Podpora a předpoklady pro správu stavu zabezpečení dat
Před nastavením správy stavu zabezpečení dat v Programu Microsoft Defender pro cloud si projděte požadavky na této stránce.
Povolení zjišťování citlivých dat
Zjišťovánícitlivýchch
- Když povolíte některý z plánů, je v rámci plánu zapnuté rozšíření zjišťování citlivých dat.
- Pokud máte spuštěné existující plány, je rozšíření dostupné, ale ve výchozím nastavení je vypnuté.
- Pokud některá rozšíření nejsou zapnutá, zobrazuje se stav existujícího plánu jako Částečný, ne jako Úplný.
- Funkce je zapnutá na úrovni předplatného.
- Pokud je zapnuté zjišťování citlivých dat, ale funkce CSPM v programu Defender není povolená, zkontrolují se jenom prostředky úložiště.
- Pokud je v programu Defender CSPM povolené předplatné a paralelně jste kontrolovali stejné prostředky pomocí Purview, výsledek kontroly Purview se ignoruje a ve výchozím nastavení se zobrazí výsledky kontroly v programu Microsoft Defender for Cloud pro podporovaný typ prostředku.
Co je podporováno
Tabulka shrnuje dostupnost a podporované scénáře zjišťování citlivých dat.
Podpora | Podrobnosti |
---|---|
Jaké datové prostředky Azure můžu zjistit? | Úložiště objektů: Účty úložiště objektů blob bloku ve službě Azure Storage v1/v2 Soubory Azure ve službě Azure Storage verze 1/v2 Podporováno pouze pomocí protokolu SMB Azure Data Lake Storage Gen2 Podporují se účty úložiště za privátními sítěmi. Podporují se účty úložiště šifrované pomocí klíče na straně serveru spravovaného zákazníkem. Účty se nepodporují, pokud má koncový bod účtu úložiště namapovanou vlastní doménu. Požadavky a omezení: – Aby bylo možné skenovat sdílené složky, přiřadí Defender pro cloud roli Storage File Data Privileged Reader službě StorageDataScanner. Databáze Azure SQL Databases Azure SQL Database šifrované transparentním šifrováním dat |
Jaké datové prostředky AWS můžu zjistit? | Úložiště objektů: Kontejnery AWS S3 Defender for Cloud může zjišťovat data zašifrovaná službou KmS, ale ne šifrovaná pomocí klíče spravovaného zákazníkem. Databáze - Amazon Aurora – Amazon RDS for PostgreSQL – Amazon RDS for MySQL – Amazon RDS for MariaDB – Amazon RDS pro SQL Server (noncustom) – Amazon RDS for Oracle Database (pouze noncustom, SE2 Edition) Požadavky a omezení: – Musí být povoleny automatizované zálohy. – Role IAM vytvořená pro účely skenování (DefenderForCloud-DataSecurityPostureDB ve výchozím nastavení) musí mít oprávnění ke klíči Služby správy klíčů sloužícímu k šifrování instance VZDÁLENÉ PLOCHY. – Nejde sdílet snímek databáze, který používá skupinu možností s trvalými nebo trvalými možnostmi, s výjimkou instancí Oracle DB, které mají možnost Časové pásmo nebo OLS (nebo obojí). Další informace |
Jaké datové prostředky GCP můžu zjistit? | Kontejnery úložiště GCP Standardní třída Geografická oblast: oblast, duální oblast, více oblastí |
Jaká oprávnění potřebuji ke zjišťování? | Účet úložiště: Vlastník předplatného nebo Microsoft.Authorization/roleAssignments/* (čtení, zápis, odstranění) a Microsoft.Security/pricings/* (čtení, zápis, odstranění) a Microsoft.Security/pricings/SecurityOperators (čtení, zápis)Kontejnery Amazon S3 a instance RDS: Oprávnění účtu AWS ke spuštění vytváření cloudu (vytvoření role). Kontejnery úložiště GCP: Oprávnění účtu Google ke spuštění skriptu (vytvoření role). |
Jaké typy souborů se podporují pro zjišťování citlivých dat? | Podporované typy souborů (nemůžete vybrat podmnožinu) – .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
Jaké oblasti Azure se podporují? | Účty úložiště Azure můžete zjistit v: Asie – východ; Asie – jihovýchod; Austrálie – střed; Austrálie – střed 2; Austrálie – východ; Austrálie – jihovýchod; Brazílie – jih; Brazílie – jihovýchod; Kanada – střed; Kanada – východ; Evropa – sever; Evropa – západ; Francie – střed; Francie – jih; Německo – sever; Německo – středozápad; Indie – střed; Indie – jih; Japonsko – východ; Japonsko – západ; Jio Indie – západ; Korea – střed; Korea – jih; Norsko – východ; Norsko – západ; Jižní Afrika – sever; Jižní Afrika – západ; Švédsko – střed; Švýcarsko – sever; Švýcarsko – západ; Spojené arabské emiráty – sever; Velká Británie – jih; Velká Británie – západ; USA – střed; USA – východ; USA – východ 2; USA – středosever; USA – středojižní; USA – západ; USA – západ 2; USA – západ 3; USA – středozápad; Azure SQL Database můžete zjistit v libovolné oblasti, ve které jsou podporované nástroje CSPM Defenderu a Azure SQL Database. |
Jaké oblasti AWS jsou podporované? | S3: Asie a Tichomoří (Bombaj); Asie a Tichomoří (Singapur); Asie a Tichomoří (Sydney); Asie a Tichomoří (Tokio); Kanada (Montreal); Evropa (Frankfurt); Evropa (Irsko); Evropa (Londýn); Evropa (Paříž); Evropa (Stockholm); Jižní Amerika (São Paulo); USA – východ (Ohio); USA – východ (N. Virginia); USA – západ (N. Kalifornie): USA – západ (Oregon). RDS: Afrika (Kapské Město); Asie a Tichomoří (Hongkong – zvláštní správní oblast); Asie a Tichomoří (Hyderabad); Asie a Tichomoří (Melbourne); Asie a Tichomoří (Bombaj); Asie a Tichomoří (Ósaka); Asie a Tichomoří (Soul); Asie a Tichomoří (Singapur); Asie a Tichomoří (Sydney); Asie a Tichomoří (Tokio); Kanada (střed); Evropa (Frankfurt); Evropa (Irsko); Evropa (Londýn); Evropa (Paříž); Evropa (Stockholm); Evropa (Curych); Střední východ (Spojené arabské emiráty); Jižní Amerika (São Paulo); USA – východ (Ohio); USA – východ (N. Virginia); USA – západ (N. Kalifornie): USA – západ (Oregon). Zjišťování se provádí místně v rámci oblasti. |
Jaké oblasti GCP se podporují? | europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1 |
Musím nainstalovat agenta? | Ne, zjišťování nevyžaduje instalaci agenta. |
Jaké jsou náklady? | Tato funkce je součástí plánů CSPM v programu Defender a Defender for Storage a neúčtují se za další náklady s výjimkou příslušných nákladů na plán. |
Jaká oprávnění potřebuji k zobrazení nebo úpravě nastavení citlivosti dat? | Potřebujete jednu z těchto rolí Microsoft Entra: |
Jaká oprávnění musím provést připojování? | Potřebujete jednu z těchto rolí řízení přístupu na základě role v Azure (Azure RBAC): Správce zabezpečení, Přispěvatel, Vlastník na úrovni předplatného (kde se nachází projekt GCP/s). Pro využívání zjištění zabezpečení: Čtenář zabezpečení, Správce zabezpečení, Čtenář, Přispěvatel, Vlastník na úrovni předplatného (kde se nachází projekt GCP/ s). |
Konfigurace nastavení citlivosti dat
Mezi hlavní kroky konfigurace nastavení citlivosti dat patří:
- Import vlastních typů a popisků citlivosti z Portál dodržování předpisů Microsoft Purview
- Přizpůsobení kategorií a typů citlivých dat
- Nastavení prahové hodnoty pro popisky citlivosti
Přečtěte si další informace o popiscích citlivosti v Microsoft Purview.
Zjišťování
Defender for Cloud začne zjišťovat data hned po povolení plánu nebo po zapnutí funkce v plánech, které už běží.
Úložiště objektů:
- První zjišťování trvá až 24 hodin.
- Po aktualizaci souborů ve zjištěných prostředcích se data aktualizují do osmi dnů.
- Nový účet úložiště Azure, který je přidaný do již zjištěného předplatného, se zjistí do 24 hodin nebo méně.
- Do 48 hodin nebo méně se zjistí nový kbelík úložiště AWS S3 nebo kontejner úložiště GCP přidaný do už zjištěného účtu AWS nebo účtu Google.
- Zjišťování citlivých dat pro úložiště se provádí místně ve vaší oblasti. Tím zajistíte, že vaše data neopustí vaši oblast. Do Defenderu pro cloud se přenesou jenom metadata prostředků, jako jsou soubory, objekty blob, názvy kontejnerů, zjištěné popisky citlivosti a názvy identifikovaných typů citlivých informací (SIT).
Pro databáze:
- Databáze se naskenují každý týden.
- U nově povolených předplatných se výsledky zobrazí do 24 hodin.
Průzkumník cloudového zabezpečení
Zobrazujeme všechny typy úložišť, včetně účtů úložiště Azure, kontejnerů AWS a kontejnerů GCP bez ohledu na související přehledy. Pro účty azure Storage, které zahrnují kontejnery objektů blob a sdílené složky, platí následující pravidla:
Kontejnery objektů blob se zobrazí, pokud splňují některá z následujících kritérií:
Obsahují přehled o citlivých datech .
Mají přehled o veřejném přístupu .
Mají pravidlo replikace do nebo z jiného objektu blob.
Sdílené složky se zobrazují jenom v případě, že mají přehled "Obsahuje citlivá data".
Zjišťování a prohledávání účtů úložiště Azure
Pokud chcete zkontrolovat účty úložiště Azure, Vytvoří Microsoft Defender for Cloud nový storageDataScanner
prostředek a přiřadí mu roli Čtenář dat objektů blob služby Storage. Tato role uděluje následující oprávnění:
- List
- Čteno
Pro účty úložiště za privátními sítěmi zahrneme StorageDataScanner
do seznamu povolených instancí prostředků v konfiguraci pravidel sítě účtu úložiště.
Zjišťování a prohledávání kontejnerů AWS S3
Pokud chcete chránit prostředky AWS v defenderu pro cloud, nastavili jste konektor AWS pomocí šablony CloudFormation pro připojení účtu AWS.
- Pokud chcete zjistit datové prostředky AWS, Defender for Cloud aktualizuje šablonu CloudFormation.
- Šablona CloudFormation vytvoří novou roli v AWS IAM, která povolí oprávnění pro kontrolu cloudu Defenderu pro cloud pro přístup k datům v kontejnerech S3.
- Pokud chcete připojit účty AWS, potřebujete oprávnění správce k účtu.
- Role umožňuje tato oprávnění: jen pro čtení S3; Dešifrování Služby správy klíčů
Zjišťování a prohledávání instancí vzdálené plochy AWS
Pokud chcete chránit prostředky AWS v defenderu pro cloud, nastavte konektor AWS pomocí šablony CloudFormation pro připojení účtu AWS.
- Pokud chcete zjistit instance AWS RDS, Defender for Cloud aktualizuje šablonu CloudFormation.
- Šablona CloudFormation vytvoří novou roli ve službě AWS IAM, která umožní službě Defender for Cloud scanner pořídit poslední dostupný automatizovaný snímek vaší instance a přenést ho do režimu online v izolovaném prostředí kontroly ve stejné oblasti AWS.
- Pokud chcete připojit účty AWS, potřebujete oprávnění správce k účtu.
- Automatizované snímky musí být povolené v příslušných instancích a clusterech RDS.
- Tato role umožňuje tato oprávnění (přesné definice najdete v šabloně CloudFormation):
- Výpis všech databází a clusterů RDS
- Kopírování všech snímků databáze nebo clusteru
- Odstranění, aktualizace snímku databáze nebo clusteru s předponou defenderfordatabases
- Výpis všech klíčů Služby správy klíčů
- Použít všechny klíče Služby správy klíčů jenom pro RDS ve zdrojovém účtu
- Vytvoření a úplné řízení pro všechny klíče Služby správy klíčů s předponou značek DefenderForDatabases
- Vytvoření aliasu pro klíče Služby správy klíčů
- Klíče Služby správy klíčů se vytvářejí jednou pro každou oblast, která obsahuje instance RDS. Vytvoření klíče Služby správy klíčů může mít minimální dodatečné náklady podle cen služby AWS KMS.
Zjišťování a prohledávání kontejnerů úložiště GCP
Pokud chcete chránit prostředky GCP v programu Defender for Cloud, můžete nastavit konektor Google pomocí šablony skriptu pro připojení účtu GCP.
- Pokud chcete zjistit kontejnery úložiště GCP, Aktualizuje Defender for Cloud šablonu skriptu.
- Šablona skriptu vytvoří v účtu Google novou roli, která povolí přístup k datům v kontejnerech úložiště GCP v programu Defender for Cloud Scanner.
- Pokud chcete připojit účty Google, potřebujete oprávnění správce k účtu.
Zveřejnění na internetu /umožňuje veřejný přístup
Mezi způsoby útoku CSPM v defenderu a přehledy grafu zabezpečení cloudu patří informace o prostředcích úložiště, které jsou vystavené internetu, a umožňují veřejný přístup. Další podrobnosti najdete v následující tabulce.
Kraj | Účty úložiště Azure | Kontejnery AWS S3 | Kontejnery úložiště GCP |
---|---|---|---|
Vystavené internetu | Účet úložiště Azure se považuje za přístupný z internetu, pokud je povolené některé z těchto nastavení: >Storage_account_name Síťový>přístup>k veřejné síti povolen ze všech sítí nebo >Storage_account_name Přístup k>veřejné síti sítě>povolit z vybraných virtuálních sítí a IP adres. |
Kontejner AWS S3 se považuje za přístupný z internetu, pokud zásady kontejneru AWS S3 nemají nastavenou podmínku pro IP adresy. | Všechny kontejnery úložiště GCP jsou ve výchozím nastavení přístupné na internetu. |
Umožňuje veřejný přístup. | Kontejner účtu úložiště Azure se považuje za povolení veřejného přístupu, pokud jsou pro účet úložiště povolená tato nastavení: Storage_account_name Konfigurace>povolit anonymní přístup k objektům> blob > a některé z těchto nastavení: >kontejnery> Storage_account_name container_name >nastavenou na úroveň veřejného přístupu na objekt blob (anonymní přístup pro čtení pouze pro objekty blob) Nebo storage_account_name >Kontejnery> container_name> úroveň veřejného přístupu nastavenou na Kontejner (anonymní přístup pro čtení pro kontejnery a objekty blob). |
Kontejner AWS S3 se považuje za povolený veřejný přístup, pokud má účet AWS i kontejner AWS S3 nastavený blokovat veškerý veřejný přístup nastavený na Vypnuto a je nastavená obě tato nastavení: V zásadě není povoleno OmezeníPublicBuckets a nastavení Objekt zabezpečení je nastaveno na * a Efekt je nastaven na Povolit. Nebo v seznamu řízení přístupu není povolená možnost IgnorePublicAcl a oprávnění jsou povolena pro všechny nebo pro ověřené uživatele. |
Kontejner úložiště GCP se považuje za povolený veřejný přístup, pokud má roli IAM (Správa identit a přístupu), která splňuje tato kritéria: Role je udělena objektu zabezpečení allUsers nebo allAuthenticatedUsers. Role má alespoň jedno oprávnění úložiště, které není storage.buckets.create nebo storage.buckets.list. Veřejný přístup v GCP se nazývá Veřejný přístup k internetu. |
Databázové prostředky neumožňují veřejný přístup, ale můžou být stále přístupné z internetu.
Přehledy ohrožení internetu jsou k dispozici pro následující zdroje informací:
Azure:
- Azure SQL Server
- Azure Cosmos DB
- Azure SQL Managed Instance
- Jednoúčelový server Azure MySQL
- Flexibilní server Azure MySQL
- Jednoúčelový server Azure PostgreSQL
- Flexibilní server Azure PostgreSQL
- Jednoúčelový server Azure MariaDB
- Pracovní prostor Synapse
AWS:
- Instance RDS
Poznámka:
- Pravidla expozice, která zahrnují 0.0.0.0/0, se považují za "nadměrně vystavená", což znamená, že k nim lze přistupovat z jakékoli veřejné IP adresy.
- Prostředky Azure s pravidlem expozice 0.0.0.0 jsou přístupné z libovolného prostředku v Azure (bez ohledu na tenanta nebo předplatné).
Související obsah
Povolte správu stavu zabezpečení dat.