你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
关于数据安全态势管理
随着数字化转型的加速,各组织使用多个数据存储(如对象存储和托管/托管数据库)以指数级速率将数据移动到云中。 云的动态和复杂性质增加了数据威胁面和风险。 这给安全团队带来了数据可见性和保护云数据资产方面的挑战。
Microsoft Defender for Cloud 中的数据安全态势管理可帮助降低数据风险,并应对数据泄露。 使用数据安全态势管理,可以:
- 跨多个云自动发现敏感数据资源。
- 评估数据敏感度、数据泄露以及数据在整个组织中的流动方式。
- 主动并持续发现可能导致数据泄露的风险。
- 检测可能指示对敏感数据资源的持续威胁的可疑活动。
自动发现
数据安全态势管理可跨云自动持续发现托管和影子数据资源,包括不同类型的对象存储和数据库。
- 使用 Defender 云安全态势管理 (CSPM) 和 Defender for Storage 计划中包含的敏感数据发现扩展来发现敏感数据。
- 此外,可以发现云安全资源管理器和攻击路径中的托管数据库和数据流。 此功能在 Defender CSPM 计划中可用,并且不依赖于敏感数据发现扩展。
智能采样
Defender for Cloud 使用智能采样发现云数据存储中的选定数量的资产。 智能采样结果可发现敏感数据问题的证据,同时节省发现成本和时间。
Defender CSPM 中的数据安全态势管理
Defender CSPM 提供组织安全态势的可见性和上下文见解。 通过向 Defender CSPM 计划添加数据安全态势管理,可以主动识别关键数据风险并确定其优先级,并将其与风险较低的问题区分开来。
攻击路径
攻击路径分析功能可帮助解决在环境中构成直接威胁、最有可能被利用的安全问题。 Defender for Cloud 分析哪些安全问题属于攻击者可能用来破坏环境的潜在攻击路径。 它还强调了需要解决以缓解风险的安全建议。
可以通过有权访问敏感数据存储的 Internet 公开 VM 的攻击路径来发现数据泄露的风险。 黑客可以利用暴露的 VM 在企业中横向移动来访问这些存储。
云安全资源管理器
云安全资源管理器帮助你通过在云安全图(Defender for Cloud 的上下文引擎)上运行基于图的查询来识别云环境中的安全风险。 你可以优先考虑安全团队关注的问题,同时考虑组织的特定上下文和惯例。
你可以使用 Cloud Security Explorer 查询模板,或生成自己的查询,以跨多云环境查找有关可公开访问且包含敏感数据的错误配置数据资源的见解。 可以运行查询来检查安全问题,并将环境上下文引入资产清单、Internet 暴露、访问控制、数据流等。 查看云图见解。
Defender for Storage 中的数据安全态势管理
Defender for Storage 使用高级威胁检测功能监视 Azure 存储帐户。 它通过识别访问或利用数据的有害尝试,以及识别可能导致泄露的可疑配置更改来检测潜在的数据泄露。
当检测到早期可疑迹象时,Defender for Storage 会生成安全警报,使安全团队能够快速响应和缓解。
通过在存储资源上应用敏感度信息类型和 Microsoft Purview 敏感度标签,可以轻松确定关注敏感数据的警报和建议的优先级。
详细了解 Defender for Storage 中的敏感数据发现。
数据敏感度设置
数据敏感度设置定义组织中被视为敏感数据的内容。 Defender for Cloud 中的数据敏感度值基于:
- 预定义的敏感信息类型:Defender for Cloud 使用 Microsoft Purview 中的内置敏感信息类型。 这可确保跨服务和工作负载进行一致的分类。 其中一些类型默认在 Defender for Cloud 中启用。 可以修改这些默认值。 在这些内置敏感信息类型中,有一个子集的类型受敏感数据发现功能支持。 可查看此子集的参考列表,其中还列出了默认支持的信息类型。
- 自定义信息类型/标签:可以选择导入在 Microsoft Purview 合规门户中定义的自定义敏感信息类型和标签。
- 敏感数据阈值:在 Defender for Cloud 中,可以设置敏感数据标签的阈值。 阈值确定在 Defender for Cloud 中标记为敏感标签的最低置信度。 使用阈值可以更轻松地浏览敏感数据。
发现资源的数据敏感度时,结果基于这些设置。
使用 Defender CSPM 或 Defender for Storage 计划中的敏感数据发现组件启用数据安全态势管理功能时,Defender for Cloud 会使用算法来识别疑似包含敏感数据的数据资源。 资源根据数据敏感度设置进行标记。
敏感度设置中的更改在下次发现资源时生效。
敏感数据发现
敏感数据发现可识别敏感资源及其相关风险,然后帮助确定这些风险的优先级并修正风险。
如果在某个资源中检测到敏感信息类型 (SIT),并且已将 SIT 配置为敏感,Defender for Cloud 则会将该资源视为敏感。 请查看默认情况下被视为敏感的 SIT 的列表。
敏感数据发现过程通过对资源数据进行采样来运行。 然后,样本数据用于识别置信度较高的敏感资源,而无需对资源中的所有资产执行完全扫描。
敏感数据发现过程由 Microsoft Purview 分类引擎提供支持,该引擎对所有数据存储使用一组通用的 SIT 和标签,而不管其类型或托管云供应商如何。
敏感数据发现可检测云工作负载级别是否存在敏感数据。 敏感数据发现旨在识别各种类型的敏感信息,但它可能不会检测所有类型。
若要使用云资源中的所有可用 SIT 获取完整的数据编录扫描结果,建议使用 Microsoft Purview 提供的扫描功能。
对于云存储空间
Defender for Cloud 的扫描算法选择可能包含敏感信息的容器,并对容器内扫描的每个文件最多取 20 MB 的样本。
对于云数据库
Defender for Cloud 使用非阻止查询选择特定数量的表和样本,介于 300 和 1,024 行之间。