利用 Azure 原則 的功能。

您現在可以設定下列項目的自動布建：

• Log Analytics 代理程式
• （新）Azure 原則 for Kubernetes
• （新）Microsoft Dependency agent

在 Azure 資訊安全中心 的 Autoprovisioning agents and extensions 中了解更多。

安全分數現已可在連續匯出中使用（預覽）

透過持續匯出安全分數，您可以即時將分數變更串流至 Azure 事件中樞 或 Log Analytics 工作空間。 您可以使用此功能：

• 使用動態報告追蹤您的安全分數一段時間
• 將安全分數資料匯出至 Microsoft Sentinel（或其他 SIEM）
• 將此數據與您可能用來監視組織中安全分數的任何程式整合

深入瞭解如何 持續匯出資訊安全中心數據。

「系統更新應該安裝在您的電腦上」建議現在包含子命令

系統更新應該安裝在您的電腦建議已增強。 新版本包含每個遺漏更新的子命令，並帶來下列改善：

• Azure 入口網站 Azure 資訊安全中心 頁面的重新設計體驗。 系統更新的建議詳細數據頁面 應該安裝在您的電腦 上，包括結果清單，如下所示。 當您選取單一尋找時，詳細數據窗格隨即開啟，其中包含補救資訊和受影響資源清單的連結。

  

• 來自 Azure Resource Graph （ARG） 的 Enriched data for the recommendation。 ARG 是一項 Azure 服務，旨在提供高效的資源探索。 您可以使用ARG大規模查詢一組指定的訂用帳戶，以便有效地控管您的環境。

  Azure 資訊安全中心方面，你可以使用 ARG 和 Kusto 查詢語言（KQL）來查詢各種安全態勢資料。

  先前，如果您在 ARG 中查詢此建議，唯一可用的資訊就是必須在機器上補救建議。 下列增強版本的查詢會傳回每一個依計算機分組的遺漏系統更新。

  securityresources
  | where type =~ "microsoft.security/assessments/subassessments"
  | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
  | where properties.status.code == "Unhealthy"
  

Azure 入口網站中的政策管理頁面現在顯示預設政策指派的狀態

你現在可以在安全中心Azure入口網站的security policy頁面查看你的訂閱是否被指派了預設的Security Center政策。

2020 年 10 月

10 月的更新包括：

• 內部部署和多雲端機器的弱點評估 （預覽）
• Azure 防火牆推薦（預覽）
• 授權的IP範圍應在 Kubernetes Services 建議上定義，並透過快速修正進行更新
• 法規合規性儀表板現在包含移除標準的選項
• Microsoft。Security/securityStatuses 表格已從 Azure Resource Graph

內部部署和多雲端機器的弱點評估 （預覽）

Azure Defender for Servers」整合漏洞評估掃描器（由 Qualys 提供技術）現在能掃描支援 Azure Arc 的伺服器。

當你在非 Azure 機器上啟用 Azure Arc 後，Security Center 會提供在這些機器上手動且大規模部署整合的漏洞掃描器。

透過這次更新，你可以釋放 Azure Defender for Servers 的力量，整合你所有Azure及非Azure資產的漏洞管理計畫。

主要能力：

• 監控 Azure Arc 機器上的 VA（漏洞評估）掃描器配置狀態
• 將整合的 VA 代理程式配置到未受保護的 Windows 和 Linux Azure Arc 機器（手動且大規模配置）
• 從已部署的代理程式接收和分析偵測到的弱點（手動和大規模）
• Azure VMs and Azure Arc machines 的統一體驗

深入瞭解如何將整合式 Qualys 弱點掃描器部署到混合式機器。

了解更多關於啟用Azure Arc的伺服器。

Azure 防火牆 recommendation added （preview）

新增建議以 Azure 防火牆 保護你所有虛擬網路。

建議虛擬網路應由Azure 防火牆保護，建議你限制對虛擬網路的存取，並透過使用Azure 防火牆來防止潛在威脅。

了解更多關於Azure 防火牆。

授權的IP範圍應在 Kubernetes Services 建議上定義，並透過快速修正進行更新

建議在 Kubernetes Services 上定義授權的 IP 範圍現在有快速修正選項。

法規合規性儀表板現在包含移除標準的選項

資訊安全中心的法規合規性儀錶板會根據您符合特定合規性控制和需求的方式，提供合規性狀態的深入解析。

儀錶板包含一組預設的法規標準。 如果任何提供的標準與您的組織無關，現在就是從訂用帳戶的UI中移除這些標準的程式。 標準只能在 訂閱 層級移除;而不是管理群組範圍。

若要深入瞭解，請參閱 從儀錶板移除標準。

Microsoft。Security/securityStatuses table 已從 Azure Resource Graph （ARG） 移除

Azure Resource Graph 是 Azure 中的一項服務，設計用來提供高效的資源探索，並能在特定訂閱組間大規模查詢，讓你能有效管理環境。

Azure 資訊安全中心方面，你可以使用 ARG 和 Kusto 查詢語言（KQL）來查詢各種安全態勢資料。 例如：

• 資產清查會利用ARG
• 我們已記錄範例 ARG 查詢，以 瞭解如何識別未啟用多重要素驗證的帳戶（MFA）

在ARG中，有數據表可供您在查詢中使用。

Tip

ARG 文件列出了所有可用的表格，Azure Resource Graph 表格及資源類型參考。

從這次更新開始，Microsoft。Security/securityStatuses 表格已被移除。 securityStatuses API 仍可供使用。

Microsoft 可以使用資料替換功能。安全/評估表。

Microsoft 之間的主要差異。Security/securityStatuses 與 Microsoft。安全性/評估是，第一組顯示的是評估的彙整，而第二組則是每個評量的單一紀錄。

例如，Microsoft。Security/securityStatuses 會回傳包含兩個 policyAssessment 的結果：

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

而 Microsoft。安全/評估部門為每項此類政策評估保存紀錄如下：

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

使用 securityStatuses 將現有 ARG 查詢轉換成現在使用評定數據表的範例：

參考 SecurityStatuses 的查詢：

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Assessments 數據表的取代查詢：

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

如需詳細資訊，請參閱下列連結：

• 如何使用 Azure Resource Graph Explorer 建立查詢
• Kusto 查詢語言 (KQL)

2020 年 9 月

9 月的更新包括：

• 資訊安全中心會取得新的外觀！
• Azure Defender已發布
• Azure Defender for 金鑰保存庫 通常已提供
• Azure Defender用於檔案儲存保護及 ADLS Gen2 已普遍提供
• 資產清查工具現已正式推出
• 停用容器登錄和虛擬機掃描的特定弱點尋找
• 從建議豁免資源
• 資訊安全中心的 AWS 和 GCP 連接器帶來多重雲端體驗
• Kubernetes 工作負載保護建議套件組合
• 弱點評估結果現在可在連續匯出中使用
• 藉由在建立新資源時強制執行建議來防止安全性設定錯誤
• 網路安全組建議已改善
• 已被取代的預覽 AKS 建議「應在 Kubernetes Services 上定義 Pod 安全策略」
• 電子郵件通知Azure 資訊安全中心改善
• 安全分數不包含預覽建議
• 建議現在包含嚴重性指標和新鮮度間隔

資訊安全中心會取得新外觀

我們已針對資訊安全中心的入口網站頁面發行重新整理的UI。 新頁面包含新的總覽頁面及安全分數、資產盤Azure Defender儀表板。

重新設計的總覽頁面現在有一個磁貼，可以存取安全分數、資產盤點和Azure Defender儀表板。 它也具有磚連結至法規合規性儀錶板。

深入瞭解 總覽頁面。

Azure Defender已釋出

Azure Defender 是整合於 Security Center 內的雲端工作負載保護平台（CWPP），用於進階、智慧化地保護您的Azure及混合工作負載。 它會取代資訊安全中心的標準定價層選項。

當你啟用定價與設定區域的 Azure 資訊安全中心 Azure Defender 時，以下Defender方案同時啟用，並為環境中的計算、資料與服務層提供全面的防禦：

• Azure Defender for Servers
• Azure Defender for App Service
• Azure Defender用於儲存
• 適用於 SQL 的 Azure Defender
• Azure Defender代表金鑰保存庫
• Azure Defender for Kubernetes
• Azure Defender用於容器登錄

這些方案都會在資訊安全中心檔中個別說明。

憑藉專屬儀表板，Azure Defender 提供虛擬機、SQL 資料庫、容器、網頁應用程式、網路等安全警示與先進威脅防護。

了解更多關於 Azure Defender

Azure Defender for 金鑰保存庫 通常都有

Azure Key Vault 是一項雲端服務，保護加密金鑰與秘密，如憑證、連線字串和密碼。

Azure Defender for 金鑰保存庫 提供Azure原生的先進威脅防護Azure Key Vault，提供額外的安全情報層。 進一步來說，金鑰保存庫 Azure Defender也保護了許多依賴於你金鑰保存庫帳戶的資源。

選擇性方案現在是 GA。 此功能曾以「Azure Key Vault 的進階威脅防護」為預覽版。

此外，Azure入口網站的金鑰保存庫頁面現在也包含專門的Security頁面，用於提供Security Center的建議與警示。

在Azure Defender了解更多關於金鑰保存庫。

檔案儲存保護Azure Defender及 ADLS Gen2 已普遍提供

Azure Defender for Storage 偵測你Azure 儲存體帳號上的潛在有害活動。 不論數據儲存為 Blob 容器、檔案共用或 Data Lake，都可以受到保護。

目前已普遍支援 Azure 檔案儲存體 與 Azure Data Lake Storage Gen2。

從 2020 年 10 月 1 日開始，我們將開始收取保護這些服務資源費用。

在 Storage 中Azure Defender了解更多。

資產清查工具現已正式推出

Azure 資訊安全中心 的資產清單頁面提供單一頁面，讓您查看已連接至 Security Center 的資源安全狀況。

Security Center 會定期分析您 Azure 資源的安全狀態，以找出潛在的安全漏洞。 然後提供您如何補救這些弱點的建議。

當任何資源有尚未完成的建議時，就會出現在清查中。

若要深入瞭解，請參閱 使用資產清查探索和管理您的資源。

停用容器登錄和虛擬機掃描的特定弱點尋找

Azure Defender包含漏洞掃描器，可掃描Azure Container Registry與虛擬機器中的影像。

如果您的組織需要忽略某個結果，而不是將其修復，您可以選擇性地停用該結果。 停用的結果不會影響您的安全分數或產生不想要的雜訊。

當某個結果符合停用規則中定義的準則時，其就不會出現在結果清單中。

此選項可從下列建議詳細數據頁面取得：

• Azure Container Registry影像中的漏洞應該被修復
• 應補救虛擬機中的弱點

讓資源豁免建議

有時候，即使您覺得不應該，資源也會列為特定建議狀況不良（因此降低您的安全分數）。 它可能已由資訊安全中心未追蹤的程式進行補救。 或者，貴組織已決定接受該特定資源的風險。

在這種情況下，您可以建立豁免規則，並確保未來資源不會列在狀況不良的資源中。 這些規則可以包含記載的理由，如下所述。

若要深入瞭解，請參閱 免除資源的建議和安全分數。

資訊安全中心的 AWS 和 GCP 連接器帶來多重雲端體驗

由於雲端工作負載通常需要跨越多個雲端平台，因此雲端安全性服務必須執行相同動作。

Azure 資訊安全中心 現在保護 Azure、Amazon Web Services（AWS）及 Google Cloud Platform （GCP）中的工作負載。

當您將 AWS 和 GCP 專案導入 Security Center，它會整合 AWS Security Hub、GCP Security Command 和 Azure 資訊安全中心。

在 將你的 AWS 帳號連結到 Azure 資訊安全中心 以及 將你的 GCP 專案連結到 Azure 資訊安全中心 了解更多。

Kubernetes 工作負載保護建議套件組合

為了確保 Kubernetes 工作負載預設是安全的，資訊安全中心會新增 Kubernetes 層級強化建議，包括使用 Kubernetes 許可控制強制執行選項。

當你在 AKS 叢集上安裝 Azure 原則 for Kubernetes 後，每個對 Kubernetes API 伺服器的請求都會依照預設的最佳實務進行監控，然後再持續存在到叢集。 接下來，您便可透過設定來實施最佳做法，並為未來的工作負載授權採取這些做法。

例如，您可以授權禁止建立特殊權限容器，今後任何這類要求都會受到阻止。

在使用 Kubernetes 許可控制的工作負載保護最佳做法中深入瞭解。

弱點評估結果現在可在連續匯出中使用

使用 Continuous Export 將您的警報與建議串流至 Azure 事件中樞、Log Analytics 工作空間或 Azure 監視器。 接著，你可以將這些資料整合到SIEM系統，例如Microsoft Sentinel、Power BI、Azure Data Explorer等。

資訊安全中心的整合式弱點評估工具會傳回資源相關結果，作為「父代」建議內可採取動作的建議，例如「應補救虛擬機中的弱點」。

當您選取建議並啟用 [包含安全性結果] 選項時，現在可以透過連續導出來匯出安全性結果 。

相關頁面：

• Security Center 整合的 Qualys 漏洞評估解決方案，適用於Azure虛擬機
• Security Center 整合的 Azure Container Registry 影像
• 連續出口

藉由在建立新資源時強制執行建議來防止安全性設定錯誤

錯誤的安全性設定是安全性事件的主要原因。 資訊安全中心現在能夠協助 防止 新資源與特定建議相關的設定錯誤。

這項功能可協助保護您工作負載的安全，並穩定您的安全分數。

您可以透過兩種模式，根據特定建議強制執行安全設定：

• 利用 Azure 原則 的拒絕模式，你可以阻止不健康的資源被建立

• 透過強制選項，你可以利用 Azure 原則 的 DeployIfNotExist 效果，並在建立時自動修復不合規的資源

這適用於選取的安全性建議，而且可在資源詳細數據頁面頂端找到。

請在＜防止強制/拒絕建議的設定錯誤＞中深入了解。

網路安全組建議已改善

已改善與網路安全組相關的下列安全性建議，以減少某些誤判實例。

• 所有網路埠都應該限制在與您的 VM 相關聯的 NSG 上
• 應關閉虛擬機器上的管理連接埠
• 應使用網路安全性群組保護網際網路對應的虛擬機器
• 子網路應該與網路安全性群組建立關聯

已被取代的預覽 AKS 建議「應在 Kubernetes Services 上定義 Pod 安全策略」

預覽建議「Pod Security Policies 應在 Kubernetes Services 上定義」正被棄用，詳情見 Azure Kubernetes Service 文件中所述。

Pod 安全政策（預覽）功能已設定為棄用，並將於 2020 年 10 月 15 日後不再提供，取而代之的是 Azure 原則 for AKS。

在 pod 安全政策（預覽版）棄用後，您必須在使用已棄用功能的現有叢集上停用該功能，才能進行未來叢集升級並保持在 Azure 支援 範圍內。

Azure 資訊安全中心 的電子郵件通知功能有所改善

已改善下列有關安全性警示的電子郵件區域：

• 已新增傳送所有嚴重性層級警示相關電子郵件通知的功能
• 新增了通知訂閱中不同 Azure 角色的用戶的功能
• 我們預設會在高嚴重性警示上主動通知訂用帳戶擁有者（其有嚴重違規的高機率）
• 我們已從電子郵件通知設定頁面移除電話號碼欄位

若要深入瞭解，請參閱 設定安全性警示的電子郵件通知。

安全分數不包含預覽建議

資訊安全中心會持續評估資源、訂用帳戶、組織的安全性問題。 然後將所有的發現彙總成一個分數，讓您可以立即得知目前的安全性情況：分數越高，所識別的風險層級越低。

隨著發現新的威脅，資訊安全中心會透過新的建議提供新的安全性建議。 為了避免意外變更您的安全分數，並提供寬限期，讓您可以在新的建議影響您的分數之前探索它們，標示為 預覽的 建議不再包含在安全分數的計算中。 在可能的情況下，仍應加以補救，以便在預覽期間結束時，為分數做出貢獻。

此外， 預覽 建議不會將資源呈現為「狀況不良」。

預覽建議的範例：

深入瞭解安全分數。

建議現在包含嚴重性指標和新鮮度間隔

建議的詳細數據頁面現在包含全新間隔指標（每當相關時），以及建議嚴重性的清楚顯示。

2020 年 8 月

8 月的更新包括：

• 資產清查 - 強大的資產安全性狀態全新檢視
• 新增對Microsoft Entra ID安全預設值（多重驗證）
• 新增服務主體建議
• VM 上的漏洞評量 - 合併建議和原則
• 新增至ASC_default計劃的新 AKS 安全策略

資產清查 - 強大的資產安全性狀態全新檢視

資訊安全中心的資產清查（目前為預覽版）提供一種方式，以檢視您已連線到資訊安全中心之資源的安全性狀態。

Security Center 會定期分析您 Azure 資源的安全狀態，以找出潛在的安全漏洞。 然後提供您如何補救這些弱點的建議。 當任何資源有尚未完成的建議時，就會出現在清查中。

您可以使用檢視及其篩選來探索安全性狀態數據，並根據結果採取進一步的動作。

進一步瞭解 資產庫存。

新增對 Microsoft Entra ID 安全預設值的支援（用於多重驗證）

Security Center 新增了對 security defaults 的完整支援，這是 Microsoft 免費的身份安全保護。

安全性預設值提供預先設定的身分識別安全性設定，以保護您的組織免於常見的身分識別相關攻擊。 安全性預設值已保護整體超過500萬個租使用者;資訊安全中心也會保護 50,000 個租使用者。

現在，安全中心只要識別出未啟用安全預設的 Azure 訂閱，就會提供安全建議。 直到現在，Security Center 建議啟用多重驗證，使用條件存取，這是 Microsoft Entra ID 高級授權的一部分。 對於使用 Microsoft Entra ID 免費版的客戶，我們現在建議啟用安全預設值。

我們的目標是鼓勵更多客戶使用 MFA 保護其雲端環境，並降低對您的 安全分數影響最大的最高風險之一。

深入瞭解 安全性預設值。

新增服務主體建議

新增了新的建議，建議資訊安全中心客戶使用管理憑證來管理其訂用帳戶切換至服務主體。

建議使用 Service Principals 來保護您的訂閱，而非管理憑證 建議您使用 Service Principals 或 Azure Resource Manager 來更安全地管理您的訂閱。

了解更多關於 Microsoft Entra ID 中的 Application 與服務主體物件。

VM 上的漏洞評量 - 合併建議和原則

資訊安全中心會檢查您的 VM，以偵測其是否正在執行弱點評估解決方案。 如果找不到弱點評估解決方案，資訊安全中心會提供簡化部署的建議。

找到弱點時，資訊安全中心會提供建議，摘要您調查和補救結果。

為了確保所有使用者的一致體驗，無論使用的掃描器類型為何，我們已將四個建議統一到下列兩個：

統一推薦	變更描述
虛擬機器上應啟用弱點評估解決方案	取代下列兩個建議： 在虛擬機上啟用內建弱點評估解決方案（由 Qualys 提供電源（現已淘汰）（隨附於標準層） 弱點評估解決方案應該安裝在您的虛擬機上（現已淘汰）（標準和免費層）
應補救虛擬機中的弱點	取代下列兩個建議： 補救虛擬機上發現的弱點（由 Qualys 提供電源）（現已淘汰） 弱點評估解決方案應補救弱點 （現已淘汰）

現在，您將使用相同的建議，從 Qualys 或 Rapid 7 等合作夥伴部署資訊安全中心的弱點評估延伸模組或私人授權解決方案 （“BYOL”。

此外，當找到弱點並回報給資訊安全中心時，不論識別弱點評估解決方案為何，單一建議都會提醒您結果。

更新相依性

如果您有參考先前建議或原則金鑰/名稱的腳本、查詢或自動化，請使用下表來更新參考：

2020 年 8 月之前

Recommendation	Scope
在虛擬機器上啟用內建弱點評估解決方案（由 Qualys 提供電源） 金鑰：550e890b-e652-4d22-8274-60b3bdb24c63	Built-in
補救虛擬機上發現的弱點（由 Qualys 提供電源） 金鑰：1195afff-c881-495e-9bc5-1486211ae03f	Built-in
弱點評估解決方案應該安裝在虛擬機上 金鑰：01b1ed4c-b733-4fee-b145-f23236e70cf3	BYOL
弱點評估解決方案應補救弱點 金鑰：71992a2a-d168-42e0-b10e-6b45fa2ecddb	BYOL

原則	Scope
應在虛擬機上啟用弱點評估 原則標識碼：501541f7-f7e7-4cd6-868c-4190fdad3ac9	Built-in
弱點評估解決方案應補救弱點 原則標識碼：760a85ff-6162-42b3-8d70-698e268f648c	BYOL

從 2020 年 8 月起

Recommendation	Scope
虛擬機器上應啟用弱點評估解決方案 金鑰：ffff0522-1e88-47fc-8382-2a80ba848f5d	內建 + BYOL
應補救虛擬機中的弱點 金鑰：1195afff-c881-495e-9bc5-1486211ae03f	內建 + BYOL

原則	Scope
應在虛擬機上啟用弱點評估 原則標識碼：501541f7-f7e7-4cd6-868c-4190fdad3ac9	內建 + BYOL

新增至ASC_default計劃的新 AKS 安全策略

為了確保 Kubernetes 工作負載預設是安全的，資訊安全中心會新增 Kubernetes 層級原則和強化建議，包括使用 Kubernetes 許可控制強制執行選項。

此專案的早期階段包括預覽和新增原則至ASC_default方案。

您可以放心地忽略這些原則，而且不會影響您的環境。 如果你想啟用這些功能，請透過 Microsoft Cloud Security Private Community 註冊預覽版，並從以下選項中選擇：

1. 單一預覽 — 僅加入此預覽。 明確提及 「ASC 連續掃描」作為您想要加入的預覽。
2. 正在進行的計劃 – 將添加到此預覽和未來的預覽中。 您必須完成設定檔和隱私權合約。

2020 年 7 月

7 月的更新包括：

• 虛擬機的弱點評估現在可供不在市集中的映像使用
• 威脅防護Azure 儲存體擴展至包含Azure 檔案儲存體與Azure Data Lake Storage Gen2（預覽）
• 啟用威脅防護功能的八個新建議
• 容器安全性改善－更快的登錄掃描和重新整理的文件
• 自適性應用程式控制已更新，在路徑規則中新增了建議及萬用字元的支援
• 淘汰 SQL 進階資料安全性的六個原則

虛擬機器的弱點評定現已適用於非市集映像

當您部署弱點評估解決方案時，資訊安全中心先前會在部署前執行驗證檢查。 檢查是確認目的地虛擬機的市集 SKU。

從這次更新起，這項檢查被移除，你現在可以將漏洞評估工具部署到「自訂」的 Windows 和 Linux 機器上。 自定義映像是您從 Marketplace 預設值修改過的映像。

雖然您現在可以在更多計算機上部署整合式弱點評估延伸模組（由Qualys提供技術支援），但只有在您使用將整合式弱點掃描儀部署至標準層 VM 中列出的操作系統時 ，才可使用支援

了解更多關於虛擬機整合漏洞掃描器（需Azure Defender）。

深入瞭解從 Qualys 使用您自己的私人授權弱點評估解決方案，或在Rapid7部署合作夥伴弱點掃描解決方案中。

Azure 儲存體 的威脅防護已擴展至 Azure 檔案儲存體 及 Azure Data Lake Storage Gen2 （preview）

Azure 儲存體 的威脅防護會偵測你 Azure 儲存體 帳號上的潛在有害活動。 資訊安全中心會在偵測到嘗試存取或惡意探索您的記憶體帳戶時顯示警示。

不論數據儲存為 Blob 容器、檔案共用或 Data Lake，都可以受到保護。

啟用威脅防護功能的八個新建議

新增八項建議，提供一種簡單方式，啟用 Azure 資訊安全中心 的威脅防護功能，適用於以下資源類型：虛擬機、App Service 計畫、Azure SQL Database 伺服器、機器上的 SQL 伺服器、Azure 儲存體 帳號，Azure Kubernetes Service clusters， Azure Container Registry registryries， and Azure Key Vault vaults.

新的建議如下：

• 進階資料安全應在Azure SQL Database伺服器啟用
• 應在機器上的 SQL Server 上啟用進階數據安全性
• 應在 Azure App 服務 計畫中啟用進階威脅防護
• 應在Azure Container Registry登錄
• 進階威脅防護應啟用Azure Key Vault保險庫
• 進階威脅防護應在Azure Kubernetes Service叢集啟用
• 進階威脅防護應啟用Azure 儲存體帳號
• 應在虛擬機上啟用進階威脅防護

建議也包含快速修正功能。

Important

補救任何這些建議會導致保護相關資源的費用。 如果您有目前訂用帳戶中的相關資源，這些費用將會立即開始。 或者，如果您稍後再新增它們，則為 。

舉例來說，如果你的訂閱中沒有任何 Azure Kubernetes Service 叢集，且啟用了威脅防護，就不會產生任何費用。 如果未來您會在同一個訂用帳戶上新增叢集，它會自動受到保護，而且費用會從該時間開始。

了解更多關於威脅防護的資訊>。

容器安全性改善－更快的登錄掃描和重新整理的文件

作為持續投資容器安全領域的一環，我們很高興與大家分享 Security Center 在 Azure Container Registry 中儲存容器映像的動態掃描功能上的顯著效能提升。 掃描現在通常會在大約兩分鐘內完成。 在某些情況下，最多可能需要 15 分鐘的時間。

為了提升 Azure 資訊安全中心 容器安全功能的清晰度與指引，我們也更新了容器安全文件頁面。

自適性應用程式控制已更新，在路徑規則中新增了建議及萬用字元的支援

調適型應用程控功能已收到兩項重大更新：

• 新的建議會識別先前未允許的潛在合法行為。 應更新調適型應用程控原則中的 Allowlist 規則的新建議，提示您將新規則新增至現有的原則，以減少自適性應用程控違規警示中的誤判數目。

• 路徑規則現在支援通配符。 從此更新中，您可以使用通配符來設定允許的路徑規則。 支援的案例有兩種：

  • 在路徑結尾使用通配符，以允許此資料夾和子資料夾內的所有可執行檔。

  • 使用路徑中間的通配符來啟用具有變更資料夾名稱的已知可執行檔名稱（例如具有已知可執行檔的個人使用者資料夾、自動產生的資料夾名稱等等）。

淘汰 SQL 進階資料安全性的六個原則

SQL 機器的進階數據安全性相關六個原則即將淘汰：

• 在 SQL 受控實例進階數據安全性設定中，進階威脅防護類型應設定為 [全部]
• 在 SQL Server 進階數據安全性設定中，進階威脅防護類型應設定為 [全部]
• SQL 受控實例的進階數據安全性設定應包含可接收安全性警示的電子郵件位址
• SQL 伺服器的進階資料安全性設定應包含用來接收安全性警示的電子郵件地址
• 應在 SQL 受控實例進階資料安全性設定中啟用系統管理員和訂用帳戶擁有者的電子郵件通知
• 傳送給系統管理員和訂用帳戶擁有者的通知應於 SQL 伺服器進階資料安全性設定中啟用

深入瞭解 內建政策。

2020 年 6 月

6 月的更新包括：

• 安全分數 API （預覽）
• Advanced Data Security for SQL machines（Azure、其他雲端及本地）預覽版
• 兩項新建議：將 Log Analytics agent 部署到 Azure Arc 機器（預覽）
• 可大規模建立連續匯出和工作流程自動化設定的新原則
• 使用 NSG 保護非因特網對向虛擬機的新建議
• 啟用威脅防護和進階數據安全性的新原則

安全分數 API （預覽）

您現在可以透過 安全分數 API 存取分數（目前為預覽版）。 API 方法可讓您靈活地查詢資料，並在一段時間後建立您自己的安全分數報告機制。 例如，您可以使用 安全計分 API 來取得特定訂用帳戶的計分。 此外，您可以使用安全分數控制項 API 來列出您訂閱的安全性控制項和目前分數。

關於使用安全分數 API 實現的外部工具範例，請參見我們GitHub社群的 the secure score 區域。

了解更多關於>安全分數與安全控制的資訊。

SQL 機器（Azure、其他雲端及本地）的Advanced Data Security （preview）

Azure 資訊安全中心 為 SQL 機器設計的先進資料安全，現在能保護託管在 Azure 的 SQL 伺服器、其他雲端環境，甚至本地機器。 這擴展了對 Azure 原生 SQL 伺服器的保護，使它們完全支援混合環境。

進階數據安全性會為您的 SQL 機器提供弱點評定和進階威脅防護，無論它們位於何處。

設定牽涉到兩個步驟：

1. 將 Log Analytics 代理部署到你的 SQL Server 主機，提供與 Azure 帳號的連線。

2. 在資訊安全中心的定價和設定頁面中啟用選擇性套件組合。

深入瞭解 SQL 機器的進階數據安全性。

兩項新建議：將 Log Analytics 代理部署至 Azure Arc 機器（預覽版）

新增了兩項建議，協助部署 Log Analytics Agent 到您的Azure Arc機器，並確保這些裝置受到 Azure 資訊安全中心 保護：

• Log Analytics代理程式應該安裝在您的Windows Azure Arc機器上（預覽版）
• Log Analytics agent 應該安裝在您的 Linux Azure Arc 電腦（預覽版）

這些新建議會出現在與現有（相關）建議相同的四個安全性控制中， 監視代理程式應該安裝在您的計算機上：補救安全性設定、套用自適性應用程控、套用系統更新，以及啟用端點保護。

建議也包含快速修正功能，以加速部署程式。

了解更多關於Azure 資訊安全中心如何使用什麼是Log Analytics代理？。

了解更多關於Azure Arc機器 的 extensions。

可大規模建立連續匯出和工作流程自動化設定的新原則

自動化組織的監視和事件回應程程序，可大幅改善調查和緩解安全性事件所需的時間。

要在組織內部署自動化配置，請使用這些內建的「DeployIfdNotExist」Azure政策，建立並配置continuous export 以及 工作流程自動化程序：

政策定義可在 Azure 原則 中找到：

Goal	原則	原則識別碼
連續匯出至事件中樞	部署至事件中心以接收Azure 資訊安全中心警示與建議	cdfcce10-4578-4ecd-9703-530938e4abcb
持續匯出至 Log Analytics 工作空間	部署匯出至工作區Log Analytics以獲取Azure 資訊安全中心警示與建議	ffb6f416-7bd2-4488-8828-56585fef2be9
安全性警示的工作流程自動化	部署工作流程自動化Azure 資訊安全中心警示	f1525828-9a90-4fcf-be48-268cdd02361e
安全性建議的工作流程自動化	部署工作流程自動化，Azure 資訊安全中心推薦	73d6ab6c-2475-4850-afd6-43795f3492ef

開始使用 工作流程自動化範本。

深入瞭解如何使用提供的原則大規模設定工作流程自動化中的兩個匯出原則，以及設定連續匯出。

使用 NSG 保護非因特網對向虛擬機的新建議

「實作安全性最佳做法」安全性控件現在包含下列新建議：

• 應使用網路安全性群組保護非網際網路對應的虛擬機器

現有的建議， 因特網對向虛擬機應受到網路安全組的保護，不會區分因特網對向和非因特網對向 VM。 針對這兩者，如果未將 VM 指派給網路安全組，就會產生高嚴重性建議。 這項新建議會分隔非因特網對向機器，以減少誤判，並避免不必要的高嚴重性警示。

啟用威脅防護和進階數據安全性的新原則

下列新原則定義已新增至 ASC 預設方案，其設計目的是協助啟用相關資源類型的威脅防護或進階數據安全性。

政策定義可在 Azure 原則 中找到：

原則	原則識別碼
進階資料安全應在Azure SQL Database伺服器啟用	7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
應在機器上的 SQL Server 上啟用進階數據安全性	6581d072-105e-4418-827f-bd446d56421b
進階威脅防護應啟用Azure 儲存體帳號	308fbb08-4ab8-4e67-9b29-592e93fb94fa
進階威脅防護應啟用Azure Key Vault保險庫	0e6763cc-5078-4e64-889d-ff4d9a839047
應在 Azure App 服務 計畫中啟用進階威脅防護	2913021d-f2fd-4f3d-b958-22354e2bdbcb
應在Azure Container Registry登錄	c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
進階威脅防護應在Azure Kubernetes Service叢集啟用	523b5cd1-3e23-492f-a539-13118b6d1e3a
進階威脅防護應在虛擬機器	4da35fc9-c9e7-4960-aec9-797fe7d9051d

了解更多關於Azure 資訊安全中心中的威脅防護。

2020 年 5 月

5 月份的更新包括：

• 警示歸並規則 （預覽）
• 虛擬機器弱點評定現已正式推出
• Just-In-Time (JIT) 虛擬機器 (VM) 存取變更
• 自訂建議已移至專屬的安全控制項
• 新增可在控制項中或以簡單列表檢視建議的切換功能
• 擴充的安全性控制項「實作安全性最佳做法」
• 具有自訂中繼資料的自訂原則現已正式推出
• 移轉至無檔案攻擊偵測的損毀傾印分析功能

警示歸並規則 （預覽）

這項新功能（目前為預覽版）有助於降低警示疲勞。 使用規則來自動隱藏已知無害或與組織中正常活動相關的警示。 這可讓您專注於最相關的威脅。

符合您已啟用歸併規則的警示仍然會產生，但其狀態將會設為已關閉。 你可以在 Azure 入口網站或你存取安全中心安全警示的方式中看到狀態。

隱藏規則會定義應該自動關閉警示的準則。 一般而言，您可以使用歸併規則來：

• 隱藏您識別為誤判的警示

• 隱藏觸發頻率過長而無法有用的警示

了解更多關於suppressing警示的資訊，請參考Azure 資訊安全中心的威脅防護。

虛擬機器弱點評定現已正式推出

資訊安全中心的標準層現在包含虛擬機的整合式弱點評估，不需額外費用。 此延伸模組由 Qualys 提供電源，但會將其結果直接回報給資訊安全中心。 您不需要 Qualys 授權或 Qualys 帳戶，一切都可以在資訊安全中心內流暢進行。

新的解決方案可以持續掃描您的虛擬機，以找出弱點，並在資訊安全中心呈現結果。

若要部署解決方案，請使用新的安全性建議：

「在虛擬機上啟用內建弱點評估解決方案（由 Qualys 提供電源）」

深入了解 資訊安全中心的虛擬機整合式弱點評估。

Just-In-Time (JIT) 虛擬機器 (VM) 存取變更

資訊安全中心包含保護 VM 管理埠的選擇性功能。 這會針對最常見的暴力密碼破解攻擊形式提供防禦。

此更新會針對這項功能帶來下列變更：

• 建議您在 VM 上啟用 JIT 的建議已重新命名。 先前「應該在虛擬機上套用 Just-In-Time 網路訪問控制」，現在為：「虛擬機的管理埠應受到 Just-In-Time 網路存取控制的保護」。

• 只有在有開啟的管理埠時，才會觸發建議。

深入瞭解 JIT 存取功能。

自訂建議已移至專屬的安全控制項

增強式安全分數引進的一個安全性控制是「實作安全性最佳做法」。為訂用帳戶建立的任何自定義建議都會自動置於該控件中。

為了讓您更輕鬆地找到您的自定義建議，我們已將它們移至專用的安全性控件「自定義建議」。此控制件不會影響您的安全分數。

在Azure 資訊安全中心中了解更多關於增強安全分數（預覽）的資訊。

新增可在控制項中或以簡單列表檢視建議的切換功能

安全性控制是相關安全性建議的邏輯群組。 它們反映您的易受攻擊面。 控制項是一組安全性建議，其中包含可協助您實作這些建議的指示。

若要立即查看貴組織如何保護每個個別的攻擊面，請檢閱每個安全性控件的分數。

根據預設，您的建議會顯示在安全性控件中。 從此更新中，您也可以將它們顯示為清單。 若要將其檢視為依受影響資源健康情況狀態排序的簡單清單，請使用新的切換 [依控件分組]。 切換位於入口網站中的清單上方。

安全性控制 - 和此切換 - 是新安全分數體驗的一部分。 請記得從入口網站內傳送您的意見反應給我們。

在Azure 資訊安全中心中了解更多關於增強安全分數（預覽）的資訊。

擴充的安全性控制項「實作安全性最佳做法」

增強式安全分數引進的一個安全性控制是「實作安全性最佳做法」。當建議在此控件中時，不會影響安全分數。

透過此更新，有三個建議已移出原本放置它們的控件，並移至此最佳做法控件中。 我們已採取此步驟，因為我們已判斷這三個建議的風險低於最初的想法。

此外，已導入兩個新的建議，並新增至此控件。

移動的三個建議如下：

• 應在您的訂 用帳戶上具有讀取許可權的帳戶上啟用 MFA （原本在 [啟用 MFA] 控制件中）
• 應從您的訂 用帳戶中移除具有讀取許可權的外部帳戶（原本在[管理存取權和許可權] 控件中）
• 最多應為您的訂 用帳戶指定 3 個擁有者（原本在「管理存取權和許可權」控制器中）

新增至 控件的兩個新建議如下：

• Guest 配置擴充功能應安裝於Windows虛擬機（預覽版）- 使用 Azure 原則 Guest Configuration 可在虛擬機內查看伺服器及應用程式設定（僅限Windows）。

• Microsoft Defender Exploit Guard 應該在您的機器上啟用（預覽版） - Microsoft Defender Exploit Guard 利用 Azure 原則 的 Guest Configuration agent。 Exploit Guard 包含四個元件，旨在鎖定裝置免受各種攻擊途徑的攻擊，並阻擋惡意軟體攻擊中常見的行為，同時協助企業平衡安全風險與生產力需求（僅限 Windows）。

在 建立並部署 Exploit Guard 政策。

深入了解增強式安全分數中的安全性控制（預覽版）。

具有自訂中繼資料的自訂原則現已正式推出

自定義原則現在是資訊安全中心建議體驗、安全分數和法規合規性標準儀錶板的一部分。 這項功能現已正式推出，可讓您在資訊安全中心擴充組織的安全性評定涵蓋範圍。

在 Azure 原則 建立自訂計畫，新增政策並導入 Azure 資訊安全中心，並以推薦方式視覺化。

我們現在也新增了用來編輯自定義建議元數據的選項。 元數據選項包括嚴重性、補救步驟、威脅資訊等等。

深入瞭解如何使用 詳細信息來增強您的自定義建議。

移轉至無檔案攻擊偵測的損毀傾印分析功能

我們正在將Windows崩潰傾印分析（CDA）偵測功能整合進無檔案攻擊偵測。 無檔案攻擊偵測分析為 Windows 電腦帶來以下安全警示的改良版本：發現程式碼注入、偵測到偽裝 Windows 模組、發現 Shell 程式碼，以及偵測到可疑程式碼段。

此轉換的一些優點：

• 主動式和及時的惡意代碼偵測 - CDA 方法涉及等候當機發生，然後執行分析以尋找惡意成品。 使用無檔案攻擊偵測，會在記憶體內部威脅執行時主動識別。

• 擴充警示 - 來自無檔案攻擊偵測的安全性警示包含 CDA 無法取得的擴充，例如作用中網路連線資訊。

• 警示彙總 - 當 CDA 在單一損毀傾印中偵測到多個攻擊模式時，會觸發多個安全性警示。 無檔案攻擊偵測會將相同程式中所有已識別的攻擊模式合併成單一警示，而不需要將多個警示相互關聯。

• 降低對你Log Analytics工作區的需求 - 包含潛在敏感資料的崩潰傾印將不再上傳到你的Log Analytics工作區。

2020 年 4 月

4 月的更新包括：

• 動態合規性套件現已正式推出
• Identity 推薦現已包含在Azure 資訊安全中心免費方案

動態合規性套件現已正式推出

Azure 資訊安全中心 監管合規儀表板現已包含 動態合規套件（現已普遍提供），以追蹤更多產業及法規標準。

您可以從資訊安全中心的安全性原則頁面，將動態合規性套件新增至您的訂用帳戶或管理群組。 當您將一項標準或基準上線之後，該標準會出現在您的法規合規性儀表板中，並將所有相關聯的合規性資料對應為評定。 上線的每項標準都會有一份摘要報告都可供下載。

現在，您可以新增標準，例如：

• NIST SP 800-53 R4
• SWIFT CSP CSCF-v2020
• 英國官方和英國 NHS
• 加拿大聯邦 PBMM
• Azure CIS 1.1.0（新）（Azure CIS 1.1.0 的更完整表示）

此外，我們最近新增了Azure安全基準，這是Microsoft作者基於共同合規框架制定的安全與合規最佳實務Azure特定指引。 其他標準會在可用時於儀表板中提供支援。

深入瞭解 如何在法規合規性儀錶板中自定義一組標準。

身份建議現已包含於 Azure 資訊安全中心 免費方案中

Azure 資訊安全中心 免費方案中關於身份與存取的安全建議現已普遍提供。 這是讓雲端安全性狀態管理 （CSPM） 功能免費運作的一部分。 在此之前，只有標準定價層才會提供這些建議。

舉例來說，身分識別與存取建議包括：

• 「具有訂閱之擁有者權限的帳戶，應啟多重要素驗證。」
• 「您的訂閱最多可指定三位擁有者。」
• 「即將淘汰的帳戶應從訂閱中移除。」

您在免費定價層中如有任何訂閱，其安全分數將會受此變更的影響。這是因為這些訂閱的身分識別與存取安全性從來不是評定的對象。

2020 年 3 月

3 月的更新包括：

• 工作流程自動化現已正式推出
• Azure 資訊安全中心與 Windows Admin Center
• 保護 Azure Kubernetes Service
• 改善 Just-In-Time 體驗
• Web 應用程式的兩個安全性建議已被取代

工作流程自動化現已正式推出

Azure 資訊安全中心 的工作流程自動化功能現已正式開放。 使用這項功能可針對安全性警示與建議，自動觸發 Logic Apps。 此外，也可針對警示與所有提供快速修正選項的建議，進行手動觸發。

所有安全性程式皆包含事件回應的多個工作流程。 這些程序可能包括通知相關利害關係人、啟動變更管理流程，以及套用特定的補救步驟。 安全性專家建議盡可能多將這些程序的步驟自動化。 自動化可確保根據您預先定義的需求，快速、一致地執行流程步驟，從而減少額外負荷並提升安全性。

如需執行工作流程的自動和手動安全中心功能的詳細資訊，請參閱 工作流程自動化。

深入瞭解如何 建立Logic Apps。

Azure 資訊安全中心 與 Windows Admin Center 的整合

現在可以直接將本地的 Windows 伺服器從 Windows Admin Center 移到 Azure 資訊安全中心。 Security Center 成為您檢視所有 Windows Admin Center 資源安全資訊的單一介面，包括本地伺服器、虛擬機器及額外的 PaaS 工作負載。

將伺服器從 Windows Admin Center 移到 Azure 資訊安全中心 後，您將能夠：

• 在 Windows Admin Center 的安全中心擴充功能中查看安全警示與建議。
• 查看安全狀況，並在 Azure 入口網站的安全中心（或透過 API）中取得您 Windows Admin Center 管理伺服器的詳細資訊。

了解更多關於如何將Azure 資訊安全中心整合到Windows Admin Center。

Protection for Azure Kubernetes Service

Azure 資訊安全中心 正在擴充其容器安全功能，以保護 Azure Kubernetes Service （AKS）。

廣為採用的開放原始碼平臺 Kubernetes 非常廣泛，現在是容器協調流程的業界標準。 儘管實作很普遍，但對於如何保護 Kubernetes 環境仍缺乏瞭解。 保護容器化應用程式的受攻擊面，必須具備專業知識，才能確保安全地設定基礎結構，並持續監視潛在威脅。

資訊安全中心防禦包括：

• 探索和可見性 - 在向資訊安全中心註冊的訂用帳戶內持續探索受控 AKS 實例。
• 安全性建議 - 可採取動作的建議，可協助您遵守 AKS 的安全性最佳做法。 這些建議包含在您的安全分數中，以確保這些建議會被視為貴組織安全性狀態的一部分。 您可能會看到 AKS 相關建議的範例是「應該使用角色型訪問控制來限制對 Kubernetes 服務叢集的存取」。
• 威脅防護 - 透過持續分析您的 AKS 部署，資訊安全中心會警示您在主機和 AKS 叢集層級偵測到的威脅和惡意活動。

了解更多關於 Azure Kubernetes Services 與 Security Center 的整合。

深入了解 資訊安全中心的容器安全性功能。

改善 Just-In-Time 體驗

Azure 資訊安全中心 即時保護管理埠的功能、操作與使用者介面已增強如下：

• Justification 欄位 - 透過 Azure 入口網站的即時存取頁面請求存取虛擬機（VM）時，會新增一個可選欄位以輸入請求的理由。 輸入此欄位中的資訊，可以在活動記錄中追蹤。
• 自動清除重複的 Just-In-Time （JIT） 規則 - 每當更新 JIT 原則時，清除工具就會自動執行，以檢查整個規則集的有效性。 此工具會從原則與 NSG 的規則中，尋找不相符的規則。 如果清除工具發現不相符，它會判斷原因，而且當安全這麼做時，會移除不再需要的內建規則。 清除工具永遠不會刪除您所建立的規則。

深入瞭解 JIT 存取功能。

Web 應用程式的兩個安全性建議已被取代

我們即將淘汰兩項與 Web 應用程式相關的安全性建議：

• IaaS NSG 上之 Web 應用程式的規則應予強化 （相關原則：應強化 IaaS 上 Web 應用程式的 NSG 規則）

• 對應用程式服務的存取應加以限制 （相關原則：應限制對 App Services 的存取 [預覽]）

這些建議將不再出現在資訊安全中心的建議清單中。 相關原則將不再包含在名為「資訊安全中心預設值」的計劃中。

2020 年 2 月

適用於 Linux 的無檔案攻擊偵測 （預覽）

隨著攻擊者越來越多採用更隱蔽的方式來避開偵測，Azure 資訊安全中心 正在擴展 Linux 及 Windows 的無檔案攻擊偵測功能。 無檔案攻擊會利用軟體弱點，將惡意承載插入無害的系統處理序，並藏匿在記憶體中。 這些技術：

• 最小化或消除磁碟上惡意代碼的追蹤
• 大幅減少磁碟型惡意代碼掃描解決方案偵測的機會

為了對抗此威脅，Azure 資訊安全中心 於 2018 年 10 月推出了 Windows 的無檔案攻擊偵測功能，並且現在也擴展了 Linux 的無檔案攻擊偵測功能。

2020 年 1 月

增強式安全分數 （預覽）

Azure 資訊安全中心 的安全分數功能強化版現已預覽。 此版將多項建議分組為不同的安全性控制，更清楚地指出易受攻擊的層面 (例如限制存取管理連接埠)。

請熟悉預覽階段中的安全分數變更，並決定可協助您進一步保護環境的其他補救方式。

深入了解增強型安全分數（預覽版）。

2019年11月

11 月的更新包括：

• Threat Protection for Azure Key Vault 北美地區（預覽）
• Threat Protection for Azure 儲存體 包含惡意軟體聲譽篩檢
• 使用 Logic Apps 的工作流程自動化 （預覽）
• 大量資源的快速修正已正式推出
• 掃描容器映像是否有弱點 （預覽）
• 其他法規合規性標準（預覽）
• Threat Protection for Azure Kubernetes Service （preview）
• 虛擬機弱點評估 （預覽）
• Advanced Data Security for SQL server on Azure 虛擬機器 （preview）
• 支援自訂原則 （預覽）
• 擴展Azure 資訊安全中心覆蓋範圍，提供社群及合作夥伴
• 進階整合與導出建議和警示 （預覽）
• 從 Windows Admin Center（預覽）

Threat Protection for Azure Key Vault in North America Regions （preview）

Azure Key Vault 是一項保護資料並提升雲端應用效能的重要服務，提供集中管理雲端金鑰、秘密、密碼金鑰與政策的能力。 由於 Azure Key Vault 儲存敏感且關鍵的業務資料，因此對金鑰保險庫及其儲存的資料需要最高的安全性。

Azure 資訊安全中心 對 Azure Key Vault 威脅防護的支援，提供額外的安全智慧層，偵測異常且可能有害的存取或利用金鑰保險庫的行為。 此新的防護層可讓使客戶不需身為安全性專家或管理安全性監視系統，即可解決對其金鑰保存庫的威脅。 此功能已在北美區域公開預覽。

Azure 儲存體 的威脅防護包含惡意軟體聲譽篩檢

Azure 儲存體 的威脅防護提供由 Microsoft Threat Intelligence 驅動的新偵測機制，利用雜湊聲望分析及來自活躍 Tor 出口節點（匿名代理）的可疑存取，偵測惡意軟體上傳至 Azure 儲存體。 你現在可以使用 Azure 資訊安全中心 查看不同儲存帳號偵測到的惡意軟體。

使用 Logic Apps 的工作流程自動化 （預覽）

集中管理安全性及 IT/作業的組織，在發現環境中出現不一致時，會實作內部工作流程的程序，於組織內推動必要的動作。 在許多情況下，這些工作流程是可重複的程式，而且自動化可以大幅簡化組織內的程式。

今天我們在 Security Center 推出一項新功能，讓客戶能利用 Azure Logic Apps 建立自動化設定，並根據特定的 ASC 發現（如建議或警示）自動觸發這些設定。 Azure Logic App 可以設定為執行龐大 Logic App 連接器社群支援的任何自訂動作，或使用安全中心提供的範本，例如發送電子郵件或開啟 ServiceNow™ 工單。

如需執行工作流程的自動和手動安全中心功能的詳細資訊，請參閱 工作流程自動化。

想了解如何建立邏輯應用程式，請參見 Azure Logic Apps。

大量資源的快速修正已正式推出

使用者接獲許多工作會計入安全分數，所以能否有效修復大型叢集的問題就十分具有挑戰性。

使用快速修正補救來修正安全性設定錯誤、補救多個資源的建議，以及改善您的安全分數。

這項作業可讓您選取要套用補救的資源，並啟動補救動作來代您進行設定。

快速修正現已正式推出客戶，作為資訊安全中心建議頁面的一部分。

掃描容器映像是否有弱點 （預覽）

Azure 資訊安全中心 現在可以掃描 Azure Container Registry 中的容器映像以偵測漏洞。

此映像掃描的工作方式為剖析容器映像檔案，然後檢查是否有任何已知的弱點 (Qualys 提供技術)。

當將新的容器映像推送到 Azure Container Registry 時，掃描本身會自動觸發。 發現弱點會呈現為資訊安全中心的建議，並包含在安全分數中，以及如何修補弱點以降低允許的攻擊面的相關信息。

其他法規合規性標準（預覽）

法規合規性儀表板可讓您根據資訊安全中心的評量，深入了解合規狀態。 該儀表板會顯示您環境符合特定法規標準及產業基準所指定的控制與要求規範的程度，以及提供如何處理這些要求的規範建議。

迄今為止，法規合規儀表板已支援四項內建標準：Azure CIS 1.1.0、PCI-DSS、ISO 27001 及 SOC-TSP。 我們現在宣佈公開預覽版本的其他支持標準：NIST SP 800-53 R4、SWIFT CSP CSCF v2020、加拿大聯邦 PBMM 和英國官方與英國 NHS。 我們也將釋出更新版的 Azure CIS 1.1.0，涵蓋更多標準控制並提升擴充性。

深入瞭解如何在法規合規性儀錶板中自定義一組標準。

Threat Protection for Azure Kubernetes Service （preview）

Kubernetes 正快速成為雲端軟體部署及管理的新標準。 目前幾乎無人有豐富的 Kubernetes 經驗，而多數人又只著重在一般工程與行政性工作上，卻忽略了安全性。 Kubernetes 環境需要謹慎設定以確保安全，確保所有緊盯攻擊面門戶的容器都不會向攻擊者敞開。 Security Center 正在擴展其在容器領域的支援，成為 Azure 中成長最快的服務之一——Azure Kubernetes Service （AKS）。

此公用預覽版的新功能包括：

• 探索和可見度 - 資訊安全中心已註冊訂用帳戶內受控 AKS 實例的持續探索。
• 安全分數建議 - 可採取動作的專案，可協助客戶遵守 AKS 的安全性最佳做法，並增加其安全分數。 建議包含「角色型訪問控制應該用來限制 Kubernetes Service 叢集存取」之類的專案。
• 威脅偵測 - 主機和叢集型分析，例如「偵測到特殊許可權容器」。

虛擬機弱點評估 （預覽）

安裝在虛擬機器的應用程式，通常會出現可能導致虛擬機器缺口的弱點。 我們宣佈資訊安全中心標準層包含虛擬機的內建弱點評估，不需額外費用。 由 Qualys 在公開預覽版中提供的弱點評估可讓您持續掃描虛擬機上所有已安裝的應用程式，以尋找易受攻擊的應用程式，並在資訊安全中心入口網站的體驗中呈現結果。 資訊安全中心會負責所有部署作業，所以使用者無須承擔任何額外的工作。 接下來，我們正計劃提供弱點評估選項，以支援客戶獨特的商務需求。

了解更多關於你Azure 虛擬機器的脆弱性評估。

Advanced data security for SQL server on Azure 虛擬機器 （preview）

Azure 資訊安全中心 對 IaaS 虛擬機上運行的 SQL DB 的威脅防護與脆弱性評估支援現已進入預覽階段。

弱點評估 是一項易於設定的服務，可探索、追蹤並協助您修復潛在的資料庫弱點。 它提供安全性狀態作為安全分數一部分的可見度，並包含解決安全性問題並增強資料庫防禦功能的步驟。

進階威脅防護可偵測異常活動，而所謂的異常活動則指對 SQL 伺服器進行存取或惡意探索的不尋常及可能有害的嘗試。 其會持續監視資料庫是否有可疑的活動，並在發現異常的資料庫存取模式時，提供偏向動作類的安全性警訊。 這些警示提供可疑活動的詳細資料，並提供調查與降低威脅的建議動作。

支援自訂原則 （預覽）

Azure 資訊安全中心 現在支援自訂政策（預覽版）。

我們的客戶一直希望能以他們在 Azure 原則 建立的政策，擴展他們在 Security Center 中現有的安全評估範圍。 而自從有了自訂原則的支援之後，此願望已得以實現。

這些新的原則會是資訊安全中心建議體驗、安全分數和法規合規性標準儀表板的一部分。 有了自訂政策的支援，你現在可以在 Azure 原則 建立自訂倡議，然後在安全中心新增為政策，並視覺化為建議。

透過平台擴展 Azure 資訊安全中心 的覆蓋範圍，供社群與合作夥伴使用

使用 Security Center 不僅能收到來自 Microsoft 的推薦，也能收到來自 Check Point、Enable 和 CyberArk 等合作夥伴現有解決方案的建議，未來還會有更多整合功能即將推出。 資訊安全中心的簡單上線流程可將現有的解決方案連線到資訊安全中心，讓您能夠在單一位置檢視安全性狀態建議、執行統一報告，並針對內建和合作夥伴建議運用資訊安全中心的所有功能。 您也可以匯出資訊安全中心對合作夥伴產品的建議。

了解更多關於Microsoft 情報安全性聯盟。

進階整合與導出建議和警示 （預覽）

為了在 Security Center 之上啟用企業級情境，現在可以在 Azure 入口網站或 API 以外的其他地方接收 Security Center 的警示與建議。 這些資料可以直接匯出到活動中心及 Log Analytics 工作區。 以下是您可採用這些新功能來建立的一些工作流程：

• 透過匯出到 Log Analytics Workspace，你可以用 Power BI 建立自訂儀表板。
• 透過匯出到 Event Hubs，你可以將安全中心的警示與建議匯出到第三方 SIEM、第三方解決方案，或是 Azure Data Explorer。

從 Windows Admin Center（預覽版）將本地伺服器接入 Security Center。

Windows Admin Center 是一個管理入口網站，專為未部署於 Azure 的 Windows 伺服器提供多項 Azure 管理功能，如備份與系統更新。 我們最近新增了可直接從 Windows Admin Center 體驗上載這些非 Azure 伺服器，由 ASC 保護的功能。

使用者現在可以將 WAC 伺服器接入 Azure 資訊安全中心，並直接在 Windows Admin Center 體驗中啟用查看其安全警示與建議。

2019 年 9 月

9 月的更新包括：

• 使用自適性應用程控改善來管理規則
• Control 容器安全建議，使用 Azure 原則

使用自適性應用程控改善來管理規則

以自適性應用程式控制管理虛擬機器規則的體驗已改善。 Azure 資訊安全中心 的自適應應用程式控制功能幫助你控制哪些應用程式可以在你的虛擬機器上執行。 除了規則管理的一般改善之外，還有新優點能讓您控制新增規則時要保護的檔案類型。

深入瞭解自適性應用程控。

Control container security recommendation using Azure 原則

Azure 資訊安全中心 建議的容器安全漏洞修復功能，現在可以透過 Azure 原則 啟用或停用。

若要檢視已啟用的安全策略，請從資訊安全中心開啟 [安全策略] 頁面。

2019 年 8 月

8 月的更新包括：

• 即時（JIT）虛擬機存取，適用於 Azure 防火牆
• 點選 「補救」 以提升安全性狀態 （預覽）
• 跨租戶管理

Just-in-time （JIT） VM access for Azure 防火牆

Azure 防火牆 的即時存取（JIT）虛擬機存取功能現已普遍開放。 除了 NSG 保護環境外，還能用它來保護你的 Azure 防火牆 保護環境。

JIT VM 存取透過使用 NSG 和 Azure 防火牆 規則，僅在需要時提供受控存取，從而降低網路體積攻擊的風險。

當您為 VM 啟用 JIT 時，需要建立原則來決定要保護的連接埠、連接埠開放的持續時間，以及可存取這些連接埠的核准來源 IP 位址。 這項原則可協助您掌控使用者要求存取時可執行哪些作業。

請求會記錄在 Azure 活動日誌中，方便你監控和審核存取權限。 Just-In-Time 頁面也協助您快速識別已啟用 JIT 的現有 VM，以及建議使用 JIT 的 VM。

了解更多關於Azure 防火牆。

點選 「補救」 以提升安全性狀態 （預覽）

安全分數是一個可協助您評估工作負載安全性狀態的工具。 它會檢閱安全性建議，並排列這些建議的優先順序，讓您了解要先執行哪些建議。 這可協助您找出最嚴重的資訊安全漏洞，以便優先安排調查。

為了簡化安全性錯誤設定的補救，並協助您快速改善安全分數，我們新增了一項新功能，可讓您在單擊大量資源時補救建議。

這項作業可讓您選取要套用補救的資源，並啟動補救動作來代您進行設定。

跨租戶管理

Security Center 現在支援跨租戶管理情境，作為 Azure Lighthouse 的一部分。 這可讓您在資訊安全中心內清楚掌握與管理多個租用戶的安全性狀態。

深入瞭解跨租使用者管理體驗。

2019年7月

網路建議的更新

Azure 資訊安全中心（ASC）已推出新的網路建議，並改進了一些現有的建議。 現在，您可以使用資訊安全中心來確保資源擁有更完善的網路保護。

2019 年 6 月

自適性網路強化 - 正式推出

在公用雲端中執行的工作負載，其最大攻擊面之一是進出公用網際網路的連線。 我們的客戶很難判斷應該設置哪些網路安全群組（NSG）規則，以確保 Azure 工作負載僅能提供給所需的來源範圍。 透過此功能，Security Center 學習 Azure 工作負載的網路流量與連接模式，並提供針對網際網路虛擬機的 NSG 規則建議。 這有助於我們的客戶更加妥善設定其網路存取原則，並限制住面臨攻擊的風險。