Obsługa i wymagania wstępne dotyczące zarządzania stanem zabezpieczeń danych
Przed skonfigurowaniem zarządzania stanem zabezpieczeń danych w Microsoft Defender dla Chmury zapoznaj się z wymaganiami na tej stronie.
Włączanie odnajdywania poufnych danych
Odnajdywanie danych poufnych jest dostępne w planach CSPM w usłudze Defender, Defender for Storage i Defender for Databases.
- Po włączeniu jednego z planów rozszerzenie odnajdywania danych poufnych jest włączone w ramach planu.
- Jeśli masz już uruchomione plany, rozszerzenie jest dostępne, ale domyślnie wyłączone.
- Istniejący stan planu jest wyświetlany jako "Częściowy", a nie "Pełny", jeśli co najmniej jedno rozszerzenie nie jest włączone.
- Funkcja jest włączona na poziomie subskrypcji.
- Jeśli odnajdywanie poufnych danych jest włączone, ale CSPM w usłudze Defender nie jest włączone, skanowane są tylko zasoby magazynu.
- Jeśli subskrypcja jest włączona z CSPM w usłudze Defender i równolegle przeskanowane te same zasoby za pomocą usługi Purview, wynik skanowania usługi Purview jest ignorowany i domyślnie wyświetla wyniki skanowania Microsoft Defender dla Chmury dla obsługiwanego typu zasobu.
Co jest obsługiwane
Tabela zawiera podsumowanie dostępności i obsługiwanych scenariuszy odnajdywania poufnych danych.
Pomoc techniczna | Szczegóły |
---|---|
Jakie zasoby danych platformy Azure można odnaleźć? | Magazyn obiektów: Blokowe konta magazynu obiektów blob w usłudze Azure Storage w wersji 1/2 Azure Data Lake Storage Gen2 Obsługiwane są konta magazynu za sieciami prywatnymi. Konta magazynu zaszyfrowane przy użyciu klucza po stronie serwera zarządzanego przez klienta są obsługiwane. Konta nie są obsługiwane, jeśli do punktu końcowego konta magazynu jest mapowana domena niestandardowa. Bazy danych Bazy danych Azure SQL Database Usługa Azure SQL Database zaszyfrowana za pomocą funkcji Transparent Data Encryption |
Jakie zasoby danych platformy AWS można odnaleźć? | Magazyn obiektów: Zasobniki usługi AWS S3 Defender dla Chmury można odnaleźć dane zaszyfrowane za pomocą usługi KMS, ale nie zaszyfrowane przy użyciu klucza zarządzanego przez klienta. Bazy danych - Amazon Aurora — Amazon RDS for PostgreSQL — Amazon RDS for MySQL - Amazon RDS for MariaDB - Amazon RDS for SQL Server (noncustom) - Amazon RDS for Oracle Database (tylko noncustom, SE2 Edition) Wymagania wstępne i ograniczenia: — Należy włączyć automatyczne kopie zapasowe. — Rola IAM utworzona do celów skanowania (domyślnie DefenderForCloud-DataSecurityPostureDB) musi mieć uprawnienia do klucza usługi KMS używanego do szyfrowania wystąpienia usług pulpitu zdalnego. — Nie można udostępnić migawki bazy danych korzystającej z grupy opcji z opcjami trwałymi lub trwałymi, z wyjątkiem wystąpień bazy danych Oracle, które mają opcję Strefa czasowa lub OLS (lub oba). Dowiedz się więcej |
Jakie zasoby danych GCP można odnaleźć? | Zasobniki magazynu GCP Standardowa, klasa Geo: region, region podwójny, wiele regionów |
Jakie uprawnienia są potrzebne do odnajdywania? | Konto magazynu: Właściciel subskrypcji or Microsoft.Authorization/roleAssignments/* (odczyt, zapis, usuwanie) i Microsoft.Security/pricings/* (odczyt, zapis, usuwanie) i Microsoft.Security/pricings/SecurityOperators (odczyt, zapis)Zasobniki usługi Amazon S3 i wystąpienia usług pulpitu zdalnego: uprawnienia konta platformy AWS do uruchamiania tworzenia chmury (w celu utworzenia roli). Zasobniki magazynu GCP: uprawnienia konta Google do uruchamiania skryptu (w celu utworzenia roli). |
Jakie typy plików są obsługiwane w przypadku odnajdywania poufnych danych? | Obsługiwane typy plików (nie można wybrać podzbioru) — .doc, .docm, .docx, .dot, .gz, odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
Jakie regiony platformy Azure są obsługiwane? | Możesz odnajdywać konta usługi Azure Storage w: Azja Wschodnia; Azja Południowo-Wschodnia; Australia Środkowa; Australia Środkowa 2; Australia Wschodnia; Australia Południowo-Wschodnia; Brazylia Południowa; Brazylia Południowo-Wschodnia; Kanada Środkowa; Kanada Wschodnia; Europa Północna; Europa Zachodnia; Francja Środkowa; Francja Południowa; Niemcy Północne; Niemcy Zachodnio-środkowe; Indie Środkowe; Indie Południowe; Japonia Wschodnia; Japonia Zachodnia; Jio Indie Zachodnie; Korea Środkowa; Korea Południowa; Norwegia Wschodnia; Norwegia Zachodnia; Republika Południowej Afryki Północnej; Republika Południowej Afryki Zachodniej; Szwecja Środkowa; Szwajcaria Północna; Szwajcaria Zachodnia; Zjednoczone Emiraty Arabskie na północ; Południowe Zjednoczone Królestwo; Zachodnie Zjednoczone Królestwo; Środkowe stany USA; Wschodnie stany USA; Wschodnie stany USA 2; Północno-środkowe stany USA; Południowo-środkowe stany USA; Zachodnie stany USA; Zachodnie stany USA 2; Zachodnie stany USA 3; Zachodnio-środkowe stany USA; Bazy danych Azure SQL Database można odnaleźć w dowolnym regionie, w którym są obsługiwane CSPM w usłudze Defender i bazy danych Azure SQL Database. |
Jakie regiony platformy AWS są obsługiwane? | S3: Azja i Pacyfik (Bombaj); Azja i Pacyfik (Singapur); Azja i Pacyfik (Sydney); Azja i Pacyfik (Tokio); Kanada (Montreal); Europa (Frankfurt); Europa (Irlandia); Europa (Londyn); Europa (Paryż); Europa (Sztokholm); Ameryka Południowa (São Paulo); Wschodnie stany USA (Ohio); Wschodnie stany USA (N. Wirginia); Zachodnie stany USA (N. Kalifornia): Zachodnie stany USA (Oregon). RDS: Afryka (Kapsztad); Azja i Pacyfik (Hongkong SAR); Azja i Pacyfik (Hyderabad); Azja i Pacyfik (Melbourne); Azja i Pacyfik (Bombaj); Azja i Pacyfik (Osaka); Azja i Pacyfik (Seul); Azja i Pacyfik (Singapur); Azja i Pacyfik (Sydney); Azja i Pacyfik (Tokio); Kanada (Środkowa); Europa (Frankfurt); Europa (Irlandia); Europa (Londyn); Europa (Paryż); Europa (Sztokholm); Europa (Zurych); Bliski Wschód (ZJEDNOCZONE Emiraty Zjednoczone Emiraty Zjednoczone Emiratów Zjednoczonych); Ameryka Południowa (São Paulo); Wschodnie stany USA (Ohio); Wschodnie stany USA (N. Wirginia); Zachodnie stany USA (N. Kalifornia): Zachodnie stany USA (Oregon). Odnajdywanie odbywa się lokalnie w obrębie regionu. |
Jakie regiony GCP są obsługiwane? | europa-zachód1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1 |
Czy muszę zainstalować agenta? | Nie, odnajdywanie nie wymaga instalacji agenta. |
Jaki jest koszt? | Ta funkcja jest uwzględniana w planach CSPM w usłudze Defender i Defender for Storage i nie wiąże się z dodatkowymi kosztami z wyjątkiem odpowiednich kosztów planu. |
Jakie uprawnienia muszę wyświetlać/edytować ustawienia poufności danych? | Potrzebujesz jednej z następujących ról firmy Microsoft Entra: |
Jakie uprawnienia muszę wykonać dołączanie? | Potrzebujesz jednej z tych ról kontroli dostępu opartej na rolach (RBAC) platformy Azure: Administrator zabezpieczeń, Współautor, Właściciel na poziomie subskrypcji (gdzie znajduje się projekt GCP/s). Aby korzystać z ustaleń zabezpieczeń: Czytelnik zabezpieczeń, Administrator zabezpieczeń, Czytelnik, Współautor, Właściciel na poziomie subskrypcji (gdzie znajduje się projekt GCP/s). |
Konfigurowanie ustawień poufności danych
Główne kroki konfigurowania ustawień poufności danych obejmują:
- Importowanie niestandardowych typów/etykiet poufności z portal zgodności Microsoft Purview
- Dostosowywanie kategorii/typów danych poufnych
- Ustawianie progu etykiet poufności
Dowiedz się więcej o etykietach poufności w usłudze Microsoft Purview.
Odnajdowanie
Defender dla Chmury rozpoczyna odnajdywanie danych natychmiast po włączeniu planu lub po włączeniu funkcji w planach, które są już uruchomione.
W przypadku magazynu obiektów:
- Wyświetlenie wyników podczas odnajdywania po raz pierwszy może potrwać do 24 godzin.
- Po zaktualizowaniu plików w odnalezionych zasobach dane są odświeżane w ciągu ośmiu dni.
- Nowe konto usługi Azure Storage dodane do już odnalezionej subskrypcji zostanie odnalezione w ciągu 24 godzin lub mniej.
- Nowy zasobnik usługi AWS S3 lub zasobnik magazynu GCP dodany do już odnalezionego konta platformy AWS lub konta Google zostanie odnaleziony w ciągu 48 godzin lub mniej.
- Odnajdywanie poufnych danych dla magazynu jest przeprowadzane lokalnie w twoim regionie. Dzięki temu dane nie opuszczają Twojego regionu. Do Defender dla Chmury są przesyłane tylko metadane zasobów, takie jak pliki, obiekty blob, nazwy zasobników, wykryte etykiety poufności i nazwy zidentyfikowanych typów informacji poufnych (SIT).
W przypadku baz danych:
- Bazy danych są skanowane co tydzień.
- W przypadku nowo włączonych subskrypcji wyniki są wyświetlane w ciągu 24 godzin.
Odnajdywanie i skanowanie kont usługi Azure Storage
Aby skanować konta usługi Azure Storage, Microsoft Defender dla Chmury tworzy nowy storageDataScanner
zasób i przypisuje mu rolę Czytelnik danych obiektu blob usługi Storage. Ta rola przyznaje następujące uprawnienia:
- List
- Przeczytaj
W przypadku kont magazynu za sieciami prywatnymi uwzględniamy StorageDataScanner
listę dozwolonych wystąpień zasobów w konfiguracji reguł sieciowych konta magazynu.
Odnajdywanie i skanowanie zasobników platformy AWS S3
Aby chronić zasoby platformy AWS w Defender dla Chmury, należy skonfigurować łącznik platformy AWS przy użyciu szablonu CloudFormation w celu dołączenia konta platformy AWS.
- Aby odnaleźć zasoby danych platformy AWS, Defender dla Chmury zaktualizować szablon CloudFormation.
- Szablon CloudFormation tworzy nową rolę w usłudze AWS IAM, aby umożliwić dostęp do danych w zasobnikach S3 za pomocą skanera Defender dla Chmury.
- Aby połączyć konta platformy AWS, musisz mieć uprawnienia administratora na koncie.
- Rola zezwala na te uprawnienia: tylko do odczytu S3; Odszyfrowywanie usługi KMS.
Odnajdywanie i skanowanie wystąpień usług AWS RDS
Aby chronić zasoby platformy AWS w Defender dla Chmury, skonfiguruj łącznik platformy AWS przy użyciu szablonu CloudFormation w celu dołączenia konta platformy AWS.
- Aby odnaleźć wystąpienia usług AWS RDS, Defender dla Chmury zaktualizować szablon CloudFormation.
- Szablon CloudFormation tworzy nową rolę w usłudze AWS IAM, aby zezwolić na uprawnienie skanera Defender dla Chmury do wykonania ostatniej dostępnej automatycznej migawki wystąpienia i przełączenia go do trybu online w izolowanym środowisku skanowania w tym samym regionie platformy AWS.
- Aby połączyć konta platformy AWS, musisz mieć uprawnienia administratora na koncie.
- Automatyczne migawki muszą być włączone w odpowiednich wystąpieniach usług pulpitu zdalnego/klastrach.
- Rola zezwala na te uprawnienia (przejrzyj szablon CloudFormation, aby uzyskać dokładne definicje):
- Wyświetlanie listy wszystkich baz danych/klastrów usług pulpitu zdalnego
- Kopiowanie wszystkich migawek bazy danych/klastra
- Usuwanie/aktualizowanie migawki bazy danych/klastra za pomocą prefiksu defenderfordatabases
- Wyświetlanie listy wszystkich kluczy usługi KMS
- Używaj wszystkich kluczy usługi KMS tylko dla usług pulpitu zdalnego na koncie źródłowym
- Utwórz pełną kontrolę nad wszystkimi kluczami usługi KMS przy użyciu prefiksu tagu DefenderForDatabases
- Tworzenie aliasu dla kluczy usługi KMS
- Klucze usługi KMS są tworzone raz dla każdego regionu zawierającego wystąpienia usług pulpitu zdalnego. Utworzenie klucza usługi KMS może wiązać się z minimalnymi dodatkowymi kosztami, zgodnie z cennikiem usługi KMS platformy AWS.
Odnajdywanie i skanowanie zasobników magazynu GCP
Aby chronić zasoby GCP w Defender dla Chmury, można skonfigurować łącznik Google przy użyciu szablonu skryptu w celu dołączenia konta GCP.
- Aby odnaleźć zasobniki magazynu GCP, Defender dla Chmury zaktualizować szablon skryptu.
- Szablon skryptu tworzy nową rolę na koncie Google, aby umożliwić skanerowi Defender dla Chmury uzyskiwanie dostępu do danych w zasobnikach magazynu GCP.
- Aby połączyć konta Google, musisz mieć uprawnienia administratora na koncie.
Uwidoczniony w Internecie/zezwala na dostęp publiczny
CSPM w usłudze Defender ścieżki ataków i szczegółowe informacje o grafie zabezpieczeń w chmurze obejmują informacje o zasobach magazynu, które są uwidocznione w Internecie i umożliwiają dostęp publiczny. Poniższa tabela zawiera więcej szczegółów.
Stanowy | Konta usługi Azure Storage | Zasobniki usługi AWS S3 | Zasobniki magazynu GCP |
---|---|---|---|
Uwidocznione w Internecie | Jeśli którekolwiek z tych ustawień jest włączone, konto usługi Azure Storage jest uznawane za uwidocznione w Internecie: >Storage_account_name Dostęp>do>sieci publicznej włączone ze wszystkich sieci lub >Storage_account_name Dostęp>do>sieci publicznej Włącz z wybranych sieci wirtualnych i adresów IP. |
Zasobnik platformy AWS S3 jest uznawany za uwidoczniony w Internecie, jeśli zasady zasobnika platformy AWS/AWS S3 nie mają warunku ustawionego dla adresów IP. | Wszystkie zasobniki magazynu GCP są domyślnie uwidocznione w Internecie. |
Zezwala na dostęp publiczny | Kontener konta usługi Azure Storage jest uznawany za zezwalający na dostęp publiczny, jeśli te ustawienia są włączone na koncie magazynu: Storage_account_name Konfiguracja>zezwala na dostęp anonimowy>obiektów blob włączony.> i jeden z następujących ustawień: >Storage_account_name Containers> container_name> publiczny poziom dostępu ustawiony na obiekt blob (anonimowy dostęp do odczytu tylko dla obiektów blob) Lub storage_account_name Containers> container_name>> publiczny poziom dostępu ustawiony na Kontener (anonimowy dostęp do odczytu dla kontenerów i obiektów blob). |
Zasobnik usługi AWS S3 jest uznawany za zezwalany na dostęp publiczny, jeśli zarówno konto platformy AWS, jak i zasobnik usługi AWS S3 mają ustawienie Blokuj cały dostęp publiczny ustawiony na wartość Wyłączone, a każde z tych ustawień jest ustawione: W zasadach właściwość RestrictPublicBuckets nie jest włączona, a ustawienie Podmiot zabezpieczeń ma wartość * i dla ustawienia Efekt ustawiono wartość Zezwalaj. Lub, na liście kontroli dostępu, IgnorePublicAcl nie jest włączona, a uprawnienie jest dozwolone dla wszystkich lub dla uwierzytelnionych użytkowników. |
Zasobnik magazynu GCP jest uznawany za zezwalający na dostęp publiczny, jeśli ma rolę zarządzanie dostępem i tożsamościami (tożsamościami i dostępem), która spełnia następujące kryteria: Rola jest przyznawana wszystkim głównymUżytkownikom lub wszystkimUżytkownikom uwierzytelniania. Rola ma co najmniej jedno uprawnienie magazynu, które nie jest magazynem.buckets.create lub storage.buckets.list. Dostęp publiczny w GCP jest nazywany publicznym dostępem do Internetu. |
Zasoby bazy danych nie zezwalają na dostęp publiczny, ale nadal mogą być uwidocznione w Internecie.
Szczegółowe informacje o ekspozycji internetowej są dostępne dla następujących zasobów:
Azure:
- Serwer Azure SQL
- Azure Cosmos DB
- Wystąpienie zarządzane Azure SQL
- Pojedynczy serwer Usługi Azure MySQL
- Serwer elastyczny usługi Azure MySQL
- Pojedynczy serwer usługi Azure PostgreSQL
- Serwer elastyczny usługi Azure PostgreSQL
- Pojedynczy serwer usługi Azure MariaDB
- Obszar roboczy usługi Synapse
AWS:
- Wystąpienie usług pulpitu zdalnego
Uwaga
- Reguły ekspozycji, które obejmują 0.0.0.0/0, są uznawane za "nadmiernie narażone", co oznacza, że można uzyskać do nich dostęp z dowolnego publicznego adresu IP.
- Zasoby platformy Azure z regułą ekspozycji "0.0.0.0" są dostępne z dowolnego zasobu na platformie Azure (niezależnie od dzierżawy lub subskrypcji).
Następny krok
Włącz zarządzanie stanem zabezpieczeń danych.