本文總結了 適用於雲端的 Microsoft Defender 中安全建議、警示與事件的新動態。 它包括有關新的、經修改的和已取代的建議和警示之資訊。
本頁面會定期更新,更新 適用於雲端的 Defender 中最新的建議與警示。
在相關建議參考清單中可以找到超過六個月的建議。
在適用於雲端的 Defender新功能中查詢最新適用於雲端的 Defender功能資訊。
秘訣
複製以下 URL 並在您的摘要讀取程式中貼上,以在此頁面更新時接收通知:https://aka.ms/mdc/rss-recommendations-alerts
- 檢閲多雲端安全性建議和警示的完整清單:
建議、警示和事件更新
新的和更新的建議、警示和事件依日期順序新增至資料表。
| 公布日期 | Type | 狀態 | 名稱 |
|---|---|---|---|
| 2026年5月13日 | 警報 | Deprecated | 以下警示現已停用: (預覽)您的 Azure AI 資源提及的可疑敏感性資料 (AI.Azure_SensitiveDataAnomaly) |
| 2026 年 4 月 30 日 | 建議 | 淘汰 | 群組推薦類型已從 Azure 入口網站中被停用,並將於 2026年7月30日 移除。 這些建議目前被標記為 準備淘汰。 |
| 2026 年 4 月 14 日 | 建議 | 預覽 | 下列建議目前已於適用於 PostgreSQL 的 Azure 資料庫彈性伺服器預覽版中,作為 Defender CSPM 的一部分提供: * 應為適用於 PostgreSQL 的 Azure 資料庫伺服器設定私人端點 * PostgreSQL 伺服器上應關閉「允許存取 Azure 服務」 |
| 2026年4月13日 | 建議 | 淘汰 | 繼 2026 年 3 月 4 日的公告後,下列已分組的容器弱點建議現已被淘汰: 容器推薦: * [預覽] 在 Azure 中運行的容器應該已經解決了漏洞發現 * [預覽] AWS 運行的容器應該已經解決了漏洞發現 * [預覽] 在 GCP 中運行的容器應該已解決所發現的漏洞問題 容器圖片推薦: * [預覽] Azure 登錄檔中的容器映像應該已經解決了漏洞發現 * [預覽] AWS 註冊表中的容器映像應該已經解決漏洞問題 * [預覽] GCP 映像庫中的容器映像應當已解決漏洞問題 這些分組建議正被個別建議取代,這些建議提供更細緻的可見性、更好的優先排序及改善治理。 如需詳細資訊,請參閱容器與容器映像弱點建議預覽版的棄用。 |
| 三月 30 日, 2026年 | 警報 | 預覽 | 以下警報現已進入預覽狀態: * 上傳的 AI 模型偵測到惡意內容 |
| 2026 年 3 月 29 日 | 建議 | 預覽 | 下列建議目前已於適用於 PostgreSQL 的 Azure 資料庫彈性伺服器預覽版中,作為 Defender CSPM 的一部分提供: * PostgreSQL 伺服器應啟用地理冗餘備份 * require_secure_transport 應設定為「開啟」以適用於 適用於 PostgreSQL 的 Azure 資料庫 伺服器 |
| 2026 年 3 月 29 日 | 建議 | 淘汰 | 自 2025 年 12 月 3 日公告後,Defender for SQL Servers on Machines 方案的建議 Microsoft Defender for SQL status should be protected for Arc-enabled SQL Servers 現已被棄用。 |
| 2026年3月4日 | 建議 | 即將進行的淘汰 | 以下群組容器漏洞建議將於 2026 年 4 月 13 日被淘汰: 容器推薦: * [預覽] 在 Azure 中運行的容器應該已經解決了漏洞發現 * [預覽] AWS 運行的容器應該已經解決了漏洞發現 * [預覽] 在 GCP 中運行的容器應該已解決所發現的漏洞問題 容器圖片推薦: * [預覽] Azure 登錄檔中的容器映像應該已經解決了漏洞發現 * [預覽] AWS 註冊表中的容器映像應該已經解決漏洞問題 * [預覽] GCP 映像庫中的容器映像應當已解決漏洞問題 這些分組建議正被個別建議取代,這些建議提供更細緻的可見性、更好的優先排序及改善治理。 如需詳細資訊,請參閱容器與容器映像弱點建議預覽版的棄用。 |
| 2026年2月24日 | 建議 | GA | 下列資料建議為正式發行: - 儲存帳號應該用虛擬網路規則來限制網路存取。 - 儲存帳號應該使用私人連結連線。 - 儲存帳號應該防止共用金鑰存取。 |
| 2026年2月16日 | 建議 | 即將淘汰 (2026年3月19日) |
適用於 Windows 機器的預覽建議 Machines should be configured securely (powered by MDVM)已被設定為棄用。 該建議將被以下作業系統專用建議取代,其中包括透過訪客配置支援 Linux: - Linux 電腦的安全設定漏洞應該被修復(由訪客配置支援) - 應使用訪客配置來修復您Windows機器安全設定中的漏洞。 這些替代建議已經在 適用於雲端的 Defender 中提供。 如果你有任何治理規則、報告或工作流程中提到已棄用的建議,請更新它們以使用替代建議。 為確保新建議能評估您的機器,請確認具備所需的先決條件: - Azure machines 應該安裝了 Azure Machine Configuration 擴充功能。 - 非 Azure 機器應透過 Azure Arc 上線,預設包含機器設定擴充功能。 |
| 2026 年 2 月 10 日 | 建議 | 預覽 | 以下建議在預覽中發布: * 應撤銷所有使用者 (除 dbo 外) 對 xp_cmdshell 的 Execute 權限,適用於 SQL Servers * SQL 伺服器應安裝最新更新 * 資料庫使用者 GUEST 不應是 SQL 資料庫中任何角色的成員 * SQL 伺服器應停用臨時分散式查詢 * SQL 伺服器應停用 CLR * 應從 SQL 伺服器中移除未追蹤的可信組件 * 除了 SQL 伺服器上的「master」、「msdb」和「tempdb」外,所有資料庫所有權鏈結應被停用 * 主體 GUEST 不應具有任何使用者 SQL 資料庫的存取權 * 除非 SQL 資料庫特別要求,否則應關閉遠端管理連線 * SQL 伺服器應啟用預設追蹤 * CHECK_POLICY 應在所有 SQL 伺服器的 SQL 登入中啟用 * 所有 SQL 伺服器上的 SQL 登入都應啟用密碼過期檢查 * 資料庫主體不應在 SQL 資料庫中映射到 SA 帳號 * SQL 資料庫應停用 AUTO_CLOSE * 應將 BUILTIN\Administrators 移除為 SQL 伺服器的登入權限 * 預設名稱為 'sa' 的帳號應在 SQL 伺服器上重新命名並停用 * 不應對 SQL 資料庫中的物件或欄位授予 PUBLIC 角色過多權限 * SQL 伺服器應關閉 'sa' 登入 * SQL 伺服器應停用 xp_cmdshell * 應移除 SQL 伺服器中未使用的服務代理程序端點 * Database Mail XP 在 SQL 伺服器未被使用時應被停用 * 不應直接將伺服器權限授予 SQL 伺服器的主體 * 資料庫使用者不應與 Model SQL 資料庫的伺服器登入名稱相同 * SQL 伺服器的「掃描啟動儲存程序」選項應被停用 * 驗證模式應為 Windows SQL 伺服器認證 * 當設定「登入稽核」以追蹤 SQL 伺服器登入時,應啟用對成功與失敗登入嘗試(預設追蹤)的稽核 * SQL Servers 不應透過 SQL Server Browser 服務對外公告 SQL Server 執行個體 * SQL 伺服器的錯誤日誌最大數量應為 12 個或以上 * 不應直接將資料庫權限授與主體於 SQL Server。 * SQL 資料庫中不應授予 PUBLIC 角色過多權限 * 不應在 SQL 資料庫中授與 Principal GUEST 權限 * 主體 GUEST 不應被授予 SQL 資料庫中的物件或欄位權限 * 任何現有鏡像或 SSB 端點在 SQL 資料庫中都應要求使用 AES 加密 * 訪客使用者不應被授予 SQL 資料庫安全物件的權限 * 除了 SQL 資料庫的 MSDB 外,所有資料庫的可信位元都應該被停用。 * 不應在 SQL 資料庫中使用「dbo」使用者進行一般服務作業 * 只有「dbo」應該能存取 Model SQL 資料庫 * SQL 資料庫應啟用透明資料加密 * 利用 TDS 進行資料庫通訊,應透過 SQL 伺服器的 TLS 來保護 * 資料庫加密對稱金鑰應在 SQL 資料庫中使用 AES 演算法 * Cell-Level 加密金鑰應在 SQL 資料庫中使用 AES 演算法 * 憑證金鑰應至少使用 2048 位元以支援 SQL 資料庫 * 非對稱鍵長在 SQL 資料庫中應至少為 2048 位元 * SQL 伺服器應停用檔案串流 * SQL 伺服器的伺服器配置 'Replication XPs' 應被停用 * 孤兒使用者應從 SQL 伺服器資料庫中移除 * 資料庫中的擁有者資訊應與 SQL 資料庫的主資料庫中相應的擁有者資訊相符 * 應用程式角色不應用於 SQL 資料庫 * SQL Servers 不應將任何預存程序標示為自動啟動 * 使用者定義的資料庫角色不應是 SQL 資料庫中固定角色的成員 * 使用者 CLR 組件不應在 SQL 資料庫中定義 * 資料庫擁有者應符合 SQL 資料庫的預期 * SQL 伺服器應啟用對成功與失敗登入嘗試的稽核功能 * 應為 SQL 資料庫啟用包含式 DB 驗證之成功與失敗登入嘗試的稽核 * 受限制的使用者應在 SQL Server 資料庫中使用 Windows 認證 * SQL 資料庫應啟用 Polybase 網路加密 * 建立 SQL 伺服器外部金鑰管理提供者基線 * TDS 對 SQL 伺服器應啟用強制加密 * 授予公開的伺服器權限應最小化,以用於 SQL 伺服器 * 所有使用者自訂角色的成員資格應設定在 SQL 資料庫中 * 孤兒資料庫角色應從 SQL 資料庫中移除 * 系統中應至少有一次 SQL 伺服器的有效稽核 * 在 SQL 資料庫中,僅應將最小數量的主體授與 ALTER 或 ALTER ANY USER 資料庫範圍權限 * 應僅授予最少數的主體於 SQL 資料庫中的物件或欄位執行權限(EXECUTE 權限) * SQL 威脅偵測應在 SQL 伺服器層級啟用 * SQL 伺服器應在伺服器層級啟用稽核功能 * 資料庫層級防火牆規則不應授予 SQL 伺服器過度存取權限 * 伺服器層級防火牆規則不應授予 SQL 伺服器過度存取權限 * SQL Servers 的資料庫層級防火牆規則應追蹤並維持在嚴格的最低數量 * SQL Servers 的伺服器層級防火牆規則應追蹤並維持在嚴格的最低數量 * 對於 SQL 伺服器,擴充儲存程序不必要的執行權限應被撤銷 * 僅應將最小數量的主體設為固定 Azure SQL Database master 資料庫角色的成員 * 在 SQL 資料庫中,僅應將最小數量的主體設為固定高影響資料庫角色的成員 * 最小的主體集合應為 SQL 資料庫中固定且低影響的資料庫角色成員 * 執行存取登錄檔的權限應限制於 SQL 伺服器 * SQL 伺服器應移除範例資料庫 * 資料轉換服務(DTS)權限僅應授予 MSDB SQL 資料庫中的 SSIS 角色 * 僅應將最小數量的主體設為 SQL Servers 固定伺服器角色的成員 * 可能影響安全性的功能應在 SQL 伺服器中停用 * SQL 伺服器的「OLE 自動化程序」功能應被停用 * SQL 伺服器應停用「使用者選項」功能 * 擴充性 - 若非 SQL 伺服器需要,應關閉可能影響安全的特性 * 漏洞評估應僅在 SQL Server 2012 及以上版本上設定 * 對已簽署模組的變更應獲得 SQL 資料庫授權 * 追蹤所有有權限存取 SQL 資料庫的使用者 * 應停用具常用名稱的 SQL 登入以加強 SQL 伺服器的安全性 * 請參閱完整 規則與建議地圖 |
| 2025年12月11日 | 警報 | Deprecated | 以下警示現已停用。 AppServices_異常頁面訪問 * AppServices_CurlToDisk * AppServices_WpThemeInjection * AppServices_智慧屏幕 * AppServices_ScanSensitivePage * 應用服務_命令行可疑域名 * AzureDNS_ThreatIntelSuspectDomain (威脅情報可疑域名) * AppServices_FilelessAttackBehaviorDetection(無檔案攻擊行為偵測) * AppServices_無檔案攻擊技術檢測 * AppServices_FilelessAttackToolkitDetection (無文件式攻擊工具檢測) * AppServices_PhishingContent * 應用服務_處理具有已知可疑擴展名的進程 這些警報將作為品質改進流程的一部分被淘汰,並由更新、更先進的警報取代,這些警報提供更高的準確度與更強的威脅偵測能力。 此更新確保安全性提升並降低噪音。 |
| 2025年12月3日 | 建議 | 即將棄用 (提前 30 天通知) | 以下建議將在 30 天後棄用:Microsoft Defender for SQL status should be protected for Arc-enabled SQL Servers,用於「適用於機器上的 Defender for SQL Servers」計畫。 |
| 2025 年 12 月 1 日 | 建議 | 預覽 | (預告)Lambda 上應啟用程式碼簽署功能 |
| 2025 年 12 月 1 日 | 建議 | 預覽 | (預告)應在 Lambda 函數的 API Gateway 上使用安全機制 |
| 2025 年 12 月 1 日 | 建議 | 預覽 | (預告)Lambda 函數的 URL 應啟用認證 |
| 2025 年 12 月 1 日 | 建議 | 預覽 | (預告)Lambda 函式應實作保留並行,以防止資源耗盡 |
| 2025 年 12 月 1 日 | 建議 | 預覽 | (預告)Lambda 函式應設定為自動執行時版本更新 |
| 2025 年 12 月 1 日 | 建議 | 預覽 | |
| 2025 年 12 月 1 日 | 建議 | 預覽 | (預告)過於寬鬆的權限不應在功能應用程式、網頁應用程式或邏輯應用程式中設定 |
| 2025 年 12 月 1 日 | 建議 | 預覽 | (預覽)應對網際網路開放的函數應用程式設定限制網路存取 |
| 2025 年 10 月 21 日 | 警報 | 更新 | 下列變更將套用至 EKS 與 GKE 叢集的 K8S.Node_* 警示。 resourceIdentifiers 屬性將參考 MDC 連接器識別碼:Microsoft.Security/securityConnectors/CONNECTOR_NAME/securityentitydata/EKS_CLUSTER_NAME,而不是 Arc 資源 ID Microsoft.Kubernetes/connectedClusters/ARC_CLUSTER_NAME。 Entities 屬性將參照雲端原生識別碼 arn:aws:eks:AWS_REGION:AWS_ACCOUNT:cluster/CLUSTER_NAME 或 container.googleapis.com/projects/PROJECT_ID/zones/ZONE/clusters/CLUSTER_NAME,而非 Arc 資源識別碼 Microsoft.Kubernetes/connectedClusters/ARC_CLUSTER_NAME。 extensionedProperties 下的 resourceTypefield 會從「Kubernetes – Azure Arc」改為相應的「AWS EKS Cluster」或「GCP GKE Cluster」資源類型。 |
| 2025 年 9 月 10 日 | 警報 | 淘汰 | 下列警示已被取代: 偵測到可疑的處理程序名稱 |
| 2025年6月1日 | 警報 | 即將進行的淘汰 | 由於 PowerZure 不再支援此方法,因此下列警示將會淘汰: * 使用 PowerZure 函式以維持 Azure 環境中的持久性 |
| 2025年5月15日 | 警報 | 即將進行的淘汰 | 以下 警示 將被棄用,且不會透過 XDR 整合提供: * 偵測到公用IP的 DDoS 攻擊 * 針對公用IP已緩解 DDoS 攻擊 註:警示將於適用於雲端的 Defender入口網站提供。 |
| 2025年5月1日 | 警報 | GA | AI 警示已隨著此方案正式發行版本的官方正式發行,一併正式發行 |
| 2025年4月20日 | 警報 | 預覽 | (預覽)AI - 您的Azure AI資源提及的可疑敏感資料,取代先前的敏感資料暴露警示 |
| 2025年4月29日 | 建議 | GA | 基於角色的存取控制應該用於金鑰保管庫服務 |
| 2025 年 4 月 20 日 | 警報 | 預覽 | AI - 在 AI 資源公開的敏感數據中偵測到的可疑異常,這會取代先前的敏感數據暴露警示 |
| 2025年2月5日 | 建議 | 即將進行的淘汰 | 下列建議將被取代: * 設定啟用 Microsoft Defender for Storage(經典版) * 設定要啟用的基本適用於儲存體的 Microsoft Defender (僅限活動監視) |
| 2025年1月29日 | 建議 | GA | 我們已進一步強化「應避免以 root 用戶身分執行容器」的建議。 正在變更什麼? 我們現在至少需要針對「以群組規則執行」指定一個範圍。 這項變更是為了確保容器無法存取 root 擁有的檔案,以及擁有根群組權限的群組。 |
| 2025年1月13日 | 警報 | 預覽 | AI - 從可疑IP存取 |
| 2025年1月13日 | 警報 | 預覽 | AI - 可疑的錢包攻擊 |
| 2024年12月19日 | 警報 | GA | 以下 Azure 儲存體警示已正式推出: 惡意 blob 從儲存體帳戶被下載 使用異常的 SAS 權杖從公用 IP 位址存取 Azure 儲存體帳戶 對擁有過度寬鬆 SAS 權杖的 Azure 儲存體帳戶進行可疑的外部操作 對擁有過度寬鬆 SAS 權杖的 Azure 儲存體帳戶進行可疑的外部存取 對敏感 blob 容器進行異常的未經認證公用存取 從敏感 blob 容器提取異常大量資料 從敏感 blob 容器提取異常數量的 blob 從不尋常位置對敏感 blob 容器進行存取 從已知可疑應用程式對敏感 blob 容器進行存取 從已知可疑 IP 位址對敏感 blob 容器進行存取 從 Tor 出口節點對敏感 blob 容器進行存取 |
| 2024 年 12 月 16 日 | 警報 | 預覽 | AI - 從 Tor IP 存取 |
| 2024 年 11 月 19 日 | 淘汰 | GA |
MFA 建議已被棄用,因為Azure現在必須如此。。 以下建議已被棄用: * 對Azure資源有讀取權限的帳號應啟用多重認證 * 對Azure資源有寫入權限的帳號應啟用多重認證 * 對Azure資源擁有擁有者權限的帳號應啟用多重認證 |
| 2024 年 11 月 19 日 | 警報 | 預覽 | AI - 偵測到可疑的使用者代理程式 |
| 2024 年 11 月 19 日 | 警報 | 預覽 | 偵測到 ASCII 走私提示插入 |
| 2024 年 10 月 30 日 | 警報 | GA | 可疑地擷取Azure Cosmos DB帳戶金鑰 |
| 2024 年 10 月 30 日 | 警報 | GA | 已變更敏感性儲存體 Blob 容器的存取層級以允許未經驗證的公用存取 |
| 2024 年 10 月 30 日 | 建議 | 即將進行的淘汰 |
MFA 建議已被棄用,因為Azure現在必須如此。。 以下建議將被棄用: * 對Azure資源有讀取權限的帳號應啟用多重身份驗證 * 對Azure資源有寫入權限的帳號應啟用多重驗證 * 對Azure資源擁有擁有者權限的帳號應啟用多重身份驗證 |
| 2024 年 10 月 12 日 | 建議 | GA | 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器應該只啟用Microsoft Entra認證 |
| 2024 年 10 月 6 日 | 建議 | 更新 | [預覽] 在 GCP 中執行的容器應該已解決所發現的弱點 |
| 2024 年 10 月 6 日 | 建議 | 更新 | [預覽] 在 AWS 中執行的容器應解決已發現的弱點 |
| 2024 年 10 月 6 日 | 建議 | 更新 | [預覽] Azure中運行的容器應該已解決漏洞發現 |
| 2024 年 9 月 10 日 | 警報 | 預覽 | 損毀的 AI 應用程式\模型\資料將網路釣魚嘗試導向使用者 |
| 2024 年 9 月 10 日 | 警報 | 預覽 | AI 應用程式中共用的網路釣魚 URL |
| 2024 年 9 月 10 日 | 警報 | 預覽 | AI 應用程式中偵測到的網路釣魚嘗試 |
| 2024 年 9 月 5 日 | 建議 | GA | 系統更新應該安裝在您的機器上(由Azure 更新管理員驅動) |
| 2024 年 9 月 5 日 | 建議 | GA | 機器應該設定定期檢查是否有遺漏的系統更新 |
相關內容
有關新功能資訊,請參見 適用於雲端的 Defender新功能。