Archiv Novinek v Defenderu for Cloud
Tato stránka obsahuje informace o funkcích, opravách a vyřazení starších než šest měsíců. Nejnovější aktualizace najdete v článku Co je nového v programu Defender for Cloud?.
Duben 2024
Datum | Kategorie | Aktualizovat |
---|---|---|
Duben 16 | Nadcházející aktualizace | Změna ID posouzení CIEM Odhadovaná aktualizace: květen 2024. |
15. duben | GA | Defender for Containers je teď k dispozici pro AWS a GCP. |
3. dubna | Aktualizovat | Stanovení priorit rizik je teď výchozím prostředím v defenderu pro cloud. |
3. dubna | Aktualizovat | Defender pro aktualizace opensourcových relačních databází |
Aktualizace: Změna ID posouzení CIEM
16. dubna 2024
Odhadované datum změny: květen 2024
V následujících doporučeních je naplánováno přemodelování, což bude mít za následek změny JEJICH ID posouzení:
Azure overprovisioned identities should have only the necessary permissions
AWS Overprovisioned identities should have only the necessary permissions
GCP overprovisioned identities should have only the necessary permissions
Super identities in your Azure environment should be removed
Unused identities in your Azure environment should be removed
Obecná dostupnost: Defender for Containers pro AWS a GCP
15. dubna 2024
Detekce hrozeb za běhu a zjišťování bez agentů pro AWS a GCP v defenderu pro kontejnery jsou teď obecně dostupné. Kromě toho existuje nová funkce ověřování v AWS, která zjednodušuje zřizování.
Přečtěte si další informace o matici podpory kontejnerů v programu Defender for Cloud a o tom, jak nakonfigurovat komponenty Defenderu for Containers.
Aktualizace: Stanovení priority rizik
3. dubna 2024
Stanovení priority rizik je teď výchozím prostředím v programu Defender for Cloud. Tato funkce vám pomůže zaměřit se na nejdůležitější problémy se zabezpečením ve vašem prostředí tím, že upřednostňuje doporučení na základě rizikových faktorů jednotlivých prostředků. Rizikové faktory zahrnují potenciální dopad narušení problému zabezpečení, kategorie rizika a cestu útoku, na kterou je problém se zabezpečením součástí. Přečtěte si další informace o stanovení priorit rizik.
Aktualizace: Defender pro opensourcové relační databáze
3. dubna 2024
- Aktualizace flexibilních serverů Defender for PostgreSQL po ga – Tato aktualizace umožňuje zákazníkům vynutit ochranu stávajících flexibilních serverů PostgreSQL na úrovni předplatného, což umožňuje úplnou flexibilitu povolit ochranu pro jednotlivé prostředky nebo automatickou ochranu všech prostředků na úrovni předplatného.
- Dostupnost flexibilních serverů Defender for MySQL a obecná dostupnost – Defender pro cloud rozšířil podporu opensourcových relačních databází Azure začleněním flexibilních serverů MySQL.
Součásti této vydané verze:
- Kompatibilita výstrah se stávajícími výstrahami pro jednoúčelové servery Defenderu for MySQL
- Povolení jednotlivých prostředků
- Povolení na úrovni předplatného
- Aktualizace flexibilních serverů Azure Database for MySQL se během několika příštích týdnů zpřístupní. Pokud se zobrazí chyba
The server <servername> is not compatible with Advanced Threat Protection
, můžete buď počkat na aktualizaci, nebo otevřít lístek podpory pro aktualizaci serveru dříve na podporovanou verzi.
Pokud už chráníte své předplatné pomocí defenderu pro opensourcové relační databáze, vaše flexibilní prostředky serveru se automaticky povolí, zachrání a fakturují. Konkrétní oznámení o fakturaci se odeslala e-mailem pro ovlivněná předplatná.
Přečtěte si další informace o programu Microsoft Defender pro opensourcové relační databáze.
Březen 2024
Obecná dostupnost: Prohledávání imagí kontejnerů Windows
31. března 2024
Oznamujeme obecnou dostupnost imagí kontejnerů Windows pro kontrolu pomocí Defenderu pro kontejnery.
Aktualizace: Průběžný export teď zahrnuje data o cestě útoku.
25. března 2024
Oznamujeme, že průběžný export teď obsahuje data o cestě útoku. Tato funkce umožňuje streamovat data zabezpečení do Log Analytics ve službě Azure Monitor, do služby Azure Event Hubs nebo do jiného řešení modelu nasazení SIEM (Security Information and Event Management), SOAR (Security Orchestration Automated Response) nebo modelu nasazení IT Classic.
Přečtěte si další informace o průběžném exportu.
Preview: Kontrola bez agentů podporuje šifrované virtuální počítače CMK v Azure
21. března 2024
Doteď kontrola bez agentů zahrnovala zašifrované virtuální počítače CMK v AWS a GCP. V této verzi také dokončujeme podporu pro Azure. Tato funkce využívá jedinečný přístup ke kontrole cmk v Azure:
- Defender for Cloud nezpracovává proces klíče ani dešifrování. Azure Compute bezproblémově zpracovává klíče a dešifrování a je transparentní pro službu Kontroly bez agentů v Defenderu pro cloud.
- Nešifrovaná data disku virtuálního počítače se nikdy nekopírují ani znovu nešifrují pomocí jiného klíče.
- Původní klíč se během procesu nereplikuje. Vymazáním vymažete data na produkčním virtuálním počítači i v programu Defender pro dočasný snímek cloudu.
Během veřejné verze Preview tato funkce není povolená automaticky. Pokud používáte Defender for Servers P2 nebo Defender CSPM a vaše prostředí obsahuje virtuální počítače s šifrovanými disky CMK, můžete je teď nechat zkontrolovat ohrožení zabezpečení, tajné kódy a malware podle těchto kroků povolení.
Preview: Vlastní doporučení založená na KQL pro Azure
17. března 2024
Vlastní doporučení založená na KQL pro Azure jsou teď ve verzi Public Preview a podporují se pro všechny cloudy. Další informace najdete v tématu Vytváření vlastních standardů zabezpečení a doporučení.
Aktualizace: Zahrnutí doporučení DevOps do srovnávacího testu zabezpečení cloudu Microsoftu
13. března 2024
Dnes oznamujeme, že kromě Azure, AWS a GCP teď můžete monitorovat stav zabezpečení a dodržování předpisů DevOps v srovnávacím testu zabezpečení cloudu Microsoftu (MCSB). Posouzení DevOps jsou součástí řízení zabezpečení DevOps v MCSB.
MCSB je architektura, která definuje základní principy zabezpečení cloudu na základě běžných oborových standardů a architektur dodržování předpisů. MCSB poskytuje podrobné podrobnosti o tom, jak implementovat doporučení týkající se zabezpečení nezávislé na cloudu.
Přečtěte si další informace o doporučeních DevOps, která budou zahrnuta, a srovnávacím testu zabezpečení cloudu Microsoftu.
Obecná dostupnost: Všeobecná dostupnost integrace ServiceNow
12. března 2024
Oznamujeme obecnou dostupnost integrace ServiceNow.
Preview: Ochrana důležitých prostředků v Microsoft Defenderu pro cloud
12. března 2024
Defender for Cloud teď obsahuje funkci obchodní důležitosti, která využívá modul důležitých prostředků správy ohrožení zabezpečení Microsoftu k identifikaci a ochraně důležitých prostředků prostřednictvím stanovení priority rizik, analýzy cest útoku a průzkumníka zabezpečení cloudu. Další informace najdete v tématu Ochrana důležitých prostředků v programu Microsoft Defender for Cloud (Preview).
Aktualizace: Vylepšená doporučení AWS a GCP s využitím automatizovaných skriptů pro nápravu
12. března 2024
Doporučení AWS a GCP vylepšujeme pomocí automatizovaných skriptů pro nápravu, které vám umožní je opravit programově a ve velkém měřítku. Přečtěte si další informace o automatizovaných skriptech nápravy.
Preview: Standardy dodržování předpisů přidané do řídicího panelu dodržování předpisů
6. března 2024
Na základě zpětné vazby zákazníků jsme do Defenderu pro cloud přidali standardy dodržování předpisů ve verzi Preview.
Podívejte se na úplný seznam podporovaných standardů dodržování předpisů.
Neustále pracujeme na přidávání a aktualizaci nových standardů pro prostředí Azure, AWS a GCP.
Zjistěte, jak přiřadit standard zabezpečení.
Aktualizace: Defender pro aktualizace opensourcových relačních databází
6. března 2024**
Odhadované datum změny: duben 2024
Aktualizace flexibilních serverů Defender for PostgreSQL po ga – Tato aktualizace umožňuje zákazníkům vynutit ochranu stávajících flexibilních serverů PostgreSQL na úrovni předplatného, což umožňuje úplnou flexibilitu povolit ochranu pro jednotlivé prostředky nebo automatickou ochranu všech prostředků na úrovni předplatného.
Dostupnost flexibilních serverů Defender for MySQL a obecná dostupnost – Defender pro cloud je nastavený tak, aby rozšířil podporu opensourcových relačních databází Azure začleněním flexibilních serverů MySQL. Tato verze bude zahrnovat:
- Kompatibilita výstrah se stávajícími výstrahami pro jednoúčelové servery Defenderu for MySQL
- Povolení jednotlivých prostředků
- Povolení na úrovni předplatného
Pokud už chráníte své předplatné pomocí defenderu pro opensourcové relační databáze, vaše flexibilní prostředky serveru se automaticky povolí, zachrání a fakturují. Konkrétní oznámení o fakturaci se odeslala e-mailem pro ovlivněná předplatná.
Přečtěte si další informace o programu Microsoft Defender pro opensourcové relační databáze.
Aktualizace: Změny nabídek dodržování předpisů a nastavení akcí Microsoftu
3. března 2024
Odhadované datum změny: 30. září 2025
30. září 2025 se změní umístění, ve kterých máte přístup ke dvěma funkcím Preview, nabídce dodržování předpisů a akcím Microsoftu.
Tabulka, která uvádí stav dodržování předpisů produktů Microsoftu (přístup z tlačítka Nabídky dodržování předpisů na panelu nástrojů řídicího panelu dodržování předpisů v programu Defender). Po odebrání tohoto tlačítka z Defenderu pro cloud budete mít k informacím přístup pomocí portálu Service Trust Portal.
Pro podmnožinu ovládacích prvků byly akce Microsoftu přístupné z tlačítka Microsoft Actions (Preview) v podokně podrobností ovládacích prvků. Po odebrání tohoto tlačítka můžete zobrazit akce Microsoftu na portálu Service Trust Portal společnosti Microsoft pro FedRAMP a přístup k dokumentu Plánu zabezpečení systému Azure.
Aktualizace: Změny, ve kterých přistupujete k nabídkám dodržování předpisů a akcím Microsoftu
3. března 2024**
Odhadované datum změny: září 2025
30. září 2025 se změní umístění, ve kterých máte přístup ke dvěma funkcím Preview, nabídce dodržování předpisů a akcím Microsoftu.
Tabulka, která uvádí stav dodržování předpisů produktů Microsoftu (přístup z tlačítka Nabídky dodržování předpisů na panelu nástrojů řídicího panelu dodržování předpisů v programu Defender). Po odebrání tohoto tlačítka z Defenderu pro cloud budete mít k informacím přístup pomocí portálu Service Trust Portal.
Pro podmnožinu ovládacích prvků byly akce Microsoftu přístupné z tlačítka Microsoft Actions (Preview) v podokně podrobností ovládacích prvků. Po odebrání tohoto tlačítka můžete zobrazit akce Microsoftu na portálu Service Trust Portal společnosti Microsoft pro FedRAMP a přístup k dokumentu Plánu zabezpečení systému Azure.
Vyřazení: Posouzení ohrožení zabezpečení v defenderu pro cloudové kontejnery s využitím vyřazení Qualys
3. března 2024
Posouzení ohrožení zabezpečení v Defenderu pro cloudové kontejnery využívající Qualys se vyřadí z důchodu. Vyřazení bude dokončeno do 6. března a až do té doby se částečné výsledky mohou stále zobrazovat v doporučeních Qualys a Qualys výsledky v grafu zabezpečení. Všechny zákazníky, kteří dříve používali toto posouzení, by měli upgradovat na posouzení ohrožení zabezpečení pro Azure s využitím Microsoft Defender Správa zranitelností. Informace o přechodu na nabídku posouzení ohrožení zabezpečení kontejneru využívající Microsoft Defender Správa zranitelností najdete v tématu Přechod z Qualys na Microsoft Defender Správa zranitelností.
Únor 2024
Datum | Kategorie | Aktualizovat |
---|---|---|
28. únor | Vyřazení z provozu | Microsoft Security Code Analysis (MSCA) už není funkční. |
28. únor | Aktualizovat | Aktualizovaná správa zásad zabezpečení rozšiřuje podporu na AWS a GCP. |
Únor 26 | Aktualizovat | Podpora cloudu pro Defender for Containers |
Únor 20 | Aktualizovat | Nová verze senzoru Defenderu pro Defender pro kontejnery |
18. února | Aktualizovat | Podpora specifikace formátu image Open Container Initiative (OCI) |
13. února | Vyřazení z provozu | Posouzení ohrožení zabezpečení kontejneru AWS založené na vyřazení trivy |
5. února | Nadcházející aktualizace | Vyřazení poskytovatele prostředků Microsoft.SecurityDevOps z provozu Očekávané: 6. března 2024 |
Vyřazení: Analýza bezpečnostního kódu Microsoftu (MSCA) už není funkční.
28. února 2024
V únoru 2021 bylo vyřazení úkolu MSCA oznámeno všem zákazníkům a od března 2022 byla ukončena podpora konce životnosti. Od 26. února 2024 už MSCA oficiálně nebude funkční.
Zákazníci můžou získat nejnovější nástroje zabezpečení DevOps z defenderu pro cloud prostřednictvím Microsoft Security DevOps a dalších nástrojů pro zabezpečení prostřednictvím GitHub Advanced Security pro Azure DevOps.
Aktualizace: Správa zásad zabezpečení rozšiřuje podporu na AWS a GCP.
28. února 2024
Aktualizované prostředí pro správu zásad zabezpečení, které bylo původně vydáno ve verzi Preview pro Azure, rozšiřuje podporu do prostředí AWS (AWS a GCP). Tato verze Preview zahrnuje:
- Správa standardů dodržování právních předpisů v Defenderu pro cloud napříč prostředími Azure, AWS a GCP
- Stejné prostředí napříč cloudovými rozhraními pro vytváření a správu vlastních doporučení Microsoft Cloud Security Benchmark (MCSB).
- Aktualizované prostředí se použije na AWS a GCP pro vytváření vlastních doporučení pomocí dotazu KQL.
Aktualizace: Podpora cloudu pro Defender for Containers
26. února 2024
Funkce detekce hrozeb Azure Kubernetes Service (AKS) v defenderu for Containers jsou teď plně podporované v komerčních cloudech, azure Government a Azure China 21Vianet. Projděte si podporované funkce.
Aktualizace: Nová verze senzoru Defenderu pro kontejnery Defenderu
20. února 2024
K dispozici je nová verze senzoru Defenderu pro kontejnery Defenderu. Zahrnuje vylepšení výkonu a zabezpečení, podporu archových uzlů AMD64 i Arm64 (jenom Linux) a používá Inspektor Gadget jako agenta kolekce procesů místo sysdigu. Nová verze se podporuje jenom v linuxových jádrech verze 5.4 a vyšší, takže pokud máte starší verze jádra Linuxu, musíte upgradovat. Podpora pro Arm64 je dostupná jenom od AKS verze 1.29 a vyšší. Další informace naleznete v tématu Podporované hostitelské operační systémy.
Aktualizace: Podpora specifikace formátu image Open Container Initiative (OCI)
18. února 2024
Specifikace formátu image Open Container Initiative (OCI) je nyní podporována posouzením ohrožení zabezpečení, které využívá Microsoft Defender Správa zranitelností pro cloudy AWS, Azure &GCP.
Vyřazení: Posouzení ohrožení zabezpečení kontejneru AWS založené na vyřazení trivy
13. února 2024
Posouzení ohrožení zabezpečení kontejneru založené na trivy bylo vyřazeno. Všechny zákazníky, kteří dříve používali toto posouzení, by měli upgradovat na nové posouzení ohrožení zabezpečení kontejneru AWS s využitím Microsoft Defender Správa zranitelností. Pokyny k upgradu najdete v tématu Návody upgradu z vyřazeného posouzení ohrožení zabezpečení Trivy na posouzení ohrožení zabezpečení AWS využívajícího Microsoft Defender Správa zranitelností?
Aktualizace: Vyřazení poskytovatele prostředků Microsoft.SecurityDevOps z provozu
5. února 2024
Odhadované datum změny: 6. března 2024
Microsoft Defender pro cloud vyřadí poskytovatele Microsoft.SecurityDevOps
prostředků z provozu, který byl použit během veřejné verze Preview zabezpečení DevOps a který se migroval na stávajícího Microsoft.Security
poskytovatele. Důvodem změny je zlepšení zákaznických prostředí snížením počtu poskytovatelů prostředků přidružených ke konektorům DevOps.
Na zákazníky, kteří stále používají rozhraní API verze 2022-09-01-previewMicrosoft.SecurityDevOps
, budou mít vliv na data zabezpečení Defenderu for Cloud DevOps. Aby nedošlo k přerušení služeb, zákazník bude muset v rámci Microsoft.Security
poskytovatele aktualizovat nové rozhraní API verze 2023-09-09-01-preview.
Zákazníci, kteří v současné době používají zabezpečení Defenderu for Cloud DevOps z webu Azure Portal, nebudou ovlivněni.
Leden 2024
Datum | Kategorie | Aktualizovat |
---|---|---|
31. leden | Aktualizovat | Nový přehled pro aktivní úložiště v Průzkumníku zabezpečení cloudu |
30. ledna | Nadcházející aktualizace | Změna cen pro detekci hrozeb pro kontejnery s více cloudy Očekávané: duben 2024 |
29. ledna | Nadcházející aktualizace | Vynucení funkcí zabezpečení CSPM v programu Defender pro Premium DevOps Očekává se: březen 2024 |
24. ledna | Preview | Stav kontejneru bez agentů pro GCP v programu Defender for Containers a CSPM v programu Defender. |
16. ledna | Preview | Vyhledávání malwaru bez agentů pro servery |
Leden 15 | GA | Integrace Defenderu pro cloud s XDR v programu Microsoft Defender |
14. ledna | Aktualizovat | Aktualizace na kontrolu předdefinované role Azure na virtuální počítače bez agentů Očekává se: březen 2024 |
12. leden | Aktualizovat | Poznámky k žádostem o přijetí změn zabezpečení DevOps jsou teď pro konektory Azure DevOps ve výchozím nastavení povolené. |
9. ledna | Vyřazení z provozu | Cesta vyřazení integrovaného posouzení ohrožení zabezpečení (Qualys) v defenderu for Servers Očekávané: květen 2024 |
3. leden | Nadcházející aktualizace | Připravovaná změna požadavků na síť v programu Defender for Cloud pro vícecloud. Očekává se: květen 2024. |
Aktualizace: Nový přehled pro aktivní úložiště v Průzkumníku zabezpečení cloudu
31. ledna 2024
Do Průzkumníka zabezpečení cloudu jsme přidali nový přehled pro úložiště Azure DevOps, který indikuje, jestli jsou úložiště aktivní. Tento přehled označuje, že úložiště kódu není archivované nebo zakázané, což znamená, že pro uživatele je stále k dispozici přístup k zápisu do kódu, sestavení a žádostí o přijetí změn. Archivovaná a zakázaná úložiště můžou být považována za nižší prioritu, protože kód se obvykle nepoužívá v aktivních nasazeních.
K otestování dotazu v Průzkumníku zabezpečení cloudu použijte tento odkaz na dotaz.
Aktualizace: Změna cen pro detekci hrozeb kontejnerů s více cloudy
30. ledna 2024**
Odhadované datum změny: duben 2024
Když se detekce hrozeb kontejnerů s více cloudy přesune do ga, už se vám nebude nic účtovat. Další informace najdete v programu Microsoft Defender pro ceny cloudu.
Aktualizace: Vynucení hodnoty zabezpečení CSPM v programu Defender pro Premium DevOps
29. ledna 2024**
Odhadované datum změny: 7. března 2024
Program Defender for Cloud začne vynucovat plán CSPM v programu Defender pro kontrolu hodnoty zabezpečení DevOps úrovně Premium od 7. března 2024. Pokud máte plán CSPM v programu Defender povolený v cloudovém prostředí (Azure, AWS, GCP) ve stejném tenantovi, ve kterých jsou vytvořené konektory DevOps, budete dál dostávat prémiové funkce DevOps bez dalších poplatků. Pokud nejste zákazníkem CSPM v programu Defender, budete mít před ztrátou přístupu k těmto funkcím zabezpečení do 7. března 2024 povolení funkce CSPM defenderu. Pokud chcete povolit csPM defenderu v připojeném cloudovém prostředí před 7. březnem 2024, postupujte podle zde uvedené dokumentace k povolení.
Další informace o tom, které funkce zabezpečení DevOps jsou k dispozici v rámci plánů CSPM foundational CSPM i Defender CSPM, najdete v naší dokumentaci s popisem dostupnosti funkcí.
Další informace o zabezpečení DevOps v defenderu pro cloud najdete v dokumentaci s přehledem.
Další informace o funkcích zabezpečení cloudu v nástroji CSPM v programu Defender najdete v tématu Ochrana vašich prostředků pomocí nástroje CSPM v programu Defender.
Preview: Stav kontejneru bez agentů pro GCP v programu Defender for Containers a CSPM v programu Defender
24. ledna 2024
Nové funkce stavu kontejneru bez agentů (Preview) jsou k dispozici pro GCP, včetně posouzení ohrožení zabezpečení pro GCP s Microsoft Defender Správa zranitelností. Další informace o všech možnostech najdete v tématu Stav kontejneru bez agentů v programu Defender CSPM a bez agentů v programu Defender for Containers.
V tomto blogovém příspěvku si také můžete přečíst informace o správě stavu kontejneru bez agentů pro multicloud.
Preview: Vyhledávání malwaru bez agentů pro servery
16. ledna 2024
Oznamujeme vydání detekce malwaru bez agentů Defenderu pro cloud pro virtuální počítače Azure, instance AWS EC2 a instance virtuálních počítačů GCP, jako novou funkci, která je součástí programu Defender for Servers Plan 2.
Detekce malwaru bez agentů pro virtuální počítače je teď součástí naší platformy pro kontrolu bez agentů. Kontrola malwaru bez agentů využívá Antivirová ochrana v programu Microsoft Defender antimalwarový modul ke kontrole a detekci škodlivých souborů. Všechny zjištěné hrozby aktivují výstrahy zabezpečení přímo do programu Defender for Cloud and Defender XDR, kde je můžete prozkoumat a opravit. Skener malwaru bez agentů doplňuje pokrytí na základě agentů druhou vrstvou detekce hrozeb bez tření a nemá žádný vliv na výkon vašeho počítače.
Přečtěte si další informace o vyhledávání malwaru bez agentů pro servery a vyhledávání virtuálních počítačů bez agentů.
Obecná dostupnost integrace Defenderu pro cloud s XDR v programu Microsoft Defender
15. ledna 2024
Oznamujeme obecnou dostupnost integrace mezi defenderem pro cloud a XDR v programu Microsoft Defender (dříve Microsoft 365 Defender).
Integrace přináší konkurenční možnosti ochrany cloudu do každodenního centra Security Operations Center (SOC). Díky integraci Microsoft Defenderu pro cloud a XDR v programu Defender můžou týmy SOC zjišťovat útoky, které kombinují detekce z několika pilířů, včetně cloudu, koncového bodu, identity, Office 365 a dalších.
Přečtěte si další informace o výstrahách a incidentech v XDR v programu Microsoft Defender.
Aktualizace: Kontrola předdefinované role Azure pro virtuální počítače bez agentů
14. ledna 2024**
Odhadované datum změny: únor 2024
V Azure používá kontrola virtuálních počítačů bez agentů integrovanou roli (označovanou jako operátor skeneru virtuálních počítačů) s minimálními potřebnými oprávněními potřebnými ke kontrole a posouzení problémů se zabezpečením virtuálních počítačů. Pokud chcete nepřetržitě poskytovat relevantní doporučení ke stavu kontroly a konfigurace pro virtuální počítače se šifrovanými svazky, plánuje se aktualizace oprávnění této role. Tato aktualizace zahrnuje přidání Microsoft.Compute/DiskEncryptionSets/read
oprávnění. Toto oprávnění umožňuje pouze vylepšenou identifikaci šifrovaného využití disků ve virtuálních počítačích. Neposkytuje Defender for Cloud žádné další možnosti pro dešifrování nebo přístup k obsahu těchto šifrovaných svazků nad rámec metod šifrování, které už jsou před touto změnou podporované . Očekává se, že tato změna proběhne v únoru 2024 a na konci se nevyžaduje žádná akce.
Aktualizace: Poznámky k žádostem o přijetí změn zabezpečení DevOps jsou ve výchozím nastavení povolené pro konektory Azure DevOps.
12. ledna 2024
Zabezpečení DevOps zveřejňuje závěry zabezpečení jako poznámky v žádostech o přijetí změn, které vývojářům pomůžou zabránit a opravit potenciální ohrožení zabezpečení a chybné konfigurace před vstupem do produkčního prostředí. Od 12. ledna 2024 jsou teď poznámky k žádostem o přijetí změn ve výchozím nastavení povolené pro všechna nová a existující úložiště Azure DevOps, která jsou připojená k Defenderu pro cloud.
Ve výchozím nastavení jsou poznámky k žádosti o přijetí změn povolené pouze pro zjištění infrastruktury s vysokou závažností jako kódu (IaC). Zákazníci budou stále muset nakonfigurovat zabezpečení Microsoftu pro DevOps (MSDO) tak, aby běžely v buildech PR, a povolit zásady ověřování sestavení pro sestavení CI v nastavení úložiště Azure DevOps. Zákazníci můžou zakázat funkci poznámky k žádosti o přijetí změn pro konkrétní úložiště v možnostech konfigurace úložiště v okně zabezpečení DevOps.
Přečtěte si další informace o povolení poznámek žádostí o přijetí změn pro Azure DevOps.
Vyřazení: Předdefinovaná cesta posouzení ohrožení zabezpečení (Qualys) v programu Defender for Servers
9. ledna 2024**
Odhadované datum změny: květen 2024
Integrované řešení posouzení ohrožení zabezpečení Defenderu pro servery využívající Qualys je na cestě vyřazení, která se odhaduje na dokončení 1. května 2024. Pokud aktuálně používáte řešení posouzení ohrožení zabezpečení využívající Qualys, měli byste naplánovat přechod na integrované řešení Microsoft Defender Správa zranitelností.
Další informace o našem rozhodnutí o sjednocení nabídky posouzení ohrožení zabezpečení s Microsoft Defender Správa zranitelností najdete v tomto blogovém příspěvku.
Můžete se také podívat na běžné otázky týkající se přechodu na řešení Microsoft Defender Správa zranitelností.
Aktualizace: Požadavky na síť v programu Defender for Cloud s více cloudy
3. ledna 2024**
Odhadované datum změny: květen 2024
Od května 2024 vyřazujeme staré IP adresy spojené s našimi službami zjišťování s více cloudy, abychom vyhověli vylepšením a zajistili bezpečnější a efektivnější prostředí pro všechny uživatele.
Pokud chcete zajistit nepřerušovaný přístup k našim službám, měli byste aktualizovat seznam povolených IP adres o nové rozsahy uvedené v následujících částech. Měli byste provést potřebné úpravy v nastavení brány firewall, skupinách zabezpečení nebo jakýchkoli jiných konfiguracích, které se můžou v daném prostředí použít.
Seznam se vztahuje na všechny plány a stačí k plné schopnosti základní nabídky CSPM (zdarma).
IP adresy, které se mají vyřadit:
- GCP zjišťování: 104.208.29.200, 52.232.56.127
- Zjišťování AWS: 52.165.47.219, 20.107.8.204
- Onboarding: 13.67.139.3
Nové rozsahy IP adres pro konkrétní oblast, které se mají přidat:
- Západní Evropa: 52.178.17.48/28
- Severní Evropa: 13.69.233.80/28
- USA – střed: 20.44.10.240/28
- USA – východ 2: 20.44.19.128/28
Prosinec 2023
Konsolidace názvů úrovně služby Defender for Cloud 2
30. prosince 2023
Slučujeme starší názvy úrovně služeb pro všechny plány Defenderu pro cloud do jednoho nového názvu úrovně služby Microsoft Defender for Cloud.
Dnes existují čtyři názvy úrovně služeb: Azure Defender, Advanced Threat Protection, Advanced Data Security a Security Center. Různé měřiče pro Microsoft Defender for Cloud jsou seskupené mezi tyto samostatné názvy úrovně služeb, vytváření složitostí při používání služby Cost Management + Billing, fakturace a dalších nástrojů souvisejících s fakturací Azure.
Tato změna zjednodušuje proces kontroly poplatků za cloud v Defenderu a poskytuje lepší přehlednost při analýze nákladů.
Abychom zajistili hladký přechod, provedli jsme opatření, abychom zachovali konzistenci názvu produktu/služby, skladové položky a ID měřičů. Ovlivnění zákazníci obdrží informační oznámení o službě Azure, aby mohli o změnách informovat.
Organizace, které načítají data nákladů voláním našich rozhraní API, budou muset aktualizovat hodnoty ve svých voláních tak, aby vyhovovaly změně. Například v této funkci filtru nebudou hodnoty vracet žádné informace:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
NÁZEV STARÉ ÚROVNĚ SLUŽBY 2 | NÁZEV NOVÉ úrovně služby 2 | Úroveň služby – úroveň služby 4 (beze změny) |
---|---|---|
Advanced Data Security | Microsoft Defender for Cloud | Defender pro SQL |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender for Container Registryies |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender pro DNS |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender for Key Vault |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender pro Kubernetes |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender for MySQL |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender for PostgreSQL |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender for Resource Manager |
Advanced Threat Protection | Microsoft Defender for Cloud | Defender for Storage |
Azure Defender | Microsoft Defender for Cloud | Defender for External Attack Surface Management |
Azure Defender | Microsoft Defender for Cloud | Defender pro Službu Azure Cosmos DB |
Azure Defender | Microsoft Defender for Cloud | Defender pro kontejnery |
Azure Defender | Microsoft Defender for Cloud | Defender for MariaDB |
Security Center | Microsoft Defender for Cloud | Defender pro App Service |
Security Center | Microsoft Defender for Cloud | Defender for Servers |
Security Center | Microsoft Defender for Cloud | Defender CSPM |
Defender for Servers na úrovni prostředků, která je k dispozici jako obecná dostupnost
24. prosince 2023
Teď je možné spravovat Defender for Servers na konkrétních prostředcích v rámci vašeho předplatného, abyste měli plnou kontrolu nad strategií ochrany. Pomocí této funkce můžete nakonfigurovat konkrétní prostředky s vlastními konfiguracemi, které se liší od nastavení nakonfigurovaného na úrovni předplatného.
Přečtěte si další informace o povolení defenderu pro servery na úrovni prostředků.
Vyřazení klasických konektorů pro multicloud
21. prosince 2023
Klasické prostředí multicloudového konektoru je vyřazené a data se už nebudou streamovat do konektorů vytvořených prostřednictvím daného mechanismu. Tyto klasické konektory se použily k připojení AWS Security Hubu a centra GCP Security Command Center k defenderu pro cloud a připojení AWS EC2s k Defenderu pro servery.
Úplná hodnota těchto konektorů byla nahrazena nativním prostředím pro vícecloudové bezpečnostní konektory, které byly obecně dostupné pro AWS a GCP od března 2022 bez dalších poplatků.
Nové nativní konektory jsou součástí vašeho plánu a nabízejí automatizované možnosti onboardingu s možnostmi onboardingu jednotlivých účtů, více účtů (s Terraformem) a onboardingu organizace s automatickým zřizováním pro následující plány Defenderu: bezplatné základní funkce CSPM, Správa stavu zabezpečení cloudu Defenderu (CSPM), Defender for Servers, Defender for SQL a Defender for Containers.
Vydání sešitu Pokrytí
21. prosince 2023
Sešit Pokrytí umožňuje sledovat, které plány Defenderu pro cloud jsou aktivní na kterých částech prostředí. Tento sešit vám pomůže zajistit, aby vaše prostředí a předplatná byly plně chráněné. Když budete mít přístup k podrobným informacím o pokrytí, můžete také identifikovat všechny oblasti, které by mohly potřebovat jinou ochranu, a podniknout kroky k řešení těchto oblastí.
Přečtěte si další informace o sešitu Pokrytí.
Obecná dostupnost posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností ve službě Azure Government a Azure provozované společností 21Vianet
14. prosince 2023
Posouzení ohrožení zabezpečení (VA) pro image kontejnerů Linuxu v registrech kontejnerů Azure využívajících Microsoft Defender Správa zranitelností je vydáno pro obecnou dostupnost (GA) ve službě Azure Government a Azure provozované společností 21Vianet. Tato nová verze je dostupná v rámci plánů Defender for Containers a Defender for Container Registryies.
- V rámci této změny byly vydána nová doporučení pro ga a zahrnutá do výpočtu skóre zabezpečení. Kontrola nových a aktualizovaných doporučení zabezpečení
- Kontrola imagí kontejnerů využívajících Microsoft Defender Správa zranitelností teď také účtuje poplatky podle cen plánu. Všimněte si, že image naskenované naší nabídkou VA kontejnerů využívající technologii Qualys a Container VA s využitím Microsoft Defender Správa zranitelností se budou účtovat jenom jednou.
Doporučení Qualys pro posouzení ohrožení zabezpečení kontejnerů se přejmenovala a nadále je dostupná pro zákazníky, kteří povolili Defender for Containers u kteréhokoli z jejich předplatných před touto verzí. Noví zákazníci, kteří zaregistrují Defender for Containers po této verzi, uvidí pouze nová doporučení pro posouzení ohrožení zabezpečení kontejnerů, která využívají Microsoft Defender Správa zranitelností.
Public Preview podpory posouzení ohrožení zabezpečení kontejnerů ve verzi Public Preview s využitím Microsoft Defender Správa zranitelností
14. prosince 2023
Podpora imagí Windows byla vydána ve verzi Public Preview jako součást posouzení ohrožení zabezpečení (VA) s využitím Microsoft Defender Správa zranitelností pro registry kontejnerů Azure a azure Kubernetes Services.
Vyřazení posouzení ohrožení zabezpečení kontejnerů AWS s využitím trivy
13. prosince 2023
Posouzení ohrožení zabezpečení kontejneru využívající trivy je teď na cestě vyřazení, která se má dokončit do 13. února. Tato funkce je teď zastaralá a bude nadále dostupná stávajícím zákazníkům, kteří tuto funkci používají, až do 13. února. Doporučujeme zákazníkům, kteří tuto možnost používají k upgradu na nové posouzení ohrožení zabezpečení kontejneru AWS, které využívá Microsoft Defender Správa zranitelností do 13. února.
Stav kontejneru bez agentů pro AWS v Defenderu pro kontejnery a CSPM v programu Defender (Preview)
13. prosince 2023
Nové funkce stavu kontejneru bez agentů (Preview) jsou k dispozici pro AWS. Další informace najdete v tématu Stav kontejneru bez agentů v programu Defender CSPM a funkce bez agentů v programu Defender for Containers.
Obecná podpora dostupnosti flexibilního serveru PostgreSQL v defenderu pro plán opensourcových relačních databází
13. prosince 2023
Oznamujeme obecně dostupnou verzi podpory flexibilního serveru PostgreSQL v programu Microsoft Defender pro opensourcové relační databáze . Microsoft Defender pro opensourcové relační databáze poskytuje rozšířenou ochranu před hrozbami flexibilním serverům PostgreSQL tím, že detekuje neobvyklé aktivity a generuje výstrahy zabezpečení.
Zjistěte, jak povolit Microsoft Defender pro opensourcové relační databáze.
Posouzení ohrožení zabezpečení kontejnerů využívající Microsoft Defender Správa zranitelností teď podporuje Google Distroless.
12. prosince 2023
Posouzení ohrožení zabezpečení kontejnerů založená na Microsoft Defender Správa zranitelností byla rozšířena o další pokrytí balíčků operačního systému Linux, které teď podporují Google Ditroless.
Seznam všech podporovanýchoperačních Microsoft Defender Správa zranitelností ch
Listopad 2023
Čtyři upozornění jsou zastaralá.
30. listopadu 2023
V rámci našeho procesu zlepšování kvality jsou následující výstrahy zabezpečení zastaralé:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
Suspicious process termination burst (VM_TaskkillBurst)
PsExec execution detected (VM_RunByPsExec)
Obecná dostupnost kontroly tajných kódů bez agentů v defenderu for Servers a CSPM v programu Defender
27. listopadu 2023
Kontrola tajných kódů bez agentů vylepšuje cloudové virtuální počítače založené na zabezpečení tím, že identifikuje tajné kódy prostého textu na discích virtuálních počítačů. Kontrola tajných kódů bez agentů poskytuje komplexní informace, které pomáhají určit prioritu zjištěných zjištění a zmírnit rizika laterálního pohybu před jejich výskytem. Tento proaktivní přístup brání neoprávněnému přístupu a zajišťuje, aby vaše cloudové prostředí zůstalo zabezpečené.
Oznamujeme obecnou dostupnost (GA) kontroly tajných kódů bez agentů, která je součástí programu Defender for Servers P2 i plánů CSPM v programu Defender.
Kontrola tajných kódů bez agentů využívá cloudová rozhraní API k zachycení snímků disků a provádění vzdálené analýzy, která zajišťuje, že výkon virtuálního počítače nebude mít žádný vliv. Kontrola tajných kódů bez agentů rozšiřuje pokrytí nabízené defenderem pro cloud přes cloudové prostředky napříč prostředími Azure, AWS a GCP, aby se zlepšilo zabezpečení cloudu.
V této verzi teď funkce detekce Defenderu for Cloud podporují jiné typy databází, podepsané adresy URL úložiště dat, přístupové tokeny a další.
Zjistěte, jak spravovat tajné kódy pomocí kontroly tajných kódů bez agentů.
Povolení správy oprávnění pomocí defenderu pro cloud (Preview)
22. listopadu 2023
Microsoft teď nabízí řešení CIEM (Cloud-Native Application Protection Platforms) a CEM (Cloud Infrastructure Entitlement Management) v programu Microsoft Defender for Cloud (CNAPP) a správu oprávnění Microsoft Entra (CIEM).
Správci zabezpečení můžou získat centralizované zobrazení nepoužívaných nebo nadměrných přístupových oprávnění v programu Defender for Cloud.
Týmy zabezpečení můžou řídit řízení přístupu s nejnižšími oprávněními pro cloudové prostředky a přijímat užitečná doporučení pro řešení rizik oprávnění v cloudových prostředích Azure, AWS a GCP v rámci správy stavu cloudového zabezpečení v programu Defender bez dalších licenčních požadavků.
Zjistěte, jak povolit správu oprávnění v programu Microsoft Defender for Cloud (Preview).
Integrace Defenderu pro cloud s ServiceNow
22. listopadu 2023
ServiceNow je teď integrovaný s Programem Microsoft Defender for Cloud, který zákazníkům umožňuje připojit ServiceNow ke svému prostředí Defender for Cloud, aby upřednostňovali nápravu doporučení, která ovlivňují vaši firmu. Microsoft Defender for Cloud se integruje s modulem ITSM (správa incidentů). V rámci tohoto připojení můžou zákazníci vytvářet a zobrazovat lístky ServiceNow (propojené s doporučeními) z Programu Microsoft Defender pro cloud.
Další informace o integraci Defenderu pro cloud s ServiceNow.
Obecná dostupnost procesu automatického zřizování pro SQL Servery v plánu počítačů
20. listopadu 2023
V rámci přípravy na vyřazení agenta Microsoft Monitoring Agent (MMA) v srpnu 2024 vydal Defender pro cloud proces automatického zřizování agenta Monitorování Azure (AMA) cílený na SQL Server. Nový proces je automaticky povolený a nakonfigurovaný pro všechny nové zákazníky a poskytuje také možnost povolení na úrovni prostředků pro virtuální počítače Azure SQL a SQL Servery s podporou Arc.
Zákazníci, kteří používají proces automatického zřizování MMA, se požadují, aby migrovali na nový agent monitorování Azure pro SQL server na počítačích s automatickým zřizováním. Proces migrace je bezproblémový a zajišťuje nepřetržitou ochranu pro všechny počítače.
Obecná dostupnost defenderu pro rozhraní API
15. listopadu 2023
Oznamujeme obecnou dostupnost (GA) Microsoft Defenderu pro rozhraní API. Defender for API je navržený tak, aby chránil organizace před bezpečnostními hrozbami rozhraní API.
Defender for API umožňuje organizacím chránit svá rozhraní API a data před škodlivými aktéry. Organizace můžou vyšetřovat a zlepšovat stav zabezpečení rozhraní API, určovat priority oprav ohrožení zabezpečení a rychle zjišťovat aktivní hrozby v reálném čase a reagovat na ně. Organizace můžou také integrovat výstrahy zabezpečení přímo do platformy SiEM (Security Incident and Event Management), například Microsoft Sentinel, a prošetřit a určit prioritu problémů.
Dozvíte se, jak chránit svá rozhraní API pomocí defenderu pro rozhraní API. Další informace o rozhraních API v programu Microsoft Defender.
Můžete si také přečíst tento blog , kde najdete další informace o oznámení ga.
Defender for Cloud je teď integrovaný s Microsoft 365 Defenderem (Preview)
15. listopadu 2023
Firmy můžou chránit své cloudové prostředky a zařízení pomocí nové integrace mezi programem Microsoft Defender for Cloud a XDR v programu Microsoft Defender. Tato integrace spojuje tečky mezi cloudovými prostředky, zařízeními a identitami, které dříve vyžadovaly více prostředí.
Integrace také přináší možnosti konkurenční ochrany cloudu do každodenního centra Security Operations Center (SOC). Díky XDR v programu Microsoft Defender můžou týmy SOC snadno zjišťovat útoky, které kombinují detekce z několika pilířů, včetně cloudu, koncového bodu, identity, Office 365 a dalších.
Mezi klíčové výhody patří:
Jedno snadno použitelné rozhraní pro týmy SOC: Díky upozorněním Defenderu for Cloud a korelacím cloudu integrovaným do M365D teď týmy SOC můžou přistupovat ke všem informacím o zabezpečení z jednoho rozhraní, což výrazně zlepšuje provozní efektivitu.
Jeden scénář útoku: Zákazníci můžou porozumět kompletnímu scénáři útoku, včetně jejich cloudového prostředí, pomocí předem připravených korelací, které kombinují výstrahy zabezpečení z více zdrojů.
Nové cloudové entity v XDR v programu Microsoft Defender: Microsoft Defender XDR teď podporuje nové cloudové entity, které jsou jedinečné pro Microsoft Defender pro cloud, například cloudové prostředky. Zákazníci můžou spárovat entity virtuálních počítačů s entitami zařízení a poskytovat jednotné zobrazení všech relevantních informací o počítači, včetně výstrah a incidentů, které se na něm aktivovaly.
Sjednocené rozhraní API pro produkty Zabezpečení Microsoftu: Zákazníci teď můžou exportovat data výstrah zabezpečení do svých systémů podle výběru pomocí jednoho rozhraní API, protože microsoft Defender pro cloudové výstrahy a incidenty jsou nyní součástí veřejného rozhraní API XDR v programu Microsoft Defender.
Integrace mezi defenderem pro cloud a XDR v programu Microsoft Defender je dostupná pro všechny nové a stávající zákazníky Defenderu pro cloud.
Obecná dostupnost posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností (MDVM) v defenderu for Containers a Defenderu pro registry kontejnerů
15. listopadu 2023
Posouzení ohrožení zabezpečení (VA) pro image kontejnerů Linuxu v registrech kontejnerů Azure využívajících Microsoft Defender Správa zranitelností (MDVM) se vydává pro všeobecnou dostupnost (GA) v defenderu pro kontejnery a defender pro registry kontejnerů.
V rámci této změny byly vydána následující doporučení pro obecně dostupnou verzi a přejmenována a nyní jsou zahrnuta do výpočtu skóre zabezpečení:
Aktuální název doporučení | Nový název doporučení | Popis | Klíč posouzení |
---|---|---|---|
Bitové kopie služby Container Registry by měly mít vyřešené zjištění ohrožení zabezpečení (využívá Microsoft Defender Správa zranitelností). | Image kontejnerů Azure Registry by měly mít vyřešené chyby zabezpečení (s využitím Microsoft Defender Správa zranitelností) | Posouzeníohroženích Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení a zajistit bezpečné použití imagí před nasazením. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
Spuštěné image kontejnerů by měly mít vyřešené závěry ohrožení zabezpečení (s využitím Microsoft Defender Správa zranitelností). | V Azure spouštěných imagí kontejnerů by se měla vyřešit ohrožení zabezpečení (využívá Microsoft Defender Správa zranitelností | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Při prohledávání imagí kontejnerů využívajících MDVM se teď účtují poplatky za ceny podle plánu.
Poznámka:
Obrázky naskenované naší nabídkou VA kontejnerů využívající technologii Qualys a Container VA s využitím MDVM se budou účtovat jenom jednou.
Níže uvedená doporučení Qualys pro posouzení ohrožení zabezpečení kontejnerů se přejmenovala a budou nadále dostupná pro zákazníky, kteří povolili Defender pro kontejnery ve všech svých předplatných před 15. listopadu. Noví zákazníci, kteří zaregistrují Defender for Containers po 15. listopadu, uvidí pouze nová doporučení pro posouzení ohrožení zabezpečení kontejnerů, která využívají Microsoft Defender Správa zranitelností.
Aktuální název doporučení | Nový název doporučení | Popis | Klíč posouzení |
---|---|---|---|
Bitové kopie registru kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). | Image kontejnerů Azure Registry by měly mít vyřešené chyby zabezpečení (využívají technologii Qualys). | Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení vašeho registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. | dbd0cb49-b563-45e7-9724-889e799fa648 |
Spuštěné image kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). | Vyřešená ohrožení zabezpečení spuštěných imagí kontejnerů v Azure ( s využitím Qualys) | Posouzení ohrožení zabezpečení imagí kontejneru kontroluje image kontejnerů spuštěné v clusterech Kubernetes kvůli ohrožením zabezpečení a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. | 41503391-efa5-47ee-9282-4eff6131462c |
Změna názvů doporučení posouzení ohrožení zabezpečení kontejneru
Byla přejmenována následující doporučení posouzení ohrožení zabezpečení kontejneru:
Aktuální název doporučení | Nový název doporučení | Popis | Klíč posouzení |
---|---|---|---|
Bitové kopie registru kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). | Image kontejnerů Azure Registry by měly mít vyřešené chyby zabezpečení (využívají technologii Qualys). | Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení vašeho registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. | dbd0cb49-b563-45e7-9724-889e799fa648 |
Spuštěné image kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). | Vyřešená ohrožení zabezpečení spuštěných imagí kontejnerů v Azure ( s využitím Qualys) | Posouzení ohrožení zabezpečení imagí kontejneru kontroluje image kontejnerů spuštěné v clusterech Kubernetes kvůli ohrožením zabezpečení a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. | 41503391-efa5-47ee-9282-4eff6131462c |
Vyřešené bitové kopie registru elastického kontejneru by měly mít zjištěná ohrožení zabezpečení | Image kontejnerů registru AWS by měly mít vyřešené chyby zabezpečení ( s využitím trivy) | Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení vašeho registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Pro doporučení je teď k dispozici stanovení priorit rizik.
15. listopadu 2023
Doporučení zabezpečení teď můžete určit prioritu podle úrovně rizika, kterou představují, a vzít v úvahu jak zneužití, tak potenciální obchodní účinek jednotlivých základních problémů zabezpečení.
Uspořádáním doporučení na základě jejich úrovně rizika (kritická, vysoká, střední, nízká), můžete řešit nejdůležitější rizika ve vašem prostředí a efektivně určit prioritu nápravy problémů se zabezpečením na základě skutečného rizika, jako je ohrožení internetu, citlivost dat, možnosti laterálního pohybu a potenciální cesty útoku, které by bylo možné zmírnit řešením doporučení.
Přečtěte si další informace o stanovení priorit rizik.
Analýza cesty útoku – nový modul a rozsáhlá vylepšení
15. listopadu 2023
Vydáváme vylepšení možností analýzy cest útoku v defenderu pro cloud.
Nový modul – analýza cesty útoku má nový modul, který používá algoritmus hledání cest k detekci všech možných cest útoku, které existují ve vašem cloudovém prostředí (na základě dat, která máme v grafu). Ve vašem prostředí můžeme najít mnoho dalších cest útoku a zjistit složitější a sofistikovanější způsoby útoku, které útočníci můžou použít k narušení vaší organizace.
Vylepšení – Vydána jsou následující vylepšení:
- Stanovení priority rizika – seznam tras útoku podle priority na základě rizika (zneužití a obchodní vliv).
- Vylepšená náprava – určení konkrétních doporučení, která by se měla vyřešit, aby skutečně přerušila řetěz.
- Cesty útoku mezi cloudy – detekce cest útoku, které jsou mezi cloudy (cesty, které začínají v jednom cloudu a končí v jiném).
- MITRE – Mapování všech cest útoku na architekturu MITRE.
- Aktualizované uživatelské prostředí – aktualizované prostředí se silnějšími možnostmi: pokročilé filtry, vyhledávání a seskupení cest útoku, které umožňují snadnější třídění.
Zjistěte , jak identifikovat a opravit cesty útoku.
Změny schématu tabulky Azure Resource Graphu v cestě útoku
15. listopadu 2023
Schéma tabulky Azure Resource Graphu v cestě útoku se aktualizuje. Vlastnost attackPathType
se odebere a přidají se další vlastnosti.
Obecná dostupnost podpory GCP v programu Defender CSPM
15. listopadu 2023
Oznamujeme vydání ga (obecná dostupnost) kontextového grafu cloudového zabezpečení defenderu CSPM a analýzy cest útoku s podporou prostředků GCP. Výkon CSPM v programu Defender můžete využít k komplexní viditelnosti a inteligentnímu zabezpečení cloudu napříč prostředky GCP.
Mezi klíčové funkce podpory GCP patří:
- Analýza cesty útoku – Vysvětlení potenciálních tras, které by útočníci mohli provést.
- Průzkumník zabezpečení cloudu – Proaktivně identifikujte rizika zabezpečení spuštěním dotazů založených na grafech v grafu zabezpečení.
- Kontrola bez agentů – Prohledejte servery a identifikujte tajné kódy a ohrožení zabezpečení bez instalace agenta.
- Stav zabezpečení pracující s daty – Zjišťování a náprava rizik pro citlivá data v kontejnerech Google Cloud Storage
Přečtěte si další informace o možnostech plánu CSPM v programu Defender.
Poznámka:
Fakturace pro vydání podpory GCP v programu Defender CSPM začne 1. února 2024.
Obecná dostupnost řídicího panelu zabezpečení dat
15. listopadu 2023
Řídicí panel zabezpečení dat je nyní k dispozici v obecné dostupnosti (GA) v rámci plánu CSPM v programu Defender.
Řídicí panel zabezpečení dat umožňuje zobrazit data vaší organizace, rizika pro citlivá data a přehledy o vašich datových prostředcích.
Přečtěte si další informace o řídicím panelu zabezpečení dat.
Obecná dostupnost zjišťování citlivých dat pro databáze
15. listopadu 2023
Zjišťování citlivých dat pro spravované databáze včetně databází Azure SQL a instancí AWS RDS (všech příchutí RDBMS) je nyní obecně dostupné a umožňuje automatické zjišťování důležitých databází, které obsahují citlivá data.
Pokud chcete tuto funkci povolit ve všech podporovaných úložištích dat ve vašich prostředích, musíte tuto funkci povolit Sensitive data discovery
v programu Defender CSPM. Zjistěte , jak povolit zjišťování citlivých dat v nástroji CSPM v programu Defender.
Můžete se také dozvědět, jak se zjišťování citlivých dat používá v stavu zabezpečení s podporou dat.
Oznámení verze Public Preview: Nový rozšířený přehled o zabezpečení vícecloudových dat v Programu Microsoft Defender pro cloud
Nová verze doporučení pro vyhledání chybějících aktualizací systému je teď obecně dostupná.
6. listopadu 2023
Na virtuálních počítačích Azure a na počítačích Azure Arc už není potřeba další agent, aby se zajistilo, že mají všechny nejnovější aktualizace zabezpečení nebo důležitého systému.
Doporučení nových aktualizací System updates should be installed on your machines (powered by Azure Update Manager)
systému v ovládacím Apply system updates
prvku je založené na Správci aktualizací a je teď plně dostupné. Doporučení spoléhá na nativního agenta vloženého do každého virtuálního počítače Azure a počítačů Azure Arc místo nainstalovaného agenta. Rychlá oprava v novém doporučení vás provede jednorázovou instalací chybějících aktualizací na portálu Update Manager.
Staré a nové verze doporučení k vyhledání chybějících aktualizací systému budou k dispozici až do srpna 2024, což je v případě, že starší verze je zastaralá. Doporučení: System updates should be installed on your machines (powered by Azure Update Manager)
a System updates should be installed on your machines
jsou k dispozici ve stejném ovládacím prvku: Apply system updates
a mají stejné výsledky. Proto neexistuje žádná duplicita v důsledku bezpečnostního skóre.
Doporučujeme migrovat na nové doporučení a odebrat původní doporučení tak, že ho zakážete z integrované iniciativy Defenderu for Cloud v Azure Policy.
Doporučení [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)
je také obecná dostupnost a je předpokladem, který bude mít negativní vliv na vaše bezpečnostní skóre. Negativní účinek můžete napravit pomocí dostupné opravy.
Pokud chcete nové doporučení použít, musíte:
- Připojte počítače mimo Azure ke službě Arc.
- Zapněte vlastnost pravidelného hodnocení. Doporučení můžete opravit pomocí rychlé opravy v novém doporučení
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)
.
Poznámka:
Povolení pravidelných hodnocení pro počítače s podporou Arc, které Defender for Servers Plan 2 nemá povolené u souvisejících předplatných nebo konektorů, podléhá cenám Azure Update Manageru. Počítače s podporou Arc, které defender for Servers Plan 2 povolí, mají na související předplatné nebo konektory nebo jakýkoli virtuální počítač Azure nárok na tuto funkci bez dalších nákladů.
Říjen 2023
Změna závažnosti výstrah zabezpečení adaptivního řízení aplikací
Datum oznámení: 30. října 2023
V rámci procesu zlepšování kvality výstrah zabezpečení defenderu pro servery a jako součást funkce adaptivního řízení aplikací se závažnost následující výstrahy zabezpečení mění na informační:
Výstraha [Typ výstrahy] | Popis upozornění |
---|---|
Došlo k auditování porušení zásad adaptivního řízení aplikací. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Následující uživatelé spustili aplikace, které na tomto počítači porušují zásady řízení aplikací vaší organizace. Počítač může potenciálně vystavit ohrožením zabezpečení malwaru nebo aplikace. |
Pokud chcete tuto výstrahu dál zobrazovat na stránce Výstrahy zabezpečení na portálu Microsoft Defender for Cloud, změňte výchozí filtr zobrazení Závažnost filtru zobrazení tak, aby zahrnoval informační výstrahy v mřížce.
Offline revize služby Azure API Management odebrané z Defenderu pro rozhraní API
25. října 2023
Defender pro rozhraní API aktualizoval podporu revizí rozhraní API služby Azure API Management. Offline revize se už nezobrazují v inventáři onboarded Defender for API a už se nezobrazují jako onboardované do Defenderu pro rozhraní API. Offline revize neumožňují, aby se do nich odesílaly žádné přenosy a z hlediska zabezpečení nepředstavují žádné riziko.
Doporučení správy stavu zabezpečení DevOps dostupná ve verzi Public Preview
19. října 2023
Nová doporučení pro správu stavu DevOps jsou teď dostupná ve verzi Public Preview pro všechny zákazníky s konektorem pro Azure DevOps nebo GitHub. Správa stavu DevOps pomáhá snížit prostor pro útoky prostředí DevOps tím, že odhalí slabá místa v konfiguracích zabezpečení a řízení přístupu. Přečtěte si další informace o správě stavu DevOps.
Vydání srovnávacího testu CIS Azure Foundations v2.0.0 na řídicím panelu dodržování právních předpisů
18. října 2023
Microsoft Defender pro cloud teď podporuje nejnovější srovnávací test CIS Azure Security Foundations – verze 2.0.0 na řídicím panelu dodržování právních předpisů a integrovanou iniciativu zásad v Azure Policy. Vydání verze 2.0.0 v programu Microsoft Defender for Cloud je společná spolupráce mezi Microsoftem, Centrem for Internet Security (CIS) a komunitami uživatelů. Verze 2.0.0 výrazně rozšiřuje rozsah hodnocení, který teď zahrnuje 90 a více předdefinovaných zásad Azure a uspěl v předchozích verzích 1.4.0 a 1.3.0 a 1.0 v Programu Microsoft Defender pro cloud a Azure Policy. Další informace najdete v tomto blogovém příspěvku.
Září 2023
Změna denního limitu Log Analytics
Azure Monitor nabízí možnost nastavit denní limit dat přijatých v pracovních prostorech služby Log Analytics. V těchto vyloučeních se ale v současné době nepodporují defendery pro události zabezpečení cloudu.
Denní limit log Analytics už nevyloučí následující sadu datových typů:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- Škodlivá aplikaceIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Aktualizovat
- UpdateSummary
- CommonSecurityLog
- Syslog
Při splnění denního limitu budou všechny fakturovatelné datové typy omezeny. Tato změna zlepšuje schopnost plně obsahovat náklady z příjmu dat s vyššími než očekávanými náklady.
Přečtěte si další informace o pracovních prostorech v programu Microsoft Defender for Cloud.
Řídicí panel zabezpečení dat dostupný ve verzi Public Preview
27. září 2023
Řídicí panel zabezpečení dat je nyní k dispozici ve verzi Public Preview jako součást plánu CSPM v programu Defender. Řídicí panel zabezpečení dat je interaktivní řídicí panel orientovaný na data, který svítí významným rizikům citlivých dat, upřednostňuje výstrahy a potenciální cesty útoku pro data napříč hybridními cloudovými úlohami. Přečtěte si další informace o řídicím panelu zabezpečení dat.
Verze Preview: Nový proces automatického zřizování pro SQL Server v plánu počítačů
21. září 2023
Microsoft Monitoring Agent (MMA) je v srpnu 2024 zastaralý. Defender for Cloud aktualizoval strategii nahrazením MMA vydáním procesu automatického zřizování agenta monitorování Azure cíleného na SQL Server.
Zákazníci, kteří používají proces automatického zřizování MMA s možností agenta Azure Monitoru (Preview) ve verzi Preview, se během období Preview požadují, aby migrovali na nový automaticky zřízený agent Azure Monitoring Agent pro SQL server na počítačích (Preview). Proces migrace je bezproblémový a zajišťuje nepřetržitou ochranu pro všechny počítače.
Další informace najdete v tématu Migrace na proces automatického zřizování agenta monitorování Azure cíleného na SQL Server.
Upozornění GitHub Advanced Security pro Azure DevOps v defenderu pro cloud
20. září 2023
Teď můžete zobrazit upozornění GitHub Advanced Security pro Azure DevOps (GHAzDO) související s CodeQL, tajnými kódy a závislostmi v defenderu pro cloud. Výsledky se zobrazují na stránce DevOps a v doporučeních. Pokud chcete zobrazit tyto výsledky, připojte úložiště s podporou GHAzDO do programu Defender for Cloud.
Přečtěte si další informace o pokročilém zabezpečení GitHubu pro Azure DevOps.
Funkce vyloučení jsou teď k dispozici pro doporučení defenderu pro rozhraní API.
11. září 2023
Teď můžete vyloučit doporučení pro následující doporučení zabezpečení defenderu pro rozhraní API.
Doporučení | Popis a související zásady | Závažnost |
---|---|---|
(Preview) Koncové body rozhraní API, které se nepoužívají, by se měly zakázat a odebrat ze služby Azure API Management. | Osvědčeným postupem zabezpečení jsou koncové body rozhraní API, které nepřijaly provoz po dobu 30 dnů, považovány za nepoužité a měly by se odebrat ze služby Azure API Management. Zachování nepoužívaných koncových bodů rozhraní API může představovat bezpečnostní riziko. Můžou se jednat o rozhraní API, která by měla být ze služby Azure API Management zastaralá, ale omylem byla aktivní. Tato rozhraní API obvykle nedostávají nejaktuálnější pokrytí zabezpečení. | Nízká |
(Preview) Koncové body rozhraní API ve službě Azure API Management by se měly ověřovat. | Koncové body rozhraní API publikované ve službě Azure API Management by měly vynucovat ověřování, aby se minimalizovalo riziko zabezpečení. Mechanismy ověřování se někdy implementují nesprávně nebo chybí. To umožňuje útočníkům zneužít chyby implementace a přistupovat k datům. U rozhraní API publikovaných ve službě Azure API Management toto doporučení vyhodnocuje provádění ověřování prostřednictvím klíčů předplatného, JWT a klientského certifikátu nakonfigurovaného ve službě Azure API Management. Pokud se během volání rozhraní API nespustí žádný z těchto mechanismů ověřování, rozhraní API toto doporučení obdrží. | Vysoká |
Přečtěte si další informace o vyloučení doporučení v Defenderu pro cloud.
Vytváření ukázkových upozornění pro detekci rozhraní API v defenderu
11. září 2023
Teď můžete vygenerovat ukázková upozornění pro detekce zabezpečení, které byly vydány jako součást defenderu pro rozhraní API ve verzi Public Preview. Přečtěte si další informace o generování ukázkových upozornění v Defenderu pro cloud.
Verze Preview: Posouzení ohrožení zabezpečení kontejnerů využívající Microsoft Defender Správa zranitelností teď podporuje kontrolu při přijetí změn.
6. září 2023
Posouzení ohrožení zabezpečení kontejnerů založené na Microsoft Defender Správa zranitelností teď podporuje další trigger pro skenování imagí načítaných z ACR. Tato nově přidaná aktivační událost poskytuje další pokrytí aktivních imagí kromě existujících triggerů, které kontrolují image vložené do služby ACR za posledních 90 dnů a image, které jsou aktuálně spuštěné v AKS.
Nový trigger se začne zavádět dnes a očekává se, že bude dostupný pro všechny zákazníky do konce září.
Aktualizovaný formát pojmenování standardů Center for Internet Security (CIS) v dodržování právních předpisů
6. září 2023
Formát pojmenování základních srovnávacích testů CIS (Center for Internet Security) na řídicím panelu dodržování předpisů se změní na [Cloud] CIS [version number]
CIS [Cloud] Foundations v[version number]
. Informace najdete v následující tabulce:
Aktuální název | Nový název |
---|---|
Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Zjistěte, jak zlepšit dodržování právních předpisů.
Zjišťování citlivých dat pro databáze PaaS (Preview)
5. září 2023
Funkce zabezpečení s podporou dat pro bezproblémové zjišťování citlivých dat pro databáze PaaS (Azure SQL Databases a Amazon RDS instance libovolného typu) jsou teď ve verzi Public Preview. Tato verze Public Preview umožňuje vytvořit mapu důležitých dat bez ohledu na to, kde se nacházejí, a typ dat nalezených v těchto databázích.
Zjišťování citlivých dat pro databáze Azure a AWS, přidává se ke sdílené taxonomii a konfiguraci, která je už veřejně dostupná pro prostředky cloudového úložiště objektů (kontejnery Azure Blob Storage, kontejnery AWS S3 a kontejnery úložiště GCP) a poskytuje jednotné prostředí konfigurace a povolení.
Databáze se naskenují každý týden. Pokud povolíte sensitive data discovery
, zjišťování se spustí do 24 hodin. Výsledky můžete zobrazit v Průzkumníku zabezpečení cloudu nebo si projděte nové cesty útoku pro spravované databáze s citlivými daty.
Stav zabezpečení s podporou dat pro databáze je k dispozici prostřednictvím plánu CSPM v programu Defender a je automaticky povolen u předplatných, kde sensitive data discovery
je povolená možnost.
Další informace o stavu zabezpečení s podporou dat najdete v následujících článcích:
- Podpora a předpoklady pro stav zabezpečení s podporou dat
- Povolení stavu zabezpečení s podporou dat
- Prozkoumání rizik pro citlivá data
Obecná dostupnost (GA): Kontrola malwaru v defenderu pro úložiště
1. září 2023
Kontrola malwaru je teď obecně dostupná (GA) jako doplněk do defenderu pro úložiště. Kontrola malwaru v defenderu for Storage pomáhá chránit vaše účty úložiště před škodlivým obsahem provedením úplné kontroly malwaru na nahraném obsahu téměř v reálném čase pomocí funkcí Antivirová ochrana v programu Microsoft Defender. Je navržená tak, aby splňovala požadavky na zabezpečení a dodržování předpisů pro zpracování nedůvěryhodného obsahu. Funkce kontroly malwaru je řešení SaaS bez agentů, které umožňuje nastavení ve velkém měřítku a podporuje automatizaci odezvy ve velkém měřítku.
Přečtěte si další informace o kontrole malwaru v defenderu for Storage.
Kontrola malwaru je cenová podle využití dat a rozpočtu. Fakturace začíná 3. září 2023. Další informace najdete na stránce s cenami.
Pokud používáte předchozí plán, musíte proaktivně migrovat na nový plán , aby bylo možné kontrolu malwaru povolit.
Přečtěte si blogový příspěvek s oznámením o programu Microsoft Defender for Cloud.
Srpen 2023
Mezi aktualizace v srpnu patří:
Defender for Containers: Zjišťování bez agentů pro Kubernetes
30. srpna 2023
S radostí vám představíme Defender for Containers: zjišťování bez agentů pro Kubernetes. Tato verze představuje významný krok vpřed v zabezpečení kontejnerů, což vám umožní využívat pokročilé přehledy a komplexní možnosti inventáře pro prostředí Kubernetes. Nová nabídka kontejnerů je založená na grafu kontextového zabezpečení Defenderu pro cloud. Tady je seznam toho, co můžete očekávat od této nejnovější aktualizace:
- Zjišťování Kubernetes bez agentů
- Komplexní možnosti inventáře
- Přehledy zabezpečení specifické pro Kubernetes
- Vylepšený proaktivní vyhledávání rizik pomocí Průzkumníka zabezpečení cloudu
Zjišťování bez agentů pro Kubernetes je teď dostupné všem zákazníkům defenderu for Containers. Tyto pokročilé funkce můžete začít používat ještě dnes. Doporučujeme vám aktualizovat předplatná tak, aby byla povolena úplná sada rozšíření, a využívat nejnovější doplňky a funkce. Pokud chcete rozšíření povolit, přejděte do podokna Prostředí a nastavení předplatného Defenderu for Containers.
Poznámka:
Pokud povolíte nejnovější doplňky, nedojde k novým nákladům na aktivní zákazníky defenderu for Containers.
Další informace najdete v tématu Přehled zabezpečení kontejnerů v programu Microsoft Defender for Containers.
Verze doporučení: Microsoft Defender for Storage by měl být povolený s kontrolou malwaru a detekcí citlivých dat před hrozbami.
úterý 22. srpna 2023
Vydali jsme nové doporučení v programu Defender for Storage. Toto doporučení zajišťuje, že je na úrovni předplatného povolený Defender for Storage s možnostmi kontroly malwaru a detekce citlivých dat.
Doporučení | Popis |
---|---|
V programu Microsoft Defender for Storage by se měla povolit kontrola malwaru a detekce citlivých dat. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. Při jednoduchém nastavení bez agentů ve velkém měřítku se při povolení na úrovni předplatného budou automaticky chránit všechny existující a nově vytvořené účty úložiště v rámci daného předplatného. Můžete také vyloučit konkrétní účty úložiště z chráněných předplatných. |
Toto nové doporučení nahrazuje aktuální doporučení Microsoft Defender for Storage should be enabled
(klíč posouzení 1be22853-8ed1-4005-9907-ddad64cb1417). Toto doporučení ale bude i nadále dostupné v cloudech Azure Government.
Přečtěte si další informace o programu Microsoft Defender for Storage.
Rozšířené vlastnosti v defenderu pro výstrahy zabezpečení cloudu se maskují z protokolů aktivit.
17. srpna 2023
Nedávno jsme změnili způsob integrace výstrah zabezpečení a protokolů aktivit. Abychom mohli lépe chránit citlivé informace o zákazníci, tyto informace už nezahrneme do protokolů aktivit. Místo toho ho maskujeme hvězdičkami. Tyto informace jsou ale stále dostupné prostřednictvím rozhraní API upozornění, průběžného exportu a portálu Defender for Cloud.
Zákazníci, kteří spoléhají na protokoly aktivit k exportu výstrah do svých řešení SIEM, by měli zvážit použití jiného řešení, protože se nejedná o doporučenou metodu exportu výstrah zabezpečení Defenderu pro cloud.
Pokyny k exportu výstrah zabezpečení Defenderu for Cloud do aplikací SIEM, SOAR a jiných aplikací třetích stran najdete v tématu Stream výstrahy do řešení SPRÁVY SLUŽEB SIEM, SOAR nebo IT Service Management.
Verze Preview podpory GCP v programu Defender CSPM
15. srpna 2023
Oznamujeme verzi Preview kontextového grafu cloudového zabezpečení CSPM v programu Defender a analýzu cest útoku s podporou prostředků GCP. Výkon CSPM v programu Defender můžete využít k komplexní viditelnosti a inteligentnímu zabezpečení cloudu napříč prostředky GCP.
Mezi klíčové funkce podpory GCP patří:
- Analýza cesty útoku – Vysvětlení potenciálních tras, které by útočníci mohli provést.
- Průzkumník zabezpečení cloudu – Proaktivně identifikujte rizika zabezpečení spuštěním dotazů založených na grafech v grafu zabezpečení.
- Kontrola bez agentů – Prohledejte servery a identifikujte tajné kódy a ohrožení zabezpečení bez instalace agenta.
- Stav zabezpečení pracující s daty – Zjišťování a náprava rizik pro citlivá data v kontejnerech Google Cloud Storage
Přečtěte si další informace o možnostech plánu CSPM v programu Defender.
Nové výstrahy zabezpečení v programu Defender for Servers Plan 2: Detekce potenciálních útoků, které zneužívají rozšíření virtuálních počítačů Azure
7. srpna 2023
Tato nová série výstrah se zaměřuje na detekci podezřelých aktivit rozšíření virtuálních počítačů Azure a poskytuje přehled o pokusech útočníků o ohrožení a provádění škodlivých aktivit na virtuálních počítačích.
Microsoft Defender for Servers teď dokáže detekovat podezřelou aktivitu rozšíření virtuálních počítačů, což vám umožní získat lepší pokrytí zabezpečení úloh.
Rozšíření virtuálních počítačů Azure jsou malé aplikace, které spouštějí po nasazení na virtuálních počítačích a poskytují funkce, jako je konfigurace, automatizace, monitorování, zabezpečení a další. Rozšíření jsou sice výkonným nástrojem, ale můžou je použít aktéři hrozeb pro různé škodlivé záměry, například:
- Pro shromažďování a monitorování dat.
- Pro spouštění kódu a nasazení konfigurace s vysokými oprávněními.
- Pro resetování přihlašovacích údajů a vytváření správců.
- Pro šifrování disků.
Tady je tabulka nových upozornění.
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
Podezřelá chyba při instalaci rozšíření GPU ve vašem předplatném (Preview) (VM_GPUExtensionSuspiciousFailure) |
Podezřelý záměr instalace rozšíření GPU na nepodporované virtuální počítače Toto rozšíření by mělo být nainstalované na virtuálních počítačích vybavených grafickým procesorem a v tomto případě tyto virtuální počítače nejsou vybaveny. Tato selhání se dají vidět, když nežádoucí uživatelé se zlými úmysly spouštějí několik instalací takového rozšíření pro účely kryptografického dolování. | Dopad | Střední |
Na virtuálním počítači (Preview) byla zjištěna podezřelá instalace rozšíření GPU. (VM_GPUDriverExtensionUnusualExecution) Tato výstraha byla vydána v červenci 2023. |
Podezřelá instalace rozšíření GPU byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření ovladače GPU nainstalovat ovladače GPU na virtuální počítač prostřednictvím Azure Resource Manageru k provádění kryptografických útoků. Tato aktivita se považuje za podezřelou, protože chování objektu se odchází od obvyklých vzorů. | Dopad | Nízká |
Spuštění příkazu s podezřelým skriptem se zjistilo na virtuálním počítači (Preview) (VM_RunCommandSuspiciousScript) |
Na virtuálním počítači se zjistil příkaz Spustit s podezřelým skriptem pomocí analýzy operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí příkazu Spustit spustit škodlivý kód s vysokými oprávněními na vašem virtuálním počítači prostřednictvím Azure Resource Manageru. Skript se považuje za podezřelé, protože některé části byly identifikovány jako potenciálně škodlivé. | Provádění | Vysoká |
Na vašem virtuálním počítači (Preview) se zjistilo podezřelé neoprávněné použití příkazu spustit. (VM_RunCommandSuspiciousFailure) |
Podezřelé neoprávněné použití příkazu Spustit selhalo a na virtuálním počítači se zjistilo analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci se můžou pokusit pomocí příkazu Spustit spustit škodlivý kód s vysokými oprávněními na virtuálních počítačích prostřednictvím Azure Resource Manageru. Tato aktivita se považuje za podezřelou, protože se dříve nesrozudila. | Provádění | Střední |
Na vašem virtuálním počítači (Preview) se zjistilo podezřelé využití příkazů spuštění. (VM_RunCommandSuspiciousUsage) |
Podezřelé použití příkazu Spustit bylo zjištěno na virtuálním počítači analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí příkazu Spustit spustit škodlivý kód s vysokými oprávněními na virtuálních počítačích prostřednictvím Azure Resource Manageru. Tato aktivita se považuje za podezřelou, protože se dříve nesrozudila. | Provádění | Nízká |
Na virtuálních počítačích se zjistilo podezřelé použití několika rozšíření monitorování nebo shromažďování dat (Preview). (VM_SuspiciousMultiExtensionUsage) |
Podezřelé využití několika rozšíření monitorování nebo shromažďování dat bylo zjištěno na virtuálních počítačích analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou tato rozšíření zneužít pro shromažďování dat, monitorování síťového provozu a další možnosti ve vašem předplatném. Toto použití se považuje za podezřelé, protože ho ještě nebylo běžně vidět. | Průzkum | Střední |
Na virtuálních počítačích (Preview) byla zjištěna podezřelá instalace rozšíření šifrování disků. (VM_DiskEncryptionSuspiciousUsage) |
Podezřelá instalace rozšíření šifrování disků byla na virtuálních počítačích zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou zneužít rozšíření šifrování disků k nasazení úplného šifrování disků na virtuálních počítačích prostřednictvím Azure Resource Manageru při pokusu o provedení aktivity ransomwaru. Tato aktivita se považuje za podezřelou, protože nebyla často viditelná dříve a kvůli vysokému počtu instalací rozšíření. | Dopad | Střední |
Na virtuálních počítačích se zjistilo podezřelé použití rozšíření přístupu k virtuálním počítačům (Preview). (VM_VMAccessSuspiciousUsage) |
Na virtuálních počítačích se zjistilo podezřelé použití rozšíření přístupu k virtuálním počítačům. Útočníci můžou zneužít rozšíření přístupu k virtuálnímu počítači, aby získali přístup k virtuálním počítačům s vysokými oprávněními, a to resetováním přístupu nebo správou uživatelů s právy pro správu. Tato aktivita se považuje za podezřelou, protože chování objektu se odchází od obvyklých vzorů a vzhledem k vysokému počtu instalací rozšíření. | Uchování | Střední |
Rozšíření DSC (Desired State Configuration) s podezřelým skriptem bylo zjištěno na vašem virtuálním počítači (Preview). (VM_DSCExtensionSuspiciousScript) |
Rozšíření DSC (Desired State Configuration) s podezřelým skriptem bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření DSC (Desired State Configuration) nasazovat škodlivé konfigurace, jako jsou mechanismy trvalosti, škodlivé skripty a další, s vysokými oprávněními, na vašich virtuálních počítačích. Skript se považuje za podezřelé, protože některé části byly identifikovány jako potenciálně škodlivé. | Provádění | Vysoká |
Na virtuálních počítačích (Preview) se zjistilo podezřelé použití rozšíření DSC (Desired State Configuration). (VM_DSCExtensionSuspiciousUsage) |
Podezřelé použití rozšíření DSC (Desired State Configuration) bylo na virtuálních počítačích zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření DSC (Desired State Configuration) nasazovat škodlivé konfigurace, jako jsou mechanismy trvalosti, škodlivé skripty a další, s vysokými oprávněními, na vašich virtuálních počítačích. Tato aktivita se považuje za podezřelou, protože chování objektu se odchází od obvyklých vzorů a vzhledem k vysokému počtu instalací rozšíření. | Dopad | Nízká |
Rozšíření vlastních skriptů s podezřelým skriptem se zjistilo na virtuálním počítači (Preview) (VM_CustomScriptExtensionSuspiciousCmd) (Tato výstraha již existuje a byla vylepšena s vylepšenými metodami logiky a detekce.) |
Rozšíření vlastních skriptů s podezřelým skriptem bylo na virtuálním počítači zjištěno analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření vlastních skriptů spouštět škodlivý kód s vysokými oprávněními na virtuálním počítači prostřednictvím Azure Resource Manageru. Skript se považuje za podezřelé, protože některé části byly identifikovány jako potenciálně škodlivé. | Provádění | Vysoká |
Podívejte se na výstrahy založené na rozšířeních v Defenderu pro servery.
Úplný seznam výstrah najdete v referenční tabulce pro všechny výstrahy zabezpečení v programu Microsoft Defender for Cloud.
Aktualizace obchodního modelu a cen pro plány Defenderu pro cloud
1. srpna 2023
Microsoft Defender for Cloud má tři plány, které nabízejí ochranu vrstvy služeb:
Defender for Key Vault
Defender for Resource Manager
Defender pro DNS
Tyto plány přešly na nový obchodní model s různými cenami a balením, aby vyřešily zpětnou vazbu zákazníků ohledně předvídatelnosti útraty a zjednodušily strukturu celkových nákladů.
Souhrn změn obchodního modelu a cen:
Stávající zákazníci programu Defender for Key-Vault, Defender for Resource Manager a Defender for DNS udržují aktuální obchodní model a ceny, pokud se aktivně nerozhodnou přejít na nový obchodní model a cenu.
- Defender for Resource Manager: Tento plán má pevnou cenu za předplatné za měsíc. Zákazníci můžou přejít na nový obchodní model tak, že vyberou defender for Resource Manager nový model předplatného.
Stávající zákazníci programu Defender for Key-Vault, Defender for Resource Manager a Defender for DNS udržují aktuální obchodní model a ceny, pokud se aktivně nerozhodnou přejít na nový obchodní model a cenu.
- Defender for Resource Manager: Tento plán má pevnou cenu za předplatné za měsíc. Zákazníci můžou přejít na nový obchodní model tak, že vyberou defender for Resource Manager nový model předplatného.
- Defender for Key Vault: Tento plán má pevnou cenu za trezor za měsíc bez poplatků za nadlimitní využití. Zákazníci můžou přejít na nový obchodní model tak, že vyberou Defender for Key Vault nový pro model trezoru.
- Defender for DNS: Defender for Servers Plan 2 zákazníci získají přístup k hodnotě Defender for DNS v rámci programu Defender for Servers Plan 2 bez dalších poplatků. Zákazníkům, kteří mají Defender for Server Plan 2 i Defender for DNS, se už neúčtují poplatky za Defender pro DNS. Defender pro DNS už není k dispozici jako samostatný plán.
Další informace o cenách těchto plánů najdete na stránce s cenami Defenderu pro cloud.
Červenec 2023
Mezi aktualizace v červenci patří:
Posouzení ohrožení zabezpečení kontejnerů ve verzi Preview s využitím Microsoft Defender Správa zranitelností
31. července 2023
Oznamujeme vydání posouzení ohrožení zabezpečení (VA) pro image kontejnerů Linuxu v registrech kontejnerů Azure s využitím Microsoft Defender Správa zranitelností v defenderu for Containers a Defenderu pro registry kontejnerů. Nová nabídka VA kontejnerů bude poskytována společně s naší stávající nabídkou kontejnerů VA, která využívá technologii Qualys v defenderu pro kontejnery i registry kontejnerů Defenderu pro kontejnery a zahrnuje každodenní prohledat image kontejnerů, informace o zneužitelnosti, podporu operačního systému a programovacích jazyků (SCA) a další.
Tato nová nabídka se začne zavádět dnes a očekává se, že bude dostupná pro všechny zákazníky do 7. srpna.
Přečtěte si další informace o posouzení ohrožení zabezpečení kontejnerů pomocí Microsoft Defender Správa zranitelností.
Stav kontejneru bez agentů v programu Defender CSPM je teď obecně dostupný.
30. července 2023
Funkce stavu kontejneru bez agentů jsou nyní obecně dostupné (GA) v rámci plánu Defender CSPM (Cloud Security Management).
Přečtěte si další informace o stavu kontejneru bez agentů v programu Defender CSPM.
Správa automatických aktualizací pro Defender for Endpoint pro Linux
20. července 2023
Defender for Cloud se ve výchozím nastavení pokusí aktualizovat váš defender for Endpoint pro agenty Linuxu nasazené s rozšířením MDE.Linux
. V této verzi můžete toto nastavení spravovat a odhlásit se od výchozí konfigurace a spravovat cykly aktualizací ručně.
Kontrola tajných kódů bez agentů pro virtuální počítače v defenderu pro servery P2 & Defender CSPM
18. července 2023
Kontrola tajných kódů je nyní k dispozici jako součást kontroly bez agentů v programu Defender pro servery P2 a CSPM v programu Defender. Tato funkce pomáhá zjišťovat nespravované a nezabezpečené tajné kódy uložené na virtuálních počítačích v prostředcích Azure nebo AWS, které je možné použít k pozdějšímu přesunu v síti. Pokud se zjistí tajné kódy, může Defender for Cloud pomoct určit prioritu a provést nápravné kroky, které minimalizují riziko laterálního pohybu, a to vše bez ovlivnění výkonu vašeho počítače.
Další informace o ochraně tajných kódů pomocí skenování tajných kódů najdete v tématu Správa tajných kódů s kontrolou tajných kódů bez agentů.
Nová výstraha zabezpečení v programu Defender for Servers – plán 2: Detekce potenciálních útoků s využitím rozšíření ovladačů GPU virtuálního počítače Azure
12. července 2023
Tato výstraha se zaměřuje na identifikaci podezřelých aktivit využívajících rozšíření ovladačů GPU virtuálního počítače Azure a poskytuje přehled o pokusech útočníků o ohrožení vašich virtuálních počítačů. Výstraha cílí na podezřelá nasazení rozšíření ovladačů GPU; tato rozšíření jsou často zneužívané aktéry hrozeb, aby využili plnou sílu karty GPU a prováděli cryptojacking.
Zobrazovaný název upozornění (Typ výstrahy) |
Popis | Závažnost | Taktika MITRE |
---|---|---|---|
Podezřelá instalace rozšíření GPU ve virtuálním počítači (Preview) (VM_GPUDriverExtensionUnusualExecution) |
Podezřelá instalace rozšíření GPU byla na virtuálním počítači zjištěna analýzou operací Azure Resource Manageru ve vašem předplatném. Útočníci můžou pomocí rozšíření ovladače GPU nainstalovat ovladače GPU na virtuální počítač prostřednictvím Azure Resource Manageru k provádění kryptografických útoků. | Nízká | Dopad |
Úplný seznam výstrah najdete v referenční tabulce pro všechny výstrahy zabezpečení v programu Microsoft Defender for Cloud.
Podpora zakázání konkrétních zjištění ohrožení zabezpečení
9. července 2023
Vydání podpory pro zakázání zjištění ohrožení zabezpečení pro image registru kontejneru nebo spouštění imagí v rámci stavu kontejneru bez agentů Pokud potřebujete, aby organizace ignorovala hledání ohrožení zabezpečení v imagi registru kontejneru, místo aby ji opravili, můžete ji volitelně zakázat. Zakázaná zjištění nemají vliv na vaše skóre zabezpečení ani negenerují nežádoucí šum.
Zjistěte, jak zakázat zjištění posouzení ohrožení zabezpečení u imagí registru kontejnerů.
Stav zabezpečení s podporou dat je nyní obecně dostupný.
1\. července 2023
Stav zabezpečení pracující s daty v Programu Microsoft Defender pro cloud je teď obecně dostupný. Pomáhá zákazníkům snížit riziko dat a reagovat na porušení zabezpečení dat. S využitím stavu zabezpečení s podporou dat můžete:
- Automatické zjišťování citlivých datových prostředků v Azure a AWS
- Vyhodnoťte citlivost dat, vystavení dat a způsob toku dat v celé organizaci.
- Proaktivně a nepřetržitě odkryjte rizika, která můžou vést k porušení zabezpečení dat.
- Detekce podezřelých aktivit, které můžou indikovat probíhající hrozby pro citlivé datové prostředky
Další informace najdete v tématu Stav zabezpečení pracující s daty v programu Microsoft Defender for Cloud.
Červen 2023
Mezi aktualizace v červnu patří:
Zjednodušené onboardingu účtů s více cloudy s rozšířenými nastaveními
26. června 2023
Defender for Cloud vylepšil možnosti onboardingu tak, aby obsahoval nové zjednodušené uživatelské rozhraní a pokyny, kromě nových funkcí, které vám umožní připojit prostředí AWS a GCP a zároveň poskytovat přístup k pokročilým funkcím onboardingu.
Pro organizace, které pro automatizaci přijaly Terraform Hashicorp, teď Defender for Cloud zahrnuje možnost používat Terraform jako metodu nasazení společně s AWS CloudFormation nebo GCP Cloud Shellem. Při vytváření integrace teď můžete přizpůsobit požadované názvy rolí. Můžete také vybrat mezi těmito možnostmi:
Výchozí přístup – Umožňuje defenderu for Cloud kontrolovat vaše prostředky a automaticky zahrnovat budoucí funkce.
Nejméně privilegovaný přístup – Uděluje defenderu pro cloud přístup pouze k aktuálním oprávněním potřebným pro vybrané plány.
Pokud vyberete nejméně privilegovaná oprávnění, budete dostávat oznámení jenom o všech nových rolích a oprávněních, která jsou nutná k získání úplné funkčnosti stavu konektoru.
Defender for Cloud umožňuje rozlišovat mezi cloudovými účty podle jejich nativních názvů od dodavatelů cloudu. Například aliasy účtů AWS a názvy projektů GCP.
Podpora privátního koncového bodu pro kontrolu malwaru v defenderu for Storage
25. června 2023
Podpora privátních koncových bodů je nyní dostupná jako součást kontroly malwaru ve verzi Public Preview v defenderu pro úložiště. Tato funkce umožňuje povolit kontrolu malwaru u účtů úložiště, které používají privátní koncové body. Není potřeba žádná další konfigurace.
Kontrola malwaru (Preview) v defenderu for Storage pomáhá chránit vaše účty úložiště před škodlivým obsahem provedením úplné kontroly malwaru na nahraném obsahu téměř v reálném čase pomocí funkcí Antivirová ochrana v programu Microsoft Defender. Je navržená tak, aby splňovala požadavky na zabezpečení a dodržování předpisů pro zpracování nedůvěryhodného obsahu. Jedná se o řešení SaaS bez agentů, které umožňuje jednoduché nastavení ve velkém měřítku s nulovou údržbou a podporuje automatizaci odezvy ve velkém měřítku.
Privátní koncové body poskytují zabezpečené připojení ke službám Azure Storage, efektivně eliminují vystavení veřejného internetu a považují se za osvědčený postup zabezpečení.
U účtů úložiště s privátními koncovými body, které už mají povolenou kontrolu malwaru, budete muset zakázat a povolit plán s vyhledáváním malwaru, aby to fungovalo.
Přečtěte si další informace o používání privátních koncových bodů v defenderu for Storage a o tom, jak dál zabezpečit služby úložiště.
Doporučení vydané pro verzi Preview: Spuštění imagí kontejnerů by mělo mít vyřešené zjištění ohrožení zabezpečení (s využitím Microsoft Defender Správa zranitelností)
21. června 2023
Ve verzi Preview je vydáno nové doporučení ke kontejneru v programu Defender CSPM s využitím Microsoft Defender Správa zranitelností:
Doporučení | Popis | Klíč posouzení |
---|---|---|
Spuštěné image kontejnerů by měly mít vyřešené závěry ohrožení zabezpečení (s využitím Microsoft Defender Správa zranitelností)(Preview) | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Toto nové doporučení nahrazuje aktuální doporučení stejného názvu, které využívá Qualys, pouze v programu Defender CSPM (nahrazení klíče posouzení 41503391-efa5-47ee-9282-4eff6131462c).
Byly provedeny aktualizace kontrol standardů NIST 800-53 v dodržování právních předpisů
15. června 2023
Standardy NIST 800-53 (R4 i R5) se nedávno aktualizovaly o změny kontroly v programu Microsoft Defender pro dodržování právních předpisů v cloudu. Ovládací prvky spravované Microsoftem byly odebrány ze standardu a informace o implementaci odpovědnosti Microsoftu (v rámci modelu sdílené odpovědnosti cloudu) jsou nyní k dispozici pouze v podokně podrobností ovládacích prvků v části Akce Microsoftu.
Tyto ovládací prvky se dříve vypočítaly jako předané ovládací prvky, takže mezi dubnem 2023 a květnem 2023 se může zobrazit výrazný pokles skóre dodržování předpisů pro standardy NIST.
Další informace o kontrolních prvcích dodržování předpisů najdete v kurzu : Kontroly dodržování právních předpisů – Microsoft Defender for Cloud.
Plánování migrace do cloudu s obchodním případem služby Azure Migrate teď zahrnuje Defender for Cloud.
11. června 2023
Teď můžete zjistit potenciální úspory nákladů v zabezpečení tím, že použijete Defender pro cloud v kontextu obchodního případu Azure Migrate.
Expresní konfigurace pro posouzení ohrožení zabezpečení v defenderu pro SQL je teď obecně dostupná.
7. června 2023
Expresní konfigurace pro posouzení ohrožení zabezpečení v defenderu pro SQL je teď obecně dostupná. Expresní konfigurace poskytuje zjednodušené možnosti onboardingu pro posouzení ohrožení zabezpečení SQL pomocí konfigurace jedním kliknutím (nebo volání rozhraní API). Nejsou potřeba žádná další nastavení ani závislosti na spravovaných účtech úložiště.
Další informace o expresní konfiguraci najdete na tomto blogu .
Můžete se seznámit s rozdíly mezi expresní a klasickou konfigurací.
Další obory přidané do stávajících konektorů Azure DevOps
6. června 2023
Defender for DevOps přidal do aplikace Azure DevOps (ADO) následující další obory:
Pokročilá správa zabezpečení:
vso.advsec_manage
. To je potřeba k povolení, zakázání a správě služby GitHub Advanced Security pro ADO.Mapování kontejnerů:
vso.extension_manage
,vso.gallery_manager
; To je potřeba, abyste mohli sdílet rozšíření dekorátoru s organizací ADO.
Tato změna ovlivní jenom nové zákazníky Defenderu pro DevOps, kteří se snaží připojit prostředky ADO do Microsoft Defenderu pro cloud.
Onboarding přímo (bez Azure Arc) do Defenderu pro servery je teď obecně dostupný.
5. června 2023
Dříve se služba Azure Arc vyžadovala k onboardingu serverů mimo Azure do defenderu pro servery. S nejnovější verzí ale můžete místní servery připojit k programu Defender for Servers jenom pomocí agenta Microsoft Defenderu for Endpoint.
Tato nová metoda zjednodušuje proces onboardingu pro zákazníky zaměřené na základní ochranu koncových bodů a umožňuje využít výhod fakturace založené na spotřebě Defenderu pro servery pro cloudové i necloudové prostředky. Možnost přímého onboardingu prostřednictvím defenderu for Endpoint je teď dostupná s fakturací pro onboardované počítače od 1. července.
Další informace najdete v tématu Připojení počítačů mimo Azure ke službě Microsoft Defender for Cloud s nástrojem Defender for Endpoint.
Nahrazení zjišťování založeného na agentech zjišťováním bez agentů pro funkce kontejnerů v programu Defender CSPM
4. června 2023
Díky funkcím stavu kontejneru bez agentů, které jsou v programu Defender CSPM dostupné, jsou teď možnosti zjišťování založené na agentech vyřazené. Pokud v programu Defender CSPM aktuálně používáte funkce kontejneru, ujistěte se, že jsou povolená příslušná rozšíření, aby nadále přijímala hodnotu související s kontejnery nových funkcí bez agentů, jako jsou cesty útoku související s kontejnery, přehledy a inventář. (Zobrazení účinků povolení rozšíření může trvat až 24 hodin).
Přečtěte si další informace o stavu kontejneru bez agentů.
Květen 2023
Mezi aktualizace v květnu patří:
- Nová výstraha v defenderu pro Key Vault
- Podpora kontroly šifrovaných disků v AWS bez agentů
- Změny v konvencích vytváření názvů PODLE POTŘEBY (JIT) v Defenderu pro cloud
- Onboarding vybraných oblastí AWS
- Změny doporučení identit
- Vyřazení starších standardů na řídicím panelu dodržování předpisů
- Aktualizace dvou doporučení defenderu pro DevOps pro zahrnutí zjištění kontroly Azure DevOps
- Nové výchozí nastavení pro řešení posouzení ohrožení zabezpečení Defenderu pro servery
- Možnost stáhnout sestavu CSV výsledků dotazu v Průzkumníku zabezpečení cloudu (Preview)
- Posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností
- Přejmenování doporučení kontejnerů využívajících Qualys
- Aktualizace aplikace Defender for DevOps na GitHubu
- V úložištích Azure DevOps, které teď zahrnují infrastrukturu jako chybné konfigurace kódu, přejděte na poznámky k žádosti o přijetí změn v programu Defender for DevOps.
Nová výstraha v defenderu pro Key Vault
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
Neobvyklý přístup k trezoru klíčů z podezřelé IP adresy (jiné společnosti než Microsoft nebo externí) (KV_UnusualAccessSuspiciousIP) |
Uživatel nebo instanční objekt se v posledních 24 hodinách pokusili o neobvyklý přístup k trezorům klíčů z IP adresy jiné společnosti než Microsoft. Tento neobvyklý vzor přístupu může být legitimní aktivitou. Může to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. Doporučujeme provést další šetření. | Přístup k přihlašovacím údajům | Střední |
Všechny dostupné výstrahy najdete v tématu Výstrahy pro Azure Key Vault.
Kontrola bez agentů teď podporuje šifrované disky v AWS.
Vyhledávání virtuálních počítačů bez agentů teď podporuje zpracování instancí se šifrovanými disky v AWS pomocí CMK i PMK.
Tato rozšířená podpora zvyšuje pokrytí a viditelnost vašich cloudových aktiv, aniž by to mělo vliv na spuštěné úlohy. Podpora šifrovaných disků udržuje stejnou metodu nulového dopadu na spuštěné instance.
- Pro nové zákazníky, kteří umožňují kontrolu bez agentů v AWS – pokrytí šifrovaných disků je ve výchozím nastavení integrované a podporované.
- Pro stávající zákazníky, kteří už mají konektor AWS s povolenou kontrolou bez agentů, musíte znovu použít zásobník CloudFormation pro vaše připojené účty AWS, abyste mohli aktualizovat a přidat nová oprávnění potřebná ke zpracování šifrovaných disků. Aktualizovaná šablona CloudFormation obsahuje nová přiřazení, která programu Defender for Cloud umožňují zpracovávat šifrované disky.
Další informace o oprávněních používaných ke kontrole instancí AWS.
Opětovné použití zásobníku CloudFormation:
- Přejděte do nastavení prostředí Defender for Cloud a otevřete konektor AWS.
- Přejděte na kartu Konfigurovat přístup .
- Kliknutím stáhnete šablonu CloudFormation.
- Přejděte do prostředí AWS a použijte aktualizovanou šablonu.
Přečtěte si další informace o kontrole bez agentů a povolení kontroly bez agentů v AWS.
Revidované zásady vytváření názvů pravidel JIT (Just-In-Time) v defenderu pro cloud
Upravili jsme pravidla JIT (Just-In-Time) tak, aby odpovídala značce Microsoft Defenderu pro cloud. Změnili jsme zásady vytváření názvů pro pravidla služby Azure Firewall a skupiny zabezpečení sítě (NSG).
Změny jsou uvedeny takto:
Popis | Starý název | Nový název |
---|---|---|
Názvy pravidel JIT (povolit a odepřít) ve skupině zabezpečení sítě (skupina zabezpečení sítě) | SecurityCenter–JITRule | MicrosoftDefenderForCloud-JITRule |
Popisy pravidel JIT ve skupině zabezpečení sítě | Pravidlo síťového přístupu PODLE POTŘEBY ASC | Pravidlo síťového přístupu MDC JIT |
Názvy kolekcí pravidel brány firewall JIT | ASC-JIT | MDC-JIT |
Názvy pravidel brány firewall JIT | ASC-JIT | MDC-JIT |
Zjistěte, jak zabezpečit porty pro správu pomocí přístupu za běhu.
Onboarding vybraných oblastí AWS
Abyste mohli spravovat náklady a požadavky na dodržování předpisů AWS CloudTrail, můžete teď při přidávání nebo úpravách cloudového konektoru vybrat oblasti AWS, které se mají zkontrolovat. Při onboardingu účtů AWS do programu Defender for Cloud teď můžete zkontrolovat vybrané konkrétní oblasti AWS nebo všechny dostupné oblasti (výchozí). Další informace najdete v článku Připojení účtu AWS k Programu Microsoft Defender for Cloud.
Několik změn doporučení k identitě
Následující doporučení jsou nyní vydána jako obecná dostupnost (GA) a nahrazují doporučení verze 1, která jsou teď zastaralá.
Obecná dostupnost (GA) – verze doporučení pro identity v2
Verze v2 doporučení pro identity přináší následující vylepšení:
- Rozsah kontroly byl rozšířen tak, aby zahrnoval všechny prostředky Azure, nejen předplatná. Správci zabezpečení tak můžou zobrazit přiřazení rolí na účet.
- Z vyhodnocení teď můžou být vyloučené konkrétní účty. Účty, jako je rozbité sklo nebo účty služeb, můžou správci zabezpečení vyloučit.
- Četnost kontrol byla zvýšena z 24 hodin na 12 hodin, čímž se zajistí, že doporučení identit budou aktuální a přesnější.
V ga jsou k dispozici následující doporučení zabezpečení a nahraďte doporučení verze 1:
Doporučení | Klíč posouzení |
---|---|
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | 6240402e-f77c-46fa-9060-a7ce53997754 |
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | 20606e75-05c4-48c0-9d97-add6daa2109a |
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Vyřazení doporučení identit v1
Následující doporučení zabezpečení jsou teď zastaralá:
Doporučení | Klíč posouzení |
---|---|
U účtů s oprávněními vlastníka k předplatným by mělo být povolené vícefaktorové ověřování. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
U účtů s oprávněními k zápisu u předplatných by mělo být povolené vícefaktorové ověřování. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
U účtů s oprávněními ke čtení u předplatných by mělo být povolené vícefaktorové ověřování. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
Externí účty s oprávněními vlastníka by se měly z předplatných odebrat. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
Externí účty s oprávněním k zápisu by se měly z předplatných odebrat. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
Externí účty s oprávněním ke čtení by se měly z předplatných odebrat. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
Zastaralé účty s oprávněními vlastníka by se měly z předplatných odebrat. | e52064aa-6853-e252-a11e-dffc675689c2 |
Zastaralé účty by se měly z předplatných odebrat. | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Doporučujeme aktualizovat vlastní skripty, pracovní postupy a pravidla zásad správného řízení tak, aby odpovídaly doporučením verze 2.
Vyřazení starších standardů na řídicím panelu dodržování předpisů
Starší verze PCI DSS verze 3.2.1 a starší verze TSP SOC jsou plně zastaralé v řídicím panelu pro dodržování předpisů v programu Defender for Cloud a nahrazeny iniciativami SOC 2 typu 2 a standardy dodržování předpisů založenými na iniciativě PCI DSS v4 . Plně jsme zastaralí podporu standardu nebo iniciativy PCI DSS v Microsoft Azure provozovaném společností 21Vianet.
Zjistěte, jak přizpůsobit sadu standardů na řídicím panelu dodržování právních předpisů.
Defender for DevOps zahrnuje zjištění kontroly Azure DevOps.
Defender for DevOps Code a IaC rozšířily pokrytí doporučení v Programu Microsoft Defender for Cloud, aby zahrnovaly zjištění zabezpečení Azure DevOps pro následující dvě doporučení:
Code repositories should have code scanning findings resolved
Code repositories should have infrastructure as code scanning findings resolved
Dříve zahrnovalo pokrytí kontroly zabezpečení Azure DevOps pouze doporučení tajných kódů.
Přečtěte si další informace o Defenderu pro DevOps.
Nové výchozí nastavení pro řešení posouzení ohrožení zabezpečení defenderu pro servery
Řešení posouzení ohrožení zabezpečení (VA) jsou nezbytná k ochraně počítačů před kybernetickými útoky a porušeními zabezpečení dat.
Microsoft Defender Správa zranitelností je teď povolené jako výchozí integrované řešení pro všechna předplatná chráněná defenderem pro servery, která ještě nemají vybrané řešení VA.
Pokud má předplatné na některém z jeho virtuálních počítačů povolené řešení VA, neprovedou se žádné změny a Microsoft Defender Správa zranitelností se ve výchozím nastavení nepovolí na zbývajících virtuálních počítačích v daném předplatném. U zbývajících virtuálních počítačů ve vašich předplatných můžete povolit řešení VA.
Zjistěte, jak najít ohrožení zabezpečení a shromažďovat inventář softwaru pomocí kontroly bez agentů (Preview).
Stažení sestavy CSV výsledků dotazu v Průzkumníku zabezpečení cloudu (Preview)
Defender for Cloud přidal možnost stáhnout sestavu CSV výsledků dotazu v Průzkumníku zabezpečení cloudu.
Po spuštění hledání dotazu můžete vybrat tlačítko Stáhnout sestavu CSV (Preview) ze stránky Průzkumníka zabezpečení cloudu v defenderu pro cloud.
Naučte se vytvářet dotazy pomocí Průzkumníka zabezpečení cloudu.
Posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností
Oznamujeme vydání posouzení ohrožení zabezpečení pro image Linuxu v registrech kontejnerů Azure s využitím Microsoft Defender Správa zranitelností v programu Defender CSPM. Tato verze zahrnuje každodenní skenování obrázků. Zjištění použitá v Průzkumníku zabezpečení a cestách útoku se místo kontroly Qualys spoléhají na posouzení ohrožení zabezpečení v programu Microsoft Defender.
Stávající doporučení Container registry images should have vulnerability findings resolved
se nahrazuje novým doporučením:
Doporučení | Popis | Klíč posouzení |
---|---|---|
Bitové kopie služby Container Registry by měly mít vyřešené zjištění ohrožení zabezpečení (využívá Microsoft Defender Správa zranitelností). | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. | dbd0cb49-b563-45e7-9724-889e799fa648 je nahrazen c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Přečtěte si další informace o stavu kontejnerů bez agentů v programu Defender CSPM.
Přečtěte si další informace o Microsoft Defender Správa zranitelností.
Přejmenování doporučení kontejnerů využívajících Qualys
Aktuální doporučení kontejnerů v programu Defender for Containers se přejmenovávat následujícím způsobem:
Doporučení | Popis | Klíč posouzení |
---|---|---|
Bitové kopie registru kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). | Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení vašeho registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. | dbd0cb49-b563-45e7-9724-889e799fa648 |
Spuštěné image kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení (využívá technologii Qualys). | Posouzení ohrožení zabezpečení imagí kontejneru kontroluje image kontejnerů spuštěné v clusterech Kubernetes kvůli ohrožením zabezpečení a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. | 41503391-efa5-47ee-9282-4eff6131462c |
Aktualizace aplikace Defender for DevOps na GitHubu
Microsoft Defender for DevOps neustále provádí změny a aktualizace, které vyžadují zákazníky Defenderu pro DevOps, kteří nasadili prostředí GitHubu v programu Defender for Cloud, aby mohli poskytovat oprávnění jako součást aplikace nasazené v organizaci GitHubu. Tato oprávnění jsou nezbytná k zajištění, aby všechny funkce zabezpečení Defenderu pro DevOps fungovaly normálně a bez problémů.
Doporučujeme aktualizovat oprávnění co nejdříve, aby se zajistil nepřetržitý přístup ke všem dostupným funkcím Defenderu pro DevOps.
Oprávnění se dají udělit dvěma různými způsoby:
Ve vaší organizaci vyberte Aplikace GitHubu. Vyhledejte svoji organizaci a vyberte Zkontrolovat žádost.
Z podpory GitHubu dostanete automatizovaný e-mail. V e-mailu vyberte Zkontrolovat žádost o oprávnění pro přijetí nebo odmítnutí této změny.
Po provedení některé z těchto možností přejdete na obrazovku kontroly, na které byste měli žádost zkontrolovat. Výběrem možnosti Přijmout nová oprávnění žádost schválíte.
Pokud potřebujete pomoc s aktualizací oprávnění, můžete vytvořit podpora Azure žádost.
Další informace o Defenderu pro DevOps najdete také. Pokud má předplatné na některém z jeho virtuálních počítačů povolené řešení VA, neprovedou se žádné změny a Microsoft Defender Správa zranitelností se ve výchozím nastavení nepovolí na zbývajících virtuálních počítačích v daném předplatném. U zbývajících virtuálních počítačů ve vašich předplatných můžete povolit řešení VA.
Zjistěte, jak najít ohrožení zabezpečení a shromažďovat inventář softwaru pomocí kontroly bez agentů (Preview).
Poznámky k žádostem o přijetí změn v programu Defender for DevOps v úložištích Azure DevOps teď zahrnují infrastrukturu jako chybné konfigurace kódu.
Defender for DevOps rozšířil pokrytí anotace žádostí o přijetí změn v Azure DevOps tak, aby zahrnoval chybné konfigurace infrastruktury jako kódu (IaC), které se detekují v šablonách Azure Resource Manageru a Bicep.
Vývojáři teď vidí poznámky pro chybné konfigurace IaC přímo ve svých žádostech o přijetí změn. Vývojáři můžou také napravit důležité problémy se zabezpečením, než se infrastruktura zřídí do cloudových úloh. Pro zjednodušení nápravy jsou vývojáři k dispozici s úrovní závažnosti, popisem chybné konfigurace a pokyny k nápravě v rámci každé poznámky.
Dříve zahrnovalo pokrytí poznámek k žádostem o přijetí změn v programu Defender for DevOps v Azure DevOps jenom tajné kódy.
Přečtěte si další informace o programu Defender for DevOps a poznámkách žádostí o přijetí změn.
Duben 2023
Mezi aktualizace v dubnu patří:
- Stav kontejneru bez agentů v programu Defender CSPM (Preview)
- Doporučení pro nové sjednocené šifrování disků ve verzi Preview
- Bezpečné konfigurace změn v počítačích s doporučeními
- Vyřazení zásad monitorování jazyka služby App Service
- Nová výstraha v defenderu pro Resource Manager
- Tři upozornění v plánu Defender for Resource Manager jsou zastaralá.
- Upozornění automatického exportu do pracovního prostoru služby Log Analytics jsou zastaralá
- Vyřazení a vylepšení vybraných výstrah pro servery s Windows a Linuxem
- Nová doporučení týkající se ověřování Azure Active Directory pro Azure Data Services
- Ve verzi GA byly vydány dvě doporučení týkající se chybějících aktualizací operačního systému (OS).
- Defender for API (Preview)
Stav kontejneru bez agentů v programu Defender CSPM (Preview)
Nové funkce stavu kontejneru bez agentů (Preview) jsou k dispozici jako součást plánu CPM (Cloud Security Management) v programu Defender CSPM (Cloud Security Management).
Stav kontejneru bez agentů umožňuje týmům zabezpečení identifikovat rizika zabezpečení v kontejnerech a sférách Kubernetes. Přístup bez agentů umožňuje týmům zabezpečení získat přehled o registrech Kubernetes a kontejnerů napříč SDLC a modulem runtime, čímž se z úloh odstraní tření a nároky.
Stav kontejneru bez agentů nabízí posouzení ohrožení zabezpečení kontejnerů, která v kombinaci s analýzou cesty útoku umožňují týmům zabezpečení určit prioritu a přiblížit konkrétní ohrožení zabezpečení kontejnerů. Průzkumníka zabezpečení cloudu můžete použít také k odhalení rizik a vyhledávání přehledů o stavu kontejnerů, jako je zjišťování aplikací s ohroženými obrázky nebo vystavené na internetu.
Přečtěte si další informace o stavu kontejneru bez agentů (Preview).
Doporučení služby Unified Disk Encryption (Preview)
Ve verzi Preview jsou k dispozici nová doporučení pro jednotné šifrování disků.
Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost
.
Tato doporučení nahrazují Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources
, která detekovala službu Azure Disk Encryption a zásady Virtual machines and virtual machine scale sets should have encryption at host enabled
, které detekovaly EncryptionAtHost. ADE a EncryptionAtHost poskytují srovnatelné pokrytí neaktivních uložených dat a doporučujeme povolit jeden z nich na každém virtuálním počítači. Nová doporučení zjistí, jestli jsou povolené ADE nebo EncryptionAtHost, a varují se pouze v případě, že nejsou povoleny. Upozorňujeme také, jestli je u některých povolených ADE, ale ne všechny disky virtuálního počítače (tato podmínka se nevztahuje na EncryptionAtHost).
Nová doporučení vyžadují konfiguraci počítače Azure Automanage.
Tato doporučení jsou založená na následujících zásadách:
- (Preview) Virtuální počítače s Windows by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost.
- (Preview) Virtuální počítače s Linuxem by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost.
Přečtěte si další informace o ADE a EncryptionAtHost a o tom, jak jednu z nich povolit.
Bezpečné konfigurace změn v počítačích s doporučeními
Doporučení Machines should be configured securely
bylo aktualizováno. Aktualizace zlepšuje výkon a stabilitu doporučení a vyrovná své zkušenosti s obecným chováním doporučení Defenderu pro cloud.
V rámci této aktualizace se ID doporučení změnilo z 181ac480-f7c4-544b-9865-11b8ffe87f47
hodnoty na c476dc48-8110-4139-91af-c8d940896b98
.
Na straně zákazníka není nutná žádná akce a na bezpečnostní skóre neexistuje žádný očekávaný vliv.
Vyřazení zásad monitorování jazyka služby App Service
Následující zásady monitorování jazyka služby App Service jsou zastaralé kvůli jejich schopnosti generovat falešně negativní hodnoty a protože neposkytují lepší zabezpečení. Vždy byste měli zajistit, abyste používali jazykovou verzi bez známých ohrožení zabezpečení.
Název zásady | ID zásady |
---|---|
Aplikace služby App Service, které používají Javu, by měly používat nejnovější verzi Javy. | 496223c3-ad65-4ecd-878a-bae78737e9ed |
Aplikace služby App Service, které používají Python, by měly používat nejnovější verzi Pythonu. | 7008174a-fd10-4ef0-817e-fc820a951d73 |
Aplikace funkcí, které používají Javu, by měly používat nejnovější verzi Jazyka Java. | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
Aplikace funkcí, které používají Python, by měly používat nejnovější verzi Pythonu. | 7238174a-fd10-4ef0-817e-fc820a951d73 |
Aplikace App Service, které používají PHP, by měly používat nejnovější verzi PHP. | 7261b898-8a84-4db8-9e04-18527132abb3 |
Zákazníci můžou pomocí alternativních předdefinovaných zásad monitorovat jakoukoli zadanou jazykovou verzi služby App Services.
Tyto zásady už nejsou k dispozici v předdefinovaných doporučeních defenderu for Cloud. Můžete je přidat jako vlastní doporučení , aby je Defender for Cloud monitoroval.
Nová výstraha v defenderu pro Resource Manager
Defender for Resource Manager má následující nové upozornění:
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
PREVIEW – Zjištění podezřelého vytvoření výpočetních prostředků (ARM_SuspiciousComputeCreation) |
Microsoft Defender for Resource Manager identifikoval podezřelé vytváření výpočetních prostředků ve vašem předplatném s využitím služby Virtual Machines/Azure Scale Set. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí nasazením nových prostředků v případě potřeby. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k provádění kryptografických dolování. Aktivita se považuje za podezřelou, protože škálování výpočetních prostředků je vyšší než dříve v předplatném. To může znamenat, že objekt zabezpečení je ohrožený a používá se se zlými úmysly. |
Dopad | Střední |
Zobrazí se seznam všech výstrah dostupných pro Resource Manager.
Tři upozornění v plánu Defender for Resource Manager jsou zastaralá.
Následující tři upozornění pro plán Defender for Resource Manager jsou zastaralá:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
Ve scénáři, ve kterém se detekuje aktivita z podezřelé IP adresy, jeden z následujících upozornění Azure Resource Manager operation from suspicious IP address
plánu Defenderu pro Resource Manager nebo Azure Resource Manager operation from suspicious proxy IP address
bude k dispozici.
Upozornění automatického exportu do pracovního prostoru služby Log Analytics jsou zastaralá
Výstrahy zabezpečení cloudu se automaticky exportují do výchozího pracovního prostoru služby Log Analytics na úrovni prostředků. To způsobuje nedeterministické chování, a proto jsme tuto funkci zastaralí.
Místo toho můžete výstrahy zabezpečení exportovat do vyhrazeného pracovního prostoru služby Log Analytics s průběžným exportem.
Pokud jste už nakonfigurovali průběžný export upozornění do pracovního prostoru služby Log Analytics, nevyžaduje se žádná další akce.
Vyřazení a vylepšení vybraných výstrah pro servery s Windows a Linuxem
Proces zlepšování kvality výstrah zabezpečení pro Defender pro servery zahrnuje vyřazení některých výstrah pro servery s Windows i Linuxem. Zastaralá upozornění jsou teď zdrojová a pokrytá upozorněními na hrozby v programu Defender for Endpoint.
Pokud už máte povolenou integraci Defenderu pro koncový bod, nevyžaduje se žádná další akce. V dubnu 2023 může dojít ke snížení objemu upozornění.
Pokud nemáte v Defenderu for Servers povolenou integraci Defenderu pro koncové body, budete muset povolit integraci Defenderu pro koncové body, abyste zachovali a zlepšili pokrytí výstrah.
Všichni zákazníci Defenderu pro servery mají úplný přístup k integraci Defenderu for Endpoint jako součást plánu Defender for Servers.
Další informace o možnostech onboardingu v programu Microsoft Defender for Endpoint.
Můžete také zobrazit úplný seznam upozornění , která jsou nastavená tak, aby byla zastaralá.
Přečtěte si blog o Programu Microsoft Defender for Cloud.
Nová doporučení týkající se ověřování Azure Active Directory pro Azure Data Services
Přidali jsme čtyři nová doporučení pro ověřování Azure Active Directory pro datové služby Azure.
Název doporučení | Popis doporučení | Zásady |
---|---|---|
Režim ověřování azure SQL Managed Instance by měl být jenom Azure Active Directory. | Zakázání místních metod ověřování a povolení pouze ověřování Azure Active Directory zlepšuje zabezpečení tím, že zajišťuje, aby ke spravovaným instancím Azure SQL měly přístup výhradně identity Azure Active Directory. | Spravovaná instance Azure SQL by měla mít povolené pouze ověřování Azure Active Directory. |
Režim ověřování pracovního prostoru Azure Synapse by měl být jenom Azure Active Directory. | Pouze metody ověřování Azure Active Directory vylepšují zabezpečení tím, že zajišťují, aby pracovní prostory Synapse k ověřování výhradně vyžadovaly identity Azure AD. Další informace. | Pracovní prostory Synapse by měly pro ověřování používat pouze identity Azure Active Directory. |
Azure Database for MySQL by měl mít zřízený správce Azure Active Directory. | Zřízení správce Azure AD pro službu Azure Database for MySQL pro povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | Správce Azure Active Directory by měl být zřízený pro servery MySQL. |
Azure Database for PostgreSQL by měl mít zřízený správce Azure Active Directory. | Zřízení správce Azure AD pro službu Azure Database for PostgreSQL pro povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | Správce Azure Active Directory by měl být zřízený pro servery PostgreSQL. |
Ve verzi GA byly vydány dvě doporučení týkající se chybějících aktualizací operačního systému (OS).
System updates should be installed on your machines (powered by Azure Update Manager)
Doporučení a Machines should be configured to periodically check for missing system updates
byla vydána pro obecnou dostupnost.
Pokud chcete nové doporučení použít, musíte:
- Připojte počítače mimo Azure ke službě Arc.
- Povolte vlastnost pravidelného hodnocení. Můžete použít tlačítko Opravit.
v novém doporučení
Machines should be configured to periodically check for missing system updates
opravte doporučení.
Po dokončení těchtokrokůch System updates should be installed on your machines
Dvě verze doporučení:
System updates should be installed on your machines
System updates should be installed on your machines (powered by Azure Update Manager)
Obě verze budou k dispozici, dokud nebude agent Log Analytics zastaralý 31. srpna 2024, kdy bude starší verzeSystem updates should be installed on your machines
() doporučení také zastaralá. Obě doporučení vrací stejné výsledky a jsou k dispozici ve stejném ovládacím prvku Apply system updates
.
Nové doporučení System updates should be installed on your machines (powered by Azure Update Manager)
má k dispozici tok nápravy prostřednictvím tlačítka Opravit, které lze použít k nápravě všech výsledků prostřednictvím Update Manageru (Preview). Tento proces nápravy je stále ve verzi Preview.
Nové doporučení System updates should be installed on your machines (powered by Azure Update Manager)
nemá vliv na vaše skóre zabezpečení, protože má stejné výsledky jako staré doporučení System updates should be installed on your machines
.
Doporučení k předpokladu (povolení vlastnosti pravidelného hodnocení) má negativní vliv na vaše skóre zabezpečení. Negativní efekt můžete napravit pomocí dostupného tlačítka Opravit.
Defender for API (Preview)
Microsoft Defender for Cloud oznamuje, že nová rozhraní API v programu Defender for Cloud jsou dostupná ve verzi Preview.
Defender for API nabízí úplnou ochranu životního cyklu, detekci a pokrytí odpovědí pro rozhraní API.
Defender for API vám pomůže získat přehled o důležitých obchodních rozhraních API. Můžete prozkoumat a vylepšit stav zabezpečení rozhraní API, určit prioritu oprav ohrožení zabezpečení a rychle detekovat aktivní hrozby v reálném čase.
Přečtěte si další informace o defenderu pro rozhraní API.
Březen 2023
Mezi aktualizace v březnu patří:
- K dispozici je nový plán Defenderu pro úložiště, včetně kontroly malwaru téměř v reálném čase a detekce citlivých dat před hrozbami.
- Stav zabezpečení pracující s daty (Preview)
- Vylepšené prostředí pro správu výchozích zásad zabezpečení Azure
- CsPM v programu Defender (Správa stavu cloudového zabezpečení) je nyní obecně dostupná (GA)
- Možnost vytvoření vlastních doporučení a standardů zabezpečení v Microsoft Defenderu pro cloud
- Srovnávací test zabezpečení cloudu Microsoftu (MCSB) verze 1.0 je nyní obecně dostupný (GA)
- Některé standardy dodržování právních předpisů jsou teď dostupné v cloudech pro státní správu.
- Nové doporučení preview pro Azure SQL Servery
- Nová výstraha v defenderu pro Key Vault
K dispozici je nový plán Defenderu pro úložiště, včetně kontroly malwaru téměř v reálném čase a detekce citlivých dat před hrozbami.
Cloudové úložiště hraje klíčovou roli v organizaci a ukládá velké objemy cenných a citlivých dat. Dnes oznamujeme nový plán Defenderu pro úložiště. Pokud používáte předchozí plán (teď se přejmenujete na Defender for Storage (classic)), musíte proaktivně migrovat na nový plán , abyste mohli používat nové funkce a výhody.
Nový plán obsahuje pokročilé možnosti zabezpečení, které pomáhají chránit před škodlivými nahráváním souborů, exfiltrací citlivých dat a poškozením dat. Poskytuje také předvídatelnější a flexibilnější cenovou strukturu pro lepší kontrolu nad pokrytím a náklady.
Nový plán má nyní nové funkce ve verzi Public Preview:
Detekce ohrožení citlivých dat a událostí exfiltrace
Kontrola malwaru téměř v reálném čase při nahrávání malwaru napříč všemi typy souborů
Detekce entit bez identit pomocí tokenů SAS
Tyto funkce vylepšují stávající funkce monitorování aktivit na základě analýzy protokolů řídicích a rovin dat a modelování chování za účelem identifikace počátečních známek porušení zabezpečení.
Všechny tyto funkce jsou k dispozici v novém předvídatelném a flexibilním cenovém plánu, který poskytuje podrobnou kontrolu nad ochranou dat na úrovni předplatného i prostředků.
Další informace najdete v přehledu programu Microsoft Defender for Storage.
Stav zabezpečení pracující s daty (Preview)
Microsoft Defender for Cloud pomáhá týmům zabezpečení zvýšit produktivitu při snižování rizik a reagování na porušení zabezpečení v cloudu. Umožňuje jim snížit šum s kontextem dat a určit prioritu nejdůležitějších bezpečnostních rizik, což brání nákladnému úniku dat.
- Automaticky zjišťovat datové prostředky napříč cloudovými aktivy a vyhodnocovat jejich přístupnost, citlivost dat a nakonfigurované toky dat. -Nepřetržitě odkryjte rizika pro porušení zabezpečení citlivých prostředků dat, vystavení nebo cesty útoku, které by mohly vést k datovému prostředku pomocí techniky laterálního pohybu.
- Detekujte podezřelé aktivity, které můžou znamenat probíhající hrozbu pro citlivé datové prostředky.
Přečtěte si další informace o stavu zabezpečení s podporou dat.
Vylepšené prostředí pro správu výchozích zásad zabezpečení Azure
Představujeme vylepšené prostředí pro správu zásad zabezpečení Azure pro integrovaná doporučení, která zjednodušují způsob, jakým defender pro cloudové zákazníky dolaďuje požadavky na zabezpečení. Nové prostředí zahrnuje následující nové funkce:
- Jednoduché rozhraní umožňuje lepší výkon a možnosti při správě výchozích zásad zabezpečení v programu Defender for Cloud.
- Jediné zobrazení všech předdefinovaných doporučení zabezpečení nabízených srovnávacím testem zabezpečení cloudu Microsoftu (dříve srovnávací test zabezpečení Azure). Doporučení jsou uspořádaná do logických skupin, což usnadňuje pochopení typů zahrnutých prostředků a vztah mezi parametry a doporučeními.
- Byly přidány nové funkce, jako jsou filtry a vyhledávání.
Zjistěte, jak spravovat zásady zabezpečení.
Přečtěte si blog o Programu Microsoft Defender for Cloud.
CsPM v programu Defender (Správa stavu cloudového zabezpečení) je nyní obecně dostupná (GA)
Oznamujeme, že CSPM v programu Defender je teď obecně dostupný (GA). CsPM v programu Defender nabízí všechny služby dostupné v rámci základních funkcí CSPM a přináší následující výhody:
- Analýza cest útoku a rozhraní ARG API – Analýza cest útoku používá algoritmus založený na grafech, který prohledá graf cloudového zabezpečení, aby zpřístupnil cesty útoku a navrhl doporučení týkající se nejlepší nápravy problémů, které přerušují cestu útoku a brání úspěšnému porušení zabezpečení. Cesty útoku můžete také využívat programově dotazováním rozhraní API Azure Resource Graphu (ARG). Naučte se používat analýzu cest útoku.
- Průzkumník zabezpečení cloudu – Pomocí Průzkumníka zabezpečení cloudu můžete spouštět dotazy založené na grafech v grafu cloudového zabezpečení k proaktivní identifikaci bezpečnostních rizik ve vícecloudových prostředích. Přečtěte si další informace o Průzkumníku zabezpečení cloudu.
Přečtěte si další informace o nástroji CSPM v programu Defender.
Možnost vytvoření vlastních doporučení a standardů zabezpečení v Microsoft Defenderu pro cloud
Microsoft Defender pro cloud nabízí možnost vytvářet vlastní doporučení a standardy pro AWS a GCP pomocí dotazů KQL. Pomocí editoru dotazů můžete vytvářet a testovat dotazy nad daty. Tato funkce je součástí plánu CSPM (Cloud Security Management). Naučte se vytvářet vlastní doporučení a standardy.
Srovnávací test zabezpečení cloudu Microsoftu (MCSB) verze 1.0 je nyní obecně dostupný (GA)
Microsoft Defender for Cloud oznamuje, že srovnávací test zabezpečení cloudu Microsoftu (MCSB) verze 1.0 je nyní obecně dostupný (GA).
MCSB verze 1.0 nahrazuje výchozí zásady zabezpečení Azure Security Benchmark (ASB) verze 3 jako Defender pro cloud. McSB verze 1.0 se zobrazí jako výchozí standard dodržování předpisů na řídicím panelu dodržování předpisů a je ve výchozím nastavení povolený pro všechny zákazníky defenderu pro cloud.
Dozvíte se také, jak vám srovnávací test zabezpečení cloudu Microsoftu (MCSB) pomůže úspěšně na cestě zabezpečení cloudu.
Přečtěte si další informace o MCSB.
Některé standardy dodržování právních předpisů jsou teď dostupné v cloudech pro státní správu.
Tyto standardy aktualizujeme pro zákazníky ve službě Azure Government a Microsoft Azure provozované společností 21Vianet.
Azure Government:
Microsoft Azure provozovaný společností 21Vianet:
Zjistěte, jak přizpůsobit sadu standardů na řídicím panelu dodržování právních předpisů.
Nové doporučení preview pro Azure SQL Servery
Přidali jsme nové doporučení pro Azure SQL Servery. Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)
Doporučení vychází ze stávajících zásad. Azure SQL Database should have Azure Active Directory Only Authentication enabled
Toto doporučení zakazuje místní metody ověřování a umožňuje pouze ověřování Azure Active Directory, což zlepšuje zabezpečení tím, že zajišťuje, aby k databázím Azure SQL bylo možné přistupovat výhradně identitami Azure Active Directory.
Naučte se vytvářet servery s povoleným ověřováním jen pro Azure AD v Azure SQL.
Nová výstraha v defenderu pro Key Vault
Defender for Key Vault má následující nové upozornění:
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
Odepření přístupu z podezřelé IP adresy k trezoru klíčů (KV_SuspiciousIPAccessDenied) |
Neúspěšný přístup k trezoru klíčů se pokusil ip adresa identifikovaná službou Microsoft Threat Intelligence jako podezřelá IP adresa. I když byl tento pokus neúspěšný, znamená to, že vaše infrastruktura mohla být ohrožena. Doporučujeme provést další šetření. | Přístup k přihlašovacím údajům | Nízká |
Zobrazí se seznam všech výstrah dostupných pro Key Vault.
2023. únor
Mezi aktualizace v únoru patří:
- Enhanced Cloud Security Explorer
- Kontrola ohrožení zabezpečení defenderu for Containers při spouštění imagí Linuxu je teď obecně dostupná.
- Oznámení podpory standardu dodržování předpisů AWS CIS 1.5.0
- Microsoft Defender for DevOps (Preview) je nyní k dispozici v jiných oblastech.
- Předdefinované zásady [Preview]: Privátní koncový bod by měl být nakonfigurovaný pro službu Key Vault je zastaralý.
Enhanced Cloud Security Explorer
Vylepšená verze Průzkumníka zabezpečení cloudu zahrnuje aktualizované uživatelské prostředí, které výrazně odstraňuje tření dotazů, přidala možnost spouštět vícecloudové a vícefaktorové dotazy a vloženou dokumentaci pro každou možnost dotazu.
Průzkumník cloudových zabezpečení teď umožňuje spouštět dotazy abstrahované v cloudu napříč prostředky. Můžete použít předem připravené šablony dotazů nebo použít vlastní vyhledávání k vytvoření dotazu filtry. Zjistěte , jak spravovat Průzkumníka zabezpečení cloudu.
Kontrola ohrožení zabezpečení defenderu for Containers při spouštění imagí Linuxu je teď obecně dostupná.
Defender for Containers detekuje ohrožení zabezpečení ve spuštěných kontejnerech. Podporují se kontejnery pro Windows i Linux.
V srpnu 2022 byla tato funkce vydána ve verzi Preview pro Windows a Linux. Teď ji vydáváme pro obecnou dostupnost (GA) pro Linux.
Když se zjistí ohrožení zabezpečení, Defender for Cloud vygeneruje následující doporučení zabezpečení se seznamem zjištění kontroly: Spuštění imagí kontejnerů by mělo mít vyřešená zjištění ohrožení zabezpečení.
Přečtěte si další informace o zobrazení ohrožení zabezpečení pro spouštění imagí.
Oznámení podpory standardu dodržování předpisů AWS CIS 1.5.0
Defender for Cloud teď podporuje standard dodržování předpisů CIS Amazon Web Services Foundations v1.5.0. Standard je možné přidat na řídicí panel dodržování právních předpisů a staví na stávajících nabídkách MDC pro doporučení a standardy pro vícecloudové prostředí.
Tento nový standard zahrnuje stávající i nová doporučení, která rozšiřují pokrytí Defenderu pro cloud na nové služby a prostředky AWS.
Naučte se spravovat posouzení a standardy AWS.
Microsoft Defender for DevOps (Preview) je nyní k dispozici v jiných oblastech.
Microsoft Defender for DevOps rozšířil svou verzi Preview a je nyní k dispozici v oblastech Západní Evropa a Východní Austrálie, když nasadíte prostředky Azure DevOps a GitHubu.
Přečtěte si další informace o programu Microsoft Defender for DevOps.
Předdefinované zásady [Preview]: Privátní koncový bod by měl být nakonfigurovaný pro službu Key Vault je zastaralý.
Předdefinované zásady [Preview]: Private endpoint should be configured for Key Vault
jsou zastaralé a nahrazené [Preview]: Azure Key Vaults should use private link
zásadami.
Přečtěte si další informace o integraci služby Azure Key Vault se službou Azure Policy.
Leden 2023
Mezi aktualizace v lednu patří:
- K komponentě Endpoint Protection (Microsoft Defender for Endpoint) se teď přistupuje na stránce Nastavení a monitorování.
- Nová verze doporučení pro vyhledání chybějících aktualizací systému (Preview)
- Vyčištění odstraněných počítačů Azure Arc v připojených účtech AWS a GCP
- Povolení průběžného exportu do služby Event Hubs za bránou firewall
- Název ovládacího prvku Bezpečnostní skóre Ochrana aplikací pomocí pokročilých síťových řešení Azure se změnil.
- Nastavení posouzení ohrožení zabezpečení zásad pro SQL Server by měla obsahovat e-mailovou adresu pro příjem sestav kontroly, která je zastaralá.
- Doporučení k povolení diagnostických protokolů pro škálovací sady virtuálních počítačů je zastaralé
K komponentě Endpoint Protection (Microsoft Defender for Endpoint) se teď přistupuje na stránce Nastavení a monitorování.
Pokud chcete získat přístup ke službě Endpoint Protection, přejděte na Nastavení a monitorování v>programu Defender nastavení prostředí.> Tady můžete nastavit ochranu koncového bodu na Zapnuto. Můžete také zobrazit další spravované komponenty.
Přečtěte si další informace o povolení Microsoft Defenderu for Endpoint na vašich serverech pomocí defenderu for Servers.
Nová verze doporučení pro vyhledání chybějících aktualizací systému (Preview)
Už nepotřebujete agenta na virtuálních počítačích Azure a počítačích Azure Arc, abyste měli jistotu, že mají všechny nejnovější aktualizace zabezpečení nebo důležitého systému.
Doporučení nových aktualizací System updates should be installed on your machines (powered by Azure Update Manager)
systému v ovládacím Apply system updates
prvku vychází z Update Manageru (Preview). Doporučení spoléhá na nativního agenta vloženého do každého virtuálního počítače Azure a počítačů Azure Arc místo nainstalovaného agenta. Rychlá oprava v novém doporučení vás povede k jednorázové instalaci chybějících aktualizací na portálu Update Manager.
Pokud chcete nové doporučení použít, musíte:
- Připojení počítačů mimo Azure ke službě Arc
- Zapněte vlastnost pravidelného hodnocení. Doporučení můžete opravit pomocí rychlé opravy v novém doporučení
Machines should be configured to periodically check for missing system updates
.
Stávající doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače", které závisí na agentu Log Analytics, je stále dostupné pod stejným řízením.
Vyčištění odstraněných počítačů Azure Arc v připojených účtech AWS a GCP
Počítač připojený k účtu AWS a GCP, který je pokryt programem Defender pro servery nebo Defender pro SQL na počítačích, je reprezentován v defenderu pro cloud jako počítač Azure Arc. Doteď se tento počítač neodstranil z inventáře, když byl počítač odstraněn z účtu AWS nebo GCP. To vede k zbytečným prostředkům Azure Arc, které zůstaly v defenderu pro cloud, které představují odstraněné počítače.
Defender for Cloud teď automaticky odstraní počítače Azure Arc, když se tyto počítače odstraní v připojeném účtu AWS nebo GCP.
Povolení průběžného exportu do služby Event Hubs za bránou firewall
Teď můžete povolit průběžný export výstrah a doporučení jako důvěryhodnou službu do služby Event Hubs, které jsou chráněné bránou firewall Azure.
Průběžný export můžete povolit při generování výstrah nebo doporučení. Můžete také definovat plán pro odesílání pravidelných snímků všech nových dat.
Zjistěte, jak povolit průběžný export do služby Event Hubs za bránou firewall Azure.
Název ovládacího prvku Bezpečnostní skóre Ochrana aplikací pomocí pokročilých síťových řešení Azure se změní.
Řízení Protect your applications with Azure advanced networking solutions
skóre zabezpečení se změní na Protect applications against DDoS attacks
.
Aktualizovaný název se projeví v Azure Resource Graphu (ARG), rozhraní API pro bezpečnostní skóre a Download CSV report
rozhraní API .
Nastavení posouzení ohrožení zabezpečení zásad pro SQL Server by měla obsahovat e-mailovou adresu pro příjem sestav kontroly, která je zastaralá.
Zásada Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports
je zastaralá.
E-mailová sestava posouzení ohrožení zabezpečení Defenderu pro SQL je stále dostupná a stávající konfigurace e-mailu se nezměnily.
Doporučení k povolení diagnostických protokolů pro škálovací sady virtuálních počítačů je zastaralé
Doporučení Diagnostic logs in Virtual Machine Scale Sets should be enabled
je zastaralé.
Definice souvisejících zásad byla také vyřazena ze všech standardů zobrazených na řídicím panelu dodržování právních předpisů.
Doporučení | Popis | Závažnost |
---|---|---|
Diagnostické protokoly ve škálovacích sadách virtuálních počítačů by měly být povolené. | Povolte protokoly a zachovejte je až na rok, abyste mohli znovu vytvořit záznamy aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | Nízká |
Prosinec 2022
Mezi aktualizace v prosinci patří:
Oznámení expresní konfigurace pro posouzení ohrožení zabezpečení v defenderu pro SQL
Expresní konfigurace posouzení ohrožení zabezpečení v Programu Microsoft Defender pro SQL poskytuje týmům zabezpečení zjednodušené prostředí konfigurace ve službě Azure SQL Database a vyhrazených fondech SQL mimo pracovní prostory Synapse.
Díky expresní konfiguraci posouzení ohrožení zabezpečení můžou bezpečnostní týmy:
- Dokončete konfiguraci posouzení ohrožení zabezpečení v konfiguraci zabezpečení prostředku SQL bez dalších nastavení nebo závislostí na účtech úložiště spravovaných zákazníkem.
- Okamžitě přidejte výsledky kontroly do směrných plánů, aby se stav hledání změn z stavu Není v pořádku na V pořádku bez opětovného prohledání databáze.
- Přidejte více pravidel do směrných plánů najednou a použijte nejnovější výsledky kontroly.
- Povolte posouzení ohrožení zabezpečení pro všechny servery Azure SQL, když zapnete Microsoft Defender pro databáze na úrovni předplatného.
Přečtěte si další informace o posouzení ohrožení zabezpečení Defenderu pro SQL.
Listopad 2022
Mezi aktualizace v listopadu patří:
- Ochrana kontejnerů v organizaci GCP pomocí defenderu for Containers
- Ověření ochrany Defenderu pro kontejnery s ukázkovými upozorněními
- Pravidla zásad správného řízení ve velkém měřítku (Preview)
- Možnost vytvářet vlastní posouzení v AWS a GCP (Preview) je zastaralá.
- Doporučení ke konfiguracifrontch
Ochrana kontejnerů v organizaci GCP pomocí defenderu for Containers
Teď můžete povolit Defender for Containers pro vaše prostředí GCP a chránit standardní clustery GKE v celé organizaci GCP. Stačí vytvořit nový konektor GCP s povoleným Defenderem pro kontejnery nebo povolit Defender for Containers na stávajícím konektoru GCP na úrovni organizace.
Přečtěte si další informace o propojení projektů GCP a organizací s programem Defender for Cloud.
Ověření ochrany Defenderu pro kontejnery s ukázkovými upozorněními
Teď můžete vytvořit ukázková upozornění také pro plán Defender for Containers. Nová ukázková upozornění se zobrazují jako clustery AKS, clustery připojené ke službě Arc, EKS a GKE s různými závažnostmi a taktikou MITRE. Ukázková upozornění můžete použít k ověření konfigurací výstrah zabezpečení, jako jsou integrace SIEM, automatizace pracovních postupů a e-mailová oznámení.
Přečtěte si další informace o ověřování upozornění.
Pravidla zásad správného řízení ve velkém měřítku (Preview)
S radostí oznamujeme novou možnost používat pravidla zásad správného řízení ve velkém měřítku (Preview) v defenderu pro cloud.
Díky tomuto novému prostředí můžou týmy zabezpečení hromadně definovat pravidla zásad správného řízení pro různé obory (předplatná a konektory). Týmy zabezpečení můžou tuto úlohu provést pomocí oborů správy, jako jsou skupiny pro správu Azure, účty nejvyšší úrovně AWS nebo organizace GCP.
Stránka Pravidla zásad správného řízení (Preview) navíc obsahuje všechna dostupná pravidla zásad správného řízení, která jsou platná v prostředích organizace.
Přečtěte si další informace o nových pravidlech zásad správného řízení ve velkém měřítku.
Poznámka:
Od 1. ledna 2023 musíte mít ve svém předplatném nebo konektoru povolený plán CSPM v programu Defender.
Možnost vytvářet vlastní posouzení v AWS a GCP (Preview) je zastaralá.
Možnost vytvářet vlastní hodnocení pro účty AWS a projekty GCP, což byla funkce Preview, je zastaralá.
Doporučení ke konfiguracifrontch
Doporučení Lambda functions should have a dead-letter queue configured
je zastaralé.
Doporučení | Popis | Závažnost |
---|---|---|
Funkce lambda by měly mít nakonfigurovanou frontu nedoručených zpráv. | Tento ovládací prvek zkontroluje, jestli je funkce Lambda nakonfigurovaná s frontou nedoručených zpráv. Pokud není funkce Lambda nakonfigurovaná s frontou nedoručených zpráv, ovládací prvek selže. Jako alternativu k cíli při selhání můžete funkci nakonfigurovat s frontou nedoručených zpráv, která ukládá zahozené události pro další zpracování. Fronta nedoručených zpráv funguje stejně jako cíl selhání. Používá se, když událost selže všechny pokusy o zpracování nebo vyprší bez zpracování. Fronta nedoručených zpráv umožňuje podívat se na chyby nebo neúspěšné požadavky na funkci Lambda za účelem ladění nebo identifikace neobvyklého chování. Z hlediska zabezpečení je důležité pochopit, proč vaše funkce selhala, a zajistit, aby vaše funkce v důsledku toho nezahazovala data ani neohrožovala zabezpečení dat. Pokud například vaše funkce nemůže komunikovat s podkladovým prostředkem, který může být příznakem útoku doS (DoS) jinde v síti. | Střední |
Říjen 2022
Mezi aktualizace v říjnu patří:
- Oznámení srovnávacího testu zabezpečení cloudu Microsoftu
- Analýza cesty útoku a kontextové možnosti zabezpečení v defenderu pro cloud (Preview)
- Kontrola počítačů Azure a AWS bez agentů (Preview)
- Defender for DevOps (Preview)
- Řídicí panel dodržování právních předpisů teď podporuje správu ručního řízení a podrobné informace o stavu dodržování předpisů Microsoftu.
- Automatické zřizování se přejmenuje na Nastavení a monitorování a má aktualizované prostředí.
- Správa stavu cloudového zabezpečení v defenderu (CSPM) (Preview)
- Mapování architektury MITRE ATT&CK je nyní k dispozici také pro doporučení zabezpečení AWS a GCP.
- Defender for Containers teď podporuje posouzení ohrožení zabezpečení pro Elastic Container Registry (Preview)
Oznámení srovnávacího testu zabezpečení cloudu Microsoftu
Srovnávací test zabezpečení cloudu Microsoftu (MCSB) je nová architektura definující základní principy zabezpečení cloudu založené na běžných oborových standardech a architekturách dodržování předpisů. Spolu s podrobnými technickými pokyny pro implementaci těchto osvědčených postupů napříč cloudovými platformami. MCSB nahrazuje srovnávací test zabezpečení Azure. MCSB poskytuje podrobné podrobnosti o tom, jak implementovat doporučení týkající se zabezpečení nezávislé na cloudu na několika platformách cloudových služeb, které zpočátku pokrývají Azure a AWS.
Stav dodržování předpisů zabezpečení cloudu teď můžete monitorovat na jednom integrovaném řídicím panelu. McSB můžete vidět jako výchozí standard dodržování předpisů, když přejdete na řídicí panel dodržování právních předpisů v Programu Defender for Cloud.
Srovnávací test zabezpečení cloudu Microsoftu se automaticky přiřadí k vašim předplatným Azure a účtům AWS při onboardingu Defenderu pro cloud.
Přečtěte si další informace o srovnávacím testu zabezpečení cloudu Microsoftu.
Analýza cesty útoku a kontextové možnosti zabezpečení v defenderu pro cloud (Preview)
Nový graf zabezpečení cloudu, analýza cest útoku a kontextové možnosti zabezpečení cloudu jsou teď k dispozici v defenderu pro cloud ve verzi Preview.
Jedním z největších problémů, kterým dnes čelí bezpečnostní týmy, je počet bezpečnostních problémů, kterým čelí každý den. Existuje mnoho problémů se zabezpečením, které je potřeba vyřešit, a nikdy dostatek prostředků k jejich řešení.
Nové možnosti analýzy cest zabezpečení cloudu v defenderu for Cloud poskytují týmům zabezpečení možnost vyhodnotit riziko za jednotlivými problémy zabezpečení. Týmy zabezpečení také můžou identifikovat nejvyšší rizikové problémy, které je potřeba vyřešit co nejdříve. Defender for Cloud spolupracuje s bezpečnostními týmy, aby co nejefektivnějším způsobem snížil riziko ovlivněného porušení zabezpečení prostředí.
Přečtěte si další informace o novém grafu zabezpečení cloudu, analýze cest útoku a Průzkumníku zabezpečení cloudu.
Kontrola počítačů Azure a AWS bez agentů (Preview)
Doteď defender for Cloud na základě posouzení stavu virtuálních počítačů na řešeních založených na agentech. Abychom zákazníkům pomohli maximalizovat pokrytí a snížit zatížení při onboardingu a správě, vydáváme kontrolu bez agentů pro virtuální počítače ve verzi Preview.
Díky prohledávání virtuálních počítačů bez agentů získáte široký přehled o nainstalovaných softwarových a softwarových cves. Získáte přehled bez problémů s instalací a údržbou agenta, požadavky na připojení k síti a vlivem na výkon vašich úloh. Analýza je založená na Microsoft Defender Správa zranitelností.
Kontrola ohrožení zabezpečení bez agentů je k dispozici v programu Defender Cloud Security Management (CSPM) i v programu Defender for Servers P2 s nativní podporou AWS a virtuálních počítačů Azure.
- Přečtěte si další informace o kontrole bez agentů.
- Zjistěte, jak povolit posouzení ohrožení zabezpečení bez agentů.
Defender for DevOps (Preview)
Microsoft Defender pro cloud umožňuje komplexní viditelnost, správu stavu a ochranu před hrozbami napříč hybridními a multicloudovými prostředími, včetně Azure, AWS, Googlu a místních prostředků.
Nový plán Defender for DevOps teď integruje systémy správy zdrojového kódu, jako je GitHub a Azure DevOps, do Defenderu pro cloud. Díky této nové integraci umožňujeme týmům zabezpečení chránit své prostředky před kódem do cloudu.
Defender for DevOps umožňuje získat přehled o propojených vývojářských prostředích a prostředcích kódu a spravovat je. V současné době můžete připojit systémy Azure DevOps a GitHub k Defenderu for Cloud a připojit úložiště DevOps k Inventáři a nové stránce zabezpečení DevOps. Poskytuje týmům zabezpečení základní přehled zjištěných problémů zabezpečení, které v nich existují, na sjednocené stránce zabezpečení DevOps.
U žádostí o přijetí změn můžete nakonfigurovat poznámky, které vývojářům pomůžou řešit zjištění kontroly tajných kódů v Azure DevOps přímo na jejich žádostech o přijetí změn.
Nástroje Microsoft Security DevOps můžete nakonfigurovat v pracovních postupech Azure Pipelines a GitHubu, abyste povolili následující kontroly zabezpečení:
Název | Jazyk | Licence |
---|---|---|
Bandita | Python | Apache License 2.0 |
BinSkim | Binary – Windows, ELF | Licence MIT |
ESlint | JavaScript | Licence MIT |
CredScan (pouze Azure DevOps) | Credential Scanner (označovaný také jako CredScan) je nástroj vyvinutý a udržovaný Microsoftem k identifikaci nevracení přihlašovacích údajů, jako jsou ty ve zdrojovém kódu a běžných typech konfiguračních souborů: výchozí hesla, sql připojovací řetězec s, certifikáty s privátními klíči. | Není open source |
Analýza šablony | Šablona ARM, soubor Bicep | Licence MIT |
Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, cloudová tvorba | Apache License 2.0 |
Trivy | Image kontejnerů, systémy souborů, úložiště Git | Apache License 2.0 |
Pro DevOps jsou teď k dispozici následující nová doporučení:
Doporučení | Popis | Závažnost |
---|---|---|
(Preview) Úložiště kódu by měla mít vyřešená zjištění kontroly kódu. | Defender for DevOps zjistil ohrožení zabezpečení v úložištích kódu. Pokud chcete zlepšit stav zabezpečení úložišť, důrazně doporučujeme tyto chyby zabezpečení napravit. (Žádné související zásady) | Střední |
(Preview) Úložiště kódu by měla mít vyřešená zjištění kontroly tajných kódů. | Defender for DevOps našel tajný kód v úložištích kódu. Mělo by se to napravit okamžitě, aby se zabránilo narušení zabezpečení. Tajné kódy nalezené v úložištích můžou být únikem nebo zjištěním nežádoucími osobami, což vede k ohrožení aplikace nebo služby. V případě Azure DevOps nástroj Microsoft Security DevOps CredScan kontroluje pouze sestavení, na kterých je nakonfigurovaná ke spuštění. Výsledky proto nemusí odrážet úplný stav tajných kódů ve vašich úložištích. (Žádné související zásady) | Vysoká |
(Preview) Úložiště kódu by měla mít vyřešené zjištění kontroly Dependabotu. | Defender for DevOps zjistil ohrožení zabezpečení v úložištích kódu. Pokud chcete zlepšit stav zabezpečení úložišť, důrazně doporučujeme tyto chyby zabezpečení napravit. (Žádné související zásady) | Střední |
(Preview) Úložiště kódu by měla mít infrastrukturu, protože zjištěná zjištění kontroly kódu | (Preview) Úložiště kódu by měla mít infrastrukturu, protože zjištěná zjištění kontroly kódu | Střední |
(Preview) Úložiště GitHubu by měla mít povolenou kontrolu kódu. | GitHub pomocí prohledávání kódu analyzuje kód, aby v kódu zjistil ohrožení zabezpečení a chyby. Kontrolu kódu je možné použít k vyhledání, třídění a určení priorit oprav stávajících problémů v kódu. Kontrola kódu může také zabránit vývojářům v zavedení nových problémů. Kontroly je možné naplánovat na konkrétní dny a časy nebo se můžou aktivovat kontroly, když v úložišti dojde k určité události, jako je například nabízení. Pokud kontrola kódu najde potenciální ohrožení zabezpečení nebo chybu v kódu, GitHub zobrazí v úložišti upozornění. Ohrožení zabezpečení je problém v kódu projektu, který by mohl být zneužit k poškození důvěrnosti, integrity nebo dostupnosti projektu. (Žádné související zásady) | Střední |
(Preview) Úložiště GitHubu by měla mít povolenou kontrolu tajných kódů. | GitHub prohledává úložiště známých typů tajných kódů, aby se zabránilo podvodnému použití tajných kódů, které byly omylem potvrzeny do úložišť. Kontrola tajných kódů zkontroluje celou historii Gitu na všech větvích, které jsou v úložišti GitHubu, a zobrazí všechny tajné kódy. Příklady tajných kódů jsou tokeny a privátní klíče, které může poskytovatel služeb vydávat za účely ověřování. Pokud je tajný kód vrácený do úložiště, může každý, kdo má k úložišti přístup pro čtení, použít tajný kód pro přístup k externí službě s těmito oprávněními. Tajné kódy by měly být uložené ve vyhrazeném zabezpečeném umístění mimo úložiště projektu. (Žádné související zásady) | Vysoká |
(Preview) Úložiště GitHubu by měla mít povolenou kontrolu Dependabot. | GitHub odesílá upozornění Dependabota, když detekuje ohrožení zabezpečení v závislostech kódu, které ovlivňují úložiště. Ohrožení zabezpečení je problém v kódu projektu, který by mohl být zneužit k poškození důvěrnosti, integrity nebo dostupnosti projektu nebo jiných projektů, které používají jeho kód. Ohrožení zabezpečení se liší v typu, závažnosti a metodě útoku. Pokud kód závisí na balíčku, který má ohrožení zabezpečení, může tato ohrožená závislost způsobit celou řadu problémů. (Žádné související zásady) | Střední |
Doporučení defenderu pro DevOps nahradila zastaralou kontrolu ohrožení zabezpečení pro pracovní postupy CI/CD, které byly součástí defenderu for Containers.
Další informace o Defenderu pro DevOps
Řídicí panel dodržování právních předpisů teď podporuje správu ručního řízení a podrobné informace o stavu dodržování předpisů Microsoftu.
Řídicí panel pro dodržování předpisů v Defenderu for Cloud je klíčovým nástrojem pro zákazníky, který jim pomáhá pochopit a sledovat stav dodržování předpisů. Zákazníci můžou nepřetržitě monitorovat prostředí v souladu s požadavky z mnoha různých standardů a předpisů.
Stav dodržování předpisů teď můžete plně spravovat ručním testováním provozu a dalších kontrolních mechanismů. Pro kontroly, které nejsou automatizované, nyní můžete poskytnout důkaz o dodržování předpisů. Spolu s automatizovanými hodnoceními nyní můžete vygenerovat úplnou sestavu dodržování předpisů v rámci vybraného oboru, která se týká celého souboru kontrol pro daný standard.
Díky rozšířeným informacím o kontrolách a podrobným informacím a důkazu o stavu dodržování předpisů Microsoftu nyní navíc máte na dosah ruky všechny požadované informace pro účely auditu.
Mezi výhody patří:
Ruční akce zákazníka poskytují mechanismus pro ruční testování dodržování předpisů s neautomatizovanými ovládacími prvky. Včetně možnosti propojit důkazy, nastavte datum dodržování předpisů a datum vypršení platnosti.
Podrobnější informace o řízení podporovaných standardů, které ukazují akce Microsoftu a ruční akce zákazníků kromě již existujících automatizovaných akcí zákazníků.
Akce Microsoftu poskytují transparentnost stavu dodržování předpisů Microsoftu, který zahrnuje postupy posouzení auditu, výsledky testů a odpovědi Microsoftu na odchylky.
Nabídky dodržování předpisů poskytují centrální umístění pro kontrolu produktů Azure, Dynamics 365 a Power Platform a příslušných certifikací dodržování právních předpisů.
Přečtěte si další informace o tom, jak zlepšit dodržování právních předpisů s využitím Defenderu for Cloud.
Automatické zřizování se přejmenuje na Nastavení a monitorování a má aktualizované prostředí.
Přejmenovali jsme stránku automatického zřizování na Nastavení a monitorování.
Automatické zřizování bylo určeno k povolení požadavků ve velkém měřítku, které potřebuje Defender pro pokročilé funkce a možnosti cloudu. Pro lepší podporu našich rozšířených možností spouštíme nové prostředí s následujícími změnami:
Stránka plány Defenderu pro cloud teď obsahuje:
- Když povolíte plán Defenderu, který vyžaduje monitorovací komponenty, budou tyto komponenty povolené pro automatické zřizování s výchozím nastavením. Tato nastavení je možné kdykoli upravit.
- Na stránce plánu Defenderu můžete získat přístup k nastavení součástí monitorování pro každý plán Defenderu.
- Stránka plány Defenderu jasně označuje, jestli jsou pro každý plán Defenderu zavedeny všechny komponenty monitorování, nebo jestli je pokrytí monitorování neúplné.
Stránka Nastavení a monitorování:
- Každá komponenta monitorování označuje plány Defenderu, se kterými souvisí.
Přečtěte si další informace o správě nastavení monitorování.
Správa stavu zabezpečení cloudu v programu Defender (CSPM)
Jedním z hlavních pilířů Microsoft Defenderu pro cloud pro zabezpečení cloudu je správa stavu zabezpečení cloudu (CSPM). CSPM poskytuje pokyny k posílení zabezpečení, které vám pomůžou efektivně a efektivně zlepšit zabezpečení. CSPM vám také poskytne přehled o vaší aktuální situaci v oblasti zabezpečení.
Oznamujeme nový plán Defenderu: CSPM Defenderu. Tento plán vylepšuje možnosti zabezpečení defenderu pro cloud a zahrnuje následující nové a rozšířené funkce:
- Průběžné posuzování konfigurace zabezpečení cloudových prostředků
- Doporučení zabezpečení k opravě chybných konfigurací a slabých stránek
- Bezpečnostní skóre
- Řízení
- Dodržování legislativní předpisů
- Graf zabezpečení cloudu
- Analýza cesty útoku
- Kontrola počítačů bez agentů
Přečtěte si další informace o plánu CSPM v programu Defender.
Mapování architektury MITRE ATT&CK je nyní k dispozici také pro doporučení zabezpečení AWS a GCP.
U analytiků zabezpečení je důležité identifikovat potenciální rizika spojená s doporučeními zabezpečení a porozumět vektorům útoku, aby mohli efektivně určit prioritu svých úkolů.
Defender for Cloud usnadňuje stanovení priorit mapováním doporučení zabezpečení Azure, AWS a GCP na architekturu MITRE ATT&CK. Architektura MITRE ATT&CK je globálně přístupná znalostní báze nežádoucí taktiky a technik založených na skutečných pozorováních, což zákazníkům umožňuje posílit zabezpečenou konfiguraci jejich prostředí.
Architektura MITRE ATT&CK je integrovaná třemi způsoby:
- Doporučení mapují taktiku a techniky MITRE ATT&CK.
- Dotazování taktiky a technik MITRE ATT&CK na doporučení pomocí Azure Resource Graphu
Defender for Containers teď podporuje posouzení ohrožení zabezpečení pro Elastic Container Registry (Preview)
Microsoft Defender for Containers teď poskytuje kontrolu posouzení ohrožení zabezpečení bez agentů pro Elastic Container Registry (ECR) v Amazon AWS. Rozšíření pokrytí prostředí s více cloudy, které vychází z verze staršího roku rozšířené ochrany před hrozbami a posílení zabezpečení prostředí Kubernetes pro AWS a Google GCP. Model bez agentů vytvoří ve vašich účtech prostředky AWS, které budou prohledávat image bez extrahování imagí z účtů AWS a bez jakýchkoli nároků na vaši úlohu.
Kontrola posouzení ohrožení zabezpečení bez agentů pro image v úložištích ECR pomáhá snížit prostor pro útoky na kontejnerizovaná aktiva tím, že nepřetržitě kontroluje image za účelem identifikace a správy ohrožení zabezpečení kontejnerů. V této nové verzi Defender for Cloud prohledá image kontejnerů po jejich nasdílení do úložiště a průběžně znovu posoudí image kontejnerů ECR v registru. Tato zjištění jsou k dispozici v Programu Microsoft Defender for Cloud jako doporučení a pomocí integrovaných automatizovaných pracovních postupů v programu Defender for Cloud můžete na zjištěních provést akci, jako je například otevření lístku pro opravu ohrožení zabezpečení s vysokou závažností na obrázku.
Přečtěte si další informace o posouzení ohrožení zabezpečení pro image Amazon ECR.
2022. září
Mezi aktualizace v září patří:
- Potlačení upozornění na základě entit kontejneru a Kubernetes
- Defender pro servery podporuje monitorování integrity souborů pomocí agenta Služby Azure Monitor.
- Vyřazení starších rozhraní API pro posouzení
- Přidání dalších doporučení k identitě
- Odebrání výstrah zabezpečení pro počítače, které se hlásí do pracovních prostorů Log Analytics napříč tenanty
Potlačení upozornění na základě entit kontejneru a Kubernetes
- Obor názvů Kubernetes
- Kubernetes Pod
- Tajný kód Kubernetes
- Kubernetes ServiceAccount
- Sada replik Kubernetes
- Stavová sada Kubernetes
- Kubernetes DaemonSet
- Úloha Kubernetes
- Kubernetes CronJob
Přečtěte si další informace o pravidlech potlačení upozornění.
Defender pro servery podporuje monitorování integrity souborů pomocí agenta Služby Azure Monitor.
Monitorování integrity souborů (FIM) zkoumá soubory operačního systému a registry změn, které můžou značí útok.
FIM je teď k dispozici v nové verzi na základě agenta služby Azure Monitor (AMA), který můžete nasadit prostřednictvím defenderu pro cloud.
Vyřazení starších rozhraní API pro posouzení
Následující rozhraní API jsou zastaralá:
- Úlohy zabezpečení
- Stavy zabezpečení
- Souhrny zabezpečení
Tato tři rozhraní API odhalila staré formáty posouzení a nahrazují se rozhraními API pro posouzení a rozhraními API dílčích posouzení. Všechna data vystavená těmito staršími rozhraními API jsou také k dispozici v nových rozhraních API.
Přidání dalších doporučení k identitě
Doporučení defenderu pro cloud pro zlepšení správy uživatelů a účtů
Nová doporučení
Nová verze obsahuje následující funkce:
Rozšířený rozsah vyhodnocení – Pokrytí je vylepšené pro účty identit bez vícefaktorového ověřování a externích účtů na prostředcích Azure (místo jenom předplatných), což správcům zabezpečení umožňuje zobrazit přiřazení rolí na účet.
Vylepšený interval aktuálnosti – Doporučení identit teď mají interval aktuálnosti 12 hodin.
Funkce výjimky z účtu – Defender for Cloud má mnoho funkcí, které můžete použít k přizpůsobení prostředí a zajištění toho, aby vaše bezpečnostní skóre odráželo priority zabezpečení vaší organizace. Můžete například vyloučit prostředky a doporučení ze skóre zabezpečení.
Tato aktualizace umožňuje vyloučit konkrétní účty z vyhodnocení se šesti doporučeními uvedenými v následující tabulce.
Obvykle byste z doporučení vícefaktorového ověřování vyloučili účty pro nouzové přerušení, protože tyto účty jsou často záměrně vyloučené z požadavků organizace na vícefaktorové ověřování. Případně můžete mít externí účty, ke kterým chcete povolit přístup, které nemají povolené vícefaktorové ověřování.
Tip
Když účet vyjmete, nezobrazí se jako v pořádku a také nezpůsobí, že předplatné není v pořádku.
Doporučení Klíč posouzení Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování 6240402e-f77c-46fa-9060-a7ce53997754 Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. c0cb17b2-0607-48a7-b0e0-903ed22de39b Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. 20606e75-05c4-48c0-9d97-add6daa2109a Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. 050ac097-3dda-4d24-ab6d-82568e7a50cf Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Doporučení, i když jsou ve verzi Preview, se zobrazí vedle doporučení, která jsou aktuálně ve verzi GA.
Odebrání výstrah zabezpečení pro počítače, které se hlásí do pracovních prostorů Log Analytics napříč tenanty
V minulosti vám Defender for Cloud umožnil zvolit pracovní prostor, do kterého se budou agenti Log Analytics hlásit. Když počítač patří jednomu tenantovi (tenantovi A), ale jeho agent Log Analytics hlášený do pracovního prostoru v jiném tenantovi (tenant B), výstrahy zabezpečení o počítači byly nahlášeny prvnímu tenantovi (tenant A).
Díky této změně se upozornění na počítače připojené k pracovnímu prostoru služby Log Analytics v jiném tenantovi už nezobrazují v defenderu pro cloud.
Pokud chcete pokračovat v přijímání upozornění v Defenderu pro cloud, připojte agenta Log Analytics příslušných počítačů k pracovnímu prostoru ve stejném tenantovi jako počítač.
Přečtěte si další informace o výstrahách zabezpečení.
Srpen 2022
Mezi aktualizace v srpnu patří:
- V programu Defender for Containers ve vašich kontejnerech Windows jsou teď viditelná ohrožení zabezpečení pro spouštění imagí.
- Integrace agenta služby Azure Monitor teď ve verzi Preview
- Zastaralá upozornění virtuálního počítače týkající se podezřelých aktivit souvisejících s clusterem Kubernetes
V programu Defender for Containers ve vašich kontejnerech Windows jsou teď viditelná ohrožení zabezpečení pro spouštění imagí.
Defender for Containers teď zobrazuje chyby zabezpečení pro spouštění kontejnerů Windows.
Když se zjistí ohrožení zabezpečení, Defender for Cloud vygeneruje následující doporučení zabezpečení se seznamem zjištěných problémů: Spuštění imagí kontejnerů by mělo mít vyřešená zjištění ohrožení zabezpečení.
Přečtěte si další informace o zobrazení ohrožení zabezpečení pro spouštění imagí.
Integrace agenta služby Azure Monitor teď ve verzi Preview
Defender for Cloud teď zahrnuje podporu preview agenta služby Azure Monitor (AMA). AMA je určen k nahrazení starší verze agenta Log Analytics (označovaného také jako agent Microsoft Monitoring Agent (MMA), který je na cestě k vyřazení. AMA poskytuje mnoho výhod oproti starším agentům.
Když v defenderu pro cloud povolíte automatické zřizování pro AMA, agent se nasadí na existující a nové virtuální počítače a počítače s podporou Azure Arc, které se detekují ve vašich předplatných. Pokud jsou povolené plány Defenderu pro cloud, AMA shromažďuje informace o konfiguraci a protokoly událostí z virtuálních počítačů Azure a počítačů Azure Arc. Integrace AMA je ve verzi Preview, takže ji doporučujeme používat v testovacích prostředích, nikoli v produkčních prostředích.
Zastaralá upozornění virtuálního počítače týkající se podezřelých aktivit souvisejících s clusterem Kubernetes
Následující tabulka uvádí upozornění, která jsou zastaralá:
Název upozornění | Popis | Taktika | Závažnost |
---|---|---|---|
Zjištěná operace sestavení Dockeru na uzlu Kubernetes (VM_ImageBuildOnNode) |
Protokoly počítačů označují operaci sestavení image kontejneru na uzlu Kubernetes. I když toto chování může být legitimní, útočníci můžou místně vytvářet škodlivé image, aby se vyhnuli detekci. | Obrana před únikem | Nízká |
Podezřelý požadavek na rozhraní Kubernetes API (VM_KubernetesAPI) |
Protokoly počítačů indikují, že se do rozhraní Kubernetes API provedl podezřelý požadavek. Požadavek byl odeslán z uzlu Kubernetes, pravděpodobně z jednoho z kontejnerů spuštěných v uzlu. I když toto chování může být záměrné, může to znamenat, že uzel spouští ohrožený kontejner. | LateralMovement | Střední |
Server SSH běží v kontejneru. (VM_ContainerSSH) |
Protokoly počítačů označují, že server SSH běží v kontejneru Dockeru. I když toto chování může být záměrné, často značí, že kontejner je chybně nakonfigurovaný nebo porušený. | Provádění | Střední |
Tato upozornění slouží k upozorňování uživatele na podezřelou aktivitu připojenou ke clusteru Kubernetes. Výstrahy budou nahrazeny odpovídajícími výstrahami, které jsou součástí upozornění microsoft Defenderu pro cloudový kontejner (K8S.NODE_ImageBuildOnNode
K8S.NODE_ KubernetesAPI
aK8S.NODE_ ContainerSSH
), které poskytují lepší věrnost a komplexní kontext pro zkoumání a práci s upozorněními. Přečtěte si další informace o upozorněních pro clustery Kubernetes.
Ohrožení zabezpečení kontejnerů teď obsahují podrobné informace o balíčku.
Posouzení ohrožení zabezpečení v programu Defender for Container (VA) teď obsahuje podrobné informace o balíčku pro každé hledání, včetně názvu balíčku, typu balíčku, cesty, nainstalované verze a opravené verze. Informace o balíčku vám umožní najít ohrožené balíčky, abyste mohli opravit ohrožení zabezpečení nebo balíček odebrat.
Tyto podrobné informace o balíčku jsou k dispozici pro nové kontroly obrázků.
Červenec 2022
Mezi aktualizace v červenci patří:
- Obecná dostupnost agenta zabezpečení nativního pro cloud pro ochranu modulu runtime Kubernetes
- Defender for Container's VA přidává podporu pro detekci balíčků specifických pro jazyk (Preview)
- Ochrana před ohrožením zabezpečení infrastruktury provozní správy CVE-2022-29149
- Integrace se správou oprávnění Entra
- Doporučení služby Key Vault se změnila na audit
- Vyřazení zásad aplikací API pro App Service
Obecná dostupnost agenta zabezpečení nativního pro cloud pro ochranu modulu runtime Kubernetes
S radostí sdílíme, že agent zabezpečení nativní pro cloud pro ochranu modulu runtime Kubernetes je teď obecně dostupný (GA)!
Produkční nasazení clusterů Kubernetes stále roste, protože zákazníci budou nadále kontejnerizovat své aplikace. Kvůli tomuto růstu vyvinul tým Defenderu for Containers cloudový agent zabezpečení orientovaného na Kubernetes.
Nový agent zabezpečení je daemonSet Kubernetes založený na technologii eBPF a je plně integrovaný do clusterů AKS jako součást profilu zabezpečení AKS.
Povolení agenta zabezpečení je dostupné prostřednictvím automatického zřizování, toku doporučení, poskytovatele prostředků AKS nebo ve velkém měřítku pomocí služby Azure Policy.
Agenta Defenderu můžete nasadit ještě dnes ve svých clusterech AKS.
Díky tomuto oznámení je teď obecně dostupná také ochrana za běhu – detekce hrozeb (úloha).
Přečtěte si další informace o dostupnosti funkcí Defenderu pro kontejner.
Můžete také zkontrolovat všechna dostupná upozornění.
Poznámka: Pokud používáte verzi Preview, AKS-AzureDefender
příznak funkce se už nevyžaduje.
Defender for Container's VA přidává podporu pro detekci balíčků specifických pro jazyk (Preview)
Defender for Container's Vulnerability Assessment (VA) dokáže detekovat ohrožení zabezpečení v balíčcích operačního systému nasazených prostřednictvím správce balíčků operačního systému. Teď jsme rozšířili možnosti posouzení ohrožení zabezpečení, která jsou součástí balíčků specifických pro jazyk.
Tato funkce je ve verzi Preview a je dostupná jenom pro image Linuxu.
Pokud chcete zobrazit všechny přidané balíčky specifické pro jazyk, podívejte se na úplný seznam funkcí a jejich dostupnosti v programu Defender for Container.
Ochrana před ohrožením zabezpečení infrastruktury provozní správy CVE-2022-29149
Infrastruktura OMI (Operations Management Infrastructure) je kolekce cloudových služeb pro správu místních a cloudových prostředí z jednoho místa. Místo nasazení a správy místních prostředků jsou komponenty OMI hostované výhradně v Azure.
Log Analytics integrovaná se službou Azure HDInsight s OMI verze 13 vyžaduje opravu k nápravě CVE-2022-29149. Projděte si sestavu o této chybě zabezpečení v průvodci aktualizací zabezpečení společnosti Microsoft, kde najdete informace o tom, jak identifikovat prostředky ovlivněné tímto postupem ohrožení zabezpečení a nápravy.
Pokud máte v programu Defender for Servers povolené posouzení ohrožení zabezpečení, můžete pomocí tohoto sešitu identifikovat ovlivněné prostředky.
Integrace se správou oprávnění Entra
Defender for Cloud je integrovaný s Správa oprávnění Microsoft Entra, řešením pro správu nároků na cloudovou infrastrukturu (CIEM), které poskytuje komplexní přehled a kontrolu nad oprávněními pro jakoukoli identitu a jakýkoli prostředek v Azure, AWS a GCP.
Každé předplatné Azure, účet AWS a projekt GCP, které jste nasadíte, vám teď ukážou zobrazení indexu oprávnění creep (PCI).
Další informace o službě Entra Permission Management (dříve Cloudknox)
Doporučení služby Key Vault se změnila na audit
Účinek doporučení služby Key Vault, která jsou zde uvedená, se změnil na audit:
Název doporučení | ID doporučení |
---|---|
Doba platnosti certifikátů uložených ve službě Azure Key Vault by neměla překročit 12 měsíců. | fc84abc0-eee6-4758-8372-a7681965ca44 |
Tajné kódy řešení Key Vault by měly mít datum vypršení platnosti | 14257785-9437-97fa-11ae-898cfb24302b |
Klíče Key Vault by měly mít datum vypršení platnosti | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Vyřazení zásad aplikací API pro App Service
Následující zásady jsme zastaralí pro odpovídající zásady, které už existují pro zahrnutí aplikací API:
Zastaralá | Změna na |
---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Červen 2022
Mezi aktualizace v červnu patří:
- Obecná dostupnost (GA) pro Microsoft Defender pro Azure Cosmos DB
- Obecná dostupnost Defenderu pro SQL na počítačích pro prostředí AWS a GCP
- Podpora implementace doporučení zabezpečení k vylepšení stavu zabezpečení
- Filtrování výstrah zabezpečení podle IP adresy
- Upozornění podle skupiny prostředků
- Automatické zřízení sjednoceného řešení v programu Microsoft Defender for Endpoint
- Vyřazení zásady "Aplikace API by měla být přístupná jenom přes PROTOKOL HTTPS".
- Nová upozornění služby Key Vault
Obecná dostupnost (GA) pro Microsoft Defender pro Azure Cosmos DB
Microsoft Defender pro Azure Cosmos DB je teď obecně dostupný (GA) a podporuje typy účtů rozhraní SQL (Core) API.
Tato nová verze ga je součástí sady ochrany databáze v programu Microsoft Defender for Cloud, která zahrnuje různé typy databází SQL a MariaDB. Microsoft Defender for Azure Cosmos DB je nativní vrstva zabezpečení Azure, která zjišťuje pokusy o zneužití databází ve vašich účtech Azure Cosmos DB.
Když tento plán povolíte, budete upozorněni na potenciální injektáže SQL, známé špatné aktéry, vzory podezřelého přístupu a potenciální průzkumy vaší databáze prostřednictvím ohrožených identit nebo škodlivých insiderů.
Při zjištění potenciálně škodlivých aktivit se vygenerují výstrahy zabezpečení. Tyto výstrahy poskytují podrobnosti o podezřelé aktivitě spolu s příslušnými kroky šetření, akcemi nápravy a doporučeními zabezpečení.
Microsoft Defender pro Azure Cosmos DB nepřetržitě analyzuje stream telemetrie generovaný službami Azure Cosmos DB a kříží je s microsoft Threat Intelligence a behaviorálními modely za účelem zjištění podezřelých aktivit. Defender pro Azure Cosmos DB nemá přístup k datům účtu služby Azure Cosmos DB a nemá žádný vliv na výkon vaší databáze.
Přečtěte si další informace o programu Microsoft Defender pro Azure Cosmos DB.
Díky podpoře služby Azure Cosmos DB teď Defender for Cloud nabízí jednu z nejkomplexnějších nabídek ochrany úloh pro cloudové databáze. Týmy zabezpečení a vlastníci databází teď můžou mít centralizované prostředí pro správu zabezpečení databáze svých prostředí.
Zjistěte, jak povolit ochranu vašich databází.
Obecná dostupnost Defenderu pro SQL na počítačích pro prostředí AWS a GCP
Možnosti ochrany databází poskytované programem Microsoft Defender for Cloud přidaly podporu pro vaše SQL servery hostované v prostředích AWS nebo GCP.
Defender for SQL, podniky teď můžou chránit celá databázová aktiva hostovaná v Azure, AWS, GCP a místních počítačích.
Microsoft Defender for SQL poskytuje jednotné prostředí pro vícecloudové prostředí pro zobrazení doporučení zabezpečení, výstrah zabezpečení a zjištění posouzení ohrožení zabezpečení pro SQL server i podtržení operačního systému Windows.
Pomocí prostředí pro zprovoznění s více cloudy můžete povolit a vynutit ochranu databází pro sql servery běžící na AWS EC2, RDS Custom pro SQL Server a výpočetní modul GCP. Jakmile povolíte některý z těchto plánů, budou chráněné všechny podporované prostředky, které existují v rámci předplatného. Budou také chráněny budoucí prostředky vytvořené ve stejném předplatném.
Zjistěte, jak chránit a propojit prostředí AWS a vaši organizaci GCP s Microsoft Defenderem pro cloud.
Podpora implementace doporučení zabezpečení k vylepšení stavu zabezpečení
Dnešní rostoucí hrozby pro organizace rozšiřují limity bezpečnostních pracovníků, aby chránili své rozšiřující se úlohy. Týmy zabezpečení jsou vyzvány k implementaci ochrany definované v jejich zásadách zabezpečení.
Díky prostředí zásad správného řízení ve verzi Preview můžou týmy zabezpečení přiřadit k vlastníkům prostředků nápravu doporučení zabezpečení a vyžadovat plán nápravy. Můžou mít plnou transparentnost průběhu nápravy a dostávat oznámení, když jsou úkoly nadprůhledné.
Přečtěte si další informace o prostředí zásad správného řízení při řízení vaší organizace k nápravě problémů se zabezpečením s využitím zásad správného řízení doporučení.
Filtrování výstrah zabezpečení podle IP adresy
V mnoha případech útoků chcete sledovat výstrahy na základě IP adresy entity, která je součástí útoku. Až doteď se IP adresa zobrazila pouze v části Související entity v podokně s jedním upozorněním. Teď můžete výstrahy na stránce výstrah zabezpečení filtrovat, abyste viděli výstrahy související s IP adresou a mohli vyhledat konkrétní IP adresu.
Upozornění podle skupiny prostředků
Možnost filtrovat, řadit a seskupovat podle skupiny prostředků se přidá na stránku Výstrahy zabezpečení.
Do mřížky výstrah se přidá sloupec skupiny prostředků.
Přidá se nový filtr, který umožňuje zobrazit všechna upozornění pro konkrétní skupiny prostředků.
Teď můžete také seskupit výstrahy podle skupiny prostředků a zobrazit tak všechna upozornění pro každou z vašich skupin prostředků.
Automatické zřízení sjednoceného řešení v programu Microsoft Defender for Endpoint
Doteď integrace s Microsoft Defenderem for Endpoint (MDE) zahrnovala automatickou instalaci nového sjednoceného řešení MDE pro počítače (předplatná Azure a konektory s více cloudy) s povoleným programem Defender for Servers Plan 1 a pro konektory s více cloudy s povoleným programem Defender for Servers Plan 2. Plán 2 pro předplatná Azure povolil jednotné řešení jenom pro počítače s Linuxem a servery s Windows 2019 a 2022. Windows servery 2012R2 a 2016 používaly starší řešení MDE závislé na agentovi Log Analytics.
Nové sjednocené řešení je teď dostupné pro všechny počítače v obou plánech, a to jak pro předplatná Azure, tak pro konektory s více cloudy. Pro předplatná Azure s plánem 2, která povolila integraci MDE po 20. červnu 2022, je jednotné řešení ve výchozím nastavení povolené pro všechny počítače s předplatnými Azure s programem Defender for Servers Plan 2 s integrací MDE před 20. červnem 2022 nyní možné povolit jednotnou instalaci řešení pro Windows servery 2012R2 a 2016 prostřednictvím vyhrazeného tlačítka na stránce Integrace:
Přečtěte si další informace o integraci MDE s Defenderem pro servery.
Vyřazení zásady "Aplikace API by měla být přístupná jenom přes PROTOKOL HTTPS".
Zásada API App should only be accessible over HTTPS
je zastaralá. Tato zásada je nahrazena zásadou Web Application should only be accessible over HTTPS
, která je přejmenována na App Service apps should only be accessible over HTTPS
.
Další informace o definicích zásad pro službu Aplikace Azure najdete v tématu Předdefinované definice služby Azure Policy pro službu Aplikace Azure Service.
Nová upozornění služby Key Vault
Abychom rozšířili ochranu před hrozbami poskytovanou programem Microsoft Defender for Key Vault, přidali jsme dvě nová upozornění.
Tyto výstrahy vás informují o anomálii odepření přístupu, zjistí se pro všechny vaše trezory klíčů.
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
Neobvyklý přístup odepřen – Uživatel přistupující k velkému objemu trezorů klíčů zamítl (KV_DeniedAccountVolumeAnomaly) |
Uživatel nebo instanční objekt se v posledních 24 hodinách pokusil získat přístup k neobvyklým velkým objemům trezorů klíčů. Tento neobvyklý způsob přístupu může být legitimní aktivitou. I když byl tento pokus neúspěšný, mohlo by to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. Doporučujeme provést další šetření. | Zjišťování | Nízká |
Neobvyklý přístup odepřen – Neobvyklý přístup uživatelů při přístupu k trezoru klíčů byl odepřen (KV_UserAccessDeniedAnomaly) |
O přístup k trezoru klíčů se pokusil uživatel, který k němu obvykle nemá přístup, může to být neobvyklá přístupová aktivita. I když byl tento pokus neúspěšný, mohlo by to být označení možného pokusu o získání přístupu k trezoru klíčů a tajných kódů obsažených v něm. | Počáteční přístup, zjišťování | Nízká |
Květen 2022
Mezi aktualizace v květnu patří:
- Nastavení vícecloudového plánu Servery jsou nyní k dispozici na úrovni konektoru.
- Přístup ZA běhu (JIT) pro virtuální počítače je teď k dispozici pro instance AWS EC2 (Preview).
- Přidání a odebrání senzoru Defenderu pro clustery AKS pomocí rozhraní příkazového řádku
Nastavení vícecloudového plánu Servery jsou nyní k dispozici na úrovni konektoru.
V programu Defender for Servers v multicloudu je teď k dispozici nastavení na úrovni konektoru.
Nové nastavení na úrovni konektoru poskytují členitost pro ceny a konfiguraci automatického zřizování na konektor nezávisle na předplatném.
Ve výchozím nastavení jsou povolené všechny komponenty automatického zřizování dostupné na úrovni konektoru (Posouzení ohrožení zabezpečení, MDE a Azure Arc) a nová konfigurace podporuje cenové úrovně Plan 1 i Plan 2.
Aktualizace v uživatelském rozhraní zahrnují odraz vybrané cenové úrovně a nakonfigurovaných požadovaných součástí.
Změny posouzení ohrožení zabezpečení
Defender for Containers teď zobrazuje ohrožení zabezpečení se střední a nízkou závažností, která se nedají opravit.
V rámci této aktualizace se teď zobrazují chyby zabezpečení se střední a nízkou závažností bez ohledu na to, jestli jsou k dispozici opravy. Tato aktualizace poskytuje maximální viditelnost, ale přesto umožňuje filtrovat nežádoucí ohrožení zabezpečení pomocí poskytnutého pravidla Zakázat.
Další informace o správa ohrožení zabezpečení
Přístup ZA běhu (JIT) pro virtuální počítače je teď k dispozici pro instance AWS EC2 (Preview).
Když připojíte účty AWS, JIT automaticky vyhodnotí konfiguraci sítě skupin zabezpečení vaší instance a doporučí, které instance potřebují ochranu pro vystavené porty pro správu. Podobá se tomu, jak JIT funguje s Azure. Když nasadíte nechráněné instance EC2, JIT zablokuje veřejný přístup k portům pro správu a otevře je jenom s autorizovanými žádostmi po omezenou dobu.
Zjistěte, jak JIT chrání vaše instance AWS EC2.
Přidání a odebrání senzoru Defenderu pro clustery AKS pomocí rozhraní příkazového řádku
Agent Defenderu pro kontejnery je nutný k zajištění ochrany za běhu a shromažďování signálů z uzlů. Teď můžete pomocí Azure CLI přidat a odebrat agenta Defenderu pro cluster AKS.
Poznámka:
Tato možnost je součástí Azure CLI 3.7 a vyšší.
Duben 2022
Mezi aktualizace v dubnu patří:
- Nový plán Defenderu pro servery
- Přemístění vlastních doporučení
- Skript PowerShellu pro streamování upozornění na Splunk a QRadar
- Doporučení Azure Cache for Redis je zastaralé.
- Nová varianta upozornění pro Microsoft Defender for Storage (Preview) pro detekci ohrožení citlivých dat
- Název upozornění kontroly kontejneru rozšířený o reputaci IP adres
- Prohlédněte si protokoly aktivit, které souvisejí s výstrahou zabezpečení.
Nový plán Defenderu pro servery
Microsoft Defender pro servery se teď nabízí ve dvou přírůstkových plánech:
- Defender for Servers Plan 2, dříve Defender for Servers
- Defender for Servers Plan 1 poskytuje podporu jenom pro Microsoft Defender for Endpoint.
I když Defender for Servers Plan 2 nadále poskytuje ochranu před hrozbami a ohroženími zabezpečení vašich cloudových a místních úloh, Defender for Servers Plan 1 poskytuje ochranu koncových bodů pouze s využitím nativně integrovaného defenderu pro koncový bod. Přečtěte si další informace o plánech Defender for Servers.
Pokud jste dosud používali Defender for Servers, nevyžaduje se žádná akce.
Kromě toho program Defender for Cloud také začíná postupně podporovat sjednoceného agenta Defenderu for Endpoint pro Windows Server 2012 R2 a 2016. Defender for Servers Plan 1 nasadí nového sjednoceného agenta do úloh Windows Serveru 2012 R2 a 2016.
Přemístění vlastních doporučení
Vlastní doporučení jsou vytvořená uživateli a nemají žádný vliv na bezpečnostní skóre. Vlastní doporučení se teď dají najít na kartě Všechna doporučení.
Pomocí nového filtru "typ doporučení" vyhledejte vlastní doporučení.
Další informace najdete v článku Vytváření vlastních iniciativ zabezpečení a zásad.
Skript PowerShellu pro streamování upozornění na Splunk a IBM QRadar
Ke exportu výstrah zabezpečení do Splunku a IBM QRadar doporučujeme použít Event Hubs a integrovaný konektor. Teď můžete pomocí skriptu PowerShellu nastavit prostředky Azure potřebné k exportu výstrah zabezpečení pro vaše předplatné nebo tenanta.
Stačí stáhnout a spustit powershellový skript. Po zadání několika podrobností o vašem prostředí skript nakonfiguruje prostředky za vás. Skript pak vytvoří výstup, který použijete na platformě SIEM k dokončení integrace.
Další informace najdete v tématu Upozornění služby Stream na Splunk a QRadar.
Doporučení Azure Cache for Redis je zastaralé.
Doporučení Azure Cache for Redis should reside within a virtual network
(Preview) je zastaralé. Změnili jsme naše pokyny pro zabezpečení instancí Azure Cache for Redis. K omezení přístupu k instanci Azure Cache for Redis místo virtuální sítě doporučujeme použít privátní koncový bod.
Nová varianta upozornění pro Microsoft Defender for Storage (Preview) pro detekci ohrožení citlivých dat
Upozornění v programu Microsoft Defender for Storage vás upozorní, když se aktéři hrozeb pokusí zkontrolovat a zobrazit, úspěšně nebo ne, nesprávně nakonfigurované, veřejně otevřené kontejnery úložiště, aby se pokusili exfiltrovat citlivé informace.
Abychom umožnili rychlejší třídění a dobu odezvy, kdy mohlo dojít k exfiltraci potenciálně citlivých dat, vydali jsme novou variantu existující Publicly accessible storage containers have been exposed
výstrahy.
Nová výstraha Publicly accessible storage containers with potentially sensitive data have been exposed
se aktivuje s High
úrovní závažnosti po úspěšném zjištění veřejně otevřených kontejnerů úložiště s názvy, které byly statisticky veřejně vystaveny, což naznačuje, že mohou uchovávat citlivé informace.
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
PREVIEW – Veřejně přístupné kontejnery úložiště s potenciálně citlivými daty byly zpřístupněny. (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Někdo naskenoval váš účet služby Azure Storage a zveřejnil kontejnery, které umožňují veřejný přístup. Jeden nebo více vystavených kontejnerů má názvy, které označují, že mohou obsahovat citlivá data. Obvykle to značí rekognoskaci aktérem hrozeb, který hledá chybně nakonfigurované veřejně přístupné kontejnery úložiště, které můžou obsahovat citlivá data. Jakmile objekt actor hrozby úspěšně zjistí kontejner, může pokračovat tím, že data exfiltruje. ✔ Azure Blob Storage ✖ Soubory Azure ✖ Azure Data Lake Storage Gen2 |
Kolekce | Vysoká |
Název upozornění kontroly kontejneru rozšířený o reputaci IP adres
Reputace IP adresy může znamenat, jestli aktivita kontroly pochází ze známého objektu actor hrozby, nebo od objektu actor, který ke skrytí identity používá síť Tor. Oba tyto indikátory naznačují, že existuje škodlivý záměr. Reputaci IP adresy poskytuje Microsoft Threat Intelligence.
Přidání reputace IP adresy k názvu výstrahy poskytuje způsob, jak rychle vyhodnotit záměr objektu actor, a tím závažnost hrozby.
Tyto informace budou obsahovat následující výstrahy:
Publicly accessible storage containers have been exposed
Publicly accessible storage containers with potentially sensitive data have been exposed
Publicly accessible storage containers have been scanned. No publicly accessible data was discovered
Přidané informace do názvu Publicly accessible storage containers have been exposed
výstrahy budou vypadat například takto:
Publicly accessible storage containers have been exposed
by a suspicious IP address
Publicly accessible storage containers have been exposed
by a Tor exit node
Všechna upozornění pro Microsoft Defender for Storage budou dál obsahovat informace o analýze hrozeb v entitě IP v části Související entity výstrahy.
Prohlédněte si protokoly aktivit, které souvisejí s výstrahou zabezpečení.
V rámci akcí, které můžete provést k vyhodnocení výstrahy zabezpečení, najdete související protokoly platformy v kontextu Kontroly prostředků a získat kontext o ovlivněném prostředku. Microsoft Defender pro cloud identifikuje protokoly platformy, které jsou v jednom dni výstrahy.
Protokoly platformy vám můžou pomoct vyhodnotit bezpečnostní hrozbu a identifikovat kroky, které můžete provést ke zmírnění zjištěného rizika.
Březen 2022
Mezi aktualizace v březnu patří:
- Globální dostupnost skóre zabezpečení pro prostředí AWS a GCP
- Zastaralá doporučení pro instalaci agenta shromažďování dat síťového provozu
- Defender for Containers teď může vyhledávat ohrožení zabezpečení v imagích Windows (Preview)
- Nové upozornění pro Microsoft Defender for Storage (Preview)
- Konfigurace nastavení e-mailových oznámení z výstrahy
- Zastaralá výstraha ve verzi Preview: ARM MCAS_ActivityFromAnonymousIPAddresses
- Přesunuté doporučení Ohrožení zabezpečení v konfiguracích zabezpečení kontejnerů by se mělo napravit z skóre zabezpečení na osvědčené postupy.
- Zastaralá doporučení používat instanční objekty k ochraně předplatných
- Starší implementace ISO 27001 nahrazena novou iniciativou ISO 27001:2013
- Zastaralá doporučení pro zařízení v programu Microsoft Defender for IoT
- Zastaralá upozornění zařízení v programu Microsoft Defender for IoT
- Správa stavu a ochrana před hrozbami pro AWS a GCP vydané pro obecnou dostupnost (GA)
- Kontrola imagí Windows v ACR přidala podporu pro národní cloudy
Globální dostupnost skóre zabezpečení pro prostředí AWS a GCP
Možnosti správy stavu zabezpečení cloudu poskytované programem Microsoft Defender for Cloud teď přidaly podporu pro vaše prostředí AWS a GCP v rámci vašeho skóre zabezpečení.
Podniky teď můžou zobrazit celkový stav zabezpečení v různých prostředích, jako jsou Azure, AWS a GCP.
Stránka Skóre zabezpečení je nahrazena řídicím panelem Stav zabezpečení. Řídicí panel Stav zabezpečení umožňuje zobrazit celkové kombinované skóre pro všechna vaše prostředí nebo rozpis stavu zabezpečení na základě libovolné kombinace vámi zvolených prostředí.
Stránka Doporučení byla také přepracována tak, aby poskytovala nové funkce, jako je například výběr cloudového prostředí, pokročilé filtry založené na obsahu (skupina prostředků, účet AWS, projekt GCP a další), vylepšené uživatelské rozhraní s nízkým rozlišením, podpora otevřených dotazů v grafu prostředků a další. Další informace o celkovém stavu zabezpečení a doporučeních zabezpečení.
Zastaralá doporučení pro instalaci agenta shromažďování dat síťového provozu
Změny v našem plánu a prioritách odstranily potřebu agenta shromažďování dat síťového provozu. Následující dvě doporučení a jejich související zásady byly zastaralé.
Doporučení | Popis | Závažnost |
---|---|---|
Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Defender for Cloud používá agenta Microsoft Dependency Agent ke shromažďování dat síťového provozu z virtuálních počítačů Azure k povolení pokročilých funkcí ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | Střední |
Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Defender for Cloud používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure k povolení pokročilých funkcí ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | Střední |
Defender for Containers teď může vyhledávat ohrožení zabezpečení v imagích Windows (Preview)
Kontrola imagí v programu Defender for Container teď podporuje image Windows hostované ve službě Azure Container Registry. Tato funkce je bezplatná ve verzi Preview a v případě, že bude obecně dostupná, bude se vám za ni účtují náklady.
Přečtěte si další informace v nástroji Microsoft Defender for Container ke kontrole ohrožení zabezpečení imagí.
Nové upozornění pro Microsoft Defender for Storage (Preview)
Abychom rozšířili ochranu před hrozbami poskytovanou programem Microsoft Defender for Storage, přidali jsme nové upozornění ve verzi Preview.
Aktéři hrozeb používají aplikace a nástroje ke zjišťování a přístupu k účtům úložiště. Microsoft Defender for Storage tyto aplikace a nástroje detekuje, abyste je mohli zablokovat a napravit stav.
Tato výstraha ve verzi Preview se volá Access from a suspicious application
. Upozornění je relevantní jenom pro Azure Blob Storage a ADLS Gen2.
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
PREVIEW – Přístup z podezřelé aplikace (Storage.Blob_SuspiciousApp) |
Označuje, že podezřelá aplikace úspěšně získala přístup ke kontejneru účtu úložiště s ověřováním. To může znamenat, že útočník získal přihlašovací údaje potřebné pro přístup k účtu a zneužije ho. Může to být také označení penetračního testu prováděného ve vaší organizaci. Platí pro: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Počáteční přístup | Střední |
Konfigurace nastavení e-mailových oznámení z výstrahy
Do uživatelského rozhraní upozornění byla přidána nová část, která umožňuje zobrazit a upravit, kdo bude dostávat e-mailová oznámení pro výstrahy aktivované v aktuálním předplatném.
Zjistěte, jak nakonfigurovat e-mailová oznámení pro výstrahy zabezpečení.
Zastaralá výstraha ve verzi Preview: ARM MCAS_ActivityFromAnonymousIPAddresses
Následující výstraha ve verzi Preview je zastaralá:
Název upozornění | Popis |
---|---|
PREVIEW – Aktivita z rizikové IP adresy (ARM. MCAS_ActivityFromAnonymousIPAddresses) |
Byla zjištěna aktivita uživatelů z IP adresy, která byla identifikována jako ip adresa anonymního proxy serveru. Tyto proxy servery používají lidé, kteří chtějí skrýt IP adresu svého zařízení a dají se použít ke škodlivému záměru. Tato detekce používá algoritmus strojového učení, který snižuje falešně pozitivní výsledky, jako jsou nesprávně označené IP adresy, které uživatelé v organizaci široce používají. Vyžaduje aktivní licenci Microsoft Defenderu for Cloud Apps. |
Byla vytvořena nová výstraha, která poskytuje tyto informace a přidá do ní. Kromě toho novější výstrahy (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) nevyžadují licenci pro Microsoft Defender for Cloud Apps (dříve Označované jako Microsoft Cloud App Security).
Další výstrahy pro Resource Manager
Přesunuté doporučení Ohrožení zabezpečení v konfiguracích zabezpečení kontejnerů by se mělo napravit z skóre zabezpečení na osvědčené postupy.
Doporučení Vulnerabilities in container security configurations should be remediated
bylo přesunuto z části skóre zabezpečení do části osvědčené postupy.
Aktuální uživatelské prostředí poskytuje skóre pouze v případech, kdy prošly všechny kontroly dodržování předpisů. Většina zákazníků má potíže se splněním všech požadovaných kontrol. Pracujeme na vylepšeném prostředí pro toto doporučení a po vydání doporučení se doporučení přesune zpět do skóre zabezpečení.
Zastaralá doporučení používat instanční objekty k ochraně předplatných
Když se organizace přesouvají od používání certifikátů pro správu ke správě svých předplatných, a naše nedávné oznámení, že vyřazujeme model nasazení Cloud Services (Classic), vyřadili jsme následující doporučení Defenderu pro cloud a související zásady:
Doporučení | Popis | Závažnost |
---|---|---|
Instanční objekty by se měly používat k ochraně předplatných místo certifikátů pro správu. | Certifikáty pro správu umožňují všem uživatelům, kteří se s nimi ověřují, spravovat předplatná, ke kterým jsou přidružená. Pokud chcete bezpečněji spravovat předplatná, doporučujeme v případě ohrožení certifikátu omezit poloměr výbuchu pomocí instančních objektů pomocí Resource Manageru. Automatizuje také správu prostředků. (Související zásady: Instanční objekty by se měly použít k ochraně předplatných místo certifikátů pro správu. |
Střední |
Další informace:
- Model nasazení Cloud Services (Classic) se 31. srpna 2024 vyřazuje z provozu
- Přehled služeb Azure Cloud Services (Classic)
- Pracovní postup klasické architektury virtuálních počítačů Microsoft Azure – včetně základů pracovních postupů RDFE
Starší implementace ISO 27001 nahrazena novou iniciativou ISO 27001:2013
Starší implementace ISO 27001 byla odebrána z řídicího panelu dodržování předpisů v programu Defender for Cloud. Pokud sledujete dodržování předpisů ISO 27001 v programu Defender for Cloud, připojte nový standard ISO 27001:2013 pro všechny příslušné skupiny pro správu nebo předplatná.
Zastaralá doporučení pro zařízení v programu Microsoft Defender for IoT
Doporučení pro zařízení v programu Microsoft Defender for IoT už nejsou viditelná v programu Microsoft Defender for Cloud. Tato doporučení jsou stále k dispozici na stránce Doporučení v programu Microsoft Defender for IoT.
Následující doporučení jsou zastaralá:
Klíč posouzení | Doporučení |
---|---|
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: Zařízení IoT | Otevření portů na zařízení |
ba975338-f956-41e7-a9f2-7614832d382d382d: Zařízení IoT | Bylo nalezeno pravidlo brány firewall pro permisivní v vstupním řetězci. |
beb62be3-5e78-49bd-ac5f-099250ef3c7c: Zařízení IoT | Byly nalezeny zásady brány firewall pro permisivní v jednom z řetězů. |
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: Zařízení IoT | Zjistilo se pravidlo brány firewall, které je permissivní v výstupním řetězci. |
5f65e47f-7a00-4bf3-acae-90e441ee876: Zařízení IoT | Selhání ověřování směrného plánu operačního systému |
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: Zařízení IoT | Agent odesílající nevyužité zprávy |
2acc27c6-5fdb-405e-9080-cb66b850c8f5: Zařízení IoT | Vyžaduje se upgrade šifrovací sady TLS. |
d74d2738-2485-4103-9919-69c7e63776ec: Zařízení IoT | Auditd proces přestal odesílat události |
Zastaralá upozornění zařízení v programu Microsoft Defender for IoT
Všechna upozornění Microsoft Defenderu pro zařízení IoT se už v Programu Microsoft Defender for Cloud nezobrazují. Tato upozornění jsou stále dostupná na stránce upozornění v programu Microsoft Defender for IoT a v Microsoft Sentinelu.
Správa stavu a ochrana před hrozbami pro AWS a GCP vydané pro obecnou dostupnost (GA)
Funkce CSPM v programu Defender for Cloud se rozšiřují na prostředky AWS a GCP. Tento plán bez agentů vyhodnocuje vaše vícecloudové prostředky podle doporučení zabezpečení specifických pro cloud, která jsou součástí vašeho skóre zabezpečení. Prostředky se vyhodnocují kvůli dodržování předpisů pomocí předdefinovaných standardů. Stránka inventáře prostředků Defenderu for Cloud je funkce s více cloudy, která umožňuje spravovat prostředky AWS společně s prostředky Azure.
Microsoft Defender for Servers přináší detekci hrozeb a pokročilou ochranu výpočetních instancí v AWS a GCP. Plán Defender for Servers zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint, kontrolu posouzení ohrožení zabezpečení a další. Seznamte se se všemi podporovanými funkcemi pro virtuální počítače a servery. Funkce automatického onboardingu umožňují snadno připojit všechny existující nebo nové výpočetní instance zjištěné ve vašem prostředí.
Zjistěte, jak chránit a propojit vaše prostředí AWS a organizaci GCP s Microsoft Defenderem pro cloud.
Kontrola imagí Windows v ACR přidala podporu pro národní cloudy
Vyhledávání imagí Windows ve službě Azure Government a Microsoft Azure provozované společností 21Vianet je teď podporováno v registru. Tento doplněk je aktuálně ve verzi Preview.
Přečtěte si další informace o dostupnosti naší funkce.
2022. únor
Mezi aktualizace v únoru patří:
- Ochrana úloh Kubernetes pro clustery Kubernetes s podporou Arc
- Nativní csPM pro GCP a ochranu před hrozbami pro výpočetní instance GCP
- Plán Microsoft Defenderu pro službu Azure Cosmos DB vydaný ve verzi Preview
- Ochrana před hrozbami pro clustery GKE (Google Kubernetes Engine)
Ochrana úloh Kubernetes pro clustery Kubernetes s podporou Arc
Defender for Containers dříve chránil pouze úlohy Kubernetes spuštěné ve službě Azure Kubernetes Service. Teď jsme rozšířili ochranné pokrytí tak, aby zahrnovalo clustery Kubernetes s podporou Azure Arc.
Zjistěte, jak nastavit ochranu úloh Kubernetes pro clustery Kubernetes s podporou AKS a Azure Arc.
Nativní csPM pro GCP a ochranu před hrozbami pro výpočetní instance GCP
Nové automatizované onboarding prostředí GCP umožňuje chránit úlohy GCP pomocí Microsoft Defenderu pro cloud. Defender for Cloud chrání vaše prostředky pomocí následujících plánů:
Funkce CSPM v programu Defender for Cloud se rozšiřují o prostředky GCP. Tento plán bez agentů vyhodnocuje vaše prostředky GCP podle doporučení zabezpečení specifických pro GCP, která jsou k dispozici v programu Defender for Cloud. Doporučení GCP jsou zahrnutá ve vašem skóre zabezpečení a prostředky se budou vyhodnocovat z hlediska dodržování integrovaného standardu GCP CIS. Stránka inventáře prostředků Defenderu for Cloud je funkce s podporou multicloudu, která pomáhá spravovat vaše prostředky v Azure, AWS a GCP.
Microsoft Defender for Servers přináší detekci hrozeb a pokročilou obranu výpočetních instancí GCP. Tento plán zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint, kontrolu posouzení ohrožení zabezpečení a další.
Úplný seznam dostupných funkcí najdete v tématu Podporované funkce pro virtuální počítače a servery. Funkce automatického onboardingu vám umožní snadno připojit všechny existující a nové výpočetní instance zjištěné ve vašem prostředí.
Zjistěte, jak chránit a propojit projekty GCP s Microsoft Defenderem pro cloud.
Plán Microsoft Defenderu pro službu Azure Cosmos DB vydaný ve verzi Preview
Rozšířili jsme pokrytí databáze v programu Microsoft Defender for Cloud. Teď můžete povolit ochranu databází Azure Cosmos DB.
Microsoft Defender for Azure Cosmos DB je nativní vrstva zabezpečení Azure, která detekuje všechny pokusy o zneužití databází v účtech Azure Cosmos DB. Microsoft Defender for Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoftu, vzorů podezřelého přístupu a potenciálního zneužití databáze prostřednictvím ohrožených identit nebo škodlivých účastníků programu Insider.
Průběžně analyzuje datový proud zákazníků generovaný službami Azure Cosmos DB.
Při zjištění potenciálně škodlivých aktivit se vygenerují výstrahy zabezpečení. Tyto výstrahy se zobrazují v Programu Microsoft Defender for Cloud společně s podrobnostmi o podezřelé aktivitě spolu s příslušnými kroky šetření, nápravnými akcemi a doporučeními zabezpečení.
Při povolování služby nemá žádný vliv na výkon databáze, protože Defender pro Azure Cosmos DB nemá přístup k datům účtu služby Azure Cosmos DB.
Další informace najdete v přehledu služby Microsoft Defender pro Azure Cosmos DB.
Zavádíme také nové prostředí pro povolení zabezpečení databáze. Teď můžete ve svém předplatném povolit ochranu Microsoft Defenderu pro cloud, abyste ochránili všechny typy databází, jako jsou Azure Cosmos DB, Azure SQL Database, servery Azure SQL na počítačích a Microsoft Defender pro opensourcové relační databáze prostřednictvím jednoho procesu povolení. Konkrétní typy prostředků je možné zahrnout nebo vyloučit konfigurací plánu.
Zjistěte, jak povolit zabezpečení databáze na úrovni předplatného.
Ochrana před hrozbami pro clustery GKE (Google Kubernetes Engine)
Podle našeho nedávného oznámení Nativní csPM pro GCP a ochranu před hrozbami pro výpočetní instance GCP microsoft Defender for Containers rozšířil ochranu před hrozbami Kubernetes, analýzu chování a integrované zásady řízení přístupu na clustery GKE (Kubernetes Engine) Google. Prostřednictvím našich možností automatického onboardingu můžete do svého prostředí snadno připojit všechny existující nebo nové clustery GKE Standard. Úplný seznam dostupných funkcí najdete v programu Microsoft Defender for Cloud v oblasti zabezpečení kontejnerů.
2022. leden
Mezi aktualizace v lednu patří:
- Program Microsoft Defender for Resource Manager se aktualizoval novými výstrahami a důrazem na vysoce rizikové operace mapované na MITRE ATT&CK® Matrix
- Doporučení k povolení plánů v Programu Microsoft Defender v pracovních prostorech (ve verzi Preview)
- Automatické zřízení agenta Log Analytics pro počítače s podporou Služby Azure Arc (Preview)
- Vyřazení doporučení ke klasifikaci citlivých dat v databázích SQL
- Komunikace s upozorněním podezřelé domény se rozbalila na zahrnuté známé domény související s Log4Shellem
- Tlačítko Kopírovat json upozornění přidané do podokna podrobností výstrah zabezpečení
- Přejmenování dvou doporučení
- Vyřazení kontejnerů clusteru Kubernetes by mělo naslouchat pouze na povolených zásadách portů
- Přidání sešitu Aktivní upozornění
- Doporučení aktualizace systému přidané do cloudu státní správy
Program Microsoft Defender for Resource Manager se aktualizoval novými výstrahami a důrazem na vysoce rizikové operace mapované na MITRE ATT&CK® Matrix
Vrstva správy cloudu je klíčovou službou připojenou ke všem vašim cloudovým prostředkům. Z tohoto důvodu je to také potenciální cíl pro útočníky. Doporučujeme týmy operací zabezpečení pečlivě monitorovat vrstvu správy prostředků.
Microsoft Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci bez ohledu na to, jestli se provádějí prostřednictvím webu Azure Portal, rozhraní AZURE REST API, Azure CLI nebo jiných programových klientů Azure. Defender for Cloud spouští pokročilé analýzy zabezpečení, které vám umožní detekovat hrozby a upozornit vás na podezřelou aktivitu.
Ochrana plánu výrazně zvyšuje odolnost organizace proti útokům z aktérů hrozeb a výrazně zvyšuje počet prostředků Azure chráněných defenderem pro cloud.
V prosinci 2020 jsme představili verzi Preview Defenderu pro Resource Manager a v květnu 2021 byl plán vydaný pro obecnou dostupnost.
V této aktualizaci jsme komplexně upravili zaměření plánu Microsoft Defenderu pro Resource Manager. Aktualizovaný plán obsahuje mnoho nových výstrah, které se zaměřují na identifikaci podezřelého vyvolání vysoce rizikových operací. Tyto nové výstrahy poskytují rozsáhlé monitorování útoků napříč kompletní maticí MITRE ATT&CK® pro cloudové techniky.
Tato matice popisuje následující rozsah potenciálních záměrů aktérů hrozeb, kteří můžou cílit na prostředky vaší organizace: počáteční přístup, spuštění, trvalost, eskalace oprávnění, únik obrany, přístup k přihlašovacím údajům, zjišťování, laterální pohyb, kolekce, exfiltrace a dopad.
Nová upozornění pro tento plán Defenderu pokrývají tyto záměry, jak je znázorněno v následující tabulce.
Tip
Tyto výstrahy se také zobrazí na stránce s odkazem na výstrahy.
Výstraha (typ výstrahy) | Popis | Taktika MITRE (záměry) | Závažnost |
---|---|---|---|
Podezřelé vyvolání vysoce rizikové operace počátečního přístupu (Preview) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o přístup k omezeným prostředkům. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivní přístup k jejich prostředím. I když tato aktivita může být legitimní, aktér hrozeb může tyto operace využít k získání počátečního přístupu k omezeným prostředkům ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. | Počáteční přístup | Střední |
Zjištění podezřelého vyvolání vysoce rizikové operace provádění (Preview) (ARM_AnomalousOperation.Execution) |
Microsoft Defender for Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace na počítači ve vašem předplatném, což může znamenat pokus o spuštění kódu. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít pro přístup k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. | Provádění | Střední |
Zjištění podezřelého vyvolání vysoce rizikové operace trvalosti (Preview) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender pro Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o vytvoření trvalosti. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k vytvoření trvalosti ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. | Uchování | Střední |
Zjištění podezřelého vyvolání vysoce rizikové operace Eskalace oprávnění (Preview) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o eskalaci oprávnění. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k eskalaci oprávnění a zároveň ohrozit prostředky ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. | Elevace oprávnění | Střední |
Zjištění podezřelého vyvolání vysoce rizikové operace "Obranná úniková ochrana" (Preview) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender pro Resource Manager identifikoval podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o vyhýbání obrany. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat stav zabezpečení svých prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít, aby se zabránilo zjištění a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. | Obrana před únikem | Střední |
Podezřelé vyvolání vysoce rizikové operace přístupu k přihlašovacím údajům (Preview) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o přístup k přihlašovacím údajům. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivní přístup k jejich prostředím. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít pro přístup k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. | Přístup k přihlašovacím údajům | Střední |
Zjištění podezřelého vyvolání vysoce rizikové operace laterálního pohybu (Preview) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o provedení laterálního pohybu. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít k ohrožení dalších prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. | Laterální pohyb | Střední |
Zjištění podezřelého vyvolání vysoce rizikové operace shromažďování dat (Preview) (ARM_AnomalousOperation.Collection) |
Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o shromáždění dat. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít ke shromažďování citlivých dat o prostředcích ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. | Kolekce | Střední |
Zjištění podezřelého vyvolání vysoce rizikové operace Impact (Preview) (ARM_AnomalousOperation.Impact) |
Microsoft Defender for Resource Manager zjistil podezřelé vyvolání vysoce rizikové operace ve vašem předplatném, což může znamenat pokus o změnu konfigurace. Zjištěné operace jsou navržené tak, aby správcům umožňovaly efektivně spravovat svá prostředí. I když tato aktivita může být legitimní, aktér hrozeb může takové operace využít pro přístup k omezeným přihlašovacím údajům a ohrožení prostředků ve vašem prostředí. To může znamenat, že účet je napadený a používá se se zlými úmysly. | Dopad | Střední |
Kromě toho tyto dvě výstrahy z tohoto plánu pocházejí z verze Preview:
Výstraha (typ výstrahy) | Popis | Taktika MITRE (záměry) | Závažnost |
---|---|---|---|
Operace Azure Resource Manageru z podezřelé IP adresy (ARM_OperationFromSuspiciousIP) |
Microsoft Defender pro Resource Manager zjistil operaci z IP adresy, která byla označena jako podezřelá v informačních kanálech analýzy hrozeb. | Provádění | Střední |
Operace Azure Resource Manageru z podezřelé IP adresy proxy serveru (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender for Resource Manager zjistil operaci správy prostředků z IP adresy, která je přidružená ke službám proxy, jako je NAPŘÍKLAD TOR. I když toto chování může být legitimní, často se to projevuje ve škodlivých aktivitách, když se aktéři hrozeb pokusí skrýt zdrojovou IP adresu. | Obrana před únikem | Střední |
Doporučení k povolení plánů Microsoft Defenderu v pracovních prostorech (ve verzi Preview)
Abyste mohli využívat všechny funkce zabezpečení dostupné v programu Microsoft Defender for Servers a Microsoft Defender for SQL na počítačích, musí být plány povolené na úrovni předplatného i pracovního prostoru.
Pokud je počítač v předplatném s povoleným jedním z těchto plánů, budou se vám účtovat úplné ochrany. Pokud se ale tento počítač hlásí pracovnímu prostoru bez povoleného plánu, tyto výhody ve skutečnosti nedostanete.
Přidali jsme dvě doporučení, která zvýrazňují pracovní prostory bez povolení těchto plánů, ale mají počítače, které se jim hlásí z předplatných s povoleným plánem.
Dvě doporučení, která nabízejí automatizovanou nápravu (akci Opravit), jsou:
Doporučení | Popis | Závažnost |
---|---|---|
V pracovních prostorech by měl být povolený Microsoft Defender for Servers. | Microsoft Defender for Servers přináší detekci hrozeb a pokročilou obranu vašich počítačů s Windows a Linuxem. S tímto plánem Defenderu povoleným pro vaše předplatná, ale ne ve vašich pracovních prostorech, platíte za plnou funkci Programu Microsoft Defender pro servery, ale chybí vám některé výhody. Když povolíte Microsoft Defender for Servers v pracovním prostoru, budou se všechny počítače, které se do daného pracovního prostoru hlásí, fakturovány za Microsoft Defender pro servery – i když jsou v předplatných bez povolených plánů Defenderu. Pokud v předplatném také nepovolíte Microsoft Defender for Servers, nebudou tyto počítače moct využívat přístup k virtuálním počítačům za běhu, adaptivní řízení aplikací a zjišťování sítí pro prostředky Azure. Další informace najdete v přehledu Programu Microsoft Defender pro servery. (Žádné související zásady) |
Střední |
V pracovních prostorech by měl být povolený Microsoft Defender pro SQL na počítačích. | Microsoft Defender for Servers přináší detekci hrozeb a pokročilou obranu vašich počítačů s Windows a Linuxem. S tímto plánem Defenderu povoleným pro vaše předplatná, ale ne ve vašich pracovních prostorech, platíte za plnou funkci Programu Microsoft Defender pro servery, ale chybí vám některé výhody. Když povolíte Microsoft Defender for Servers v pracovním prostoru, budou se všechny počítače, které se do daného pracovního prostoru hlásí, fakturovány za Microsoft Defender pro servery – i když jsou v předplatných bez povolených plánů Defenderu. Pokud v předplatném také nepovolíte Microsoft Defender for Servers, nebudou tyto počítače moct využívat přístup k virtuálním počítačům za běhu, adaptivní řízení aplikací a zjišťování sítí pro prostředky Azure. Další informace najdete v přehledu Programu Microsoft Defender pro servery. (Žádné související zásady) |
Střední |
Automatické zřízení agenta Log Analytics pro počítače s podporou Služby Azure Arc (Preview)
Defender for Cloud používá agenta Log Analytics ke shromažďování dat souvisejících se zabezpečením z počítačů. Agent čte různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru pro účely analýzy.
Nastavení automatického zřizování Defenderu pro cloud má přepínač pro každý typ podporovaného rozšíření, včetně agenta Log Analytics.
V dalším rozšíření našich hybridních cloudových funkcí jsme přidali možnost automatického zřízení agenta Log Analytics na počítače připojené k Azure Arc.
Stejně jako u ostatních možností automatického zřizování se toto nastavení konfiguruje na úrovni předplatného.
Když tuto možnost povolíte, zobrazí se výzva k zadání pracovního prostoru.
Poznámka:
Pro tuto verzi Preview nemůžete vybrat výchozí pracovní prostory vytvořené defenderem pro cloud. Abyste měli jistotu, že obdržíte úplnou sadu funkcí zabezpečení dostupných pro servery s podporou Služby Azure Arc, ověřte, že ve vybraném pracovním prostoru máte nainstalované příslušné řešení zabezpečení.
Vyřazení doporučení ke klasifikaci citlivých dat v databázích SQL
Odebrali jsme doporučení Citlivá data ve vašich databázích SQL bychom měli klasifikovat jako součást opravy toho, jak Defender pro cloud identifikuje a chrání citlivé datum ve vašich cloudových prostředcích.
V nadcházejících změnách programu Microsoft Defender for Cloud se tato změna zobrazila za posledních šest měsíců.
Komunikace s upozorněním podezřelé domény se rozbalila na zahrnuté známé domény související s Log4Shellem
Následující výstraha byla dříve dostupná jenom organizacím, které povolily plán Microsoft Defenderu pro DNS .
V této aktualizaci se upozornění zobrazí také pro předplatná s povoleným plánem Služby App Service v programu Microsoft Defender for Servers nebo Defender for App Service .
Kromě toho služba Microsoft Threat Intelligence rozšířila seznam známých škodlivých domén, aby zahrnovala domény spojené s zneužitím široce publicizovaných chyb zabezpečení spojených s Log4j.
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
Komunikace s podezřelou doménou identifikovanou analýzou hrozeb (AzureDNS_ThreatIntelSuspectDomain) |
Komunikace s podezřelou doménou byla zjištěna analýzou transakcí DNS z vašeho prostředku a porovnáním se známými škodlivými doménami identifikovanými informačními kanály analýzy hrozeb. Komunikace se škodlivými doménami se často provádí útočníky a může to znamenat, že dojde k ohrožení vašeho prostředku. | Počáteční přístup / trvalost / spuštění / příkaz a řízení / zneužití | Střední |
Tlačítko Kopírovat json upozornění přidané do podokna podrobností výstrah zabezpečení
Abychom našim uživatelům pomohli rychle sdílet podrobnosti výstrahy s ostatními (například analytiky SOC, vlastníky prostředků a vývojáře), přidali jsme možnost snadného extrahování všech podrobností konkrétní výstrahy jedním tlačítkem z podokna podrobností výstrahy zabezpečení.
Nové tlačítko JSON pro kopírování upozornění vloží podrobnosti výstrahy ve formátu JSON do schránky uživatele.
Přejmenování dvou doporučení
Kvůli konzistenci s jinými názvy doporučení jsme přejmenovali následující dvě doporučení:
Doporučení k řešení ohrožení zabezpečení zjištěných ve spuštěných imagích kontejnerů
- Předchozí název: Chyby zabezpečení ve spuštěných imagích kontejnerů by se měly napravit (s využitím Qualys).
- Nový název: Řešení spuštěných imagí kontejnerů by mělo mít zjištěná ohrožení zabezpečení.
Doporučení k povolení diagnostických protokolů pro službu Aplikace Azure Service
- Předchozí název: Diagnostické protokoly by se měly povolit ve službě App Service.
- Nový název: Diagnostické protokoly ve službě App Service by měly být povolené.
Vyřazení kontejnerů clusteru Kubernetes by mělo naslouchat pouze na povolených zásadách portů
Kontejnery clusteru Kubernetes už by se měly vyslouchat jenom na doporučení povolených portů .
Název zásady | Popis | Účinek | Verze |
---|---|---|---|
Kontejnery clusteru Kubernetes by měly naslouchat jenom na povolených portech. | Omezte kontejnery tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro modul AKS a Kubernetes s podporou Azure Arc. Další informace najdete v tématu Principy azure Policy pro clustery Kubernetes. | audit, odepřít, zakázáno | 6.1.2 |
Služby by měly naslouchat pouze na povolených portech, mělo by se použít k omezení portů, které aplikace zveřejňuje na internetu.
Přidání sešitu Aktivní výstraha
Abychom našim uživatelům pomohli pochopit aktivní hrozby pro svá prostředí a určit prioritu mezi aktivními výstrahami během procesu nápravy, přidali jsme sešit Aktivní výstrahy.
Sešit aktivních výstrah umožňuje uživatelům zobrazit jednotný řídicí panel agregovaných výstrah podle závažnosti, typu, značky, taktiky MITRE ATT&CK a umístění. Další informace najdete v sešitu Aktivní upozornění.
Doporučení aktualizace systému přidané do cloudu státní správy
Doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače" je teď dostupné ve všech cloudech státní správy.
Je pravděpodobné, že tato změna bude mít vliv na bezpečnostní skóre vašeho cloudového předplatného státní správy. Očekáváme, že změna povede ke snížení skóre, ale je možné, že zahrnutí doporučení může v některých případech vést ke zvýšení skóre.
Prosinec 2021
Mezi aktualizace v prosinci patří:
- Plán Microsoft Defender for Containers vydaný pro obecnou dostupnost (GA)
- Nová upozornění pro Microsoft Defender for Storage vydaná pro obecnou dostupnost (GA)
- Vylepšení upozornění pro Microsoft Defender for Storage
- Výstraha PortSweeping odebraná z upozornění na vrstvu sítě
Plán Microsoft Defender for Containers vydaný pro obecnou dostupnost (GA)
Před dvěma lety jsme představili Defender pro Kubernetes a Defender pro registry kontejnerů jako součást nabídky Azure Defenderu v rámci programu Microsoft Defender for Cloud.
S vydáním programu Microsoft Defender for Containers jsme tyto dva stávající plány Defenderu sloučili.
Nový plán:
- Kombinuje funkce dvou stávajících plánů – detekce hrozeb pro clustery Kubernetes a posouzení ohrožení zabezpečení pro image uložené v registrech kontejnerů.
- Přináší nové a vylepšené funkce , včetně podpory multicloudu, detekce hrozeb na úrovni hostitele s více než šedesáti novými analýzami podporujícími Kubernetes a posouzení ohrožení zabezpečení pro spouštění imagí.
- Zavádí onboarding nativní pro Kubernetes – ve výchozím nastavení když povolíte plán, aby se všechny relevantní komponenty nasazovaly automaticky.
V této verzi se dostupnost a prezentace Defenderu pro Kubernetes a Defenderu pro registry kontejnerů změnila následujícím způsobem:
- Nová předplatná – Dva předchozí plány kontejnerů už nejsou k dispozici.
- Existující předplatná – ať se na webu Azure Portal zobrazí kdekoli, zobrazí se plány jako zastaralé s pokyny, jak upgradovat na novější plán.
Nový plán je zdarma pro měsíc prosinec 2021. Informace o potenciálních změnách fakturace ze starých plánů na Defender for Containers a další informace o výhodách zavedených v tomto plánu najdete v tématu Představujeme Microsoft Defender for Containers.
Další informace naleznete v tématu:
- Přehled Microsoft Defenderu pro kontejnery
- Povolení Microsoft Defenderu pro kontejnery
- Představujeme Microsoft Defender for Containers – Technická komunita Microsoftu
- Microsoft Defender for Containers | Defender for Cloud in the Field #3 – YouTube
Nová upozornění pro Microsoft Defender for Storage vydaná pro obecnou dostupnost (GA)
Aktéři hrozeb používají nástroje a skripty ke kontrole veřejně otevřených kontejnerů v naději, že najdou chybně nakonfigurované otevřené kontejnery úložiště s citlivými daty.
Microsoft Defender for Storage tyto skenery detekuje, abyste je mohli zablokovat a napravit stav.
Upozornění verze Preview, které zjistilo, že se jedná o anonymní kontrolu kontejnerů veřejného úložiště. Abychom získali větší přehled o zjištěných podezřelých událostech, rozdělili jsme je na dvě nová upozornění. Tato upozornění jsou relevantní jenom pro Službu Blob Storage.
Vylepšili jsme logiku detekce, aktualizovali metadata upozornění a změnili jsme název a typ upozornění.
Toto jsou nová upozornění:
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
Veřejně přístupné kontejnery úložiště byly úspěšně zjištěny. (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
Úspěšné zjištění veřejně otevřených kontejnerů úložiště ve vašem účtu úložiště proběhlo za poslední hodinu pomocí skenovacího skriptu nebo nástroje. Obvykle to značí útok na rekognoskaci, kdy se objekt actor hrozby pokusí vypsat objekty blob odhadem názvů kontejnerů v naději, že vyhledá chybně nakonfigurované otevřené kontejnery úložiště s citlivými daty. Objekt actor hrozby může použít vlastní skript nebo pomocí známých skenovacích nástrojů, jako je Microburst, vyhledat veřejně otevřené kontejnery. ✔ Azure Blob Storage ✖ Soubory Azure ✖ Azure Data Lake Storage Gen2 |
Kolekce | Střední |
Veřejně přístupné kontejnery úložiště, které se nepodařilo zkontrolovat (Storage.Blob_OpenContainersScanning.FailedAttempt) |
V poslední hodině se provedla řada neúspěšných pokusů o vyhledání veřejně otevřených kontejnerů úložiště. Obvykle to značí útok na rekognoskaci, kdy se objekt actor hrozby pokusí vypsat objekty blob odhadem názvů kontejnerů v naději, že vyhledá chybně nakonfigurované otevřené kontejnery úložiště s citlivými daty. Objekt actor hrozby může použít vlastní skript nebo pomocí známých skenovacích nástrojů, jako je Microburst, vyhledat veřejně otevřené kontejnery. ✔ Azure Blob Storage ✖ Soubory Azure ✖ Azure Data Lake Storage Gen2 |
Kolekce | Nízká |
Další informace naleznete v tématu:
- Matice hrozeb pro služby úložiště
- Přehled programu Microsoft Defender for Storage
- Seznam výstrah poskytovaných programem Microsoft Defender for Storage
Vylepšení upozornění pro Microsoft Defender for Storage
Upozornění na počáteční přístup teď mají vylepšenou přesnost a další data, která podporují šetření.
Aktéři hrozeb používají různé techniky v počátečním přístupu k získání zápatí v síti. Dvě výstrahy Microsoft Defenderu pro úložiště , které v této fázi detekují anomálie chování, teď mají vylepšenou logiku detekce a další data pro podporu vyšetřování.
Pokud jste v minulosti nakonfigurovali automatizace nebo definovali pravidla potlačení upozornění pro tato upozornění, aktualizujte je v souladu s těmito změnami.
Zjištění přístupu z výstupního uzlu Tor
Přístup z výstupního uzlu Tor může znamenat, že herec hrozeb, který se pokouší skrýt svou identitu.
Upozornění je teď vyladěné tak, aby se vygenerovalo jenom pro ověřený přístup, což vede k vyšší přesnosti a spolehlivosti, že aktivita je škodlivá. Toto vylepšení snižuje neškodnou pozitivní míru.
Odlévý vzor bude mít vysokou závažnost, zatímco méně neobvyklých vzorů bude mít střední závažnost.
Aktualizoval se název a popis upozornění. Typ výstrahy zůstává beze změny.
- Název upozornění (starý): Přístup z výstupního uzlu Tor k účtu úložiště
- Název upozornění (nový): Ověřený přístup z výstupního uzlu Tor
- Typy výstrah: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Popis: Jeden nebo více kontejnerů úložiště / sdílených složek ve vašem účtu úložiště se úspěšně přistupovalo z IP adresy, o které je známo, že se jedná o aktivní výstupní uzel Tor (anonymizující proxy server). Aktéři hrozeb používají Tor, aby bylo obtížné sledovat aktivitu zpět k nim. Ověřený přístup z výstupního uzlu Tor pravděpodobně značí, že se objekt actor hrozby pokouší skrýt svou identitu. Platí pro: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- Taktika MITRE: Počáteční přístup
- Závažnost: vysoká/střední
Neobvyklý neověřený přístup
Změna vzorů přístupu může znamenat, že aktér hrozeb mohl zneužít veřejný přístup ke čtení ke kontejnerům úložiště, a to buď zneužitím chyby v konfiguracích přístupu, nebo změnou přístupových oprávnění.
Toto upozornění střední závažnosti je teď vyladěné s vylepšenou logikou chování, vyšší přesností a jistotou, že aktivita je škodlivá. Toto vylepšení snižuje neškodnou pozitivní míru.
Aktualizoval se název a popis upozornění. Typ výstrahy zůstává beze změny.
- Název upozornění (starý): Anonymní přístup k účtu úložiště
- Název upozornění (nový): Neobvyklý neověřený přístup ke kontejneru úložiště
- Typy výstrah: Storage.Blob_AnonymousAccessAnomaly
- Popis: Tento účet úložiště byl přístupný bez ověřování, což je změna v modelu běžného přístupu. Přístup pro čtení k tomuto kontejneru se obvykle ověřuje. To může znamenat, že objekt actor hrozby mohl zneužít veřejný přístup pro čtení ke kontejnerům úložiště v těchto účtech úložiště. Platí pro: Azure Blob Storage
- Taktika MITRE: Kolekce
- Závažnost: střední
Další informace naleznete v tématu:
- Matice hrozeb pro služby úložiště
- Úvod do Programu Microsoft Defender for Storage
- Seznam výstrah poskytovaných programem Microsoft Defender for Storage
Výstraha PortSweeping odebraná z upozornění na vrstvu sítě
Z upozornění na vrstvu sítě byla odebrána následující výstraha z důvodu nevýslednosti:
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
Byla zjištěna možná aktivita prohledávání odchozích portů. (PortSweeping) |
Analýza síťového provozu zjistila podezřelý odchozí provoz z %{Ohroženého hostitele}. Tento provoz může být výsledkem aktivity prohledávání portů. Pokud je ohroženým prostředkem nástroj pro vyrovnávání zatížení nebo aplikační brána, podezřelý odchozí provoz pochází z jednoho nebo více prostředků v back-endovém fondu (nástroje pro vyrovnávání zatížení nebo aplikační brány). Pokud je toto chování úmyslné, mějte na paměti, že provádění kontroly portů je v podmínkách služby Azure. Pokud toto chování není neúmyslné, může to znamenat, že došlo k ohrožení vašeho prostředku. | Zjišťování | Střední |
Listopad 2021
Naše verze Ignite zahrnuje:
- Azure Security Center a Azure Defender se stanou Microsoft Defenderem pro cloud
- Nativní CSPM pro AWS a ochranu před hrozbami pro Amazon EKS a AWS EC2
- Stanovení priority akcí zabezpečení podle citlivosti dat (s využitím Microsoft Purview) (ve verzi Preview)
- Rozšířené posouzení kontroly zabezpečení s využitím srovnávacího testu zabezpečení Azure v3
- Volitelná obousměrná synchronizace upozornění konektoru Microsoft Sentinelu vydaná pro obecnou dostupnost
- Nové doporučení pro nabízení protokolů služby Azure Kubernetes Service (AKS) do služby Sentinel
- Doporučení mapovaná na architekturu MITRE ATT&CK® – vydaná pro obecnou dostupnost (GA)
Mezi další změny v listopadu patří:
- Služba Microsoft Threat and Vulnerability Management byla přidána jako řešení posouzení ohrožení zabezpečení – vydáno pro obecnou dostupnost (GA)
- Microsoft Defender pro koncový bod pro Linux teď podporuje Microsoft Defender pro servery – vydáno pro obecnou dostupnost (GA)
- Export snímků pro doporučení a zjištění zabezpečení (ve verzi Preview)
- Automatické zřízení řešení posouzení ohrožení zabezpečení vydaná pro obecnou dostupnost (GA)
- Filtry inventáře softwaru v inventáři prostředků vydané pro obecnou dostupnost (GA)
- Nové zásady zabezpečení AKS přidané do výchozí iniciativy – Preview
- Zobrazení inventáře místníchpočítačůch
Azure Security Center a Azure Defender se stanou Microsoft Defenderem pro cloud
Podle zprávy o stavu cloudu z roku 2021 má nyní 92 % organizací strategii s více cloudy. V Microsoftu je naším cílem centralizovat zabezpečení napříč prostředími a pomáhat týmům zabezpečení efektivněji pracovat.
Microsoft Defender for Cloud je řešení pro správu stavu zabezpečení cloudu (CSPM) a ochrany cloudových úloh (CWP), které zjišťuje slabá místa v rámci konfigurace cloudu, pomáhá posílit celkový stav zabezpečení vašeho prostředí a chrání úlohy napříč multicloudovými a hybridními prostředími.
Na konferenci Ignite 2019 jsme sdíleli naši vizi, abychom vytvořili nejúplnější přístup k zabezpečení digitálních aktiv a integraci technologií XDR pod značkou Microsoft Defenderu. Sjednocení Služby Azure Security Center a Azure Defenderu pod novým názvem Microsoft Defender for Cloud odráží integrované možnosti naší nabídky zabezpečení a schopnost podporovat jakoukoli cloudovou platformu.
Nativní CSPM pro AWS a ochranu před hrozbami pro Amazon EKS a AWS EC2
Nová stránka nastavení prostředí poskytuje větší viditelnost a kontrolu nad vašimi skupinami pro správu, předplatnými a účty AWS. Stránka je navržená pro připojení účtů AWS ve velkém měřítku: propojte svůj účet pro správu AWS a automaticky nasadíte stávající a budoucí účty.
Když přidáte účty AWS, Defender for Cloud chrání vaše prostředky AWS pomocí libovolného nebo všech následujících plánů:
- Funkce CSPM v programu Defender for Cloud se rozšiřují o vaše prostředky AWS. Tento plán bez agentů vyhodnocuje vaše prostředky AWS podle doporučení zabezpečení specifických pro AWS a jsou součástí vašeho skóre zabezpečení. Tyto prostředky se také vyhodnotí za dodržování předdefinovaných standardů specifických pro AWS (AWS CIS, AWS PCI DSS a AWS Foundational Security Best Practices). Stránka inventáře prostředků Defenderu for Cloud je funkce s podporou vícecloudu, která vám pomůže spravovat prostředky AWS společně s prostředky Azure.
- Microsoft Defender pro Kubernetes rozšiřuje detekci hrozeb kontejnerů a pokročilou obranu do clusterů Amazon EKS Linux.
- Microsoft Defender for Servers přináší detekci hrozeb a pokročilou obranu vašich instancí EC2 s Windows a Linuxem. Tento plán zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint, standardní hodnoty zabezpečení a hodnocení na úrovni operačního systému, kontrolu posouzení ohrožení zabezpečení, adaptivní řízení aplikací (AAC), monitorování integrity souborů (FIM) a další.
Přečtěte si další informace o připojení účtů AWS ke službě Microsoft Defender for Cloud.
Stanovení priority akcí zabezpečení podle citlivosti dat (s využitím Microsoft Purview) (ve verzi Preview)
Datové prostředky zůstávají oblíbeným cílem pro aktéry hrozeb. Proto je důležité, aby týmy zabezpečení identifikovaly, upřednostnily a zabezpečily citlivé datové prostředky v cloudových prostředích.
Microsoft Defender for Cloud teď integruje informace o citlivosti z Microsoft Purview, aby tento problém vyřešil. Microsoft Purview je sjednocená služba zásad správného řízení dat, která poskytuje bohaté přehledy o citlivosti vašich dat v rámci vícecloudových a místních úloh.
Integrace s Microsoft Purview rozšiřuje viditelnost zabezpečení v programu Defender for Cloud z úrovně infrastruktury dolů na data a umožňuje zcela nový způsob, jak upřednostnit prostředky a aktivity zabezpečení pro vaše bezpečnostní týmy.
Přečtěte si další informace o nastavení priority akcí zabezpečení podle citlivosti dat.
Rozšířené posouzení kontroly zabezpečení s využitím srovnávacího testu zabezpečení Azure v3
Srovnávací test zabezpečení Azure podporuje doporučení zabezpečení v programu Defender for Cloud.
Srovnávací test zabezpečení Azure je sada osvědčených postupů pro zabezpečení a dodržování předpisů specifická pro Microsoft, která je specifická pro Microsoft, na základě běžných architektur dodržování předpisů. Tento široce respektovaný srovnávací test vychází z kontrolních mechanismů centra pro internetové zabezpečení (CIS) a národního institutu NIST (National Institute of Standards and Technology) se zaměřením na zabezpečení zaměřeném na cloud.
Z konference Ignite 2021 je srovnávací test zabezpečení Azure v3 dostupný na řídicím panelu dodržování právních předpisů v programu Defender for Cloud a je povolený jako nová výchozí iniciativa pro všechna předplatná Azure chráněná pomocí Microsoft Defenderu pro cloud.
Mezi vylepšení pro v3 patří:
Další mapování na oborové architektury PCI-DSS v3.2.1 a KONTROLY CIS v8.
Podrobnější a použitelné pokyny pro ovládací prvky s uvedením:
- Principy zabezpečení – poskytuje přehled o celkových cílech zabezpečení, které tvoří základ pro naše doporučení.
- Pokyny k Azure – Technické postupy pro splnění těchto cílů
Mezi nové kontroly patří zabezpečení DevOps pro problémy, jako je modelování hrozeb a zabezpečení dodavatelského řetězce softwaru, a také správa klíčů a certifikátů pro osvědčené postupy v Azure.
Další informace najdete v úvodu ke srovnávacímu testu zabezpečení Azure.
Volitelná obousměrná synchronizace upozornění konektoru Microsoft Sentinelu vydaná pro obecnou dostupnost
V červenci jsme oznámili funkci Preview, obousměrnou synchronizaci upozornění pro integrovaný konektor v Microsoft Sentinelu (řešení SIEM a SOAR nativní pro cloud Od Microsoftu). Tato funkce je nyní vydána pro obecnou dostupnost (GA).
Když připojíte Microsoft Defender for Cloud ke službě Microsoft Sentinel, stav výstrah zabezpečení se synchronizuje mezi těmito dvěma službami. Pokud je například výstraha v programu Defender for Cloud zavřená, zobrazí se tato výstraha také jako uzavřená v Microsoft Sentinelu. Změna stavu výstrahy v defenderu pro cloud neovlivní stav žádných incidentů Služby Microsoft Sentinel, které obsahují synchronizovanou výstrahu Microsoft Sentinelu, pouze na samotné synchronizované výstrahy.
Když povolíte obousměrnou synchronizaci upozornění, automaticky synchronizujete stav původních upozornění Defenderu pro cloud s incidenty Microsoft Sentinelu, které obsahují kopie těchto výstrah. Když se například zavře incident Microsoft Sentinelu obsahující výstrahu Defenderu pro cloud, program Defender for Cloud automaticky zavře odpovídající původní výstrahu.
Další informace najdete v článku Připojení upozornění Azure Defenderu ze služby Azure Security Center a streamových upozornění ke službě Azure Sentinel.
Nové doporučení pro nabízení protokolů služby Azure Kubernetes Service (AKS) do služby Sentinel
V dalším vylepšení kombinované hodnoty Defenderu pro cloud a Microsoft Sentinel teď zvýrazníme instance služby Azure Kubernetes Service, které neodesílají data protokolů do Služby Microsoft Sentinel.
Týmy SecOps můžou zvolit příslušný pracovní prostor Microsoft Sentinelu přímo ze stránky s podrobnostmi doporučení a okamžitě povolit streamování nezpracovaných protokolů. Díky tomuto bezproblémovému propojení mezi těmito dvěma produkty je pro bezpečnostní týmy snadné zajistit úplné pokrytí protokolování napříč svými úlohami, aby zůstaly nad celým prostředím.
Nové doporučení: Diagnostické protokoly ve službách Kubernetes by měly být povolené, obsahuje možnost Opravit pro rychlejší nápravu.
Vylepšili jsme také doporučení Auditování na SQL Serveru se stejnými možnostmi streamování sentinelu.
Doporučení mapovaná na architekturu MITRE ATT&CK® – vydaná pro obecnou dostupnost (GA)
Vylepšili jsme doporučení zabezpečení defenderu for Cloud, která ukazují jejich pozici v rámci MITRE ATT&CK®. Tato globálně přístupná znalostní báze taktik a technik subjektů hrozeb na základě pozorování z reálného světa poskytuje další kontext, který vám pomůže porozumět souvisejícím rizikům doporučení pro vaše prostředí.
Tyto taktiky najdete všude, kde se dostanete k informacím o doporučení:
Výsledky dotazů Azure Resource Graphu pro relevantní doporučení zahrnují taktiku a techniky MITRE ATT&CK®.
Stránky s podrobnostmi doporučení zobrazují mapování všech relevantních doporučení:
Stránka s doporučeními v Defenderu pro cloud má nový filtr pro výběr doporučení podle jejich přidružené taktiky:
Další informace najdete v tématu Kontrola doporučení zabezpečení.
Služba Microsoft Threat and Vulnerability Management byla přidána jako řešení posouzení ohrožení zabezpečení – vydáno pro obecnou dostupnost (GA)
V říjnu jsme oznámili rozšíření integrace mezi programem Microsoft Defender for Servers a Microsoft Defenderem for Endpoint, které podporuje nového poskytovatele posouzení ohrožení zabezpečení pro vaše počítače: hrozby Microsoftu a správa ohrožení zabezpečení. Tato funkce je nyní vydána pro obecnou dostupnost (GA).
Pomocí hrozeb a správa ohrožení zabezpečení můžete zjišťovat ohrožení zabezpečení a chybné konfigurace téměř v reálném čase s integrací s povoleným programem Microsoft Defender for Endpoint a bez nutnosti dalších agentů nebo pravidelných kontrol. Hrozby a správa ohrožení zabezpečení upřednostňují ohrožení zabezpečení na základě prostředí hrozeb a detekcí ve vaší organizaci.
Pomocí doporučení zabezpečení "Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení" můžete odhalit ohrožení zabezpečení zjištěná hrozbou a správa ohrožení zabezpečení pro vaše podporované počítače.
Pokud chcete na stávajících a nových počítačích automaticky zobrazit ohrožení zabezpečení, aniž byste museli doporučení opravovat ručně, přečtěte si téma Řešení posouzení ohrožení zabezpečení, která se teď dají automaticky povolit (ve verzi Preview).
Další informace najdete v článku Prozkoumání slabých stránek v programu Microsoft Defender for Endpoint a správa ohrožení zabezpečení.
Microsoft Defender pro koncový bod pro Linux teď podporuje Microsoft Defender pro servery – vydáno pro obecnou dostupnost (GA)
V srpnu jsme oznámili podporu verze Preview pro nasazení senzoru Defenderu for Endpoint pro Linux na podporované počítače s Linuxem. Tato funkce je nyní vydána pro obecnou dostupnost (GA).
Microsoft Defender for Servers zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint. Společně poskytují komplexní možnosti detekce a reakce u koncových bodů (EDR).
Když Defender for Endpoint detekuje hrozbu, aktivuje výstrahu. Výstraha se zobrazí v programu Defender for Cloud. V programu Defender for Cloud můžete také přejít do konzoly Defenderu pro koncový bod a provést podrobné šetření, abyste odhalili rozsah útoku.
Další informace najdete v článku Ochrana koncových bodů pomocí integrovaného řešení EDR služby Security Center: Microsoft Defender for Endpoint.
Export snímků pro doporučení a zjištění zabezpečení (ve verzi Preview)
Defender for Cloud generuje podrobné výstrahy zabezpečení a doporučení. Můžete je zobrazit na portálu nebo prostřednictvím programových nástrojů. Můžete také potřebovat exportovat některé nebo všechny tyto informace pro sledování s jinými monitorovacími nástroji ve vašem prostředí.
Funkce průběžného exportu Defenderu pro cloud umožňuje plně přizpůsobit , co se bude exportovat a kam se bude exportovat. Přečtěte si další informace o průběžném exportu dat Microsoft Defenderu pro cloud.
I když se tato funkce nazývá nepřetržitě, existuje také možnost exportu týdenních snímků. Do této chvíle byly tyto týdenní snímky omezené na bezpečnostní skóre a data dodržování právních předpisů. Přidali jsme možnost exportu doporučení a zjištění zabezpečení.
Automatické zřízení řešení posouzení ohrožení zabezpečení vydaná pro obecnou dostupnost (GA)
V říjnu jsme oznámili přidání řešení posouzení ohrožení zabezpečení na stránku automatického zřizování Defenderu pro cloud. To je relevantní pro virtuální počítače Azure a počítače Azure Arc v předplatných chráněných azure Defenderem pro servery. Tato funkce je nyní vydána pro obecnou dostupnost (GA).
Pokud je povolená integrace s Programem Microsoft Defender for Endpoint , program Defender for Cloud nabízí volbu řešení posouzení ohrožení zabezpečení:
- (NOVÝ) Microsoft threat and správa ohrožení zabezpečení modulem Microsoft Defender for Endpoint (viz poznámka k vydání verze)
- Integrovaný agent Qualys
Zvolené řešení se automaticky povolí na podporovaných počítačích.
Další informace najdete v tématu Automatické konfigurace posouzení ohrožení zabezpečení pro vaše počítače.
Filtry inventáře softwaru v inventáři prostředků vydané pro obecnou dostupnost (GA)
V říjnu jsme oznámili nové filtry pro stránku inventáře aktiv pro výběr počítačů, na kterých běží konkrétní software , a dokonce jsme určili verze zájmu. Tato funkce je nyní vydána pro obecnou dostupnost (GA).
Data inventáře softwaru můžete dotazovat v Azure Resource Graph Exploreru.
Abyste mohli tyto funkce používat, budete muset povolit integraci s Microsoft Defenderem for Endpoint.
Úplné podrobnosti, včetně ukázkových dotazů Kusto pro Azure Resource Graph, najdete v tématu Přístup k inventáři softwaru.
Nové zásady zabezpečení AKS přidané do výchozí iniciativy
Aby se zajistilo, že jsou úlohy Kubernetes ve výchozím nastavení zabezpečené, zahrnuje Defender pro cloud zásady na úrovni Kubernetes a doporučení k posílení zabezpečení, včetně možností vynucení s řízením přístupu Kubernetes.
V rámci tohoto projektu jsme přidali zásadu a doporučení (ve výchozím nastavení zakázáno) pro gating deployment v clusterech Kubernetes. Zásady jsou ve výchozí iniciativě, ale jsou relevantní jenom pro organizace, které si zaregistrují související verzi Preview.
Zásady a doporučení můžete bezpečně ignorovat (clustery Kubernetes by měly vrátná nasazení ohrožených imagí) a na vaše prostředí to nebude mít žádný vliv.
Pokud se chcete zúčastnit verze Preview, budete muset být členem okruhu Preview. Pokud ještě nejste členem, odešlete sem žádost. Členové budou upozorněni na zahájení náhledu.
Zobrazení inventáře místníchpočítačůch
Abychom zlepšili prezentaci prostředků v inventáři prostředků, odebrali jsme ze šablony element "source-computer-IP" pro pojmenování místních počítačů.
- Předchozí formát:
machine-name_source-computer-id_VMUUID
- Z této aktualizace:
machine-name_VMUUID
Říjen 2021
Mezi aktualizace v říjnu patří:
- Služba Microsoft Threat and Vulnerability Management se přidala jako řešení posouzení ohrožení zabezpečení (ve verzi Preview)
- Řešení posouzení ohrožení zabezpečení teď můžou být povolená automaticky (ve verzi Preview).
- Filtry inventáře softwaru přidané do inventáře prostředků (ve verzi Preview)
- Změna předpony některých typů výstrah z ARM_ na VM_
- Změny logiky doporučení zabezpečení pro clustery Kubernetes
- Stránky s podrobnostmi doporučení teď zobrazují související doporučení.
- Nová upozornění pro Azure Defender for Kubernetes (ve verzi Preview)
Služba Microsoft Threat and Vulnerability Management se přidala jako řešení posouzení ohrožení zabezpečení (ve verzi Preview)
Rozšířili jsme integraci mezi Azure Defenderem pro servery a Microsoft Defenderem for Endpoint, abychom podporovali nového poskytovatele posouzení ohrožení zabezpečení pro vaše počítače: hrozby Microsoftu a správa ohrožení zabezpečení.
Pomocí hrozeb a správa ohrožení zabezpečení můžete zjišťovat ohrožení zabezpečení a chybné konfigurace téměř v reálném čase s integrací s povoleným programem Microsoft Defender for Endpoint a bez nutnosti dalších agentů nebo pravidelných kontrol. Hrozby a správa ohrožení zabezpečení upřednostňují ohrožení zabezpečení na základě prostředí hrozeb a detekcí ve vaší organizaci.
Pomocí doporučení zabezpečení "Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení" můžete odhalit ohrožení zabezpečení zjištěná hrozbou a správa ohrožení zabezpečení pro vaše podporované počítače.
Pokud chcete na stávajících a nových počítačích automaticky zobrazit ohrožení zabezpečení, aniž byste museli doporučení opravovat ručně, přečtěte si téma Řešení posouzení ohrožení zabezpečení, která se teď dají automaticky povolit (ve verzi Preview).
Další informace najdete v článku Prozkoumání slabých stránek v programu Microsoft Defender for Endpoint a správa ohrožení zabezpečení.
Řešení posouzení ohrožení zabezpečení teď můžou být povolená automaticky (ve verzi Preview).
Stránka automatického zřizování služby Security Center teď obsahuje možnost automatického povolení řešení posouzení ohrožení zabezpečení pro virtuální počítače Azure a počítače Azure Arc v předplatných chráněných službou Azure Defender for Servers.
Pokud je povolená integrace s Programem Microsoft Defender for Endpoint , program Defender for Cloud nabízí volbu řešení posouzení ohrožení zabezpečení:
- (NOVÝ) Microsoft threat and správa ohrožení zabezpečení modulem Microsoft Defender for Endpoint (viz poznámka k vydání verze)
- Integrovaný agent Qualys
Zvolené řešení se automaticky povolí na podporovaných počítačích.
Další informace najdete v tématu Automatické konfigurace posouzení ohrožení zabezpečení pro vaše počítače.
Filtry inventáře softwaru přidané do inventáře prostředků (ve verzi Preview)
Stránka inventáře prostředků teď obsahuje filtr pro výběr počítačů, na kterých běží konkrétní software, a dokonce i určit verze zájmu.
Kromě toho můžete dotazovat data inventáře softwaru v Azure Resource Graph Exploreru.
Pokud chcete tyto nové funkce používat, budete muset povolit integraci s Programem Microsoft Defender for Endpoint.
Úplné podrobnosti, včetně ukázkových dotazů Kusto pro Azure Resource Graph, najdete v tématu Přístup k inventáři softwaru.
Změna předpony některých typů výstrah z ARM_ na VM_
V červenci 2021 jsme oznámili logickou změnu uspořádání upozornění Azure Defenderu pro Resource Manager.
Během přeuspořádání plánů Defenderu jsme přesunuli upozornění z Azure Defenderu pro Resource Manager do Azure Defenderu pro servery.
V této aktualizaci jsme změnili předpony těchto upozornění tak, aby odpovídaly tomuto opětovnému přiřazení, a nahradili jsme "ARM_" za "VM_", jak je znázorněno v následující tabulce:
Původní název | Z této změny |
---|---|
ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
ARM_AmDisablement | VM_AmDisablement |
ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Přečtěte si další informace o plánech Azure Defender for Resource Manager a Azure Defender for Servers .
Změny logiky doporučení zabezpečení pro clustery Kubernetes
Doporučení Clustery Kubernetes by neměly používat výchozí obor názvů, brání použití výchozího oboru názvů pro celou řadu typů prostředků. Byly odebrány dva typy prostředků, které byly zahrnuty v tomto doporučení: ConfigMap a Secret.
Další informace o tomto doporučení a posílení zabezpečení clusterů Kubernetes najdete v tématu Principy služby Azure Policy pro clustery Kubernetes.
Stránky s podrobnostmi doporučení teď zobrazují související doporučení.
Abychom upřesnili vztahy mezi různými doporučeními, přidali jsme do stránek s podrobnostmi mnoha doporučení oblast Související doporučení .
Existují tři typy relací, které se zobrazují na těchto stránkách:
- Předpoklad – Doporučení, které musí být dokončeno před vybraným doporučením
- Alternativní – jiné doporučení, které poskytuje jiný způsob, jak dosáhnout cílů vybraného doporučení
- Závislý – doporučení, pro které je vybrané doporučení předpokladem
U každého souvisejícího doporučení se počet prostředků, které nejsou v pořádku, zobrazuje ve sloupci Ovlivněné prostředky.
Tip
Pokud je související doporučení neaktivní, její závislost ještě není dokončená a není k dispozici.
Příklad souvisejících doporučení:
Security Center zkontroluje podporovaná řešení posouzení ohrožení zabezpečení na vašich počítačích:
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.Pokud se některý z nich najde, dostanete oznámení o zjištěných ohroženích zabezpečení:
Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích.
Security Center vás samozřejmě nemůže informovat o zjištěných ohroženích zabezpečení, pokud nenajde podporované řešení posouzení ohrožení zabezpečení.
Proto:
- Doporučení č. 1 je předpokladem pro doporučení č. 2.
- Doporučení č. 2 závisí na doporučení č. 1.
Nová upozornění pro Azure Defender for Kubernetes (ve verzi Preview)
Abychom rozšířili ochranu před hrozbami poskytovanou azure Defenderem pro Kubernetes, přidali jsme dvě upozornění ve verzi Preview.
Tyto výstrahy se generují na základě nového modelu strojového učení a pokročilé analýzy Kubernetes, měření atributů nasazení a přiřazení rolí proti předchozím aktivitám v clusteru a napříč všemi clustery monitorovanými azure Defenderem.
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
Neobvyklé nasazení podu (Preview) (K8S_AnomalousPodDeployment) |
Analýza protokolu auditu Kubernetes zjistila nasazení podu, které je neobvyklé na základě předchozí aktivity nasazení podu. Tato aktivita je považována za anomálii při zohlednění toho, jak různé funkce, které jsou vidět v operaci nasazení, ve vztazích k sobě navzájem. Mezi funkce monitorované touto analýzou patří použitý registr imagí kontejneru, účet provádějící nasazení, den v týdnu, jak často tento účet provádí nasazení podů, uživatelský agent použitý v operaci, je to obor názvů, který se často používá k nasazení podů nebo k jiné funkci. Hlavní důvody pro vyvolání tohoto upozornění, protože neobvyklá aktivita je podrobně popsána v rozšířených vlastnostech výstrahy. | Provádění | Střední |
Nadměrné oprávnění role přiřazená v clusteru Kubernetes (Preview) (K8S_ServiceAcountPermissionAnomaly) |
Analýza protokolů auditu Kubernetes zjistila nadměrné přiřazení role oprávnění ke clusteru. Od zkoumání přiřazení rolí jsou uvedená oprávnění pro konkrétní účet služby neobvyklá. Tato detekce bere v úvahu předchozí přiřazení rolí ke stejnému účtu služby napříč clustery monitorovanými Azure, svazkem na oprávnění a dopadem konkrétního oprávnění. Model detekce anomálií používaný pro tuto výstrahu bere v úvahu způsob použití tohoto oprávnění napříč všemi clustery monitorovanými službou Azure Defender. | Elevace oprávnění | Nízká |
Úplný seznam upozornění Kubernetes najdete v tématu Výstrahy pro clustery Kubernetes.
Září 2021
V září byla vydána následující aktualizace:
Dvě nová doporučení pro audit konfigurací operačního systému pro dodržování standardních hodnot zabezpečení Azure (ve verzi Preview)
Vydali jsme následující dvě doporučení k vyhodnocení dodržování předpisů vašich počítačů se standardními hodnotami zabezpečení Windows a standardními hodnotami zabezpečení Pro Linux:
- U počítačů s Windows by se měla napravit ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s Windows (s využitím konfigurace hosta).
- V případě počítačů s Linuxem by se měla napravit ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s Linuxem (s využitím konfigurace hosta).
Tato doporučení využívají funkci konfigurace hosta služby Azure Policy k porovnání konfigurace operačního systému počítače se standardními hodnotami definovanými v srovnávacím testu zabezpečení Azure.
Přečtěte si další informace o použití těchto doporučení v konfiguraci operačního systému počítače pomocí konfigurace hosta.
Srpen 2021
Mezi aktualizace v srpnu patří:
- Microsoft Defender for Endpoint for Linux teď podporuje Azure Defender for Servers (ve verzi Preview)
- Dvě nová doporučení pro správu řešení ochrany koncových bodů (ve verzi Preview)
- Integrované řešení potíží a pokyny pro řešení běžných problémů
- Sestavy auditu Azure pro řídicí panel dodržování právních předpisů vydané pro obecnou dostupnost (GA)
- Zastaralé doporučení Problémy se stavem agenta Log Analytics by se měly vyřešit na vašich počítačích.
- Azure Defender pro registry kontejnerů teď vyhledává ohrožení zabezpečení v registrech chráněných službou Azure Private Link.
- Security Center teď může automaticky zprostředkovat rozšíření konfigurace hosta služby Azure Policy (ve verzi Preview).
- Doporučení teď podporují vynucení.
- Exporty csv s daty doporučení jsou teď omezené na 20 MB.
- Stránka Doporučení teď obsahuje více zobrazení.
Microsoft Defender for Endpoint for Linux teď podporuje Azure Defender for Servers (ve verzi Preview)
Azure Defender for Servers zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint. Společně poskytují komplexní možnosti detekce a reakce u koncových bodů (EDR).
Když Defender for Endpoint detekuje hrozbu, aktivuje výstrahu. Výstraha se zobrazí ve službě Security Center. Ze služby Security Center můžete také přejít do konzoly Defenderu pro koncový bod a provést podrobné šetření, abyste odhalili rozsah útoku.
Během období Preview nasadíte senzor Defender for Endpoint for Linux na podporované počítače s Linuxem jedním ze dvou způsobů v závislosti na tom, jestli jste ho už nasadili na počítače s Windows:
- Stávající uživatelé s povolenými funkcemi rozšířeného zabezpečení v programu Defender for Cloud a Microsoft Defenderem for Endpoint pro Windows
- Noví uživatelé, kteří nikdy nepovolili integraci s programem Microsoft Defender for Endpoint pro Windows
Další informace najdete v článku Ochrana koncových bodů pomocí integrovaného řešení EDR služby Security Center: Microsoft Defender for Endpoint.
Dvě nová doporučení pro správu řešení ochrany koncových bodů (ve verzi Preview)
Přidali jsme dvě doporučení preview pro nasazení a údržbu řešení ochrany koncových bodů na vašich počítačích. Obě doporučení zahrnují podporu virtuálních počítačů Azure a počítačů připojených k serverům s podporou Azure Arc.
Doporučení | Popis | Závažnost |
---|---|---|
Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | Pokud chcete chránit počítače před hrozbami a ohroženími zabezpečení, nainstalujte podporované řešení ochrany koncových bodů. Přečtěte si další informace o tom, jak se vyhodnocuje Endpoint Protection pro počítače. (Související zásady: Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center) |
Vysoká |
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Tady jsou popsané podporovaná řešení ochrany koncových bodů ve službě Azure Security Center. Posouzení ochrany koncových bodů je zde popsané. (Související zásady: Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center) |
Střední |
Poznámka:
Doporučení ukazují jejich interval aktuálnosti jako 8 hodin, ale některé scénáře, ve kterých to může trvat výrazně déle. Například při odstranění místního počítače trvá security Center 24 hodin, než odstranění identifikuje. Potom posouzení bude trvat až 8 hodin, než informace vrátí. V této konkrétní situaci proto může trvat 32 hodin, než se počítač odebere ze seznamu ovlivněných prostředků.
Integrované řešení potíží a pokyny pro řešení běžných problémů
Nová vyhrazená oblast stránek služby Security Center na webu Azure Portal poskytuje kompletovanou a stále rostoucí sadu materiálů samoobslužné pomoci pro řešení běžných problémů se službou Security Center a Azure Defenderem.
Pokud máte problém nebo hledáte radu od našeho týmu podpory, diagnostika a řešení problémů je dalším nástrojem, který vám pomůže najít řešení:
Sestavy auditu Azure pro řídicí panel dodržování právních předpisů vydané pro obecnou dostupnost (GA)
Panel nástrojů řídicího panelu dodržování právních předpisů nabízí sestavy certifikace Azure a Dynamics pro standardy použité pro vaše předplatná.
Můžete vybrat kartu relevantních typů sestav (PCI, SOC, ISO a další) a pomocí filtrů najít konkrétní sestavy, které potřebujete.
Další informace najdete v tématu Generování zpráv o stavu dodržování předpisů a certifikátů.
Zastaralé doporučení Problémy se stavem agenta Log Analytics by se měly vyřešit na vašich počítačích.
Zjistili jsme, že na vašich počítačích by měly být vyřešeny problémy se stavem agenta Log Analytics, které mají vliv na skóre zabezpečení, a to způsoby, které jsou nekonzistentní s fokusem služby Security Center na správu stavu zabezpečení cloudu (CSPM). CsPM obvykle souvisí s identifikací chybných konfigurací zabezpečení. Problémy se stavem agenta se nevejdou do této kategorie problémů.
Doporučení je také anomálie ve srovnání s ostatními agenty souvisejícími se službou Security Center: toto je jediný agent s doporučením souvisejícím s problémy se stavem.
Doporučení bylo zastaralé.
V důsledku tohoto vyřazení jsme také provedli menší změny doporučení pro instalaci agenta Log Analytics (agent Log Analytics by se měl nainstalovat na...).
Je pravděpodobné, že tato změna ovlivní vaše skóre zabezpečení. U většiny předplatných očekáváme, že změna povede ke zvýšení skóre, ale je možné, že aktualizace doporučení k instalaci můžou v některých případech vést ke snížení skóre.
Tip
Tato změna ovlivnila také stránku inventáře aktiv, protože zobrazuje monitorovaný stav počítačů (monitorovaný, nemonitorovaný nebo částečně monitorovaný – stav, který odkazuje na agenta s problémy se stavem).
Azure Defender pro registry kontejnerů teď vyhledává ohrožení zabezpečení v registrech chráněných službou Azure Private Link.
Azure Defender pro registry kontejnerů zahrnuje kontrolu ohrožení zabezpečení pro prohledávání imagí v registrech služby Azure Container Registry. Naučte se kontrolovat registry a opravovat zjištění v azure Defenderu pro registry kontejnerů ke kontrole ohrožení zabezpečení imagí.
Pokud chcete omezit přístup k registru hostovaného ve službě Azure Container Registry, přiřaďte koncové body registru privátní IP adresy virtuální sítě a použijte Azure Private Link, jak je vysvětleno v tématu Připojení k registru kontejnerů Azure pomocí služby Azure Private Link.
V rámci našeho průběžného úsilí o podporu dalších prostředí a případů použití teď Azure Defender také kontroluje registry kontejnerů chráněné službou Azure Private Link.
Security Center teď může automaticky zprostředkovat rozšíření konfigurace hosta služby Azure Policy (ve verzi Preview).
Azure Policy může auditovat nastavení uvnitř počítače, a to jak pro počítače spuštěné v Azure, tak i pro počítače připojené k Arc. Ověřování se provádí pomocí rozšíření Konfigurace hosta a prostřednictvím klienta. Další informace najdete v článku Vysvětlení konfigurace hosta ve službě Azure Policy.
S touto aktualizací teď můžete security Center nastavit tak, aby toto rozšíření automaticky zřizovat pro všechny podporované počítače.
Další informace o tom, jak funguje automatické zřizování, najdete v tématu Konfigurace automatického zřizování pro agenty a rozšíření.
Doporučení teď podporují vynucení.
Security Center obsahuje dvě funkce, které pomáhají zajistit, aby se nově vytvořené prostředky zřídily zabezpečeným způsobem: vynucování a zamítnutí. Když doporučení nabízí tyto možnosti, můžete zajistit splnění požadavků na zabezpečení, kdykoli se někdo pokusí vytvořit prostředek:
- Zakázat, aby se nevytvořily prostředky, které nejsou v pořádku
- Vynucování automaticky opraví prostředky, které nedodržují předpisy, když se vytvoří
V této aktualizaci je teď možnost vynucení dostupná na doporučeních pro povolení plánů Azure Defenderu (jako je azure Defender pro App Service by měla být povolená, azure Defender pro Key Vault by měl být povolený, měl by být povolený Azure Defender for Storage).
Exporty csv s daty doporučení jsou teď omezené na 20 MB.
Při exportu dat doporučení služby Security Center zavádíme limit 20 MB.
Pokud potřebujete exportovat větší objemy dat, použijte před výběrem dostupné filtry nebo vyberte podmnožinu vašich předplatných a stáhněte si data v dávkách.
Přečtěte si další informace o exportu sdíleného svazku clusteru s doporučeními zabezpečení.
Stránka Doporučení teď obsahuje více zobrazení.
Stránka s doporučeními teď obsahuje dvě karty, které poskytují alternativní způsoby zobrazení doporučení relevantních pro vaše prostředky:
- Doporučení k skóre zabezpečení – Na této kartě můžete zobrazit seznam doporučení seskupených podle ovládacího prvku zabezpečení. Přečtěte si další informace o těchto ovládacích prvcích zabezpečení a jejich doporučeních.
- Všechna doporučení – na této kartě můžete zobrazit seznam doporučení jako plochý seznam. Tato karta je také skvělá pro pochopení toho, která iniciativa (včetně standardů dodržování právních předpisů) doporučení vygenerovala. Přečtěte si další informace o iniciativách a jejich vztahu k doporučením v tématu Co jsou zásady zabezpečení, iniciativy a doporučení?
Červenec 2021
Mezi aktualizace v červenci patří:
- Konektor Azure Sentinel teď obsahuje volitelnou obousměrnou synchronizaci upozornění (ve verzi Preview).
- Logická změna uspořádání upozornění Azure Defenderu pro Resource Manager
- Vylepšení doporučení pro povolení služby Azure Disk Encryption (ADE)
- Průběžný export dat o skóre zabezpečení a dodržování právních předpisů vydaných pro obecnou dostupnost (GA)
- Automatizace pracovních postupů se dají aktivovat změnami posouzení dodržování právních předpisů (GA).
- Pole rozhraní API pro posouzení FirstEvaluationDate a StatusChangeDate je teď dostupné ve schématech pracovních prostorů a aplikacích logiky.
- Šablona sešitu Dodržování předpisů v průběhu času přidaná do galerie sešitů služby Azure Monitor
Konektor Azure Sentinel teď obsahuje volitelnou obousměrnou synchronizaci upozornění (ve verzi Preview).
Security Center se nativně integruje se službou Azure Sentinel, cloudovým nativním řešením SIEM a SOAR v Azure.
Azure Sentinel zahrnuje integrované konektory pro Azure Security Center na úrovni předplatného a tenanta. Další informace najdete v upozorněních služby Stream do služby Azure Sentinel.
Když připojíte Azure Defender k Azure Sentinelu, stav upozornění Azure Defenderu, která se ingestují do Služby Azure Sentinel, se synchronizuje mezi těmito dvěma službami. Pokud je například výstraha v Azure Defenderu zavřená, zobrazí se tato výstraha také jako uzavřená ve službě Azure Sentinel. Změna stavu výstrahy v Azure Defenderu nemá vliv na stav všech incidentů Azure Sentinelu, které obsahují synchronizovanou výstrahu Azure Sentinelu, pouze na samotné synchronizované upozornění.
Když povolíte obousměrnou synchronizaci upozornění ve verzi Preview, automaticky synchronizuje stav původních upozornění Azure Defenderu s incidenty Azure Sentinelu, které obsahují kopie těchto upozornění Azure Defenderu. Takže když se například zavře incident služby Azure Sentinel obsahující výstrahu Azure Defenderu, Azure Defender automaticky zavře odpovídající původní výstrahu.
Další informace najdete v článku Připojení upozornění Azure Defenderu ze služby Azure Security Center.
Logická změna uspořádání upozornění Azure Defenderu pro Resource Manager
Níže uvedené výstrahy byly poskytnuty jako součást plánu Azure Defender for Resource Manager .
V rámci logické reorganizace některých plánů Azure Defenderu jsme přesunuli některá upozornění z Azure Defenderu pro Resource Manager do Azure Defenderu pro servery.
Výstrahy jsou uspořádány podle dvou hlavních principů:
- Výstrahy, které poskytují ochranu roviny řízení – napříč mnoha typy prostředků Azure – jsou součástí Azure Defenderu pro Resource Manager
- Výstrahy, které chrání konkrétní úlohy, jsou v plánu Azure Defenderu, který souvisí s odpovídající úlohou
Toto jsou výstrahy, které byly součástí Azure Defenderu pro Resource Manager a které jsou v důsledku této změny nyní součástí Azure Defenderu pro servery:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Přečtěte si další informace o plánech Azure Defender for Resource Manager a Azure Defender for Servers .
Vylepšení doporučení pro povolení služby Azure Disk Encryption (ADE)
Po odeslání zpětné vazby uživatelů jsme přejmenovali na virtuální počítače doporučené šifrování disků.
Nové doporučení používá stejné ID posouzení a označuje se jako Virtuální počítače, měly by šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště.
Popis byl také aktualizován, aby lépe vysvětlil účel tohoto doporučení posílení zabezpečení:
Doporučení | Popis | Závažnost |
---|---|---|
Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou; dočasné disky a mezipaměti dat nejsou šifrované a při toku mezi výpočetními prostředky a prostředky úložiště se data nešifrují. Další informace najdete v porovnání různých technologií šifrování disků v Azure. Pomocí služby Azure Disk Encryption zašifrujte všechna tato data. Toto doporučení ignorujte, pokud (1) používáte funkci šifrování na hostiteli nebo (2) šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v šifrování Azure Disk Storage na straně serveru. |
Vysoká |
Průběžný export dat o skóre zabezpečení a dodržování právních předpisů vydaných pro obecnou dostupnost (GA)
Průběžný export poskytuje mechanismus pro export výstrah zabezpečení a doporučení pro sledování s dalšími monitorovacími nástroji ve vašem prostředí.
Když nastavíte průběžný export, nakonfigurujete, co se exportuje a kam se přesune. Další informace najdete v přehledu průběžného exportu.
Tuto funkci jsme v průběhu času vylepšili a rozšířili:
V listopadu 2020 jsme přidali možnost preview streamovat změny ve vašem skóre zabezpečení.
V prosinci 2020 jsme přidali možnost preview streamovat změny v datech posouzení dodržování právních předpisů.
V této aktualizaci jsou tyto dvě možnosti vydány pro obecnou dostupnost (GA).
Automatizace pracovních postupů se dají aktivovat změnami posouzení dodržování právních předpisů (GA).
V únoru 2021 jsme do možností triggeru pro automatizaci pracovních postupů přidali třetí datový typ preview : změny v posouzení dodržování právních předpisů. Další informace o automatizacích pracovních postupů můžou aktivovat změny v posouzení dodržování právních předpisů.
V této aktualizaci je tato možnost triggeru vydána pro obecnou dostupnost (GA).
Naučte se používat nástroje pro automatizaci pracovních postupů v automatizaci odpovědí na triggery služby Security Center.
Pole rozhraní API pro posouzení FirstEvaluationDate a StatusChangeDate je teď dostupné ve schématech pracovních prostorů a aplikacích logiky.
V květnu 2021 jsme aktualizovali rozhraní API pro posouzení o dvě nová pole FirstEvaluationDate a StatusChangeDate. Úplné podrobnosti najdete v rozbaleném rozhraní API pro posouzení se dvěma novými poli.
Tato pole byla přístupná prostřednictvím rozhraní REST API, Azure Resource Graphu, průběžného exportu a v exportech CSV.
Díky této změně zpřístupňujeme informace ve schématu pracovního prostoru služby Log Analytics a z aplikací logiky.
Šablona sešitu Dodržování předpisů v průběhu času přidaná do galerie sešitů služby Azure Monitor
V březnu jsme oznámili integrované prostředí sešitů služby Azure Monitor ve službě Security Center (viz sešity služby Azure Monitor integrované do služby Security Center a tři poskytnuté šablony).
Počáteční verze obsahovala tři šablony pro vytváření dynamických a vizuálních sestav o stavu zabezpečení vaší organizace.
Teď jsme přidali sešit vyhrazený ke sledování dodržování předpisů nebo oborových standardů předplatného.
Seznamte se s používáním těchto sestav nebo vytvářením vlastních sestav v bohatých interaktivních sestavách dat služby Security Center.
Červen 2021
Mezi aktualizace v červnu patří:
- Nové upozornění pro Azure Defender for Key Vault
- Doporučení k šifrování pomocí klíčů spravovaných zákazníkem (CMK) ve výchozím nastavení
- Předpona pro upozornění Kubernetes se změnila z "AKS_" na "K8S_"
- Zastaralá dvě doporučení z ovládacího prvku Zabezpečení Použít aktualizace systému
Nové upozornění pro Azure Defender for Key Vault
Abychom rozšířili ochranu před hrozbami poskytovanou službou Azure Defender for Key Vault, přidali jsme následující upozornění:
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
Přístup z podezřelé IP adresy k trezoru klíčů (KV_SuspiciousIPAccess) |
Trezor klíčů byl úspěšně přístupný IP identifikovanou službou Microsoft Threat Intelligence jako podezřelou IP adresou. To může znamenat, že vaše infrastruktura byla ohrožena. Doporučujeme provést další šetření. | Přístup k přihlašovacím údajům | Střední |
Další informace naleznete v tématu:
- Úvod do služby Azure Defender for Key Vault
- Reakce na upozornění služby Azure Defender for Key Vault
- Seznam upozornění poskytovaných službou Azure Defender for Key Vault
Doporučení k šifrování pomocí klíčů spravovaných zákazníkem (CMK) ve výchozím nastavení
Security Center obsahuje několik doporučení k šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem, například:
- Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
- Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
- Pracovní prostory Služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem (CMK).
Data v Azure se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít jenom v případě, že se vyžaduje dodržování konkrétních zásad, které se vaše organizace rozhodla vynutit.
Při této změně jsou teď doporučení k používání sad CMK ve výchozím nastavení zakázaná. Pokud jsou relevantní pro vaši organizaci, můžete je povolit změnou parametru Efekt odpovídajících zásad zabezpečení na AuditIfNotExists nebo Enforce. Další informace najdete v článku Povolení doporučení zabezpečení.
Tato změna se projeví v názvech doporučení s novou předponou [Povolit v případě potřeby], jak je znázorněno v následujících příkladech:
- [Povolit v případě potřeby] Účty úložiště by měly k šifrování neaktivních uložených dat používat klíč spravovaný zákazníkem.
- [Povolit v případě potřeby] Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
- [Povolit v případě potřeby] Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
Předpona pro upozornění Kubernetes se změnila z "AKS_" na "K8S_"
Azure Defender pro Kubernetes nedávno rozšířil o ochranu clusterů Kubernetes hostovaných místně i v prostředích s více cloudy. Další informace o použití Azure Defenderu pro Kubernetes k ochraně hybridních a multicloudových nasazení Kubernetes (ve verzi Preview)
Abychom odráželi skutečnost, že výstrahy zabezpečení poskytované Azure Defenderem pro Kubernetes už nejsou omezené na clustery ve službě Azure Kubernetes Service, změnili jsme předponu typů výstrah z "AKS_" na "K8S_". V případě potřeby se také aktualizovaly názvy a popisy. Například tato výstraha:
Výstraha (typ výstrahy) | Popis |
---|---|
Zjistil se nástroj pro penetrační testování Kubernetes. (AKS_PenTestToolsKubeHunter) |
Analýza protokolu auditu Kubernetes zjistila využití nástroje pro penetrační testování Kubernetes v clusteru AKS . I když toto chování může být legitimní, útočníci můžou takové veřejné nástroje používat pro škodlivé účely. |
Změna na tuto výstrahu:
Výstraha (typ výstrahy) | Popis |
---|---|
Zjistil se nástroj pro penetrační testování Kubernetes. (K8S_PenTestToolsKubeHunter) |
Analýza protokolu auditu Kubernetes zjistila využití nástroje pro penetrační testování Kubernetes v clusteru Kubernetes . I když toto chování může být legitimní, útočníci můžou takové veřejné nástroje používat pro škodlivé účely. |
Všechna pravidla potlačení, která odkazují na výstrahy začínající na "AKS_", byly automaticky převedeny. Pokud jste nastavili exporty SIEM nebo vlastní automatizační skripty, které odkazují na výstrahy Kubernetes podle typu upozornění, budete je muset aktualizovat pomocí nových typů upozornění.
Úplný seznam upozornění Kubernetes najdete v tématu Výstrahy pro clustery Kubernetes.
Zastaralá dvě doporučení z ovládacího prvku Zabezpečení Použít aktualizace systému
Následující dvě doporučení jsou zastaralá:
- Pro role cloudové služby by se měla aktualizovat verze operačního systému – Azure ve výchozím nastavení pravidelně aktualizuje hostovaný operační systém na nejnovější podporovanou image v rámci řady operačních systémů, kterou jste zadali v konfiguraci služby (.cscfg), jako je Windows Server 2016.
- Služby Kubernetes by se měly upgradovat na verzi Kubernetes , která není ohrožená . Hodnocení tohoto doporučení nejsou tak široké, jak bychom chtěli. Plánujeme nahradit doporučení vylepšenou verzí, která je lépe v souladu s vašimi potřebami zabezpečení.
2021. květen
Mezi aktualizace v květnu patří:
- Azure Defender pro DNS a Azure Defender for Resource Manager vydané pro obecnou dostupnost (GA)
- Azure Defender pro opensourcové relační databáze vydané pro obecnou dostupnost (GA)
- Nová upozornění pro Azure Defender for Resource Manager
- Kontrola ohrožení zabezpečení CI/CD s využitím pracovních postupů GitHubu a Azure Defenderu (Preview)
- Pro některá doporučení jsou k dispozici další dotazy Resource Graphu.
- Změna závažnosti doporučení klasifikace dat SQL
- Nová doporučení pro povolení důvěryhodných možností spouštění (ve verzi Preview)
- Nová doporučení pro posílení zabezpečení clusterů Kubernetes (ve verzi Preview)
- Rozbalené rozhraní API pro posouzení se dvěma novými poli
- Inventář prostředků získá filtr cloudového prostředí.
Azure Defender pro DNS a Azure Defender for Resource Manager vydané pro obecnou dostupnost (GA)
Tyto dva plány ochrany před hrozbami nativní pro cloud jsou teď obecně dostupné.
Tyto nové ochrany výrazně zvyšují odolnost proti útokům z herců před hrozbami a výrazně zvyšují počet prostředků Azure chráněných službou Azure Defender.
Azure Defender pro Resource Manager – automaticky monitoruje všechny operace správy prostředků prováděné ve vaší organizaci. Další informace naleznete v tématu:
Azure Defender pro DNS – nepřetržitě monitoruje všechny dotazy DNS z vašich prostředků Azure. Další informace naleznete v tématu:
Pokud chcete zjednodušit proces povolování těchto plánů, použijte doporučení:
- Azure Defender for Resource Manager by měl být povolený.
- Azure Defender pro DNS by měl být povolený.
Poznámka:
Povolení plánů Azure Defenderu vede k poplatkům. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center.
Azure Defender pro opensourcové relační databáze vydané pro obecnou dostupnost (GA)
Azure Security Center rozšiřuje svou nabídku pro ochranu SQL novou sadou, která pokrývá vaše opensourcové relační databáze:
- Azure Defender pro databázové servery Azure SQL – chrání vaše sql servery nativní pro Azure
- Azure Defender pro SQL servery na počítačích – rozšiřuje stejnou ochranu na vaše SQL servery v hybridních, multicloudových a místních prostředích.
- Azure Defender pro opensourcové relační databáze – chrání jednoúčelové servery Azure Database for MySQL, PostgreSQL a MariaDB.
Azure Defender pro opensourcové relační databáze neustále monitoruje vaše servery pro bezpečnostní hrozby a detekuje neobvyklé databázové aktivity označující potenciální hrozby pro Azure Database for MySQL, PostgreSQL a MariaDB. Zde je několik příkladů:
- Podrobná detekce útoků hrubou silou – Azure Defender pro opensourcové relační databáze poskytuje podrobné informace o pokusech a úspěšných útocích hrubou silou. Díky tomu můžete prozkoumat a reagovat s podrobnějším pochopením povahy a stavu útoku na vaše prostředí.
- Detekce upozornění chování – Azure Defender pro opensourcové relační databáze vás upozorní na podezřelé a neočekávané chování na vašich serverech, jako jsou změny ve vzoru přístupu k vaší databázi.
- Detekce založená na analýze hrozeb – Azure Defender používá analýzu hrozeb Od Microsoftu a rozsáhlou znalostní báze k upozorněním na hrozby, abyste s nimi mohli jednat.
Další informace najdete v úvodu do Azure Defenderu pro opensourcové relační databáze.
Nová upozornění pro Azure Defender for Resource Manager
Abychom rozšířili ochranu před hrozbami poskytovanou azure Defenderem pro Resource Manager, přidali jsme následující výstrahy:
Výstraha (typ výstrahy) | Popis | Taktika MITRE | Závažnost |
---|---|---|---|
Oprávnění udělená pro roli RBAC neobvyklým způsobem pro vaše prostředí Azure (Preview) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender for Resource Manager zjistil přiřazení role RBAC, které je neobvyklé ve srovnání s jinými přiřazeními prováděnými stejným přiřazovačem nebo prováděným pro stejného přiřazeného uživatele / ve vašem tenantovi kvůli následujícím anomáliím: čas přiřazení, umístění přiřazovače, přiřazovač, metoda ověřování, přiřazené entity, použitý klientský software, rozsah přiřazení. Tato operace mohla být provedena legitimním uživatelem ve vaší organizaci. Případně to může znamenat, že došlo k porušení zabezpečení účtu ve vaší organizaci a že se aktér hrozby pokouší udělit oprávnění dalšímu uživatelskému účtu, který vlastní. | Laterální pohyb, obrana před únikem | Střední |
Privilegovaná vlastní role vytvořená pro vaše předplatné podezřelým způsobem (Preview) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender pro Resource Manager zjistil podezřelé vytvoření definice privilegované vlastní role ve vašem předplatném. Tato operace mohla být provedena legitimním uživatelem ve vaší organizaci. Případně to může znamenat, že došlo k porušení zabezpečení účtu ve vaší organizaci a že se aktér hrozby pokouší vytvořit privilegovanou roli, která se použije v budoucnu k odstranění detekce. | Laterální pohyb, obrana před únikem | Nízká |
Operace Azure Resource Manageru z podezřelé IP adresy (Preview) (ARM_OperationFromSuspiciousIP) |
Azure Defender for Resource Manager zjistil operaci z IP adresy, která byla označena jako podezřelá v informačních kanálech analýzy hrozeb. | Provádění | Střední |
Operace Azure Resource Manageru z podezřelé IP adresy proxy serveru (Preview) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender for Resource Manager zjistil operaci správy prostředků z IP adresy přidružené ke službám proxy, jako je TOR. I když toto chování může být legitimní, často se to projevuje ve škodlivých aktivitách, když se aktéři hrozeb pokusí skrýt zdrojovou IP adresu. | Obrana před únikem | Střední |
Další informace naleznete v tématu:
- Úvod do Azure Defenderu pro Resource Manager
- Reakce na upozornění Azure Defenderu pro Resource Manager
- Seznam výstrah poskytovaných Azure Defenderem pro Resource Manager
Kontrola ohrožení zabezpečení CI/CD s využitím pracovních postupů GitHubu a Azure Defenderu (Preview)
Azure Defender pro registry kontejnerů teď poskytuje týmům DevSecOps pozorovatelnost v pracovních postupech GitHub Actions.
Nová funkce kontroly ohrožení zabezpečení pro image kontejnerů, která využívá Trivy, vám pomůže vyhledat běžná ohrožení zabezpečení v jejich imagích kontejnerů před nasdílením imagí do registrů kontejnerů.
Sestavy kontroly kontejnerů jsou shrnuté ve službě Azure Security Center a poskytují týmům zabezpečení lepší přehled a porozumění zdroji ohrožených imagí kontejnerů a pracovních postupů a úložišť, ze kterých pocházejí.
Další informace najdete v článku Identifikace ohrožených imagí kontejnerů v pracovních postupech CI/CD.
Pro některá doporučení jsou k dispozici další dotazy Resource Graphu.
Všechna doporučení služby Security Center mají možnost zobrazit informace o stavu ovlivněných prostředků pomocí Azure Resource Graphu z dotazu Otevřít. Úplné podrobnosti o této výkonné funkci najdete v tématu Kontrola dat doporučení v Azure Resource Graph Exploreru.
Security Center obsahuje integrované kontroly ohrožení zabezpečení pro kontrolu virtuálních počítačů, SQL serverů a jejich hostitelů a registrů kontejnerů z hlediska ohrožení zabezpečení. Tato zjištění se vrátí jako doporučení se všemi jednotlivými zjištěními jednotlivých typů prostředků shromážděnými do jednoho zobrazení. Doporučení jsou:
- Chyby zabezpečení v imagích služby Azure Container Registry by se měly napravit (využívají technologii Qualys).
- Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích.
- Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení
- Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích
Pomocí této změny můžete pomocí tlačítka Otevřít dotaz otevřít také dotaz zobrazující zjištění zabezpečení.
Tlačítko Otevřít dotaz nabízí další možnosti pro některá další doporučení, pokud jsou relevantní.
Další informace o skenerech ohrožení zabezpečení služby Security Center:
- Integrovaný skener ohrožení zabezpečení Qualys v Azure Defenderu pro azure a hybridní počítače
- Integrovaný skener posouzení ohrožení zabezpečení v programu Azure Defender pro servery SQL
- Integrovaný skener posouzení ohrožení zabezpečení v Azure Defenderu pro registry kontejnerů
Změna závažnosti doporučení klasifikace dat SQL
Závažnost doporučení Citlivá data v databázích SQL by se měla klasifikovat z vysoké na nízká.
Toto je součástí probíhající změny tohoto doporučení oznámené na naší stránce nadcházejících změn.
Nová doporučení pro povolení důvěryhodných možností spouštění (ve verzi Preview)
Azure nabízí důvěryhodné spuštění jako bezproblémový způsob, jak zlepšit zabezpečení virtuálních počítačů generace 2 . generace. Důvěryhodné spuštění chrání před pokročilými a trvalými technikami útoku. Důvěryhodné spuštění se skládá z několika koordinovaných technologií infrastruktury, které lze povolit nezávisle. Každá technologie poskytuje další vrstvu ochrany před sofistikovanými hrozbami. Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure.
Důležité
Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů. U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění.
Důvěryhodné spuštění je aktuálně ve verzi Public Preview. Verze Preview se poskytuje bez smlouvy o úrovni služeb a nedoporučuje se pro produkční úlohy. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti.
Doporučení služby Security Center, virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích a zajišťuje, že vaše virtuální počítače Azure používají virtuální počítač vTPM. Tato virtualizovaná verze hardwarového modulu Trusted Platform Module umožňuje ověření pomocí měření celého spouštěcího řetězce vašeho virtuálního počítače (UEFI, OS, systému a ovladačů).
S povoleným virtuálním heslem může rozšíření Ověření identity hosta vzdáleně ověřit zabezpečené spouštění. Následující doporučení zajišťují, že je toto rozšíření nasazené:
- Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění.
- Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows.
- Rozšíření Ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Windows.
- Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem.
- Rozšíření Ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem.
Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure.
Nová doporučení pro posílení zabezpečení clusterů Kubernetes (ve verzi Preview)
Následující doporučení umožňují ještě více posílit zabezpečení clusterů Kubernetes.
- Clustery Kubernetes by neměly používat výchozí obor názvů – Pokud chcete chránit před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount, zabraňte použití výchozího oboru názvů v clusterech Kubernetes.
- Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API – Pokud chcete zabránit potenciálně ohroženým prostředkům podu ve spouštění příkazů rozhraní API pro clustery Kubernetes, zakažte přihlašovací údaje rozhraní API pro automatické připojování.
- Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAPSYSADMIN
Zjistěte, jak security Center dokáže chránit kontejnerizovaná prostředí v zabezpečení kontejnerů ve službě Security Center.
Rozbalené rozhraní API pro posouzení se dvěma novými poli
Do rozhraní REST API pro posouzení jsme přidali následující dvě pole:
- FirstEvaluationDate – čas vytvoření a vyhodnocení doporučení. Vráceno jako čas UTC ve formátu ISO 8601.
- StatusChangeDate – čas poslední změny stavu doporučení. Vráceno jako čas UTC ve formátu ISO 8601.
Počáteční výchozí hodnota pro tato pole – pro všechna doporučení – je 2021-03-14T00:00:00+0000000Z
.
Pro přístup k tomuto informacím můžete použít některou z metod v následující tabulce.
Nástroj | Detaily |
---|---|
Volání rozhraní REST API | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
Azure Resource Graph | securityresources where type == "microsoft.security/assessments" |
Průběžný export | Dvě vyhrazená pole budou k dispozici data pracovního prostoru služby Log Analytics. |
Export CSV | Dvě pole jsou zahrnutá v souborech CSV. |
Přečtěte si další informace o rozhraní REST API pro posouzení.
Inventář prostředků získá filtr cloudového prostředí.
Stránka inventáře prostředků služby Security Center nabízí mnoho filtrů pro rychlé upřesnění seznamu zobrazených prostředků. Další informace najdete v části Prozkoumání a správa prostředků pomocí inventáře prostředků.
Nový filtr nabízí možnost upřesnit seznam podle cloudových účtů, které jste připojili k multicloudové funkci služby Security Center.
Další informace o možnostech s více cloudy:
- Připojení účtů AWS ke službě Azure Security Center
- Připojení projektů GCP ke službě Azure Security Center
2021. duben
Mezi aktualizace v dubnu patří:
- Obnovená stránka stavu prostředku (ve verzi Preview)
- Image registru kontejneru, které byly nedávno staženy, se teď znovu naskenují každý týden (vydané pro obecnou dostupnost (GA))
- Použití Azure Defenderu pro Kubernetes k ochraně hybridních a multicloudových nasazení Kubernetes (ve verzi Preview)
- Integrace Microsoft Defenderu pro koncové body s Azure Defenderem teď podporuje Windows Server 2019 a Windows 10 ve Windows Virtual Desktopu vydané pro obecnou dostupnost (GA).
- Doporučení k povolení Azure Defenderu pro DNS a Resource Manageru (ve verzi Preview)
- Byly přidány tři standardy dodržování právních předpisů: Azure CIS 1.3.0, CMMC Level 3 a New Zealand ISM Restricted
- Čtyři nová doporučení související s konfigurací hosta (ve verzi Preview)
- Doporučení CMK se přesunula na řízení zabezpečení osvědčených postupů
- Jedenáct upozornění Azure Defenderu jsou zastaralá.
- Byla zastaralá dvě doporučení z ovládacího prvku "Použít aktualizace systému".
- Dlaždice Azure Defenderu pro SQL na počítači odebraná z řídicího panelu Azure Defenderu
- Doporučení se přesunula mezi bezpečnostními prvky.
Obnovená stránka stavu prostředku (ve verzi Preview)
Služba Resource Health byla rozšířena, vylepšena a vylepšena tak, aby poskytovala přehled o celkovém stavu jednoho prostředku.
Můžete si projít podrobné informace o prostředku a všechna doporučení, která se na tento prostředek vztahují. Pokud používáte plány rozšířené ochrany v programu Microsoft Defender, můžete také zobrazit nezaplacené výstrahy zabezpečení pro tento konkrétní prostředek.
Pokud chcete otevřít stránku stavu prostředku pro prostředek, vyberte na stránce inventáře prostředků libovolný prostředek.
Tato stránka náhledu na stránkách portálu služby Security Center zobrazuje:
- Informace o prostředku – skupina prostředků a předplatné, ke kterému je připojená, zeměpisné umístění a další.
- Použitá funkce zabezpečení – určuje, jestli je pro prostředek povolený Azure Defender.
- Počty nevyřízených doporučení a upozornění – počet nevyřízených doporučení zabezpečení a upozornění Azure Defenderu
- Doporučení a upozornění s možností akce – Dvě karty uvádějí doporučení a výstrahy, které se vztahují na prostředek.
Další informace najdete v kurzu: Prozkoumání stavu vašich prostředků.
Image registru kontejneru, které byly nedávno staženy, se teď znovu naskenují každý týden (vydané pro obecnou dostupnost (GA))
Azure Defender pro registry kontejnerů zahrnuje integrovanou kontrolu ohrožení zabezpečení. Tento skener okamžitě naskenuje všechny image, které nasdílíte do registru, a všechny image načítané během posledních 30 dnů.
Nová ohrožení zabezpečení se zjistila každý den. V této aktualizaci se image kontejnerů, které byly načítané z vašich registrů během posledních 30 dnů, znovu naskenují každý týden. Tím se zajistí, že se na obrázcích identifikují nově zjištěná ohrožení zabezpečení.
Skenování se účtuje na základě obrázku, takže za tyto opakované prohledávání se neúčtují žádné další poplatky.
Další informace o tomto skeneru najdete v tématu Použití Azure Defenderu pro registry kontejnerů ke kontrole ohrožení zabezpečení imagí.
Použití Azure Defenderu pro Kubernetes k ochraně hybridních a multicloudových nasazení Kubernetes (ve verzi Preview)
Azure Defender pro Kubernetes rozšiřuje své možnosti ochrany před hrozbami, aby chránil vaše clustery bez ohledu na to, kde jsou nasazené. To bylo povoleno integrací s Kubernetes s podporou Azure Arc a jeho novými možnostmi rozšíření.
Když povolíte Azure Arc na clusterech mimo Azure Kubernetes, nabídne azure Security Center nové doporučení k nasazení agenta Azure Defenderu jenom několika kliknutími.
Použijte doporučení (clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Defenderu) a rozšíření pro ochranu clusterů Kubernetes nasazených v jiných poskytovatelích cloudu, i když ne ve spravovaných službách Kubernetes.
Tato integrace mezi Azure Security Center, Azure Defenderem a Kubernetes s podporou Azure Arc přináší:
- Snadné zřizování agenta Azure Defenderu pro nechráněné clustery Kubernetes s podporou Azure Arc (ručně i ve velkém)
- Monitorování agenta Azure Defenderu a jeho stavu zřizování z portálu Azure Arc
- Doporučení zabezpečení ze služby Security Center se hlásí na nové stránce Zabezpečení na portálu Azure Arc.
- Zjištěné bezpečnostní hrozby z Azure Defenderu se zobrazují na nové stránce zabezpečení na portálu Azure Arc.
- Clustery Kubernetes s podporou Azure Arc jsou integrované do platformy a prostředí služby Azure Security Center.
Přečtěte si další informace o použití Azure Defenderu pro Kubernetes s místními a multicloudovými clustery Kubernetes.
Integrace Microsoft Defenderu pro koncové body s Azure Defenderem teď podporuje Windows Server 2019 a Windows 10 ve Windows Virtual Desktopu vydané pro obecnou dostupnost (GA).
Microsoft Defender for Endpoint je ucelené cloudové řešení zabezpečení koncových bodů. Poskytuje správa ohrožení zabezpečení a hodnocení na základě rizik a také detekce a reakce u koncových bodů (EDR). Úplný seznam výhod použití defenderu pro koncový bod společně se službou Azure Security Center najdete v tématu Ochrana koncových bodů pomocí integrovaného řešení EDR služby Security Center: Microsoft Defender for Endpoint.
Když povolíte Azure Defender pro servery se systémem Windows Server, je součástí plánu licence pro Defender for Endpoint. Pokud jste už povolili Azure Defender for Servers a máte ve svém předplatném servery Windows Server 2019, automaticky obdrží program Defender for Endpoint s touto aktualizací. Nevyžaduje se žádná ruční akce.
Podpora je teď rozšířená tak, aby zahrnovala Windows Server 2019 a Windows 10 ve Windows Virtual Desktopu.
Poznámka:
Pokud na serveru s Windows Serverem 2019 povolíte Defender for Endpoint, ujistěte se, že splňuje požadavky popsané v tématu Povolení integrace Microsoft Defenderu for Endpoint.
Doporučení k povolení Azure Defenderu pro DNS a Resource Manageru (ve verzi Preview)
Přidali jsme dvě nová doporučení, která zjednodušují proces povolení Azure Defenderu pro Resource Manager a Azure Defender pro DNS:
- Azure Defender for Resource Manager by měl být povolený – Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu.
- Azure Defender pro DNS by měl být povolený – Defender for DNS poskytuje další vrstvu ochrany cloudových prostředků nepřetržitým monitorováním všech dotazů DNS z vašich prostředků Azure. Azure Defender vás upozorní na podezřelou aktivitu ve vrstvě DNS.
Povolení plánů Azure Defenderu vede k poplatkům. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center.
Tip
Doporučení ve verzi Preview nevykreslují prostředek, který není v pořádku, a nejsou součástí výpočtů vašeho skóre zabezpečení. Opravte je tam, kde je to možné, aby po skončení období preview přispěli k vašemu skóre. Přečtěte si další informace o tom, jak reagovat na tato doporučení v tématu Náprava doporučení ve službě Azure Security Center.
Byly přidány tři standardy dodržování právních předpisů: Azure CIS 1.3.0, CMMC Level 3 a New Zealand ISM Restricted
Přidali jsme tři standardy pro použití se službou Azure Security Center. Pomocí řídicího panelu dodržování právních předpisů teď můžete sledovat dodržování předpisů:
- Srovnávací test CIS Microsoft Azure Foundations 1.3.0
- CMMC level 3
- Nový Zéland ISM s omezeným přístupem
Můžete je přiřadit svým předplatným, jak je popsáno v části Přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.
Další informace najdete v:
- Přizpůsobení sady standardů na řídicím panelu pro dodržování právních předpisů
- Kurz: Vylepšení dodržování právních předpisů
- Nejčastější dotazy – Řídicí panel pro dodržování právních předpisů
Čtyři nová doporučení související s konfigurací hosta (ve verzi Preview)
Sestavy rozšíření Konfigurace hosta v Azure do služby Security Center, které pomáhají zajistit posílení nastavení v hostu vašich virtuálních počítačů. U serverů s podporou služby Arc se toto rozšíření nevyžaduje, protože je součástí agenta Arc Connected Machine Agent. Rozšíření vyžaduje na počítači identitu spravovanou systémem.
Do služby Security Center jsme přidali čtyři nová doporučení, která toto rozšíření navýšili na maximum.
Dvě doporučení vás vyzve k instalaci rozšíření a požadované systémové spravované identity:
- Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích.
- Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem.
Když je rozšíření nainstalované a spuštěné, začne auditovat počítače a zobrazí se výzva k posílení nastavení, jako je konfigurace operačního systému a nastavení prostředí. Tato dvě doporučení vás vyzve k posílení zabezpečení počítačů s Windows a Linuxem, jak je popsáno:
- Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená.
- Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH.
Další informace najdete v článku Vysvětlení konfigurace hosta ve službě Azure Policy.
Doporučení CMK se přesunula na řízení zabezpečení osvědčených postupů
Součástí programu zabezpečení každé organizace jsou požadavky na šifrování dat. Ve výchozím nastavení se neaktivní uložená data zákazníků Azure šifrují pomocí klíčů spravovaných službou. Klíče spravované zákazníkem (CMK) se ale běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrovat vaše data pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. To vám dává plnou kontrolu a zodpovědnost za životní cyklus klíčů, včetně obměně a správy.
Kontrolní mechanismy zabezpečení služby Azure Security Center jsou logické skupiny souvisejících doporučení zabezpečení a odrážejí vaše ohrožené oblasti útoku. Každý ovládací prvek má maximální počet bodů, které můžete přidat do skóre zabezpečení, pokud opravíte všechna doporučení uvedená v ovládacím prvku pro všechny vaše prostředky. Implementace kontrolního prvku zabezpečení osvědčených postupů zabezpečení stojí za nula bodů. Doporučení v tomto ovládacím prvku tedy neovlivní vaše skóre zabezpečení.
Níže uvedená doporučení se přesunou do kontroly zabezpečení Implement security best practices , aby lépe odrážela jejich volitelnou povahu. Tento krok zajišťuje, aby tato doporučení byla v nejvhodnější kontrole, aby splňovala jejich cíl.
- Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
- Pracovní prostory Služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem (CMK).
- Účty služeb Azure AI by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem (CMK).
- Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).
- Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
- Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.
- Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem (CMK).
Zjistěte, která doporučení se nacházejí v jednotlivých bezpečnostních prvcích v bezpečnostních prvcích a jejich doporučeních.
11 Upozornění Azure Defenderu jsou zastaralá.
Jedenáct níže uvedených upozornění Azure Defenderu jsou zastaralá.
Nové výstrahy nahradí tyto dvě výstrahy a zajistí lepší pokrytí:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PREVIEW – Zjištění spuštění funkce Get-AzureDomainInfo v sadě nástrojů MicroBurst ARM_MicroBurstRunbook PREVIEW – Zjištění spuštění funkce Get-AzurePasswords v sadě nástrojů MicroBurst Tato devět upozornění souvisí s konektorem služby Azure Active Directory Identity Protection (IPC), který už je zastaralý:
AlertType AlertDisplayName Neznámé umístění Neznámé vlastnosti přihlášení Anonymnílogin Anonymní IP adresa InfectedDeviceLogin IP adresa související s malwarem ImpossibleTravel Neobvyklá cesta MaliciousIP Škodlivá IP adresa LeakedCredentials Uniklé přihlašovací údaje HesloSpray Password Spray LeakedCredentials Analýza hrozeb Azure AD AADAI Azure AD AI Tip
Tyto devět výstrah IPC nikdy nebyly výstrahy služby Security Center. Jsou součástí konektoru služby Azure Active Directory (AAD) Identity Protection (IPC), který je odesílal do služby Security Center. V posledních dvou letech jsou jedinými zákazníky, kteří viděli tato upozornění, organizace, které v roce 2019 nebo dříve nakonfigurovaly export (z konektoru do ASC). IPC AAD nadále zobrazoval je ve svých vlastních systémech upozornění a nadále je k dispozici ve službě Azure Sentinel. Jedinou změnou je, že se už nezobrazují ve službě Security Center.
Byla zastaralá dvě doporučení z ovládacího prvku "Použít aktualizace systému".
Následující dvě doporučení jsou zastaralá a změny můžou vést k mírnému dopadu na vaše bezpečnostní skóre:
- Aby se nainstalovaly aktualizace systému, měly by se vaše počítače restartovat.
- Agent monitorování by měl být nainstalovaný na vašich počítačích. Toto doporučení se týká jenom místních počítačů a některá z jeho logiky se přenesou na jiné doporučení, problémy se stavem agenta Log Analytics by se měly vyřešit na vašich počítačích.
Doporučujeme zkontrolovat konfigurace průběžného exportu a automatizace pracovních postupů a zjistit, jestli jsou tato doporučení zahrnutá. Všechny řídicí panely nebo jiné monitorovací nástroje, které je můžou používat, by se také měly odpovídajícím způsobem aktualizovat.
Dlaždice Azure Defenderu pro SQL na počítači odebraná z řídicího panelu Azure Defenderu
Oblast pokrytí řídicího panelu Azure Defenderu obsahuje dlaždice pro příslušné plány Azure Defenderu pro vaše prostředí. Kvůli problému s hlášením počtu chráněných a nechráněných prostředků jsme se rozhodli dočasně odebrat stav pokrytí prostředků pro Azure Defender pro SQL na počítačích , dokud se problém nevyřeší.
Doporučení se přesunula mezi ovládacími prvky zabezpečení
Následující doporučení se přesunula do různých bezpečnostních prvků. Kontrolní mechanismy zabezpečení jsou logické skupiny souvisejících doporučení k zabezpečení a odrážejí vaše ohrožené oblasti útoku. Tento krok zajišťuje, aby každé z těchto doporučení bylo v nejvhodnější kontrole, aby splňovalo její cíl.
Zjistěte, která doporučení se nacházejí v jednotlivých bezpečnostních prvcích v bezpečnostních prvcích a jejich doporučeních.
Doporučení | Změna a dopad |
---|---|
Na vašich serverech SQL by mělo být povolené hodnocení ohrožení zabezpečení. Ve spravovaných instancích SQL by se mělo povolit posouzení ohrožení zabezpečení. Ohrožení zabezpečení ve vašich databázích SQL by se měla napravit novými Měla by se napravit ohrožení zabezpečení vašich databází SQL ve virtuálních počítačích. |
Přechod z nápravných ohrožení zabezpečení (stojí šest bodů) k nápravě konfigurací zabezpečení (stojí za čtyři body). Tato doporučení budou mít v závislosti na vašem prostředí snížený dopad na vaše skóre. |
K vašemu předplatnému by měl být přiřazený více než jeden vlastník. Proměnné účtu Automation by měly být šifrované. Zařízení IoT – Auditovaný proces přestal odesílat události Zařízení IoT – Selhání ověřování standardních hodnot operačního systému Zařízení IoT – Vyžaduje se upgrade šifrovací sady TLS Zařízení IoT – Otevření portů na zařízení Zařízení IoT – Byly nalezeny zásady brány firewall pro výkon v jednom z řetězců. Zařízení IoT – Zjistilo se pravidlo brány firewall, které je v vstupním řetězci. Zařízení IoT – Bylo nalezeno pravidlo brány firewall s oprávněním k výkonu ve výstupním řetězci. Měly by se povolit diagnostické protokoly ve službě IoT Hub Zařízení IoT – Agent odesílající nevyužité zprávy Zařízení IoT – Výchozí zásady filtru IP adres by měly být odepření Zařízení IoT – Pravidlo filtru IP adres – Velký rozsah IP adres Zařízení IoT – Intervaly a velikost zpráv agenta by se měly upravit Zařízení IoT – Identické přihlašovací údaje pro ověřování Zařízení IoT – Auditovaný proces přestal odesílat události Zařízení IoT – Základní konfigurace operačního systému (OS) by měla být opravena. |
Přechod na implementaci osvědčených postupů zabezpečení Když se doporučení přesune na implementaci řízení zabezpečení osvědčených postupů zabezpečení, které nestojí za žádné body, doporučení už nebude mít vliv na vaše skóre zabezpečení. |
Březen 2021
Mezi aktualizace v březnu patří:
- Správa služby Azure Firewall integrovaná do služby Security Center
- Posouzení ohrožení zabezpečení SQL teď zahrnuje prostředí Zakázat pravidlo (Preview).
- Sešity služby Azure Monitor integrované do služby Security Center a tři poskytnuté šablony
- Řídicí panel dodržování právních předpisů teď zahrnuje sestavy auditu Azure (Preview)
- Data doporučení se dají zobrazit v Azure Resource Graphu pomocí možnosti Prozkoumat v ARG.
- Aktualizace zásad pro nasazení automatizace pracovních postupů
- Dvě starší doporučení už nezapisuje data přímo do protokolu aktivit Azure.
- Vylepšení stránky Doporučení
Správa služby Azure Firewall integrovaná do služby Security Center
Když otevřete Azure Security Center, první stránka, která se zobrazí, je stránka s přehledem.
Tento interaktivní řídicí panel poskytuje jednotný přehled o stavu zabezpečení hybridních cloudových úloh. Kromě toho zobrazuje výstrahy zabezpečení, informace o pokrytí a další.
Jako součást pomoci vám při zobrazení stavu zabezpečení z centrálního prostředí jsme integrovali Azure Firewall Manager do tohoto řídicího panelu. Teď můžete zkontrolovat stav pokrytí brány firewall ve všech sítích a centrálně spravovat zásady služby Azure Firewall počínaje službou Security Center.
Další informace o tomto řídicím panelu najdete na stránce přehledu služby Azure Security Center.
Posouzení ohrožení zabezpečení SQL teď zahrnuje prostředí Zakázat pravidlo (Preview).
Security Center obsahuje integrovanou kontrolu ohrožení zabezpečení, která vám pomůže zjišťovat, sledovat a opravovat potenciální ohrožení zabezpečení databáze. Výsledky kontrol posouzení poskytují přehled o stavu zabezpečení vašich počítačů SQL a podrobnosti o všech zjištěních zabezpečení.
Pokud potřebujete, aby organizace hledání ignorovala a nemusela ji opravovat, můžete ji volitelně zakázat. Zakázaná zjištění nemají vliv na vaše skóre zabezpečení ani negenerují nežádoucí šum.
Další informace najdete v článku Zákaz konkrétních zjištění.
Sešity služby Azure Monitor integrované do služby Security Center a tři poskytnuté šablony
V rámci konference Ignite Spring 2021 jsme oznámili integrované prostředí sešitů služby Azure Monitor ve službě Security Center.
Pomocí nové integrace můžete začít používat předefinované šablony z galerie služby Security Center. Pomocí šablon sešitů můžete přistupovat k dynamickým a vizuálním sestavám a sledovat stav zabezpečení vaší organizace. Kromě toho můžete vytvářet nové sešity založené na datech služby Security Center nebo na jiných podporovaných datových typech a rychle nasazovat komunitní sešity z komunity Služby Security Center na GitHubu.
K dispozici jsou tři šablony:
- Skóre zabezpečení v průběhu času – Sledování skóre vašich předplatných a změny doporučení pro vaše prostředky
- Aktualizace systému – Zobrazení chybějících aktualizací systému podle prostředků, operačního systému, závažnosti a dalších
- Zjištění posouzení ohrožení zabezpečení – Zobrazení zjištění kontrol ohrožení zabezpečení vašich prostředků Azure
Seznamte se s používáním těchto sestav nebo vytvářením vlastních sestav v bohatých interaktivních sestavách dat služby Security Center.
Řídicí panel dodržování právních předpisů teď zahrnuje sestavy auditu Azure (Preview)
Na panelu nástrojů řídicího panelu dodržování právních předpisů si teď můžete stáhnout sestavy certifikace Azure a Dynamics.
Můžete vybrat kartu relevantních typů sestav (PCI, SOC, ISO a další) a pomocí filtrů najít konkrétní sestavy, které potřebujete.
Přečtěte si další informace o správě standardů na řídicím panelu dodržování právních předpisů.
Data doporučení se dají zobrazit v Azure Resource Graphu pomocí možnosti Prozkoumat v ARG.
Stránky s podrobnostmi doporučení teď obsahují tlačítko panelu nástrojů Prozkoumat v ARG. Pomocí tohoto tlačítka otevřete dotaz Azure Resource Graphu a prozkoumejte, exportujte a sdílejte data doporučení.
Azure Resource Graph (ARG) poskytuje okamžitý přístup k informacím o prostředcích v cloudových prostředích s robustním filtrováním, seskupováním a možnostmi řazení. Je to rychlý a efektivní způsob, jak dotazovat informace napříč předplatnými Azure prostřednictvím kódu programu nebo z webu Azure Portal.
Přečtěte si další informace o Azure Resource Graphu.
Aktualizace zásad pro nasazení automatizace pracovních postupů
Automatizace procesů monitorování a reakce na incidenty ve vaší organizaci může výrazně zlepšit dobu potřebnou k prošetření a zmírnění incidentů zabezpečení.
Poskytujeme tři zásady NasazeníIfNotExist pro Azure Policy, které vytvářejí a konfigurují postupy automatizace pracovních postupů, abyste mohli automatizace nasadit v celé organizaci:
Goal | Zásady | ID zásady |
---|---|---|
Automatizace pracovních postupů pro výstrahy zabezpečení | Nasazení automatizace pracovních postupů pro upozornění služby Azure Security Center | f1525828-9a90-4fcf-be48-268cd02361e |
Automatizace pracovních postupů pro doporučení zabezpečení | Nasazení automatizace pracovních postupů pro doporučení služby Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Automatizace pracovních postupů pro změny dodržování právních předpisů | Nasazení automatizace pracovních postupů pro dodržování právních předpisů ve službě Azure Security Center | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Existují dvě aktualizace funkcí těchto zásad:
- Po přiřazení zůstanou povolené vynucením.
- Tyto zásady teď můžete přizpůsobit a aktualizovat kterýkoli z parametrů i po jejich nasazení. Můžete například přidat nebo upravit klíč posouzení.
Začínáme se šablonami automatizace pracovních postupů
Přečtěte si další informace o automatizaci odpovědí na triggery služby Security Center.
Dvě starší doporučení už nezapisuje data přímo do protokolu aktivit Azure.
Security Center předává data pro téměř všechna doporučení zabezpečení službě Azure Advisor, která následně zapisuje do protokolu aktivit Azure.
Pro dvě doporučení se data současně zapisuje přímo do protokolu aktivit Azure. Díky této změně přestane Security Center zapisovat data pro tato starší doporučení zabezpečení přímo do protokolu aktivit. Místo toho exportujeme data do Azure Advisoru stejně jako u všech ostatních doporučení.
Dvě starší doporučení:
- Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích.
- V konfiguraci zabezpečení na počítačích by se měla napravit ohrožení zabezpečení.
Pokud k těmto dvěma doporučením přistupujete v kategorii Doporučení typu TaskDiscovery v protokolu aktivit, tato možnost už není dostupná.
Vylepšení stránky Doporučení
Vydali jsme vylepšenou verzi seznamu doporučení, abychom mohli na první pohled prezentovat další informace.
Teď na stránce uvidíte:
- Maximální skóre a aktuální skóre pro každý bezpečnostní prvek.
- Ikony nahrazující značky, jako je Oprava a Náhled
- Nový sloupec zobrazující iniciativu Zásad související s jednotlivými doporučeními – zobrazí se, když je zakázaná možnost Seskupit podle ovládacích prvků.
Další informace najdete v doporučeních zabezpečení ve službě Azure Security Center.
2021. únor
Mezi aktualizace v únoru patří:
- Nová stránka výstrah zabezpečení na webu Azure Portal vydaná pro obecnou dostupnost (GA)
- Doporučení ochrany úloh Kubernetes vydaná pro obecnou dostupnost (GA)
- Integrace Microsoft Defenderu pro koncové body s Azure Defenderem teď podporuje Windows Server 2019 a Windows 10 ve Windows Virtual Desktopu (ve verzi Preview).
- Přímý odkaz na zásadu ze stránky s podrobnostmi doporučení
- Doporučení klasifikace dat SQL už nemá vliv na vaše skóre zabezpečení.
- Automatizace pracovních postupů se dají aktivovat změnami v posouzení dodržování právních předpisů (ve verzi Preview).
- Vylepšení stránky inventáře prostředků
Nová stránka výstrah zabezpečení na webu Azure Portal vydaná pro obecnou dostupnost (GA)
Stránka výstrah zabezpečení služby Azure Security Center byla přepracovaná tak, aby poskytovala:
- Vylepšené možnosti třídění výstrah – pomáhá snižovat únavu výstrah a zaměřit se na nejrelevantní hrozby, seznam obsahuje přizpůsobitelné filtry a možnosti seskupení.
- Další informace v seznamu výstrah , jako jsou taktiky MITRE ATT&ACK.
- Tlačítko pro vytvoření ukázkových upozornění – k vyhodnocení možností Azure Defenderu a otestování upozornění konfigurace (pro integraci SIEM, e-mailová oznámení a automatizace pracovních postupů) můžete vytvářet ukázková upozornění ze všech plánů Azure Defenderu.
- Sladění s prostředím incidentů azure Sentinelu – pro zákazníky, kteří používají oba produkty, je teď jednodušší přepínat mezi nimi a je snadné se navzájem učit.
- Lepší výkon pro velké seznamy výstrah.
- Navigace pomocí klávesnice v seznamu upozornění
- Upozornění z Azure Resource Graphu – můžete dotazovat upozornění ve službě Azure Resource Graph, rozhraní API podobné Kusto pro všechny vaše prostředky. To je také užitečné, pokud vytváříte vlastní řídicí panely upozornění. Přečtěte si další informace o Azure Resource Graphu.
- Vytvoření ukázkové funkce upozornění – Pokud chcete vytvořit ukázková upozornění z nového prostředí upozornění, přečtěte si téma Generování ukázkových upozornění Azure Defenderu.
Doporučení ochrany úloh Kubernetes vydaná pro obecnou dostupnost (GA)
S radostí oznamujeme obecnou dostupnost (GA) sady doporučení pro ochranu úloh Kubernetes.
Aby se zajistilo, že jsou úlohy Kubernetes ve výchozím nastavení zabezpečené, služba Security Center přidala doporučení pro posílení úrovně Kubernetes, včetně možností vynucení s řízením přístupu Kubernetes.
Když je služba Azure Policy pro Kubernetes nainstalovaná v clusteru Azure Kubernetes Service (AKS), před zachováním v clusteru se bude každý požadavek na server rozhraní Kubernetes API monitorovat s předdefinovanou sadou osvědčených postupů , která se zobrazí jako doporučení zabezpečení 13. Pak můžete nakonfigurovat, abyste vynucovali osvědčené postupy a nařídili je pro budoucí úlohy.
Můžete například nařídit, aby se privilegované kontejnery neměly vytvářet a všechny budoucí požadavky na to budou blokované.
Další informace najdete v osvědčených postupech ochrany úloh pomocí řízení přístupu Kubernetes.
Poznámka:
I když byla doporučení ve verzi Preview, nevykreslili prostředek clusteru AKS, který není v pořádku, a nebyly zahrnuty do výpočtů vašeho skóre zabezpečení. s tímto oznámením ga budou zahrnuty do výpočtu skóre. Pokud jste je ještě nenapravili, může to vést k mírnému dopadu na vaše bezpečnostní skóre. Opravte je všude, kde je to možné, jak je popsáno v doporučeních k nápravě ve službě Azure Security Center.
Integrace Microsoft Defenderu pro koncové body s Azure Defenderem teď podporuje Windows Server 2019 a Windows 10 ve Windows Virtual Desktopu (ve verzi Preview).
Microsoft Defender for Endpoint je ucelené cloudové řešení zabezpečení koncových bodů. Poskytuje správa ohrožení zabezpečení a hodnocení na základě rizik a také detekce a reakce u koncových bodů (EDR). Úplný seznam výhod použití defenderu pro koncový bod společně se službou Azure Security Center najdete v tématu Ochrana koncových bodů pomocí integrovaného řešení EDR služby Security Center: Microsoft Defender for Endpoint.
Když povolíte Azure Defender pro servery se systémem Windows Server, je součástí plánu licence pro Defender for Endpoint. Pokud jste už povolili Azure Defender for Servers a máte ve svém předplatném servery Windows Server 2019, automaticky obdrží program Defender for Endpoint s touto aktualizací. Nevyžaduje se žádná ruční akce.
Podpora je teď rozšířená tak, aby zahrnovala Windows Server 2019 a Windows 10 ve Windows Virtual Desktopu.
Poznámka:
Pokud na serveru s Windows Serverem 2019 povolíte Defender for Endpoint, ujistěte se, že splňuje požadavky popsané v tématu Povolení integrace Microsoft Defenderu for Endpoint.
Přímý odkaz na zásadu ze stránky s podrobnostmi doporučení
Při kontrole podrobností doporučení je často užitečné vidět základní zásady. Pro každé doporučení podporované zásadami je na stránce s podrobnostmi doporučení nový odkaz:
Pomocí tohoto odkazu můžete zobrazit definici zásady a zkontrolovat logiku vyhodnocení.
Doporučení klasifikace dat SQL už nemá vliv na vaše skóre zabezpečení.
Doporučení Citlivá data v databázích SQL by už neměla mít vliv na vaše skóre zabezpečení. Bezpečnostní ovládací prvek Použít klasifikaci dat, která obsahuje, má nyní hodnotu zabezpečeného skóre 0.
Úplný seznam všech kontrolních mechanismů zabezpečení společně s jejich skóre a seznamem doporučení v každé z nich najdete v tématu Kontrolní mechanismy zabezpečení a jejich doporučení.
Automatizace pracovních postupů se dají aktivovat změnami v posouzení dodržování právních předpisů (ve verzi Preview).
Do možností triggeru pro automatizaci pracovních postupů jsme přidali třetí datový typ: změny v posouzení dodržování právních předpisů.
Naučte se používat nástroje pro automatizaci pracovních postupů v automatizaci odpovědí na triggery služby Security Center.
Vylepšení stránky inventáře prostředků
Vylepšili jsme stránku inventáře prostředků služby Security Center:
Souhrny v horní části stránky teď zahrnují neregistrovaná předplatná, která zobrazují počet předplatných bez povolení služby Security Center.
Filtry byly rozšířeny a rozšířeny tak, aby zahrnovaly:
Počty – Každý filtr zobrazuje počet prostředků, které splňují kritéria jednotlivých kategorií.
Obsahuje filtr výjimek (volitelné) – výsledky zúží na prostředky, u kterých nedošlo k výjimce. Tento filtr se ve výchozím nastavení nezobrazuje, ale je přístupný z tlačítka Přidat filtr .
Přečtěte si další informace o tom , jak prozkoumat a spravovat prostředky pomocí inventáře prostředků.
Leden 2021
Mezi aktualizace v lednu patří:
- Azure Security Benchmark je teď výchozí iniciativa zásad pro Azure Security Center
- Posouzení ohrožení zabezpečení pro místní počítače a počítače s více cloudy se vydává pro obecnou dostupnost (GA).
- Bezpečnostní skóre pro skupiny pro správu je teď k dispozici ve verzi Preview
- Rozhraní API pro bezpečnostní skóre je vydáno pro obecnou dostupnost (GA)
- Ochrana visících záznamů DNS je přidaná do Azure Defenderu pro App Service
- Konektory pro více cloudů se vydávají pro obecnou dostupnost (GA)
- Vyloučení celých doporučení ze skóre zabezpečení pro předplatná a skupiny pro správu
- Uživatelé teď můžou požádat o přehled celého tenanta od globálního správce.
- 35 doporučení ve verzi Preview přidaná pro zvýšení pokrytí srovnávacího testu zabezpečení Azure
- Export filtrovaného seznamu doporučení ve formátu CSV
- „Nepoužitelné“ prostředky jsou teď ve vyhodnoceních Azure Policy uváděné jako kompatibilní
- Export týdenních snímků s údaji o dodržování právních předpisů a bezpečnostním skóre s průběžným exportem (Preview)
Azure Security Benchmark je teď výchozí iniciativa zásad pro Azure Security Center
Srovnávací test zabezpečení Azure je sada osvědčených postupů pro zabezpečení a dodržování předpisů specifická pro Microsoft, která je specifická pro Microsoft, na základě běžných architektur dodržování předpisů. Tento široce respektovaný srovnávací test vychází z kontrolních mechanismů centra pro internetové zabezpečení (CIS) a národního institutu NIST (National Institute of Standards and Technology) se zaměřením na zabezpečení zaměřeném na cloud.
V posledních měsících se seznam předdefinovaných doporučení zabezpečení ve službě Security Center výrazně zvýšil, aby rozšířil naše pokrytí tohoto srovnávacího testu.
Z této verze je srovnávací test základem doporučení služby Security Center a plně integrovaný jako výchozí iniciativa zásad.
Všechny služby Azure mají v dokumentaci stránku standardních hodnot zabezpečení. Tyto směrné plány jsou založené na srovnávacím testu zabezpečení Azure.
Pokud používáte řídicí panel dodržování právních předpisů služby Security Center, uvidíte během přechodného období dvě instance srovnávacího testu:
Stávající doporučení nejsou ovlivněná a s rostoucím srovnávacím testem se změny automaticky projeví ve službě Security Center.
Další informace najdete na následujících stránkách:
- Další informace o srovnávacím testu zabezpečení Azure
- Přizpůsobení sady standardů na řídicím panelu pro dodržování právních předpisů
Posouzení ohrožení zabezpečení pro místní počítače a počítače s více cloudy se vydává pro obecnou dostupnost (GA).
V říjnu jsme oznámili verzi Preview pro kontrolu serverů s podporou Azure Arc pomocí integrované kontroly posouzení ohrožení zabezpečení v Azure Defenderu pro servery (využívající Qualys).
Nyní je vydána pro obecnou dostupnost (GA).
Když na počítačích mimo Azure povolíte Azure Arc, Security Center na ně nabídne nasazení integrované kontroly ohrožení zabezpečení – ručně i ve velkém měřítku.
Díky této aktualizaci můžete využít sílu Azure Defenderu pro servery ke konsolidaci správa ohrožení zabezpečení programu napříč všemi prostředky Azure a prostředky mimo Azure.
Hlavní možnosti:
- Monitorování stavu zřizování kontroly posouzení ohrožení zabezpečení na počítačích Azure Arc
- Zřízení integrovaného agenta VA pro nechráněné počítače s Windows a Linuxem Azure Arc (ručně i ve velkém)
- Příjem a analýza zjištěných ohrožení zabezpečení z nasazených agentů (ručně i ve velkém)
- Jednotné prostředí pro virtuální počítače Azure a počítače Azure Arc
Přečtěte si další informace o serverech s podporou Azure Arc.
Bezpečnostní skóre pro skupiny pro správu je teď k dispozici ve verzi Preview
Stránka skóre zabezpečení teď zobrazuje agregované skóre zabezpečení pro vaše skupiny pro správu kromě úrovně předplatného. Teď si můžete prohlédnout seznam skupin pro správu ve vaší organizaci a skóre pro každou skupinu pro správu.
Přečtěte si další informace o bezpečnostních skóre a bezpečnostních prvcích ve službě Azure Security Center.
Rozhraní API pro bezpečnostní skóre je vydáno pro obecnou dostupnost (GA)
K skóre se teď dostanete přes rozhraní API pro skóre zabezpečení. Metody rozhraní API poskytují flexibilitu při dotazování na data a vytváření vlastního mechanismu generování sestav bezpečnostních skóre v průběhu času. Příklad:
- získání skóre pro konkrétní předplatné pomocí rozhraní API pro skóre zabezpečení
- Pomocí rozhraní API pro bezpečnostní skóre zobrazíte seznam bezpečnostních prvků a aktuálního skóre vašich předplatných.
Seznamte se s externími nástroji, které umožňují rozhraní API pro skóre zabezpečení v oblasti skóre zabezpečení naší komunity GitHubu.
Přečtěte si další informace o bezpečnostních skóre a bezpečnostních prvcích ve službě Azure Security Center.
Ochrana visících záznamů DNS je přidaná do Azure Defenderu pro App Service
Převzetí subdomény představují běžnou hrozbu s vysokou závažností pro organizace. Převzetí subdomény může nastat, když máte záznam DNS, který odkazuje na zrušený web. Tyto záznamy DNS se také označují jako položky nepropojené DNS. Záznamy CNAME jsou vůči této hrozbě obzvláště zranitelné.
Převzetí subdomény umožňuje hercům hrozeb přesměrovat provoz určený pro doménu organizace na web provádějící škodlivou aktivitu.
Azure Defender for App Service teď při vyřazení webu App Service z provozu detekuje shodné položky DNS. Toto je okamžik, kdy položka DNS ukazuje na prostředek, který neexistuje, a váš web je ohrožený převzetím subdomény. Tato ochrana je dostupná bez ohledu na to, jestli se vaše domény spravují pomocí Azure DNS nebo externího doménového registrátora a vztahují se na službu App Service ve Windows i App Service v Linuxu.
Další informace:
- Referenční tabulka upozornění služby App Service – Obsahuje dvě nová upozornění Azure Defenderu, která se aktivují při zjištění položky DNS, která se propojují.
- Jak zabránit přechážení položek DNS a vyhnout se převzetí subdomény – Přečtěte si o hrozbě převzetí subdomény a aspektu dns.
- Úvod do Azure Defenderu pro App Service
Konektory pro více cloudů se vydávají pro obecnou dostupnost (GA)
U cloudových úloh, které často pokrývají více cloudových platforem, musí služby cloudového zabezpečení provádět totéž.
Azure Security Center chrání úlohy v Azure, Amazon Web Services (AWS) a Google Cloud Platform (GCP).
Propojení projektů AWS nebo GCP integruje své nativní nástroje zabezpečení, jako je AWS Security Hub a GCP Security Command Center, do služby Azure Security Center.
Tato funkce znamená, že Security Center poskytuje viditelnost a ochranu ve všech hlavních cloudových prostředích. Mezi výhody této integrace patří:
- Automatické zřizování agentů – Security Center používá Azure Arc k nasazení agenta Log Analytics do instancí AWS.
- Správa zásad
- Správa ohrožení zabezpečení
- Detekce a odezva vloženého koncového bodu (EDR)
- Detekce chybných konfigurací zabezpečení
- Jedno zobrazení zobrazující doporučení zabezpečení od všech poskytovatelů cloudu
- Začlenění všech vašich prostředků do výpočtů se skóre zabezpečení služby Security Center
- Posouzení dodržování právních předpisů vašich prostředků AWS a GCP
V nabídce Defenderu pro cloud vyberte Konektory multicloudu a uvidíte možnosti pro vytváření nových konektorů:
Další informace najdete v:
- Připojení účtů AWS ke službě Azure Security Center
- Připojení projektů GCP ke službě Azure Security Center
Vyloučení celých doporučení ze skóre zabezpečení pro předplatná a skupiny pro správu
Rozšiřujeme možnost výjimky tak, aby zahrnovala celá doporučení. Poskytuje další možnosti pro vyladění doporučení zabezpečení, která Security Center zajišťuje pro vaše předplatná, skupinu pro správu nebo prostředky.
V některých případech se prostředek zobrazí jako poškozený, když víte, že problém vyřeší nástroj třetí strany, který Security Center nerozpoznal. Nebo se doporučení zobrazí v oboru, ve kterém se cítíte, že nepatří. Doporučení může být nevhodné pro konkrétní předplatné. Nebo se vaše organizace rozhodla přijmout rizika související s konkrétním prostředkem nebo doporučením.
Díky této funkci Preview teď můžete vytvořit výjimku pro doporučení, která vám umožní:
Vyněžte prostředek , abyste zajistili, že není uvedený v seznamu prostředků, které nejsou v pořádku v budoucnu, a nemá vliv na vaše skóre zabezpečení. Zdroj bude uveden jako nepoužitý a důvod se zobrazí jako "vyloučený" s konkrétním odůvodněním, které vyberete.
Vyněžte předplatné nebo skupinu pro správu, abyste měli jistotu, že doporučení nemá vliv na vaše skóre zabezpečení a nebude se zobrazovat pro předplatné nebo skupinu pro správu v budoucnu. To souvisí s existujícími prostředky a všemi prostředky, které vytvoříte v budoucnu. Doporučení se označí konkrétním odůvodněním, které vyberete pro vybraný obor.
Přečtěte si další informace o vyloučení prostředků a doporučení z vašeho skóre zabezpečení.
Uživatelé teď můžou požádat o přehled celého tenanta od globálního správce.
Pokud uživatel nemá oprávnění k zobrazení dat služby Security Center, zobrazí se mu odkaz na žádost o oprávnění od globálního správce organizace. Požadavek zahrnuje roli, kterou by chtěli, a odůvodnění, proč je potřeba.
Další informace najdete v části Žádosti o oprávnění pro celého tenanta, pokud vaše oprávnění nejsou dostatečná.
35 doporučení ve verzi Preview přidaná pro zvýšení pokrytí srovnávacího testu zabezpečení Azure
Srovnávací test zabezpečení Azure je výchozí iniciativa zásad ve službě Azure Security Center.
Abychom zvýšili pokrytí tohoto srovnávacího testu, přidali jsme do služby Security Center následující doporučení ve verzi Preview 35.
Tip
Doporučení ve verzi Preview nevykreslují prostředek, který není v pořádku, a nejsou součástí výpočtů vašeho skóre zabezpečení. Opravte je tam, kde je to možné, aby po skončení období preview přispěli k vašemu skóre. Přečtěte si další informace o tom, jak reagovat na tato doporučení v tématu Náprava doporučení ve službě Azure Security Center.
Řízení zabezpečení | Nová doporučení |
---|---|
Povolení šifrování neaktivních uložených dat | – Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. – Pracovní prostory služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem (CMK). – Pro servery MySQL by měla být povolená ochrana dat vlastního klíče. – U serverů PostgreSQL by měla být povolená ochrana dat s vlastním klíčem. – Účty služeb Azure AI by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem (CMK). – Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK). – Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. – SQL servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. – Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem (CMK). |
Implementace osvědčených postupů zabezpečení | – Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením. – Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics. – E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. – E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. – Trezory klíčů by měly mít povolenou ochranu před vymazáním. – Trezory klíčů by měly mít povolené obnovitelné odstranění. |
Správa přístupu a oprávnění | – Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). |
Ochrana aplikací před útoky DDoS | – Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. – Firewall webových aplikací (WAF) by měl být povolený pro službu Azure Front Door Service. |
Omezení neoprávněného síťového přístupu | – Brána firewall by měla být povolená ve službě Key Vault. – Privátní koncový bod by měl být nakonfigurovaný pro službu Key Vault. – Konfigurace aplikace by měla používat privátní propojení. – Azure Cache for Redis by se měl nacházet ve virtuální síti. – Domény Služby Azure Event Grid by měly používat privátní propojení. – Témata služby Azure Event Grid by měla používat privátní propojení. – Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení. – Služba Azure SignalR by měla používat privátní propojení. – Azure Spring Cloud by měl používat injektáž sítě. – Registry kontejnerů by neměly umožňovat neomezený síťový přístup – Registry kontejnerů by měly používat privátní propojení. – Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. – Pro servery MySQL by měl být zakázaný přístup k veřejné síti. – Pro servery PostgreSQL by měl být zakázaný přístup k veřejné síti. – Účet úložiště by měl používat připojení privátního propojení. – Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. – Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení. |
Související odkazy:
- Další informace o srovnávacím testu zabezpečení Azure
- Další informace o službě Azure Database for MariaDB
- Další informace o službě Azure Database for MySQL
- Další informace o službě Azure Database for PostgreSQL
Export filtrovaného seznamu doporučení ve formátu CSV
V listopadu 2020 jsme na stránku s doporučeními přidali filtry.
V tomto oznámení měníme chování tlačítka Stáhnout na CSV tak, aby export csv obsahoval pouze doporučení aktuálně zobrazená ve filtrovaném seznamu.
Například na následujícím obrázku vidíte, že seznam je filtrovaný na dvě doporučení. Vygenerovaný soubor CSV obsahuje podrobnosti o stavu každého prostředku ovlivněného těmito dvěma doporučeními.
Další informace najdete v doporučeních zabezpečení ve službě Azure Security Center.
„Nepoužitelné“ prostředky jsou teď ve vyhodnoceních Azure Policy uváděné jako kompatibilní
Dříve se prostředky, které se vyhodnotily jako doporučení, a zjistily se, že se v Azure Policy nedají použít , se zobrazily jako nevyhovující předpisům. Žádné akce uživatele by nemohly změnit stav na Vyhovující. Díky této změně se oznamují jako "Kompatibilní", aby byly přehlednější.
Jediný dopad se projeví ve službě Azure Policy, kde se zvýší počet vyhovujících prostředků. Ve službě Azure Security Center to nebude mít žádný vliv na vaše bezpečnostní skóre.
Export týdenních snímků s údaji o dodržování právních předpisů a bezpečnostním skóre s průběžným exportem (Preview)
Do nástrojů pro průběžný export jsme přidali novou funkci Preview pro export týdenních snímků zabezpečených skóre a dat dodržování právních předpisů.
Při definování průběžného exportu nastavte frekvenci exportu:
- Streamování – hodnocení se odešle při aktualizaci stavu prostředku (pokud nedojde k žádným aktualizacím, nebudou odeslána žádná data).
- Snímky – snímek aktuálního stavu všech posouzení dodržování právních předpisů se odešle každý týden (jedná se o funkci Preview pro týdenní snímky bezpečnostních skóre a dat dodržování právních předpisů).
Přečtěte si další informace o všech možnostech této funkce v průběžném exportu dat služby Security Center.
Prosinec 2020
Mezi aktualizace v prosinci patří:
- Azure Defender pro SQL servery na počítačích je obecně dostupný
- Podpora Azure Defenderu pro SQL pro vyhrazený fond SQL služby Azure Synapse Analytics je obecně dostupná
- Globální správci teď můžou udělit oprávnění na úrovni tenanta.
- Dva nové plány Azure Defenderu: Azure Defender pro DNS a Azure Defender for Resource Manager (ve verzi Preview)
- Nová stránka výstrah zabezpečení na webu Azure Portal (Preview)
- Prostředí služby Azure SQL Database a SQL Managed Instance ve službě Revitalized Security Center
- Aktualizované nástroje a filtry inventáře prostředků
- Doporučení týkající se webových aplikací, které požadují certifikáty SSL, už nejsou součástí skóre zabezpečení
- Stránka Doporučení obsahuje nové filtry pro prostředí, závažnost a dostupné odpovědi.
- Průběžný export získává nové datové typy a vylepšené zásady deployifnotexist
Azure Defender pro SQL servery na počítačích je obecně dostupný
Azure Security Center nabízí dva plány Azure Defenderu pro SQL Servery:
- Azure Defender pro databázové servery Azure SQL – chrání vaše sql servery nativní pro Azure
- Azure Defender pro SQL servery na počítačích – rozšiřuje stejnou ochranu na vaše SQL servery v hybridních, multicloudových a místních prostředích.
Díky tomuto oznámení teď Azure Defender pro SQL chrání vaše databáze a jejich data všude, kde se nacházejí.
Azure Defender pro SQL zahrnuje možnosti posouzení ohrožení zabezpečení. Nástroj pro posouzení ohrožení zabezpečení obsahuje následující pokročilé funkce:
- Základní konfigurace (Nový!) umožňuje inteligentně upřesnit výsledky kontrol ohrožení zabezpečení na ty, které můžou představovat skutečné problémy se zabezpečením. Po vytvoření základního stavu zabezpečení nástroj pro posouzení ohrožení zabezpečení hlásí pouze odchylky od tohoto stavu směrného plánu. Výsledky, které odpovídají směrnému plánu, se považují za předávání následných kontrol. Díky tomu se vy i vaši analytici zaměříte na to, kde je to důležité.
- Podrobné informace o srovnávacích testech, které vám pomůžou pochopit zjištěná zjištění a proč souvisí s vašimi prostředky.
- Skripty pro nápravu , které vám pomůžou zmírnit zjištěná rizika.
Přečtěte si další informace o Azure Defenderu pro SQL.
Podpora Azure Defenderu pro SQL pro vyhrazený fond SQL služby Azure Synapse Analytics je obecně dostupná
Azure Synapse Analytics (dříve SQL DW) je analytická služba, která kombinuje podnikové datové sklady a analýzy velkých objemů dat. Vyhrazené fondy SQL jsou funkce podnikových datových skladů služby Azure Synapse. Další informace najdete v článku Co je Azure Synapse Analytics (dříve SQL DW)?
Azure Defender pro SQL chrání vyhrazené fondy SQL pomocí:
- Rozšířená ochrana před hrozbami pro detekci hrozeb a útoků
- Možnosti posouzení ohrožení zabezpečení pro identifikaci a nápravu chybných konfigurací zabezpečení
Podpora fondů SQL azure Synapse Analytics pro Azure Defender for SQL se automaticky přidá do sady databází Azure SQL ve službě Azure Security Center. Na stránce pracovního prostoru Synapse na webu Azure Portal je nová karta Azure Defender for SQL .
Přečtěte si další informace o Azure Defenderu pro SQL.
Globální správci teď můžou udělit oprávnění na úrovni tenanta.
Uživatel s rolí globálního správce Azure Active Directory může mít odpovědnost za celého tenanta, ale nemá oprávnění Azure k zobrazení informací v celé organizaci ve službě Azure Security Center.
Pokud si chcete přiřadit oprávnění na úrovni tenanta, postupujte podle pokynů v části Udělení oprávnění pro celého tenanta sami sobě.
Dva nové plány Azure Defenderu: Azure Defender pro DNS a Azure Defender for Resource Manager (ve verzi Preview)
Přidali jsme dvě nové možnosti ochrany před internetovými útoky nativní pro cloud pro vaše prostředí Azure.
Tyto nové ochrany výrazně zvyšují odolnost proti útokům z herců před hrozbami a výrazně zvyšují počet prostředků Azure chráněných službou Azure Defender.
Azure Defender pro Resource Manager – automaticky monitoruje všechny operace správy prostředků prováděné ve vaší organizaci. Další informace naleznete v tématu:
Azure Defender pro DNS – nepřetržitě monitoruje všechny dotazy DNS z vašich prostředků Azure. Další informace naleznete v tématu:
Nová stránka výstrah zabezpečení na webu Azure Portal (Preview)
Stránka výstrah zabezpečení služby Azure Security Center byla přepracovaná tak, aby poskytovala:
- Vylepšené možnosti třídění výstrah – pomáhá snížit únavu výstrah a zaměřit se na nejrelevavantnější hrozby, seznam obsahuje přizpůsobitelné filtry a možnosti seskupení.
- Další informace v seznamu výstrah – například taktika MITRE ATT&ACK
- Tlačítko pro vytvoření ukázkových upozornění – k vyhodnocení možností Azure Defenderu a otestování konfigurace upozornění (pro integraci SIEM, e-mailová oznámení a automatizace pracovních postupů) můžete vytvořit ukázková upozornění ze všech plánů Azure Defenderu.
- Sladění s prostředím incidentů azure Sentinelu – pro zákazníky, kteří používají oba produkty, je teď jednodušší přepínat mezi nimi a je snadné se navzájem učit.
- Lepší výkon u rozsáhlých seznamů výstrah
- Navigace pomocí klávesnice v seznamu upozornění
- Upozornění z Azure Resource Graphu – můžete dotazovat upozornění ve službě Azure Resource Graph, rozhraní API podobné Kusto pro všechny vaše prostředky. To je také užitečné, pokud vytváříte vlastní řídicí panely upozornění. Přečtěte si další informace o Azure Resource Graphu.
Pokud chcete získat přístup k novému prostředí, použijte odkaz Vyzkoušet hned z banneru v horní části stránky výstrah zabezpečení.
Pokud chcete vytvořit ukázková upozornění z nového prostředí upozornění, přečtěte si téma Generování ukázkových upozornění Azure Defenderu.
Prostředí služby Azure SQL Database a SQL Managed Instance ve službě Revitalized Security Center
Prostředí Security Center v rámci SQL poskytuje přístup k následujícím funkcím Security Center a Azure Defenderu pro SQL:
- Doporučení zabezpečení – Security Center pravidelně analyzuje stav zabezpečení všech připojených prostředků Azure, aby identifikoval potenciální chybné konfigurace zabezpečení. Pak poskytuje doporučení k nápravě těchto ohrožení zabezpečení a zlepšení stavu zabezpečení organizací.
- Výstrahy zabezpečení – služba detekce, která nepřetržitě monitoruje aktivity Azure SQL pro hrozby, jako jsou injektáž SQL, útoky hrubou silou a zneužití oprávnění. Tato služba aktivuje podrobné výstrahy zabezpečení orientované na akce ve službě Security Center a poskytuje možnosti pro pokračování vyšetřování pomocí služby Azure Sentinel, což je řešení SIEM nativní pro Microsoft Azure.
- Zjištění – služba posouzení ohrožení zabezpečení, která nepřetržitě monitoruje konfigurace Azure SQL a pomáhá napravit ohrožení zabezpečení. Kontroly posouzení poskytují přehled stavů zabezpečení Azure SQL společně s podrobnými zjištěními zabezpečení.
Aktualizované nástroje a filtry inventáře prostředků
Stránka inventáře ve službě Azure Security Center se aktualizovala s následujícími změnami:
Vodítka a zpětná vazba přidaná na panel nástrojů Otevře se podokno s odkazy na související informace a nástroje.
Filtr předplatných přidaný do výchozích filtrů dostupných pro vaše prostředky
Otevřete odkaz dotazu pro otevření aktuálních možností filtru jako dotazu Azure Resource Graphu (dříve označovaný jako Zobrazení v Průzkumníku grafů prostředků).
Možnosti operátorů pro každý filtr Teď si můžete vybrat z více logických operátorů než =. Můžete například chtít najít všechny prostředky s aktivními doporučeními, jejichž názvy obsahují řetězec "encrypt".
Další informace o inventáři najdete v tématu Prozkoumání a správa prostředků pomocí inventáře prostředků.
Doporučení týkající se webových aplikací, které požadují certifikáty SSL, už nejsou součástí skóre zabezpečení
Doporučení "Web apps should request an SSL certificate for all incoming requests" (Webové aplikace by měly požadovat certifikát SSL pro všechny příchozí požadavky) byl přesunut z řízení zabezpečení Spravovat přístup a oprávnění (stojí za maximálně 4 body) do implementace osvědčených postupů zabezpečení (které stojí za žádné body).
Zajištění, že webová aplikace požaduje certifikát, je jistě bezpečnější. U veřejných webových aplikací je ale irelevantní. Pokud k webu přistupujete přes PROTOKOL HTTP a ne HTTPS, nebudete dostávat žádný klientský certifikát. Takže pokud vaše aplikace vyžaduje klientské certifikáty, neměli byste povolit požadavky na vaši aplikaci přes protokol HTTP. Další informace najdete v tématu Konfigurace vzájemného ověřování TLS pro službu Aplikace Azure Service.
Při této změně je teď doporučení doporučeným osvědčeným postupem, který nemá vliv na vaše skóre.
Zjistěte, která doporučení se nacházejí v jednotlivých bezpečnostních prvcích v bezpečnostních prvcích a jejich doporučeních.
Stránka Doporučení obsahuje nové filtry pro prostředí, závažnost a dostupné odpovědi.
Azure Security Center monitoruje všechny připojené prostředky a generuje doporučení zabezpečení. Pomocí těchto doporučení můžete posílit stav hybridního cloudu a sledovat dodržování zásad a standardů, které jsou relevantní pro vaši organizaci, odvětví a zemi/oblast.
Vzhledem k tomu, že Security Center stále rozšiřuje své pokrytí a funkce, roste každý měsíc seznam doporučení zabezpečení. Podívejte se například na dvacet devět doporučení ve verzi Preview, která se přidávají ke zvýšení pokrytí srovnávacího testu zabezpečení Azure.
S rostoucím seznamem je potřeba filtrovat doporučení, abyste našli ty, které mají největší zájem. V listopadu jsme na stránku doporučení přidali filtry (viz seznam doporučení teď obsahuje filtry).
Filtry přidané tento měsíc poskytují možnosti pro upřesnění seznamu doporučení podle následujících:
Prostředí – Zobrazení doporučení pro prostředky AWS, GCP nebo Azure (nebo libovolnou kombinaci)
Závažnost – Zobrazení doporučení podle klasifikace závažnosti nastavené službou Security Center
Akce odpovědi – Zobrazení doporučení podle dostupnosti možností odpovědi služby Security Center: Oprava, Zamítnutí a Vynucení
Tip
Filtr akcí odpovědi nahrazuje filtr Rychlá oprava dostupná (Ano/Ne).
Přečtěte si další informace o každé z těchto možností odpovědi:
Průběžný export získává nové datové typy a vylepšené zásady deployifnotexist
Nástroje pro průběžný export ve službě Azure Security Center umožňují exportovat doporučení a výstrahy služby Security Center pro použití s dalšími monitorovacími nástroji ve vašem prostředí.
Průběžný export umožňuje plně přizpůsobit, co se bude exportovat a kam se bude exportovat. Úplné podrobnosti najdete v tématu Nepřetržitý export dat služby Security Center.
Tyto nástroje byly vylepšeny a rozšířeny následujícími způsoby:
Rozšířené zásady deployifnotexist pro průběžné exporty Zásady teď:
Zkontrolujte, jestli je povolená konfigurace. Pokud tomu tak není, zásada se zobrazí jako nevyhovující a vytvoří vyhovující prostředek. Další informace o zadaných šablonách Azure Policy najdete na kartě Nasazení ve velkém měřítku pomocí služby Azure Policy v tématu Nastavení průběžného exportu.
Podpora exportu zjištění zabezpečení Při použití šablon Azure Policy můžete nakonfigurovat průběžný export tak, aby zahrnoval závěry. To je relevantní při exportu doporučení s dílčími doporučeními, jako jsou zjištění z kontrol posouzení ohrožení zabezpečení nebo konkrétní aktualizace systému pro doporučení nadřazeného doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače".
Podpora exportu dat skóre zabezpečení
Přidaná data posouzení dodržování právních předpisů (ve verzi Preview) Teď můžete průběžně exportovat aktualizace do posouzení dodržování právních předpisů, včetně jakýchkoli vlastních iniciativ, do pracovního prostoru služby Log Analytics nebo do služby Event Hubs. Tato funkce není k dispozici v národních cloudech.
Listopad 2020
Mezi aktualizace v listopadu patří:
- 29 doporučení ve verzi Preview přidaná pro zvýšení pokrytí srovnávacího testu zabezpečení Azure
- NisT SP 800 171 R2 přidaný na řídicí panel dodržování právních předpisů služby Security Center
- Seznam doporučení teď obsahuje filtry.
- Vylepšené a rozšířené možnosti automatického zřizování
- Skóre zabezpečení je teď dostupné v průběžném exportu (Preview)
- Doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače" teď zahrnují dílčí doporučení.
- Na stránce správa zásad na webu Azure Portal se teď zobrazuje stav výchozích přiřazení zásad.
29 doporučení ve verzi Preview přidaná pro zvýšení pokrytí srovnávacího testu zabezpečení Azure
Srovnávací test zabezpečení Azure je sada osvědčených postupů pro zabezpečení a dodržování předpisů založená na běžných architekturách dodržování předpisů od Microsoftu, která je specifická pro Azure. Další informace o srovnávacím testu zabezpečení Azure
Do služby Security Center jsme přidali následující doporučení ve verzi Preview 29, aby se zvýšilo pokrytí tohoto srovnávacího testu.
Doporučení ve verzi Preview nevykreslují prostředek, který není v pořádku, a nejsou součástí výpočtů vašeho skóre zabezpečení. Opravte je tam, kde je to možné, aby po skončení období preview přispěli k vašemu skóre. Přečtěte si další informace o tom, jak reagovat na tato doporučení v tématu Náprava doporučení ve službě Azure Security Center.
Řízení zabezpečení | Nová doporučení |
---|---|
Šifrování přenášených dat | – Vynucování připojení SSL by mělo být povolené pro databázové servery PostgreSQL. – Vynucování připojení SSL by mělo být povolené pro databázové servery MySQL. – Protokol TLS by se měl aktualizovat na nejnovější verzi aplikace API. – Protokol TLS by se měl aktualizovat na nejnovější verzi vaší aplikace funkcí. – Protokol TLS by se měl aktualizovat na nejnovější verzi vaší webové aplikace. – Protokol FTPS by měl být vyžadován ve vaší aplikaci API. – Protokol FTPS by měl být vyžadován ve vaší aplikaci funkcí. – Protokol FTPS by měl být vyžadován ve webové aplikaci. |
Správa přístupu a oprávnění | – Webové aplikace by měly požadovat certifikát SSL pro všechny příchozí požadavky. – Spravovaná identita by se měla používat ve vaší aplikaci API. – Spravovaná identita by se měla používat ve vaší aplikaci funkcí. – Spravovaná identita by se měla používat ve vaší webové aplikaci. |
Omezení neoprávněného síťového přístupu | – Pro servery PostgreSQL by měl být povolený privátní koncový bod. – Privátní koncový bod by měl být povolený pro servery MariaDB. – Pro servery MySQL by měl být povolený privátní koncový bod. |
Povolení auditování a protokolování | – Diagnostické protokoly ve službě App Services by měly být povolené. |
Implementace osvědčených postupů zabezpečení | – Pro virtuální počítače by měla být povolená služba Azure Backup. – Geograficky redundantní zálohování by mělo být povolené pro Azure Database for MariaDB. – Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. – Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for PostgreSQL. – PHP by se měl aktualizovat na nejnovější verzi vaší aplikace API. – PHP by se měl aktualizovat na nejnovější verzi vaší webové aplikace. – Java by se měla aktualizovat na nejnovější verzi vaší aplikace API. – Java by se měla aktualizovat na nejnovější verzi vaší aplikace funkcí. – Java by měla být aktualizována na nejnovější verzi vaší webové aplikace. – Python by se měl aktualizovat na nejnovější verzi aplikace API. – Python by se měl aktualizovat na nejnovější verzi vaší aplikace funkcí. – Python by se měl aktualizovat na nejnovější verzi vaší webové aplikace. – Uchovávání auditů pro SQL servery by mělo být nastaveno alespoň na 90 dnů. |
Související odkazy:
- Další informace o srovnávacím testu zabezpečení Azure
- Další informace o aplikacích Azure API
- Další informace o aplikacích Funkcí Azure
- Další informace o webových aplikacích Azure
- Další informace o službě Azure Database for MariaDB
- Další informace o službě Azure Database for MySQL
- Další informace o službě Azure Database for PostgreSQL
NisT SP 800 171 R2 přidaný na řídicí panel dodržování právních předpisů služby Security Center
Standard NIST SP 800-171 R2 je nyní k dispozici jako integrovaná iniciativa pro použití s řídicím panelem dodržování právních předpisů ve službě Azure Security Center. Mapování ovládacích prvků jsou popsána v podrobnostech integrované iniciativy nist SP 800-171 R2 pro dodržování právních předpisů.
Pokud chcete použít standard pro vaše předplatná a průběžně monitorovat stav dodržování předpisů, použijte pokyny v části Přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.
Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-171 R2.
Seznam doporučení teď obsahuje filtry.
Seznam doporučení zabezpečení teď můžete filtrovat podle rozsahu kritérií. V následujícím příkladu je seznam doporučení filtrovaný tak, aby zobrazoval doporučení, která:
- jsou obecně dostupné (to znamená ne ve verzi Preview).
- jsou určené pro účty úložiště.
- podpora rychlé opravy nápravy
Vylepšené a rozšířené možnosti automatického zřizování
Funkce automatického zřizování pomáhá snížit režijní náklady na správu instalací požadovaných rozšíření na nové a existující virtuální počítače Azure, aby mohly těžit z ochrany služby Security Center.
S rostoucím růstem služby Azure Security Center se vyvinulo více rozšíření a Security Center může monitorovat větší seznam typů prostředků. Nástroje pro automatické zřizování se teď rozšířily tak, aby podporovaly další rozšíření a typy prostředků s využitím funkcí služby Azure Policy.
Teď můžete nakonfigurovat automatické zřizování těchto možností:
- Agent Log Analytics
- (Nový) Azure Policy pro Kubernetes
- (Nový) Microsoft Dependency Agent
Další informace o agentech a rozšířeních automatického zřizování najdete ve službě Azure Security Center.
Skóre zabezpečení je teď dostupné v průběžném exportu (Preview)
Díky průběžnému exportu skóre zabezpečení můžete streamovat změny skóre v reálném čase do služby Azure Event Hubs nebo do pracovního prostoru služby Log Analytics. Tato funkce se dá využít pro:
- sledování skóre zabezpečení v průběhu času pomocí dynamických sestav
- export dat o skóre zabezpečení do Služby Azure Sentinel (nebo jiného SIEM)
- integrovat tato data se všemi procesy, které už možná používáte k monitorování skóre zabezpečení ve vaší organizaci
Přečtěte si další informace o tom, jak průběžně exportovat data služby Security Center.
Doporučení "Aktualizace systému by se měly nainstalovat na vaše počítače" teď zahrnují dílčí doporučení.
Na doporučení k počítačům by se měly nainstalovat aktualizace systému. Nová verze obsahuje dílčí pokyny pro každou chybějící aktualizaci a přináší následující vylepšení:
Přepracované prostředí na stránkách azure Security Center na webu Azure Portal Na počítačích by se měla nainstalovat stránka s podrobnostmi o doporučení pro aktualizace systému, která obsahuje seznam zjištění, jak je znázorněno níže. Když vyberete jedno hledání, otevře se podokno podrobností s odkazem na informace o nápravě a seznam ovlivněných prostředků.
Rozšířená data pro doporučení z Azure Resource Graphu (ARG). ARG je služba Azure, která je navržená tak, aby poskytovala efektivní zkoumání prostředků. ARG můžete použít k dotazování ve velkém měřítku napříč danou sadou předplatných, abyste mohli efektivně řídit své prostředí.
Pro Azure Security Center můžete použít ARG a dotazovací jazyk Kusto (KQL) k dotazování na širokou škálu dat o stavu zabezpečení.
Pokud jste se dříve dotazovali na toto doporučení v ARG, jediné dostupné informace byly, že doporučení je potřeba opravit na počítači. Následující dotaz rozšířené verze vrátí všechny chybějící aktualizace systému seskupené podle počítače.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Na stránce správa zásad na webu Azure Portal se teď zobrazuje stav výchozích přiřazení zásad.
Teď můžete zjistit, jestli mají vaše předplatná přiřazenou výchozí zásadu Security Center, na stránce zásad zabezpečení služby Security Center na webu Azure Portal.
Říjen 2020
Mezi aktualizace v říjnu patří:
- Posouzení ohrožení zabezpečení pro místní a multicloudové počítače (Preview)
- Přidání doporučení služby Azure Firewall (Preview)
- Autorizované rozsahy IP adres by se měly definovat v doporučení služby Kubernetes Services aktualizované pomocí rychlé opravy.
- Řídicí panel dodržování právních předpisů teď obsahuje možnost odebrat standardy.
- Tabulka Microsoft.Security/securityStatuses odebraná z Azure Resource Graphu
Posouzení ohrožení zabezpečení pro místní a multicloudové počítače (Preview)
Integrovaný skener posouzení ohrožení zabezpečení v Azure Defenderu pro servery (využívající Qualys) teď kontroluje servery s podporou Azure Arc.
Když na počítačích mimo Azure povolíte Azure Arc, Security Center na ně nabídne nasazení integrované kontroly ohrožení zabezpečení – ručně i ve velkém měřítku.
Díky této aktualizaci můžete využít sílu Azure Defenderu pro servery ke konsolidaci správa ohrožení zabezpečení programu napříč všemi prostředky Azure a prostředky mimo Azure.
Hlavní možnosti:
- Monitorování stavu zřizování kontroly posouzení ohrožení zabezpečení na počítačích Azure Arc
- Zřízení integrovaného agenta VA pro nechráněné počítače s Windows a Linuxem Azure Arc (ručně i ve velkém)
- Příjem a analýza zjištěných ohrožení zabezpečení z nasazených agentů (ručně i ve velkém)
- Jednotné prostředí pro virtuální počítače Azure a počítače Azure Arc
Přečtěte si další informace o serverech s podporou Azure Arc.
Přidání doporučení služby Azure Firewall (Preview)
Přidali jsme nové doporučení pro ochranu všech vašich virtuálních sítí pomocí služby Azure Firewall.
Doporučení: Virtuální sítě by měly být chráněné službou Azure Firewall, doporučuje omezit přístup k vašim virtuálním sítím a zabránit potenciálním hrozbám pomocí služby Azure Firewall.
Přečtěte si další informace o službě Azure Firewall.
Autorizované rozsahy IP adres by se měly definovat v doporučení služby Kubernetes Services aktualizované pomocí rychlé opravy.
V Kubernetes Services by teď měly být definované rozsahy autorizovaných IP adres.
Řídicí panel dodržování právních předpisů teď obsahuje možnost odebrat standardy.
Řídicí panel dodržování právních předpisů ve službě Security Center poskytuje přehled o stavu dodržování předpisů na základě toho, jak splňujete konkrétní kontroly dodržování předpisů a požadavky.
Řídicí panel obsahuje výchozí sadu regulačních standardů. Pokud některý ze zadaných standardů není pro vaši organizaci relevantní, je teď jednoduchý postup, jak je odebrat z uživatelského rozhraní předplatného. Standardy se dají odebrat jenom na úrovni předplatného , ne na úrovni skupiny pro správu.
Další informace najdete v části Odebrání standardu z řídicího panelu.
Tabulka Microsoft.Security/securityStatuses odebraná z Azure Resource Graphu (ARG)
Azure Resource Graph je služba v Azure, která je navržená tak, aby poskytovala efektivní zkoumání prostředků s možností dotazování ve velkém měřítku napříč danou sadou předplatných, abyste mohli efektivně řídit vaše prostředí.
Pro Azure Security Center můžete použít ARG a dotazovací jazyk Kusto (KQL) k dotazování na širokou škálu dat o stavu zabezpečení. Příklad:
- Inventář prostředků využívá ARG
- Zdokumentovali jsme ukázkový dotaz ARG pro identifikaci účtů bez povoleného vícefaktorového ověřování (MFA).
V rámci ARG existují tabulky dat, které můžete použít v dotazech.
Tip
Dokumentace k ARG obsahuje všechny dostupné tabulky v tabulce Azure Resource Graphu a odkazy na typ prostředku.
Z této aktualizace byla odebrána tabulka Microsoft.Security/securityStatuses . Rozhraní SECURITYStatuses API je stále dostupné.
Nahrazení dat může používat tabulka Microsoft.Security/Assessments.
Hlavním rozdílem mezi Microsoft.Security/securityStatuses a Microsoft.Security/Assessments je, že zatímco první ukazuje agregaci posouzení, sekundy pro každý z nich obsahuje jeden záznam.
Například Microsoft.Security/securityStatuses by vrátil výsledek s polem dvou zásadAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Vzhledem k tomu, že Microsoft.Security/Assessments uchovává záznam pro každé takové posouzení zásad takto:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Příklad převodu existujícího dotazu ARG pomocí securityStatuses pro použití tabulky hodnocení:
Dotaz, který odkazuje na SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Náhradní dotaz pro tabulku Hodnocení:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Další informace najdete na následujících odkazech:
září 2020
Mezi aktualizace v září patří:
- Security Center získá nový vzhled!
- Vydáno v Azure Defenderu
- Azure Defender for Key Vault je obecně dostupný
- Obecná dostupnost ochrany Azure Defenderu pro službu Storage pro soubory a ADLS Gen2
- Nástroje inventáře prostředků jsou teď obecně dostupné.
- Zakázání konkrétního hledání ohrožení zabezpečení pro vyhledávání registrů kontejnerů a virtuálních počítačů
- Vyloučení prostředku z doporučení
- Konektory AWS a GCP ve službě Security Center přinášejí vícecloudové prostředí
- Sada doporučení ochrany úloh Kubernetes
- Zjištění posouzení ohrožení zabezpečení jsou nyní k dispozici v průběžném exportu.
- Zabránění chybným konfiguracím zabezpečení vynucením doporučení při vytváření nových prostředků
- Vylepšená doporučení skupin zabezpečení sítě
- Zastaralé doporučení AKS ve verzi Preview : Zásady zabezpečení podů by se měly definovat ve službách Kubernetes
- Vylepšená e-mailová oznámení ze služby Azure Security Center
- Skóre zabezpečení nezahrnuje doporučení verze Preview.
- Doporučení teď obsahují indikátor závažnosti a interval aktuálnosti.
Security Center získá nový vzhled
Vydali jsme aktualizované uživatelské rozhraní pro stránky portálu služby Security Center. Nové stránky obsahují novou stránku přehledu a řídicí panely pro bezpečnostní skóre, inventář prostředků a Azure Defender.
Přepracovaná stránka přehledu má teď dlaždici pro přístup k skóre zabezpečení, inventáři prostředků a řídicím panelům Azure Defenderu. Obsahuje také dlaždici odkazující na řídicí panel dodržování právních předpisů.
Přečtěte si další informace o stránce s přehledem.
Vydáno v Azure Defenderu
Azure Defender je platforma ochrany cloudových úloh (CWPP) integrovaná ve službě Security Center pro pokročilé, inteligentní ochranu vašich úloh Azure a hybridních úloh. Nahrazuje možnost standardní cenové úrovně Security Center.
Když povolíte Azure Defender z oblasti Cen a nastavení služby Azure Security Center, jsou všechny následující plány Defenderu povolené současně a poskytují komplexní ochranu výpočetních, datových a servisních vrstev vašeho prostředí:
- Azure Defender pro servery
- Azure Defender for App Service
- Azure Defender for Storage
- Azure Defender pro SQL
- Azure Defender for Key Vault
- Azure Defender pro Kubernetes
- Azure Defender pro registry kontejnerů
Každý z těchto plánů je vysvětlen samostatně v dokumentaci ke službě Security Center.
Azure Defender poskytuje díky svému vyhrazenému řídicímu panelu výstrahy zabezpečení a pokročilou ochranu před hrozbami pro virtuální počítače, databáze SQL, kontejnery, webové aplikace, vaši síť a další.
Další informace o Azure Defenderu
Azure Defender for Key Vault je obecně dostupný
Azure Key Vault je cloudová služba, která chrání šifrovací klíče a tajné kódy, jako jsou certifikáty, připojovací řetězec a hesla.
Azure Defender for Key Vault poskytuje nativní a pokročilou ochranu před hrozbami pro Azure Key Vault a poskytuje další vrstvu inteligentních funkcí zabezpečení. Azure Defender for Key Vault navíc chrání mnoho prostředků závislých na vašich účtech služby Key Vault.
Volitelný plán je teď obecně dostupný. Tato funkce byla ve verzi Preview jako rozšířená ochrana před internetovými útoky pro Azure Key Vault.
Stránky služby Key Vault na webu Azure Portal teď obsahují vyhrazenou stránku zabezpečení pro doporučení a výstrahy služby Security Center .
Další informace najdete v Azure Defenderu pro Key Vault.
Obecná dostupnost ochrany Azure Defenderu pro službu Storage pro soubory a ADLS Gen2
Azure Defender for Storage detekuje potenciálně škodlivé aktivity u vašich účtů Azure Storage. Vaše data je možné chránit bez ohledu na to, jestli jsou uložená jako kontejnery objektů blob, sdílené složky nebo datová jezera.
Podpora služby Azure Files a Azure Data Lake Storage Gen2 je teď obecně dostupná.
Od 1. října 2020 začneme účtovat poplatky za ochranu prostředků na těchto službách.
Další informace najdete v Azure Defenderu pro storage.
Nástroje inventáře prostředků jsou teď obecně dostupné.
Stránka inventáře prostředků služby Azure Security Center poskytuje jednu stránku pro zobrazení stavu zabezpečení prostředků, které jste připojili ke službě Security Center.
Security Center pravidelně analyzuje stav zabezpečení vašich prostředků Azure, aby identifikoval potenciální ohrožení zabezpečení. Pak vám poskytne doporučení, jak tato ohrožení zabezpečení napravit.
Pokud má některý prostředek nevyrovnaná doporučení, zobrazí se v inventáři.
Další informace najdete v části Prozkoumání a správa prostředků pomocí inventáře prostředků.
Zakázání konkrétního hledání ohrožení zabezpečení pro vyhledávání registrů kontejnerů a virtuálních počítačů
Azure Defender zahrnuje kontroly ohrožení zabezpečení ke kontrole imagí ve službě Azure Container Registry a virtuálních počítačích.
Pokud potřebujete, aby organizace hledání ignorovala a nemusela ji opravovat, můžete ji volitelně zakázat. Zakázaná zjištění nemají vliv na vaše skóre zabezpečení ani negenerují nežádoucí šum.
Když hledání odpovídá kritériím definovaným v pravidlech zákazu, nezobrazí se v seznamu zjištění.
Tato možnost je k dispozici na stránkách s podrobnostmi doporučení pro:
- Chyby zabezpečení v imagích služby Azure Container Registry by se měly napravit.
- Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích.
Vyloučení prostředku z doporučení
V některých případech bude prostředek uveden v pořádku ohledně konkrétního doporučení (a tím snížení skóre zabezpečení), i když se cítíte, že by neměl být. Je možné, že byl opraven procesem, který není sledován službou Security Center. Nebo se vaše organizace rozhodla přijmout riziko pro tento konkrétní prostředek.
V takových případech můžete vytvořit pravidlo výjimky a zajistit, aby prostředek nebyl v budoucnu uveden mezi prostředky, které nejsou v pořádku. Tato pravidla můžou obsahovat zdokumentované odůvodnění, jak je popsáno níže.
Další informace najdete v článku Vyloučení prostředku z doporučení a skóre zabezpečení.
Konektory AWS a GCP ve službě Security Center přinášejí vícecloudové prostředí
U cloudových úloh, které často pokrývají více cloudových platforem, musí služby cloudového zabezpečení provádět totéž.
Azure Security Center teď chrání úlohy v Azure, Amazon Web Services (AWS) a Google Cloud Platform (GCP).
Když nasadíte projekty AWS a GCP do služby Security Center, integruje se služba AWS Security Hub, GCP Security Command a Azure Security Center.
Další informace najdete v části Připojení účtů AWS ke službě Azure Security Center a připojení projektů GCP ke službě Azure Security Center.
Sada doporučení ochrany úloh Kubernetes
Aby se zajistilo, že úlohy Kubernetes jsou ve výchozím nastavení zabezpečené, security Center přidává doporučení pro posílení úrovně Kubernetes, včetně možností vynucení s řízením přístupu Kubernetes.
Po instalaci služby Azure Policy pro Kubernetes do clusteru AKS se všechny požadavky na server rozhraní API Kubernetes budou monitorovat předdefinovanou sadou osvědčených postupů před tím, než se zachovají do clusteru. Pak můžete nakonfigurovat, abyste vynucovali osvědčené postupy a nařídili je pro budoucí úlohy.
Můžete například nařídit, aby se privilegované kontejnery neměly vytvářet a všechny budoucí požadavky na to budou blokované.
Další informace najdete v osvědčených postupech ochrany úloh pomocí řízení přístupu Kubernetes.
Zjištění posouzení ohrožení zabezpečení jsou nyní k dispozici v průběžném exportu.
Pomocí průběžného exportu můžete streamovat upozornění a doporučení do služby Azure Event Hubs, pracovních prostorů služby Log Analytics nebo azure Monitoru. Odtud můžete tato data integrovat se SIEM (jako je Azure Sentinel, Power BI, Azure Data Explorer a další.
Integrované nástroje pro posouzení ohrožení zabezpečení ve službě Security Center vrací závěry o vašich prostředcích jako užitečná doporučení v rámci doporučení nadřazeného objektu, jako je například Ohrožení zabezpečení ve virtuálních počítačích by se měla napravit.
Když vyberete doporučení a povolíte možnost zahrnout závěry zabezpečení, jsou teď k dispozici pro export prostřednictvím průběžného exportu.
Související stránky:
- Integrované řešení posouzení ohrožení zabezpečení Qualys ve službě Security Center pro virtuální počítače Azure
- Integrované řešení posouzení ohrožení zabezpečení pro image služby Azure Container Registry ve službě Security Center
- Průběžný export
Zabránění chybným konfiguracím zabezpečení vynucením doporučení při vytváření nových prostředků
Chybná konfigurace zabezpečení jsou hlavní příčinou incidentů zabezpečení. Security Center teď má možnost zabránit chybným konfiguracím nových prostředků s ohledem na konkrétní doporučení.
Tato funkce vám může pomoct udržet vaše úlohy zabezpečené a stabilizovat skóre zabezpečení.
Zabezpečenou konfiguraci můžete vynutit na základě konkrétního doporučení ve dvou režimech:
Pomocí režimu odepření služby Azure Policy můžete zastavit vytváření prostředků, které nejsou v pořádku.
Pomocí vynucované možnosti můžete využít účinek DeployIfNotExist služby Azure Policy a automaticky napravit nekompatibilní prostředky při vytváření.
Tato možnost je k dispozici pro vybraná doporučení zabezpečení a najdete ji v horní části stránky podrobností o prostředku.
Další informace najdete v článku Prevence chybných konfigurací s doporučeními k vynucení a zamítnutí.
Vylepšená doporučení skupin zabezpečení sítě
Vylepšili jsme následující doporučení zabezpečení související se skupinami zabezpečení sítě, aby se snížily některé výskyty falešně pozitivních výsledků.
- Všechny síťové porty by měly být omezené na skupinu zabezpečení sítě přidruženou k vašemu virtuálnímu počítači.
- Ve virtuálních počítačích by se měly uzavřít porty pro správu.
- Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě.
- Podsítě by měly mít přiřazenou skupinu zabezpečení sítě
Zastaralé doporučení AKS ve verzi Preview : Zásady zabezpečení podů by se měly definovat ve službách Kubernetes
Doporučení preview :Zásady zabezpečení podů by se měly definovat ve službách Kubernetes Services, jak je popsáno v dokumentaci ke službě Azure Kubernetes Service .
Funkce zásad zabezpečení podů (Preview) je nastavená pro vyřazení a po 15. říjnu 2020 už nebude k dispozici ve prospěch služby Azure Policy pro AKS.
Po vyřazení zásad zabezpečení podů (Preview) je nutné tuto funkci zakázat u všech existujících clusterů, které používají zastaralou funkci, abyste mohli provádět budoucí upgrady clusterů a zůstat v podpora Azure.
Vylepšená e-mailová oznámení ze služby Azure Security Center
Vylepšili jsme následující oblasti e-mailů týkajících se výstrah zabezpečení:
- Přidání možnosti odesílat e-mailová oznámení o výstrahách pro všechny úrovně závažnosti
- Přidání možnosti upozorňovat uživatele na různé role Azure v předplatném
- Vlastníci předplatného ve výchozím nastavení aktivně upozorňují na výstrahy s vysokou závažností (které mají vysokou pravděpodobnost skutečného porušení zabezpečení).
- Odebrali jsme pole telefonního čísla ze stránky konfigurace e-mailových oznámení.
Další informace najdete v článku Nastavení e-mailových oznámení pro výstrahy zabezpečení.
Skóre zabezpečení nezahrnuje doporučení verze Preview.
Security Center nepřetržitě vyhodnocuje vaše prostředky, předplatná a organizaci, jestli nedochází k problémům se zabezpečením. Následně agreguje všechna zjištění do jednoho skóre, abyste mohli na první pohled zjistit aktuální situaci v oblasti zabezpečení: čím vyšší je skóre, tím nižší je zjištěná úroveň rizika.
Při zjištění nových hrozeb se v Security Center zpřístupní nová doporučení týkající se zabezpečení prostřednictvím nových doporučení. Abyste se vyhnuli překvapivým změnám skóre zabezpečení a poskytli období odkladu, ve kterém můžete prozkoumat nová doporučení, než ovlivní vaše skóre, doporučení označená příznakem Preview se už do výpočtů vašeho skóre zabezpečení nezahrnou. Měly by se napravit všude, kde je to možné, aby po skončení období preview přispěly k vašemu skóre.
Doporučení verze Preview také nevykreslují prostředek, který není v pořádku.
Příklad doporučení verze Preview:
Přečtěte si další informace o skóre zabezpečení.
Doporučení teď obsahují indikátor závažnosti a interval aktuálnosti.
Stránka podrobností doporučení teď obsahuje indikátor intervalu aktuálnosti (kdykoli je to relevantní) a jasné zobrazení závažnosti doporučení.
Srpen 2020
Mezi aktualizace v srpnu patří:
- Inventář prostředků – výkonné nové zobrazení stavu zabezpečení vašich prostředků
- Přidání podpory výchozích hodnot zabezpečení Azure Active Directory (pro vícefaktorové ověřování)
- Přidání doporučení pro instanční objekty
- Posouzení ohrožení zabezpečení na virtuálních počítačích – konsolidované zásady a doporučení
- Nové zásady zabezpečení AKS přidané do iniciativy ASC_default
Inventář prostředků – výkonné nové zobrazení stavu zabezpečení vašich prostředků
Inventář prostředků služby Security Center (aktuálně ve verzi Preview) poskytuje způsob, jak zobrazit stav zabezpečení prostředků, které jste připojili ke službě Security Center.
Security Center pravidelně analyzuje stav zabezpečení vašich prostředků Azure, aby identifikoval potenciální ohrožení zabezpečení. Pak vám poskytne doporučení, jak tato ohrožení zabezpečení napravit. Pokud má některý prostředek nevyrovnaná doporučení, zobrazí se v inventáři.
Pomocí zobrazení a jejích filtrů můžete prozkoumat data stavu zabezpečení a provádět další akce na základě vašich zjištění.
Přečtěte si další informace o inventáři prostředků.
Přidání podpory výchozích hodnot zabezpečení Azure Active Directory (pro vícefaktorové ověřování)
Security Center přidala plnou podporu pro výchozí nastavení zabezpečení, bezplatnou ochranu zabezpečení identit od Microsoftu.
Výchozí nastavení zabezpečení poskytují předkonfigurovaná nastavení zabezpečení identit pro ochranu vaší organizace před běžnými útoky souvisejícími s identitami. Výchozí nastavení zabezpečení již chrání více než 5 milionů tenantů; Security Center také chrání 50 000 tenantů.
Security Center teď poskytuje doporučení zabezpečení vždy, když identifikuje předplatné Azure bez povoleného výchozího nastavení zabezpečení. Doteď služba Security Center doporučila povolit vícefaktorové ověřování pomocí podmíněného přístupu, což je součást licence Azure Active Directory (AD) Premium. Pro zákazníky, kteří používají Bezplatnou službu Azure AD, teď doporučujeme povolit výchozí nastavení zabezpečení.
Naším cílem je povzbuzovat další zákazníky k zabezpečení cloudových prostředí pomocí vícefaktorového ověřování a zmírnit jedno z největších rizik, která jsou pro vaše bezpečnostní skóre také nejvýraznější.
Přečtěte si další informace o výchozích nastaveních zabezpečení.
Přidání doporučení pro instanční objekty
Přidali jsme nové doporučení, které zákazníkům služby Security Center doporučilo, aby ke správě svých předplatných používali certifikáty pro správu, a přešli na instanční objekty.
Doporučení, instanční objekty by se měly používat k ochraně předplatných místo certifikátů pro správu, doporučujeme používat instanční objekty nebo Azure Resource Manager k bezpečnější správě předplatných.
Přečtěte si další informace o objektech aplikace a instančního objektu v Azure Active Directory.
Posouzení ohrožení zabezpečení na virtuálních počítačích – konsolidované zásady a doporučení
Security Center zkontroluje vaše virtuální počítače a zjistí, jestli používají řešení posouzení ohrožení zabezpečení. Pokud se nenajde žádné řešení posouzení ohrožení zabezpečení, security Center nabízí doporučení pro zjednodušení nasazení.
Při nalezení ohrožení zabezpečení poskytuje Security Center doporučení shrnující zjištění, která můžete podle potřeby prošetřit a napravit.
Abychom zajistili konzistentní prostředí pro všechny uživatele bez ohledu na typ skeneru, který používají, jsme sjednotili čtyři doporučení do následujících dvou:
Jednotné doporučení | Změna popisu |
---|---|
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Nahradí následující dvě doporučení: Povolení integrovaného řešení posouzení ohrožení zabezpečení na virtuálních počítačích (s využitím Qualys (nyní zastaralé) (součástí úrovně Standard) Řešení posouzení ohrožení zabezpečení by se mělo nainstalovat na virtuální počítače (nyní zastaralé) (úrovně Standard a Free). |
Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích. | Nahradí následující dvě doporučení: Náprava ohrožení zabezpečení nalezených na vašich virtuálních počítačích (využívajících Qualys) (nyní zastaralé) Ohrožení zabezpečení by mělo být odstraněno řešením posouzení ohrožení zabezpečení (nyní zastaralé). |
Teď použijete stejné doporučení k nasazení rozšíření posouzení ohrožení zabezpečení služby Security Center nebo soukromého licencovaného řešení (BYOL) od partnera, jako je Qualys nebo Rapid 7.
Při nalezení a nahlášení ohrožení zabezpečení službě Security Center vás na zjištění upozorní jedno doporučení bez ohledu na řešení posouzení ohrožení zabezpečení, které je identifikovalo.
Aktualizace závislostí
Pokud máte skripty, dotazy nebo automatizace odkazující na předchozí doporučení nebo klíče/názvy zásad, aktualizujte odkazy pomocí následujících tabulek:
Před srpnem 2020
Doporučení | Obor |
---|---|
Povolení integrovaného řešení posouzení ohrožení zabezpečení na virtuálních počítačích (využívajících Qualys) Klíč: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Integrovaný |
Náprava ohrožení zabezpečení zjištěných na virtuálních počítačích (s využitím Qualys) Klíč: 1195afff-c881-495e-9bc5-1486211ae03f |
Integrovaný |
Na virtuální počítače by mělo být nainstalované řešení posouzení ohrožení zabezpečení. Klíč: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení. Klíč: 71992a2a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
Zásady | Obor |
---|---|
Na virtuálních počítačích by mělo být povolené posouzení ohrožení zabezpečení. ID zásady: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Integrovaný |
Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení. ID zásady: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Od srpna 2020
Doporučení | Obor |
---|---|
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. Klíč: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Integrované + BYOL |
Měla by se napravit ohrožení zabezpečení ve vašich virtuálních počítačích. Klíč: 1195afff-c881-495e-9bc5-1486211ae03f |
Integrované + BYOL |
Zásady | Obor |
---|---|
Na virtuálních počítačích by mělo být povolené posouzení ohrožení zabezpečení. ID zásady: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Integrované + BYOL |
Nové zásady zabezpečení AKS přidané do iniciativy ASC_default
Aby se zajistilo, že jsou úlohy Kubernetes ve výchozím nastavení zabezpečené, security Center přidává zásady na úrovni Kubernetes a doporučení k posílení zabezpečení, včetně možností vynucení s řízením přístupu Kubernetes.
Počáteční fáze tohoto projektu zahrnuje verzi Preview a přidání nových (ve výchozím nastavení zakázaných) zásad do iniciativy ASC_default.
Tyto zásady můžete bezpečně ignorovat a vaše prostředí nebude mít žádný vliv. Pokud je chcete povolit, zaregistrujte si verzi Preview prostřednictvím privátní komunity Zabezpečení cloudu Microsoftu a vyberte si z následujících možností:
- Single Preview – Pokud se chcete připojit jenom k této verzi Preview . Explicitně zmiňte "ASC Continuous Scan" jako náhled, ke které se chcete připojit.
- Průběžný program – bude přidán do této a budoucí privátní verze Preview. Budete muset dokončit smlouvu s profilem a ochranou osobních údajů.
Červenec 2020
Mezi aktualizace v červenci patří:
- Posouzení ohrožení zabezpečení pro virtuální počítače je teď dostupné pro image, které nejsou na marketplace.
- Rozšíření ochrany před hrozbami pro služby Azure Storage tak, aby zahrnovala Azure Files a Azure Data Lake Storage Gen2 (Preview)
- Osm nových doporučení pro povolení funkcí ochrany před hrozbami
- Vylepšení zabezpečení kontejnerů – rychlejší prohledávání registru a aktualizovaná dokumentace
- Aktualizace adaptivního řízení aplikací s novým doporučením a podporou pro zástupné znaky v pravidlech cest
- Vyřazení šesti zásad pro rozšířené zabezpečení dat SQL
Posouzení ohrožení zabezpečení pro virtuální počítače nově k dispozici pro image mimo marketplace
Když jste nasadili řešení posouzení ohrožení zabezpečení, služba Security Center předtím před nasazením provedla kontrolu ověření. Kontrolou bylo potvrzení skladové položky marketplace cílového virtuálního počítače.
Z této aktualizace se kontrola odebere a teď můžete nasadit nástroje pro posouzení ohrožení zabezpečení do vlastních počítačů s Windows a Linuxem. Vlastní image jsou ty, které jste upravili z výchozích hodnot Marketplace.
I když teď můžete nasadit integrované rozšíření posouzení ohrožení zabezpečení (využívající Qualys) na mnoho dalších počítačů, podpora je dostupná jenom v případě, že používáte operační systém uvedený v části Nasazení integrované kontroly ohrožení zabezpečení na virtuální počítače úrovně Standard.
Přečtěte si další informace o integrovaném skeneru ohrožení zabezpečení pro virtuální počítače (vyžaduje Azure Defender).
Přečtěte si další informace o používání vlastního soukromého licencovaného řešení posouzení ohrožení zabezpečení od Qualys nebo Rapid7
nasazení řešení kontroly ohrožení zabezpečení partnera.
Rozšíření ochrany před hrozbami pro služby Azure Storage tak, aby zahrnovala Azure Files a Azure Data Lake Storage Gen2 (Preview)
Ochrana před hrozbami pro Azure Storage detekuje potenciálně škodlivé aktivity u vašich účtů Azure Storage. Security Center zobrazí výstrahy, když zjistí pokusy o přístup k účtům úložiště nebo jejich zneužití.
Vaše data je možné chránit bez ohledu na to, jestli jsou uložená jako kontejnery objektů blob, sdílené složky nebo datová jezera.
Osm nových doporučení pro povolení funkcí ochrany před hrozbami
Přidali jsme osm nových doporučení, která poskytují jednoduchý způsob, jak povolit funkce ochrany před hrozbami služby Azure Security Center pro následující typy prostředků: virtuální počítače, plány služby App Service, servery služby Azure SQL Database, servery SQL na počítačích, účty Azure Storage, clustery Azure Kubernetes Service, registry služby Azure Container Registry a trezory služby Azure Key Vault.
Nová doporučení jsou:
- Na serverech Azure SQL Database by se mělo povolit pokročilé zabezpečení dat.
- Na serverech SQL na počítačích by se mělo povolit pokročilé zabezpečení dat.
- Rozšířená ochrana před internetovými útoky by měla být povolená v plánech služby Aplikace Azure Service.
- Rozšířená ochrana před internetovými útoky by měla být povolená v registrech služby Azure Container Registry.
- Rozšířená ochrana před internetovými útoky by měla být povolená v trezorech služby Azure Key Vault.
- Rozšířená ochrana před internetovými útoky by měla být povolená v clusterech Azure Kubernetes Service.
- Rozšířená ochrana před internetovými útoky by měla být povolená v účtech Azure Storage.
- Rozšířená ochrana před internetovými útoky by měla být povolená na virtuálních počítačích.
Doporučení zahrnují také funkci rychlé opravy.
Důležité
Náprava kteréhokoli z těchto doporučení způsobí, že se budou účtovat poplatky za ochranu příslušných prostředků. Pokud máte související prostředky v aktuálním předplatném, začnou se tyto poplatky okamžitě účtovat. Nebo v budoucnu, pokud je přidáte později.
Pokud například ve svém předplatném nemáte žádné clustery Azure Kubernetes Service a povolíte ochranu před hrozbami, nebudou vám účtovány žádné poplatky. Pokud v budoucnu přidáte cluster do stejného předplatného, bude automaticky chráněn a poplatky začnou v tuto chvíli.
Přečtěte si další informace o ochraně před hrozbami ve službě Azure Security Center.
Vylepšení zabezpečení kontejnerů – rychlejší prohledávání registru a aktualizovaná dokumentace
V rámci průběžných investic do domény zabezpečení kontejneru s radostí sdílíme významné zlepšení výkonu při dynamických kontrolách imagí kontejnerů uložených ve službě Azure Container Registry ve službě Security Center. Kontroly se teď obvykle dokončí přibližně za dvě minuty. V některých případech může trvat až 15 minut.
Abychom zlepšili přehlednost a pokyny týkající se možností zabezpečení kontejnerů služby Azure Security Center, aktualizovali jsme také stránky dokumentace zabezpečení kontejneru.
Aktualizace adaptivního řízení aplikací s novým doporučením a podporou pro zástupné znaky v pravidlech cest
Funkce adaptivního řízení aplikací obdržela dvě významné aktualizace:
Nové doporučení identifikuje potenciálně legitimní chování, které ještě nebylo povoleno. Nové doporučení, pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat, vyzve vás k přidání nových pravidel do stávajících zásad, aby se snížil počet falešně pozitivních výsledků v upozorněních na porušení adaptivního řízení aplikací.
Pravidla cesty teď podporují zástupné cardy. Z této aktualizace můžete nakonfigurovat povolená pravidla cest pomocí zástupných znaků. Existují dva podporované scénáře:
Pomocí zástupného znaku na konci cesty povolíte všem spustitelným souborům v této složce a podsložkách.
Použití zástupného znaku uprostřed cesty k povolení známého spustitelného názvu se změněným názvem složky (např. osobní uživatelské složky se známým spustitelným souborem, automaticky vygenerovanými názvy složek atd.).
Vyřazení šesti zásad pro rozšířené zabezpečení dat SQL
Šest zásad souvisejících s pokročilým zabezpečením dat pro počítače SQL se nepoužívá:
- Rozšířené typy ochrany před internetovými útoky by měly být v pokročilém nastavení zabezpečení dat sql spravované instance nastaveny na Vše.
- Rozšířené typy ochrany před internetovými útoky by měly být nastavené na All (Vše) na sql serveru advanced data security settings
- Rozšířená nastavení zabezpečení dat pro spravovanou instanci SQL by měla obsahovat e-mailovou adresu pro příjem výstrah zabezpečení.
- Rozšířená nastavení zabezpečení dat pro SQL Server by měla obsahovat e-mailovou adresu pro příjem výstrah zabezpečení.
- E-mailová oznámení správcům a vlastníkům předplatného by se měla povolit v rozšířených nastaveních zabezpečení dat spravované instance SQL.
- V nastaveních pokročilého zabezpečení dat serverů SQL by měla být povolená e-mailová oznámení pro správce a vlastníky předplatného.
Přečtěte si další informace o předdefinovaných zásadách.
Červen 2020
Mezi aktualizace v červnu patří:
- Rozhraní API pro skóre zabezpečení (Preview)
- Pokročilé zabezpečení dat pro počítače SQL (Azure, další cloudy a místní prostředí) (Preview)
- Dvě nová doporučení pro nasazení agenta Log Analytics do počítačů Azure Arc (Preview)
- Nové zásady pro vytváření konfigurací průběžného exportu a automatizace pracovních postupů ve velkém měřítku
- Nové doporučení pro použití skupin zabezpečení sítě k ochraně ne internetových virtuálních počítačů
- Nové zásady pro povolení ochrany před hrozbami a pokročilé zabezpečení dat
Rozhraní API pro skóre zabezpečení (Preview)
K skóre se teď dostanete přes rozhraní API pro skóre zabezpečení (aktuálně ve verzi Preview). Metody rozhraní API poskytují flexibilitu při dotazování na data a vytváření vlastního mechanismu generování sestav bezpečnostních skóre v průběhu času. Pomocí rozhraní API skóre zabezpečení můžete například získat skóre pro konkrétní předplatné. Kromě toho můžete použít rozhraní API pro bezpečnostní skóre k výpisu bezpečnostních prvků a aktuálního skóre vašich předplatných.
Příklady externích nástrojů, které umožňují rozhraní API pro skóre zabezpečení, najdete v oblasti skóre zabezpečení naší komunity GitHubu.
Přečtěte si další informace o bezpečnostních skóre a bezpečnostních prvcích ve službě Azure Security Center.
Pokročilé zabezpečení dat pro počítače SQL (Azure, další cloudy a místní prostředí) (Preview)
Pokročilé zabezpečení dat pro počítače SQL služby Azure Security Center teď chrání SQL Servery hostované v Azure, v jiných cloudových prostředích a dokonce i na místních počítačích. Tím se rozšíří ochrana vašich SQL Serverů nativních pro Azure, aby plně podporovala hybridní prostředí.
Pokročilé zabezpečení dat poskytuje posouzení ohrožení zabezpečení a rozšířenou ochranu před hrozbami pro vaše počítače SQL všude, kde se nacházejí.
Nastavení zahrnuje dva kroky:
Nasazení agenta Log Analytics na hostitelský počítač s SQL Serverem za účelem poskytnutí připojení k účtu Azure
Povolení volitelné sady na stránce s cenami a nastavením služby Security Center
Přečtěte si další informace o pokročilém zabezpečení dat pro počítače SQL.
Dvě nová doporučení pro nasazení agenta Log Analytics do počítačů Azure Arc (Preview)
Přidali jsme dvě nová doporučení, která vám pomůžou nasadit agenta Log Analytics do počítačů Azure Arc a zajistit, aby byly chráněné službou Azure Security Center:
- Agent Log Analytics by měl být nainstalovaný na počítačích Azure Arc s Windows (Preview)
- Agent Log Analytics by měl být nainstalovaný na počítačích Azure Arc se systémem Linux (Preview)
Tato nová doporučení se zobrazí ve stejných čtyřech kontrolních prvcích zabezpečení jako existující (související) doporučení, agent monitorování by měl být nainstalovaný na vašich počítačích: opravte konfigurace zabezpečení, použijte adaptivní řízení aplikací, použijte aktualizace systému a povolte ochranu koncových bodů.
Doporučení zahrnují také funkci Rychlá oprava, která proces nasazení urychlí.
Přečtěte si další informace o tom, jak Azure Security Center používá agenta v části Co je agent Log Analytics?
Přečtěte si další informace o rozšířeních pro počítače Azure Arc.
Nové zásady pro vytváření konfigurací průběžného exportu a automatizace pracovních postupů ve velkém měřítku
Automatizace procesů monitorování a reakce na incidenty ve vaší organizaci může výrazně zlepšit dobu potřebnou k prošetření a zmírnění incidentů zabezpečení.
Pokud chcete nasadit konfigurace automatizace ve vaší organizaci, použijte tyto integrované zásady Azure DeployIfdNotExist k vytváření a konfiguraci procedur průběžného exportu a automatizace pracovních postupů:
Definice zásad najdete ve službě Azure Policy:
Goal | Zásady | ID zásady |
---|---|---|
Průběžný export do služby Event Hubs | Nasazení exportu do služby Event Hubs pro výstrahy a doporučení služby Azure Security Center | cdfcce10-4578-4ecd-9703-530938e4abcb |
Průběžný export do pracovního prostoru služby Log Analytics | Nasazení exportu do pracovního prostoru služby Log Analytics pro upozornění a doporučení služby Azure Security Center | ffb6f416-7bd2-4488-8828-56585fef2be9 |
Automatizace pracovních postupů pro výstrahy zabezpečení | Nasazení automatizace pracovních postupů pro upozornění služby Azure Security Center | f1525828-9a90-4fcf-be48-268cd02361e |
Automatizace pracovních postupů pro doporučení zabezpečení | Nasazení automatizace pracovních postupů pro doporučení služby Azure Security Center | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Začínáme se šablonami automatizace pracovních postupů
Přečtěte si další informace o použití dvou zásad exportu ve velkém měřítku při konfiguraci automatizace pracovního postupu pomocí zadaných zásad a nastavení průběžného exportu.
Nové doporučení pro použití skupin zabezpečení sítě k ochraně ne internetových virtuálních počítačů
Ovládací prvek zabezpečení implementuje osvědčené postupy zabezpečení, teď obsahuje následující nové doporučení:
- Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě.
Existující doporučení: Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě, nerozlišily mezi internetovými a ne internetovými virtuálními počítači. U obou se vygenerovalo doporučení s vysokou závažností, pokud se virtuální počítač nepřiřadil ke skupině zabezpečení sítě. Toto nové doporučení odděluje počítače, které nejsou přístupné z internetu, aby se snížily falešně pozitivní výsledky a zabránilo zbytečným výstrahám s vysokou závažností.
Nové zásady pro povolení ochrany před hrozbami a pokročilé zabezpečení dat
Následující nové definice zásad byly přidány do výchozí iniciativy ASC a jsou navržené tak, aby pomohly s povolením ochrany před hrozbami nebo pokročilým zabezpečením dat pro příslušné typy prostředků.
Definice zásad najdete ve službě Azure Policy:
Přečtěte si další informace o ochraně před hrozbami ve službě Azure Security Center.
Květen 2020
Mezi aktualizace v květnu patří:
- Pravidla potlačení upozornění (Preview)
- Posouzení ohrožení zabezpečení virtuálních počítačů je teď obecně dostupné
- Změny přístupu k virtuálním počítačům za běhu (JIT)
- Přesun vlastních doporučení do samostatného ovládacího prvku zabezpečení
- Přidání přepínače pro zobrazení doporučení v ovládacích prvcích nebo v plochém seznamu
- Rozšíření ovládacího prvku zabezpečení Implementace osvědčených postupů zabezpečení
- Vlastní zásady s vlastními metadaty jsou teď obecně dostupné
- Možnosti analýzy výpisu stavu systému migrace na detekci útoků bez souborů
Pravidla potlačení upozornění (Preview)
Tato nová funkce (aktuálně ve verzi Preview) pomáhá snižovat únavu výstrah. Pomocí pravidel můžete automaticky skrýt výstrahy, o kterých je známo, že jsou neškodné nebo související s běžnými aktivitami ve vaší organizaci. Díky tomu se můžete zaměřit na nejrelevantní hrozby.
Upozornění, která odpovídají vašim povoleným pravidlům potlačení, se budou dál generovat, ale jejich stav se nastaví na zavření. Stav můžete zobrazit na webu Azure Portal nebo se ale dostanete k upozorněním zabezpečení služby Security Center.
Pravidla potlačení definují kritéria, pro která se mají výstrahy automaticky zavřít. Obvykle byste použili pravidlo potlačení k:
potlačení výstrah, které jste identifikovali jako falešně pozitivní
potlačení upozornění, která se aktivují příliš často, aby byla užitečná
Přečtěte si další informace o potlačení výstrah z ochrany před hrozbami služby Azure Security Center.
Posouzení ohrožení zabezpečení virtuálních počítačů je teď obecně dostupné
Úroveň Standard služby Security Center teď zahrnuje integrované posouzení ohrožení zabezpečení pro virtuální počítače bez dalšího poplatku. Toto rozšíření využívá Qualys, ale hlásí svá zjištění přímo do služby Security Center. Nepotřebujete licenci Qualys ani účet Qualys – všechno se bezproblémově zpracovává uvnitř security Center.
Nové řešení může nepřetržitě kontrolovat virtuální počítače a vyhledávat ohrožení zabezpečení a prezentovat zjištění ve službě Security Center.
Pokud chcete řešení nasadit, použijte nové doporučení zabezpečení:
Povolení integrovaného řešení posouzení ohrožení zabezpečení na virtuálních počítačích (využívajících Qualys)
Přečtěte si další informace o integrovaném posouzení ohrožení zabezpečení služby Security Center pro virtuální počítače.
Změny přístupu k virtuálním počítačům za běhu (JIT)
Security Center obsahuje volitelnou funkci pro ochranu portů pro správu virtuálních počítačů. To poskytuje ochranu proti nejběžnější formě útoků hrubou silou.
Tato aktualizace přináší následující změny této funkce:
Doporučení, které doporučuje povolit JIT na virtuálním počítači, se přejmenovalo. Dříve by se mělo na virtuálních počítačích použít řízení přístupu k síti za běhu: "Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu".
Doporučení se aktivuje jenom v případě, že jsou otevřené porty pro správu.
Přečtěte si další informace o funkci přístupu JIT.
Přesun vlastních doporučení do samostatného ovládacího prvku zabezpečení
Jedním z kontrolních mechanismů zabezpečení zavedených s vylepšeným skóre zabezpečení bylo "Implementace osvědčených postupů zabezpečení". Všechna vlastní doporučení vytvořená pro vaše předplatná se automaticky umístila do daného ovládacího prvku.
Abychom vám usnadnili nalezení vlastních doporučení, přesunuli jsme je do vyhrazeného ovládacího prvku zabezpečení " Vlastní doporučení". Tento ovládací prvek nemá žádný vliv na vaše bezpečnostní skóre.
Přečtěte si další informace o bezpečnostních prvcích v rozšířeném skóre zabezpečení (Preview) ve službě Azure Security Center.
Přidání přepínače pro zobrazení doporučení v ovládacích prvcích nebo v plochém seznamu
Kontrolní mechanismy zabezpečení jsou logické skupiny souvisejících doporučení zabezpečení. Odrážejí vaše ohrožené prostory útoku. Ovládací prvek je sada doporučení zabezpečení s pokyny, které vám pomůžou tato doporučení implementovat.
Pokud chcete okamžitě zjistit, jak dobře vaše organizace zabezpečuje jednotlivé prostory útoku, zkontrolujte skóre jednotlivých kontrolních mechanismů zabezpečení.
Ve výchozím nastavení se doporučení zobrazují v bezpečnostních prvcích. Z této aktualizace je můžete také zobrazit jako seznam. Pokud je chcete zobrazit jako jednoduchý seznam seřazený podle stavu ovlivněných prostředků, použijte nový přepínač Seskupit podle ovládacích prvků. Přepínač je nad seznamem na portálu.
Bezpečnostní prvky – a tento přepínač – jsou součástí nového prostředí bezpečnostních skóre. Nezapomeňte nám poslat zpětnou vazbu z portálu.
Přečtěte si další informace o bezpečnostních prvcích v rozšířeném skóre zabezpečení (Preview) ve službě Azure Security Center.
Rozšíření ovládacího prvku zabezpečení Implementace osvědčených postupů zabezpečení
Jednou z bezpečnostních kontrol zavedených s vylepšeným skóre zabezpečení je Implementace osvědčených postupů zabezpečení. Pokud je v tomto ovládacím prvku doporučení, nemá to vliv na skóre zabezpečení.
V této aktualizaci se tři doporučení přesunula z ovládacích prvků, ve kterých byly původně umístěny, a do tohoto řízení osvědčených postupů. Tento krok jsme provedli, protože jsme zjistili, že riziko těchto tří doporučení je nižší, než bylo původně napadlo.
Kromě toho byly zavedeny a přidány do tohoto ovládacího prvku dvě nová doporučení.
Mezi tři přesunutá doporučení patří:
- U účtů s oprávněními ke čtení ve vašem předplatném by mělo být povolené vícefaktorové ověřování (původně v ovládacím prvku Povolit MFA).
- Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat (původně v ovládacím prvku Správa přístupu a oprávnění).
- Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky (původně v ovládacím prvku Správa přístupu a oprávnění).
Dvě nová doporučení přidaná do ovládacího prvku jsou:
Rozšíření konfigurace hosta by mělo být nainstalované na virtuálních počítačích s Windows (Preview) – Použití konfigurace hosta služby Azure Policy poskytuje viditelnost virtuálních počítačů na serverová a aplikační nastavení (jenom Windows).
Ochrana Exploit Guard v programu Windows Defender by měla být povolená na vašich počítačích (Preview) – Ochrana Exploit Guard v programu Windows Defender využívá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows).
Přečtěte si další informace o funkci Exploit Guard v programu Windows Defender v tématu Vytvoření a nasazení zásady Exploit Guard.
Další informace o bezpečnostních prvcích v rozšířeném skóre zabezpečení (Preview)
Vlastní zásady s vlastními metadaty jsou teď obecně dostupné
Vlastní zásady jsou teď součástí prostředí doporučení služby Security Center, skóre zabezpečení a řídicího panelu standardů dodržování právních předpisů. Tato funkce je teď obecně dostupná a umožňuje rozšířit pokrytí posouzení zabezpečení vaší organizace ve službě Security Center.
Vytvořte vlastní iniciativu ve službě Azure Policy, přidejte do ní zásady a nasaďte ji do služby Azure Security Center a vizualizovat ji jako doporučení.
Přidali jsme také možnost upravit vlastní metadata doporučení. Mezi možnosti metadat patří závažnost, kroky nápravy, informace o hrozbách a další.
Přečtěte si další informace o vylepšení vlastních doporučení s podrobnými informacemi.
Možnosti analýzy výpisu stavu systému migrace na detekci útoků bez souborů
Do detekce útoků bez souborů integrujeme funkce detekce výpisu stavu systému Windows (CDA). Analýza detekce útoků bez souborů přináší vylepšené verze následujících výstrah zabezpečení pro počítače s Windows: Zjištěná injektáž kódu, detekované maskování modulu Windows, zjištěný kód shellu a zjištěný podezřelý segment kódu.
Některé z výhod tohoto přechodu:
Proaktivní a včasné zjišťování malwaru – Přístup CDA zahrnoval čekání na chybové ukončení a následné spuštění analýzy pro vyhledání škodlivých artefaktů. Použití detekce útoků bez souborů přináší proaktivní identifikaci hrozeb v paměti, když jsou spuštěné.
Rozšířená upozornění – Výstrahy zabezpečení z detekce útoků bez souborů zahrnují rozšíření, která nejsou k dispozici z CDA, jako jsou například informace o aktivních síťových připojeních.
Agregace výstrah – Když CDA zjistila více vzorů útoku v rámci jednoho výpisu stavu systému, aktivovala několik výstrah zabezpečení. Detekce útoků bez souborů kombinuje všechny identifikované vzory útoku ze stejného procesu do jediné výstrahy a odstraňuje potřebu korelovat více výstrah.
Omezené požadavky na pracovní prostor služby Log Analytics – výpisy stavu systému obsahující potenciálně citlivá data se už nenahrají do vašeho pracovního prostoru služby Log Analytics.
2020. duben
Mezi aktualizace v dubnu patří:
- Balíčky dynamického dodržování předpisů jsou teď obecně dostupné.
- Doporučení identit jsou teď součástí úrovně Free služby Azure Security Center.
Balíčky dynamického dodržování předpisů jsou teď obecně dostupné.
Řídicí panel dodržování právních předpisů služby Azure Security Center teď zahrnuje dynamické balíčky pro dodržování předpisů (nově obecně dostupné) umožňující sledovat dodržování dalších oborových a zákonných standardů.
Dynamické balíčky pro dodržování obsahu můžete do svého předplatného nebo skupiny pro správu přidat na stránce zásad zabezpečení služby Security Center. Jakmile připojíte standard nebo srovnávací test, zobrazí se na řídicím panelu dodržování právních předpisů se všemi přidruženými daty dodržování předpisů namapovanými jako posouzení. Souhrnné sestavy pro jednotlivé připojené standardy budou k dispozici ke stažení.
Teď můžete přidat standardy, jako jsou:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- Uk Official a UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0 (nové) (což je kompletní reprezentace Azure CIS 1.1.0)
Kromě toho jsme nedávno přidali srovnávací test zabezpečení Azure, což jsou Microsoftem vytvořené pokyny týkající se osvědčených postupů z hlediska zabezpečení a dodržování předpisů specifické pro Azure a založené na běžných rámcích pro zajištění dodržování předpisů. Řídicí panel bude podporovat další standardy, jakmile budou k dispozici.
Přečtěte si další informace o přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.
Doporučení pro identitu jsou teď součástí úrovně Free služby Azure Security Center
Doporučení k zabezpečení pro identitu a přístup na úrovni Free služby Azure Security Center jsou teď všeobecně dostupná. To je součástí úsilí o bezplatné funkce správy stavu zabezpečení cloudu (CSPM). Až do teď byla tato doporučení dostupná jenom na cenové úrovni Standard.
Příklady doporučení pro identitu a přístup:
- Pro účty s oprávněními vlastníka v předplatném by se mělo povolit MFA.
- Pro vaše předplatné by se měli určit nanejvýš 3 vlastníci.
- Z předplatného by se měly odebrat zastaralé účty.
Pokud máte předplatná na cenové úrovni Free, skóre zabezpečení pro tato předplatná budou touto změnou ovlivněná, protože se ještě z hlediska zabezpečení pro identitu a přístup ještě nikdy neposuzovala.
Březen 2020
Mezi aktualizace v březnu patří:
- Automatizace pracovních postupů je teď obecně dostupná.
- Integrace služby Azure Security Center se službou Windows Admin Center
- Ochrana pro Azure Kubernetes Service
- Vylepšené prostředí za běhu
- Dvě doporučení zabezpečení pro zastaralé webové aplikace
Automatizace pracovních postupů je teď obecně dostupná.
Funkce automatizace pracovních postupů služby Azure Security Center je teď obecně dostupná. Použijte ji k automatické aktivaci Logic Apps pro výstrahy a doporučení zabezpečení. Kromě toho je k dispozici ruční aktivace pro výstrahy a všechna doporučení, která mají k dispozici možnost Rychlá oprava.
Každý program zabezpečení zahrnuje několik pracovních postupů reakce na incidenty. Tyto postupy mohou zahrnovat vyrozumění relevantních účastníků, spuštění procesu správy změn a použití specifických kroků k nápravě. Odborníci na zabezpečení doporučují automatizovat co nejvíc kroků těchto postupů. Automatizace snižuje režijní náklady a může zvýšit zabezpečení zajištěním, že kroky procesu budou provedeny rychle, konzistentně a podle vašich předdefinovaných požadavků.
Další informace o automatických a ručních funkcích Security Center ke spouštění pracovních postupů najdete v automatizaci pracovních postupů.
Přečtěte si další informace o vytváření Logic Apps.
Integrace služby Azure Security Center se službou Windows Admin Center
Teď je možné přesunout místní servery s Windows z Centra pro správu Windows přímo do služby Azure Security Center. Security Center se pak stane jediným místem zobrazujícím informace o zabezpečení pro všechny vaše prostředky řešení Windows Admin Center, včetně místních serverů, virtuálních počítačů a dalších úloh PaaS.
Po přesunutí serveru ze služby Windows Admin Center do služby Azure Security Center budete moct:
- Zobrazení výstrah a doporučení zabezpečení v rozšíření Security Center řešení Windows Admin Center.
- Zobrazení stavu zabezpečení a načtení dalších podrobných informací o spravovaných serverech řešení Windows Admin Center ve službě Security Center v rámci webu Azure Portal (nebo přes rozhraní API).
Další informace o integraci služby Azure Security Center s řešením Windows Admin Center
Ochrana pro Azure Kubernetes Service
Azure Security Center rozšiřuje funkce zabezpečení kontejnerů s cílem zajistit ochranu pro Azure Kubernetes Service (AKS).
Populární opensourcová platforma Kubernetes se přijímá tak široce, že se jedná o oborový standard pro orchestraci kontejnerů. I přes tuto rozšířenou implementaci stále chybí znalost toho, jak zabezpečit prostředí Kubernetes. Omezení potenciální oblasti útoku pro kontejnerizované aplikace vyžaduje odborné znalosti, aby se pro infrastrukturu zajistila bezpečná konfigurace a průběžné monitorování potenciálních hrozeb.
Ochrana služby Security Center zahrnuje tyto možnosti:
- Zjišťování a viditelnost – Průběžné zjišťování spravovaných instancí AKS v rámci předplatných zaregistrovaných ve službě Security Center
- Doporučení zabezpečení – užitečná doporučení, která vám pomůžou dodržovat osvědčené postupy zabezpečení pro AKS. Tato doporučení jsou součástí vašeho skóre zabezpečení, aby se zajistilo, že se budou zobrazovat jako součást stavu zabezpečení vaší organizace. Příkladem doporučení souvisejícího s AKS se může zobrazit "Řízení přístupu na základě role by se mělo použít k omezení přístupu ke clusteru služby Kubernetes".
- Ochrana před hrozbami – prostřednictvím průběžné analýzy nasazení AKS vás Security Center upozorní na hrozby a škodlivou aktivitu zjištěnou na úrovni hostitele a clusteru AKS.
Přečtěte si další informace o integraci služby Azure Kubernetes Services se službou Security Center.
Přečtěte si další informace o funkcích zabezpečení kontejnerů ve službě Security Center.
Vylepšené prostředí za běhu
Funkce, operace a uživatelské rozhraní pro nástroje azure Security Center za běhu, které zajišťují porty pro správu, byly vylepšeny následujícím způsobem:
- Pole Odůvodnění – Při žádosti o přístup k virtuálnímu počítači prostřednictvím stránky za běhu webu Azure Portal je k dispozici nové volitelné pole pro zadání odůvodnění žádosti. Informace zadané do tohoto pole lze sledovat v protokolu aktivit.
- Automatické vyčištění redundantních pravidel JIT (just-in-Time) – Kdykoli aktualizujete zásady JIT, nástroj pro vyčištění se automaticky spustí a zkontroluje platnost celé sady pravidel. Nástroj vyhledá neshody mezi pravidly v zásadách a pravidly v NSG. Pokud nástroj pro vyčištění najde neshodu, určí příčinu a v případě, že je to bezpečné, odebere předdefinovaná pravidla, která už nepotřebujete. Nástroj pro vyčištění nikdy neodstraní pravidla, která jste vytvořili.
Přečtěte si další informace o funkci přístupu JIT.
Dvě doporučení zabezpečení pro zastaralé webové aplikace
Dvě doporučení k zabezpečení související s webovými aplikacemi se vyřazují:
Pravidla pro webové aplikace ve skupinách NSG IaaS by se měla posílit. (Související zásady: Pravidla skupin zabezpečení sítě pro webové aplikace v IaaS by měla být posílena.
Přístup ke službám App Service by se měl omezit. (Související zásady: Přístup ke službě App Services by měl být omezený [Preview])
Tato doporučení se už nebudou zobrazovat v seznamu doporučení služby Security Center. Související zásady už nebudou zahrnuty do iniciativy s názvem "Security Center Default".
2020. únor
Detekce útoků bez souborů pro Linux (Preview)
Jak útočníci stále častěji používají skrytější způsoby, aby se vyhnuli detekci, Azure Security Center rozšiřuje detekci útoků bez souborů kromě Windows i na Linux. Útoky bez souborů zneužívají chyby softwaru, vkládají škodlivé datové části do neškodných systémových procesů a skrývají se v paměti. Tyto techniky:
- minimalizace nebo eliminace trasování malwaru na disku
- výrazně snižuje riziko detekce pomocí řešení pro kontrolu malwaru založeného na disku.
V rámci boje s touto hrozbu služba Azure Security Center vydala v říjnu 2018 detekci útoků bez souborů pro Windows a teď má rozšířenou detekci útoků bez souborů i pro Linux.
Leden 2020
Vylepšené skóre zabezpečení (Preview)
Vylepšená verze funkce Secure Score služby Azure Security Center je teď dostupná ve verzi Preview. V této verzi se doporučení seskupují do ovládacích prvků zabezpečení, které lépe odpovídají potenciálním rovinám útoku (například omezují přístup k portům pro správu).
Seznamte se se změnami skóre zabezpečení ve fázi Preview a určete další nápravu, která vám pomůže lépe zabezpečit vaše prostředí.
Další informace o vylepšeném skóre zabezpečení (Preview)
Listopad 2019
Mezi aktualizace v listopadu patří:
- Ochrana před internetovými útoky pro Azure Key Vault ve Severní Amerika oblastech (Preview)
- Ochrana před hrozbami pro Azure Storage zahrnuje blokování reputace malwaru
- Automatizace pracovních postupů pomocí Logic Apps (Preview)
- Rychlá oprava pro obecně dostupné hromadné prostředky
- Kontrola ohrožení zabezpečení imagí kontejnerů (Preview)
- Další standardy dodržování právních předpisů (Preview)
- Ochrana před internetovými útoky pro Azure Kubernetes Service (Preview)
- Posouzení ohrožení zabezpečení virtuálního počítače (Preview)
- Pokročilé zabezpečení dat pro SERVERY SQL na virtuálních počítačích Azure (Preview)
- Podpora vlastních zásad (Preview)
- Rozšíření pokrytí služby Azure Security Center s platformou pro komunitu a partnery
- Pokročilé integrace s exportem doporučení a upozornění (Preview)
- Připojení místních serverů ke službě Security Center z Centra pro správu Windows (Preview)
Ochrana před internetovými útoky pro Azure Key Vault v oblastech Severní Amerika (Preview)
Azure Key Vault je základní služba pro ochranu dat a vylepšení výkonu performance cloudových aplikací. Nabízí možnost centrální správy klíčů, tajných kódů, kryptografických klíčů a zásad v cloudu. Vzhledem k tomu, že Azure Key Vault ukládá citlivá data a důležité obchodní informace, vyžaduje maximální zabezpečení pro trezory klíčů a data, která jsou v nich uložená.
Podpora služby Azure Security Center pro ochranu před internetovými útoky pro Azure Key Vault poskytuje další vrstvu inteligentních funkcí zabezpečení, která detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k trezorům klíčů nebo jejich zneužití. Tato nová vrstva ochrany umožňuje zákazníkům řešit hrozby pro trezory klíčů, aniž by přitom museli být odborníky na zabezpečení nebo museli spravovat systémy monitorování zabezpečení. Tato funkce je v oblastech Severní Ameriky ve verzi Public Preview.
Ochrana před hrozbami pro Azure Storage zahrnuje prověřování reputace malwaru
Ochrana před hrozbami pro Azure Storage nabízí nové detekce s podporou Analýzy hrozeb Microsoft, které detekují nahrání malwaru do služby Azure Storage pomocí analýzy reputace s využitím hashování a podezřelý přístup z aktivního výstupního uzlu sítě Tor (anonymizující proxy). Nově můžete zobrazovat detekovaný malware napříč účty úložiště s využitím služby Azure Security Center.
Automatizace pracovních postupů pomocí Logic Apps (Preview)
Organizace s centrálně spravovaným zabezpečením a provozem IT implementují interní procesy pracovních postupů, které při zjištění nesrovnalostí v daném prostředí povedou k požadované akci v rámci organizace. V mnoha případech jsou tyto pracovní postupy opakovatelné procesy a automatizace může výrazně zjednodušit procesy v rámci organizace.
Dnes představujeme novou funkci služby Security Center, která umožňuje zákazníkům vytvářet konfigurace automatizace využívající Azure Logic Apps a vytvářet zásady, které je budou automaticky aktivovat na základě konkrétních zjištění služby ASC, jako jsou doporučení nebo výstrahy. Služba Azure Logic Apps se dá nakonfigurovat tak, aby prováděla jakoukoli vlastní akci podporovanou širokou nabídkou konektorů Logic Apps nebo využívala některou z šablon poskytovaných službou Security Center, třeba k odeslání e-mailu nebo otevření lístku ServiceNow™.
Další informace o automatických a ručních funkcích Security Center ke spouštění pracovních postupů najdete v automatizaci pracovních postupů.
Informace o vytváření služby Logic Apps najdete v tématu Azure Logic Apps.
Rychlá oprava pro obecně dostupné hromadné prostředky
Vzhledem k tomu, kolik úkolů uživatel obvykle dostane v rámci skóre Secure Score, může být v případě rozsáhlé infrastruktury náročné efektivně napravit všechny problémy.
Opravou rychlé opravy můžete opravit chybné konfigurace zabezpečení, napravit doporučení pro více prostředků a zlepšit skóre zabezpečení.
Tato operace umožňuje vybrat prostředky, pro které chcete využít nápravu, a spustit nápravnou akci, která nakonfiguruje příslušné nastavení za vás.
Rychlá oprava je obecně dostupná pro zákazníky jako součást stránky s doporučeními služby Security Center.
Kontrola ohrožení zabezpečení imagí kontejnerů (Preview)
Azure Security Center teď dokáže kontrolovat ohrožení zabezpečení v imagích kontejneru v Azure Container Registry.
Kontrola imagí funguje na principu analýzy souboru image kontejneru a následné kontroly toho, jestli obsahuje nějaká známá ohrožení zabezpečení (zajišťuje společnost Qualys).
Samotná kontrola se automaticky aktivuje při přidání nových imagí kontejneru do Azure Container Registry. Zjištěná ohrožení zabezpečení se objeví jako doporučení služby Security Center, která jsou součástí bezpečnostního skóre, společně s informacemi o tom, jak je opravit, aby se snížila úroveň útoku, kterou povolili.
Další standardy dodržování právních předpisů (Preview)
Řídicí panel Dodržování právních předpisů poskytuje přehled o stavu dodržování předpisů na základě hodnocení služby Security Center. Řídicí panel udává, jak vaše prostředí dodržuje kontroly a požadavky uložené různými zákonnými standardy a oborovými srovnávacími testy, a poskytuje preskriptivní doporučení, jak těmto požadavkům vyhovět.
Řídicí panel dodržování právních předpisů zatím podporoval čtyři předdefinované standardy: Azure CIS 1.1.0, PCI-DSS, ISO 27001 a SOC-TSP. Nyní oznamujeme vydání verze Public Preview dalších podporovaných standardů: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM a UK Official společně s UK NHS. Kromě toho vydáváme aktualizovanou verzi Azure CIS 1.1.0, která pokrývá více kontrol ze standardu a zvyšuje rozšiřitelnost.
Přečtěte si další informace o přizpůsobení sady standardů na řídicím panelu dodržování právních předpisů.
Ochrana před internetovými útoky pro Azure Kubernetes Service (Preview)
Kubernetes se rychle stává novým standardem v oblasti nasazování a správy softwaru v cloudu. S prostředím Kubernetes má rozsáhlé zkušenosti jen málokdo a řada lidí se soustředí jenom na obecné technické aspekty a správu a přehlíží aspekty zabezpečení. Prostředí Kubernetes je potřeba pečlivě nakonfigurovat, aby bylo bezpečné a aby nezůstaly otevřené žádné dveře, které by mohly umožnit útok na kontejnery. Security Center rozšiřuje podporu kontejnerového prostoru na jednu z nejrychleji rostoucích služeb v Azure – AKS (Azure Kubernetes Service).
Toto jsou některé z nových funkcí v této veřejné verzi Preview:
- Zjišťování a viditelnost – průběžné zjišťování spravovaných instancí AKS v rámci registrovaných předplatných služby Security Center
- Doporučení k skóre zabezpečení – Použitelné položky, které zákazníkům pomůžou dodržovat osvědčené postupy zabezpečení pro AKS a zvýšit skóre zabezpečení Mezi doporučení patří například "Řízení přístupu na základě role by se mělo použít k omezení přístupu ke clusteru Kubernetes Service".
- Detekce hrozeb – analýza založená na hostitelích a clusterech, například "Zjištěn privilegovaný kontejner".
Posouzení ohrožení zabezpečení virtuálního počítače (Preview)
Aplikace nainstalované na virtuálních počítačích můžou často obsahovat ohrožení zabezpečení, která by mohla vést k napadení virtuálního počítače. Oznamujeme, že úroveň Security Center Standard zahrnuje integrované posouzení ohrožení zabezpečení pro virtuální počítače bez dalšího poplatku. Posouzení ohrožení zabezpečení založené na Qualys ve verzi Public Preview vám umožní nepřetržitě kontrolovat všechny nainstalované aplikace na virtuálním počítači a vyhledávat ohrožené aplikace a prezentovat závěry v prostředí portálu Security Center. Security Center se stará o všechny operace nasazení, takže od uživatele nevyžaduje žádné kroky navíc. V budoucnu plánujeme poskytnout možnosti posouzení ohrožení zabezpečení pro podporu jedinečných obchodních potřeb našich zákazníků.
Přečtěte si další informace o posouzení ohrožení zabezpečení pro vaše virtuální počítače Azure.
Pokročilé zabezpečení dat pro SERVERY SQL na virtuálních počítačích Azure (Preview)
Podpora ochrany před hrozbami a posouzení ohrožení zabezpečení pro databáze SQL spuštěné na virtuálních počítačích IaaS je teď ve verzi Preview.
Posouzení ohrožení zabezpečení je snadno konfigurovatelná služba, která může zjišťovat, sledovat a pomáhat opravovat potenciální ohrožení zabezpečení databáze. Poskytuje přehled o stavu zabezpečení v rámci skóre zabezpečení a obsahuje kroky pro řešení problémů se zabezpečením a vylepšení fortifikace databáze.
Advanced Threat Protection zjišťuje nezvyklé aktivity, které můžou ukazovat na neobvyklé a potenciálně škodlivé pokusy o přístup k vašim databázím nebo zneužití SQL Serveru. Tato služba nepřetržitě monitoruje podezřelé aktivity v databázi a poskytuje výstrahy zabezpečení, které se zaměřují na možnosti reakce a upozorňují na neobvyklé vzory přístupu k databázi. Výstrahy obsahují podrobnosti o podezřelé aktivitě a doporučené akce k prozkoumání a zmírnění hrozby.
Podpora vlastních zásad (Preview)
Azure Security Center teď podporuje vlastní zásady (ve verzi Preview).
Naši zákazníci projevili zájem o rozšíření aktuálního pokrytí hodnocení zabezpečení ve službě Security Center na vlastní hodnocení zabezpečení založená na zásadách, které můžou sami vytvořit ve službě Azure Policy. To je teď možné díky podpoře vlastních zásad.
Tyto nové zásady budou součástí prostředí pro doporučení služby Security Center, skóre Secure Score a řídicího panelu standardů pro dodržování předpisů. Díky podpoře vlastních zásad teď můžete ve službě Azure Policy vytvořit vlastní iniciativu a pak ji přidat jako zásadu ve službě Security Center a vizualizovat ji jako doporučení.
Rozšíření pokrytí službou Azure Security Center díky platformě pro komunitu a partnery
Security Center umožňuje přijímat doporučení nejen od Microsoftu, ale také od stávajících řešení od partnerů, jako je Check Point, Tenable a CyberArk s mnoha dalšími integracemi. Jednoduchý tok onboardingu ve službě Security Center umožňuje propojit vaše stávající řešení se službou Security Center, která vám umožní zobrazit doporučení stavu zabezpečení na jednom místě, spouštět sjednocené sestavy a využívat všechny možnosti služby Security Center proti integrovaným i partnerským doporučením. Můžete také exportovat doporučení služby Security Center do partnerských produktů.
Přečtěte si další informace o přidružení inteligentního zabezpečení Microsoftu.
Pokročilé integrace s exportem doporučení a upozornění (Preview)
Pokud chcete povolit scénáře na podnikové úrovni nad Security Center, je teď možné využívat výstrahy a doporučení služby Security Center na dalších místech kromě webu Azure Portal nebo rozhraní API. Ty je možné exportovat přímo do centra událostí a do pracovních prostorů služby Log Analytics. Tady je několik pracovních postupů, které můžete díky těmto novým funkcím vytvořit:
- S exportem do pracovního prostoru Služby Log Analytics můžete vytvářet vlastní řídicí panely pomocí Power BI.
- Při exportu do služby Event Hubs budete moct exportovat výstrahy a doporučení služby Security Center do prostředí SIEM třetích stran, do řešení třetí strany nebo Do Azure Data Exploreru.
Připojení místních serverů ke službě Security Center z Centra pro správu Windows (Preview)
Windows Admin Center je portál pro správu serverů Windows, které nejsou nasazené v Azure, a nabízí různé funkce správy Azure, jako je zálohování a aktualizace systému. Nedávno jsme přidali možnost onboardingu těchto serverů nacházejících se mimo Azure přímo z prostředí Windows Admin Center, aby byly chráněné službou ASC.
Uživatelé teď můžou připojit server WAC ke službě Azure Security Center a povolit zobrazování výstrah zabezpečení a doporučení přímo v prostředí Windows Admin Center.
Září 2019
Mezi aktualizace v září patří:
- Správa pravidel s využitím vylepšení adaptivního řízení aplikací
- Řízení doporučení k zabezpečení kontejnerů pomocí Služby Azure Policy
Správa pravidel s využitím vylepšení adaptivního řízení aplikací
Prostředí správy pravidel pro virtuální počítače pomocí adaptivního řízení aplikací se zlepšilo. Adaptivní řízení aplikací ve službě Azure Security Center vám pomůže řídit, které aplikace se můžou spouštět na virtuálních počítačích. Kromě obecného vylepšení správy pravidel umožňují nové funkce řídit, které typy souborů budou chráněné, když přidáte nové pravidlo.
Přečtěte si další informace o adaptivních řízeních aplikací.
Řízení doporučení k zabezpečení kontejnerů pomocí Služby Azure Policy
Doporučení služby Azure Security Center k nápravě ohrožení zabezpečení kontejneru je teď možné povolit nebo zakázat prostřednictvím služby Azure Policy.
Pokud chcete zobrazit povolené zásady zabezpečení, otevřete ve službě Security Center stránku Zásady zabezpečení.
Srpen 2019
Mezi aktualizace v srpnu patří:
- Přístup k virtuálním počítačům za běhu (JIT) pro službu Azure Firewall
- Náprava jedním kliknutím pro zvýšení stavu zabezpečení (Preview)
- Správa napříč tenanty
Přístup k virtuálním počítačům za běhu (JIT) pro službu Azure Firewall
Přístup k virtuálním počítačům podle potřeby (JIT) pro Azure Firewall je teď obecně dostupný. Využijte ho k zabezpečení vašich prostředí chráněných pomocí služby Azure Firewall nad rámec ochrany pomocí NSG.
Přístup k virtuálním počítačům podle potřeby snižuje možnost vystavení síťovým volumetrickým útokům, neboť poskytuje řízený přístup k virtuálním počítačům, jenom když je potřeba, a to pomocí pravidel služby Azure Firewall a NSG.
Když pro vaše virtuální počítače povolíte přístup podle potřeby (JIT), vytvoříte zásadu určující, které porty se mají chránit a jak dlouho mají zůstat otevřené, a také schválené IP adresy, z nichž se k těmto portům může přistupovat. Tyto zásady vám pomohou mít pod kontrolou, co uživatelé mohou dělat, když si vyžádají přístup.
Požadavky se zaznamenávají v protokolu aktivity Azure, takže je můžete snadno monitorovat a auditovat přístup. Stránka just-in-time vám také pomůže rychle identifikovat existující virtuální počítače s povoleným JIT a virtuálními počítači, ve kterých se doporučuje JIT.
Přečtěte si další informace o službě Azure Firewall.
Náprava jedním kliknutím pro zvýšení stavu zabezpečení (Preview)
Secure Score je nástroj, který pomáhá vyhodnotit stav zabezpečení vašich úloh. Projde vaše doporučení k zabezpečení a nastaví jim prioritu, abyste věděli, která doporučení máte realizovat jako první. Pomáhá tak najít nejzávažnější ohrožení zabezpečení a nastavit prioritu šetření.
Abychom zjednodušili nápravu chybných konfigurací zabezpečení a pomohli vám rychle zlepšit skóre zabezpečení, přidali jsme novou funkci, která umožňuje napravit doporučení pro velké množství prostředků jediným kliknutím.
Tato operace umožňuje vybrat prostředky, pro které chcete využít nápravu, a spustit nápravnou akci, která nakonfiguruje příslušné nastavení za vás.
Správa napříč tenanty
Security Center teď jako součást Azure Lighthouse podporuje scénáře správy napříč tenanty. Umožní vám to ve službě Security Center získat přehled a spravovat stav zabezpečení pro víc tenantů.
Přečtěte si další informace o prostředích pro správu napříč tenanty.
Červenec 2019
Aktualizace doporučení sítě
Služba Azure Security Center (ASC) vydala nová síťová doporučení a vylepšila některá ze stávajících. Použití služby Security Center teď zajišťuje ještě lepší síťovou ochranu pro vaše prostředky.
2019. června
Adaptivní posílení zabezpečení sítě – obecně dostupné
U úloh běžících ve veřejném cloudu patří mezi místa nejvíce ohrožená potenciálními útoky připojení k veřejnému internetu a z něj. Pro naše zákazníky je často obtížné zjistit, která pravidla skupin zabezpečení sítě (NSG) mají zavést, aby měli jistotu, že budou úlohy v Azure dostupné jenom pro požadované zdrojové rozsahy. Tato funkce umožňuje službě Security Center prozkoumat síťové přenosy a vzory připojení úloh v Azure a poskytnout doporučení ohledně pravidel skupin zabezpečení sítě pro virtuální počítače připojené k internetu. To našim zákazníkům pomáhá lépe nakonfigurovat zásady přístupu k síti a omezit svoji zranitelnost vůči útokům.