共用方式為


啟用資料安全性態勢管理

本文說明如何在適用於雲端的 Microsoft Defender 中啟用資料安全性態勢管理

在您開始使用 Intune 之前

  • 啟用資料安全性態勢管理之前,請先檢閱支援和必要條件
  • 當您啟用 Defender CSPM 或適用於儲存體的 Defender 方案時,會自動啟用敏感性資料探索延伸模組。 如果您不想使用資料安全性態勢管理,則可以停用此設定,但建議您使用此功能從適用於雲端的 Defender 獲得最大價值。
  • 會根據適用於雲端的 Defender 中的資料敏感度設定來識別敏感性資料。 您可以自訂資料敏感度設定,以識別組織認為敏感性的資料。
  • 啟用此功能之後,最多需要 24 小時才能看到第一次探索的結果。

在 Defender CSPM 中啟用 (Azure)

請遵照以下步驟以啟用資料安全性態勢管理。 開始之前,別忘了檢閱必要權限 (部分機器翻譯)。

  1. 瀏覽至 [適用於雲端的 Microsoft Defender]>[環境設定]

  2. 選取相關的 Azure 訂用帳戶。

  3. 針對 Defender CSPM 方案,選取 [開啟] 狀態。

    如果 Defender CSPM 已開啟,請在 Defender CSPM 方案的 [監視涵蓋範圍] 欄位中選取 [設定],並確定將 [敏感性資料探索] 元件設定為 [開啟] 狀態。

  4. 當敏感性資料探索在 Defender CSPM 中 [開啟] 後,隨著支援的資源類型範圍的擴展,它將自動納入對其他資源類型的支援。

在 Defender CSPM 中啟用 (AWS)

在您開始使用 Intune 之前

  • 別忘了檢閱 AWS 探索的需求 (部分機器翻譯) 和必要權限 (部分機器翻譯)。
  • 確定沒有任何原則會封鎖 Amazon S3 貯體連線。
  • 針對 RDS 執行個體:支援跨帳戶 KMS 加密,但 KMS 存取的其他原則可能會禁止存取。

啟用 AWS 資源

S3 貯體和 RDS 執行個體

  1. 如上所述啟用資料安全性態勢
  2. 繼續按照說明下載 CloudFormation 範本並在 AWS 中執行。

自動探索 AWS 帳戶中的 S3 貯體會自動啟動。

針對 S3 貯體,適用於雲端的 Defender 掃描器會在 AWS 帳戶中執行,並連線到您的 S3 貯體。

針對 RDS 執行個體,當開啟 [敏感性資料探索] 後,就會觸發探索。 掃描器將為執行個體拍攝最新的自動快照集、在來源帳戶內建立手動快照集,並將其複製到相同區域內,Microsoft 擁有的隔離環境中。

會快照集使用建立即時執行個體,該執行個體會啟動、掃描,然後立即銷毀 (連同複製的快照集)。

掃描平台只會報告掃描結果。

說明 RDS 掃描平台的圖表。

查看 S3 封鎖原則

如果啟用處理序因為封鎖的原則而無法運作,請查看下列項目:

  • 確定 S3 貯體原則未封鎖連線。 在 AWS S3 貯體中,選取 [權限] 索引標籤 > [貯體原則]。 請查看原則詳細資料,確保在 AWS 的 Microsoft 帳戶中執行的適用於雲端的 Microsoft Defender 掃描器服務未被封鎖。
  • 確定沒有任何 SCP 原則會封鎖 S3 貯體連線。 例如,您的 SCP 原則可能會封鎖裝載 S3 貯體之 AWS 區域的讀取 API 呼叫。
  • 查看 SCP 原則是否允許這些必要的 API 呼叫:AssumeRole、GetBucketLocation、GetObject、ListBucket、GetBucketPublicAccessBlock
  • 查看您的 SCP 原則是否允許 us-east-1 AWS 區域的呼叫,而這是 API 呼叫的預設區域。

在適用於儲存體的 Defender 中啟用資料感知監視

當在適用於儲存體的 Defender 方案中啟用敏感性資料探索元件時,預設會啟用敏感性資料威脅偵測。 深入了解

如果關閉 Defender CSPM 方案,則只會掃描 Azure 儲存體資源。

下一步

檢閱資料中的安全性風險