Freigeben über


Defender for Cloud-What's new archive

Diese Seite enthält Informationen zu Features, Fixes und Veralteten, die älter als sechs Monate sind. Informationen zu den neuesten Updates finden Sie unter "Neuerungen in Defender for Cloud".

April 2024

Datum Kategorie Aktualisieren
16. April Bevorstehendes Update Änderung der CIEM-Bewertungs-IDs

Voraussichtliches Update: Mai 2024
April 15 Allgemein verfügbar Defender for Containers ist jetzt für AWS und GCP verfügbar.
3. April Aktualisieren Risikopriorisierung ist jetzt die Standardfunktion in Defender for Cloud
3. April Aktualisieren Updates zu Defender for Open-Source Relational Databases

Update: Änderung der CIEM-Bewertungs-IDs

16. April 2024

Geschätztes Datum für die Änderung: Mai 2024

Für die folgenden Empfehlungen ist eine Umgestaltung geplant, die zu Änderungen an ihren Bewertungs-IDs führt:

  • Azure overprovisioned identities should have only the necessary permissions
  • AWS Overprovisioned identities should have only the necessary permissions
  • GCP overprovisioned identities should have only the necessary permissions
  • Super identities in your Azure environment should be removed
  • Unused identities in your Azure environment should be removed

GA: Defender for Containers für AWS und GCP

15. April 2024

Bedrohungserkennung zur Laufzeit und Ermittlung ohne Agent für AWS und GCP in Defender for Containers sind jetzt allgemein verfügbar. Darüber hinaus gibt es eine neue Authentifizierungsfunktion in AWS, die die Bereitstellung vereinfacht.

Weitere Informationen finden Sie in der Unterstützungsmatrix für Container in Defender for Cloud und unter Konfigurieren von Defender for Containers-Komponenten.

Update: Risikopriorisierung

3. April 2024

Die Risikopriorisierung ist jetzt die Standardfunktion in Defender for Cloud. Dieses Feature hilft Ihnen, sich auf die wichtigsten Sicherheitsprobleme in Ihrer Umgebung zu konzentrieren, indem Sie Empfehlungen basierend auf den Risikofaktoren jeder Ressource priorisieren. Zu den Risikofaktoren gehören die potenziellen Auswirkungen des Sicherheitsproblems, die Risikokategorien und der Angriffspfad, zu dem das Sicherheitsproblem gehört. Erfahren Sie mehr über die Risikopriorisierung.

Update: Defender for Open-Source Relational Databases

3. April 2024

  • Defender for PostgreSQL Flexible Server post-GA-Updates – Mit dem Update können Kunden den Schutz für vorhandene flexible PostgreSQL-Server auf Abonnementebene erzwingen, wodurch vollständige Flexibilität ermöglicht wird, um den Schutz pro Ressource oder für den automatischen Schutz aller Ressourcen auf Abonnementebene zu ermöglichen.
  • Defender for MySQL Flexible Servers Availability and GA – Defender for Cloud hat seine Unterstützung für relationale Azure Open-Source-Datenbanken durch die Integration von Flexiblen MySQL-Servern erweitert.

Diese Version umfasst:

  • Warnungskompatibilität mit vorhandenen Warnungen für Defender für MySQL Single Servers.
  • Aktivierung einzelner Ressourcen.
  • Aktivierung auf Abonnementebene.
  • Updates für Azure Database for MySQL flexible Server werden in den nächsten Wochen bereitgestellt. Wenn Ihnen die Fehlermeldung The server <servername> is not compatible with Advanced Threat Protection angezeigt wird, können Sie entweder auf das Update warten oder ein Supportticket öffnen, um den Server früher auf eine unterstützte Version zu aktualisieren.

Wenn Sie Ihr Abonnement bereits mit Defender für relationale Open Source-Datenbanken schützen, werden Ihre flexiblen Serverressourcen automatisch aktiviert, geschützt und in Rechnung gestellt. Bestimmte Abrechnungsbenachrichtigungen wurden per E-Mail für betroffene Abonnements gesendet.

Übersicht zu Microsoft Defender für relationale Open-Source-Datenbanken.

März 2024

Datum Kategorie Aktualisieren
31. März Allgemein verfügbar Scannen von Windows-Containerimages
25. März Aktualisieren Fortlaufender Export umfasst jetzt Angriffspfaddaten
21. März Vorschau Scanning ohne Agent unterstützt mit CMK verschlüsselte VMs in Azure
17. März Vorschau Benutzerdefinierte Empfehlungen basierend auf KQL für Azure.
13. März Aktualisieren Einbeziehung von DevOps-Empfehlungen in Microsoft-Benchmark für Cloudsicherheit
13. März Allgemein verfügbar ServiceNow-Integration
13. März Vorschau Schutz kritischer Ressourcen in Microsoft Defender for Cloud
12. März Aktualisieren Verbesserte AWS- und GCP-Empfehlungen mit automatisierten Wartungsskripts
6. März Vorschau Compliance-Standards zum Compliancedashboard hinzugefügt
6. März Bevorstehendes Update Defender für Updates von relationalen Open-Source-Datenbanken

Erwartet: April 2024
3. März Bevorstehendes Update Änderungen beim Zugriff auf Compliance-Angebote und Microsoft-Aktionen

Erwartet: September 2025
3. März Außer Betrieb nehmen Ausmusterung der Defender for Cloud Containers-Sicherheitsrisikobewertung unterstützt von Qualys
3. März Bevorstehendes Update Änderungen beim Zugriff auf Complianceangebote und Microsoft Actions

Voraussichtliche Einstellung: 30. September 2025

GA: Scannen von Windows-Containerimages

31. März 2024

Wir geben die allgemeine Verfügbarkeit (GA) der Unterstützung von Windows-Container-Images für das Scannen durch Defender for Containers bekannt.

Update: Der fortlaufende Export umfasst jetzt Angriffspfaddaten

25. März 2024

Wir kündigen an, dass der fortlaufende Export jetzt Angriffspfaddaten enthält. Mit diesem Feature können Sie Sicherheitsdaten in Log Analytics in Azure Monitor, in Azure Event Hubs oder in eine andere Lösung für Security Information & Event Management (SIEM), Security Orchestration Automated Response (SOAR) oder ein klassisches IT-Bereitstellungsmodell streamen.

Weitere Informationen zum fortlaufenden Export.

Preview: Scanning ohne Agent unterstützt mit CMK verschlüsselte VMs in Azure

21. März 2024

Bis jetzt behandelte die Überprüfung ohne Agent mit CMK verschlüsselte virtuelle Computer in AWS und GCP. Mit diesem Release wird der Support für Azure ebenfalls abgeschlossen. Die Funktion verwendet einen einzigartigen Überprüfungsansatz für CMK in Azure:

  • Defender for Cloud behandelt den Schlüssel- oder Entschlüsselungsprozess nicht. Schlüssel und Entschlüsselung werden nahtlos von Azure Compute verarbeitet und sind für den Scandienst ohne Agent von Defender for Cloud transparent.
  • Die unverschlüsselten VM-Datenträgerdaten werden niemals kopiert oder mit einem anderen Schlüssel erneut verschlüsselt.
  • Der ursprüngliche Schlüssel wird während des Prozesses nicht repliziert. Durch das Löschen werden die Daten sowohl auf Ihrem virtuellen Produktionscomputer als auch in der temporären Momentaufnahme von Defender for Cloud beseitigt.

Während der öffentlichen Vorschau wird diese Funktion nicht automatisch aktiviert. Wenn Sie Defender for Servers P2 oder Defender CSPM verwenden und in Ihrer Umgebung VMs mit CMK-verschlüsselten Datenträgern vorhanden sind, können Sie diese jetzt auf Sicherheitsrisiken, Geheimnisse und Schadsoftware überprüfen, indem Sie diese Aktivierungsschritte befolgen.

Preview: Benutzerdefinierte Empfehlungen auf der Basis von KQL für Azure

17. März 2024

Benutzerdefinierte Empfehlungen auf der Grundlage von KQL für Azure sind jetzt als Public Preview verfügbar und werden für alle Clouds unterstützt. Erstellen von benutzerdefinierten Sicherheitsstandards und Empfehlungen in Microsoft Defender für Cloud.

Update: Einbeziehung von DevOps-Empfehlungen in die Microsoft-Benchmark für Cloudsicherheit

13. März 2024

Heute geben wir bekannt, dass Sie Ihren Sicherheits- und Konformitätsstatus nicht nur für Azure, AWS und GCP, sondern jetzt auch für DevOps im Microsoft-Benchmark für Cloudsicherheit (Microsoft Cloud Security Benchmark, MCSB) überwachen können. DevOps-Bewertungen sind Teil der DevOps-Sicherheitskontrolle im MCSB.

Der MCSB ist ein Framework, das grundlegende Cloudsicherheitsprinzipien definiert, die auf allgemeinen Branchenstandards und Complianceframeworks basieren, Der MCSB enthält detaillierte Vorgaben zur Implementierung seiner cloudunabhängigen Sicherheitsempfehlungen.

Erfahren Sie mehr über die enthaltenen DevOps-Empfehlungen und den Microsoft-Benchmark für Cloudsicherheit.

GA: ServiceNow-Integration ist jetzt allgemein verfügbar

12. März 2024

Wir geben die allgemeine Verfügbarkeit der ServiceNow-Integration bekannt.

Preview: Schutz kritischer Ressourcen in Microsoft Defender for Cloud

12. März 2024

Defender for Cloud enthält jetzt ein Feature zum Schutz unternehmenskritischer Ressourcen, welches die Engine für kritische Ressourcen von Microsoft Security Exposure Management nutzt, um wichtige Ressourcen durch Risikopriorisierung, Angriffspfadanalyse und mithilfe des Cloudsicherheits-Explorers zu identifizieren und zu schützen. Weitere Informationen finden Sie unter Schutz kritischer Ressourcen in Microsoft Defender for Cloud (Vorschau).

Update: Verbesserte AWS- und GCP-Empfehlungen mit automatisierten Wartungsskripts

12. März 2024

Wir verbessern die AWS- und GCP-Empfehlungen mit automatisierten Wartungsskripts, mit denen Sie Wartungen programmgesteuert und im großen Stil durchführen können. Erfahren Sie mehr über automatisierte Wartungsskripts.

Preview: Compliance-Standards zum Compliancedashboard hinzugefügt

6. März 2024

Basierend auf Kundenfeedback haben wir Compliance-Standards in der Vorschau zu Defender for Cloud hinzugefügt.

Sehen Sie sich die vollständige Liste der unterstützten Compliance-Standards an

Wir arbeiten kontinuierlich daran, neue Standards für Azure-, AWS- und GCP-Umgebungen hinzuzufügen und zu aktualisieren.

Hier erfahren Sie, wie Sie einen Sicherheitsstandard zuweisen.

Update: Updates zu Defender for Open-Source Relational Databases

6. März 2024**

Geschätztes Datum der Änderung: April 2024

Defender for PostgreSQL Flexible Server post-GA-Updates – Mit dem Update können Kunden den Schutz für vorhandene flexible PostgreSQL-Server auf Abonnementebene erzwingen, wodurch vollständige Flexibilität ermöglicht wird, um den Schutz pro Ressource oder für den automatischen Schutz aller Ressourcen auf Abonnementebene zu ermöglichen.

Defender for MySQL Flexible Servers Availability and GA – Defender for Cloud ist darauf eingestellt, seine Unterstützung für relationale Azure Open-Source-Datenbanken durch Die Integration von Flexiblen MySQL-Servern zu erweitern. Diese Version enthält Folgendes:

  • Warnungskompatibilität mit vorhandenen Warnungen für Defender für MySQL Single Servers.
  • Aktivierung einzelner Ressourcen.
  • Aktivierung auf Abonnementebene.

Wenn Sie Ihr Abonnement bereits mit Defender für relationale Open Source-Datenbanken schützen, werden Ihre flexiblen Serverressourcen automatisch aktiviert, geschützt und in Rechnung gestellt. Bestimmte Abrechnungsbenachrichtigungen wurden per E-Mail für betroffene Abonnements gesendet.

Übersicht zu Microsoft Defender für relationale Open-Source-Datenbanken.

Update: Änderungen an Complianceangeboten und Microsoft Actions-Einstellungen

3. März 2024

Geschätztes Datum für die Änderung: September 30, 2025

Am 30. September 2025 ändern sich die Orte, an denen Sie auf zwei Vorschau-Funktionen zugreifen können: Compliance-Angebot und Microsoft Actions.

Die Tabelle mit dem Kompatibilitätsstatus von Microsoft-Produkten (zu erreichen über die Schaltfläche Kompatibilitätsangebot in der Symbolleiste des Dashboards für die Einhaltung gesetzlicher Vorschriften von Defender). Nachdem diese Schaltfläche aus Defender for Cloud entfernt wurde, können Sie weiterhin über das Service Trust Portal auf diese Informationen zugreifen.

Für eine Untergruppe von Steuerelementen war Microsoft Actions über die Schaltfläche Microsoft Actions (Vorschau) in der Detailansicht der Steuerelemente zugänglich. Nachdem diese Schaltfläche entfernt wurde, können Sie Microsoft-Aktionen anzeigen, indem Sie das Service Trust Portal für FedRAMP aufrufen und auf das Dokument „Azure System Security Plan“ zugreifen.

Update: Änderungen beim Zugriff auf Complianceangebote und Microsoft Actions

3. März 2024**

Voraussichtliches Änderungsdatum: September 2025

Am 30. September 2025 ändern sich die Orte, an denen Sie auf zwei Vorschau-Funktionen zugreifen können: Compliance-Angebot und Microsoft Actions.

Die Tabelle mit dem Kompatibilitätsstatus von Microsoft-Produkten (zu erreichen über die Schaltfläche Kompatibilitätsangebot in der Symbolleiste des Dashboards für die Einhaltung gesetzlicher Vorschriften von Defender). Nachdem diese Schaltfläche aus Defender for Cloud entfernt wurde, können Sie weiterhin über das Service Trust Portal auf diese Informationen zugreifen.

Für eine Untergruppe von Steuerelementen war Microsoft Actions über die Schaltfläche Microsoft Actions (Vorschau) in der Detailansicht der Steuerelemente zugänglich. Nachdem diese Schaltfläche entfernt wurde, können Sie Microsoft-Aktionen anzeigen, indem Sie das Service Trust Portal für FedRAMP aufrufen und auf das Dokument „Azure System Security Plan“ zugreifen.

Einstellung: Einstellung der von Qualys unterstützten Defender for Cloud Containers-Sicherheitsrisikobewertung

3. März 2024

Die Defender for Cloud Containers-Sicherheitsrisikobewertung unterstützt von Qualys wird ausgemustert. Die Ausmusterung wird am 6. März abgeschlossen. Bis dahin werden ggf. noch Teilergebnisse in den Qualys-Empfehlungen sowie in Qualys-Ergebnissen im Sicherheitsdiagramm angezeigt. Kunden, die diese Bewertung in der Vergangenheit genutzt haben, müssen ein Upgrade auf Sicherheitsrisikobewertungen für Azure mit Microsoft Defender Vulnerability Management durchführen. Informationen zur Umstellung auf das Angebot für Container-Sicherheitsrisikobewertungen, das von Microsoft Defender Vulnerability Management unterstützt wird, finden Sie unter Übergang zum Microsoft Defender-Sicherheitsrisikomanagement.

Februar 2024

Datum Kategorie Aktualisieren
28. Februar Außer Betrieb nehmen Microsoft Security Code Analysis (MSCA) ist nicht mehr einsatzbereit.
28. Februar Aktualisieren Aktualisierte Sicherheitsrichtlinienverwaltung erweitert Unterstützung auf AWS und GCP
26. Februar Aktualisieren Cloudunterstützung für Defender for Containers
20. Februar Aktualisieren Neue Version des Defender-Sensors für Defender for Containers
18. Februar Aktualisieren Unterstützung der Spezifikation für das Imageformat Open Container Initiative (OCI)
13. Februar Außer Betrieb nehmen Von Trivy unterstützte Sicherheitsrisikobewertung für AWS-Container eingestellt
5. Februar Bevorstehendes Update Außerbetriebnahme des Microsoft.SecurityDevOps-Ressourcenanbieters

Erwartet: 6. März 2024

Einstellung: Microsoft Security Code Analysis (MSCA) nicht mehr einsatzbereit

28. Februar 2024

Im Februar 2021 wurde die Stilllegung der MSCA-Aufgabe allen Kunden mitgeteilt, und seit März 2022 ist das Ende des Lebenszyklus-Supports erreicht. Seit dem 26. Februar 2024 ist MSCA offiziell nicht mehr einsatzbereit.

Kunden können das neueste DevOps-Sicherheitstool von Defender for Cloud über Microsoft Security DevOps und zusätzliche Sicherheitstools über GitHub Advanced Security für Azure DevOps erhalten.

Update: Sicherheitsrichtlinienverwaltung erweitert Unterstützung auf AWS und GCP

28. Februar 2024

Die aktualisierte Verwaltung von Sicherheitsrichtlinien, die ursprünglich als Vorschauversion für Azure veröffentlicht wurde, erweitert ihre Unterstützung auf cloudübergreifende Umgebungen (AWS und GCP). Diese Vorschauversion umfasst Folgendes:

Update: Cloudunterstützung für Defender for Containers

26. Februar 2024

Die Bedrohungserkennungsfunktionen von Azure Kubernetes Service (AKS) in Defender for Containers werden jetzt vollständig in kommerziellen, Azure Government- und Azure China 21Vianet-Clouds unterstützt. Die unterstützten Features finden Sie hier.

Update: Neue Version des Defender-Sensors für Defender for Containers

20. Februar 2024

Eine neue Version des Defender-Sensors für Defender for Containers ist verfügbar. Sie umfasst Leistungs- und Sicherheitsverbesserungen sowie Unterstützung für AMD64- und Arm64-Arch-Knoten (nur Linux). Als Prozesserfassungsagent wird Inspektor Gadget anstelle von Sysdig verwendet. Die neue Version wird nur unter Linux-Kernelversionen 5.4 und höher unterstützt, wenn Sie also ältere Versionen des Linux-Kernels haben, müssen Sie ein Upgrade durchführen. Unterstützung für Arm64 ist erst ab AKS V1.29 verfügbar. Weitere Informationen finden Sie unter Unterstützte Hostbetriebssysteme.

Update: Unterstützung der Spezifikation für das Imageformat der Open Container Initiative (OCI)

18. Februar 2024

Die Spezifikation für das Imageformat Open Container Initiative (OCI) wird jetzt von der Sicherheitsrisikobewertung mit Microsoft Defender Vulnerability Management für AWS-, Azure- und GCP-Clouds unterstützt.

Einstellung: Von Trivy unterstützte Sicherheitsrisikobewertung für AWS-Container eingestellt

13. Februar 2024

Die Container-Sicherheitsrisikobewertung mit Trivy wurde eingestellt. Kunden, die diese Bewertungsfunktion genutzt haben, sollten ein Upgrade auf die neue, von Microsoft Defender Vulnerability Management unterstützte Sicherheitsrisikobewertung für AWS-Container durchführen. Anweisungen zum Upgrade finden Sie unter Wie kann ich ein Upgrade von der eingestellten Trivy-Sicherheitsrisikobewertung auf die von Microsoft Defender Vulnerability Management unterstützte AWS-Sicherheitsrisikobewertung durchführen?

Update: Außerbetriebnahme des Microsoft.SecurityDevOps-Ressourcenanbieters

5. Februar 2024

Geschätztes Datum der Änderung: 6. März 2024

Microsoft Defender for Cloud wurde zum vorhandenen Anbieter Microsoft.Security migriert und nimmt daher den Ressourcenanbieter Microsoft.SecurityDevOps außer Betrieb, der während der Public Preview von DevOps-Sicherheit verwendet wurde. Der Grund für die Änderung besteht darin, die Kundenfreundlichkeit zu verbessern, indem die Anzahl der Ressourcenanbieter in Verbindung mit DevOps-Connectors reduziert wird.

Dies betrifft Kunden, die weiterhin die API-Version 2022-09-01-Preview unter Microsoft.SecurityDevOps zum Abfragen von DevOps-Sicherheitsdaten in Defender for Cloud verwenden. Um Unterbrechungen des Diensts zu vermeiden, müssen Kunden ein Update auf die neue API-Version 2023-09-01-Preview unter dem Anbieter Microsoft.Security ausführen.

Kundschaft, die derzeit Defender for Cloud-DevOps-Sicherheit über das Azure-Portal verwendet, ist nicht betroffen.

Januar 2024

Datum Kategorie Aktualisieren
31. Januar Aktualisieren Neuer Erkenntnis für aktive Repositorys im Cloudsicherheits-Explorer
30. Januar Bevorstehendes Update Änderung der Preise für die Bedrohungserkennung von Multicloud-Containern

Erwartet: April 2024
29. Januar Bevorstehendes Update Erzwingen von Defender CSPM für Premium DevOps-Sicherheitsfunktionen

Erwartet: März 2024
24. Januar Vorschau Containerstatus ohne Agent für GCP in Defender for Containers und Defender CSPM
16. Januar Vorschau Schadsoftwarescanning ohne Agent für Server
Januar 15 Allgemein verfügbar Integration von Microsoft Defender for Cloud mit Microsoft Defender XDR
14. Januar Aktualisieren Aktualisieren auf die integrierte Azure-Rolle für agentenloses VM-Scannen

Erwartet: März 2024
12. Januar Aktualisieren DevOps-Sicherheitsanmerkungen für Pull Requests sind jetzt für Azure DevOps-Connectors standardmäßig aktiviert.
9. Januar Außer Betrieb nehmen Einstellungspfad für die integrierte Sicherheitsrisikobewertung (Qualys) von Defender for Servers

Erwartet: Mai 2024
3. Januar Bevorstehendes Update Bevorstehende Änderung für die Anforderungen an das Multicloud-Netzwerk von Defender für Cloud.

Erwartet: Mai 2024

Update: Neue Erkenntnis für aktive Repositorys im Cloudsicherheits-Explorer

31. Januar 2024

Dem Cloudsicherheits-Explorer wurde eine neue Erkenntnis für Azure DevOps-Repositorys hinzugefügt, um anzugeben, ob Repositorys aktiv sind. Diese Erkenntnis gibt an, dass das Code-Repository nicht archiviert oder deaktiviert ist, was bedeutet, dass Schreibzugriff auf Code, Builds und Pull Request für Benutzer*innen weiterhin verfügbar ist. Archivierte und deaktivierte Repositorys werden möglicherweise als niedrigere Priorität betrachtet, da der Code in der Regel nicht in aktiven Bereitstellungen verwendet wird.

Verwenden Sie diesen Abfragelink, um die Abfrage über Cloudsicherheits-Explorer zu testen.

Update: Änderung der Preise für die Bedrohungserkennung von Multicloudcontainern

30. Januar 2024**

Geschätztes Datum der Änderung: April 2024

Wenn die Bedrohungserkennung von Multicloud-Containern zu GA wechselt, ist sie nicht mehr kostenlos. Weitere Informationen finden Sie in der Microsoft Defender für Cloud: Preise.

Update: Erzwingung von Defender CSPM für Premium DevOps Security Value

29. Januar 2024**

Geschätztes Datum der Änderung: März 7, 2024

Defender für Cloud beginnt mit der Erzwingung des Defender CSPM-Plans ab dem 7. März 2024 auf den Premium DevOps-Sicherheitswert. Wenn Sie den Defender-CSPM-Plan in einer Cloudumgebung (Azure, AWS, GCP) innerhalb desselben Mandanten aktiviert haben, in dem Ihre DevOps-Connectors erstellt werden, erhalten Sie weiterhin Premium-DevOps-Funktionen ohne zusätzliche Kosten. Wenn Sie kein Defender CSPM-Kunde sind, müssen Sie bis zum 7. März 2024 Defender CSPM aktivieren, ehe Sie den Zugriff auf diese Sicherheitsfunktionen verlieren. Um Defender CSPM in einer verbundenen Cloudumgebung vor dem 7. März 2024 zu aktivieren, folgen Sie der hier beschriebenen Aktivierungsdokumentation.

Weitere Informationen dazu, welche DevOps-Sicherheitsfeatures sowohl in den Plänen Foundational CSPM als auch Defender CSPM verfügbar sind, finden Sie in unserer Dokumentation zur Verfügbarkeit von Features.

Weitere Informationen zu DevOps Security in Defender für Cloud finden Sie in der Übersichtsdokumentation.

Weitere Informationen zum Code zu Cloudsicherheitsfunktionen in Defender CSPM finden Sie unter Schutz Ihrer Ressourcen mit Defender CSPM.

Preview: Containerstatus ohne Agent für GCP in Defender for Containers und Defender CSPM

24. Januar 2024

Die neuen Funktionen für Containerstatus ohne Agent (Vorschau) sind für GCP verfügbar, einschließlich Sicherheitsrisikobewertungen für GCP mit Microsoft Defender Vulnerability Management. Weitere Informationen finden Sie unter Containerstatus ohne Agent in Defender CSPM und Funktionen ohne Agent in Defender for Containers.

In diesem Blogbeitrag können Sie sich auch über die Verwaltung von Containerstatus ohne Agent für Multicloud informieren.

Preview: Schadsoftwarescanning ohne Agent für Server

16. Januar 2024

Wir kündigen die Veröffentlichung der Schadsoftwareerkennung ohne Agent von Defender for Cloud für Azure-VMs, AWS EC2-Instanzen und GCP-VM-Instanzen als neues Feature an, das in Defender for Servers Plan 2 enthalten ist.

Die Schadsoftwareerkennung ohne Agent für VMs ist jetzt in unserer Plattform für Überprüfung ohne Agent enthalten. Die Schadsoftwareüberprüfung ohne Agent verwendet das Anti-Schadsoftwaremodul Microsoft Defender Antivirus, um schädliche Dateien zu scannen und zu erkennen. Alle erkannten Bedrohungen lösen Sicherheitswarnungen direkt in Defender for Cloud und Defender XDR aus, wo sie untersucht und behoben werden können. Die Schadsoftwareüberprüfung ohne Agent ergänzt die agentbasierte Abdeckung durch eine zweite Ebene der Bedrohungserkennung mit reibungslosem Onboarding und hat keine Auswirkungen auf die Leistung Ihres Computers.

Erfahren Sie mehr über Schadsoftwareüberprüfung ohne Agent für Server und Überprüfung ohne Agent für VMs.

Allgemeine Verfügbarkeit für die Integration von Defender for Cloud in Microsoft Defender XDR

15. Januar 2024

Wir kündigen die allgemeine Verfügbarkeit (GA) der Integration zwischen Defender for Cloud und Microsoft Defender XDR (früher Microsoft 365 Defender) an.

Die Integration bietet wettbewerbsfähige Cloudschutzfunktialitäten in den Alltag des Security Operations Center (SOC). Mit Microsoft Defender for Cloud- und der Defender XDR-Integration können SOC-Teams Angriffe entdecken, die Erkennungen aus mehreren Säulen kombinieren, einschließlich Cloud, Endpunkt, Identität, Office 365 und mehr.

Erfahren Sie mehr über Warnungen und Incidents in Microsoft Defender XDR.

Update: Integrierte Azure-Rolle für VM-Scans ohne Agent

14. Januar 2024**

Geschätztes Datum der Änderung: Februar 2024

In Azure verwendet das agentenlose Scannen für VMs eine integrierte Rolle (als VM-Scanneroperator bezeichnet) mit den mindestens erforderlichen Berechtigungen, um Ihre VMs auf Sicherheitsprobleme zu scannen und zu bewerten. Um fortlaufend relevante Integritäts- und Konfigurationsempfehlungen aus dem Scan für VMs mit verschlüsselten Volumes bereitzustellen, ist eine Aktualisierung der Berechtigungen dieser Rolle geplant. Die Aktualisierung enthält das Hinzufügen der Microsoft.Compute/DiskEncryptionSets/read-Berechtigung. Diese Berechtigung ermöglicht ausschließlich eine verbesserte Identifizierung der verschlüsselten Datenträgernutzung in VMs. Defender for Cloud erhält keine zusätzlichen Funktionen zur Entschlüsselung oder zum Zugriff auf den Inhalt dieser verschlüsselten Volumes, die über die bereits vor dieser Änderung unterstützten Verschlüsselungsmethoden hinausgehen. Diese Änderung wird voraussichtlich im Februar 2024 stattfinden, und es sind keine Maßnahmen Ihrerseits erforderlich.

Update: DevOps-Sicherheitsanmerkungen für Pull Requests für Azure DevOps-Connectors standardmäßig aktiviert

12. Januar 2024

DevOps-Sicherheit macht Sicherheitsergebnisse als Anmerkungen in Pull Requests (PR) verfügbar, um Entwicklern zu helfen, potenzielle Sicherheitsrisiken und Fehlkonfigurationen zu verhindern und zu beheben, bevor sie in die Produktion gelangen. Seit dem 12. Januar 2024 sind PR-Anmerkungen jetzt für alle neuen und vorhandenen Azure DevOps-Repositorys, die mit Defender for Cloud verbunden sind, standardmäßig aktiviert.

PR-Anmerkungen sind standardmäßig nur für Ergebnisse mit hohem Schweregrad für Infrastruktur als Code (Infrastructure as Code, IaC) aktiviert. Kunden müssen weiterhin Microsoft Security für DevOps (MSDO) für die Ausführung in PR-Builds konfigurieren und die Buildüberprüfungsrichtlinie für CI-Builds in Azure DevOps-Repositoryeinstellungen aktivieren. Kunden können die PR-Anmerkungsfunktion für bestimmte Repositorys in den Repository-Konfigurationsoptionen auf dem Blatt „DevOps-Sicherheit“ deaktivieren.

Erfahren Sie mehr über das Aktivieren von Anmerkungen in Pull Requests für Azure DevOps.

Einstellung: Einstellungspfad für die integrierte Sicherheitsrisikobewertung (Qualys) von Defender for Servers

9. Januar 2024**

Geschätztes Datum für die Änderung: Mai 2024

Die integrierte Defender for Servers-Lösung zur Sicherheitsrisikobewertung, die von Qualys unterstützt wird ,wird voraussichtlich bis zum 1. Mai 2024 aus dem Verkehr gezogen. Wenn Sie derzeit die Lösung zur Sicherheitsrisikobewertung verwenden, die von Qualys unterstützt wird, sollten Sie Ihren Übergang zur integrierten Microsoft Defender-Lösung zur Sicherheitsrisikoverwaltung planen.

Für weitere Informationen zu unserer Entscheidung, unser Angebot zur Sicherheitsrisikobewertung mit Microsoft Defender Vulnerability Management zu vereinheitlichen, lesen Sie diesen Blogbeitrag.

Sie können auch die häufig gestellten Fragen zum Übergang zur Microsoft Defender Vulnerability Management-Lösung überprüfen.

Update: Anforderungen an das Multicloud-Netzwerk von Defender für Cloud

3. Januar 2024

Geschätztes Datum für die Änderung: Mai 2024

Ab Mai 2024 werden wir die alten IP-Adressen, die unseren Multicloud-Ermittlungsdienst zugeordnet sind, ausgemustert, um Verbesserungen zu ermöglichen und eine sicherere und effizientere Erfahrung für alle Benutzer*innen zu gewährleisten.

Um den unterbrechungsfreien Zugriff auf unsere Dienste sicherzustellen, sollten Sie Ihre Liste zugelassener IP-Adressen mit den neuen Bereichen aktualisieren, die in den folgenden Abschnitten bereitgestellt werden. Sie sollten die erforderlichen Anpassungen in Ihren Firewalleinstellungen, Sicherheitsgruppen oder anderen Konfigurationen vornehmen, die möglicherweise für Ihre Umgebung gelten.

Die Liste gilt für alle Pläne und ausreichend für die volle Funktionalität des (kostenlosen) CSPM-Grundlagenangebots.

IP-Adressen, die ausgemustert werden:

  • Discovery GCP: 104.208.29.200, 52.232.56.127
  • Discovery AWS: 52.165.47.219, 20.107.8.204
  • Onboarding: 13.67.139.3

Neue regionsspezifische IP-Bereiche, die hinzugefügt werden sollen:

  • Europa, Westen: 52.178.17.48/28
  • Europa, Norden: 13.69.233.80/28
  • USA, Mitte: 20.44.10.240/28
  • USA, Osten 2: 20.44.19.128/28

Dezember 2023

Datum Aktualisieren
30. Dezember Konsolidierung der Service Level 2-Namen von Defender for Cloud
24. Dezember Defender für Server auf der Ressourcenebene verfügbar als GA
21. Dezember Auslaufen von klassischen Connectors für Multicloud
21. Dezember Freigabe der Abdeckungsarbeitsmappe
14. Dezember Allgemeine Verfügbarkeit der Sicherheitsrisikobewertung von Containern, die von Microsoft Defender Vulnerability Management in Azure Government und Azure betrieben von 21Vianet unterstützt wird
14. Dezember Öffentliche Vorschau der Windows-Unterstützung für Container-Sicherheitsrisikobewertung, unterstützt von Microsoft Defender Vulnerability Management
13. Dezember Auslaufen der AWS-Container-Sicherheitsrisikobewertung, die von Trivy unterstützt wird
13. Dezember Agentless Containerstatus für AWS in Defender for Containers und Defender CSPM (Vorschau)
13. Dezember Allgemeine Verfügbarkeit (general availability, GA) Unterstützung von PostgreSQL Flexible Server in Defender für relationale Open-Source-Datenbanken planen
12. Dezember Container-Sicherheitsrisikobewertung auf Basis von Microsoft Defender Vulnerability Management unterstützt jetzt Google Distroless

Konsolidierung der Service Level 2-Namen von Defender for Cloud

30. Dezember 2023

Wir konsolidieren die bisherigen Service Level 2-Namen für alle Defender for Cloud-Pläne zu einem einzigen neuen Service Level 2-Namen, Microsoft Defender for Cloud.

Aktuell gibt es vier Service Level 2-Namen: Azure Defender, Advanced Threat Protection, Advanced Data Security und Security Center. Die verschiedenen Zähler für Microsoft Defender for Cloud sind in diesen separaten Service Level 2-Namen gruppiert, was bei der Verwendung von Cost Management + Billing, der Rechnungsstellung und anderen Azure-Abrechnungstools zu Komplikationen führt.

Die Änderung vereinfacht den Prozess der Überprüfung von Defender for Cloud-Gebühren und sorgt für mehr Klarheit bei der Kostenanalyse.

Um einen reibungslosen Übergang zu gewährleisten, haben wir Maßnahmen ergriffen, um die Konsistenz des Produkt-/Service-Namens, der SKU und der Zähler-IDs zu wahren. Betroffene Kunden erhalten eine Azure Service-Benachrichtigung, in der sie über die Änderungen informiert werden.

Organisationen, die Kostendaten durch Aufrufen unserer APIs abrufen, müssen die Werte in ihren Aufrufen aktualisieren, um die Änderung zu berücksichtigen. In dieser Filterfunktion geben die Werte zum Beispiel keine Informationen zurück:

"filter": {
          "dimensions": {
              "name": "MeterCategory",
              "operator": "In",
              "values": [
                  "Advanced Threat Protection",
                  "Advanced Data Security",
                  "Azure Defender",
                  "Security Center"
                ]
          }
      }
ALTER Service Level 2-Name NEUER Service Level 2-Name Dienstebene – Service Level 4 (Keine Änderung)
Advanced Data Security Microsoft Defender für Cloud Defender für SQL
Advanced Threat Protection für Azure SQL-Datenbank Microsoft Defender für Cloud Defender for Container Registries
Advanced Threat Protection für Azure SQL-Datenbank Microsoft Defender für Cloud Defender für DNS
Advanced Threat Protection für Azure SQL-Datenbank Microsoft Defender für Cloud Defender für Key Vault
Advanced Threat Protection für Azure SQL-Datenbank Microsoft Defender für Cloud Defender for Kubernetes
Advanced Threat Protection für Azure SQL-Datenbank Microsoft Defender für Cloud Defender for MySQL
Advanced Threat Protection für Azure SQL-Datenbank Microsoft Defender für Cloud Defender for PostgreSQL
Advanced Threat Protection für Azure SQL-Datenbank Microsoft Defender für Cloud Defender für Resource Manager
Advanced Threat Protection für Azure SQL-Datenbank Microsoft Defender für Cloud Defender für Storage
Azure Defender Microsoft Defender für Cloud Defender for External Attack Surface Management
Azure Defender Microsoft Defender für Cloud Defender für Azure Cosmos DB
Azure Defender Microsoft Defender für Cloud Defender für Container
Azure Defender Microsoft Defender für Cloud Defender for MariaDB
Security Center Microsoft Defender für Cloud Defender für App Service
Security Center Microsoft Defender für Cloud Defender für Server
Security Center Microsoft Defender für Cloud Defender CSPM

Defender für Server auf der Ressourcenebene verfügbar als GA

24. Dezember 2023

Es ist jetzt möglich, Defender for Servers auf bestimmten Ressourcen in Ihrem Abonnement zu verwalten, sodass Sie die vollständige Kontrolle über Ihre Schutzstrategie erhalten. Mit dieser Funktion können Sie bestimmte Ressourcen mit benutzerdefinierten Konfigurationen konfigurieren, die sich von den auf Abonnementebene konfigurierten Einstellungen unterscheiden.

Erfahren Sie mehr über Aktivieren von Defender für Server auf Ressourcenebene.

Einstellung von klassischen Connectors für Multicloud

21. Dezember 2023

Der klassische Multicloud-Connector hat ausgedient und die Daten werden nicht mehr zu den über diesen Mechanismus erstellten Konnektoren gestreamt. Diese klassischen Connectors wurden verwendet, um die Empfehlungen von AWS Security Hub und GCP Security Command Center mit Defender for Cloud zu verbinden und AWS EC2s in Defender for Servers zu integrieren.

Der volle Wert dieser Connectors wurde durch die nativen Multicloud-Sicherheitsconnectors ersetzt, die seit März 2022 ohne weitere Kosten für AWS und GCP allgemein verfügbar sind.

Die neuen nativen Connectors sind in Ihrem Tarif enthalten und bieten eine automatisierte Onboardingumgebung mit Optionen zum Onboarding von einzelnen Konten, mehreren Konten (mit Terraform) und der Organisation mit automatischer Bereitstellung für die folgenden Defender-Pläne: kostenlose grundlegende CSPM-Funktionen, Defender Cloud Security Posture Management (CSPM), Defender for Servers, Defender für SQL und Defender for Containers.

Freigabe der Abdeckungsarbeitsmappe

21. Dezember 2023

Mit der Arbeitsmappe Abdeckung können Sie nachverfolgen, welche Defender for Cloud-Pläne für welche Teile Ihrer Umgebungen aktiv sind. Diese Arbeitsmappe kann Ihnen helfen, sicherzustellen, dass Ihre Umgebungen und Abonnements vollständig geschützt sind. Wenn Sie Zugriff auf detaillierte Abdeckungsinformationen haben, können Sie auch alle Bereiche identifizieren, die möglicherweise einen anderen Schutz benötigen, und Maßnahmen ergreifen, um diese Bereiche zu adressieren.

Erfahren Sie mehr über die Abdeckungsarbeitsmappe.

Allgemeine Verfügbarkeit der Sicherheitsrisikobewertung von Containern, die von Microsoft Defender Vulnerability Management in Azure Government und Azure betrieben von 21Vianet unterstützt wird

14. Dezember 2023

Die Sicherheitsrisikobewertung (Vulnerability Assessment, VA) für Linux-Containerimages in Azure-Containerregistrierungen, die von Microsoft Defender Vulnerability Management unterstützt wird, ist in Azure Government und Azure freigegeben, betrieben von 21Vianet. Diese neue Version ist unter den Plänen Defender for Container und Defender for Containerregistries verfügbar.

  • Im Rahmen dieser Änderung wurden neue Empfehlungen für GA veröffentlicht und in die Berechnung von Sicherheitsbewertungen einbezogen. Überprüfen neuer und aktualisierter Sicherheitsempfehlungen
  • Containerimagescans, die von Microsoft Defender Vulnerability Management unterstützt werden, verursachen jetzt auch Gebühren gemäß den Planpreisen. Beachten Sie, dass Bilder, die sowohl von unserem Container-VA-Angebot gescannt werden, das von Qualys und Container VA angeboten wird, das von Microsoft Defender Vulnerability Management unterstützt wird, nur einmal in Rechnung gestellt werden.

Qualys-Empfehlungen für die Bewertung der Sicherheitsanfälligkeit in Containern wurden umbenannt und stehen weiterhin für Kunden zur Verfügung, die Defender für Container auf einem ihrer Abonnements vor dieser Version aktiviert haben. Neue Kunden, die nach dieser Release ein Onboarding für Defender for Containers durchführen, werden nur die neuen Empfehlungen zur Containersicherheitsrisikobewertung sehen, die von Microsoft Defender Vulnerability Management unterstützt werden.

Öffentliche Vorschau der Windows-Unterstützung für Container-Sicherheitsrisikobewertung, unterstützt von Microsoft Defender Vulnerability Management

14. Dezember 2023

Die Unterstützung für Windows-Images wurde in der öffentlichen Vorschau als Teil der Sicherheitsrisikobewertung (Vulnerability assessment, VA) veröffentlicht, die von Microsoft Defender Vulnerability Management für Azure-Containerregistrierungen und Azure Kubernetes Services unterstützt wird.

Auslaufen der AWS-Container-Sicherheitsrisikobewertung, die von Trivy unterstützt wird

13. Dezember 2023

Die von Trivy unterstützte Container-Sicherheitsrisikobewertung ist nun auf dem Weg in den Ruhestand und soll bis zum 13. Februar abgeschlossen sein. Diese Funktion ist nun veraltet und wird für bestehende Kunden, die diese Funktion nutzen, bis zum 13. Februar weiterhin verfügbar sein. Wir empfehlen Kunden, die diese Funktion nutzen, bis zum 13. Februar auf die neue, von Microsoft Defender Vulnerability Management unterstützte Sicherheitsrisikobewertung für AWS-Container umzusteigen.

Agentless Containerstatus für AWS in Defender for Containers und Defender CSPM (Vorschau)

13. Dezember 2023

Die neuen Funktionen für Agentless Containerstatus (Vorschau) sind für AWS verfügbar. Weitere Informationen finden Sie unter Agentless Containerstatus in Defender CSPM - und Agentless-Funktionen in Defender for Containers.

Allgemeine Verfügbarkeit Unterstützung von PostgreSQL Flexible Server in Defender für relationale Open-Source-Datenbanken planen

13. Dezember 2023

Wir kündigen die allgemeine Verfügbarkeit (general availability, GA) der Unterstützung von PostgreSQL Flexible Server im Microsoft Defender für relationale Open-Source-Datenbanken an. Microsoft Defender für relationale Open-Source-Datenbanken bietet erweiterten Bedrohungsschutz für Flexible Server von PostgreSQL, indem anomale Aktivitäten erkannt und Sicherheitswarnungengeneriert werden.

Erfahren Sie, wie Sie Microsoft Defender für relationale Open-Source-Datenbanken aktivieren.

Container-Sicherheitsrisikobewertung auf Basis von Microsoft Defender Vulnerability Management unterstützt jetzt Google Distroless

12. Dezember 2023

Container-Sicherheitsrisikobewertungen, die von Microsoft Defender Vulnerability Management unterstützt werden, wurden durch zusätzliche Abdeckung für Linux-Betriebssystempakete erweitert, die jetzt Google Ditroless unterstützen.

Eine Liste aller unterstützten Betriebssysteme finden Sie unter Registries und Images support for Azure – Vulnerability Assessment powered by Microsoft Defender Vulnerability Management.

November 2023

Datum Aktualisieren
30. November Vier Warnungen sind veraltet
27. November Allgemeine Verfügbarkeit von Agentless Secrets Scanning in Defender for Servers und Defender CSPM
22. November Aktivieren von Permissions Management mit Defender for Cloud (Vorschau)
22. November Integration von Defender for Cloud in ServiceNow
20. November Allgemeine Verfügbarkeit des automatischen Bereitstellungsprozesses für SQL Server auf Computern
15. November Allgemeine Verfügbarkeit von Defender für APIs
15. November Defender for Cloud ist jetzt in Microsoft 365 Defender integriert (Vorschau)
15. November Allgemeine Verfügbarkeit der Sicherheitsrisikobewertung von Containern, die von Microsoft Defender Vulnerability Management (MDVM) in Defender for Containers und Defender für Containerregistrierungen unterstützt wird
15. November Ändern von Empfehlungsnamen für Containersicherheitsrisikobewertungen
15. November Die Risikopriorisierung ist jetzt für Empfehlungen verfügbar
15. November Neue Engine und umfangreiche Verbesserungen für die Angriffspfadanalyse
15. November Änderungen am Azure Resource Graph-Tabellenschema des Angriffspfads
15. November GA-Release des GCP-Supports in Defender CSPM
15. November GA-Release des Dashboards zur Datensicherheit
15. November GA-Release für die Ermittlung vertraulicher Daten für Datenbanken
6. November Neue Version der Empfehlung zum Ermitteln fehlender Systemupdates ist jetzt GA

Vier Warnungen sind veraltet

30. November 2023

Im Rahmen unseres Qualitätsverbesserungsprozesses sind die folgenden Sicherheitswarnungen veraltet:

  • Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
  • Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
  • Suspicious process termination burst (VM_TaskkillBurst)
  • PsExec execution detected (VM_RunByPsExec)

Allgemeine Verfügbarkeit von Agentless Secrets Scanning in Defender for Servers und Defender CSPM

27. November 2023

Agentless Secrets Scanning verbessert die Sicherheit Cloud-basierter virtueller Computer (VM) durch die Identifizierung von Klartextgeheimnissen auf VM-Festplatten. Agentless Secrets Scanning liefert umfassende Informationen, die dabei helfen, entdeckte Befunde zu priorisieren und Risiken von Seitwärtsbewegungen zu mindern, bevor sie auftreten. Dieser proaktive Ansatz verhindert nicht autorisierten Zugriff, um sicherzustellen, dass Ihre Cloudumgebung sicher bleibt.

Wir kündigen die allgemeine Verfügbarkeit (General Availability, GA) des Agentless Secret Scanning an, die sowohl in den Defender für Server P2-Plänen als auch in den Defender CSPM-Plänen enthalten sind.

Agentless Secrets Scanning nutzt Cloud-APIs, um Snapshots Ihrer Festplatten zu erfassen und eine Out-of-Band-Analyse durchzuführen, die sicherstellt, dass es keine Auswirkungen auf die Leistung Ihrer VM gibt. Agentless Secrets Scanning erweitert die Abdeckung von Defender for Cloud über Cloudressourcen in Azure-, AWS- und GCP-Umgebungen, um Ihre Cloudsicherheit zu verbessern.

Mit dieser Version unterstützen die Erkennungsfunktionen von Defender for Cloud jetzt andere Datenbanktypen, signierte URLs, Zugriffstoken und vieles mehr.

Erfahren Sie, wie Sie geheime Schlüssel mit Agentless Secrets Scanning verwalten.

Aktivieren von Permissions Management mit Defender for Cloud (Vorschau)

22. November 2023

Microsoft bietet jetzt sowohl CNAPP- (Cloud-Native Application Protection Platforms) als auch CIEM-Lösungen (Cloud Infrastructure Entitlement Management) mit Microsoft Defender for Cloud (CNAPP) und Microsoft Entra-Berechtigungsverwaltung (CIEM).

Sicherheitsadministrator*innen können eine zentrale Ansicht ihrer nicht verwendeten oder übermäßigen Zugriffsberechtigungen in Defender for Cloud erhalten.

Sicherheitsteams können auf die geringsten Berechtigungszugriffskontrollen für Cloudressourcen bauen und handlungsrelevante Empfehlungen zur Lösung von Berechtigungsrisiken in Azure-, AWS- und GCP-Cloudumgebungen im Rahmen ihres Defender Cloud Security Posture Management (CSPM) erhalten, ohne dass eine zusätzliche Lizenzierung erforderlich sind.

Erfahren Sie, wie Sie die Berechtigungsverwaltung in Microsoft Defender for Cloud aktivieren (Vorschau).

Integration von Defender for Cloud in ServiceNow

22. November 2023

ServiceNow ist jetzt in Microsoft Defender for Cloud integriert, sodass die Kundschaft ServiceNow mit ihrer Defender for Cloud-Umgebung verbinden kann, um die Anwendung von Empfehlungen zu priorisieren, die sich auf das Unternehmen auswirken. Microsoft Defender for Cloud ist in das ITSM-Modul (IT-Service-Management) integriert. Diese Verbindung ermöglicht es der Kundschaft, ServiceNow-Tickets (verknüpft mit Empfehlungen) in Microsoft Defender for Cloud zu erstellen/anzuzeigen.

Erhalten Sie weitere Informationen zur Integration von Defender for Cloud in ServiceNow.

Allgemeine Verfügbarkeit des Prozesses zur automatischen Bereitstellung für SQL Server-Plan auf Computern

20. November 2023

In Vorbereitung auf die Veralterung des Microsoft Monitoring Agent (MMA) im August 2024 veröffentlichte Defender for Cloud einen auf SQL Server ausgerichteten automatischen Bereitstellungsprozess für den Azure Monitoring Agent (AMA). Der neue Prozess wird automatisch für alle neuen Kunden aktiviert und konfiguriert und bietet auch die Möglichkeit der Aktivierung auf Ressourcenebene für Azure SQL-VMs und Arc-fähige SQL-Server.

Kunden, die den MMA-Prozess für die automatische Bereitstellung verwenden, werden aufgefordert, zum neuen automatischen Bereitstellungsprozess für den Azure Monitoring Agent für SQL Server auf Computern zu migrieren. Der Migrationsprozess ist nahtlos und bietet kontinuierlichen Schutz für alle Computer.

Allgemeine Verfügbarkeit von Defender für APIs

15. November 2023

Wir kündigen die allgemeine Verfügbarkeit von Microsoft Defender für APIs an. Defender für APIs wurde entwickelt, um Organisationen vor API-Sicherheitsbedrohungen zu schützen.

Defender für APIs ermöglicht Organisationen, ihre APIs und Daten vor böswilligen Akteuren zu schützen. Organisationen können ihren API-Sicherheitsstatus untersuchen und verbessern, Sicherheitskorrekturen priorisieren und schnell aktive Echtzeitbedrohungen erkennen und darauf reagieren. Organisationen können Sicherheitswarnungen auch direkt in ihre SIEM-Plattform (Security Incident and Event Management) integrieren, z. B. Microsoft Sentinel, um Probleme zu untersuchen und zuzuordnen.

Sie erfahren, wie Sie Ihre APIs mit Defender für APIs schützen. Sie können auch mehr über Über Microsoft Defender für APIs erfahren.

Sie können auch diesem Blog lesen, um mehr über die GA-Ankündigung zu erfahren.

Defender for Cloud ist jetzt in Microsoft 365 Defender integriert (Vorschau)

15. November 2023

Unternehmen können ihre Cloudressourcen und -geräte mit der neuen Integration zwischen Microsoft Defender for Cloud und Microsoft Defender XDR schützen. Diese Integration verbindet die Punkte zwischen Cloudressourcen, Geräten und Identitäten, für die bisher mehrere Erfahrungen erforderlich waren.

Die Integration bietet auch wettbewerbsfähige Cloudschutzfunktialitäten in den Alltag des Security Operations Center (SOC). Mit Microsoft Defender XDR können SOC-Teams problemlos Angriffe entdecken, die Erkennungen aus mehreren Säulen kombinieren, einschließlich Cloud, Endpunkt, Identität, Office 365 und mehr.

Einige der wichtigsten Vorteile sind:

  • Eine benutzerfreundliche Schnittstelle für SOC-Teams: Mit den in M365D integrierten Warnungen und Cloudkorrelationen von Defender for Cloud können SOC-Teams jetzt über eine einzige Schnittstelle auf alle Sicherheitsinformationen zugreifen, wodurch die betriebliche Effizienz erheblich verbessert wird.

  • Eine Angriffsstory: Kunden können die vollständige Angriffsstory, einschließlich ihrer Cloudumgebung, mithilfe vorgefertigter Korrelationen verstehen, die Sicherheitswarnungen aus mehreren Quellen kombinieren.

  • Neue Cloudentitäten in Microsoft Defender XDR: Microsoft Defender XDR unterstützt jetzt neue Cloudentitäten, die für Microsoft Defender for Cloud einzigartig sind, z. B. Cloudressourcen. Kunden können Entitäten von virtuellen Computern (VMs) mit Geräteentitäten abgleichen und eine einheitliche Ansicht aller relevanten Informationen zu einem Computer bereitstellen, einschließlich Warnungen und Vorfällen, die darauf ausgelöst wurden.

  • Unified API für Microsoft-Sicherheitsprodukte: Kunden können jetzt die Daten ihrer Sicherheitswarnungen mithilfe einer einzigen API in ihre Systeme exportieren, da Microsoft Defender for Cloud-Warnungen und -Vorfälle jetzt Teil der öffentlichen API von Microsoft Defender XDR sind.

Die Integration zwischen Defender for Cloud und Microsoft Defender XDR steht allen neuen und vorhandenen Defender for Cloud-Kunden zur Verfügung.

Allgemeine Verfügbarkeit der Sicherheitsrisikobewertung von Containern, die von Microsoft Defender Vulnerability Management (MDVM) in Defender for Containers und Defender für Containerregistrierungen unterstützt wird

15. November 2023

Die Sicherheitsrisikobewertung (Vulnerability Assessment, VA) für Linux-Containerimages in Azure-Containerregistrierungen, die von Microsoft Defender Vulnerability Management (MDVM) unterstützt wird, ist in Defender for Containers und Defender für Containerregistrierungen für die allgemeine Verfügbarkeit (General Availability, GA) freigegeben.

Im Rahmen dieser Änderung wurden die folgenden Empfehlungen für GA veröffentlicht und umbenannt und sind jetzt in der Berechnung des Sicherheitsscores enthalten:

Aktueller Empfehlungsname Neuer Empfehlungsname Beschreibung Bewertungsschlüssel
Containerregistrierungsimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) Containerimages der Azure-Registrierung sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) Sicherheitsrisikobewertungen für Containerimages scannen Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellen einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
Ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) Ausgeführte Azure-Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Für das Scannen von Containerimages, die von MDVM unterstützt werden, fallen jetzt auch Gebühren gemäß Planpreis an.

Hinweis

Images, die sowohl von unserem von Qualys unterstützten Container-VA-Angebot als auch unserem von MDVM unterstützten Container-VA-Angebot gescannt werden, werden nur einmal in Rechnung gestellt.

Die nachstehenden Qualys-Empfehlungen für die Sicherheitsrisikobewertung für Container wurden umbenannt und stehen weiterhin für Kunden zur Verfügung, die Defender for Containers vor dem 15. November in einem ihrer Abonnements aktiviert haben. Neue Kunden, die nach dem 15. November ein Onboarding für Defender for Containers durchführen, werden nur die neuen Empfehlungen zur Containersicherheitsrisikobewertung sehen, die von Microsoft Defender Vulnerability Management unterstützt werden.

Aktueller Empfehlungsname Neuer Empfehlungsname Beschreibung Bewertungsschlüssel
Sicherheitsrisiken bei Images für die Containerregistrierung sollten behoben werden (unterstützt von Qualys) Sicherheitslücken in Azure Registry Container-Images sollten behoben sein (unterstützt von Qualys) Die Sicherheitsrisikobewertung für Containerimages scannt Ihre Registrierung auf Sicherheitsrisiken und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. dbd0cb49-b563-45e7-9724-889e799fa648
Ausgeführte Containerimages sollten Sicherheitsrisikoergebnisse behoben haben (unterstützt von Qualys) Sicherheitslücken in den auf Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Qualys) Die Sicherheitsrisikobewertung für Containerimages scannt Containerimages, die auf Ihren Kubernetes-Clustern ausgeführt werden, und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. 41503391-efa5-47ee-9282-4eff6131462c

Ändern von Empfehlungsnamen für Containersicherheitsrisikobewertungen

Die folgenden Empfehlungen für Containersicherheitsrisikobewertungen wurden umbenannt:

Aktueller Empfehlungsname Neuer Empfehlungsname Beschreibung Bewertungsschlüssel
Sicherheitsrisiken bei Images für die Containerregistrierung sollten behoben werden (unterstützt von Qualys) Sicherheitslücken in Azure Registry Container-Images sollten behoben sein (unterstützt von Qualys) Die Sicherheitsrisikobewertung für Containerimages scannt Ihre Registrierung auf Sicherheitsrisiken und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. dbd0cb49-b563-45e7-9724-889e799fa648
Ausgeführte Containerimages sollten Sicherheitsrisikoergebnisse behoben haben (unterstützt von Qualys) Sicherheitslücken in den auf Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Qualys) Die Sicherheitsrisikobewertung für Containerimages scannt Containerimages, die auf Ihren Kubernetes-Clustern ausgeführt werden, und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. 41503391-efa5-47ee-9282-4eff6131462c
Sicherheitsrisikoergebnisse für Images für die elastische Containerregistrierung sollten behoben sein Sicherheitsrisiken für Containerimages in der AWS-Registrierung sollten behoben sein – (unterstützt von Trivy) Die Sicherheitsrisikobewertung für Containerimages scannt Ihre Registrierung auf Sicherheitsrisiken und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. 03587042-5d4b-44ff-af42-ae99e3c71c87

Die Risikopriorisierung ist jetzt für Empfehlungen verfügbar

15. November 2023

Sie können jetzt Ihre Sicherheitsempfehlungen nach ihrem Risikograd priorisieren, wobei Sie sowohl die Ausnutzbarkeit als auch die potenziellen geschäftlichen Auswirkungen jedes zugrunde liegenden Sicherheitsproblems berücksichtigen.

Indem Sie Ihre Empfehlungen basierend auf ihrem Risikograd (kritisch, hoch, mittel, niedrig) organisieren, können Sie die kritischsten Risiken in Ihrer Umgebung adressieren und die Wartung von Sicherheitsproblemen basierend auf dem tatsächlichen Risiko effizient priorisieren, z. B. Internetexposition, Datenvertraulichkeit, Möglichkeiten der Lateralbewegung und potenzielle Angriffspfade, die durch die Behebung der Empfehlungen entschärft werden könnten.

Erfahren Sie mehr über die Risikopriorisierung.

Neue Engine und umfangreiche Verbesserungen für die Angriffspfadanalyse

15. November 2023

Wir veröffentlichen Verbesserungen der Funktionalitäten der Angriffspfadanalyse in Defender for Cloud.

  • Neue Engine – Die Angriffspfadanalyse verfügt über eine neue Engine, das einen Algorithmus zur Pfadsuche verwendet, um jeden möglichen Angriffspfad zu erkennen, der in Ihrer Cloudumgebung vorhanden ist (basierend auf den Daten, die wir in unserem Graph haben). Wir können viele weitere Angriffspfade in Ihrer Umgebung finden und komplexere und anspruchsvollere Angriffsmuster erkennen, die Angreifer nutzen können, um in Ihre Organisation einzudringen.

  • Verbesserungen – Die folgenden Verbesserungen werden freigegeben:

    • Risikopriorisierung – Priorisierte Liste der Angriffspfade auf der Grundlage des Risikos (Ausnutzbarkeit und geschäftliche Auswirkung).
    • Verbesserte Wartung – Hinweise auf die spezifischen Empfehlungen, die gelöst werden sollten, um die Kette tatsächlich zu unterbrechen.
    • Cloudübergreifende Angriffspfade – Erkennung von Angriffspfaden, die cloudübergreifend sind (Pfade, die in einer Cloud beginnen und in einer anderen enden).
    • MITRE – Zuordnen aller Angriffspfade zum MITRE-Framework.
    • Aktualisierte Benutzererfahrung – Aktualisierte Erfahrung mit stärkeren Funktionalitäten: erweiterte Filter, Suche und Gruppierung von Angriffspfaden, um eine einfachere Selektierung zu ermöglichen.

Erfahren Sie mehr über das Identifizieren und Warten von Angriffspfaden.

Änderungen am Azure Resource Graph-Tabellenschema des Angriffspfads

15. November 2023

Das Azure Resource Graph-Tabellenschema des Angriffspfads wird aktualisiert. Die attackPathType-Eigenschaft wird entfernt, und andere Eigenschaften werden hinzugefügt.

GA-Release des GCP-Supports in Defender CSPM

15. November 2023

Wir kündigen das GA (allgemeine Verfügbarkeit)-Release des kontextbezogenen Defender CSPM-Cloudsicherheitsgraphen und der Angriffspfadanalyse mit Support für GCP-Ressourcen an. Sie können die Leistungsfähigkeit von Defender CSPM für umfassende Transparenz und intelligente Cloudsicherheit für GCP-Ressourcen nutzen.

Zu den wichtigsten Features unserer GCP-Unterstützung gehören:

  • Analyse des Angriffspfads: Verstehen der potenziellen Routen, die Angreifer nehmen können.
  • Cloudsicherheits-Explorer: Identifizieren Sie proaktiv Sicherheitsrisiken, indem Sie graphbasierte Abfragen für das Sicherheitsdiagramm ausführen.
  • Überprüfung ohne Agent: Überprüfen Sie Server, und identifizieren Sie Geheimnisse und Sicherheitsrisiken, ohne einen Agent zu installieren.
  • Datenfähiger Sicherheitsstatus: Ermitteln und Beheben von Risiken für vertrauliche Daten in Google Cloud Storage-Buckets.

Informieren Sie sich ausführlicher über die Defender CSPM-Planoptionen.

Hinweis

Die Abrechnung für den GA-Release des GCP-Supports in Defender CSPM wird am 1. Februar 2024 beginnen.

GA-Release des Dashboards zur Datensicherheit

15. November 2023

Das Dashboard zur Datensicherheit ist jetzt als Teil des Defender CSPM-Plans in der allgemeinen Verfügbarkeit (GA) verfügbar.

Mit dem Dashboard zur Datensicherheit können Sie den Datenbestand Ihrer Organisation, Risiken für vertrauliche Daten und Einblicke in Ihre Datenressourcen anzeigen.

Erfahren Sie mehr über das Datensicherheitsdashboard.

GA-Release der Ermittlung vertraulicher Daten für Datenbanken

15. November 2023

Die Ermittlung vertraulicher Daten für verwaltete Datenbanken, einschließlich Azure SQL-Datenbanken und AWS RDS-Instanzen (alle RDBMS-Varianten), ist jetzt allgemein verfügbar und ermöglicht die automatische Ermittlung kritischer Datenbanken, die vertrauliche Daten enthalten.

Um dieses Feature in allen unterstützten Datenspeichern in Ihren Umgebungen zu aktivieren, müssen Sie Sensitive data discovery in Defender CSPM aktivieren. Erfahren Sie, wie Sie die Ermittlung vertraulicher Daten in Defender CSPM aktivieren.

Sie können auch erfahren, wie die vertrauliche Datenermittlung im datenbewussten Sicherheitsstatus verwendet wird.

Ankündigung des Public Preview: Neue erweiterte Sichtbarkeit der Multicloud-Datensicherheit in Microsoft Defender for Cloud.

Neue Version der Empfehlung zum Ermitteln fehlender Systemupdates ist jetzt GA

6. November 2023

Ein zusätzlicher Agent ist auf Ihren Azure-VMs und Azure Arc-Computern nicht mehr erforderlich, um sicherzustellen, dass die Computer über alle neuesten Sicherheits- oder kritischen Systemupdates verfügen.

Die neue Empfehlung für Systemupdates, System updates should be installed on your machines (powered by Azure Update Manager) im Apply system updates -Steuerelement, basiert auf dem Update Manager und ist jetzt vollständig GA. Bei der Empfehlung wird ein nativer Agent, der in jeder Azure-VM und in jedem Azure Arc-Computer eingebettet ist, statt eines installierten Agents verwendet. Über die schnelle Problembehebung in der neuen Empfehlung werden Sie zu einer einmaligen Installation der fehlenden Updates im Portal des Update Managers weitergeleitet.

Die alten und die neuen Versionen der Empfehlungen zur Suche fehlender Systemupdates sind beide bis August 2024 verfügbar, was der Zeitpunkt ist, an dem die ältere Version veraltet wird. Beide Empfehlungen: System updates should be installed on your machines (powered by Azure Update Manager) und System updates should be installed on your machines stehen unter demselben Steuerelement zur Verfügung: Apply system updates und hat dieselben Ergebnisse. Daher gibt es keine Duplizierung in der Auswirkung auf die Sicherheitsbewertung.

Wir empfehlen, zu der neuen Empfehlung zu migrieren und die alte zu entfernen, indem sie sie aus der integrierten Initiative von Defender for Cloud in Azure-Richtlinie deaktivieren.

Die Empfehlung [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) ist auch GA und eine Voraussetzung, die sich negativ auf Ihre Sicherheitsbewertung auswirkt. Sie können den negativen Effekt mit dem verfügbaren Fix beheben.

Zur Anwendung der neuen Empfehlung müssen Sie die folgenden Schritte ausführen:

  1. Verbinden Sie Ihre Nicht-Azure-Computer mit Arc.
  2. Aktivieren Sie die Eigenschaft „Periodische Bewertung“. Sie können die schnelle Problembehebung in der neuen Empfehlung verwenden ([Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)), um die Empfehlung zu beheben.

Hinweis

Das Aktivieren regelmäßiger Bewertungen für arc-aktivierte Computer, die Defender für Server Plan 2 nicht für ihr zugehöriges Abonnement oder Connector aktiviert ist, unterliegt Azure Update Manager-Preis. Arc-fähige Computer, dieDefender für Server Plan 2 für ihr zugehöriges Abonnement oder Connectors oder einen beliebigen virtuellen Azure-Computer aktiviert sind, sind ohne zusätzliche Kosten für diese Funktion berechtigt.

Oktober 2023

Datum Aktualisieren
30. Oktober Ändern des Schweregrads der Sicherheitswarnung des adaptiven Anwendungssteuerelements
25. Oktober Von Defender für APIs entfernte Revisionen der Offline-Azure-API-Verwaltung
19. Oktober DevOps-Sicherheitsstatusverwaltungsempfehlungen, die in der öffentlichen Vorschau verfügbar sind
18. Oktober Veröffentlichen von CIS Azure Foundation Benchmark v2.0.0 im Dashboard zur Einhaltung gesetzlicher Vorschriften

Ändern des Schweregrads der Sicherheitswarnung für adaptive Anwendungssteuerung

Ankündigungsdatum: 30. Oktober 2023

Im Rahmen des Prozesses zur Verbesserung der Sicherheitswarnungsqualität von Defender für Server und als Teil des Features für adaptive Anwendungssteuerelemente ändert sich der Schweregrad der folgenden Sicherheitswarnung in "Informational":

Warnung [Warnungstyp] Warnungsbeschreibung
Verstöße gegen Richtlinien für adaptive Anwendungssteuerung wurden überwacht. [VM_AdaptiveApplicationControlWindowsViolationAudited; VM_AdaptiveApplicationControlWindowsViolationAudited] Die folgenden Benutzer haben Anwendungen ausgeführt, die die Richtlinie für Anwendungssteuerung Ihrer Organisation auf diesem Computer verletzen. Dadurch kann der Computer möglicherweise für Malware oder Anwendungsschwachstellen anfällig werden.

Wenn Sie diese Warnung weiterhin auf der Seite "Sicherheitswarnungen" im Microsoft Defender für Cloud-Portal anzeigen möchten, ändern Sie den Standardansichtsfilterschweregrad, um Informationswarnungen in das Raster einzuschließen.

Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Sicherheitsstandards und Empfehlungen.

Von Defender für APIs entfernte Revisionen der Offline-Azure-API-Verwaltung

25. Oktober 2023

Defender for APIs hat seinen Support für Azure API Management-API-Revisionen aktualisiert. Offlinerevisionen werden nicht mehr im integrierten Defender for API-Bestand angezeigt und scheinen nicht mehr in Defender for APIs integriert zu werden. Offlinerevisionen lassen keinen Datenverkehr zu und stellen aus Sicherheitssicht kein Risiko dar.

DevOps-Sicherheitsstatusverwaltungsempfehlungen, die in der öffentlichen Vorschau verfügbar sind

19. Oktober 2023

Neue Empfehlungen zur Verwaltung von DevOps-Haltungen sind jetzt in der öffentlichen Vorschau für alle Kunden mit einem Connector für Azure DevOps oder GitHub verfügbar. DevOps Posture Management trägt dazu bei, die Angriffsfläche von DevOps-Umgebungen zu reduzieren, indem Schwachstellen in Sicherheitskonfigurationen und Zugriffssteuerungen aufgedeckt werden. Erfahren Sie mehr über die Verwaltung von DevOps Posture Management.

Veröffentlichen von CIS Azure Foundation Benchmark v2.0.0 im Dashboard zur Einhaltung gesetzlicher Vorschriften

18. Oktober 2023

Microsoft Defender for Cloud unterstützt jetzt die neueste CIS Azure Security Foundation Benchmark – Version 2.0.0 im Dashboard zur Einhaltung gesetzlicher Vorschriften und eine integrierte Richtlinieninitiative in Azure Policy. Die Version 2.0.0 in Microsoft Defender for Cloud ist eine gemeinsame Zusammenarbeit zwischen Microsoft, dem Center for Internet Security (CIS) und den Benutzergemeinschaften. Die Version 2.0.0 erweitert den Bewertungsbereich erheblich, der jetzt 90+ integrierte Azure-Richtlinien umfasst und die vorherigen Versionen 1.4.0 und 1.3.0 und 1.0 in Microsoft Defender für Cloud und Azure Policy erfolgreich ist. Weitere Informationen finden Sie in diesem Blogbeitrag.

September 2023

Datum Aktualisieren
30. September Ändern der täglichen Log Analytics-Obergrenze
27. September Datensicherheitsdashboard als öffentliche Vorschau verfügbar
21. September Vorschauversion: Neuer Prozess für die automatische Bereitstellung für SQL Server auf Computern
20. September Warnungen von GitHub Advanced Security für Azure DevOps in Defender for Cloud
11. September Ausgenommene Funktionen sind jetzt für Empfehlungen für Defender für APIs verfügbar
11. September Erstellen von Beispielwarnungen für Defender für APIs-Erkennungen
6. September Vorschauversion: Die von Microsoft Defender Vulnerability Management unterstützte Sicherheitsrisikobewertung von Containern unterstützt jetzt das Überprüfen nach Pullen
6. September Aktualisieren des Benennungsformats von Center for Internet Security (CIS)-Standards unter Einhaltung gesetzlicher Bestimmungen
5. September Ermittlung vertraulicher Daten für PaaS-Datenbanken (Vorschau)
1. September Allgemeine Verfügbarkeit (GA): Überprüfung auf Schadsoftware in Defender für Storage

Ändern der täglichen Log Analytics-Obergrenze

Azure Monitor bietet die Möglichkeit, eine tägliche Obergrenze für die Datenmenge festzulegen, die in Ihren Log Analytics-Arbeitsbereichen erfasst werden. Sicherheitsrelevante Defender for Cloud-Ereignisse werden in diesen Ausschlüssen derzeit jedoch nicht unterstützt.

Die log Analytics Daily Cap schließt die folgenden Datentypen nicht mehr aus:

  • WindowsEvent
  • SecurityAlert
  • SecurityBaseline
  • SecurityBaselineSummary
  • SecurityDetection
  • SecurityEvent
  • WindowsFirewall
  • MaliciousIPCommunication
  • LinuxAuditLog
  • SysmonEvent
  • ProtectionStatus
  • Aktualisieren
  • UpdateSummary
  • CommonSecurityLog
  • syslog

Alle abrechnenden Datentypen werden begrenzt, wenn die tägliche Obergrenze erreicht ist. Dank dieser Änderung können Sie die Kosten durch eine höher als erwartete Datenerfassung vollständig eindämmen.

Hier finden Sie weitere Informationen zu Arbeitsbereichen mit Microsoft Defender for Cloud.

Datensicherheitsdashboard als öffentliche Vorschau verfügbar

27. September 2023

Das Dashboard zur Datensicherheit ist jetzt als Teil des Defender CSPM-Plans als öffentliche Vorschau verfügbar. Das Datensicherheitsdashboard ist ein interaktives, datenorientiertes Dashboard, das wesentliche Risiken für vertrauliche Daten aufzeigt und dadurch Warnungen und potenzielle Angriffspfade für Daten in Hybrid Cloud-Workloads priorisiert. Erfahren Sie mehr über das Datensicherheitsdashboard.

Previewrelease: Neuer Prozess zur automatischen Bereitstellung für SQL Server auf Computern

21. September 2023

Microsoft Monitoring Agent (MMA) ist ab August 2024 veraltet. Für Defender for Cloud wurde die Strategie aktualisiert, indem MMA durch die Release eines automatischen Bereitstellungsprozesses von Azure Monitoring Agent für SQL Server ersetzt wurde.

Während der Preview werden Kunden, die den MMA-Prozess zur automatischen Bereitstellung mit der Option für Azure Monitor-Agent (Preview) verwenden, aufgefordert, zum neuen Azure Monitoring Agent für SQL Server auf Computern (Preview) für die automatische Bereitstellung zu migrieren. Der Migrationsprozess ist nahtlos und bietet kontinuierlichen Schutz für alle Computer.

Weitere Informationen finden Sie unter Migrieren zum automatischen Bereitstellungsprozess von Azure Monitoring Agent für SQL Server.

GitHub Advanced Security für Azure DevOps-Warnungen in Defender for Cloud

20. September 2023

Sie können jetzt Warnungen von GitHub Advanced Security für Azure DevOps (GHAzDO) im Zusammenhang mit CodeQL, Geheimnissen und Abhängigkeiten in Defender for Cloud anzeigen. Die Ergebnisse werden auf der DevOps-Seite und unter „Empfehlungen“ angezeigt. Um diese Ergebnisse anzuzeigen, führen Sie ein Onboarding Ihrer GHAzDO-fähigen Repositorys in Defender for Cloud durch.

Weitere Informationen zu GitHub Advanced Security für Azure DevOps.

Ausgenommene Funktionen sind jetzt für Empfehlungen für Defender für APIs verfügbar

11. September 2023

Sie können jetzt Empfehlungen für die folgenden Sicherheitsempfehlungen für Defender für APIs ausschließen.

Empfehlung Beschreibung und zugehörige Richtlinie Severity
(Vorschau) Nicht verwendete API-Endpunkte sollten deaktiviert und aus dem Azure API Management-Dienst entfernt werden Als bewährte Sicherheitsmethode gelten API-Endpunkte, die 30 Tage lang keinen Datenverkehr empfangen haben, als ungenutzt und sollten aus dem Azure API Management-Dienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko darstellen. Dies könnten APIs sein, die im Azure API Management-Dienst als veraltet gekennzeichnet sein sollten, aber versehentlich aktiv bleiben. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung. Niedrig
(Vorschau) API-Endpunkte in Azure API Management sollten authentifiziert werden API-Endpunkte, die in Azure API Management veröffentlicht werden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dies erlaubt Angreifern, Implementierungsfehler auszunutzen und auf Daten zuzugreifen. Für in Azure API Management veröffentlichte APIs bewertet diese Empfehlung die Ausführung der Authentifizierung über die in Azure API Management konfigurierten Abonnementschlüssel, JWT und Clientzertifikate. Wenn keiner dieser Authentifizierungsmechanismen während des API-Aufrufs ausgeführt wird, wird die API diese Empfehlung erhalten. Hoch

Erfahren Sie mehr über das Ausschließen von Empfehlungen in Defender for Cloud.

Erstellen von Beispielwarnungen für Defender für APIs-Erkennungen

11. September 2023

Sie können jetzt Beispielwarnungen für die Sicherheitserkennungen generieren, die im Rahmen der öffentlichen Vorschau von Defender für APIs veröffentlicht wurden. Erfahren Sie mehr über das Generieren von Beispielwarnungen in Defender for Cloud.

Vorschauversion: Die von Microsoft Defender Vulnerability Management unterstützte Sicherheitsrisikobewertung von Containern unterstützt jetzt das Überprüfen nach Pullen

6. September 2023

Container-Sicherheitsrisikobewertung, die von Microsoft Defender Vulnerability Management unterstützt wird, unterstützt jetzt einen zusätzlichen Auslöser für das Scannen von Bildern, die von einem ACR abgerufen werden. Dieser neu hinzugefügte Trigger deckt zusätzlich zu den bestehenden Triggern, die Bilder scannen, die in den letzten 90 Tagen an einen ACR übertragen wurden, und Bilder, die derzeit in AKS laufen, auch aktive Bilder ab.

Dieser neue Trigger wird heute eingeführt und wird voraussichtlich ab Ende September für alle Kunden verfügbar sein.

Weitere Informationen

Aktualisieren des Benennungsformats von Center for Internet Security (CIS)-Standards unter Einhaltung gesetzlicher Bestimmungen

6. September 2023

Das Benennungsformat von CIS (Center for Internet Security) Foundations-Benchmarks auf dem Compliance-Dashboard wird von [Cloud] CIS [version number] in CIS [Cloud] Foundations v[version number] geändert. Beachten Sie hierzu die folgende Tabelle:

Aktueller Name Neuer Name
Azure CIS 1.1.0 CIS Azure Foundations v1.1.0
Azure CIS 1.3.0 CIS Azure Foundations v1.3.0
Azure CIS 1.4.0 CIS Azure Foundations v1.4.0
AWS CIS 1.2.0 CIS AWS Foundations v1.2.0
AWS CIS 1.5.0 CIS AWS Foundations v1.5.0
GCP CIS 1.1.0 CIS GCP Foundations v1.1.0
GCP CIS 1.2.0 CIS GCP Foundations v1.2.0

Erfahren Sie, wie Sie die Einhaltung gesetzlicher Bestimmungen verbessern.

Ermittlung vertraulicher Daten für PaaS-Datenbanken (Vorschau)

5. September 2023

Datenbasierte Sicherheitsstatusfunktionen für die reibungslose Ermittlung vertraulicher Daten für PaaS-Datenbanken (Azure SQL-Datenbanken und Amazon RDS-Instanzen jeglicher Art) sind jetzt als öffentliche Vorschauversion verfügbar. Mit dieser öffentlichen Vorschauversion können Sie eine Karte Ihrer kritischen Daten erstellen, unabhängig davon, wo sie sich befinden, und unabhängig vom Typ der Daten, die sich in diesen Datenbanken befinden.

Die Ermittlung vertraulicher Daten für Azure- und AWS-Datenbanken ergänzt die freigegebene Taxonomie und Konfiguration, die bereits öffentlich für Cloudobjektspeicherressourcen (Azure Blob Storage, AWS S3-Buckets und GCP-Speicherbuckets) verfügbar ist, und bietet eine einheitliche Konfigurations- und Aktivierungserfahrung.

Datenbanken werden wöchentlich überprüft. Wenn Sie sensitive data discovery aktivieren, wird die Ermittlung innerhalb von 24 Stunden ausgeführt. Die Ergebnisse können im Cloudsicherheits-Explorer oder durch Überprüfen der neuen Angriffspfade für verwaltete Datenbanken mit vertraulichen Daten angezeigt werden.

Der datenbasierte Sicherheitsstatus für Datenbanken ist über den Defender CSPM-Plan verfügbar und wird für Abonnements mit aktivierter Option sensitive data discovery automatisch aktiviert.

Weitere Informationen zum datenbasierten Sicherheitsstatus finden Sie in den folgenden Artikeln:

Allgemeine Verfügbarkeit (GA): Überprüfung auf Schadsoftware in Defender für Storage

1. September 2023

Die Überprüfung auf Schadsoftware ist jetzt allgemein als Add-On für Defender für Storage verfügbar. Die Überprüfung auf Schadsoftware in Defender für Storage hilft Ihnen, Ihre Speicherkonten vor bösartigen Inhalten zu schützen, indem es nahezu in Echtzeit eine vollständige Überprüfung der hochgeladenen Inhalte auf Schadsoftware durchführt und dabei die Funktionen von Microsoft Defender Antivirus nutzt. Diese Funktion wurde entwickelt, um Sicherheits- und Complianceanforderungen für die Verarbeitung von nicht vertrauenswürdigen Inhalten zu erfüllen. Die Funktion zur Überprüfung auf Schadsoftware ist eine agentenlose SaaS-Lösung, die die Einrichtung in großem Umfang ermöglicht und die Automatisierung der Reaktion in großem Umfang unterstützt.

Erfahren Sie mehr über die Überprüfung auf Schadsoftware in Defender für Storage.

Der Preis für die Überprüfung auf Schadsoftware richtet sich nach Ihrer Datennutzung und Ihrem Budget. Die Abrechnung beginnt am 3. September 2023. Weitere Informationen hierzu finden Sie in der Preisübersicht.

Wenn Sie den vorherigen Plan verwenden, müssen Sie proaktiv zum neuen Plan migrieren, um schadsoftwareüberprüfungen zu ermöglichen.

Lesen Sie den Blogbeitrag zur Microsoft Defender for Cloud-Ankündigung.

August 2023

Updates im August:

Datum Aktualisieren
30. August Defender for Containers: Agentenlose Ermittlung für Kubernetes
22. August Veröffentlichte Empfehlung: Microsoft Defender for Storage sollte mit Überprüfung auf Schadsoftware und Bedrohungserkennung für vertrauliche Daten aktiviert werden
17. August Erweiterte Eigenschaften in Defender for Cloud-Sicherheitswarnungen werden in Aktivitätsprotokollen maskiert
15. August Vorschauversion der GCP-Unterstützung in Defender CSPM
7. August Neue Sicherheitswarnungen in Defender for Servers Plan 2: Erkennen potenzieller Angriffe durch Missbrauch von Azure-VM-Erweiterungen
1\. August Geschäftsmodell- und Preisupdates für Defender for Cloud-Pläne

Defender for Containers: Agentenlose Ermittlung für Kubernetes

30. August 2023

Wir freuen uns, Defender for Containers: Agentenlose Ermittlung für Kubernetes vorstellen zu können. Dieses Release ist ein wichtiger Schritt nach vorn bei der Containersicherheit und ermöglicht Ihnen erweiterte Erkenntnisse und umfassende Bestandsfunktionen für Kubernetes-Umgebungen. Das neue Containerangebot wird durch das kontextbezogene Sicherheitsdiagramm von Defender for Cloud unterstützt. Hier sehen Sie, was Sie von diesem neuesten Update erwarten können:

  • Agentenlose Kubernetes-Ermittlung
  • Umfassende Bestandsfunktionen
  • Kubernetes-spezifische Sicherheitseinblicke
  • Erweiterte Risikosuche mit Cloudsicherheits-Explorer

Die agentenlose Ermittlung für Kubernetes ist jetzt für alle Defender for Containers-Kunden verfügbar. Sie können diese erweiterten Funktionen noch heute verwenden. Wir empfehlen Ihnen, Ihre Abonnements zu aktualisieren, um den vollständigen Satz von Erweiterungen zu aktivieren und von den neuesten Ergänzungen und Features zu profitieren. Besuchen Sie den Bereich Umgebung und Einstellungen Ihres Defender for Containers-Abonnements, um die Erweiterung zu aktivieren.

Hinweis

Das Aktivieren der neuesten Ergänzungen verursacht keine neuen Kosten für aktive Defender for Containers-Kunden.

Weitere Informationen finden Sie unter Übersicht über die Containersicherheit von Microsoft Defender for Containers.

Veröffentlichte Empfehlung: Microsoft Defender for Storage sollte mit Überprüfung auf Schadsoftware und Bedrohungserkennung für vertrauliche Daten aktiviert werden

22. August 2023

Eine neue Empfehlung in Defender for Storage wurde veröffentlicht. Diese Empfehlung stellt sicher, dass Defender for Storage auf Abonnementebene mit Funktionen zur Überprüfung auf Schadsoftware und zur Bedrohungserkennung für vertrauliche Daten aktiviert ist.

Empfehlung Beschreibung
Microsoft Defender for Storage sollte mit Überprüfung auf Schadsoftware und Bedrohungserkennung für vertrauliche Daten aktiviert werden Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. Der Plan lässt sich in großem Umfang ohne Agents einrichten. Wenn er auf Abonnementebene aktiviert wird, sind alle vorhandenen und neu erstellten Speicherkonten in diesem Abonnement automatisch geschützt. Sie können auch bestimmte Speicherkonten aus geschützten Abonnements ausschließen.

Diese neue Empfehlung ersetzt die aktuelle Empfehlung Microsoft Defender for Storage should be enabled (Bewertungsschlüssel 1be22853-8ed1-4005-9907-ddad64cb1417). Diese Empfehlung ist jedoch weiterhin in Azure Government Clouds verfügbar.

Erfahren Sie mehr über Microsoft Defender for Storage.

Erweiterte Eigenschaften in Defender for Cloud-Sicherheitswarnungen werden in Aktivitätsprotokollen maskiert

17. August 2023

Wir haben kürzlich die Art und Weise geändert, in der Sicherheitswarnungen und Aktivitätsprotokolle integriert werden. Um vertrauliche Kundeninformationen besser zu schützen, fügen wir diese Informationen nicht mehr in Aktivitätsprotokolle ein. Stattdessen maskieren wir sie mit Sternchen. Die Informationen sind jedoch weiterhin über die Warnungs-API, den fortlaufenden Export und das Defender for Cloud-Portal verfügbar.

Kunden, die Aktivitätsprotokolle zum Exportieren von Warnungen in ihre SIEM-Lösungen verwenden, sollten eine andere Lösung in Betracht ziehen, da diese Methode zum Exportieren von Defender for Cloud-Sicherheitswarnungen nicht empfohlen wird.

Anweisungen zum Exportieren von Defender for Cloud-Sicherheitswarnungen nach SIEM, SOAR und anderen Anwendungen von Drittanbietern finden Sie unter Stream-Warnungen zu einer SIEM-, SOAR- oder IT-Dienstverwaltungslösung.

Vorschauversion der GCP-Unterstützung in Defender CSPM

15. August 2023

Wir kündigen das Vorschaurelease des kontextbezogenen Defender CSPM-Cloudsicherheitsdiagramms und der Analyse des Angriffspfads mit Unterstützung für GCP-Ressourcen an. Sie können die Leistungsfähigkeit von Defender CSPM für umfassende Transparenz und intelligente Cloudsicherheit für GCP-Ressourcen nutzen.

Zu den wichtigsten Features unserer GCP-Unterstützung gehören:

  • Analyse des Angriffspfads: Verstehen der potenziellen Routen, die Angreifer nehmen können.
  • Cloudsicherheits-Explorer: Identifizieren Sie proaktiv Sicherheitsrisiken, indem Sie graphbasierte Abfragen für das Sicherheitsdiagramm ausführen.
  • Überprüfung ohne Agent: Überprüfen Sie Server, und identifizieren Sie Geheimnisse und Sicherheitsrisiken, ohne einen Agent zu installieren.
  • Datenfähiger Sicherheitsstatus: Ermitteln und Beheben von Risiken für vertrauliche Daten in Google Cloud Storage-Buckets.

Informieren Sie sich ausführlicher über die Defender CSPM-Planoptionen.

Neue Sicherheitswarnungen in Defender for Servers Plan 2: Erkennen potenzieller Angriffe durch Missbrauch von Azure-VM-Erweiterungen

7. August 2023

Diese neuen Warnungen konzentrieren sich auf das Erkennen verdächtiger Aktivitäten von Azure-VM-Erweiterungen und bieten Einblicke in die Versuche von Angreifer*innen, VMs zu kompromittieren und schädliche Aktivitäten auf diesen auszuführen.

Microsoft Defender for Servers kann jetzt verdächtige Aktivitäten von VM-Erweiterungen erkennen, sodass die Sicherheit der Workloads besser abgedeckt ist.

Azure-VM-Erweiterungen sind kleine Anwendungen, die nach der Bereitstellung auf VMs ausgeführt werden und Funktionen wie Konfiguration, Automatisierung, Überwachung, Sicherheit und vieles mehr ermöglichen. Erweiterungen sind nützlich, können jedoch von Angreifer*innen für verschiedene schädliche Zwecke verwendet werden, darunter:

  • Für die Datensammlung und -überwachung.
  • Für die Codeausführung und die Konfigurationsbereitstellung mit hohen Berechtigungen.
  • Zum Zurücksetzen von Anmeldeinformationen und zum Erstellen von Administrativen Benutzern.
  • Zum Verschlüsseln von Datenträgern.

Hier finden Sie eine Tabelle der neuen Warnungen.

Warnung (Warnungstyp) Beschreibung MITRE-Taktiken severity
Verdächtiger Fehler bei der Installation der GPU-Erweiterung in Ihrem Abonnement (Vorschau)
(VM_GPUExtensionSuspiciousFailure)
Verdächtige Absicht, eine GPU-Erweiterung auf nicht unterstützten VMs zu installieren. Diese Erweiterung sollte auf VMs installiert werden, die mit einem Grafikprozessor ausgestattet sind. Dies ist bei den aktuellen VMs nicht der Fall. Diese Fehler treten auf, wenn Angreifer*innen mehrere Installationen einer solchen Erweiterung zu Cryptominingzwecken ausführen. Auswirkungen Medium
Verdächtige Installation einer GPU-Erweiterung auf Ihrer VM erkannt (Vorschau)
(VM_GPUDriverExtensionUnusualExecution)
Diese Warnung wurde im Juli 2023 veröffentlicht.
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine verdächtige Installation einer GPU-Erweiterung auf Ihrer VM erkannt. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen. Diese Aktivität wird als verdächtig eingestuft, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht. Auswirkungen Niedrig
Befehlsausführung mit verdächtigem Skript auf Ihrer VM erkannt (Vorschau)
(VM_RunCommandSuspiciousScript)
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine Skriptausführung mit einem verdächtigen Skript auf Ihrer VM erkannt. Angreifer könnten die Skriptausführung verwenden, um über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihrer VM auszuführen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden. Ausführung Hoch
Verdächtige nicht autorisierte Nutzung der Skriptausführung auf Ihrer VM erkannt (Vorschau)
(VM_RunCommandSuspiciousFailure)
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement ist eine verdächtige nicht autorisierte Nutzung der Skriptausführung fehlgeschlagen und wurde auf Ihrer VM erkannt. Angreifer könnten versuchen, mithilfe der Skriptausführung über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihren VMs auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde. Ausführung Medium
Verdächtige Nutzung der Skriptausführung auf Ihrer VM erkannt (Vorschau)
(VM_RunCommandSuspiciousUsage)
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine verdächtige Nutzung der Skriptausführung auf Ihrer VM erkannt. Angreifer könnten die Skriptausführung verwenden, um über den Azure Resource Manager schädlichen Code mit erhöhten Berechtigungen auf Ihren VMs auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde. Ausführung Niedrig
Verdächtige Verwendung mehrerer Überwachungs- oder Datensammlungserweiterungen auf Ihren VMs erkannt (Vorschau)
(VM_SuspiciousMultiExtensionUsage)
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine verdächtige Nutzung mehrerer Überwachungs- oder Datensammlungserweiterungen auf Ihren VMs erkannt. Angreifer könnten solche Erweiterungen für die Datensammlung, die Überwachung des Netzwerkdatenverkehrs und weitere Aktionen in Ihrem Abonnement missbrauchen. Diese Nutzung wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde. Reconnaissance Medium
Verdächtige Installation von Datenträgerverschlüsselungserweiterungen auf Ihren VMs erkannt (Vorschau)
(VM_DiskEncryptionSuspiciousUsage)
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine verdächtige Installation von Datenträgerverschlüsselungserweiterungen auf Ihren VMs erkannt. Angreifer könnten die Datenträgerverschlüsselungserweiterung missbrauchen, um vollständige Datenträgerverschlüsselungen auf Ihren VMs über den Azure Resource Manager bereitzustellen und so zu versuchen, Ransomware-Aktivitäten durchzuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde und sehr viele Erweiterungen installiert wurden. Auswirkungen Medium
Verdächtige Nutzung der VM Access-Erweiterung auf Ihren VMs erkannt (Vorschau)
(VM_VMAccessSuspiciousUsage)
Auf Ihren VMs wurde eine verdächtige Nutzung der VM Access-Erweiterung erkannt. Angreifer könnten die VM-Zugriffserweiterung missbrauchen, um Zugriff zu erhalten und Ihre VMs mit hohen Berechtigungen zu kompromittieren, indem sie den Zugriff zurücksetzen oder Administratoren verwalten. Diese Aktivität wird als verdächtig angesehen, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht und sehr viele Erweiterungen installiert wurden. Persistenz Medium
DSC-Erweiterung (Desired State Configuration) mit einem verdächtigen Skript auf Ihrer VM erkannt (Vorschau)
(VM_DSCExtensionSuspiciousScript)
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine DSC-Erweiterung (Desired State Configuration) mit einem verdächtigen Skript auf Ihrer VM erkannt. Angreifer könnten die DSC (Desired State Configuration)-Erweiterung verwenden, um schädliche Konfigurationen wie Persistenzmechanismen, schädliche Skripts un mehr mit hohen Berechtigungen auf Ihren VMs bereitzustellen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden. Ausführung Hoch
Verdächtige Nutzung einer DSC-Erweiterung (Desired State Configuration) auf Ihren VMs erkannt (Vorschau)
(VM_DSCExtensionSuspiciousUsage)
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine verdächtige Nutzung einer DSC-Erweiterung (Desired State Configuration) auf Ihren VMs erkannt. Angreifer könnten die DSC (Desired State Configuration)-Erweiterung verwenden, um schädliche Konfigurationen wie Persistenzmechanismen, schädliche Skripts un mehr mit hohen Berechtigungen auf Ihren VMs bereitzustellen. Diese Aktivität wird als verdächtig angesehen, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht und sehr viele Erweiterungen installiert wurden. Auswirkungen Niedrig
Benutzerdefinierte Skripterweiterung mit verdächtigem Skript auf Ihrer VM erkannt (Vorschau)
(VM_CustomScriptExtensionSuspiciousCmd)
(Diese Warnung ist bereits vorhanden und wurde mit verbesserter Logik und verbesserten Erkennungsmethoden ausgestattet.)
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine benutzerdefinierte Skripterweiterung mit einem verdächtigen Skript auf Ihrer VM erkannt. Angreifer könnten eine benutzerdefinierte Skripterweiterung verwenden, um über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihrer VM auszuführen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden. Ausführung Hoch

Weitere Informationen finden in den erweiterungsbasierten Warnungen in Defender for Servers.

Eine vollständige Liste der Warnungen finden Sie in der Referenztabelle für alle Sicherheitswarnungen in Microsoft Defender for Cloud.

Geschäftsmodell- und Preisupdates für Defender for Cloud-Pläne

1. August 2023

Microsoft Defender for Cloud weist drei Pläne auf, die Schutz auf Dienstebene bieten:

  • Defender für Key Vault

  • Defender für Resource Manager

  • Defender für DNS

Basierend auf Kundenfeedback in Bezug auf die Vorhersagbarkeit von Ausgaben und die Vereinfachung der Gesamtkostenstruktur haben wir diese Pläne in ein neues Geschäftsmodell mit anderen Preisen und Paketen überführt.

Zusammenfassung von Geschäftsmodell- und Preisänderungen:

Für Defender for Key Vault-, Defender for Resource Manager- und Defender for DNS-Bestandskunden gelten weiterhin ihre aktuellen Geschäftsmodelle und Preise, sofern die Kunden sich nicht aktiv für einen Wechsel zum neuen Geschäftsmodell und zu den neuen Preisen entscheiden.

  • Defender for Resource Manager: Für diesen Plan gilt ein Festpreis pro Abonnement und Monat. Kunden können zum neuen Geschäftsmodell wechseln, indem sie das neue Pro-Abonnement-Modell für Defender for Resource Manager auswählen.

Für Defender for Key Vault-, Defender for Resource Manager- und Defender for DNS-Bestandskunden gelten weiterhin ihre aktuellen Geschäftsmodelle und Preise, sofern die Kunden sich nicht aktiv für einen Wechsel zum neuen Geschäftsmodell und zu den neuen Preisen entscheiden.

  • Defender for Resource Manager: Für diesen Plan gilt ein Festpreis pro Abonnement und Monat. Kunden können zum neuen Geschäftsmodell wechseln, indem sie das neue Pro-Abonnement-Modell für Defender for Resource Manager auswählen.
  • Defender for Key Vault: Für diesen Plan gilt ein Festpreis pro Tresor und Monat ohne Überschreitungsgebühren. Kunden können zum neuen Geschäftsmodell zu wechseln, indem sie das neue Pro-Tresor-Modell für Defender for Key Vault auswählen
  • Defender for DNS: Kunden mit Defender for Servers-Plan 2 erhalten im Rahmen von Defender for Servers-Plan 2 ohne zusätzliche Kosten Zugriff auf die Vorteile von Defender for DNS. Kunden, die Defender for Servers-Plan 2 und Defender for DNS nutzen, wird Defender for DNS nicht mehr in Rechnung gestellt. Defender for DNS ist als eigenständiger Plan nicht mehr verfügbar.

Weitere Informationen zu den Preisen für diese Pläne finden Sie auf der Preisseite für Defender for Cloud.

Juli 2023

Zu den Updates im Juli gehören:

Date Aktualisieren
31. Juli Vorschauversion der Sicherheitsrisikobewertung von Containern, die von Microsoft Defender Vulnerability Management in Defender für Container und Defender für Containerregistrierungen unterstützt wird
30. Juli Containerstatus ohne Agent in Defender CSPM ist jetzt allgemein verfügbar
20. Juli Verwaltung von automatischen Updates für Defender for Endpoint für Linux
18. Juli Agentless secrets scanning for virtual machines in Defender for servers P2 & Defender CSPM
12. Juli Neue Sicherheitswarnung in Defender for Servers Plan 2: Erkennen potenzieller Angriffe mithilfe von Azure-VM-GPU-Treibererweiterungen
9. Juli Unterstützung für die Deaktivierung bestimmter Sicherheitsrisikobewertungen
1\. Juli Datenfähiger Sicherheitsstatus jetzt allgemein verfügbar

Vorschau der Veröffentlichung von Containern zur Sicherheitsrisikobewertung mit Microsoft Defender Vulnerability Management

31. Juli 2023

Wir kündigen die Veröffentlichung der Sicherheitsrisikobewertung (VA) für Linux-Containerimages in Azure-Containerregistrierungen an, die von microsoft Defender Vulnerability Management in Defender for Containers und Defender for Container Registries unterstützt werden. Das neue Container-VA-Angebot wird zusammen mit unserem bestehenden Container VA-Angebot, das von Qualys unterstützt wird, sowohl in Defender for Container als auch in Defender for Container Registries bereitgestellt und umfasst tägliche Neuscans von Containerimages, Informationen zur Ausnutzbarkeit, Unterstützung für Betriebssystem und Programmiersprachen (SCA) und vieles mehr.

Dieses neue Angebot wird heute eingeführt und wird voraussichtlich bis zum 7. August für alle Kunden verfügbar sein.

Erfahren Sie mehr über die Bewertung der Sicherheitsanfälligkeit in Containern mit microsoft Defender Vulnerability Management.

Containerstatus ohne Agent in Defender CSPM ist jetzt allgemein verfügbar

30. Juli 2023

Containerstatusfunktionen ohne Agent sind jetzt allgemein verfügbar (GA) als Teil des Defender CSPM (Cloud Security Posture Management)-Plans.

Erfahren Sie mehr über den Containerstatus ohne Agent in Defender CSPM.

Verwaltung von automatischen Updates für Defender for Endpoint für Linux

20. Juli 2023

Standardmäßig versucht Defender for Cloud, Ihre Defender for Endpoint für Linux-Agents zu aktualisieren, die mit der MDE.Linux-Erweiterung integriert wurden. Bei diesem Release können Sie diese Einstellung verwalten und die Standardkonfiguration deaktivieren, um Ihre Updatezyklen manuell zu verwalten.

Agentless secrets scanning for virtual machines in Defender for servers P2 & Defender CSPM

18. Juli 2023

Die Geheimnisüberprüfung ist jetzt im Rahmen der agentlosen Überprüfung in Defender for Servers P2 und Defender CSPM verfügbar. Diese Funktion hilft beim Erkennen nicht verwalteter und unsicherer Geheimnisse, die auf VMs in Azure oder in AWS-Ressourcen gespeichert sind, die zum lateralen Verschieben im Netzwerk verwendet werden können. Wenn Geheimnisse erkannt werden, kann Defender for Cloud bei der Priorisierung und Durchführung umsetzbarer Schritte zur Problembehandlung helfen, um das Risiko von Seitwärtsbewegungen (Lateral Movement) zu minimieren, ohne die Leistung Ihres Computers zu beeinträchtigen.

Weitere Informationen dazu, wie Sie Ihre Geheimnisse mit geheimen Überprüfungen schützen, finden Sie unter Verwalten von geheimen Schlüsseln mit agentlosen Geheimschlüsselscans.

Neue Sicherheitswarnung in Defender for Servers Plan 2: Erkennen potenzieller Angriffe mithilfe von Azure-VM-GPU-Treibererweiterungen

12. Juli 2023

Diese Warnung konzentriert sich auf die Identifizierung verdächtiger Aktivitäten, die die GPU-Treibererweiterungen von Azure-Computern nutzen, und gibt Einblicke in die Versuche von Angreifern, Ihre virtuellen Computer zu kompromittieren. Die Warnung zielt auf verdächtige Bereitstellungen von GPU-Treibererweiterungen ab. Solche Erweiterungen werden häufig von Bedrohungsakteuren missbraucht, um die volle Leistungsfähigkeit der GPU-Karte zu nutzen und Kryptojacking durchzuführen.

Anzeigename der Warnung
(Warnungstyp)
BESCHREIBUNG severity MITRE-Taktik
Verdächtige Installation der GPU-Erweiterung auf Ihrem virtuellen Computer (Vorschau)
(VM_GPUDriverExtensionUnusualExecution)
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine verdächtige Installation einer GPU-Erweiterung auf Ihrer VM erkannt. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen. Niedrig Wirkung

Eine vollständige Liste der Warnungen finden Sie in der Referenztabelle für alle Sicherheitswarnungen in Microsoft Defender for Cloud.

Unterstützung für die Deaktivierung bestimmter Sicherheitsrisikobewertungen

9. Juli 2023

Freigabe der Unterstützung für die Deaktivierung von Sicherheitsrisikobewertungen für Ihre Containerregistrierungsimages oder ausgeführten Images als Teil des Containerstatus ohne Agent. Wenn in Ihrer Organisation eine Sicherheitsrisikobewertung ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung oder erzeugen kein unerwünschtes Rauschen.

Weitere Informationen zum Deaktivieren von Sicherheitsrisikobewertungen für Containerregistrierungsimages.

Datenfähiger Sicherheitsstatus jetzt allgemein verfügbar

1. Juli 2023

Der datenfähige Sicherheitsstatus in Microsoft Defender for Cloud ist jetzt allgemein verfügbar. Er hilft Kund*innen, das Datenrisiko zu reduzieren und auf Datenschutzverletzungen zu reagieren. Mithilfe des datenfähigen Sicherheitsstatus können Sie Folgendes ausführen:

  • Ermitteln Sie vertrauliche Datenressourcen automatisch in mehreren Azure und AWS.
  • Werten Sie die Datenvertraulichkeit, die Offenlegung von Daten und den Datenfluss in der Organisation aus.
  • Decken Sie proaktiv und kontinuierlich Risiken auf, die zu Datenschutzverletzungen führen könnten.
  • Erkennen Sie verdächtige Aktivitäten, die auf laufende Bedrohungen für vertrauliche Datenressourcen hinweisen könnten.

Weitere Informationen finden Sie unter Datenfähiger Sicherheitsstatus in Microsoft Defender for Cloud.

Juni 2023

Zu den Updates im Juni gehören:

Date Aktualisieren
26. Juni Optimiertes Onboarding von Multicloudkonten mit erweiterten Einstellungen
25. Juni Unterstützung für private Endpunkte für schadsoftwareüberprüfung in Defender for Storage
15. Juni Steuerelementaktualisierungen an den NIST 800-53-Standards zur Einhaltung gesetzlicher Bestimmungen
11. Juni Die Planung der Cloudmigration mit einem Azure Migrate-Geschäftsszenario umfasst jetzt Defender for Cloud.
7. Juni Die Expresskonfiguration für Sicherheitsrisikobewertungen in Defender for SQL ist jetzt allgemein verfügbar.
6. Juni Vorhandene Azure DevOps-Connectors um weitere Bereiche ergänzt
4. Juni Ersetzen der Agent-basierten Ermittlung durch Ermittlung ohne Agent für Containerfunktionen in Defender CSPM

Optimiertes Onboarding von Multicloudkonten mit erweiterten Einstellungen

26. Juni 2023

Defender for Cloud hat das Onboarding verbessert und enthält jetzt eine neue optimierte Benutzeroberfläche und Anweisungen sowie neue Funktionen, mit denen Sie Ihre AWS- und GCP-Umgebungen integrieren und gleichzeitig Zugriff auf erweiterte Onboardingfeatures bereitstellen können.

Für Organisationen, die Hashicorp Terraform für die Automatisierung eingeführt haben, bietet Defender for Cloud jetzt die Möglichkeit, Terraform als Bereitstellungsmethode zusammen mit AWS CloudFormation oder GCP Cloud Shell zu verwenden. Sie können jetzt die erforderlichen Rollennamen beim Erstellen der Integration anpassen. Außerdem steht Folgendes zur Auswahl:

  • Standardzugriff: Ermöglicht es Defender for Cloud, Ihre Ressourcen zu überprüfen, und enthält automatisch zukünftige Funktionen.

  • Zugriff mit den geringsten Rechten: Gewährt Defender for Cloud nur Zugriff auf die aktuellen Berechtigungen, die für die ausgewählten Pläne erforderlich sind.

Wenn Sie die Berechtigungen mit den geringsten Rechten auswählen, erhalten Sie nur Benachrichtigungen zu allen neuen Rollen und Berechtigungen, die erforderlich sind, um den vollständigen Funktionsumfang in Connectorintegrität zu erhalten.

Mit Defender for Cloud können Sie Ihre Cloudkonten anhand ihrer nativen Namen von den Cloudanbietern unterscheiden. Beispielsweise AWS-Kontoaliase und GCP-Projektnamen.

Unterstützung für private Endpunkte für schadsoftwareüberprüfung in Defender for Storage

25. Juni 2023

Die Unterstützung für private Endpunkte ist jetzt als Teil der öffentlichen Vorschau der Schadsoftwareüberprüfung in Defender für Speicher verfügbar. Diese Funktion ermöglicht das Aktivieren der Schadsoftwareüberprüfung auf Speicherkonten, die private Endpunkte verwenden. Es ist keine weitere Konfiguration erforderlich.

Die Schadsoftwareüberprüfung (Vorschau) in Defender for Storage trägt dazu bei, Ihre Speicherkonten vor bösartigen Inhalten zu schützen, indem sie eine vollständige Malware-Überprüfung auf hochgeladene Inhalte in nahezu Echtzeit mithilfe von Microsoft Defender Antivirus-Funktionen durchführen. Diese Funktion wurde entwickelt, um Sicherheits- und Complianceanforderungen für die Verarbeitung von nicht vertrauenswürdigen Inhalten zu erfüllen. Die Funktion ist eine SaaS-Lösung ohne Agent, die eine einfache Einrichtung im großen Stil ohne Wartungsaufwand ermöglicht und die Automatisierung von Reaktionen im großen Stil unterstützt.

Private Endpunkte bieten sichere Konnektivität mit Ihren Azure Storage-Diensten und eliminieren die Exposition gegenüber dem öffentlichen Internet effektiv. Sie gelten als eine bewährte Sicherheitsmethode.

Für Speicherkonten mit privaten Endpunkten mit bereits aktivierter Schadsoftwareüberprüfung müssen Sie den Plan mit Schadsoftwareüberprüfung deaktivieren und aktivieren, damit dies funktioniert.

Erfahren Sie mehr über die Verwendung privater Endpunkte in Defender for Storage und darüber, wie Sie Ihre Speicherdienste noch sicherer machen können.

Empfehlung für die Vorschau veröffentlicht: Ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management)

21. Juni 2023

Für die Vorschau wird eine neue Containerempfehlung in Defender CSPM veröffentlicht, die von Microsoft Defender Vulnerability Management unterstützt wird:

Empfehlung BESCHREIBUNG Bewertungsschlüssel
Ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management)(Vorschau) Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Diese neue Empfehlung soll die aktuelle Empfehlung mit dem gleichen Namen ersetzen, die von Qualys unterstützt wird, nur in Defender CSPM (ersetzt den Bewertungsschlüssel 41503391-efa5-47ee-9282-4eff6131462c).

Kontrollaktualisierungen an den NIST 800-53-Standards zur Einhaltung gesetzlicher Bestimmungen

15. Juni 2023

Die Standards NIST 800-53 (sowohl R4 als auch R5) wurden kürzlich mit Kontrolländerungen in Microsoft Defender for Cloud für die Einhaltung gesetzlicher Bestimmungen aktualisiert. Die von Microsoft verwalteten Kontrollen wurden aus dem Standard entfernt, und die Informationen zur Microsoft-Implementierung der Verantwortung (als Teil des Modells der gemeinsamen Verantwortung in der Cloud) sind jetzt nur im Bereich mit den Kontrolldetails unter Microsoft-Aktionen verfügbar.

Diese Kontrollen wurden zuvor als bestandene Kontrollen berechnet, so dass Sie zwischen April 2023 und Mai 2023 möglicherweise einen deutlichen Rückgang Ihrer Konformitätsbewertung für NIST-Standards feststellen werden.

Weitere Informationen zu Konformitätskontrollen finden Sie unter Tutorial: Überprüfungen der Einhaltung gesetzlicher Bestimmungen – Microsoft Defender for Cloud.

Die Planung der Cloudmigration mit einem Azure Migrate-Geschäftsszenario umfasst jetzt Defender for Cloud.

11. Juni 2023

Jetzt können Sie potenzielle Kosteneinsparungen bei der Sicherheit ermitteln, indem Sie Defender for Cloud im Kontext eines Azure Migrate-Geschäftsszenarios anwenden.

Die Expresskonfiguration für Sicherheitsrisikobewertungen in Defender for SQL ist jetzt allgemein verfügbar.

7. Juni 2023

Die Expresskonfiguration für Sicherheitsrisikobewertungen in Defender for SQL ist jetzt allgemein verfügbar. Die Express-Konfiguration bietet ein optimiertes Onboarding für SQL-Sicherheitsrisikobewertungen mithilfe einer 1-Klick-Konfiguration (oder eines API-Aufrufs). Es sind keine zusätzlichen Einstellungen oder Abhängigkeiten von verwalteten Speicherkonten erforderlich.

Weitere Informationen zu dieser Lösung finden Sie in diesem Blog.

Sie können die Unterschiede zwischen Expresskonfiguration und klassischer Konfiguration kennenlernen.

Vorhandene Azure DevOps-Connectors um weitere Bereiche ergänzt

6. Juni 2023

Defender for DevOps hat der ADO-Anwendung (Azure DevOps) die folgenden zusätzlichen Bereiche hinzugefügt:

  • Advanced Security-Verwaltung: vso.advsec_manage. Dies ist erforderlich, damit Sie GitHub Advanced Security für ADO aktivieren, deaktivieren und verwalten können.

  • Containerzuordnung: vso.extension_manage, vso.gallery_manager; dies ist erforderlich, damit Sie die Decorator-Erweiterung für die ADO-Organisation freigeben können.

Nur Defender for DevOps-Neukund*innen, die versuchen, ADO-Ressourcen in Microsoft Defender for Cloud zu integrieren, sind von dieser Änderung betroffen.

Das direkte Onboarding (ohne Azure Arc) in Defender for Servers ist jetzt allgemein verfügbar.

5. Juni 2023

Bisher war Azure Arc für das Onboarding von Nicht-Azure-Servern in Defender for Servers erforderlich. Mit dem neuesten Release können Sie jedoch auch das Onboarding Ihrer lokalen Server in Defender for Servers durchführen, indem Sie nur den Microsoft Defender for Endpoint-Agent verwenden.

Diese neue Methode vereinfacht den Onboardingprozess für Kunden, die sich auf den Kernendpunktschutz konzentrieren, und ermöglicht Es Ihnen, die nutzungsbasierte Abrechnung von Defender für Server sowohl für Cloud- als auch für Nichtcloudressourcen zu nutzen. Die Option für direktes Onboarding über Defender for Endpoint ist jetzt verfügbar, wobei die Abrechnung für Computer, für die ein Onboarding durchgeführt wurde, ab dem 1. Juli beginnt.

Weitere Informationen finden Sie unter Verbinden von Nicht-Azure-Computern mit Microsoft Defender for Cloud mithilfe von Defender for Endpoint.

Ersetzen der Agent-basierten Ermittlung durch Ermittlung ohne Agent für Containerfunktionen in Defender CSPM

4. Juni 2023

Da in Defender CSPM Funktionen für Containerstatus ohne Agent verfügbar sind, sind die agentbasierten Ermittlungsfunktionen jetzt eingestellt worden. Wenn Sie derzeit Containerfunktionen innerhalb Defender CSPM verwenden, stellen Sie bitte sicher, dass die relevanten Erweiterungen aktiviert sind, um weiterhin containerbezogene Werte der neuen Funktionen ohne Agent zu erhalten, z. B. containerbezogene Angriffspfade, Erkenntnisse und Inventar. (Es kann bis zu 24 Stunden dauern, bis die Auswirkungen der Aktivierung der Erweiterungen angezeigt werden.)

Erfahren Sie mehr über den Containerstatus ohne Agent.

Mai 2023

Zu den Updates im Mai gehören:

Neue Warnung in Defender für Key Vault

Warnung (Warnungstyp) Beschreibung MITRE-Taktiken Schweregrad
Ungewöhnlicher Zugriff auf den Schlüsseltresor von einer verdächtigen IP-Adresse (nicht von Microsoft oder extern)
(KV_UnusualAccessSuspiciousIP)
Ein Benutzer oder Dienstprinzipal hat in den letzten 24 Stunden von einer Nicht-Microsoft-IP-Adresse aus einen anomalen Zugriff auf Schlüsseltresore versucht. Dieses anomale Zugriffsmuster könnte eine legitime Aktivität sein. Dies könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Schlüsseltresor und den darin enthaltenen Geheimnissen zu verschaffen. Weitere Untersuchungen werden empfohlen. Zugriff auf Anmeldeinformationen Medium

Informationen zu allen verfügbaren Warnungen finden Sie unter Warnungen für Azure Key Vault.

Überprüfung ohne Agent unterstützt jetzt verschlüsselte Datenträger in AWS

Die Überprüfung ohne Agent für virtuelle Computer unterstützt jetzt die Verarbeitung von Instanzen mit verschlüsselten Datenträgern in AWS mithilfe von kundenseitig und plattformseitig verwalteten Schlüsseln.

Dieser erweiterte Support erhöht die Abdeckung und Sichtbarkeit Ihrer Cloudumgebung, ohne dass sich dies auf Ihre ausgeführten Workloads auswirkt. Der Support für verschlüsselte Datenträger behält die gleiche Methode ohne Auswirkungen auf ausgeführte Instanzen bei.

  • Für neue Kunden, die Überprüfungen ohne Agent in AWS aktivieren, ist die Abdeckung verschlüsselter Datenträger standardmäßig integriert und unterstützt.
  • Für Bestandskund*innen, die bereits über einen AWS-Connector mit aktivierter Überprüfung ohne Agent verfügen, müssen Sie den CloudFormation-Stapel erneut auf Ihre integrierten AWS-Konten anwenden, um die neuen Berechtigungen zu aktualisieren und hinzuzufügen, die zum Verarbeiten verschlüsselter Datenträger erforderlich sind. Die aktualisierte CloudFormation-Vorlage enthält neue Zuweisungen, mit denen Defender for Cloud verschlüsselte Datenträger verarbeiten kann.

Erhalten Sie weitere Informationen zu den Berechtigungen, die zum Überprüfen von AWS-Instanzen verwendet werden.

So wenden Sie Ihren CloudFormation-Stapel erneut an:

  1. Wechseln Sie zu den Defender for Cloud-Umgebungseinstellungen, und öffnen Sie Ihren AWS-Connector.
  2. Navigieren Sie zur Registerkarte Zugriff konfigurieren.
  3. Wählen Sie Klicken Sie hier, um die CloudFormation-Vorlage herunterzuladen aus.
  4. Navigieren Sie zu Ihrer AWS-Umgebung, und wenden Sie die aktualisierte Vorlage an.

Erfahren Sie mehr über die Überprüfung ohne Agent und das Aktivieren von Überprüfungen ohne Agent in AWS.

Überarbeitete Namenskonventionen für JIT(Just-In-Time)-Regeln in Defender for Cloud

Wir haben die JIT(Just-In-Time)-Regeln überarbeitet, um sie an der Marke „Microsoft Defender for Cloud“ auszurichten. Wir haben die Namenskonventionen für Azure Firewall- und NSG(Netzwerksicherheitsgruppen)-Regeln geändert.

Die Änderungen sind wie folgt aufgeführt:

Beschreibung Alter Name Neuer Name
JIT-Regelnamen (zulassen und verweigern) in NSG (Netzwerksicherheitsgruppe) SecurityCenter-JITRule MicrosoftDefenderForCloud-JITRule
JIT-Regelbeschreibungen in NSG ASC-JIT-Netzwerkzugriffsregel MDC-JIT-Netzwerkzugriffsregel
Namen der JIT-Firewallregelsammlung ASC-JIT MDC-JIT
Namen von JIT-Firewallregeln ASC-JIT MDC-JIT

Weitere Informationen finden Sie unter Sichern Ihrer Verwaltungsports mit Just-in-Time-Zugriff.

Onboarding ausgewählter AWS-Regionen

Um Ihnen bei der Verwaltung Ihrer AWS CloudTrail-Kosten und Complianceanforderungen zu helfen, können Sie jetzt auswählen, welche AWS-Regionen beim Hinzufügen oder Bearbeiten eines Cloudconnectors überprüft werden sollen. Sie können jetzt ausgewählte bestimmte AWS-Regionen oder alle verfügbaren Regionen (Standard) überprüfen, wenn Sie Ihr AWS-Konto in Defender for Cloud integrieren. Weitere Informationen finden Sie unter Verbinden Ihrer AWS-Konten mit Microsoft Defender for Cloud.

Mehrere Änderungen an Identitätsempfehlungen

Die folgenden Empfehlungen werden jetzt für die Allgemeinheit veröffentlicht und ersetzen die V1-Empfehlungen, die jetzt veraltet sind.

Allgemeine Verfügbarkeit (GA)-Release der Identitätsempfehlungen V2

Mit der V2-Version von Identitätsempfehlungen werden die folgenden Verbesserungen eingeführt:

  • Der Bereich der Überprüfung wurde erweitert, um alle Azure-Ressourcen und nicht nur Abonnements einzuschließen. Dadurch können Sicherheitsadministratoren Rollenzuweisungen pro Konto anzeigen.
  • Bestimmte Konten können jetzt von der Auswertung ausgenommen werden. Beispielsweise können Konten für den Notfallzugriff oder Dienstkonten von Sicherheitsadministratoren ausgeschlossen werden.
  • Die Überprüfungshäufigkeit wurde von 24 Stunden auf 12 Stunden erhöht, wodurch sichergestellt wird, dass die Identitätsempfehlungen aktueller und genauer sind.

Die folgenden Sicherheitsempfehlungen sind allgemein verfügbar und ersetzen die V1-Empfehlungen:

Empfehlung Bewertungsschlüssel
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein 6240402e-f77c-46fa-9060-a7ce53997754
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein c0cb17b2-0607-48a7-b0e0-903ed22de39b
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. 20606e75-05c4-48c0-9d97-add6daa2109a
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden 050ac097-3dda-4d24-ab6d-82568e7a50cf
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Veralterung von Identitätsempfehlungen V1

Die folgenden Sicherheitsempfehlungen sind jetzt veraltet:

Empfehlung Bewertungsschlüssel
MFA sollte für Konten mit Besitzerberechtigungen für Abonnements aktiviert werden. 94290b00-4d0c-d7b4-7cea-064a9554e681
MFA sollte für Konten mit Schreibberechtigungen für Abonnements aktiviert werden. 57e98606-6b1e-6193-0e3d-fe621387c16b
MFA sollte für Konten mit Leseberechtigungen für Abonnements aktiviert werden. 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
Externe Konten mit Besitzerberechtigungen sollten aus Abonnements entfernt werden. c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
Externe Konten mit Schreibberechtigungen sollten aus Abonnements entfernt werden. 04e7147b-0deb-9796-2e5c-0336343ceb3d
Externe Konten mit Leseberechtigungen sollten aus Abonnements entfernt werden. a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
Veraltete Konten mit Besitzerberechtigungen sollten aus Abonnements entfernt werden. e52064aa-6853-e252-a11e-dffc675689c2
Veraltete Konten müssen aus Abonnements entfernt werden. 00c6d40b-e990-6acf-d4f3-471e747a27c4

Es wird empfohlen, benutzerdefinierte Skripts, Workflows und Governanceregeln zu aktualisieren, damit sie den V2-Empfehlungen entsprechen.

Einstellung der Legacystandards im Compliance-Dashboard

Legacy-PCI-DSS v3.2.1 und Legacy-SOC-TSP wurden im Defender for Cloud-Compliance-Dashboard vollständig eingestellt und durch die Compliancestandards ersetzt, die auf der Initiative SOC 2 Typ 2 und PCI-DSS v4 basieren. Die Unterstützung des Standards / der Initiative PCI-DSS in Microsoft Azure, betrieben von 21Vianet wurde vollständig eingestellt.

Erfahren Sie mehr über das Anpassen der Gruppe von Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.

Defender für DevOps umfasst Azure DevOps-Scanergebnisse

Defender for DevOps Code und IaC haben ihre Empfehlungsabdeckung in Microsoft Defender for Cloud erweitert, um Azure DevOps-Sicherheitsergebnisse für die folgenden beiden Empfehlungen einzubeziehen:

  • Code repositories should have code scanning findings resolved

  • Code repositories should have infrastructure as code scanning findings resolved

Bisher umfasste die Abdeckung für die Azure DevOps-Sicherheitsüberprüfung nur die Empfehlung für Geheimnisse.

Weitere Informationen zu Defender for DevOps

Neue Standardeinstellung für die Lösung zur Sicherheitsrisikobewertung in Defender for Servers

Lösungen zur Sicherheitsrisikobewertung (VA) sind unerlässlich, um Computer vor Cyberangriffen und Datenschutzverletzungen zu schützen.

Microsoft Defender Vulnerability Management ist jetzt als standardmäßige integrierte Lösung für alle Abonnements aktiviert, die von Defender für Server geschützt sind, die noch keine VA-Lösung ausgewählt haben.

Wenn für ein Abonnement eine VA-Lösung auf einem seiner virtuellen Computer aktiviert ist, werden keine Änderungen vorgenommen, und die Sicherheitsrisikoverwaltung von Microsoft Defender wird für die verbleibenden virtuellen Computer in diesem Abonnement nicht standardmäßig aktiviert. Sie können eine VA-Lösung auf den verbleibenden VMs in Ihren Abonnements aktivieren.

Erfahren Sie, wie Sie Sicherheitsrisiken ermitteln und den Softwarebestand mit agentloser Überprüfung (Vorschau) erfassen.

Herunterladen eines CSV-Berichts der Abfrageergebnisse Ihres Cloudsicherheits-Explorers (Vorschau)

Defender for Cloud hat die Möglichkeit hinzugefügt, einen CSV-Bericht der Abfrageergebnisse Ihres Cloudsicherheits-Explorers herunterzuladen.

Nachdem Sie eine Suche nach einer Abfrage ausgeführt haben, können Sie auf der Seite Cloudsicherheits-Explorer in Defender for Cloud die Schaltfläche CSV-Bericht herunterladen (Vorschau) auswählen.

Informationen zum Erstellen von Abfragen mit dem Cloudsicherheits-Explorer

Die Veröffentlichung der Sicherheitsrisikobewertung von Containern mit microsoft Defender Vulnerability Management

Wir kündigen die Veröffentlichung der Sicherheitsrisikobewertung für Linux-Images in Azure-Containerregistrierungen an, die von Microsoft Defender Vulnerability Management in Defender CSPM unterstützt werden. Diese Version umfasst das tägliche Scannen von Images. Im Sicherheits-Explorer verwendete Ergebnisse und Angriffspfade basieren auf der Microsoft Defender-Sicherheitsrisikobewertung anstelle des Qualys-Scanners.

Die bestehende Empfehlung wird durch eine neue Empfehlung Container registry images should have vulnerability findings resolved ersetzt:

Empfehlung BESCHREIBUNG Bewertungsschlüssel
Containerregistrierungsimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. dbd0cb49-b563-45e7-9724-889e799fa648 wird durch c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 ersetzt.

Erfahren Sie mehr über den Haltungsstatus von Agentless-Containern in Defender CSPM.

Erfahren Sie mehr über microsoft Defender Vulnerability Management.

Umbenennung von Containerempfehlungen, die von Qualys unterstützt werden

Die aktuellen Containerempfehlungen in Defender for Containers werden wie folgt umbenannt:

Empfehlung BESCHREIBUNG Bewertungsschlüssel
Sicherheitsrisiken bei Images für die Containerregistrierung sollten behoben werden (unterstützt von Qualys) Die Sicherheitsrisikobewertung für Containerimages scannt Ihre Registrierung auf Sicherheitsrisiken und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. dbd0cb49-b563-45e7-9724-889e799fa648
Ausgeführte Containerimages sollten Sicherheitsrisikoergebnisse behoben haben (unterstützt von Qualys) Die Sicherheitsrisikobewertung für Containerimages scannt Containerimages, die auf Ihren Kubernetes-Clustern ausgeführt werden, und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. 41503391-efa5-47ee-9282-4eff6131462c

GitHub-Anwendungsupdate für Defender for DevOps

Microsoft Defender for DevOps nimmt ständig Änderungen und Aktualisierungen vor, so dass Kunden von Defender for DevOps, die ihre GitHub-Umgebungen in Defender for Cloud eingebunden haben, Berechtigungen als Teil der in ihrer GitHub-Organisation bereitgestellten Anwendung zur Verfügung stellen müssen. Diese Berechtigungen sind notwendig, um sicherzustellen, dass alle Sicherheitsfunktionen von Defender for DevOps normal und ohne Probleme funktionieren.

Sie sollten die Berechtigungen so bald wie möglich aktualisieren, damit Sie weiterhin Zugriff auf alle verfügbaren Funktionen von Defender for DevOps haben.

Berechtigungen können auf zwei verschiedene Arten erteilt werden:

  • Wählen Sie in Ihrer Organisation GitHub Apps aus. Suchen Sie Ihre Organisation und wählen Sie Anforderung überprüfen aus.

  • Sie erhalten eine automatisierte E-Mail vom GitHub-Support. Wählen Sie in der E-Mail die Option Berechtigungsanforderung überprüfen, um diese Änderung zu akzeptieren oder abzulehnen.

Nachdem Sie eine dieser beiden Optionen gewählt haben, werden Sie zum Überprüfungsbildschirm weitergeleitet, wo Sie die Anforderung überprüfen sollten. Wählen Sie die Option Neue Berechtigungen annehmen, um die Anforderung zu genehmigen.

Wenn Sie Unterstützung beim Aktualisieren von Berechtigungen benötigen, können Sie eine Azure-Support Anforderung erstellen.

Sie können auch mehr über Defender for DevOps erfahren. Wenn für ein Abonnement eine VA-Lösung auf einem seiner virtuellen Computer aktiviert ist, werden keine Änderungen vorgenommen, und die Sicherheitsrisikoverwaltung von Microsoft Defender wird für die verbleibenden virtuellen Computer in diesem Abonnement nicht standardmäßig aktiviert. Sie können eine VA-Lösung auf den verbleibenden VMs in Ihren Abonnements aktivieren.

Erfahren Sie, wie Sie Sicherheitsrisiken ermitteln und den Softwarebestand mit agentloser Überprüfung (Vorschau) erfassen.

Defender for DevOps-Pull Request-Anmerkungen in Azure DevOps-Repositorys enthalten jetzt Infrastructure-as-Code-Fehlkonfigurationen.

Defender for DevOps hat die Abdeckung von Pull-Anforderungen (PR) in Azure DevOps um Infrastructure-as-Code (IaC)-Fehlkonfigurationen erweitert, die in Azure Resource Manager- und Bicep-Vorlagen erkannt werden.

Entwickler können jetzt Anmerkungen für IaC-Fehlkonfigurationen direkt in ihren PRs anzeigen. Entwickler können auch kritische Sicherheitsprobleme beheben, bevor die Infrastruktur in Cloudworkloads bereitgestellt wird. Um die Wartung zu vereinfachen, werden den Entwicklern in jeder Anmerkung ein Schweregrad, eine Beschreibung der Fehlkonfiguration und Anweisungen zur Wartung angezeigt.

Zuvor umfasste die Abdeckung für Defender for DevOps PR-Anmerkungen in Azure DevOps nur Geheimnisse.

Erfahren Sie mehr über Defender for DevOps und Pull Request-Anmerkungen.

April 2023

Zu den Updates im April gehören:

Containerstatus ohne Agent in Defender CSPM (Vorschau)

Die neuen Funktionen für den Containerstatus ohne Agent (Vorschau) sind als Teil des Defender CSPM(Cloud Security Posture Management)-Plans verfügbar.

Der Containerstatus ohne Agent ermöglicht es Sicherheitsteams, Sicherheitsrisiken in Containern und Kubernetes-Bereichen zu identifizieren. Ein Ansatz ohne Agent ermöglicht es Sicherheitsteams, Einblick in ihre Kubernetes- und Containerregistrierungen in SDLC und Runtime zu erhalten, wodurch die Reibung und der Speicherbedarf von Workloads verringert werden.

Der Containerstatus ohne Agent bietet Sicherheitsrisikobewertungen für Container, die es Sicherheitsteams in Kombination mit der Analyse des Angriffspfads ermöglichen, bestimmte Sicherheitsrisiken in Bezug auf Container zu priorisieren und näher zu betrachten. Sie können auch den Cloud-Sicherheits-Explorer verwenden, um Risiken aufzudecken und Erkenntnisse zum Containerstatus zu ermitteln, z. B. Ermittlung von Anwendungen, die anfällige Images ausführen oder im Internet verfügbar gemacht werden.

Weitere Informationen finden Sie unter Containerstatus ohne Agent (Vorschau).

Unified Disk Encryption-Empfehlung (Vorschau)

Es gibt neue Empfehlungen für die einheitliche Datenträgerverschlüsselung in der Vorschau.

  • Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
  • Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.

Diese Empfehlungen ersetzen die EmpfehlungVirtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, die die Azure Disk Encryption erkannt hat, und die Richtlinie Virtual machines and virtual machine scale sets should have encryption at host enabled, die die EncryptionAtHost erkannt hat. ADE und EncryptionAtHost bieten eine vergleichbare Verschlüsselung bei der Testabdeckung, und es wird empfohlen, eine davon auf jedem virtuellen Computer zu aktivieren. Die neuen Empfehlungen erkennen, ob Azure Disk Encryption oder EncryptionAtHost aktiviert sind, und warnen nur, wenn keine aktiviert ist. Es wird ebenfalls gewarnt, wenn Azure Disk Encryption auf einigen, aber nicht auf allen Datenträgern eines virtuellen Computers aktiviert ist (diese Bedingung gilt nicht für EncryptionAtHost).

Die neuen Empfehlungen erfordern die Computerkonfiguration von Azure Automanage.

Diese Empfehlungen basieren auf den folgenden Richtlinien:

Weitere Informationen finden Sie unter Azure Disk Encryption und EncryptionAtHost und wie Sie eine davon aktivieren.

Änderungen an der Empfehlung „Computer müssen sicher konfiguriert sein“

Die Empfehlung Machines should be configured securely wurde aktualisiert. Das Update verbessert die Leistung und Stabilität der Empfehlung und richtet die Erfahrung am allgemeinen Verhalten der Empfehlungen von Defender for Cloud aus.

Als Teil dieses Updates wurde die ID der Empfehlung von 181ac480-f7c4-544b-9865-11b8ffe87f47 in c476dc48-8110-4139-91af-c8d940896b98 geändert.

Auf Kundenseite ist keine Aktion erforderlich, und es gibt keine erwarteten Auswirkungen auf die Sicherheitsbewertung.

Einstellung von Richtlinien zur Sprachüberwachung für App Service

Die folgenden Richtlinien zur Sprachüberwachung für App Service wurden aufgrund dessen als veraltet gekennzeichnet, da sie falsch negative Ergebnisse generieren können und keine bessere Sicherheit bieten. Sie sollten immer sicherstellen, dass Sie eine Sprachversion ohne bekannte Sicherheitsrisiken verwenden.

Richtlinienname Richtlinien-ID
App Service-Apps, die Java verwenden, sollten die neueste „Java-Version“ verwenden 496223c3-ad65-4ecd-878a-bae78737e9ed
App Service-Apps, die Python verwenden, sollten die neueste „Python-Version“ verwenden 7008174a-fd10-4ef0-817e-fc820a951d73
Funktions-Apps, die Java verwenden, sollten die neueste „Java-Version“ verwenden 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
Funktions-Apps, die Python verwenden, sollten die neueste „Python-Version“ verwenden 7238174a-fd10-4ef0-817e-fc820a951d73
App Service-Apps, die PHP verwenden, sollten die neueste „PHP-Version“ verwenden 7261b898-8a84-4db8-9e04-18527132abb3

Kunden können alternative integrierte Richtlinien verwenden, um jede angegebene Sprachversion für ihre App Services zu überwachen.

Diese Richtlinien sind nicht mehr in den integrierten Empfehlungen von Defender for Cloud verfügbar. Sie können sie als benutzerdefinierte Empfehlungen hinzufügen, um sie von Defender for Cloud überwachen zu lassen.

Neue Warnung in Defender for Resource Manager

Defender for Resource Manager liegt die folgende neue Warnung vor:

Warnung (Warnungstyp) Beschreibung MITRE-Taktiken severity
VORSCHAU – Verdächtige Erstellung von Compute-Ressourcen erkannt
(ARM_SuspiciousComputeCreation)
Microsoft Defender for Resource Manager identifiziert eine verdächtige Erstellung von Compute-Ressourcen in Ihrem Abonnement mithilfe von virtuellen Computern/Azure-Skalierungsgruppen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können, indem sie bei Bedarf neue Ressourcen bereitstellen. Obwohl diese Aktivität legitim sein könnte, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um Cryptomining durchzuführen.
Die Aktivität wird als verdächtig eingestuft, da die Skalierung der Compute-Ressourcen höher ist als zuvor im Abonnement beobachtet.
Dies kann darauf hinweisen, dass der Prinzipal kompromittiert ist und mit böswilliger Absicht benutzt wird.
Wirkung Medium

Sie können eine Liste aller für Resource Manager verfügbaren Warnungen anzeigen.

Drei Warnungen im Defender for Resource Manager-Plan wurden als veraltet gekennzeichnet

Die folgenden drei Warnungen im Defender for Resource Manager-Plan wurden als veraltet gekennzeichnet:

  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

In einem Szenario, in dem eine Aktivität von einer verdächtigen IP-Adresse erkannt wird, wird eine der folgenden Warnungen des Defender for Resource Manager-Plans angezeigt: Azure Resource Manager operation from suspicious IP address oder Azure Resource Manager operation from suspicious proxy IP address.

Der automatische Export von Warnungen in den Log Analytics-Arbeitsbereich wurde als veraltet gekennzeichnet

Defender for Cloud-Sicherheitswarnungen werden automatisch in einen standardmäßigen Log Analytics-Arbeitsbereich auf Ressourcenebene exportiert. Dies führt zu einem indeterministischen Verhalten, und daher wurde dieses Feature als veraltet gekennzeichnet.

Sie können stattdessen Ihre Sicherheitswarnungen mit dem Fortlaufenden Export in einen dedizierten Log Analytics-Arbeitsbereich exportieren.

Wenn Sie bereits den fortlaufenden Export Ihrer Warnungen in einen Log Analytics-Arbeitsbereich konfiguriert haben, ist keine weitere Aktion erforderlich.

Einstellung und Verbesserung ausgewählter Warnungen für Windows- und Linux-Server

Im Rahmen der Verbesserung der Qualität von Sicherheitswarnungen für Defender for Servers werden einige Warnungen für Windows- und Linux-Server ausgemustert. Die veralteten Warnungen werden jetzt über Defender for Endpoint-Bedrohungswarnungen bezogen und abgedeckt.

Wenn Sie die Integration von Defender for Endpoint bereits aktiviert haben, sind keine weiteren Maßnahmen erforderlich. Im April 2023 kann es zu einem Rückgang der Warnungsmenge kommen.

Wenn Sie die Integration von Defender for Endpoint in Defender for Servers nicht aktiviert haben, müssen Sie die Defender for Endpoint-Integration aktivieren, um Ihre Warnungsabdeckung aufrechtzuerhalten und zu verbessern.

Alle Defender für Server-Kunden haben vollzugriff auf die Integration von Defender für Endpunkt als Teil des Defender for Servers-Plans.

Sie können sich ausführlicher über die Optionen für das Onboarding von Microsoft Defender for Endpoint informieren.

Sie können auch die vollständige Liste der Warnungen anzeigen, die als veraltet festgelegt sind.

Lesen Sie den Microsoft Defender for Cloud-Blog.

Wir haben vier neue Azure Active Directory-Authentifizierungsempfehlungen für Azure Data Services hinzugefügt.

Name der Empfehlung Beschreibung der Empfehlung Policy
Der Authentifizierungsmodus von Azure SQL Managed Instance darf nur die Azure Active Directory-Authentifizierung sein. Wenn Sie lokale Authentifizierungsmethoden deaktivieren und nur die Azure Active Directory-Authentifizierung zulassen, wird die Sicherheit erhöht, indem sichergestellt wird, dass auf Azure SQL Managed Instance ausschließlich von Azure Active Directory-Identitäten zugegriffen werden kann. Für Azure SQL Managed Instance darf nur die Azure Active Directory-Authentifizierung aktiviert sein
Der Authentifizierungsmodus von Azure Synapse Workspace darf nur die Azure Active Directory-Authentifizierung sein. Ausschließlich Azure Active Directory-Authentifizierungsmethoden verbessern die Sicherheit, indem sichergestellt wird, dass Synapse Workspaces ausschließlich Azure AD-Identitäten für die Authentifizierung erfordern. Weitere Informationen Synapse-Arbeitsbereiche sollten nur Azure Active Directory-Identitäten für die Authentifizierung verwenden
Für Azure Database for MySQL muss ein Azure Active Directory-Administrator bereitgestellt werden. Stellen Sie einen Azure AD-Administrator für Azure Database for MySQL bereit, um Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. Für MySQL Server-Instanzen sollte ein Azure Active Directory-Administrator bereitgestellt werden
Für Azure Database for PostgreSQL muss ein Azure Active Directory-Administrator bereitgestellt werden. Stellen Sie einen Azure AD-Administrator für Azure Database for PostgreSQL bereit, um Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. Für PostgreSQL Server-Instanzen sollte ein Azure Active Directory-Administrator bereitgestellt werden

Die Empfehlungen System updates should be installed on your machines (powered by Azure Update Manager) und Machines should be configured to periodically check for missing system updates wurden für die allgemeine Verfügbarkeit veröffentlicht.

Zur Verwendung der neuen Empfehlung müssen Sie die folgenden Schritte ausführen:

Nach Abschluss dieser Schritte können Sie die alte Empfehlung (System updates should be installed on your machines) entfernen, indem Sie sie in der integrierten Initiative von Defender for Cloud in der Azure-Richtlinie deaktivieren.

Die beiden Versionen der Empfehlungen:

Beide werden verfügbar sein, bis der Log Analytics-Agent am 31. August 2024 veraltet ist. Dies ist der Zeitpunkt, an dem auch die ältere Version (System updates should be installed on your machines) der Empfehlung veraltet ist. Beide Empfehlungen geben die gleichen Ergebnisse zurück und stehen unter demselben Steuerelement Apply system updates zur Verfügung.

Die neue Empfehlung System updates should be installed on your machines (powered by Azure Update Manager) verfügt über einen Wartungsflow, der über die Schaltfläche „Korrigieren“ verfügbar ist. Mit dieser können alle Ergebnisse über den Update-Manager (Vorschau) behoben werden. Dieser Korrekturvorgang befindet sich noch in der Vorschauphase.

Es wird nicht erwartet, dass die neue Empfehlung System updates should be installed on your machines (powered by Azure Update Manager) Ihre Sicherheitsbewertung beeinflusst, da sie die gleichen Ergebnisse wie die alte Empfehlung System updates should be installed on your machines liefert.

Die erforderliche Empfehlung (Aktivieren Sie die Eigenschaft für die regelmäßige Bewertung) wirkt sich negativ auf Ihre Sicherheitsbewertung aus. Sie können den negativen Effekt mit der verfügbaren Korrektur-Schaltfläche beheben.

Defender für APIs (Vorschau)

Defender for Cloud von Microsoft kündigt an, dass das neue Defender für APIs in der Vorschau verfügbar ist.

Defender für APIs bietet vollständigen Lebenszyklusschutz, Erkennung und Antwortabdeckung für APIs.

Defender für APIs hilft Ihnen, Einblicke in unternehmenskritische APIs zu erhalten. Sie können den API-Sicherheitsstatus untersuchen und verbessern, Sicherheitskorrekturen priorisieren und aktive Echtzeitbedrohungen schnell erkennen.

Hier finden Sie weitere Informationen zu Defender für APIs.

März 2023

Zu den Updates im März gehören:

Neuer Defender for Storage-Plan verfügbar, einschließlich Überprüfung auf Schadsoftware nahezu in Echtzeit und Bedrohungserkennung für vertrauliche Daten

Cloudspeicher spielt eine wichtige Rolle in der Organisation und speichert große Mengen wertvoller und vertraulicher Daten. Wir geben heute bekannt, dass es einen neuen Defender for Storage-Plan gibt. Wenn Sie den vorherigen Plan verwenden (jetzt in "Defender for Storage (klassisch)" umbenannt), müssen Sie proaktiv zum neuen Plan migrieren, um die neuen Features und Vorteile nutzen zu können.

Der neue Plan umfasst erweiterte Sicherheitsfunktionen zum Schutz vor böswilligen Dateiuploads, Exfiltration von vertraulichen Daten und Datenbeschädigung. Außerdem bietet er eine vorhersagbarere und flexiblere Preisstruktur für eine bessere Kontrolle über Abdeckung und Kosten.

Der neue Plan verfügt jetzt über neue Funktionen in der öffentlichen Vorschau:

  • Erkennen von Ereignissen zur Offenlegung und Exfiltration vertraulicher Daten

  • Überprüfung auf Schadsoftware beim Hochladen von Blobs nahezu in Echtzeit für alle Dateitypen

  • Erkennen von Entitäten ohne Identitäten mithilfe von SAS-Token

Diese Funktionen erweitern die vorhandene Aktivitätsüberwachungsfunktion, die auf der Protokollanalyse und Verhaltensmodellierung auf Steuerungs- und Datenebene basiert, um frühe Anzeichen von Sicherheitsverletzungen zu erkennen.

Alle diese Funktionen sind in einem neuen vorhersagbaren und flexiblen Preisplan verfügbar, der eine präzise Kontrolle über den Datenschutz auf Abonnement- und Ressourcenebene bietet.

Weitere Informationen finden Sie unter Übersicht zu Microsoft Defender for Storage.

Datenfähiger Sicherheitsstatus (Vorschau)

Microsoft Defender for Cloud hilft Sicherheitsteams dabei, Risiken besser zu reduzieren und auf Datenschutzverletzungen in der Cloud zu reagieren. Es ermöglicht ihnen, Stördaten mit Datenkontext zu reduzieren und die kritischsten Sicherheitsrisiken zu priorisieren, um kostspielige Datenverletzungen zu verhindern.

  • Automatisches Ermitteln von Datenressourcen in der gesamten Cloudumgebung und Bewerten ihrer Zugänglichkeit, Datenvertraulichkeit und konfigurierten Datenflüsse. –Kontinuierliches Aufdecken von Risiken für Datenschutzverletzungen bei vertraulichen Datenressourcen, Offenlegung oder Angriffspfaden, die mithilfe einer Lateral-Movement-Technik zu einer Datenressource führen können.
  • Erkennen Sie verdächtige Aktivitäten, die auf eine fortlaufende Bedrohung für vertrauliche Datenressourcen hinweisen könnten.

Erfahren Sie mehr über den datenfähigen Sicherheitsstatus.

Verbesserte Erfahrung für die Verwaltung der Azure-Standardsicherheitsrichtlinien

Wir führen eine verbesserte Azure-Sicherheitsrichtlinienverwaltung für integrierte Empfehlungen ein, die die Optimierung der Sicherheitsanforderungen für Defender for Cloud-Kunden vereinfacht. Die neue Benutzeroberfläche umfasst die folgenden neuen Funktionen:

  • Eine einfache Schnittstelle ermöglicht eine bessere Leistung und Benutzererfahrung beim Verwalten von Standardsicherheitsrichtlinien in Defender for Cloud.
  • Eine einzige Ansicht aller integrierten Sicherheitsempfehlungen, die von Microsoft Cloud Security Benchmark (ehemals Azure Security Benchmark) bereitgestellt werden. Empfehlungen sind in logische Gruppen unterteilt, sodass die abgedeckten Ressourcentypen und die Beziehung zwischen Parametern und Empfehlungen leichter zu verstehen sind.
  • Neue Features wie Filter und Suche wurden hinzugefügt.

Erfahren Sie mehr über das Verwalten von Sicherheitsrichtlinien.

Lesen Sie den Microsoft Defender for Cloud-Blog.

Defender for CSPM (Cloud Security Posture Management) ist jetzt allgemein verfügbar (GA)

Wir geben bekannt, dass Defender CSPM jetzt allgemein verfügbar ist. Defender for CSPM bietet alle Dienste, die unter den grundlegenden CSPM-Funktionen verfügbar sind, und zusätzlich die folgenden Vorteile:

  • Analyse des Angriffspfads und ARG-API: Die Analyse des Angriffspfads verwendet einen graphbasierten Algorithmus, der den Cloud-Sicherheitsgraphen überprüft, um Angriffspfade aufzudecken. Zudem werden Sie anhand von Empfehlungen darüber informiert, wie Sie Probleme am besten behandeln, um den Angriffspfad zu unterbrechen und ein erfolgreiches Eindringen zu verhindern. Sie können Angriffspfade auch programmgesteuert nutzen, indem Sie die ARG-API (Azure Resource Graph) abfragen. Erfahren Sie mehr über die Verwendung der Angriffspfadanalyse.
  • Cloudsicherheits-Explorer: Mit dem Cloudsicherheits-Explorer können Sie graphbasierte Abfragen für den Cloudsicherheitsgraphen ausführen, um Sicherheitsrisiken in Ihren Multicloudumgebungen proaktiv zu identifizieren. Informieren Sie sich ausführlicher über den Cloudsicherheits-Explorer.

Erfahren Sie mehr über Defender CSPM.

Option zum Erstellen benutzerdefinierter Empfehlungen und Sicherheitsstandards in Microsoft Defender for Cloud

Microsoft Defender for Cloud bietet die Möglichkeit, mithilfe von KQL-Abfragen benutzerdefinierte Empfehlungen und Standards für AWS und GCP zu erstellen. Sie können einen Abfrage-Editor verwenden, um Abfragen für Ihre Daten zu erstellen und zu testen. Dieses Feature ist Teil des Defender CSPM-Plans (Cloud Security Posture Management). Erfahren Sie mehr über das Erstellen von benutzerdefinierten Empfehlungen und Standards.

Microsoft Cloud Security Benchmark (MCSB) Version 1.0 jetzt allgemein verfügbar (GA)

Microsoft Defender for Cloud gibt bekannt, dass Microsoft Cloud Security Benchmark (MCSB) Version 1.0 jetzt allgemein verfügbar (GA) ist.

Microsoft Cloud Security Benchmark (MCSB) Version 1.0 ersetzt Azure Security Benchmark (ASB) Version 3 als Defender for Cloud-Standardsicherheitsrichtlinie. MCSB Version 1.0 wird als vorgegebener Konformitätsstandard im Konformitätsdashboard angezeigt und ist standardmäßig für alle Defender for Cloud-Kund*innen aktiviert.

Sie können auch mehr darüber erfahren, wie Microsoft Cloud Security Benchmark (MCSB) Sie auf dem erfolgreichen Weg zur Cloudsicherheit unterstützt.

Informieren Sie sich ausführlicher über MCSB.

Einige Standards für die Einhaltung gesetzlicher Bestimmungen sind jetzt in Government-Clouds verfügbar

Wir aktualisieren diese Standards für Kund*innen in Azure Government und Microsoft Azure, betrieben von 21Vianet.

Azure Government:

Microsoft Azure, betrieben von 21Vianet:

Erfahren Sie mehr über das Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.

Neue Vorschauempfehlung für Azure SQL Server

Wir haben eine neue Empfehlung für Azure SQL Server hinzugefügt: Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).

Die Empfehlung basiert auf der vorhandenen Richtlinie Azure SQL Database should have Azure Active Directory Only Authentication enabled

Diese Empfehlung deaktiviert lokale Authentifizierungsmethoden und lässt nur die Azure Active Directory-Authentifizierung zu, was die Sicherheit erhöht, indem sichergestellt wird, dass auf Azure SQL-Datenbank-Instanzen ausschließlich von Azure Active Directory-Identitäten zugegriffen werden kann.

Erfahren Sie mehr über das Erstellen eines Servers mit aktivierter reiner Azure AD-Authentifizierung in Azure SQL.

Neue Warnung in Defender für Key Vault

Defender für Key Vault liegt die folgende neue Warnung vor:

Warnung (Warnungstyp) Beschreibung MITRE-Taktiken severity
Zugriff auf einen Schlüsseltresor von einer verdächtigen IP-Adresse verweigert
(KV_SuspiciousIPAccessDenied)
Auf einen Schlüsseltresor ist ein erfolgloser Zugriffsversuch von einer IP-Adresse erfolgt, die von Microsoft Threat Intelligence als verdächtige IP-Adresse identifiziert wurde. Obwohl dieser Versuch nicht erfolgreich war, deutet dies darauf hin, dass Ihre Infrastruktur möglicherweise kompromittiert wurde. Weitere Untersuchungen werden empfohlen. Zugriff auf Anmeldeinformationen Niedrig

Sie können eine Liste aller für Key Vault verfügbaren Warnungen anzeigen.

Februar 2023

Updates im Februar:

Verbesserter Cloudsicherheits-Explorer

Eine verbesserte Version des Cloudsicherheits-Explorers umfasst eine aktualisierte Benutzeroberfläche, die die Reibungsverluste bei Abfragen deutlich verringert. Außerdem wurden eine Möglichkeit zum Ausführen von Abfragen für mehrere Clouds und mehrere Ressourcen sowie eine eingebettete Dokumentation für jede Abfrageoption hinzugefügt.

Mit dem Cloudsicherheits-Explorer können Sie jetzt cloudabstrakte Abfragen ressourcenübergreifend ausführen. Sie können entweder die vordefinierten Abfragevorlagen oder die benutzerdefinierte Suche verwenden, um Filter zum Erstellen Ihrer Abfrage anzuwenden. Erfahren Sie mehr über das Verwalten des Cloudsicherheits-Explorers.

Sicherheitsüberprüfungen von ausgeführten Linux-Images in Defender for Container sind jetzt allgemein verfügbar

Defender for Container erkennt Sicherheitsrisiken in ausgeführten Containern. Sowohl Windows- als auch Linux-Container werden unterstützt.

Im August 2022 wurde diese Funktion in der Vorschauversion für Windows und Linux veröffentlicht. Diese Funktion wird jetzt für Linux allgemein verfügbar gemacht.

Wenn Sicherheitsrisiken erkannt werden, generiert Defender for Cloud die folgende Sicherheitsempfehlung mit einer Auflistung der Überprüfungsergebnisse: Für ausgeführte Containerimages müssen erkannte Sicherheitsrisiken behoben werden.

Informieren Sie sich ausführlicher über das Anzeigen von Sicherheitsrisiken für zurzeit ausgeführte Images.

Ankündigung der Unterstützung für den AWS CIS 1.5.0-Compliancestandard

Defender for Cloud unterstützt jetzt den Compliancestandard CIS Amazon Web Services Foundations v1.5.0. Der Standard kann Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen hinzugefügt werden. Er basiert auf den vorhandenen MDC-Angeboten für Multicloudempfehlungen und -standards.

Dieser neue Standard umfasst sowohl vorhandene als auch neue Empfehlungen, die die Abdeckung von Defender for Cloud auf neue AWS-Dienste und -Ressourcen erweitern.

Weitere Informationen finden Sie unter Verwalten von AWS-Bewertungen und -Standards.

Microsoft Defender for DevOps (Vorschau) jetzt in weiteren Regionen verfügbar

Die Vorschauversion von Microsoft Defender for DevOps wurde ausgedehnt und ist jetzt in den Regionen „Europa, Westen“ und „Australien, Osten“ verfügbar, wenn Sie Ihre Azure DevOps- und GitHub-Ressourcen integrieren.

Erfahren Sie mehr zu Microsoft Defender for DevOps.

Die integrierte Richtlinie „[Vorschau]: Privater Endpunkt muss für Key Vault konfiguriert werden.“ ist veraltet.

Die integrierte Richtlinie [Preview]: Private endpoint should be configured for Key Vault ist veraltet und wird durch die Richtlinie [Preview]: Azure Key Vaults should use private link ersetzt.

Erfahren Sie mehr über die Integration von Azure Key Vault in Azure Policy.

Januar 2023

Die Updates im Januar umfassen Folgendes:

Auf die Komponente Endpoint Protection (Microsoft Defender for Endpoint) wird jetzt über die Seite „Einstellungen und Überwachung“ zugegriffen.

Um auf den Endpunktschutz zuzugreifen, navigieren Sie zu Umgebungseinstellungen>Defender-Pläne>Einstellungen und Überwachung. Von hier aus können Sie Endpunktschutz auf Ein festlegen. Sie können auch die anderen Komponenten anzeigen, die verwaltet werden.

Hier erfahren Sie mehr über das Aktivieren von Microsoft Defender for Endpoint auf Ihren Servern mit Defender for Servers.

Neue Version der Empfehlung zum Ermitteln fehlender Systemupdates (Vorschau)

Sie benötigen nicht länger einen Agent auf Ihren Azure-VMs und Azure Arc-Computern, um sicherzustellen, dass die Computer über sämtliche neuesten Sicherheitsupdates bzw. kritischen Systemupdates verfügen.

Die neue Empfehlung für Systemupdates, System updates should be installed on your machines (powered by Azure Update Manager) im Steuerelement Apply system updates, basiert auf dem Update Manager (Vorschau). Bei der Empfehlung wird ein nativer Agent, der in jeder Azure-VM und in jedem Azure Arc-Computer eingebettet ist, statt eines installierten Agents verwendet. Über die schnelle Problembehebung in der neuen Empfehlung werden Sie zu einer einmaligen Installation der fehlenden Updates im Portal des Update Managers weitergeleitet.

Zur Verwendung der neuen Empfehlung müssen Sie die folgenden Schritte ausführen:

  • Verbinden Sie Ihre Nicht-Azure-Computer mit Arc.
  • Aktivieren Sie die Eigenschaft „Periodische Bewertung“. Sie können die schnelle Problembehebung in der neuen Empfehlung verwenden (Machines should be configured to periodically check for missing system updates), um die Empfehlung zu beheben.

Die vorhandene Empfehlung „Auf Ihren Computern müssen Systemupdates installiert werden“, die auf dem Log Analytics-Agent basiert, steht weiterhin im selben Steuerelement zur Verfügung.

Bereinigen gelöschter Azure Arc-Computer in verbundenen AWS- und GCP-Konten

Ein Computer, der mit einem AWS- und GCP-Konto verbunden ist, das von Defender for Servers oder Defender for SQL auf Computern abgedeckt wird, wird in Defender for Cloud als Azure Arc-Computer dargestellt. Bis jetzt wurde dieser Computer beim Löschen aus dem AWS- oder GCP-Konto nicht aus dem Inventar gelöscht. Dies führt in Defender for Cloud zu unnötigen Azure Arc-Ressourcen, die gelöschte Computer darstellen.

Defender for Cloud löscht jetzt automatisch Azure Arc-Computer, wenn diese Computer im verbundenen AWS- oder GCP-Konto gelöscht werden.

Zulassen des fortlaufenden Exports in Event Hubs hinter einer Firewall

Sie können jetzt den fortlaufenden Export von Warnungen und Empfehlungen, die durch eine Azure-Firewall geschützt sind, als vertrauenswürdigen Dienst in Event Hubs aktivieren.

Sie können den fortlaufenden Export aktivieren, wenn die Warnungen oder Empfehlungen generiert werden. Sie können auch einen Zeitplan festlegen, um in regelmäßigen Abständen Momentaufnahmen aller neuen Daten zu senden.

Hier erfahren Sie, wie Sie den fortlaufenden Export in Event Hubs hinter einer Azure-Firewall aktivieren.

Der Name der Sicherheitsbewertungskontrolle „Anwendungen mit erweiterten Netzwerklösungen von Azure schützen“ wurde geändert.

Die Sicherheitsbewertungskontrolle Protect your applications with Azure advanced networking solutions wurde in Protect applications against DDoS attacks geändert.

Der aktualisierte Name wird in Azure Resource Graph (ARG), der API für Sicherheitsbewertungskontrollen und im Download CSV report angezeigt.

Die Richtlinieneinstellungen der Sicherheitsrisikobewertung für SQL Server, bei denen eine E-Mail-Adresse zum Empfangen von Überprüfungsberichten enthalten sein muss, sind veraltet.

Die Richtlinie Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports ist veraltet.

Der E-Mail-Bericht zur Sicherheitsrisikobewertung von Defender für SQL ist weiterhin verfügbar, und vorhandene E-Mail-Konfigurationen ändern sich nicht.

Die Empfehlung zum Aktivieren von Diagnoseprotokollen für Virtual Machine Scale Sets ist veraltet.

Die Empfehlung Diagnostic logs in Virtual Machine Scale Sets should be enabled ist veraltet.

Die zugehörige Richtliniendefinition ist auch für alle Standards als veraltet eingestuft, die im Dashboard zur Einhaltung gesetzlicher Bestimmungen angezeigt werden.

Empfehlung BESCHREIBUNG severity
In Virtual Machine Scale Sets sollten Diagnoseprotokolle aktiviert sein. Aktivieren Sie Protokolle, und bewahren Sie sie bis zu einem Jahr lang auf. Auf diese Weise können Sie zu Untersuchungszwecken vergangene Aktivitäten nachvollziehen, wenn ein Sicherheitsincident auftritt oder Ihr Netzwerk kompromittiert wird. Niedrig

Dezember 2022

Zu den Updates im Dezember gehören:

Ankündigung der Expresskonfiguration für die Sicherheitsrisikobewertung in Defender for SQL

Die Expresskonfiguration für die Sicherheitsrisikobewertung in Microsoft Defender for SQL bietet Sicherheitsteams eine optimierte Konfigurationsmöglichkeit für Azure SQL-Datenbanken und dedizierte SQL-Pools außerhalb von Synapse-Arbeitsbereichen.

Die Funktion zur Expresskonfiguration für die Sicherheitsrisikobewertung ermöglicht Sicherheitsteams Folgendes:

  • Konfigurieren der Sicherheitsrisikobewertung in der Sicherheitskonfiguration der SQL-Ressource, ohne zusätzliche Einstellungen oder Abhängigkeiten von kundenseitig verwalteten Speicherkonten
  • Sofortiges Hinzufügen von Überprüfungsergebnissen zu den Baselines, sodass sich der Status der Ergebnisse von ohne erneute Überprüfung der Datenbank von Fehlerhaft in Fehlerfrei ändert
  • Hinzufügen mehrerer Regeln zu Baselines in einem Arbeitsschritt und Verwenden der neuesten Überprüfungsergebnisse
  • Aktivieren der Sicherheitsrisikobewertung für alle Azure SQL Server-Instanzen, wenn Microsoft Defender auf Abonnementebene für Datenbanken aktiviert wird

Erfahren Sie mehr über die Sicherheitsrisikobewertung mit Defender for SQL.

November 2022

Updates im November:

Schutz der Container in Ihrer GCP-Organisation mit Microsoft Defender for Containers

Ab sofort können Sie Defender for Containers für Ihre GCP-Umgebung aktivieren, um GKE-Standardcluster in einer gesamten GCP-Organisation zu schützen. Erstellen Sie einfach einen neuen GCP-Connector mit aktiviertem Defender for Containers, oder aktivieren Sie Defender for Containers für einen vorhandenen GCP-Connector auf Organisationsebene.

Erfahren Sie mehr über das Verbinden von GCP-Projekten und Organisationen mit Defender for Cloud.

Überprüfen des Defender for Containers-Schutzes mit Beispielwarnungen

Sie können jetzt Beispielwarnungen auch für den Plan „Defender for Containers“ erstellen. Die neuen Beispielwarnungen werden als Warnungen aus AKS, Clustern mit Arc-Verbindung, EKS- und GKE-Ressourcen mit unterschiedlichen Schweregraden und MITRE-Taktiken dargestellt. Sie können mithilfe dieser Beispielwarnungen Konfigurationen für Sicherheitswarnungen überprüfen, z. B. SIEM-Integrationen, Workflowautomatisierung und E-Mail-Benachrichtigungen.

Erfahren Sie mehr über die Warnungsüberprüfung.

Governanceregeln im großen Maßstab (Vorschau)

Wir freuen uns, die neue Funktionalität zur Anwendung von Governanceregeln im großen Maßstab (Vorschau) in Defender for Cloud ankündigen zu können.

Mit dieser neuen Funktion können Sicherheitsteams per Massenvorgang Governanceregeln für verschiedene Geltungsbereiche (Abonnements und Connectors) definieren. Sicherheitsteams können diese Aufgabe mithilfe von Verwaltungsbereichen wie beispielsweise Azure-Verwaltungsgruppen, AWS-Konten der obersten Ebene oder GCP-Organisationen ausführen.

Darüber hinaus stellt die Seite "Governanceregeln (Vorschau)" alle verfügbaren Governanceregeln dar, die in den Umgebungen der Organisation wirksam sind.

Erfahren Sie mehr über die neue Funktionalität für Governanceregeln im großen Stil.

Hinweis

Ab dem 1. Januar 2023 muss der Defender CSPM-Plan in Ihrem Abonnement oder Connector aktiviert sein, um die Vorteile der Governancefunktionen nutzen zu können.

Die Funktion zum Erstellen benutzerdefinierter Bewertungen in AWS und GCP (Vorschau) ist veraltet.

Die Previewfunktion zum Erstellen von benutzerdefinierten Bewertungen für AWS-Konten und GCP-Projekte ist veraltet.

Die Empfehlung zum Konfigurieren von Warteschlangen für unzustellbare Nachrichten für Lambdafunktionen ist veraltet.

Die Empfehlung Lambda functions should have a dead-letter queue configured ist veraltet.

Empfehlung BESCHREIBUNG severity
Für Lambdafunktionen sollte eine Warteschlange für unzustellbare Nachrichten konfiguriert sein. Diese Kontrolle überprüft, ob eine Lambdafunktion mit einer Warteschlange für unzustellbare Nachrichten konfiguriert ist. Die Kontrolle schlägt fehl, wenn die Lambdafunktion nicht mit einer Warteschlange für unzustellbare Nachrichten konfiguriert ist. Als Alternative zu einem Ziel bei Fehlern können Sie Ihre Funktion mit einer Warteschlange für unzustellbare Nachrichten konfigurieren, um verworfene Ereignisse zur weiteren Verarbeitung zu speichern. Eine Warteschlange für unzustellbare Nachrichten verhält sich genauso wie ein Ziel bei Fehlern. Sie wird verwendet, wenn ein Ereignis bei allen Verarbeitungsversuchen fehlschlägt oder abläuft, ohne verarbeitet zu werden. Mit einer Warteschlange für unzustellbare Nachrichten können Sie auf Fehler oder fehlgeschlagene Anforderungen an Ihre Lambdafunktion zurückblicken, um ungewöhnliches Verhalten zu debuggen oder zu identifizieren. Aus der Sicherheitsperspektive ist es wichtig zu verstehen, warum Ihre Funktion fehlgeschlagen ist, und sicherzustellen, dass Ihre Funktion keine Daten verliert oder deswegen die Datensicherheit gefährdet wird. Wenn Ihre Funktion zum Beispiel nicht mit einer zugrunde liegenden Ressource kommunizieren kann, kann dies ein Symptom für einen Denial-of-Service-Angriff (DoS) an anderer Stelle im Netzwerk sein. Medium

Oktober 2022

Updates im Oktober:

Ankündigung der Microsoft Cloud Security Benchmark

Die Microsoft Cloud Security Benchmark (MCSB) ist ein neues Framework, das grundlegende Cloudsicherheitsprinzipien, die auf allgemeinen Branchenstandards und Complianceframeworks basieren, zusammen mit detaillierten technischen Anleitungen zur Implementierung dieser bewährten Methoden auf Cloudplattformen definiert. MCSB ersetzt die Azure Security Benchmark. MCSB stellt detaillierte Vorschriften zum Implementieren der jeweiligen cloudagnostischen Sicherheitsempfehlungen auf mehreren Clouddienstplattformen zur Verfügung (zunächst für Azure und AWS).

Sie können jetzt den Status Ihrer Cloudsicherheitscompliance cloudspezifisch in einem einzigen integrierten Dashboard überwachen. MCSB wird als standardmäßiger Compliancestandard angezeigt, wenn Sie zum Dashboard zur Einhaltung gesetzlicher Bestimmungen von Defender for Cloud navigieren.

Die Microsoft Cloud Security Benchmark wird automatisch Ihren Azure-Abonnements und AWS-Konten zugewiesen, wenn Sie ein Defender for Cloud-Onboarding durchführen.

Weitere Informationen zur Microsoft Cloud Security Benchmark.

Angriffspfadanalyse und kontextbezogene Sicherheitsfunktionen in Defender for Cloud (Vorschau)

Die neuen Funktionen für Cloudsicherheitsdiagramm, Angriffspfadanalyse und kontextbezogene Cloudsicherheit sind jetzt in Defender for Cloud in der Vorschau verfügbar.

Eine der größten Herausforderungen für Sicherheitsteams ist heutzutage die Anzahl von Sicherheitsproblemen, mit denen sie Tag für Tag konfrontiert werden. Es gibt sehr viele Sicherheitsprobleme, die gelöst werden müssen, und nie genug Ressourcen, um sie alle zu behandeln.

Die neuen Funktionen für Cloudsicherheitsdiagramm und Angriffspfadanalyse von Defender for Cloud bieten Sicherheitsteams die Möglichkeit, das Risiko hinter jedem Sicherheitsproblem zu bewerten. Sicherheitsteams können auch die Probleme mit dem höchsten Risiko ermitteln, die schnellstens behoben werden müssen. Defender for Cloud unterstützt Sicherheitsteams dabei, das Risiko einer folgenschweren Sicherheitsverletzung für ihre Umgebung möglichst effektiv zu reduzieren.

Weitere Informationen zu Cloudsicherheitsdiagramm, Angriffspfadanalyse und Cloudsicherheits-Explorer.

Überprüfung ohne Agent für Azure- und AWS-Computer (Vorschau)

Bis jetzt werden für die Statusbewertungen von Defender for Cloud für VMs agentbasierte Lösungen verwendet. Um Kunden dabei zu helfen, die Abdeckung zu maximieren und Probleme bei Onboarding und Verwaltung zu verringern, veröffentlichen wir eine agentlose Überprüfung für VMs als Vorschauversion.

Mit der Überprüfung ohne Agent für VMs erhalten Sie einen umfassenden Einblick in installierte Software und Software-CVEs. Sie profitieren von Transparenz, ohne sich um die Herausforderungen im Rahmen der Agenteninstallation und -wartung, die Anforderungen an die Netzwerkkonnektivität und die Auswirkungen auf die Leistung Ihrer Workloads kümmern zu müssen. Die Analyse wird von Microsoft Defender Vulnerability Management unterstützt.

Die agentlose Überprüfung auf Sicherheitsrisiken ist sowohl in Defender Cloud Security Posture Management (CSPM) als auch in Defender for Servers P2 mit nativer Unterstützung für AWS- und Azure-VMs verfügbar.

Defender for DevOps (Vorschau)

Microsoft Defender for Cloud bietet umfassende Sichtbarkeit, Statusverwaltung und Bedrohungsschutz in Hybrid- und Multi-Cloud-Umgebungen wie Azure, AWS, Google und lokalen Ressourcen.

Der neue Defender for DevOps-Plan integriert ab sofort Quellcodeverwaltungssysteme wie GitHub und Azure DevOps in Defender for Cloud. Dank dieser neuen Integration sind Sicherheitsteams in der Lage, ihre Ressourcen vom Code bis zur Cloud zu schützen.

Mit Defender for DevOps erhalten Sie Einblicke in Ihre verbundenen Entwicklerumgebungen und Coderessourcen und können sie verwalten. Derzeit können Sie Azure DevOps- und GitHub-Systeme mit Defender for Cloud verbinden und DevOps-Repositorys in Inventory und die neue DevOps Security-Seite integrieren. Sicherheitsteams erhalten auf einer einheitlichen Seite zur DevOps-Sicherheit einen allgemeinen Überblick über die erkannten Sicherheitsprobleme.

Sie können Anmerkungen für Pullanforderungen konfigurieren, damit Entwickler geheime Überprüfungsergebnisse in Azure DevOps direkt in ihren Pull-Anforderungen adressieren können.

Sie können die Microsoft Security DevOps-Tools in Azure Pipelines und GitHub-Workflows konfigurieren, um die folgenden Sicherheitsüberprüfungen zu aktivieren:

Name Sprache Lizenz
Bandit Python Apache License 2.0
BinSkim Binary – Windows, ELF MIT-Lizenz
ESlint JavaScript MIT-Lizenz
CredScan (nur Azure DevOps) Credential Scanner (auch bekannt als CredScan) ist ein Tool, das von Microsoft entwickelt und gepflegt wird, um nicht verschlüsselte Anmeldeinformationen zu ermitteln, z. B. in Quellcode und Konfigurationsdateien. Dazu gehören insbesondere Standardkennwörter, SQL-Verbindungszeichenfolgen und Zertifikate mit privaten Schlüsseln. Nicht Open Source
Vorlagenanalyse ARM-Vorlage, Bicep-Datei MIT-Lizenz
Terrascan Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation Apache License 2.0
Trivy Containerimages, Dateisysteme, Git-Repositorys Apache License 2.0

Ab sofort stehen die folgenden neuen Empfehlungen für DevOps zur Verfügung:

Empfehlung BESCHREIBUNG severity
(Vorschau) Für Coderepositorys müssen Ergebnisse des Codescannens aufgelöst werden Defender für DevOps hat Sicherheitsrisiken in Coderepositorys gefunden. Um den Sicherheitsstatus der Repositorys zu verbessern, empfiehlt es sich dringend, diese Sicherheitsrisiken zu beheben. (Keine zugehörige Richtlinie) Medium
(Vorschau) Für Coderepositorys müssen Ergebnisse des Geheimnisscannens aufgelöst werden Defender für DevOps hat ein Geheimnis in Coderepositorys gefunden.  Dies sollte sofort behoben werden, um eine Sicherheitsverletzung zu verhindern.  In Repositorys gefundene Geheimnisse können nach außen dringen oder von Angreifern entdeckt werden, was zur Kompromittierung einer Anwendung oder eines Dienstes führen kann. Für Azure DevOps überprüft das Microsoft Security DevOps CredScan-Tool nur Builds, für die es zur Ausführung konfiguriert wurde. Daher spiegeln die Ergebnisse möglicherweise nicht den vollständigen Status von Geheimnissen in Ihren Repositorys wider. (Keine zugehörige Richtlinie) High
(Vorschau) Für Coderepositorys müssen Ergebnisse des Dependabot-Scannens aufgelöst werden Defender für DevOps hat Sicherheitsrisiken in Coderepositorys gefunden. Um den Sicherheitsstatus der Repositorys zu verbessern, empfiehlt es sich dringend, diese Sicherheitsrisiken zu beheben. (Keine zugehörige Richtlinie) Medium
(Vorschau) Für Coderepositorys müssen Ergebnisse des Infrastructure-as-Code-Scannens aufgelöst werden (Vorschau) Für Coderepositorys müssen Ergebnisse des Infrastructure-as-Code-Scannens aufgelöst werden Medium
(Vorschau) Für GitHub-Repositorys muss das Codescannen aktiviert sein GitHub verwendet das Codescannen, um Code zu analysieren und Sicherheitsrisiken und Fehler im Code zu finden. Mit dem Codescannen können Sie Korrekturen für vorhandene Probleme in Ihrem Code suchen, selektieren und priorisieren. Durch das Codescannen wird außerdem verhindert, dass Entwickler neue Probleme einführen. Für Überprüfungen können bestimmte Tage und Uhrzeiten festgelegt werden, oder Überprüfungen können ausgelöst werden, wenn im Repository ein bestimmtes Ereignis auftritt, z. B. ein Push. Wenn beim Codescannen ein potenzielles Sicherheitsrisiko oder ein Fehler im Code gefunden wird, zeigt GitHub eine Warnung im Repository an. Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts zu beeinträchtigen. (Keine zugehörige Richtlinie) Medium
(Vorschau) Für GitHub-Repositorys muss das Geheimnisscannen aktiviert sein GitHub durchsucht Repositorys nach bekannten Geheimnistypen, um die betrügerische Verwendung von Geheimnissen zu verhindern, die versehentlich in Repositorys committet wurden. Beim Geheimnisscannen wird der gesamte Git-Verlauf für alle Branches in Ihrem GitHub-Repository nach Geheimnissen durchsucht. Beispiele für Geheimnisse sind Token und private Schlüssel, die ein Dienstanbieter für die Authentifizierung ausstellen kann. Wenn ein Geheimnis in ein Repository eingefügt wird, kann jeder, der über Lesezugriff auf das Repository verfügt, das Geheimnis verwenden, um mit diesen Berechtigungen auf den externen Dienst zuzugreifen. Geheimnisse sollten in einem dedizierten, sicheren Speicherort außerhalb des Repositorys für das Projekt gespeichert werden. (Keine zugehörige Richtlinie) High
(Vorschau) Für GitHub-Repositorys muss das Dependabot-Scannen aktiviert sein GitHub sendet Dependabot-Warnungen, wenn Sicherheitsrisiken in Codeabhängigkeiten erkannt werden, die sich auf Repositorys auswirken. Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts oder anderer Projekte, die seinen Code verwenden, zu beeinträchtigen. Sicherheitsrisiken variieren im Hinblick auf Typ, Schweregrad und Angriffsmethode. Wenn Code von einem Paket abhängt, das eine Sicherheitslücke aufweist, kann diese anfällige Abhängigkeit eine Reihe von Problemen verursachen. (Keine zugehörige Richtlinie) Medium

Die Defender for DevOps-Empfehlungen ersetzen den veralteten Sicherheitsrisikoscanner für CI/CD-Workflows, der in Defender for Containers enthalten war.

Weitere Informationen zu Defender for DevOps.

Das Dashboard für die Einhaltung gesetzlicher Bestimmungen unterstützt jetzt die manuelle Kontrollverwaltung und detaillierte Informationen zum Compliancestatus von Microsoft

Das Compliance-Dashboard in Defender for Cloud ist ein wichtiges Tool für Kunden, mit dem sie ihren Compliancestatus feststellen und nachverfolgen können. Kunden können Umgebungen den Anforderungen vieler verschiedener Standards und Vorschriften entsprechend kontinuierlich überwachen.

Jetzt können Sie Ihren Konformitätsstatus vollständig verwalten, indem Sie operative und andere Kontrollen manuell nachweisen. Sie können jetzt die Einhaltung für Kontrollen nachweisen, die nicht automatisiert sind. Zusammen mit den automatisierten Bewertungen können Sie jetzt einen vollständigen Bericht für die Compliance innerhalb eines ausgewählten Bereichs generieren, in dem alle Kontrollen für einen bestimmten Standard berücksichtigt werden.

Darüber hinaus verfügen Sie mit umfassenderen Kontrollinformationen und ausführlicheren Details und Nachweisen für den Compliancestatus von Microsoft jetzt jederzeit über alle erforderlichen Informationen für Audits.

Einige neue Vorteile sind beispielsweise:

  • Manuelle Kundenaktionen bieten einen Mechanismus zum manuellen Nachweis der Einhaltung von nicht automatisierten Kontrollen. Dies umfasst die Möglichkeit, Nachweise zu verknüpfen sowie ein Compliancedatum und ein Ablaufdatum festzulegen.

  • Umfassendere Kontrolldetails für unterstützte Standards, die Microsoft-Aktionen und manuelle Kundenaktionen zusätzlich zu den bereits vorhandenen automatisierten Kundenaktionen veranschaulichen.

  • Microsoft-Aktionen bieten Transparenz im Compliancestatus von Microsoft, die Überwachungsbewertungsverfahren, Testergebnisse und Microsoft-Antworten auf Abweichungen umfassen.

  • Complianceangebote ermöglichen eine zentrale Überprüfung von Azure-, Dynamics 365- und Power Platform-Produkte sowie der jeweiligen behördlichen Compliancezertifizierungen.

Weitere Informationen zur Verbesserung der Einhaltung gesetzlicher Bestimmungen mit Microsoft Defender for Cloud.

Die automatische Bereitstellung wird in Einstellungen und Überwachung umbenannt und verfügt über eine aktualisierte Oberfläche.

Wir haben die Seite "Autoprovisioning" in "Einstellungen und Überwachung" umbenannt.

Die automatische Bereitstellung war dafür vorgesehen, erforderliche Komponenten für die erweiterten Features und Funktionen von Defender for Cloud im großen Stil zu aktivieren. Um unsere erweiterten Funktionen besser zu unterstützen, wurden folgende Änderungen an der Benutzeroberfläche vorgenommen:

Die Seite „Pläne“ von Defender for Cloud umfasst jetzt folgende Funktionen:

  • Wenn Sie einen Defender-Plan aktivieren, der Überwachungskomponenten erfordert, werden diese Komponenten für die automatische Bereitstellung mit Standardeinstellungen aktiviert. Diese Einstellungen können optional jederzeit bearbeitet werden.
  • Auf der Seite „Pläne“ von Defender können Sie für jeden Defender-Plan auf die Einstellungen für die Überwachungskomponenten zugreifen.
  • Auf der Seite „Pläne“ von Defender wird deutlich angezeigt, ob alle Überwachungskomponenten für die einzelnen Defender-Pläne vorhanden sind oder ob die Überwachungsabdeckung unvollständig ist.

Die Seite "Einstellungen & Überwachung":

  • Jede Überwachungskomponente zeigt an, mit welchen Defender-Plänen sie verknüpft ist.

Weitere Informationen zur Verwaltung Ihrer Überwachungseinstellungen.

Defender Cloud Security Posture Management (CSPM)

Eine der wichtigsten Cloudsicherheitskomponenten von Microsoft Defender for Cloud ist Cloud Security Posture Management (CSPM). CSPM liefert Informationen zur Härtung, die Ihnen dabei helfen, Ihre Sicherheit effizient und effektiv zu verbessern. Darüber hinaus bietet CSPM auch Einblicke in Ihre aktuelle Sicherheitssituation.

Wir kündigen einen neuen Defender-Plan an: Defender CSPM. Dieser Plan verbessert die Sicherheitsfunktionen von Defender for Cloud und umfasst die folgenden neuen und erweiterten Features:

  • Kontinuierliche Bewertung der Sicherheitskonfiguration Ihrer Cloudressourcen
  • Sicherheitsempfehlungen zum Beheben von Fehlkonfigurationen und Schwachstellen
  • Sicherheitsbewertung
  • Governance
  • Compliance
  • Cloudsicherheitsdiagramm
  • Analyse des Angriffspfads
  • Überprüfung ohne Agent für Computer

Erfahren Sie mehr über den Defender CSPM-Plan.

DIE MITRE ATT&CK Framework-Zuordnung ist jetzt auch für AWS- und GCP-Sicherheitsempfehlungen verfügbar.

Für Sicherheitsanalysten ist es wichtig, die potenziellen Risiken im Zusammenhang mit Sicherheitsempfehlungen zu identifizieren und die Angriffsvektoren zu verstehen, damit sie ihre Aufgaben effizient priorisieren können.

Defender for Cloud erleichtert die Priorisierung, indem die Azure-, AWS- und GCP-Sicherheitsempfehlungen dem MITRE ATT&CK-Framework zugeordnet werden. Das MITRE ATT&CK-Framework ist eine global zugängliche Wissensdatenbank von Gegnertaktiken und Techniken basierend auf realen Beobachtungen, sodass Kunden die sichere Konfiguration ihrer Umgebungen stärken können.

Das MITRE ATT&CK-Framework ist auf drei Arten integriert:

  • Empfehlungen sind MITRE ATT&CK Taktiken und Techniken zugeordnet.
  • Abfragen von MITRE ATT&CK-Taktiken und -Techniken zu Empfehlungen mithilfe von Azure Resource Graph.

Screenshot, der zeigt, wo MITRE ATTACK im Azure-Portal vorhanden ist.

Defender for Containers unterstützt jetzt die Sicherheitsrisikobewertung für Elastic Container Registry (Vorschau)

Microsoft Defender for Containers ermöglicht jetzt die agentlose Überprüfung der Sicherheitsrisikobewertung für Elastic Container Registry (ECR) in Amazon AWS. Dadurch wird die Abdeckung für Multi-Cloud-Umgebungen erweitert, die auf dem früheren Release in diesem Jahr für erweiterten Bedrohungsschutz und Härtung der Kubernetes-Umgebung für AWS und Google GCP aufbauen. Das agentlose Modell erstellt AWS-Ressourcen in Ihren Konten, um Images ohne Extraktion der Images aus Ihren AWS-Konten und ohne Beeinflussung Ihrer Workload zu überprüfen.

Die agentlose Überprüfung der Sicherheitsrisikobewertung für Images in ECR-Repositorys ermöglicht eine Reduzierung der Angriffsfläche Ihrer containerisierten Ressourcen, indem Images kontinuierlich überprüft werden, um Sicherheitsrisiken von Containern zu ermitteln und zu verwalten. In diesem neuen Release überprüft Defender for Cloud Containerimages, nachdem sie in das Repository gepusht wurden, und bewertet die ECR-Containerimages in der Registrierung laufend neu. Die Ergebnisse sind in Microsoft Defender for Cloud als Empfehlungen verfügbar, und Sie können die integrierten automatisierten Workflows von Defender for Cloud verwenden, um Maßnahmen für die Ergebnisse zu ergreifen, z. B. Öffnen eines Tickets zum Beheben eines Sicherheitsrisikos mit hohem Schweregrad in einem Image.

Weitere Informationen zur Sicherheitsrisikobewertung für Amazon ECR-Images.

September 2022

Updates im September:

Unterdrücken von Warnungen basierend auf Container- und Kubernetes-Entitäten

  • Kubernetes-Namespace
  • Kubernetes-Pod
  • Kubernetes-Geheimnis
  • Kubernetes-ServiceAccount
  • Kubernetes-ReplicaSet
  • StatefulSet von Kubernetes
  • Kubernetes-Daemonset
  • Kubernetes-Auftrag
  • Kubernetes-CronJob

Erfahren Sie mehr über Regeln zur Unterdrückung von Warnungen.

Defender für Server unterstützt die Dateiintegritätsüberwachung mit Azure Monitor Agent

Die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) untersucht Dateien und Registrierungen von Betriebssystemen auf Änderungen, die auf einen Angriff hindeuten könnten.

FIM ist jetzt in einer neuen Version basierend auf Azure Monitor Agent (AMA) verfügbar, die Sie über Defender für Cloud bereitstellen können.

Veraltung von Legacy-Bewertungs-APIs

Die folgenden APIs wurden als veraltet markiert:

  • Sicherheitsaufgaben
  • Sicherheitsstatus
  • Sicherheitszusammenfassungen

Diese drei APIs stellten alte Bewertungsformate bereit und werden durch die Assessments-APIs und SubAssessments-APIs ersetzt. Alle Daten, die von diesen Legacy-APIs bereitgestellt werden, sind auch in den neuen APIs verfügbar.

Zusätzliche Empfehlungen, die zur Identität hinzugefügt wurden

Defender for Cloud-Empfehlungen zur Verbesserung der Verwaltung von Benutzern und Konten.

Neue Empfehlungen

Das neue Release umfasst die folgenden Funktionen:

  • Erweiterter Auswertungsbereich: Die Abdeckung wurde verbessert, um Identitätskonten ohne Multi-Faktor-Authentifizierung (MFA) und externe Konten für Azure-Ressourcen (statt nur Abonnements) einzubeziehen, sodass Sicherheitsadministrator*innen Rollenzuweisungen pro Konto anzeigen können.

  • Verbessertes Aktualisierungsintervall: Die Identitätsempfehlungen weisen jetzt ein Aktualisierungsintervall von 12 Stunden auf.

  • Kontoausnahmefunktion: Defender für Cloud enthält viele Features, die Sie verwenden können, um Ihre Umgebung anzupassen und sicherzustellen, dass Ihre Sicherheitsbewertung die Sicherheitsprioritäten Ihrer Organisation widerspiegelt. Sie können beispielsweise Ressourcen und Empfehlungen aus Ihrer Sicherheitsbewertung ausschließen.

    Mit diesem Update können Sie bestimmte Konten von der Auswertung mit den sechs in der folgenden Tabelle aufgeführten Empfehlungen ausnehmen.

    In der Regel nehmen Sie Notfallkonten von MFA-Empfehlungen aus, da solche Konten häufig von den MFA-Anforderungen einer Organisation absichtlich ausgeschlossen werden. Sie verfügen unter Umständen über externe Konten, für die Sie den Zugriff zulassen möchten, für die MFA nicht aktiviert ist.

    Tipp

    Wenn Sie ein Konto ausgenommen haben, wird es nicht als fehlerhaft angezeigt. Es führt auch nicht dazu, dass ein Abonnement als fehlerhaft angezeigt wird.

    Empfehlung Bewertungsschlüssel
    Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein 6240402e-f77c-46fa-9060-a7ce53997754
    Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein c0cb17b2-0607-48a7-b0e0-903ed22de39b
    Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
    Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. 20606e75-05c4-48c0-9d97-add6daa2109a
    Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
    Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
    Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden 050ac097-3dda-4d24-ab6d-82568e7a50cf
    Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Obwohl in der Vorschau, werden die Empfehlungen neben den Empfehlungen angezeigt, die derzeit allgemein verfügbar sind.

Sicherheitswarnungen für Computer, die an mandantenübergreifende Log Analytics-Arbeitsbereiche berichten, wurden entfernt

Früher konnten Sie mit Defender for Cloud den Arbeitsbereich auswählen, dem Ihre Log Analytics-Agents Bericht erstatten. Wenn ein Computer zu einem Mandanten (Mandant A) gehörte, aber sein Log Analytics-Agent einem Arbeitsbereich in einem anderen Mandanten ("Mandant B") gemeldet hat, wurden Sicherheitswarnungen über den Computer an den ersten Mandanten (Mandant A) gemeldet.

Mit dieser Änderung werden Warnungen auf Computern, die mit dem Log Analytics-Arbeitsbereich in einem anderen Mandanten verbunden sind, nicht mehr in Defender for Cloud angezeigt.

Wenn Sie die Warnungen weiterhin in Defender for Cloud erhalten möchten, verbinden Sie den Log Analytics-Agent der relevanten Maschinen mit dem Arbeitsbereich im selben Mandanten wie die Maschine.

Erfahren Sie mehr über Sicherheitswarnungen.

August 2022

Updates im August:

Sicherheitsanfälligkeiten bei zurzeit ausgeführten Images sind jetzt mit Microsoft Defender für Container in Ihren Windows-Containern sichtbar.

Defender für Container zeigt jetzt Sicherheitsrisiken bei zurzeit ausgeführten Windows-Containern an.

Wenn Sicherheitsrisiken erkannt werden, generiert Defender für Cloud die folgende Sicherheitsempfehlung mit einer Auflistung der erkannten Probleme: Für ausgeführte Containerimages müssen erkannte Sicherheitsrisiken behoben werden.

Informieren Sie sich ausführlicher über das Anzeigen von Sicherheitsrisiken für zurzeit ausgeführte Images.

Azure Monitor Agent-Integration jetzt in der Vorschau

Defender für Cloud enthält jetzt Vorschauunterstützung für den Azure Monitor Agent (AMA). AMA soll den älteren Log Analytics-Agent (auch als Microsoft Monitoring Agent (MMA) bezeichnet) ersetzen, der zukünftig eingestellt wird. AMA bietet viele Vorteile gegenüber älteren Agents.

Wenn Sie in Defender for Cloud die automatische Bereitstellung für Azure Monitor-Agent (AMA) aktivieren, wird der Agent auf vorhandenen und neuen VMs und Computern mit Azure Arc-Unterstützung bereitgestellt, die in Ihren Abonnements erkannt werden. Wenn Defender für Cloud-Pläne aktiviert sind, sammelt AMA Konfigurationsinformationen und Ereignisprotokolle von Azure-VMs und Azure Arc-Computern. Die AMA-Integration befindet sich in der Vorschau. Daher empfehlen wir die Verwendung in Testumgebungen und nicht in Produktionsumgebungen.

In der folgenden Tabelle sind die Warnungen aufgeführt, die eingestellt wurden:

Warnungsname BESCHREIBUNG Taktik Schweregrad
Erkannter Docker-Buildvorgang auf einem Kubernetes-Knoten
(VM_ImageBuildOnNode)
Computerprotokolle zeigen einen Buildvorgang eines Containerimages auf einem Kubernetes-Knoten an. Obwohl dieses Verhalten legitim sein kann, können Angreifer ihre schädlichen Images lokal erstellen, um die Erkennung zu vermeiden. Umgehen von Verteidigungsmaßnahmen Niedrig
Suspicious request to Kubernetes API (Verdächtige Anforderung an Kubernetes-API)
(VM_KubernetesAPI)
Die Computerprotokolle enthalten einen Hinweis darauf, dass eine verdächtige Anforderung an die Kubernetes-API gesendet wurde. Die Anforderung wurde von einem Kubernetes-Knoten gesendet – unter Umständen von einem der Container, die auf dem Knoten ausgeführt werden. Dieses Verhalten kann zwar beabsichtigt sein, aber es ist ggf. auch ein Hinweis darauf, dass auf dem Knoten ein kompromittierter Container ausgeführt wird. LateralMovement Medium
SSH server is running inside a container (SSH-Server wird in einem Container ausgeführt)
(VM_ContainerSSH)
Die Computerprotokolle enthalten einen Hinweis darauf, dass ein SSH-Server in einem Docker-Container ausgeführt wird. Dieses Verhalten kann zwar beabsichtigt sein, aber es ist häufig auch ein Hinweis darauf, dass ein Container falsch konfiguriert oder kompromittiert wurde. Ausführung Medium

Diese Warnungen werden verwendet, um einen Benutzer über verdächtige Aktivitäten im Zusammenhang mit einem Kubernetes-Cluster zu informieren. Die Warnungen werden durch entsprechende Warnungen aus der Auswahl der Microsoft Defender für Cloud Container-Warnungen (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI und K8S.NODE_ ContainerSSH) ersetzt. Dadurch wird eine verbesserte Genauigkeit erreicht und ein umfassender Kontext bereitgestellt, um die Warnungen zu untersuchen und darauf zu reagieren. Erfahren Sie mehr über Warnungen für Kubernetes-Cluster.

Containersicherheitsrisiken enthalten jetzt detaillierte Paketinformationen

Die Sicherheitsrisikobewertung (Vulnerability Assessment, VA) von Defender für Container enthält jetzt detaillierte Paketinformationen für jedes Ergebnis, einschließlich: Paketname, Pakettyp, Pfad, installierte Version und korrigierte Version. Mit den Paketinformationen können Sie anfällige Pakete finden, sodass Sie das Sicherheitsrisiko beheben oder das Paket entfernen können.

Diese detaillierten Paketinformationen sind für neue Scans von Images verfügbar.

Screenshot: Paketinformationen zu Sicherheitsrisiken für Container

Juli 2022

Zu den Updates im Juli gehören:

Allgemeine Verfügbarkeit (General Availability, GA) des cloudnativen Sicherheitsagents für Kubernetes-Runtimeschutz

Wir freuen uns, dass der cloudnative Sicherheitsagent für Kubernetes-Runtimeschutz jetzt allgemein verfügbar ist (GA)!

Die Produktionsbereitstellungen von Kubernetes-Clustern wachsen weiterhin, da Kunden weiterhin ihre Anwendungen containern. Um dieses Wachstum zu unterstützen, hat das Microsoft Defender für Container-Team einen Cloud-nativen Kubernetes-orientierten Sicherheitsagent entwickelt.

Der neue Sicherheitsagent ist ein Kubernetes DaemonSet, basierend auf der eBPF-Technologie und ist vollständig in AKS-Cluster im Rahmen des AKS-Sicherheitsprofils integriert.

Die Aktivierung des Sicherheits-Agents ist über die automatische Bereitstellung, den Empfehlungsflow, den AKS-RP oder im großen Stil über Azure Policy verfügbar.

Sie können den Defender-Agent heute auf Ihren AKS-Clustern bereitstellen.

Mit dieser Ankündigung ist der Runtimeschutz – Bedrohungserkennung (Workload) jetzt auch allgemein verfügbar.

Erfahren Sie mehr über die Verfügbarkeit der Features von Defender für Container.

Sie können auch alle verfügbaren Warnungen überprüfen.

Beachten Sie: Wenn Sie die Vorschauversion verwenden, ist das AKS-AzureDefender Feature-Flag nicht mehr erforderlich.

Die VA von Defender for Container fügt Unterstützung für die Erkennung sprachspezifischer Pakete hinzu (Vorschau)

Die Schwachstellenanalyse (VA) von Defender for Container ist in der Lage, Schwachstellen in Betriebssystempaketen zu erkennen, die über den Betriebssystempaket-Manager bereitgestellt werden. Wir haben jetzt die Fähigkeiten von VA erweitert, um Schwachstellen zu erkennen, die in sprachspezifischen Paketen enthalten sind.

Dieses Feature ist in der Vorschauversion und nur für Linux-Images verfügbar.

Um alle enthaltenen sprachspezifischen Pakete anzuzeigen, die hinzugefügt wurden, sehen Sie sich die vollständige Liste der Funktionen und deren Verfügbarkeit von Defender for Container an.

Schutz vor dem Operations Management Infrastructure-Sicherheitsrisiko CVE-2022-29149

Operations Management Infrastructure (OMI) ist eine Sammlung von cloudbasierten Diensten für die Verwaltung von lokalen und Cloud-Umgebungen von einem einzigen Ort aus. Statt lokale Ressourcen bereitzustellen und zu verwalten, werden OMI-Komponenten vollständig in Azure gehostet.

In Azure HDInsight integriertes Log Analytics mit OMI, Version 13, erfordert einen Patch zur Behebung von CVE-2022-29149. Lesen Sie den Bericht über diese Sicherheitsanfälligkeit im Handbuch zu Microsoft-Sicherheitsupdates, um Informationen darüber zu erhalten, wie Sie Ressourcen identifizieren können, die von dieser Sicherheitsanfälligkeit betroffen sind, und Schritte zur Behebung.

Wenn Sie Defender for Servers mit aktivierter Schwachstellenbewertung haben, können Sie diese Arbeitsmappe verwenden, um betroffene Ressourcen zu identifizieren.

Integration mit der Berechtigungsverwaltung von Entra

Defender for Cloud ist in Microsoft Entra Permissions Managementintegriert, eine Cloud Infrastructure Berechtigungsverwaltung (CIEM)-Lösung, die umfassende Transparenz und Kontrolle über Berechtigungen für jede Identität und jede Ressource in Azure, AWS und GCP bietet.

Jedes Azure-Abonnement, AWS-Konto und GCP-Projekt, das Sie integrieren, zeigt Ihnen jetzt eine Ansicht Ihres Permission Creep Index (PCI).

Erfahren Sie mehr über Entra Permission Management (früher Cloudknox)

Key Vault-Empfehlungen zu „Überwachen“ geändert

Der Effekt für die hier aufgeführten Key Vault-Empfehlungen wurde in „Audit“ geändert:

Name der Empfehlung Empfehlungs-ID
Gültigkeitszeitraum für in Azure Key Vault gespeicherte Zertifikate sollte zwölf Monate nicht überschreiten fc84abc0-eee6-4758-8372-a7681965ca44
Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. 14257785-9437-97fa-11ae-898cfb24302b
Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

Veraltete API-App-Richtlinien für App Service

Wir haben die folgenden Richtlinien zu entsprechenden Richtlinien verworfen, die bereits vorhanden sind, um API-Apps einzuschließen:

In Kürze als veraltet eingestuft Ändern in
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

Juni 2022

Zu den Updates im Juni gehören:

Allgemeine Verfügbarkeit (GA) für Microsoft Defender für Azure Cosmos DB

Microsoft Defender für Azure Cosmos DB ist jetzt allgemein verfügbar (GA) und unterstützt SQL (Core) API Kontotypen.

Diese neue Version von GA ist Teil der Microsoft Defender für Cloud-Datenbankschutz-Suite, die verschiedene Typen von SQL-Datenbanken und MariaDB umfasst. Microsoft Defender für Azure Cosmos DB ist eine in Azure native Sicherheitsebene, die Exploit-Versuche in Datenbanken in Ihren Azure Cosmos DB-Konten erkennt.

Wenn Sie diesen Plan aktivieren, werden Sie auf potenzielle SQL-Eingriffe, bekannte bösartige Akteure, verdächtige Zugriffsmuster und potenzielle Erkundungen Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider aufmerksam gemacht.

Bei Erkennung von potenziell schädlichen Aktivitäten werden Sicherheitswarnungen generiert. Diese Warnungen enthalten Angaben zu verdächtigen Aktivitäten zusammen mit den entsprechenden Untersuchungsschritten, Abhilfemaßnahmen und Sicherheitsempfehlungen.

Microsoft Defender für Azure Cosmos DB analysiert kontinuierlich den von den Azure Cosmos DB-Diensten erzeugten Telemetrie-Strom und gleicht ihn mit Microsoft Threat Intelligence und Verhaltensmodellen ab, um verdächtige Aktivitäten zu erkennen. Defender für Azure Cosmos DB greift nicht auf die Kontodaten von Azure Cosmos DB zu und hat keine Auswirkungen auf die Leistung Ihrer Datenbank.

Informieren Sie sich genauer über Microsoft Defender für Azure Cosmos DB.

Mit dem Zusätzlichen Support für Azure Cosmos DB bietet Defender für Cloud jetzt eins der umfassendsten Arbeitslastschutzangebote für cloudbasierte Datenbanken. Sicherheitsteams und Datenbankbesitzer können jetzt die Datenbanksicherheit ihrer Umgebungen zentral verwalten.

Erfahren Sie, wie Sie in Ihren Datenbanken Datenschutz aktivieren können.

Allgemeine Verfügbarkeit (GA) von Defender für SQL auf Maschinen für AWS- und GCP-Umgebungen

Die Datenbankschutzfunktionen von Microsoft Defender für Cloud bieten zusätzliche Unterstützung für Ihre SQL-Server, die entweder in AWS- oder GCP-Umgebungen gehostet werden.

Defender für SQL, jetzt können Unternehmen ihren gesamten Datenbankbestand schützen, der in Azure, AWS, GCP und auf lokalen Rechnern gehostet wird.

Microsoft Defender für SQL bietet eine einheitliche Multicloud-Erfahrung, um Sicherheitsempfehlungen, Sicherheitswarnungen und Bewertungen von Sicherheitsrisiken sowohl für den SQL-Server als auch für das zugrunde liegende Windows-Betriebssystem anzuzeigen.

Mit der Multicloud-Onboarding-Erfahrung können Sie den Datenbankschutz für SQL-Server, die auf AWS EC2, RDS Custom für SQL Server und GCP Compute Engine laufen, aktivieren und durchsetzen. Sobald Sie einen dieser Pläne aktiviert haben, sind alle unterstützten Ressourcen, die innerhalb des Abonnements vorhanden sind, geschützt. Zukünftige Ressourcen, die unter demselben Abonnement erstellt werden, werden ebenfalls geschützt.

Erfahren Sie, wie Sie Ihre AWS-Umgebung und GCP-Organisation mit Microsoft Defender für Cloud schützen und verbinden können.

Vorantreiben der Umsetzung von Sicherheitsempfehlungen, um Ihre Sicherheitslage zu verbessern

Die zunehmenden Bedrohungen, denen Unternehmen heute ausgesetzt sind, bringen das Sicherheitspersonal an seine Grenzen, wenn es darum geht, die wachsenden Arbeitsauslastung zu schützen. Sicherheitsteams sind gefordert, die in ihren Sicherheitsrichtlinien definierten Schutzmaßnahmen umzusetzen.

Dank der Governance-Erfahrung in der Vorschauphase können die Sicherheitsteams nun die Behebung von Sicherheitsempfehlungen den Ressourceneigentümern zuweisen und einen Zeitplan für die Behebung verlangen. Sie haben volle Transparenz über den Fortschritt der Abhilfe und werden benachrichtigt, wenn Aufgaben überfällig sind.

Informieren Sie sich über Governance-Erfahrung in Bringen Sie Ihr Unternehmen dazu, Sicherheitsprobleme mit Empfehlungen für Governance zu beheben.

Sicherheitswarnungen nach IP-Adresse filtern

In vielen Fällen von Angriffen ist es sinnvoll, Sicherheitswarnungen auf der Grundlage der IP-Adresse des an dem Angriff beteiligten Unternehmens zu verfolgen. Bisher erschien die IP nur im Abschnitt "Verwandte Entitäten" im einzelnen Benachrichtigungsfenster. Jetzt können Sie die Warnungen auf der Seite „Sicherheitswarnungen“ filtern, um die Warnungen im Zusammenhang mit der IP-Adresse anzuzeigen, und Sie können nach einer bestimmten IP-Adresse suchen.

Screenshot: Filter für IP-Adressen in Alarmen von Defender für Cloud.

Warnmeldungen nach Ressourcengruppe

Die Seite „Sicherheitswarnungen“ wurde um die Möglichkeit erweitert, nach Ressourcengruppen zu filtern, zu sortieren und zu gruppieren.

Dem Warnungsraster wurde eine Spalte „Ressourcengruppe“ hinzugefügt.

Screenshot: Neu hinzugefügte Spalte Ressourcengruppe.

Ein neuer Filter wurde hinzugefügt, mit dem Sie alle Warnungen für bestimmte Ressourcengruppen anzeigen können.

Screenshot: Neuer Ressourcengruppenfilter.

Sie können jetzt auch Ihre Warnungen nach Ressourcengruppe gruppieren, um alle Ihre Warnungen für jede Ihrer Ressourcengruppen anzuzeigen.

Screenshot: Ansicht der Alarme bei Gruppierung nach Ressourcengruppe.

Automatische Bereitstellung der einheitlichen Microsoft Defender for Endpoint-Lösung

Bisher beinhaltete die Integration mit Microsoft Defender für Endpunkt (MDE) die automatische Installation der neuen MDE einheitliche Lösung für Computer (Azure-Abonnements und Multicloud-Konnektoren) mit aktiviertem Defender für Servers Plan 1 und für Multicloud-Konnektoren mit aktiviertem Defender für Servers Plan 2. Plan 2 für Azure-Abonnements ermöglichte die einheitliche Lösung nur für Linux-Rechner und Windows 2019 und 2022 Server. Windows Server 2012R2 und 2016 verwendeten die MDE-Legacy-Lösung, die vom Log Analytics-Agent abhängig ist.

Jetzt ist die neue einheitliche Lösung für alle Computer in beiden Plänen – sowohl für Azure-Abonnements als auch für Multicloud-Connectors – verfügbar. Für Azure-Abonnements mit Server-Plan 2, die die MDE-Integration nach dem 20. Juni 2022 aktiviert haben, ist die vereinheitlichte Lösung standardmäßig für alle Computer aktiviert. Azure-Abonnements mit dem Defender for Servers-Plan 2, der mit der MDE-Integration vor dem 20. Juni 2022 aktiviert wurde, können jetzt die Installation der vereinheitlichten Lösung für Windows Server 2012R2 und 2016 über die entsprechende Schaltfläche auf der Seite Integrationen aktivieren:

Erfahren Sie mehr über MDE-Integration mit Defender für Server.

Veraltete Richtlinie „API-App sollte nur über HTTPS zugänglich sein“

Die Richtlinie API App should only be accessible over HTTPS ist veraltet. Diese Richtlinie wurde durch die Richtlinie Web Application should only be accessible over HTTPS ersetzt, die in App Service apps should only be accessible over HTTPS umbenannt wurde.

Weitere Informationen zu Richtliniendefinitionen für Azure App Service finden Sie unter Integrierte Azure Policy-Definitionen für Azure App Service.

Neue Key Vault-Warnungen

Um den Schutz vor Bedrohungen zu erweitern, den Microsoft Defender für Key Vault bietet, haben wir zwei neue Warnmeldungen hinzugefügt.

Diese Warnungen informieren Sie, wenn für einen Ihrer Key Vaults eine Anomalie bei der Zugriffsverweigerung festgestellt wird.

Warnung (Warnungstyp) Beschreibung MITRE-Taktiken severity
Ungewöhnlicher Zugriff verweigert – Zugriff durch Benutzer, der auf eine große Anzahl von Key Vaults zugreift, verweigert
(KV_DeniedAccountVolumeAnomaly)
Ein Benutzer oder Dienstprinzipal hat in den letzten 24 Stunden versucht, auf eine ungewöhnlich hohe Anzahl von Key Vaults zuzugreifen. Dieses anomale Zugriffsmuster kann eine legitime Aktivität sein. Dieser Versuch war zwar erfolglos, aber er könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Key Vault und den darin enthaltenen Vertraulichkeiten zu verschaffen. Weitere Untersuchungen werden empfohlen. Ermittlung Niedrig
Ungewöhnlicher Zugriff verweigert – Ungewöhnlicher Benutzerzugriff auf Key Vault verweigert
(KV_UserAccessDeniedAnomaly)
Ein Benutzer hat versucht, auf einen Key Vault zuzugreifen, auf den er normalerweise nicht zugreift. Dieses anormale Zugriffsmuster kann eine legitime Aktivität sein. Dieser Versuch war zwar erfolglos, aber er könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Key Vault und den darin enthaltenen Vertraulichkeiten zu verschaffen. Erster Zugriff, Ermittlung Niedrig

Mai 2022

Zu den Updates im Mai gehören:

Multicloud-Einstellungen des Server-Plans sind jetzt auf Connectorebene verfügbar

Es gibt jetzt Einstellungen auf Connectorebene für Defender für Server in Multicloud.

Die neuen Einstellungen auf Connectorebene bieten unabhängig vom Abonnement Granularität für Preise und die Konfiguration der automatischen Bereitstellung pro Connector.

Alle Komponenten für die automatische Bereitstellung auf Connectorebene (Azure Arc, Microsoft Defender for Endpoint und Sicherheitsrisikobewertungen) sind standardmäßig aktiviert, und die neue Konfiguration unterstützt die Tarife von Plan 1 als auch Plan 2.

Updates in der Benutzeroberfläche umfassen eine Reflexion des ausgewählten Tarifs und die erforderlichen, konfigurierten Komponenten.

Screenshot: Hauptseite des Plans mit den Multicloudeinstellungen des Serverplans.

Screenshot der Seite

Änderungen an der Sicherheitsrisikenbewertung

Defender für Container zeigt jetzt Sicherheitslücken mit mittlerem und niedrigem Schweregrad an, die nicht gepatcht werden können.

Im Rahmen dieses Updates werden nun Sicherheitsrisiken mit mittleren und niedrigen Schweregraden angezeigt, unabhängig davon, ob Patches verfügbar sind oder nicht. Dieses Update bietet maximale Sichtbarkeit, ermöglicht es Ihnen aber dennoch, unerwünschte Sicherheitsrisiken mithilfe der bereitgestellten „Deaktivieren“-Regel herauszufiltern.

Screenshot: Bildschirm „Regel deaktivieren“.

Weitere Informationen zur Handhabung von Sicherheitsrisiken

JIT-Zugriff (Just-in-Time) für VMs ist jetzt für AWS EC2-Instanzen (Vorschau) verfügbar

Wenn Sie AWS-Konten verbinden, bewertet JIT automatisch die Netzwerkkonfiguration der Sicherheitsgruppen Ihrer Instanz und empfiehlt, welche Instanzen Schutz für ihre den Risiken ausgesetzten Verwaltungsports benötigen. Dies ähnelt der Funktionsweise von JIT mit Azure. Wenn Sie ungeschützte EC2-Instanzen einbinden, blockiert JIT den öffentlichen Zugriff auf die Verwaltungsports und öffnet sie nur bei autorisierten Anforderungen für einen begrenzten Zeitrahmen.

Erfahren Sie, wie JIT Ihre AWS EC2-Instanzen schützt

Hinzufügen und Entfernen des Defender-Sensors für AKS-Cluster mithilfe der CLI

Der Defender-Agent ist für Defender for Containers erforderlich, um die Runtime-Schutzfunktionen bereitzustellen und Signale von Knoten zu sammeln. Sie können jetzt die Azure CLI verwenden, um den Defender-Agent für einen AKS-Cluster hinzuzufügen und zu entfernen.

Hinweis

Diese Option ist in Azure CLI 3.7 und höher enthalten.

April 2022

Zu den Updates im April gehören:

Neue Defender für Serverpläne

Microsoft Defender für Server wird jetzt in zwei inkrementellen Plänen angeboten:

  • Defender für Server Plan 2, früher Defender für Server
  • Defender für Server Plan 1 bietet Unterstützung nur für Microsoft Defender für Endpunkt

Defender für Server Plan 2 bietet weiterhin Schutz vor Bedrohungen und Sicherheitsrisiken für Ihre Cloud- und lokalen Workloads, Defender für Server Plan 1 bietet nur Endpunktschutz, unterstützt von dem nativ integrierten Defender für Endpunkt. Erfahren Sie mehr über die Defender für Server-Pläne.

Wenn Sie Defender für Server bis jetzt verwenden, ist keine Aktion erforderlich.

Darüber hinaus beginnt Defender für Cloud auch schrittweise Unterstützung für den Defender for Endpoint Unified Agent für Windows Server 2012 R2 und 2016. Defender für Server Plan 1 stellt den neuen einheitlichen Agent für Windows Server 2012 R2- und 2016-Workloads bereit.

Verlagerung benutzerdefinierter Empfehlungen

Benutzerdefinierte Empfehlungen werden von einem Benutzer erstellt und haben keine Auswirkungen auf die Sicherheitsbewertung. Die benutzerdefinierten Empfehlungen finden Sie jetzt auf der Registerkarte "Alle Empfehlungen".

Verwenden Sie den neuen Filter "Empfehlungstyp", um benutzerdefinierte Empfehlungen zu finden.

Mehr dazu erfahren Sie unter Erstellen von benutzerdefinierten Sicherheitsinitiativen und -richtlinien.

PowerShell-Skript zum Streamen von Warnungen an Splunk und IBM QRadar

Es wird empfohlen, Event Hubs und einen integrierten Connector zum Exportieren von Sicherheitswarnungen in Splunk und IBM QRadar zu verwenden. Jetzt können Sie ein PowerShell-Skript verwenden, um die Azure-Ressourcen einzurichten, die zum Exportieren von Sicherheitswarnungen für Ihr Abonnement oder Mandanten erforderlich sind.

Laden Sie einfach das PowerShell-Skript herunter und führen Sie sie aus. Nachdem Sie einige Details ihrer Umgebung bereitgestellt haben, konfiguriert das Skript die Ressourcen für Sie. Das Skript erzeugt dann die Ausgabe, die Sie in der SIEM-Plattform verwenden, um die Integration abzuschließen.

Weitere Informationen finden Sie unter Streambenachrichtigungen für Splunk und QRadar.

Veraltete Empfehlung für die Azure Cache for Redis

Die Empfehlung Azure Cache for Redis should reside within a virtual network (Vorschau) ist veraltet. Wir haben unsere Anleitung zum Sichern von Azure Cache für Redis-Instanzen geändert. Wir empfehlen die Verwendung eines privaten Endpunkts, um den Zugriff auf Ihre Azure Cache for Redis-Instanz anstelle eines virtuellen Netzwerks einzuschränken.

Neue Warnungsvariante für Microsoft Defender für Storage (Vorschau) zum Erkennen der Exposition vertraulicher Daten

Die Warnmeldungen von Microsoft Defender für Storage benachrichtigen Sie, wenn Bedrohungsakteure versuchen, falsch konfigurierte, öffentlich zugängliche Speichercontainer zu scannen und freizulegen, um vertrauliche Informationen heraus zu schleusen, ob erfolgreich oder nicht.

Um eine schnellere Triagierung und Reaktionszeit zu ermöglichen, wenn die Exfiltration potenziell vertraulicher Daten aufgetreten ist, haben wir eine neue Variante für die vorhandene Publicly accessible storage containers have been exposed-Warnung veröffentlicht.

Die neue Warnung Publicly accessible storage containers with potentially sensitive data have been exposed wird mit dem Schweregrad High ausgelöst, nachdem öffentlich zugängliche Speichercontainer mit Namen gefunden wurden, die den Statistiken zufolge selten öffentlich verfügbar gemacht werden, was nahelegt, dass sie vertrauliche Informationen enthalten.

Warnung (Warnungstyp) Beschreibung MITRE-Taktik severity
VORSCHAU – Öffentlich zugängliche Speichercontainer mit potenziell vertraulichen Daten wurden verfügbar gemacht.
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)
Jemand hat Ihr Azure Storage-Konto gescannt und Container verfügbar gemacht, die den öffentlichen Zugriff zulassen. Eine oder mehrere der verfügbaren Container verfügen über Namen, die angeben, dass sie vertrauliche Daten enthalten können.

Dies gibt in der Regel die Rekonsierung durch einen Bedrohungsdarsteller an, der nach falsch konfigurierten, öffentlich zugänglichen Speichercontainern sucht, die vertrauliche Daten enthalten können.

Nachdem ein Bedrohungsakteur einen Container erfolgreich entdeckt hat, können sie fortfahren, indem sie die Daten exfiltrieren.
✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Collection High

Containerscan-Warnungstitel, der mit der IP-Adress-Reputation erweitert wurde

Der Ruf einer IP-Adresse kann angeben, ob die Scanaktivität aus einem bekannten Bedrohungsakteur stammt oder von einem Akteur, der das Tor-Netzwerk verwendet, um ihre Identität auszublenden. Beide Indikatoren schlagen vor, dass böswillige Absichten vorhanden sind. Der Ruf der IP-Adresse wird von Microsoft Threat Intelligence bereitgestellt.

Der Ruf der IP-Adresse zum Warnungstitel bietet eine Möglichkeit, die Absicht des Akteurs schnell zu bewerten und somit den Schweregrad der Bedrohung zu bewerten.

Die folgenden Warnungen enthalten diese Informationen:

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

Beispielsweise sieht die hinzugefügten Informationen zum Titel der Publicly accessible storage containers have been exposed Warnung wie folgt aus:

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

Alle Warnungen für Microsoft Defender für Storage enthalten weiterhin Bedrohungsinformationen in der IP-Entität im Abschnitt "Verwandte Entitäten der Warnung".

Anzeigen der Aktivitätsprotokolle, die sich auf eine Sicherheitswarnung beziehen

Im Rahmen der Aktionen, die Sie ausführen können, um eine Sicherheitswarnung auszuwerten, finden Sie die zugehörigen Plattformprotokolle unter Überprüfen des Ressourcenkontexts, um Kontext zu der betroffenen Ressource zu erhalten. Microsoft Defender für Cloud identifiziert Plattformprotokolle, die weniger als einen Tag vor der Warnung liegen.

Die Plattformprotokolle können Ihnen dabei helfen, die Sicherheitsrisiken auszuwerten und Maßnahmen zu ermitteln, die Sie ergreifen können, um das identifizierte Risiko zu verringern.

März 2022

Zu den Updates im März gehören:

Globale Verfügbarkeit von Secure Score für AWS- und GCP-Umgebungen

Die von Microsoft Defender für Cloud bereitgestellten Funktionen für die Cloudsicherheitsverwaltung haben nun Unterstützung für Ihre AWS- und GCP-Umgebungen innerhalb Ihrer Sicheren Bewertung hinzugefügt.

Unternehmen können nun ihre gesamte Sicherheitshaltung in verschiedenen Umgebungen anzeigen, z. B. Azure, AWS und GCP.

Die Seite „Sicherheitsbewertung“ wurde durch das Sicherheitsstatusdashboard ersetzt. Mit dem Dashboard für Sicherheitshaltungen können Sie eine gesamt kombinierte Bewertung für alle Ihre Umgebungen oder eine Aufschlüsselung Ihrer Sicherheitshaltung basierend auf einer beliebigen Kombination von Umgebungen anzeigen, die Sie auswählen.

Die Empfehlungen Seite wurde auch neu gestaltet, um neue Funktionen wie die Auswahl der Cloudumgebung, erweiterte Filter basierend auf Inhalten (Ressourcengruppe, AWS-Konto, GCP-Projekt und mehr), verbesserte Benutzeroberfläche auf niedriger Auflösung, Unterstützung für offene Abfrage in Ressourcendiagramm und vieles mehr bereitzustellen. Sie können mehr über Ihre allgemeine Sicherheitshaltung und Sicherheitsempfehlungen erfahren.

Die Empfehlungen zum Installieren des Datensammlungs-Agents für Netzwerkdatenverkehr wurden als „veraltet“ eingestuft

Durch Änderungen an unserer Roadmap und den Prioritäten ist der Datensammlungs-Agent für Netzwerkdatenverkehr nicht mehr notwendig. Die folgenden beiden Empfehlungen und deren zugehörige Richtlinien wurden als „veraltet“ eingestuft.

Empfehlung BESCHREIBUNG severity
Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden. Defender für Cloud verwendet den Microsoft Dependency-Agent, um Netzwerkdatenverkehrsdaten Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfeatures, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. Medium
Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden. Defender für Cloud verwendet den Microsoft Dependency-Agent, um Netzwerkdatenverkehrsdaten Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfeatures, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. Medium

Defender für Container kann jetzt in Windows-Images eine Überprüfung auf Sicherheitsrisiken durchführen (Vorschau)

Die Image-Überprüfung von Defender für Container unterstützt jetzt Windows-Images, die in Azure Container Registry gehostet werden. Dieses Feature ist in der Vorschauversion kostenlos und verursacht Kosten, wenn es allgemein verfügbar wird.

Weitere Informationen finden Sie unter Verwenden von Microsoft Defender für Container zum Überprüfen Ihrer Images auf Sicherheitsrisiken.

Neue Warnung bei Microsoft Defender für Speicher (Vorschau)

Zur Erweiterung des von Microsoft Defender für Speicher bereitgestellten Bedrohungsschutzes haben wir eine neue Vorschauwarnung hinzugefügt.

Bedrohungsakteure verwenden Anwendungen und Tools, um Speicherkonten zu ermitteln und darauf zuzugreifen. Microsoft Defender für Speicher erkennt diese Anwendungen und Tools, sodass Sie sie blockieren und Ihren Sicherheitsstatus verbessern können.

Diese Vorschauwarnung wird als Access from a suspicious application bezeichnet. Die Warnung ist für Azure Blob Storage und nur ADLS Gen2 relevant.

Warnung (Warnungstyp) Beschreibung MITRE-Taktik severity
VORSCHAU: Zugriff aus einer verdächtigen Anwendung
(Storage. Blob_SuspiciousApp)
Gibt an, dass eine verdächtige Anwendung auf einen Container eines Speicherkontos mit Authentifizierung erfolgreich zugegriffen hat.
Dies könnte darauf hinweisen, dass ein Angreifer die für den Zugriff auf das Konto erforderlichen Anmeldeinformationen erhalten hat und sie ausnutzt. Es könnte auch ein Hinweis auf einen Penetrationtest sein, der in Ihrer Organisation durchgeführt wurde.
Gilt für: Azure Blob Storage, Azure Data Lake Storage Gen2
Erstzugriff Medium

Konfigurieren von Einstellungen für E-Mail-Benachrichtigungen aus einer Warnung

Der Benutzeroberfläche für Warnungen wurde ein neuer Abschnitt hinzugefügt, in dem Sie die Empfänger*innen von E-Mail-Benachrichtigungen für Warnungen, die für das aktuelle Abonnement ausgelöst werden, anzeigen und bearbeiten können.

Screenshot: Neue Benutzeroberfläche – Konfigurieren der E-Mail-Benachrichtigung.

Informieren Sie sich über das Konfigurieren von E-Mail-Benachrichtigungen bei Sicherheitswarnungen.

Vorschauwarnung wirde aös veraltet markiert: ARM.MCAS_ActivityFromAnonymousIPAddresses

Die folgende Vorschauwarnung ist veraltet:

Warnungsname BESCHREIBUNG
VORSCHAU: Aktivität von einer riskanten IP-Adresse
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
Es wurde eine Benutzeraktivität über eine IP-Adresse erkannt, die als anonyme Proxy-IP-Adresse identifiziert wurde.
Diese Proxys werden von Personen verwendet, die die IP-Adresse ihres Geräts verbergen möchten, und können in böswilliger Absicht eingesetzt werden. Die Erkennung nutzt einen Algorithmus für maschinelles Lernen, um falsch positive Ergebnisse wie etwa falsch gekennzeichnete IP-Adressen zu reduzieren, die regelmäßig von anderen Benutzern in der Organisation verwendet werden.
Erfordert eine aktive Microsoft Defender für Cloud Apps-Lizenz.

Es wurde eine neue Warnung erstellt, die diese und weitere Informationen bereitstellt. Darüber hinaus ist bei den neueren Warnungen („ARM_OperationFromSuspiciousIP“, „ARM_OperationFromSuspiciousProxyIP“) keine Lizenz für Microsoft Defender für Cloud-Apps (früher als „Microsoft Cloud App Security“ bezeichnet) erforderlich.

Weitere Warnungen für Resource Manager.

Die Empfehlung „Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden“ wurde von „Sicherheitsbewertung“ zu „Bewährte Methoden“ verschoben

Die Empfehlung Vulnerabilities in container security configurations should be remediated wurde vom Abschnitt „Sicherheitsbewertung“ in den Abschnitt „Bewährte Methoden“ verschoben.

Die aktuelle Benutzeroberfläche stellt die Bewertung nur dann bereit, wenn alle Konformitätsprüfungen bestanden wurden. Die meisten Kunden haben Schwierigkeiten, alle erforderlichen Überprüfungen zu erfüllen. Wir arbeiten an einer verbesserten Benutzeroberfläche für diese Empfehlung, und nach der Veröffentlichung wird die Empfehlung wieder in die Sicherheitsbewertung verschoben.

Empfehlung zur Verwendung von Dienstprinzipalen zum Schutz Ihrer Abonnements wurde als veraltet markiert

Da Organisationen versuchen, keine Verwaltungszertifikate mehr für die Verwaltung ihrer Abonnements zu verwenden und wir das Bereitstellungsmodell „Cloud Services (klassisch)“ gemäß unserer Ankündigung außer Betrieb nehmen, haben wir die folgende Defender für Cloud-Empfehlung und die zugehörige Richtlinie als veraltet markiert:

Empfehlung BESCHREIBUNG severity
Zum Schutz Ihrer Abonnements Dienstprinzipale anstelle von Verwaltungszertifikaten verwenden Verwaltungszertifikate ermöglichen es jedem, der sich mit ihnen authentifiziert, die Abonnements zu verwalten, mit denen sie verbunden sind. Zur höheren Sicherheit der Verwaltung von Abonnements empfiehlt sich die Verwendung von Dienstprinzipalen mit Resource Manager, um den Auswirkungsgrad im Falle kompromittierter Zertifikate zu beschränken. Außerdem wird hierdurch die Ressourcenverwaltung automatisiert.
(Zugehörige Richtlinie: Zum Schutz Ihrer Abonnements Dienstprinzipale anstelle von Verwaltungszertifikaten verwenden)
Medium

Weitere Informationen:

Die Legacyimplementierung von ISO 27001 wird durch die neue ISO-Norm 27001:2013 ersetzt.

Die Legacyimplementierung von ISO 27001 wurde aus dem Defender for Cloud-Dashboard „Einhaltung gesetzlicher Bestimmungen“ entfernt. Wenn Sie Ihre ISO 27001-Konformität mit Defender für Cloud nachverfolgen, integrieren Sie den neuen Standard „ISO 27001:2013“ für alle relevanten Verwaltungsgruppen oder Abonnements.

Defender für Cloud-Dashboard zur Einhaltung gesetzlicher Bestimmungen mit der Meldung, dass die Legacyimplementierung von ISO 27001 entfernt wird

Microsoft Defender für IoT-Geräteempfehlungen wurde als veraltet markiert

Empfehlungen für Microsoft Defender für IoT-Geräte werden in Microsoft Defender für Cloud nicht mehr angezeigt. Diese Empfehlungen sind weiterhin auf der Empfehlungsseite für Microsoft Defender für IoT und in Microsoft Sentinel verfügbar.

Die folgenden Empfehlungen wurden als veraltet markiert:

Bewertungsschlüssel Empfehlungen
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT-Geräte Offene Ports am Gerät
ba975338-f956-41e7-a9f2-7614832d382d: IoT-Geräte In der INPUT-Kette wurde eine zu wenig einschränkende Firewallregel gefunden
beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT-Geräte In einer der Ketten wurde eine zu wenig einschränkende Firewallrichtlinie gefunden
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT-Geräte In der OUTPUT-Kette wurde eine zu wenig einschränkende Firewallregel gefunden
5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT-Geräte Fehler beim Überprüfen der Betriebssystembaseline
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT-Geräte Sendekapazität für Agentnachrichten nicht ausgeschöpft
2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT-Geräte TLS-Cipher-Suite-Upgrade erforderlich
d74d2738-2485-4103-9919-69c7e63776ec: IoT-Geräte Auditd Das Senden von Ereignissen wurde beendet.

Microsoft Defender für IoT-Gerätewarnungen wurde als veraltet markiert

Alle Warnmeldungen von Microsoft Defender für IoT-Geräte sind in Microsoft Defender für Cloud nicht mehr sichtbar. Diese Warnungen sind weiterhin auf der Warnungsseite für Microsoft Defender für IoT und in Microsoft Sentinel verfügbar.

Haltungsverwaltung und Bedrohungsschutz für AWS und GCP für allgemeine Verfügbarkeit (GA) veröffentlicht

  • Die CSPM-Features von Defender für Cloud werden auf Ihre AWS- und GCP-Ressourcen ausgeweitet. Dieser Plan ohne Agents bewertet Ihre Multicloudressourcen anhand von cloudspezifischen Sicherheitsempfehlungen, die in Ihrer Sicherheitsbewertung enthalten sind. Die Ressourcen werden mithilfe der integrierten Standards für die Compliance bewertet. Die Seite „Ressourcenbestand“ von Defender für Cloud ist eine Multi-Cloud-Funktion, mit der Sie Ihre AWS-Ressourcen zusammen mit Ihren Azure-Ressourcen verwalten können.

  • Microsoft Defender für Server bringt Bedrohungserkennung und erweiterten Schutz für Ihre Compute-Instanzen in AWS und GCP. Der Defender für Server-Plan enthält eine integrierte Lizenz für Microsoft Defender for Endpoint, Scans zur Schwachstellenanalyse und mehr. Erfahren Sie mehr über alle unterstützten Features für virtuelle Computer und Server. Funktionen für automatisches Onboarding ermöglichen es Ihnen, alle vorhandenen und neuen Compute-Instanzen, die in Ihrer Umgebung ermittelt wurden, einfach zu verbinden.

Erfahren Sie, wie Sie Ihre AWS-Umgebung und GCP-Organisation mit Microsoft Defender für Cloud schützen und verbinden können.

Registrierungsscan für Windows Bilder in ACR hinzugefügt Unterstützung für nationale Clouds

Die Registrierungsüberprüfung für Windows-Images wird jetzt in Azure Government und Microsoft Azure operated by 21Vianet unterstützt. Diese Ergänzung befindet sich derzeit in der Vorschau.

Erfahren Sie mehr über die Verfügbarkeit unseres Features.

Februar 2022

Updates im Februar:

Kubernetes-Workloadschutz für Kubernetes-Cluster mit Arc-Unterstützung

Defender für Container hat bisher nur Kubernetes-Workloads geschützt, die in Azure Kubernetes Service ausgeführt werden. Jetzt haben wir die Schutzabdeckung auf Kubernetes-Cluster mit Azure Arc-Unterstützung erweitert.

Erfahren Sie, wie Sie Ihren Kubernetes-Workloadschutz für AKS und Kubernetes-Cluster mit Azure Arc-Unterstützung einrichten.

Native CSPM für GCP und Bedrohungsschutz für GCP-Compute-Instanzen

Mit dem neuen automatisierten Onboarding von GCP-Umgebungen können Sie GCP-Workloads mit Microsoft Defender für Cloud schützen. Defender für Cloud schützt Ihre Ressourcen mit den folgenden Plänen:

  • Die CSPM-Features von Defender für Cloud werden auf Ihre GCP-Ressourcen ausgeweitet. Dieser Plan ohne Agent bewertet Ihre GCP-Ressourcen entsprechend den GCP-spezifischen Sicherheitsempfehlungen, die mit Defender für Cloud bereitgestellt werden. GCP-Empfehlungen sind in Ihrer Sicherheitsbewertung enthalten, und die Ressourcen werden auf Konformität mit dem integrierten GCP-CIS-Standard bewertet. Die Seite „Ressourcenbestand“ von Defender für Cloud ist eine Multi-Cloud-Funktion, die Ihnen hilft, Ihre Ressourcen in Azure, AWS und GCP zu verwalten.

  • Microsoft Defender für Server stattet Ihre GCP-Compute-Instanzen mit Bedrohungserkennung und erweiterten Schutzmaßnahmen aus. Dieser Plan umfasst die integrierte Lizenz für Microsoft Defender für Endpoint, Überprüfungen zur Sicherheitsrisikobewertung und mehr.

    Eine vollständige Liste der verfügbaren Features finden Sie unter Unterstützte Funktionen für virtuelle Computer und Server. Funktionen für automatisches Onboarding ermöglichen es Ihnen, alle vorhandenen und neuen Compute-Instanzen, die in Ihrer Umgebung ermittelt wurden, einfach zu verbinden.

Erfahren Sie, wie Sie Ihre GCP-Projekte mit Microsoft Defender für Cloud schützen und verbinden.

Microsoft Defender für Azure Cosmos DB-Plan für die Vorschau veröffentlicht

Wir haben die Datenbankabdeckung von Microsoft Defender für Cloud erweitert. Sie können jetzt den Schutz für Ihre Azure Cosmos DB-Datenbanken aktivieren.

Microsoft Defender für Azure Cosmos DB ist eine native Azure-Sicherheitsebene, die jeden Versuch erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Microsoft Defender für Azure Cosmos DB erkennt potenzielle Einschleusungen von SQL-Befehlen, bekannte böswillige Akteure basierend auf Microsoft Threat Intelligence, verdächtige Zugriffsmuster und potenzielle Ausnutzung Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider.

Der durch die Azure Cosmos DB-Dienste generierte Kundendatenstrom wird von Microsoft Defender für Azure Cosmos DB kontinuierlich analysiert.

Bei Erkennung von potenziell schädlichen Aktivitäten werden Sicherheitswarnungen generiert. Diese Warnungen werden in Microsoft Defender for Cloud zusammen mit den Details der verdächtigen Aktivität sowie den entsprechenden Untersuchungsschritten, Abhilfemaßnahmen und Sicherheitsempfehlungen angezeigt.

Eine Aktivierung des Diensts hat keine Auswirkung auf die Datenbankleistung, weil Defender für Azure Cosmos DB auf die Azure Cosmos DB-Kontodaten nicht zugreift.

Erfahren Sie mehr unter Überblick über Microsoft Defender für Azure Cosmos DB.

Wir führen zurzeit auch eine neue Aktivierungsmöglichkeit für die Datenbanksicherheit ein. Sie können jetzt den Microsoft Defender für Cloud-Schutz für Ihr Abonnement aktivieren, um alle Datenbanktypen wie z. B. Azure Cosmos DB, Azure SQL-Datenbank, Azure SQL-Server auf Computern und Microsoft Defender für relationale Open Source-Datenbanken über einen einzigen Aktivierungsprozess zu schützen. Bestimmte Ressourcentypen können einbezogen oder ausgeschlossen werden, indem Sie Ihren Plan entsprechend konfigurieren.

Informieren Sie sich, wie Sie Ihre Datenbanksicherheit auf Abonnementebene aktivieren können.

Bedrohungsschutz für Google Kubernetes Engine (GKE)-Cluster

Nach unserer kürzlichen Ankündigung Native CSPM für GCP und Bedrohungsschutz für GCP-Compute-Instanzen hat Microsoft Defender für Container seinen Kubernetes-Bedrohungsschutz, verhaltensbezogene Analysen und integrierte Zugangskontrollrichtlinien auf die Kubernetes Engine (GKE)-Standard-Cluster von Google erweitert. Mit unseren Funktionen für automatisches Onboarding können Sie alle vorhandenen oder neuen GKE Standard-Cluster mühelos in Ihre Umgebung integrieren. Eine vollständige Liste der verfügbaren Features finden Sie unter Containersicherheit mit Microsoft Defender für Cloud.

Januar 2022

Die Updates im Januar umfassen Folgendes:

Microsoft Defender für Ressourcen-Manager wurde mit neuen Warnungen aktualisiert und hat mehr Gewicht auf vorgänge mit hohem Risiko, die MITRE ATT&CK® Matrix zugeordnet sind

Die Cloudverwaltungsebene ist ein wichtiger Dienst, der mit allen Ihren Cloudressourcen verbunden ist. Dies macht ihn allerdings auch zu einem potenziellen Ziel für Angreifer. Wir empfehlen, dass Sicherheitsteams die Ressourcenverwaltungsebene genau überwachen.

Microsoft Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Dabei spielt es keine Rolle, ob diese über das Azure-Portal, Azure-REST-APIs, die Azure CLI oder andere programmgesteuerte Azure-Clients ausgeführt werden. Defender für Cloud führt erweiterte Sicherheitsanalysen durch, um Bedrohungen zu erkennen und Sie auf verdächtige Aktivitäten aufmerksam zu machen.

Die Schutzmaßnahmen des Plans verbessern die Widerstandsfähigkeit eines Unternehmens gegen Angriffe von Bedrohungsakteuren und erhöhen die Anzahl der Azure-Ressourcen, die durch Defender für Cloud geschützt werden, beträchtlich.

Im Dezember 2020 haben wir die Vorschau von Defender für Ressourcen-Manager vorgestellt, und im Mai 2021 wurde der Plan zur allgemeinen Verfügbarkeit freigegeben.

Mit diesem Update haben wir den Fokus des Microsoft Defender für Ressourcen-Manager Plans grundlegend überarbeitet. Der aktualisierte Plan enthält viele neue Warnungen, die sich auf die Erkennung verdächtiger Aufrufe von Hochrisikooperationen konzentrieren. Diese neuen Warnungen bieten umfassende Überwachung für Angriffe in der gesamten MITRE ATT&CK-Matrix® für cloudbasierte Techniken.

Diese Matrix deckt das folgende Spektrum potenzieller Absichten von Bedrohungsakteuren ab, die es auf die Ressourcen Ihrer Organisation abgesehen haben könnten: Initialer Zugriff, Ausführung, Persistenz, Privilegieneskalation, Umgehung von Verteidigungsmaßnahmen, Zugriff auf Zugangsdaten, Entdeckung, seitliche Bewegung, Sammlung, Exfiltration und Auswirkungen.

Die neuen Ausschreibungen für diesen Defender-Plan decken diese Absichten wie in der folgenden Tabelle dargestellt ab.

Tipp

Diese Warnungen erscheinen auch auf der Referenzseite Warnungen.

Warnung (Warnungstyp) Beschreibung MITRE-Taktiken (Absichten) severity
Verdächtiger Aufruf einer risikoreichen "Initial Access"-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.InitialAccess)
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch des Zugriffs auf eingeschränkte Ressourcen hinweisen könnte. Die identifizierten Operationen sollen den Administratoren einen effizienten Zugriff auf ihre Umgebungen ermöglichen. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um einen ersten Zugang zu eingeschränkten Ressourcen in Ihrer Umgebung zu erhalten. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. Erstzugriff Medium
Verdächtiger Aufruf einer risikoreichen "Ausführungs"-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.Execution)
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs auf einem Computer in Ihrem Abonnement identifiziert, der auf einen Versuch der Ausführung von Code hinweisen könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um auf eingeschränkte Zugangsdaten zuzugreifen und Ressourcen in Ihrer Umgebung zu gefährden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. Ausführung Medium
Verdächtiger Aufruf einer hochriskanten 'Persistenz'-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.Persistence)
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch der Herstellung von Persistenz hinweisen könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein kann, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um sich in Ihrer Umgebung zu etablieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. Persistenz Medium
Verdächtiger Aufruf einer hochriskanten 'Privilege Escalation'-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.PrivilegeEscalation)
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch der Eskalation von Berechtigungen hinweisen könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um seine Privilegien zu erweitern und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. Berechtigungsausweitung Medium
Verdächtiger Aufruf einer hochriskanten 'Defense Evasion'-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.DefenseEvasion)
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch der Umgehung von Schutzmaßnahmen hinweisen könnte. Die identifizierten Operationen sollen es den Administratoren ermöglichen, die Sicherheitslage ihrer Umgebungen effizient zu verwalten. Diese Aktivitäten können zwar legitim sein, aber ein Bedrohungsakteur könnte solche Vorgänge nutzen, um nicht entdeckt zu werden, während er Ressourcen in Ihrer Umgebung kompromittiert. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. Umgehen von Verteidigungsmaßnahmen Medium
Verdächtiger Aufruf eines risikoreichen Vorgangs "Credential Access" entdeckt (Vorschau)
(ARM_AnomalousOperation.CredentialAccess)
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch des Zugriffs auf Anmeldeinformationen hinweisen könnte. Die identifizierten Operationen sollen den Administratoren einen effizienten Zugriff auf ihre Umgebungen ermöglichen. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um auf eingeschränkte Zugangsdaten zuzugreifen und Ressourcen in Ihrer Umgebung zu gefährden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. Zugriff auf Anmeldeinformationen Medium
Verdächtiger Aufruf einer Hochrisiko-Operation "Seitliche Bewegung" entdeckt (Vorschau)
(ARM_AnomalousOperation.LateralMovement)
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch der Durchführung einer seitlichen Bewegung/Verschiebung (Lateral Movement) hinweisen könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um weitere Ressourcen in Ihrer Umgebung zu gefährden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. Seitliche Verschiebung Medium
Verdächtiger Aufruf einer risikoreichen Operation "Datenerfassung" entdeckt (Vorschau)
(ARM_AnomalousOperation.Collection)
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch der Datenerfassung hinweisen könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um sensible Daten über Ressourcen in Ihrer Umgebung zu sammeln. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. Collection Medium
Verdächtiger Aufruf einer risikoreichen "Impact"-Operation entdeckt (Vorschau)
(ARM_AnomalousOperation.Impact)
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement festgestellt, der auf eine versuchte Konfigurationsänderung hinweisen könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um auf eingeschränkte Zugangsdaten zuzugreifen und Ressourcen in Ihrer Umgebung zu gefährden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. Wirkung Medium

Darüber hinaus sind diese beiden Ausschreibungen aus diesem Plan in der Vorschau erschienen:

Warnung (Warnungstyp) Beschreibung MITRE-Taktiken (Absichten) severity
Azure Resource Manager-Operation von verdächtiger IP-Adresse
(ARM_OperationFromSuspiciousIP)
Microsoft Defender für Resource Manager hat einen Vorgang über eine IP-Adresse erkannt, die in Threat Intelligence-Feeds als verdächtig gekennzeichnet wurde. Ausführung Mittel
Azure Resource Manager-Operation von verdächtiger Proxy-IP-Adresse
(ARM_OperationFromSuspiciousProxyIP)
Microsoft Defender für Resource Manager hat einen Ressourcenverwaltungsvorgang von einer IP-Adresse erkannt, die Proxydiensten zugeordnet ist, z. B. TOR. Dieses Verhalten kann legitim sein, aber es wird häufig mit bösartigen Aktivitäten in Verbindung gebracht, wenn Bedrohungsakteure versuchen, ihre Quell-IP-Adresse zu verbergen. Umgehen von Verteidigungsmaßnahmen Medium

Empfehlungen zur Aktivierung von Microsoft Defender-Plänen für Arbeitsbereiche (in der Vorschau)

Um alle Sicherheitsfunktionen von Microsoft Defender für Server und Microsoft Defender für SQL auf Computern nutzen zu können, müssen die Pläne sowohl auf Abonnement- als auch auf Arbeitsbereich-ebene aktiviert sein.

Wenn ein Rechner in einem Abonnement mit einem dieser Pläne aktiviert ist, werden Ihnen die vollen Schutzmaßnahmen in Rechnung gestellt. Wenn dieser Rechner jedoch an einen Arbeitsbereich berichtet, für den der Plan nicht aktiviert ist, werden Sie diese Vorteile nicht erhalten.

Wir haben zwei Empfehlungen hinzugefügt, die Arbeitsbereiche hervorheben, in denen diese Pläne nicht aktiviert sind, für die aber dennoch Maschinen aus Abonnements gemeldet werden, für die der Plan aktiviert ist.

Die beiden Empfehlungen, die beide eine automatische Behebung (die Aktion "Beheben") vorsehen, sind:

Empfehlung BESCHREIBUNG severity
Microsoft Defender für Server sollte auf Arbeitsbereichen aktiviert sein Microsoft Defender für Server bietet Bedrohungserkennung und erweiterten Schutz für Ihre Windows- und Linux-Rechner.
Wenn dieser Defender-Plan für Ihre Abonnements, aber nicht für Ihre Arbeitsbereiche aktiviert ist, zahlen Sie für die volle Leistungsfähigkeit von Microsoft Defender für Server, verpassen aber einige der Vorteile.
Wenn Sie Microsoft Defender für Server in einem Arbeitsbereich aktivieren, wird Microsoft Defender für Server allen Computern, die diesem Arbeitsbereich zugeordnet sind, in Rechnung gestellt - auch wenn sie Abonnements ohne aktivierte Defender-Tarife angehören. Wenn Sie Microsoft Defender nicht auch für Server im Abonnement aktivieren, können diese Maschinen nicht die Vorteile von Just-in-Time-VM-Zugriff, adaptiver Anwendungssteuerung und Netzwerkerkennung für Azure-Ressourcen nutzen.
Weitere Informationen erhalten Sie unter Übersicht über Microsoft Defender für Server.
(Keine zugehörige Richtlinie)
Medium
Microsoft Defender für SQL auf Computern sollte in Arbeitsbereichen aktiviert sein Microsoft Defender für Server bietet Bedrohungserkennung und erweiterten Schutz für Ihre Windows- und Linux-Rechner.
Wenn dieser Defender-Plan für Ihre Abonnements, aber nicht für Ihre Arbeitsbereiche aktiviert ist, zahlen Sie für die volle Leistungsfähigkeit von Microsoft Defender für Server, verpassen aber einige der Vorteile.
Wenn Sie Microsoft Defender für Server in einem Arbeitsbereich aktivieren, wird Microsoft Defender für Server allen Computern, die diesem Arbeitsbereich zugeordnet sind, in Rechnung gestellt - auch wenn sie Abonnements ohne aktivierte Defender-Tarife angehören. Wenn Sie Microsoft Defender nicht auch für Server im Abonnement aktivieren, können diese Maschinen nicht die Vorteile von Just-in-Time-VM-Zugriff, adaptiver Anwendungssteuerung und Netzwerkerkennung für Azure-Ressourcen nutzen.
Weitere Informationen erhalten Sie unter Übersicht über Microsoft Defender für Server.
(Keine zugehörige Richtlinie)
Medium

Automatische Bereitstellung des Log Analytics-Agents auf Computern mit Azure Arc-Unterstützung (Vorschau)

Defender für Cloud verwendet den Log Analytics-Agent, um sicherheitsrelevante Daten von Rechnern zu sammeln. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle und kopiert die Daten zur Analyse in Ihren Arbeitsbereich.

In den Einstellungen für die automatische Bereitstellung von Defender for Cloud ist eine Umschaltfläche für jeden unterstützten Erweiterungstyp verfügbar, einschließlich des Log Analytics-Agents.

In einer weiteren Erweiterung unserer Hybrid Cloud-Funktionen haben wir eine Option zum automatischen Bereitstellen des Log Analytics-Agents auf Computern, die mit Azure Arc verbunden sind, hinzugefügt.

Wie die anderen Optionen für die automatische Bereitstellung wird auch diese Option auf der Abonnementebene konfiguriert.

Wenn Sie diese Option aktivieren, werden Sie zur Eingabe des Arbeitsbereichs aufgefordert.

Hinweis

Für diese Vorschau können Sie nicht die Standardarbeitsbereiche auswählen, die von Defender für Cloud erstellt wurden. Um sicherzustellen, dass Sie den vollen Satz an Sicherheitsfunktionen erhalten, der für die Azure Arc-fähigen Server verfügbar ist, stellen Sie sicher, dass die entsprechende Sicherheitslösung auf dem ausgewählten Arbeitsbereich installiert ist.

Screenshot der Automatischen Bereitstellung des Log Analytics-Agents auf Ihren Azure Arc-fähigen Computern.

Die Empfehlung, sensible Daten in SQL-Datenbanken zu klassifizieren, wurde abgeschafft

Wir haben die Empfehlung Sensible Daten in Ihren SQL-Datenbanken sollten klassifiziert werden als Teil einer Überarbeitung der Art und Weise entfernt, wie Defender for Cloud sensible Daten in Ihren Cloud-Ressourcen identifiziert und schützt.

Vorankündigungen zu dieser Änderung erschienen in den letzten sechs Monaten auf der Seite Wichtige bevorstehende Änderungen an Microsoft Defender für Cloud.

Die folgende Warnung war bisher nur für Unternehmen verfügbar, die den Plan Microsoft Defender für DNS aktiviert hatten.

Mit diesem Update wird die Warnung auch für Abonnements angezeigt, bei denen der Plan Microsoft Defender für Server oder Defender für App Service aktiviert ist.

Außerdem hat Microsoft Threat Intelligence die Liste von bekannten bösartigen Domänen um Domänen erweitert, die mit der Ausnutzung der weithin bekannt gewordenen Schwachstellen im Zusammenhang mit „Log4j“ in Verbindung stehen.

Warnung (Warnungstyp) Beschreibung MITRE-Taktiken severity
Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence
(AzureDNS_ThreatIntelSuspectDomain)
Die Kommunikation mit der verdächtigen Domäne wurde erkannt, indem DNS-Transaktionen aus der Ressource analysiert und mit bekannten schädlichen Domänen verglichen werden, die durch Threat Intelligence-Feeds identifiziert werden. Die Kommunikation mit bösartigen Domänen wird häufig von Angreifern durchgeführt und könnte bedeuten, dass Ihre Ressource gefährdet ist. Erstzugriff / Persistenz / Ausführung / Befehl und Kontrolle / Ausbeutung Mittel

Schaltfläche "Alarm JSON kopieren" im Detailbereich für Sicherheitswarnungen hinzugefügt

Damit unsere Benutzer die Details einer Warnung schnell mit anderen teilen können (z. B. SOC-Analysten, Ressourcenbesitzer und Entwickler), haben wir die Möglichkeit hinzugefügt, alle Details einer bestimmten Warnung mit einer Schaltfläche aus dem Detailbereich der Sicherheitswarnung zu extrahieren.

Die neue JSON-Schaltfläche "Warnung kopieren" fügt die Details der Warnung im JSON-Format in die Zwischenablage des Benutzers ein.

Screenshot: JSON-Schaltfläche ‚Alarm kopieren‘ im Detailbereich des Alarms.

Zwei Empfehlungen umbenannt

Aus Gründen der Konsistenz mit anderen Empfehlungsbezeichnungen haben wir die beiden folgenden Empfehlungen umbenannt:

  • Empfehlung zur Behebung von Sicherheitslücken, die in laufenden Container-Images entdeckt wurden

    • Vorheriger Name: Schwachstellen in laufenden Container-Images sollten behoben werden (powered by Qualys)
    • Neuer Name: Bei laufenden Container-Images sollten die Schwachstellen behoben sein
  • Empfehlung zur Aktivierung von Diagnoseprotokollen für Azure App Service

    • Vorheriger Name: Diagnoseprotokolle sollten in App Service aktiviert werden
    • Neuer Name: Diagnoseprotokolle im App Service sollten aktiviert werden

Die Richtlinie „Kubernetes-Clustercontainer sollten nur an zulässigen Ports lauschen“ ist veraltet

Wir haben die Empfehlung Kubernetes-Clustercontainer sollten nur an zulässigen Ports lauschen als „veraltet“ festgelegt.

Richtlinienname BESCHREIBUNG Auswirkungen Version
Container in einem Kubernetes-Cluster dürfen nur an zugelassenen Ports lauschen Hiermit wird erzwungen, dass Container nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter Grundlegendes zu Azure Policy für Kubernetes-Cluster. Audit, Deny, Disabled 6.1.2

Die Empfehlung Dienste sollten nur an zulässigen Ports lauschen sollte verwendet werden, um die Ports zu begrenzen, die eine Anwendung dem Internet zur Verfügung stellt.

Arbeitsmappe „Aktive Warnungen“ wurde hinzugefügt

Wir haben die Arbeitsmappe „Aktive Warnungen“ hinzugefügt, um unseren Benutzern dabei zu helfen, die aktiven Bedrohungen ihrer Umgebungen zu verstehen und aktive Warnungen während des Wartungsprozesses zu priorisieren.

Screenshot: Hinzufügen der Active Alarmarbeitsmappe.

Mit der aktiven Warnungsarbeitsmappe können Benutzer ein einheitliches Dashboard ihrer aggregierten Warnungen nach Schweregrad, Typ, Tag, MITRE ATT&CK-Taktiken und Standort anzeigen. Weitere Informationen finden Sie unter Verwenden der Arbeitsmappe „Aktive Warnungen“.

„Systemupdate“-Empfehlung wurde zur Government-Cloud hinzugefügt

Die Empfehlung „Systemupdates müssen auf Ihren Computern installiert werden“ ist jetzt in allen Government-Clouds verfügbar.

Es ist wahrscheinlich, dass sich diese Änderung auf die Sicherheitsbewertung Ihres Government-Cloudabonnements auswirkt. Es wird erwartet, dass die Änderung zu einer niedrigeren Bewertung führt, aber es ist möglich, dass die Einbeziehung der Empfehlung in einigen Fällen eine höhere Bewertung zur Folge hat.

Dezember 2021

Zu den Updates im Dezember gehören:

Plan für Microsoft Defender für Container für allgemeine Verfügbarkeit (General Availability, GA) veröffentlicht

Im Rahmen des Azure Defender-Angebots in Microsoft Defender für Cloud wurden vor mehr als zwei Jahren Defender für Kubernetes und Defender für Containerregistrierungen eingeführt.

Mit der Veröffentlichung von Microsoft Defender für Container haben wir diese beiden vorhandenen Defender-Pläne zusammengeführt.

Merkmale des neuen Plans:

  • Er kombiniert die Features der beiden vorhandenen Pläne miteinander: Bedrohungserkennung für Kubernetes-Cluster und Sicherheitsrisikobewertung für Images, die in Containerregistrierungen gespeichert sind.
  • Er bietet neue und verbesserte Features: Einschließlich Unterstützung mehrerer Clouds, Bedrohungserkennung auf Hostebene mit über 60 neuen Kubernetes-fähigen Analysen und Sicherheitsrisikobewertung für ausgeführte Images.
  • Er führt Kubernetes-natives Onboarding im großen Stil ein: Beim Aktivieren des Plans werden standardmäßig alle relevanten Komponenten für die automatische Bereitstellung konfiguriert.

Mit diesem Release hat sich die Verfügbarkeit und Darstellung von Defender für Kubernetes und Defender für Containerregistrierungen wie folgt geändert:

  • Neue Abonnements: Die beiden vorherigen Containerpläne sind nicht mehr verfügbar.
  • Vorhandene Abonnements: Die Pläne werden überall im Azure-Portal als Veraltet angezeigt – zusammen mit einer Anleitung zum Upgraden auf den neueren Plan.Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

Der neue Plan ist für Dezember 2021 kostenlos. Informationen zu den potenziellen Abrechnungsänderungen zwischen den alten Plänen und Defender für Container sowie ausführlichere Informationen zu den Vorteilen dieses Plans finden Sie in der Einführung in Microsoft Defender für Container.

Weitere Informationen finden Sie unter

Neue Warnungen für Microsoft Defender für Speicher für allgemeine Verfügbarkeit (General Availability, GA) veröffentlicht

Bedrohungsakteure verwenden Tools und Skripts, um nach öffentlich zugänglichen Containern zu suchen, und spekulieren darauf, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden.

Microsoft Defender für Speicher erkennt diese Scanner, sodass Sie sie blockieren und Ihren Sicherheitsstatus verbessern können.

Die Vorschauwarnung, die festgestellt hat, wurde als "Anonymer Scan von öffentlichen Speichercontainern" bezeichnet. Um die gefundenen verdächtigen Ereignisse klarer zu machen, wurde die Warnung in zwei neue Warnungen aufgeteilt. Diese Warnungen sind nur für Azure Blob Storage relevant.

Wir haben die Erkennungslogik verbessert, die Warnungsmetadaten aktualisiert sowie Warnungsname und Warnungstyp geändert.

Dies sind die neuen Warnungen:

Warnung (Warnungstyp) Beschreibung MITRE-Taktik severity
Öffentlich zugängliche Speichercontainer erfolgreich gefunden
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
In der letzten Stunde wurde durch ein Überprüfungsskript oder -tool mindestens ein öffentlich zugänglicher Speichercontainer in Ihrem Speicherkonto gefunden.

Dies deutet in der Regel auf einen Reconnaissanceangriff hin, bei dem der Bedrohungsakteur versucht, Blobs durch Erraten von Containernamen auflisten zu lassen, in der Hoffnung, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden.

Der Bedrohungsakteur kann sein eigenes Skript oder bekannte Scantools wie Microburst verwenden, um nach öffentlich zugänglichen Containern zu suchen.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Collection Medium
Öffentlich zugängliche Speichercontainer nicht erfolgreich gescannt
(Storage.Blob_OpenContainersScanning.FailedAttempt)
In der letzten Stunde wurde mehrmals erfolglos versucht, nach öffentlich zugänglichen Speichercontainern zu suchen.

Dies deutet in der Regel auf einen Reconnaissanceangriff hin, bei dem der Bedrohungsakteur versucht, Blobs durch Erraten von Containernamen auflisten zu lassen, in der Hoffnung, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden.

Der Bedrohungsakteur kann sein eigenes Skript oder bekannte Scantools wie Microburst verwenden, um nach öffentlich zugänglichen Containern zu suchen.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Sammlung Niedrig

Weitere Informationen finden Sie unter

Verbesserungen für Warnungen für Microsoft Defender für Speicher

Die Warnungen im Zusammenhang mit dem ersten Zugriff sind jetzt genauer und enthalten mehr Daten, um die Untersuchung zu unterstützen.

Bedrohungsakteure verwenden beim ersten Zugriff verschiedene Techniken, um innerhalb eines Netzwerks Fuß zu fassen. Zwei der Warnungen von Microsoft Defender für Speicher, die Verhaltensanomalien in dieser Phase erkennen, verfügen jetzt über eine verbesserte Erkennungslogik sowie über zusätzliche Daten, um Untersuchungen zu unterstützen.

Falls in der Vergangenheit für diese Warnungen Automatisierungen konfiguriert oder Warnungsunterdrückungsregeln definiert wurden, aktualisieren Sie sie entsprechend.

Erkennen des Zugriffs über einen Tor-Exitknoten

Der Zugriff über einen Tor-Exitknoten kann auf einen Bedrohungsakteur hindeuten, der versucht, seine Identität zu verbergen.

Die Warnung ist jetzt so optimiert, dass sie nur für authentifizierten Zugriff generiert wird. Dadurch erhöht sich sowohl die Genauigkeit als auch die Wahrscheinlichkeit, dass die Aktivität schädlich ist. Durch diese Verbesserung wird die Rate unschädlich positiver Ergebnisse reduziert.

Ein anormales Muster hat einen hohen Schweregrad, während weniger anomale Muster einen mittleren Schweregrad aufweisen.

Der Warnungsname und die Beschreibung wurden aktualisiert. Der Warnungstyp (AlertType) bleibt unverändert.

  • Warnungsname (alt): Zugriff von einem Tor-Beendigungsknoten auf ein Speicherkonto
  • Warnungsname (neu): Authentifizierter Zugriff von einem Tor-Exitknoten
  • Warnungstypen: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
  • Beschreibung: Auf eine(n) oder mehrere Speichercontainer/Dateifreigaben in Ihrem Speicherkonto wurde erfolgreich über eine IP-Adresse zugegriffen, die als aktiver Exitknoten von Tor (anonymisierender Proxy) bekannt ist. Bedrohungsakteure verwenden Tor, um die Rückverfolgung der Aktivität zu erschweren. Der authentifizierte Zugriff über einen Tor-Exitknoten ist wahrscheinlich ein Hinweis darauf, dass ein Bedrohungsakteur versucht, seine Identität zu verbergen. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
  • MITRE-Taktik: Erster Zugriff
  • Schweregrad: Hoch/Mittel

Ungewöhnlicher nicht authentifizierter Zugriff

Eine Änderung der Zugriffsmuster kann darauf hindeuten, dass ein Bedrohungsakteur den öffentlichen Lesezugriff auf Speichercontainer ausnutzen konnte, indem er sich entweder einen Fehler in Zugriffskonfigurationen zunutze gemacht oder die Zugriffsberechtigungen geändert hat.

Diese Warnung mit mittlerem Schweregrad verfügt jetzt über eine verbesserte Verhaltenslogik und eine höhere Genauigkeit sowie über eine höhere Zuverlässigkeit bei der Einschätzung, ob es sich um eine schädliche Aktivität handelt. Durch diese Verbesserung wird die Rate unschädlich positiver Ergebnisse reduziert.

Der Warnungsname und die Beschreibung wurden aktualisiert. Der Warnungstyp (AlertType) bleibt unverändert.

  • Warnungsname (alt): Anonymer Zugriff auf ein Speicherkonto
  • Warnungsname (neu): Ungewöhnlicher nicht authentifizierter Zugriff auf einen Speichercontainer
  • Warnungstypen: Storage.Blob_AnonymousAccessAnomaly
  • Beschreibung: Auf dieses Speicherkonto wurde ohne Authentifizierung zugegriffen. Dies ist eine Änderung des allgemeinen Zugriffsmusters. Der Lesezugriff auf diesen Container wird in der Regel authentifiziert. Dies kann darauf hindeuten, dass ein Bedrohungsakteur den öffentlichen Lesezugriff auf Speichercontainer in diesen Speicherkonten ausnutzen konnte. Gilt für: Azure Blob Storage
  • MITRE-Taktik: Sammlung
  • Schweregrad: Mittel

Weitere Informationen finden Sie unter

PortSweeping-Warnung aus Warnungen auf Netzwerkebene entfernt

Die folgende Warnung wurde aufgrund von Ineffizienzen aus den Warnungen auf Netzwerkebene entfernt:

Warnung (Warnungstyp) Beschreibung MITRE-Taktiken severity
Mögliche ausgehende Portscanaktivität erkannt
(PortSweeping)
Bei der Analyse des Netzwerkdatenverkehrs wurde verdächtiger ausgehender Datenverkehr von %{Compromised Host} erkannt. Dieser Datenverkehr kann das Ergebnis einer Portscanaktivität sein. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Wenn dieses Verhalten beabsichtigt ist, beachten Sie, dass die Durchführung von Portscans gegen die Vertragsbedingungen von Azure verstößt. Wenn dieses Verhalten nicht beabsichtigt ist, kann dies darauf hindeuten, dass Ihre Ressourcen kompromittiert worden sind. Ermittlung Medium

November 2021

Unser Ignite-Release umfasst Folgendes:

Weitere Änderungen im November sind:

Azure Security Center und Azure Defender werden zu Microsoft Defender für Cloud

Gemäß dem Bericht 2021 State of the Cloud verfügen 92 % der Organisationen jetzt über eine Multi-Cloud-Strategie. Ziel von Microsoft ist es, die Sicherheit in Umgebungen zu zentralisieren und Sicherheitsteams dabei zu unterstützen, effektiver zu arbeiten.

Microsoft Defender for Cloud ist eine Lösung für Cloud Security Posture Management (CSPM) und Cloudworkloadschutz (Cloud Workload Protection, CWP), die Schwachstellen in Ihrer Cloudkonfiguration entdeckt, den allgemeinen Sicherheitsstatus Ihrer Umgebung stärkt und Workloads in Umgebungen mit mehreren Clouds und Hybridumgebungen schützt.

Auf der Ignite 2019 haben wir unsere Vision vorgestellt, den umfassendsten Ansatz für die Absicherung Ihrer digitalen Ressourcen zu entwickeln und XDR-Technologien unter der Marke Microsoft Defender zu integrieren. Die Zusammenführung von Azure Security Center und Azure Defender unter dem neuen Namen Microsoft Defender for Cloud spiegelt die integrierten Funktionen unseres Sicherheitsangebots sowie unsere Fähigkeit zur Unterstützung jeder Cloudplattform wider.

Native CSPM für AWS und Bedrohungsschutz für Amazon EKS und AWS EC2

Eine neue Seite mit Umgebungseinstellungen bietet mehr Transparenz und Kontrolle über Ihre Verwaltungsgruppen, Abonnements und AWS-Konten. Die Seite ist für das Onboarding von AWS-Konten im großen Stil konzipiert: Durch das Verbinden Ihres AWS-Verwaltungskontos werden automatisch vorhandene und zukünftige Konten integriert.

Verwenden Sie die neue Seite mit den Umgebungseinstellungen, um eine Verbindung mit Ihren AWS-Konten herzustellen.

Wenn Sie Ihre AWS-Konten hinzugefügt haben, schützt Defender für Cloud Ihre AWS-Ressourcen mit einem oder allen der folgenden Pläne:

  • Die CSPM-Features von Defender für Cloud werden auf Ihre AWS-Ressourcen ausgeweitet. Dieser Plan ohne Agent bewertet Ihre AWS-Ressourcen gemäß AWS-spezifischen Sicherheitsempfehlungen und ist in Ihrer Sicherheitsbewertung enthalten. Die Ressourcen werden auch auf Einhaltung integrierter AWS-spezifischer Standards (AWS CIS, AWS PCI-DSS und AWS Foundational Security Best Practices) bewertet. Die Seite Bestandsverzeichnis von Defender für Cloud ist eine Multi-Cloud-Funktion, die Ihnen hilft, Ihre AWS-Ressourcen zusammen mit Ihren Azure-Ressourcen zu verwalten.
  • Mit Microsoft Defender für Kubernetes werden die Containerbedrohungserkennung und erweiterten Schutzmaßnahmen auf Ihre Amazon EKS Linux-Cluster ausgeweitet.
  • Microsoft Defender für Server stattet Ihre Windows- und Linux-EC2-Instanzen mit Bedrohungserkennung und erweiterten Schutzmaßnahmen aus. Dieser Plan umfasst die integrierte Lizenz für Microsoft Defender für Endpunkt, Sicherheitsbaselines und Bewertungen auf Betriebssystemebene, Überprüfungen zur Sicherheitsrisikobewertung, adaptive Anwendungssteuerung (AAC), Überwachung der Dateiintegrität (FIM) und mehr.

Weitere Informationen zum Verbinden Ihrer AWS-Konten mit Microsoft Defender für Cloud.

Priorisieren von Sicherheitsaktionen nach Datensensitivität (unterstützt durch Microsoft Purview) (in der Vorschau)

Datenressourcen bleiben ein beliebtes Ziel für Bedrohungsakteure. Daher ist es wichtig, dass Sicherheitsteams vertrauliche Datenressourcen in ihren Cloudumgebungen identifizieren, priorisieren und schützen.

Um diese Herausforderung zu bewältigen, integriert Microsoft Defender für Cloud jetzt Vertraulichkeitsinformationen aus Microsoft Purview. Microsoft Purview ist ein einheitlicher Datengovernance-Dienst, der umfassende Einblicke in die Vertraulichkeit Ihrer Daten innerhalb von Multi-Cloud- und lokalen Workloads bietet.

Die Integration in Microsoft Purview weitet Ihre Sicherheitstransparenz in Defender für Cloud von der Infrastrukturebene bis hinunter zu den Daten aus und ermöglicht eine völlig neue Möglichkeit, Ressourcen und Sicherheitsaktivitäten für Ihre Sicherheitsteams zu priorisieren.

Weitere Informationen finden Sie unter Priorisieren von Sicherheitsaktionen nach Datenvertraulichkeit.

Erweiterte Sicherheitskontrollbewertungen mit dem Azure-Sicherheitsvergleichstest v3

Die Sicherheitsempfehlungen in Microsoft Defender for Cloud werden von Azure Security Benchmark unterstützt.

Beim Azure-Sicherheitsvergleichstest handelt es sich um einen von Microsoft erstellten Satz mit Azure-spezifischen Richtlinien zu bewährten Methoden für Sicherheit und Compliance, die auf allgemeinen Complianceframeworks basieren. Diese weit verbreitete Benchmark basiert auf den Kontrollen des Center for Internet Security (CIS) und des National Institute of Standards and Technology (NIST) und konzentriert sich auf cloudzentrierte Sicherheit.

Ab der Ignite 2021 ist v3 des Azure-Sicherheitsvergleichstests im Dashboard für die Einhaltung gesetzlicher Bestimmungen von Defender für Cloud verfügbar und als neue Standardinitiative für alle Azure-Abonnements aktiviert, die mit Microsoft Defender für Cloud geschützt werden.

Zu den Verbesserungen für v3 gehören:

  • Zusätzliche Zuordnungen zu den Branchenframeworks PCI-DSS v3.2.1 und CIS Controls v8.

  • Detailliertere und umsetzbare Anleitungen für Steuerungen mit der Einführung von Folgendem:

    • Sicherheitsprinzipien: Einblicke in die allgemeinen Sicherheitsziele, die die Grundlage für unsere Empfehlungen bilden.
    • Azure-Leitfaden – Die technische "Vorgehensweise" für die Erfüllung dieser Ziele.
  • Neue Steuerungen umfassen DevOps-Sicherheit für Probleme wie Bedrohungsmodellierung und Sicherheit der Softwarelieferkette sowie Schlüssel- und Zertifikatverwaltung für bewährte Methoden in Azure.

Weitere Informationen finden Sie in der Einführung zum Azure-Sicherheitsvergleichstest.

Optionale bidirektionale Warnungssynchronisierung des Microsoft Sentinel-Connectors – jetzt allgemein verfügbar

Im Juli wurde eine Previewfunktion angekündigt, die bidirektionale Warnungssynchronisierung für den integrierten Connector in Microsoft Sentinel (die cloudnative SIEM- und SOAR-Lösung von Microsoft). Dieses Feature ist jetzt allgemein verfügbar.

Wenn Sie Microsoft Defender für Cloud mit Microsoft Sentinel verbinden, wird der Status von Sicherheitswarnungen zwischen den beiden Diensten synchronisiert. Wenn also beispielsweise eine Warnung in Defender for Cloud geschlossen wird, wird diese Warnung auch in Microsoft Sentinel als geschlossen angezeigt. Die Änderung des Status einer Warnung in Defender für Cloud wirkt sich nicht auf den Status aller Microsoft Sentinel Vorfälle aus, die die synchronisierte Microsoft Sentinel-Warnung enthalten, sondern nur auf den der synchronisierten Warnung selbst.

Wenn Sie Bidirektionale Synchronisierung von Warnungen aktivieren, wird der Status der ursprünglichen Defender for Cloud-Warnungen automatisch mit Microsoft Sentinel-Vorfällen synchronisiert, die Kopien dieser Warnungen enthalten. Wenn zum Beispiel ein Microsoft Sentinel-Vorfall, der eine Defender für Cloud-Warnung enthält, geschlossen wird, schließt Defender für Cloud automatisch die entsprechende ursprüngliche Warnung.

Weitere Informationen finden Sie unter Verbinden von Azure Defender-Benachrichtigungen aus Azure Security Center und Streamen von Warnungen in Azure Sentinel.

Neue Empfehlung zum Pushen von Azure Kubernetes Service-Protokollen (AKS) an Sentinel

In einer weiteren Verbesserung des kombinierten Werts von Defender für Cloud und Microsoft Sentinel werden jetzt Azure Kubernetes Service-Instanzen hervorgehoben, die keine Protokolldaten an Microsoft Sentinel senden.

SecOps-Teams können den entsprechenden Microsoft Sentinel-Arbeitsbereich direkt auf der Seite mit den Empfehlungsdetails auswählen und sofort das Streaming von Rohprotokollen aktivieren. Diese nahtlose Verbindung zwischen den beiden Produkten erleichtert es Sicherheitsteams, eine vollständige Protokollierungsabdeckung für ihre Workloads sicherzustellen, damit sie über die gesamte Umgebung auf dem Laufenden bleiben.

Die neue Empfehlung „Diagnoseprotokolle in Kubernetes-Diensten sollten aktiviert werden“ enthält die Option „Korrigieren“ für eine schnellere Korrektur.

Wir haben auch die Empfehlung „Überwachung auf SQL Server sollte aktiviert sein“ um die gleichen Sentinel-Streamingfunktionen erweitert.

Dem MITRE ATT-&CK®-Framework zugeordnete Empfehlungen – jetzt allgemein verfügbar

Wir haben die Sicherheitsempfehlungen von Defender für Cloud erweitert, um ihre Position im MITRE ATT&CK®-Framework anzuzeigen. Diese weltweit zugängliche Wissensbasis über die Taktiken und Techniken von Bedrohungsakteuren, die auf Beobachtungen in der realen Welt beruht, bietet mehr Kontext, um Ihnen zu helfen, die Risiken für Ihre Umgebung im Zusammenhang mit den Empfehlungen zu verstehen.

Sie finden diese Taktiken überall dort, wo Sie auf Empfehlungsinformationen zugreifen:

  • Azure Resource Graph-Abfrageergebnisse für relevante Empfehlungen beinhalten die MITRE ATT&CK®-Taktiken und -Techniken.

  • Die Seiten mit den Empfehlungsdetails zeigen die Zuordnung für alle relevanten Empfehlungen:

  • Die Seite „Empfehlungen“ in Defender für Cloud verfügt über einen neuen -Filter zur Auswahl von Empfehlungen nach der zugehörigen Taktik:

Weitere Informationen finden Sie unter Überprüfen der Sicherheitsempfehlungen.

Bedrohungs- und Sicherheitsrisikomanagement von Microsoft als Lösung zur Sicherheitsrisikobewertung hinzugefügt (in der Vorschau) – jetzt allgemein verfügbar

Im Oktober wurde eine Erweiterung der Integration zwischen Microsoft Defender für Server und Microsoft Defender für Endpunkt angekündigt, um einen neuen Anbieter von Sicherheitsrisikobewertungen für Ihre Computer zu unterstützen: Bedrohungs- und Sicherheitsrisikomanagement von Microsoft. Dieses Feature ist jetzt allgemein verfügbar.

Verwenden Sie Bedrohungs- und Schwachstellenmanagement, um Schwachstellen und Fehlkonfigurationen nahezu in Echtzeit zu erkennen, wenn die Integration mit Microsoft Defender für Endpoint aktiviert ist, ohne dass zusätzliche Agenten oder regelmäßige Scans erforderlich sind. Das Bedrohungs- und Schwachstellenmanagement priorisiert Schwachstellen auf der Grundlage der Bedrohungslandschaft und der Entdeckungen in Ihrem Unternehmen.

Verwenden Sie die Sicherheitsempfehlung "Eine Lösung zur Bewertung von Schwachstellen sollte auf Ihren virtuellen Maschinen aktiviert sein", um die von der Bedrohungs- und Schwachstellenverwaltung erkannten Schwachstellen für Ihre unterstützten Maschinen anzuzeigen.

Um die Schwachstellen auf bestehenden und neuen Maschinen automatisch zu erkennen, ohne die Empfehlung manuell korrigieren zu müssen, siehe Schwachstellenbewertungslösungen können jetzt automatisch aktiviert werden (in der Vorschau).

Weitere Informationen finden Sie unter Untersuchen Sie Schwachstellen mit dem Bedrohungs- und Schwachstellenmanagement von Microsoft Defender for Endpoint.

Microsoft Defender für Endpunkt für Linux wird jetzt von Microsoft Defender für Server unterstützt – jetzt allgemein verfügbar

Im August wurde die Vorschauunterstützung für die Bereitstellung des Defender für Endpunkt für Linux-Sensors auf unterstützten Linux-Computern angekündigt. Dieses Feature ist jetzt allgemein verfügbar.

Microsoft Defender für Server beinhaltet eine integrierte Lizenz für Microsoft Defender für Endpunkt. Dadurch stehen umfassende EDR-Funktionen (Endpoint Detection and Response; Endpunkterkennung und -reaktion) zur Verfügung.

Wenn Defender für Endpunkt eine Bedrohung erkennt, wird eine Warnung ausgelöst. Die Warnung wird in Defender für Cloud angezeigt. Über Defender für Cloud können Sie auch zur Defender für Endpunkt-Konsole wechseln und eine detaillierte Untersuchung durchführen, um das Ausmaß des Angriffs zu ermitteln.

Weitere Informationen finden Sie unter Schützen Sie Ihre Endpunkte mit der in Security Center integrierten EDR-Lösung: Microsoft Defender für den Endpunkt.

Momentaufnahmeexport für Empfehlungen und Sicherheitsergebnisse (in der Vorschau)

Defender für Cloud generiert detaillierte Sicherheitswarnungen und -empfehlungen. Sie können diese im Portal oder über programmgesteuerte Tools anzeigen. Möglicherweise müssen Sie diese Informationen auch ganz oder teilweise für die Nachverfolgung mit anderen Überwachungstools in Ihrer Umgebung exportieren.

Mit dem fortlaufenden Export-Feature von Defender für Cloud können Sie umfassend anpassen, was exportiert wird und wohin. Weitere Informationen finden Sie unter Fortlaufendes Exportieren von Microsoft Defender für Cloud-Daten.

Obwohl das Feature als fortlaufend bezeichnet wird, gibt es auch eine Option zum Exportieren von wöchentlichen Momentaufnahmen. Bisher waren diese wöchentlichen Momentaufnahmen auf Sicherheitsbewertung und Daten zur Einhaltung gesetzlicher Bestimmungen beschränkt. Wir haben die Funktion zum Exportieren von Empfehlungen und Sicherheitsergebnissen hinzugefügt.

Automatische Bereitstellung von Lösungen zur Sicherheitsrisikobewertung – jetzt allgemein verfügbar

Im Oktober haben wir angekündigt, dass der Seite für die automatische Bereitstellung von Defender for Cloud Lösungen zur Sicherheitsrisikobewertung hinzugefügt werden. Dies ist für virtuelle Azure-Computer und Azure Arc-Computer in Abonnements relevant, die durch Azure Defender für Server geschützt sind. Dieses Feature ist jetzt allgemein verfügbar.

Wenn die Integration mit Microsoft Defender for Endpunkt aktiviert ist, zeigt Defender für Cloud außerdem eine Auswahl an Lösungen zur Sicherheitsrisikobewertung an:

  • (NEU) Das Microsoft Bedrohungs- und Schwachstellenmanagement-Modul von Microsoft Defender für Endpoint (siehe die Release Note)
  • Der integrierte Qualys-Agent

Die von Ihnen gewählte Lösung wird automatisch auf unterstützten Maschinen aktiviert.

Erfahren Sie mehr unter Automatische Konfiguration der Schwachstellenbewertung für Ihre Maschinen.

Softwareinventurfilter im Bestandsverzeichnis – jetzt allgemein verfügbar

Im Oktober wurden neue Filter für die Seite Bestandsverzeichnisangekündigt, mit denen Sie Computer, auf denen bestimmte Software ausgeführt wird, auswählen und dabei sogar die gewünschten Versionen angeben können. Dieses Feature ist jetzt allgemein verfügbar.

Sie können die Softwareinventurdaten im Azure Resource Graph Explorer abfragen.

Um diese Features nutzen zu können, müssen Sie die Integration mit Microsoft Defender for Endpoint aktivieren.

Ausführliche Informationen, einschließlich Beispielabfragen von Kusto für Azure Resource Graph, finden Sie unter Zugriff auf ein Softwareinventar.

Neue AKS-Sicherheitsrichtlinie zur Standardinitiative hinzugefügt

Um sicherzustellen, dass Kubernetes-Workloads standardmäßig sicher sind, fügt Defender für Cloud Richtlinien auf Kubernetes-Ebene und Härtungsempfehlungen hinzu, einschließlich Erzwingungsoptionen mit Kubernetes-Zugangskontrolle.

Im Rahmen dieses Projekts haben wir eine Richtlinie und Empfehlung (standardmäßig deaktiviert) für die Verhinderung der Bereitstellung in Kubernetes-Clustern hinzugefügt. Die Richtlinie befindet sich in der Standardinitiative, ist aber nur für Organisationen relevant, die sich für die zugehörige Vorschau registrieren.

Sie können die Richtlinien und Empfehlung („Kubernetes-Cluster sollten die Bereitstellung anfälliger Images verhindern“) problemlos ignorieren. Dies hat keine Auswirkungen auf Ihre Umgebung.

Wenn Sie an der Vorschau teilnehmen möchten, müssen Sie Mitglied des Vorschaurings sein. Wenn Sie noch kein Mitglied sind, senden Sie hier eine Anforderung. Mitglieder werden benachrichtigt, wenn die Vorschau beginnt.

Anwendung einer anderen Vorlage für den Ressourcennamen auf die Bestandsanzeige von lokalen Computern

Um die Darstellung von Ressourcen unter Ressourcenbestand zu verbessern, wurde das Element „source-computer-IP“ aus der Vorlage für die Benennung von lokalen Computern entfernt.

  • Vorheriges Format: machine-name_source-computer-id_VMUUID
  • Aus diesem Update: machine-name_VMUUID

Oktober 2021

Updates im Oktober:

Microsoft Threat and Vulnerability Management als Lösung zur Schwachstellenbewertung hinzugefügt (in der Vorschau)

Wir haben die Integration zwischen Azure Defender für Server und Microsoft Defender für Endpoint erweitert, um eine neue Sicherheitsrisikobewertung für Ihre Computer zu unterstützen: Bedrohungs- und Sicherheitsrisikomanagement von Microsoft.

Verwenden Sie Bedrohungs- und Schwachstellenmanagement, um Schwachstellen und Fehlkonfigurationen nahezu in Echtzeit zu erkennen, wenn die Integration mit Microsoft Defender für Endpoint aktiviert ist, ohne dass zusätzliche Agenten oder regelmäßige Scans erforderlich sind. Das Bedrohungs- und Schwachstellenmanagement priorisiert Schwachstellen auf der Grundlage der Bedrohungslandschaft und der Entdeckungen in Ihrem Unternehmen.

Verwenden Sie die Sicherheitsempfehlung "Eine Lösung zur Bewertung von Schwachstellen sollte auf Ihren virtuellen Maschinen aktiviert sein", um die von der Bedrohungs- und Schwachstellenverwaltung erkannten Schwachstellen für Ihre unterstützten Maschinen anzuzeigen.

Um die Schwachstellen auf bestehenden und neuen Maschinen automatisch zu erkennen, ohne die Empfehlung manuell korrigieren zu müssen, siehe Schwachstellenbewertungslösungen können jetzt automatisch aktiviert werden (in der Vorschau).

Weitere Informationen finden Sie unter Untersuchen Sie Schwachstellen mit dem Bedrohungs- und Schwachstellenmanagement von Microsoft Defender for Endpoint.

Lösungen zur Schwachstellenanalyse können jetzt automatisch aktiviert werden (in der Vorschau)

Die Seite für die automatische Bereitstellung in Security Center enthält jetzt eine Option zum automatischen Aktivieren einer Lösung zur Sicherheitsrisikoanalyse für Azure-VMs und Azure Arc-Computer in Abonnements, die durch Azure Defender for Servers geschützt sind.

Wenn die Integration mit Microsoft Defender for Endpunkt aktiviert ist, zeigt Defender für Cloud außerdem eine Auswahl an Lösungen zur Sicherheitsrisikobewertung an:

  • (NEU) Das Microsoft Bedrohungs- und Schwachstellenmanagement-Modul von Microsoft Defender für Endpoint (siehe die Release Note)
  • Der integrierte Qualys-Agent

Konfigurieren Sie die automatische Bereitstellung der Bedrohungs- und Sicherheitsrisikomanagement von Microsoft aus dem Azure Security Center.

Die von Ihnen gewählte Lösung wird automatisch auf unterstützten Maschinen aktiviert.

Erfahren Sie mehr unter Automatische Konfiguration der Schwachstellenbewertung für Ihre Maschinen.

Software-Inventarisierungsfilter zum Anlageninventar hinzugefügt (in Vorschau)

Die Seite Anlageninventar enthält jetzt einen Filter zur Auswahl von Rechnern, auf denen bestimmte Software läuft - und sogar zur Angabe der gewünschten Versionen.

Außerdem können Sie die Softwareinventardaten im Azure Resource Graph Explorer abfragen.

Um diese neuen Funktionen nutzen zu können, müssen Sie die Integration mit Microsoft Defender for Endpoint aktivieren.

Ausführliche Informationen, einschließlich Beispielabfragen von Kusto für Azure Resource Graph, finden Sie unter Zugriff auf ein Softwareinventar.

Wenn Sie die Lösung für Bedrohungen und Schwachstellen aktiviert haben, bietet das Bestandsverzeichnis des Security Centers einen Filter zur Auswahl von Ressourcen anhand ihrer installierten Software.

Ändern des Präfix einiger Warnungstypen von „ARM_“ in „VM_“

Im Juli 2021 haben wir eine logische Neuorganisation des Azure Defender für Resource Manager-Warnungen angekündigt.

Während der Neuorganisation der Defender-Pläne wurden Warnungen von Azure Defender für Resource Manager nach Azure Defender for Servers verschoben.

Mit diesem Update haben wir die Präfixe dieser Warnungen so geändert, dass sie mit dieser Neuzuordnung übereinstimmen, und „ARM_“ durch „VM_“ ersetzt, wie in der folgenden Tabelle gezeigt:

Ursprünglicher Name Aus dieser Änderung
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

Hier finden Sie weitere Informationen zu den Plänen Azure Defender für Resource Manager und Azure Defender für Server.

Änderungen an der Logik einer Sicherheitsempfehlung für Kubernetes-Cluster

Die Empfehlung „Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden“ verhindert bei einer Reihe von Ressourcentypen die Verwendung des Standardnamespace. Zwei der Ressourcentypen, die in dieser Empfehlung enthalten waren, wurden entfernt: ConfigMap und Secret.

Weitere Informationen zu dieser Empfehlung und zum Härten Ihrer Kubernetes-Cluster finden Sie unter Grundlegendes zu Azure Policy für Kubernetes-Cluster.

Um die Beziehungen zwischen verschiedenen Empfehlungen zu verdeutlichen, haben wir den Detailseiten vieler Empfehlungen den Bereich Verwandte Empfehlungen hinzugefügt.

Die drei Beziehungstypen, die auf diesen Seiten angezeigt werden, sind:

  • Voraussetzung: Eine Empfehlung, die vor der ausgewählten Empfehlung abgeschlossen werden muss.
  • Alternative: Eine andere Empfehlung, die eine weitere Möglichkeit bietet, die Ziele der ausgewählten Empfehlung zu erreichen.
  • Abhängig: Eine Empfehlung, für die die ausgewählte Empfehlung eine Voraussetzung ist.

Für jede verwandte Empfehlung wird in der Spalte Betroffene Ressourcen die Anzahl fehlerhafter Ressourcen angezeigt.

Tipp

Wenn eine verwandte Empfehlung ausgegraut ist, ist ihre Abhängigkeit noch nicht abgeschlossen und die Empfehlung ist daher nicht verfügbar.

Ein Beispiel für verwandte Empfehlungen:

  1. Security Center überprüft Ihre Computer auf unterstützte Lösungen zur Sicherheitsrisikobewertung:
    Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden

  2. Wenn eine gefunden wird, werden Sie über erkannte Sicherheitsrisiken benachrichtigt:
    Sicherheitsrisiken für VMs müssen behoben werden

Natürlich kann Security Center Sie nicht über erkannte Sicherheitsrisiken benachrichtigen, solange keine unterstützte Lösung zur Sicherheitsrisikobewertung gefunden wird.

Deshalb gilt Folgendes:

  • Empfehlung 1 ist eine Voraussetzung für Empfehlung 2
  • Empfehlung 2 hängt von Empfehlung 1 ab

Screenshot der Empfehlung zum Bereitstellen einer Lösung zur Sicherheitsrisikobewertung.

Screenshot der Empfehlung zum Beheben von entdeckten Sicherheitsrisiken.

Neue Warnungen für Azure Defender für Kubernetes (in der Vorschau)

Wir haben zwei Vorschauwarnungen hinzugefügt, um den Bedrohungsschutz von Azure Defender für Kubernetes zu erweitern.

Diese Warnungen werden basierend auf einem neuen Machine Learning-Modell und erweiterten Kubernetes-Analysen generiert, wobei mehrere Bereitstellungs- und Rollenzuweisungsattribute anhand vorheriger Aktivitäten im Cluster und in allen von Azure Defender überwachten Clustern gemessen werden.

Warnung (Warnungstyp) Beschreibung MITRE-Taktik Schweregrad
Anomale Podbereitstellung (Vorschau)
(K8S_AnomalousPodDeployment)
Bei der Kubernetes-Überwachungsprotokollanalyse wurde eine Podbereitstellung erkannt, die basierend auf der vorherigen Podbereitstellungsaktivität anomal ist. Diese Aktivität wird als Anomalie betrachtet, wenn berücksichtigt wird, in welcher Beziehung die verschiedenen Features im Bereitstellungsvorgang zueinander stehen. Die von dieser Analyse überwachten Features umfassen die verwendete Containerimageregistrierung, das Konto, das die Bereitstellung durchführt, den Wochentag, die Häufigkeit der Ausführung von Podbereitstellungen durch dieses Konto, den im Vorgang verwendeten Benutzer-Agent (dabei handelt es sich um einen Namespace, für den die Podbereitstellung zu häufig ausgeführt wird, oder ein anderes Feature). Die wichtigsten Gründe für das Auslösen dieser Warnung als anomale Aktivität werden in den erweiterten Eigenschaften der Warnung ausführlich beschrieben. Ausführung Medium
Im Kubernetes-Cluster zugewiesene übermäßige Rollenberechtigungen (Vorschau)
(K8S_ServiceAcountPermissionAnomaly)
Bei der Analyse der Kubernetes-Überwachungsprotokolle wurde eine übermäßige Zuweisung von Berechtigungen zu Ihrem Cluster erkannt. Bei der Untersuchung von Rollenzuweisungen sind die aufgeführten Berechtigungen für das jeweilige Dienstkonto ungewöhnlich. Bei dieser Erkennung werden vorherige Rollenzuweisungen für dasselbe Dienstkonto über von Azure überwachte Cluster hinweg, das Volume pro Berechtigung und die Auswirkungen der jeweiligen Berechtigung berücksichtigt. Das für diese Warnung verwendete Anomalieerkennungsmodell berücksichtigt, wie diese Berechtigung über alle von Azure Defender überwachte Cluster hinweg verwendet wird. Berechtigungsausweitung Niedrig

Eine vollständige Liste der Kubernetes-Warnungen finden Sie unter Warnungen für Container: Kubernetes-Cluster.

September 2021

Im September wurde das folgende Update veröffentlicht:

Zwei neue Empfehlungen zur Prüfung von Betriebssystemkonfigurationen für die Einhaltung der Azure-Sicherheitsgrundlagen (in der Vorschau)

Die folgenden beiden Empfehlungen wurden veröffentlicht, um die Konformität Ihrer Computer mit der Windows-Sicherheitsbaseline und der Linux-Sicherheitsbaseline zu bewerten:

Diese Empfehlungen verwenden die Gastkonfigurationsfeature von Azure Policy, um die Betriebssystemkonfiguration einer Maschine mit der im Azure Security Benchmark definierten Baseline zu vergleichen.

Weitere Informationen zur Verwendung dieser Empfehlungen finden Sie unter Härten der Betriebssystemkonfiguration eines Computers mithilfe der Gastkonfiguration.

August 2021

Updates im August:

Microsoft Defender für Endpunkt für Linux wird jetzt von Azure Defender für Server (Vorschauversion) unterstützt

Azure Defender für Server beinhaltet eine integrierte Lizenz für Microsoft Defender für Endpunkt. Dadurch stehen umfassende EDR-Funktionen (Endpoint Detection and Response; Endpunkterkennung und -reaktion) zur Verfügung.

Wenn Defender für Endpunkt eine Bedrohung erkennt, wird eine Warnung ausgelöst. Die Warnung wird in Security Center angezeigt. Über Security Center können Sie auch zur Defender für Endpunkt-Konsole wechseln und eine ausführliche Untersuchung durchführen, um das Ausmaß des Angriffs zu ermitteln.

Während des Vorschauzeitraums stellen Sie den Defender für Endpunkt für Linux-Sensor auf unterstützten Linux-Computern auf eine von zwei Arten zur Verfügung, je nachdem, ob Sie ihn bereits auf Ihren Windows-Computern bereitgestellt haben:

Weitere Informationen finden Sie unter Schützen Sie Ihre Endpunkte mit der in Security Center integrierten EDR-Lösung: Microsoft Defender für den Endpunkt.

Zwei neue Empfehlungen für die Verwaltung von Endpoint Protection-Lösungen (Vorschauversion)

Er wurden zwei Vorschau-Empfehlungen für die Bereitstellung und Wartung der Endpoint Protection-Lösungen auf Ihren Computern hinzugefügt. Beide Empfehlungen beinhalten Unterstützung für virtuelle Azure-Maschinen und Maschinen, die mit Azure Arc-aktivierten Servern verbunden sind.

Empfehlung BESCHREIBUNG severity
Endpoint Protection sollte auf Ihren Computern installiert sein Installieren Sie eine unterstützte Endpoint Protection-Lösung, um Ihre Computer vor Bedrohungen und Sicherheitsrisiken zu schützen. Informieren Sie sich über die Endpoint Protection-Evaluierung für Computer.
(Zugehörige Richtlinie: Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen)
Hoch
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind hier dokumentiert. Die Endpoint Protection-Bewertung ist hier dokumentiert.
(Zugehörige Richtlinie: Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen)
Medium

Hinweis

Die Empfehlungen zeigen als Aktualisierungsintervall 8 Stunden an, aber es gibt einige Szenarien, in denen dies erheblich länger dauern kann. Wenn beispielsweise ein lokaler Computer gelöscht wird, dauert es 24 Stunden, bis Security Center die Löschung erkannt hat. Danach dauert es bis zu 8 Stunden, bis die Bewertungsinformationen zurückgegeben werden. In dieser speziellen Situation kann es daher 32 Stunden dauern, bis der Computer aus der Liste der betroffenen Ressourcen entfernt wird.

Indikator für das Aktualisierungsintervall für diese beiden neuen Security Center Empfehlungen

Integrierte Problembehandlung und Anleitungen zum Beheben häufiger Probleme

Ein neuer, dedizierter Bereich der Security Center-Seiten im Azure-Portal bietet einen sortierten, ständig wachsenden Satz von Selbsthilfematerialien zur Lösung gängiger Herausforderungen mit Security Center Azure Defender.

Wenn Sie ein Problem haben oder von unserem Supportteam Hilfe anfordern möchten, ist Diagnose und Problemlösung ein weiteres Tool, mit dem Sie die Lösung finden können:

Security Center-Seite „Diagnose und Problembehandlung“

Azure Audit-Berichte des Dashboards für die Einhaltung gesetzlicher Bestimmungen, veröffentlicht zur allgemeinen Verfügbarkeit

Die Symbolleiste des Dashboards für die Einhaltung gesetzlicher Bestimmungen bietet Azure- und Dynamics-Zertifizierungsberichte für die auf Ihre Abonnements angewendeten Standards.

Symbolleiste des Dashboards für die Einhaltung gesetzlicher Bestimmungen mit der Schaltfläche zum Generieren von Überwachungsberichten.

Sie können die Registerkarte für die relevanten Berichtstypen (PCI, SOC, ISO usw.) auswählen und Filter verwenden, um nach den benötigten spezifischen Berichten zu suchen.

Weitere Informationen finden Sie unter Generieren von Konformitätsstatusberichten und -zertifikaten.

Listen mit Registerkarten der verfügbaren Azure Audit -Berichte. Es werden Registerkarten für ISO-Berichte, SOC-Berichte, PCI und mehr angezeigt.

Empfehlung „Log Analytics-Agent-Integritätsprobleme müssen auf Computern gelöst werden“ veraltet

Wir haben festgestellt, dass die EmpfehlungLog Analytics-Agent-Integritätsprobleme müssen auf Computern gelöst werden Auswirkungen auf die Sicherheitsbewertungen haben, die dem Schwerpunkt von Security Center Cloud Security Posture Management (CSPM) nicht entsprechen. In der Regel bezieht sich CSPM auf die Ermittlung von Fehlkonfigurationen bei der Sicherheit. Probleme mit der Agent-Integrität gehören nicht in diese Problemkategorie.

Darüber hinaus handelt es sich bei der Empfehlung im Gegensatz zu den anderen Agents im Zusammenhang mit Security Center um eine Anomalie: Dies ist der einzige Agent mit einer Empfehlung im Zusammenhang mit Integritätsproblemen.

Die Empfehlung wurde als veraltet eingestuft.

Daher haben wir auch geringfügige Änderungen an den Empfehlungen für die Installation des Log Analytics-Agents vorgenommen (Der Log Analytics-Agent muss auf ... installiert sein).

Diese Änderung wirkt sich mit hoher Wahrscheinlichkeit auf Ihre Sicherheitsbewertungen aus. Bei den meisten Abonnements erwarten wir, dass die Änderung zu einer höheren Bewertung führt. Es ist aber möglich, dass die Updates der Installationsempfehlung in einigen Fällen zu niedrigeren Bewertungen führen können.

Tipp

Diese Änderung wirkte sich auch auf die Seite Ressourcenbestand aus, da diese den Überwachungsstatus eines Computers anzeigt (überwacht, nicht überwacht oder teilweise überwacht) – ein Zustand, der einen Agent mit Integritätsproblemen anzeigt.

Azure Defender für Containerregistrierungen enthält eine Überprüfungen auf Sicherheitsrisiken für Images in Ihren Azure Container Registry-Registrierungen. Informationen zum Überprüfen Ihrer Registrierungen und zum Beheben der Ergebnissen finden Sie unter Verwenden von Azure Defender für Containerregistrierungen zum Überprüfen Ihrer Images auf Sicherheitsrisiken.

Um den Zugriff auf eine in Azure Container Registry gehostete Registrierung zu beschränken, weisen Sie den Registrierungsendpunkten private IP-Adressen des virtuellen Netzwerks zu, und verwenden Sie Azure Private Link, wie in Herstellen einer privaten Verbindung mit einer Azure-Containerregistrierung über Azure Private Link beschrieben.

Im Rahmen unserer kontinuierlichen Bemühungen zur Unterstützung zusätzlicher Umgebungen und Anwendungsfälle überprüft Azure Defender jetzt auch Containerregistrierungen, die mit Azure Private Link geschützt werden.

Security Center kann jetzt die Azure Policy-Gastkonfigurationserweiterung automatisch bereitstellen (Vorschau).

Mit Azure Policy können Einstellungen innerhalb eines Computers überwacht werden. Dies gilt für in Azure ausgeführte Computer sowie für über Arc verbundene Computer. Für die Überprüfung verwenden Sie die Erweiterung und den Client Guest Configuration. Weitere Informationen finden Sie in Grundlegendes zur Gastkonfiguration von Azure Policy.

Mit diesem Update können Sie jetzt festlegen, dass Security Center diese Erweiterung automatisch für alle unterstützten Computer bereitstellt.

Aktivieren Sie die automatische Bereitstellung der Erweiterung für Gastkonfigurationen.

Weitere Informationen zur Funktionsweise der automatischen Bereitstellung finden Sie im Thema zum Konfigurieren der automatischen Bereitstellung für Agents und Erweiterungen.

Empfehlungen unterstützen jetzt "Erzwingen"

Security Center enthält zwei Features, die sicherstellen, dass neu erstellte Ressourcen auf sichere Weise bereitgestellt werden: Erzwingen und Verweigern. Wenn eine Empfehlung diese Optionen bietet, können Sie sicherstellen, dass Ihre Sicherheitsanforderungen erfüllt werden, sobald jemand versucht, eine Ressource zu erstellen:

  • Verweigern verhindert, dass fehlerhafte Ressourcen erstellt werden.
  • Erzwingen sorgt automatisch dafür, dass nicht konforme Ressourcen bei ihrer Erstellung korrigiert werden.

Mit diesem Update ist nun die Option „Erzwingen“ in den Empfehlungen zur Aktivierung von Azure Defender-Plänen verfügbar (z. B. Azure Defender für App Service muss aktiviert sein, Azure Defender für Key Vault muss aktiviert sein, Azure Defender für Speicher muss aktiviert sein).

Weitere Informationen zu diesen Optionen finden Sie unter Verhindern von Fehlkonfigurationen mit den Optionen zum Erzwingen/Ablehnen für Empfehlungen.

CSV-Exporte von Empfehlungsdaten jetzt auf 20 MB beschränkt

Es wurde ein Grenzwert von 20 MB für das Exportieren von Security Center-Empfehlungsdaten eingerichtet.

Schaltfläche „CSV-Bericht herunterladen“ zum Exportieren von Empfehlungsdaten in Security Center

Wenn Sie größere Datenmengen exportieren müssen, verwenden Sie vor der Auswahl die verfügbaren Filter, oder wählen Sie Teilmengen Ihrer Abonnements aus, und laden Sie die Daten in Batches herunter.

Filtern von Abonnements im Azure-Portal

Erfahren Sie mehr über das Ausführen eines CSV-Exports Ihrer Sicherheitsempfehlungen.

Die Seite „Empfehlungen“ enthält jetzt mehrere Ansichten

Die Seite „Empfehlungen“ verfügt jetzt über zwei Registerkarten, um alternative Möglichkeiten zum Anzeigen der Empfehlungen zu bieten, die für Ihre Ressourcen relevant sind:

  • Empfehlungen zur Sicherheitsbewertung: Auf dieser Registerkarte können Sie die Liste der Empfehlungen, gruppiert nach Sicherheitskontrollen, anzeigen. Weitere Informationen zu diesen Steuerelementen finden Sie unter Sicherheitskontrollen und deren Empfehlungen.
  • Alle Empfehlungen: Auf dieser Registerkarte können Sie die Liste der Empfehlungen als einfache Liste anzeigen. Diese Registerkarte verdeutlicht zudem, welche Initiative (einschließlich Standards zur Einhaltung gesetzlicher Bestimmungen) die Empfehlung generiert hat. Weitere Informationen zu Initiativen und deren Beziehung zu Empfehlungen finden Sie unter Was sind Sicherheitsrichtlinien, Initiativen und Empfehlungen?

Registerkarten zum Ändern der Ansicht der Empfehlungsliste in Azure Security Center.

Juli 2021

Zu den Updates im Juli gehören:

Der Azure Sentinel-Connector enthält jetzt optionale bidirektionale Warnungssynchronisierung (Vorschauversion)

Security Center ist nativ in Azure Sentinel, der cloudnativen SIEM- und SOAR-Lösung von Azure, integriert.

Azure Sentinel umfasst integrierte Connectors für Azure Security Center auf Abonnement- und Mandantenebene. Weitere Informationen finden Sie unter Streamen von Warnungen in Azure Sentinel.

Wenn Sie Azure Defender mit Azure Sentinel verbinden, wird der Status der in den Azure Sentinel-Dienst übernommenen Azure Defender-Warnungen zwischen den beiden Diensten synchronisiert. Wenn also beispielsweise eine Warnung in einem Azure Defender geschlossen wird, wird diese Warnung auch in Azure Sentinel als geschlossen angezeigt. Das Ändern des Status einer Warnung in Azure Defender wirkt sich „nicht“ auf den Status von Azure Sentinel-Incidents aus, die die synchronisierte Azure Sentinel-Warnung enthalten, sondern nur auf den Status der synchronisierten Warnung selbst.

Wenn Sie die Previewfunktion Bidirektionale Synchronisierung von Warnungen aktivieren, wird der Status der ursprünglichen Azure Defender-Warnungen automatisch mit Azure Sentinel-Vorfällen synchronisiert, die Kopien dieser Azure Defender-Warnungen enthalten. Wenn also beispielsweise ein Azure Sentinel-Incident, der eine Azure Defender-Warnung enthält, geschlossen wird, schließt Azure Defender automatisch die entsprechende ursprüngliche Warnung.

Weitere Informationen finden Sie unter Verbinden von Azure Defender-Benachrichtigungen aus Azure Security Center.

Logische Neuorganisation des Azure Defender für Resource Manager-Warnungen

Die unten aufgeführten Warnungen wurden im Rahmen des Azure Defender für Resource Manager-Plans bereitgestellt.

Im Rahmen einer logischen Neuorganisation für einige der Azure Defender-Pläne wurden einzelne Warnungen vom Azure Defender für Resource Manager in den Azure Defender für Server verschoben.

Die Warnungen sind nach zwei Hauptprinzipien organisiert:

  • Warnungen, die Schutz auf der Steuerungsebene für viele Azure-Ressourcentypen bieten, werden ein Teil des Azure Defender für Resource Manager
  • Warnungen, die bestimmte Workloads schützen, befinden sich im Azure Defender-Plan, der sich auf diese Workload bezieht

Dies sind die Warnungen, die Teil des Azure Defender für Resource Manager waren und aufgrund dieser Änderung jetzt Teil von Azure Defender für Server sind:

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

Hier finden Sie weitere Informationen zu den Plänen Azure Defender für Resource Manager und Azure Defender für Server.

Erweiterungen der Empfehlung zum Aktivieren Azure Disk Encryption (ADE)

Aufgrund von Benutzerfeedback haben wir die Empfehlung Die Datenträgerverschlüsselung sollte auf virtuelle Computer angewendet werden umbenannt.

Die neue Empfehlung verwendet die gleiche Bewertungs-ID und heißt Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln.

Die Beschreibung wurde ebenfalls aktualisiert, um den Zweck dieser Empfehlung zur Härtung verständlicher zu machen:

Empfehlung BESCHREIBUNG severity
Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger und Datencaches werden nicht verschlüsselt, und Daten werden auch bei der Übertragung zwischen Compute- und Speicherressourcen nicht verschlüsselt. Weitere Informationen finden Sie im Vergleich der verschiedenen Datenträgerverschlüsselungstechnologien in Azure.
Verwenden Sie Azure Disk Encryption, um sämtliche dieser Daten zu verschlüsseln. Ignorieren Sie diese Empfehlung, wenn (1) Sie die Verschlüsselungs-at-Host-Funktion verwenden, oder (2) serverseitige Verschlüsselung auf verwalteten Datenträgern Ihre Sicherheitsanforderungen erfüllt. Weitere Informationen erhalten Sie unter „Serverseitige Verschlüsselung von Azure Disk Storage“.
Hoch

Fortlaufender Export von Daten zur Sicherheitsbewertung und zur Einhaltung gesetzlicher Bestimmungen, veröffentlicht zur allgemeinen Verfügbarkeit

Der fortlaufende Export stellt den Mechanismus zum Exportieren Ihrer Sicherheitswarnungen und Empfehlungen für die Nachverfolgung mit anderen Überwachungstools in Ihrer Umgebung bereit.

Wenn Sie den fortlaufenden Export einrichten, konfigurieren Sie, was exportiert wird und wohin die Daten übertragen werden. Weitere Informationen finden Sie unter Übersicht über den fortlaufende Export.

Wir haben dieses Feature im Laufe der Zeit verbessert und erweitert:

  • Im November 2020 haben wir die Vorschauoption hinzugefügt, um Änderungen an Ihre Sicherheitsbewertung zu streamen.

  • Im Dezember 2020 haben wir die Vorschaufunktion hinzugefügt, mit der Sie Änderungen an Ihren Daten zur Bewertung der Einhaltung gesetzlicher Bestimmungen streamen können.

Mit diesem Update werden diese beiden Optionen zur allgemeinen Verfügbarkeit veröffentlicht.

Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst wurden (GA)

Im Februar 2021 haben wir die Vorschau eines dritten Datentyps zu den Triggeroptionen für Ihre Workflowautomatisierungen hinzugefügt: Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen. Weitere Informationen finden Sie unter Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst werden.

Mit diesem Update wird diese Triggeroption zur allgemeinen Verfügbarkeit veröffentlicht.

Informieren Sie sich unter Automatisieren der Reaktionen auf Security Center-Trigger über die Nutzung der Tools für die Workflowautomatisierung.

Verwenden von Änderungen bei Bewertungen der Einhaltung gesetzlicher Bestimmungen zum Auslösen der Workflowautomatisierung

Bewertungs-API-Felder „FirstEvaluationDate“ und „StatusChangeDate“ jetzt in Arbeitsbereichsschemas und Logik-Apps verfügbar

Im Mai 2021 haben wir der Bewertungs-API zwei neue Felder hinzugefügt: FirstEvaluationDate und StatusChangeDate. Vollständige Informationen finden Sie unter Die Bewertungs-API wurde um zwei neue Felder erweitert.

Auf diese Felder kann über die REST-API, Azure Resource Graph, den fortlaufenden Export und in CSV-Exporten zugegriffen werden.

Mit dieser Änderung stellen wir die Informationen im Log Analytics-Arbeitsbereichsschema und in Logik-Apps zur Verfügung.

Im März haben wir die integrierte Azure Monitor-Arbeitsmappenerfahrung in Security Center angekündigt (siehe Integration von Azure Monitor-Arbeitsmappen in Security Center und Bereitstellung von drei Vorlagen).

Das erste Release enthielt drei Vorlagen zum Erstellen dynamischer und visueller Berichte über den Sicherheitsstatus Ihrer Organisation.

Wir haben nun eine Arbeitsmappe hinzugefügt, die speziell für die Nachverfolgung der Konformität eines Abonnements mit den dafür geltenden gesetzlichen Vorschriften oder Branchenstandards bestimmt ist.

Informieren Sie sich über die Nutzung dieser Berichte oder die Erstellung eigener Berichte unter Erstellen umfassender interaktiver Berichte für Security Center-Daten.

Azure Security Center-Arbeitsmappe „Konformität im Zeitverlauf“

Juni 2021

Zu den Updates im Juni gehören:

Neue Warnung für Azure Defender für Key Vault

Wir haben die folgende Warnung hinzugefügt, um den Bedrohungsschutz von Azure Defender für Key Vault zu erweitern:

Warnung (Warnungstyp) Beschreibung MITRE-Taktik severity
Zugriff auf einen Schlüsseltresor von einer verdächtigen IP-Adresse
(KV_SuspiciousIPAccess)
Auf einen Schlüsseltresor ist ein erfolgreicher Zugriff von einer IP-Adresse erfolgt, die von Microsoft Threat Intelligence als verdächtige IP-Adresse identifiziert wurde. Dies kann ggf. ein Hinweis darauf sein, dass Ihre Infrastruktur kompromittiert wurde. Wir empfehlen Ihnen, dies eingehender zu untersuchen. Zugriff auf Anmeldeinformationen Medium

Weitere Informationen finden Sie unter

Empfehlungen zur Verschlüsselung mit standardmäßig deaktivierten kundenseitig verwalteten Schlüsseln

Security Center enthält mehrere Empfehlungen zur Verschlüsselung von ruhenden Daten mit kundenseitig verwalteten Schlüsseln, z. B.:

  • Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden
  • Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.
  • Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden

Daten werden in Azure automatisch mit plattformseitig verwalteten Schlüsseln verschlüsselt. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies zur Einhaltung einer bestimmten Richtlinie erforderlich ist, die in Ihrer Organisation durchgesetzt werden soll.

Aufgrund dieser Änderung sind die Empfehlungen zur Nutzung von kundenseitig verwalteten Schlüsseln jetzt standardmäßig deaktiviert. Sie können sie wieder aktivieren, falls dies für Ihre Organisation relevant ist. Ändern Sie hierfür den Parameter Effect für die entsprechende Sicherheitsrichtlinie in AuditIfNotExists oder Enforce. Weitere Informationen finden Sie unter Aktivieren einer Sicherheitsempfehlung.

Diese Änderung wird in den Namen der Empfehlung durch das neue Präfix [Bei Bedarf aktivieren] widergespiegelt. Dies wird in den folgenden Beispielen veranschaulicht:

  • [Bei Bedarf aktivieren] Speicherkonten müssen für die Verschlüsselung von ruhenden Daten einen kundenseitig verwalteten Schlüssel verwenden
  • [Bei Bedarf aktivieren] Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden
  • [Bei Bedarf aktivieren] Azure Cosmos DB-Konten müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden

CMK-Empfehlungen von Security Center sind standardmäßig deaktiviert

Änderung des Präfix für Kubernetes-Warnungen von „AKS_“ in „K8S_“

Azure Defender für Kubernetes wurde kürzlich erweitert, um Kubernetes-Cluster zu schützen, die lokal und in Umgebungen mit mehreren Clouds gehostet werden. Weitere Informationen finden Sie unter Verwenden von Azure Defender für Kubernetes zum Schutz von Hybrid- und Multi-Cloud-Bereitstellungen von Kubernetes (Vorschau).

Um deutlich zu machen, dass die Sicherheitswarnungen von Azure Defender für Kubernetes nicht mehr auf Azure Kubernetes Service (AKS)-Cluster beschränkt sind, haben wir das Präfix für die Warnungstypen von „AKS_“ in „K8S_“ geändert. Bei Bedarf wurden auch die Namen und Beschreibungen aktualisiert. Ein Beispiel:

Warnung (Warnungstyp) Beschreibung
Erkannte Tools für Kubernetes-Penetrationstests
(AKS_PenTestToolsKubeHunter)
Die Analyse des Kubernetes-Überwachungsprotokolls hat die Verwendung von Kubernetes-Penetrationstesttools im AKS-Cluster erkannt. Dieses Verhalten kann zwar legitim sein, aber Angreifer können solche öffentlichen Tools für böswillige Zwecke nutzen.

In diese Warnung geändert:

Warnung (Warnungstyp) Beschreibung
Erkannte Tools für Kubernetes-Penetrationstests
(K8S_PenTestToolsKubeHunter)
Die Analyse des Kubernetes-Überwachungsprotokolls hat die Verwendung von Kubernetes-Penetrationstesttools im Kubernetes-Cluster erkannt. Dieses Verhalten kann zwar legitim sein, aber Angreifer können solche öffentlichen Tools für böswillige Zwecke nutzen.

Unterdrückungsregeln, in denen auf mit „AKS_“ beginnende Warnungen verwiesen wird, wurden automatisch konvertiert. Wenn Sie SIEM-Exporte oder benutzerdefinierte Automatisierungsskripts eingerichtet haben, in denen anhand des Warnungstyps auf Kubernetes-Warnungen verwiesen wird, müssen diese mit den neuen Warnungstypen aktualisiert werden.

Eine vollständige Liste der Kubernetes-Warnungen finden Sie unter Warnungen für Container: Kubernetes-Cluster.

Zwei Empfehlungen der Sicherheitskontrolle „Systemupdates anwenden“ wurden als veraltet eingestuft

Die beiden folgenden Empfehlungen wurden als veraltet eingestuft:

  • Die Betriebssystemversion sollte für Ihre Clouddienstrollen aktualisiert werden: Azure aktualisiert Ihr Gastbetriebssystem standardmäßig in regelmäßigen Abständen auf das neueste Image innerhalb der BS-Familie, die Sie in der Dienstkonfiguration (CSCFG-Datei) angegeben haben (z B. Windows Server 2016).
  • Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden: Die Evaluierungen dieser Empfehlung sind uns nicht weitreichend genug. Wir planen, die Empfehlung durch eine erweiterte Version zu ersetzen, die besser auf Ihre Sicherheitsanforderungen abgestimmt ist.

Mai 2021

Zu den Updates im Mai gehören:

Azure Defender für DNS und Azure Defender für Resource Manager, veröffentlicht zur allgemeinen Verfügbarkeit

Diese beiden breit gefächerten cloudnativen Bedrohungsschutzpläne befinden sich nun in der Phase der allgemeinen Verfügbarkeit.

Diese neuen Schutzmaßnahmen sorgen für eine erhebliche Verbesserung der Resilienz gegenüber Angriffen von Bedrohungsakteuren sowie für eine deutliche Erhöhung der Anzahl von Azure-Ressourcen, die durch Azure Defender geschützt werden.

Verwenden Sie die folgenden Empfehlungen, um den Prozess für die Aktivierung dieser Pläne zu vereinfachen:

  • Azure Defender für Resource Manager muss aktiviert sein
  • Azure Defender für DNS muss aktiviert sein

Hinweis

Bei Aktivierung dieser Azure Defender-Pläne fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie auf der Seite mit der Preisübersicht von Security Center.

Azure Defender für relationale Open-Source-Datenbanken, veröffentlicht zur allgemeinen Verfügbarkeit

Das Angebot zum SQL-Schutz von Azure Security Center wird um ein neues Paket erweitert, das für Ihre relationalen Open-Source-Datenbanken gilt:

  • Azure Defender für Azure SQL-Datenbankserver – schützt Ihre nativen Azure SQL Server.
  • Azure Defender für SQL Server auf Computern – erweitert denselben Schutz auf Ihre SQL Server-Instanzen in Hybrid-, Multicloud- und lokalen Umgebungen.
  • Azure Defender für relationale Open-Source-Datenbanken: Dient zur Verteidigung Ihrer Single Server-Versionen von Azure Database for MySQL, PostgreSQL und MariaDB.

Mit Azure Defender für relationale Open-Source-Datenbanken werden Ihre Server ständig auf Sicherheitsbedrohungen überwacht, und es werden anomale Datenbankaktivitäten erkannt, die auf potenzielle Bedrohungen für Azure Database for MySQL, PostgreSQL und MariaDB hinweisen. Beispiele:

  • Präzise Erkennung von Brute-Force-Angriffen: Azure Defender für relationale Open-Source-Datenbanken liefert ausführliche Informationen zu versuchten und erfolgreichen Brute-Force-Angriffen. So verfügen Sie über alle Informationen zur Art und zum Status des Angriffs auf Ihre Umgebung, die Sie benötigen, um die Untersuchung durchführen und entsprechend reagieren zu können.
  • Warnungen zur Erkennung von bestimmtem Verhalten: Mit Azure Defender für relationale Open-Source-Datenbanken werden Sie vor verdächtigem und unerwartetem Verhalten auf Ihren Servern gewarnt, z. B. Änderungen beim Zugriffsmuster Ihrer Datenbank.
  • Bedrohungserkennung– Azure Defender wendet die Bedrohungserkennung und umfangreiche Wissensdatenbank von Microsoft an, um Bedrohungswarnungen anzuzeigen, damit Sie gegen sie vorgehen können.

Weitere Informationen finden Sie unter Einführung in Azure Defender für relationale Open-Source-Datenbanken.

Neue Warnungen für Azure Defender für Resource Manager

Wir haben die folgenden Warnungen hinzugefügt, um den Bedrohungsschutz von Azure Defender für Resource Manager zu erweitern:

Warnung (Warnungstyp) Beschreibung MITRE-Taktiken severity
In Ihrer Azure-Umgebung wurden für eine RBAC-Rolle auf ungewöhnliche Weise Berechtigungen gewährt (Vorschau)
(ARM_AnomalousRBACRoleAssignment)
Azure Defender für Resource Manager hat die Zuweisung einer RBAC-Rolle entdeckt, die gegenüber anderen Zuweisungen derselben zuweisenden Person bzw. für dieselbe zuweisende Person oder auf Ihrem Mandanten ungewöhnlich ist, weil Anomalien in den folgenden Bereichen bestehen: Zuweisungszeitpunkt, Standort der zuweisenden Person, zuweisende Person, Authentifizierungsmethode, zugewiesene Entitäten, verwendete Clientsoftware, Umfang der Zuweisung. Dieser Vorgang wurde ggf. von einem legitimen Benutzer Ihrer Organisation durchgeführt. Unter Umständen kann dies auch ein Hinweis darauf sein, dass ein Konto Ihrer Organisation übernommen wurde und dass der Bedrohungsakteur versucht, Berechtigungen für ein weiteres Konto in seinem Besitz zu gewähren. Seitwärtsbewegung, Umgehen von Verteidigungsmaßnahmen Medium
Für Ihr Abonnement wurde auf verdächtige Weise eine benutzerdefinierte privilegierte Rolle erstellt (Vorschau)
(ARM_PrivilegedRoleDefinitionCreation)
Azure Defender für Resource Manager hat in Ihrem Abonnement eine verdächtige Erstellung der Definition einer benutzerdefinierten privilegierten Rolle erkannt. Dieser Vorgang wurde ggf. von einem legitimen Benutzer Ihrer Organisation durchgeführt. Unter Umständen kann dies auch ein Hinweis darauf sein, dass ein Konto in Ihrer Organisation übernommen wurde und der Bedrohungsakteur versucht, eine privilegierte Rolle für die zukünftige Verwendung zu erstellen, um eine Erkennung zu vermeiden. Seitwärtsbewegung, Umgehen von Verteidigungsmaßnahmen Niedrig
Azure Resource Manager-Vorgang von einer verdächtigen IP-Adresse (Vorschau)
(ARM_OperationFromSuspiciousIP)
Azure Defender für Resource Manager hat einen Vorgang über eine IP-Adresse erkannt, die in Threat Intelligence-Feeds als verdächtig gekennzeichnet wurde. Ausführung Medium
Azure Resource Manager-Vorgang von einer verdächtigen Proxy-IP-Adresse (Vorschau)
(ARM_OperationFromSuspiciousProxyIP)
Azure Defender für Resource Manager hat einen Ressourcenverwaltungsvorgang von einer IP-Adresse erkannt, die Proxydiensten zugeordnet ist, z. B. TOR. Dieses Verhalten kann legitim sein, aber es wird häufig mit bösartigen Aktivitäten in Verbindung gebracht, wenn Bedrohungsakteure versuchen, ihre Quell-IP-Adresse zu verbergen. Umgehen von Verteidigungsmaßnahmen Medium

Weitere Informationen finden Sie unter

CI/CD-Sicherheitsrisikoüberprüfung von Containerimages mit GitHub-Workflows und Azure Defender (Vorschau)

Azure Defender für Containerregistrierungen ermöglicht DevSecOps-Teams jetzt Einblicke in GitHub Actions-Workflows.

Mit dem neuen Feature „Überprüfung von Sicherheitsrisiken“ für Containerimages, das Trivy nutzt, können Sie eine Überprüfung auf häufige Sicherheitsrisiken in Containerimages durchführen, bevor Images in Containerregistrierungen gepusht werden.

Die Berichte zu Containerüberprüfungen sind in Azure Security Center zusammengefasst und ermöglichen Sicherheitsteams einen besseren Einblick und ein tieferes Verständnis der Ursache für anfällige Containerimages und die zugehörigen ursprünglichen Workflows und Repositorys.

Weitere Informationen finden Sie unter Identifizieren von anfälligen Containerimages in Ihren CI/CD-Workflows.

Verfügbarkeit weiterer Resource Graph-Abfragen für einige Empfehlungen

Für alle Empfehlungen von Security Center gibt es die Option, die Informationen zum Status der betroffenen Ressourcen mit Azure Resource Graph über Abfrage öffnen anzuzeigen. Ausführliche Informationen zu diesem leistungsstarken Feature finden Sie unter "Überprüfen von Empfehlungsdaten" im Azure Resource Graph-Explorer.

Security Center umfasst integrierte Überprüfungen auf Sicherheitsrisiken, um Ihre VMs, SQL Server-Instanzen und zugehörigen Hosts sowie die Containerregistrierungen auf Sicherheitsrisiken zu überprüfen. Die Ergebnisse werden als Empfehlungen zurückgegeben, wobei alle Einzelergebnisse für die einzelnen Ressourcentypen jeweils in einer Ansicht zusammengefasst sind. Die Empfehlungen lauten wie folgt:

  • Sicherheitsrisiken in Azure Container Registry-Images müssen behoben werden (unterstützt von Qualys).
  • Sicherheitsrisiken für VMs müssen behoben werden
  • Bei SQL-Datenbanken sollten gefundene Sicherheitsrisiken behoben werden.
  • Bei SQL Servern auf Computern sollten gefundene Sicherheitsrisiken behoben werden.

Dank dieser Änderung können Sie die Schaltfläche Abfrage öffnen verwenden, um auch die Abfrage mit den Sicherheitsergebnissen zu öffnen.

Die Schaltfläche

Die Schaltfläche Abfrage öffnen bietet zusätzliche Optionen für einige andere Empfehlungen, sofern relevant.

Weitere Informationen zu den Sicherheitsrisikoüberprüfungen von Security Center:

Schweregrad der Empfehlung zur SQL-Datenklassifizierung geändert

Der Schweregrad der Empfehlung Sensible Daten in Ihren SQL-Datenbanken müssen klassifiziert werden wurde von Hoch in Niedrig geändert.

Dies ist Teil einer laufenden Änderung an dieser Empfehlung, die auf unserer Seite für bevorstehende Änderungen angekündigt wird.

Neue Empfehlungen zur Aktivierung von Funktionen für den vertrauenswürdigen Start (Vorschau)

Azure bietet den vertrauenswürdigen Start als nahtlose Möglichkeit zur Verbesserung der Sicherheit von VMs der Generation 2 an. Der vertrauenswürdige Start bietet Schutz vor komplexen und permanenten Angriffstechniken. Der vertrauenswürdige Start besteht aus mehreren koordinierten Infrastrukturtechnologien, die unabhängig voneinander aktiviert werden können. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen. Weitere Informationen finden Sie unter Vertrauenswürdiger Start für Azure-VMs.

Wichtig

Der vertrauenswürdige Start erfordert die Erstellung neuer VMs. Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.

Der vertrauenswürdige Start befindet sich derzeit in der öffentlichen Vorschau. Die Vorschau wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar.

Mit der Empfehlung Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden von Security Center wird sichergestellt, dass für Ihre Azure-VMs ein virtuelles TPM-Gerät genutzt wird. Diese virtualisierte Version einer Trusted Platform Module-Hardwareeinheit ermöglicht die Nachweiserbringung, indem die gesamte Startkette Ihrer VM (UEFI, Betriebssystem, System und Treiber) gemessen wird.

Wenn das virtuelle TPM-Gerät aktiviert ist, kann der sichere Start von der Erweiterung für den Gastnachweis per Remotezugriff überprüft werden. Mit den folgenden Empfehlungen wird sichergestellt, dass diese Erweiterung bereitgestellt wird:

  • Für unterstützte Windows-VMs muss der sichere Start aktiviert werden
  • Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein
  • Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein.
  • Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein
  • Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein.

Weitere Informationen finden Sie unter Vertrauenswürdiger Start für Azure-VMs.

Neue Empfehlungen für die Härtung von Kubernetes-Clustern (Vorschau)

Mit den folgenden Empfehlungen können Sie die weitere Härtung Ihrer Kubernetes-Cluster durchführen.

  • Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden: Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen.
  • Kubernetes-Cluster müssen die automatische Bereitstellung von API-Anmeldeinformationen deaktivieren: Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, um für eine potenziell kompromittierte Podressource die Ausführung von API-Befehlen für Kubernetes-Cluster zu verhindern.
  • Kubernetes-Cluster sollten keine CAPSYSADMIN-Sicherheitsfunktionen gewähren

Informationen dazu, wie Sie Ihre containerisierten Umgebungen mit Security Center schützen können, finden Sie unter Containersicherheit in Security Center.

Die Bewertungs-API wurde um zwei neue Felder erweitert.

Wir haben die folgenden beiden Felder zur Bewertungs-REST-API hinzugefügt:

  • FirstEvaluationDate: Der Zeitpunkt, zu dem die Empfehlung erstellt und zum ersten Mal ausgewertet wurde. Wird als UTC-Zeit im ISO 8601-Format zurückgegeben.
  • StatusChangeDate: Der Zeitpunkt, zu dem sich der Status der Empfehlung zuletzt geändert hat. Wird als UTC-Zeit im ISO 8601-Format zurückgegeben.

Der anfängliche Standardwert für diese Felder ist für alle Empfehlungen 2021-03-14T00:00:00+0000000Z.

Um auf diese Informationen zuzugreifen, können Sie eine der Methoden in der folgenden Tabelle verwenden.

Tool Details
REST-API-Aufruf GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph securityresources
where type == "microsoft.security/assessments"
Fortlaufendem Export Die beiden dedizierten Felder sind für die Log Analytics-Arbeitsbereichsdaten verfügbar.
CSV-Export Die beiden Felder sind in den CSV-Dateien enthalten.

Erfahren Sie mehr zur Bewertungs-REST-API.

Cloudumgebungsfilter für Ressourcenbestand

Die Security Center-Seite für den Ressourcenbestand bietet einige Filter, mit denen die Liste mit den angezeigten Ressourcen schnell eingegrenzt werden kann. Weitere Informationen finden Sie unter Untersuchen und Verwalten Ihrer Ressourcen mit dem Ressourcenbestand und Verwaltungstools.

Ein neuer Filter bietet die Möglichkeit, die Liste entsprechend den Cloudkonten zu verfeinern, die Sie mit dem Multicloud-Feature von Security Center verbunden haben.

Weitere Informationen zu den Multi-Cloud-Features:

April 2021

Zu den Updates im April gehören:

Aktualisierte Seite „Ressourcenintegrität“ (Vorschau)

„Resource Health“ wurde erweitert und verbessert, um eine Momentaufnahmesicht der Gesamtintegrität einer einzelnen Ressource bereitzustellen.

Sie können ausführliche Informationen zur Ressource und sich alle Empfehlungen im Zusammenhang mit der Ressource ansehen. Wenn Sie die erweiterten Schutzpläne von Microsoft Defender verwenden, werden Ihnen außerdem sehr nützliche Sicherheitswarnungen für diese bestimmte Ressource angezeigt.

Wählen Sie auf der Seite Ressourcenbestand eine beliebige Ressource aus, um die Seite „Ressourcenintegrität“ für eine Ressource zu öffnen.

Diese Vorschauseite auf Portalseiten im Security Center zeigt:

  1. Ressourceninformationen: Zugehörige Ressourcengruppe, zugehöriges Abonnement, geografischer Standort und Ähnliches.
  2. Angewendetes Sicherheitsfeature: Gibt an, ob Azure Defender für die Ressource aktiviert ist.
  3. Anzahl ausstehenden Empfehlungen und Warnungen: Die Anzahl ausstehender Sicherheitsempfehlungen und Azure Defender-Warnungen.
  4. Umsetzbare Empfehlungen und handlungsrelevante Warnungen: Auf zwei Registerkarten werden die Empfehlungen und Warnungen für die Ressource aufgeführt.

Ressourcenintegritätsseite von Azure Security Center mit den Integritätsinformationen für einen virtuellen Computer

Weitere Informationen finden Sie unter Tutorial: Untersuchen der Integrität Ihrer Ressourcen.

Containerregistrierungsimages, die vor Kurzem gepullt wurden, werden jetzt wöchentlich erneut überprüft (veröffentlicht zur allgemeinen Verfügbarkeit)

Azure Defender für Containerregistrierungen enthält eine integrierte Überprüfung auf Sicherheitsrisiken. Bei dieser Überprüfung werden alle Images, die Sie in Ihre Registrierung pushen oder per Pullvorgang innerhalb der letzten 30 Tage abgerufen haben, sofort überprüft.

Jeden Tag werden neue Sicherheitsrisiken entdeckt. Nach diesem Update werden Containerimages, die innerhalb der letzten 30 Tage per Pullvorgang aus Ihren Registrierungen abgerufen wurden, wöchentlich erneut überprüft. So wird sichergestellt, dass neu ermittelte Sicherheitsrisiken in Ihren Images erkannt werden.

Da die Kosten für die Überprüfung pro Image berechnet werden, fallen für diese erneuten Überprüfungen keine zusätzlichen Kosten an.

Weitere Informationen finden Sie unter Verwenden von Azure Defender für Containerregistrierungen zum Überprüfen Ihrer Images auf Sicherheitsrisiken.

Verwenden von Azure Defender für Kubernetes zum Schutz von Hybrid- und Multi-Cloud-Bereitstellungen von Kubernetes (Vorschau)

Azure Defender für Kubernetes erweitert seine Funktionen zum Schutz vor Bedrohungen, um Ihre Cluster unabhängig von Ihrem Bereitstellungsort zu schützen. Dies wurde durch die Integration von Kubernetes mit Azure Arc-Unterstützung und der zugehörigen neuen Erweiterungsfunktionen ermöglicht.

Wenn Sie Azure Arc in ihren Nicht-Azure Kubernetes-Clustern aktiviert haben, bietet eine neue Empfehlung von Azure Security Center an, den Azure Defender-Agent mit nur wenigen Klicks für Sie bereitzustellen.

Verwenden Sie die Empfehlung (für Kubernetes-Cluster mit Azure Arc-Unterstützung muss die Azure Defender-Erweiterung installiert sein) und die Erweiterung, um Kubernetes-Cluster zu schützen, die bei anderen Cloudanbietern, jedoch nicht in ihren verwalteten Kubernetes-Diensten bereitgestellt werden.

Diese Integration zwischen Azure Security Center, Azure Defender und Kubernetes mit Azure Arc-Unterstützung ermöglicht:

  • Einfache Bereitstellung des Azure Defender-Agent für ungeschützte Kubernetes-Cluster mit Azure Arc-Aktivierung (manuell und skalierbar)
  • Überwachung des Azure Defender-Agent und ihres Bereitstellungsstatus über das Azure Arc-Portal
  • Sicherheitsempfehlungen von Security Center werden auf der neuen Seite "Sicherheit" des Azure Arc-Portals angezeigt
  • Von Azure Defender erkannte Sicherheitsbedrohungen werden auf der neuen Seite "Sicherheit" des Azure Arc-Portals angezeigt
  • Kubernetes-Cluster mit Azure Arc-Unterstützung werden in die Azure Security Center-Plattform und -Benutzeroberfläche integriert.

Weitere Informationen finden Sie unter Verwenden von Azure Defender für Kubernetes mit Ihren lokalen und Multi-Cloud-Kubernetes-Clustern.

Empfehlung des Azure Security Center zur Bereitstellung des Azure Defender-Agent für Azure Arc-fähige Kubernetes-Cluster.

Microsoft Defender für Endpoint Integration mit Azure Defender unterstützt jetzt Windows Server 2019 und Windows 10 auf Windows Virtual Desktop für allgemeine Verfügbarkeit (GA) freigegeben.

Microsoft Defender für den Endpunkt ist eine ganzheitliche, cloudbasierte Lösung für die Endpunktsicherheit. Sie ermöglicht die risikobasierte Verwaltung und Bewertung von Sicherheitsrisiken sowie Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR). Eine vollständige Liste mit den Vorteilen der gemeinsamen Nutzung von Defender für Endpunkt und Azure Security Center finden Sie unter Schützen Sie Ihre Endpunkte mit der in Security Center integrierten EDR-Lösung: Microsoft Defender für Endpunkt.

Wenn Sie Azure Defender für Server auf einem Windows-Server aktivieren, ist im Plan eine Lizenz für Defender für Endpunkt enthalten. Falls Sie Azure Defender für Server bereits aktiviert haben und unter Ihrem Abonnement Windows Server 2019-Server nutzen, wird Defender für Endpunkt mit diesem Update darauf automatisch bereitgestellt. Es ist keine manuelle Aktion erforderlich.

Die Unterstützung wurde nun auf Windows Server 2019 und Windows 10 auf Windows Virtual Desktop erweitert.

Hinweis

Stellen Sie beim Aktivieren von Defender für Endpunkt auf einem Windows Server 2019-Server sicher, dass die unter Aktivieren der Integration von Microsoft Defender für Endpunkt beschriebenen Voraussetzungen erfüllt sind.

Empfehlungen zum Aktivieren von Azure Defender für DNS und Resource Manager (Vorschau)

Zwei neue Empfehlungen wurden hinzugefügt, um den Prozess zum Aktivieren von Azure Defender für Resource Manager und Azure Defender für DNS zu vereinfachen:

  • Azure Defender für Resource Manager muss aktiviert sein: Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten.
  • Azure Defender für DNS muss aktiviert sein: Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen aus Ihren Azure-Ressourcen fortlaufend überwacht werden. Azure Defender warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene.

Bei Aktivierung dieser Azure Defender-Pläne fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie auf der Seite mit der Preisübersicht von Security Center.

Tipp

Empfehlungen der Vorschau versetzen keine Ressourcen in einen fehlerhaften Zustand, und sie werden nicht in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Setzen Sie sie trotzdem um, wann immer möglich, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen. Informationen zum Umgang mit diesen Empfehlungen finden Sie unter Umsetzen von Empfehlungen in Azure Security Center.

Drei Standards zur Einhaltung gesetzlicher Bestimmungen wurden hinzugefügt: „Azure CIS 1.3.0“, „CMMC Level 3“ und „Durch New Zealand ISM eingeschränkt“.

Wir haben drei Standards für die Verwendung mit Azure Security Center hinzugefügt. Mithilfe des Dashboards zur Einhaltung gesetzlicher Bestimmungen können Sie jetzt Ihre Konformität mit Folgendem nachverfolgen:

Sie können diese Standards Ihren Abonnements zuweisen, wie unter Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen beschrieben.

Drei Standards für die Verwendung mit dem Azure Security Center-Dashboard zur Einhaltung gesetzlicher Bestimmungen wurden hinzugefügt.

Weitere Informationen finden Sie hier:

Die Erweiterung für Gastkonfigurationen von Azure sendet Meldungen an Security Center, um sicherzustellen, dass die In-Guest-Einstellungen Ihrer virtuellen Computer festgeschrieben werden. Bei Arc-fähigen Servern wird die Erweiterung nicht benötigt, da sie bereits im Arc Connected Machine-Agent enthalten ist. Die Erweiterung erfordert eine vom System verwaltete Identität auf dem Computer.

Wir haben vier neue Empfehlungen zum Security Center hinzugefügt, damit Sie diese Erweiterung optimal nutzen können.

  • In zwei Empfehlungen werden Sie aufgefordert, die Erweiterung und die erforderliche vom System verwaltete Identität zu installieren:

    • Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein.
    • VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden
  • Wenn die Erweiterung installiert ist und ausgeführt wird, beginnt Sie mit der Überprüfung ihrer Computer, und Sie werden aufgefordert, Einstellungen wie die Konfiguration der Betriebssystem- und Umgebungseinstellungen festzuschreiben. Mit diesen beiden Empfehlungen werden Sie dazu aufgefordert, Ihre Windows-und Linux-Computer wie beschrieben festzuschreiben:

    • Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein
    • Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein

Weitere Informationen finden Sie in Grundlegendes zur Gastkonfiguration von Azure Policy.

CMK-Empfehlungen wurden in bewährte Methoden für die Sicherheitskontrolle verschoben

Das Sicherheitsprogramm jeder Organisation enthält Anforderungen an die Datenverschlüsselung. Die Daten von Azure-Kunden werden im Ruhezustand standardmäßig mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (CMK) sind aber häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit CMKs können Sie Ihre Daten mit einem Azure Key Vault-Schlüssel verschlüsseln, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. So haben Sie die volle Kontrolle über den Schlüssellebenszyklus, einschließlich der Rotation und Verwaltung, und sind dafür entsprechend verantwortlich.

Bei Sicherheitskontrollen von Azure Security Center handelt es sich um logische Gruppen mit verwandten Sicherheitsempfehlungen, die Ihren anfälligen Angriffsflächen entsprechen. Jede Sicherheitskontrolle verfügt über eine maximale Anzahl von Punkten, die Ihrer Sicherheitsbewertung hinzugefügt wird, wenn Sie alle in der Sicherheitskontrolle aufgeführten Empfehlungen für Ihre gesamten Ressourcen umsetzen. Die Sicherheitskontrolle Best Practices für die Sicherheit implementieren hat einen Wert von null Punkten. Daher wirken sich die Empfehlungen dieser Sicherheitskontrolle nicht auf Ihre Sicherheitsbewertung aus.

Die unten angegebenen Empfehlungen werden in die Sicherheitskontrolle Best Practices für die Sicherheit implementieren verschoben, um besser zu verdeutlichen, dass sie optional sind. Durch die Verschiebung wird sichergestellt, dass sich diese Empfehlungen in der Sicherheitskontrolle befinden, die zur Erreichung des Ziels am besten geeignet ist.

  • Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.
  • Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden
  • Für Azure KI Services-Konten muss die Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel (CMK) aktiviert sein
  • Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden
  • SQL Managed Instance-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden
  • SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden
  • Speicherkonten sollten einen kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) zur Verschlüsselung verwenden.

Informationen dazu, welche Empfehlungen in den einzelnen Sicherheitssteuerungen enthalten sind, finden Sie unter Sicherheitskontrollen und deren Empfehlungen.

Elf Azure Defender-Warnungen als veraltet eingestuft

Die elf nachfolgend aufgeführten Azure Defender-Warnungen wurden als veraltet eingestuft.

  • Neue Warnungen werden diese beiden Warnungen ersetzt und für eine bessere Abdeckung sorgen:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo PREVIEW – MicroBurst toolkit „Get-AzureDomainInfo“ function run detected (VORSCHAU – Ausführung der MicroBurst-Toolkitfunktion „Get-AzureDomainInfo“ erkannt)
    ARM_MicroBurstRunbook PREVIEW – MicroBurst toolkit „Get-AzurePasswords“ function run detected (VORSCHAU – Ausführung der MicroBurst-Funktion „Get-AzurePasswords“ erkannt)
  • Die folgenden neun Warnungen beziehen sich auf einen Azure Active Directory Identity Protection-Connector (IPC), der bereits veraltet ist:

    AlertType AlertDisplayName
    UnfamiliarLocation Ungewöhnliche Anmeldeeigenschaften
    AnonymousLogin Anonyme IP-Adresse
    InfectedDeviceLogin Mit Schadsoftware verknüpfte IP-Adresse
    ImpossibleTravel Ungewöhnlicher Ortswechsel
    MaliciousIP Schädliche IP-Adresse
    LeakedCredentials Kompromittierte Anmeldeinformationen
    PasswordSpray Kennwortspray
    LeakedCredentials Azure AD Threat Intelligence
    AADAI Azure AD-KI

    Tipp

    Bei diesen neun IPC-Warnungen hat es sich niemals um Security Center-Warnungen gehandelt. Sie sind Teil des Azure Active Directory (AAD) Identity Protection-Connectors (IPC), der sie an das Security Center sendete. In den letzten zwei Jahren sind die einzigen Kunden, die diese Warnungen sehen, Organisationen, die den Export (vom Connector zu ASC) im Jahr 2019 oder früher konfiguriert haben. AAD IPC hat sie weiterhin in ihren eigenen Warnungssystemen angezeigt, und sie sind weiterhin in Azure Sentinel verfügbar. Die einzige Änderung besteht darin, dass sie nicht mehr im Security Center angezeigt werden.

Zwei Empfehlungen der Sicherheitskontrolle „Systemupdates anwenden“ wurden als veraltet eingestuft

Die folgenden beiden Empfehlungen wurden als veraltet eingestuft und die Änderungen können geringfügige Auswirkungen auf Ihre Sicherheitsbewertung haben:

  • Ihre Computer sollten zur Anwendung von Systemupdates neu gestartet werden
  • Der Überwachungs-Agent sollte auf Ihren Computern installiert werden. Diese Empfehlung gilt nur für lokale Computer. Ein Teil der Logik wird in eine andere Empfehlung übertragen: Log Analytics-Agent-Integritätsprobleme müssen auf Computern gelöst werden

Wir empfehlen Ihnen, Ihre Konfigurationen für den fortlaufenden Export und die Workflowautomatisierung zu überprüfen, um zu ermitteln, ob diese Empfehlungen darin enthalten sind. Darüber hinaus sollten Sie alle Dashboards oder anderen Überwachungstools, für die diese ggf. genutzt werden, entsprechend aktualisieren.

Kachel für Azure Defender für SQL auf Computern vom Azure Defender-Dashboard entfernt

Der Abdeckungsbereich des Azure Defender-Dashboards enthält Kacheln für die relevanten Azure Defender-Pläne für Ihre Umgebung. Aufgrund eines Problems mit der Meldung der Anzahl geschützter und nicht geschützter Ressourcen haben wir uns entschieden, den Ressourcenabdeckungsstatus für Azure Defender für SQL auf Computern vorübergehend zu entfernen, bis das Problem behoben ist.

Zwischen Sicherheitskontrollen verschobene Empfehlungen

Die folgenden Empfehlungen wurden in andere Sicherheitskontrollen verschoben. Bei Sicherheitskontrollen handelt es sich um logische Gruppen verwandter Sicherheitsempfehlungen, die anfällige Angriffsflächen widerspiegeln. Durch die Verschiebung wird sichergestellt, dass sich jede dieser Empfehlungen in der am besten geeigneten Kontrolle befindet, um das jeweilige Ziel zu erreichen.

Informationen dazu, welche Empfehlungen in den einzelnen Sicherheitssteuerungen enthalten sind, finden Sie unter Sicherheitskontrollen und deren Empfehlungen.

Empfehlung Änderung und Auswirkung
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein.
Bewertung von Sicherheitsrisiken für verwaltete SQL-Instanzen aktivieren
Sicherheitsrisiken in Ihren SQL-Datenbanken müssen entschärft werden (neu)
Die Sicherheitsrisiken für Ihre SQL-Datenbanken in VMs müssen entschärft werden.
Verschiebung aus „Sicherheitsrisiken entschärfen“ (sechs Punkte)
in „Sicherheitskonfigurationen bereinigen“ (vier Punkte).
Diese Empfehlungen haben je nach Umgebung eine geringere Auswirkung auf Ihre Bewertung.
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein.
Automation-Kontovariablen sollten verschlüsselt werden.
IoT-Geräte: Überwachter Prozess hat das Senden von Ereignissen beendet
IoT-Geräte: Fehler bei Validierung von Baseline von Betriebssystem
IoT-Geräte:Upgrade der TLS-Verschlüsselungssammlung erforderlich
IoT-Geräte: offene Ports auf Gerät
IoT-Geräte: In einer der Ketten wurde eine zu wenig einschränkende Firewallrichtlinie gefunden
IoT-Geräte: In der Eingabekette wurde eine zu wenig einschränkende Firewallregel gefunden
IoT-Geräte: In der Ausgabekette wurde eine zu wenig einschränkende Firewallregel gefunden
In IoT Hub sollten Diagnoseprotokolle aktiviert sein.
IoT-Geräte: Agent sendet Nachrichten zu Unterauslastung
IoT-Geräte: Die Standard-IP-Filterrichtlinie sollte auf „Verweigern“ festgelegt werden
IoT-Geräte: Großer IP-Adressbereich für IP-Filterregel
IoT-Geräte: Agent-Nachrichtenintervalle und -größe müssen angepasst werden
IoT-Geräte: Identische Anmeldeinformationen für die Authentifizierung
IoT-Geräte – Auditd-Prozess hat das Senden von Ereignissen beendet
IoT-Geräte: Baselinekonfiguration des Betriebssystems (OS) muss korrigiert werden
Verschiebung in Bewährte Sicherheitsmethoden implementieren.
Wenn eine Empfehlung in die Sicherheitskontrolle „Bewährte Sicherheitsmethoden implementieren“ (Wert: null Punkte) verschoben wird, wirkt sie sich nicht mehr auf Ihre Sicherheitsbewertung aus.

März 2021

Zu den Updates im März gehören:

In Security Center integrierte Azure Firewall-Verwaltung

Wenn Sie Azure Security Center öffnen, wird als Erstes die Übersichtsseite angezeigt.

Dieses interaktive Dashboard ermöglicht eine einheitliche Übersicht über den Sicherheitsstatus Ihrer Hybrid Cloud-Workloads. Darüber hinaus werden darauf Sicherheitswarnungen, Informationen zur Abdeckung und andere Infos angezeigt.

Um Sie beim Anzeigen Ihres Sicherheitsstatus über eine zentrale Benutzeroberfläche zu unterstützen, haben wir u. a. Azure Firewall Manager in dieses Dashboard integriert. Sie können den Firewall-Abdeckungsstatus jetzt für alle Netzwerke überprüfen und über Security Center die Azure Firewall-Richtlinien an einem zentralen Ort verwalten.

Weitere Informationen zu diesem Dashboard finden Sie auf der Übersichtsseite für Azure Security Center.

Übersichtsdashboard von Security Center mit einer Kachel für Azure Firewall

SQL-Sicherheitsrisikobewertung enthält jetzt die Option „Regel deaktivieren“ (Vorschauversion)

Security Center enthält eine integrierte Überprüfung auf Sicherheitsrisiken, mit der Sie potenzielle Sicherheitsrisiken für Datenbanken ermitteln, nachverfolgen und beseitigen können. Die Ergebnisse Ihrer Überprüfungen für die Bewertung ermöglichen einen Überblick über den Sicherheitszustand Ihrer SQL-Computer und enthalten Einzelheiten zu allen Sicherheitsergebnissen.

Wenn in Ihrer Organisation eine Suche ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung und erzeugen kein unerwünschtes Rauschen.

Weitere Informationen finden Sie unter Deaktivieren bestimmter Ergebnisse.

In Security Center integrierte Azure Monitor-Arbeitsmappen und drei verfügbare Vorlagen

Bei der Ignite im Frühjahr 2021 haben wir eine integrierte Benutzeroberfläche für Azure Monitor-Arbeitsmappen in Security Center angekündigt.

Sie können die neue Integration verwenden, um mit der Verwendung der sofort einsatzbereiten Vorlagen aus dem Security Center-Katalog zu beginnen. Mithilfe von Arbeitsmappenvorlagen können Sie auf dynamische und visuelle Berichte zugreifen und diese erstellen, um den Sicherheitsstatus Ihrer Organisation nachzuverfolgen. Darüber hinaus können Sie auch neue Arbeitsmappen, die auf Security Center-Daten basieren, oder alle anderen unterstützten Datentypen erstellen und in kurzer Zeit Community-Arbeitsmappen aus der GitHub-Community für Security Center bereitstellen.

Es sind drei Vorlagenberichte verfügbar:

  • Sicherheitsbewertung im Zeitverlauf: Nutzen Sie die Nachverfolgung der Bewertungen Ihrer Abonnements und der Änderungen von Empfehlungen für Ihre Ressourcen.
  • Systemupdates: Zeigen Sie fehlende Systemupdates nach Ressource, Betriebssystem, Schweregrad usw. an.
  • Ergebnisse der Sicherheitsrisikobewertung: Zeigen Sie die Ergebnisse der Sicherheitsrisikobewertungen Ihrer Azure-Ressourcen an.

Informieren Sie sich über die Nutzung dieser Berichte oder die Erstellung eigener Berichte unter Erstellen umfassender interaktiver Berichte für Security Center-Daten.

Bericht „Sicherheitsbewertung im Zeitverlauf“

Dashboard für die Einhaltung gesetzlicher Bestimmungen enthält jetzt Azure-Überwachungsberichte (Vorschauversion)

In der Symbolleiste im Dashboard für die Einhaltung gesetzlicher Bestimmungen können Sie jetzt Zertifizierungsberichte für Azure und Dynamics herunterladen.

Symbolleiste des Dashboards für die Einhaltung gesetzlicher Bestimmungen

Sie können die Registerkarte für die relevanten Berichtstypen (PCI, SOC, ISO usw.) auswählen und Filter verwenden, um nach den benötigten spezifischen Berichten zu suchen.

Informieren Sie sich über das Verwalten der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.

Filtern der Liste mit den verfügbaren Azure-Überwachungsberichten

Empfehlungsdaten können mit „In ARG untersuchen“ in Azure Resource Graph angezeigt werden

Auf den Empfehlungsdetailseiten steht die Schaltfläche „In ARG untersuchen“ zur Verfügung. Verwenden Sie diese Schaltfläche, um eine Azure Resource Graph-Abfrage zu öffnen und die Daten der Empfehlung zu erkunden, zu exportieren und weiterzugeben.

Azure Resource Graph (ARG) bietet mit zuverlässigen Funktionen zum Filtern, Gruppieren und Sortieren sofortigen Zugriff auf Ressourceninformationen in Ihren Cloudumgebungen. Es ist eine schnelle und effiziente Möglichkeit, Informationen über Azure-Abonnements programmgesteuert oder aus dem Azure-Portal heraus abzufragen.

Erfahren Sie mehr über Azure Resource Graph.

Erkunden Sie Empfehlungsdaten in Azure Resource Graph.

Updates der Richtlinien für die Bereitstellung der Workflowautomatisierung

Die Automatisierung der Prozesse Ihrer Organisation zur Überwachung und Reaktion auf Vorfälle kann die Zeit, die zum Untersuchen von Sicherheitsvorfällen und zur Durchführung entsprechender Gegenmaßnahmen benötigt wird, erheblich verkürzen.

Wir stellen drei Azure Policy-Richtlinien vom Typ „DeployIfNotExist“ bereit, mit denen Verfahren für die Workflowautomatisierung erstellt und konfiguriert werden, damit Sie Ihre Automatisierungen in Ihrer gesamten Organisation bereitstellen können:

Zielsetzung Richtlinie Richtlinien-ID
Workflowautomatisierung für Sicherheitswarnungen Bereitstellen der Workflowautomatisierung für Azure Security Center-Warnungen f1525828-9a90-4fcf-be48-268cdd02361e
Workflowautomatisierung für Sicherheitsempfehlungen Bereitstellen der Workflowautomatisierung für Azure Security Center-Empfehlungen 73d6ab6c-2475-4850-afd6-43795f3492ef
Workflowautomatisierung für Änderungen bei der Einhaltung gesetzlicher Bestimmungen Workflowautomatisierung für die Einhaltung gesetzlicher Bestimmungen in Azure Security Center bereitstellen 509122b9-ddd9-47ba-a5f1-d0dac20be63c

Für die Features dieser Richtlinien wurden zwei Aktualisierungen durchgeführt:

  • Wenn sie zugewiesen werden, wird erzwungen, dass sie aktiviert bleiben.
  • Sie können diese Richtlinien jetzt anpassen und alle Parameter auch nach der Bereitstellung noch aktualisieren. Sie können beispielsweise einen Bewertungsschlüssel hinzufügen oder bearbeiten.

Beginnen Sie mit Vorlagen zur Workflowautomatisierung.

Informieren Sie sich über das Automatisieren der Reaktionen auf Security Center-Trigger.

Von zwei Legacyempfehlungen werden keine Daten mehr direkt in das Azure-Aktivitätsprotokoll geschrieben

Von Security Center werden die Daten für nahezu alle Sicherheitsempfehlungen an Azure Advisor übergeben und anschließend von Azure Advisor in das Azure-Aktivitätsprotokoll geschrieben.

Bei zwei Empfehlungen werden die Daten gleichzeitig direkt in das Azure-Aktivitätsprotokoll geschrieben. Diese Änderung sorgt dafür, dass Daten für diese Legacysicherheitsempfehlungen von Security Center nicht mehr direkt in das Aktivitätsprotokoll geschrieben werden. Stattdessen werden die Daten genau wie bei allen anderen Empfehlungen nach Azure Advisor exportiert.

Die beiden Legacyempfehlungen sind:

  • Integritätsprobleme in Endpoint Protection sollten auf Ihren Computern behoben werden.
  • Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden.

Wenn Sie auf Informationen für diese beiden Empfehlungen in der Kategorie „Empfehlung vom Typ "TaskDiscovery"“ zugegriffen haben, ist dies nicht mehr möglich.

Verbesserungen der Seite „Empfehlungen“

Wir haben eine verbesserte Version der Empfehlungsliste veröffentlicht, um mehr Informationen auf einen Blick zu präsentieren.

Auf der Seite sehen Sie nun Folgendes:

  1. Die maximale Bewertung und die aktuelle Bewertung für jede Sicherheitskontrolle
  2. Symbole, die Tags ersetzen, etwa Fix und Vorschau
  3. Eine neue Spalte mit der Richtlinieninitiative für jede Empfehlung (sichtbar, wenn „Nach Kontrollen gruppieren“ deaktiviert ist)

Verbesserungen der Seite „Empfehlungen“ für Azure Security Center: März 2021

Verbesserungen der flachen Liste „Empfehlungen“ für Azure Security Center: März 2021

Weitere Informationen finden Sie unter Sicherheitsempfehlungen in Azure Security Center.

Februar 2021

Updates im Februar:

Neue Seite „Sicherheitswarnungen“ im Azure-Portal nun allgemein verfügbar

Die Seite „Sicherheitswarnungen“ in Azure Security Center wurde neu gestaltet, um folgende Funktionen bereitzustellen:

  • Eine verbesserte Selektierungsoberfläche für Warnungen: Die Liste enthält anpassbare Filter und Gruppierungsoptionen und trägt dadurch zur Reduzierung der „Warnungsmüdigkeit“ bei, sodass Sie sich einfacher auf die relevantesten Bedrohungen konzentrieren können.
  • Weitere Informationen in der Warnungsliste, beispielsweise MITRE ATT&CK-Taktiken
  • Schaltfläche zum Erstellen von Beispielwarnungen: Zum Evaluieren von Azure Defender-Funktionen und Testen Ihrer Warnungen. Sie können Beispielwarnungen aus allen Azure Defender-Plänen erstellen (Konfiguration für SIEM-Integration, E-Mail-Benachrichtigungen und Workflowautomatisierungen).
  • Angleichung an die Azure Sentinel-Incidentoberfläche: Für Kunden, die beide Produkte verwenden, ist der Wechsel zwischen den Produkten jetzt unkomplizierter, und es ist einfach, das eine vom anderen zu übernehmen.
  • Bessere Leistung für große Warnungslisten
  • Tastaturnavigation durch die Warnungsliste
  • Warnungen aus Azure Resource Graph: Sie können Warnungen in Azure Resource Graph abfragen, der Kusto-ähnlichen API für alle Ihre Ressourcen. Dies ist auch nützlich, wenn Sie eigene Warnungsdashboards erstellen. Erfahren Sie mehr über Azure Resource Graph.
  • Feature zum Erstellen von Beispielwarnungen: Informationen zum Erstellen von Beispielwarnungen über die neue Oberfläche für Warnungen finden Sie unter Generieren von Azure Defender-Beispielwarnungen.

Empfehlungen zum Schutz von Kubernetes-Workloads nun allgemein verfügbar

Wir freuen uns, ankündigen zu können, dass die Empfehlungen für den Schutz von Kubernetes-Workloads jetzt allgemein verfügbar sind.

Um sicherzustellen, dass Kubernetes-Workloads standardmäßig sicher sind, wurden über Security Center Härtungsempfehlungen auf Kubernetes-Ebene hinzugefügt, z. B. auch Erzwingungsoptionen mit Kubernetes-Zugangskontrolle.

Wenn Azure Policy für Kubernetes in Ihrem AKS-Cluster (Azure Kubernetes Service) installiert ist, wird jede Anforderung an den Kubernetes-API-Server anhand der vordefinierten bewährten Methoden (Anzeige in Form von 13 Sicherheitsempfehlungen) überwacht, bevor sie im Cluster gespeichert wird. Anschließend können Sie das Erzwingen der bewährten Methoden konfigurieren und auf zukünftige Workloads anwenden.

Beispielsweise können Sie vorschreiben, dass keine privilegierten Container erstellt werden sollen und dass zukünftige Anforderungen für diese Aktion blockiert werden sollen.

Weitere Informationen finden Sie unter Bewährte Methoden zum Schutz von Workloads mithilfe der Kubernetes-Zugangssteuerung.

Hinweis

Während sich die Empfehlungen in der Vorschauphase befunden haben, haben diese nicht dazu geführt, dass eine AKS-Clusterressource als fehlerhaft gekennzeichnet wurde, und sind nicht in die Berechnung Ihrer Sicherheitsbewertung eingegangen. Ab dem Zeitpunkt dieser Ankündigung zur allgemeinen Verfügbarkeit wirken sie sich aber auf die Bewertungsberechnung aus. Falls Sie sie noch nicht umgesetzt haben, kann sich dies geringfügig auf Ihre Sicherheitsbewertung auswirken. Setzen Sie sie nach Möglichkeit um, wie dies unter Umsetzen von Empfehlungen in Azure Security Center beschrieben ist.

Microsoft Defender für Endpoint Integration mit Azure Defender unterstützt jetzt Windows Server 2019 und Windows 10 auf Windows Virtual Desktop (in der Vorschau).

Microsoft Defender für den Endpunkt ist eine ganzheitliche, cloudbasierte Lösung für die Endpunktsicherheit. Sie ermöglicht die risikobasierte Verwaltung und Bewertung von Sicherheitsrisiken sowie Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR). Eine vollständige Liste mit den Vorteilen der gemeinsamen Nutzung von Defender für Endpunkt und Azure Security Center finden Sie unter Schützen Sie Ihre Endpunkte mit der in Security Center integrierten EDR-Lösung: Microsoft Defender für Endpunkt.

Wenn Sie Azure Defender für Server auf einem Windows-Server aktivieren, ist im Plan eine Lizenz für Defender für Endpunkt enthalten. Falls Sie Azure Defender für Server bereits aktiviert haben und unter Ihrem Abonnement Windows Server 2019-Server nutzen, wird Defender für Endpunkt mit diesem Update darauf automatisch bereitgestellt. Es ist keine manuelle Aktion erforderlich.

Die Unterstützung wurde nun auf Windows Server 2019 und Windows 10 auf Windows Virtual Desktop erweitert.

Hinweis

Stellen Sie beim Aktivieren von Defender für Endpunkt auf einem Windows Server 2019-Server sicher, dass die unter Aktivieren der Integration von Microsoft Defender für Endpunkt beschriebenen Voraussetzungen erfüllt sind.

Wenn Sie die Details einer Empfehlung überprüfen, ist es häufig hilfreich, die zugrunde liegende Richtlinie zu kennen. Für jede Empfehlung, die von einer Richtlinie unterstützt wird, enthält die Seite mit den Empfehlungsdetails einen neuen Link:

Link zur Azure Policy-Seite für eine bestimmte Richtlinie, die eine Empfehlung unterstützt

Verwenden Sie diesen Link, um die Richtliniendefinition anzuzeigen und die Bewertungslogik zu überprüfen.

Empfehlung zur SQL-Datenklassifizierung hat keine Auswirkung auf Ihre Sicherheitsbewertung mehr

Die Empfehlung Sensible Daten in Ihren SQL-Datenbanken müssen klassifiziert werden hat keine Auswirkung auf Ihre Sicherheitsbewertung mehr. Die Sicherheitssteuerung wendet die Datenklassifizierung an, die sie enthält, verfügt jetzt über einen Sicherheitsbewertungswert von 0.

Eine vollständige Liste aller Sicherheitssteuerelemente sowie deren Bewertungen und eine Liste der Empfehlungen finden Sie unter "Sicherheitssteuerelemente" und deren Empfehlungen.

Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst werden (Vorschau)

Wir haben den Triggeroptionen für Ihre Workflowautomatisierungen jetzt einen dritten Datentyp hinzugefügt: Änderungen an Bewertungen zur Einhaltung gesetzlicher Bestimmungen.

Informieren Sie sich unter Automatisieren der Reaktionen auf Security Center-Trigger über die Nutzung der Tools für die Workflowautomatisierung.

Verwenden von Änderungen bei Bewertungen der Einhaltung gesetzlicher Bestimmungen zum Auslösen der Workflowautomatisierung

Erweiterungen für die Seite „Ressourcenbestand“

Die Seite „Ressourcenbestand“ in Azure Security Center wurde wie folgt verbessert:

  • Zusammenfassungen am oberen Rand der Seite enthalten jetzt Nicht registrierte Abonnements und geben Aufschluss über die Anzahl von Abonnements ohne Security Center-Aktivierung.

    Anzahl nicht registrierter Abonnements in den Zusammenfassungen am oberen Rand der Seite „Ressourcenbestand“

  • Filter wurden erweitert und verbessert, um Folgendes einzuschließen:

    • Anzahl: Für die Filter wird jeweils die Anzahl von Ressourcen angezeigt, die die Kriterien der jeweiligen Kategorie erfüllen.

      Anzahlangabe in den Filtern der Seite „Ressourcenbestand“ von Azure Security Center

    • Ausnahmenfilter (optional): Ermöglicht das Eingrenzen der Ergebnisse auf Ressourcen mit bzw. ohne Ausnahmen. Dieser Filter wird standardmäßig nicht angezeigt, ist aber über die Schaltfläche Filter hinzufügen verfügbar.

      Hinzufügen des Ausnahmenfilters auf der Seite „Ressourcenbestand“ von Azure Security Center

Weitere Informationen zum Erkunden und Verwalten Ihrer Ressourcen mithilfe des Ressourcenbestands und finden Sie hier.

Januar 2021

Die Updates im Januar umfassen Folgendes:

Der Azure-Sicherheitsvergleichstest ist jetzt die Standardrichtlinieninitiative für Azure Security Center.

Beim Azure-Sicherheitsvergleichstest handelt es sich um einen von Microsoft erstellten Satz Azure-spezifischer Richtlinien zu bewährten Methoden für Sicherheit und Compliance, die auf allgemeinen Complianceframeworks basieren. Diese weit verbreitete Benchmark basiert auf den Kontrollen des Center for Internet Security (CIS) und des National Institute of Standards and Technology (NIST) und konzentriert sich auf cloudzentrierte Sicherheit.

In den letzten Monaten wurde die Liste der integrierten Sicherheitsempfehlungen von Security Center erheblich erweitert, um unsere Abdeckung dieser Benchmark auszudehnen.

Von dieser Version ist der Benchmark die Grundlage für die Empfehlungen des Security Centers und vollständig als Standardrichtlinieninitiative integriert.

Die Dokumentation jedes Azure-Diensts enthält eine Seite mit der Sicherheitsbaseline. Diese Baselines basieren auf dem Vergleichstest für die Azure-Sicherheit.

Auf dem Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen werden während eines Übergangszeitraums zwei Instanzen der Benchmark angezeigt:

Azure Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen mit dem Vergleichstest für die Azure-Sicherheit

Auf bereits vorhandene Empfehlungen hat dies keine Auswirkungen, und im Zuge des weiteren Ausbaus der Benchmark werden Änderungen automatisch in Security Center berücksichtigt.

Weitere Informationen finden Sie auf den folgenden Seiten:

Die Sicherheitsrisikobewertung für lokale Computer und Multi-Cloud-Computer ist jetzt allgemein verfügbar.

Im Oktober haben wir eine Vorschauversion für die Überprüfung von Azure Arc-fähigen Servern mit des Scanners für die Sicherheitsrisikobewertung (von Qualys) angekündigt, die in Azure Defender für Server integriert ist.

Dieses Feature ist jetzt allgemein verfügbar.

Wenn Sie Azure Arc auf Ihren Nicht-Azure-Computern aktiviert haben, bietet Security Center eine manuelle und skalierbare Bereitstellung des integrierten Sicherheitsrisikoscanners auf diesen Computern.

Mit diesem Update können Sie die Leistungsfähigkeit von Azure Defender für Server nutzen, um Ihr Programm zur Verwaltung von Sicherheitsrisiken auf allen Azure- und Nicht-Azure-Ressourcen zu konsolidieren.

Hauptfunktionen:

  • Überwachen des Bereitstellungsstatus des Scanners für die Sicherheitsrisikobewertung auf Azure Arc-Computern
  • Bereitstellen des integrierten Agents für die Sicherheitsrisikobewertung auf ungeschützten Azure Arc-Computern unter Windows und Linux (manuell und skalierbar)
  • Empfangen und Analysieren ermittelter Sicherheitsrisiken von bereitgestellten Agents (manuell und skalierbar)
  • Einheitliche Benutzeroberfläche für Azure-VMs und Azure Arc-Computer

Erfahren Sie mehr über das Bereitstellen der integrierten Qualys-Überprüfung auf Sicherheitsrisiken für Ihre Hybridcomputer.

Erfahren Sie mehr über Server mit Azure Arc-Unterstützung.

Die Sicherheitsbewertung für Verwaltungsgruppen ist jetzt als Vorschau verfügbar.

Zusätzlich zur Abonnementebene werden auf der Seite „Sicherheitsbewertung“ nun auch die aggregierten Sicherheitsbewertungen für Ihre Verwaltungsgruppen angezeigt. Nun können Sie sich also die Liste der Verwaltungsgruppen in Ihrer Organisation sowie die Bewertung für die jeweilige Verwaltungsgruppe ansehen.

Anzeigen der Sicherheitsbewertungen für Ihre Verwaltungsgruppen

Weitere Informationen finden Sie unter Erweiterter Secure Score (Vorschau) in Azure Security Center.

Die Sicherheitsbewertungs-API ist jetzt allgemein verfügbar.

Sie können jetzt über die Sicherheitsbewertungs-API auf Ihre Bewertung zugreifen. Die API-Methoden bieten die Flexibilität, die Daten abzufragen und im Laufe der Zeit einen eigenen Berichtsmechanismus für Ihre Sicherheitsbewertungen zu erstellen. Beispiel:

  • Verwenden Sie die API für Sicherheitsbewertungen, um die Bewertung für ein bestimmtes Abonnement zu erhalten.
  • Verwenden Sie die API für Sicherheitsbewertungs-Steuerelemente, um die Sicherheitssteuerelemente und die aktuelle Bewertung Ihrer Abonnements aufzulisten.

Informieren Sie sich im Bereich zu den Sicherheitsbewertungen in unserer GitHub-Community über die externen Tools, die mit der Sicherheitsbewertungs-API verwendet werden können.

Weitere Informationen finden Sie unter Erweiterter Secure Score (Vorschau) in Azure Security Center.

Azure Defender für App Service wurde Schutz vor verwaisten DNS-Einträgen hinzugefügt.

Unterdomänenübernahmen sind eine weit verbreitete Bedrohung mit hohem Schweregrad für Organisationen. Eine Unterdomänenübernahme ist möglich, wenn Sie über einen DNS-Eintrag verfügen, der auf Website verweist, deren Bereitstellung aufgehoben wurde. Solche DNS-Einträge werden auch als „verwaiste DNS“-Einträge bezeichnet. CNAME-Einträge sind besonders anfällig für diese Bedrohung.

Unterdomänenübernahmen ermöglichen Bedrohungsakteuren das Umleiten von Datenverkehr, der für die Domäne einer Organisation vorgesehen ist, auf eine Website, die schädliche Aktivitäten ausführt.

Von Azure Defender für App Service werden nun verwaiste DNS-Einträge erkannt, wenn eine App Service-Website eingestellt wird. Zu diesem Zeitpunkt verweist der DNS-Eintrag auf eine Ressource, die nicht vorhanden ist, und Ihre Website ist für eine Unterdomänenübernahme anfällig. Diese Schutzmaßnahmen sind unabhängig davon verfügbar, ob Ihre Domänen mit Azure DNS oder mit einer externen Domänenregistrierungsstelle verwaltet werden, und sie gelten sowohl für App Service unter Windows als auch für App Service unter Linux.

Weitere Informationen:

Multi-Cloud-Connectors sind jetzt allgemein verfügbar.

Cloudworkloads umfassen in der Regel mehrere Cloudplattformen, daher muss das auch für Cloudsicherheitsdienste gelten.

Azure Security Center schützt Workloads in Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP).

Wenn Sie eine Verbindung mit Ihren AWS- oder GCP-Projekten herstellen, werden ihre nativen Sicherheitstools wie AWS Security Hub und GCP Security Command Center in Azure Security Center integriert.

Das bedeutet, dass Security Center Transparenz und Schutz für alle gängigen Cloudumgebungen bereitstellt. Diese Integration hat unter anderem folgende Vorteile:

  • Automatische Agent-Bereitstellung: Security Center verwendet Azure Arc, um den Log Analytics-Agent für Ihre AWS-Instanzen bereitzustellen.
  • Richtlinienverwaltung
  • Verwaltung von Sicherheitsrisiken
  • Integrierte Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)
  • Erkennung von Sicherheitsfehlkonfigurationen
  • Eine zentrale Ansicht mit Sicherheitsempfehlungen von allen Cloudanbietern
  • Einbindung all Ihrer Ressourcen in die Berechnung von Sicherheitsbewertungen durch Security Center
  • Bewertung der Einhaltung gesetzlicher Bestimmungen für Ihre AWS- und GPC-Ressourcen

Wählen Sie im Menü von Defender für Cloud die Option Connectors für mehrere Clouds aus, um die Optionen zum Erstellen neuer Connectors anzuzeigen:

Schaltfläche zum Hinzufügen eines AWS-Kontos auf der Seite für Multi-Cloud-Connectors in Security Center

Weitere Informationen finden Sie hier:

Möglichkeit, bei Ihrer Sicherheitsbewertung für Abonnements und Verwaltungsgruppen ganze Empfehlungen auszunehmen

Wir erweitern die Ausnahmenfunktion um die Möglichkeit, vollständige Empfehlungen einzuschließen. Dazu stellen wir weitere Optionen für die Feinabstimmung der Sicherheitsempfehlungen zur Verfügung, die Security Center für Ihre Abonnements, Verwaltungsgruppe oder Ressourcen bereitstellt.

Gelegentlich kann es vorkommen, dass eine Ressource als fehlerhaft aufgeführt wird, obwohl Sie wissen, dass das Problem durch ein Drittanbietertool behoben und dies von Security Center nicht erkannt wurde. Auch kann es bisweilen passieren, dass eine Empfehlung in einem Bereich angezeigt wird, zu dem sie Ihrer Meinung nach nicht gehört. Möglicherweise ist die Empfehlung für ein bestimmtes Abonnement nicht geeignet. Oder vielleicht hat Ihr Unternehmen auch die Entscheidung getroffen, die Risiken im Zusammenhang mit der jeweiligen Ressource oder Empfehlung zu akzeptieren.

Mit dieser Previewfunktion können Sie jetzt eine Ausnahme für eine Empfehlung erstellen. Dabei haben Sie folgende Möglichkeiten:

  • Sie können eine Ressource ausnehmen, um sicherzustellen, dass sie in Zukunft nicht mehr als fehlerhafte Ressourcen aufgeführt wird und keine Auswirkung auf Ihre Sicherheitsbewertung hat. Die Ressource wird als nicht anwendbar aufgeführt, und als Grund wird „Ausgenommen“ mit der spezifischen, von Ihnen ausgewählten Begründung angezeigt.

  • Sie können ein Abonnement oder eine Verwaltungsgruppe ausnehmen, um sicherzustellen, dass die Empfehlung keine Auswirkung auf Ihre Sicherheitsbewertung hat und in Zukunft nicht mehr für das Abonnement oder die Verwaltungsgruppe angezeigt wird. Das gilt sowohl für bereits vorhandene Ressourcen als auch für alle zukünftig erstellten Ressourcen. Die Empfehlung wird mit der spezifischen Begründung gekennzeichnet, die Sie für den ausgewählten Bereich auswählen.

Weitere Informationen finden Sie unter Ausschließen einer Ressource aus Empfehlungen und der Sicherheitsbewertung.

Benutzer können beim globalen Administrator jetzt mandantenweite Sichtbarkeit anfordern.

Wenn ein Benutzer nicht über Berechtigungen zum Anzeigen von Security Center-Daten verfügt, wird ihm jetzt ein Link angezeigt, über den er Berechtigungen vom globalen Administrator der Organisation anfordern kann. Die Anforderung enthält die gewünschte Rolle sowie eine Begründung, warum die Rolle erforderlich ist.

Banner mit der Information, dass der Benutzer mandantenweite Berechtigungen anfordern kann

Weitere Informationen finden Sie unter Anfordern mandantenweiter Berechtigungen, wenn die eigenen Berechtigungen nicht ausreichen.

35 Vorschauempfehlungen werden hinzugefügt, um die Abdeckung des Azure-Sicherheitsvergleichstests zu erhöhen

Der Azure-Sicherheitsvergleichstest ist die Standardrichtlinieninitiative in Azure Security Center.

Die folgenden 35 Vorschauempfehlungen wurden zu Security Center hinzugefügt, um die Abdeckung dieser Benchmark zu erhöhen.

Tipp

Empfehlungen der Vorschau versetzen keine Ressourcen in einen fehlerhaften Zustand, und sie werden nicht in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Setzen Sie sie trotzdem um, wann immer möglich, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen. Informationen zum Umgang mit diesen Empfehlungen finden Sie unter Umsetzen von Empfehlungen in Azure Security Center.

Sicherheitskontrolle Neue Empfehlungen
Aktivieren der Verschlüsselung ruhender Daten - Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.
- Azure Machine Learning-Arbeitsbereiche sollten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsselt werden.
- BYOK-Datenschutz (Bring Your Own Key) sollte für MySQL-Server aktiviert sein.
- BYOK-Datenschutz (Bring Your Own Key) sollte für PostgreSQL-Server aktiviert sein.
– Für Azure KI Services-Konten muss die Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel (CMK) aktiviert sein
- Containerregistrierungen sollten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsselt werden.
- Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.
- Computer mit SQL Server sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.
- Speicherkonten sollten einen kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) zur Verschlüsselung verwenden.
Bewährte Sicherheitsmethoden implementieren - In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein.
- Für Ihr Abonnement muss die automatische Bereitstellung des Log Analytics-Agents aktiviert sein.
- E-Mail-Benachrichtigungen bei Warnungen mit hohem Schweregrad sollten aktiviert sein.
- Das Senden von E-Mail-Benachrichtigungen an den Abonnementbesitzers bei Warnungen mit hohem Schweregrad sollte aktiviert sein.
- Für Schlüsseltresore sollte der Löschschutz aktiviert sein.
- Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein.
Zugriff und Berechtigungen verwalten - Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein.
Anwendungen vor DDoS-Angriffen schützen - Web Application Firewall (WAF) sollte für Application Gateway aktiviert sein.
- Web Application Firewall (WAF) muss für Azure Front Door Service aktiviert sein
Nicht autorisierten Netzwerkzugriff einschränken - Für Key Vault sollte eine Firewall aktiviert sein.
- Für Key Vault sollte ein privater Endpunkt konfiguriert werden.
- App Configuration sollte eine private Verbindung verwenden.
- Azure Cache for Redis sollte sich in einem virtuellen Netzwerk befinden.
- Azure Event Grid-Domänen sollten eine private Verbindung verwenden.
- Azure Event Grid-Themen sollten eine private Verbindung verwenden.
- Azure Machine Learning-Arbeitsbereiche sollten eine private Verbindung verwenden.
- Azure SignalR Service sollte eine private Verbindung verwenden.
- Azure Spring Cloud sollte Netzwerkinjektion verwenden.
- Containerregistrierungen sollten keinen uneingeschränkten Netzwerkzugriff zulassen.
- Containerregistrierungen sollten eine private Verbindung verwenden.
- Öffentlicher Netzwerkzugriff sollte für MariaDB-Server deaktiviert sein.
- Öffentlicher Netzwerkzugriff sollte für MySQL-Server deaktiviert sein.
- Öffentlicher Netzwerkzugriff sollte für PostgreSQL-Server deaktiviert sein.
- Das Speicherkonto sollte eine Private Link-Verbindung verwenden.
- Speicherkonten sollten den Netzwerkzugriff mithilfe von VNET-Regeln einschränken.
- VM Image Builder-Vorlagen sollten eine private Verbindung verwenden.

Verwandte Links:

CSV-Export der gefilterten Liste mit Empfehlungen

Im November 2020 haben wir der Seite "Empfehlungen" Filter hinzugefügt.

Mit dieser Ankündigung wird das Verhalten der Schaltfläche für den Download als CSV so geändert, dass der CSV-Export nur die Empfehlungen enthält, die derzeit in der gefilterten Liste angezeigt werden.

Im folgenden Screenshot wurde die Liste beispielsweise nach zwei Empfehlungen gefiltert. Die generierte CSV-Datei enthält die Statusdetails für jede Ressource, auf die sich diese beiden Empfehlungen auswirken.

Exportieren von gefilterten Empfehlungen als CSV-Datei

Weitere Informationen finden Sie unter Sicherheitsempfehlungen in Azure Security Center.

Nicht anwendbare Ressourcen werden in Azure Policy-Bewertungen jetzt als „Konform“ gemeldet.

Bislang wurden Ressourcen, die für eine Empfehlung ausgewertet und als nicht anwendbar befunden wurden, in Azure Policy als „Nicht konform“ angezeigt. Ihr Zustand kann durch keine Benutzeraktion in „Konform“ geändert werden. Mit dieser Änderung werden sie zur besseren Verständlichkeit als „Konform“ gemeldet.

Die einzige Auswirkung wird in Azure Policy zu sehen sein, weil die Anzahl der konformen Ressourcen dort steigt. Ihre Sicherheitsbewertung in Azure Security Center wird dadurch nicht beeinflusst.

Exportieren wöchentlicher Momentaufnahmen der Daten für die Sicherheitsbewertung und die Einhaltung gesetzlicher Bestimmungen per fortlaufendem Export (Vorschau)

Wir haben den Tools für den fortlaufenden Export eine neue Previewfunktion hinzugefügt, mit der wöchentliche Momentaufnahmen der Daten für die Sicherheitsbewertung und die Einhaltung gesetzlicher Bestimmungen exportiert werden können.

Legen Sie beim Definieren eines Vorgangs für den fortlaufenden Export die Exporthäufigkeit fest:

Auswählen der Häufigkeit des fortlaufenden Exports

  • Streaming – Bewertungen werden gesendet, wenn der Integritätsstatus einer Ressource aktualisiert wird (wenn keine Aktualisierungen auftreten, werden keine Daten gesendet).
  • Momentaufnahmen: Einmal pro Woche wird eine Momentaufnahme des aktuellen Zustands aller Bewertungen der Einhaltung gesetzlicher Bestimmungen gesendet. (Dies ist eine Previewfunktion für wöchentliche Momentaufnahmen der Daten für Sicherheitsbewertungen und die Einhaltung gesetzlicher Bestimmungen.)

Erfahren Sie mehr zu allen Funktionen dieses Features unter Fortlaufendes Exportieren von Security Center-Daten.

Dezember 2020

Zu den Updates im Dezember gehören:

Azure Defender für SQL Server-Instanzen auf Computern ist allgemein verfügbar.

Azure Security Center bietet zwei Azure Defender-Pläne für SQL Server:

  • Azure Defender für Azure SQL-Datenbankserver – schützt Ihre nativen Azure SQL Server.
  • Azure Defender für SQL Server auf Computern – erweitert denselben Schutz auf Ihre SQL Server-Instanzen in Hybrid-, Multicloud- und lokalen Umgebungen.

Mit dieser Ankündigung schützt Azure Defender für SQL jetzt Ihre Datenbanken und deren Daten überall, wo sie sich befinden.

Azure Defender für SQL umfasst Funktionen zur Sicherheitsrisikobewertung. Das Tool zur Sicherheitsrisikobewertung umfasst die folgenden erweiterten Funktionen:

  • Baselinekonfiguration (neu!), um die Ergebnisse von Sicherheitsrisikoscans auf intelligente Weise auf jene einzuschränken, die echte Sicherheitsprobleme darstellen könnten. Nach dem Festlegen des Baseline-Sicherheitsstatus meldet die das Tool zur Sicherheitsrisikobewertung nur noch Abweichungen von diesem Baselinestatus. Wenn Ergebnisse in nachfolgenden Überprüfungen mit der Baseline übereinstimmen, wird dies als Bestehen gewertet. Auf diese Weise können Sie und ihre Analysten Ihre Aufmerksamkeit darauf konzentrieren, wo sie gefordert ist.
  • Ausführliche Informationen, die Ihnen helfen, die erkannten Ergebnisse und deren Zusammenhang mit ihren Ressourcen zu verstehen.
  • Wiederherstellungsskripts zum Verringern identifizierter Risiken.

Weitere Informationen zu Azure Defender für SQL.

Azure Defender für SQL-Unterstützung für dedizierte SQL-Pools von Azure Synapse Analytics ist allgemein verfügbar.

Azure Synapse Analytics (früher SQL DW) ist ein Analysedienst, der Data Warehousing für Unternehmen mit Big Data-Analysen vereint. Dedizierte SQL-Pools sind die Data Warehousing-Funktionen für Unternehmen von Azure Synapse. Weitere Informationen finden Sie unter Was ist Azure Synapse Analytics (früher SQL DW)?.

Azure Defender für SQL schützt Ihre dedizierten SQL-Pools wie folgt:

  • Erweiterter Schutz vor Bedrohungen zur Erkennung von Bedrohungen und Angriffen
  • Funktionen zur Sicherheitsrisikobewertung zum Identifizieren und Beheben von Sicherheitsfehlkonfigurationen

Die Azure Defender für SQL-Unterstützung für Azure Synapse Analytics-SQL-Pools wird in Azure Security Center automatisch dem Paket „Azure SQL-Datenbanken“ hinzugefügt. Es gibt eine neue Azure Defender für SQL-Registerkarte auf ihrer Synapse-Arbeitsbereichsseite im Azure-Portal.

Weitere Informationen zu Azure Defender für SQL.

Globale Administratoren können sich jetzt selbst Berechtigungen auf Mandantenebene erteilen.

Ein Benutzer mit der Azure Active Directory-Rolle Globaler Administrator hat möglicherweise mandantenweite Aufgaben, aber keine Azure-Berechtigungen zum Anzeigen der organisationsweiten Informationen in Azure Security Center.

Unter Erteilen mandantenweiter Berechtigungen für sich selbst erfahren Sie, wie Sie sich selbst Berechtigungen auf Mandantenebene erteilen.

Zwei neue Azure Defender-Pläne: Azure Defender für DNS und Azure Defender für Resource Manager (in der Vorschauphase)

Wir haben zwei neue cloudnative und breit gefächerte Bedrohungsschutzfunktionen für Ihre Azure-Umgebung hinzugefügt.

Diese neuen Schutzmaßnahmen sorgen für eine erhebliche Verbesserung der Resilienz gegenüber Angriffen von Bedrohungsakteuren sowie für eine deutliche Erhöhung der Anzahl von Azure-Ressourcen, die durch Azure Defender geschützt werden.

Neue Seite „Sicherheitswarnungen“ im Azure-Portal (Vorschau)

Die Seite „Sicherheitswarnungen“ in Azure Security Center wurde neu gestaltet, um folgende Funktionen bereitzustellen:

  • Eine verbesserte Selektierungsoberfläche für Warnungen: Die Liste enthält anpassbare Filter und Gruppierungsoptionen und trägt dadurch zur Reduzierung der „Warnungsmüdigkeit“ bei, sodass Sie sich einfacher auf die relevantesten Bedrohungen konzentrieren können.
  • Weitere Informationen in der Warnungsliste, beispielsweise MITRE ATT&CK-Taktiken
  • Schaltfläche zum Erstellen von Beispielwarnungen: Sie können Beispielwarnungen aus allen Azure Defender-Plänen erstellen, um Azure Defender-Funktionen auszuwerten und Ihre Warnungskonfiguration zu testen (SIEM-Integration, E-Mail-Benachrichtigungen und Workflowautomatisierungen).
  • Angleichung an die Azure Sentinel-Incidentoberfläche: Für Kunden, die beide Produkte verwenden, ist der Wechsel zwischen den Produkten jetzt unkomplizierter, und es ist einfach, das eine vom anderen zu übernehmen.
  • Bessere Leistung für große Warnungslisten
  • Tastaturnavigation durch die Warnungsliste
  • Warnungen aus Azure Resource Graph: Sie können Warnungen in Azure Resource Graph abfragen, der Kusto-ähnlichen API für alle Ihre Ressourcen. Dies ist auch nützlich, wenn Sie eigene Warnungsdashboards erstellen. Erfahren Sie mehr über Azure Resource Graph.

Um auf die neue Oberfläche zuzugreifen, verwenden Sie oben auf der Seite „Sicherheitswarnungen“ den Link „Jetzt ausprobieren“ im Banner.

Banner mit dem Link zur neuen Benutzeroberfläche für Warnungen in der Vorschauversion.

Informationen zum Erstellen von Beispielwarnungen über die neue Oberfläche für Warnungen finden Sie unter Generieren von Azure Defender-Beispielwarnungen.

Überarbeitete Security Center-Benutzeroberfläche in Azure SQL-Datenbank und SQL Managed Instance

Die Security Center-Benutzeroberfläche in SQL ermöglicht den Zugriff auf die folgenden Security Center- und Azure Defender für SQL-Features:

  • Sicherheitsempfehlungen: Security Center führt eine regelmäßige Analyse des Sicherheitsstatus aller verbundenen Azure-Ressourcen durch, um potenzielle Fehlkonfigurationen in Bezug auf die Sicherheit zu identifizieren. Anschließend werden Empfehlungen zur Behebung dieser Sicherheitsrisiken und zur Verbesserung des Sicherheitsstatus der Organisation bereitgestellt.
  • Sicherheitswarnungen: Bei diesem Erkennungsdienst werden Azure SQL-Aktivitäten fortlaufend auf Bedrohungen wie Einschleusung von SQL-Befehlen, Brute-Force-Angriffe und Berechtigungsmissbrauch überwacht. Dieser Dienst löst detaillierte und aktionsorientierte Sicherheitswarnungen im Security Center aus und bietet Optionen für fortlaufende Untersuchungen mit Azure Sentinel, der azure-nativeN SIEM-Lösung von Microsoft.
  • Ergebnisse: Bei diesem Dienst für die Sicherheitsrisikobewertung werden die Azure SQL-Konfigurationen fortlaufend überwacht, und es wird Hilfestellung bei der Eindämmung von Sicherheitsrisiken geleistet. Es werden Bewertungsüberprüfungen durchgeführt, um eine Übersicht über die einzelnen Azure SQL-Sicherheitsstatus und die zugehörigen ausführlichen Ergebnisse zur Sicherheit anzeigen zu können.

Sicherheitsfunktionen von Azure Security Center für SQL sind in Azure SQL verfügbar

Aktualisierung von Tools und Filtern des Ressourcenbestands

Die Seite „Bestand“ in Azure Security Center wurde mit den folgenden Änderungen aktualisiert:

  • Der Symbolleiste wurde eine Option für Anleitungen und Feedback hinzugefügt. Ein Bereich mit Links zu verwandten Informationen und Tools wurde hinzugefügt.

  • Den verfügbaren Standardfiltern für Ihre Ressourcen wurde ein Abonnementfilter hinzugefügt.

  • Link Abfrage öffnen zum Öffnen der aktuellen Filteroptionen als Azure Resource Graph-Abfrage (früher als „Im Resource Graph-Explorer anzeigen“ bezeichnet).

  • Operatoroptionen für jeden Filter. Sie können jetzt auch andere logische Operatoren als „=“ auswählen. Beispielsweise können Sie nach allen Ressourcen mit aktiven Empfehlungen suchen, deren Titel die Zeichenfolge „encrypt“ enthält.

    Steuerelemente für die Operatoroption in Filtern des Ressourcenbestands

Weitere Informationen zum Bestand finden Sie unter Untersuchen und Verwalten Ihrer Ressourcen mit dem Ressourcenbestand und Verwaltungstools.

Empfehlung zu Web-Apps, die SSL-Zertifikate anfordern, ist nicht mehr Teil der Sicherheitsbewertung

Die Empfehlung „Web-Apps sollten für alle eingehenden Anforderungen ein SSL-Zertifikat anfordern“ wurde von der Sicherheitskontrolle Zugriff und Berechtigungen verwalten (mit einem Wert von maximal 4 Punkten) in Best Practices für die Sicherheit implementieren (mit einem Wert von 0 Punkten) verschoben.

Wenn sichergestellt wird, dass eine Web-App ein Zertifikat anfordert, erhöht dies auf jeden Fall die Sicherheit. Für öffentliche Web-Apps ist dies aber irrelevant. Wenn Sie über HTTP und nicht HTTPS auf Ihre Website zugreifen, erhalten Sie kein Clientzertifikat. Wenn Ihre Anwendung also Clientzertifikate erfordert, sollten Sie keine Anforderungen an Ihre Anwendung über HTTP zulassen. Weitere Informationen finden Sie unter Konfigurieren der gegenseitigen TLS-Authentifizierung für Azure App Service.

Mit dieser Änderung ist die Empfehlung jetzt eine empfohlene bewährte Methode, die keine Auswirkung auf die Bewertung hat.

Informationen dazu, welche Empfehlungen in den einzelnen Sicherheitssteuerungen enthalten sind, finden Sie unter Sicherheitskontrollen und deren Empfehlungen.

Empfehlungsseite enthält neue Filter für Umgebung, Schweregrad und verfügbare Antworten

Azure Security Center überwacht alle verbundenen Ressourcen und generiert Sicherheitsempfehlungen. Verwenden Sie diese Empfehlungen, um den Sicherheitsstatus Ihrer Hybrid Cloud zu verbessern und die Konformität mit den relevanten Richtlinien und Standards für Ihre Organisation, Ihre Branche und Ihr Land bzw. Region nachzuverfolgen.

Während die Abdeckung und die Features von Security Center erweitert werden, werden der Liste mit den Sicherheitsempfehlungen jeden Monat neue Einträge hinzugefügt. Informieren Sie sich beispielsweise unter 29 Vorschauempfehlungen hinzugefügt, um die Abdeckung des Azure Security-Vergleichstests zu erhöhen.

Da der Liste ständig neue Einträge hinzugefügt werden, ist es erforderlich, dass sie nach den für Sie interessanten Empfehlungen gefiltert werden kann. Im November haben wir der Seite mit den Empfehlungen Filter hinzugefügt (siehe Die Empfehlungsliste beinhaltet nun Filter).

Die in diesem Monat hinzugefügten Filter verfügen über Optionen, mit denen Sie den Umfang der Liste mit den Empfehlungen wie folgt eingrenzen können:

  • Umgebung: Es werden Empfehlungen für Ihre AWS-, GCP- oder Azure-Ressourcen (oder eine beliebige Kombination) angezeigt.

  • Schweregrad: Es werden Empfehlungen gemäß der Klassifizierung nach Schweregrad angezeigt, die für Security Center festgelegt wurden.

  • Antwortaktionen: Es werden Empfehlungen gemäß der Verfügbarkeit von Security Center-Antwortoptionen angezeigt: „Beheben“, „Verweigern“ und „Erzwingen“.

    Tipp

    Der Filter für Antwortaktionen ersetzt den Filter vom Typ Schnelle Problembehebung verfügbar (Ja/Nein) .

    Informieren Sie sich weiter über diese Antwortoptionen:

Nach Sicherheitssteuerung gruppierte Empfehlungen.

Neue Datentypen und verbesserte deployifnotexist-Richtlinien für fortlaufenden Export

Mit den Azure Security Center-Tools für den fortlaufenden Export können Sie die Empfehlungen und Warnungen für die Verwendung mit anderen Überwachungstools in Ihrer Umgebung exportieren.

Mit dem fortlaufenden Export können Sie umfassend anpassen, was exportiert wird und wohin. Ausführliche Informationen finden Sie unter Fortlaufendes Exportieren von Security Center-Daten.

Diese Tools wurden wie folgt verbessert und erweitert:

  • Verbesserung der deployifnotexist-Richtlinien für den fortlaufenden Export: Mit den Richtlinien wird nun Folgendes durchgeführt:

    • Überprüfen, ob die Konfiguration aktiviert ist: Wenn nicht, wird die Richtlinie als nicht konform angezeigt und eine konforme Ressource erstellt. Weitere Informationen zu den bereitgestellten Azure Policy-Vorlagen finden Sie unter Einrichten eines fortlaufenden Exports auf der Registerkarte „Bereitstellung im großen Stil mit Azure Policy“.

    • Unterstützen des Exports von Sicherheitsergebnissen: Bei Verwendung der Azure Policy-Vorlagen können Sie Ihren fortlaufenden Export so konfigurieren, dass er Ergebnisse enthält. Dies ist beim Exportieren von Empfehlungen relevant, die über untergeordnete Empfehlungen verfügen. Beispiele hierfür sind Ergebnisse aus Sicherheitsrisikobewertungen oder spezifische Systemupdates für die übergeordnete Empfehlung „Systemupdates sollten auf Ihren Computern installiert sein“.

    • Unterstützen des Exports der Daten von Sicherheitsbewertungen

  • Daten zur Bewertung der Einhaltung gesetzlicher Bestimmungen hinzugefügt (Vorschauphase): Sie können Updates für Bewertungen der Einhaltung gesetzlichen Bestimmungen jetzt fortlaufend in einen Log Analytics-Arbeitsbereich oder eine Event Hubs-Instanz exportieren (gilt auch für benutzerdefinierte Initiativen). Diese Funktion ist in nationalen Clouds nicht verfügbar.

    Optionen zum Einbinden von Bewertungen der Einhaltung gesetzlicher Bestimmungen in Ihre Daten des fortlaufenden Exports.

November 2020

Updates im November:

29 Vorschauempfehlungen hinzugefügt, um die Abdeckung des Azure Security-Vergleichstests zu erhöhen

Beim Azure-Sicherheitsvergleichstest handelt es sich um einen von Microsoft erstellten Satz mit Azure-spezifischen Richtlinien zu bewährten Methoden für Sicherheit und Compliance, die auf allgemeinen Complianceframeworks basieren. Weitere Informationen zum Azure-Sicherheitsvergleichstest

Die folgenden 29 Vorschauempfehlungen wurden zu Security Center hinzugefügt, um die Abdeckung dieses Vergleichstests zu erhöhen.

Empfehlungen der Vorschau versetzen keine Ressourcen in einen fehlerhaften Zustand, und sie werden nicht in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Setzen Sie sie trotzdem um, wann immer möglich, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen. Informationen zum Umgang mit diesen Empfehlungen finden Sie unter Umsetzen von Empfehlungen in Azure Security Center.

Sicherheitskontrolle Neue Empfehlungen
Verschlüsseln von Daten während der Übertragung – Erzwingen einer SSL-Verbindung sollte für PostgreSQL-Datenbankserver aktiviert sein
– Erzwingen einer SSL-Verbindung sollte für MySQL-Datenbankserver aktiviert sein
– TLS sollte für Ihre API-App auf die aktuelle Version aktualisiert werden
– TLS sollte für Ihre Funktions-App auf die aktuelle Version aktualisiert werden
– TLS sollte für Ihre Web-App auf die aktuelle Version aktualisiert werden
– FTPS sollte in API-App erforderlich sein
– FTPS sollte in Funktions-App erforderlich sein
– FTPS sollte in Web-App erforderlich sein
Zugriff und Berechtigungen verwalten – Web-Apps sollten ein SSL-Zertifikat für alle eingehenden Anforderungen anfordern
– API-App sollte verwaltete Identität verwenden
– Funktions-App sollte verwaltete Identität verwenden
– Web-App sollte verwaltete Identität verwenden
Nicht autorisierten Netzwerkzugriff einschränken – Privater Endpunkt sollte für PostgreSQL-Server aktiviert sein
– Privater Endpunkt sollte für MariaDB-Server aktiviert sein
– Privater Endpunkt sollte für MySQL-Server aktiviert sein
Überwachung und Protokollierung aktivieren - In App Services müssen Diagnoseprotokolle aktiviert sein
Bewährte Sicherheitsmethoden implementieren – Azure Backup sollte für virtuelle Computer aktiviert sein
– Georedundante Sicherung sollte für Azure Database for MariaDB aktiviert sein
– Georedundante Sicherung sollte für Azure Database for MySQL aktiviert sein
– Georedundante Sicherung sollte für Azure Database for PostgreSQL aktiviert sein
– PHP sollte für Ihre API-App auf die aktuelle Version aktualisiert werden
– PHP sollte für Ihre Web-App auf die aktuelle Version aktualisiert werden
– Java sollte für Ihre API-App auf die aktuelle Version aktualisiert werden
– Java sollte für Ihre Funktions-App auf die aktuelle Version aktualisiert werden
– Java sollte für Ihre Web-App auf die aktuelle Version aktualisiert werden
– Python sollte für Ihre API-App auf die aktuelle Version aktualisiert werden
– Python sollte für Ihre Funktions-App auf die aktuelle Version aktualisiert werden
– Python sollte für Ihre Web-App auf die aktuelle Version aktualisiert werden
– Die Aufbewahrung der Überprüfung für SQL-Server sollte auf mindestens 90 Tage festgelegt sein

Verwandte Links:

NIST SP 800 171 R2 in das Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen aufgenommen

Der Standard „NIST SP 800-171 R2“ ist jetzt als integrierte Initiative zur Verwendung mit dem Azure Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen verfügbar. Die Zuordnungen für die Steuerelemente werden in Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß NIST SP 800-171 R2 beschrieben.

Um den Standard auf Ihre Abonnements anzuwenden und Ihren Compliancestatus kontinuierlich zu überwachen, verwenden Sie die Anweisungen unter Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.

Standard „NIST SP 800-171 R2“ im Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen

Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.

Die Empfehlungsliste beinhaltet nun Filter.

Sie können die Liste der Sicherheitsempfehlungen nun nach verschiedenen Kriterien filtern. Im folgenden Beispiel ist die Empfehlungsliste zur Anzeige von Empfehlungen gefiltert, für die Folgendes gilt:

  • Sie sind allgemein verfügbar (also nicht in der Vorschauphase).
  • Sie gelten für Speicherkonten.
  • Sie unterstützen eine schnelle Problembehebung.

Filter für die Empfehlungsliste.

Die Oberfläche für die automatische Bereitstellung wurde verbessert und erweitert.

Mit der Funktion zur automatischen Bereitstellung können Sie den Verwaltungsaufwand verringern, indem Sie die erforderlichen Erweiterungen auf neuen und vorhandenen Azure-VMs installieren, damit diese vom Security Center-Schutz profitieren können.

Da Azure Security Center wächst, wurden mehr Erweiterungen entwickelt, und Security Center kann eine umfangreichere Liste von Ressourcentypen überwachen. Die Tools für die automatische Bereitstellung wurden erweitert, um durch die Nutzung der Funktionen von Azure Policy weitere Erweiterungen und Ressourcentypen zu unterstützen.

Sie können jetzt die automatische Bereitstellung folgender Komponenten konfigurieren:

  • Log Analytics-Agent
  • (Neu) Azure Policy für Kubernetes
  • (Neu) Microsoft Dependency-Agent

Weitere Informationen finden Sie im Thema zur automatischen Bereitstellung von Agents und Erweiterungen über Azure Security Center.

Die Sicherheitsbewertung ist jetzt im fortlaufenden Export (Vorschauversion) verfügbar.

Mit dem fortlaufenden Export der Sicherheitsbewertung können Sie Änderungen an Ihrer Bewertung in Echtzeit an Azure Event Hubs oder an einen Log Analytics-Arbeitsbereich streamen. Diese Funktion ermöglicht Folgendes:

  • Nachverfolgen Ihrer Sicherheitsbewertung im Laufe der Zeit mit dynamischen Berichten
  • Exportieren von Sicherheitsbewertungsdaten an Azure Sentinel (oder an eine beliebige andere SIEM-Lösung)
  • Integrieren dieser Daten in beliebige Prozesse, die in Ihrer Organisation ggf. bereits zur Überwachung der Sicherheitsbewertung verwendet werden

Weitere Informationen zum fortlaufenden Exportieren von Security Center-Daten finden Sie hier.

Die Empfehlung „Auf Ihren Computern sollten Systemupdates installiert werden“ enthält jetzt Unterempfehlungen.

Die Empfehlung Systemupdates müssen auf Ihren Computern installiert werden wurde erweitert. Die neue Version enthält Unterempfehlungen für jedes fehlende Update und bietet folgende Verbesserungen:

  • Eine neu gestaltete Umgebung auf den Azure Security Center-Seiten des Azure-Portals. Die Seite mit den Empfehlungsdetails für Auf Ihren Computern sollten Systemupdates installiert werden enthält die unten gezeigte Liste der Ergebnisse. Wenn Sie ein einzelnes Ergebnis auswählen, wird die Detailansicht mit einem Link zu den Informationen zur Risikominderung und einer Liste der betroffenen Ressourcen geöffnet.

    Öffnen einer der Unterempfehlungen auf der Benutzeroberfläche des Portals für die aktualisierte Empfehlung.

  • Erweiterte Daten für die Empfehlung aus Azure Resource Graph (ARG). ARG ist ein Azure-Dienst zur effizienten Untersuchung von Ressourcen. Sie können ARG verwenden, um über einen bestimmten Satz von Abonnements Abfragen im großen Stil durchzuführen und Ihre Umgebung so effektiv zu verwalten.

    Für Azure Security Center können Sie ARG und die Kusto-Abfragesprache (KQL) verwenden, um eine Vielzahl von Daten zum Sicherheitsstatus abzufragen.

    Zuvor galt: Wenn Sie diese Empfehlung in ARG abgefragt haben, bestand die einzige verfügbare Information darin, dass die Empfehlung auf einem Computer behandelt werden muss. Die folgende Abfrage der aktualisierten Version gibt die einzelnen fehlenden Systemupdates zurück (gruppiert nach Computer):

    securityresources
    | where type =~ "microsoft.security/assessments/subassessments"
    | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
    | where properties.status.code == "Unhealthy"
    

Die Seite „Richtlinienverwaltung“ im Azure-Portal zeigt jetzt den Zuweisungsstatus von Standardrichtlinien an.

Auf der Seite Sicherheitsrichtlinie von Security Center im Azure-Portal sehen Sie nun, ob ihren Abonnements die standardmäßige Security Center-Richtlinie zugewiesen ist.

Seite „Richtlinienverwaltung“ im Azure Security Center, die die Standardrichtlinienzuweisung anzeigt.

Oktober 2020

Updates im Oktober:

Sicherheitsrisikobewertung für lokale Computer und Multi-Cloud-Computer (Vorschau)

Der in Azure Defender für Server integrierte Scanner für die Sicherheitsrisikobewertung (von Qualys) überprüft jetzt Server mit Azure Arc-Unterstützung.

Wenn Sie Azure Arc auf Ihren Nicht-Azure-Computern aktiviert haben, bietet Security Center eine manuelle und skalierbare Bereitstellung des integrierten Sicherheitsrisikoscanners auf diesen Computern.

Mit diesem Update können Sie die Leistungsfähigkeit von Azure Defender für Server nutzen, um Ihr Programm zur Verwaltung von Sicherheitsrisiken auf allen Azure- und Nicht-Azure-Ressourcen zu konsolidieren.

Hauptfunktionen:

  • Überwachen des Bereitstellungsstatus des Scanners für die Sicherheitsrisikobewertung auf Azure Arc-Computern
  • Bereitstellen des integrierten Agents für die Sicherheitsrisikobewertung auf ungeschützten Azure Arc-Computern unter Windows und Linux (manuell und skalierbar)
  • Empfangen und Analysieren ermittelter Sicherheitsrisiken von bereitgestellten Agents (manuell und skalierbar)
  • Einheitliche Benutzeroberfläche für Azure-VMs und Azure Arc-Computer

Erfahren Sie mehr über das Bereitstellen der integrierten Qualys-Überprüfung auf Sicherheitsrisiken für Ihre Hybridcomputer.

Erfahren Sie mehr über Server mit Azure Arc-Unterstützung.

Empfehlung für Azure Firewall hinzugefügt (Vorschau)

Es wurde eine neue Empfehlung zum Schützen aller virtuellen Netzwerke mit Azure Firewall hinzugefügt.

In der Empfehlung Virtuelle Netzwerke müssen durch Azure Firewall geschützt werden wird Ihnen geraten, mithilfe der Azure-Firewall den Zugriff auf Ihre virtuellen Netzwerke einzuschränken und potenzielle Bedrohungen zu verhindern.

Erfahren Sie mehr über Azure Firewall.

Die Empfehlung „Für Kubernetes-Dienste sollten autorisierte IP-Adressbereiche definiert werden“ wurde mit einer schnellen Problembehebung aktualisiert

Für die Empfehlung Für Kubernetes-Dienste sollten autorisierte IP-Adressbereiche definiert werden gibt es jetzt eine Option zur schnellen Problembehebung.

Die Empfehlung „Für Kubernetes-Dienste sollten autorisierte IP-Adressbereiche definiert werden“ mit einer Option zur schnellen Problembehebung.

Das Dashboard zur Einhaltung gesetzlicher Bestimmungen enthält jetzt die Option, Standards zu entfernen

Das Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen bietet Erkenntnisse zu Ihrem Compliancestatus basierend auf der Erfüllung bestimmter Compliancevorgaben und -anforderungen.

Das Dashboard enthält einen Standardsatz gesetzlicher Standards. Falls einer der angegebenen Standards für Ihre Organisation nicht relevant ist, ist es nun problemlos möglich, diesen aus der Benutzeroberfläche für ein Abonnement zu entfernen. Standards können nur auf der Ebene des Abonnements entfernt werden, nicht der für den Verwaltungsgruppenbereich.

Weitere Informationen finden Sie unter Entfernen eines Standards aus Ihrem Dashboard.

Microsoft.Security/securityStatuses-Tabelle aus Azure Resource Graph (ARG) entfernt

Azure Resource Graph ist ein Dienst in Azure, der eine effiziente Ressourcenuntersuchung mit der Fähigkeit bereitstellt, übergreifend für eine bestimmte Menge von Abonnements nach Bedarf Abfragen durchzuführen, sodass Sie Ihre Umgebung effektiv beherrschen können.

Für Azure Security Center können Sie ARG und die Kusto-Abfragesprache (KQL) verwenden, um eine Vielzahl von Daten zum Sicherheitsstatus abzufragen. Zum Beispiel:

In ARG gibt es Datentabellen, die Sie in Ihren Abfragen verwenden können.

Azure Resource Graph-Explorer und die verfügbaren Tabellen.

Tipp

In der ARG-Dokumentation sind alle verfügbaren Tabellen unter Azure Resource Graph-Tabelle und Ressourcentypreferenz aufgelistet.

Bei diesem Update wurde die Tabelle Microsoft.Security/securityStatuses entfernt. Die securityStatuses-API ist weiterhin verfügbar.

Zum Datenersatz kann die Microsoft.Security/Assessments-Tabelle verwendet werden.

Der Hauptunterschied zwischen Microsoft.Security/securityStatuses und Microsoft.Security/Assessments besteht darin, dass Erstere die Aggregation von Bewertungen zeigt, während in der Zweiten jeweils ein einzelner Datensatz enthalten ist.

Beispielsweise gibt Microsoft.Security/securityStatuses ein Ergebnis mit einem Array von zwei Richtlinienbewertungen (policyAssessments) zurück:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

„Microsoft.Security/Assessments“ enthält hingegen einen Datensatz für jede Richtlinienbewertung:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

Beispiel für das Konvertieren einer vorhandenen ARG-Abfrage mit securityStatuses für die Verwendung der Assessments-Tabelle:

Abfrage, die auf SecurityStatuses verweist:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Ersatzabfrage für die Assessments-Tabelle:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

Weitere Informationen finden Sie unter den folgenden Links:

September 2020

Updates im September:

Security Center erhält ein neues Aussehen

Wir haben eine aktualisierte Benutzeroberfläche für die Portalseiten von Security Center veröffentlicht. Die neuen Seiten enthalten eine neue Übersicht und Dashboards für Sicherheitsbewertung, Ressourcenbestand und Azure Defender.

Die neu gestaltete Übersicht verfügt jetzt über eine Kachel für den Zugriff auf die Sicherheitsbewertung, den Ressourcenbestand und Azure Defender-Dashboards. Außerdem bietet eine neue Kachel eine Verknüpfung mit dem Compliance-Dashboard.

Erfahren Sie mehr über die Übersicht.

Azure Defender veröffentlicht

Azure Defender ist die in Security Center integrierte Cloud Workload Protection Platform (CWPP), die einen erweiterten, intelligenten Schutz Ihrer Azure- und Hybridworkloads bietet. Sie ersetzt den Standard-Tarif von Security Center.

Wenn Sie Azure Defender über den Bereich Preise und Einstellungen von Azure Security Center aktivieren, werden alle folgenden Defender-Pläne aktiviert und bieten umfassende Schutzmechanismen für die Compute-, Daten- und Dienstebenen Ihrer Umgebung:

Jeder dieser Pläne wird in der Security Center-Dokumentation einzeln erläutert.

Über ein dediziertes Dashboard bietet Azure Defender Sicherheitswarnungen und erweiterten Bedrohungsschutz für virtuelle Computer, SQL-Datenbanken, Container, Webanwendungen, Ihr Netzwerk u. v. m.

Weitere Informationen zu Azure Defender.

Azure Defender für Key Vault ist allgemein verfügbar

Der Azure Key Vault-Clouddienst schützt Verschlüsselungsschlüssel und Geheimnisse (wie Zertifikate, Verbindungszeichenfolgen und Kennwörter).

Azure Defender für Key Vault bietet in Azure nativen erweiterten Bedrohungsschutz für Azure Key Vault und dadurch eine zusätzliche Ebene der Sicherheitsintelligenz. Durch die Erweiterung schützt Azure Defender für Key Vault daher viele der Ressourcen, die von Ihren Key Vault-Konten abhängig sind.

Der optionale Plan ist nun allgemein verfügbar. Dieses Feature wurde in der Vorschau als „Advanced Threat Protection für Azure Key Vault“ bezeichnet.

Außerdem enthalten die Key Vault-Seiten im Azure-Portal nun eine dedizierte Seite Sicherheit für Empfehlungen und Warnungen von Security Center.

Weitere Informationen finden Sie unter Azure Defender für Key Vault.

Azure Defender für Storage ist für Files und ADLS Gen2 allgemein verfügbar

Azure Defender für Storage erkennt potenziell schädliche Aktivitäten in Ihren Azure Storage-Konten. Ihre Daten können geschützt werden, und zwar unabhängig davon, ob Sie als Blobcontainer, Dateifreigaben oder Data Lakes gespeichert werden.

Die Unterstützung für Azure Files und Azure Data Lake Storage Gen2 ist jetzt allgemein verfügbar.

Ab dem 1. Oktober 2020 beginnen wir damit, den Schutz von Ressourcen für diese Dienste abzurechnen.

Weitere Informationen finden Sie unter Azure Defender für Storage.

Asset Inventory-Tools sind jetzt allgemein verfügbar

Auf der Seite „Ressourcenbestand“ von Azure Security Center können Sie auf einer Seite den gesamten Sicherheitsstatus der Ressourcen anzeigen, die Sie mit Azure Security Center verbunden haben.

Azure Security Center analysiert in regelmäßigen Abständen den Sicherheitsstatus der Azure-Ressourcen, um mögliche Sicherheitsrisiken zu erkennen. Anschließend erhalten Sie Empfehlungen dazu, wie Sie diese Sicherheitsrisiken beheben können.

Wenn eine Ressource ausstehende Empfehlungen hat, werden diese im Inventar angezeigt.

Weitere Informationen finden Sie unter Untersuchen und Verwalten Ihrer Ressourcen mit dem Ressourcenbestand und Verwaltungstools.

Deaktivieren der Erkennung eines bestimmten Sicherheitsrisikos bei Scans von Containerregistrierungen und virtuellen Computern

Azure Defender enthält Sicherheitsrisikoscanner, mit denen Sie Images in Azure Container Registry und auf Ihren virtuellen Computern scannen können.

Wenn in Ihrer Organisation eine Suche ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung und erzeugen kein unerwünschtes Rauschen.

Wenn eine Suche mit den in Ihren Deaktivierungsregeln definierten Kriterien übereinstimmt, wird sie nicht in der Liste der Ergebnisse angezeigt.

Diese Option ist auf den Detailseiten der Empfehlungen verfügbar:

  • Sicherheitsrisiken in Azure Container Registry-Images müssen behoben werden
  • Sicherheitsrisiken für VMs müssen behoben werden

Ausschließen einer Ressource aus einer Empfehlung

Gelegentlich wird eine Ressource in Bezug auf eine bestimmte Empfehlung als fehlerhaft aufgeführt (und damit Ihre Sicherheitsbewertung gesenkt), obwohl Sie anderer Ansicht sind. Unter Umständen wurde dafür eine Lösungsmaßnahme mit einem Prozess durchgeführt, der von Security Center nicht nachverfolgt wird. Es kann auch sein, dass Ihre Organisation die Entscheidung getroffen hat, das Risiko für die entsprechende Ressource zu akzeptieren.

In diesen Fällen können Sie eine Ausnahmeregel erstellen und sicherstellen, dass die Ressource in Zukunft nicht mehr in der Liste mit den fehlerhaften Ressourcen enthalten ist. Diese Regeln können dokumentierte Begründungen enthalten, wie unten beschrieben.

Weitere Informationen finden Sie unter Ausschließen einer Ressource aus Empfehlungen und der Sicherheitsbewertung.

AWS- und GCP-Connectors in Security Center für Szenarien mit mehreren Clouds

Cloudworkloads umfassen in der Regel mehrere Cloudplattformen, daher muss das auch für Cloudsicherheitsdienste gelten.

Azure Security Center schützt nun Workloads in Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP).

Beim Onboarding von AWS- und GCP-Projekten in Security Center werden AWS Security Hub, GCP Security Command und Azure Security Center integriert.

Weitere Informationen finden Sie unter Herstellen einer Verbindung zwischen Ihren AWS-Konten und Azure Security Center und Verbinden von GCP-Projekten mit Microsoft Defender für Cloud.

Empfehlungsbündel für Kubernetes-Workloadschutz

Um sicherzustellen, dass Kubernetes-Workloads standardmäßig sicher sind, fügt Security Center Härtungsempfehlungen auf Kubernetes-Ebene hinzu, einschließlich Erzwingungsoptionen mit Kubernetes-Zugangskontrolle.

Wenn Sie Azure Policy für Kubernetes in Ihrem AKS-Cluster installiert haben, wird jede Anforderung an den Kubernetes-API-Server anhand der vordefinierten bewährten Methoden überwacht, bevor sie im Cluster persistent gespeichert wird. Anschließend können Sie das Erzwingen der bewährten Methoden konfigurieren und auf zukünftige Workloads anwenden.

Beispielsweise können Sie vorschreiben, dass keine privilegierten Container erstellt werden sollen und dass zukünftige Anforderungen für diese Aktion blockiert werden sollen.

Weitere Informationen finden Sie unter Bewährte Methoden zum Schutz von Workloads mithilfe der Kubernetes-Zugangssteuerung.

Ergebnisse der Sicherheitsrisikobewertung sind jetzt im fortlaufenden Export verfügbar

Verwenden Sie den fortlaufenden Export, um Warnungen und Empfehlungen an Azure Event Hubs, Log Analytics-Arbeitsbereiche oder Azure Monitor zu streamen. Von dort aus können Sie diese Daten in SIEM-Lösungen integrieren (z. B. Azure Sentinel, Power BI, Azure Data Explorer usw.).

Die integrierten Tools für die Sicherheitsrisikobewertung von Security Center geben Ergebnisse zu Ihren Ressourcen als handlungsrelevante Empfehlungen innerhalb einer übergeordneten Empfehlung zurück, z. B. als „Sicherheitsrisiken für VMs müssen behoben werden“.

Die sicherheitsrelevanten Ergebnisse sind jetzt über den fortlaufenden Export verfügbar, wenn Sie Empfehlungen auswählen und die Option Sicherheitsrelevante Ergebnisse einbeziehen aktivieren.

Umschalter „Sicherheitsrelevante Ergebnisse einbeziehen“ in der Konfiguration für den fortlaufenden Export.

Verwandte Seiten:

Verhindern von sicherheitsbezogenen Fehlkonfigurationen durch Erzwingen von Empfehlungen beim Erstellen neuer Ressourcen

Sicherheitsbezogene Fehlkonfigurationen sind eine häufige Ursache für Sicherheitsincidents. In Security Center ist jetzt ein Feature verfügbar, mit dem Sie Fehlkonfigurationen neuer Ressourcen dank bestimmter Empfehlungen verhindern können.

Dieses Feature kann dazu beitragen, dass Ihre Workloads geschützt sind und Ihre Sicherheitsbewertung stabil bleibt.

Zum Erzwingen einer sicheren Konfiguration auf Grundlage einer bestimmten Empfehlung stehen zwei Modi zur Verfügung:

  • Mithilfe des verweigerten Modus der Azure-Richtlinie können Sie verhindern, dass fehlerhafte Ressourcen erstellt werden.

  • Mit der erzwungenen Option können Sie den DeployIfNotExist-Effekt von Azure Policy nutzen und beim Erstellen automatisch nicht kompatible Ressourcen korrigieren.

Diese sind für ausgewählte Sicherheitsempfehlungen oben auf der Seite mit den Ressourcendetails verfügbar.

Weitere Informationen finden Sie unter Verhindern von Fehlkonfigurationen mit den Optionen zum Erzwingen/Ablehnen für Empfehlungen.

Empfehlungen für Netzwerksicherheitsgruppen verbessert

Die folgenden Sicherheitsempfehlungen im Zusammenhang mit Netzwerksicherheitsgruppen wurden verbessert, um einige Arten von False Positives zu verringern.

  • Alle Netzwerkports sollten auf NSGs eingeschränkt werden, die ihrer VM zugeordnet sind.
  • Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden.
  • Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden.
  • Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden

Veraltete AKS-Vorschauempfehlung „Für Kubernetes Service müssen Podsicherheitsrichtlinien definiert werden“

Die Vorschauempfehlung „Für Kubernetes Service müssen Podsicherheitsrichtlinien definiert werden“ ist veraltet. Eine Beschreibung finden Sie in der Dokumentation zu Azure Kubernetes Service.

Das Feature „Podsicherheitsrichtlinie“ (Vorschauversion) wird als veraltet eingestuft und steht nach dem 15. Oktober 2020 zugunsten von Azure Policy für AKS nicht mehr zur Verfügung.

Wenn die Podsicherheitsrichtlinie (Vorschauversion) veraltet ist, müssen Sie das Feature für alle vorhandenen Cluster deaktivieren, die das veraltete Feature verwenden, um zukünftige Clusterupgrades ausführen und weiterhin Azure-Support erhalten zu können.

E-Mail-Benachrichtigungen von Azure Security Center verbessert

Die folgenden Bereiche von E-Mails zu Sicherheitswarnungen wurden verbessert:

  • Möglichkeit zum Senden von E-Mail-Benachrichtigungen zu Warnungen für alle Schweregrade hinzugefügt
  • Möglichkeit zum Benachrichtigen von Benutzern mit unterschiedlichen Azure-Rollen für das Abonnement hinzugefügt
  • Wir benachrichtigen standardmäßig Abonnementbesitzer bei Warnungen mit hohem Schweregrad (bei denen es sich mit hohen Wahrscheinlichkeit um echte Verstöße handelt).
  • Das Feld für die Telefonnummer wurde von der Konfigurationsseite für E-Mail-Benachrichtigungen entfernt.

Weitere Informationen finden Sie unter Einrichten von E-Mail-Benachrichtigungen für Sicherheitswarnungen.

Sicherheitsbewertung ohne Vorschauempfehlungen

Security Center führt eine ständige Bewertung Ihrer Ressourcen, Abonnements und Organisation in Bezug auf Sicherheitsprobleme durch. Anschließend werden alle Ergebnisse in einer einzigen Bewertung zusammengefasst, sodass Sie auf einen Blick Ihre aktuelle Sicherheitssituation erkennen können: je höher die Bewertung, desto geringer das ermittelte Risiko.

Wenn neue Bedrohungen erkannt werden, werden neue Sicherheitsempfehlungen in Security Center über neue Empfehlungen verfügbar gemacht. Um unerwartete Änderungen an Ihrer Sicherheitsbewertung zu vermeiden und eine Toleranzperiode zu gewähren, in der Sie neue Empfehlungen erkunden können, bevor diese sich auf Ihre Bewertungen auswirken, werden Empfehlungen, die als Vorschau gekennzeichnet sind, nicht mehr in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Sie sollten nach Möglichkeit weiterhin korrigiert werden, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen.

Außerdem führen Empfehlungen in der Vorschauphase nicht dazu, dass eine Ressource als „Fehlerhaft“ gekennzeichnet wird.

Beispiel für eine Vorschauempfehlung:

Empfehlung mit dem Flag „Vorschau“.

Weitere Informationen zur Sicherheitsbewertung.

Empfehlungen jetzt mit Schweregradindikator und Aktualisierungsintervall

Die Detailseite für Empfehlungen enthält jetzt einen Indikator für das Aktualisierungsintervall (sofern relevant) und eine deutliche Anzeige des Schweregrads der Empfehlung.

Empfehlungsseite mit Aktualität und Schweregrad.

August 2020

Updates im August:

Ressourcenbestand – leistungsstarke neue Ansicht des Sicherheitsstatus ihrer Ressourcen

Der Ressourcenbestand in Security Center (derzeit in der Vorschauphase) bietet eine Möglichkeit, den Sicherheitsstatus der Ressourcen anzuzeigen, die Sie mit Security Center verbunden haben.

Azure Security Center analysiert in regelmäßigen Abständen den Sicherheitsstatus der Azure-Ressourcen, um mögliche Sicherheitsrisiken zu erkennen. Anschließend erhalten Sie Empfehlungen dazu, wie Sie diese Sicherheitsrisiken beheben können. Wenn eine Ressource ausstehende Empfehlungen hat, werden diese im Inventar angezeigt.

Sie können die Ansicht und ihre Filter verwenden, um Ihre Daten zum Sicherheitsstatus zu untersuchen und auf der Grundlage der Ergebnisse weitere Maßnahmen zu ergreifen.

Weitere Informationen: Ressourcenbestand.

Unterstützung für Azure Active Directory-Sicherheitsstandards (für die mehrstufige Authentifizierung) hinzugefügt

Azure Security Center bietet vollständige Unterstützung für Sicherheitsstandards, den kostenlosen Schutzfunktionen von Microsoft für die Identitätssicherheit.

Die Sicherheitsstandards bieten vorkonfigurierte Identitätssicherheitseinstellungen, um Ihre Organisation vor häufigen identitätsbezogenen Angriffen zu schützen. Sicherheitsstandards schützen bereits mehr als 5 Millionen Mandanten insgesamt; 50.000 Mandanten werden zusätzlich durch Azure Security Center geschützt.

Azure Security Center stellt jetzt eine Sicherheitsempfehlung bereit, sobald ein Azure-Abonnement ohne aktivierte Sicherheitsstandards identifiziert wird. Bisher empfahl Azure Security Center die Aktivierung der mehrstufigen Authentifizierung (MFA) mittels bedingtem Zugriff, was Teil der Lizenz von Azure Active Directory (AD) Premium ist. Für Kunden, die Azure AD Free verwenden, empfehlen wir nun, die Sicherheitsstandards zu aktivieren.

Unser Ziel ist es, mehr Kunden zu ermutigen, ihre Cloudumgebungen mit MFA abzusichern und damit eines der höchsten Risiken zu mindern, das sich auch am stärksten auf ihre Sicherheitsbewertung auswirkt.

Weitere Informationen: Sicherheitsstandards.

Empfehlung zu Dienstprinzipale hinzugefügt

Es wurde eine neue Empfehlung hinzugefügt, die Azure Security Center-Kund*innen, die Verwaltungszertifikate zum Verwalten ihrer Abonnements verwenden, die Umstellung auf Dienstprinzipale empfiehlt.

Die Empfehlung, Zum Schutz Ihrer Abonnements Dienstprinzipale anstelle von Verwaltungszertifikaten verwenden besagt, für eine sicherere Verwaltung Ihrer Abonnements Dienstprinzipale oder Azure Resource Manager zu verwenden.

Weitere Informationen: Anwendungs- und Dienstprinzipalobjekten in Azure Active Directory.

Sicherheitsrisikobewertung bei virtuellen Computern: Empfehlungen und Richtlinien wurden konsolidiert

Security Center untersucht Ihre virtuellen Computer, um festzustellen, ob darauf eine Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Wenn keine Lösung zur Sicherheitsrisikobewertung gefunden wird, gibt Security Center eine Empfehlung zur Vereinfachung der Bereitstellung.

Werden Sicherheitsrisiken gefunden, gibt Security Center eine Empfehlung, die die Ergebnisse zusammenfasst, damit Sie die Sicherheitsrisiken untersuchen und gegebenenfalls beheben können.

Um für alle Benutzer, unabhängig vom verwendeten Scannertyp, eine einheitliche Umgebung zu gewährleisten, haben wir vier Empfehlungen zu den folgenden beiden Empfehlungen vereinheitlicht:

Vereinheitlichte Empfehlung Änderungsbeschreibung
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden Ersetzt die folgenden beiden Empfehlungen:
***** Integrierte Lösung zur Sicherheitsrisikobewertung auf virtuellen Computern aktivieren (unterstützt von Qualys – jetzt veraltet) (Empfehlung wird in Standard-Tarifen angezeigt)
***** Die Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern installiert werden (jetzt veraltet) (Empfehlung wird sowohl in Standard- als auch Free-Tarifen angezeigt)
Sicherheitsrisiken für VMs müssen behoben werden Ersetzt die folgenden beiden Empfehlungen:
***** Auf Ihren virtuellen Computern gefundene Sicherheitsrisiken beheben (unterstützt von Qualys – jetzt veraltet)
***** Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung entschärft werden (unterstützt von Qualys – jetzt veraltet)

Jetzt wenden Sie dieselbe Empfehlung an, um die Security Center-Erweiterung für die Sicherheitsrisikobewertung oder eine privat lizenzierte Lösung mit Verwendung Ihrer eigenen Lizenz (BYOL, Bring-Your-Own-License) von einem Partner wie Qualys oder Rapid7 bereitzustellen.

Wurden Sicherheitsrisiken gefunden und an Security Center gemeldet, werden Sie unabhängig von der Lösung zur Sicherheitsrisikobewertung, die diese Sicherheitsrisiken identifiziert hat, mit einer einzigen Empfehlung auf die Ergebnisse aufmerksam gemacht.

Aktualisieren von Abhängigkeiten

Wenn Sie über Skripts, Abfragen oder Automatisierungen verfügen, die sich auf die früheren Empfehlungen oder Richtlinienschlüssel/-namen beziehen, verwenden Sie die folgenden Tabellen, um die Verweise zu aktualisieren:

Vor August 2020
Empfehlung `Scope`
Integrierte Lösung zur Sicherheitsrisikobewertung (unterstützt von Qualys) auf virtuellen Computern aktivieren
Schlüssel: 550e890b-e652-4d22-8274-60b3bdb24c63
Integriert
Auf Ihren virtuellen Computern gefundene Sicherheitsrisiken beheben (unterstützt von Qualys)
Schlüssel: 1195afff-c881-495e-9bc5-1486211ae03f
Integriert
Die Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern installiert werden
Schlüssel: 01b1ed4c-b733-4fee-b145-f23236e70cf3
BYOL
Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung beseitigt werden
Schlüssel: 71992a2a-d168-42e0-b10e-6b45fa2ecddb
BYOL
Richtlinie `Scope`
Sicherheitsrisikobewertung für virtuelle Computer muss aktiviert sein
Richtlinien-ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Integriert
Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung entschärft werden
Richtlinien-ID: 760a85ff-6162-42b3-8d70-698e268f648c
BYOL
Ab August 2020
Empfehlung `Scope`
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden
Schlüssel: ffff0522-1e88-47fc-8382-2a80ba848f5d
Integriert + BYOL
Sicherheitsrisiken für VMs müssen behoben werden
Schlüssel: 1195afff-c881-495e-9bc5-1486211ae03f
Integriert + BYOL
Richtlinie `Scope`
Sicherheitsrisikobewertung für virtuelle Computer muss aktiviert sein
Richtlinien-ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Integriert + BYOL

Neue AKS-Sicherheitsrichtlinien, die ASC_default Initiative hinzugefügt wurden

Um sicherzustellen, dass Kubernetes-Workloads standardmäßig sicher sind, fügt Security Center Richtlinien auf Kubernetes-Ebene und Härtungsempfehlungen hinzu, einschließlich Erzwingungsoptionen mit Kubernetes-Zugangskontrolle.

Die frühe Phase dieses Projekts umfasst eine Vorschau und die Hinzufügung neuer (standardmäßig deaktivierter) Richtlinien zur ASC_default Initiative.

Sie können diese Richtlinien gefahrlos und ohne Auswirkungen auf Ihre Umgebung ignorieren. Wenn Sie sie aktivieren möchten, melden Sie sich über die Microsoft Cloud Security Private Community für die Vorschau an und wählen Sie eine der folgenden Optionen:

  1. Einzelne Vorschau – Um nur dieser Vorschau beizutreten. Nennen Sie „ASC Continuous Scan“ ausdrücklich als Vorschauversion, der Sie beitreten möchten.
  2. Fortlaufendes Programm, um dieser und zukünftigen privaten Vorschauversionen hinzugefügt zu werden. Sie müssen ein Profil und eine Datenschutzvereinbarung ausfüllen.

Juli 2020

Zu den Updates im Juli gehören:

Sicherheitsrisikobewertung für virtuelle Computer jetzt verfügbar für Nicht-Marketplace-Images

Bisher hat Security Center eine Überprüfung vor der Bereitstellung durchgeführt, wenn Sie eine Lösung zur Sicherheitsrisikobewertung bereitgestellt haben. Die Überprüfung diente der Bestätigung einer Marketplace-SKU des virtuellen Zielcomputers.

Ab diesem Update wurde die Überprüfung entfernt, und Sie können nun Tools zur Sicherheitsrisikobewertung auf benutzerdefinierten Windows- und Linux-Computern bereitstellen. Benutzerdefinierte Images sind solche, in denen Sie die Marketplace-Standardeinstellungen geändert haben.

Auch wenn Sie nun die integrierte Erweiterung für die Sicherheitsrisikobewertung (bereitgestellt durch Qualys) auf vielen weiteren Computern bereitstellen können, ist Support nur verfügbar, wenn Sie ein Betriebssystem verwenden, das unter Bereitstellen der integrierten für Überprüfung auf Sicherheitsrisiken auf VMs im Standard-Tarif aufgeführt ist.

Erfahren Sie mehr über die integrierte Lösung für die Überprüfung auf Sicherheitsrisiken für virtuelle Computer (erfordert Azure Defender).

Erfahren Sie mehr über die Verwendung Ihrer eigenen privat lizenzierten Sicherheitsrisikobewertungslösung aus Qualys oder Rapid7 in der Bereitstellung einer Lösung zur Überprüfung von Sicherheitsrisiken durch Partner.

Erweiterung des Bedrohungsschutzes für Azure Storage durch Einbeziehen von Azure Files und Azure Data Lake Storage Gen2 (Vorschau)

Der Bedrohungsschutz für Azure Storage erkennt potenziell schädliche Aktivitäten in Ihren Azure Storage-Konten. Security Center zeigt Warnungen an, wenn Versuche erkannt werden, auf Ihre Speicherkonten zuzugreifen oder diese auszunutzen.

Ihre Daten können geschützt werden, und zwar unabhängig davon, ob Sie als Blobcontainer, Dateifreigaben oder Data Lakes gespeichert werden.

Acht neue Empfehlungen zum Aktivieren von Bedrohungsschutzfeatures

Es wurden acht neue Empfehlungen hinzugefügt, um eine einfache Möglichkeit zum Aktivieren der Bedrohungsschutzfeatures von Azure Security Center für die folgenden Ressourcentypen bereitzustellen: virtuelle Computer, App Service-Pläne, Azure SQL-Datenbank-Server, SQL-Server auf Computern, Azure Storage-Konten, Azure Kubernetes Service-Cluster, Azure Container Registry-Registrierungen und Azure Key Vault-Tresore.

Die neuen Empfehlungen sind:

  • Advanced Data Security muss für Azure SQL-Datenbank-Server aktiviert sein
  • Advanced Data Security muss für SQL Server-Instanzen auf Computern aktiviert sein.
  • Advanced Threat Protection muss in Azure App Service-Plänen aktiviert sein.
  • Advanced Threat Protection muss in Azure Container Registry-Instanzen aktiviert sein
  • Advanced Threat Protection muss in Azure Key Vault-Instanzen aktiviert sein
  • Advanced Threat Protection muss in Azure Kubernetes Service-Clustern aktiviert sein
  • Advanced Threat Protection muss für Azure Storage-Konten aktiviert sein
  • Advanced Threat Protection muss für virtuelle Computer aktiviert sein.

Die Empfehlungen schließen auch die Möglichkeit schneller Korrekturen ein.

Wichtig

Wenn Sie eine dieser Empfehlungen umsetzen, fallen Gebühren für den Schutz der relevanten Ressourcen an. Diese Kosten beginnen sofort, wenn Sie über zugehörige Ressourcen im aktuellen Abonnement verfügen. Das gilt auch, wenn Sie sie zu einem späteren Zeitpunkt hinzufügen.

Wenn Sie z. B. nicht über Azure Kubernetes Service-Cluster in Ihrem Abonnement verfügen und den Bedrohungsschutz aktivieren, fallen keine Gebühren an. Wenn Sie in Zukunft einen Cluster im selben Abonnement hinzufügen, wird dieser automatisch geschützt, und die Gebühren beginnen ab diesem Zeitpunkt.

Erfahren Sie mehr über Bedrohungsschutz in Azure Security Center.

Verbesserungen bei der Containersicherheit: schnellere Überprüfung der Registrierung und aktualisierte Dokumentation

Im Rahmen der kontinuierlichen Investitionen im Bereich Containersicherheit geben wir gerne eine bedeutende Leistungsverbesserung im Security Center-Feature für dynamische Scans von Containerimages in Azure Container Registry weiter. Scans werden nun in der Regel in ungefähr zwei Minuten abgeschlossen. In einigen Fällen kann es bis zu 15 Minuten dauern.

Zur Verbesserung der Klarheit und der Beschreibungen zu den Sicherheitsfunktionen von Azure Security Center haben wir auch die Dokumentationsseiten für die Containersicherheit aktualisiert.

Neue Empfehlung zum Aktualisieren Ihrer Regeln für die adaptive Anwendungssteuerung

Das Feature für die adaptive Anwendungssteuerung hat zwei bedeutende Updates erhalten:

  • Eine neue Empfehlung identifiziert potenziell legitimes Verhalten, das bisher noch nicht zulässig war. Die neue Empfehlung Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden fordert Sie auf, der vorhandenen Richtlinie neue Regeln hinzuzufügen, um die Anzahl der falsch positiven Ergebnisse bei adaptiven Warnungen zu Anwendungssteuerungen zu verringern.

  • Pfadregeln unterstützen jetzt Platzhalter. Mit diesem Update können Sie zulässige Pfadregeln mithilfe von Platzhaltern konfigurieren. Es werden zwei Szenarios unterstützt:

    • Verwenden eines Platzhalters am Ende eines Pfads, um alle ausführbaren Dateien in diesem Ordner und in den zugehörigen Unterordnern zuzulassen.

    • Verwenden eines Platzhalters in der Mitte eines Pfads zum Aktivieren des Namens einer bekannten ausführbaren Datei mit einem sich ändernden Ordnernamen (z. B. persönliche Benutzerordner mit einer bekannten ausführbaren Datei, automatisch generierte Ordnernamen usw.)

Sechs Richtlinien für SQL Advanced Data Security als veraltet markiert

Sechs Richtlinien im Zusammenhang mit Advanced Data Security für SQL-Computer werden als veraltet markiert:

  • Advanced Threat Protection-Typen müssen in den Advanced Data Security-Einstellungen von SQL Managed Instance auf „Alle“ festgelegt werden
  • Advanced Threat Protection-Typen müssen in den Advanced Data Security-Einstellungen der SQL Server-Instanz auf „Alle“ festgelegt werden
  • Advanced Data Security-Einstellungen für verwaltete SQL-Instanzen sollten eine E-Mail-Adresse für den Empfang von Sicherheitswarnungen enthalten.
  • Advanced Data Security-Einstellungen für SQL Server sollten eine E-Mail-Adresse für den Empfang von Sicherheitswarnungen enthalten.
  • In den Advanced Data Security-Einstellungen für die verwaltete SQL-Instanz müssen E-Mail-Benachrichtigungen an Administratoren und Abonnementbesitzer aktiviert sein
  • E-Mail-Benachrichtigungen an Administratoren und Abonnementbesitzer sollten in den erweiterten Einstellungen für Datensicherheit in SQL Server aktiviert werden.

Weitere Informationen zu integrierten Richtlinien

Juni 2020

Zu den Updates im Juni gehören:

Sicherheitsbewertungs-API (Vorschau)

Sie können jetzt auf Ihre Bewertung über die Sicherheitsbewertungs-API (derzeit in der Vorschau) zugreifen. Die API-Methoden bieten die Flexibilität, die Daten abzufragen und im Laufe der Zeit einen eigenen Berichtsmechanismus für Ihre Sicherheitsbewertungen zu erstellen. Beispielsweise können Sie die API Sicherheitsbewertungen verwenden, um die Bewertung für ein bestimmtes Abonnement zu erhalten. Darüber hinaus können Sie die API Sicherheitsbewertungs-Steuerelemente verwenden, um die Sicherheitssteuerelemente und die aktuelle Bewertung Ihrer Abonnements aufzulisten.

Beispiele für externe Tools, die mit der Sicherheitsbewertungs-API verwendet werden können, finden Sie im Bereich zu den Sicherheitsbewertungen in unserer GitHub-Community.

Weitere Informationen finden Sie unter Erweiterter Secure Score (Vorschau) in Azure Security Center.

Erweiterte Datensicherheit für SQL-Computer (Azure, andere Clouds und lokal) (Vorschau)

Advanced Data Security für SQL-Computer im Azure Security Center schützt jetzt in Azure, in anderen Cloudumgebungen und sogar auf lokalen Computern gehostete SQL-Server-Instanzen. Dies erweitert den Schutz für Ihre nativen Azure-SQL Server-Instanzen, um vollständige Unterstützung für Hybridumgebungen bereitzustellen.

Erweiterte Datensicherheit bietet eine Sicherheitsrisikobewertung und erweiterten Bedrohungsschutz für Ihre SQL-Computer, wo immer sie sich befinden.

Das Setup umfasst zwei Schritte:

  1. Stellen Sie den Log Analytics-Agent auf dem Hostcomputer Ihrer SQL Server-Instanz bereit, um die Verbindung mit dem Azure-Konto herzustellen.

  2. Aktivieren Sie das optionale Paket auf der Security Center-Seite „Preise und Einstellungen“.

Weitere Informationen finden Sie unter Erweiterte Datensicherheit für SQL Server-Instanzen in Azure Virtual Machines (Vorschau).

Zwei neue Empfehlungen zum Bereitstellen des Log Analytics-Agent auf Azure Arc-Computern (Vorschau)

Es wurden zwei neue Empfehlungen hinzugefügt, die Ihnen helfen, den Log Analytics-Agent auf Ihren Azure Arc-Computern bereitzustellen und sicherzustellen, dass sie durch Azure Security Center geschützt sind:

  • Log Analytics-Agent muss auf Ihren Windows-basierten Azure Arc-Computern installiert sein (Vorschau)
  • Log Analytics-Agent muss auf Ihren Linux-basierten Azure Arc-Computern installiert sein (Vorschau)

Diese neuen Empfehlungen werden in denselben vier Sicherheitssteuerelementen angezeigt wie die vorhandene (verwandte) Empfehlung, Monitoring Agent sollte auf ihren Computern installiert werden: Sicherheitskonfigurationen reparieren, adaptive Anwendungssteuerung anwenden, Systemupdates anwenden und Endpunktschutz aktivieren.

Die Empfehlungen umfassen auch die Funktion „Schnelle Problembehebung“, um den Bereitstellungsprozess zu beschleunigen.

In Was ist der Log Analytics-Agent? erfahren Sie mehr darüber, wie Azure Security Center den Agent verwendet.

Erfahren Sie mehr über Erweiterungen für Azure Arc-Computer.

Neue Richtlinien zum Erstellen von Konfigurationen für fortlaufenden Export und Workflowautomatisierung im großen Stil

Die Automatisierung der Prozesse Ihrer Organisation zur Überwachung und Reaktion auf Vorfälle kann die Zeit, die zum Untersuchen von Sicherheitsvorfällen und zur Durchführung entsprechender Gegenmaßnahmen benötigt wird, erheblich verkürzen.

Zum Bereitstellen Ihrer Automatisierungskonfigurationen in Ihrer Organisation verwenden Sie diese integrierten „DeployIfdNotExist“-Azure-Richtlinien zum Erstellen und Konfigurieren von Prozeduren für fortlaufenden Export und Workflowautomatisierung:

Die Richtliniendefinitionen finden Sie unter Azure Policy:

Zielsetzung Richtlinie Richtlinien-ID
Fortlaufender Export zu Event Hubs Bereitstellen eines Exports für Azure Security Center-Warnungen und -Empfehlungen an Event Hubs cdfcce10-4578-4ecd-9703-530938e4abcb
Fortlaufender Export in einen Log Analytics-Arbeitsbereich Bereitstellen eines Exports für Azure Security Center-Warnungen und -Empfehlungen in Log Analytics-Arbeitsbereichen ffb6f416-7bd2-4488-8828-56585fef2be9
Workflowautomatisierung für Sicherheitswarnungen Bereitstellen der Workflowautomatisierung für Azure Security Center-Warnungen f1525828-9a90-4fcf-be48-268cdd02361e
Workflowautomatisierung für Sicherheitsempfehlungen Bereitstellen der Workflowautomatisierung für Azure Security Center-Empfehlungen 73d6ab6c-2475-4850-afd6-43795f3492ef

Beginnen Sie mit Vorlagen zur Workflowautomatisierung.

Weitere Informationen über die Verwendung der beiden Exportrichtlinien finden Sie unter Konfigurieren der Workflowautomatisierung in großem Stile mit Hilfe der bereitgestellten Richtlinien und Einrichten eines fortlaufenden Exports.

Neue Empfehlung zum Verwenden von NSGs zum Schützen von virtuellen Computern ohne Internetzugriff

Das Sicherheitssteuerelement „Bewährte Sicherheitsmethoden implementieren“ enthält jetzt die folgende neue Empfehlung:

  • Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden.

Eine vorhandene Empfehlung VMs mit Internetzugang sollten mithilfe von Netzwerksicherheitsgruppen geschützt werden unterschied nicht zwischen virtuellen Computern mit und ohne Internetzugriff. Für beide wurde eine Empfehlung mit hohem Schweregrad generiert, wenn eine VM keiner Netzwerksicherheitsgruppe zugewiesen war. Diese neue Empfehlung separiert die Computer ohne Internetzugriff, um falsch positive Ergebnisse zu reduzieren und unnötige Warnungen mit hohem Schweregrad zu vermeiden.

Neue Richtlinien zum Aktivieren von Bedrohungsschutz und erweiterter Datensicherheit

Die folgenden neuen Richtliniendefinitionen wurden der ASC-Standardinitiative hinzugefügt und dienen zur Unterstützung beim Aktivieren von Bedrohungsschutz oder erweiterter Datensicherheit für die relevanten Ressourcentypen.

Die Richtliniendefinitionen finden Sie unter Azure Policy:

Richtlinie Richtlinien-ID
Für Azure SQL-Datenbank-Server muss Advanced Data Security aktiviert sein 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
Advanced Data Security muss für SQL Server-Instanzen auf Computern aktiviert sein. 6581d072-105e-4418-827f-bd446d56421b
Advanced Threat Protection muss für Azure Storage-Konten aktiviert sein 308fbb08-4ab8-4e67-9b29-592e93fb94fa
Advanced Threat Protection muss in Azure Key Vault-Instanzen aktiviert sein 0e6763cc-5078-4e64-889d-ff4d9a839047
Advanced Threat Protection muss in Azure App Service-Plänen aktiviert sein. 2913021d-f2fd-4f3d-b958-22354e2bdbcb
Advanced Threat Protection muss in Azure Container Registry-Instanzen aktiviert sein c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
Advanced Threat Protection muss in Azure Kubernetes Service-Clustern aktiviert sein 523b5cdq1-3 23-492b5a539-13118b6d1e3a
Advanced Threat Protection muss für Virtual Machines aktiviert sein 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Erfahren Sie mehr über Bedrohungsschutz in Azure Security Center.

Mai 2020

Zu den Updates im Mai gehören:

Regeln zur Warnungsunterdrückung (Vorschau)

Dieses neue Feature (derzeit in der Vorschauphase) trägt zur Reduzierung der „Warnungsmüdigkeit“ bei. Verwenden Sie Regeln, damit Warnungen, die auf harmlose Fehler hinweisen oder sich auf normale Aktivitäten Ihrer Organisation beziehen, automatisch ausgeblendet werden. Auf diese Weise können Sie sich auf die relevantesten Bedrohungen konzentrieren.

Warnungen, die den aktivierten Unterdrückungsregeln entsprechen, werden zwar weiterhin generiert, aber ihr Status lautet „Geschlossen“. Der Status wird im Azure-Portal bzw. an dem Ort angezeigt, über den Sie auf die Security Center-Sicherheitswarnungen zugreifen.

Mit Unterdrückungsregeln werden die Kriterien definiert, nach denen Warnungen automatisch geschlossen werden sollen. Normalerweise verwenden Sie in folgenden Fällen eine Unterdrückungsregel:

  • Unterdrücken von Warnungen, die Sie als falsch positiv identifiziert haben

  • Unterdrücken von Warnungen, die zu oft ausgelöst werden und daher nicht nützlich sind

Weitere Informationen finden Sie unter Unterdrücken von Warnungen aus dem Threat Protection-Modul von Azure Security Center.

Sicherheitsrisikobewertung für virtuelle Computer ist jetzt allgemein verfügbar

Der Standardtarif von Security Center enthält jetzt eine integrierte Sicherheitsrisikobewertung, für die keine zusätzlichen Gebühren anfallen. Diese Erweiterung basiert auf Qualys, aber die Ergebnisse werden direkt an Security Center gemeldet. Sie benötigen keine Qualys-Lizenz und auch kein Qualys-Konto – alles erfolgt nahtlos innerhalb von Security Center.

Mit der neuen Lösung können Ihre virtuellen Computer fortlaufend gescannt werden, um Sicherheitsrisiken zu ermitteln, und die Ergebnisse werden in Security Center bereitgestellt.

Verwenden Sie zum Bereitstellen der Lösung die neue Sicherheitsempfehlung:

„Integrierte Lösung zur Sicherheitsrisikobewertung (unterstützt von Qualys) auf virtuellen Computern aktivieren“

Informieren Sie sich über die integrierte Sicherheitsrisikobewertung für virtuelle Computer von Security Center.

Änderungen am JIT-VM-Zugriff (Just-In-Time)

Security Center enthält ein optionales Feature zum Schützen der Verwaltungsports Ihrer virtuellen Computer. Dies ist eine Verteidigungsmaßnahme gegen die häufigste Form von Brute-Force-Angriffen.

Mit diesem Update werden die folgenden Änderungen an diesem Feature vorgenommen:

  • Die Empfehlung, JIT für eine VM zu aktivieren, wurde umbenannt. Die Empfehlung „Die Just-In-Time-Netzwerkzugriffssteuerung sollte auf virtuelle Computer angewendet werden.“ heißt jetzt „Verwaltungsports virtueller Computer müssen mit der Just-In-Time-Netzwerkzugriffssteuerung geschützt werden“.

  • Die Empfehlung wird nur ausgelöst, wenn offene Verwaltungsports vorhanden sind.

Erfahren Sie mehr zum Feature für JIT-Zugriff.

Benutzerdefinierte Empfehlungen wurden in ein separates Sicherheitssteuerelement verschoben

Eine Sicherheitskontrolle, die zusammen mit der erweiterten Sicherheitsbewertung eingeführt wurde, ist „Best Practices für die Sicherheit implementieren“. Alle benutzerdefinierten Empfehlungen, die für Ihre Abonnements erstellt wurden, wurden automatisch in dieses Steuerelement eingefügt.

Um Ihnen die Suche nach Ihren benutzerdefinierten Empfehlungen zu erleichtern, haben wir diese in die dedizierte Sicherheitskontrolle „Benutzerdefinierte Empfehlungen“ verschoben. Dieses Steuerelement wirkt sich nicht auf Ihre Sicherheitsbewertung aus.

Weitere Informationen zu Sicherheitssteuerelementen finden Sie unter Erweiterte Sicherheitsbewertung (Vorschau) in Azure Security Center.

Umschalter zum Anzeigen von Empfehlungen in Steuerelementen oder als flache Liste hinzugefügt

Bei Sicherheitssteuerelementen handelt es sich um logische Gruppen mit zusammengehörigen Sicherheitsempfehlungen. Diese spiegeln Ihre anfälligen Angriffsflächen wider. Eine Sicherheitskontrolle umfasst eine Reihe von Sicherheitsempfehlungen mit Anweisungen, mit denen Sie diese Empfehlungen implementieren können.

Um sofort zu sehen, wie gut jede einzelne Angriffsfläche in Ihrer Organisation geschützt ist, sehen Sie sich die Bewertungen für die einzelnen Sicherheitskontrollen an.

Ihre Empfehlungen werden standardmäßig in den Sicherheitssteuerelementen angezeigt. Ab diesem Update können Sie sie auch als Liste anzeigen. Verwenden Sie den neuen Umschalter, mit dem Sie „Nach Steuerelementen gruppieren“ können, um sie als einfache Liste anzuzeigen, die nach dem Integritätsstatus der betroffenen Ressourcen sortiert ist. Der Umschalter befindet sich oberhalb der Liste im Portal.

Die Sicherheitssteuerelemente – und dieser Umschalter – sind Teil der neuen Benutzeroberfläche für die Sicherheitsbewertung. Denken Sie daran, uns über das Portal Ihr Feedback hierzu zu senden.

Weitere Informationen zu Sicherheitssteuerelementen finden Sie unter Erweiterte Sicherheitsbewertung (Vorschau) in Azure Security Center.

Umschalter „Nach Kontrollen gruppieren“ für Empfehlungen.

Erweitertes Sicherheitssteuerelement „Bewährte Sicherheitsmethoden implementieren“

Eine Sicherheitskontrolle, die zusammen mit der erweiterten Sicherheitsbewertung eingeführt wurde, ist „Best Practices für die Sicherheit implementieren“. Wenn eine Empfehlung in diesem Steuerelement angeordnet ist, wirkt sie sich nicht auf die Sicherheitsbewertung aus.

Mit diesem Update wurden drei Empfehlungen aus den Steuerelementen, in denen sie ursprünglich angeordnet waren, in dieses Steuerelement für die bewährte Vorgehensweise verschoben. Wir haben dies durchgeführt, weil wir festgestellt haben, dass das Risiko bei diesen drei Empfehlungen niedriger als anfänglich gedacht ist.

Außerdem wurden zwei neue Empfehlungen eingeführt und diesem Steuerelement hinzugefügt.

Die folgenden drei Empfehlungen wurden verschoben:

  • Für Konten mit Leseberechtigungen für Ihr Abonnement muss MFA aktiviert sein (ursprünglich im Steuerelement „MFA aktivieren“ enthalten)
  • Externe Konten mit Leseberechtigungen müssen aus Ihrem Abonnement entfernt werden (ursprünglich im Steuerelement „Zugriff und Berechtigungen verwalten“ enthalten)
  • Für Ihr Abonnement dürfen maximal 3 Besitzer festgelegt werden (ursprünglich im Steuerelement „Zugriff und Berechtigungen verwalten“ enthalten)

Die beiden folgenden neuen Empfehlungen wurden dem Steuerelement hinzugefügt:

  • Die Erweiterung Guest Configuration sollte auf Windows-VMs installiert sein (Vorschau) : Guest Configuration von Azure Policy ermöglicht auf virtuellen Computern einen Einblick in Server- und Anwendungseinstellungen (nur Windows).

  • Windows Defender Exploit Guard sollte auf Ihren Computern aktiviert sein (Vorschau) : Für Windows Defender Exploit Guard wird der Guest Configuration-Agent von Azure Policy genutzt. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows).

Weitere Informationen zu Windows Defender Exploit Guard finden Sie unter Erstellen und Bereitstellen einer Exploit Guard-Richtlinie.

Weitere Informationen zu Sicherheitssteuerelementen finden Sie unter Erweiterte Sicherheitsbewertung (Vorschau).

Benutzerdefinierte Richtlinien mit benutzerdefinierten Metadaten sind nun allgemein verfügbar

Benutzerdefinierte Richtlinien sind nun Bestandteil der Security Center-Oberfläche mit den Empfehlungen, der Sicherheitsbewertung und des Dashboards mit den Standards zur Einhaltung gesetzlicher Bestimmungen. Dieses Feature ist jetzt allgemein verfügbar und ermöglicht es Ihnen, die Abdeckung in Bezug auf die Sicherheitsbewertung Ihrer Organisation in Security Center zu erweitern.

Erstellen Sie in Azure Policy eine benutzerdefinierte Initiative, und fügen Sie ihr Richtlinien hinzu. Führen Sie anschließend das Onboarding in Azure Security Center und die Visualisierung in Form von Empfehlungen durch.

Wir haben jetzt auch die Option zum Bearbeiten der benutzerdefinierten Metadaten für die Empfehlungen hinzugefügt. Zu den Metadatenoptionen zählen Schweregrad, Problembehandlungsschritte, Bedrohungsinformationen und mehr.

Informieren Sie sich über das Verbessern der benutzerdefinierten Empfehlungen mit ausführlichen Informationen.

Migration der Funktionen für die Absturzabbildanalyse zur Erkennung dateiloser Angriffe

Wir integrieren die Erkennungsfunktionen der Windows-Absturzabbildanalyse mit der Erkennung dateiloser Angriffe. Die Analyse zur Erkennung dateiloser Angriffe verfügt über verbesserte Versionen der folgenden Sicherheitswarnungen für Windows-Computer: „Codeinjektion erkannt“, „Windows-Maskerademodul erkannt“, „Shellcode erkannt“ und „Verdächtiges Codesegment erkannt“.

Diese Umstellung hat u. a. folgende Vorteile:

  • Proaktive und rechtzeitige Erkennung von Schadsoftware: Bei der Absturzabbildanalyse wurde gewartet, bis es zu einem Absturz gekommen ist, und erst dann wurde die Analyse durchgeführt, um bösartige Artefakte zu ermitteln. Bei der Erkennung von dateilosen Angriffen werden In-Memory-Bedrohungen proaktiv während der Ausführung identifiziert.

  • Erweiterte Warnungen: Die Sicherheitswarnungen bei der Erkennung von dateilosen Angriffen verfügen über erweiterte Elemente, die bei der Absturzabbildanalyse nicht vorhanden sind, z. B. Informationen zu aktiven Netzwerkverbindungen.

  • Warnungsaggregation: Wenn bei der Absturzabbildanalyse in einem Absturzabbild mehrere Angriffsmuster erkannt wurden, wurden mehrere Sicherheitswarnungen ausgelöst. Bei der Erkennung von dateilosen Angriffen werden alle identifizierten Angriffsmuster eines Prozesses in einer Warnung zusammengefasst, damit nicht mehrere Warnungen korreliert werden müssen.

  • Verringerung der Anforderungen in Ihrem Log Analytics-Arbeitsbereich: Absturzabbilder mit potenziell vertraulichen Daten werden nicht mehr in Ihren Log Analytics-Arbeitsbereich hochgeladen.

April 2020

Zu den Updates im April gehören:

Dynamische Compliancepakete sind jetzt allgemein verfügbar

Das Azure Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen enthält jetzt dynamische Compliancepakete (allgemein verfügbar), um weitere branchenbezogene und gesetzliche Standards nachverfolgen zu können.

Dynamische Compliancepakete können über die Security Center-Seite mit den Sicherheitsrichtlinien Ihrem Abonnement oder Ihrer Verwaltungsgruppe hinzugefügt werden. Nachdem Sie das Onboarding für einen Standard oder einen Benchmarkwert durchgeführt haben, wird der Standard in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen mit allen zugeordneten Compliancedaten in Form von Bewertungen angezeigt. Ein zusammenfassender Bericht für alle Standards, für die das Onboarding durchgeführt wurde, wird als Download bereitgestellt.

Sie können nun beispielsweise folgende Standards hinzufügen:

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • UK Official und UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0 (neu) (eine vollständigere Darstellung von Azure CIS 1.1.0)

Zusätzlich haben wir vor Kurzem den Azure-Sicherheitsvergleichstest hinzugefügt. Dies sind von Microsoft erstellte Azure-spezifische Richtlinien zu den bewährten Methoden für Sicherheit und Compliance, die auf allgemeinen Compliance-Frameworks basieren. Weitere Standards werden im Dashboard unterstützt, sobald sie verfügbar sind.

Erfahren Sie mehr zum Aktualisieren auf dynamische Compliancepakete in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.

Empfehlungen zur Identität sind in Azure Security Center jetzt im Free-Tarif enthalten

Sicherheitsempfehlungen zur Identität und zum Zugriff sind im Free-Tarif von Azure Security Center nun allgemein verfügbar. Dies ist Teil der Maßnahme, mit der die Features für die Verwaltung des Cloudsicherheitsstatus kostenlos zugänglich gemacht werden sollen. Bisher waren diese Empfehlungen nur im Standard-Tarif verfügbar.

Beispiele für Empfehlungen zur Identität und zum Zugriff sind:

  • „Für Konten mit Besitzerberechtigungen für Ihr Abonnement muss MFA aktiviert sein“
  • „Für Ihr Abonnement dürfen maximal 3 Besitzer festgelegt werden“
  • „Veraltete Konten müssen aus Ihrem Abonnement entfernt werden“

Bei Abonnements mit Free-Tarif wirkt sich diese Änderung auf deren Sicherheitsbewertungen aus, weil die Sicherheit in Bezug auf die Identität und den Zugriff hierfür bisher noch nicht bewertet wurde.

März 2020

Zu den Updates im März gehören:

Workflowautomatisierung ist nun allgemein verfügbar

Das Feature „Workflowautomatisierung“ von Azure Security Center ist jetzt allgemein verfügbar. Sie können es verwenden, um Logic Apps bei Sicherheitswarnungen und Empfehlungen automatisch auszulösen. Darüber hinaus sind manuelle Trigger für Warnungen und alle Empfehlungen verfügbar, für die die „Schnellkorrektur“ verfügbar ist.

Jedes Sicherheitsprogramm umfasst mehrere Workflows für die Reaktion auf Vorfälle. Diese Prozesse können das Benachrichtigen relevanter Stakeholder, das Starten eines Change Management-Prozesses und das Anwenden spezifischer Korrekturschritte umfassen. Sicherheitsexperten empfehlen, möglichst viele Schritte dieser Verfahren zu automatisieren. Durch die Automatisierung wird der Aufwand reduziert. Außerdem können Sie die Sicherheit erhöhen, indem Sie sicherstellen, dass die Prozessschritte schnell, einheitlich und gemäß Ihren vordefinierten Anforderungen ausgeführt werden.

Weitere Informationen zu den automatischen und manuellen Security Center-Funktionen zum Ausführen von Workflows finden Sie unter Workflowautomatisierung.

Erfahren Sie mehr zum Erstellen von Logik-Apps.

Integration von Azure Security Center mit Windows Admin Center

Es ist jetzt möglich, Ihre lokalen Windows-Server aus Windows Admin Center direkt in Azure Security Center zu verschieben. Security Center wird somit zu Ihrer zentralen Benutzeroberfläche für die Anzeige von Sicherheitsinformationen für Ihre gesamten Windows Admin Center-Ressourcen, z. B. lokale Server, virtuelle Computer und weitere PaaS-Workloads.

Nach dem Verschieben eines Servers aus Windows Admin Center in Azure Security Center haben Sie folgende Möglichkeiten:

  • Anzeigen von Sicherheitswarnungen und -empfehlungen in der Security Center-Erweiterung von Windows Admin Center
  • Anzeigen des Sicherheitsstatus und Abrufen weiterer detaillierter Informationen zu Ihren mit Windows Admin Center verwalteten Servern in Security Center im Azure-Portal (oder über eine API)

Erfahren Sie mehr zum Integrieren von Azure Security Center mit Windows Admin Center.

Schutz für Azure Kubernetes Service

Für Azure Security Center werden die Containersicherheitsfeatures als Schutz für Azure Kubernetes Service (AKS) erweitert.

Die beliebte Open-Source-Plattform Kubernetes ist mittlerweile so verbreitet, dass sie heute ein Branchenstandard für die Containerorchestrierung ist. Trotz dieser weit verbreiteten Implementierung gibt es immer noch Defizite, was das Schützen einer Kubernetes-Umgebung betrifft. Zum Verteidigen der Angriffsflächen einer Containeranwendung sind bestimmte Kenntnisse erforderlich, um sicherstellen zu können, dass die Infrastruktur sicher konfiguriert ist und ständig auf potenzielle Bedrohungen überwacht wird.

Die Verteidigung für Security Center umfasst Folgendes:

  • Ermittlung und Transparenz: Kontinuierliche Ermittlung von verwalteten AKS-Instanzen in den für Security Center registrierten Abonnements.
  • Sicherheitsempfehlungen: Direkt umsetzbare Empfehlungen, damit Sie für AKS die bewährten Methoden in Bezug auf die Sicherheit anwenden können. Diese Empfehlungen sind in Ihrer Sicherheitsbewertung enthalten, um dafür zu sorgen, dass sie als Teil des Sicherheitsstatus Ihres Unternehmens angesehen werden. Ein Beispiel für eine AKS-bezogene Empfehlung, die möglicherweise angezeigt wird, ist „Die rollenbasierte Zugriffssteuerung sollte genutzt werden, um den Zugriff auf einen Kubernetes Service-Cluster einzuschränken“.
  • Bedrohungsschutz: Security Center analysiert Ihre AKS-Bereitstellung ständig und warnt Sie vor Bedrohungen und schädlichen Aktivitäten, die auf dem Host und auf der AKS-Clusterebene erkannt werden.

Erfahren Sie mehr zur Integration von Security Center in Azure Kubernetes Service.

Erfahren Sie mehr zu den Containersicherheitsfeatures von Security Center.

Verbesserte Just-In-Time-Umgebung

Die Features, der Betrieb und die Benutzeroberfläche der Just-In-Time-Tools von Azure Security Center, mit denen Ihre Verwaltungsports geschützt werden, wurden wie folgt verbessert:

  • Feld für Begründung: Beim Anfordern des Zugriffs auf einen virtuellen Computer (VM) über die Just-In-Time-Seite des Azure-Portals ist ein neues optionales Feld verfügbar, in dem eine Begründung für die Anforderung eingegeben werden kann. Die in diesem Feld eingegebenen Informationen können im Aktivitätsprotokoll nachverfolgt werden.
  • Automatische Bereinigung von redundanten Just-In-Time-Regeln (JIT) : Bei jedem Update einer JIT-Richtlinie wird automatisch ein Bereinigungstool ausgeführt, um die Gültigkeit des gesamten Regelsatzes zu überprüfen. Das Tool sucht nach Konflikten zwischen den Regeln in Ihrer Richtlinie und den Regeln in der NSG. Wenn das Bereinigungstool einen Konflikt feststellt, ermittelt es die Ursache und entfernt integrierte Regeln, die nicht mehr benötigt werden – sofern dies auf sichere Weise möglich ist. Der Cleaner löscht niemals Regeln, die Sie erstellt haben.

Erfahren Sie mehr zum Feature für JIT-Zugriff.

Zwei Sicherheitsempfehlungen für Webanwendungen als veraltet gekennzeichnet

Zwei Sicherheitsempfehlungen zu Webanwendungen wurden als veraltet gekennzeichnet:

  • Regeln für Webanwendungen in IaaS-NSGs müssen verstärkt werden. (Zugehörige Richtlinie: Für Webanwendungen in IaaS müssen die NSG-Regeln verstärkt werden)

  • Zugriff auf App Services muss eingeschränkt sein. (Zugehörige Richtlinie: Zugriff auf App Services muss eingeschränkt sein [Vorschau])

Diese Empfehlungen werden nicht mehr in der Security Center-Liste mit den Empfehlungen angezeigt. Die zugehörigen Richtlinien sind nicht mehr in der Initiative mit dem Namen „Security Center-Standardrichtlinie“ enthalten.

Februar 2020

Erkennung von dateilosen Angriffen für Linux (Vorschau)

Da Angreifer immer häufiger verdeckte Methoden nutzen, um einer Entdeckung zu entgehen, wird die Erkennung von dateilosen Angriffen für Azure Security Center zusätzlich zu Windows auch auf Linux erweitert. Bei dateilosen Angriffen werden Sicherheitsrisiken in der Software ausgenutzt, schädliche Nutzlasten in unkritische Systemprozesse eingeschleust und Angriffe im Arbeitsspeicher verborgen. Diese Vorgehensweise soll Folgendes bewirken:

  • Verringerung oder Beseitigung der Spuren von Schadsoftware auf Datenträgern
  • Erhebliche Verringerung der Wahrscheinlichkeit, dass Angreifer von datenträgerbasierten Schadsoftware-Scanlösungen erkannt werden

Als Reaktion auf diese Bedrohung wurde die Azure Security Center-Erkennung von dateilosen Angriffen für Windows im Oktober 2018 veröffentlicht und nun auch auf Linux ausgeweitet.

Januar 2020

Erweiterte Sicherheitsbewertung (Vorschau)

Eine erweiterte Version der Sicherheitsbewertung von Azure Security Center ist jetzt verfügbar und befindet sich in der Vorschauphase. Bei dieser Version werden mehrere Empfehlungen zu Sicherheitssteuerelementen gruppiert, die Ihre anfälligen Angriffsflächen besser widerspiegeln (z. B. Einschränkung des Zugriffs auf Verwaltungsports).

Machen Sie sich mit den Änderungen vertraut, die während der Vorschauphase für die Sicherheitsbewertung vorgenommen werden, und ermitteln Sie andere Lösungen, mit denen Sie Ihre Umgebung noch besser schützen können.

Erfahren Sie mehr über die erweiterte Sicherheitsbewertung (Vorschau).

November 2019

Updates im November:

Threat Protection für Azure Key Vault in Nordamerika (Vorschau)

Azure Key Vault ist ein zum Schutz von Daten und zur Verbesserung der Leistung von Cloudanwendungen unabdingbarer Dienst, der die Möglichkeit bietet, Schlüssel, Geheimnisse, Kryptografieschlüssel und Richtlinien zentral in der Cloud zu verwalten. Da in Azure Key Vault vertrauliche und geschäftskritische Daten gespeichert werden, ist für die Schlüsseltresore und die darin gespeicherten Daten höchste Sicherheit erforderlich.

Die Unterstützung des Bedrohungsschutzes für Azure Storage in Azure Security Center bietet eine zusätzliche Ebene intelligenter Sicherheitsfunktionen, die ungewöhnliche und möglicherweise schädliche Versuche erkennen, auf Schlüsseltresore zuzugreifen und diese missbräuchlich zu nutzen. Aufgrund dieser neuen Schutzebene können Kunden auch ohne Sicherheitsexpertise oder die Verwaltung von Sicherheitsüberwachungssystemen effektiv auf Bedrohungen ihrer Schlüsseltresore reagieren. Dieses Feature ist in Nordamerika als öffentliche Vorschauversion verfügbar.

Threat Protection für Azure Storage umfasst zuverlässiges Malwarescreening

Threat Protection für Azure Storage bietet mithilfe der Analyse für Hashbewertung und verdächtige Zugriffsmuster von einem aktiven Tor-Exitknoten (anonymisierender Proxy) von Microsoft Threat Intelligence neue Funktionen zum Erkennen von Malwareuploads in Azure Storage. Sie können jetzt mithilfe des Azure Security Center in Speicherkonten entdeckte Malware anzeigen lassen.

Workflowautomatisierung mit Azure Logic Apps (Vorschauversion)

Organisationen mit zentral verwalteten Sicherheits- und IT-Abläufen implementieren interne Workflowprozesse, um erforderliche Aktionen innerhalb der Organisation voranzutreiben, wenn Abweichungen in der Umgebung entdeckt werden. In vielen Fällen handelt es sich bei diesen Workflows um wiederholbare Prozesse, und durch die Automatisierung können Prozesse in der Organisation deutlich optimiert werden.

Wir führen heute eine neue Funktion in Security Center ein, die Kunden unter Verwendung von Azure Logic Apps das Erstellen von Automatisierungskonfigurationen und Richtlinien ermöglicht, die basierend auf bestimmten ASC-Ergebnissen wie beispielsweise Empfehlungen oder Warnungen automatisch ausgelöst werden. Azure Logic Apps kann so konfiguriert werden, dass eine beliebige von der großen Logic App-Connectors-Community unterstützte benutzerdefinierte Aktion ausgeführt oder eine der von Security Center bereitgestellten Vorlagen wie das Senden einer E-Mail oder das Öffnen eines ServiceNow™-Tickets verwendet wird.

Weitere Informationen zu den automatischen und manuellen Security Center-Funktionen zum Ausführen von Workflows finden Sie unter Workflowautomatisierung.

Informationen zum Erstellen von Logic Apps finden Sie unter Azure Logic Apps.

Ressourcenübergreifendes schnelle Problembehebung allgemein verfügbar

Die Sicherheitsbewertung kann sehr umfangreich sein, wodurch es schwierig wird, Probleme ressourcenübergreifend zu beheben.

Verwenden Sie die schnelle Problembehebung, um fehlerhafte Sicherheitskonfigurationen zu korrigieren, Empfehlungen für mehrere Ressourcen anzuwenden und Ihre Sicherheitsbewertung zu verbessern.

Mit dieser Vorgehensweise können Sie die Ressourcen auswählen, auf die Sie die Wartung anwenden möchten, und dann die Wartungsaktion starten. Die Konfiguration erfolgt automatisch, ohne dass Sie eingreifen müssen.

Die schnelle Problembehebung steht Kunden ab heute über die Seite „Security Center-Empfehlungen“ zur Verfügung.

Überprüfen von Containerimages auf Sicherheitsrisiken (Vorschauversion)

Azure Security Center kann nun Containerimages in Azure Container Registry auf Sicherheitsrisiken überprüfen.

Bei der Überprüfung von Images wird die Containerimagedatei analysiert und anschließend auf bekannte Sicherheitsrisiken überprüft (unterstützt durch Qualys).

Die Überprüfung selbst wird automatisch ausgelöst, wenn neue Containerimages per Push an Azure Container Registry übertragen werden. Erkannte Sicherheitsrisiken werden als Security Center-Empfehlungen angezeigt und sind zusammen mit Informationen zum Patchen dieser Risiken zur Reduzierung der gebotenen Angriffsfläche in der Sicherheitsbewertung enthalten.

Zusätzliche Standards zur Einhaltung gesetzlicher Bestimmungen (Vorschauversion)

Das Dashboard „Einhaltung gesetzlicher Bestimmungen“ bietet Erkenntnisse über Ihren Konformitätsstatus, die auf Security Center-Bewertungen basieren. Das Dashboard zeigt, inwieweit Ihre Umgebung mit den Steuerelementen und Anforderungen bestimmter gesetzlicher Standards und Branchenbenchmarks übereinstimmt und bietet ausführliche Empfehlungen zum Erfüllen dieser Anforderungen.

Das Dashboard „Einhaltung gesetzlicher Bestimmungen“ verfügt daher über vier integrierte und unterstützte Standards: Azure CIS 1.1.0, PCI-DSS, ISO 27001 und SOC-TSP. Wir künden hiermit die öffentliche Vorschauversion zusätzlicher unterstützter Standards an: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM und UK Official zusammen mit UK NHS. Außerdem veröffentlichen wir eine aktualisierte Version von Azure CIS 1.1.0, in der weitere Steuerelemente der optimierten und der Standarderweiterbarkeit verfügbar sind.

Weitere Informationen über das Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen

Threat Protection-Unterstützung für Azure Kubernetes Service (AKS) (Vorschauversion)

Kubernetes entwickelt sich in Rekordzeit zum neuen Standard für die Softwarebereitstellung und -verwaltung in der Cloud. Derzeit gibt es noch wenige Benutzer, die umfassende Erfahrungen mit Kubernetes vorweisen können. Viele konzentrieren sich auf die allgemeine Entwicklung und Verwaltung und vernachlässigen dabei den Sicherheitsaspekt. Eine Kubernetes-Umgebung muss sorgfältig konfiguriert werden, damit sie wirklich sicher ist. So wird sichergestellt, dass keine Angriffsfläche für Angriffe auf Container geboten wird. Die Unterstützung für den Containerbereich in Security Center wird um einen der am schnellsten wachsenden Dienst in Azure ausgebaut: Azure Kubernetes Service (AKS).

Die öffentliche Vorschauversion umfasst folgende Funktionen:

  • Ermittlung und Sichtbarkeit: Continuous Discovery für verwaltete AKS-Instanzen in den registrierten Security Center-Abonnements.
  • Empfehlungen zur Sicherheitsbewertung: Nützliche Hinweise, mit denen Kunden die Best Practices für Sicherheit in AKS einhalten und ihre Sicherheitsbewertung erhöhen können. Ein Beispiel für diese Empfehlungen lautet: „Die rollenbasierte Zugriffssteuerung sollte genutzt werden, um den Zugriff auf einen Kubernetes Service-Cluster einzuschränken“.
  • Bedrohungserkennung: host- und clusterbasierte Analysen (z. B. „Ein privilegierter Container wurde erkannt.“).

Sicherheitsrisikobewertung für virtuelle Computer (Vorschauversion)

Auf virtuellen Computern installierte Anwendungen sind oft anfällig für Sicherheitsrisiken, die zu einer Kompromittierung des gesamten virtuellen Computers führen können. Heute geben wir bekannt, dass der Security Center-Standard-Tarif eine kostenlose integrierte Sicherheitsrisikobewertung für virtuelle Computer enthält. Die Sicherheitsrisikobewertung in der öffentlichen Vorschauversion basiert auf Qualys und ermöglicht das kontinuierliche Scannen aller installierten Anwendungen auf einem virtuellen Computer, um anfällige Anwendungen zu finden und die Ergebnisse auf der Benutzeroberfläche des Security Center-Portal anzuzeigen. Das Security Center berücksichtigt dabei alle Bereitstellungsvorgänge, sodass der Benutzer keine weiteren Maßnahmen ergreifen muss. Für die Zukunft planen wir die Bereitstellung von Sicherheitsrisikobewertungsoptionen, um die individuellen Geschäftsanforderungen unserer Kunden zu erfüllen.

Weitere Informationen über Sicherheitsrisikobewertungen für Ihre virtuellen Azure-Computer

Advanced Data Security für SQL-Server auf Azure-VMs (Vorschauversion)

Die Unterstützung von Azure Security Center für die Bedrohungsschutz- und Sicherheitsrisikobewertung für SQL-Datenbanken, die auf IaaS-VMs ausgeführt werden, befindet sich jetzt in der Vorschauphase.

Sicherheitsrisikobewertung ist ein einfach zu konfigurierender Dienst, mit dem potenzielle Schwachstellen in der Datenbank ermittelt, nachverfolgt und behoben werden können. Sie bietet Einblicke in Ihren Sicherheitsstatus als Teil der Sicherheitsbewertung, enthält die Schritte zum Beheben von Sicherheitsproblemen und verbessert Ihre Datenbanksicherheit.

Advanced Threat Protection erkennt Anomalien bei Aktivitäten, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf SQL Server zuzugreifen oder diesen zu nutzen. Sie überwacht Ihre Datenbank fortlaufend auf verdächtige Aktivitäten und stellt handlungsorientierte Sicherheitswarnungen bei anomalen Datenbankzugriffsmustern bereit. Diese Warnungen enthalten Details zur verdächtigen Aktivität sowie empfohlene Maßnahmen zur Untersuchung und Abwehr der Bedrohung.

Unterstützung für benutzerdefinierte Richtlinien (Vorschauversion)

Azure Security Center unterstützt jetzt benutzerdefinierte Richtlinien (Vorschauphase).

Unsere Kunden haben sich gewünscht, die Abdeckung ihrer aktuellen Sicherheitsbewertungen in Security Center um ihre eigenen Sicherheitsbewertungen zu erweitern, die auf Richtlinien basieren, die sie in Azure Policy erstellen. Da nun benutzerdefinierte Richtlinien unterstützt werden, ist dies jetzt möglich.

Diese neuen Richtlinien sollen Teil der Security Center-Empfehlungen, Sicherheitsbewertung und dem Dashboard für Standards zur Einhaltung gesetzlicher Bestimmungen werden. Durch die Unterstützung benutzerdefinierter Richtlinien können Sie jetzt benutzerdefinierte Initiativen in Azure Policy erstellen, diese als Richtlinien zu Security Center hinzufügen und anschließend als Empfehlungen visualisieren.

Erweitertes Azure Security Center-Angebot: Plattform für die Community und Partner

Verwenden Sie Security Center, um Empfehlungen nicht nur von Microsoft, sondern auch aus bestehenden Lösungen von Partnern wie Check Point, Tenable und CyberArk zu erhalten, wobei viele weitere Integrationen vorgesehen sind. Der einfache Security Center-Onboardingflow ermöglicht das Verbinden Ihrer vorhandenen Lösungen mit Security Center, sodass Sie alle Sicherheitsstatusempfehlungen an einem Ort anzeigen, vereinheitlichte Berichte ausführen und alle Security Center-Funktionen sowohl für integrierte als auch Partnerempfehlungen nutzen können. Sie können Security Center-Empfehlungen auch für Partnerprodukte exportieren.

Weitere Informationen zur Microsoft Intelligent Security Association

Erweiterte Integration über den Export von Security Center-Empfehlungen und -Warnungen (Vorschauversion)

Für Szenarios auf Unternehmensebene, die auf Security Center basieren, können jetzt Warnungen und Empfehlungen von Security Center auch außerhalb des Azure-Portals oder der Azure-API verarbeitet werden. Sie können sie direkt in einen Event Hub oder in Log Analytics-Arbeitsbereiche exportieren. Hier finden Sie Beispiele für Workflows, die Sie mithilfe dieser neuen Funktionen erstellen können:

  • Durch den Export in Log Analytics-Arbeitsbereiche können Sie mithilfe von Power BI benutzerdefinierte Dashboards erstellen.
  • Durch den Export an Event Hubs können Sie Warnungen und Empfehlungen für Security Center in SIEM-Produkte von Drittanbietern, in eine Drittanbieterlösung oder in Azure Data Explorer exportieren.

Onboarding lokaler Server in Security Center über Windows Admin Center (Vorschau)

Windows Admin Center ist ein Verwaltungsportal für Windows-Server, die nicht in Azure bereitgestellt wurden, und bietet diesen mehrere Azure-Verwaltungsfunktionen wie Sicherungen und Systemupdates. Wir haben kürzlich eine Funktion zum Onboarding dieser Nicht-Azure-Server hinzugefügt, damit diese direkt über Windows Admin Center vom Azure Security Center geschützt werden.

Benutzer können jetzt einen WAC-Server in Azure Security Center integrieren und die Anzeige seiner Sicherheitswarnungen und Empfehlungen direkt in der Windows Admin Center-Umgebung aktivieren.

September 2019

Updates im September:

Verbesserte Verwaltung von Regeln mit der adaptiven Anwendungssteuerung

Die Funktion zum Verwalten von Regeln für virtuelle Computer mithilfe der adaptiven Anwendungssteuerung wurde verbessert. Die adaptive Anwendungssteuerung ist ein Feature von Azure Security Center, mit dem Sie steuern können, welche Anwendungen auf Ihren virtuellen Computern ausgeführt werden können. Neben der allgemeinen Verbesserung der Regelverwaltung können Sie dank einer neuen Funktion nun steuern, welche Dateitypen geschützt werden, wenn Sie eine neue Regel hinzufügen.

Weitere Informationen über Adaptive Anwendungssteuerungen

Steuern von Empfehlungen für die Containersicherheit mit Azure Policy

Die Empfehlungen von Azure Security Center zum Korrigieren von Sicherheitsrisiken bei Containern können nun mit Azure Policy aktiviert und deaktiviert werden.

Öffnen Sie zum Anzeigen der von Ihnen aktivierten Sicherheitsrichtlinien in Security Center die Seite „Sicherheitsrichtlinie“.

August 2019

Updates im August:

Just-In-Time-Zugriff (JIT) auf virtuelle Computer für Azure Firewall

Just-In-Time-Zugriff (JIT) auf virtuelle Computer für Azure Firewall ist jetzt allgemein verfügbar. Schützen Sie damit Ihre durch Azure Firewall geschützten Umgebungen zusätzlich zu Ihren durch Netzwerksicherheitsgruppen (NSG) geschützten Umgebungen.

JIT-VM-Zugriff sorgt für ein geringeres Risiko durch volumetrische Netzwerkangriffe, da mit dieser Steuerung nur der wirklich erforderliche Zugriff auf Ihre VMs gewährt wird und dabei Ihre NSG- und Azure Firewall-Regeln angewandt werden.

Beim Aktivieren von JIT für Ihre VMs erstellen Sie eine Richtlinie, die festlegt, welche Ports geschützt werden sollen, wie lange die Ports geöffnet sein sollen und von welchen genehmigten IP-Adressen aus auf diese Ports zugegriffen werden kann. Mit dieser Richtlinie behalten Sie volle Kontrolle darüber, was Ihre Benutzer ausführen dürfen, wenn sie Zugriff anfordern.

Anforderungen werden im Azure-Aktivitätsprotokoll erfasst, sodass Sie den Zugriff ganz einfach überwachen und überprüfen können. Außerdem können Sie auf der JIT-Seite sehr schnell ermitteln, auf welchen vorhandenen VMs JIT aktiviert ist und auf welchen JIT empfohlen wird.

Weitere Informationen über Azure Firewall

Ein-Klick-Wartung zur Verbesserung Ihres Sicherheitsstatus (Vorschauversion)

Secure Score ist ein Tool, mit dem Sie den Sicherheitsstatus bewerten können. Es überprüft Ihre Sicherheitsempfehlungen und priorisiert sie für Sie, damit Sie wissen, welche Empfehlungen Sie zuerst durchführen sollten. Dies hilft Ihnen, die schwerwiegendsten Sicherheitsrisiken zu finden, um die Untersuchung priorisieren zu können.

Zur Vereinfachung der Wartung von Fehlkonfigurationen bei der Sicherheit und für eine schnelle Verbesserung Ihrer Sicherheitsbewertung haben wir außerdem eine neue Funktion hinzugefügt, mit der Sie einzelne Empfehlungen mit nur einem Klick für einen ganzen Stapel von Ressourcen ausführen können.

Mit dieser Vorgehensweise können Sie die Ressourcen auswählen, auf die Sie die Wartung anwenden möchten, und dann die Wartungsaktion starten. Die Konfiguration erfolgt automatisch, ohne dass Sie eingreifen müssen.

Mandantenübergreifende Verwaltung

Security Center unterstützt jetzt Szenarien mit mandantenübergreifender Verwaltung als Teil von Azure Lighthouse. Dadurch können Sie in Security Center mehrere Mandanten einsehen und ihren Sicherheitsstatus verwalten.

Weitere Informationen über mandantenübergreifende Verwaltungsmöglichkeiten

Juli 2019

Updates für Netzwerkempfehlungen

Azure Security Center (ASC) hat neue Netzwerkempfehlungen veröffentlicht und bestehende verbessert. Damit trägt Security Center noch mehr zum Schutz Ihres Netzwerks und Ihrer Ressourcen bei.

Juni 2019

Adaptive Netzwerkhärtung allgemein verfügbar

Eine der größten Angriffsflächen für Workloads, die in der öffentlichen Cloud ausgeführt werden, sind Verbindungen mit und aus dem öffentlichen Internet. Unsere Kunden finden es schwierig zu entscheiden, welche Netzwerksicherheitsgruppenregeln gelten sollten, damit Azure-Workloads auch wirklich nur für die erforderlichen Quellbereiche verfügbar sind. Mit diesem Feature werden der Netzwerkdatenverkehr und Verbindungsmuster von Azure-Workloads von Security Center analysiert und Empfehlungen für Netzwerksicherheitsgruppenregeln für VMs gemacht, die mit dem Internet verbunden sind. Dadurch können Kunden ihre Netzwerkzugriffsrichtlinien besser konfigurieren und die Anfälligkeit für Angriffe minimieren.