Zabezpečení dat v Programu Microsoft Defender pro cloud
Microsoft Defender for Cloud shromažďuje a zpracovává data související se zabezpečením, včetně informací o konfiguraci, metadatech, protokolech událostí a dalších akcí, a pomáhá tak zákazníkům předcházet hrozbám, zjišťovat je a reagovat na ně. Společnost Microsoft dodržuje přísné pokyny pro dodržování předpisů a zabezpečení – od psaní kódu po provoz služeb.
Tento článek vysvětluje, jak se data spravují a chrání v defenderu pro cloud.
Zdroje dat
Defender for Cloud analyzuje data z následujících zdrojů, aby poskytoval přehled o stavu zabezpečení, identifikaci ohrožení zabezpečení a doporučení ke zmírnění rizik a detekci aktivních hrozeb:
- Služby Azure: Používá informace o konfiguraci služeb Azure, které jste nasadili, tím, že komunikuje s poskytovatelem prostředků této služby.
- Síťový provoz: Používá vzorkovaná metadata síťového provozu z infrastruktury Microsoftu, jako jsou zdrojová/cílová IP adresa/port, velikost paketů a síťový protokol.
- Partnerová řešení: Používá výstrahy zabezpečení z integrovaných partnerských řešení, jako jsou brány firewall a antimalwarová řešení.
- Vaše počítače: Používá podrobnosti o konfiguraci a informace o událostech zabezpečení, jako jsou protokoly událostí Systému Windows a protokoly auditu a zprávy syslogu z vašich počítačů.
Sdílení dat
Když povolíte kontrolu malwaru Defenderu for Storage, může sdílet metadata, včetně metadat klasifikovaných jako zákaznická data (např. hash SHA-256) s Microsoft Defenderem for Endpoint.
Plán Správy stavu zabezpečení cloudu (CSPM) v programu Microsoft Defender for Cloud Defender pro cloud sdílí data integrovaná do doporučení správy ohrožení zabezpečení Microsoftu.
Poznámka:
Správa ohrožení zabezpečení microsoftu je aktuálně ve verzi Public Preview.
Ochrana dat
Oddělení dat
Data jsou logicky oddělená pro každou komponentu v celé službě. Všechna data jsou označená podle organizace. Toto označování přetrvává v průběhu životního cyklu dat a vynucuje se v každé vrstvě služby.
Přístup k datům
Pokud chcete poskytnout doporučení k zabezpečení a prozkoumat potenciální bezpečnostní hrozby, mohou pracovníci Microsoftu přistupovat k informacím shromážděným nebo analyzovaným službami Azure, včetně událostí vytváření procesů a dalších artefaktů, které můžou neúmyslně zahrnovat zákaznická data nebo osobní údaje z vašich počítačů.
Dodržujeme dodatek microsoft Online Services Data Protection, který uvádí, že Společnost Microsoft nebude používat zákaznická data ani od nich odvozovat informace pro reklamní nebo podobné komerční účely. Informace o zákaznících podle potřeby používáme pouze k poskytování služeb Azure a k účelům slučitelným s poskytováním těchto služeb. Všechna práva na informace o zákaznících zůstávají ve vašem vlastnictví.
Použití dat
Microsoft používá vzory a analýzu hrozeb, které se zobrazují napříč více tenanty, k vylepšení našich možností prevence a detekce; to děláme v souladu se závazky týkajícími se ochrany osobních údajů popsaných v našem prohlášení o zásadách ochrany osobních údajů.
Správa shromažďování dat z počítačů
Když v Azure povolíte Defender for Cloud, shromažďování dat se zapne pro každé z vašich předplatných Azure. Shromažďování dat můžete také povolit pro svá předplatná v programu Defender for Cloud. Když je shromažďování dat povolené, Defender for Cloud zřídí agenta Log Analytics na všech existujících podporovaných virtuálních počítačích Azure a všech nově vytvořených virtuálních počítačích Azure.
Agent Log Analytics vyhledá různé konfigurace související se zabezpečením a události do trasování událostí pro Windows (ETW). Kromě toho operační systém vyvolává události protokolu událostí během spuštění počítače. Mezi příklady těchto údajů patří: typ a verze operačního systému, protokoly operačního systému (protokoly událostí systému Windows), spuštěné procesy, název počítače, IP adresy, přihlášený uživatel a ID klienta. Agent Log Analytics čte položky protokolu událostí a trasování trasování událostí pro Windows a kopíruje je do vašich pracovních prostorů pro účely analýzy. Agent Log Analytics také umožňuje události vytváření procesů a auditování příkazového řádku.
Pokud nepoužíváte rozšířené funkce zabezpečení v programu Microsoft Defender for Cloud, můžete také zakázat shromažďování dat z virtuálních počítačů v zásadách zabezpečení. Shromažďování dat se vyžaduje pro předplatná chráněná funkcemi rozšířeného zabezpečení. Shromažďování artefaktů a snímků disku virtuálního počítače bude nadále povolené i v případě, že shromažďování dat je zakázané.
Můžete zadat pracovní prostor a oblast, ve které se ukládají data shromážděná z vašich počítačů. Výchozí možností je ukládat data shromážděná z počítačů v nejbližším pracovním prostoru, jak je znázorněno v následující tabulce:
Geografie virtuálního počítače | Geografie pracovního prostoru |
---|---|
USA, Brazílie, Jihoafrická republika | USA |
Kanada | Kanada |
Evropa (s výjimkou Spojeného království) | Evropa |
Spojené království | Spojené království |
Asie (s výjimkou Indie, Japonska, Koreje, Číny) | Asie a Tichomoří |
Korea | Asie a Tichomoří |
Indie | Indie |
Japonsko | Japonsko |
Čína | Čína |
Austrálie | Austrálie |
Poznámka:
Microsoft Defender for Storage ukládá artefakty v jednotlivých oblastech podle umístění souvisejícího prostředku Azure. Další informace najdete v přehledu Microsoft Defenderu pro úložiště.
Spotřeba dat
Zákazníci mají přístup k datům souvisejícím s Defenderem pro cloud z následujících datových proudů:
Stream | Datové typy |
---|---|
Protokol aktivit Azure | Všechny výstrahy zabezpečení, schválené žádosti o přístup v programu Defender for Cloud za běhu . |
Protokoly Azure Monitoru | Všechny výstrahy zabezpečení. |
Azure Resource Graph | Výstrahy zabezpečení, doporučení zabezpečení, výsledky posouzení ohrožení zabezpečení, informace o skóre zabezpečení, stav kontrol dodržování předpisů a další. |
Rozhraní REST API Microsoft Defenderu pro cloud | Výstrahy zabezpečení, doporučení zabezpečení a další. |
Poznámka:
Pokud v předplatném nejsou povolené žádné plány Defenderu, data se z Azure Resource Graphu odeberou po 30 dnech nečinnosti na portálu Microsoft Defender for Cloud. Po interakci s artefakty na portálu souvisejícím s předplatným by se data měla znovu zobrazit do 24 hodin.
Uchovávání dat
Když graf zabezpečení cloudu shromažďuje data z prostředí Azure a multicloudových prostředí a dalších zdrojů dat, uchovává data po dobu 14 dnů. Po 14 dnech se data odstraní.
Počítaná data, jako jsou cesty útoku, se můžou uchovávat dalších 14 dnů. Počítaná data se skládají z dat odvozených z nezpracovaných dat shromážděných z prostředí. Například cesta útoku je odvozena z nezpracovaných dat shromážděných z prostředí.
Tyto informace se shromažďují v souladu se závazky týkajícími se ochrany osobních údajů popsaných v našem prohlášení o zásadách ochrany osobních údajů.
Integrace Defenderu pro cloud a Microsoft Defender 365 Defender
Když povolíte některý z placených plánů Defenderu pro cloud, automaticky získáte všechny výhody XDR v programu Microsoft Defender. Informace z programu Defender for Cloud se budou sdílet s XDR v programu Microsoft Defender. Tato data můžou obsahovat zákaznická data a budou uložená podle pokynů pro zpracování dat Microsoftu 365.