Defender för molnet-What's new archive
Den här sidan innehåller information om funktioner, korrigeringar och utfasningar som är äldre än sex månader. De senaste uppdateringarna finns i Nyheter i Defender för molnet?.
April 2024
| Datum | Kategori | Uppdatera |
|---|---|---|
| 16 april | Kommande uppdatering | Ändring i CIEM-utvärderings-ID:er. Uppskattad uppdatering: maj 2024. |
| 15 april | Allmän tillgänglighet | Defender for Containers är nu tillgängligt för AWS och GCP. |
| April 3 | Uppdatera | Riskprioritering är nu standardupplevelsen i Defender för molnet |
| April 3 | Uppdatera | Defender för uppdateringar av relationsdatabaser med öppen källkod. |
Uppdatering: Ändring i CIEM-utvärderings-ID:t
den 16 april 2024
Beräknat datum för ändring: Maj 2024
Följande rekommendationer är schemalagda för ombyggnad, vilket resulterar i ändringar i deras utvärderings-ID:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
GA: Defender för containrar för AWS och GCP
15 april 2024
Hotidentifiering och agentlös identifiering för AWS och GCP i Defender för containrar är nu allmänt tillgängliga. Dessutom finns det en ny autentiseringsfunktion i AWS som förenklar etableringen.
Läs mer om containrar som stöder matris i Defender för molnet och hur du konfigurerar Komponenter för Defender för containrar.
Uppdatering: Riskprioritering
Den 3 april 2024
Riskprioritering är nu standardupplevelsen i Defender för molnet. Den här funktionen hjälper dig att fokusera på de mest kritiska säkerhetsproblemen i din miljö genom att prioritera rekommendationer baserat på riskfaktorerna för varje resurs. Riskfaktorerna inkluderar den potentiella effekten av det säkerhetsproblem som överträds, riskkategorierna och den attackväg som säkerhetsproblemet ingår i. Läs mer om riskprioritering.
Uppdatering: Defender för relationsdatabaser med öppen källkod
Den 3 april 2024
- Uppdateringar efter GA för Defender för PostgreSQL – Uppdateringen gör det möjligt för kunder att framtvinga skydd för befintliga flexibla PostgreSQL-servrar på prenumerationsnivå, vilket ger fullständig flexibilitet för att aktivera skydd per resurs eller för automatiskt skydd av alla resurser på prenumerationsnivå.
- Tillgänglighet och GA för Defender for MySQL – Defender för molnet utökat sitt stöd för relationsdatabaser med öppen källkod i Azure genom att införliva flexibla MySQL-servrar.
I den här versionen ingår:
- Aviseringskompatibilitet med befintliga aviseringar för Defender för MySQL – enskild server.
- Aktivera enskilda resurser.
- Aktivering på prenumerationsnivå.
- Uppdateringar för flexibla Azure Database for MySQL-servrar lanseras under de närmaste veckorna. Om du ser felet
The server <servername> is not compatible with Advanced Threat Protectionkan du antingen vänta på uppdateringen eller öppna ett supportärende för att uppdatera servern tidigare till en version som stöds.
Om du redan skyddar din prenumeration med Defender för relationsdatabaser med öppen källkod aktiveras, skyddas och faktureras dina flexibla serverresurser automatiskt. Specifika faktureringsmeddelanden har skickats via e-post för berörda prenumerationer.
Läs mer om Microsoft Defender för relationsdatabaser med öppen källkod.
Mars 2024
GA: Genomsökning av Windows-containeravbildningar
31 mars 2024
Vi meddelar allmän tillgänglighet (GA) för Windows-containeravbildningar för genomsökning av Defender för containrar.
Uppdatering: Kontinuerlig export innehåller nu attacksökvägsdata
25 mars 2024
Vi meddelar att kontinuerlig export nu innehåller attacksökvägsdata. Med den här funktionen kan du strömma säkerhetsdata till Log Analytics i Azure Monitor, till Azure Event Hubs eller till en annan lösning för säkerhetsinformation och händelsehantering (SIEM), soar (Security Orchestration Automated Response) eller den klassiska IT-distributionsmodellen.
Läs mer om kontinuerlig export.
Förhandsversion: Agentlös genomsökning stöder CMK-krypterade virtuella datorer i Azure
den 21 mars 2024
Hittills har agentlös genomsökning täckt CMK-krypterade virtuella datorer i AWS och GCP. Med den här versionen slutför vi även supporten för Azure. Funktionen använder en unik genomsökningsmetod för CMK i Azure:
- Defender för molnet hanterar inte nyckel- eller dekrypteringsprocessen. Nycklar och dekryptering hanteras sömlöst av Azure Compute och är transparent för Defender för molnet tjänst för agentlös genomsökning.
- De okrypterade vm-diskdata kopieras aldrig eller krypteras på nytt med en annan nyckel.
- Den ursprungliga nyckeln replikeras inte under processen. Rensningen tar bort data på både den virtuella produktionsdatorn och Defender för molnet tillfälliga ögonblicksbilden.
Den här funktionen aktiveras inte automatiskt under den offentliga förhandsversionen. Om du använder Defender för servrar P2 eller Defender CSPM och din miljö har virtuella datorer med CMK-krypterade diskar kan du nu låta dem genomsökas efter sårbarheter, hemligheter och skadlig kod efter dessa aktiveringssteg.
- Läs mer om agentlös genomsökning efter virtuella datorer
- Läs mer om behörigheter för agentlös genomsökning
Förhandsversion: Anpassade rekommendationer baserade på KQL för Azure
17 mars 2024
Anpassade rekommendationer baserade på KQL för Azure finns nu i offentlig förhandsversion och stöds för alla moln. Mer information finns i Skapa anpassade säkerhetsstandarder och rekommendationer.
Uppdatering: Inkludering av DevOps-rekommendationer i Microsoft Cloud Security Benchmark
13 mars 2024
I dag meddelar vi att du nu kan övervaka din Säkerhets- och efterlevnadsstatus för DevOps i Microsoft Cloud Security Benchmark (MCSB) utöver Azure, AWS och GCP. DevOps-utvärderingar är en del av DevOps-säkerhetskontrollen i MCSB.
MCSB är ett ramverk som definierar grundläggande molnsäkerhetsprinciper baserade på vanliga branschstandarder och efterlevnadsramverk. MCSB innehåller beskrivande information om hur du implementerar sina molnagnostiska säkerhetsrekommendationer.
Läs mer om DevOps-rekommendationerna som kommer att ingå och Microsofts prestandamått för molnsäkerhet.
GA: ServiceNow-integrering är nu allmänt tillgänglig
12 mars 2024
Vi presenterar allmän tillgänglighet (GA) för ServiceNow-integreringen.
Förhandsversion: Skydd mot kritiska tillgångar i Microsoft Defender för molnet
12 mars 2024
Defender för molnet innehåller nu en funktion för affärskritiskhet som använder Microsoft Security Exposure Managements motor för kritiska tillgångar för att identifiera och skydda viktiga tillgångar genom riskprioritering, analys av attackvägar och molnsäkerhetsutforskaren. Mer information finns i Skydd mot kritiska tillgångar i Microsoft Defender för molnet (förhandsversion).
Uppdatering: Förbättrade AWS- och GCP-rekommendationer med automatiserade reparationsskript
12 mars 2024
Vi förbättrar AWS- och GCP-rekommendationerna med automatiserade reparationsskript som gör att du kan åtgärda dem programmatiskt och i stor skala. Läs mer om automatiserade reparationsskript.
Förhandsversion: Efterlevnadsstandarder har lagts till på instrumentpanelen för efterlevnad
6 mars 2024
Baserat på kundfeedback har vi lagt till efterlevnadsstandarder i förhandsversionen för att Defender för molnet.
Kolla in den fullständiga listan över efterlevnadsstandarder som stöds
Vi arbetar kontinuerligt med att lägga till och uppdatera nya standarder för Azure-, AWS- och GCP-miljöer.
Lär dig hur du tilldelar en säkerhetsstandard.
Uppdatering: Defender för uppdateringar av relationsdatabaser med öppen källkod
6 mars 2024**
Beräknat datum för ändring: april 2024
Uppdateringar efter GA för Defender för PostgreSQL – Uppdateringen gör det möjligt för kunder att framtvinga skydd för befintliga flexibla PostgreSQL-servrar på prenumerationsnivå, vilket ger fullständig flexibilitet för att aktivera skydd per resurs eller för automatiskt skydd av alla resurser på prenumerationsnivå.
Tillgänglighet och GA för Defender för MySQL – Defender för molnet är inställd på att utöka sitt stöd för relationsdatabaser med öppen källkod i Azure genom att införliva flexibla MySQL-servrar. Den här versionen kommer att innehålla:
- Aviseringskompatibilitet med befintliga aviseringar för Defender för MySQL – enskild server.
- Aktivera enskilda resurser.
- Aktivering på prenumerationsnivå.
Om du redan skyddar din prenumeration med Defender för relationsdatabaser med öppen källkod aktiveras, skyddas och faktureras dina flexibla serverresurser automatiskt. Specifika faktureringsmeddelanden har skickats via e-post för berörda prenumerationer.
Läs mer om Microsoft Defender för relationsdatabaser med öppen källkod.
Uppdatering: Ändringar i kompatibilitetserbjudanden och Microsoft Actions-inställningar
3 mars 2024
Beräknat datum för ändring: 30 september 2025
Den 30 september 2025 ändras de platser där du har åtkomst till två förhandsgranskningsfunktioner, Efterlevnadserbjudande och Microsoft Actions.
Tabellen som visar efterlevnadsstatusen för Microsofts produkter (nås från knappen Efterlevnadserbjudanden i verktygsfältet på Defenders instrumentpanel för regelefterlevnad). När den här knappen har tagits bort från Defender för molnet kan du fortfarande komma åt den här informationen med hjälp av Service Trust Portal.
För en delmängd av kontroller var Microsoft Actions tillgängligt från knappen Microsoft Actions (förhandsversion) i kontrollinformationsfönstret. När den här knappen har tagits bort kan du visa Microsoft Actions genom att besöka Microsofts Service Trust Portal för FedRAMP och komma åt dokumentet azure systemsäkerhetsplan.
Uppdatering: Ändringar där du får åtkomst till efterlevnadserbjudanden och Microsoft Actions
3 mars 2024**
Beräknat datum för ändring: september 2025
Den 30 september 2025 ändras de platser där du har åtkomst till två förhandsgranskningsfunktioner, Efterlevnadserbjudande och Microsoft Actions.
Tabellen som visar efterlevnadsstatusen för Microsofts produkter (nås från knappen Efterlevnadserbjudanden i verktygsfältet på Defenders instrumentpanel för regelefterlevnad). När den här knappen har tagits bort från Defender för molnet kan du fortfarande komma åt den här informationen med hjälp av Service Trust Portal.
För en delmängd av kontroller var Microsoft Actions tillgängligt från knappen Microsoft Actions (förhandsversion) i kontrollinformationsfönstret. När den här knappen har tagits bort kan du visa Microsoft Actions genom att besöka Microsofts Service Trust Portal för FedRAMP och komma åt dokumentet azure systemsäkerhetsplan.
Utfasning: sårbarhetsbedömning för Defender för molnet containrar som drivs av Qualys-tillbakadragning
3 mars 2024
Sårbarhetsbedömningen för Defender för molnet containrar som drivs av Qualys dras tillbaka. Tillbakadragningen kommer att slutföras senast den 6 mars, och fram till dess kan partiella resultat fortfarande visas både i Qualys-rekommendationerna och Qualys resulterar i säkerhetsdiagrammet. Kunder som tidigare använde den här utvärderingen bör uppgradera till sårbarhetsbedömningar för Azure med Microsoft Defender – hantering av säkerhetsrisker. Information om hur du övergår till erbjudandet för sårbarhetsbedömning för containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker finns i Övergång från Qualys till Microsoft Defender – hantering av säkerhetsrisker.
Februari 2024
| Datum | Kategori | Uppdatera |
|---|---|---|
| 28 februari | Inaktualitet | Microsoft Security Code Analysis (MSCA) fungerar inte längre. |
| 28 februari | Uppdatera | Uppdaterad hantering av säkerhetsprinciper utökar stödet till AWS och GCP. |
| 26 februari | Uppdatera | Molnstöd för Defender för containrar |
| 20 februari | Uppdatera | Ny version av Defender-sensorn för Defender för containrar |
| 18 februari | Uppdatera | Stöd för specifikation för Open Container Initiative (OCI) avbildningsformat |
| 13 februari | Inaktualitet | Sårbarhetsbedömning av AWS-container som drivs av Trivy har dragits tillbaka. |
| 5 februari | Kommande uppdatering | Avaktivering av Resursprovidern Microsoft.SecurityDevOps Förväntas: 6 mars 2024 |
Utfasning: Microsoft Security Code Analysis (MSCA) fungerar inte längre
den 28 februari 2024
I februari 2021 meddelades utfasningen av MSCA-uppgiften till alla kunder och har funnits sedan mars 2022. Från och med den 26 februari 2024 är MSCA officiellt inte längre i drift.
Kunder kan hämta de senaste DevOps-säkerhetsverktygen från Defender för molnet via Microsoft Security DevOps och fler säkerhetsverktyg via GitHub Advanced Security för Azure DevOps.
Uppdatering: Säkerhetsprinciphantering utökar stödet till AWS och GCP
den 28 februari 2024
Den uppdaterade upplevelsen för hantering av säkerhetsprinciper, som ursprungligen släpptes i Förhandsversion för Azure, utökar sitt stöd till miljöer mellan molnmiljöer (AWS och GCP). Den här förhandsversionen innehåller:
- Hantera regelefterlevnadsstandarder i Defender för molnet i Azure-, AWS- och GCP-miljöer.
- Samma gränssnitt mellan moln för att skapa och hantera anpassade rekommendationer för Microsoft Cloud Security Benchmark (MCSB).
- Den uppdaterade upplevelsen tillämpas på AWS och GCP för att skapa anpassade rekommendationer med en KQL-fråga.
Uppdatering: Molnstöd för Defender för containrar
den 26 februari 2024
Hotidentifieringsfunktionerna i Azure Kubernetes Service (AKS) i Defender for Containers stöds nu fullt ut i kommersiella moln, Azure Government och Azure China 21Vianet-moln. Granska funktioner som stöds.
Uppdatering: Ny version av Defender-sensorn för Defender för containrar
den 20 februari 2024
Det finns en ny version av Defender-sensorn för Defender för containrar . Den innehåller prestanda- och säkerhetsförbättringar, stöd för både AMD64- och Arm64-valvnoder (endast Linux) och använder Inspektor Gadget som processinsamlingsagent i stället för Sysdig. Den nya versionen stöds endast i Linux-kernelversionerna 5.4 och senare, så om du har äldre versioner av Linux-kerneln måste du uppgradera. Stöd för Arm64 är endast tillgängligt från AKS V1.29 och senare. Mer information finns i Värdoperativsystem som stöds.
Uppdatering: Stöd för specifikation av specifikationen för Open Container Initiative (OCI) avbildningsformat
den 18 februari 2024
Specifikationen av avbildningsformatet Open Container Initiative (OCI) stöds nu av sårbarhetsbedömning som drivs av Microsoft Defender – hantering av säkerhetsrisker för AWS- och Azure &GCP-moln.
Utfasning: Utvärdering av sårbarhet för AWS-container som drivs av Trivy som dragits tillbaka
den 13 februari 2024
Sårbarhetsbedömningen för containrar som drivs av Trivy har dragits tillbaka. Kunder som tidigare använde den här utvärderingen bör uppgradera till den nya sårbarhetsbedömningen för AWS-containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker. Anvisningar om hur du uppgraderar finns i Hur gör jag för att uppgradera från den tillbakadragna Trivy-sårbarhetsbedömningen till AWS-sårbarhetsbedömningen som drivs av Microsoft Defender – hantering av säkerhetsrisker?
Uppdatering: Avaktivering av Resursprovidern Microsoft.SecurityDevOps
den 5 februari 2024
Beräknat datum för ändring: 6 mars 2024
Microsoft Defender för molnet inaktiverar resursprovidern Microsoft.SecurityDevOps som användes under den offentliga förhandsversionen av DevOps-säkerheten efter att ha migrerats till den befintliga Microsoft.Security providern. Anledningen till ändringen är att förbättra kundupplevelsen genom att minska antalet resursprovidrar som är associerade med DevOps-anslutningsappar.
Kunder som fortfarande använder API-versionen 2022-09-01-preview under Microsoft.SecurityDevOps för att fråga Defender för molnet DevOps-säkerhetsdata påverkas. För att undvika avbrott i tjänsten måste kunden uppdatera till den nya API-versionen 2023-09-01-preview under providern Microsoft.Security .
Kunder som för närvarande använder Defender för molnet DevOps-säkerhet från Azure Portal påverkas inte.
Januari 2024
Uppdatering: Ny insikt för aktiva lagringsplatser i Cloud Security Explorer
den 31 januari 2024
En ny insikt för Azure DevOps-lagringsplatser har lagts till i Cloud Security Explorer för att ange om lagringsplatser är aktiva. Den här insikten anger att kodlagringsplatsen inte är arkiverad eller inaktiverad, vilket innebär att skrivåtkomst till kod, versioner och pull-begäranden fortfarande är tillgänglig för användare. Arkiverade och inaktiverade lagringsplatser kan betraktas som lägre prioritet eftersom koden vanligtvis inte används i aktiva distributioner.
Om du vill testa frågan via Cloud Security Explorer använder du den här frågelänken.
Uppdatering: Ändra prissättningen för hotidentifiering för flera molncontainer
30 januari 2024**
Beräknat datum för ändring: april 2024
När hotidentifiering för flera molncontainer övergår till GA blir det inte längre kostnadsfritt. Mer information finns i Microsoft Defender för molnet prissättning.
Uppdatering: Tillämpning av Defender CSPM för Premium DevOps-säkerhetsvärde
29 januari 2024**
Beräknat datum för ändring: 7 mars 2024
Defender för molnet börjar tillämpa Defender CSPM-plankontrollen för Premium DevOps-säkerhetsvärdet från och medDen 7 mars 2024. Om du har aktiverat Defender CSPM-planen i en molnmiljö (Azure, AWS, GCP) inom samma klientorganisation som dina DevOps-anslutningsappar skapas i, fortsätter du att få Premium DevOps-funktioner utan extra kostnad. Om du inte är Defender CSPM-kund har du fram till den 7 mars 2024 på dig att aktivera Defender CSPM innan du förlorar åtkomsten till dessa säkerhetsfunktioner. Om du vill aktivera Defender CSPM i en ansluten molnmiljö före den 7 mars 2024 följer du den dokumentation om aktivering som beskrivs här.
Mer information om vilka DevOps-säkerhetsfunktioner som är tillgängliga för både Grundläggande CSPM- och Defender CSPM-planer finns i vår dokumentation som beskriver funktionstillgänglighet.
Mer information om DevOps Security i Defender för molnet finns i översiktsdokumentationen.
Mer information om kod till molnsäkerhetsfunktioner i Defender CSPM finns i hur du skyddar dina resurser med Defender CSPM.
Förhandsversion: Agentlös containerstatus för GCP i Defender för containrar och Defender CSPM
den 24 januari 2024
De nya funktionerna för agentlös containerstatus (förhandsversion) är tillgängliga för GCP, inklusive sårbarhetsbedömningar för GCP med Microsoft Defender – hantering av säkerhetsrisker. Mer information om alla funktioner finns i Agentlös containerstatus i Defender CSPM och Agentlösa funktioner i Defender för containrar.
Du kan också läsa om hantering av agentlös containerstatus för flera moln i det här blogginlägget.
Förhandsversion: Agentlös skanning av skadlig kod efter servrar
den 16 januari 2024
Vi presenterar lanseringen av Defender för molnet agentlös identifiering av skadlig kod för virtuella Azure-datorer (VM), AWS EC2-instanser och GCP VM-instanser som en ny funktion som ingår i Defender för servrar plan 2.
Identifiering av agentlös skadlig kod för virtuella datorer ingår nu i vår agentlösa skanningsplattform. Genomsökning av agentlös skadlig kod använder Microsoft Defender Antivirus-motorn mot skadlig kod för att söka igenom och identifiera skadliga filer. Eventuella identifierade hot utlöser säkerhetsaviseringar direkt i Defender för molnet och Defender XDR, där de kan undersökas och åtgärdas. Skannern för agentlös skadlig kod kompletterar den agentbaserade täckningen med ett andra lager av hotidentifiering med friktionsfri registrering och har ingen effekt på datorns prestanda.
Läs mer om agentlös skanning av skadlig kod för servrar och agentlös genomsökning efter virtuella datorer.
Allmän tillgänglighet för Defender för molnet integrering med Microsoft Defender XDR
den 15 januari 2024
Vi presenterar allmän tillgänglighet för integreringen mellan Defender för molnet och Microsoft Defender XDR (tidigare Microsoft 365 Defender).
Integreringen ger konkurrenskraftiga molnskyddsfunktioner i SOC (Security Operations Center) dagligen. Med Microsoft Defender för molnet och Defender XDR-integrering kan SOC-team identifiera attacker som kombinerar identifieringar från flera pelare, inklusive moln, slutpunkt, identitet, Office 365 med mera.
Läs mer om aviseringar och incidenter i Microsoft Defender XDR.
Uppdatering: Agentlös VM-genomsökning av inbyggd Azure-roll
14 januari 2024**
Beräknat ändringsdatum: februari 2024
I Azure använder agentlös genomsökning efter virtuella datorer en inbyggd roll (kallas VM-skanneroperator) med de minsta nödvändiga behörigheter som krävs för att genomsöka och utvärdera dina virtuella datorer för säkerhetsproblem. För att kontinuerligt tillhandahålla relevanta hälso- och konfigurationsrekommendationer för virtuella datorer med krypterade volymer planeras en uppdatering av den här rollens behörigheter. Uppdateringen innehåller tillägget av behörigheten Microsoft.Compute/DiskEncryptionSets/read . Den här behörigheten möjliggör endast förbättrad identifiering av krypterad diskanvändning på virtuella datorer. Det ger inte Defender för molnet fler funktioner för att dekryptera eller komma åt innehållet i dessa krypterade volymer utöver de krypteringsmetoder som redan stöds före den här ändringen. Den här ändringen förväntas ske under februari 2024 och ingen åtgärd krävs på din sida.
Uppdatering: DevOps-säkerhetsanteckningar för pull-begäran aktiverade som standard för Azure DevOps-anslutningsappar
12 januari 2024
DevOps-säkerhet exponerar säkerhetsresultat som anteckningar i Pull-begäranden (PR) för att hjälpa utvecklare att förhindra och åtgärda potentiella säkerhetsrisker och felkonfigurationer innan de går in i produktion. Från och med den 12 januari 2024 är PR-anteckningar nu aktiverade som standard för alla nya och befintliga Azure DevOps-lagringsplatser som är anslutna till Defender för molnet.
Som standard är PR-anteckningar endast aktiverade för IaC-resultat (Infrastruktur med hög allvarlighetsgrad som kod). Kunderna måste fortfarande konfigurera Microsoft Security for DevOps (MSDO) för att köras i PR-versioner och aktivera build-valideringsprincipen för CI-versioner i Azure DevOps-lagringsplatsinställningar. Kunder kan inaktivera pr-anteckningsfunktionen för specifika lagringsplatser inifrån konfigurationsalternativen för DevOps-säkerhetsbladets lagringsplats.
Läs mer om att aktivera pull-begärandeanteckningar för Azure DevOps.
Utfasning: Defender for Servers inbyggda sårbarhetsbedömningsväg (Qualys)
9 januari 2024**
Beräknat datum för ändring: Maj 2024
Den inbyggda lösningen för sårbarhetsbedömning i Defender för servrar som drivs av Qualys är på en pensionsväg som beräknas slutföras den 1 maj 2024. Om du för närvarande använder lösningen för sårbarhetsbedömning som drivs av Qualys bör du planera övergången till den integrerade lösningen Microsoft Defender-hantering av säkerhetsrisker.
Mer information om vårt beslut att förena vårt erbjudande för sårbarhetsbedömning med Microsoft Defender – hantering av säkerhetsrisker finns i det här blogginlägget.
Du kan också ta en titt på vanliga frågor om övergången till Microsoft Defender – hantering av säkerhetsrisker lösning.
Uppdatering: Defender för molnet krav för flera molnnätverk
3 januari 2024**
Beräknat datum för ändring: Maj 2024
Från och med maj 2024 drar vi tillbaka de gamla IP-adresserna som är associerade med våra identifieringstjänster för flera moln för att hantera förbättringar och säkerställa en säkrare och effektivare upplevelse för alla användare.
För att säkerställa oavbruten åtkomst till våra tjänster bör du uppdatera listan över TILLÅTNA IP-adresser med de nya intervall som anges i följande avsnitt. Du bör göra de nödvändiga justeringarna i dina brandväggsinställningar, säkerhetsgrupper eller andra konfigurationer som kan vara tillämpliga för din miljö.
Listan gäller för alla planer och är tillräcklig för full kapacitet i CSPM-grunderbjudandet (kostnadsfritt).
IP-adresser som ska dras tillbaka:
- Identifierings-GCP: 104.208.29.200, 52.232.56.127
- Identifierings-AWS: 52.165.47.219, 20.107.8.204
- Registrering: 13.67.139.3
Nya regionspecifika IP-intervall som ska läggas till:
- Europa, västra: 52.178.17.48/28
- Europa, norra: 13.69.233.80/28
- USA, centrala: 20.44.10.240/28
- USA, östra 2: 20.44.19.128/28
December 2023
Konsolidering av Defender för molnet servicenivå 2-namn
30 december 2023
Vi konsoliderar de äldre servicenivå 2-namnen för alla Defender för molnet planer till ett enda nytt servicenivå 2-namn, Microsoft Defender för molnet.
Idag finns det fyra namn på tjänstnivå 2: Azure Defender, Advanced Threat Protection, Advanced Data Security och Security Center. De olika mätarna för Microsoft Defender för molnet grupperas i dessa separata namn på tjänstnivå 2, vilket skapar komplexitet när du använder Cost Management + Fakturering, fakturering och andra Azure-faktureringsrelaterade verktyg.
Ändringen förenklar processen med att granska Defender för molnet avgifter och ger bättre klarhet i kostnadsanalysen.
För att säkerställa en smidig övergång har vi vidtagit åtgärder för att upprätthålla konsekvensen för produkt-/tjänstnamnet, SKU:n och mätar-ID:n. Berörda kunder får ett informationsmeddelande om Azure-tjänsten för att kommunicera ändringarna.
Organisationer som hämtar kostnadsdata genom att anropa våra API:er måste uppdatera värdena i sina anrop för att hantera ändringen. I den här filterfunktionen returnerar värdena till exempel ingen information:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
| GAMMALT namn på tjänstnivå 2 | NYTT namn på tjänstnivå 2 | Tjänstnivå – tjänstnivå 4 (ingen ändring) |
|---|---|---|
| Avancerad datasäkerhet | Microsoft Defender for Cloud | Defender för SQL |
| Advanced Threat Protection | Microsoft Defender for Cloud | Defender för containerregister |
| Advanced Threat Protection | Microsoft Defender for Cloud | Defender för DNS |
| Advanced Threat Protection | Microsoft Defender for Cloud | Defender för Key Vault |
| Advanced Threat Protection | Microsoft Defender for Cloud | Defender för Kubernetes |
| Advanced Threat Protection | Microsoft Defender for Cloud | Defender för MySQL |
| Advanced Threat Protection | Microsoft Defender for Cloud | Defender för PostgreSQL |
| Advanced Threat Protection | Microsoft Defender for Cloud | Defender för Resource Manager |
| Advanced Threat Protection | Microsoft Defender for Cloud | Defender för lagring |
| Azure Defender | Microsoft Defender for Cloud | Defender för hantering av extern attackyta |
| Azure Defender | Microsoft Defender for Cloud | Defender för Azure Cosmos DB |
| Azure Defender | Microsoft Defender for Cloud | Defender for Containers |
| Azure Defender | Microsoft Defender for Cloud | Defender för MariaDB |
| Security Center | Microsoft Defender for Cloud | Defender för App Service |
| Security Center | Microsoft Defender for Cloud | Defender för servrar |
| Security Center | Microsoft Defender for Cloud | Defender CSPM |
Defender för servrar på den resursnivå som är tillgänglig som GA
den 24 december 2023
Nu är det möjligt att hantera Defender för servrar på specifika resurser i din prenumeration, vilket ger dig fullständig kontroll över din skyddsstrategi. Med den här funktionen kan du konfigurera specifika resurser med anpassade konfigurationer som skiljer sig från de inställningar som konfigurerats på prenumerationsnivå.
Läs mer om hur du aktiverar Defender för servrar på resursnivå.
Pensionering av klassiska anslutningsappar för flera moln
den 21 december 2023
Den klassiska anslutningsmiljön för flera moln har dragits tillbaka och data strömmas inte längre till anslutningsappar som skapats via den mekanismen. Dessa klassiska anslutningsappar användes för att ansluta AWS Security Hub och GCP Security Command Center-rekommendationer för att Defender för molnet och registrera AWS EC2s till Defender för servrar.
Det fullständiga värdet för dessa anslutningsappar har ersatts med den inbyggda upplevelsen för multimolnssäkerhetsanslutningar, som har varit allmänt tillgänglig för AWS och GCP sedan mars 2022 utan extra kostnad.
De nya interna anslutningsprogrammen ingår i din plan och erbjuder en automatiserad registrering med alternativ för att registrera enskilda konton, flera konton (med Terraform) och organisationsregistrering med automatisk etablering för följande Defender-planer: kostnadsfria grundläggande CSPM-funktioner, Defender Cloud Security Posture Management (CSPM), Defender för servrar, Defender för SQL och Defender för containrar.
Version av arbetsboken Täckning
den 21 december 2023
Med arbetsboken Täckning kan du hålla reda på vilka Defender för molnet planer är aktiva för vilka delar av dina miljöer. Den här arbetsboken kan hjälpa dig att se till att dina miljöer och prenumerationer är helt skyddade. Genom att ha tillgång till detaljerad täckningsinformation kan du även identifiera alla områden som kan behöva annat skydd och vidta åtgärder för att ta itu med dessa områden.
Läs mer om arbetsboken Täckning.
Allmän tillgänglighet för sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker i Azure Government och Azure som drivs av 21Vianet
den 14 december 2023
Sårbarhetsbedömning (VA) för Linux-containeravbildningar i Azure-containerregister som drivs av Microsoft Defender – hantering av säkerhetsrisker släpps för allmän tillgänglighet (GA) i Azure Government och Azure som drivs av 21Vianet. Den här nya versionen är tillgänglig under abonnemangen Defender för containrar och Defender för containerregister.
- Som en del av den här ändringen släpptes nya rekommendationer för ga och inkluderades i beräkningen av säker poäng. Granska nya och uppdaterade säkerhetsrekommendationer
- Genomsökning av containeravbildningar som drivs av Microsoft Defender – hantering av säkerhetsrisker medför nu även avgifter enligt planens prissättning. Observera att bilder som genomsöks av både vårt VA-containererbjudande som drivs av Qualys och Container VA-erbjudandet som drivs av Microsoft Defender – hantering av säkerhetsrisker bara debiteras en gång.
Qualys-rekommendationer för sårbarhetsbedömning för containrar har bytt namn och fortsätter att vara tillgängliga för kunder som har aktiverat Defender för containrar i någon av sina prenumerationer innan den här versionen. Nya kunder som registrerar Defender för containrar efter den här versionen ser bara de nya rekommendationerna för utvärdering av sårbarhetsrisker för containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker.
Offentlig förhandsversion av Windows-stöd för sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker
den 14 december 2023
Stöd för Windows-avbildningar släpptes i offentlig förhandsversion som en del av sårbarhetsbedömning (VA) som drivs av Microsoft Defender – hantering av säkerhetsrisker för Azure-containerregister och Azure Kubernetes Services.
Tillbakadragande av sårbarhetsbedömning för AWS-container som drivs av Trivy
den 13 december 2023
Sårbarhetsbedömningen för containrar som drivs av Trivy är nu på en pensionsväg som ska slutföras senast den 13 februari. Den här funktionen är nu inaktuell och kommer att fortsätta att vara tillgänglig för befintliga kunder som använder den här funktionen fram till den 13 februari. Vi uppmuntrar kunder att använda den här funktionen för att uppgradera till den nya sårbarhetsbedömningen för AWS-containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker senast den 13 februari.
Agentlös containerstatus för AWS i Defender för containrar och Defender CSPM (förhandsversion)
den 13 december 2023
De nya funktionerna för agentlös containerstatus (förhandsversion) är tillgängliga för AWS. Mer information finns i Agentless container posture in Defender CSPM and Agentless capabilities in Defender for Containers (Agentlös containerstatus i Defender CSPM och Agentless-funktioner i Defender för containrar).
Allmänt tillgänglighetsstöd för PostgreSQL – flexibel server i Defender för relationsdatabaser med öppen källkod
den 13 december 2023
Vi presenterar den allmänna tillgänglighetsversionen av PostgreSQL–stöd för flexibel server i Microsoft Defender för relationsdatabaser med öppen källkod. Microsoft Defender för relationsdatabaser med öppen källkod ger avancerat skydd mot flexibla PostgreSQL-servrar genom att identifiera avvikande aktiviteter och generera säkerhetsaviseringar.
Lär dig hur du aktiverar Microsoft Defender för relationsdatabaser med öppen källkod.
Sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker stöder nu Google Distroless
den 12 december 2023
Sårbarhetsbedömningar för containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker har utökats med ytterligare täckning för Linux OS-paket, som nu stöder Google Ditroless.
En lista över alla operativsystem som stöds finns i Stöd för register och avbildningar för Azure – Sårbarhetsbedömning som drivs av Microsoft Defender – hantering av säkerhetsrisker.
November 2023
Fyra aviseringar är inaktuella
den 30 november 2023
Som en del av vår kvalitetsförbättringsprocess är följande säkerhetsaviseringar inaktuella:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Allmän tillgänglighet för genomsökning av agentlösa hemligheter i Defender för servrar och Defender CSPM
den 27 november 2023
Genomsökning av agentlösa hemligheter förbättrar säkerhetsmolnbaserade virtuella datorer (VM) genom att identifiera klartexthemligheter på virtuella datordiskar. Genomsökning av agentlösa hemligheter ger omfattande information som hjälper dig att prioritera upptäckta resultat och minimera risker för lateral förflyttning innan de inträffar. Den här proaktiva metoden förhindrar obehörig åtkomst, vilket säkerställer att din molnmiljö förblir säker.
Vi presenterar allmän tillgänglighet (GA) för genomsökning av agentlösa hemligheter, som ingår i både Defender för servrar P2 och Defender CSPM-planer .
Genomsökning av agentlösa hemligheter använder moln-API:er för att samla in ögonblicksbilder av dina diskar och utföra out-of-band-analys som säkerställer att det inte påverkar den virtuella datorns prestanda. Genomsökning av agentlösa hemligheter breddar den täckning som erbjuds av Defender för molnet över molntillgångar i Azure-, AWS- och GCP-miljöer för att förbättra molnsäkerheten.
Med den här versionen stöder Defender för molnet identifieringsfunktioner nu andra databastyper, signerade URL:er för datalager, åtkomsttoken med mera.
Lär dig hur du hanterar hemligheter med agentlös genomsökning av hemligheter.
Aktivera behörighetshantering med Defender för molnet (förhandsversion)
den 22 november 2023
Microsoft erbjuder nu både molnbaserade programskyddsplattformar (CNAPP) och CIEM-lösningar (Cloud Infrastructure Entitlement Management) med Microsoft Defender för molnet (CNAPP) och Microsoft Entra-behörighetshantering (CIEM).
Säkerhetsadministratörer kan få en centraliserad vy över sina oanvända eller överdrivna åtkomstbehörigheter inom Defender för molnet.
Säkerhetsteam kan köra kontroller med minsta möjliga behörighet för molnresurser och få åtgärdsrekommendationer för att lösa behörighetsrisker i Azure-, AWS- och GCP-molnmiljöer som en del av deras CSPM (Defender Cloud Security Posture Management) utan några extra licenskrav.
Lär dig hur du aktiverar behörighetshantering i Microsoft Defender för molnet (förhandsversion).
Defender för molnet integrering med ServiceNow
den 22 november 2023
ServiceNow är nu integrerat med Microsoft Defender för molnet, vilket gör det möjligt för kunder att ansluta ServiceNow till sin Defender för molnet miljö för att prioritera reparation av rekommendationer som påverkar din verksamhet. Microsoft Defender för molnet integreras med ITSM-modulen (incidenthantering). Som en del av den här anslutningen kan kunder skapa/visa ServiceNow-biljetter (länkade till rekommendationer) från Microsoft Defender för molnet.
Du kan lära dig mer om Defender för molnet integrering med ServiceNow.
Allmän tillgänglighet för autoetableringsprocessen för SQL-servrar på datorplan
den 20 november 2023
Inför utfasningen av Microsoft Monitoring Agent (MMA) i augusti 2024 släppte Defender för molnet en automatisk avetableringsprocess för SQL Server-riktad Azure Monitoring Agent (AMA). Den nya processen aktiveras och konfigureras automatiskt för alla nya kunder och ger även möjlighet till aktivering på resursnivå för virtuella Azure SQL-datorer och Arc-aktiverade SQL-servrar.
Kunder som använder MMA-automatisk konfiguration uppmanas att migrera till den nya Azure Monitoring Agent för SQL-servern på datorernas automatiska etableringsprocess. Migreringsprocessen är sömlös och ger kontinuerligt skydd för alla datorer.
Allmän tillgänglighet för Defender för API:er
15 november 2023
Vi presenterar allmän tillgänglighet (GA) för Microsoft Defender för API:er. Defender för API:er är utformat för att skydda organisationer mot API-säkerhetshot.
Defender för API:er gör det möjligt för organisationer att skydda sina API:er och data från skadliga aktörer. Organisationer kan undersöka och förbättra sin API-säkerhetsstatus, prioritera sårbarhetskorrigeringar och snabbt identifiera och svara på aktiva realtidshot. Organisationer kan också integrera säkerhetsaviseringar direkt i sin SIEM-plattform (Security Incident and Event Management), till exempel Microsoft Sentinel, för att undersöka och sortera problem.
Du kan lära dig hur du skyddar dina API:er med Defender för API:er. Du kan också lära dig mer om Microsoft Defender för API:er.
Du kan också läsa den här bloggen om du vill veta mer om GA-meddelandet.
Defender för molnet är nu integrerat med Microsoft 365 Defender (förhandsversion)
15 november 2023
Företag kan skydda sina molnresurser och enheter med den nya integreringen mellan Microsoft Defender för molnet och Microsoft Defender XDR. Den här integreringen ansluter punkterna mellan molnresurser, enheter och identiteter, vilket tidigare krävde flera upplevelser.
Integreringen ger också konkurrenskraftiga molnskyddsfunktioner i SOC (Security Operations Center) dagligen. Med Microsoft Defender XDR kan SOC-team enkelt identifiera attacker som kombinerar identifieringar från flera pelare, inklusive moln, slutpunkt, identitet, Office 365 med mera.
Några av de viktigaste fördelarna är:
Ett lättanvänt gränssnitt för SOC-team: Med Defender för molnet aviseringar och molnkorrelationer integrerade i M365D kan SOC-team nu komma åt all säkerhetsinformation från ett enda gränssnitt, vilket avsevärt förbättrar drifteffektiviteten.
En attackartikel: Kunderna kan förstå hela angreppshistorien, inklusive deras molnmiljö, med hjälp av fördefinierade korrelationer som kombinerar säkerhetsaviseringar från flera källor.
Nya molnentiteter i Microsoft Defender XDR: Microsoft Defender XDR stöder nu nya molnentiteter som är unika för Microsoft Defender för molnet, till exempel molnresurser. Kunder kan matcha virtuella datorentiteter (VM) med enhetsentiteter, vilket ger en enhetlig vy över all relevant information om en dator, inklusive aviseringar och incidenter som utlöstes på den.
Enhetligt API för Microsoft Security-produkter: Kunder kan nu exportera sina säkerhetsaviseringsdata till valfria system med hjälp av ett enda API, eftersom Microsoft Defender för molnet aviseringar och incidenter nu är en del av Microsoft Defender XDR:s offentliga API.
Integreringen mellan Defender för molnet och Microsoft Defender XDR är tillgänglig för alla nya och befintliga Defender för molnet kunder.
Allmän tillgänglighet för sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker (MDVM) i Defender för containrar och Defender för containerregister
15 november 2023
Sårbarhetsbedömning (VA) för Linux-containeravbildningar i Azure-containerregister som drivs av Microsoft Defender – hantering av säkerhetsrisker (MDVM) släpps för allmän tillgänglighet (GA) i Defender för containrar och Defender för containerregister.
Som en del av den här ändringen släpptes följande rekommendationer för ga och bytte namn och ingår nu i beräkningen av säker poäng:
| Aktuellt rekommendationsnamn | Nytt rekommendationsnamn | beskrivning | Utvärderingsnyckel |
|---|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömningar av containeravbildningar söker igenom registret efter vanliga sårbarheter (CVE) och tillhandahåller en detaljerad sårbarhetsrapport för varje avbildning. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Om du kör containeravbildningar bör sårbarhetsresultaten lösas (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Genomsökning av containeravbildningar som drivs av MDVM medför nu även avgifter enligt planpriser.
Kommentar
Bilder som skannas av både vårt VA-containererbjudande som drivs av Qualys och Container VA-erbjudandet som drivs av MDVM debiteras bara en gång.
Qualys-rekommendationerna nedan för sårbarhetsbedömning för containrar har bytt namn och fortsätter att vara tillgängliga för kunder som har aktiverat Defender för containrar i någon av sina prenumerationer före den 15 november. Nya kunder som registrerar Defender för containrar efter den 15 november ser bara de nya rekommendationerna för utvärdering av sårbarhetsrisker för containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker.
| Aktuellt rekommendationsnamn | Nytt rekommendationsnamn | beskrivning | Utvärderingsnyckel |
|---|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Qualys) | Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Qualys) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Att köra containeravbildningar bör lösa sårbarhetsresultat (drivs av Qualys) | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta – (drivs av Qualys) | Sårbarhetsbedömning av containeravbildningar söker igenom containeravbildningar som körs i dina Kubernetes-kluster efter säkerhetsrisker och visar detaljerade resultat för varje bild. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | 41503391-efa5-47ee-9282-4eff6131462c |
Ändra till rekommendationsnamn för sårbarhetsbedömningar för container
Följande rekommendationer för sårbarhetsbedömningar för containrar har bytt namn:
| Aktuellt rekommendationsnamn | Nytt rekommendationsnamn | beskrivning | Utvärderingsnyckel |
|---|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Qualys) | Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Qualys) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Att köra containeravbildningar bör lösa sårbarhetsresultat (drivs av Qualys) | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta – (drivs av Qualys) | Sårbarhetsbedömning av containeravbildningar söker igenom containeravbildningar som körs i dina Kubernetes-kluster efter säkerhetsrisker och visar detaljerade resultat för varje bild. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | 41503391-efa5-47ee-9282-4eff6131462c |
| Elastiska containerregisteravbildningar bör ha sårbarhetsresultat lösta | AWS-registercontaineravbildningar bör ha säkerhetsrisker lösta – (drivs av Trivy) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Riskprioritering är nu tillgänglig för rekommendationer
15 november 2023
Nu kan du prioritera dina säkerhetsrekommendationer efter den risknivå de utgör, med hänsyn till både exploaterbarheten och den potentiella affärseffekten för varje underliggande säkerhetsproblem.
Genom att organisera dina rekommendationer baserat på deras risknivå (kritisk, hög, medel, låg) kan du hantera de mest kritiska riskerna i din miljö och effektivt prioritera reparationen av säkerhetsproblem baserat på den faktiska risken, till exempel internetexponering, datakänslighet, möjligheter till lateral förflyttning och potentiella angreppsvägar som kan minimeras genom att lösa rekommendationerna.
Läs mer om riskprioritering.
Analys av attackväg ny motor och omfattande förbättringar
15 november 2023
Vi släpper förbättringar av funktionerna för analys av attackvägar i Defender för molnet.
Ny motor – analys av attackvägar har en ny motor som använder sökvägssökningsalgoritmen för att identifiera alla möjliga angreppsvägar som finns i molnmiljön (baserat på de data vi har i vår graf). Vi kan hitta många fler attackvägar i din miljö och identifiera mer komplexa och avancerade attackmönster som angripare kan använda för att bryta mot din organisation.
Förbättringar – Följande förbättringar släpps:
- Riskprioritering – prioriterad lista över angreppsvägar baserat på risk (exploaterbarhet och påverkan på verksamheten).
- Förbättrad reparation – hitta de specifika rekommendationer som bör lösas för att faktiskt bryta kedjan.
- Attackvägar mellan moln – identifiering av attackvägar som är korsmoln (sökvägar som startar i ett moln och slutar i ett annat).
- MITRE – Mappa alla attackvägar till MITRE-ramverket.
- Uppdaterad användarupplevelse – uppdaterad upplevelse med starkare funktioner: avancerade filter, sökning och gruppering av attackvägar för att möjliggöra enklare sortering.
Lär dig hur du identifierar och åtgärdar attackvägar.
Ändringar i attacksökvägens Azure Resource Graph-tabellschema
15 november 2023
Attacksökvägens Azure Resource Graph-tabellschema uppdateras. Egenskapen attackPathType tas bort och andra egenskaper läggs till.
Allmän tillgänglighetsversion av GCP-stöd i Defender CSPM
15 november 2023
Vi presenterar ga-versionen (allmän tillgänglighet) av Defender CSPM kontextuell molnsäkerhetsgraf och analys av attackvägar med stöd för GCP-resurser. Du kan använda kraften i Defender CSPM för omfattande synlighet och intelligent molnsäkerhet för GCP-resurser.
Viktiga funktioner i vårt GCP-stöd är:
- Analys av attackväg – Förstå de potentiella vägar som angripare kan ta.
- Cloud Security Explorer – Identifiera säkerhetsrisker proaktivt genom att köra grafbaserade frågor i säkerhetsdiagrammet.
- Agentlös genomsökning – Skanna servrar och identifiera hemligheter och sårbarheter utan att installera en agent.
- Datamedveten säkerhetsstatus – Identifiera och åtgärda risker för känsliga data i Google Cloud Storage-bucketar.
Läs mer om alternativ för Defender CSPM-abonnemang.
Kommentar
Faktureringen för GA-versionen av GCP-supporten i Defender CSPM börjar den 1 februari 2024.
Allmän tillgänglighetsversion av instrumentpanelen för datasäkerhet
15 november 2023
Instrumentpanelen för datasäkerhet är nu tillgänglig i Allmän tillgänglighet (GA) som en del av Defender CSPM-planen.
Med instrumentpanelen för datasäkerhet kan du visa organisationens dataegendom, risker för känsliga data och insikter om dina dataresurser.
Läs mer om instrumentpanelen för datasäkerhet.
Allmän tillgänglighetsversion av identifiering av känsliga data för databaser
15 november 2023
Identifiering av känsliga data för hanterade databaser, inklusive Azure SQL-databaser och AWS RDS-instanser (alla RDBMS-smaker) är nu allmänt tillgänglig och möjliggör automatisk identifiering av kritiska databaser som innehåller känsliga data.
Om du vill aktivera den här funktionen i alla datalager som stöds i dina miljöer måste du aktivera Sensitive data discovery i Defender CSPM. Lär dig hur du aktiverar identifiering av känsliga data i Defender CSPM.
Du kan också lära dig hur identifiering av känsliga data används i datamedveten säkerhetsstatus.
Meddelande om offentlig förhandsversion: Ny utökad insyn i datasäkerhet i flera moln i Microsoft Defender för molnet.
Ny version av rekommendationen för att hitta saknade systemuppdateringar är nu GA
6 november 2023
En extra agent behövs inte längre på dina virtuella Azure-datorer och Azure Arc-datorer för att säkerställa att datorerna har alla de senaste säkerhetsuppdateringarna eller kritiska systemuppdateringarna.
Den nya rekommendationen System updates should be installed on your machines (powered by Azure Update Manager) Apply system updates för systemuppdateringar i kontrollen baseras på Uppdateringshanteraren och är nu helt allmänt tillgänglig. Rekommendationen förlitar sig på en intern agent som är inbäddad i varje virtuell Azure-dator och Azure Arc-datorer i stället för en installerad agent. Snabbkorrigeringen i den nya rekommendationen navigerar dig till en engångsinstallation av uppdateringarna som saknas i Update Manager-portalen.
De gamla och de nya versionerna av rekommendationerna för att hitta saknade systemuppdateringar kommer båda att vara tillgängliga fram till augusti 2024, vilket är när den äldre versionen är inaktuell. Båda rekommendationerna: System updates should be installed on your machines (powered by Azure Update Manager)och System updates should be installed on your machines är tillgängliga under samma kontroll: Apply system updates och har samma resultat. Det innebär att det inte finns någon duplicering i effekten på säkerhetspoängen.
Vi rekommenderar att du migrerar till den nya rekommendationen och tar bort den gamla genom att inaktivera den från Defender för molnet inbyggda initiativ i Azure-principen.
Rekommendationen [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) är också GA och är en förutsättning, vilket kommer att ha en negativ effekt på din säkerhetspoäng. Du kan åtgärda den negativa effekten med den tillgängliga korrigeringen.
Om du vill tillämpa den nya rekommendationen måste du:
- Anslut dina datorer som inte är Azure-datorer till Arc.
- Aktivera den periodiska utvärderingsegenskapen. Du kan använda snabbkorrigeringen i den nya rekommendationen
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)för att åtgärda rekommendationen.
Kommentar
Om du aktiverar periodiska utvärderingar för Arc-aktiverade datorer som Defender for Servers Plan 2 inte är aktiverat på deras relaterade prenumeration eller anslutningsprogram, omfattas prissättningen för Azure Update Manager. Arc-aktiverade datorer som Defender for Servers Plan 2 är aktiverat på deras relaterade prenumerationer eller anslutningsappar, eller någon virtuell Azure-dator, är berättigade till den här funktionen utan extra kostnad.
Oktober 2023
Ändra säkerhetsvarningens allvarlighetsgrad för anpassningsbara programkontroller
Meddelandedatum: 30 oktober 2023
Som en del av kvalitetsförbättringsprocessen för säkerhetsaviseringar i Defender för servrar, och som en del av funktionen för anpassningsbara programkontroller , ändras allvarlighetsgraden för följande säkerhetsvarning till "Informational":
| Avisering [aviseringstyp] | Aviseringsbeskrivning |
|---|---|
| Principöverträdelse för anpassningsbar programkontroll granskades. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Nedanstående användare körde program som bryter mot organisationens programkontrollprincip på den här datorn. Det kan eventuellt utsätta datorn för skadlig kod eller programsårbarheter. |
Om du vill fortsätta att visa den här aviseringen på sidan "Säkerhetsaviseringar" i Microsoft Defender för molnet-portalen ändrar du standardvyfiltret Allvarlighetsgrad så att informationsaviseringar inkluderas i rutnätet.
Azure API Management-offlinerevisioner har tagits bort från Defender för API:er
den 25 oktober 2023
Defender for API:er har uppdaterat sitt stöd för Api-revisioner för Azure API Management. Offlinerevisioner visas inte längre i inventeringen av registrerade Defender for API:er och verkar inte längre vara registrerade i Defender för API:er. Offlinerevisioner tillåter inte att någon trafik skickas till dem och utgör ingen risk ur ett säkerhetsperspektiv.
DevOps säkerhetsstatushanteringsrekommendationer som är tillgängliga i offentlig förhandsversion
den 19 oktober 2023
Nya rekommendationer för Hantering av DevOps-hållning är nu tillgängliga i offentlig förhandsversion för alla kunder med en anslutningsapp för Azure DevOps eller GitHub. DevOps-hållningshantering hjälper till att minska attackytan i DevOps-miljöer genom att upptäcka svagheter i säkerhetskonfigurationer och åtkomstkontroller. Läs mer om Hantering av DevOps-hållning.
Släppa CIS Azure Foundations Benchmark v2.0.0 på instrumentpanelen för regelefterlevnad
den 18 oktober 2023
Microsoft Defender för molnet stöder nu den senaste CIS Azure Security Foundations Benchmark – version 2.0.0 på instrumentpanelen för regelefterlevnad och ett inbyggt principinitiativ i Azure Policy. Versionen av version 2.0.0 i Microsoft Defender för molnet är ett gemensamt samarbete mellan Microsoft, Center for Internet Security (CIS) och användargrupperna. Version 2.0.0 utökar utvärderingsomfånget avsevärt, vilket nu innehåller över 90 inbyggda Azure-principer och lyckas med de tidigare versionerna 1.4.0 och 1.3.0 och 1.0 i Microsoft Defender för molnet och Azure Policy. Mer information finns i det här blogginlägget.
September 2023
Ändra till Log Analytics dagliga tak
Azure Monitor erbjuder möjligheten att ange ett dagligt tak för de data som matas in på dina Log Analytics-arbetsytor. Defender for Cloud-säkerhetshändelser stöds för närvarande inte i dessa undantag.
Log Analytics Daily Cap utesluter inte längre följande uppsättning datatyper:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- SkadligIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Uppdatera
- UpdateSummary
- CommonSecurityLog
- Syslog
Alla fakturerbara datatyper begränsas om det dagliga taket uppfylls. Den här ändringen förbättrar din möjlighet att helt innehålla kostnader från datainmatning som är högre än förväntat.
Läs mer om arbetsytor med Microsoft Defender för molnet.
Instrumentpanel för datasäkerhet som är tillgänglig i offentlig förhandsversion
den 27 september 2023
Instrumentpanelen för datasäkerhet är nu tillgänglig i offentlig förhandsversion som en del av Defender CSPM-planen. Instrumentpanelen för datasäkerhet är en interaktiv, datacentrerad instrumentpanel som belyser betydande risker för känsliga data, prioriterar aviseringar och potentiella attackvägar för data i hybridmolnarbetsbelastningar. Läs mer om instrumentpanelen för datasäkerhet.
Förhandsversion: Ny automatisk etableringsprocess för SQL Server på datorplan
21 september 2023
Microsoft Monitoring Agent (MMA) är inaktuell i augusti 2024. Defender för molnet uppdaterat sin strategi genom att ersätta MMA med lanseringen av en SQL Server-riktad automatisk konfigurationsprocess för Azure Monitoring Agent.
Under förhandsversionen uppmanas kunder som använder alternativet MMA-automatisk avetablering med Azure Monitor Agent (förhandsversion) att migrera till den nya automatiska konfigurationsprocessen för Azure Monitoring Agent för SQL Server på datorer (förhandsversion). Migreringsprocessen är sömlös och ger kontinuerligt skydd för alla datorer.
Mer information finns i Migrera till sql-serverriktad azure monitoring agent autoprovisioning process.
GitHub Advanced Security för Azure DevOps-aviseringar i Defender för molnet
den 20 september 2023
Nu kan du visa GitHub Advanced Security for Azure DevOps-aviseringar (GHAzDO) relaterade till CodeQL, hemligheter och beroenden i Defender för molnet. Resultaten visas på sidan DevOps och i Rekommendationer. Om du vill se dessa resultat registrerar du dina GHAzDO-aktiverade lagringsplatser till Defender för molnet.
Läs mer om GitHub Advanced Security för Azure DevOps.
Undantagna funktioner är nu tillgängliga för rekommendationer för Defender för API:er
den 11 september 2023
Du kan nu undanta rekommendationer för följande säkerhetsrekommendationer för Defender för API:er.
| Rekommendation | Beskrivning och relaterad princip | Allvarlighet |
|---|---|---|
| (Förhandsversion) API-slutpunkter som inte används ska inaktiveras och tas bort från Azure API Management-tjänsten | Som bästa säkerhet anses API-slutpunkter som inte har tagit emot trafik på 30 dagar vara oanvända och bör tas bort från Azure API Management-tjänsten. Att behålla oanvända API-slutpunkter kan utgöra en säkerhetsrisk. Det kan vara API:er som borde ha blivit inaktuella från Azure API Management-tjänsten, men som av misstag har lämnats aktiva. Sådana API:er får vanligtvis inte den senaste säkerhetstäckningen. | Låg |
| (Förhandsversion) API-slutpunkter i Azure API Management ska autentiseras | API-slutpunkter som publiceras i Azure API Management bör framtvinga autentisering för att minimera säkerhetsrisken. Autentiseringsmekanismer implementeras ibland felaktigt eller saknas. Detta gör att angripare kan utnyttja implementeringsfel och komma åt data. För API:er som publicerats i Azure API Management utvärderar den här rekommendationen körningen av autentisering via prenumerationsnycklar, JWT och klientcertifikat som konfigurerats i Azure API Management. Om ingen av dessa autentiseringsmekanismer körs under API-anropet får API:et den här rekommendationen. | Högt |
Läs mer om att undanta rekommendationer i Defender för molnet.
Skapa exempelaviseringar för Identifieringar av Defender för API:er
den 11 september 2023
Nu kan du generera exempelaviseringar för de säkerhetsidentifieringar som släpptes som en del av den offentliga förhandsversionen av Defender för API:er. Läs mer om att generera exempelaviseringar i Defender för molnet.
Förhandsversion: Sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker har nu stöd för genomsökning vid hämtning
den 6 september 2023
Sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker har nu stöd för ytterligare en utlösare för genomsökning av bilder som hämtats från en ACR. Den här nyligen tillagda utlösaren ger ytterligare täckning för aktiva bilder utöver befintliga utlösare som genomsöker bilder som push-överförts till en ACR under de senaste 90 dagarna och bilder som för närvarande körs i AKS.
Den nya utlösaren börjar lanseras idag och förväntas vara tillgänglig för alla kunder i slutet av september.
Namnformatet för CIS-standarder (Center for Internet Security) har uppdaterats i regelefterlevnad
den 6 september 2023
Namngivningsformatet för CIS -grunderna (Center for Internet Security) i instrumentpanelen för efterlevnad ändras från [Cloud] CIS [version number] till CIS [Cloud] Foundations v[version number]. Se följandet tabell:
| Aktuellt namn | Nytt namn |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Lär dig hur du förbättrar din regelefterlevnad.
Identifiering av känsliga data för PaaS-databaser (förhandsversion)
5 september 2023
Datamedvetna säkerhetsstatusfunktioner för friktionsfri identifiering av känsliga data för PaaS-databaser (Azure SQL Databases och Amazon RDS-instanser av alla typer) finns nu i offentlig förhandsversion. Med den här offentliga förhandsversionen kan du skapa en karta över dina kritiska data var de än finns och vilken typ av data som finns i dessa databaser.
Känslig dataidentifiering för Azure- och AWS-databaser lägger till den delade taxonomi och konfiguration som redan är offentligt tillgänglig för lagringsresurser för molnobjekt (Azure Blob Storage, AWS S3-bucketar och GCP-lagringshink) och ger en enda konfigurations- och aktiveringsupplevelse.
Databaser genomsöks varje vecka. Om du aktiverar sensitive data discoverykörs identifieringen inom 24 timmar. Resultaten kan visas i Cloud Security Explorer eller genom att granska de nya attacksökvägarna för hanterade databaser med känsliga data.
Datamedveten säkerhetsstatus för databaser är tillgänglig via Defender CSPM-planen och aktiveras automatiskt i prenumerationer där sensitive data discovery alternativet är aktiverat.
Du kan lära dig mer om datamedveten säkerhetsstatus i följande artiklar:
- Stöd och förutsättningar för datamedveten säkerhetsstatus
- Aktivera datamedveten säkerhetsstatus
- Utforska risker för känsliga data
Allmän tillgänglighet (GA): skanning av skadlig kod i Defender for Storage
1 september 2023
Genomsökning av skadlig kod är nu allmänt tillgänglig (GA) som ett tillägg till Defender for Storage. Genomsökning av skadlig kod i Defender for Storage hjälper till att skydda dina lagringskonton från skadligt innehåll genom att utföra en fullständig genomsökning av skadlig kod på uppladdat innehåll nästan i realtid med hjälp av Microsoft Defender Antivirus-funktioner. Den är utformad för att uppfylla säkerhets- och efterlevnadskraven för hantering av obetrott innehåll. Funktionen för skanning av skadlig kod är en agentlös SaaS-lösning som möjliggör installation i stor skala och stöder automatiserade svar i stor skala.
Läs mer om genomsökning av skadlig kod i Defender for Storage.
Genomsökning av skadlig kod prissätts enligt din dataanvändning och budget. Faktureringen börjar den 3 september 2023. Mer information finns på prissidan .
Om du använder den tidigare planen måste du proaktivt migrera till den nya planen för att aktivera skanning av skadlig kod.
Läs blogginlägget Microsoft Defender för molnet meddelande.
Augusti 2023
Uppdateringar i augusti inkluderar:
Defender för containrar: Agentlös identifiering för Kubernetes
30 augusti 2023
Vi är glada över att kunna presentera defender för containrar: Agentlös identifiering för Kubernetes. Den här versionen är ett viktigt steg framåt i containersäkerheten, vilket ger dig avancerade insikter och omfattande inventeringsfunktioner för Kubernetes-miljöer. Det nya containererbjudandet drivs av Defender för molnet sammanhangsberoende säkerhetsdiagram. Det här kan du förvänta dig av den senaste uppdateringen:
- Agentlös Kubernetes-identifiering
- Omfattande inventeringsfunktioner
- Kubernetes-specifika säkerhetsinsikter
- Förbättrad riskjakt med Cloud Security Explorer
Agentlös identifiering för Kubernetes är nu tillgänglig för alla Defender For Containers-kunder. Du kan börja använda dessa avancerade funktioner idag. Vi rekommenderar att du uppdaterar dina prenumerationer så att alla tillägg är aktiverade och drar nytta av de senaste tilläggen och funktionerna. Gå till fönstret Miljö och inställningar i din Defender for Containers-prenumeration för att aktivera tillägget.
Kommentar
Aktivering av de senaste tilläggen medför inte nya kostnader för aktiva Defender for Containers-kunder.
Mer information finns i Översikt över containersäkerhet Microsoft Defender för containrar.
Rekommendationsversion: Microsoft Defender för Lagring bör aktiveras med genomsökning av skadlig kod och identifiering av känsligt datahot
22 augusti 2023
En ny rekommendation i Defender for Storage har släppts. Den här rekommendationen säkerställer att Defender for Storage är aktiverat på prenumerationsnivå med genomsökning av skadlig kod och funktioner för identifiering av känsliga datahot.
| Rekommendation | beskrivning |
|---|---|
| Microsoft Defender för Storage bör aktiveras med genomsökning av skadlig kod och identifiering av känsligt datahot | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och identifiering av känsliga datahot. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. Med en enkel agentlös konfiguration i stor skala, när den är aktiverad på prenumerationsnivå, skyddas alla befintliga och nyligen skapade lagringskonton under den prenumerationen automatiskt. Du kan också exkludera specifika lagringskonton från skyddade prenumerationer. |
Den nya rekommendationen ersätter den aktuella rekommendationen Microsoft Defender for Storage should be enabled (utvärderingsnyckel 1be22853-8ed1-4005-9907-ddad64cb1417). Den här rekommendationen är dock fortfarande tillgänglig i Azure Government-moln.
Läs mer om Microsoft Defender för Storage.
Utökade egenskaper i Defender för molnet säkerhetsaviseringar maskeras från aktivitetsloggar
den 17 augusti 2023
Vi har nyligen ändrat hur säkerhetsaviseringar och aktivitetsloggar är integrerade. För att bättre skydda känslig kundinformation tar vi inte längre med den här informationen i aktivitetsloggarna. I stället maskerar vi den med asterisker. Den här informationen är dock fortfarande tillgänglig via aviserings-API:et, kontinuerlig export och Defender för molnet-portalen.
Kunder som förlitar sig på aktivitetsloggar för att exportera aviseringar till sina SIEM-lösningar bör överväga att använda en annan lösning, eftersom det inte är den rekommenderade metoden för att exportera Defender för molnet säkerhetsaviseringar.
Anvisningar om hur du exporterar Defender för molnet säkerhetsaviseringar till SIEM, SOAR och andra program från tredje part finns i Stream-aviseringar till en SIEM-, SOAR- eller IT-tjänsthanteringslösning.
Förhandsversion av GCP-stöd i Defender CSPM
den 15 augusti 2023
Vi presenterar förhandsversionen av Defender CSPM kontextuell molnsäkerhetsdiagram och analys av attackvägar med stöd för GCP-resurser. Du kan använda kraften i Defender CSPM för omfattande synlighet och intelligent molnsäkerhet för GCP-resurser.
Viktiga funktioner i vårt GCP-stöd är:
- Analys av attackväg – Förstå de potentiella vägar som angripare kan ta.
- Cloud Security Explorer – Identifiera säkerhetsrisker proaktivt genom att köra grafbaserade frågor i säkerhetsdiagrammet.
- Agentlös genomsökning – Skanna servrar och identifiera hemligheter och sårbarheter utan att installera en agent.
- Datamedveten säkerhetsstatus – Identifiera och åtgärda risker för känsliga data i Google Cloud Storage-bucketar.
Läs mer om alternativ för Defender CSPM-abonnemang.
Nya säkerhetsaviseringar i Defender för servrar, plan 2: Identifiera potentiella attacker som missbrukar tillägg för virtuella Azure-datorer
7 aug. 2023
Den här nya serien av aviseringar fokuserar på att identifiera misstänkta aktiviteter i tillägg för virtuella Azure-datorer och ger insikter om angripares försök att kompromettera och utföra skadliga aktiviteter på dina virtuella datorer.
Microsoft Defender för servrar kan nu identifiera misstänkt aktivitet i tilläggen för virtuella datorer, så att du kan få bättre täckning av arbetsbelastningssäkerheten.
Tillägg för virtuella Azure-datorer är små program som körs efter distributionen på virtuella datorer och som tillhandahåller funktioner som konfiguration, automatisering, övervakning, säkerhet med mera. Tillägg är ett kraftfullt verktyg, men de kan användas av hotaktörer för olika skadliga avsikter, till exempel:
- För datainsamling och övervakning.
- För kodkörning och konfigurationsdistribution med hög behörighet.
- För att återställa autentiseringsuppgifter och skapa administrativa användare.
- För kryptering av diskar.
Här är en tabell med de nya aviseringarna.
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| Misstänkt fel vid installation av GPU-tillägget i din prenumeration (förhandsversion) (VM_GPUExtensionSuspiciousFailure) |
Misstänkt avsikt att installera ett GPU-tillägg på virtuella datorer som inte stöds. Det här tillägget bör installeras på virtuella datorer som är utrustade med en grafisk processor, och i det här fallet är de virtuella datorerna inte utrustade med sådana. Dessa fel kan ses när skadliga angripare kör flera installationer av ett sådant tillägg i kryptoutvinningssyfte. | Påverkan | Medium |
| Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn (förhandsversion) (VM_GPUDriverExtensionUnusualExecution) Den här varningen släpptes i juli 2023. |
Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning. Den här aktiviteten anses misstänkt eftersom huvudmannens beteende avviker från de vanliga mönstren. | Påverkan | Låg |
| Kör kommandot med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion) (VM_RunCommandSuspiciousScript) |
Ett Körningskommando med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda Kör kommando för att köra skadlig kod med hög behörighet på den virtuella datorn via Azure Resource Manager. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga. | Körnings- | Högt |
| Misstänkt obehörig körningskommandoanvändning upptäcktes på den virtuella datorn (förhandsversion) (VM_RunCommandSuspiciousFailure) |
Misstänkt obehörig användning av Körningskommandot misslyckades och upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan försöka använda Kör kommando för att köra skadlig kod med hög behörighet på dina virtuella datorer via Azure Resource Manager. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare. | Körnings- | Medium |
| Misstänkt körningskommandoanvändning identifierades på den virtuella datorn (förhandsversion) (VM_RunCommandSuspiciousUsage) |
Misstänkt användning av Kör kommando upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda Kör kommando för att köra skadlig kod med hög behörighet på dina virtuella datorer via Azure Resource Manager. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare. | Körnings- | Låg |
| Misstänkt användning av flera övervaknings- eller datainsamlingstillägg upptäcktes på dina virtuella datorer (förhandsversion) (VM_SuspiciousMultiExtensionUsage) |
Misstänkt användning av flera övervaknings- eller datainsamlingstillägg upptäcktes på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan missbruka sådana tillägg för datainsamling, övervakning av nätverkstrafik med mera i din prenumeration. Den här användningen anses misstänkt eftersom den inte har setts tidigare. | Rekognoscering | Medium |
| Misstänkt installation av diskkrypteringstillägg upptäcktes på dina virtuella datorer (förhandsversion) (VM_DiskEncryptionSuspiciousUsage) |
Misstänkt installation av diskkrypteringstillägg upptäcktes på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan missbruka diskkrypteringstillägget för att distribuera fullständiga diskkrypteringar på dina virtuella datorer via Azure Resource Manager i ett försök att utföra utpressningstrojanaktivitet. Den här aktiviteten anses misstänkt eftersom den inte har setts tidigare och på grund av det stora antalet tilläggsinstallationer. | Påverkan | Medium |
| Misstänkt användning av tillägget för VM-åtkomst identifierades på dina virtuella datorer (förhandsversion) (VM_VMAccessSuspiciousUsage) |
Misstänkt användning av TILLÄGGET FÖR VM-åtkomst identifierades på dina virtuella datorer. Angripare kan missbruka tillägget för vm-åtkomst för att få åtkomst till och kompromettera dina virtuella datorer med hög behörighet genom att återställa åtkomsten eller hantera administrativa användare. Den här aktiviteten anses misstänkt eftersom huvudkontots beteende avviker från de vanliga mönstren och på grund av det stora antalet tilläggsinstallationer. | Bevarande | Medium |
| DSC-tillägget (Desired State Configuration) med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion) (VM_DSCExtensionSuspiciousScript) |
DSC-tillägget (Desired State Configuration) med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda DSC-tillägget (Desired State Configuration) för att distribuera skadliga konfigurationer, till exempel beständighetsmekanismer, skadliga skript med mera, med hög behörighet, på dina virtuella datorer. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga. | Körnings- | Högt |
| Misstänkt användning av ett DSC-tillägg (Desired State Configuration) identifierades på dina virtuella datorer (förhandsversion) (VM_DSCExtensionSuspiciousUsage) |
Misstänkt användning av ett DSC-tillägg (Desired State Configuration) identifierades på dina virtuella datorer genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda DSC-tillägget (Desired State Configuration) för att distribuera skadliga konfigurationer, till exempel beständighetsmekanismer, skadliga skript med mera, med hög behörighet, på dina virtuella datorer. Den här aktiviteten anses misstänkt eftersom huvudkontots beteende avviker från de vanliga mönstren och på grund av det stora antalet tilläggsinstallationer. | Påverkan | Låg |
| Anpassat skripttillägg med ett misstänkt skript upptäcktes på den virtuella datorn (förhandsversion) (VM_CustomScriptExtensionSuspiciousCmd) (Den här aviseringen finns redan och har förbättrats med mer förbättrade logik- och identifieringsmetoder.) |
Det anpassade skripttillägget med ett misstänkt skript upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda tillägget Anpassat skript för att köra skadlig kod med hög behörighet på den virtuella datorn via Azure Resource Manager. Skriptet anses misstänkt eftersom vissa delar identifierades som potentiellt skadliga. | Körnings- | Högt |
Se tilläggsbaserade aviseringar i Defender för servrar.
En fullständig lista över aviseringar finns i referenstabellen för alla säkerhetsaviseringar i Microsoft Defender för molnet.
Affärsmodell och prisuppdateringar för Defender för molnet planer
1 augusti 2023
Microsoft Defender för molnet har tre planer som erbjuder skydd på tjänstnivå:
Defender för Key Vault
Defender för Resource Manager
Defender för DNS
Dessa planer har övergått till en ny affärsmodell med olika priser och paketering för att hantera kundfeedback om utgiftsförutsägbarhet och förenkla den övergripande kostnadsstrukturen.
Sammanfattning av affärsmodeller och prisändringar:
Befintliga kunder i Defender för Key-Vault, Defender för Resource Manager och Defender för DNS behåller sin aktuella affärsmodell och prissättning om de inte aktivt väljer att byta till den nya affärsmodellen och priset.
- Defender för Resource Manager: Den här planen har ett fast pris per prenumeration per månad. Kunder kan växla till den nya affärsmodellen genom att välja den nya modellen Defender för Resource Manager per prenumeration.
Befintliga kunder i Defender för Key-Vault, Defender för Resource Manager och Defender för DNS behåller sin aktuella affärsmodell och prissättning om de inte aktivt väljer att byta till den nya affärsmodellen och priset.
- Defender för Resource Manager: Den här planen har ett fast pris per prenumeration per månad. Kunder kan växla till den nya affärsmodellen genom att välja den nya modellen Defender för Resource Manager per prenumeration.
- Defender för Key Vault: Den här planen har ett fast pris per valv, per månad utan överförbrukningsavgift. Kunder kan växla till den nya affärsmodellen genom att välja den nya modellen Defender för Key Vault per valv
- Defender för DNS: Defender för servrar Plan 2-kunder får åtkomst till Defender för DNS-värde som en del av Defender for Servers Plan 2 utan extra kostnad. Kunder som har både Defender för Server Plan 2 och Defender för DNS debiteras inte längre för Defender för DNS. Defender för DNS är inte längre tillgängligt som en fristående plan.
Läs mer om prissättningen för dessa planer på sidan Defender för molnet prissättning.
juli 2023
Uppdateringar i juli inkluderar:
Förhandsversion av sårbarhetsbedömning av containrar med Microsoft Defender – hantering av säkerhetsrisker
31 juli 2023
Vi presenterar lanseringen av Sårbarhetsbedömning (VA) för Linux-containeravbildningar i Azure-containerregister som drivs av Microsoft Defender – hantering av säkerhetsrisker i Defender för containrar och Defender för containerregister. Det nya va-erbjudandet för containrar kommer att tillhandahållas tillsammans med vårt befintliga Container VA-erbjudande som drivs av Qualys i både Defender for Containers och Defender for Container Registries, och inkluderar dagliga genomsökningar av containeravbildningar, sårbarhetsinformation, stöd för OPERATIVSYSTEM och programmeringsspråk (SCA) med mera.
Det här nya erbjudandet börjar lanseras idag och förväntas vara tillgängligt för alla kunder senast den 7 augusti.
Läs mer om sårbarhetsbedömning av containrar med Microsoft Defender – hantering av säkerhetsrisker.
Agentlös containerstatus i Defender CSPM är nu allmänt tillgänglig
den 30 juli 2023
Agentlösa funktioner för containerstatus är nu allmänt tillgängliga (GA) som en del av Defender CSPM-planen (Cloud Security Posture Management).
Läs mer om agentlös containerstatus i Defender CSPM.
Hantering av automatiska uppdateringar av Defender för Endpoint för Linux
den 20 juli 2023
Som standard försöker Defender för molnet uppdatera dina Defender för Endpoint för Linux-agenter som registrerats med MDE.Linux tillägget. Med den här versionen kan du hantera den här inställningen och välja bort standardkonfigurationen för att hantera dina uppdateringscykler manuellt.
Lär dig hur du hanterar konfiguration av automatiska uppdateringar för Linux.
Genomsökning av agentlösa hemligheter efter virtuella datorer i Defender för servrar P2 och Defender CSPM
18 juli 2023
Hemlighetsgenomsökning är nu tillgänglig som en del av den agentlösa genomsökningen i Defender for Servers P2 och Defender CSPM. Den här funktionen hjälper till att identifiera ohanterade och osäkra hemligheter som sparats på virtuella datorer i Azure eller AWS-resurser som kan användas för att flytta i sidled i nätverket. Om hemligheter identifieras kan Defender för molnet hjälpa till att prioritera och vidta åtgärdsbara åtgärder för att minimera risken för lateral förflyttning, allt utan att påverka datorns prestanda.
Mer information om hur du skyddar dina hemligheter med genomsökning av hemligheter finns i Hantera hemligheter med agentlös genomsökning av hemligheter.
Ny säkerhetsvarning i Defender för servrar plan 2: Identifiera potentiella attacker som utnyttjar Azure VM GPU-drivrutinstillägg
12 juli 2023
Den här aviseringen fokuserar på att identifiera misstänkta aktiviteter som utnyttjar GPU-drivrutinstillägg för virtuella Azure-datorer och ger insikter om angripares försök att kompromettera dina virtuella datorer. Aviseringen riktar sig mot misstänkta distributioner av GPU-drivrutinstillägg. sådana tillägg missbrukas ofta av hotaktörer för att utnyttja GPU-kortets fulla kraft och utföra kryptojackning.
| Visningsnamn för avisering (Aviseringstyp) |
beskrivning | Allvarlighetsgrad | MITRE-taktik |
|---|---|---|---|
| Misstänkt installation av GPU-tillägget på den virtuella datorn (förhandsversion) (VM_GPUDriverExtensionUnusualExecution) |
Misstänkt installation av ett GPU-tillägg upptäcktes på den virtuella datorn genom att analysera Azure Resource Manager-åtgärderna i din prenumeration. Angripare kan använda GPU-drivrutinstillägget för att installera GPU-drivrutiner på den virtuella datorn via Azure Resource Manager för att utföra kryptokapning. | Låg | Påverkan |
En fullständig lista över aviseringar finns i referenstabellen för alla säkerhetsaviseringar i Microsoft Defender för molnet.
Stöd för att inaktivera specifika sårbarhetsresultat
den 9 juli 2023
Frisläppt stöd för att inaktivera sårbarhetsresultat för dina containerregisteravbildningar eller köra avbildningar som en del av agentlös containerstatus. Om du har en organisation som behöver ignorera en sårbarhetssökning på containerregisteravbildningen, i stället för att åtgärda den, kan du inaktivera den. Inaktiverade resultat påverkar inte din säkerhetspoäng eller genererar oönskat brus.
Lär dig hur du inaktiverar sårbarhetsbedömningsresultat på containerregisteravbildningar.
Datamedveten säkerhetsstatus är nu allmänt tillgänglig
1 juli 2023
Datamedveten säkerhetsstatus i Microsoft Defender för molnet är nu allmänt tillgänglig. Det hjälper kunderna att minska datarisken och reagera på dataintrång. Med en datamedveten säkerhetsstatus kan du göra följande:
- Identifiera känsliga dataresurser automatiskt i Azure och AWS.
- Utvärdera datakänslighet, dataexponering och hur data flödar i organisationen.
- Proaktivt och kontinuerligt upptäcka risker som kan leda till dataintrång.
- Identifiera misstänkta aktiviteter som kan tyda på pågående hot mot känsliga dataresurser
Mer information finns i Datamedveten säkerhetsstatus i Microsoft Defender för molnet.
Juni 2023
Uppdateringar i juni inkluderar:
Effektiviserad registrering av flera molnkonton med förbättrade inställningar
26 juni 2023
Defender för molnet har förbättrat registreringsupplevelsen så att det innehåller ett nytt effektiviserat användargränssnitt och instruktioner utöver nya funktioner som gör att du kan registrera dina AWS- och GCP-miljöer samtidigt som du ger åtkomst till avancerade registreringsfunktioner.
För organisationer som har antagit Hashicorp Terraform för automatisering inkluderar Defender för molnet nu möjligheten att använda Terraform som distributionsmetod tillsammans med AWS CloudFormation eller GCP Cloud Shell. Du kan nu anpassa de nödvändiga rollnamnen när du skapar integreringen. Du kan också välja mellan:
Standardåtkomst – Gör att Defender för molnet kan genomsöka dina resurser och automatiskt inkludera framtida funktioner.
Minst privilegierad åtkomst – Beviljar endast Defender för molnet åtkomst till de aktuella behörigheter som krävs för de valda planerna.
Om du väljer de minst privilegierade behörigheterna får du bara meddelanden om nya roller och behörigheter som krävs för att få fullständig funktionalitet för anslutningstjänstens hälsa.
Defender för molnet gör att du kan skilja mellan dina molnkonton med deras interna namn från molnleverantörerna. Till exempel AWS-kontoalias och GCP-projektnamn.
Stöd för privat slutpunkt för skanning av skadlig kod i Defender för lagring
Den 25 juni 2023
Stöd för privat slutpunkt är nu tillgängligt som en del av den offentliga förhandsversionen av malwaregenomsökning i Defender for Storage. Med den här funktionen kan du aktivera skanning av skadlig kod på lagringskonton som använder privata slutpunkter. Ingen annan konfiguration krävs.
Genomsökning av skadlig kod (förhandsversion) i Defender for Storage skyddar dina lagringskonton från skadligt innehåll genom att utföra en fullständig genomsökning av skadlig kod på uppladdat innehåll nästan i realtid med hjälp av Microsoft Defender Antivirus-funktioner. Den är utformad för att uppfylla säkerhets- och efterlevnadskraven för hantering av obetrott innehåll. Det är en agentlös SaaS-lösning som möjliggör enkel installation i stor skala, utan underhåll, och som stöder automatiserade svar i stor skala.
Privata slutpunkter ger säker anslutning till dina Azure Storage-tjänster, vilket effektivt eliminerar offentlig Internetexponering och anses vara en metod för säkerhet.
För lagringskonton med privata slutpunkter som redan har malwaregenomsökning aktiverat måste du inaktivera och aktivera planen med skanning av skadlig kod för att det ska fungera.
Läs mer om hur du använder privata slutpunkter i Defender för Lagring och hur du skyddar dina lagringstjänster ytterligare.
Rekommendation som släppts för förhandsversion: Om du kör containeravbildningar bör sårbarhetsresultaten lösas (drivs av Microsoft Defender – hantering av säkerhetsrisker)
Den 21 juni 2023
En ny containerrekommendering i Defender CSPM som drivs av Microsoft Defender – hantering av säkerhetsrisker släpps för förhandsversion:
| Rekommendation | beskrivning | Utvärderingsnyckel |
|---|---|---|
| Om du kör containeravbildningar bör sårbarhetsresultaten lösas (drivs av Microsoft Defender – hantering av säkerhetsrisker)(förhandsversion) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Den här nya rekommendationen ersätter den aktuella rekommendationen med samma namn, som drivs av Qualys, endast i Defender CSPM (ersätter utvärderingsnyckeln 41503391-efa5-47ee-9282-4eff6131462c).
Kontrolluppdateringar gjordes till NIST 800-53-standarder i regelefterlevnad
Den 15 juni 2023
NIST 800-53-standarderna (både R4 och R5) har nyligen uppdaterats med kontrolländringar i Microsoft Defender för molnet regelefterlevnad. De Microsoft-hanterade kontrollerna har tagits bort från standarden och informationen om Microsofts ansvarsimplementering (som en del av den molnbaserade modellen för delat ansvar) är nu endast tillgänglig i kontrollinformationsfönstret under Microsoft Actions.
Dessa kontroller beräknades tidigare som godkända kontroller, så du kan se en betydande minskning av din efterlevnadspoäng för NIST-standarder mellan april 2023 och maj 2023.
Mer information om efterlevnadskontroller finns i Självstudie: Regelefterlevnadskontroller – Microsoft Defender för molnet.
Planering av molnmigrering med ett Azure Migrate-affärsfall omfattar nu Defender för molnet
Den 11 juni 2023
Nu kan du identifiera potentiella kostnadsbesparingar i säkerhet genom att tillämpa Defender för molnet inom ramen för ett Azure Migrate-affärsfall.
Expresskonfiguration för sårbarhetsbedömningar i Defender för SQL är nu allmänt tillgänglig
Den 7 juni 2023
Expresskonfiguration för sårbarhetsbedömningar i Defender för SQL är nu allmänt tillgänglig. Expresskonfiguration ger en smidig introduktionsupplevelse för SQL-sårbarhetsbedömningar med hjälp av en konfiguration med ett klick (eller ett API-anrop). Det finns inga extra inställningar eller beroenden för hanterade lagringskonton som behövs.
Läs den här bloggen om du vill veta mer om expresskonfiguration.
Du kan lära dig skillnaderna mellan expresskonfiguration och klassisk konfiguration.
Fler omfång har lagts till i befintliga Azure DevOps-anslutningsappar
Den 6 juni 2023
Defender för DevOps lade till följande extra omfång i Azure DevOps-programmet (ADO):
Avancerad säkerhetshantering:
vso.advsec_manage. Vilket krävs för att du ska kunna aktivera, inaktivera och hantera GitHub Advanced Security för ADO.Containermappning:
vso.extension_manage,vso.gallery_manager; Vilket krävs för att du ska kunna dela dekoratörstillägget med ADO-organisationen.
Endast nya Defender för DevOps-kunder som försöker registrera ADO-resurser för att Microsoft Defender för molnet påverkas av den här ändringen.
Registrering direkt (utan Azure Arc) till Defender för servrar är nu allmänt tillgänglig
Den 5 juni 2023
Tidigare var Azure Arc skyldigt att registrera icke-Azure-servrar till Defender för servrar. Men med den senaste versionen kan du också registrera dina lokala servrar till Defender för servrar med endast Microsoft Defender för Endpoint agenten.
Den här nya metoden förenklar registreringsprocessen för kunder som fokuserar på kärnslutpunktsskydd och gör att du kan dra nytta av Defender for Servers förbrukningsbaserade fakturering för både moln- och icke-molntillgångar. Direktregistreringsalternativet via Defender för Endpoint är nu tillgängligt, med fakturering för registrerade datorer från och med den 1 juli.
Mer information finns i Ansluta dina datorer som inte är Azure till Microsoft Defender för molnet med Defender för Endpoint.
Ersätta agentbaserad identifiering med agentlös identifiering för containrar i Defender CSPM
Den 4 juni 2023
Med funktioner för agentlös containerstatus som är tillgängliga i Defender CSPM dras nu de agentbaserade identifieringsfunktionerna tillbaka. Om du för närvarande använder containerfunktioner i Defender CSPM kontrollerar du att de relevanta tilläggen är aktiverade för att fortsätta att ta emot containerrelaterade värden för de nya agentlösa funktionerna, till exempel containerrelaterade attackvägar, insikter och inventering. (Det kan ta upp till 24 timmar att se effekterna av att aktivera tilläggen).
Läs mer om agentlös containerstatus.
maj 2023
Uppdateringar i maj inkluderar:
- En ny avisering i Defender för Key Vault.
- Stöd för agentlös genomsökning av krypterade diskar i AWS.
- Ändringar i JIT-namngivningskonventioner (just-in-time) i Defender för molnet.
- Registrering av valda AWS-regioner.
- Ändringar i identitetsrekommendationer.
- Utfasning av äldre standarder på instrumentpanelen för efterlevnad.
- Uppdatering av två Defender for DevOps-rekommendationer för att inkludera Azure DevOps-genomsökningsresultat
- Ny standardinställning för sårbarhetsbedömningslösningen för Defender för servrar.
- Möjlighet att ladda ned en CSV-rapport för dina frågeresultat för Cloud Security Explorer (förhandsversion).
- Lanseringen av sårbarhetsbedömning av containrar med Microsoft Defender – hantering av säkerhetsrisker.
- Namnbyte av containerrekommendationer som drivs av Qualys.
- En uppdatering av Defender för DevOps GitHub-programmet.
- Ändra till Anteckningar om pull-begäranden i Defender för DevOps i Azure DevOps-lagringsplatser som nu innehåller felkonfigurationer av infrastruktur som kod.
Ny avisering i Defender för Key Vault
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| Ovanlig åtkomst till nyckelvalvet från en misstänkt IP-adress (icke-Microsoft eller extern) (KV_UnusualAccessSuspiciousIP) |
En användare eller tjänstens huvudnamn har försökt få avvikande åtkomst till nyckelvalv från en IP-adress som inte kommer från Microsoft under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Det kan vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Medium |
Alla tillgängliga aviseringar finns i Aviseringar för Azure Key Vault.
Agentlös genomsökning stöder nu krypterade diskar i AWS
Agentlös genomsökning efter virtuella datorer stöder nu bearbetning av instanser med krypterade diskar i AWS, med både CMK och PMK.
Det här utökade stödet ökar täckningen och synligheten för din molnegendom utan att påverka dina arbetsbelastningar som körs. Stöd för krypterade diskar har samma nollpåverkansmetod för instanser som körs.
- För nya kunder som aktiverar agentlös genomsökning i AWS är krypterad disktäckning inbyggd och stöds som standard.
- För befintliga kunder som redan har en AWS-anslutning med agentlös genomsökning aktiverad måste du tillämpa CloudFormation-stacken på dina registrerade AWS-konton igen för att uppdatera och lägga till de nya behörigheter som krävs för att bearbeta krypterade diskar. Den uppdaterade CloudFormation-mallen innehåller nya tilldelningar som gör att Defender för molnet kan bearbeta krypterade diskar.
Du kan lära dig mer om de behörigheter som används för att skanna AWS-instanser.
Så här tillämpar du din CloudFormation-stack igen:
- Gå till Defender för molnet miljöinställningar och öppna AWS-anslutningstjänsten.
- Gå till fliken Konfigurera åtkomst .
- Välj Klicka för att ladda ned Mallen CloudFormation.
- Navigera till din AWS-miljö och tillämpa den uppdaterade mallen.
Läs mer om agentlös genomsökning och aktivering av agentlös genomsökning i AWS.
Ändrade namngivningskonventioner för JIT-regler (just-in-time) i Defender för molnet
Vi har reviderat JIT-reglerna (just-in-time) för att överensstämma med Microsoft Defender för molnet varumärke. Vi har ändrat namngivningskonventionerna för Regler för Azure Firewall och NSG (Nätverkssäkerhetsgrupp).
Ändringarna visas på följande sätt:
| beskrivning | Gammalt namn | Nytt namn |
|---|---|---|
| JIT-regelnamn (tillåt och neka) i NSG (nätverkssäkerhetsgrupp) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| JIT-regelbeskrivningar i NSG | ASC JIT-nätverksåtkomstregel | MDC JIT-nätverksåtkomstregel |
| Samlingsnamn för JIT-brandväggsregler | ASC-JIT | MDC-JIT |
| NAMN på JIT-brandväggsregler | ASC-JIT | MDC-JIT |
Lär dig hur du skyddar dina hanteringsportar med just-in-time-åtkomst.
Registrera valda AWS-regioner
För att hjälpa dig att hantera dina AWS CloudTrail-kostnader och efterlevnadsbehov kan du nu välja vilka AWS-regioner som ska genomsökas när du lägger till eller redigerar en molnanslutning. Du kan nu skanna valda specifika AWS-regioner eller alla tillgängliga regioner (standard) när du registrerar dina AWS-konton för att Defender för molnet. Läs mer på Anslut ditt AWS-konto till Microsoft Defender för molnet.
Flera ändringar av identitetsrekommendationer
Följande rekommendationer släpps nu som allmän tillgänglighet (GA) och ersätter de V1-rekommendationer som nu är inaktuella.
Allmän tillgänglighet (GA) version av identitetsrekommendationer V2
V2-versionen av identitetsrekommendationerna introducerar följande förbättringar:
- Genomsökningens omfattning har utökats till att omfatta alla Azure-resurser, inte bara prenumerationer. På så sätt kan säkerhetsadministratörer visa rolltilldelningar per konto.
- Specifika konton kan nu undantas från utvärdering. Konton som break glass eller tjänstkonton kan undantas av säkerhetsadministratörer.
- Genomsökningsfrekvensen har ökat från 24 timmar till 12 timmar, vilket säkerställer att identitetsrekommendationerna är mer aktuella och korrekta.
Följande säkerhetsrekommendationer är tillgängliga i GA och ersätter V1-rekommendationerna:
| Rekommendation | Utvärderingsnyckel |
|---|---|
| Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Gästkonton med läsbehörighet för Azure-resurser bör tas bort | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Utfasning av identitetsrekommendationer V1
Följande säkerhetsrekommendationer är nu inaktuella:
| Rekommendation | Utvärderingsnyckel |
|---|---|
| MFA ska vara aktiverat på konton med ägarbehörigheter för prenumerationer. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| MFA ska aktiveras på konton med skrivbehörighet för prenumerationer. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| MFA ska vara aktiverat på konton med läsbehörighet för prenumerationer. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Externa konton med ägarbehörighet bör tas bort från prenumerationer. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Externa konton med skrivbehörigheter bör tas bort från prenumerationer. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Externa konton med läsbehörighet bör tas bort från prenumerationer. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Inaktuella konton med ägarbehörigheter bör tas bort från prenumerationer. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Inaktuella konton bör tas bort från prenumerationer | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Vi rekommenderar att du uppdaterar dina anpassade skript, arbetsflöden och styrningsregler så att de motsvarar V2-rekommendationerna.
Utfasning av äldre standarder på instrumentpanelen för efterlevnad
Äldre PCI DSS v3.2.1 och äldre SOC TSP har blivit helt inaktuella på instrumentpanelen för Defender för molnet efterlevnad och ersatts av SOC 2 Type 2-initiativet och PCI DSS v4-initiativbaserade efterlevnadsstandarder. Vi har helt inaktuellt stöd för PCI DSS-standard /initiativ i Microsoft Azure som drivs av 21Vianet.
Lär dig hur du anpassar standarduppsättningen på instrumentpanelen för regelefterlevnad.
Defender för DevOps innehåller Azure DevOps-genomsökningsresultat
Defender för DevOps Code och IaC har utökat sin rekommendationstäckning i Microsoft Defender för molnet för att inkludera Azure DevOps-säkerhetsresultat för följande två rekommendationer:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Tidigare inkluderade täckning för Azure DevOps-säkerhetsgenomsökning endast rekommendationen hemligheter.
Läs mer om Defender för DevOps.
Ny standardinställning för säkerhetsbedömningslösning för Defender för servrar
Lösningar för sårbarhetsbedömning (VA) är viktiga för att skydda datorer från cyberattacker och dataintrång.
Microsoft Defender – hantering av säkerhetsrisker är nu aktiverat som standard, inbyggd lösning för alla prenumerationer som skyddas av Defender för servrar som inte redan har en VA-lösning vald.
Om en prenumeration har en VA-lösning aktiverad på någon av sina virtuella datorer görs inga ändringar och Microsoft Defender – hantering av säkerhetsrisker aktiveras inte som standard på de återstående virtuella datorerna i den prenumerationen. Du kan välja att aktivera en VA-lösning på de återstående virtuella datorerna i dina prenumerationer.
Lär dig hur du hittar sårbarheter och samlar in programvaruinventering med agentlös genomsökning (förhandsversion).
Ladda ned en CSV-rapport för dina frågeresultat för Cloud Security Explorer (förhandsversion)
Defender för molnet har lagt till möjligheten att ladda ned en CSV-rapport för frågeresultatet för molnsäkerhetsutforskaren.
När du har kört en sökning efter en fråga kan du välja knappen Ladda ned CSV-rapport (förhandsversion) från sidan Cloud Security Explorer i Defender för molnet.
Lär dig hur du skapar frågor med Cloud Security Explorer
Lansering av sårbarhetsbedömning av containrar med Microsoft Defender – hantering av säkerhetsrisker
Vi presenterar lanseringen av Sårbarhetsbedömning för Linux-avbildningar i Azure-containerregister som drivs av Microsoft Defender – hantering av säkerhetsrisker i Defender CSPM. Den här versionen innehåller daglig genomsökning av bilder. Resultat som används i Säkerhetsutforskaren och attackvägar förlitar sig på Microsoft Defender Vulnerability Assessment i stället för Qualys-skannern.
Den befintliga rekommendationen Container registry images should have vulnerability findings resolved ersätts av en ny rekommendation:
| Rekommendation | beskrivning | Utvärderingsnyckel |
|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | dbd0cb49-b563-45e7-9724-889e799fa648 ersätts med c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Läs mer om status för agentlösa containrar i Defender CSPM.
Läs mer om Microsoft Defender – hantering av säkerhetsrisker.
Byta namn på containerrekommendationer som drivs av Qualys
De aktuella containerrekommendationerna i Defender för containrar kommer att byta namn på följande sätt:
| Rekommendation | beskrivning | Utvärderingsnyckel |
|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Qualys) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Att köra containeravbildningar bör lösa sårbarhetsresultat (drivs av Qualys) | Sårbarhetsbedömning av containeravbildningar söker igenom containeravbildningar som körs i dina Kubernetes-kluster efter säkerhetsrisker och visar detaljerade resultat för varje bild. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | 41503391-efa5-47ee-9282-4eff6131462c |
Programuppdatering för Defender för DevOps GitHub
Microsoft Defender för DevOps gör ständigt ändringar och uppdateringar som kräver Defender för DevOps-kunder som har registrerat sina GitHub-miljöer i Defender för molnet för att ge behörigheter som en del av programmet som distribueras i deras GitHub-organisation. Dessa behörigheter är nödvändiga för att säkerställa att alla säkerhetsfunktioner i Defender för DevOps fungerar normalt och utan problem.
Vi föreslår att du uppdaterar behörigheterna så snart som möjligt för att säkerställa fortsatt åtkomst till alla tillgängliga funktioner i Defender för DevOps.
Behörigheter kan beviljas på två olika sätt:
I din organisation väljer du GitHub Apps. Leta upp din organisation och välj Granska begäran.
Du får ett automatiserat e-postmeddelande från GitHub Support. I e-postmeddelandet väljer du Granska behörighetsbegäran för att acceptera eller avvisa den här ändringen.
När du har följt något av dessa alternativ navigeras du till granskningsskärmen där du bör granska begäran. Välj Acceptera nya behörigheter för att godkänna begäran.
Om du behöver hjälp med att uppdatera behörigheter kan du skapa en Azure Support begäran.
Du kan också lära dig mer om Defender för DevOps. Om en prenumeration har en VA-lösning aktiverad på någon av sina virtuella datorer görs inga ändringar och Microsoft Defender – hantering av säkerhetsrisker aktiveras inte som standard på de återstående virtuella datorerna i den prenumerationen. Du kan välja att aktivera en VA-lösning på de återstående virtuella datorerna i dina prenumerationer.
Lär dig hur du hittar sårbarheter och samlar in programvaruinventering med agentlös genomsökning (förhandsversion).
Defender for DevOps Pull Request-anteckningar i Azure DevOps-lagringsplatser innehåller nu felkonfigurationer av infrastruktur som kod
Defender for DevOps har utökat sin pull-begärandeanteckning (PR) i Azure DevOps till att inkludera felkonfigurationer av infrastruktur som kod (IaC) som identifieras i Azure Resource Manager- och Bicep-mallar.
Utvecklare kan nu se anteckningar för IaC-felkonfigurationer direkt i sina PR:er. Utvecklare kan också åtgärda kritiska säkerhetsproblem innan infrastrukturen etableras i molnarbetsbelastningar. För att förenkla reparationen får utvecklarna en allvarlighetsgrad, felkonfigurationsbeskrivning och reparationsinstruktioner i varje anteckning.
Tidigare innehöll täckning för Defender for DevOps PR-anteckningar i Azure DevOps endast hemligheter.
Läs mer om anteckningar om Defender för DevOps och pull-begäranden.
April 2023
Uppdateringar i april inkluderar:
- Agentlös containerstatus i Defender CSPM (förhandsversion)
- Ny förhandsversion Av enhetlig diskkrypteringsrekommendering
- Ändringar i rekommendationen Datorer bör konfigureras på ett säkert sätt
- Utfasning av övervakningsprinciper för App Service-språk
- Ny avisering i Defender för Resource Manager
- Tre aviseringar i Defender for Resource Manager-planen har föråldrats
- Automatisk export av aviseringar till Log Analytics-arbetsytan har föråldrats
- Utfasning och förbättring av valda aviseringar för Windows- och Linux-servrar
- Nya autentiseringsrelaterade rekommendationer för Azure Active Directory för Azure Data Services
- Två rekommendationer relaterade till saknade operativsystemuppdateringar (OS) släpptes till GA
- Defender för API:er (förhandsversion)
Agentlös containerstatus i Defender CSPM (förhandsversion)
De nya funktionerna för agentlös containerstatus (förhandsversion) är tillgängliga som en del av Defender CSPM-planen (Cloud Security Posture Management).
Med agentlös containerstatus kan säkerhetsteam identifiera säkerhetsrisker i containrar och Kubernetes-sfärer. Med en agentlös metod kan säkerhetsteam få insyn i sina Kubernetes- och containerregister över SDLC och körning, vilket tar bort friktion och fotavtryck från arbetsbelastningarna.
Agentlös containerstatus erbjuder sårbarhetsbedömningar för containrar som i kombination med analys av attackvägar gör det möjligt för säkerhetsteam att prioritera och zooma in i specifika sårbarheter för containrar. Du kan också använda Cloud Security Explorer för att upptäcka risker och söka efter insikter om containerstatus, till exempel identifiering av program som kör sårbara avbildningar eller exponeras för Internet.
Läs mer på Agentless Container Posture (förhandsversion).
Rekommendation för enhetlig diskkryptering (förhandsversion)
Det finns nya rekommendationer för enhetlig diskkryptering i förhandsversionen.
Wndows virtual machines should enable Azure Disk Encryption or EncryptionAtHostLinux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Dessa rekommendationer ersätter Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, som identifierade Azure Disk Encryption och principen Virtual machines and virtual machine scale sets should have encryption at host enabled, som identifierade EncryptionAtHost. ADE och EncryptionAtHost tillhandahåller jämförbar kryptering i vila och vi rekommenderar att du aktiverar en av dem på varje virtuell dator. De nya rekommendationerna identifierar om antingen ADE eller EncryptionAtHost är aktiverade och varnar bara om ingen av dem är aktiverade. Vi varnar också om ADE är aktiverat på vissa, men inte alla diskar på en virtuell dator (det här villkoret gäller inte för EncryptionAtHost).
De nya rekommendationerna kräver konfiguration av Azure Automanage Machine.
Dessa rekommendationer baseras på följande principer:
- (Förhandsversion) Virtuella Windows-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost
- (Förhandsversion) Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost
Läs mer om ADE och EncryptionAtHost och hur du aktiverar en av dem.
Ändringar i rekommendationen Datorer bör konfigureras på ett säkert sätt
Rekommendationen Machines should be configured securely uppdaterades. Uppdateringen förbättrar rekommendationens prestanda och stabilitet och anpassar dess upplevelse med det allmänna beteendet för Defender för molnet rekommendationer.
Som en del av den här uppdateringen ändrades rekommendationens ID från 181ac480-f7c4-544b-9865-11b8ffe87f47 till c476dc48-8110-4139-91af-c8d940896b98.
Ingen åtgärd krävs på kundsidan och det finns ingen förväntad effekt på säkerhetspoängen.
Utfasning av övervakningsprinciper för App Service-språk
Följande principer för övervakning av App Service-språk har blivit inaktuella på grund av deras förmåga att generera falska negativa identifieringar och eftersom de inte ger bättre säkerhet. Du bör alltid se till att du använder en språkversion utan några kända säkerhetsrisker.
| Principnamn | Policy-ID |
|---|---|
| App Service-appar som använder Java bör använda den senaste Java-versionen | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| App Service-appar som använder Python bör använda den senaste Python-versionen | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Funktionsappar som använder Java bör använda den senaste Java-versionen | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Funktionsappar som använder Python bör använda den senaste Python-versionen | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| App Service-appar som använder PHP bör använda den senaste PHP-versionen | 7261b898-8a84-4db8-9e04-18527132abb3 |
Kunder kan använda alternativa inbyggda principer för att övervaka alla angivna språkversioner för sina App Services.
Dessa principer är inte längre tillgängliga i Defender för molnet inbyggda rekommendationer. Du kan lägga till dem som anpassade rekommendationer för att Defender för molnet övervaka dem.
Ny avisering i Defender för Resource Manager
Defender för Resource Manager har följande nya avisering:
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| FÖRHANDSVERSION – Misstänkt skapande av beräkningsresurser har identifierats (ARM_SuspiciousComputeCreation) |
Microsoft Defender för Resource Manager identifierade ett misstänkt skapande av beräkningsresurser i din prenumeration med hjälp av Virtuella datorer/Azure Scale Set. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer genom att distribuera nya resurser vid behov. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att utföra kryptoutvinning. Aktiviteten anses misstänkt eftersom skalningen för beräkningsresurser är högre än vad som tidigare observerats i prenumerationen. Detta kan tyda på att huvudkontot har komprometterats och används med skadlig avsikt. |
Påverkan | Medium |
Du kan se en lista över alla aviseringar som är tillgängliga för Resource Manager.
Tre aviseringar i Defender for Resource Manager-planen har föråldrats
Följande tre aviseringar för Defender for Resource Manager-planen har föråldrats:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
I ett scenario där aktivitet från en misstänkt IP-adress identifieras, kommer någon av följande aviseringar Azure Resource Manager operation from suspicious IP address från Defenders for Resource Manager-planen att Azure Resource Manager operation from suspicious proxy IP address finnas.
Automatisk export av aviseringar till Log Analytics-arbetsytan har föråldrats
Defender for Cloud-säkerhetsaviseringar exporteras automatiskt till en standardarbetsyta för Log Analytics på resursnivå. Detta orsakar ett obestämd beteende och därför har vi föråldrat den här funktionen.
I stället kan du exportera dina säkerhetsaviseringar till en dedikerad Log Analytics-arbetsyta med kontinuerlig export.
Om du redan har konfigurerat kontinuerlig export av dina aviseringar till en Log Analytics-arbetsyta krävs ingen ytterligare åtgärd.
Utfasning och förbättring av valda aviseringar för Windows- och Linux-servrar
Kvalitetsförbättringsprocessen för säkerhetsaviseringar för Defender för servrar omfattar utfasning av vissa aviseringar för både Windows- och Linux-servrar. De inaktuella aviseringarna kommer nu från och omfattas av Defender för Endpoint-hotaviseringar.
Om du redan har aktiverat Defender för Endpoint-integrering krävs ingen ytterligare åtgärd. Du kan uppleva en minskning av aviseringsvolymen i april 2023.
Om du inte har defender för endpoint-integrering aktiverat i Defender för servrar måste du aktivera Defender för Endpoint-integrering för att underhålla och förbättra din aviseringstäckning.
Alla Defender for Servers-kunder har fullständig åtkomst till Defender for Endpoints integrering som en del av Defender for Servers-planen.
Du kan lära dig mer om Microsoft Defender för Endpoint onboarding-alternativ.
Du kan också visa den fullständiga listan över aviseringar som är inställda på att vara inaktuella.
Läs Microsoft Defender för molnet blogg.
Nya autentiseringsrelaterade rekommendationer för Azure Active Directory för Azure Data Services
Vi har lagt till fyra nya autentiseringsrekommendationer för Azure Active Directory för Azure Data Services.
| Rekommendationsnamn | Beskrivning av rekommendation | Policy |
|---|---|---|
| Autentiseringsläget för Azure SQL Managed Instance ska endast vara Azure Active Directory | Om du inaktiverar lokala autentiseringsmetoder och endast tillåter Azure Active Directory-autentisering förbättras säkerheten genom att säkerställa att Azure SQL Managed Instances endast kan nås av Azure Active Directory-identiteter. | Azure SQL Managed Instance ska ha Azure Active Directory Only Authentication aktiverat |
| Autentiseringsläget för Azure Synapse-arbetsytan ska endast vara Azure Active Directory | Endast autentiseringsmetoder i Azure Active Directory förbättrar säkerheten genom att se till att Synapse-arbetsytor uteslutande kräver Azure AD-identiteter för autentisering. Läs mer. | Synapse-arbetsytor bör endast använda Azure Active Directory-identiteter för autentisering |
| Azure Database for MySQL bör ha en Azure Active Directory-administratör etablerad | Etablera en Azure AD-administratör för din Azure Database for MySQL för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | En Azure Active Directory-administratör bör etableras för MySQL-servrar |
| Azure Database for PostgreSQL bör ha en Azure Active Directory-administratör etablerad | Etablera en Azure AD-administratör för Azure Database for PostgreSQL för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster | En Azure Active Directory-administratör bör etableras för PostgreSQL-servrar |
Två rekommendationer relaterade till saknade operativsystemuppdateringar (OS) släpptes till GA
Rekommendationerna System updates should be installed on your machines (powered by Azure Update Manager) och Machines should be configured to periodically check for missing system updates har släppts för allmän tillgänglighet.
Om du vill använda den nya rekommendationen måste du:
- Anslut dina datorer som inte är Azure-datorer till Arc.
- Aktivera den periodiska utvärderingsegenskapen. Du kan använda knappen Åtgärda.
i den nya rekommendationen för
Machines should be configured to periodically check for missing system updatesatt åtgärda rekommendationen.
När du har slutfört de här stegen kan du ta bort den gamla rekommendationen System updates should be installed on your machinesgenom att inaktivera den från Defender för molnet inbyggda initiativ i Azure-principen.
De två versionerna av rekommendationerna:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Båda kommer att vara tillgängliga tills Log Analytics-agenten är inaktuell den 31 augusti 2024, vilket är när även den äldre versionen (System updates should be installed on your machines) av rekommendationen kommer att bli inaktuell. Båda rekommendationerna returnerar samma resultat och är tillgängliga under samma kontroll Apply system updates.
Den nya rekommendationen System updates should be installed on your machines (powered by Azure Update Manager) har ett reparationsflöde tillgängligt via knappen Åtgärda, som kan användas för att åtgärda eventuella resultat via Uppdateringshanteraren (förhandsversion). Den här reparationsprocessen är fortfarande i förhandsversion.
Den nya rekommendationen System updates should be installed on your machines (powered by Azure Update Manager) förväntas inte påverka din säkerhetspoäng eftersom den har samma resultat som den gamla rekommendationen System updates should be installed on your machines.
Den nödvändiga rekommendationen (Aktivera egenskapen periodisk utvärdering) har en negativ effekt på din säkerhetspoäng. Du kan åtgärda den negativa effekten med den tillgängliga knappen Åtgärda.
Defender för API:er (förhandsversion)
Microsofts Defender för molnet meddelar att de nya Defender for API:erna är tillgängliga i förhandsversionen.
Defender för API:er erbjuder fullständigt livscykelskydd, identifiering och svarstäckning för API:er.
Defender for API:er hjälper dig att få insyn i affärskritiska API:er. Du kan undersöka och förbättra din API-säkerhetsstatus, prioritera sårbarhetskorrigeringar och snabbt identifiera aktiva realtidshot.
Läs mer om Defender för API:er.
Mars 2023
Uppdateringar i mars inkluderar:
- Det finns en ny Defender for Storage-plan, inklusive genomsökning av skadlig kod i nära realtid och identifiering av känsligt datahot
- Datamedveten säkerhetsstatus (förhandsversion)
- Förbättrad upplevelse för att hantera standardprinciperna för Azure-säkerhet
- Defender CSPM (Cloud Security Posture Management) är nu allmänt tillgänglig (GA)
- Alternativ för att skapa anpassade rekommendationer och säkerhetsstandarder i Microsoft Defender för molnet
- Microsoft Cloud Security Benchmark (MCSB) version 1.0 är nu allmänt tillgänglig (GA)
- Vissa standarder för regelefterlevnad är nu tillgängliga i myndighetsmoln
- Ny förhandsversionsrekommendering för Azure SQL-servrar
- Ny avisering i Defender för Key Vault
Det finns en ny Defender for Storage-plan, inklusive genomsökning av skadlig kod i nära realtid och identifiering av känsligt datahot
Molnlagring spelar en viktig roll i organisationen och lagrar stora mängder värdefulla och känsliga data. Idag presenterar vi en ny Defender for Storage-plan. Om du använder den tidigare planen (nu omdöpt till "Defender för lagring (klassisk)") måste du proaktivt migrera till den nya planen för att kunna använda de nya funktionerna och fördelarna.
Den nya planen innehåller avancerade säkerhetsfunktioner för att skydda mot skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Det ger också en mer förutsägbar och flexibel prisstruktur för bättre kontroll över täckning och kostnader.
Den nya planen har nya funktioner nu i offentlig förhandsversion:
Identifiera exponerings- och exfiltreringshändelser för känsliga data
Nästan realtidsblob vid uppladdning av skadlig kod genomsökning över alla filtyper
Identifiera entiteter utan identiteter med hjälp av SAS-token
Dessa funktioner förbättrar den befintliga funktionen aktivitetsövervakning, baserat på kontroll- och dataplanslogganalys och beteendemodellering för att identifiera tidiga tecken på intrång.
Alla dessa funktioner är tillgängliga i en ny förutsägbar och flexibel prisplan som ger detaljerad kontroll över dataskydd på både prenumerations- och resursnivå.
Läs mer i Översikt över Microsoft Defender för lagring.
Datamedveten säkerhetsstatus (förhandsversion)
Microsoft Defender för molnet hjälper säkerhetsteam att vara mer produktiva när det gäller att minska risker och hantera dataintrång i molnet. Det gör att de kan minska bruset med datakontexten och prioritera de mest kritiska säkerhetsriskerna, vilket förhindrar ett kostsamt dataintrång.
- Identifiera dataresurser automatiskt i molnegendomen och utvärdera deras tillgänglighet, datakänslighet och konfigurerade dataflöden. -Upptäck kontinuerligt risker för dataintrång av känsliga dataresurser, exponerings- eller attackvägar som kan leda till en dataresurs med hjälp av en lateral förflyttningsteknik.
- Identifiera misstänkta aktiviteter som kan tyda på ett pågående hot mot känsliga dataresurser.
Läs mer om datamedveten säkerhetsstatus.
Förbättrad upplevelse för att hantera standardprinciperna för Azure-säkerhet
Vi introducerar en förbättrad hanteringsupplevelse för Azure-säkerhetsprinciper för inbyggda rekommendationer som förenklar hur Defender för molnet kunder finjusterar sina säkerhetskrav. Den nya upplevelsen innehåller följande nya funktioner:
- Ett enkelt gränssnitt ger bättre prestanda och upplevelse vid hantering av standardsäkerhetsprinciper inom Defender för molnet.
- En enda vy över alla inbyggda säkerhetsrekommendationer som erbjuds av Microsoft Cloud Security Benchmark (tidigare Azure Security Benchmark). Rekommendationer är ordnade i logiska grupper, vilket gör det lättare att förstå vilka typer av resurser som omfattas och relationen mellan parametrar och rekommendationer.
- Nya funktioner som filter och sökning har lagts till.
Lär dig hur du hanterar säkerhetsprinciper.
Läs Microsoft Defender för molnet blogg.
Defender CSPM (Cloud Security Posture Management) är nu allmänt tillgänglig (GA)
Vi meddelar att Defender CSPM nu är allmänt tillgängligt (GA). Defender CSPM erbjuder alla tjänster som är tillgängliga under grundläggande CSPM-funktioner och lägger till följande fördelar:
- Analys av attackväg och ARG API – Analys av attackvägar använder en grafbaserad algoritm som söker igenom molnsäkerhetsdiagrammet för att exponera attackvägar och föreslår rekommendationer om hur du bäst åtgärdar problem som bryter attackvägen och förhindrar lyckade intrång. Du kan också använda attacksökvägar programmatiskt genom att köra frågor mot AZURE Resource Graph-API:et (ARG). Lär dig hur du använder analys av attackvägar
- Cloud Security Explorer – Använd Cloud Security Explorer för att köra grafbaserade frågor i molnsäkerhetsdiagrammet för att proaktivt identifiera säkerhetsrisker i dina miljöer med flera moln. Läs mer om Cloud Security Explorer.
Läs mer om Defender CSPM.
Alternativ för att skapa anpassade rekommendationer och säkerhetsstandarder i Microsoft Defender för molnet
Microsoft Defender för molnet ger möjlighet att skapa anpassade rekommendationer och standarder för AWS och GCP med hjälp av KQL-frågor. Du kan använda en frågeredigerare för att skapa och testa frågor över dina data. Den här funktionen är en del av planen för Defender CSPM (Cloud Security Posture Management). Lär dig hur du skapar anpassade rekommendationer och standarder.
Microsoft Cloud Security Benchmark (MCSB) version 1.0 är nu allmänt tillgänglig (GA)
Microsoft Defender för molnet meddelar att Microsofts cloud security benchmark (MCSB) version 1.0 nu är allmänt tillgänglig (GA).
MCSB version 1.0 ersätter Azure Security Benchmark (ASB) version 3 som Defender för molnet standardsäkerhetsprincip. MCSB version 1.0 visas som standardstandard för efterlevnad på instrumentpanelen för efterlevnad och är aktiverad som standard för alla Defender för molnet kunder.
Du kan också lära dig hur Microsoft Cloud Security Benchmark (MCSB) hjälper dig att lyckas med din molnsäkerhetsresa.
Läs mer om MCSB.
Vissa standarder för regelefterlevnad är nu tillgängliga i myndighetsmoln
Vi uppdaterar dessa standarder för kunder i Azure Government och Microsoft Azure som drivs av 21Vianet.
Azure Government:
Microsoft Azure drivs av 21Vianet:
Lär dig hur du anpassar standarduppsättningen på instrumentpanelen för regelefterlevnad.
Ny förhandsversionsrekommendering för Azure SQL-servrar
Vi har lagt till en ny rekommendation för Azure SQL-servrar, Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
Rekommendationen baseras på den befintliga principen Azure SQL Database should have Azure Active Directory Only Authentication enabled
Den här rekommendationen inaktiverar lokala autentiseringsmetoder och tillåter endast Azure Active Directory-autentisering, vilket förbättrar säkerheten genom att säkerställa att Azure SQL Databases uteslutande kan nås av Azure Active Directory-identiteter.
Lär dig hur du skapar servrar med endast Azure AD-autentisering aktiverat i Azure SQL.
Ny avisering i Defender för Key Vault
Defender för Key Vault har följande nya avisering:
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| Nekad åtkomst från en misstänkt IP-adress till ett nyckelvalv (KV_SuspiciousIPAccessDenied) |
En misslyckad nyckelvalvsåtkomst har försökts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Även om det här försöket misslyckades indikerar det att infrastrukturen kan ha komprometterats. Vi rekommenderar ytterligare undersökningar. | Åtkomst till autentiseringsuppgifter | Låg |
Du kan se en lista över alla aviseringar som är tillgängliga för Key Vault.
2023 februari
Uppdateringar i februari inkluderar:
- Förbättrad Cloud Security Explorer
- Defender for Containers sårbarhetsgenomsökningar av att köra Linux-avbildningar är nu allmänt tillgängliga
- Meddelande om stöd för efterlevnadsstandarden för AWS CIS 1.5.0
- Microsoft Defender för DevOps (förhandsversion) är nu tillgängligt i andra regioner
- Den inbyggda principen [Förhandsversion]: Privat slutpunkt ska konfigureras för Key Vault är inaktuell
Förbättrad Cloud Security Explorer
En förbättrad version av molnsäkerhetsutforskaren innehåller en uppdaterad användarupplevelse som tar bort frågefriktion dramatiskt, lade till möjligheten att köra frågor med flera moln och flera resurser och inbäddad dokumentation för varje frågealternativ.
Med Cloud Security Explorer kan du nu köra molnabstraktionsfrågor mellan resurser. Du kan använda antingen de fördefinierade frågemallarna eller använda den anpassade sökningen för att använda filter för att skapa din fråga. Lär dig hur du hanterar Cloud Security Explorer.
Defender for Containers sårbarhetsgenomsökningar av att köra Linux-avbildningar är nu allmänt tillgängliga
Defender for Containers identifierar säkerhetsrisker i containrar som körs. Både Windows- och Linux-containrar stöds.
I augusti 2022 släpptes den här funktionen som förhandsversion för Windows och Linux. Nu släpper vi den för allmän tillgänglighet (GA) för Linux.
När sårbarheter identifieras genererar Defender för molnet följande säkerhetsrekommendationslista som visar genomsökningens resultat: Om du kör containeravbildningar bör sårbarhetsresultaten vara lösta.
Läs mer om att visa sårbarheter för att köra bilder.
Meddelande om stöd för efterlevnadsstandarden för AWS CIS 1.5.0
Defender för molnet stöder nu efterlevnadsstandarden CIS Amazon Web Services Foundations v1.5.0. Standarden kan läggas till på instrumentpanelen för regelefterlevnad och bygger på MDC:s befintliga erbjudanden för rekommendationer och standarder för flera moln.
Den här nya standarden innehåller både befintliga och nya rekommendationer som utökar Defender för molnet täckning till nya AWS-tjänster och -resurser.
Lär dig hur du hanterar AWS-utvärderingar och standarder.
Microsoft Defender för DevOps (förhandsversion) är nu tillgängligt i andra regioner
Microsoft Defender för DevOps har utökat sin förhandsversion och är nu tillgänglig i regionerna Europa, västra och Australien, östra när du registrerar dina Azure DevOps- och GitHub-resurser.
Läs mer om Microsoft Defender för DevOps.
Den inbyggda principen [Förhandsversion]: Privat slutpunkt ska konfigureras för Key Vault är inaktuell
Den inbyggda principen [Preview]: Private endpoint should be configured for Key Vault är inaktuell och ersätts med [Preview]: Azure Key Vaults should use private link principen.
Läs mer om att integrera Azure Key Vault med Azure Policy.
Januari 2023
Uppdateringar i januari inkluderar:
- Komponenten Endpoint Protection (Microsoft Defender för Endpoint) används nu på sidan Inställningar och övervakning
- Ny version av rekommendationen för att hitta saknade systemuppdateringar (förhandsversion)
- Rensning av borttagna Azure Arc-datorer i anslutna AWS- och GCP-konton
- Tillåt kontinuerlig export till Event Hubs bakom en brandvägg
- Namnet på kontrollen Säker poäng Skydda dina program med avancerade Nätverkslösningar i Azure har ändrats
- Inställningarna för sårbarhetsbedömning för SQL-servern ska innehålla en e-postadress för att ta emot genomsökningsrapporter är inaktuella
- Rekommendationen att aktivera diagnostikloggar för VM-skalningsuppsättningar är inaktuell
Komponenten Endpoint Protection (Microsoft Defender för Endpoint) används nu på sidan Inställningar och övervakning
Om du vill komma åt Endpoint Protection går du till Miljöinställningar>Defender planerar>Inställningar och övervakning. Härifrån kan du ange Slutpunktsskydd till På. Du kan också se de andra komponenterna som hanteras.
Läs mer om hur du aktiverar Microsoft Defender för Endpoint på dina servrar med Defender för servrar.
Ny version av rekommendationen för att hitta saknade systemuppdateringar (förhandsversion)
Du behöver inte längre en agent på dina virtuella Azure-datorer och Azure Arc-datorer för att se till att datorerna har alla de senaste säkerhetsuppdateringarna eller kritiska systemuppdateringarna.
Den nya rekommendationen System updates should be installed on your machines (powered by Azure Update Manager) Apply system updates för systemuppdateringar i kontrollen baseras på Uppdateringshanteraren (förhandsversion). Rekommendationen förlitar sig på en intern agent som är inbäddad i varje virtuell Azure-dator och Azure Arc-datorer i stället för en installerad agent. Snabbkorrigeringen i den nya rekommendationen leder dig till en engångsinstallation av uppdateringarna som saknas i Update Manager-portalen.
Om du vill använda den nya rekommendationen måste du:
- Ansluta dina datorer som inte är Azure-datorer till Arc
- Aktivera den periodiska utvärderingsegenskapen. Du kan använda snabbkorrigeringen i den nya rekommendationen
Machines should be configured to periodically check for missing system updatesför att åtgärda rekommendationen.
Den befintliga rekommendationen "Systemuppdateringar bör installeras på dina datorer", som förlitar sig på Log Analytics-agenten, är fortfarande tillgänglig under samma kontroll.
Rensning av borttagna Azure Arc-datorer i anslutna AWS- och GCP-konton
En dator som är ansluten till ett AWS- och GCP-konto som omfattas av Defender för servrar eller Defender för SQL på datorer representeras i Defender för molnet som en Azure Arc-dator. Hittills har datorn inte tagits bort från lagret när datorn togs bort från AWS- eller GCP-kontot. Leder till onödiga Azure Arc-resurser kvar i Defender för molnet som representerar borttagna datorer.
Defender för molnet tar nu automatiskt bort Azure Arc-datorer när dessa datorer tas bort i anslutna AWS- eller GCP-konton.
Tillåt kontinuerlig export till Event Hubs bakom en brandvägg
Nu kan du aktivera kontinuerlig export av aviseringar och rekommendationer som en betrodd tjänst till Event Hubs som skyddas av en Azure-brandvägg.
Du kan aktivera kontinuerlig export när aviseringarna eller rekommendationerna genereras. Du kan också definiera ett schema för att skicka periodiska ögonblicksbilder av alla nya data.
Lär dig hur du aktiverar kontinuerlig export till en händelsehubb bakom en Azure-brandvägg.
Namnet på kontrollen Säker poäng Skydda dina program med avancerade Nätverkslösningar i Azure ändras
Kontrollen för säker poäng Protect your applications with Azure advanced networking solutions ändras till Protect applications against DDoS attacks.
Det uppdaterade namnet återspeglas i Azure Resource Graph (ARG), API:et Download CSV reportför säkra poängkontroller och .
Inställningarna för sårbarhetsbedömning för SQL-servern ska innehålla en e-postadress för att ta emot genomsökningsrapporter är inaktuella
Principen Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports är inaktuell.
E-postrapporten för Utvärdering av säkerhetsrisker i Defender för SQL är fortfarande tillgänglig och befintliga e-postkonfigurationer har inte ändrats.
Rekommendationen att aktivera diagnostikloggar för VM-skalningsuppsättningar är inaktuell
Rekommendationen Diagnostic logs in Virtual Machine Scale Sets should be enabled är inaktuell.
Den relaterade principdefinitionen har också föråldrats från alla standarder som visas på instrumentpanelen för regelefterlevnad.
| Rekommendation | beskrivning | Allvarlighetsgrad |
|---|---|---|
| Diagnostikloggar i VM-skalningsuppsättningar ska vara aktiverade | Aktivera loggar och behåll dem i upp till ett år, så att du kan återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller nätverket komprometteras. | Låg |
December 2022
Uppdateringar i december inkluderar:
Meddelande om expresskonfiguration för sårbarhetsbedömning i Defender för SQL
Expresskonfigurationen för sårbarhetsbedömning i Microsoft Defender för SQL ger säkerhetsteam en effektiv konfigurationsupplevelse i Azure SQL Databases och dedikerade SQL-pooler utanför Synapse-arbetsytor.
Med den expressa konfigurationsupplevelsen för sårbarhetsbedömningar kan säkerhetsteam:
- Slutför konfigurationen för sårbarhetsbedömning i säkerhetskonfigurationen för SQL-resursen, utan några andra inställningar eller beroenden för kundhanterade lagringskonton.
- Lägg omedelbart till genomsökningsresultat i baslinjer så att statusen för sökningen ändras från Inte felfri till Felfri utan att genomsöka en databas igen.
- Lägg till flera regler i baslinjer samtidigt och använd de senaste genomsökningsresultaten.
- Aktivera sårbarhetsbedömning för alla Azure SQL-servrar när du aktiverar Microsoft Defender för databaser på prenumerationsnivå.
Läs mer om sårbarhetsbedömning för Defender för SQL.
November 2022
Uppdateringar i november inkluderar:
- Skydda containrar i din GCP-organisation med Defender for Containers
- Verifiera Skydd för Defender för containrar med exempelaviseringar
- Styrningsregler i stor skala (förhandsversion)
- Möjligheten att skapa anpassade utvärderingar i AWS och GCP (förhandsversion) är inaktuell
- Rekommendationen att konfigurera köer med obeställbara bokstäver för Lambda-funktioner är inaktuell
Skydda containrar i din GCP-organisation med Defender for Containers
Nu kan du aktivera Defender for Containers för din GCP-miljö för att skydda GKE-standardkluster i en hel GCP-organisation. Skapa bara en ny GCP-anslutning med Defender for Containers aktiverat eller aktivera Defender for Containers på en befintlig GCP-anslutningsapp på organisationsnivå.
Läs mer om hur du ansluter GCP-projekt och organisationer till Defender för molnet.
Verifiera Skydd för Defender för containrar med exempelaviseringar
Nu kan du skapa exempelaviseringar även för Defender for Containers-planen. De nya exempelaviseringarna visas som från AKS-, Arc-anslutna kluster, EKS- och GKE-resurser med olika allvarlighetsgrad och MITRE-taktik. Du kan använda exempelaviseringar för att verifiera konfigurationer av säkerhetsaviseringar, till exempel SIEM-integreringar, arbetsflödesautomation och e-postaviseringar.
Läs mer om aviseringsverifiering.
Styrningsregler i stor skala (förhandsversion)
Vi är glada att kunna presentera den nya möjligheten att tillämpa styrningsregler i stor skala (förhandsversion) i Defender för molnet.
Med den här nya upplevelsen kan säkerhetsteamen definiera styrningsregler i grupp för olika omfång (prenumerationer och anslutningsappar). Säkerhetsteam kan utföra den här uppgiften med hjälp av hanteringsomfång som Azure-hanteringsgrupper, AWS-konton på högsta nivå eller GCP-organisationer.
På sidan Styrningsregler (förhandsversion) visas dessutom alla tillgängliga styrningsregler som är effektiva i organisationens miljöer.
Läs mer om de nya styrningsreglerna i stor skala.
Kommentar
Från och med den 1 januari 2023 måste du ha Defender CSPM-planen aktiverad för din prenumeration eller anslutningsapp för att kunna uppleva de funktioner som erbjuds av styrningen.
Möjligheten att skapa anpassade utvärderingar i AWS och GCP (förhandsversion) är inaktuell
Möjligheten att skapa anpassade utvärderingar för AWS-konton och GCP-projekt, som var en förhandsversionsfunktion, är inaktuell.
Rekommendationen att konfigurera köer med obeställbara bokstäver för Lambda-funktioner är inaktuell
Rekommendationen Lambda functions should have a dead-letter queue configured är inaktuell.
| Rekommendation | beskrivning | Allvarlighetsgrad |
|---|---|---|
| Lambda-funktioner ska ha en kö med obeställbara bokstäver konfigurerad | Den här kontrollen kontrollerar om en Lambda-funktion har konfigurerats med en kö med obeställbara meddelanden. Kontrollen misslyckas om Lambda-funktionen inte har konfigurerats med en kö med obeställbara meddelanden. Som ett alternativ till ett mål för fel kan du konfigurera funktionen med en kö med obeställbara meddelanden för att spara borttagna händelser för vidare bearbetning. En kö med obeställbara meddelanden fungerar på samma sätt som ett mål vid fel. Den används när en händelse misslyckas med alla bearbetningsförsök eller upphör att gälla utan att bearbetas. Med en kö med obeställbara meddelanden kan du se tillbaka på fel eller misslyckade begäranden till Lambda-funktionen för att felsöka eller identifiera ovanligt beteende. Ur ett säkerhetsperspektiv är det viktigt att förstå varför din funktion misslyckades och att se till att funktionen inte släpper data eller äventyrar datasäkerheten som ett resultat. Om din funktion till exempel inte kan kommunicera med en underliggande resurs som kan vara ett symptom på en DoS-attack (Denial of Service) någon annanstans i nätverket. | Medium |
Oktober 2022
Uppdateringar i oktober inkluderar:
- Tillkännagivande av Microsofts benchmark för molnsäkerhet
- Analys av attackvägar och kontextuella säkerhetsfunktioner i Defender för molnet (förhandsversion)
- Agentlös genomsökning efter Azure- och AWS-datorer (förhandsversion)
- Defender för DevOps (förhandsversion)
- Instrumentpanelen för regelefterlevnad stöder nu manuell kontrollhantering och detaljerad information om Microsofts efterlevnadsstatus
- Automatisk avetablering har bytt namn till Inställningar och övervakning och har en uppdaterad upplevelse
- Defender Cloud Security Posture Management (CSPM) (förhandsversion)
- MITRE ATT&CK-ramverksmappning är nu även tillgängligt för AWS- och GCP-säkerhetsrekommendationer
- Defender for Containers har nu stöd för sårbarhetsbedömning för Elastic Container Registry (förhandsversion)
Tillkännagivande av Microsofts benchmark för molnsäkerhet
Microsoft Cloud Security Benchmark (MCSB) är ett nytt ramverk som definierar grundläggande molnsäkerhetsprinciper baserade på vanliga branschstandarder och efterlevnadsramverk. Tillsammans med detaljerad teknisk vägledning för att implementera dessa metodtips på molnplattformar. MCSB ersätter Azure Security Benchmark. MCSB innehåller beskrivande information om hur du implementerar sina molnagnostiska säkerhetsrekommendationer på flera molntjänstplattformar, som ursprungligen omfattar Azure och AWS.
Nu kan du övervaka din molnsäkerhetsefterlevnad per moln på en enda integrerad instrumentpanel. Du kan se MCSB som standardstandard för efterlevnad när du navigerar till Defender för molnet instrumentpanel för regelefterlevnad.
Microsoft cloud security benchmark tilldelas automatiskt till dina Azure-prenumerationer och AWS-konton när du registrerar Defender för molnet.
Läs mer om Microsofts prestandamått för molnsäkerhet.
Analys av attackvägar och kontextuella säkerhetsfunktioner i Defender för molnet (förhandsversion)
Det nya molnsäkerhetsdiagrammet, analys av attackvägar och kontextuella molnsäkerhetsfunktioner finns nu i Defender för molnet i förhandsversionen.
En av de största utmaningarna som säkerhetsteamen står inför idag är antalet säkerhetsproblem de står inför dagligen. Det finns många säkerhetsproblem som måste lösas och aldrig tillräckligt med resurser för att åtgärda dem alla.
Defender för molnet nya molnsäkerhetsdiagram och analysfunktioner för attackvägar ger säkerhetsteam möjlighet att bedöma risken bakom varje säkerhetsproblem. Säkerhetsteam kan också identifiera de problem med högst risk som behöver lösas snart. Defender för molnet arbetar med säkerhetsteam för att minska risken för ett affektivt intrång i deras miljö på det mest effektiva sättet.
Läs mer om det nya molnsäkerhetsdiagrammet, analys av attackvägar och molnsäkerhetsutforskaren.
Agentlös genomsökning efter Azure- och AWS-datorer (förhandsversion)
Hittills har Defender för molnet baserat sina hållningsbedömningar för virtuella datorer på agentbaserade lösningar. För att hjälpa kunderna att maximera täckningen och minska friktionen mellan registrering och hantering släpper vi agentlös genomsökning för virtuella datorer att förhandsgranska.
Med agentlös genomsökning efter virtuella datorer får du bred insyn i installerade program- och programvaru-CVE:er. Du får insyn utan utmaningar som agentinstallation och -underhåll, nätverksanslutningskrav och prestanda påverkar dina arbetsbelastningar. Analysen drivs av Microsoft Defender – hantering av säkerhetsrisker.
Agentlös sårbarhetsgenomsökning är tillgänglig både i Defender Cloud Security Posture Management (CSPM) och i Defender för servrar P2, med inbyggt stöd för virtuella AWS- och Azure-datorer.
- Läs mer om agentlös genomsökning.
- Ta reda på hur du aktiverar agentlös sårbarhetsbedömning.
Defender för DevOps (förhandsversion)
Microsoft Defender för molnet möjliggör omfattande synlighet, hållningshantering och skydd mot hot i hybridmiljöer och miljöer med flera moln, inklusive Azure, AWS, Google och lokala resurser.
Nu integrerar den nya Defender for DevOps-planen källkodshanteringssystem, till exempel GitHub och Azure DevOps, i Defender för molnet. Med den här nya integreringen ger vi säkerhetsteamen möjlighet att skydda sina resurser från kod till molnet.
Med Defender för DevOps kan du få insyn i och hantera dina anslutna utvecklarmiljöer och kodresurser. För närvarande kan du ansluta Azure DevOps- och GitHub-system till Defender för molnet och registrera DevOps-lagringsplatser till Inventory och den nya DevOps Security-sidan. Det ger säkerhetsteamen en översikt på hög nivå över de identifierade säkerhetsproblem som finns i dem på en enhetlig DevOps-säkerhetssida.
Du kan konfigurera anteckningar på pull-begäranden för att hjälpa utvecklare att hantera hemligheter genomsökningsresultat i Azure DevOps direkt på sina pull-begäranden.
Du kan konfigurera Microsoft Security DevOps-verktygen i Azure Pipelines och GitHub-arbetsflöden för att aktivera följande säkerhetsgenomsökningar:
| Name | Språk | Licens |
|---|---|---|
| Bandit | Python | Apache License 2.0 |
| BinSkim | Binär – Windows, ELF | MIT-licens |
| ESlint | JavaScript | MIT-licens |
| CredScan (endast Azure DevOps) | Credential Scanner (även kallat CredScan) är ett verktyg som utvecklats och underhålls av Microsoft för att identifiera läckage av autentiseringsuppgifter, till exempel de som finns i vanliga typer av källkod och konfigurationsfiler: standardlösenord, SQL anslutningssträng, Certifikat med privata nycklar | Inte öppen källkod |
| Analysera mall | ARM-mall, Bicep-fil | MIT-licens |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Apache License 2.0 |
| Trivy | Containeravbildningar, filsystem, git-lagringsplatser | Apache License 2.0 |
Följande nya rekommendationer är nu tillgängliga för DevOps:
| Rekommendation | beskrivning | Allvarlighetsgrad |
|---|---|---|
| (Förhandsversion) Kodlagringsplatser bör ha kodgenomsökningsresultat lösta | Defender för DevOps har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra säkerhetsstatusen för lagringsplatserna rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip) | Medium |
| (Förhandsversion) Kodlagringsplatser bör ha hemliga genomsökningsresultat lösta | Defender för DevOps har hittat en hemlighet i kodlagringsplatser. Detta bör åtgärdas omedelbart för att förhindra en säkerhetsöverträdelse. Hemligheter som hittas i lagringsplatser kan läckas eller identifieras av angripare, vilket leder till att ett program eller en tjänst komprometteras. För Azure DevOps genomsöker Microsoft Security DevOps CredScan-verktyget endast versioner som det är konfigurerat att köras på. Därför kanske resultaten inte återspeglar den fullständiga statusen för hemligheter i dina lagringsplatser. (Ingen relaterad princip) | Högt |
| (Förhandsversion) Kodlagringsplatser bör ha Dependabot-genomsökningsresultat lösta | Defender för DevOps har hittat säkerhetsrisker i kodlagringsplatser. För att förbättra säkerhetsstatusen för lagringsplatserna rekommenderar vi starkt att du åtgärdar dessa säkerhetsrisker. (Ingen relaterad princip) | Medium |
| (Förhandsversion) Kodlagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts | (Förhandsversion) Kodlagringsplatser bör ha infrastruktur när kodgenomsökningsresultaten har lösts | Medium |
| (Förhandsversion) GitHub-lagringsplatser ska ha kodgenomsökning aktiverat | GitHub använder kodgenomsökning för att analysera kod för att hitta säkerhetsrisker och fel i kod. Kodgenomsökning kan användas för att hitta, sortera och prioritera korrigeringar för befintliga problem i koden. Kodgenomsökning kan också hindra utvecklare från att införa nya problem. Genomsökningar kan schemaläggas för specifika dagar och tider, eller genomsökningar kan utlösas när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Om kodgenomsökningen hittar en potentiell säkerhetsrisk eller ett fel i koden visar GitHub en avisering på lagringsplatsen. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada projektets konfidentialitet, integritet eller tillgänglighet. (Ingen relaterad princip) | Medium |
| (Förhandsversion) GitHub-lagringsplatser ska ha hemlig genomsökning aktiverat | GitHub söker igenom lagringsplatser efter kända typer av hemligheter för att förhindra bedräglig användning av hemligheter som av misstag har checkats in på lagringsplatser. Hemlig genomsökning söker igenom hela Git-historiken på alla grenar som finns på GitHub-lagringsplatsen efter hemligheter. Exempel på hemligheter är token och privata nycklar som en tjänstleverantör kan utfärda för autentisering. Om en hemlighet checkas in på en lagringsplats kan alla som har läsbehörighet till lagringsplatsen använda hemligheten för att komma åt den externa tjänsten med dessa privilegier. Hemligheter ska lagras på en dedikerad och säker plats utanför lagringsplatsen för projektet. (Ingen relaterad princip) | Högt |
| (Förhandsversion) GitHub-lagringsplatser ska ha Dependabot-genomsökning aktiverat | GitHub skickar Dependabot-aviseringar när den identifierar säkerhetsrisker i kodberoenden som påverkar lagringsplatser. En säkerhetsrisk är ett problem i ett projekts kod som kan utnyttjas för att skada konfidentialiteten, integriteten eller tillgängligheten för projektet eller andra projekt som använder koden. Sårbarheter varierar i typ, allvarlighetsgrad och attackmetod. När koden är beroende av ett paket som har en säkerhetsrisk kan det här sårbara beroendet orsaka en rad problem. (Ingen relaterad princip) | Medium |
Defender for DevOps-rekommendationerna ersatte den inaktuella sårbarhetsskannern för CI/CD-arbetsflöden som ingick i Defender för containrar.
Läs mer om Defender för DevOps
Instrumentpanelen för regelefterlevnad stöder nu manuell kontrollhantering och detaljerad information om Microsofts efterlevnadsstatus
Instrumentpanelen för efterlevnad i Defender för molnet är ett viktigt verktyg för kunder. Den hjälper dem att förstå och spåra sin efterlevnadsstatus. Kunder kan kontinuerligt övervaka miljöer i enlighet med krav från många olika standarder och föreskrifter.
Nu kan du helt hantera din efterlevnadsstatus genom att manuellt intyga driftkontroller och andra kontroller. Nu kan du tillhandahålla bevis på efterlevnad för kontroller som inte är automatiserade. Tillsammans med de automatiserade utvärderingarna kan du nu generera en fullständig efterlevnadsrapport inom ett valt omfång som omfattar alla kontroller för en viss standard.
Med mer detaljerad kontrollinformation och ingående detaljer och bevis för Microsoft efterlevnadsstatus har du nu tillgång till all information som krävs för granskningar.
Exempel på nya fördelar:
Manuella kundåtgärder ger en mekanism för att manuellt intyga kompatibilitet med icke-automatiserade kontroller. Inklusive möjligheten att länka bevis, ange ett efterlevnadsdatum och förfallodatum.
Mer detaljerad kontrollinformation för standarder som stöds som visar Microsoft-åtgärder och manuella kundåtgärder utöver de redan befintliga automatiserade kundåtgärderna.
Microsoft-åtgärder ger insyn i Microsofts efterlevnadsstatus som omfattar granskningsbedömningsprocedurer, testresultat och Microsofts svar på avvikelser.
Efterlevnadserbjudanden ger en central plats för att kontrollera Produkter för Azure, Dynamics 365 och Power Platform och deras respektive certifieringar för regelefterlevnad.
Lär dig mer om hur du förbättrar din regelefterlevnad med Defender för molnet.
Automatisk avetablering har bytt namn till Inställningar och övervakning och har en uppdaterad upplevelse
Vi har bytt namn på sidan Automatisk konfiguration till Inställningar och övervakning.
Automatisk avetablering var tänkt att möjliggöra skalning av förhandskrav, vilket krävs av Defender för molnet avancerade funktioner. För att bättre stödja våra utökade funktioner lanserar vi en ny upplevelse med följande ändringar:
Sidan Defender för molnet planer innehåller nu:
- När du aktiverar en Defender-plan som kräver övervakningskomponenter aktiveras dessa komponenter för automatisk etablering med standardinställningar. Du kan redigera de här inställningarna när som helst.
- Du kan komma åt inställningarna för övervakningskomponenten för varje Defender-plan från sidan Defender-plan.
- Sidan Defender-planer visar tydligt om alla övervakningskomponenter finns på plats för varje Defender-plan eller om din övervakningstäckning är ofullständig.
Sidan Inställningar och övervakning:
- Varje övervakningskomponent anger de Defender-planer som den är relaterad till.
Läs mer om hur du hanterar dina övervakningsinställningar.
CsPM (Cloud Security Posture Management)
En av Microsoft Defender för molnet huvudpelare för molnsäkerhet är CSPM (Cloud Security Posture Management). CSPM ger dig härdningsvägledning som hjälper dig att effektivt och effektivt förbättra din säkerhet. CSPM ger dig också insyn i din aktuella säkerhetssituation.
Vi presenterar en ny Defender-plan: Defender CSPM. Den här planen förbättrar säkerhetsfunktionerna i Defender för molnet och innehåller följande nya och utökade funktioner:
- Kontinuerlig utvärdering av säkerhetskonfigurationen för dina molnresurser
- Säkerhetsrekommendationer för att åtgärda felkonfigurationer och svagheter
- Säkerhetspoäng
- Kontroll
- Regelefterlevnad
- Molnsäkerhetsdiagram
- Analys av attackväg
- Agentlös genomsökning efter datorer
Läs mer om Defender CSPM-planen.
MITRE ATT&CK-ramverksmappning är nu även tillgängligt för AWS- och GCP-säkerhetsrekommendationer
För säkerhetsanalytiker är det viktigt att identifiera de potentiella riskerna med säkerhetsrekommendationer och förstå attackvektorerna, så att de effektivt kan prioritera sina uppgifter.
Defender för molnet underlättar prioriteringen genom att mappa säkerhetsrekommendationerna för Azure, AWS och GCP mot MITRE ATT&CK-ramverket. MITRE ATT&CK-ramverket är en globalt tillgänglig kunskapsbas av angreppstaktiker och tekniker baserade på verkliga observationer, vilket gör det möjligt för kunderna att stärka den säkra konfigurationen av sina miljöer.
MITRE ATT&CK-ramverket är integrerat på tre sätt:
- Rekommendationerna mappar till MITRE ATT&CK-taktiker och -tekniker.
- Fråga MITRE ATT&CK-taktiker och tekniker om rekommendationer med hjälp av Azure Resource Graph.
Defender for Containers har nu stöd för sårbarhetsbedömning för Elastic Container Registry (förhandsversion)
Microsoft Defender för containrar tillhandahåller nu agentlös genomsökning av sårbarhetsbedömning för Elastic Container Registry (ECR) i Amazon AWS. Utöka täckningen för miljöer med flera moln och bygger vidare på lanseringen tidigare i år av avancerat skydd mot hot och Kubernetes-miljöhärdning för AWS och Google GCP. Den agentlösa modellen skapar AWS-resurser i dina konton för att genomsöka dina bilder utan att extrahera bilder från dina AWS-konton och utan fotavtryck på din arbetsbelastning.
Genomsökning av agentlös sårbarhetsbedömning efter bilder i ECR-lagringsplatser hjälper till att minska attackytan för din containerbaserade egendom genom att kontinuerligt genomsöka bilder för att identifiera och hantera sårbarheter i containrar. Med den här nya versionen genomsöker Defender för molnet containeravbildningar när de har push-överförts till lagringsplatsen och utvärderar ecr-containeravbildningarna kontinuerligt i registret. Resultaten är tillgängliga i Microsoft Defender för molnet som rekommendationer och du kan använda Defender för molnet inbyggda automatiserade arbetsflöden för att vidta åtgärder mot resultaten, till exempel genom att öppna ett ärende för att åtgärda en säkerhetsrisk med hög allvarlighetsgrad i en bild.
Läs mer om sårbarhetsbedömning för Amazon ECR-avbildningar.
September 2022
Uppdateringar i september inkluderar:
- Ignorera aviseringar baserat på container- och Kubernetes-entiteter
- Defender för servrar stöder övervakning av filintegritet med Azure Monitor-agenten
- Utfasning av API:er för äldre utvärderingar
- Extra rekommendationer har lagts till i identiteten
- Säkerhetsaviseringar för datorer som rapporterar till Log Analytics-arbetsytor mellan klientorganisationer har tagits bort
Ignorera aviseringar baserat på container- och Kubernetes-entiteter
- Kubernetes-namnområde
- Kubernetes Pod
- Kubernetes-hemlighet
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Kubernetes-jobb
- Kubernetes CronJob
Läs mer om regler för aviseringsundertryckning.
Defender för servrar stöder övervakning av filintegritet med Azure Monitor-agenten
Övervakning av filintegritet (FIM) undersöker operativsystemfiler och register för ändringar som kan tyda på ett angrepp.
FIM är nu tillgängligt i en ny version baserad på Azure Monitor Agent (AMA), som du kan distribuera via Defender för molnet.
Läs mer om övervakning av filintegritet med Azure Monitor-agenten.
Utfasning av API:er för äldre utvärderingar
Följande API:er är inaktuella:
- Säkerhetsuppgifter
- Säkerhetsstatusar
- Säkerhetssammanfattningar
Dessa tre API:er exponerade gamla format för utvärderingar och ersätts av API:er för utvärderingar och underutvärderingar. Alla data som exponeras av dessa äldre API:er är också tillgängliga i de nya API:erna.
Extra rekommendationer har lagts till i identiteten
Defender för molnet rekommendationer för att förbättra hanteringen av användare och konton.
Nya rekommendationer
Den nya versionen innehåller följande funktioner:
Utökat utvärderingsomfång – Täckningen förbättras för identitetskonton utan MFA och externa konton på Azure-resurser (i stället för endast prenumerationer) som gör att dina säkerhetsadministratörer kan visa rolltilldelningar per konto.
Förbättrat friskhetsintervall – Identitetsrekommendationerna har nu ett nytthetsintervall på 12 timmar.
Funktionen kontoundantag – Defender för molnet har många funktioner som du kan använda för att anpassa din upplevelse och se till att din säkerhetspoäng återspeglar organisationens säkerhetsprioriteringar. Du kan till exempel undanta resurser och rekommendationer från din säkerhetspoäng.
Med den här uppdateringen kan du undanta specifika konton från utvärdering med de sex rekommendationer som anges i följande tabell.
Vanligtvis skulle du undanta nödkonton för "break glass" från MFA-rekommendationer, eftersom sådana konton ofta avsiktligt utesluts från en organisations MFA-krav. Du kan också ha externa konton som du vill tillåta åtkomst till, som inte har MFA aktiverat.
Dricks
När du undantar ett konto visas det inte som felfritt och det leder inte heller till att en prenumeration visas som felaktig.
Rekommendation Utvärderingsnyckel Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade 6240402e-f77c-46fa-9060-a7ce53997754 Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade c0cb17b2-0607-48a7-b0e0-903ed22de39b Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Gästkonton med ägarbehörighet för Azure-resurser bör tas bort 20606e75-05c4-48c0-9d97-add6daa2109a Gästkonton med skrivbehörighet för Azure-resurser bör tas bort 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Gästkonton med läsbehörighet för Azure-resurser bör tas bort fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort 050ac097-3dda-4d24-ab6d-82568e7a50cf Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Rekommendationerna visas i förhandsversionen bredvid de rekommendationer som för närvarande finns i allmänt tillgänglig information.
Säkerhetsaviseringar för datorer som rapporterar till Log Analytics-arbetsytor mellan klientorganisationer har tagits bort
Tidigare Defender för molnet låta dig välja den arbetsyta som dina Log Analytics-agenter rapporterar till. När en dator tillhörde en klient (klientorganisation A) men dess Log Analytics-agent rapporterade till en arbetsyta i en annan klientorganisation ("Klient B"), rapporterades säkerhetsaviseringar om datorn till den första klientorganisationen (klient A).
Med den här ändringen visas inte längre aviseringar på datorer som är anslutna till Log Analytics-arbetsytan i en annan klientorganisation i Defender för molnet.
Om du vill fortsätta att ta emot aviseringarna i Defender för molnet ansluter du Log Analytics-agenten för de relevanta datorerna till arbetsytan i samma klientorganisation som datorn.
Läs mer om säkerhetsaviseringar.
Augusti 2022
Uppdateringar i augusti inkluderar:
- Sårbarheter för att köra avbildningar visas nu med Defender för containrar i dina Windows-containrar
- Azure Monitor Agent-integrering nu i förhandsversion
- Inaktuella VM-aviseringar om misstänkt aktivitet relaterad till ett Kubernetes-kluster
Sårbarheter för att köra avbildningar visas nu med Defender för containrar i dina Windows-containrar
Defender for Containers visar nu sårbarheter för att köra Windows-containrar.
När sårbarheter identifieras genererar Defender för molnet följande säkerhetsrekommendationslista över identifierade problem: Om du kör containeravbildningar bör sårbarhetsresultaten vara lösta.
Läs mer om att visa sårbarheter för att köra bilder.
Azure Monitor Agent-integrering nu i förhandsversion
Defender för molnet innehåller nu förhandsversionsstöd förAzure Monitor Agent (AMA). AMA är avsett att ersätta den äldre Log Analytics-agenten (även kallad Microsoft Monitoring Agent (MMA)), som är på väg mot utfasning. AMA ger många fördelar jämfört med äldre agenter.
I Defender för molnet distribueras agenten på befintliga och nya virtuella datorer och Azure Arc-aktiverade datorer som identifieras i dina prenumerationer när du aktiverar automatisk avetablering för AMA. Om Defender for Cloud-planer är aktiverade samlar AMA in konfigurationsinformation och händelseloggar från virtuella Azure-datorer och Azure Arc-datorer. AMA-integreringen är i förhandsversion, så vi rekommenderar att du använder den i testmiljöer i stället för i produktionsmiljöer.
Inaktuella VM-aviseringar om misstänkt aktivitet relaterad till ett Kubernetes-kluster
I följande tabell visas de aviseringar som är inaktuella:
| Aviseringsnamn | beskrivning | Taktiker | Allvarlighet |
|---|---|---|---|
| Docker-byggåtgärd identifierad på en Kubernetes-nod (VM_ImageBuildOnNode) |
Datorloggar anger en byggåtgärd av en containeravbildning på en Kubernetes-nod. Även om det här beteendet kan vara legitimt kan angripare skapa sina skadliga avbildningar lokalt för att undvika identifiering. | Försvarsundandragande | Låg |
| Misstänkt begäran till Kubernetes API (VM_KubernetesAPI) |
Datorloggar anger att en misstänkt begäran gjordes till Kubernetes API. Begäran skickades från en Kubernetes-nod, eventuellt från en av containrarna som körs i noden. Även om det här beteendet kan vara avsiktligt kan det tyda på att noden kör en komprometterad container. | LateralMovement | Medium |
| SSH-servern körs i en container (VM_ContainerSSH) |
Datorloggar anger att en SSH-server körs i en Docker-container. Även om det här beteendet kan vara avsiktligt indikerar det ofta att en container är felkonfigurerad eller har brutits. | Körnings- | Medium |
Dessa aviseringar används för att meddela en användare om misstänkt aktivitet som är ansluten till ett Kubernetes-kluster. Aviseringarna ersätts med matchande aviseringar som ingår i Microsoft Defender för molnet Container-aviseringar (K8S.NODE_ImageBuildOnNodeK8S.NODE_ KubernetesAPIoch K8S.NODE_ ContainerSSH) som ger bättre återgivning och omfattande kontext för att undersöka och agera på aviseringarna. Läs mer om aviseringar för Kubernetes-kluster.
Containersårbarheter innehåller nu detaljerad paketinformation
Defender for Container's vulnerability assessment (VA) innehåller nu detaljerad paketinformation för varje sökning, inklusive: paketnamn, pakettyp, sökväg, installerad version och fast version. Med paketinformationen kan du hitta sårbara paket så att du kan åtgärda säkerhetsrisken eller ta bort paketet.
Den här detaljerade paketinformationen är tillgänglig för nya genomsökningar av bilder.
juli 2022
Uppdateringar i juli inkluderar:
- Allmän tillgänglighet (GA) för den molnbaserade säkerhetsagenten för Kubernetes-körningsskydd
- Defender for Containers VA lägger till stöd för identifiering av språkspecifika paket (förhandsversion)
- Skydda mot säkerhetsrisken i Operations Management Infrastructure CVE-2022-29149
- Integrering med Entra-behörighetshantering
- Key Vault-rekommendationer har ändrats till "granskning"
- Inaktuella API-appprinciper för App Service
Allmän tillgänglighet (GA) för den molnbaserade säkerhetsagenten för Kubernetes Runtime-skydd
Vi är glada över att kunna dela med oss av att den molnbaserade säkerhetsagenten för Kubernetes-körningsskydd nu är allmänt tillgänglig (GA)!
Produktionsdistributionerna av Kubernetes-kluster fortsätter att växa allt eftersom kunderna fortsätter att containerisera sina program. För att hjälpa till med den här tillväxten har Defender for Containers-teamet utvecklat en molnbaserad Kubernetes-orienterad säkerhetsagent.
Den nya säkerhetsagenten är en Kubernetes DaemonSet, baserad på eBPF-teknik och är helt integrerad i AKS-kluster som en del av AKS-säkerhetsprofilen.
Aktiveringen av säkerhetsagenten är tillgänglig via automatisk konfiguration, rekommendationer, AKS RP eller i stor skala med hjälp av Azure Policy.
Du kan distribuera Defender-agenten i dag i dina AKS-kluster.
Med det här meddelandet är körningsskyddet – hotidentifiering (arbetsbelastning) nu också allmänt tillgängligt.
Läs mer om tillgängligheten för Defender for Container-funktioner.
Du kan också granska alla tillgängliga aviseringar.
Observera att om du använder förhandsversionen AKS-AzureDefender krävs inte längre funktionsflaggan.
Defender for Containers VA lägger till stöd för identifiering av språkspecifika paket (förhandsversion)
Defender for Containers sårbarhetsbedömning (VA) kan identifiera sårbarheter i OS-paket som distribueras via operativsystemets pakethanterare. Vi har nu utökat VA:s möjligheter att identifiera sårbarheter som ingår i språkspecifika paket.
Den här funktionen är i förhandsversion och är endast tillgänglig för Linux-avbildningar.
Om du vill se alla inkluderade språkspecifika paket som har lagts till kan du läsa Defender for Containers fullständiga lista över funktioner och deras tillgänglighet.
Skydda mot säkerhetsrisken i Operations Management Infrastructure CVE-2022-29149
Operations Management Infrastructure (OMI) är en samling molnbaserade tjänster för hantering av lokala miljöer och molnmiljöer från en enda plats. I stället för att distribuera och hantera lokala resurser finns OMI-komponenter helt i Azure.
Log Analytics som är integrerat med Azure HDInsight som kör OMI version 13 kräver en korrigering för att åtgärda CVE-2022-29149. Läs rapporten om den här säkerhetsrisken i microsofts säkerhetsuppdateringsguide för information om hur du identifierar resurser som påverkas av den här säkerhetsrisken och reparationsstegen.
Om du har Aktiverat Defender för servrar med sårbarhetsbedömning kan du använda den här arbetsboken för att identifiera berörda resurser.
Integrering med Entra-behörighetshantering
Defender för molnet har integrerats med Microsoft Entra – behörighetshantering, en CIEM-lösning (cloud infrastructure entitlement management) som ger omfattande synlighet och kontroll över behörigheter för alla identiteter och resurser i Azure, AWS och GCP.
Varje Azure-prenumeration, AWS-konto och GCP-projekt som du registrerar visar nu en vy över ditt Permission Creep Index (PCI).
Läs mer om Entra-behörighetshantering (tidigare Cloudknox)
Key Vault-rekommendationer har ändrats till "granskning"
Effekten för Key Vault-rekommendationerna som anges här ändrades till "granskning":
| Rekommendationsnamn | Rekommendations-ID |
|---|---|
| Giltighetsperioden för certifikat som lagras i Azure Key Vault får inte överstiga 12 månader | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Key Vault-hemligheter bör ha ett utgångsdatum | 14257785-9437-97fa-11ae-898cfb24302b |
| Key Vault-nycklar bör ha ett förfallodatum | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Inaktuella API-appprinciper för App Service
Vi inaktuella följande principer till motsvarande principer som redan finns för att inkludera API-appar:
| För att bli inaktuell | Ändra till |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Juni 2022
Uppdateringar i juni inkluderar:
- Allmän tillgänglighet (GA) för Microsoft Defender för Azure Cosmos DB
- Allmän tillgänglighet (GA) för Defender för SQL på datorer för AWS- och GCP-miljöer
- Driva implementering av säkerhetsrekommendationer för att förbättra din säkerhetsstatus
- Filtrera säkerhetsaviseringar efter IP-adress
- Aviseringar efter resursgrupp
- Automatisk avetablering av Microsoft Defender för Endpoint enhetlig lösning
- Inaktuell "API-appen ska endast vara tillgänglig via HTTPS"-principen
- Nya Key Vault-aviseringar
Allmän tillgänglighet (GA) för Microsoft Defender för Azure Cosmos DB
Microsoft Defender för Azure Cosmos DB är nu allmänt tillgängligt (GA) och har stöd för API-kontotyper för SQL (core).
Den här nya versionen av GA är en del av Microsoft Defender för molnet databasskyddssviten, som innehåller olika typer av SQL-databaser och MariaDB. Microsoft Defender för Azure Cosmos DB är ett internt Azure-säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB-konton.
Genom att aktivera den här planen får du en avisering om potentiella SQL-inmatningar, kända dåliga aktörer, misstänkta åtkomstmönster och potentiella utforskningar av databasen via komprometterade identiteter eller skadliga insiders.
När potentiellt skadliga aktiviteter identifieras genereras säkerhetsaviseringar. Dessa aviseringar innehåller information om misstänkt aktivitet tillsammans med relevanta undersökningssteg, reparationsåtgärder och säkerhetsrekommendationer.
Microsoft Defender för Azure Cosmos DB analyserar kontinuerligt telemetriströmmen som genereras av Azure Cosmos DB-tjänsterna och korsar dem med Microsoft Threat Intelligence och beteendemodeller för att identifiera misstänkt aktivitet. Defender för Azure Cosmos DB har inte åtkomst till Azure Cosmos DB-kontodata och har ingen effekt på databasens prestanda.
Läs mer om Microsoft Defender för Azure Cosmos DB.
Med tillägg av stöd för Azure Cosmos DB tillhandahåller Defender för molnet nu ett av de mest omfattande arbetsbelastningsskyddserbjudandena för molnbaserade databaser. Säkerhetsteam och databasägare kan nu ha en centraliserad upplevelse för att hantera sin databassäkerhet i sina miljöer.
Lär dig hur du aktiverar skydd för dina databaser.
Allmän tillgänglighet (GA) för Defender för SQL på datorer för AWS- och GCP-miljöer
Databasskyddsfunktionerna som tillhandahålls av Microsoft Defender för molnet har lagt till stöd för dina SQL-servrar som finns i antingen AWS- eller GCP-miljöer.
Företag kan nu skydda hela sin databasegendom i Azure, AWS, GCP och lokala datorer.
Microsoft Defender för SQL ger en enhetlig upplevelse med flera moln för att visa säkerhetsrekommendationer, säkerhetsaviseringar och sårbarhetsbedömningsresultat för både SQL-servern och det understrykande Windows-operativsystemet.
Med hjälp av registreringsmiljön för flera moln kan du aktivera och framtvinga databasskydd för SQL-servrar som körs på AWS EC2, RDS Custom för SQL Server och GCP-beräkningsmotorn. När du har aktiverat något av dessa planer skyddas alla resurser som stöds i prenumerationen. Framtida resurser som skapas i samma prenumeration kommer också att skyddas.
Lär dig hur du skyddar och ansluter din AWS-miljö och din GCP-organisation med Microsoft Defender för molnet.
Driva implementering av säkerhetsrekommendationer för att förbättra din säkerhetsstatus
Dagens ökande hot mot organisationer tänjer på gränserna för säkerhetspersonal för att skydda deras växande arbetsbelastningar. Säkerhetsteamen uppmanas att implementera de skydd som definieras i deras säkerhetsprinciper.
Nu med styrningsupplevelsen i förhandsversionen kan säkerhetsteam tilldela åtgärd av säkerhetsrekommendationer till resursägarna och kräva ett reparationsschema. De kan ha fullständig insyn i förloppet för reparationen och få aviseringar när uppgifter är försenade.
Läs mer om styrningsupplevelsen i Köra din organisation för att åtgärda säkerhetsproblem med rekommendationsstyrning.
Filtrera säkerhetsaviseringar efter IP-adress
I många fall av attacker vill du spåra aviseringar baserat på IP-adressen för den entitet som är inblandad i attacken. Hittills har IP-adressen endast dykt upp i avsnittet "Relaterade entiteter" i det enda aviseringsfönstret. Nu kan du filtrera aviseringarna på sidan säkerhetsaviseringar för att se aviseringarna som är relaterade till IP-adressen, och du kan söka efter en specifik IP-adress.
Aviseringar efter resursgrupp
Möjligheten att filtrera, sortera och gruppera efter resursgrupp läggs till på sidan Säkerhetsaviseringar.
En resursgruppskolumn läggs till i rutnätet för aviseringar.
Ett nytt filter läggs till som gör att du kan visa alla aviseringar för specifika resursgrupper.
Nu kan du även gruppera dina aviseringar efter resursgrupp för att visa alla aviseringar för var och en av dina resursgrupper.
Automatisk avetablering av Microsoft Defender för Endpoint enhetlig lösning
Hittills har integreringen med Microsoft Defender för Endpoint (MDE) inkluderat automatisk installation av den nya MDE-enhetliga lösningen för datorer (Azure-prenumerationer och anslutningsprogram för flera moln) med Defender for Servers Plan 1 aktiverat och för anslutningsprogram för flera moln med Defender for Servers Plan 2 aktiverat. Abonnemang 2 för Azure-prenumerationer aktiverade endast den enhetliga lösningen för Linux-datorer och Windows 2019- och 2022-servrar. Windows-servrarna 2012R2 och 2016 använde den äldre MDE-lösningen som är beroende av Log Analytics-agenten.
Nu är den nya enhetliga lösningen tillgänglig för alla datorer i båda abonnemangen, både för Azure-prenumerationer och anslutningsprogram för flera moln. För Azure-prenumerationer med serverplan 2 som aktiverade MDE-integrering efter den 20 juni 2022 är den enhetliga lösningen aktiverad som standard för alla datorers Azure-prenumerationer med Defender for Servers Plan 2 aktiverat med MDE-integrering före den 20 juni 2022 kan nu aktivera enhetlig lösningsinstallation för Windows-servrarna 2012R2 och 2016 via den dedikerade knappen på sidan Integreringar:
Läs mer om MDE-integrering med Defender för servrar.
Inaktuell "API-appen ska endast vara tillgänglig via HTTPS"-principen
Principen API App should only be accessible over HTTPS är inaktuell. Den här principen ersätts med Web Application should only be accessible over HTTPS principen, som har bytt namn till App Service apps should only be accessible over HTTPS.
Mer information om principdefinitioner för Azure App Service finns i Inbyggda Azure Policy-definitioner för Azure App Service.
Nya Key Vault-aviseringar
För att utöka hotskyddet från Microsoft Defender för Key Vault har vi lagt till två nya aviseringar.
Dessa aviseringar informerar dig om en åtkomst nekad avvikelse, identifieras för något av dina nyckelvalv.
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| Ovanlig åtkomst nekad – Användare som har åtkomst till stora mängder nyckelvalv nekas (KV_DeniedAccountVolumeAnomaly) |
En användare eller tjänstens huvudnamn har försökt komma åt avvikande stora mängder nyckelvalv under de senaste 24 timmarna. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. Vi rekommenderar ytterligare undersökningar. | Identifiering | Låg |
| Ovanlig åtkomst nekad – Ovanlig användare som har åtkomst till nyckelvalvet nekad (KV_UserAccessDeniedAnomaly) |
En nyckelvalvsåtkomst försöktes av en användare som normalt inte har åtkomst till den. Det här avvikande åtkomstmönstret kan vara en legitim aktivitet. Även om det här försöket misslyckades kan det vara en indikation på ett möjligt försök att få åtkomst till nyckelvalvet och hemligheterna i det. | Initial åtkomst, identifiering | Låg |
Maj 2022
Uppdateringar i maj inkluderar:
- Inställningar för flera moln för serverplanen är nu tillgängliga på anslutningsnivå
- JIT-åtkomst (just-in-time) för virtuella datorer är nu tillgänglig för AWS EC2-instanser (förhandsversion)
- Lägga till och ta bort Defender-sensorn för AKS-kluster med hjälp av CLI
Inställningar för flera moln för serverplanen är nu tillgängliga på anslutningsnivå
Det finns nu inställningar på anslutningsnivå för Defender för servrar i flera moln.
De nya inställningarna på anslutningsnivå ger detaljerad information om prissättning och automatisk konfiguration per anslutningsapp, oberoende av prenumerationen.
Alla komponenter för automatisk konfiguration som är tillgängliga på anslutningsnivå (Azure Arc, MDE och sårbarhetsbedömningar) är aktiverade som standard, och den nya konfigurationen stöder prisnivåer för både plan 1 och plan 2.
Uppdateringar i användargränssnittet innehåller en återspegling av den valda prisnivån och de nödvändiga komponenter som konfigurerats.
Ändringar i sårbarhetsbedömning
Defender for Containers visar nu sårbarheter som har medelhög och låg allvarlighetsgrad som inte kan korrigeras.
Som en del av den här uppdateringen visas nu sårbarheter som har medelhög och låg allvarlighetsgrad, oavsett om korrigeringar är tillgängliga eller inte. Den här uppdateringen ger maximal synlighet, men gör att du fortfarande kan filtrera bort oönskade sårbarheter med hjälp av den angivna inaktivera-regeln.
Läs mer om hantering av säkerhetsrisker
JIT-åtkomst (just-in-time) för virtuella datorer är nu tillgänglig för AWS EC2-instanser (förhandsversion)
När du ansluter AWS-konton utvärderar JIT automatiskt nätverkskonfigurationen för din instans säkerhetsgrupper och rekommenderar vilka instanser som behöver skydd för sina exponerade hanteringsportar. Detta liknar hur JIT fungerar med Azure. När du registrerar oskyddade EC2-instanser blockerar JIT offentlig åtkomst till hanteringsportarna och öppnar dem endast med auktoriserade begäranden under en begränsad tidsperiod.
Lär dig hur JIT skyddar dina AWS EC2-instanser
Lägga till och ta bort Defender-sensorn för AKS-kluster med hjälp av CLI
Defender-agenten krävs för att Defender for Containers ska kunna tillhandahålla körningsskydd och samla in signaler från noder. Nu kan du använda Azure CLI för att lägga till och ta bort Defender-agenten för ett AKS-kluster.
Kommentar
Det här alternativet ingår i Azure CLI 3.7 och senare.
April 2022
Uppdateringar i april inkluderar:
- Nya Defender för servrar-planer
- Flytt av anpassade rekommendationer
- PowerShell-skript för att strömma aviseringar till Splunk och QRadar
- Inaktuell rekommendation för Azure Cache for Redis
- Ny aviseringsvariant för Microsoft Defender för lagring (förhandsversion) för att identifiera exponering av känsliga data
- Aviseringsrubrik för containergenomsökning utökad med IP-adressrykte
- Se aktivitetsloggarna som är relaterade till en säkerhetsavisering
Nya Defender för servrar-planer
Microsoft Defender för servrar erbjuds nu i två inkrementella planer:
- Defender för servrar, plan 2, tidigare Defender för servrar
- Defender för servrar, plan 1, ger endast stöd för Microsoft Defender för Endpoint
Defender för servrar plan 2 fortsätter att ge skydd mot hot och sårbarheter i molnet och lokala arbetsbelastningar, men Defender för servrar Plan 1 ger endast slutpunktsskydd som drivs av den inbyggda Defender för Endpoint. Läs mer om Defender for Servers-planer.
Om du har använt Defender för servrar hittills krävs ingen åtgärd.
Dessutom börjar Defender för molnet också gradvis stöd för Defender for Endpoint Unified Agent för Windows Server 2012 R2 och 2016. Defender for Servers Plan 1 distribuerar den nya enhetliga agenten till Windows Server 2012 R2- och 2016-arbetsbelastningar.
Flytt av anpassade rekommendationer
Anpassade rekommendationer är de som skapats av användare och har ingen effekt på säkerhetspoängen. De anpassade rekommendationerna finns nu på fliken Alla rekommendationer.
Använd det nya filtret "rekommendationstyp" för att hitta anpassade rekommendationer.
Läs mer i Skapa anpassade säkerhetsinitiativ och principer.
PowerShell-skript för att strömma aviseringar till Splunk och IBM QRadar
Vi rekommenderar att du använder Event Hubs och en inbyggd anslutningsapp för att exportera säkerhetsaviseringar till Splunk och IBM QRadar. Nu kan du använda ett PowerShell-skript för att konfigurera de Azure-resurser som behövs för att exportera säkerhetsaviseringar för din prenumeration eller klientorganisation.
Ladda bara ned och kör PowerShell-skriptet. När du har angett några detaljer om din miljö konfigurerar skriptet resurserna åt dig. Skriptet genererar sedan utdata som du använder i SIEM-plattformen för att slutföra integreringen.
Mer information finns i Stream-aviseringar till Splunk och QRadar.
Inaktuell rekommendation för Azure Cache for Redis
Rekommendationen Azure Cache for Redis should reside within a virtual network (förhandsversion) är inaktuell. Vi har ändrat vår vägledning för att skydda Azure Cache for Redis-instanser. Vi rekommenderar att du använder en privat slutpunkt för att begränsa åtkomsten till din Azure Cache for Redis-instans i stället för ett virtuellt nätverk.
Ny aviseringsvariant för Microsoft Defender för lagring (förhandsversion) för att identifiera exponering av känsliga data
Microsoft Defender for Storages aviseringar meddelar dig när hotaktörer försöker genomsöka och exponera, korrekt eller inte, felkonfigurerade, offentligt öppna lagringscontainrar för att försöka exfiltera känslig information.
För att möjliggöra snabbare sortering och svarstid, när exfiltrering av potentiellt känsliga data kan ha inträffat, har vi släppt en ny variant av den befintliga Publicly accessible storage containers have been exposed aviseringen.
Den nya aviseringen, Publicly accessible storage containers with potentially sensitive data have been exposed, utlöses med allvarlighetsgrad High , efter en lyckad identifiering av en offentligt öppen lagringscontainer med namn som statistiskt sett sällan har exponerats offentligt, vilket tyder på att de kan innehålla känslig information.
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| FÖRHANDSVERSION – Offentligt tillgängliga lagringscontainrar med potentiellt känsliga data har exponerats (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Någon har skannat ditt Azure Storage-konto och exponerat containrar som tillåter offentlig åtkomst. En eller flera av de exponerade containrarna har namn som anger att de kan innehålla känsliga data. Detta indikerar vanligtvis rekognosering av en hotskådespelare som söker efter felkonfigurerade offentligt tillgängliga lagringscontainrar som kan innehålla känsliga data. När en hotskådespelare har upptäckt en container kan de fortsätta genom att exfiltratera data. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Samling | Högt |
Aviseringsrubrik för containergenomsökning utökad med IP-adressrykte
En IP-adresss rykte kan ange om genomsökningsaktiviteten kommer från en känd hotskådespelare eller från en aktör som använder Tor-nätverket för att dölja sin identitet. Båda dessa indikatorer tyder på att det finns skadlig avsikt. IP-adressens rykte tillhandahålls av Microsoft Threat Intelligence.
Tillägget av IP-adressens rykte till aviseringstiteln ger ett sätt att snabbt utvärdera aktörens avsikt och därmed hotets allvarlighetsgrad.
Följande aviseringar innehåller den här informationen:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Den tillagda informationen i aviseringens Publicly accessible storage containers have been exposed rubrik ser till exempel ut så här:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Alla aviseringar för Microsoft Defender för Lagring fortsätter att innehålla information om hotinformation i IP-entiteten under aviseringens avsnitt Relaterade entiteter.
Se aktivitetsloggarna som är relaterade till en säkerhetsavisering
Som en del av de åtgärder du kan vidta för att utvärdera en säkerhetsavisering hittar du relaterade plattformsloggar i Granska resurskontext för att få kontext om den berörda resursen. Microsoft Defender för molnet identifierar plattformsloggar som ligger inom en dag efter aviseringen.
Plattformsloggarna kan hjälpa dig att utvärdera säkerhetshotet och identifiera de steg du kan vidta för att minska den identifierade risken.
Mars 2022
Uppdateringar i mars inkluderar:
- Global tillgänglighet för säkerhetspoäng för AWS- och GCP-miljöer
- Inaktuella rekommendationer för att installera datainsamlingsagenten för nätverkstrafik
- Defender for Containers kan nu söka efter sårbarheter i Windows-avbildningar (förhandsversion)
- Ny avisering för Microsoft Defender för Lagring (förhandsversion)
- Konfigurera inställningar för e-postaviseringar från en avisering
- Inaktuell förhandsgranskningsavisering: ARM. MCAS_ActivityFromAnonymousIPAddresses
- Flyttade rekommendationen Sårbarheter i containersäkerhetskonfigurationer bör åtgärdas från säkerhetspoängen till bästa praxis
- Inaktuell rekommendation om att använda tjänstens huvudnamn för att skydda dina prenumerationer
- Äldre implementering av ISO 27001 ersatt med nytt ISO 27001:2013-initiativ
- Inaktuella rekommendationer för Microsoft Defender for IoT-enheter
- Inaktuella Aviseringar för Microsoft Defender för IoT-enheter
- Hållningshantering och skydd mot hot för AWS och GCP som släppts för allmän tillgänglighet (GA)
- Registersökning efter Windows-avbildningar i ACR har lagt till stöd för nationella moln
Global tillgänglighet för säkerhetspoäng för AWS- och GCP-miljöer
Funktionerna för hantering av molnsäkerhetsstatus som tillhandahålls av Microsoft Defender för molnet har nu lagt till stöd för dina AWS- och GCP-miljöer i din säkerhetspoäng.
Företag kan nu visa sin övergripande säkerhetsstatus i olika miljöer, till exempel Azure, AWS och GCP.
Sidan Säkerhetspoäng ersätts med instrumentpanelen säkerhetsstatus. Med instrumentpanelen säkerhetsstatus kan du visa en övergripande kombinerad poäng för alla dina miljöer, eller en uppdelning av din säkerhetsstatus baserat på valfri kombination av miljöer som du väljer.
Sidan Rekommendationer har också gjorts om för att ge nya funktioner som: val av molnmiljö, avancerade filter baserat på innehåll (resursgrupp, AWS-konto, GCP-projekt med mera), förbättrat användargränssnitt med låg upplösning, stöd för öppen fråga i resursdiagram med mera. Du kan lära dig mer om din övergripande säkerhetsstatus och säkerhetsrekommendationer.
Inaktuella rekommendationer för att installera datainsamlingsagenten för nätverkstrafik
Ändringar i vår översikt och prioriteringar har tagit bort behovet av datainsamlingsagenten för nätverkstrafik. Följande två rekommendationer och deras relaterade principer var inaktuella.
| Rekommendation | beskrivning | Allvarlighetsgrad |
|---|---|---|
| Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Defender för molnet använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | Medium |
| Datainsamlingsagenten för nätverkstrafik ska installeras på virtuella Windows-datorer | Defender för molnet använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | Medium |
Defender for Containers kan nu söka efter sårbarheter i Windows-avbildningar (förhandsversion)
Defender for Containers avbildningsgenomsökning stöder nu Windows-avbildningar som finns i Azure Container Registry. Den här funktionen är kostnadsfri medan den är i förhandsversion och medför en kostnad när den blir allmänt tillgänglig.
Läs mer i Använda Microsoft Defender för container för att genomsöka dina avbildningar efter säkerhetsrisker.
Ny avisering för Microsoft Defender för Lagring (förhandsversion)
För att utöka hotskyddet från Microsoft Defender för Lagring har vi lagt till en ny förhandsversionsavisering.
Hotaktörer använder program och verktyg för att identifiera och komma åt lagringskonton. Microsoft Defender för Storage identifierar dessa program och verktyg så att du kan blockera dem och åtgärda din hållning.
Den här förhandsgranskningsaviseringen kallas Access from a suspicious application. Aviseringen är relevant för Azure Blob Storage och endast ADLS Gen2.
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| FÖRHANDSVERSION – Åtkomst från ett misstänkt program (Storage.Blob_SuspiciousApp) |
Anger att ett misstänkt program har åtkomst till en container för ett lagringskonto med autentisering. Detta kan tyda på att en angripare har fått de autentiseringsuppgifter som krävs för att komma åt kontot och utnyttjar det. Detta kan också vara en indikation på ett intrångstest som utförs i din organisation. Gäller för: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Inledande åtkomst | Medium |
Konfigurera inställningar för e-postaviseringar från en avisering
Ett nytt avsnitt har lagts till i aviseringen Användargränssnitt (UI) som gör att du kan visa och redigera vem som ska ta emot e-postaviseringar för aviseringar som utlöses i den aktuella prenumerationen.
Lär dig hur du konfigurerar e-postaviseringar för säkerhetsaviseringar.
Inaktuell förhandsgranskningsavisering: ARM. MCAS_ActivityFromAnonymousIPAddresses
Följande förhandsgranskningsavisering är inaktuell:
| Aviseringsnamn | beskrivning |
|---|---|
| FÖRHANDSVERSION – Aktivitet från en riskabel IP-adress (ARM. MCAS_ActivityFromAnonymousIPAddresses) |
Användaraktivitet från en IP-adress som har identifierats som en anonym proxy-IP-adress har identifierats. Dessa proxyservrar används av personer som vill dölja sin enhets IP-adress och kan användas för skadlig avsikt. Den här identifieringen använder en maskininlärningsalgoritm som minskar falska positiva identifieringar, till exempel felmärkta IP-adresser som ofta används av användare i organisationen. Kräver en aktiv Microsoft Defender för molnet Apps-licens. |
En ny avisering skapades som ger den här informationen och lägger till den. Dessutom kräver inte de nyare aviseringarna (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) någon licens för Microsoft Defender för molnet Apps (kallades tidigare Microsoft Cloud App Security).
Se fler aviseringar för Resource Manager.
Flyttade rekommendationen Sårbarheter i containersäkerhetskonfigurationer bör åtgärdas från säkerhetspoängen till bästa praxis
Rekommendationen Vulnerabilities in container security configurations should be remediated flyttades från avsnittet säkerhetspoäng till avsnittet metodtips.
Den aktuella användarupplevelsen ger bara poängen när alla efterlevnadskontroller har passerat. De flesta kunder har problem med att uppfylla alla nödvändiga kontroller. Vi arbetar på en förbättrad upplevelse för den här rekommendationen och när rekommendationen har släppts flyttas den tillbaka till säkerhetspoängen.
Inaktuell rekommendation om att använda tjänstens huvudnamn för att skydda dina prenumerationer
När organisationer går från att använda hanteringscertifikat för att hantera sina prenumerationer och vårt senaste meddelande om att vi drar tillbaka cloud services-distributionsmodellen (klassisk) har vi föråldrat följande Defender för molnet rekommendation och dess relaterade princip:
| Rekommendation | beskrivning | Allvarlighetsgrad |
|---|---|---|
| Tjänstens huvudnamn ska användas för att skydda dina prenumerationer i stället för hanteringscertifikat | Med hanteringscertifikat kan alla som autentiserar med dem hantera de prenumerationer som de är associerade med. Om du vill hantera prenumerationer på ett säkrare sätt rekommenderar vi att du använder tjänstens huvudnamn med Resource Manager för att begränsa explosionsradien om ett certifikat komprometteras. Den automatiserar även resurshantering. (Relaterad princip: Tjänstens huvudnamn ska användas för att skydda dina prenumerationer i stället för hanteringscertifikat) |
Medium |
Läs mer:
- Distributionsmodellen för Cloud Services (klassisk) upphör den 31 augusti 2024
- Översikt över Azure Cloud Services (klassisk)
- Arbetsflöde för klassisk arkitektur för virtuella Datorer i Microsoft Azure – inklusive grunderna i RDFE-arbetsflöde
Äldre implementering av ISO 27001 ersatt med nytt ISO 27001:2013-initiativ
Den äldre implementeringen av ISO 27001 togs bort från Defender för molnet instrumentpanel för regelefterlevnad. Om du spårar din ISO 27001-efterlevnad med Defender för molnet registrerar du den nya ISO 27001:2013-standarden för alla relevanta hanteringsgrupper eller prenumerationer.
Inaktuella rekommendationer för Microsoft Defender for IoT-enheter
Rekommendationerna för Microsoft Defender för IoT-enheter visas inte längre i Microsoft Defender för molnet. De här rekommendationerna är fortfarande tillgängliga på sidan Rekommendationer för Microsoft Defender för IoT.
Följande rekommendationer är inaktuella:
| Utvärderingsnyckel | Rekommendationer |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT-enheter | Öppna portar på enheten |
| ba975338-f956-41e7-a9f2-7614832d382d: IoT-enheter | Tillåten brandväggsregel i indatakedjan hittades |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT-enheter | Tillåten brandväggsprincip i en av kedjorna hittades |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT-enheter | Tillåten brandväggsregel i utdatakedjan hittades |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT-enheter | Valideringsfel för operativsystemets baslinje |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT-enheter | Agent som skickar underutnytttagna meddelanden |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT-enheter | Uppgradering av TLS-chifferpaket krävs |
| d74d2738-2485-4103-9919-69c7e63776ec: IoT-enheter | Auditd processen slutade skicka händelser |
Inaktuella Aviseringar för Microsoft Defender för IoT-enheter
Alla aviseringar från Microsofts Defender for IoT-enheter visas inte längre i Microsoft Defender för molnet. De här aviseringarna är fortfarande tillgängliga på sidan Avisering för Microsoft Defender för IoT och i Microsoft Sentinel.
Hållningshantering och skydd mot hot för AWS och GCP som släppts för allmän tillgänglighet (GA)
Defender för molnet CSPM-funktioner utökas till dina AWS- och GCP-resurser. Den här agentlösa planen utvärderar dina multimolnresurser enligt molnspecifika säkerhetsrekommendationer som ingår i din säkerhetspoäng. Resurserna utvärderas för efterlevnad med hjälp av de inbyggda standarderna. Defender för molnet tillgångslagersida är en funktion med flera moln som gör att du kan hantera dina AWS-resurser tillsammans med dina Azure-resurser.
Microsoft Defender för servrar ger hotidentifiering och avancerat skydd till dina beräkningsinstanser i AWS och GCP. Defender for Servers-planen innehåller en integrerad licens för Microsoft Defender för Endpoint, genomsökning av sårbarhetsbedömning med mera. Lär dig mer om alla funktioner som stöds för virtuella datorer och servrar. Med funktioner för automatisk registrering kan du enkelt ansluta befintliga eller nya beräkningsinstanser som identifieras i din miljö.
Lär dig hur du skyddar och ansluter din AWS-miljö och GCP-organisation med Microsoft Defender för molnet.
Registersökning efter Windows-avbildningar i ACR har lagt till stöd för nationella moln
Registersökning efter Windows-avbildningar stöds nu i Azure Government och Microsoft Azure som drivs av 21Vianet. Det här tillägget är för närvarande i förhandsversion.
Läs mer om tillgängligheten för vår funktion.
Februari 2022
Uppdateringar i februari inkluderar:
- Kubernetes-arbetsbelastningsskydd för Arc-aktiverade Kubernetes-kluster
- Inbyggd CSPM för GCP och skydd mot hot för GCP-beräkningsinstanser
- Microsoft Defender för Azure Cosmos DB-plan som släppts för förhandsversion
- Hotskydd för GKE-kluster (Google Kubernetes Engine)
Kubernetes-arbetsbelastningsskydd för Arc-aktiverade Kubernetes-kluster
Defender for Containers skyddade tidigare endast Kubernetes-arbetsbelastningar som körs i Azure Kubernetes Service. Nu har vi utökat skyddstäckningen till att omfatta Azure Arc-aktiverade Kubernetes-kluster.
Lär dig hur du konfigurerar ditt Kubernetes-arbetsbelastningsskydd för AKS- och Azure Arc-aktiverade Kubernetes-kluster.
Inbyggd CSPM för GCP och skydd mot hot för GCP-beräkningsinstanser
Med den nya automatiserade registreringen av GCP-miljöer kan du skydda GCP-arbetsbelastningar med Microsoft Defender för molnet. Defender för molnet skyddar dina resurser med följande planer:
Defender för molnet CSPM-funktioner utökas till dina GCP-resurser. Den här agentlösa planen utvärderar dina GCP-resurser enligt de GCP-specifika säkerhetsrekommendationer som tillhandahålls med Defender för molnet. GCP-rekommendationer ingår i din säkerhetspoäng och resurserna utvärderas för kompatibilitet med den inbyggda GCP CIS-standarden. Defender för molnet tillgångslagersida är en funktion med flera moln som hjälper dig att hantera dina resurser i Azure, AWS och GCP.
Microsoft Defender för servrar ger hotidentifiering och avancerat skydd till dina GCP-beräkningsinstanser. Den här planen innehåller den integrerade licensen för Microsoft Defender för Endpoint, genomsökning av sårbarhetsbedömning med mera.
En fullständig lista över tillgängliga funktioner finns i Funktioner som stöds för virtuella datorer och servrar. Med funktioner för automatisk registrering kan du enkelt ansluta befintliga och nya beräkningsinstanser som identifieras i din miljö.
Lär dig hur du skyddar och ansluter dina GCP-projekt med Microsoft Defender för molnet.
Microsoft Defender för Azure Cosmos DB-plan som släppts för förhandsversion
Vi har utökat Microsoft Defender för molnet databastäckning. Nu kan du aktivera skydd för dina Azure Cosmos DB-databaser.
Microsoft Defender för Azure Cosmos DB är ett Azure-inbyggt säkerhetslager som identifierar alla försök att utnyttja databaser i dina Azure Cosmos DB-konton. Microsoft Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Threat Intelligence, misstänkta åtkomstmönster och potentiellt utnyttjande av databasen via komprometterade identiteter eller skadliga insiders.
Den analyserar kontinuerligt kunddataströmmen som genereras av Azure Cosmos DB-tjänsterna.
När potentiellt skadliga aktiviteter identifieras genereras säkerhetsaviseringar. Dessa aviseringar visas i Microsoft Defender för molnet tillsammans med information om den misstänkta aktiviteten tillsammans med relevanta undersökningssteg, reparationsåtgärder och säkerhetsrekommendationer.
Databasprestanda påverkas inte när tjänsten aktiveras eftersom Defender för Azure Cosmos DB inte har åtkomst till Azure Cosmos DB-kontodata.
Läs mer i Översikt över Microsoft Defender för Azure Cosmos DB.
Vi introducerar också en ny aktiveringsupplevelse för databassäkerhet. Nu kan du aktivera Microsoft Defender för molnet skydd för din prenumeration för att skydda alla databastyper, till exempel Azure Cosmos DB, Azure SQL Database, Azure SQL-servrar på datorer och Microsoft Defender för relationsdatabaser med öppen källkod genom en aktiveringsprocess. Specifika resurstyper kan inkluderas eller exkluderas genom att du konfigurerar din plan.
Lär dig hur du aktiverar din databassäkerhet på prenumerationsnivå.
Hotskydd för GKE-kluster (Google Kubernetes Engine)
Efter vårt senaste meddelande om inbyggd CSPM för GCP och skydd mot hot för GCP-beräkningsinstanser har Microsoft Defender för containrar utökat sitt Kubernetes-hotskydd, beteendeanalys och inbyggda principer för antagningskontroll till Googles Kubernetes Engine-standardkluster. Du kan enkelt registrera befintliga eller nya GKE Standard-kluster i din miljö via våra funktioner för automatisk registrering. Se Containersäkerhet med Microsoft Defender för molnet för en fullständig lista över tillgängliga funktioner.
Januari 2022
Uppdateringar i januari inkluderar:
- Microsoft Defender för Resource Manager har uppdaterats med nya aviseringar och större fokus på högriskåtgärder som mappas till MITRE ATT&CK-matris®
- Rekommendationer för att aktivera planer i Microsoft Defender på arbetsytor (i förhandsversion)
- Autoetablera Log Analytics-agenten till Azure Arc-aktiverade datorer (förhandsversion)
- Inaktuell rekommendation för att klassificera känsliga data i SQL-databaser
- Kommunikation med misstänkt domänavisering utökad till att omfatta kända Log4Shell-relaterade domäner
- Knappen Kopiera aviserings-JSON har lagts till i fönstret med information om säkerhetsaviseringar
- Två rekommendationer har bytt namn
- Inaktuella Kubernetes-klustercontainrar bör endast lyssna på tillåtna portprinciper
- Arbetsboken "Aktiva aviseringar" har lagts till
- Rekommendationen "Systemuppdatering" har lagts till i myndighetsmolnet
Microsoft Defender för Resource Manager har uppdaterats med nya aviseringar och större fokus på högriskåtgärder som mappas till MITRE ATT&CK-matris®
Molnhanteringsskiktet är en viktig tjänst som är ansluten till alla dina molnresurser. På grund av detta är det också ett potentiellt mål för angripare. Vi rekommenderar att säkerhetsåtgärdsteam noggrant övervakar resurshanteringslagret.
Microsoft Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation, oavsett om de utförs via Azure Portal, Azure REST API:er, Azure CLI eller andra Programmatiska Azure-klienter. Defender för molnet kör avancerad säkerhetsanalys för att identifiera hot och aviseringar om misstänkt aktivitet.
Planens skydd förbättrar avsevärt en organisations motståndskraft mot attacker från hotaktörer och ökar avsevärt antalet Azure-resurser som skyddas av Defender för molnet.
I december 2020 introducerade vi förhandsversionen av Defender för Resource Manager och i maj 2021 släpptes planen för allmän tillgänglighet.
Med den här uppdateringen har vi ändrat fokus i Microsoft Defender för Resource Manager-planen. Den uppdaterade planen innehåller många nya aviseringar som fokuserar på att identifiera misstänkt anrop av högriskåtgärder. Dessa nya aviseringar ger omfattande övervakning av attacker i hela MITRE ATT&CK-matrisen® för molnbaserade tekniker.
Den här matrisen omfattar följande typer av potentiella avsikter hos hotaktörer som kan rikta in sig på organisationens resurser: Inledande åtkomst, körning, beständighet, privilegiereskalering, skyddundandragande, åtkomst till autentiseringsuppgifter, identifiering, lateral rörelse, samling, exfiltrering och påverkan.
De nya aviseringarna för den här Defender-planen omfattar dessa avsikter enligt följande tabell.
Dricks
Aviseringarna visas också på aviseringsreferenssidan.
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (avsikter) | Allvarlighet |
|---|---|---|---|
| Misstänkt anrop av en högriskåtgärd för "initial åtkomst" har identifierats (förhandsversion) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt begränsade resurser. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att få inledande åtkomst till begränsade resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Inledande åtkomst | Medium |
| Misstänkt anrop av en högriskåtgärd för körning har identifierats (förhandsversion) (ARM_AnomalousOperation.Execution) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd på en dator i din prenumeration, vilket kan tyda på ett försök att köra kod. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Körnings- | Medium |
| Misstänkt anrop av en högriskåtgärd för beständighet har identifierats (förhandsversion) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att fastställa beständighet. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotaktör använda sådana åtgärder för att etablera beständighet i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Bevarande | Medium |
| Misstänkt anrop av en högriskåtgärd för "Privilege Escalation" har identifierats (förhandsversion) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att eskalera privilegier. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att eskalera privilegier samtidigt som resurserna i din miljö äventyras. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Privilegieeskalering | Medium |
| Misstänkt anrop av en högriskåtgärd för "försvarsundandragande" har identifierats (förhandsversion) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att undvika skydd. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera säkerhetsstatusen i sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att undvika att identifieras samtidigt som resurser i din miljö komprometteras. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Försvarsundandragande | Medium |
| Misstänkt anrop av en högriskåtgärd för åtkomst till autentiseringsuppgifter har identifierats (förhandsversion) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att komma åt autentiseringsuppgifter. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna komma åt sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Åtkomst till autentiseringsuppgifter | Medium |
| Misstänkt anrop av en högriskåtgärd för lateral förflyttning har identifierats (förhandsversion) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att utföra lateral förflyttning. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att kompromettera ytterligare resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Sidorörelser | Medium |
| Misstänkt anrop av en högriskåtgärd för datainsamling har identifierats (förhandsversion) (ARM_AnomalousOperation.Collection) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök att samla in data. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotakterare använda sådana åtgärder för att samla in känsliga data om resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Samling | Medium |
| Misstänkt anrop av en högriskåtgärd för påverkan har identifierats (förhandsversion) (ARM_AnomalousOperation.Impact) |
Microsoft Defender för Resource Manager identifierade ett misstänkt anrop av en högriskåtgärd i din prenumeration, vilket kan tyda på ett försök till konfigurationsändring. De identifierade åtgärderna är utformade för att administratörer effektivt ska kunna hantera sina miljöer. Även om den här aktiviteten kan vara legitim kan en hotskådespelare använda sådana åtgärder för att få åtkomst till begränsade autentiseringsuppgifter och kompromettera resurser i din miljö. Detta kan tyda på att kontot har komprometterats och används med skadlig avsikt. | Påverkan | Medium |
Dessutom har dessa två aviseringar från den här planen kommit från förhandsversionen:
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik (avsikter) | Allvarlighet |
|---|---|---|---|
| Azure Resource Manager-åtgärd från misstänkt IP-adress (ARM_OperationFromSuspiciousIP) |
Microsoft Defender för Resource Manager har identifierat en åtgärd från en IP-adress som har markerats som misstänkt i hotinformationsflöden. | Körnings- | Medium |
| Azure Resource Manager-åtgärd från misstänkt proxy-IP-adress (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender för Resource Manager identifierade en resurshanteringsåtgärd från en IP-adress som är associerad med proxytjänster, till exempel TOR. Även om det här beteendet kan vara legitimt, visas det ofta i skadliga aktiviteter, när hotaktörer försöker dölja sin käll-IP. | Försvarsundandragande | Medium |
Rekommendationer för att aktivera Microsoft Defender-planer på arbetsytor (i förhandsversion)
För att kunna dra nytta av alla säkerhetsfunktioner som är tillgängliga från Microsoft Defender för servrar och Microsoft Defender för SQL på datorer måste planerna vara aktiverade på både prenumerations- och arbetsytenivå.
När en dator finns i en prenumeration med något av dessa abonnemang aktiverat debiteras du för det fullständiga skyddet. Men om datorn rapporterar till en arbetsyta utan att planen är aktiverad får du inte dessa fördelar.
Vi har lagt till två rekommendationer som belyser arbetsytor utan dessa planer aktiverade, som ändå har datorer som rapporterar till dem från prenumerationer som har planen aktiverad.
De två rekommendationerna, som båda erbjuder automatiserad reparation (åtgärden Åtgärda), är:
| Rekommendation | beskrivning | Allvarlighetsgrad |
|---|---|---|
| Microsoft Defender för servrar ska vara aktiverat på arbetsytor | Microsoft Defender för servrar ger hotidentifiering och avancerat skydd för dina Windows- och Linux-datorer. Med den här Defender-planen aktiverad i dina prenumerationer, men inte på dina arbetsytor, betalar du för den fulla kapaciteten i Microsoft Defender för servrar men går miste om några av fördelarna. När du aktiverar Microsoft Defender för servrar på en arbetsyta debiteras alla datorer som rapporterar till den arbetsytan för Microsoft Defender för servrar – även om de finns i prenumerationer utan att Defender-planer är aktiverade. Om du inte också aktiverar Microsoft Defender för servrar i prenumerationen kan dessa datorer inte dra nytta av just-in-time-åtkomst till virtuella datorer, anpassningsbara programkontroller och nätverksidentifieringar för Azure-resurser. Läs mer i Översikt över Microsoft Defender för servrar. (Ingen relaterad princip) |
Medium |
| Microsoft Defender för SQL på datorer ska vara aktiverat på arbetsytor | Microsoft Defender för servrar ger hotidentifiering och avancerat skydd för dina Windows- och Linux-datorer. Med den här Defender-planen aktiverad i dina prenumerationer, men inte på dina arbetsytor, betalar du för den fulla kapaciteten i Microsoft Defender för servrar men går miste om några av fördelarna. När du aktiverar Microsoft Defender för servrar på en arbetsyta debiteras alla datorer som rapporterar till den arbetsytan för Microsoft Defender för servrar – även om de finns i prenumerationer utan att Defender-planer är aktiverade. Om du inte också aktiverar Microsoft Defender för servrar i prenumerationen kan dessa datorer inte dra nytta av just-in-time-åtkomst till virtuella datorer, anpassningsbara programkontroller och nätverksidentifieringar för Azure-resurser. Läs mer i Översikt över Microsoft Defender för servrar. (Ingen relaterad princip) |
Medium |
Autoetablera Log Analytics-agenten till Azure Arc-aktiverade datorer (förhandsversion)
Defender för molnet använder Log Analytics-agenten för att samla in säkerhetsrelaterade data från datorer. Agenten läser olika säkerhetsrelaterade konfigurationer och händelseloggar och kopierar data till din arbetsyta för analys.
Defender för molnet inställningar för automatisk konfiguration har en växlingsknapp för varje typ av tillägg som stöds, inklusive Log Analytics-agenten.
I en ytterligare expansion av våra hybridmolnfunktioner har vi lagt till ett alternativ för att automatiskt etablera Log Analytics-agenten på datorer som är anslutna till Azure Arc.
Precis som med de andra alternativen för automatisk avetablering konfigureras detta på prenumerationsnivå.
När du aktiverar det här alternativet uppmanas du att ange arbetsytan.
Kommentar
För den här förhandsversionen kan du inte välja de standardarbetsytor som skapades av Defender för molnet. Kontrollera att du har den relevanta säkerhetslösningen installerad på den valda arbetsytan för att säkerställa att du får den fullständiga uppsättningen säkerhetsfunktioner som är tillgängliga för De Azure Arc-aktiverade servrarna.
Inaktuell rekommendation för att klassificera känsliga data i SQL-databaser
Vi har tagit bort rekommendationen Känsliga data i dina SQL-databaser ska klassificeras som en del av en översyn av hur Defender för molnet identifierar och skyddar känsligt datum i dina molnresurser.
Förvarning om den här ändringen visades under de senaste sex månaderna på sidan Viktiga kommande ändringar i Microsoft Defender för molnet.
Kommunikation med misstänkt domänavisering utökad till att omfatta kända Log4Shell-relaterade domäner
Följande avisering var tidigare endast tillgänglig för organisationer som hade aktiverat Microsoft Defender för DNS-planen .
Med den här uppdateringen visas även aviseringen för prenumerationer med Microsoft Defender för servrar eller Defender för App Service-planen aktiverad.
Dessutom har Microsoft Threat Intelligence utökat listan över kända skadliga domäner till att omfatta domäner som är associerade med att utnyttja de allmänt offentliggjorda säkerhetsrisker som är associerade med Log4j.
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| Kommunikation med misstänkt domän identifierad av hotinformation (AzureDNS_ThreatIntelSuspectDomain) |
Kommunikation med misstänkt domän upptäcktes genom att analysera DNS-transaktioner från din resurs och jämföra med kända skadliga domäner som identifierats av hotinformationsflöden. Kommunikation till skadliga domäner utförs ofta av angripare och kan innebära att din resurs komprometteras. | Initial åtkomst/beständighet/körning/kommando och kontroll/utnyttjande | Medium |
Knappen Kopiera aviserings-JSON har lagts till i fönstret med information om säkerhetsaviseringar
För att hjälpa våra användare att snabbt dela information om en avisering med andra (till exempel SOC-analytiker, resursägare och utvecklare) har vi lagt till funktionen för att enkelt extrahera all information om en specifik avisering med en knapp från säkerhetsaviseringens informationsfönster.
Den nya kopieringsaviseringens JSON-knapp placerar aviseringens information i JSON-format i användarens Urklipp.
Två rekommendationer har bytt namn
För konsekvens med andra rekommendationsnamn har vi bytt namn på följande två rekommendationer:
Rekommendation för att lösa sårbarheter som identifieras i containeravbildningar som körs
- Tidigare namn: Sårbarheter i att köra containeravbildningar bör åtgärdas (drivs av Qualys)
- Nytt namn: Om du kör containeravbildningar bör sårbarhetsresultaten vara lösta
Rekommendation för att aktivera diagnostikloggar för Azure App Service
- Tidigare namn: Diagnostikloggar ska vara aktiverade i App Service
- Nytt namn: Diagnostikloggar i App Service ska vara aktiverade
Inaktuella Kubernetes-klustercontainrar bör endast lyssna på tillåtna portprinciper
Vi har inaktuella Kubernetes-klustercontainrar bör bara lyssna på rekommendationen tillåtna portar .
| Principnamn | beskrivning | Effekter | Version |
|---|---|---|---|
| Kubernetes-klustercontainrar bör bara lyssna på tillåtna portar | Begränsa containrar till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS Engine och Azure Arc-aktiverade Kubernetes. Mer information finns i Förstå Azure Policy för Kubernetes-kluster. | audit, neka, inaktiverad | 6.1.2 |
Tjänsterna bör lyssna på tillåtna portar endast rekommendation bör användas för att begränsa portar som ett program exponerar för Internet.
Arbetsboken "Aktiv avisering" har lagts till
För att hjälpa våra användare att förstå de aktiva hoten mot deras miljöer och prioritera mellan aktiva aviseringar under reparationsprocessen har vi lagt till arbetsboken Aktiva aviseringar.
Arbetsboken för aktiva aviseringar gör det möjligt för användare att visa en enhetlig instrumentpanel för sina aggregerade aviseringar efter allvarlighetsgrad, typ, tagg, MITRE ATT&CK-taktik och plats. Läs mer i Använda arbetsboken "Aktiva aviseringar".
Rekommendationen "Systemuppdatering" har lagts till i myndighetsmolnet
Rekommendationen "Systemuppdateringar bör installeras på dina datorer" är nu tillgänglig i alla myndighetsmoln.
Det är troligt att den här ändringen kommer att påverka din myndighets molnprenumerationens säkerhetspoäng. Vi förväntar oss att ändringen leder till en minskad poäng, men det är möjligt att rekommendationens inkludering kan leda till en ökad poäng i vissa fall.
December 2021
Uppdateringar i december inkluderar:
- Microsoft Defender for Containers-plan som släppts för allmän tillgänglighet (GA)
- Nya aviseringar för Microsoft Defender för Storage släpps för allmän tillgänglighet (GA)
- Förbättringar av aviseringar för Microsoft Defender för lagring
- Aviseringen "PortSweeping" har tagits bort från aviseringar på nätverksnivå
Microsoft Defender for Containers-plan som släppts för allmän tillgänglighet (GA)
För över två år sedan introducerade vi Defender för Kubernetes och Defender för containerregister som en del av Azure Defender-erbjudandet inom Microsoft Defender för molnet.
Med lanseringen av Microsoft Defender för containrar har vi slagit samman dessa två befintliga Defender-planer.
Den nya planen:
- Kombinerar funktionerna i de två befintliga planerna – hotidentifiering för Kubernetes-kluster och sårbarhetsbedömning för avbildningar som lagras i containerregister
- Ger nya och förbättrade funktioner – inklusive stöd för flera moln, hotidentifiering på värdnivå med över sextio nya Kubernetes-medvetna analyser och sårbarhetsbedömning för att köra bilder
- Introducerar Kubernetes-inbyggd onboarding i stor skala – som standard när du aktiverar planen konfigureras alla relevanta komponenter att distribueras automatiskt
Med den här versionen har tillgängligheten och presentationen av Defender för Kubernetes och Defender för containerregister ändrats på följande sätt:
- Nya prenumerationer – De två tidigare containerplanerna är inte längre tillgängliga
- Befintliga prenumerationer – Oavsett var de visas i Azure Portal visas planerna som Inaktuella med instruktioner för hur du uppgraderar till den nyare planen
Den nya planen är kostnadsfri för december 2021. Potentiella ändringar av faktureringen från de gamla abonnemangen till Defender för containrar och mer information om fördelarna med den här planen finns i Introduktion till Microsoft Defender för containrar.
Mer information finns i:
- Översikt över Microsoft Defender for Containers
- Aktivera Microsoft Defender för containrar
- Introduktion till Microsoft Defender för containrar – Microsoft Tech Community
- Microsoft Defender för containrar | Defender för molnet i fältet #3 – YouTube
Nya aviseringar för Microsoft Defender för Storage släpps för allmän tillgänglighet (GA)
Hotaktörer använder verktyg och skript för att söka efter offentligt öppna containrar i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data.
Microsoft Defender för Storage identifierar dessa skannrar så att du kan blockera dem och åtgärda din hållning.
Förhandsgranskningsaviseringen som identifierade detta kallades "Anonym genomsökning av offentliga lagringscontainrar". För att ge större klarhet om misstänkta händelser som identifierats har vi delat upp detta i två nya aviseringar. Dessa aviseringar är endast relevanta för Azure Blob Storage.
Vi har förbättrat identifieringslogik, uppdaterat aviseringsmetadata och ändrat aviseringsnamn och aviseringstyp.
Det här är de nya aviseringarna:
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| Offentligt tillgängliga lagringscontainrar har identifierats (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
En lyckad identifiering av offentligt öppna lagringscontainrar i ditt lagringskonto utfördes under den senaste timmen av ett genomsökningsskript eller verktyg. Detta indikerar vanligtvis en rekognoseringsattack, där hotskådespelaren försöker lista blobar genom att gissa containernamn, i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data i dem. Hotskådespelaren kan använda sitt eget skript eller använda kända genomsökningsverktyg som Microburst för att söka efter offentligt öppna containrar. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Samling | Medium |
| Offentligt tillgängliga lagringscontainrar genomsöks utan framgång (Storage.Blob_OpenContainersScanning.FailedAttempt) |
En serie misslyckade försök att söka efter offentligt öppna lagringscontainrar utfördes under den senaste timmen. Detta indikerar vanligtvis en rekognoseringsattack, där hotskådespelaren försöker lista blobar genom att gissa containernamn, i hopp om att hitta felkonfigurerade öppna lagringscontainrar med känsliga data i dem. Hotskådespelaren kan använda sitt eget skript eller använda kända genomsökningsverktyg som Microburst för att söka efter offentligt öppna containrar. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Samling | Låg |
Mer information finns i:
- Hotmatris för lagringstjänster
- Översikt över Microsoft Defender för Storage
- Lista över aviseringar som tillhandahålls av Microsoft Defender för lagring
Förbättringar av aviseringar för Microsoft Defender för lagring
De första åtkomstaviseringarna har nu bättre noggrannhet och mer data som stöd för undersökning.
Hotaktörer använder olika tekniker i den första åtkomsten för att få fotfäste i ett nätverk. Två av Microsoft Defender for Storage-aviseringarna som identifierar beteendeavvikelser i det här steget har nu förbättrad identifieringslogik och ytterligare data som stöd för undersökningar.
Om du har konfigurerat automatiseringar eller definierat regler för aviseringsundertryckning för dessa aviseringar tidigare uppdaterar du dem i enlighet med dessa ändringar.
Identifiera åtkomst från en tor-slutnod
Åtkomst från en tor-utgångsnod kan tyda på att en hotskådespelare försöker dölja sin identitet.
Aviseringen är nu justerad för att generera endast för autentiserad åtkomst, vilket resulterar i högre noggrannhet och förtroende för att aktiviteten är skadlig. Den här förbättringen minskar den godartade positiva frekvensen.
Ett utgående mönster har hög allvarlighetsgrad, medan mindre avvikande mönster har medelhög allvarlighetsgrad.
Aviseringsnamnet och beskrivningen har uppdaterats. AlertType förblir oförändrad.
- Aviseringsnamn (gammalt): Åtkomst från en tor-avslutningsnod till ett lagringskonto
- Aviseringsnamn (nytt): Autentiserad åtkomst från en tor-avslutningsnod
- Aviseringstyper: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
- Beskrivning: En eller flera lagringscontainrar/filresurser i ditt lagringskonto har använts från en IP-adress som är känd för att vara en aktiv slutnod i Tor (en anonymiseringsproxy). Hotaktörer använder Tor för att göra det svårt att spåra aktiviteten tillbaka till dem. Autentiserad åtkomst från en tor-utgångsnod är en sannolik indikation på att en hotskådespelare försöker dölja sin identitet. Gäller för: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- MITRE-taktik: Inledande åtkomst
- Allvarlighetsgrad: Hög/medelhög
Ovanlig oautentiserad åtkomst
En ändring i åtkomstmönster kan tyda på att en hotaktör kunde utnyttja offentlig läsåtkomst till lagringscontainrar, antingen genom att utnyttja ett misstag i åtkomstkonfigurationer eller genom att ändra åtkomstbehörigheterna.
Den här aviseringen med medelhög allvarlighetsgrad är nu justerad med förbättrad beteendelogik, högre noggrannhet och förtroende för att aktiviteten är skadlig. Den här förbättringen minskar den godartade positiva frekvensen.
Aviseringsnamnet och beskrivningen har uppdaterats. AlertType förblir oförändrad.
- Aviseringsnamn (gammalt): Anonym åtkomst till ett lagringskonto
- Aviseringsnamn (nytt): Ovanlig oautentiserad åtkomst till en lagringscontainer
- Aviseringstyper: Storage.Blob_AnonymousAccessAnomaly
- Beskrivning: Det här lagringskontot användes utan autentisering, vilket är en ändring i det gemensamma åtkomstmönstret. Läsbehörighet till den här containern autentiseras vanligtvis. Detta kan tyda på att en hotskådespelare kunde utnyttja offentlig läsåtkomst till lagringscontainrar i det här lagringskontot. Gäller för: Azure Blob Storage
- MITRE-taktik: Samling
- Allvarlighetsgrad: Medelhög
Mer information finns i:
- Hotmatris för lagringstjänster
- Introduktion till Microsoft Defender för Lagring
- Lista över aviseringar som tillhandahålls av Microsoft Defender för lagring
Aviseringen "PortSweeping" har tagits bort från aviseringar på nätverksnivå
Följande avisering togs bort från våra nätverksnivåaviseringar på grund av ineffektivitet:
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| Möjlig utgående portgenomsökningsaktivitet har identifierats (PortSweeping) |
Nätverkstrafikanalysen identifierade misstänkt utgående trafik från %{Komprometterad värd}. Den här trafiken kan bero på en portgenomsökningsaktivitet. När den komprometterade resursen är en lastbalanserare eller en programgateway har den misstänkta utgående trafiken härstammar från till en eller flera av resurserna i serverdelspoolen (för lastbalanseraren eller programgatewayen). Om det här beteendet är avsiktligt bör du tänka på att portgenomsökningen är emot Azures användningsvillkor. Om det här beteendet är oavsiktligt kan det innebära att resursen har komprometterats. | Identifiering | Medium |
November 2021
Vår Ignite-version innehåller:
- Azure Security Center och Azure Defender blir Microsoft Defender för molnet
- Inbyggd CSPM för AWS och skydd mot hot för Amazon EKS och AWS EC2
- Prioritera säkerhetsåtgärder efter datakänslighet (drivs av Microsoft Purview) (i förhandsversion)
- Utökade utvärderingar av säkerhetskontroll med Azure Security Benchmark v3
- Microsoft Sentinel-anslutningsappens valfria dubbelriktade aviseringssynkronisering släpptes för allmän tillgänglighet (GA)
- Ny rekommendation om att skicka Azure Kubernetes Service-loggar (AKS) till Sentinel
- Rekommendationer som mappats till MITRE ATT&CK-ramverket® – släppta för allmän tillgänglighet (GA)
Andra ändringar i november är:
- Microsoft Threat and Vulnerability Management har lagts till som lösning för sårbarhetsbedömning – släppt för allmän tillgänglighet (GA)
- Microsoft Defender för Endpoint för Linux stöds nu av Microsoft Defender för servrar – släppt för allmän tillgänglighet (GA)
- Export av ögonblicksbilder för rekommendationer och säkerhetsresultat (i förhandsversion)
- Automatisk avbildning av lösningar för sårbarhetsbedömning som släppts för allmän tillgänglighet (GA)
- Programvaruinventeringsfilter i tillgångslager som släppts för allmän tillgänglighet (GA)
- Ny AKS-säkerhetsprincip har lagts till i standardinitiativet – förhandsversion
- Inventeringsvisning av lokala datorer tillämpar olika mallar för resursnamn
Azure Security Center och Azure Defender blir Microsoft Defender för molnet
Enligt rapporten State of the Cloud från 2021 har 92 % av organisationerna nu en strategi för flera moln. På Microsoft är vårt mål att centralisera säkerheten mellan miljöer och att hjälpa säkerhetsteam att arbeta mer effektivt.
Microsoft Defender för molnet är en CWP-lösning (Cloud Security Posture Management) och CWP (Cloud Security Posture Management) som identifierar svagheter i molnkonfigurationen, hjälper till att stärka den övergripande säkerhetsstatusen för din miljö och skyddar arbetsbelastningar i flera moln- och hybridmiljöer.
På Ignite 2019 delade vi vår vision att skapa den mest kompletta metoden för att skydda din digitala egendom och integrera XDR-tekniker under varumärket Microsoft Defender. Att ena Azure Security Center och Azure Defender under det nya namnet Microsoft Defender för molnet återspeglar de integrerade funktionerna i vårt säkerhetserbjudande och vår förmåga att stödja alla molnplattformar.
Inbyggd CSPM för AWS och skydd mot hot för Amazon EKS och AWS EC2
En ny miljöinställningssida ger större synlighet och kontroll över dina hanteringsgrupper, prenumerationer och AWS-konton. Sidan är utformad för att publicera AWS-konton i stor skala: anslut ditt AWS-hanteringskonto så registrerar du automatiskt befintliga och framtida konton.
När du har lagt till dina AWS-konton skyddar Defender för molnet dina AWS-resurser med någon eller alla av följande planer:
- Defender för molnet CSPM-funktioner sträcker sig till dina AWS-resurser. Den här agentlösa planen utvärderar dina AWS-resurser enligt AWS-specifika säkerhetsrekommendationer och dessa ingår i din säkerhetspoäng. Resurserna kommer också att utvärderas för efterlevnad av inbyggda standarder som är specifika för AWS (AWS CIS, AWS PCI DSS och AWS Foundational Security Best Practices). Defender för molnet tillgångslagersida är en funktion med flera moln som hjälper dig att hantera dina AWS-resurser tillsammans med dina Azure-resurser.
- Microsoft Defender för Kubernetes utökar sin identifiering av containerhot och avancerade skydd till dina Amazon EKS Linux-kluster.
- Microsoft Defender för servrar ger hotidentifiering och avancerat skydd till dina Windows- och Linux EC2-instanser. Den här planen innehåller den integrerade licensen för Microsoft Defender för Endpoint, säkerhetsbaslinjer och utvärderingar på os-nivå, genomsökning av sårbarhetsbedömningar, anpassningsbara programkontroller (AAC), övervakning av filintegritet (FIM) med mera.
Läs mer om hur du ansluter dina AWS-konton till Microsoft Defender för molnet.
Prioritera säkerhetsåtgärder efter datakänslighet (drivs av Microsoft Purview) (i förhandsversion)
Dataresurser är fortfarande ett populärt mål för hotaktörer. Därför är det viktigt för säkerhetsteamen att identifiera, prioritera och skydda känsliga dataresurser i sina molnmiljöer.
För att hantera den här utmaningen integrerar Microsoft Defender för molnet nu känslighetsinformation från Microsoft Purview. Microsoft Purview är en enhetlig datastyrningstjänst som ger omfattande insikter om känsligheten för dina data i flera moln och lokala arbetsbelastningar.
Integreringen med Microsoft Purview utökar din säkerhetssynlighet i Defender för molnet från infrastrukturnivå till data, vilket möjliggör ett helt nytt sätt att prioritera resurser och säkerhetsaktiviteter för dina säkerhetsteam.
Läs mer i Prioritera säkerhetsåtgärder efter datakänslighet.
Utökade utvärderingar av säkerhetskontroll med Azure Security Benchmark v3
Säkerhetsrekommendationer i Defender för molnet stöds av Azure Security Benchmark.
Azure Security Benchmark är den Microsoft-skapade, Azure-specifika uppsättningen riktlinjer för bästa praxis för säkerhet och efterlevnad baserat på vanliga efterlevnadsramverk. Detta allmänt respekterade riktmärke bygger på kontrollerna från Center for Internet Security (CIS) och National Institute of Standards and Technology (NIST) med fokus på molncentrerad säkerhet.
Från Ignite 2021 är Azure Security Benchmark v3 tillgängligt i Defender för molnet instrumentpanel för regelefterlevnad och aktiverad som det nya standardinitiativet för alla Azure-prenumerationer som skyddas med Microsoft Defender för molnet.
Förbättringar för v3 är:
Ytterligare mappningar till branschramverken PCI-DSS v3.2.1 och CIS Controls v8.
Mer detaljerad och användbar vägledning för kontroller med introduktionen av:
- Säkerhetsprinciper – Ge insikt i de övergripande säkerhetsmålen som bygger grunden för våra rekommendationer.
- Azure Guidance – Den tekniska "instruktioner" för att uppfylla dessa mål.
Nya kontroller omfattar DevOps-säkerhet för problem som hotmodellering och säkerhet i programvaruförsörjningskedjan, samt nyckel- och certifikathantering för bästa praxis i Azure.
Läs mer i Introduktion till Azure Security Benchmark.
Microsoft Sentinel-anslutningsappens valfria dubbelriktade aviseringssynkronisering släpptes för allmän tillgänglighet (GA)
I juli tillkännagav vi en förhandsversionsfunktion, dubbelriktad aviseringssynkronisering, för den inbyggda anslutningsappen i Microsoft Sentinel (Microsofts molnbaserade SIEM- och SOAR-lösning). Den här funktionen har nu släppts för allmän tillgänglighet (GA).
När du ansluter Microsoft Defender för molnet till Microsoft Sentinel synkroniseras statusen för säkerhetsaviseringar mellan de två tjänsterna. När till exempel en avisering stängs i Defender för molnet visas aviseringen som stängd även i Microsoft Sentinel. Om du ändrar status för en avisering i Defender för molnet påverkas inte statusen för några Microsoft Sentinel-incidenter som innehåller den synkroniserade Microsoft Sentinel-aviseringen, bara den synkroniserade aviseringen.
När du aktiverar dubbelriktad aviseringssynkronisering synkroniserar du automatiskt statusen för de ursprungliga Defender för molnet-aviseringarna med Microsoft Sentinel-incidenter som innehåller kopiorna av dessa aviseringar. När till exempel en Microsoft Sentinel-incident som innehåller en Defender för molnet avisering stängs stänger Defender för molnet automatiskt motsvarande ursprungliga avisering.
Läs mer i Ansluta Azure Defender-aviseringar från Azure Security Center och Stream-aviseringar till Azure Sentinel.
Ny rekommendation om att skicka Azure Kubernetes Service-loggar (AKS) till Sentinel
I en ytterligare förbättring av det kombinerade värdet för Defender för molnet och Microsoft Sentinel ska vi nu markera Azure Kubernetes Service-instanser som inte skickar loggdata till Microsoft Sentinel.
SecOps-team kan välja relevant Microsoft Sentinel-arbetsyta direkt från rekommendationsinformationssidan och omedelbart aktivera strömning av rådataloggar. Den här sömlösa anslutningen mellan de två produkterna gör det enkelt för säkerhetsteam att säkerställa fullständig loggningstäckning för sina arbetsbelastningar för att hålla koll på hela miljön.
Den nya rekommendationen "Diagnostikloggar i Kubernetes-tjänster ska vara aktiverade" innehåller alternativet "Åtgärda" för snabbare reparation.
Vi har också förbättrat rekommendationen "Granskning på SQL Server bör vara aktiverad" med samma Sentinel-strömningsfunktioner.
Rekommendationer som mappats till MITRE ATT&CK-ramverket® – släppta för allmän tillgänglighet (GA)
Vi har förbättrat Defender för molnet säkerhetsrekommendationer för att visa sin position i MITRE ATT&CK-ramverket®. Den här globalt tillgängliga kunskapsbas av hotaktörernas taktiker och tekniker baserat på verkliga observationer ger mer sammanhang som hjälper dig att förstå de associerade riskerna med rekommendationerna för din miljö.
Du hittar de här taktikerna var du än kommer åt rekommendationsinformation:
Azure Resource Graph-frågeresultat för relevanta rekommendationer innehåller MITRE ATT&CK-taktiker® och -tekniker.
Sidorna med rekommendationsinformation visar mappningen för alla relevanta rekommendationer:
Sidan med rekommendationer i Defender för molnet har ett nytt
filter för att välja rekommendationer enligt deras associerade taktik:
Läs mer i Granska dina säkerhetsrekommendationer.
Microsoft Threat and Vulnerability Management har lagts till som lösning för sårbarhetsbedömning – släppt för allmän tillgänglighet (GA)
I oktober tillkännagav vi ett tillägg till integreringen mellan Microsoft Defender för servrar och Microsoft Defender för Endpoint för att stödja en ny leverantör av sårbarhetsbedömning för dina datorer: Microsoft Hantering av hot och säkerhetsrisker. Den här funktionen har nu släppts för allmän tillgänglighet (GA).
Använd Hantering av hot och säkerhetsrisker för att identifiera sårbarheter och felkonfigurationer i nära realtid med integreringen med Microsoft Defender för Endpoint aktiverad, och utan behov av ytterligare agenter eller periodiska genomsökningar. Hot och hantering av säkerhetsrisker prioriterar sårbarheter baserat på hotlandskapet och identifieringarna i din organisation.
Använd säkerhetsrekommendatorn "En lösning för sårbarhetsbedömning ska aktiveras på dina virtuella datorer" för att visa de sårbarheter som identifieras av Hantering av hot och säkerhetsrisker för dina datorer som stöds.
Om du vill visa säkerhetsriskerna automatiskt på befintliga och nya datorer, utan att behöva åtgärda rekommendationen manuellt, kan du läsa Sårbarhetsbedömningslösningar kan nu aktiveras automatiskt (i förhandsversion).
Läs mer i Undersöka svagheter med Microsoft Defender för Endpoint Hantering av hot och säkerhetsrisker.
Microsoft Defender för Endpoint för Linux stöds nu av Microsoft Defender för servrar – släppt för allmän tillgänglighet (GA)
I augusti tillkännagav vi förhandsversionsstöd för distribution av Defender för Endpoint för Linux-sensorn till Linux-datorer som stöds. Den här funktionen har nu släppts för allmän tillgänglighet (GA).
Microsoft Defender för servrar innehåller en integrerad licens för Microsoft Defender för Endpoint. Tillsammans tillhandahåller de omfattande funktioner för identifiering och åtgärd på slutpunkt (EDR).
När Defender för Endpoint identifierar ett hot utlöses en avisering. Aviseringen visas i Defender för molnet. Från Defender för molnet kan du också pivotleda till Defender för Endpoint-konsolen och utföra en detaljerad undersökning för att ta reda på omfattningen av attacken.
Export av ögonblicksbilder för rekommendationer och säkerhetsresultat (i förhandsversion)
Defender för molnet genererar detaljerade säkerhetsaviseringar och rekommendationer. Du kan visa dem i portalen eller via programmatiska verktyg. Du kan också behöva exportera en del av eller all den här informationen för spårning med andra övervakningsverktyg i din miljö.
Defender för molnet funktionen för kontinuerlig export kan du helt anpassa vad som ska exporteras och vart det ska gå. Läs mer i Exportera kontinuerligt Microsoft Defender för molnet data.
Även om funktionen kallas kontinuerlig finns det också ett alternativ för att exportera ögonblicksbilder varje vecka. Hittills har dessa veckovisa ögonblicksbilder begränsats till säkra poäng- och regelefterlevnadsdata. Vi har lagt till möjligheten att exportera rekommendationer och säkerhetsresultat.
Automatisk avbildning av lösningar för sårbarhetsbedömning som släppts för allmän tillgänglighet (GA)
I oktober tillkännagav vi tillägget av lösningar för sårbarhetsbedömning på Defender för molnet sida för automatisk avbildning. Detta är relevant för virtuella Azure-datorer och Azure Arc-datorer för prenumerationer som skyddas av Azure Defender för servrar. Den här funktionen har nu släppts för allmän tillgänglighet (GA).
Om integreringen med Microsoft Defender för Endpoint är aktiverad presenterar Defender för molnet ett urval av lösningar för sårbarhetsbedömning:
- (NY) Microsoft Hantering av hot och säkerhetsrisker-modulen i Microsoft Defender för Endpoint (se versionsanteckningen)
- Den integrerade Qualys-agenten
Den valda lösningen aktiveras automatiskt på datorer som stöds.
Läs mer i Konfigurera sårbarhetsbedömning automatiskt för dina datorer.
Programvaruinventeringsfilter i tillgångslager som släppts för allmän tillgänglighet (GA)
I oktober tillkännagav vi nya filter för tillgångsinventeringssidan för att välja datorer som kör specifik programvara – och till och med ange vilka versioner som är intressanta. Den här funktionen har nu släppts för allmän tillgänglighet (GA).
Du kan fråga programvaruinventeringsdata i Azure Resource Graph Explorer.
Om du vill använda de här funktionerna måste du aktivera integreringen med Microsoft Defender för Endpoint.
Fullständig information, inklusive kusto-exempelfrågor för Azure Resource Graph, finns i Åtkomst till en programvaruinventering.
Ny AKS-säkerhetsprincip har lagts till i standardinitiativet
För att säkerställa att Kubernetes-arbetsbelastningar är säkra som standard innehåller Defender för molnet Kubernetes-nivåprinciper och härdningsrekommendationer, inklusive tvingande alternativ med Kubernetes-antagningskontroll.
Som en del av det här projektet har vi lagt till en princip och rekommendation (inaktiverad som standard) för att skapa distribution i Kubernetes-kluster. Principen finns i standardinitiativet men är endast relevant för organisationer som registrerar sig för den relaterade förhandsversionen.
Du kan på ett säkert sätt ignorera principer och rekommendationer ("Kubernetes-kluster bör gatedistribution av sårbara avbildningar") och det kommer inte att påverka din miljö.
Om du vill delta i förhandsversionen måste du vara medlem i förhandsgranskningsringen. Om du inte redan är medlem skickar du en begäran här. Medlemmar meddelas när förhandsversionen börjar.
Inventeringsvisning av lokala datorer tillämpar olika mallar för resursnamn
För att förbättra presentationen av resurser i tillgångslagret har vi tagit bort elementet "source-computer-IP" från mallen för namngivning av lokala datorer.
- Föregående format:
machine-name_source-computer-id_VMUUID - Från den här uppdateringen:
machine-name_VMUUID
Oktober 2021
Uppdateringar i oktober inkluderar:
- Microsoft Threat and Vulnerability Management har lagts till som lösning för sårbarhetsbedömning (i förhandsversion)
- Lösningar för sårbarhetsbedömning kan nu aktiveras automatiskt (i förhandsversion)
- Filter för programvaruinventering som lagts till i tillgångsinventeringen (i förhandsversion)
- Prefixet för vissa aviseringstyper har ändrats från "ARM_" till "VM_"
- Ändringar i logiken i en säkerhetsrekommendering för Kubernetes-kluster
- Sidor med information om rekommendationer visar nu relaterade rekommendationer
- Nya aviseringar för Azure Defender för Kubernetes (i förhandsversion)
Microsoft Threat and Vulnerability Management har lagts till som lösning för sårbarhetsbedömning (i förhandsversion)
Vi har utökat integreringen mellan Azure Defender för servrar och Microsoft Defender för Endpoint för att stödja en ny leverantör för sårbarhetsbedömning för dina datorer: Microsoft Hantering av hot och säkerhetsrisker.
Använd Hantering av hot och säkerhetsrisker för att identifiera sårbarheter och felkonfigurationer i nära realtid med integreringen med Microsoft Defender för Endpoint aktiverad, och utan behov av ytterligare agenter eller periodiska genomsökningar. Hot och hantering av säkerhetsrisker prioriterar sårbarheter baserat på hotlandskapet och identifieringarna i din organisation.
Använd säkerhetsrekommendatorn "En lösning för sårbarhetsbedömning ska aktiveras på dina virtuella datorer" för att visa de sårbarheter som identifieras av Hantering av hot och säkerhetsrisker för dina datorer som stöds.
Om du vill visa säkerhetsriskerna automatiskt på befintliga och nya datorer, utan att behöva åtgärda rekommendationen manuellt, kan du läsa Sårbarhetsbedömningslösningar kan nu aktiveras automatiskt (i förhandsversion).
Läs mer i Undersöka svagheter med Microsoft Defender för Endpoint Hantering av hot och säkerhetsrisker.
Lösningar för sårbarhetsbedömning kan nu aktiveras automatiskt (i förhandsversion)
Security Centers sida för automatisk etablering innehåller nu alternativet att automatiskt aktivera en lösning för sårbarhetsbedömning för virtuella Azure-datorer och Azure Arc-datorer på prenumerationer som skyddas av Azure Defender för servrar.
Om integreringen med Microsoft Defender för Endpoint är aktiverad presenterar Defender för molnet ett urval av lösningar för sårbarhetsbedömning:
- (NY) Microsoft Hantering av hot och säkerhetsrisker-modulen i Microsoft Defender för Endpoint (se versionsanteckningen)
- Den integrerade Qualys-agenten
Den valda lösningen aktiveras automatiskt på datorer som stöds.
Läs mer i Konfigurera sårbarhetsbedömning automatiskt för dina datorer.
Filter för programvaruinventering som lagts till i tillgångsinventeringen (i förhandsversion)
Sidan tillgångsinventering innehåller nu ett filter för att välja datorer som kör specifik programvara – och till och med ange vilka versioner som är intressanta.
Dessutom kan du fråga programvaruinventeringsdata i Azure Resource Graph Explorer.
Om du vill använda de här nya funktionerna måste du aktivera integreringen med Microsoft Defender för Endpoint.
Fullständig information, inklusive kusto-exempelfrågor för Azure Resource Graph, finns i Åtkomst till en programvaruinventering.
Prefixet för vissa aviseringstyper har ändrats från "ARM_" till "VM_"
I juli 2021 tillkännagav vi en logisk omorganisation av Azure Defender for Resource Manager-aviseringar
Under omorganisationen av Defender-planer flyttade vi aviseringar från Azure Defender för Resource Manager till Azure Defender för servrar.
Med den här uppdateringen har vi ändrat prefixen för dessa aviseringar så att de matchar den här omtilldelningen och ersatt "ARM_" med "VM_" enligt följande tabell:
| Ursprungligt namn | Från den här ändringen |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Läs mer om Azure Defender för Resource Manager och Azure Defender för servrar .
Ändringar i logiken i en säkerhetsrekommendering för Kubernetes-kluster
Rekommendationen "Kubernetes-kluster bör inte använda standardnamnområdet" förhindrar användning av standardnamnområdet för ett antal resurstyper. Två av de resurstyper som ingick i den här rekommendationen har tagits bort: ConfigMap och Secret.
Läs mer om den här rekommendationen och hur du härdar dina Kubernetes-kluster i Förstå Azure Policy för Kubernetes-kluster.
Sidor med information om rekommendationer visar nu relaterade rekommendationer
För att klargöra relationerna mellan olika rekommendationer har vi lagt till ett område med relaterade rekommendationer på informationssidorna i många rekommendationer.
De tre relationstyperna som visas på dessa sidor är:
- Krav – En rekommendation som måste slutföras före den valda rekommendationen
- Alternativ – En annan rekommendation som ger ett annat sätt att uppnå målen för den valda rekommendationen
- Beroende – en rekommendation som den valda rekommendationen är en förutsättning för
För varje relaterad rekommendation visas antalet resurser som inte är felfria i kolumnen "Berörda resurser".
Dricks
Om en relaterad rekommendation är nedtonad är dess beroende ännu inte slutfört och är därför inte tillgängligt.
Ett exempel på relaterade rekommendationer:
Security Center kontrollerar dina datorer efter lösningar för sårbarhetsbedömning som stöds:
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorerOm en hittas får du ett meddelande om identifierade sårbarheter:
Säkerhetsrisker på dina virtuella datorer bör åtgärdas
Det är uppenbart att Security Center inte kan meddela dig om identifierade säkerhetsrisker om det inte hittar en lösning för sårbarhetsbedömning som stöds.
Därför:
- Rekommendation nr 1 är en förutsättning för rekommendation nr 2
- Rekommendation nr 2 beror på rekommendation nr 1
Nya aviseringar för Azure Defender för Kubernetes (i förhandsversion)
För att utöka hotskyddet från Azure Defender för Kubernetes har vi lagt till två förhandsversionsaviseringar.
Dessa aviseringar genereras baserat på en ny maskininlärningsmodell och Kubernetes avancerade analys som mäter flera distributions- och rolltilldelningsattribut mot tidigare aktiviteter i klustret och i alla kluster som övervakas av Azure Defender.
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| Avvikande podddistribution (förhandsversion) (K8S_AnomalousPodDeployment) |
Kubernetes granskningslogganalys identifierade podddistribution som är avvikande, baserat på tidigare aktivitet för podddistribution. Den här aktiviteten betraktas som en avvikelse när du tar hänsyn till hur de olika funktionerna som visas i distributionsåtgärden är i relationer till varandra. Funktionerna som övervakas av den här analysen inkluderar containeravbildningsregistret som används, kontot som utför distributionen, veckodagen, hur ofta det här kontot utför podddistributioner, användaragenten som används i åtgärden, är detta ett namnområde som podddistribution ofta eller annan funktion. De främsta bidragande orsakerna till att höja den här aviseringen eftersom avvikande aktivitet beskrivs under de utökade egenskaperna för aviseringen. | Körnings- | Medium |
| Överdrivna rollbehörigheter som tilldelats i Kubernetes-kluster (förhandsversion) (K8S_ServiceAcountPermissionAnomaly) |
Analys av Kubernetes-granskningsloggarna identifierade en överdrivna behörighetsrolltilldelning till klustret. Från att undersöka rolltilldelningar är de angivna behörigheterna ovanliga för det specifika tjänstkontot. Den här identifieringen tar hänsyn till tidigare rolltilldelningar till samma tjänstkonto mellan kluster som övervakas av Azure, volym per behörighet och effekten av den specifika behörigheten. Avvikelseidentifieringsmodellen som används för den här aviseringen tar hänsyn till hur den här behörigheten används i alla kluster som övervakas av Azure Defender. | Privilegieeskalering | Låg |
En fullständig lista över Kubernetes-aviseringar finns i Aviseringar för Kubernetes-kluster.
September 2021
I september släpptes följande uppdatering:
Två nya rekommendationer för att granska OS-konfigurationer för Azure-säkerhetsbaslinjeefterlevnad (i förhandsversion)
Följande två rekommendationer har släppts för att utvärdera dina datorers kompatibilitet med Säkerhetsbaslinjen för Windows och Linux-säkerhetsbaslinjen:
- För Windows-datorer bör säkerhetsrisker i säkerhetskonfigurationen på dina Windows-datorer åtgärdas (drivs av gästkonfiguration)
- För Linux-datorer bör säkerhetsrisker i säkerhetskonfigurationen på dina Linux-datorer åtgärdas (drivs av gästkonfiguration)
De här rekommendationerna använder gästkonfigurationsfunktionen i Azure Policy för att jämföra operativsystemkonfigurationen för en dator med baslinjen som definieras i Azure Security Benchmark.
Läs mer om hur du använder de här rekommendationerna i Harden-datorns OS-konfiguration med hjälp av gästkonfiguration.
Augusti 2021
Uppdateringar i augusti inkluderar:
- Microsoft Defender för Endpoint för Linux stöds nu av Azure Defender för servrar (i förhandsversion)
- Två nya rekommendationer för att hantera slutpunktsskyddslösningar (i förhandsversion)
- Inbyggd felsökning och vägledning för att lösa vanliga problem
- Instrumentpanelen för regelefterlevnad i Azure-granskningsrapporter som släppts för allmän tillgänglighet (GA)
- Inaktuell rekommendation "Problem med Log Analytics-agentens hälsotillstånd bör lösas på dina datorer"
- Azure Defender för containerregister söker nu efter sårbarheter i register som skyddas med Azure Private Link
- Security Center kan nu automatiskt avetablera Azure Policys gästkonfigurationstillägg (i förhandsversion)
- Rekommendationerna stöder nu "Enforce".
- CSV-export av rekommendationsdata är nu begränsad till 20 MB
- Sidan Rekommendationer innehåller nu flera vyer
Microsoft Defender för Endpoint för Linux stöds nu av Azure Defender för servrar (i förhandsversion)
Azure Defender för servrar innehåller en integrerad licens för Microsoft Defender för Endpoint. Tillsammans tillhandahåller de omfattande funktioner för identifiering och åtgärd på slutpunkt (EDR).
När Defender för Endpoint identifierar ett hot utlöses en avisering. Aviseringen visas i Security Center. Från Security Center kan du också pivotera till Defender för Endpoint-konsolen och utföra en detaljerad undersökning för att avslöja omfattningen av attacken.
Under förhandsgranskningsperioden distribuerar du Defender för Endpoint för Linux-sensorn till Linux-datorer som stöds på något av två sätt beroende på om du redan har distribuerat den till dina Windows-datorer:
- Befintliga användare med Defender för molnet förbättrade säkerhetsfunktioner aktiverade och Microsoft Defender för Endpoint för Windows
- Nya användare som aldrig har aktiverat integreringen med Microsoft Defender för Endpoint för Windows
Två nya rekommendationer för att hantera slutpunktsskyddslösningar (i förhandsversion)
Vi har lagt till två förhandsversionsrekommendationer för att distribuera och underhålla slutpunktsskyddslösningarna på dina datorer. Båda rekommendationerna omfattar stöd för virtuella Azure-datorer och datorer som är anslutna till Azure Arc-aktiverade servrar.
| Rekommendation | beskrivning | Allvarlighetsgrad |
|---|---|---|
| Slutpunktsskydd ska installeras på dina datorer | Installera en slutpunktsskyddslösning som stöds för att skydda dina datorer mot hot och sårbarheter. Läs mer om hur Endpoint Protection för datorer utvärderas. (Relaterad princip: Övervaka saknat Endpoint Protection i Azure Security Center) |
Högt |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Slutpunktsskyddslösningar som stöds i Azure Security Center dokumenteras här. Utvärdering av slutpunktsskydd dokumenteras här. (Relaterad princip: Övervaka saknat Endpoint Protection i Azure Security Center) |
Medium |
Kommentar
Rekommendationerna visar deras friskhetsintervall som 8 timmar, men det finns vissa scenarier där detta kan ta betydligt längre tid. När till exempel en lokal dator tas bort tar det 24 timmar innan Security Center identifierar borttagningen. Därefter tar det upp till 8 timmar att returnera informationen. I den specifika situationen kan det därför ta 32 timmar innan datorn tas bort från listan över berörda resurser.
Inbyggd felsökning och vägledning för att lösa vanliga problem
Ett nytt, dedikerat område på Security Center-sidorna i Azure Portal innehåller en samlad, ständigt växande uppsättning självhjälpsmaterial för att lösa vanliga utmaningar med Security Center och Azure Defender.
När du har problem, eller söker råd från vårt supportteam, är Diagnose and solve problems ett annat verktyg som hjälper dig att hitta lösningen:
Instrumentpanelen för regelefterlevnad i Azure-granskningsrapporter som släppts för allmän tillgänglighet (GA)
Instrumentpanelen för regelefterlevnad erbjuder Azure- och Dynamics-certifieringsrapporter för de standarder som tillämpas på dina prenumerationer.
Du kan välja fliken för relevanta rapporttyper (PCI, SOC, ISO och andra) och använda filter för att hitta de specifika rapporter du behöver.
Mer information finns i Generera rapporter och certifikat för efterlevnadsstatus.
Inaktuell rekommendation "Problem med Log Analytics-agentens hälsotillstånd bör lösas på dina datorer"
Vi har upptäckt att rekommendationen att Log Analytics-agentens hälsoproblem bör lösas på dina datorer påverkar säkra poäng på sätt som är inkonsekventa med CSPM-fokus (Cloud Security Posture Management). CsPM handlar vanligtvis om att identifiera felkonfigurationer av säkerhet. Problem med agenthälsa passar inte in i den här kategorin av problem.
Rekommendationen är också en avvikelse jämfört med andra agenter som är relaterade till Security Center: det här är den enda agenten med en rekommendation som rör hälsoproblem.
Rekommendationen var inaktuell.
Som ett resultat av den här utfasningen har vi också gjort mindre ändringar i rekommendationerna för att installera Log Analytics-agenten (Log Analytics-agenten bör installeras på...).
Det är troligt att den här ändringen påverkar dina säkra poäng. För de flesta prenumerationer förväntar vi oss att ändringen leder till en ökad poäng, men det är möjligt att uppdateringarna av installationsrekommendationen kan leda till minskade poäng i vissa fall.
Dricks
Sidan tillgångsinventering påverkades också av den här ändringen eftersom den visar övervakad status för datorer (övervakas, övervakas inte eller övervakas delvis – ett tillstånd som refererar till en agent med hälsoproblem).
Azure Defender för containerregister söker nu efter sårbarheter i register som skyddas med Azure Private Link
Azure Defender för containerregister innehåller en sårbarhetsskanner för att skanna avbildningar i dina Azure Container Registry-register. Lär dig hur du genomsöker dina register och åtgärdar resultat i Använda Azure Defender för containerregister för att söka efter säkerhetsrisker i dina avbildningar.
Om du vill begränsa åtkomsten till ett register som finns i Azure Container Registry tilldelar du privata IP-adresser för virtuella nätverk till registerslutpunkterna och använder Azure Private Link enligt beskrivningen i Ansluta privat till ett Azure-containerregister med hjälp av Azure Private Link.
Som en del av vårt pågående arbete med att stödja ytterligare miljöer och användningsfall genomsöker Azure Defender nu även containerregister som skyddas med Azure Private Link.
Security Center kan nu automatiskt avetablera Azure Policys gästkonfigurationstillägg (i förhandsversion)
Azure Policy kan granska inställningar på en dator, både för datorer som körs på Azure- och Arc-anslutna datorer. Verifieringen utförs av gästkonfigurationstillägget och klienten. Läs mer i Förstå Azure Policys gästkonfiguration.
Med den här uppdateringen kan du nu ställa in Security Center för att automatiskt etablera det här tillägget till alla datorer som stöds.
Läs mer om hur automatisk avetablering fungerar i Konfigurera automatisk avetablering för agenter och tillägg.
Rekommendationer stöder nu "Framtvinga"
Security Center innehåller två funktioner som hjälper till att säkerställa att nyskapade resurser etableras på ett säkert sätt: framtvinga och neka. När en rekommendation erbjuder dessa alternativ kan du se till att dina säkerhetskrav uppfylls när någon försöker skapa en resurs:
- Neka hindrar resurser som inte är felfria från att skapas
- Framtvinga automatiskt åtgärdar icke-kompatibla resurser när de skapas
Med den här uppdateringen är alternativet framtvinga nu tillgängligt på rekommendationerna för att aktivera Azure Defender-planer (till exempel Azure Defender för App Service ska aktiveras, Azure Defender för Key Vault ska aktiveras, Azure Defender för lagring ska vara aktiverat).
Läs mer om de här alternativen i Förhindra felkonfigurationer med rekommendationer för framtvinga/neka.
CSV-export av rekommendationsdata är nu begränsad till 20 MB
Vi inför en gräns på 20 MB när vi exporterar Security Center-rekommendationer.
Om du behöver exportera större mängder data använder du de tillgängliga filtren innan du väljer eller väljer delmängder av dina prenumerationer och laddar ned data i batchar.
Läs mer om att utföra en CSV-export av dina säkerhetsrekommendationer.
Sidan Rekommendationer innehåller nu flera vyer
Sidan med rekommendationer har nu två flikar för att ge alternativa sätt att visa de rekommendationer som är relevanta för dina resurser:
- Rekommendationer för säkerhetspoäng – Använd den här fliken om du vill visa listan med rekommendationer grupperade efter säkerhetskontroll. Läs mer om dessa kontroller i Säkerhetskontroller och deras rekommendationer.
- Alla rekommendationer – Använd den här fliken om du vill visa listan med rekommendationer som en platt lista. Den här fliken är också bra för att förstå vilket initiativ (inklusive standarder för regelefterlevnad) som genererade rekommendationen. Läs mer om initiativ och deras relation till rekommendationer i Vad är säkerhetsprinciper, initiativ och rekommendationer?.
Juli 2021
Uppdateringar i juli inkluderar:
- Azure Sentinel-anslutningsappen innehåller nu valfri dubbelriktad aviseringssynkronisering (i förhandsversion)
- Logisk omorganisering av Azure Defender för Resource Manager-aviseringar
- Förbättringar av rekommendationen för att aktivera Azure Disk Encryption (ADE)
- Kontinuerlig export av säkerhetspoäng och regelefterlevnadsdata som släppts för allmän tillgänglighet (GA)
- Arbetsflödesautomatiseringar kan utlösas av ändringar i regelefterlevnadsbedömningar (GA)
- Utvärderings-API-fältet "FirstEvaluationDate" och "StatusChangeDate" är nu tillgängligt i arbetsytescheman och logikappar
- Arbetsboksmallen "Efterlevnad över tid" har lagts till i galleriet För Azure Monitor-arbetsböcker
Azure Sentinel-anslutningsappen innehåller nu valfri dubbelriktad aviseringssynkronisering (i förhandsversion)
Security Center integreras internt med Azure Sentinel, Azures molnbaserade SIEM- och SOAR-lösning.
Azure Sentinel innehåller inbyggda anslutningsappar för Azure Security Center på prenumerations- och klientorganisationsnivå. Läs mer i Stream-aviseringar till Azure Sentinel.
När du ansluter Azure Defender till Azure Sentinel synkroniseras statusen för Azure Defender-aviseringar som matas in i Azure Sentinel mellan de två tjänsterna. När till exempel en avisering stängs i Azure Defender visas den aviseringen som stängd även i Azure Sentinel. Om du ändrar statusen för en avisering i Azure Defender "kommer inte"* påverkas statusen för alla Azure Sentinel-incidenter som innehåller den synkroniserade Azure Sentinel-aviseringen, endast för själva den synkroniserade aviseringen.
När du aktiverar förhandsgranskningsfunktionen dubbelriktad aviseringssynkronisering synkroniseras automatiskt statusen för de ursprungliga Azure Defender-aviseringarna med Azure Sentinel-incidenter som innehåller kopior av dessa Azure Defender-aviseringar. När till exempel en Azure Sentinel-incident som innehåller en Azure Defender-avisering stängs stänger Azure Defender automatiskt motsvarande ursprungliga avisering.
Läs mer i Ansluta Azure Defender-aviseringar från Azure Security Center.
Logisk omorganisering av Azure Defender för Resource Manager-aviseringar
Aviseringarna som anges nedan tillhandahölls som en del av Azure Defender for Resource Manager-planen .
Som en del av en logisk omorganisation av några av Azure Defender-planerna har vi flyttat några aviseringar från Azure Defender för Resource Manager till Azure Defender för servrar.
Aviseringarna organiseras enligt två huvudprinciper:
- Aviseringar som ger kontrollplansskydd – över många Azure-resurstyper – är en del av Azure Defender för Resource Manager
- Aviseringar som skyddar specifika arbetsbelastningar finns i Azure Defender-planen som relaterar till motsvarande arbetsbelastning
Det här är aviseringarna som ingick i Azure Defender för Resource Manager och som till följd av den här ändringen nu är en del av Azure Defender för servrar:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Läs mer om Azure Defender för Resource Manager och Azure Defender för servrar .
Förbättringar av rekommendationen för att aktivera Azure Disk Encryption (ADE)
Efter användarfeedback har vi bytt namn på rekommendationen Diskkryptering ska tillämpas på virtuella datorer.
Den nya rekommendationen använder samma utvärderings-ID och kallas Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser.
Beskrivningen har också uppdaterats för att bättre förklara syftet med den här här härdningsrekommenderingen:
| Rekommendation | beskrivning | Allvarlighetsgrad |
|---|---|---|
| Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. temporära diskar och datacacheminnen krypteras inte och data krypteras inte när de flödar mellan beräknings- och lagringsresurser. Mer information finns i jämförelsen av olika diskkrypteringstekniker i Azure. Använd Azure Disk Encryption för att kryptera alla dessa data. Ignorera den här rekommendationen om: (1) du använder funktionen encryption-at-host eller (2) kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i Kryptering på serversidan av Azure Disk Storage. |
Högt |
Kontinuerlig export av säkerhetspoäng och regelefterlevnadsdata som släppts för allmän tillgänglighet (GA)
Kontinuerlig export ger mekanismen för att exportera dina säkerhetsaviseringar och rekommendationer för spårning med andra övervakningsverktyg i din miljö.
När du konfigurerar kontinuerlig export konfigurerar du vad som exporteras och vart det ska gå. Läs mer i översikten över kontinuerlig export.
Vi har förbättrat och utökat den här funktionen över tid:
I november 2020 lade vi till förhandsgranskningsalternativet för att strömma ändringar i din säkerhetspoäng.
I december 2020 lade vi till förhandsgranskningsalternativet för att strömma ändringar i dina utvärderingsdata för regelefterlevnad.
Med den här uppdateringen släpps dessa två alternativ för allmän tillgänglighet (GA).
Arbetsflödesautomatiseringar kan utlösas av ändringar i regelefterlevnadsbedömningar (GA)
I februari 2021 lade vi till en tredje datatyp för förhandsversion till utlösaralternativen för dina arbetsflödesautomatiseringar: ändringar i utvärderingar av regelefterlevnad. Läs mer i Arbetsflödesautomatiseringar kan utlösas av ändringar i utvärderingar av regelefterlevnad.
Med den här uppdateringen släpps det här utlösaralternativet för allmän tillgänglighet (GA).
Lär dig hur du använder verktygen för arbetsflödesautomatisering i Automatisera svar på Security Center-utlösare.
Utvärderings-API-fältet "FirstEvaluationDate" och "StatusChangeDate" är nu tillgängligt i arbetsytescheman och logikappar
I maj 2021 uppdaterade vi utvärderings-API:et med två nya fält, FirstEvaluationDate och StatusChangeDate. Fullständig information finns i Utvärderings-API expanderat med två nya fält.
Dessa fält var tillgängliga via REST-API:et, Azure Resource Graph, kontinuerlig export och CSV-exporter.
Med den här ändringen gör vi informationen tillgänglig i Log Analytics-arbetsyteschemat och från logikappar.
Arbetsboksmallen "Efterlevnad över tid" har lagts till i galleriet För Azure Monitor-arbetsböcker
I mars tillkännagav vi den integrerade Azure Monitor-arbetsboken i Security Center (se Azure Monitor-arbetsböcker integrerade i Security Center och tre mallar).
Den första versionen innehöll tre mallar för att skapa dynamiska och visuella rapporter om organisationens säkerhetsstatus.
Vi har nu lagt till en arbetsbok som är dedikerad för att spåra en prenumerations efterlevnad av de regler eller branschstandarder som tillämpas på den.
Lär dig mer om hur du använder dessa rapporter eller skapar egna i Skapa omfattande interaktiva rapporter med Security Center-data.
Juni 2021
Uppdateringar i juni inkluderar:
- Ny avisering för Azure Defender för Key Vault
- Rekommendationer för kryptering med kundhanterade nycklar (CMK:er) inaktiverade som standard
- Prefixet för Kubernetes-aviseringar har ändrats från "AKS_" till "K8S_"
- Inaktuella två rekommendationer från säkerhetskontrollen "Tillämpa systemuppdateringar"
Ny avisering för Azure Defender för Key Vault
För att utöka hotskyddet som tillhandahålls av Azure Defender för Key Vault har vi lagt till följande avisering:
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| Åtkomst från en misstänkt IP-adress till ett nyckelvalv (KV_SuspiciousIPAccess) |
Ett nyckelvalv har använts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Detta kan tyda på att infrastrukturen har komprometterats. Vi rekommenderar ytterligare undersökning. Läs mer om Microsofts funktioner för hotinformation. | Åtkomst till autentiseringsuppgifter | Medium |
Mer information finns i:
- Introduktion till Azure Defender för Key Vault
- Svara på Azure Defender för Key Vault-aviseringar
- Lista över aviseringar som tillhandahålls av Azure Defender för Key Vault
Rekommendationer för kryptering med kundhanterade nycklar (CMK:er) inaktiverade som standard
Security Center innehåller flera rekommendationer för att kryptera vilande data med kundhanterade nycklar, till exempel:
- Containerregister ska krypteras med en kundhanterad nyckel (CMK)
- Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data
- Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel (CMK)
Data i Azure krypteras automatiskt med hjälp av plattformshanterade nycklar, så användningen av kundhanterade nycklar bör endast tillämpas när det krävs för kompatibilitet med en specifik princip som din organisation väljer att tillämpa.
Med den här ändringen inaktiveras nu rekommendationerna för att använda CMK:er som standard. När det är relevant för din organisation kan du aktivera dem genom att ändra parametern Effekt för motsvarande säkerhetsprincip till AuditIfNotExists eller Enforce. Läs mer i Aktivera en säkerhetsrekommendations.
Den här ändringen återspeglas i rekommendationens namn med ett nytt prefix, [Aktivera om det behövs], enligt följande exempel:
- [Aktivera om det behövs] Lagringskonton bör använda kundhanterad nyckel för att kryptera vilande data
- [Aktivera om det behövs] Containerregister ska krypteras med en kundhanterad nyckel (CMK)
- [Aktivera om det behövs] Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data
Prefixet för Kubernetes-aviseringar har ändrats från "AKS_" till "K8S_"
Azure Defender för Kubernetes expanderade nyligen för att skydda Kubernetes-kluster som finns lokalt och i miljöer med flera moln. Läs mer i Använda Azure Defender för Kubernetes för att skydda Kubernetes-hybriddistributioner och kubernetes-distributioner med flera moln (i förhandsversion).)
För att återspegla det faktum att säkerhetsaviseringar från Azure Defender för Kubernetes inte längre är begränsade till kluster i Azure Kubernetes Service har vi ändrat prefixet för aviseringstyperna från "AKS_" till "K8S_". Vid behov uppdaterades även namn och beskrivningar. Till exempel den här aviseringen:
| Avisering (aviseringstyp) | beskrivning |
|---|---|
| Testverktyget för Kubernetes-intrång har identifierats (AKS_PenTestToolsKubeHunter) |
Kubernetes granskningslogganalys identifierade användningen av Kubernetes penetrationstestverktyg i AKS-klustret . Även om det här beteendet kan vara legitimt kan angripare använda sådana offentliga verktyg i skadliga syften. |
Har ändrats till den här aviseringen:
| Avisering (aviseringstyp) | beskrivning |
|---|---|
| Testverktyget för Kubernetes-intrång har identifierats (K8S_PenTestToolsKubeHunter) |
Kubernetes granskningslogganalys identifierade användningen av Kubernetes penetrationstestverktyg i Kubernetes-klustret . Även om det här beteendet kan vara legitimt kan angripare använda sådana offentliga verktyg i skadliga syften. |
Eventuella undertryckningsregler som refererar till aviseringar som börjar "AKS_" konverterades automatiskt. Om du har konfigurerat SIEM-exporter eller anpassade automatiseringsskript som refererar till Kubernetes-aviseringar efter aviseringstyp måste du uppdatera dem med de nya aviseringstyperna.
En fullständig lista över Kubernetes-aviseringar finns i Aviseringar för Kubernetes-kluster.
Inaktuella två rekommendationer från säkerhetskontrollen "Tillämpa systemuppdateringar"
Följande två rekommendationer är inaktuella:
- Operativsystemets version bör uppdateras för dina molntjänstroller – Som standard uppdaterar Azure regelbundet ditt gästoperativsystem till den senaste avbildningen som stöds i operativsystemfamiljen som du har angett i tjänstkonfigurationen (.cscfg), till exempel Windows Server 2016.
- Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version – Den här rekommendationens utvärderingar är inte så omfattande som vi vill att de ska vara. Vi planerar att ersätta rekommendationen med en förbättrad version som är bättre anpassad till dina säkerhetsbehov.
Maj 2021
Uppdateringar i maj inkluderar:
- Azure Defender för DNS och Azure Defender för Resource Manager har släppts för allmän tillgänglighet (GA)
- Azure Defender för relationsdatabaser med öppen källkod som släppts för allmän tillgänglighet (GA)
- Nya aviseringar för Azure Defender för Resource Manager
- CI/CD-sårbarhetsgenomsökning av containeravbildningar med GitHub-arbetsflöden och Azure Defender (förhandsversion)
- Fler Resource Graph-frågor för vissa rekommendationer
- Allvarlighetsgraden för SQL-dataklassificeringsrekommendationer har ändrats
- Nya rekommendationer för att aktivera betrodda startfunktioner (i förhandsversion)
- Nya rekommendationer för härdning av Kubernetes-kluster (i förhandsversion)
- Utvärderings-API expanderat med två nya fält
- Tillgångsinventering hämtar ett molnmiljöfilter
Azure Defender för DNS och Azure Defender för Resource Manager har släppts för allmän tillgänglighet (GA)
Dessa två molnbaserade planer för skydd mot hot är nu allmänt tillgängliga.
Dessa nya skydd förbättrar avsevärt din återhämtning mot attacker från hotaktörer och ökar avsevärt antalet Azure-resurser som skyddas av Azure Defender.
Azure Defender för Resource Manager – övervakar automatiskt alla resurshanteringsåtgärder som utförs i din organisation. Mer information finns i:
Azure Defender för DNS – övervakar kontinuerligt alla DNS-frågor från dina Azure-resurser . Mer information finns i:
Använd rekommendationerna för att förenkla processen med att aktivera dessa planer:
- Azure Defender för Resource Manager ska vara aktiverat
- Azure Defender för DNS ska vara aktiverat
Kommentar
Aktivering av Azure Defender-planer resulterar i avgifter. Läs mer om prisinformationen per region på Security Centers prissida.
Azure Defender för relationsdatabaser med öppen källkod som släppts för allmän tillgänglighet (GA)
Azure Security Center utökar sitt erbjudande för SQL-skydd med ett nytt paket som täcker dina relationsdatabaser med öppen källkod:
- Azure Defender för Azure SQL-databasservrar – försvarar dina Azure-inbyggda SQL-servrar
- Azure Defender för SQL-servrar på datorer – utökar samma skydd till dina SQL-servrar i hybridmiljöer, multimoln och lokala miljöer
- Azure Defender för relationsdatabaser med öppen källkod – försvarar dina enskilda Azure Databases for MySQL-, PostgreSQL- och MariaDB-servrar
Azure Defender för relationsdatabaser med öppen källkod övervakar ständigt dina servrar för säkerhetshot och identifierar avvikande databasaktiviteter som indikerar potentiella hot mot Azure Database for MySQL, PostgreSQL och MariaDB. Några exempel är:
- Detaljerad identifiering av brute force-attacker – Azure Defender för relationsdatabaser med öppen källkod innehåller detaljerad information om försök till och lyckade brute force-attacker. På så sätt kan du undersöka och svara med en mer fullständig förståelse för attackens natur och status på din miljö.
- Identifiering av beteendeaviseringar – Azure Defender för relationsdatabaser med öppen källkod varnar dig om misstänkta och oväntade beteenden på dina servrar, till exempel ändringar i åtkomstmönstret till databasen.
- Hotinformationsbaserad identifiering – Azure Defender tillämpar Microsofts hotinformation och stora kunskapsbas på aviseringar om ythot så att du kan agera mot dem.
Läs mer i Introduktion till Azure Defender för relationsdatabaser med öppen källkod.
Nya aviseringar för Azure Defender för Resource Manager
För att utöka hotskyddet som tillhandahålls av Azure Defender för Resource Manager har vi lagt till följande aviseringar:
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| Behörigheter som beviljas för en RBAC-roll på ett ovanligt sätt för din Azure-miljö (förhandsversion) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender för Resource Manager identifierade en RBAC-rolltilldelning som är ovanlig jämfört med andra tilldelningar som utförs av samma tilldelare/som utförts för samma tilldelare/i din klientorganisation på grund av följande avvikelser: tilldelningstid, tilldelningsplats, tilldelningsmetod, autentiseringsmetod, tilldelade entiteter, klientprogramvara som används, tilldelnings omfattning. Den här åtgärden kan ha utförts av en legitim användare i din organisation. Alternativt kan det tyda på att ett konto i din organisation har brutits och att hotskådespelaren försöker bevilja behörigheter till ett ytterligare användarkonto som de äger. | Lateral rörelse, försvarsundandragande | Medium |
| Privilegierad anpassad roll som skapats för din prenumeration på ett misstänkt sätt (förhandsversion) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender för Resource Manager identifierade en misstänkt skapande av privilegierad anpassad rolldefinition i din prenumeration. Den här åtgärden kan ha utförts av en legitim användare i din organisation. Alternativt kan det tyda på att ett konto i din organisation har brutits och att hotskådespelaren försöker skapa en privilegierad roll som ska användas i framtiden för att undvika identifiering. | Lateral rörelse, försvarsundandragande | Låg |
| Azure Resource Manager-åtgärd från misstänkt IP-adress (förhandsversion) (ARM_OperationFromSuspiciousIP) |
Azure Defender för Resource Manager identifierade en åtgärd från en IP-adress som har markerats som misstänkt i hotinformationsflöden. | Körnings- | Medium |
| Azure Resource Manager-åtgärd från misstänkt proxy-IP-adress (förhandsversion) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender för Resource Manager identifierade en resurshanteringsåtgärd från en IP-adress som är associerad med proxytjänster, till exempel TOR. Även om det här beteendet kan vara legitimt, visas det ofta i skadliga aktiviteter, när hotaktörer försöker dölja sin käll-IP. | Försvarsundandragande | Medium |
Mer information finns i:
- Introduktion till Azure Defender för Resource Manager
- Svara på Azure Defender för Resource Manager-aviseringar
- Lista över aviseringar som tillhandahålls av Azure Defender för Resource Manager
CI/CD-sårbarhetsgenomsökning av containeravbildningar med GitHub-arbetsflöden och Azure Defender (förhandsversion)
Azure Defender för containerregister ger nu DevSecOps-team observerbarhet i GitHub Actions-arbetsflöden.
Den nya funktionen för sårbarhetsgenomsökning för containeravbildningar, som använder Trivy, hjälper dig att söka efter vanliga sårbarheter i deras containeravbildningar innan du skickar avbildningar till containerregister.
Rapporter för containergenomsökning sammanfattas i Azure Security Center, vilket ger säkerhetsteamen bättre insikt och förståelse för källan till sårbara containeravbildningar samt arbetsflöden och lagringsplatser där de kommer.
Läs mer i Identifiera sårbara containeravbildningar i dina CI/CD-arbetsflöden.
Fler Resource Graph-frågor för vissa rekommendationer
Alla Security Centers rekommendationer har möjlighet att visa information om status för berörda resurser med hjälp av Azure Resource Graph från Open-frågan. Fullständig information om den här kraftfulla funktionen finns i Granska rekommendationsdata i Azure Resource Graph Explorer.
Security Center innehåller inbyggda sårbarhetsskannrar för att genomsöka dina virtuella datorer, SQL-servrar och deras värdar samt containerregister efter säkerhetsrisker. Resultaten returneras som rekommendationer med alla enskilda resultat för varje resurstyp som samlats in i en enda vy. Rekommendationerna är:
- Säkerhetsrisker i Azure Container Registry-avbildningar bör åtgärdas (drivs av Qualys)
- Säkerhetsrisker på dina virtuella datorer bör åtgärdas
- SQL-databaser bör lösa sårbarhetsresultat
- SQL-servrar på datorer bör ha sårbarhetsresultat lösta
Med den här ändringen kan du använda knappen Öppna fråga för att även öppna frågan som visar säkerhetsresultaten.
Knappen Öppna fråga innehåller ytterligare alternativ för några andra rekommendationer där det är relevant.
Läs mer om Säkerhetscenters sårbarhetsskannrar:
- Azure Defenders integrerade Qualys-sårbarhetsskanner för Azure- och hybriddatorer
- Azure Defenders integrerade skanner för sårbarhetsbedömning för SQL-servrar
- Azure Defenders integrerade skanner för sårbarhetsbedömning för containerregister
Allvarlighetsgraden för SQL-dataklassificeringsrekommendationer har ändrats
Allvarlighetsgraden för rekommendationen Känsliga data i dina SQL-databaser ska klassificeras har ändrats från Hög till Låg.
Detta är en del av en pågående ändring av den här rekommendationen som tillkännages på vår kommande ändringssida.
Nya rekommendationer för att aktivera betrodda startfunktioner (i förhandsversion)
Azure erbjuder betrodd lansering som ett sömlöst sätt att förbättra säkerheten för virtuella datorer i generation 2 . Betrodd start skyddar mot avancerade och beständiga attacktekniker. Betrodd start består av flera samordnade infrastrukturtekniker som kan aktiveras oberoende av varandra. Varje teknik ger ytterligare ett lager av skydd mot sofistikerade hot. Läs mer i Betrodd start för virtuella Azure-datorer.
Viktigt!
Betrodd start kräver att nya virtuella datorer skapas. Du kan inte aktivera betrodd start på befintliga virtuella datorer som ursprungligen skapades utan den.
Betrodd start är för närvarande i offentlig förhandsversion. Förhandsversionen tillhandahålls utan ett serviceavtal och rekommenderas inte för produktionsarbetsbelastningar. Vissa funktioner kanske inte stöds eller kan vara begränsade.
Security Centers rekommendation är att vTPM ska aktiveras på virtuella datorer som stöds, vilket säkerställer att dina virtuella Azure-datorer använder en vTPM. Den här virtualiserade versionen av en trusted platform-modul för maskinvara möjliggör attestering genom att mäta hela startkedjan för den virtuella datorn (UEFI, OPERATIVSYSTEM, system och drivrutiner).
Med vTPM aktiverat kan gästattesteringstillägget fjärrstyra den säkra starten. Följande rekommendationer säkerställer att det här tillägget distribueras:
- Säker start bör aktiveras på virtuella Windows-datorer som stöds
- Gästattesteringstillägget bör installeras på virtuella Windows-datorer som stöds
- Gästattesteringstillägget bör installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds
- Gästattesteringstillägget bör installeras på virtuella Linux-datorer som stöds
- Gästattesteringstillägget bör installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds
Läs mer i Betrodd start för virtuella Azure-datorer.
Nya rekommendationer för härdning av Kubernetes-kluster (i förhandsversion)
Med följande rekommendationer kan du ytterligare härda dina Kubernetes-kluster
- Kubernetes-kluster bör inte använda standardnamnområdet – Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount.
- Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter – Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster.
- Kubernetes-kluster bör inte bevilja CAPSYSADMIN-säkerhetsfunktioner
Lär dig hur Security Center kan skydda dina containerbaserade miljöer i Container Security i Security Center.
Utvärderings-API expanderat med två nya fält
Vi har lagt till följande två fält i REST API:et för utvärderingar:
- FirstEvaluationDate – den tid då rekommendationen skapades och utvärderades först. Returneras som UTC-tid i ISO 8601-format.
- StatusChangeDate – den tid då rekommendationens status senast ändrades. Returneras som UTC-tid i ISO 8601-format.
Det första standardvärdet för dessa fält – för alla rekommendationer – är 2021-03-14T00:00:00+0000000Z.
Om du vill komma åt den här informationen kan du använda någon av metoderna i tabellen nedan.
| Verktyg | Details |
|---|---|
| REST API-anrop | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Löpande export | De två dedikerade fälten kommer att vara tillgängliga för Log Analytics-arbetsytedata |
| CSV-export | De två fälten ingår i CSV-filerna |
Läs mer om REST-API:et för utvärderingar.
Tillgångsinventering hämtar ett molnmiljöfilter
Security Centers tillgångsinventeringssida erbjuder många filter för att snabbt förfina listan över resurser som visas. Läs mer i Utforska och hantera dina resurser med tillgångsinventering.
Ett nytt filter erbjuder alternativet att förfina listan enligt de molnkonton som du har anslutit med Security Centers funktioner för flera moln:
Läs mer om funktionerna i flera moln:
- Ansluta dina AWS-konton till Azure Security Center
- Ansluta dina GCP-projekt till Azure Security Center
April 2021
Uppdateringar i april inkluderar:
- Uppdaterad resurshälsosida (i förhandsversion)
- Containerregisteravbildningar som nyligen har hämtats genomsöks nu varje vecka (släpps för allmän tillgänglighet (GA))
- Använda Azure Defender för Kubernetes för att skydda Kubernetes-hybriddistributioner och kubernetes-distributioner i flera moln (i förhandsversion)
- Microsoft Defender för Endpoint integrering med Azure Defender har nu stöd för Windows Server 2019 och Windows 10 på Windows Virtual Desktop som släppts för allmän tillgänglighet (GA)
- Rekommendationer för att aktivera Azure Defender för DNS och Resource Manager (i förhandsversion)
- Tre standarder för regelefterlevnad har lagts till: Azure CIS 1.3.0, CMMC Level 3 och Nya Zeeland ISM Restricted
- Fyra nya rekommendationer som rör gästkonfiguration (i förhandsversion)
- CMK-rekommendationer övergick till metodtips för säkerhetskontroll
- Elva Azure Defender-aviseringar är inaktuella
- Två rekommendationer från säkerhetskontrollen "Tillämpa systemuppdateringar" är inaktuella
- Azure Defender för SQL på datorpanelen har tagits bort från Azure Defender-instrumentpanelen
- Rekommendationer flyttades mellan säkerhetskontroller
Uppdaterad resurshälsosida (i förhandsversion)
Resurshälsan utökades, förbättrades och förbättrades för att ge en ögonblicksbildsvy över den övergripande hälsan för en enskild resurs.
Du kan granska detaljerad information om resursen och alla rekommendationer som gäller för resursen. Om du använder microsoft Defenders avancerade skyddsplaner kan du också se utestående säkerhetsaviseringar för den specifika resursen.
Om du vill öppna resurshälsosidan för en resurs väljer du valfri resurs på sidan för tillgångsinventering.
Den här förhandsgranskningssidan på Security Centers portalsidor visar:
- Resursinformation – Resursgruppen och prenumerationen som den är kopplad till, den geografiska platsen med mera.
- Tillämpad säkerhetsfunktion – Om Azure Defender är aktiverat för resursen.
- Antal utestående rekommendationer och aviseringar – Antalet utestående säkerhetsrekommendationer och Azure Defender-aviseringar.
- Åtgärdsbara rekommendationer och aviseringar – Två flikar visar de rekommendationer och aviseringar som gäller för resursen.
Läs mer i Självstudie: Undersöka hälsotillståndet för dina resurser.
Containerregisteravbildningar som nyligen har hämtats genomsöks nu varje vecka (släpps för allmän tillgänglighet (GA))
Azure Defender för containerregister innehåller en inbyggd sårbarhetsskanner. Den här skannern söker omedelbart igenom alla avbildningar som du skickar till registret och alla avbildningar som hämtats under de senaste 30 dagarna.
Nya sårbarheter upptäcks varje dag. Med den här uppdateringen genomsöks containeravbildningar som hämtats från dina register under de senaste 30 dagarna varje vecka. Detta säkerställer att nyligen identifierade sårbarheter identifieras i dina bilder.
Genomsökning debiteras per bild, så det tillkommer ingen extra kostnad för dessa genomsökningar.
Läs mer om den här skannern i Använda Azure Defender för containerregister för att genomsöka dina bilder efter säkerhetsrisker.
Använda Azure Defender för Kubernetes för att skydda Kubernetes-hybriddistributioner och kubernetes-distributioner i flera moln (i förhandsversion)
Azure Defender för Kubernetes utökar sina hotskyddsfunktioner för att försvara dina kluster var de än distribueras. Detta aktiverades genom integrering med Azure Arc-aktiverade Kubernetes och dess nya tilläggsfunktioner.
När du har aktiverat Azure Arc i dina kubernetes-kluster som inte är Azure erbjuder en ny rekommendation från Azure Security Center att distribuera Azure Defender-agenten till dem med bara några få klick.
Använd rekommendationen (Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Defender-tillägget installerat) och tillägget för att skydda Kubernetes-kluster som distribuerats i andra molnleverantörer, men inte på deras hanterade Kubernetes-tjänster.
Den här integreringen mellan Azure Security Center, Azure Defender och Azure Arc-aktiverade Kubernetes medför:
- Enkel etablering av Azure Defender-agenten till oskyddade Azure Arc-aktiverade Kubernetes-kluster (manuellt och i stor skala)
- Övervakning av Azure Defender-agenten och dess etableringstillstånd från Azure Arc-portalen
- Säkerhetsrekommendationer från Security Center rapporteras på den nya sidan Säkerhet i Azure Arc-portalen
- Identifierade säkerhetshot från Azure Defender rapporteras på den nya säkerhetssidan i Azure Arc-portalen
- Azure Arc-aktiverade Kubernetes-kluster är integrerade i Azure Security Center-plattformen och upplevelsen
Microsoft Defender för Endpoint integrering med Azure Defender har nu stöd för Windows Server 2019 och Windows 10 på Windows Virtual Desktop som släppts för allmän tillgänglighet (GA)
Microsoft Defender för Endpoint är en holistisk, molnlevererad slutpunktssäkerhetslösning. Det ger riskbaserad hantering av säkerhetsrisker och utvärdering samt identifiering och åtgärd på slutpunkt (EDR). En fullständig lista över fördelarna med att använda Defender för Endpoint tillsammans med Azure Security Center finns i Skydda dina slutpunkter med Security Centers integrerade EDR-lösning: Microsoft Defender för Endpoint.
När du aktiverar Azure Defender för servrar som kör Windows Server ingår en licens för Defender för Endpoint i planen. Om du redan har aktiverat Azure Defender för servrar och du har Windows Server 2019-servrar i din prenumeration får de automatiskt Defender för Endpoint med den här uppdateringen. Ingen manuell åtgärd krävs.
Stödet har nu utökats till att omfatta Windows Server 2019 och Windows 10 på Windows Virtual Desktop.
Kommentar
Om du aktiverar Defender för Endpoint på en Windows Server 2019-server kontrollerar du att den uppfyller de krav som beskrivs i Aktivera Microsoft Defender för Endpoint integrering.
Rekommendationer för att aktivera Azure Defender för DNS och Resource Manager (i förhandsversion)
Två nya rekommendationer har lagts till för att förenkla processen med att aktivera Azure Defender för Resource Manager och Azure Defender för DNS:
- Azure Defender för Resource Manager ska vara aktiverat – Defender for Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet.
- Azure Defender för DNS ska vara aktiverat – Defender för DNS ger ytterligare ett skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender varnar dig om misstänkt aktivitet på DNS-lagret.
Aktivering av Azure Defender-planer resulterar i avgifter. Läs mer om prisinformationen per region på Security Centers prissida.
Dricks
Förhandsversionsrekommendationer återger inte en resurs som inte är felfri och ingår inte i beräkningarna av din säkerhetspoäng. Åtgärda dem när det är möjligt, så att de bidrar till din poäng när förhandsgranskningsperioden är slut. Läs mer om hur du svarar på dessa rekommendationer i Åtgärda rekommendationer i Azure Security Center.
Tre standarder för regelefterlevnad har lagts till: Azure CIS 1.3.0, CMMC Level 3 och Nya Zeeland ISM Restricted
Vi har lagt till tre standarder för användning med Azure Security Center. Med instrumentpanelen för regelefterlevnad kan du nu spåra din efterlevnad med:
Du kan tilldela dessa till dina prenumerationer enligt beskrivningen i Anpassa standarduppsättningen på instrumentpanelen för regelefterlevnad.
Läs mer i:
- Anpassa uppsättningen standarder i instrumentpanelen för regelefterlevnad
- Självstudie: Förbättra din regelefterlevnad
- Vanliga frågor och svar om instrumentpanelen för regelefterlevnad
Fyra nya rekommendationer som rör gästkonfiguration (i förhandsversion)
Azures gästkonfigurationstillägg rapporterar till Security Center för att säkerställa att dina virtuella datorers gästinställningar är härdade. Tillägget krävs inte för Arc-aktiverade servrar eftersom det ingår i Arc Connected Machine-agenten. Tillägget kräver en systemhanterad identitet på datorn.
Vi har lagt till fyra nya rekommendationer i Security Center för att få ut mesta möjliga av det här tillägget.
Två rekommendationer uppmanar dig att installera tillägget och dess nödvändiga systemhanterade identitet:
- Gästkonfigurationstillägget ska installeras på dina datorer
- Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet
När tillägget installeras och körs börjar det granska dina datorer och du uppmanas att härda inställningar som konfiguration av operativsystem och miljöinställningar. Dessa två rekommendationer uppmanar dig att härda dina Windows- och Linux-datorer enligt beskrivningen:
- Windows Defender Exploit Guard ska vara aktiverat på dina datorer
- Autentisering till Linux-datorer bör kräva SSH-nycklar
Läs mer i Förstå Azure Policys gästkonfiguration.
CMK-rekommendationer övergick till metodtips för säkerhetskontroll
Varje organisations säkerhetsprogram innehåller krav på datakryptering. Som standard krypteras Azure-kundernas data i vila med tjänsthanterade nycklar. Kundhanterade nycklar (CMK) krävs dock ofta för att uppfylla standarder för regelefterlevnad. Med CMK:er kan du kryptera dina data med en Azure Key Vault-nyckel som skapats och ägs av dig. Detta ger dig fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering.
Säkerhetskontrollerna i Azure Security Center är logiska grupper med relaterade säkerhetsrekommendationer och återspeglar dina sårbara attackytor. Varje kontroll har ett maximalt antal poäng som du kan lägga till i din säkerhetspoäng om du åtgärdar alla rekommendationer som anges i kontrollen för alla dina resurser. Säkerhetskontrollen Implementera säkerhetsmetoder är värd noll poäng. Så rekommendationer i den här kontrollen påverkar inte din säkerhetspoäng.
Rekommendationerna nedan flyttas till säkerhetskontrollen Implementera bästa praxis för säkerhet för att bättre återspegla deras valfria karaktär. Den här flytten säkerställer att dessa rekommendationer är i den lämpligaste kontrollen för att uppfylla deras mål.
- Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data
- Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel (CMK)
- Azure AI-tjänstkonton bör aktivera datakryptering med en kundhanterad nyckel (CMK)
- Containerregister ska krypteras med en kundhanterad nyckel (CMK)
- SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data
- SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data
- Lagringskonton bör använda kundhanterad nyckel (CMK) för kryptering
Lär dig vilka rekommendationer som finns i varje säkerhetskontroll i Säkerhetskontroller och deras rekommendationer.
11 Azure Defender-aviseringar inaktuella
De elva Azure Defender-aviseringarna som anges nedan är inaktuella.
Nya aviseringar ersätter dessa två aviseringar och ger bättre täckning:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo FÖRHANDSVERSION – Funktionskörningen "Get-AzureDomainInfo" i MicroBurst har identifierats ARM_MicroBurstRunbook FÖRHANDSVERSION – Funktionskörningen "Get-AzurePasswords" i MicroBurst har identifierats Dessa nio aviseringar gäller en Azure Active Directory Identity Protection-anslutningsapp (IPC) som redan har blivit inaktuell:
AlertType AlertDisplayName UnfamiliarLocation Obekanta inloggningsegenskaper AnonymousLogin Anonym IP-adress InfectedDeviceLogin IP-adress länkad till skadlig kod ImpossibleTravel Ovanlig resa MaliciousIP Skadlig IP-adress LeakedCredentials Läckta autentiseringsuppgifter PasswordSpray Lösenordsspray LeakedCredentials Azure AD-hotinformation AADAI Azure AD AI Dricks
Dessa nio IPC-aviseringar var aldrig Security Center-aviseringar. De är en del av Azure Active Directory (AAD) Identity Protection-anslutningsappen (IPC) som skickade dem till Security Center. Under de senaste två åren är de enda kunder som har sett dessa aviseringar organisationer som konfigurerade exporten (från anslutningsappen till ASC) 2019 eller tidigare. AAD IPC har fortsatt att visa dem i sina egna aviseringssystem och de har fortsatt att vara tillgängliga i Azure Sentinel. Den enda ändringen är att de inte längre visas i Security Center.
Två rekommendationer från säkerhetskontrollen "Tillämpa systemuppdateringar" är inaktuella
Följande två rekommendationer är inaktuella och ändringarna kan leda till en liten inverkan på din säkerhetspoäng:
- Dina datorer bör startas om för att tillämpa systemuppdateringar
- Övervakningsagenten bör installeras på dina datorer. Den här rekommendationen gäller endast lokala datorer och en del av dess logik överförs till en annan rekommendation. Problem med Log Analytics-agentens hälsotillstånd bör lösas på dina datorer
Vi rekommenderar att du kontrollerar konfigurationerna för kontinuerlig export och arbetsflödesautomatisering för att se om dessa rekommendationer ingår i dem. Dessutom bör alla instrumentpaneler eller andra övervakningsverktyg som använder dem uppdateras i enlighet med detta.
Azure Defender för SQL på datorpanelen har tagits bort från Azure Defender-instrumentpanelen
Azure Defender-instrumentpanelens täckningsområde innehåller paneler för relevanta Azure Defender-planer för din miljö. På grund av ett problem med rapporteringen av antalet skyddade och oskyddade resurser har vi beslutat att tillfälligt ta bort resurstäckningsstatusen för Azure Defender för SQL på datorer tills problemet har lösts.
Rekommendationer flyttas mellan säkerhetskontroller
Följande rekommendationer flyttades till olika säkerhetskontroller. Säkerhetskontroller är logiska grupper med relaterade säkerhetsrekommendationer och återspeglar dina sårbara attackytor. Den här flytten säkerställer att var och en av dessa rekommendationer är i den lämpligaste kontrollen för att uppfylla sitt mål.
Lär dig vilka rekommendationer som finns i varje säkerhetskontroll i Säkerhetskontroller och deras rekommendationer.
| Rekommendation | Ändra och påverka |
|---|---|
| Utvärdering av säkerhetsrisker bör aktiveras på dina SQL-servrar Sårbarhetsbedömning ska aktiveras på dina SQL-hanterade instanser Sårbarheter i dina SQL-databaser bör åtgärdas nya Sårbarheter i dina SQL-databaser på virtuella datorer bör åtgärdas |
Flytta från Åtgärda sårbarheter (värda sex poäng) för att åtgärda säkerhetskonfigurationer (värda fyra punkter). Beroende på din miljö har dessa rekommendationer en minskad inverkan på din poäng. |
| Det bör finnas fler än en ägare för prenumerationen Automation-kontovariabler ska krypteras IoT-enheter – Granskningsprocessen slutade skicka händelser IoT-enheter – Valideringsfel vid validering av operativsystembaslinje IoT-enheter – uppgradering av TLS-chifferpaket krävs IoT-enheter – Öppna portar på enheten IoT-enheter – Tillåtande brandväggsprincip i en av kedjorna hittades IoT-enheter – Tillåten brandväggsregel i indatakedjan hittades IoT-enheter – Tillåten brandväggsregel i utdatakedjan hittades Diagnostikloggar i IoT Hub ska vara aktiverade IoT-enheter – Agenten skickar underutnytttagna meddelanden IoT-enheter – Standardprincipen för IP-filter ska nekas IoT-enheter – IP-filterregel stort IP-intervall IoT-enheter – Agentmeddelandeintervall och storlek ska justeras IoT-enheter – identiska autentiseringsuppgifter IoT-enheter – Den granskade processen slutade skicka händelser IoT-enheter – Baslinjekonfigurationen för operativsystem (OS) bör åtgärdas |
Gå över till Implementera metodtips för säkerhet. När en rekommendation flyttas till säkerhetskontrollen Implementera bästa praxis för säkerhet, som inte är värd några poäng, påverkar rekommendationen inte längre din säkerhetspoäng. |
Mars 2021
Uppdateringar i mars inkluderar:
- Azure Firewall-hantering integrerad i Security Center
- SQL-sårbarhetsbedömning innehåller nu funktionen "Inaktivera regel" (förhandsversion)
- Azure Monitor-arbetsböcker integrerade i Security Center och tre mallar som tillhandahålls
- Instrumentpanelen för regelefterlevnad innehåller nu Azure-granskningsrapporter (förhandsversion)
- Rekommendationsdata kan visas i Azure Resource Graph med "Utforska i ARG"
- Uppdateringar av principerna för distribution av arbetsflödesautomation
- Två äldre rekommendationer skriver inte längre data direkt till Azure-aktivitetsloggen
- Förbättringar av sidan Rekommendationer
Azure Firewall-hantering integrerad i Security Center
När du öppnar Azure Security Center är den första sidan som visas översiktssidan.
Den här interaktiva instrumentpanelen ger en enhetlig vy över säkerhetsstatusen för dina hybridmolnarbetsbelastningar. Dessutom visas säkerhetsaviseringar, täckningsinformation med mera.
Som en del av att hjälpa dig att visa din säkerhetsstatus från en central upplevelse har vi integrerat Azure Firewall Manager i den här instrumentpanelen. Nu kan du kontrollera brandväggens täckningsstatus i alla nätverk och centralt hantera Azure Firewall-principer från Och med Security Center.
Läs mer om den här instrumentpanelen på översiktssidan för Azure Security Center.
SQL-sårbarhetsbedömning innehåller nu funktionen "Inaktivera regel" (förhandsversion)
Security Center innehåller en inbyggd sårbarhetsskanner som hjälper dig att identifiera, spåra och åtgärda potentiella sårbarheter i databasen. Resultatet från dina utvärderingsgenomsökningar ger en översikt över dina SQL-datorers säkerhetstillstånd och information om eventuella säkerhetsresultat.
Om du har en organisation som behöver ignorera en sökning i stället för att åtgärda den kan du inaktivera den. Inaktiverade resultat påverkar inte din säkerhetspoäng eller genererar oönskat brus.
Läs mer i Inaktivera specifika resultat.
Azure Monitor-arbetsböcker integrerade i Security Center och tre mallar som tillhandahålls
Som en del av Ignite Spring 2021 tillkännagav vi en integrerad Azure Monitor-arbetsboksupplevelse i Security Center.
Du kan använda den nya integreringen för att börja använda färdiga mallar från Security Center-galleriet. Med hjälp av arbetsboksmallar kan du komma åt och skapa dynamiska och visuella rapporter för att spåra organisationens säkerhetsstatus. Dessutom kan du skapa nya arbetsböcker baserat på Security Center-data eller andra datatyper som stöds och snabbt distribuera community-arbetsböcker från Security Centers GitHub-community.
Tre mallrapporter tillhandahålls:
- Säker poäng över tid – Spåra dina prenumerationers poäng och ändringar i rekommendationer för dina resurser
- Systemuppdateringar – Visa saknade systemuppdateringar efter resurser, operativsystem, allvarlighetsgrad med mera
- Resultat av sårbarhetsbedömning – Visa resultaten av sårbarhetsgenomsökningar av dina Azure-resurser
Lär dig mer om hur du använder dessa rapporter eller skapar egna i Skapa omfattande interaktiva rapporter med Security Center-data.
Instrumentpanelen för regelefterlevnad innehåller nu Azure-granskningsrapporter (förhandsversion)
Från instrumentpanelen för regelefterlevnad kan du nu ladda ned Azure- och Dynamics-certifieringsrapporter.
Du kan välja fliken för relevanta rapporttyper (PCI, SOC, ISO och andra) och använda filter för att hitta de specifika rapporter du behöver.
Läs mer om att hantera standarderna på instrumentpanelen för regelefterlevnad.
Rekommendationsdata kan visas i Azure Resource Graph med "Utforska i ARG"
Rekommendationsinformationssidorna innehåller nu verktygsfältsknappen "Utforska i ARG". Använd den här knappen om du vill öppna en Azure Resource Graph-fråga och utforska, exportera och dela rekommendationens data.
Azure Resource Graph (ARG) ger omedelbar åtkomst till resursinformation i dina molnmiljöer med robusta funktioner för filtrering, gruppering och sortering. Det är ett snabbt och effektivt sätt att fråga information i Azure-prenumerationer programmatiskt eller inifrån Azure Portal.
Läs mer om Azure Resource Graph.
Uppdateringar av principerna för distribution av arbetsflödesautomation
Att automatisera organisationens övervaknings- och incidenthanteringsprocesser kan avsevärt förbättra den tid det tar att undersöka och minimera säkerhetsincidenter.
Vi tillhandahåller tre Principer för Azure Policy "DeployIfNotExist" som skapar och konfigurerar procedurer för arbetsflödesautomatisering så att du kan distribuera dina automatiseringar i organisationen:
| Goal | Policy | Policy-ID |
|---|---|---|
| Arbetsflödesautomatisering för säkerhetsaviseringar | Distribuera arbetsflödesautomation för Azure Security Center-aviseringar | f1525828-9a90-4fcf-be48-268cdd02361e |
| Arbetsflödesautomatisering för säkerhetsrekommendationer | Distribuera arbetsflödesautomation för Azure Security Center-rekommendationer | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Arbetsflödesautomatisering för regelefterlevnadsändringar | Distribuera arbetsflödesautomation för regelefterlevnad i Azure Security Center | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Det finns två uppdateringar av funktionerna i dessa principer:
- När de tilldelas förblir de aktiverade genom tillämpning.
- Du kan nu anpassa dessa principer och uppdatera någon av parametrarna även efter att de redan har distribuerats. Du kan till exempel lägga till eller redigera en utvärderingsnyckel.
Kom igång med mallar för arbetsflödesautomatisering.
Läs mer om hur du automatiserar svar på Security Center-utlösare.
Två äldre rekommendationer skriver inte längre data direkt till Azure-aktivitetsloggen
Security Center skickar data för nästan alla säkerhetsrekommendationer till Azure Advisor, som i sin tur skriver dem till Azure-aktivitetsloggen.
För två rekommendationer skrivs data samtidigt direkt till Azure-aktivitetsloggen. Med den här ändringen slutar Security Center att skriva data för dessa äldre säkerhetsrekommendationer direkt till aktivitetsloggen. I stället exporterar vi data till Azure Advisor som vi gör för alla andra rekommendationer.
De två äldre rekommendationerna är:
- Problem med slutpunktsskyddshälsa bör lösas på dina datorer
- Säkerhetsluckor i datorernas säkerhetskonfiguration bör åtgärdas
Om du har använt information för dessa två rekommendationer i aktivitetsloggens kategori "Rekommendation av typen TaskDiscovery" är detta inte längre tillgängligt.
Förbättringar av sidan Rekommendationer
Vi har släppt en förbättrad version av rekommendationslistan för att snabbt presentera mer information.
Nu visas följande på sidan:
- Maximal poäng och aktuell poäng för varje säkerhetskontroll.
- Ikoner som ersätter taggar som Fix och Preview.
- En ny kolumn som visar principinitiativet som är relaterat till varje rekommendation – synligt när "Gruppera efter kontroller" är inaktiverat.
Läs mer i Säkerhetsrekommendationer i Azure Security Center.
Februari 2021
Uppdateringar i februari inkluderar:
- Ny sida med säkerhetsaviseringar i Azure Portal som släppts för allmän tillgänglighet (GA)
- Rekommendationer för Kubernetes-arbetsbelastningsskydd som släppts för allmän tillgänglighet (GA)
- Microsoft Defender för Endpoint integrering med Azure Defender stöder nu Windows Server 2019 och Windows 10 på Windows Virtual Desktop (i förhandsversion)
- Direktlänk till princip från sidan med rekommendationsinformation
- Rekommendationen för SQL-dataklassificering påverkar inte längre din säkerhetspoäng
- Arbetsflödesautomatiseringar kan utlösas av ändringar i utvärderingar av regelefterlevnad (i förhandsversion)
- Förbättringar av tillgångsinventeringssidan
Ny sida med säkerhetsaviseringar i Azure Portal som släppts för allmän tillgänglighet (GA)
Sidan säkerhetsaviseringar i Azure Security Center har gjorts om för att tillhandahålla:
- Förbättrad sorteringsupplevelse för aviseringar – hjälper till att minska aviseringströtthet och fokusera på de mest relevanta hoten enklare, listan innehåller anpassningsbara filter och grupperingsalternativ.
- Mer information i aviseringslistan – till exempel MITRE ATT&ACK-taktik.
- Knapp för att skapa exempelaviseringar – för att utvärdera Azure Defender-funktioner och testa dina aviseringar. konfiguration (för SIEM-integrering, e-postaviseringar och arbetsflödesautomatiseringar) kan du skapa exempelaviseringar från alla Azure Defender-planer.
- Anpassning till Azure Sentinels incidentupplevelse – för kunder som använder båda produkterna är det nu enklare att växla mellan dem och det är lätt att lära sig det ena från det andra.
- Bättre prestanda för stora aviseringslistor.
- Tangentbordsnavigering via aviseringslistan.
- Aviseringar från Azure Resource Graph – du kan fråga efter aviseringar i Azure Resource Graph, kusto-liknande API för alla dina resurser. Detta är också användbart om du skapar egna instrumentpaneler för aviseringar. Läs mer om Azure Resource Graph.
- Skapa exempelaviseringsfunktionen – Information om hur du skapar exempelaviseringar från den nya aviseringsupplevelsen finns i Generera Azure Defender-exempelaviseringar.
Rekommendationer för Kubernetes-arbetsbelastningsskydd som släppts för allmän tillgänglighet (GA)
Vi är glada att kunna meddela allmän tillgänglighet (GA) för uppsättningen rekommendationer för Kubernetes-arbetsbelastningsskydd.
För att säkerställa att Kubernetes-arbetsbelastningar är säkra som standard har Security Center lagt till rekommendationer för kubernetes-nivåhärdning, inklusive tvingande alternativ med Kubernetes-åtkomstkontroll.
När Azure Policy for Kubernetes installeras i ditt AKS-kluster (Azure Kubernetes Service) övervakas varje begäran till Kubernetes API-servern mot den fördefinierade uppsättningen metodtips – som visas som 13 säkerhetsrekommendationer – innan de sparas i klustret. Du kan sedan konfigurera för att framtvinga bästa praxis och ge dem mandat för framtida arbetsbelastningar.
Du kan till exempel kräva att privilegierade containrar inte ska skapas och eventuella framtida begäranden om detta blockeras.
Läs mer i Metodtips för arbetsbelastningsskydd med kubernetes-antagningskontroll.
Kommentar
Även om rekommendationerna var i förhandsversion återger de inte en AKS-klusterresurs som inte är felfri och de ingick inte i beräkningarna av din säkerhetspoäng. med detta GA-meddelande inkluderas dessa i poängberäkningen. Om du inte redan har åtgärdat dem kan det leda till en liten inverkan på din säkerhetspoäng. Åtgärda dem när det är möjligt enligt beskrivningen i Åtgärda rekommendationer i Azure Security Center.
Microsoft Defender för Endpoint integrering med Azure Defender stöder nu Windows Server 2019 och Windows 10 på Windows Virtual Desktop (i förhandsversion)
Microsoft Defender för Endpoint är en holistisk, molnlevererad slutpunktssäkerhetslösning. Det ger riskbaserad hantering av säkerhetsrisker och utvärdering samt identifiering och åtgärd på slutpunkt (EDR). En fullständig lista över fördelarna med att använda Defender för Endpoint tillsammans med Azure Security Center finns i Skydda dina slutpunkter med Security Centers integrerade EDR-lösning: Microsoft Defender för Endpoint.
När du aktiverar Azure Defender för servrar som kör Windows Server ingår en licens för Defender för Endpoint i planen. Om du redan har aktiverat Azure Defender för servrar och du har Windows Server 2019-servrar i din prenumeration får de automatiskt Defender för Endpoint med den här uppdateringen. Ingen manuell åtgärd krävs.
Stödet har nu utökats till att omfatta Windows Server 2019 och Windows 10 på Windows Virtual Desktop.
Kommentar
Om du aktiverar Defender för Endpoint på en Windows Server 2019-server kontrollerar du att den uppfyller de krav som beskrivs i Aktivera Microsoft Defender för Endpoint integrering.
Direktlänk till princip från sidan med rekommendationsinformation
När du granskar information om en rekommendation är det ofta bra att kunna se den underliggande principen. För varje rekommendation som stöds av en princip finns det en ny länk från rekommendationsinformationssidan:
Använd den här länken om du vill visa principdefinitionen och granska utvärderingslogik.
Rekommendationen för SQL-dataklassificering påverkar inte längre din säkerhetspoäng
Rekommendationen Känsliga data i DINA SQL-databaser ska klassificeras påverkar inte längre din säkerhetspoäng. Säkerhetskontrollen Tillämpa dataklassificering som innehåller den har nu ett värde för säker poäng på 0.
En fullständig lista över alla säkerhetskontroller, tillsammans med deras poäng och en lista över rekommendationerna i var och en, finns i Säkerhetskontroller och deras rekommendationer.
Arbetsflödesautomatiseringar kan utlösas av ändringar i utvärderingar av regelefterlevnad (i förhandsversion)
Vi har lagt till en tredje datatyp i utlösaralternativen för dina arbetsflödesautomatiseringar: ändringar i utvärderingar av regelefterlevnad.
Lär dig hur du använder verktygen för arbetsflödesautomatisering i Automatisera svar på Security Center-utlösare.
Förbättringar av tillgångsinventeringssidan
Sidan för tillgångsinventering i Security Center förbättrades:
Sammanfattningar överst på sidan innehåller nu oregistrerade prenumerationer som visar antalet prenumerationer utan Security Center aktiverat.
Filter har utökats och förbättrats så att de omfattar:
Antal – Varje filter visar antalet resurser som uppfyller kriterierna för varje kategori
Innehåller undantagsfilter (valfritt) – begränsa resultatet till resurser som har/inte har undantag. Det här filtret visas inte som standard, men är tillgängligt från knappen Lägg till filter .
Läs mer om hur du utforskar och hanterar dina resurser med tillgångsinventering.
Januari 2021
Uppdateringar i januari inkluderar:
- Azure Security Benchmark är nu standardprincipinitiativet för Azure Security Center
- Sårbarhetsbedömning för lokala datorer och datorer med flera moln släpps för allmän tillgänglighet (GA)
- Säkerhetspoäng för hanteringsgrupper finns nu i förhandsversion
- API för säker poäng släpps för allmän tillgänglighet (GA)
- Skydd mot överflödig DNS har lagts till i Azure Defender för App Service
- Anslutningsprogram för flera moln släpps för allmän tillgänglighet (GA)
- Undanta hela rekommendationer från din säkerhetspoäng för prenumerationer och hanteringsgrupper
- Användare kan nu begära synlighet för hela klientorganisationen från sin globala administratör
- 35 förhandsversionsrekommendationer har lagts till för att öka täckningen för Azure Security Benchmark
- CSV-export av filtrerad lista med rekommendationer
- "Ej tillämpliga" resurser rapporteras nu som "kompatibla" i Azure Policy-utvärderingar
- Exportera veckovisa ögonblicksbilder av data för säkerhetspoäng och regelefterlevnad med kontinuerlig export (förhandsversion)
Azure Security Benchmark är nu standardprincipinitiativet för Azure Security Center
Azure Security Benchmark är den Microsoft-skapade, Azure-specifika uppsättningen riktlinjer för bästa praxis för säkerhet och efterlevnad baserat på vanliga efterlevnadsramverk. Detta allmänt respekterade riktmärke bygger på kontrollerna från Center for Internet Security (CIS) och National Institute of Standards and Technology (NIST) med fokus på molncentrerad säkerhet.
Under de senaste månaderna har Security Centers lista över inbyggda säkerhetsrekommendationer ökat avsevärt för att utöka vår täckning av detta riktmärke.
Från den här versionen är riktmärket grunden för Security Centers rekommendationer och helt integrerat som standardprincipinitiativ.
Alla Azure-tjänster har en säkerhetsbaslinjesida i sin dokumentation. Dessa baslinjer bygger på Azure Security Benchmark.
Om du använder Instrumentpanelen för regelefterlevnad i Security Center ser du två instanser av riktmärket under en övergångsperiod:
Befintliga rekommendationer påverkas inte och när riktmärket växer återspeglas ändringarna automatiskt i Security Center.
Mer information finns på följande sidor:
- Läs mer om Azure Security Benchmark
- Anpassa uppsättningen standarder i instrumentpanelen för regelefterlevnad
Sårbarhetsbedömning för lokala datorer och datorer med flera moln släpps för allmän tillgänglighet (GA)
I oktober tillkännagav vi en förhandsversion för genomsökning av Azure Arc-aktiverade servrar med Azure Defender for Servers integrerade skanner för sårbarhetsbedömning (drivs av Qualys).
Det har nu släppts för allmän tillgänglighet (GA).
När du har aktiverat Azure Arc på dina datorer som inte är Azure erbjuder Security Center att distribuera den integrerade sårbarhetsskannern på dem – manuellt och i stor skala.
Med den här uppdateringen kan du frigöra kraften hos Azure Defender för servrar för att konsolidera ditt hantering av säkerhetsrisker program över alla dina Azure- och icke-Azure-tillgångar.
Huvudsakliga funktioner:
- Övervaka etableringstillståndet för VA-skannern (sårbarhetsbedömning) på Azure Arc-datorer
- Etablera den integrerade VA-agenten till oskyddade Windows- och Linux Azure Arc-datorer (manuellt och i stor skala)
- Ta emot och analysera identifierade sårbarheter från distribuerade agenter (manuellt och i stor skala)
- Enhetlig upplevelse för virtuella Azure-datorer och Azure Arc-datorer
Läs mer om hur du distribuerar den integrerade Qualys-sårbarhetsskannern till dina hybriddatorer.
Läs mer om Azure Arc-aktiverade servrar.
Säkerhetspoäng för hanteringsgrupper finns nu i förhandsversion
Sidan för säker poäng visar nu de aggregerade säkra poängen för dina hanteringsgrupper utöver prenumerationsnivån. Nu kan du alltså se listan över hanteringsgrupper i din organisation och poängen för varje hanteringsgrupp.
Läs mer om säkerhetspoäng och säkerhetskontroller i Azure Security Center.
API för säker poäng släpps för allmän tillgänglighet (GA)
Nu kan du komma åt din poäng via API:et för säker poäng. API-metoderna ger flexibiliteten att köra frågor mot data och skapa en egen rapporteringsmekanism för dina säkra poäng över tid. Till exempel:
- använda API:et för säkra poäng för att hämta poängen för en specifik prenumeration
- använd API:et för kontroller för säker poäng för att lista säkerhetskontrollerna och den aktuella poängen för dina prenumerationer
Lär dig mer om externa verktyg som möjliggörs med API:et för säker poäng i området för säker poäng i vår GitHub-community.
Läs mer om säkerhetspoäng och säkerhetskontroller i Azure Security Center.
Skydd mot överflödig DNS har lagts till i Azure Defender för App Service
Underdomänövertaganden är ett vanligt hot med hög allvarlighetsgrad för organisationer. Ett övertagande av underdomäner kan inträffa när du har en DNS-post som pekar på en avetablerade webbplats. Sådana DNS-poster kallas även "dinglande DNS"-poster. CNAME-poster är särskilt sårbara för det här hotet.
Underdomänövertaganden gör det möjligt för hotaktörer att omdirigera trafik som är avsedd för en organisations domän till en webbplats som utför skadlig aktivitet.
Azure Defender för App Service identifierar nu dinglande DNS-poster när en App Service-webbplats inaktiveras. Det här är det ögonblick då DNS-posten pekar på en resurs som inte finns och din webbplats är sårbar för ett underdomänövertagande. Dessa skydd är tillgängliga oavsett om dina domäner hanteras med Azure DNS eller en extern domänregistrator och gäller för både App Service i Windows och App Service på Linux.
Läs mer:
- Referenstabell för App Service-avisering – Innehåller två nya Azure Defender-aviseringar som utlöses när en dinglande DNS-post identifieras
- Förhindra dangling DNS-poster och undvik underdomänövertagande – Lär dig mer om hotet om övertagande av underdomäner och dangling DNS-aspekten
- Introduktion till Azure Defender för App Service
Anslutningsprogram för flera moln släpps för allmän tillgänglighet (GA)
Med molnarbetsbelastningar som ofta omfattar flera molnplattformar måste molnsäkerhetstjänster göra detsamma.
Azure Security Center skyddar arbetsbelastningar i Azure, Amazon Web Services (AWS) och Google Cloud Platform (GCP).
När du ansluter dina AWS- eller GCP-projekt integreras deras interna säkerhetsverktyg som AWS Security Hub och GCP Security Command Center i Azure Security Center.
Den här funktionen innebär att Security Center ger synlighet och skydd i alla större molnmiljöer. Några av fördelarna med den här integreringen:
- Automatisk agentetablering – Security Center använder Azure Arc för att distribuera Log Analytics-agenten till dina AWS-instanser
- Principhantering
- Sårbarhetshantering
- EDR (Embedded Endpoint Detection and Response)
- Identifiering av felkonfigurationer för säkerhet
- En enda vy som visar säkerhetsrekommendationer från alla molnleverantörer
- Införliva alla dina resurser i Security Centers beräkningar för säker poäng
- Utvärderingar av regelefterlevnad för dina AWS- och GCP-resurser
På Defender för molnet meny väljer du Multicloud-anslutningsappar så visas alternativen för att skapa nya anslutningsappar:
Läs mer i:
- Ansluta dina AWS-konton till Azure Security Center
- Ansluta dina GCP-projekt till Azure Security Center
Undanta hela rekommendationer från din säkerhetspoäng för prenumerationer och hanteringsgrupper
Vi utökar undantagsfunktionen till att omfatta hela rekommendationer. Ge ytterligare alternativ för att finjustera säkerhetsrekommendationerna som Security Center ger för dina prenumerationer, hanteringsgrupp eller resurser.
Ibland visas en resurs som felaktig när du vet att problemet löses av ett verktyg från tredje part som Security Center inte har identifierat. Eller så visas en rekommendation i ett omfång där du känner att den inte hör hemma. Rekommendationen kan vara olämplig för en specifik prenumeration. Eller så kanske din organisation har beslutat att acceptera de risker som är relaterade till den specifika resursen eller rekommendationen.
Med den här förhandsgranskningsfunktionen kan du nu skapa ett undantag för en rekommendation om att:
Undanta en resurs för att säkerställa att den inte visas med resurser som inte är felfria i framtiden och påverkar inte din säkerhetspoäng. Resursen visas som inte tillämplig och orsaken visas som "undantagen" med den specifika motivering som du väljer.
Undanta en prenumeration eller hanteringsgrupp för att säkerställa att rekommendationen inte påverkar din säkerhetspoäng och inte visas för prenumerationen eller hanteringsgruppen i framtiden. Detta gäller befintliga resurser och alla du skapar i framtiden. Rekommendationen markeras med den specifika motivering som du väljer för det omfång som du har valt.
Läs mer i Undanta resurser och rekommendationer från din säkerhetspoäng.
Användare kan nu begära synlighet för hela klientorganisationen från sin globala administratör
Om en användare inte har behörighet att se Security Center-data visas nu en länk för att begära behörigheter från organisationens globala administratör. Begäran innehåller den roll de vill ha och motiveringen till varför det är nödvändigt.
Läs mer i Begär behörigheter för hela klientorganisationen när dina är otillräckliga.
35 förhandsversionsrekommendationer har lagts till för att öka täckningen för Azure Security Benchmark
Azure Security Benchmark är standardprincipinitiativet i Azure Security Center.
För att öka täckningen för det här riktmärket har följande 35 förhandsversionsrekommendationer lagts till i Security Center.
Dricks
Förhandsversionsrekommendationer återger inte en resurs som inte är felfri och ingår inte i beräkningarna av din säkerhetspoäng. Åtgärda dem när det är möjligt, så att de bidrar till din poäng när förhandsgranskningsperioden är slut. Läs mer om hur du svarar på dessa rekommendationer i Åtgärda rekommendationer i Azure Security Center.
| Säkerhetskontroll | Nya rekommendationer |
|---|---|
| Aktivera kryptering i vila | – Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data – Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel (CMK) – Bring your own key data protection ska vara aktiverat för MySQL-servrar – Bring your own key data protection ska vara aktiverat för PostgreSQL-servrar – Azure AI-tjänstkonton bör aktivera datakryptering med en kundhanterad nyckel (CMK) – Containerregister ska krypteras med en kundhanterad nyckel (CMK) – SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data – SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data – Lagringskonton bör använda kundhanterad nyckel (CMK) för kryptering |
| Implementera bästa praxis för säkerhet | – Prenumerationer bör ha en e-postadress för kontakt för säkerhetsproblem – Automatisk etablering av Log Analytics-agenten ska vara aktiverad i din prenumeration – E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat – E-postavisering till prenumerationsägaren för aviseringar med hög allvarlighetsgrad ska aktiveras – Nyckelvalv bör ha rensningsskydd aktiverat – Nyckelvalv ska ha mjuk borttagning aktiverat |
| Hantera åtkomst och behörigheter | – Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat |
| Skydda program mot DDoS-attacker | – Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway – Brandväggen för webbaserade program (WAF) ska vara aktiverad för Azure Front Door Service |
| Begränsa obehörig nätverksåtkomst | – Brandväggen ska vara aktiverad i Key Vault – Privat slutpunkt ska konfigureras för Key Vault – Appkonfiguration bör använda privat länk – Azure Cache for Redis bör finnas i ett virtuellt nätverk – Azure Event Grid-domäner bör använda privat länk – Azure Event Grid-ämnen bör använda privat länk – Azure Machine Learning-arbetsytor bör använda privat länk – Azure SignalR Service bör använda privat länk – Azure Spring Cloud bör använda nätverksinmatning – Containerregister bör inte tillåta obegränsad nätverksåtkomst – Containerregister bör använda privat länk – Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar – Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar – Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar – Lagringskontot bör använda en privat länkanslutning – Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk – Mallar för VM Image Builder ska använda privat länk |
Relaterade länkar:
- Läs mer om Azure Security Benchmark
- Läs mer om Azure Database for MariaDB
- Läs mer om Azure Database for MySQL
- Läs mer om Azure Database for PostgreSQL
CSV-export av filtrerad lista med rekommendationer
I november 2020 lade vi till filter på rekommendationssidan.
Med det här meddelandet ändrar vi beteendet för knappen Ladda ned till CSV så att CSV-exporten endast innehåller de rekommendationer som för närvarande visas i den filtrerade listan.
I bilden nedan kan du till exempel se att listan filtreras efter två rekommendationer. CSV-filen som genereras innehåller statusinformationen för varje resurs som påverkas av dessa två rekommendationer.
Läs mer i Säkerhetsrekommendationer i Azure Security Center.
"Ej tillämpliga" resurser rapporteras nu som "kompatibla" i Azure Policy-utvärderingar
Tidigare visades resurser som utvärderades för en rekommendation och som inte var tillämpliga i Azure Policy som "icke-kompatibla". Inga användaråtgärder kan ändra deras tillstånd till "Kompatibel". Med den här ändringen rapporteras de som "Kompatibla" för bättre klarhet.
Den enda effekten visas i Azure Policy där antalet kompatibla resurser ökar. Din säkerhetspoäng påverkas inte i Azure Security Center.
Exportera veckovisa ögonblicksbilder av data för säkerhetspoäng och regelefterlevnad med kontinuerlig export (förhandsversion)
Vi har lagt till en ny förhandsversionsfunktion i verktygen för kontinuerlig export för att exportera veckovisa ögonblicksbilder av säkerhetspoäng och regelefterlevnadsdata.
När du definierar en kontinuerlig export anger du exportfrekvensen:
- Direktuppspelning – utvärderingar skickas när en resurss hälsotillstånd uppdateras (om inga uppdateringar sker skickas inga data).
- Ögonblicksbilder – en ögonblicksbild av det aktuella tillståndet för alla regelefterlevnadsutvärderingar skickas varje vecka (det här är en förhandsversionsfunktion för veckovisa ögonblicksbilder av säkra poäng och regelefterlevnadsdata).
Läs mer om de fullständiga funktionerna i den här funktionen i Exportera security center-data kontinuerligt.
December 2020
Uppdateringar i december inkluderar:
- Azure Defender för SQL-servrar på datorer är allmänt tillgängligt
- Azure Defender för SQL-stöd för azure Synapse Analytics dedikerad SQL-pool är allmänt tillgängligt
- Globala administratörer kan nu bevilja sig själva behörigheter på klientnivå
- Två nya Azure Defender-planer: Azure Defender för DNS och Azure Defender för Resource Manager (i förhandsversion)
- Sidan Nya säkerhetsaviseringar i Azure Portal (förhandsversion)
- Återupplivad Security Center-upplevelse i Azure SQL Database och SQL Managed Instance
- Verktyg och filter för tillgångsinventering har uppdaterats
- Rekommendation om webbappar som begär SSL-certifikat som inte längre ingår i säkerhetspoängen
- Sidan Rekommendationer innehåller nya filter för miljö, allvarlighetsgrad och tillgängliga svar
- Kontinuerlig export hämtar nya datatyper och förbättrade principer för deployifnotexist
Azure Defender för SQL-servrar på datorer är allmänt tillgängligt
Azure Security Center erbjuder två Azure Defender-planer för SQL-servrar:
- Azure Defender för Azure SQL-databasservrar – försvarar dina Azure-inbyggda SQL-servrar
- Azure Defender för SQL-servrar på datorer – utökar samma skydd till dina SQL-servrar i hybridmiljöer, multimoln och lokala miljöer
Med det här meddelandet skyddar Azure Defender för SQL nu dina databaser och deras data var de än finns.
Azure Defender för SQL innehåller funktioner för sårbarhetsbedömning. Verktyget för sårbarhetsbedömning innehåller följande avancerade funktioner:
- Baslinjekonfiguration (Ny!) för att på ett intelligent sätt förfina resultatet av sårbarhetsgenomsökningar till dem som kan representera verkliga säkerhetsproblem. När du har upprättat säkerhetstillståndet för baslinjen rapporterar verktyget för sårbarhetsbedömning endast avvikelser från baslinjetillståndet. Resultat som matchar baslinjen anses klara efterföljande genomsökningar. På så sätt kan du och dina analytiker fokusera på var det är viktigt.
- Detaljerad referensinformation som hjälper dig att förstå de upptäckta resultaten och varför de relaterar till dina resurser.
- Reparationsskript som hjälper dig att minimera identifierade risker.
Läs mer om Azure Defender för SQL.
Azure Defender för SQL-stöd för azure Synapse Analytics dedikerad SQL-pool är allmänt tillgängligt
Azure Synapse Analytics (tidigare SQL DW) är en analystjänst som kombinerar lagring av företagsdata och stordataanalys. Dedikerade SQL-pooler är funktionerna för företagsdatalager i Azure Synapse. Läs mer i Vad är Azure Synapse Analytics (tidigare SQL DW)?.
Azure Defender för SQL skyddar dina dedikerade SQL-pooler med:
- Avancerat skydd mot hot för att identifiera hot och attacker
- Funktioner för sårbarhetsbedömning för att identifiera och åtgärda säkerhetsfelkonfigurationer
Azure Defender för SQL:s stöd för Azure Synapse Analytics SQL-pooler läggs automatiskt till i Azure SQL-databaspaketet i Azure Security Center. Det finns en ny Azure Defender för SQL-flik på synapse-arbetsytans sida i Azure Portal.
Läs mer om Azure Defender för SQL.
Globala administratörer kan nu bevilja sig själva behörigheter på klientnivå
En användare med Azure Active Directory-rollen Global administratör kan ha ansvar för hela klientorganisationen, men saknar Azure-behörighet att visa den organisationsomfattande informationen i Azure Security Center.
Om du vill tilldela dig själv behörigheter på klientnivå följer du anvisningarna i Bevilja klientomfattande behörigheter till dig själv.
Två nya Azure Defender-planer: Azure Defender för DNS och Azure Defender för Resource Manager (i förhandsversion)
Vi har lagt till två nya molnbaserade funktioner för skydd mot hot i din Azure-miljö.
Dessa nya skydd förbättrar avsevärt din återhämtning mot attacker från hotaktörer och ökar avsevärt antalet Azure-resurser som skyddas av Azure Defender.
Azure Defender för Resource Manager – övervakar automatiskt alla resurshanteringsåtgärder som utförs i din organisation. Mer information finns i:
Azure Defender för DNS – övervakar kontinuerligt alla DNS-frågor från dina Azure-resurser . Mer information finns i:
Sidan Nya säkerhetsaviseringar i Azure Portal (förhandsversion)
Sidan säkerhetsaviseringar i Azure Security Center har gjorts om för att tillhandahålla:
- Förbättrad sorteringsupplevelse för aviseringar – hjälper till att minska aviseringströtthet och fokusera på de mest relevanta hoten enklare, listan innehåller anpassningsbara filter och grupperingsalternativ
- Mer information i aviseringslistan – till exempel MITRE ATT&ACK-taktik
- Knapp för att skapa exempelaviseringar – för att utvärdera Azure Defender-funktioner och testa konfigurationen av aviseringar (för SIEM-integrering, e-postmeddelanden och arbetsflödesautomatiseringar) kan du skapa exempelaviseringar från alla Azure Defender-planer
- Anpassning till Azure Sentinels incidentupplevelse – för kunder som använder båda produkterna är det nu enklare att växla mellan dem och det är enkelt att lära sig det ena från det andra
- Bättre prestanda för stora aviseringslistor
- Tangentbordsnavigering via aviseringslistan
- Aviseringar från Azure Resource Graph – du kan fråga efter aviseringar i Azure Resource Graph, kusto-liknande API för alla dina resurser. Detta är också användbart om du skapar egna instrumentpaneler för aviseringar. Läs mer om Azure Resource Graph.
För att komma åt den nya upplevelsen använder du länken "prova nu" från banderollen överst på sidan med säkerhetsaviseringar.
Information om hur du skapar exempelaviseringar från den nya aviseringsupplevelsen finns i Generera Azure Defender-exempelaviseringar.
Återupplivad Security Center-upplevelse i Azure SQL Database och SQL Managed Instance
Security Center-upplevelsen i SQL ger åtkomst till följande Security Center- och Azure Defender för SQL-funktioner:
- Säkerhetsrekommendationer – Security Center analyserar regelbundet säkerhetstillståndet för alla anslutna Azure-resurser för att identifiera potentiella säkerhetsfelkonfigurationer. Den ger sedan rekommendationer om hur du åtgärdar dessa säkerhetsrisker och förbättrar organisationens säkerhetsstatus.
- Säkerhetsaviseringar – en identifieringstjänst som kontinuerligt övervakar Azure SQL-aktiviteter för hot som SQL-inmatning, råstyrkeattacker och privilegier. Den här tjänsten utlöser detaljerade och åtgärdsorienterade säkerhetsaviseringar i Security Center och tillhandahåller alternativ för fortsatta undersökningar med Azure Sentinel, Microsofts Azure-inbyggda SIEM-lösning.
- Resultat – en tjänst för sårbarhetsbedömning som kontinuerligt övervakar Azure SQL-konfigurationer och hjälper till att åtgärda sårbarheter. Utvärderingsgenomsökningar ger en översikt över Azure SQL-säkerhetstillstånd tillsammans med detaljerade säkerhetsresultat.
Verktyg och filter för tillgångsinventering har uppdaterats
Inventeringssidan i Azure Security Center uppdaterades med följande ändringar:
Guider och feedback har lagts till i verktygsfältet. Då öppnas ett fönster med länkar till relaterad information och verktyg.
Prenumerationsfilter har lagts till i de standardfilter som är tillgängliga för dina resurser.
Öppna frågelänken för att öppna de aktuella filteralternativen som en Azure Resource Graph-fråga (kallades tidigare "Visa i resursdiagramutforskaren").
Operatoralternativ för varje filter. Nu kan du välja mellan fler logiska operatorer än =. Du kanske till exempel vill hitta alla resurser med aktiva rekommendationer vars rubriker innehåller strängen "encrypt".
Läs mer om inventering i Utforska och hantera dina resurser med tillgångsinventering.
Rekommendation om webbappar som begär SSL-certifikat som inte längre ingår i säkerhetspoängen
Rekommendationen "Webbappar bör begära ett SSL-certifikat för alla inkommande begäranden" flyttades från säkerhetskontrollen Hantera åtkomst och behörigheter (värda högst 4 punkter) till Implementera metodtips för säkerhet (vilket inte är värt några poäng).
Att se till att en webbapp begär ett certifikat gör det säkert säkrare. För offentliga webbappar är det dock irrelevant. Om du kommer åt webbplatsen via HTTP och inte HTTPS får du inget klientcertifikat. Så om ditt program kräver klientcertifikat bör du inte tillåta begäranden till ditt program via HTTP. Läs mer i Konfigurera ömsesidig TLS-autentisering för Azure App Service.
Med den här ändringen är rekommendationen nu en rekommenderad metod som inte påverkar din poäng.
Lär dig vilka rekommendationer som finns i varje säkerhetskontroll i Säkerhetskontroller och deras rekommendationer.
Sidan Rekommendationer innehåller nya filter för miljö, allvarlighetsgrad och tillgängliga svar
Azure Security Center övervakar alla anslutna resurser och genererar säkerhetsrekommendationer. Använd dessa rekommendationer för att stärka din hybridmolnstatus och spåra efterlevnaden av de principer och standarder som är relevanta för din organisation, bransch och land/region.
I takt med att Security Center fortsätter att utöka sin täckning och sina funktioner växer listan med säkerhetsrekommendationer varje månad. Se till exempel Tjugonio förhandsversionsrekommendationer som lagts till för att öka täckningen för Azure Security Benchmark.
Med den växande listan finns det ett behov av att filtrera rekommendationerna för att hitta de som är mest intressanta. I november lade vi till filter på rekommendationssidan (se listan Rekommendationer innehåller nu filter).
Filtren som lagts till den här månaden ger alternativ för att förfina rekommendationslistan enligt:
Miljö – Visa rekommendationer för dina AWS-, GCP- eller Azure-resurser (eller valfri kombination)
Allvarlighetsgrad – Visa rekommendationer enligt allvarlighetsgradsklassificeringen som angetts av Security Center
Svarsåtgärder – Visa rekommendationer enligt tillgängligheten för Security Center-svarsalternativ: Åtgärda, Neka och Framtvinga
Dricks
Filtret svarsåtgärder ersätter det tillgängliga snabbkorrigeringsfiltret (Ja/Nej).
Läs mer om vart och ett av följande svarsalternativ:
Kontinuerlig export hämtar nya datatyper och förbättrade principer för deployifnotexist
Med Azure Security Centers verktyg för kontinuerlig export kan du exportera Security Centers rekommendationer och aviseringar för användning med andra övervakningsverktyg i din miljö.
Med kontinuerlig export kan du helt anpassa vad som ska exporteras och vart det ska gå. Fullständig information finns i Kontinuerligt exportera Security Center-data.
Dessa verktyg har förbättrats och utökats på följande sätt:
Den kontinuerliga exportens deployifnotexist-principer har förbättrats. Principerna nu:
Kontrollera om konfigurationen är aktiverad. Om den inte är det visas principen som icke-kompatibel och skapar en kompatibel resurs. Läs mer om de angivna Azure Policy-mallarna på fliken "Distribuera i stor skala med Azure Policy" i Konfigurera en kontinuerlig export.
Stöd för export av säkerhetsresultat. När du använder Azure Policy-mallarna kan du konfigurera din kontinuerliga export så att den innehåller resultat. Detta är relevant när du exporterar rekommendationer som har "sub"-rekommendationer, till exempel resultat från skannrar för sårbarhetsbedömning eller specifika systemuppdateringar för den överordnade rekommendationen "Systemuppdateringar bör installeras på dina datorer".
Stöd för export av data för säker poäng.
Data för utvärdering av regelefterlevnad har lagts till (i förhandsversion). Nu kan du kontinuerligt exportera uppdateringar till utvärderingar av regelefterlevnad, inklusive för anpassade initiativ, till en Log Analytics-arbetsyta eller Event Hubs. Den här funktionen är inte tillgänglig i nationella moln.
November 2020
Uppdateringar i november inkluderar:
- 29 förhandsversionsrekommendationer har lagts till för att öka täckningen för Azure Security Benchmark
- NIST SP 800 171 R2 har lagts till på Security Centers instrumentpanel för regelefterlevnad
- Listan med rekommendationer innehåller nu filter
- Funktionen för automatisk avetablering har förbättrats och utökats
- Säker poäng är nu tillgänglig i kontinuerlig export (förhandsversion)
- Rekommendationen "Systemuppdateringar bör installeras på dina datorer" innehåller nu underkommandon
- Sidan Principhantering i Azure Portal visar nu status för standardprinciptilldelningar
29 förhandsversionsrekommendationer har lagts till för att öka täckningen för Azure Security Benchmark
Azure Security Benchmark är den Microsoft-skapade, Azure-specifika uppsättningen riktlinjer för bästa praxis för säkerhet och efterlevnad baserat på vanliga efterlevnadsramverk. Läs mer om Azure Security Benchmark.
Följande 29 förhandsversionsrekommendationer har lagts till i Security Center för att öka täckningen för det här riktmärket.
Förhandsversionsrekommendationer återger inte en resurs som inte är felfri och ingår inte i beräkningarna av din säkerhetspoäng. Åtgärda dem när det är möjligt, så att de bidrar till din poäng när förhandsgranskningsperioden är slut. Läs mer om hur du svarar på dessa rekommendationer i Åtgärda rekommendationer i Azure Security Center.
| Säkerhetskontroll | Nya rekommendationer |
|---|---|
| Kryptera data under överföring | – Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar – Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar – TLS bör uppdateras till den senaste versionen för din API-app – TLS bör uppdateras till den senaste versionen för din funktionsapp – TLS bör uppdateras till den senaste versionen för din webbapp – FTPS bör krävas i DIN API-app – FTPS bör krävas i funktionsappen – FTPS bör krävas i webbappen |
| Hantera åtkomst och behörigheter | – Webbappar bör begära ett SSL-certifikat för alla inkommande begäranden – Hanterad identitet ska användas i din API-app – Hanterad identitet ska användas i funktionsappen – Hanterad identitet ska användas i webbappen |
| Begränsa obehörig nätverksåtkomst | – Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar – Privat slutpunkt ska vara aktiverad för MariaDB-servrar – Privat slutpunkt ska vara aktiverad för MySQL-servrar |
| Aktivera granskning och loggning | – Diagnostikloggar i App Services ska vara aktiverade |
| Implementera bästa praxis för säkerhet | – Azure Backup ska vara aktiverat för virtuella datorer – Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB – Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL – Geo-redundant säkerhetskopiering ska aktiveras för Azure Database for PostgreSQL – PHP bör uppdateras till den senaste versionen för din API-app – PHP bör uppdateras till den senaste versionen för din webbapp – Java bör uppdateras till den senaste versionen för din API-app – Java bör uppdateras till den senaste versionen för din funktionsapp – Java bör uppdateras till den senaste versionen för din webbapp – Python bör uppdateras till den senaste versionen för din API-app – Python bör uppdateras till den senaste versionen för din funktionsapp – Python bör uppdateras till den senaste versionen för din webbapp – Granskningskvarhållning för SQL-servrar ska vara inställt på minst 90 dagar |
Relaterade länkar:
- Läs mer om Azure Security Benchmark
- Läs mer om Azure API-appar
- Läs mer om Azure-funktionsappar
- Läs mer om Azure-webbappar
- Läs mer om Azure Database for MariaDB
- Läs mer om Azure Database for MySQL
- Läs mer om Azure Database for PostgreSQL
NIST SP 800 171 R2 har lagts till på Security Centers instrumentpanel för regelefterlevnad
NIST SP 800-171 R2-standarden är nu tillgänglig som ett inbyggt initiativ för användning med Azure Security Centers instrumentpanel för regelefterlevnad. Mappningarna för kontrollerna beskrivs i Information om det inbyggda initiativet NIST SP 800-171 R2 Regulatory Compliance.
Om du vill tillämpa standarden på dina prenumerationer och kontinuerligt övervaka din efterlevnadsstatus använder du anvisningarna i Anpassa standarduppsättningen på instrumentpanelen för regelefterlevnad.
Mer information om den här efterlevnadsstandarden finns i NIST SP 800-171 R2.
Listan med rekommendationer innehåller nu filter
Nu kan du filtrera listan med säkerhetsrekommendationer enligt en rad olika kriterier. I följande exempel filtreras rekommendationslistan för att visa rekommendationer som:
- är allmänt tillgängliga (det vill: inte förhandsversion)
- är för lagringskonton
- stöd för snabbkorrigeringsreparation
Funktionen för automatisk avetablering har förbättrats och utökats
Funktionen för automatisk konfiguration hjälper till att minska hanteringskostnaderna genom att installera de tillägg som krävs på nya och befintliga virtuella Azure-datorer så att de kan dra nytta av Security Centers skydd.
I takt med att Azure Security Center växer har fler tillägg utvecklats och Security Center kan övervaka en större lista över resurstyper. Verktygen för automatisk etablering har nu utökats för att stödja andra tillägg och resurstyper genom att utnyttja funktionerna i Azure Policy.
Nu kan du konfigurera automatisk avetablering av:
- Log Analytics handläggare
- (Ny) Azure Policy för Kubernetes
- (Ny) Microsoft Dependency-agent
Läs mer i Automatisk etablering av agenter och tillägg från Azure Security Center.
Säker poäng är nu tillgänglig i kontinuerlig export (förhandsversion)
Med kontinuerlig export av säker poäng kan du strömma ändringar i din poäng i realtid till Azure Event Hubs eller en Log Analytics-arbetsyta. Använd den här funktionen för att göra följande:
- spåra din säkerhetspoäng över tid med dynamiska rapporter
- exportera data för säker poäng till Azure Sentinel (eller andra SIEM)
- integrera dessa data med alla processer som du kanske redan använder för att övervaka säker poäng i din organisation
Läs mer om hur du kontinuerligt exporterar Security Center-data.
Rekommendationen "Systemuppdateringar bör installeras på dina datorer" innehåller nu underkommandon
Systemuppdateringarna bör installeras på dina datorers rekommendation har förbättrats . Den nya versionen innehåller underkommandon för varje uppdatering som saknas och ger följande förbättringar:
En omdesignad upplevelse på Azure Security Center-sidorna i Azure Portal. Rekommendationsinformationssidan för Systemuppdateringar bör installeras på dina datorer och innehåller en lista över resultat som visas nedan. När du väljer en enda sökning öppnas informationsfönstret med en länk till reparationsinformationen och en lista över berörda resurser.
Berikade data för rekommendationen från Azure Resource Graph (ARG). ARG är en Azure-tjänst som är utformad för att ge effektiv resursutforskning. Du kan använda ARG för att fråga i stor skala över en viss uppsättning prenumerationer så att du effektivt kan styra din miljö.
För Azure Security Center kan du använda ARG och Kusto-frågespråk (KQL) för att köra frågor mot en mängd olika säkerhetsstatusdata.
Tidigare, om du frågade den här rekommendationen i ARG, var den enda tillgängliga informationen att rekommendationen måste åtgärdas på en dator. Följande fråga om den förbättrade versionen returnerar varje saknade systemuppdateringar grupperade efter dator.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Sidan Principhantering i Azure Portal visar nu status för standardprinciptilldelningar
Nu kan du se om dina prenumerationer har tilldelats standardprincipen för Security Center på sidan säkerhetsprincip i Azure Portal.
Oktober 2020
Uppdateringar i oktober inkluderar:
- Sårbarhetsbedömning för lokala datorer och datorer med flera moln (förhandsversion)
- Rekommendation för Azure Firewall har lagts till (förhandsversion)
- Auktoriserade IP-intervall bör definieras på Kubernetes Services-rekommendationen uppdateras med snabbkorrigering
- Instrumentpanelen för regelefterlevnad innehåller nu alternativ för att ta bort standarder
- Tabellen Microsoft.Security/securityStatuses har tagits bort från Azure Resource Graph
Sårbarhetsbedömning för lokala datorer och datorer med flera moln (förhandsversion)
Azure Defender for Servers integrerade skanner för sårbarhetsbedömning (drivs av Qualys) söker nu igenom Azure Arc-aktiverade servrar.
När du har aktiverat Azure Arc på dina datorer som inte är Azure erbjuder Security Center att distribuera den integrerade sårbarhetsskannern på dem – manuellt och i stor skala.
Med den här uppdateringen kan du frigöra kraften hos Azure Defender för servrar för att konsolidera ditt hantering av säkerhetsrisker program över alla dina Azure- och icke-Azure-tillgångar.
Huvudsakliga funktioner:
- Övervaka etableringstillståndet för VA-skannern (sårbarhetsbedömning) på Azure Arc-datorer
- Etablera den integrerade VA-agenten till oskyddade Windows- och Linux Azure Arc-datorer (manuellt och i stor skala)
- Ta emot och analysera identifierade sårbarheter från distribuerade agenter (manuellt och i stor skala)
- Enhetlig upplevelse för virtuella Azure-datorer och Azure Arc-datorer
Läs mer om hur du distribuerar den integrerade Qualys-sårbarhetsskannern till dina hybriddatorer.
Läs mer om Azure Arc-aktiverade servrar.
Rekommendation för Azure Firewall har lagts till (förhandsversion)
En ny rekommendation har lagts till för att skydda alla dina virtuella nätverk med Azure Firewall.
Rekommendationen att virtuella nätverk ska skyddas av Azure Firewall rekommenderar att du begränsar åtkomsten till dina virtuella nätverk och förhindrar potentiella hot med hjälp av Azure Firewall.
Läs mer om Azure Firewall.
Auktoriserade IP-intervall bör definieras på Kubernetes Services-rekommendationen uppdateras med snabbkorrigering
Rekommendationen Auktoriserade IP-intervall ska definieras på Kubernetes Services har nu ett snabbkorrigeringsalternativ.
Instrumentpanelen för regelefterlevnad innehåller nu alternativ för att ta bort standarder
Security Centers instrumentpanel för regelefterlevnad ger insikter om din efterlevnadsstatus baserat på hur du uppfyller specifika efterlevnadskontroller och krav.
Instrumentpanelen innehåller en standarduppsättning med regelstandarder. Om någon av de angivna standarderna inte är relevanta för din organisation är det nu en enkel process att ta bort dem från användargränssnittet för en prenumeration. Standarder kan endast tas bort på prenumerationsnivå , inte hanteringsgruppsomfång.
Läs mer i Ta bort en standard från instrumentpanelen.
Tabellen Microsoft.Security/securityStatuses har tagits bort från Azure Resource Graph (ARG)
Azure Resource Graph är en tjänst i Azure som är utformad för att ge effektiv resursutforskning med möjlighet att köra frågor i stor skala över en viss uppsättning prenumerationer så att du effektivt kan styra din miljö.
För Azure Security Center kan du använda ARG och Kusto-frågespråk (KQL) för att köra frågor mot en mängd olika säkerhetsstatusdata. Till exempel:
- Tillgångslager använder ARG
- Vi har dokumenterat en ARG-exempelfråga för att identifiera konton utan multifaktorautentisering (MFA) aktiverat
I ARG finns det datatabeller som du kan använda i dina frågor.
Dricks
I ARG-dokumentationen visas alla tillgängliga tabeller i Azure Resource Graph-tabellen och resurstypsreferensen.
Från den här uppdateringen har tabellen Microsoft.Security/securityStatuses tagits bort. SecurityStatuses-API:et är fortfarande tillgängligt.
Dataersättning kan användas av tabellen Microsoft.Security/Assessments.
Den största skillnaden mellan Microsoft.Security/securityStatuses och Microsoft.Security/Assessments är att medan den första visar sammansättning av utvärderingar, innehåller sekunderna en enda post för var och en.
Till exempel skulle Microsoft.Security/securityStatuses returnera ett resultat med en matris med två policyEr:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
Microsoft.Security/Assessments har en post för varje sådan principutvärdering enligt följande:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Exempel på konvertering av en befintlig ARG-fråga med securityStatuses för att nu använda utvärderingstabellen:
Fråga som refererar till SecurityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Ersättningsfråga för tabellen Utvärderingar:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Läs mer på följande länkar:
September 2020
Uppdateringar i september inkluderar:
- Security Center får ett nytt utseende!
- Azure Defender har släppts
- Azure Defender för Key Vault är allmänt tillgängligt
- Azure Defender for Storage-skydd för filer och ADLS Gen2 är allmänt tillgängligt
- Tillgångsinventeringsverktyg är nu allmänt tillgängliga
- Inaktivera en specifik sårbarhetssökning för genomsökningar av containerregister och virtuella datorer
- Undanta en resurs från en rekommendation
- AWS- och GCP-anslutningsappar i Security Center ger en upplevelse med flera moln
- Rekommendationspaket för Kubernetes-arbetsbelastningsskydd
- Resultat av sårbarhetsbedömning är nu tillgängliga vid kontinuerlig export
- Förhindra felkonfigurationer av säkerhet genom att framtvinga rekommendationer när nya resurser skapas
- Rekommendationer för nätverkssäkerhetsgrupp har förbättrats
- Föråldrad förhandsversion av AKS-rekommendationen "Pod Security Policies should be defined on Kubernetes Services" (Pod Security Policies should be defined on Kubernetes Services)
- E-postmeddelanden från Azure Security Center har förbättrats
- Säkerhetspoäng innehåller inte förhandsversionsrekommendationer
- Rekommendationerna innehåller nu en allvarlighetsindikator och friskhetsintervallet
Security Center får ett nytt utseende
Vi har släppt ett uppdaterat användargränssnitt för Security Centers portalsidor. De nya sidorna innehåller en ny översiktssida och instrumentpaneler för säker poäng, tillgångsinventering och Azure Defender.
Den omdesignade översiktssidan har nu en panel för åtkomst till instrumentpanelerna för säker poäng, tillgångsinventering och Azure Defender. Den har också en panellänkning till instrumentpanelen för regelefterlevnad.
Azure Defender har släppts
Azure Defender är molnplattformen för arbetsbelastningsskydd (CWPP) som är integrerad i Security Center för avancerade, intelligenta, skydd av dina Azure- och hybridarbetsbelastningar. Den ersätter alternativet för standardprisnivån i Security Center.
När du aktiverar Azure Defender från området Priser och inställningar i Azure Security Center aktiveras alla följande Defender-planer samtidigt och ger omfattande skydd för beräknings-, data- och tjänstskikten i din miljö:
- Azure Defender för servrar
- Azure Defender för App Service
- Azure Defender för lagring
- Azure Defender för SQL
- Azure Defender för Key Vault
- Azure Defender för Kubernetes
- Azure Defender för containerregister
Var och en av dessa planer förklaras separat i Security Center-dokumentationen.
Med sin dedikerade instrumentpanel tillhandahåller Azure Defender säkerhetsaviseringar och avancerat skydd mot hot för virtuella datorer, SQL-databaser, containrar, webbprogram, ditt nätverk med mera.
Azure Defender för Key Vault är allmänt tillgängligt
Azure Key Vault är en molntjänst som skyddar krypteringsnycklar och hemligheter som certifikat, anslutningssträng och lösenord.
Azure Defender för Key Vault ger Azure-inbyggt, avancerat skydd mot hot för Azure Key Vault, vilket ger ytterligare ett lager med säkerhetsinformation. I tillägg skyddar Azure Defender för Key Vault därför många av resurserna som är beroende av dina Key Vault-konton.
Den valfria planen är nu GA. Den här funktionen var i förhandsversion som "avancerat skydd mot hot för Azure Key Vault".
Dessutom innehåller Key Vault-sidorna i Azure Portal nu en dedikerad säkerhetssida för rekommendationer och aviseringar i Security Center.
Läs mer i Azure Defender för Key Vault.
Azure Defender for Storage-skydd för filer och ADLS Gen2 är allmänt tillgängligt
Azure Defender för Storage identifierar potentiellt skadlig aktivitet på dina Azure Storage-konton. Dina data kan skyddas oavsett om de lagras som blobcontainrar, filresurser eller datasjöar.
Stöd för Azure Files och Azure Data Lake Storage Gen2 är nu allmänt tillgängligt.
Från och med den 1 oktober 2020 börjar vi ta betalt för att skydda resurser på dessa tjänster.
Läs mer i Azure Defender för Storage.
Tillgångsinventeringsverktyg är nu allmänt tillgängliga
Sidan tillgångsinventering i Azure Security Center innehåller en enda sida för att visa säkerhetsstatusen för de resurser som du har anslutit till Security Center.
Security Center analyserar regelbundet säkerhetstillståndet för dina Azure-resurser för att identifiera potentiella säkerhetsrisker. Sedan får du rekommendationer om hur du åtgärdar dessa säkerhetsrisker.
När en resurs har utestående rekommendationer visas de i inventeringen.
Läs mer i Utforska och hantera dina resurser med tillgångsinventering.
Inaktivera en specifik sårbarhetssökning för genomsökningar av containerregister och virtuella datorer
Azure Defender innehåller sårbarhetsskannrar för att skanna avbildningar i Azure Container Registry och dina virtuella datorer.
Om du har en organisation som behöver ignorera en sökning i stället för att åtgärda den kan du inaktivera den. Inaktiverade resultat påverkar inte din säkerhetspoäng eller genererar oönskat brus.
När en sökning matchar de kriterier som du har definierat i dina inaktiverade regler visas den inte i listan över resultat.
Det här alternativet är tillgängligt från rekommendationernas informationssidor för:
- Säkerhetsrisker i Azure Container Registry-avbildningar bör åtgärdas
- Säkerhetsrisker på dina virtuella datorer bör åtgärdas
Läs mer i Inaktivera specifika resultat för dina containeravbildningar och Inaktivera specifika resultat för dina virtuella datorer.
Undanta en resurs från en rekommendation
Ibland visas en resurs som felaktig när det gäller en specifik rekommendation (och därmed sänka din säkerhetspoäng) även om du anser att den inte borde vara det. Det kan ha åtgärdats av en process som inte spårats av Security Center. Eller så har din organisation valt att acceptera risken för den specifika resursen.
I sådana fall kan du skapa en undantagsregel och se till att resursen inte visas bland de resurser som inte är felfria i framtiden. Dessa regler kan innehålla dokumenterade motiveringar enligt beskrivningen nedan.
Läs mer i Undanta en resurs från rekommendationer och säkerhetspoäng.
AWS- och GCP-anslutningsappar i Security Center ger en upplevelse med flera moln
Med molnarbetsbelastningar som ofta omfattar flera molnplattformar måste molnsäkerhetstjänster göra detsamma.
Azure Security Center skyddar nu arbetsbelastningar i Azure, Amazon Web Services (AWS) och Google Cloud Platform (GCP).
När du registrerar AWS- och GCP-projekt i Security Center integreras AWS Security Hub, GCP Security Command och Azure Security Center.
Läs mer i Ansluta dina AWS-konton till Azure Security Center och Anslut dina GCP-projekt till Azure Security Center.
Rekommendationspaket för Kubernetes-arbetsbelastningsskydd
För att säkerställa att Kubernetes-arbetsbelastningar är säkra som standard lägger Security Center till rekommendationer för kubernetes-nivåhärdning, inklusive tvingande alternativ med Kubernetes-åtkomstkontroll.
När du har installerat Azure Policy for Kubernetes i aks-klustret övervakas varje begäran till Kubernetes API-servern mot den fördefinierade uppsättningen metodtips innan de sparas i klustret. Du kan sedan konfigurera för att framtvinga bästa praxis och ge dem mandat för framtida arbetsbelastningar.
Du kan till exempel kräva att privilegierade containrar inte ska skapas och eventuella framtida begäranden om detta blockeras.
Läs mer i Metodtips för arbetsbelastningsskydd med kubernetes-antagningskontroll.
Resultat av sårbarhetsbedömning är nu tillgängliga vid kontinuerlig export
Använd kontinuerlig export för att strömma dina aviseringar och rekommendationer till Azure Event Hubs, Log Analytics-arbetsytor eller Azure Monitor. Därifrån kan du integrera dessa data med SIEM:er (till exempel Azure Sentinel, Power BI, Azure Data Explorer med mera.
Security Centers integrerade verktyg för sårbarhetsbedömning returnerar resultat om dina resurser som åtgärdbara rekommendationer i en "överordnad" rekommendation, till exempel "Sårbarheter på dina virtuella datorer bör åtgärdas".
Säkerhetsresultaten är nu tillgängliga för export via kontinuerlig export när du väljer rekommendationer och aktiverar alternativet inkludera säkerhetsresultat .
Relaterade sidor:
- Security Centers integrerade Qualys-lösning för sårbarhetsbedömning för virtuella Azure-datorer
- Security Centers integrerade lösning för sårbarhetsbedömning för Azure Container Registry-avbildningar
- Löpande export
Förhindra felkonfigurationer av säkerhet genom att framtvinga rekommendationer när nya resurser skapas
Säkerhetsfel är en viktig orsak till säkerhetsincidenter. Security Center har nu möjlighet att förhindra felkonfigurationer av nya resurser när det gäller specifika rekommendationer.
Den här funktionen kan hjälpa dig att skydda dina arbetsbelastningar och stabilisera din säkerhetspoäng.
Du kan framtvinga en säker konfiguration, baserat på en specifik rekommendation, i två lägen:
Med hjälp av nekat läge i Azure Policy kan du förhindra att resurser som inte är felfria skapas
Med det framtvingade alternativet kan du dra nytta av Azure Policys DeployIfNotExist-effekt och automatiskt åtgärda icke-kompatibla resurser när de skapas
Detta är tillgängligt för valda säkerhetsrekommendationer och finns överst på resursinformationssidan.
Läs mer i Förhindra felkonfigurationer med rekommendationer för framtvinga/neka.
Rekommendationer för nätverkssäkerhetsgrupp har förbättrats
Följande säkerhetsrekommendationer för nätverkssäkerhetsgrupper har förbättrats för att minska vissa instanser av falska positiva identifieringar.
- Alla nätverksportar bör begränsas på NSG som är associerade med den virtuella datorn
- Hanteringsportarna bör vara stängda på de virtuella datorerna
- Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper
- Undernät bör vara kopplade till en nätverkssäkerhetsgrupp
Föråldrad förhandsversion av AKS-rekommendationen "Pod Security Policies should be defined on Kubernetes Services" (Pod Security Policies should be defined on Kubernetes Services)
Förhandsgranskningsrekommendationen "Pod Security Policies should be defined on Kubernetes Services" är inaktuell enligt beskrivningen i Dokumentationen om Azure Kubernetes Service .
Funktionen poddsäkerhetsprincip (förhandsversion) är inställd för utfasning och kommer inte längre att vara tillgänglig efter den 15 oktober 2020 till förmån för Azure Policy för AKS.
När poddsäkerhetsprincipen (förhandsversionen) är inaktuell måste du inaktivera funktionen i alla befintliga kluster med den inaktuella funktionen för att utföra framtida klusteruppgraderingar och hålla dig inom Azure Support.
E-postmeddelanden från Azure Security Center har förbättrats
Följande områden i e-postmeddelandena om säkerhetsaviseringar har förbättrats:
- Möjligheten att skicka e-postaviseringar om aviseringar för alla allvarlighetsnivåer har lagts till
- Möjligheten att meddela användare med olika Azure-roller i prenumerationen har lagts till
- Vi meddelar prenumerationsägare proaktivt som standard om aviseringar med hög allvarlighetsgrad (som har hög sannolikhet att vara verkliga överträdelser)
- Vi har tagit bort fältet telefonnummer från konfigurationssidan för e-postmeddelanden
Läs mer i Konfigurera e-postaviseringar för säkerhetsaviseringar.
Säkerhetspoäng innehåller inte förhandsversionsrekommendationer
Security Center utvärderar kontinuerligt dina resurser, prenumerationer och organisationen och letar efter säkerhetsproblem. Den aggregerar sedan alla resultat till en enda poäng så att du snabbt kan se din aktuella säkerhetssituation: ju högre poäng, desto lägre identifierad risknivå.
När nya hot upptäcks görs nya säkerhetsrekommendationer tillgängliga i Security Center genom nya rekommendationer. För att undvika överraskande ändringar av din säkerhetspoäng och för att tillhandahålla en respitperiod där du kan utforska nya rekommendationer innan de påverkar dina poäng, ingår rekommendationer som flaggas som förhandsversion inte längre i beräkningarna av din säkerhetspoäng. De bör fortfarande åtgärdas när det är möjligt, så att de bidrar till din poäng när förhandsgranskningsperioden är slut.
Förhandsversionsrekommendationer återger inte heller resursen "Inte felfri".
Ett exempel på en förhandsgranskningsrekommendering:
Rekommendationerna innehåller nu en allvarlighetsindikator och friskhetsintervallet
Informationssidan för rekommendationer innehåller nu en indikator för färskhetsintervall (när det är relevant) och en tydlig visning av rekommendationens allvarlighetsgrad.
Augusti 2020
Uppdateringar i augusti inkluderar:
- Inventering av tillgångar – en kraftfull ny vy över säkerhetsstatusen för dina tillgångar
- Stöd har lagts till för Azure Active Directory-säkerhetsstandarder (för multifaktorautentisering)
- Rekommendation om tjänstens huvudnamn har lagts till
- Sårbarhetsbedömning på virtuella datorer – rekommendationer och principer har konsoliderats
- Nya AKS-säkerhetsprinciper har lagts till i ASC_default initiativ
Inventering av tillgångar – en kraftfull ny vy över säkerhetsstatusen för dina tillgångar
Security Centers tillgångslager (för närvarande i förhandsversion) är ett sätt att visa säkerhetsstatusen för de resurser som du har anslutit till Security Center.
Security Center analyserar regelbundet säkerhetstillståndet för dina Azure-resurser för att identifiera potentiella säkerhetsrisker. Sedan får du rekommendationer om hur du åtgärdar dessa säkerhetsrisker. När en resurs har utestående rekommendationer visas de i inventeringen.
Du kan använda vyn och dess filter för att utforska dina säkerhetsstatusdata och vidta ytterligare åtgärder baserat på dina resultat.
Läs mer om tillgångsinventering.
Stöd har lagts till för Azure Active Directory-säkerhetsstandarder (för multifaktorautentisering)
Security Center har lagt till fullständigt stöd för säkerhetsstandarder, Microsofts kostnadsfria identitetsskydd.
Säkerhetsstandarder tillhandahåller förkonfigurerade identitetssäkerhetsinställningar för att skydda din organisation från vanliga identitetsrelaterade attacker. Säkerhetsstandarder skyddar redan över 5 miljoner klientorganisationer totalt. 50 000 klienter skyddas också av Security Center.
Security Center tillhandahåller nu en säkerhetsrekommendation när den identifierar en Azure-prenumeration utan att standardinställningarna för säkerhet är aktiverade. Hittills har Security Center rekommenderat att aktivera multifaktorautentisering med villkorlig åtkomst, vilket är en del av Azure Active Directory-premiumlicensen (AD). För kunder som använder Azure AD kostnadsfritt rekommenderar vi nu att du aktiverar standardinställningar för säkerhet.
Vårt mål är att uppmuntra fler kunder att skydda sina molnmiljöer med MFA och minimera en av de högsta riskerna som också har störst inverkan på din säkerhetspoäng.
Läs mer om standardinställningar för säkerhet.
Rekommendation om tjänstens huvudnamn har lagts till
En ny rekommendation har lagts till för att rekommendera att Security Center-kunder som använder hanteringscertifikat för att hantera sina prenumerationer byter till tjänstens huvudnamn.
Rekommendationen att tjänstens huvudnamn ska användas för att skydda dina prenumerationer i stället för hanteringscertifikat rekommenderar att du använder tjänstens huvudnamn eller Azure Resource Manager för att hantera dina prenumerationer på ett säkrare sätt.
Läs mer om objekt för program och tjänstens huvudnamn i Azure Active Directory.
Sårbarhetsbedömning på virtuella datorer – rekommendationer och principer har konsoliderats
Security Center inspekterar dina virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning. Om ingen lösning för sårbarhetsbedömning hittas ger Security Center en rekommendation för att förenkla distributionen.
När säkerhetsrisker hittas ger Security Center en rekommendation som sammanfattar resultaten så att du kan undersöka och åtgärda vid behov.
För att säkerställa en konsekvent upplevelse för alla användare, oavsett vilken skannertyp de använder, har vi samlat fyra rekommendationer i följande två:
| Enhetlig rekommendation | Ändra beskrivning |
|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Ersätter följande två rekommendationer: Aktivera den inbyggda lösningen för sårbarhetsbedömning på virtuella datorer (drivs av Qualys (nu inaktuell) (ingår med standardnivån) Lösningen för sårbarhetsbedömning bör installeras på dina virtuella datorer (nu inaktuell) (standard- och kostnadsfria nivåer) |
| Säkerhetsrisker på dina virtuella datorer bör åtgärdas | Ersätter följande två rekommendationer: Åtgärda sårbarheter som finns på dina virtuella datorer (drivs av Qualys) (nu inaktuella) Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning (nu inaktuell) |
Nu använder du samma rekommendation för att distribuera Security Centers tillägg för sårbarhetsbedömning eller en privat licensierad lösning ("BYOL") från en partner som Qualys eller Rapid 7.
När sårbarheter hittas och rapporteras till Security Center får du en enda rekommendation som varnar dig om resultaten oavsett vilken lösning för sårbarhetsbedömning som identifierade dem.
Uppdatera beroenden
Om du har skript, frågor eller automatiseringar som refererar till tidigare rekommendationer eller principnycklar/namn använder du tabellerna nedan för att uppdatera referenserna:
Före augusti 2020
| Rekommendation | Omfattning |
|---|---|
| Aktivera den inbyggda lösningen för sårbarhetsbedömning på virtuella datorer (drivs av Qualys) Nyckel: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Inbyggd |
| Åtgärda sårbarheter som finns på dina virtuella datorer (drivs av Qualys) Nyckel: 1195afff-c881-495e-9bc5-1486211ae03f |
Inbyggd |
| Lösningen för sårbarhetsbedömning bör installeras på dina virtuella datorer Nyckel: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
| Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning Nyckel: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Policy | Omfattning |
|---|---|
| Sårbarhetsbedömning ska aktiveras på virtuella datorer Princip-ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Inbyggd |
| Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning Princip-ID: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Från augusti 2020
| Rekommendation | Omfattning |
|---|---|
| En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer Nyckel: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Inbyggd + BYOL |
| Säkerhetsrisker på dina virtuella datorer bör åtgärdas Nyckel: 1195afff-c881-495e-9bc5-1486211ae03f |
Inbyggd + BYOL |
| Policy | Omfattning |
|---|---|
| Sårbarhetsbedömning ska aktiveras på virtuella datorer Princip-ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Inbyggd + BYOL |
Nya AKS-säkerhetsprinciper har lagts till i ASC_default initiativ
För att säkerställa att Kubernetes-arbetsbelastningar är säkra som standard lägger Security Center till Kubernetes-nivåprinciper och härdningsrekommendationer, inklusive tvingande alternativ med Kubernetes-antagningskontroll.
Den tidiga fasen i det här projektet innehåller en förhandsversion och tillägg av nya principer (inaktiverade som standard) i ASC_default initiativ.
Du kan ignorera dessa principer på ett säkert sätt och det kommer inte att påverka din miljö. Om du vill aktivera dem registrerar du dig för förhandsversionen via Microsoft Cloud Security Private Community och väljer bland följande alternativ:
- Enkel förhandsversion – Om du bara vill ansluta till den här förhandsversionen. Nämn uttryckligen "ASC Continuous Scan" som den förhandsversion som du vill ansluta till.
- Pågående program – Som ska läggas till i denna och framtida privata förhandsversioner. Du måste slutföra ett profil- och sekretessavtal.
Juli 2020
Uppdateringar i juli inkluderar:
- Sårbarhetsbedömning för virtuella datorer är nu tillgänglig för avbildningar som inte finns på Marketplace
- Hotskydd för Azure Storage utökas till att omfatta Azure Files och Azure Data Lake Storage Gen2 (förhandsversion)
- Åtta nya rekommendationer för att aktivera hotskyddsfunktioner
- Förbättringar av containersäkerhet – snabbare registergenomsökning och uppdaterad dokumentation
- Anpassningsbara programkontroller uppdaterades med en ny rekommendation och stöd för jokertecken i sökvägsregler
- Sex principer för avancerad datasäkerhet i SQL är inaktuella
Sårbarhetsbedömning för virtuella datorer är nu tillgängligt för avbildningar som inte kommer från Marketplace
När du distribuerade en lösning för sårbarhetsbedömning utförde Security Center tidigare en valideringskontroll före distributionen. Kontrollen var att bekräfta en marketplace-SKU för den virtuella måldatorn.
Från den här uppdateringen tas kontrollen bort och du kan nu distribuera verktyg för sårbarhetsbedömning till "anpassade" Windows- och Linux-datorer. Anpassade avbildningar är de som du har ändrat från marketplace-standardinställningarna.
Även om du nu kan distribuera tillägget för integrerad sårbarhetsbedömning (drivs av Qualys) på många fler datorer är support endast tillgängligt om du använder ett operativsystem som anges i Distribuera den integrerade sårbarhetsskannern till virtuella datorer på standardnivå
Läs mer om den integrerade sårbarhetsskannern för virtuella datorer (kräver Azure Defender).
Läs mer om hur du använder en egen privat licensierad lösning för sårbarhetsbedömning från Qualys eller Rapid7 i Distribuera en lösning för sårbarhetsgenomsökning för partner.
Hotskydd för Azure Storage utökas till att omfatta Azure Files och Azure Data Lake Storage Gen2 (förhandsversion)
Hotskydd för Azure Storage identifierar potentiellt skadlig aktivitet på dina Azure Storage-konton. Security Center visar aviseringar när det identifierar försök att komma åt eller utnyttja dina lagringskonton.
Dina data kan skyddas oavsett om de lagras som blobcontainrar, filresurser eller datasjöar.
Åtta nya rekommendationer för att aktivera hotskyddsfunktioner
Åtta nya rekommendationer har lagts till för att ge ett enkelt sätt att aktivera Azure Security Centers hotskyddsfunktioner för följande resurstyper: virtuella datorer, App Service-planer, Azure SQL Database-servrar, SQL-servrar på datorer, Azure Storage-konton, Azure Kubernetes Service-kluster, Azure Container Registry-register och Azure Key Vault-valv.
De nya rekommendationerna är:
- Avancerad datasäkerhet bör aktiveras på Azure SQL Database-servrar
- Avancerad datasäkerhet bör aktiveras på SQL-servrar på datorer
- Avancerat skydd mot hot bör aktiveras i Azure App Service-planer
- Avancerat skydd mot hot ska aktiveras i Azure Container Registry-register
- Avancerat skydd mot hot ska aktiveras i Azure Key Vault-valv
- Avancerat skydd mot hot ska aktiveras i Azure Kubernetes Service-kluster
- Avancerat skydd mot hot ska aktiveras på Azure Storage-konton
- Avancerat skydd mot hot ska aktiveras på virtuella datorer
Rekommendationerna omfattar även funktionen för snabbkorrigering.
Viktigt!
Om du åtgärdar någon av dessa rekommendationer kommer du att debiteras för att skydda relevanta resurser. Dessa avgifter börjar omedelbart om du har relaterade resurser i den aktuella prenumerationen. Eller i framtiden, om du lägger till dem vid ett senare tillfälle.
Om du till exempel inte har några Azure Kubernetes Service-kluster i din prenumeration och aktiverar skydd mot hot debiteras inga avgifter. Om du i framtiden lägger till ett kluster i samma prenumeration skyddas det automatiskt och avgifterna börjar då.
Läs mer om skydd mot hot i Azure Security Center.
Förbättringar av containersäkerhet – snabbare registergenomsökning och uppdaterad dokumentation
Som en del av de kontinuerliga investeringarna i containersäkerhetsdomänen delar vi gärna en betydande prestandaförbättring i Security Centers dynamiska genomsökningar av containeravbildningar som lagras i Azure Container Registry. Genomsökningar slutförs nu vanligtvis på ungefär två minuter. I vissa fall kan det ta upp till 15 minuter.
För att förbättra tydligheten och vägledningen om Azure Security Centers containersäkerhetsfunktioner har vi även uppdaterat dokumentationssidorna för containersäkerhet.
Anpassningsbara programkontroller uppdaterades med en ny rekommendation och stöd för jokertecken i sökvägsregler
Funktionen för anpassningsbara programkontroller har fått två viktiga uppdateringar:
En ny rekommendation identifierar potentiellt legitimt beteende som inte tidigare har tillåtits. Den nya rekommendationen Allowlist rules in your adaptive application control policy should be updateds you to add new rules to the existing policy to reduce the number of false positives in adaptive application controls violation alerts.the new recommendation, Allowlist rules in your adaptive application control policy should be updated you to add new rules to the existing policy to reduce the number of false positives in adaptive application controls violation alerts.
Sökvägsregler stöder nu jokertecken. Från den här uppdateringen kan du konfigurera tillåtna sökvägsregler med jokertecken. Det finns två scenarier som stöds:
Använd ett jokertecken i slutet av en sökväg för att tillåta alla körbara filer i den här mappen och undermapparna.
Använd ett jokertecken mitt i en sökväg för att aktivera ett känt körbart namn med ett namn på en ändrad mapp (t.ex. personliga användarmappar med en känd körbar, automatiskt genererad mappnamn osv.).
Sex principer för avancerad datasäkerhet i SQL är inaktuella
Sex principer som rör avancerad datasäkerhet för SQL-datorer håller på att bli inaktuella:
- Avancerade hotskyddstyper ska anges till "Alla" i avancerade datasäkerhetsinställningar för SQL-hanterade instanser
- Avancerade hotskyddstyper ska anges till "Alla" i avancerade datasäkerhetsinställningar för SQL Server
- Avancerade datasäkerhetsinställningar för SQL-hanterad instans bör innehålla en e-postadress för att ta emot säkerhetsaviseringar
- Avancerade datasäkerhetsinställningar för SQL Server bör innehålla en e-postadress för att ta emot säkerhetsaviseringar
- E-postaviseringar till administratörer och prenumerationsägare ska aktiveras i avancerade datasäkerhetsinställningar för SQL-hanterade instanser
- E-postaviseringar till administratörer och prenumerationsägare bör aktiveras i de avancerade inställningarna för datasäkerhet för SQL-servern
Läs mer om inbyggda principer.
Juni 2020
Uppdateringar i juni inkluderar:
- API för säker poäng (förhandsversion)
- Avancerad datasäkerhet för SQL-datorer (Azure, andra moln och lokalt) (förhandsversion)
- Två nya rekommendationer för att distribuera Log Analytics-agenten till Azure Arc-datorer (förhandsversion)
- Nya principer för att skapa konfigurationer för kontinuerlig export och arbetsflödesautomatisering i stor skala
- Ny rekommendation för att använda NSG:er för att skydda virtuella datorer som inte är Internetuppkopplade
- Nya principer för att aktivera skydd mot hot och avancerad datasäkerhet
API för säker poäng (förhandsversion)
Nu kan du komma åt din poäng via API:et för säker poäng (för närvarande i förhandsversion). API-metoderna ger flexibiliteten att köra frågor mot data och skapa en egen rapporteringsmekanism för dina säkra poäng över tid. Du kan till exempel använda API:et för säkra poäng för att hämta poängen för en specifik prenumeration. Dessutom kan du använda API:et för kontroller för säker poäng för att visa en lista över säkerhetskontrollerna och den aktuella poängen för dina prenumerationer.
Exempel på externa verktyg som möjliggörs med API:et för säker poäng finns i området för säker poäng i vår GitHub-community.
Läs mer om säkerhetspoäng och säkerhetskontroller i Azure Security Center.
Avancerad datasäkerhet för SQL-datorer (Azure, andra moln och lokalt) (förhandsversion)
Azure Security Centers avancerade datasäkerhet för SQL-datorer skyddar nu SQL-servrar som finns i Azure, i andra molnmiljöer och även på lokala datorer. Detta utökar skyddet för dina Azure-inbyggda SQL-servrar för fullt stöd för hybridmiljöer.
Avancerad datasäkerhet ger sårbarhetsbedömning och avancerat skydd mot hot för dina SQL-datorer var de än befinner sig.
Konfigurationen omfattar två steg:
Distribuera Log Analytics-agenten till SQL Server-värddatorn för att tillhandahålla anslutningen till Azure-kontot.
Aktivera det valfria paketet på sidan för priser och inställningar i Security Center.
Läs mer om avancerad datasäkerhet för SQL-datorer.
Två nya rekommendationer för att distribuera Log Analytics-agenten till Azure Arc-datorer (förhandsversion)
Två nya rekommendationer har lagts till för att distribuera Log Analytics-agenten till dina Azure Arc-datorer och se till att de skyddas av Azure Security Center:
- Log Analytics-agenten bör installeras på dina Windows-baserade Azure Arc-datorer (förhandsversion)
- Log Analytics-agenten bör installeras på dina Linux-baserade Azure Arc-datorer (förhandsversion)
Dessa nya rekommendationer visas i samma fyra säkerhetskontroller som den befintliga (relaterade) rekommendationen Övervakningsagenten ska installeras på dina datorer: åtgärda säkerhetskonfigurationer, tillämpa anpassningsbar programkontroll, tillämpa systemuppdateringar och aktivera slutpunktsskydd.
Rekommendationerna omfattar även snabbkorrigeringsfunktionen för att påskynda distributionsprocessen.
Läs mer om hur Azure Security Center använder agenten i Vad är Log Analytics-agenten?.
Läs mer om tillägg för Azure Arc-datorer.
Nya principer för att skapa konfigurationer för kontinuerlig export och arbetsflödesautomatisering i stor skala
Att automatisera organisationens övervaknings- och incidenthanteringsprocesser kan avsevärt förbättra den tid det tar att undersöka och minimera säkerhetsincidenter.
Om du vill distribuera dina automationskonfigurationer i organisationen använder du de här inbyggda Azure-principerna DeployIfdNotExist för att skapa och konfigurera procedurer för kontinuerlig export och arbetsflödesautomatisering :
Principdefinitionerna finns i Azure Policy:
| Goal | Policy | Policy-ID |
|---|---|---|
| Kontinuerlig export till Event Hubs | Distribuera export till Event Hubs för Azure Security Center-aviseringar och rekommendationer | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Kontinuerlig export till Log Analytics-arbetsyta | Distribuera export till Log Analytics-arbetsytan för aviseringar och rekommendationer i Azure Security Center | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Arbetsflödesautomatisering för säkerhetsaviseringar | Distribuera arbetsflödesautomation för Azure Security Center-aviseringar | f1525828-9a90-4fcf-be48-268cdd02361e |
| Arbetsflödesautomatisering för säkerhetsrekommendationer | Distribuera arbetsflödesautomation för Azure Security Center-rekommendationer | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Kom igång med mallar för arbetsflödesautomatisering.
Läs mer om hur du använder de två exportprinciperna i Konfigurera arbetsflödesautomation i stor skala med hjälp av de angivna principerna och Konfigurera en kontinuerlig export.
Ny rekommendation för att använda NSG:er för att skydda virtuella datorer som inte är Internetuppkopplade
Säkerhetskontrollen "Implementera metodtips för säkerhet" innehåller nu följande nya rekommendation:
- Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper
En befintlig rekommendation är att internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper, inte skilja mellan internetuppkopplade och icke-Internetuppkopplade virtuella datorer. För båda genererades en rekommendation med hög allvarlighetsgrad om en virtuell dator inte tilldelades en nätverkssäkerhetsgrupp. Den här nya rekommendationen separerar datorer som inte är internetuppkopplade för att minska falska positiva identifieringar och undvika onödiga aviseringar med hög allvarlighetsgrad.
Nya principer för att aktivera skydd mot hot och avancerad datasäkerhet
De nya principdefinitionerna nedan lades till i ASC-standardinitiativet och är utformade för att hjälpa till med att aktivera skydd mot hot eller avancerad datasäkerhet för relevanta resurstyper.
Principdefinitionerna finns i Azure Policy:
| Policy | Policy-ID |
|---|---|
| Avancerad datasäkerhet bör aktiveras på Azure SQL Database-servrar | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| Avancerad datasäkerhet bör aktiveras på SQL-servrar på datorer | 6581d072-105e-4418-827f-bd446d56421b |
| Avancerat skydd mot hot ska aktiveras på Azure Storage-konton | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| Avancerat skydd mot hot ska aktiveras i Azure Key Vault-valv | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| Avancerat skydd mot hot bör aktiveras i Azure App Service-planer | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| Avancerat skydd mot hot ska aktiveras i Azure Container Registry-register | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| Avancerat skydd mot hot ska aktiveras i Azure Kubernetes Service-kluster | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
| Avancerat skydd mot hot ska aktiveras på virtuella datorer | 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
Läs mer om skydd mot hot i Azure Security Center.
Maj 2020
Uppdateringar i maj inkluderar:
- Regler för aviseringsundertryckning (förhandsversion)
- Sårbarhetsbedömning av virtuella datorer är nu allmänt tillgängligt
- Ändringar för Just-in-time-åtkomst (JIT) för virtuella datorer
- Anpassade rekommendationer har flyttats till en separat säkerhetskontroll
- Växlingsreglage har lagts till för att visa rekommendationer i kontroller eller som en platt lista
- Utökad säkerhetskontroll, ”implementera metodtips för säkerhet”
- Anpassade principer med anpassade metadata är nu allmänt tillgängliga
- Funktioner för analys av kraschdumpar som migrerar till fillös attackidentifiering
Regler för aviseringsundertryckning (förhandsversion)
Den här nya funktionen (för närvarande i förhandsversion) hjälper till att minska aviseringströttheten. Använd regler för att automatiskt dölja aviseringar som är kända för att vara harmlösa eller relaterade till normala aktiviteter i din organisation. På så sätt kan du fokusera på de mest relevanta hoten.
Aviseringar som matchar dina aktiverade undertryckningsregler genereras fortfarande, men deras tillstånd kommer att vara inställt på att avvisas. Du kan se tillståndet i Azure Portal eller hur du kommer åt säkerhetsaviseringar i Security Center.
Undertryckningsregler definierar de kriterier för vilka aviseringar ska avvisas automatiskt. Vanligtvis använder du en undertryckningsregel för att:
ignorera aviseringar som du har identifierat som falska positiva identifieringar
förhindra aviseringar som utlöses för ofta för att vara användbara
Läs mer om att förhindra aviseringar från Hotskydd i Azure Security Center.
Sårbarhetsbedömning av virtuella datorer är nu allmänt tillgängligt
Security Centers standardnivå innehåller nu en integrerad sårbarhetsbedömning för virtuella datorer utan extra kostnad. Det här tillägget drivs av Qualys men rapporterar resultaten direkt tillbaka till Security Center. Du behöver inte en Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Security Center.
Den nya lösningen kan kontinuerligt genomsöka dina virtuella datorer för att hitta sårbarheter och presentera resultaten i Security Center.
Om du vill distribuera lösningen använder du den nya säkerhetsrekommendatorn:
"Aktivera den inbyggda lösningen för sårbarhetsbedömning på virtuella datorer (drivs av Qualys)"
Läs mer om Security Centers integrerade sårbarhetsbedömning för virtuella datorer.
Ändringar för Just-in-time-åtkomst (JIT) för virtuella datorer
Security Center innehåller en valfri funktion för att skydda hanteringsportarna för dina virtuella datorer. Detta ger skydd mot den vanligaste formen av råstyrkeattacker.
Den här uppdateringen medför följande ändringar i den här funktionen:
Rekommendationen som råder dig att aktivera JIT på en virtuell dator har bytt namn. Tidigare "Just-in-time network access control should be applied on virtual machines" (Just-in-time network access control should be applied on virtual machines) är nu: "Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk."
Rekommendationen utlöses endast om det finns öppna hanteringsportar.
Läs mer om JIT-åtkomstfunktionen.
Anpassade rekommendationer har flyttats till en separat säkerhetskontroll
En säkerhetskontroll som introducerades med den förbättrade säkerhetspoängen var "Implementera bästa praxis för säkerhet". Alla anpassade rekommendationer som skapats för dina prenumerationer placerades automatiskt i den kontrollen.
För att göra det enklare att hitta dina anpassade rekommendationer har vi flyttat dem till en dedikerad säkerhetskontroll, "Anpassade rekommendationer". Den här kontrollen påverkar inte din säkerhetspoäng.
Läs mer om säkerhetskontroller i Förbättrad säkerhetspoäng (förhandsversion) i Azure Security Center.
Växlingsreglage har lagts till för att visa rekommendationer i kontroller eller som en platt lista
Säkerhetskontroller är logiska grupper med relaterade säkerhetsrekommendationer. De återspeglar dina sårbara attackytor. En kontroll är en uppsättning säkerhetsrekommendationer med instruktioner som hjälper dig att implementera dessa rekommendationer.
Om du omedelbart vill se hur väl din organisation skyddar varje enskild attackyta läser du poängen för varje säkerhetskontroll.
Som standard visas dina rekommendationer i säkerhetskontrollerna. Från den här uppdateringen kan du också visa dem som en lista. Om du vill visa dem som en enkel lista sorterad efter hälsostatusen för de berörda resurserna använder du den nya växlingsknappen "Gruppera efter kontroller". Växlingsknappen finns ovanför listan i portalen.
Säkerhetskontrollerna – och den här växlingsknappen – är en del av den nya säkerhetspoängen. Kom ihåg att skicka oss din feedback från portalen.
Läs mer om säkerhetskontroller i Förbättrad säkerhetspoäng (förhandsversion) i Azure Security Center.
Utökad säkerhetskontroll, ”implementera metodtips för säkerhet”
En säkerhetskontroll som introduceras med den förbättrade säkerhetspoängen är "Implementera metodtips för säkerhet". När en rekommendation finns i den här kontrollen påverkar den inte säkerhetspoängen.
Med den här uppdateringen har tre rekommendationer flyttats från de kontroller som de ursprungligen placerades i och till den här bästa praxiskontrollen. Vi har tagit det här steget eftersom vi har fastställt att risken för dessa tre rekommendationer är lägre än vad som ursprungligen troddes.
Dessutom har två nya rekommendationer införts och lagts till i den här kontrollen.
De tre rekommendationerna som flyttades är:
- MFA ska aktiveras på konton med läsbehörighet för din prenumeration (ursprungligen i kontrollen "Aktivera MFA")
- Externa konton med läsbehörigheter bör tas bort från din prenumeration (ursprungligen i kontrollen Hantera åtkomst och behörigheter)
- Högst 3 ägare bör utses för din prenumeration (ursprungligen i kontrollen "Hantera åtkomst och behörigheter")
De två nya rekommendationerna som lagts till i kontrollen är:
Gästkonfigurationstillägget ska installeras på virtuella Windows-datorer (förhandsversion) – Med hjälp av Azure Policy Guest Configuration får du insyn i virtuella datorer för server- och programinställningar (endast Windows).
Windows Defender Exploit Guard ska vara aktiverat på dina datorer (förhandsversion) – Windows Defender Exploit Guard utnyttjar Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows).
Läs mer om Windows Defender Exploit Guard i Skapa och distribuera en Exploit Guard-princip.
Läs mer om säkerhetskontroller i Förbättrad säkerhetspoäng (förhandsversion).
Anpassade principer med anpassade metadata är nu allmänt tillgängliga
Anpassade principer är nu en del av security center-rekommendationer, säkerhetspoäng och instrumentpanelen för regelefterlevnadsstandarder. Den här funktionen är nu allmänt tillgänglig och gör att du kan utöka organisationens säkerhetsutvärderingstäckning i Security Center.
Skapa ett anpassat initiativ i Azure Policy, lägg till principer till det och registrera det i Azure Security Center och visualisera det som rekommendationer.
Vi har nu också lagt till alternativet för att redigera metadata för den anpassade rekommendationen. Metadataalternativen omfattar allvarlighetsgrad, reparationssteg, hotinformation med mera.
Läs mer om att förbättra dina anpassade rekommendationer med detaljerad information.
Funktioner för analys av kraschdumpar som migrerar till fillös attackidentifiering
Vi integrerar identifieringsfunktionerna för Windows-kraschdumpanalys (CDA) i fillös attackidentifiering. Analys av fillös attackidentifiering ger förbättrade versioner av följande säkerhetsaviseringar för Windows-datorer: Identifierad kodinmatning, Maskering av Windows-modul identifierad, Identifierad Shell-kod och Misstänkt kodsegment identifierad.
Några av fördelarna med den här övergången:
Proaktiv och snabb identifiering av skadlig kod – CDA-metoden innebar att vänta på att en krasch skulle inträffa och sedan köra analys för att hitta skadliga artefakter. Att använda fillös attackidentifiering ger proaktiv identifiering av minnesinterna hot medan de körs.
Berikade aviseringar – Säkerhetsaviseringar från fillös attackidentifiering omfattar berikningar som inte är tillgängliga från CDA, till exempel information om aktiva nätverksanslutningar.
Aviseringsaggregering – När CDA identifierade flera attackmönster i en enda kraschdump utlöste den flera säkerhetsaviseringar. Fillös attackidentifiering kombinerar alla identifierade attackmönster från samma process till en enda avisering, vilket tar bort behovet av att korrelera flera aviseringar.
Minskade krav på Log Analytics-arbetsytan – Kraschdumpar som innehåller potentiellt känsliga data laddas inte längre upp till Log Analytics-arbetsytan.
April 2020
Uppdateringar i april inkluderar:
- Dynamiska efterlevnadspaket är nu allmänt tillgängliga
- Identitetsrekommendationer ingår nu på den kostnadsfria nivån i Azure Security Center
Dynamiska efterlevnadspaket är nu allmänt tillgängliga
På instrumentpanelen för regelefterlevnad i Azure Security Center finns nu dynamiska efterlevnadspaket (nu allmänt tillgängliga) för att hålla koll på ytterligare bransch- och regelstandarder.
Du kan lägga till dynamiska efterlevnadsprinciper i din prenumeration eller hanteringsgrupp på säkerhetsprincipsidan i Security Center. När du har registrerat en standard eller benchmark visas standarden på instrumentpanelen för regelefterlevnad med alla tillhörande efterlevnadsdata mappade som utvärderingar. Du kan hämta en sammanfattningsrapport för de standarder som har registrerats.
Nu kan du lägga till standarder som:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official och UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0 (ny) (som är en mer fullständig representation av Azure CIS 1.1.0)
Dessutom har vi nyligen lagt till Azure Security Benchmark, Microsofts Azure-specifika riktlinjer för säkerhet och efterlevnad som utgår ifrån vanliga efterlevnadsramverk. Ytterligare standarder kommer att läggas till på instrumentpanelen när de blir tillgängliga.
Läs mer om hur du anpassar standarduppsättningen på instrumentpanelen för regelefterlevnad.
Identitetsrekommendationer ingår nu i Azure Security Center på den kostnadsfria nivån
Säkerhetsrekommendationer för identitet och åtkomst i Azure Security Center på den kostnadsfria nivån är nu allmänt tillgängliga. Detta är en del av arbetet med att göra CSPM-funktionerna (Cloud Security Posture Management) kostnadsfria. Hittills har dessa rekommendationer endast varit tillgängliga på standardprisnivån.
Exempel på identitets- och åtkomstrekommendationer är:
- ”Multifaktorautentisering måste vara aktiverat för konton med ägarbehörigheter för din prenumeration.”
- ”Högst tre ägare bör anges för din prenumeration.”
- ”Du bör ta bort inaktuella konton från din prenumeration.”
Om du har prenumerationer på den kostnadsfria prisnivån kommer säkerhetspoängen att påverkas av den här ändringen eftersom identitets- och åtkomstsäkerheten aldrig utvärderades.
Mars 2020
Uppdateringar i mars inkluderar:
- Arbetsflödesautomation är nu allmänt tillgänglig
- Integrering av Azure Security Center med Windows Admin Center
- Skydd för Azure Kubernetes Service
- Förbättrad just-in-time-upplevelse
- Två säkerhetsrekommendationer för inaktuella webbprogram
Arbetsflödesautomation är nu allmänt tillgänglig
Nu är funktionen för arbetsflödesautomation i Azure Security Center allmänt tillgänglig. Använd funktionen till att automatiskt utlösa logikappar vid säkerhetsaviseringar och rekommendationer. Dessutom finns manuella utlösare för aviseringar och alla rekommendationer som har snabbkorrigeringsalternativet tillgängligt.
Varje säkerhetsprogram innehåller flera arbetsflöden för incidenthantering. De här processerna kan omfatta att meddela relevanta intressenter, starta en process för förändringshantering och tillämpa vissa reparationssteg. Säkerhetsexperter rekommenderar att du automatiserar så många steg som möjligt i dessa procedurer. Automation minskar kostnaderna och kan förbättra säkerheten genom att säkerställa att processtegen utförs snabbt, konsekvent och enligt dina fördefinierade krav.
Mer information om automatiska och manuella Security Center-funktioner för att köra arbetsflöden finns i Arbetsflödesautomation.
Läs mer om att skapa Logic Apps.
Integrering av Azure Security Center med Windows Admin Center
Nu är det möjligt att flytta dina lokala Windows-servrar från Windows Admin Center direkt till Azure Security Center. Security Center blir sedan ditt enda fönster för att visa säkerhetsinformation för alla dina Windows Admin Center-resurser, till exempel lokala servrar, virtuella datorer och ytterligare PaaS-arbetsbelastningar.
När du har flyttat en server från Windows Admin Center till Azure Security Center kan du:
- visa säkerhetsaviseringar och rekommendationer i Security Center-tillägget för Windows Admin Center
- visa säkerhetsstatus och hämta ytterligare detaljerad information om dina Windows Admin Center-hanterade servrar i Security Center på Azure-portalen (eller via ett API).
Läs mer om hur du integrerar Azure Security Center med Windows Admin Center.
Skydd för Azure Kubernetes Service
Azure Security Center får utökade säkerhetsfunktioner för containrar för att skydda Azure Kubernetes Service (AKS).
Den populära plattformen Kubernetes med öppen källkod antas så brett att den nu är en branschstandard för containerorkestrering. Trots den här omfattande implementeringen finns det fortfarande en brist på förståelse för hur du kan skydda en Kubernetes-miljö. Det krävs expertkunskaper för att skydda attackytorna i ett containerprogram för att säkerställa att infrastrukturen har konfigureras säkert och ständigt övervakas mot potentiella hot.
I Security Center-skyddet ingår följande:
- Identifiering och synlighet – Kontinuerlig identifiering av hanterade AKS-instanser i de prenumerationer som är registrerade i Security Center.
- Säkerhetsrekommendationer – Åtgärdsbara rekommendationer som hjälper dig att följa bästa praxis för säkerhet för AKS. Dessa rekommendationer ingår i din säkerhetspoäng för att säkerställa att de visas som en del av din organisations säkerhetsstatus. Ett exempel på en AKS-relaterad rekommendation som du kan se är "Rollbaserad åtkomstkontroll bör användas för att begränsa åtkomsten till ett Kubernetes-tjänstkluster".
- Skydd mot hot – Genom kontinuerlig analys av din AKS-distribution varnar Security Center dig för hot och skadlig aktivitet som identifierats på värd- och AKS-klusternivå.
Läs mer om Integrering av Azure Kubernetes Services med Security Center.
Läs mer om containersäkerhetsfunktionerna i Security Center.
Förbättrad just-in-time-upplevelse
Funktionerna, driften och användargränssnittet för Azure Security Centers just-in-time-verktyg som skyddar dina hanteringsportar har förbättrats på följande sätt:
- Justeringsfält – När du begär åtkomst till en virtuell dator (VM) via just-in-time-sidan i Azure Portal är ett nytt valfritt fält tillgängligt för att ange en motivering för begäran. Information som anges i det här fältet kan spåras i aktivitetsloggen.
- Automatisk rensning av redundanta jit-regler (just-in-time) – När du uppdaterar en JIT-princip körs automatiskt ett rensningsverktyg för att kontrollera giltigheten för hela regeluppsättningen. Verktyget söker efter avvikelser mellan reglerna i principen och reglerna i NSG. Om rensningsverktyget hittar ett matchningsfel avgör det orsaken och tar bort inbyggda regler som inte behövs längre när det är säkert att göra det. Rensningen tar aldrig bort regler som du har skapat.
Läs mer om JIT-åtkomstfunktionen.
Två säkerhetsrekommendationer för inaktuella webbprogram
Två säkerhetsrekommendationer som rör webbappar görs inaktuella:
Reglerna för webbappar på IaaS-nätverkssäkerhetsgrupper bör skärpas. (Relaterad princip: NSG-reglerna för webbprogram på IaaS bör härdas)
Åtkomst till App Services bör begränsas. (Relaterad princip: Åtkomst till App Services bör begränsas [förhandsversion])
De här rekommendationerna visas inte längre i Security Center-listan med rekommendationer. Relaterade principer tas inte längre med i initiativet "Security Center Default".
Februari 2020
Fillös attackidentifiering för Linux (förhandsversion)
Angripare tillämpar alltmer dolda angreppsmetoder för att undvika identifiering. Därför omfattar Azure Security Center-funktionen för identifiering av fillösa angrepp nu även Linux, i tillägg till Windows. Fillösa angrepp utnyttjar sårbarheter i programvara, injicerar skadliga nyttolaster i ofarliga systemprocesser och döljer sig i minnet. Följande tekniker:
- minimera eller eliminera spår av skadlig kod på disken
- minska risken för identifiering av diskbaserade lösningar för genomsökning av skadlig kod
För att motverka det här hotet lanserade Azure Security Center identifiering av fillösa angrepp för Windows i oktober 2018, och funktionen omfattar nu även Linux.
Januari 2020
Förbättrad säkerhetspoäng (förhandsversion)
Nu finns en förbättrad version av funktionen för säkerhetspoäng i Azure Security Center tillgänglig i förhandsversion. I den här versionen grupperas flera rekommendationer i säkerhetskontroller som bättre speglar dina sårbara attackytor (till exempel för att begränsa åtkomsten till hanteringsportar).
Utforska ändringarna i funktionen för säkerhetspoäng under förhandsgranskningen och se vilka andra förbättringar som kan hjälpa dig att skydda din miljö ännu bättre.
Läs mer om förbättrad säkerhetspoäng (förhandsversion).
November 2019
Uppdateringar i november inkluderar:
- Hotskydd för Azure Key Vault i Nordamerika regioner (förhandsversion)
- Skydd mot hot för Azure Storage innehåller skydd mot skadlig kod
- Arbetsflödesautomatisering med Logic Apps (förhandsversion)
- Snabbkorrigering för massresurser allmänt tillgängliga
- Sök igenom containeravbildningar efter sårbarheter (förhandsversion)
- Ytterligare standarder för regelefterlevnad (förhandsversion)
- Threat Protection för Azure Kubernetes Service (förhandsversion)
- Sårbarhetsbedömning för virtuell dator (förhandsversion)
- Avancerad datasäkerhet för SQL-servrar på virtuella Azure-datorer (förhandsversion)
- Stöd för anpassade principer (förhandsversion)
- Utöka Azure Security Center-täckningen med plattform för community och partner
- Avancerade integreringar med export av rekommendationer och aviseringar (förhandsversion)
- Registrera lokala servrar till Security Center från Windows Admin Center (förhandsversion)
Hotskydd för Azure Key Vault i Nordamerika regioner (förhandsversion)
Azure Key Vault är en väsentlig tjänst för att skydda data och förbättra prestanda hos molnprogram genom att erbjuda möjligheten att centralt hantera nycklar, hemligheter, kryptografiska nycklar och principer i molnet. Eftersom Azure Key Vault lagrar känsliga och affärskritiska data kräver det högsta möjliga säkerhet för nyckelvalven och de data som lagras i dem.
Azure Security Centers stöd för Threat Protection för Azure Key Vault ger ytterligare ett lager säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja nyckelvalv. Med det här nya skyddslagret kan kunder hantera hot mot sina nyckelvalv utan att vara någon säkerhetsexpert eller hantera säkerhetsövervakningssystems. Den här funktionen finns i allmän förhandsversion i regionerna i Nordamerika.
Hotskydd för Azure Storage innefattar Malware Reputation Screening
Hotskydd för Azure Storage erbjuder nu nya identifieringar via Microsoft Threat Intelligence för identifiering av uppladdningar av skadlig kod till Azure Storage med hashryktesanalys och misstänkta mönster från en aktiv Tor-slutnod (en anonymiserande proxy). Du kan nu visa identifierad skadlig kod i lagringskonton med Azure Security Center.
Arbetsflödesautomatisering med Logic Apps (förhandsversion)
Organisationer med centralt hanterad säkerhet och IT/drift implementerar interna arbetsflödesprocesser för att främja nödvändiga åtgärder i organisationen när avvikelser upptäcks i deras miljöer. I många fall är dessa arbetsflöden repeterbara processer och automatisering kan effektivisera processer i organisationen avsevärt.
I dag introducerar vi en ny funktion i Security Center som gör att kunder kan skapa automationskonfigurationer som använder Azure Logic Apps samt skapa principer som automatiskt utöser dessa baserat på specifika ASC-resultat, till exempel rekommendationer eller aviseringar. Azure Logic App kan konfigureras till att utföra valfri åtgärd som stöds av den stora communityn med Logic App-anslutningsprogram eller använda en av de mallar som tillhandahålls av Security Center, till exempel för att skicka ett e-postmeddelande eller öppna ett ServiceNow™-ärende.
Mer information om automatiska och manuella Security Center-funktioner för att köra arbetsflöden finns i Arbetsflödesautomation.
Mer information om logikappar finns i Azure Logic Apps.
Snabbkorrigering för massresurser allmänt tillgängliga
De många uppgifter som en användare får som en del av Secure Score gör det svårt att omedelbart åtgärda problem i en stor maskinpark.
Använd Snabbkorrigeringsreparation för att åtgärda säkerhetsfelkonfigurationer, åtgärda rekommendationer för flera resurser och förbättra din säkerhetspoäng.
Detta gör att du kan välja de resurser som du vill tillämpa åtgärden på och starta en ny reparationsåtgärd som konfigurerar inställningen åt dig.
Snabbkorrigering är allmänt tillgänglig för kunder i dag som en del av rekommendationer för Security Center.
Sök igenom containeravbildningar efter sårbarheter (förhandsversion)
Azure Security Center kan nu avsöka containeravbildningar i Azure Container Registry efter sårbarheter.
Avbildningsgenomsökningen parsar containeravbildningsfilen och kontrollerar sedan om det finns några kända sårbarheter (drivs av Qualys).
Själva genomsökningen utlöses automatiskt när nya containeravbildningar skickas till Azure Container Registry. Säkerhetsrisker som hittas visas som Security Center-rekommendationer och ingår i säkerhetspoängen tillsammans med information om hur du korrigerar dem för att minska den attackyta som de tillät.
Ytterligare standarder för regelefterlevnad (förhandsversion)
Instrumentpanelen för regelefterlevnad ger insikter om din efterlevnadsstatus baserat på Security Center-utvärderingar. Instrumentpanelen visar hur din miljö följer kontroller och krav som anges av specifika regelstandarder och branschriktlinjer. Den ger preskriptiva rekommendationer om hur du hanterar dessa krav.
Instrumentpanelen för regelefterlevnad har hittills stöd för fyra inbyggda standarder: Azure CIS 1.1.0, PCI-DSS, ISO 27001 och SOC-TSP. Vi presenterar nu den offentliga förhandsversionen av ytterligare standarder som stöds: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM och UK Official tillsammans med UK NHS. Vi lanserar även en uppdaterad version av Azure CIS 1.1.0, som omfattar fler kontroller från standarden och förbättrad utökningsbarhet.
Läs mer om hur du anpassar standarduppsättningen på instrumentpanelen för regelefterlevnad.
Threat Protection för Azure Kubernetes Service (förhandsversion)
Kubernetes håller snabbt på att bli den nya standarden för distribution och hantering av programvara i molnet. Få personer har stor erfarenhet av Kubernetes, och många fokuserar på allmän teknik och administration samtidigt som de missar säkerhetsaspekten. Kubernetes-miljön behöver konfigureras för att vara säker. Det måste säkerställas att inga dörrar lämnas öppna för angripare som utnyttjar containerfokuserade attackytor. Security Center utökar sitt stöd inom containrar till en av de snabbast växande tjänsterna i Azure – Azure Kubernetes Service (AKS).
Bland de nya funktionerna i den här offentliga förhandsversionen finns följande:
- Identifiering och synlighet – Kontinuerlig identifiering av hanterade AKS-instanser i Security Centers registrerade prenumerationer.
- Rekommendationer för säker poäng – Åtgärdsbara objekt som hjälper kunderna att följa bästa praxis för säkerhet för AKS och öka deras säkerhetspoäng. Rekommendationerna omfattar bland annat "Rollbaserad åtkomstkontroll ska användas för att begränsa åtkomsten till ett Kubernetes-tjänstkluster".
- Hotidentifiering – Värd- och klusterbaserad analys, till exempel "En privilegierad container har identifierats".
Sårbarhetsbedömning för virtuell dator (förhandsversion)
Program som installeras på virtuella datorer kunde ofta ha sårbarheter som kan leda till intrång i den virtuella datorn. Vi meddelar att Standardnivån i Security Center innehåller inbyggd sårbarhetsbedömning för virtuella datorer utan extra kostnad. Sårbarhetsbedömningen, som drivs av Qualys i den offentliga förhandsversionen, gör att du kontinuerligt kan genomsöka alla installerade program på en virtuell dator för att hitta sårbara program och presentera resultaten i Security Center-portalens upplevelse. Security Center hanterar alla distributionsåtgärder så att användaren inte behöver göra något extra arbete. Framöver planerar vi att tillhandahålla alternativ för sårbarhetsbedömning för att stödja våra kunders unika affärsbehov.
Läs mer om sårbarhetsbedömningar för dina virtuella Azure-datorer.
Avancerad datasäkerhet för SQL-servrar på virtuella Azure-datorer (förhandsversion)
Azure Security Centers stöd för hotskydd och sårbarhetsbedömning för SQL-databaser som körs på virtuella IaaS-datorer är nu i förhandsversion.
Sårbarhetsbedömning är en tjänst som är enkel att konfigurera och som kan identifiera, spåra och hjälpa dig att åtgärda eventuella säkerhetsrisker i databasen. Den ger insyn i din säkerhetsstatus som en del av säkerhetspoängen och innehåller stegen för att lösa säkerhetsproblem och förbättra dina databasbefästningar.
Avancerat hotskydd identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja din SQL-server. Det övervakar kontinuerligt din databas och letar efter misstänkta aktiviteter. Du får åtgärdsinriktade säkerhetsvarningar om avvikande åtkomstmönster i databasen. Dessa aviseringar ger information om misstänkt aktivitet och rekommenderade åtgärder för att undersöka och åtgärda hotet.
Stöd för anpassade principer (förhandsversion)
Azure Security Center har nu stöd för anpassade principer (i förhandsversion).
Våra kunder har velat utöka sin aktuella täckning för säkerhetsutvärderingar i Security Center med sina egna säkerhetsutvärderingar baserat på principer som de skapar i Azure Policy. Tack vare stödet för anpassade principer är detta nu möjligt.
De här nya principerna kommer att ingå i upplevelsen för Security Center-rekommendationer samt på instrumentpanelen för standarder för regelefterlevnad. Med stöd för anpassade principer kan du nu skapa ett anpassat initiativ i Azure Policy och sedan lägga till det som en princip i Security Center och visualisera det som en rekommendation.
Utökad Azure Security Center-täckning med plattform för communityn och partner
Använd Security Center för att få rekommendationer inte bara från Microsoft utan även från befintliga lösningar från partner som Check Point, Tenable och CyberArk med många fler integreringar som kommer. Security Centers enkla registreringsflöde kan ansluta dina befintliga lösningar till Security Center, så att du kan visa dina säkerhetsstatusrekommendationer på en enda plats, köra enhetliga rapporter och utnyttja alla Security Centers funktioner mot både inbyggda rekommendationer och partnerrekommendationer. Du kan även exportera Security Center-rekommendationer till partnerprodukter.
Läs mer om Microsoft Intelligent Security Association.
Avancerade integreringar med export av rekommendationer och aviseringar (förhandsversion)
För att aktivera scenarier på företagsnivå ovanpå Security Center är det nu möjligt att använda Security Center-aviseringar och rekommendationer på ytterligare platser förutom Azure Portal eller API. Dessa kan exporteras direkt till en händelsehubb och till Log Analytics-arbetsytor. Här är några arbetsflöden som du kan skapa för de här nya funktionerna:
- Med export till Log Analytics-arbetsytan kan du skapa anpassade instrumentpaneler med Power BI.
- Med export till Event Hubs kan du exportera Security Center-aviseringar och rekommendationer till dina SIEM från tredje part, till en lösning från tredje part eller Azure Data Explorer.
Registrera lokala servrar till Security Center från Windows Admin Center (förhandsversion)
Windows Admin Center är en hanteringsportal för Windows-servrar som inte är distribuerade i Azure. Servrarna får flera Azure-hanteringsfunktioner, till exempel säkerhetskopiering och systemuppdateringar. Vi har nyligen lagt till möjligheten att registrera dessa icke-Azure-servrar till att bli skyddade av ASC direkt från Windows Admin Center-upplevelsen.
Användare kan nu registrera en WAC-server till Azure Security Center och aktivera visning av säkerhetsaviseringar och rekommendationer direkt i Windows Admin Center-upplevelsen.
September 2019
Uppdateringar i september inkluderar:
- Hantera regler med förbättringar av anpassningsbara programkontroller
- Kontrollera säkerhetsrekommendations för containrar med Azure Policy
Hantera regler med förbättringar av anpassningsbara programkontroller
Funktionerna för att hantera anpassningsbara programkontroller för virtuella datorer har förbättrats. Med Azure Security Centers anpassningsbara programkontroller kan du styra vilka program som kan köras på dina virtuella datorer. Utöver en allmän förbättring av regelhanteringen kan du med en ny fördel styra vilka filtyper som skyddas när du lägger till en ny regel.
Läs mer om anpassningsbara programkontroller.
Kontrollera säkerhetsrekommendations för containrar med Azure Policy
Azure Security Centers rekommendation att åtgärda säkerhetsrisker i containersäkerhet kan nu aktiveras eller inaktiveras via Azure Policy.
Om du vill visa dina aktiverade säkerhetsprinciper öppnar du sidan Säkerhetsprincip från Security Center.
Augusti 2019
Uppdateringar i augusti inkluderar:
- Just-in-time-åtkomst (JIT) för virtuella datorer för Azure Firewall
- Enkelklicksreparation för att öka din säkerhetsstatus (förhandsversion)
- Hantering mellan klientorganisationer
Just-in-time-åtkomst (JIT) för virtuella datorer för Azure Firewall
Just-in-time-åtkomst (JIT) för virtuella datorer för Azure Firewall är nu allmänt tillgängligt. Använd detta för att göra miljöer som skyddas av Azure Firewall och NSG säkra.
JIT-åtkomst för virtuella datorer minskar exponeringen för volymetriska attacker i nätverk genom att ge kontrollerad åtkomst till virtuella datorer endast när det behövs, via dina NSG- och Azure Firewall-regler.
När du aktiverar JIT för dina virtuella datorer skapar du en princip som bestämmer vilka portar som ska skyddas, hur länge portarna ska vara öppnat samt godkända IP-adresser som dessa portar kan kommas åt från. Den här principen hjälper dig att kontrollera vad användare kan göra när de begär åtkomst.
Begäranden loggas i Azure-aktivitetsloggen så att du enkelt kan övervaka och granska åtkomst. Sidan just-in-time hjälper dig också att snabbt identifiera befintliga virtuella datorer som har JIT aktiverat och virtuella datorer där JIT rekommenderas.
Enkelklicksreparation för att öka din säkerhetsstatus (förhandsversion)
Secure Score är ett verktyg som hjälper dig att utvärdera säkerhetsstatusen för dina arbetsbelastningar. Det granskar dina säkerhetsrekommendationer och prioriterar dem så att du vet vilka rekommendationer som bör genomföras först. Detta hjälper dig att hitta de allvarligaste säkerhetssårbarheterna att prioritera för undersökning.
För att förenkla reparationen av säkerhetsfel och hjälpa dig att snabbt förbättra din säkerhetspoäng har vi lagt till en ny funktion som gör att du kan åtgärda en rekommendation om en mängd resurser med ett enda klick.
Detta gör att du kan välja de resurser som du vill tillämpa åtgärden på och starta en ny reparationsåtgärd som konfigurerar inställningen åt dig.
Hantering av flera klienter
Security Center har nu stöd för scenarier med hantering av flera klienter i Azure Lighthouse. Detta gör att du kan få insyn i och hantera säkerhetssituationen för flera klienter i Security Center.
Läs mer om hanteringsupplevelser mellan klientorganisationer.
Juli 2019
Uppdateringar av nätverksrekommendationer
I Azure Security Center (ASC) finns nu nya nätverksrekommendationer, och en del av de befintliga har förbättrats. Nu får du ännu bättre nätverksskydd för dina resurser när du använder Security Center.
2019 juni
Adaptiv nätverkshärdning – allmänt tillgänglig
En av de största angreppsytorna för arbetsbelastningar som körs i det offentliga molnet är anslutningarna till och från det offentliga internet. Våra kunder har ofta svårt att veta vilka NSG-regler (nätverkssäkerhetsgrupper) som ska användas så att Azure-arbetsbelastningar bara är tillgängliga för de källintervall som verkligen behövs. Med den här nya funktionen så lär sig Security Center nätverkstrafiken och anslutningsmönstren för Azure-arbetsbelastningar och ger rekommendationer om NSG-regler för internetanslutna virtuella datorer. På så sätt kan våra kunder konfigurera sina policyer för nätverksåtkomst och begränsa exponeringen mot attacker.