適用於雲端的 Microsoft Defender 資料安全性
為了協助客戶預防、偵測和回應威脅,適用於雲端的 Microsoft Defender 會收集並處理安全性相關的資料,包括設定資訊、中繼資料、事件記錄檔等等。 Microsoft 從撰寫程式碼到運作服務均遵守嚴格的規範與安全性指導方針。
本文說明如何在適用於雲端的 Defender 中管理和保護資料。
資料來源
適用於雲端的 Defender 會分析來自下列來源的資料,以掌握您的安全性狀態、識別弱點與提供建議防護功能,並偵測作用中的威脅:
- Azure 服務︰透過與 Azure 服務的資源提供者通訊,以使用您所部署之 Azure 服務的組態相關資訊。
- 網路流量︰使用從 Microsoft 的基礎結構取樣的網路流量中繼資料,例如來源/目的地 IP/連接埠、封包大小和網路通訊協定。
- 合作夥伴解決方案:使用整合式合作夥伴解決方案 (例如防火牆和反惡意程式碼解決方案) 的安全性警示。
- 您的機器:使用設定詳細資料和安全性事件相關資訊,例如 Windows 事件和稽核記錄以及來自您機器的 syslog 訊息。
資料共用
當您啟用適用於儲存體的 Defender 惡意程式碼掃描時,它可能會與適用於端點的 Microsoft Defender 共用中繼資料,包括分類為客戶資料的中繼資料 (例如 SHA-256 雜湊)。
執行 適用於雲端安全性狀態管理方案 (CSPM) 的 Defender 的適用於雲端的 Microsoft Defender 會共用已整合到 Microsoft 安全性暴露風險管理建議中的資料。
注意
Microsoft 安全性暴露風險管理目前處於公開預覽狀態。
資料保護
資料隔離
資料會以邏輯方式分開保存在服務的每個元件上。 每個組織加上標記的所有資料。 這項標記作業會在整個資料生命週期中持續進行,且會在服務的每個層級強制執行。
資料存取
為了提供安全性建議及調查潛在的安全性威脅,Microsoft 人員可能會存取 Azure 服務所收集或分析的資訊,包含程序建立事件和其他成品,但這可能無意中包含來自您電腦的客戶資料或個人資料。
我們會遵守 Microsoft Online Services 資料保護增補,其中陳述 Microsoft 不會使用客戶資料或從中衍生資訊作為任何廣告或類似的商業用途。 我們會視需要只使用客戶資料為您提供 Azure 服務,包括與提供這些服務相容的用途。 您可保有客戶資料的所有權限。
資料使用
Microsoft 使用可見於多個租用戶的模式和威脅智慧來加強我們的防護和偵測功能;我們會根據隱私權聲明中所述的隱私權承諾進行。
從電腦管理資料收集
當您啟用適用於雲端的 Defender 時,已針對每個 Azure 訂用帳戶開啟資料收集。 您也可以在適用於雲端的 Defender 中為您的訂用帳戶啟用資料收集。 啟用資料收集時,適用於雲端的 Defender 會在所有現有支援的 Azure 虛擬機器和任何新建立的虛擬機器上佈建 Log Analytics 代理程式。
Log Analytics 代理程式會掃描各種安全性相關設定,並轉換成 Windows 事件追蹤 (ETW) 的追蹤事件。 此外,作業系統會在執行機器的過程中引發事件記錄檔事件。 這類資料的範例包括︰作業系統類型和版本、作業系統記錄 (Windows 事件記錄)、執行中程序、電腦名稱、IP 位址、已登入的使用者和租用戶識別碼。 Log Analytics 代理程式會讀取事件記錄項目和 ETW 追蹤,並複製到您的工作區進行分析。 Log Analytics 代理程式也會啟用程序建立事件和命令列稽核。
如果您不是使用適用於雲端的 Microsoft Defender 增強式安全性功能,則也可以在安全性原則中,從虛擬機器停用資料收集。 增強式安全性功能所保護的訂用帳戶需要進行資料收集。 即使已停用資料集合,仍然會啟用VM 磁碟快照集和構件集合。
您可以指定從您的電腦收集的資料儲存所在的工作區和區域。 預設是將從您的電腦收集的資料儲存在最近的工作區,如下表所示:
VM 地區 | 工作區地區 |
---|---|
美國、巴西、南非 | 美國 |
加拿大 | 加拿大 |
歐洲 (英國除外) | 歐洲 |
英國 | 英國 |
亞洲 (印度、日本、韓國、中國除外) | 亞太地區 |
南韓 | 亞太地區 |
印度 | 印度 |
日本 | 日本 |
中國 | 中國 |
澳大利亞 | 澳大利亞 |
注意
「適用於儲存體的 Microsoft Defender」會根據相關 Azure 資源的位置在區域內儲存成品。 若要深入了解,請參閱適用於儲存體的 Microsoft Defender 概觀。
資料耗用量
客戶可以從下列資料流存取適用於雲端的 Defender 相關資料:
串流 | 資料類型 |
---|---|
Azure 活動記錄 | 所有安全性警示、已核准的適用於雲端的 Defender Just-In-Time 存取要求,以及自適性應用程式控制所產生的所有警示。 |
Azure 監視器記錄 | 所有安全性警示。 |
Azure Resource Graph | 安全性警示、安全性建議、弱點評量結果、安全分數資訊、合規性檢查的狀態等等。 |
適用於雲端的 Microsoft Defender REST API | 安全性警示、安全性建議等等。 |
注意
如果在訂用帳戶上未啟用 Defender 方案,則在適用於雲端的 Microsoft Defender 入口網站中處於不活動狀態 30 天之後,資料將從 Azure Resource Graph 中移除。 在入口網站中與該訂用帳戶相關的成品進行互動之後,資料應該會在 24 小時內再次顯示。
資料保留
當雲端安全性圖表從 Azure 和多雲端環境和其他資料來源收集資料時,會保留 14 天的資料。 在 14 天後即會刪除資料。
計算的資料,例如攻擊路徑,可能會額外保留 14 天。 計算資料是由從環境所收集的未經處理資料的資料所組成。 例如,攻擊路徑是由從環境所收集的未經處理資料。
此資訊會依照我們隱私權聲明中所述的隱私權承諾來收集。
適用於雲端的 Defender 與 Microsoft Defender 365 Defender 整合
當您啟用任何適用於雲端的 Defender 的付費方案時,您會自動獲得 Microsoft Defender XDR 的所有權益。 適用於雲端的 Defender 中的資訊會與 Microsoft Defender XDR 共用。 此資料可能包含客戶資料,且會根據 Microsoft 365 資料處理指引儲存。