Dela via


Stöd och förutsättningar för hantering av datasäkerhetsstatus

Granska kraven på den här sidan innan du konfigurerar hantering av datasäkerhetsstatus i Microsoft Defender för molnet.

Aktivera identifiering av känsliga data

Identifiering av känsliga data är tillgängligt i Defender CSPM-, Defender for Storage- och Defender for Databases-planer.

  • När du aktiverar ett av planerna aktiveras tillägget för känslig dataidentifiering som en del av planen.
  • Om du har befintliga planer som körs är tillägget tillgängligt, men inaktiverat som standard.
  • Befintlig planstatus visas som "Partiell" i stället för "Fullständig" om ett eller flera tillägg inte är aktiverade.
  • Funktionen är aktiverad på prenumerationsnivå.
  • Om identifiering av känsliga data är aktiverat, men Defender CSPM inte är aktiverat, genomsöks endast lagringsresurser.
  • Om en prenumeration är aktiverad med Defender CSPM och du parallellt genomsöker samma resurser med Purview ignoreras Purviews genomsökningsresultat och standardvärdet för att visa Microsoft Defender för molnet genomsökningsresultat för resurstypen som stöds.

Det finns stöd för

Tabellen sammanfattar tillgänglighet och scenarier som stöds för identifiering av känsliga data.

Support Detaljer
Vilka Azure-dataresurser kan jag identifiera? Objektlagring:

Blockera bloblagringskonton i Azure Storage v1/v2

Azure Data Lake Storage Gen2

Lagringskonton bakom privata nätverk stöds.

Lagringskonton som krypterats med en kundhanterad nyckel på serversidan stöds.

Konton stöds inte om en lagringskontoslutpunkt har en anpassad domän mappad till den.


Databaser

Azure SQL Databases

Azure SQL Database krypterad med transparent datakryptering
Vilka AWS-dataresurser kan jag identifiera? Objektlagring:

AWS S3-bucketar

Defender för molnet kan identifiera KMS-krypterade data, men inte data som krypterats med en kundhanterad nyckel.

Databaser

- Amazon Aurora
– Amazon RDS för PostgreSQL
– Amazon RDS för MySQL
– Amazon RDS för MariaDB
– Amazon RDS för SQL Server (noncustom)
– Amazon RDS för Oracle Database (endast noncustom, SE2 Edition)

Förutsättningar och begränsningar:
– Automatiserade säkerhetskopieringar måste vara aktiverade.
– Den IAM-roll som skapats för genomsökning (DefenderForCloud-DataSecurityPostureDB som standard) måste ha behörighet till KMS-nyckeln som används för kryptering av RDS-instansen.
– Du kan inte dela en databasögonblicksbild som använder en alternativgrupp med permanenta eller beständiga alternativ, förutom Oracle DB-instanser som har alternativet Tidszon eller OLS (eller båda). Läs mer
Vilka GCP-dataresurser kan jag identifiera? GCP-lagringshink
Standardklass
Geo: region, dubbel region, flera regioner
Vilka behörigheter behöver jag för identifiering? Lagringskonto: Prenumerationsägare
or
Microsoft.Authorization/roleAssignments/* (läsa, skriva, ta bort) och Microsoft.Security/pricings/* (läsa, skriva, ta bort) och Microsoft.Security/pricings/SecurityOperators (läsa, skriva)

Amazon S3-bucketar och RDS-instanser: AWS-kontobehörighet för att köra Cloud Formation (för att skapa en roll).

GCP-lagringshink: Google-kontobehörighet för att köra skript (för att skapa en roll).
Vilka filtyper stöds för identifiering av känsliga data? Filtyper som stöds (du kan inte välja en delmängd) – .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc.
Vilka Azure-regioner stöds? Du kan identifiera Azure Storage-konton i:

Asien, östra; Asien, sydöstra; Australien, centrala; Australien, centrala 2; Australien, östra; Australien, sydöstra; Brasilien, södra; Brasilien, sydöstra; Kanada, centrala; Kanada, östra; Europa, norra; Europa, västra; Frankrike, centrala; Frankrike, södra; Tyskland, norra; Tyskland, västra centrala; Indien, centrala; Indien, södra; Japan, östra; Japan, västra; Jio Indien, västra; Korea Central; Sydkorea, södra; Norge, östra; Norge, västra; Sydafrika, norra; Sydafrika, västra; Sverige, centrala; Schweiz, norra; Schweiz, västra; Förenade Arabemiraten, norra; Storbritannien, södra; Storbritannien, västra; USA, centrala; USA, östra; USA, östra 2; USA, norra centrala; USA, södra centrala; USA, västra; USA, västra 2; USA, västra 3; USA, västra centrala;

Du kan identifiera Azure SQL Databases i alla regioner där Defender CSPM och Azure SQL Databases stöds.
Vilka AWS-regioner stöds? S3:

Asien och stillahavsområdet (Mumbai); Asien och Stillahavsområdet (Singapore); Asien och stillahavsområdet (Sydney); Asien och Stillahavsområdet (Tokyo); Kanada (Montreal); Europa (Frankfurt); Europa (Irland); Europa (London); Europa (Paris); Europa (Stockholm); Sydamerika (São Paulo); USA, östra (Ohio); USA, östra (N. Virginia); USA, västra (N. Kalifornien): USA, västra (Oregon).


RDS:

Afrika (Kapstaden); Asien och Stillahavsområdet (Hongkong SAR); Asien och Stillahavsområdet (Hyderabad); Asien och stillahavsområdet (Melbourne); Asien och stillahavsområdet (Mumbai); Asien och Stillahavsområdet (Osaka); Asien och Stillahavsområdet (Seoul); Asien och Stillahavsområdet (Singapore); Asien och stillahavsområdet (Sydney); Asien och Stillahavsområdet (Tokyo); Kanada (centrala); Europa (Frankfurt); Europa (Irland); Europa (London); Europa (Paris); Europa (Stockholm); Europa (Zürich); Mellanöstern (UAE); Sydamerika (São Paulo); USA, östra (Ohio); USA, östra (N. Virginia); USA, västra (N. Kalifornien): USA, västra (Oregon).

Identifieringen görs lokalt i regionen.
Vilka GCP-regioner stöds? europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
Behöver jag installera en agent? Nej, identifiering kräver ingen agentinstallation.
Vad kostar det? Funktionen ingår i Defender CSPM- och Defender for Storage-abonnemangen och medför inte extra kostnader förutom respektive plankostnader.
Vilka behörigheter behöver jag för att visa/redigera inställningar för datakänslighet? Du behöver någon av dessa Microsoft Entra-roller:
  • Administratör för efterlevnadsdata, efterlevnadsadministratör eller senare
  • Säkerhetsoperatör, säkerhetsadministratör eller senare
  • Vilka behörigheter behöver jag för att utföra registrering? Du behöver någon av de här rollbaserade Åtkomstkontrollrollerna i Azure (Azure RBAC): Säkerhetsadministratör, Deltagare, Ägare på prenumerationsnivå (där GCP-projektet/s finns). För att använda säkerhetsresultaten: Säkerhetsläsare, Säkerhetsadministratör, Läsare, Deltagare, Ägare på prenumerationsnivå (där GCP-projektet/s finns).

    Konfigurera inställningar för datakänslighet

    De viktigaste stegen för att konfigurera inställningar för datakänslighet är:

    Läs mer om känslighetsetiketter i Microsoft Purview.

    Identifiering

    Defender för molnet börjar identifiera data omedelbart efter att du har aktiverat en plan eller när du har aktiverat funktionen i planer som redan körs.

    För objektlagring:

    • Det tar upp till 24 timmar att se resultatet för en första identifiering.
    • När filerna har uppdaterats i de identifierade resurserna uppdateras data inom åtta dagar.
    • Ett nytt Azure Storage-konto som läggs till i en redan identifierad prenumeration identifieras inom 24 timmar eller mindre.
    • En ny AWS S3-bucket eller GCP-lagringshink som läggs till i ett redan identifierat AWS-konto eller Google-konto identifieras inom 48 timmar eller mindre.
    • Identifiering av känsliga data för lagring utförs lokalt i din region. Detta säkerställer att dina data inte lämnar din region. Endast resursmetadata, till exempel filer, blobar, bucketnamn, identifierade känslighetsetiketter och namnen på identifierade typer av känslig information (SIT) överförs till Defender för molnet.

    För databaser:

    • Databaser genomsöks varje vecka.
    • För nyligen aktiverade prenumerationer visas resultaten inom 24 timmar.

    Identifiera och skanna Azure Storage-konton

    Om du vill skanna Azure Storage-konton skapar Microsoft Defender för molnet en ny storageDataScanner resurs och tilldelar den rollen Storage Blob Data Reader. Den här rollen ger följande behörigheter:

    • List
    • Lästa

    För lagringskonton bakom privata nätverk inkluderar StorageDataScanner vi i listan över tillåtna resursinstanser i lagringskontots konfiguration av nätverksregler.

    Identifiera och skanna AWS S3-bucketar

    För att skydda AWS-resurser i Defender för molnet konfigurerar du en AWS-anslutningsapp med hjälp av en CloudFormation-mall för att registrera AWS-kontot.

    • Om du vill identifiera AWS-dataresurser uppdaterar Defender för molnet Mallen CloudFormation.
    • CloudFormation-mallen skapar en ny roll i AWS IAM för att tillåta behörighet för Defender för molnet skannern att komma åt data i S3-bucketarna.
    • För att ansluta AWS-konton behöver du administratörsbehörighet för kontot.
    • Rollen tillåter dessa behörigheter: S3 skrivskyddad; KMS-dekryptering.

    Identifiera och skanna AWS RDS-instanser

    För att skydda AWS-resurser i Defender för molnet konfigurerar du en AWS-anslutningsapp med hjälp av en CloudFormation-mall för att registrera AWS-kontot.

    • Om du vill identifiera AWS RDS-instanser uppdaterar Defender för molnet Mallen CloudFormation.
    • CloudFormation-mallen skapar en ny roll i AWS IAM för att tillåta behörighet för Defender för molnet-skannern att ta den senaste tillgängliga automatiserade ögonblicksbilden av instansen och ta den online i en isolerad genomsökningsmiljö inom samma AWS-region.
    • För att ansluta AWS-konton behöver du administratörsbehörighet för kontot.
    • Automatiserade ögonblicksbilder måste aktiveras på relevanta RDS-instanser/kluster.
    • Rollen tillåter dessa behörigheter (granska CloudFormation-mallen för exakta definitioner):
      • Visa en lista över alla RDS-databaser/kluster
      • Kopiera alla DB/klusterögonblicksbilder
      • Ta bort/uppdatera DB/klusterögonblicksbild med prefixet defenderfordatabases
      • Visa en lista över alla KMS-nycklar
      • Använd endast alla KMS-nycklar för RDS på källkontot
      • Skapa och fullständig kontroll över alla KMS-nycklar med taggprefixet DefenderForDatabases
      • Skapa alias för KMS-nycklar
    • KMS-nycklar skapas en gång för varje region som innehåller RDS-instanser. Skapandet av en KMS-nyckel kan medföra en minimal extra kostnad, enligt AWS KMS-priser.

    Identifiera och skanna GCP-lagrings bucketar

    För att skydda GCP-resurser i Defender för molnet kan du konfigurera en Google-anslutningsapp med hjälp av en skriptmall för att registrera GCP-kontot.

    • Om du vill identifiera GCP-lagrings bucketar uppdaterar Defender för molnet skriptmallen.
    • Skriptmallen skapar en ny roll i Google-kontot för att tillåta behörighet för den Defender för molnet skannern att komma åt data i GCP-lagringshinkerna.
    • Om du vill ansluta Google-konton behöver du administratörsbehörighet för kontot.

    Exponerad för Internet/tillåter offentlig åtkomst

    Defender CSPM-attackvägar och insikter om molnsäkerhetsdiagram innehåller information om lagringsresurser som exponeras för Internet och tillåter offentlig åtkomst. Följande tabell innehåller mer information.

    Delstat Azure Storage-konton AWS S3-bucketar GCP Storage Buckets
    Exponerad för Internet Ett Azure Storage-konto anses vara exponerat för Internet om någon av dessa inställningar är aktiverade:

    Storage_account_name Åtkomst till>>offentligt nätverk i nätverk aktiverat från alla nätverk >

    eller

    Storage_account_name Åtkomst till>>offentligt nätverk i nätverk Aktivera från valda virtuella nätverk och IP-adresser.>
    En AWS S3-bucket anses vara exponerad för Internet om AWS-kontot/AWS S3-bucketprinciperna inte har något villkor för IP-adresser. Alla GCP-lagrings bucketar exponeras som standard för Internet.
    Tillåter offentlig åtkomst En Azure Storage-kontocontainer anses tillåta offentlig åtkomst om dessa inställningar är aktiverade på lagringskontot:

    Storage_account_name Konfiguration>Tillåt anonym blobåtkomst>aktiverad.>

    och någon av dessa inställningar:

    >Storage_account_name Containrar> container_name >offentlig åtkomstnivå inställd på Blob (endast anonym läsåtkomst för blobar)

    Eller storage_account_name >Containrar> container_name> offentlig åtkomstnivå inställd på Container (anonym läsåtkomst för containrar och blobar).
    En AWS S3-bucket anses tillåta offentlig åtkomst om både AWS-kontot och AWS S3-bucketen har Blockera all offentlig åtkomst inställd på Av, och någon av dessa inställningar har angetts:

    I principen är RestrictPublicBuckets inte aktiverat och inställningen Huvudnamn är inställd på * och Effekten är inställd på Tillåt.

    Eller så är IgnorePublicAcl inte aktiverat i åtkomstkontrollistan och behörighet tillåts för Alla eller autentiserade användare.
    En GCP-lagringshink anses tillåta offentlig åtkomst om den har en IAM-roll (identitets- och åtkomsthantering) som uppfyller följande kriterier:

    Rollen beviljas till huvudanvändare eller allaAuthenticatedUsers.

    Rollen har minst en lagringsbehörighet som inte är storage.buckets.create eller storage.buckets.list. Offentlig åtkomst i GCP kallas Offentlig till Internet.

    Databasresurser tillåter inte offentlig åtkomst men kan fortfarande exponeras för Internet.

    Insikter om Internetexponering är tillgängliga för följande resurser:

    Azure:

    • Azure SQL-server
    • Azure Cosmos DB
    • Azure SQL Managed Instance
    • Azure MySQL – enskild server
    • Flexibel Azure MySQL-server
    • Azure PostgreSQL – enskild server
    • Flexibel Azure PostgreSQL-server
    • Azure MariaDB – enskild server
    • Synapse-arbetsyta

    AWS:

    • RDS-instans

    Kommentar

    • Exponeringsregler som omfattar 0.0.0.0/0 anses vara "överdrivet exponerade", vilket innebär att de kan nås från alla offentliga IP-adresser.
    • Azure-resurser med exponeringsregeln "0.0.0.0" är tillgängliga från alla resurser i Azure (oavsett klientorganisation eller prenumeration).

    Gå vidare

    Aktivera hantering av datasäkerhetsstatus.