你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Defender for Cloud 数据安全

为了帮助客户防止、检测和应对威胁,Microsoft Defender for Cloud 会收集和处理安全相关数据,其中包括配置信息、元数据、事件日志等。 从编程到服务运营,Microsoft 都严格遵守相关法规与安全准则。

本文介绍如何在 Defender for Cloud 中管理和保护数据。

数据源

Defender for Cloud 会分析以下源中的数据,以提供安全状态视图、识别漏洞、建议缓解措施,并检测现行的威胁:

  • Azure 服务:通过与 Azure 服务的资源提供程序通信,使用已部署的 Azure 服务的配置信息。
  • 网络流量:使用从 Microsoft 基础结构中采样的网络流量元数据,例如源/目标 IP/端口、数据包大小以及网络协议。
  • 合作伙伴解决方案:使用来自集成合作伙伴解决方案(例如防火墙和反恶意软件解决方案)的安全警报。
  • 计算机:使用配置详细信息和有关安全事件的信息,如 Windows 事件和审核日志,以及计算机中的系统日志消息。

数据共享

启用 Defender for Storage 恶意软件扫描后,它可能会与 Microsoft Defender for Endpoint 共享元数据,包括分类为客户数据的元数据(例如 SHA-256 哈希)。

运行 Defender for Cloud 安全态势管理 (CSPM) 计划的 Microsoft Defender for Cloud 会共享集成到 Microsoft 安全风险管理建议中的数据。

注意

Microsoft 安全风险管理目前处于公共预览状态。

数据保护

数据隔离

服务中每个组件的数据都保持逻辑隔离。 所有数据均按组织进行标记。 此标记方式贯穿数据的整个生命周期,在服务的每个层强制实施。

数据访问

为了提供安全建议及调查潜在安全威胁,Microsoft 人员可能会访问 Azure 服务收集或分析的信息,包括进程创建事件以及其他项目,其中可能会意外地包括计算机中的客户数据或个人数据。

我们遵守 Microsoft Online Services 数据保护附录,其中指出,Microsoft 不会将客户数据或其衍生信息用于任何广告目的或类似的商业目的。 我们只会根据需要将客户数据用于向用户提供 Azure 服务,包括用于与提供这些服务相对应的目的。 用户保留对客户数据的所有权限。

数据使用

Microsoft 使用多个租户所使用的模式和威胁情报增强预防和检测威胁的能力;执行过程中遵循隐私声明中所述的隐私承诺。

管理计算机中的数据收集

在 Azure 中启用 Defender for Cloud 后,即为每个 Azure 订阅启用了数据收集功能。 也可以在 Defender for Cloud 中为订阅启用数据收集功能。 启用数据收集后,Defender for Cloud 即可在所有受支持的现有 Azure 虚拟机以及任何新创建的虚拟机中预配 Log Analytics 代理。

Log Analytics 代理扫描各种安全相关配置和事件,并将其收集到 Windows 事件跟踪 (ETW) 的跟踪中。 另外,在运行计算机的过程中,操作系统会引发事件日志事件。 此类数据的示例包括:操作系统类型和版本、操作系统日志(Windows 事件日志)、正在运行的进程、计算机名称、IP 地址、已登录用户、租户 ID。 Log Analytics 代理读取事件日志条目和 ETW 跟踪,并将其复制到工作区进行分析。 Log Analytics 代理还启用进程创建事件和命令行审核。

如果不使用 Microsoft Defender for Cloud 的增强安全功能,也可以在“安全策略”中从虚拟机禁用数据收集功能。 受增强安全功能保护的订阅需要数据收集。 即使禁用数据收集,也仍会启用 VM 磁盘快照和项目收集。

可以指定存储从计算机收集的数据的工作区和区域。 默认将从计算机中收集的数据存储在最近的工作区中,如下表所示:

VM 地区 工作区地区
美国、巴西、南非 United States
Canada Canada
欧洲(不包括英国) 欧洲
United Kingdom United Kingdom
亚洲(不包括印度、日本、韩国、中国) 亚太区
韩国 亚太区
印度 印度
日本 日本
中国 中国
澳大利亚 澳大利亚

注意

Microsoft Defender for Storage 根据相关 Azure 资源的位置按区域存储项目。 有关详细信息,请参阅适用于存储的 Microsoft Defender 概述

数据使用

客户可以从以下数据流访问 Defender for Cloud 相关数据:

Stream 数据类型
Azure 活动日志 所有安全警报、批准的 Defender for Cloud 实时访问请求。
Azure Monitor 日志 所有安全警报。
Azure Resource Graph 安全警报、安全建议、漏洞评估结果、安全分数信息、合规性检查的状态等。
Microsoft Defender for Cloud REST API 安全警报、安全建议等。

注意

如果订阅上未启用 Defender 计划,则在 Microsoft Defender for Cloud 门户处于非活动状态 30 天后,数据将从 Azure Resource Graph 中删除。 在门户中与订阅相关的工件进行交互后,数据应在 24 小时内再次可见。

数据保留

当云安全图从 Azure 和多云环境及其他数据源收集数据时,它会将数据保留 14 天。 14 天后,数据将被删除。

计算数据(如攻击路径)可能会额外保留 14 天。 计算数据由从环境收集的原始数据所派生的数据组成。 例如,攻击路径派生自从环境中收集的原始数据。

此信息是根据隐私声明中所述的隐私承诺收集的。

Defender for Cloud 和 Microsoft Defender 365 Defender 集成

启用任何 Defender for Cloud 付费计划时,会自动获得 Microsoft Defender XDR 的所有权益。 Defender for Cloud 中的信息将与 Microsoft Defender XDR 共享。 此数据可能包含客户数据,并将根据 Microsoft 365 数据处理指南存储。