共用方式為


適用於雲端的 Defender-新功能封存

此頁面提供功能、修正和淘汰功能的相關信息,這些功能、修正和取代時間超過六個月。 如需最新的更新,請參閱 適用於雲端的 Defender 的新功能?

2024 年 4 月

Date 類別 更新
4 月 16 日 即將推出的更新 CIEM 評定識別碼中的變更

預計更新:2024 年 5 月。
4 月 15 日 GA 適用於容器的 Defender 現已可供 AWS 和 GCP 使用
4 月 3 日 更新 風險優先順序現在是適用於雲端的 Defender 中的預設體驗
4 月 3 日 更新 適用於開放原始碼關聯式資料庫的 Defender 更新

更新:CIEM 評定識別碼中的變更

2024 年 4 月 16 日

變更的預估日期:2024 年 5 月

下列建議已排程重新建置,這會導致其評定識別碼變更:

  • Azure overprovisioned identities should have only the necessary permissions
  • AWS Overprovisioned identities should have only the necessary permissions
  • GCP overprovisioned identities should have only the necessary permissions
  • Super identities in your Azure environment should be removed
  • Unused identities in your Azure environment should be removed

正式發行:適用於容器的 Defender (供 AWS 和 GCP 使用)

2024 年 4 月 15 日

適用於容器的 Defender 中的 AWS 和 GCP 的運行時間威脅偵測和無代理程式探索現已正式推出。 此外,AWS 中有一個新的驗證功能,可簡化佈建。

深入了解適用於雲端的 Defender 的容器支援矩陣及如何設定適用於容器的 Defender 元件 (部分機器翻譯)。

更新:風險優先順序

2024 年 4 月 3 日

風險優先順序現在是適用於雲端的 Defender 中的預設體驗。 這項功能可協助您根據每個資源的風險因素,將建議優先順序放在環境中最重要的安全性問題。 風險因素包括安全性問題遭到入侵的潛在影響、風險類別,以及安全性問題所屬的攻擊路徑。 深入了解風險優先順序

更新:適用於開放原始碼關聯式資料庫的 Azure Defender

2024 年 4 月 3 日

  • 適用於 PostgreSQL 的 Defender 彈性伺服器後更新 - 更新可讓客戶對訂用帳戶層級的現有 PostgreSQL 彈性伺服器強制執行保護,允許完全彈性地根據每個資源啟用保護,或自動保護訂用帳戶層級的所有資源。
  • 適用於 MySQL 的 Defender 彈性伺服器可用性和 GA - 適用於雲端的 Defender 藉由納入 MySQL 彈性伺服器來擴充對 Azure 開放原始碼關係資料庫的支援。

此版本包括:

  • 與適用於 MySQL 的 Defender 單一伺服器之現有警示的警示相容性。
  • 啟用個別資源。
  • 已在訂用帳戶層級啟用。
  • 適用於 MySQL 的 Azure 資料庫彈性伺服器的更新會在未來幾周推出。 如果您看到錯誤 The server <servername> is not compatible with Advanced Threat Protection,您可以等候更新,或開啟支援票證,以更快將伺服器更新為支援的版本。

如果您已經使用適用於開放原始碼關係資料庫的 Defender 來保護訂用帳戶,則會自動啟用、保護和計費彈性伺服器資源。 特定帳單通知已透過電子郵件傳送給受影響的訂用帳戶。

深入了解適用於開放原始碼關聯式資料庫的 Microsoft Defender

2024 年 3 月

Date 類別 更新
3 月 31 日 GA Windows 容器映像掃描
3 月 25 日 更新 連續匯出現在包含攻擊路徑資料
3 月 21 日 預覽​​ 無代理程式掃描支援 Azure 中的 CMK 加密 VM
3 月 17 日 預覽​​ 以適用於 Azure 的 KQL 為基礎的自訂建議
3 月 13 日 更新 Microsoft 雲端安全性基準中包含 DevOps 建議
3 月 13 日 GA ServiceNow 整合
3 月 13 日 預覽​​ 適用於雲端的 Microsoft Defender 中的關鍵資產保護
3 月 12 日 更新 使用自動化補救指令碼增強的 AWS 和 GCP 建議
3 月 6 日 預覽​​ 合規性標準已新增至合規性儀表板
3 月 6 日 即將推出的更新 適用於開放原始碼關聯式資料庫的 Defender 更新

預計日期:2024 年 4 月
3 月 3 日 即將推出的更新 合規性供應項目和 Microsoft 動作的存取位置變更

預計日期:2025 年 9 月
3 月 3 日 棄用 Qualys 提供適用於雲端的 Defender 容器弱點評量的淘汰
3 月 3 日 即將推出的更新 合規性供應項目和 Microsoft 動作的存取位置變更

預計淘汰:2025 年 9 月 30 日。

正式發行:Windows 容器映像掃描

2024 年 3 月 31 日

我們宣佈適用於容器的 Defender 掃描的 Windows 容器映像正式推出 (GA) 支援。

更新:連續匯出現在包含攻擊路徑資料

2024 年 3 月 25 日

我們宣佈持續導出現在包含攻擊路徑資料。 這項功能可讓您將安全性資料串流至 Azure 事件中樞,或匯出至另一個安全性資訊與事件管理 (SIEM)、安全性協調流程自動化回應 (SOAR) 或 IT 傳統部署模型解決方案。

深入了解連續匯出

預覽:無代理程式掃描支援 Azure 中的 CMK 加密 VM

2024 年 3 月 21 日

到目前為止,無代理程式掃描涵蓋 AWS 和 GCP 中的 CMK 加密 VM。 在此版本中,我們也正在完善對 Azure 的支援。 此功能會針對 Azure 中的 CMK 採用獨特的掃描方法:

  • 適用於雲端的 Defender 不會處理金鑰或解密程式。 金鑰和解密會由 Azure 計算順暢地處理,且對適用於雲端的 Defender 無代理程式掃描服務而言是透明的。
  • 未加密的 VM 磁碟資料永遠不會以另一個金鑰複製或重新加密。
  • 原始金鑰不會在程序期間複寫。 清除它可消除生產 VM 和 適用於雲端的 Defender 暫存快照集上的數據。

在公開預覽期間,此功能不會自動啟用。 如果您使用適用於伺服器的 Defender P2 或 Defender CSPM,且您的環境具有具有 CMK 加密磁碟的 VM,您現在可以依照這些啟用步驟來掃描弱點、祕密和惡意程式碼

預覽:以適用於 Azure 的 KQL 為基礎的自訂建議

2024 年 3 月 17 日

以適用於 Azure 的 KQL 為基礎的自訂建議現在為公開預覽版,所有雲端皆支援。 如需更多資訊,請參閱建立自訂安全性標準和建議

更新:Microsoft 雲端安全性基準中包含 DevOps 建議

2024 年 3 月 13 日

今天,我們宣佈除了 Azure、AWS 和 GCP 之外,您還可以在 Microsoft 雲端安全性效能評定 (MCSB) 中監視 DevOps 安全性和合規性狀態。 DevOps 評量是 MCSB 中 DevOps 安全性控件的一部分。

MCSB 是一種架構,可根據常見的業界標準和合規性架構來定義基本雲端安全性準則。 MCSB 提供如何實作其無從驗證安全性建議的規範詳細資料。

深入了解將包含的 DevOps 建議,以及 Microsoft雲端安全性基準

正式發行:ServiceNow 整合已正式發行

2024 年 3 月 12 日

我們宣佈 ServiceNow 整合正式發行 (GA)。

預覽:適用於雲端的 Microsoft Defender 中的關鍵資產保護

2024 年 3 月 12 日

適用於雲端的 Defender 現在包含商務關鍵性功能,使用Microsoft安全性暴露管理的重要資產引擎,透過風險優先順序、攻擊路徑分析和雲端安全性總管來識別及保護重要資產。 如需詳細資訊,請參閱適用於雲端的 Microsoft Defender 中的關鍵資產保護 (預覽)

更新:使用自動化補救指令碼增強的 AWS 和 GCP 建議

2024 年 3 月 12 日

我們會使用自動化補救指令碼來增強 AWS 和 GCP 建議,讓您以程式設計方式和大規模地進行補救。 深入了解自動化補救指令碼

預覽:合規性標準已新增至合規性儀表板

2024 年 3 月 6 日

根據客戶意見反應,我們已將預覽版中的合規性標準新增至適用於雲端的 Defender。

查看支援的合規性標準完整清單

我們持續致力於新增和更新 Azure、AWS 和 GCP 環境的新標準。

了解如何指派安全性標準

更新:適用於開放原始碼關聯式資料庫的 Defender 更新

2024 年 3 月 6 日**

變更的預估日期:2024 年 4 月

適用於 PostgreSQL 的 Defender 彈性伺服器後更新 - 更新可讓客戶對訂用帳戶層級的現有 PostgreSQL 彈性伺服器強制執行保護,允許完全彈性地根據每個資源啟用保護,或自動保護訂用帳戶層級的所有資源。

適用於 MySQL 的 Defender 彈性伺服器可用性和 GA - 適用於雲端的 Defender 即將藉由納入 MySQL 彈性伺服器來延伸對 Azure 開放原始碼關係資料庫的支援。 此版本將包含:

  • 與適用於 MySQL 的 Defender 單一伺服器之現有警示的警示相容性。
  • 啟用個別資源。
  • 已在訂用帳戶層級啟用。

如果您已經使用適用於開放原始碼關係資料庫的 Defender 來保護訂用帳戶,則會自動啟用、保護和計費彈性伺服器資源。 特定帳單通知已透過電子郵件傳送給受影響的訂用帳戶。

深入了解適用於開放原始碼關聯式資料庫的 Microsoft Defender

更新:合規性供應項目和 Microsoft Actions 設定的變更

2024 年 3 月 3 日

預估變更日期:2025 年 9 月 30 日

在 2025 年 9 月 30 日,您存取合規性供應項目和 Microsoft 動作這兩個預覽功能的位置將會變更。

列出 Microsoft 產品合規性狀態的表格之前是透過 Defender 法規合規性儀表板工具列中的 [合規性供應項目] 按鈕存取。 從適用於雲端的 Defender 移除此按鈕之後,您仍然可以使用服務信任入口網站存取這項資訊。

針對一部分控制項,您可以透過控制項詳細資料窗格中的 [Microsoft 動作 (預覽)] 按鈕存取 Microsoft 動作。 拿掉此按鈕之後,您可以流覽Microsoft的 FedRAMP 服務信任入口網站並存取 Azure 系統安全性方案檔,以檢視Microsoft動作。

更新:合規性供應項目和 Microsoft Aactions 的存取位置變更

2024 年 3 月 3 日**

變更的預估日期:2025 年 9 月

在 2025 年 9 月 30 日,您存取合規性供應項目和 Microsoft 動作這兩個預覽功能的位置將會變更。

列出 Microsoft 產品合規性狀態的表格之前是透過 Defender 法規合規性儀表板工具列中的 [合規性供應項目] 按鈕存取。 從適用於雲端的 Defender 移除此按鈕之後,您仍然可以使用服務信任入口網站存取這項資訊。

針對一部分控制項,您可以透過控制項詳細資料窗格中的 [Microsoft 動作 (預覽)] 按鈕存取 Microsoft 動作。 拿掉此按鈕之後,您可以流覽Microsoft的 FedRAMP 服務信任入口網站並存取 Azure 系統安全性方案檔,以檢視Microsoft動作。

淘汰:Qualys 提供適用於雲端的 Defender 容器弱點評量的淘汰

2024 年 3 月 3 日

由 Qualys 提供的適用於雲端容器的 Defender 弱點評估即將淘汰。 淘汰作業將於 3 月 6 日完成,直到該時間部分結果仍會出現在 Qualys 建議中,而 Qualys 則會導致安全性圖表。 先前使用此評量的任何客戶都應該升級至由 Azure 和 Microsoft Defender 弱點管理的弱點評量。 如需轉換至由 Microsoft Defender 弱點管理所提供容器弱點評量供應項目的資訊,請參閱從 Qualys 轉換至 Microsoft Defender 弱點管理

2024 年 2 月

Date 類別 更新
2 月 28 日 棄用 Microsoft 安全性 Code Analysis (MSCA) 已不再運作
2 月 28 日 更新 更新的安全策略管理可擴充 AWS 和 GCP 的支援
2 月 26 日 更新 適用於容器的 Defender 雲端支援
2 月 20 日 更新 適用於容器的 Defender 新版本 Defender 感應器
2 月 18 日 更新 Open Container Initiative (OCI) 映像格式規格支援
2 月 13 日 棄用 Trivy 所提供的 AWS 容器弱點評量已淘汰
2 月 5 日 即將推出的更新 Microsoft.SecurityDevOps 資源提供者的解除委任

預計日期:2024 年 3 月 6 日

淘汰:Microsoft 安全性 Code Analysis (MSCA) 已不再運作

2024 年 2 月 28 日

在 2021 年 2 月,MSCA 淘汰的工作已傳達給所有客戶,並自 2022 年 3 月 (英文) 起終止生命週期支援。 自 2024 年 2 月 26 日起,MSCA 正式停止運作。

客戶可以從適用於雲端的 Defender 取得最新的DevOps安全性工具 Microsoft安全性 DevOps,以及透過適用於 Azure DevOps 的 GitHub 進階安全性,取得更多的安全性工具。

更新:安全策略管理可擴充 AWS 和 GCP 的支援

2024 年 2 月 28 日

管理安全策略的更新體驗,最初在 Azure 預覽版中發行,正在擴充其跨雲端 (AWS 和 GCP) 環境的支援。 此預覽版本包括:

更新:適用於容器的 Defender 雲端支援

2024 年 2 月 26 日

適用於容器的 Defender 中 Azure Kubernetes Service (AKS) 威脅偵測功能現在已完全支援商業、Azure Government 和 Azure China 21Vianet 雲端。 檢閱支援的功能。

更新:適用於容器的 Defender 新版本 Defender 感應器

2024 年 2 月 20 日

適用於容器的 Defender 新版本 Defender 感應器可供使用。 它包括效能和安全性改善、支援 AMD64 和 Arm64 架構節點 (僅限 Linux),並使用 Inspektor Gadget (而不是 Sysdig) 做為流程收集代理程式。 只有 Linux 核心 5.4 版和更新版本才支援新版本,因此如果您使用舊版的 Linux 核心,則需要升級。 對 Arm64 的支援僅從 AKS V1.29 和更新版本開始提供。 如需詳細資訊,請參閱支援的主機作業系統

更新:Open Container Initiative (OCI) 映像格式規格支援

2024 年 2 月 18 日

開放容器計劃 (OCI) 映像格式規格現在受到弱點評量的支援,由適用於 AWS、Azure 和 GCP 雲端的 Microsoft Defender 弱點管理提供。

淘汰:Trivy 所提供的 AWS 容器弱點評量已淘汰

2024 年 2 月 13 日

針對 Trivy 所提供的容器弱點評量已淘汰。 先前使用此評量的任何客戶都應該升級至由 Microsoft Defender 弱點管理所提供的新 AWS 容器弱點評量。 如需如何升級的指示,請參閱如何從已淘汰的 Trivy 弱點評量升級至由 Microsoft Defender 弱點管理所提供的 AWS 弱點評量?

更新:Microsoft.SecurityDevOps 資源提供者的解除委任

2024 年 2 月 5 日

變更的預估日期:2024 年 3 月 6 日

適用於雲端的 Microsoft Defender 將對用於 DevOps 安全性公開預覽的資源提供者 Microsoft.SecurityDevOps 進行解除委任,因為已將該提供者移轉至現有的 Microsoft.Security 提供者。 此變更的原因是為了減少與 DevOps 連接器相關聯的資源提供者數目來改善客戶體驗。

仍使用 Microsoft.SecurityDevOps 下的 2022-09-01-preview 版 API 來查詢適用於雲端的 Defender DevOps 安全性資料的客戶將會受到影響。 若要避免其服務的中斷,客戶必須更新至 Microsoft.Security 提供者下的新 2023-09-01-preview 版 API。

目前從 Azure 入口網站上使用適用於雲端的 Defender DevOps 安全性的客戶將不會受到影響。

2024 年一月

Date 類別 更新
1 月 31 日 更新 雲端安全性總管中作用中存放庫新的深入解析
1 月 30 日 即將推出的更新 多重雲端容器威脅偵測的價格變更

預計日期:2024 年 4 月
1 月 29 日 即將推出的更新 針對進階 DevOps 安全性功能的 Defender CSPM 強制執行

預計日期:2024 年 3 月
1 月 24 日 預覽​​ 適用於容器的 Defender 和 Defender CSPM 中 GCP 的無代理程式容器態勢
1 月 16 日 預覽​​ 伺服器的無代理程式惡意程式碼掃描
15 年一月 GA 適用於雲端的 Defender與 Microsoft Defender 全面偵測回應整合
1 月 14 日 更新 針對無代理程式 VM 掃描內建 Azure 角色的更新

預計日期:2024 年 3 月
1 月 12 日 更新 Azure DevOps 連接器預設會啟用 DevOps 安全性提取要求註釋
1 月 9 日 棄用 適用於伺服器的 Defender 內建弱點評量 (Qualys) 淘汰路徑

預計日期:2024 年 5 月
1 月 3 日 即將推出的更新 即將變更 適用於雲端的 Defender的多重雲端網路需求

預計日期:2024 年 5 月。

更新:雲端安全性總管中作用中存放庫新的深入解析

2024 年 1 月 31 日

Azure DevOps 存放庫的新見解已新增至雲端安全性總管,指出存放庫是否為作用中。 此深入解析指出程式碼存放庫未封存或停用,這表示使用者仍可使用對程式碼、組建和提取要求的寫入存取權。 封存和停用的存放庫可能會被視為優先順序較低,因為程式碼通常不會用於作用中的部署。

若要透過雲端安全性總管測試查詢,請使用此查詢連結

更新:多重雲端容器威脅偵測的價格變更

2024 年 1 月 30 日**

變更的預估日期:2024 年 4 月

多重雲端容器威脅偵測 (部分機器翻譯) 移至 GA 時,其將不再免費提供。 如需詳細資訊,請參閱適用於雲端的 Microsoft Defender 價格

更新:針對進階 DevOps 安全性值的 Defender CSPM 強制執行

2024 年 1 月 29 日**

變更的預估日期:2024 年 3 月 7 日

2024 年 3 月 7 日開始,適用於雲端的 Defender 將開始針對進階 DevOps 安全性值強制執行 Defender CSPM 方案檢查。 如果您已在您 DevOps 連接器建立所在的相同租用戶內的雲端環境 (Azure、AWS、GCP) 上啟用 Defender CSPM 方案,您將能在不需額外支付費用的情況下,繼續接收進階 DevOps 功能。 如果您不是 Defender CSPM 客戶,您必須在 2024 年 3 月 7 日之前啟用 Defender CSPM,否則便會失去對這些安全性功能的存取權。 若要在 2024 年 3 月 7 日之前於連線的雲端環境上啟用 Defender CSPM,請遵循此處 (部分機器翻譯) 所述的啟用文件。

如需基礎 CSPM 和 Defender CSPM 方案上提供的 DevOps 安全性功能的詳細資訊,請參閱我們概述功能可用性的文件

如需適用於雲端的 Defender 中 DevOps 安全性的詳細資訊,請參閱概觀文件 (部分機器翻譯)。

如需 Defender CSPM 中存取雲端安全性功能之程式碼的詳細資訊,請參閱如何使用 Defender CSPM 保護您的資源 (部分機器翻譯)。

預覽:適用於容器的 Defender 和 Defender CSPM 中 GCP 的無代理程式容器態勢

2024 年 1 月 24 日

新的無代理程式容器態勢 (預覽) 功能適用於 GCP,包括使用 Microsoft Defender 弱點管理進行 GCP 弱點評評量。 如需所有功能的詳細資訊,請參閱 Defender CSPM 中的無代理程式容器態勢適用於容器的 Defender 中的無代理程式功能

您也可以在此部落格文章中閱讀 Multicloud 的無代理程式容器態勢管理。

預覽:伺服器的無代理程式惡意程式碼掃描

2024 年 1 月 16 日

我們宣佈發行適用於雲端的 Defender 無代理程式惡意程式碼偵測 Azure 虛擬機器 (VM)、AWS EC2 執行個體和 GCP VM 執行個體,這是適用於伺服器的 Defender 方案 2 中所包含的新功能。

VM 的無代理程式惡意程式碼偵測現在已包含在無代理程式掃描平台中。 無代理程式惡意程式碼掃描會利用 Microsoft Defender 防毒軟體反惡意程式碼引擎來掃描及偵測惡意檔案。 偵測到任何威脅時,直接向適用於雲端的 Defender 和 Defender XDR 觸發安全性警示,您可以在其中進行調查和補救。 無代理程式惡意程式碼掃描器會使用無摩擦上線的第二層威脅偵測來補充代理程式型涵蓋範圍,且不會影響您機器的效能。

深入了解伺服器的無代理程式惡意程式碼掃描,以及 VM 的無代理程式掃描

適用於雲端的 Defender 與 Microsoft Defender XDR 的整合正式發行

2024 年 1 月 15 日

我們宣佈正式推出適用於雲端的 Defender 與 Microsoft Defender XDR (先前稱為 Microsoft 365 Defender) 之間的整合。

整合會將具競爭力的雲端保護功能導入日常安全性作業中心 (SOC)。 透過適用於雲端的 Microsoft Defender 與 Defender XDR 整合,SOC 小組可以探索結合多個要素偵測的攻擊,包括雲端、端點、身分識別、Office 365 等等。

深入了解 Microsoft Defender XDR 中的警示和事件

更新:針對無代理程式 VM 掃描內建 Azure 角色

2024 年 1 月 14 日**

變更的預估日期:2024 年 2 月

在 Azure 中,針對 VM 的無代理程式掃描會使用內建角色 (稱為 VM 掃描器操作員 (部分機器翻譯)),此角色具有針對安全性問題對您的 VM 進行掃描和評估的最低必要權限。 為了針對具有加密磁碟區的 VM 持續提供相關掃描健康情況和設定建議,我們已規劃對此角色的權限進行更新。 該更新包括新增 Microsoft.Compute/DiskEncryptionSets/read 權限。 此權限僅能改善對 VM 中加密磁碟使用方式的識別。 除了在推出此變更之前已經支援 (部分機器翻譯) 的加密方法,此變更並不會提供適用於雲端的 Defender 對這些加密磁碟區內容額外的解密或存取能力。 此變更預計在 2024 年 2 月進行,且不需要您採取任何動作。

更新:Azure DevOps 連接器依預設已啟用 DevOps 安全性提取要求註釋

2024 年 1 月 12 日

DevOps 安全性會將安全性結果公開為提取要求 (PR) 中的註釋,以協助開發人員在進入生產環境之前,防止並修正潛在的安全性弱點和設定錯誤。 自 2024 年 1 月 12 日起,所有連線到適用於雲端的 Defender 新的和現有 Azure DevOps 存放庫預設都會啟用 PR 註釋。

根據預設,PR 註釋只會針對高嚴重性基礎結構即程式碼 (IaC) 結果啟用。 客戶仍需將 Microsoft Security for DevOps (MSDO) 設定為在 PR 組建中執行,並在 Azure DevOps 存放庫設定中啟用 CI 組建的組建驗證原則。 客戶可以從 DevOps 安全性刀鋒視窗存放庫設定選項中停用特定存放庫的 PR 註釋功能。

深入了解如何啟用 Azure DevOps 的提取要求註釋

淘汰:適用於伺服器的 Defender 內建弱點評量 (Qualys) 淘汰路徑

2024 年 1 月 9 日**

變更的預估日期:2024 年 5 月

由 Qualys 提供的適用於伺服器的 Defender 內建弱點評量解決方案現已位於淘汰路徑上,其預計於 2024 年 5 月 1 日完成。 如果您目前使用由 Qualys 提供的弱點評量解決方案,您應該規劃轉換至整合的 Microsoft Defender 弱點管理解決方案

如需有關我們決定使用 Microsoft Defender 弱點管理來整合弱點評量供應項目的詳細資訊,您可以參閱此部落格文章 (英文)。

您也可以查看有關轉換至 Microsoft Defender 弱點管理解決方案的常見問題 (部分機器翻譯)。

更新:適用於雲端的 Defender 的多重雲端網路需求

2024 年 1 月 3 日**

變更的預估日期:2024 年 5 月

從 2024 年 5 月開始,我們將淘汰與我們的多重雲端探索服務相關聯的舊 IP 位址,以因應改善並確保所有使用者都能獲得更安全且更有效率的體驗。

為了確保對我們服務的存取不會中斷,您應該將 IP 允許清單更新為下列小節中所提供的新範圍。 您應該對防火牆設定、安全性群組或可能適用於您環境的任何其他設定進行必要的調整。

此清單適用於所有方案,且足以對應 CSPM 基礎 (免費) 供應項目的完整功能。

即將淘汰的 IP 位址

  • 探索 GCP:104.208.29.200、52.232.56.127
  • 探索 AWS:52.165.47.219、20.107.8.204
  • 上線:13.67.139.3

即將新增的新區域特定 IP 範圍

  • 西歐:52.178.17.48/28
  • 北歐:13.69.233.80/28
  • 美國中部:20.44.10.240/28
  • 美國東部 2:20.44.19.128/28

2023 年 12 月

Date 更新
12 月 30 日 適用於雲端的 Defender 服務等級 2 名稱的合併
12 月 24 日 資源層級適用於伺服器的 Defender 正式發行
12 月 21 日 淘汰適用於多重雲端的傳統連接器
12 月 21 日 涵蓋範圍活頁簿的版本
12 月 14 日 Azure Government 以及由 21Vianet 運作的 Azure 中由 Microsoft Defender 弱點管理所提供的容器弱點評量正式發行
12 月 14 日 Microsoft Defender 弱點管理所提供的容器弱點評量公開預覽
12 月 13 日 淘汰針對 Trivy 所提供的 AWS 容器弱點評量
12 月 13 日 適用於容器的 Defender 和 Defender CSPM 中 AWS 的無代理程式容器態勢 (預覽)
12 月 13 日 適用於開放原始碼關聯式資料庫方案的 Defender 中 PostgreSQL 彈性伺服器正式發行出 (GA) 支援
12 月 12 日 由 Microsoft Defender 弱點管理所提供的容器弱點評量現在支援 Google Distroless

適用於雲端的 Defender 服務等級 2 名稱的合併

2023 年 12 月 30 日

我們正在將所有適用於雲端的 Defender 方案的舊版服務等級 2 名稱合併成單一的新服務層級 2 名稱:適用於雲端的 Microsoft Defender

目前一共有四個服務等級 2 名稱:Azure Defender、進階威脅防護、進階資料安全性,以及資訊安全中心。 適用於雲端的 Microsoft Defender 的各種計量目前分散在這些個別的服務等級 2 名稱之間,使得「成本管理 + 計費」、發票及其他 Azure 計費相關工具在使用上變得更加複雜。

此變更能夠簡化檢閱適用於雲端的 Defender 費用的流程,並提供更清楚的成本分析。

為了確保能夠順利轉換,我們已採取措施以維護產品/服務名稱、SKU 及計量識別碼的一致性。 受影響的客戶將會收到供參考的 Azure 服務通知以傳達這些變更。

透過呼叫我們的 API 來擷取成本資料的組織,必須更新其呼叫中的值來因應此變更。 例如,在此篩選函式中,其中的值將不會傳回任何資訊:

"filter": {
          "dimensions": {
              "name": "MeterCategory",
              "operator": "In",
              "values": [
                  "Advanced Threat Protection",
                  "Advanced Data Security",
                  "Azure Defender",
                  "Security Center"
                ]
          }
      }
舊服務等級 2 名稱 新服務等級 2 名稱 服務層級 - 服務等級 4 (無變更)
進階資料安全性 適用於雲端的 Microsoft Defender 適用於 SQL 的 Defender
進階威脅防護 適用於雲端的 Microsoft Defender 適用於容器登錄的 Defender
進階威脅防護 適用於雲端的 Microsoft Defender 適用於 DNS 的 Defender
進階威脅防護 適用於雲端的 Microsoft Defender 適用於 Key Vault 的 Defender
進階威脅防護 適用於雲端的 Microsoft Defender 適用於 Kubernetes 的 Defender
進階威脅防護 適用於雲端的 Microsoft Defender 適用於 MySQL 的 Defender
進階威脅防護 適用於雲端的 Microsoft Defender 適用於 PostgreSQL 的 Defender
進階威脅防護 適用於雲端的 Microsoft Defender 適用於 Resource Manager 的 Defender
進階威脅防護 適用於雲端的 Microsoft Defender 適用於儲存體的 Defender
Azure Defender 適用於雲端的 Microsoft Defender 適用於外部受攻擊面管理的 Defender
Azure Defender 適用於雲端的 Microsoft Defender 適用於 Azure Cosmos DB 的 Defender
Azure Defender 適用於雲端的 Microsoft Defender 適用於容器的 Defender
Azure Defender 適用於雲端的 Microsoft Defender 適用於 MariaDB 的 Defender
資訊安全中心 適用於雲端的 Microsoft Defender 適用於 App Service 的 Defender
資訊安全中心 適用於雲端的 Microsoft Defender 適用於伺服器的 Defender
資訊安全中心 適用於雲端的 Microsoft Defender Defender CSPM

資源層級適用於伺服器的 Defender 正式發行

2023 年 12 月 24 日

您現在可以管理訂用帳戶內特定資源上適用於伺服器的 Defender,讓您完全掌控您的保護策略。 您可以透過這項功能,使用與訂用帳戶層級所設定不同的設定自訂設定來設定特定資源。

深入了解如何在資源層級啟用適用於伺服器的 Defender

淘汰適用於多重雲端的傳統連接器

2023 年 12 月 21 日

傳統多重雲端連接器體驗已淘汰,且資料不再串流至透過該機制建立的連接器。 這些傳統連接器可用來將 AWS 安全性中樞和 GCP 安全性命令中心建議連線至適用於雲端的 Defender,並將 AWS EC2 上線至適用於伺服器的 Defender。

這些連接器的完整價值已取代為原生多重雲端安全性連接器體驗,自 2022 年 3 月起,AWS 和 GCP 已正式推出,無需額外費用。

新的原生連接器包含在您的方案中,並提供自動化的上線體驗,其中包含將單一帳戶、多個帳戶(含 Terraform),以及具有下列 Defender 方案的自動佈建組織上線選項:免費基礎 CSPM 功能、Defender 雲端安全性態勢管理 (CSPM)、適用於伺服器的 Defender、適用於 SQL 的 Defender 和適用於容器的 Defender。

涵蓋範圍活頁簿的版本

2023 年 12 月 21 日

「涵蓋範圍」活頁簿可讓您追蹤哪些適用於雲端的 Defender 方案在您的環境中處於作用中狀態。 此活頁簿可協助您確保環境和訂用帳戶受到完整保護。 透過存取詳細的涵蓋範圍資訊,您也可以識別任何可能需要其他保護的區域,並對這些區域採取行動。

深入了解涵蓋範圍活頁簿

Azure Government 以及由 21Vianet 運作的 Azure 中由 Microsoft Defender 弱點管理所提供的容器弱點評量正式發行

2023 年 12 月 14 日

Azure 容器登錄中由 Microsoft Defender 弱點管理所提供 Linux 容器映像的弱點評量 (VA) 已在 Azure Government 以及由 21Vianet 營運的 Azure 正式發行 (GA)。 這個新版本可在適用於容器的 Defender 和適用於容器登錄的 Defender 方案下取得。

  • 在這項變更中,GA 已發行新的建議,並包含在安全分數計算中。 檢閱新的和更新的安全性建議
  • 由 Microsoft Defender 弱點管理所提供的容器映像掃描現在也會根據方案定價產生費用。 請注意,由 Qualys 提供的容器 VA 供應專案所掃描的映射和由 Microsoft Defender 弱點管理 提供電源的容器 VA 供應專案只會計費一次。

容器弱點評估的Qualys建議已重新命名,並持續可供在此版本之前在其任何訂用帳戶上啟用適用於容器的Defender的客戶使用。 在此版本之後將適用於容器的 Defender 上線的新客戶只會看到由 Microsoft Defender 弱點管理提供的新容器弱點評量建議。

Microsoft Defender 弱點管理所提供的容器弱點評量公開預覽

2023 年 12 月 14 日

在公開預覽版中發行 Windows 映像的支援,這是屬於由適用於 Azure 容器登錄和 Azure Kubernetes Services 的 Microsoft Defender 弱點管理所支援弱點評量 (VA)。

淘汰針對 Trivy 所提供的 AWS 容器弱點評量

2023 年 12 月 13 日

Trivy 所提供的容器弱點評量現在已走上淘汰路徑,將於 2 月 13 日完成。 現在已淘汰這項功能,且使用此功能的現有客戶將可繼續使用到 2 月 13 日為止。 我們鼓勵使用此功能的客戶在 2 月 13 日前升級至由 Microsoft Defender 弱點管理所提供的新 AWS 容器弱點評量

適用於容器的 Defender 和 Defender CSPM 中 AWS 的無代理程式容器態勢 (預覽)

2023 年 12 月 13 日

AWS 可以使用新的無代理程式容器態勢 (預覽) 功能。 如需詳細資訊,請參閱 Defender CSPM 中的無代理程式容器態勢適用於容器的 Defender 中的無代理程式功能

適用於開放原始碼關聯式資料庫方案的 Defender 中 PostgreSQL 彈性伺服器正式發行出支援

2023 年 12 月 13 日

我們宣佈 PostgreSQL 彈性伺服器支援在適用於開放原始碼關聯式資料庫方案的 Microsoft Defender 中正式發行 (GA)。 適用於開放原始碼關聯式資料庫的 Microsoft Defender 會偵測異常活動及產生安全性警示,為 PostgreSQL 彈性伺服器提供進階威脅防護。

了解如何啟用適用於開放原始碼關聯式資料庫的 Microsoft Defender

由 Microsoft Defender 弱點管理所提供的容器弱點評量現在支援 Google Distroless

2023 年 12 月 12 日

由 Microsoft Defender 弱點管理 支援的容器弱點評估已隨著 Linux OS 套件的額外涵蓋範圍而延伸,現在支援 Google Ditroless。

如需所有支援的作業系統清單,請參閱 Azure 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量

2023 年 11 月

Date 更新
11 月 30 日 已淘汰四個警示
11 月 27 日 在適用於伺服器的 Defender 和 Defender CSPM 中掃描無代理程式秘密正式發行
11 月 22 日 使用適用於雲端的 Defender 啟用權限管理 (預覽)
11 月 22 日 適用於雲端的 Defender 與 ServiceNow 整合
11 月 20 日 機器上 SQL Server 的自動布建程式正式運作
11 月 15 日 適用於 API 的 Defender 正式發行
11 月 15 日 適用於雲端的 Defender 現已與 Microsoft 365 Defender 整合 (預覽)
11 月 15 日 適用於容器的 Defender 和適用於容器登錄的 Defender 中由 Microsoft Defender 弱點管理 (MDVM) 所提供的容器弱點評量正式發行
11 月 15 日 容器弱點評量建議名稱變更
11 月 15 日 風險優先順序現在可供建議使用
11 月 15 日 攻擊路徑分析新的引擎和廣泛的增強功能
11 月 15 日 攻擊路徑的 Azure Resource Graph 資料表配置變更
11 月 15 日 Defender CSPM 中 GCP 支援的正式發行版本
11 月 15 日 資料安全性儀表板的正式發行版本
11 月 15 日 資料庫的敏感資料探索正式發行版本
11 月 6 日 尋找遺漏系統更新的新版本建議現已正式發行

已淘汰四個警示

2023 年 11 月 30 日

在品質改進程序中,已淘汰下列安全性警示:

  • Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
  • Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
  • Suspicious process termination burst (VM_TaskkillBurst)
  • PsExec execution detected (VM_RunByPsExec)

在適用於伺服器的 Defender 和 Defender CSPM 中掃描無代理程式秘密正式發行

2023 年 11 月 27 日

無代理程式秘密掃描可識別 VM 磁碟上的純文字秘密,以增強安全性雲端型虛擬機器 (VM)。 無代理程式秘密掃描提供完整的資訊,可協助排定所偵測到結果的優先順序,並在橫向移動風險發生前就降低風險。 此主動式方法可防止未經授權的存取,確保您的雲端環境保持安全。

我們宣佈了無代理程式秘密掃描正式發行 (GA),這包含在適用於伺服器的 Defender P2Defender CSPM 方案中。

無代理程式秘密掃描會利用雲端 API 來擷取磁碟的快照集,並進行頻外分析,以確保 VM 的效能不會有任何影響。 無代理程式秘密掃描會擴大適用於雲端的 Defender 在 Azure、AWS 和 GCP 環境中透過雲端資產所提供的涵蓋範圍,以增強您的雲端安全性。

在此版本中,適用於雲端的 Defender 偵測功能現在支援其他資料庫類型、資料存放區已簽署的 URL、存取權杖等等。

了解如何使用無代理程式祕密掃描來管理祕密

使用適用於雲端的 Defender 啟用權限管理 (預覽)

2023 年 11 月 22 日

Microsoft現在提供雲端原生應用程式保護平臺 (CNAPP) 和雲端基礎結構權利管理 (CIEM) 解決方案,適用於雲端的 Microsoft Defender (CNAPP)Microsoft Entra 許可權管理 (CIEM)。

安全性系統管理員可以在適用於雲端的 Defender 中集中檢視其未使用或過度存取權限。

安全性小組可以驅動雲端資源的最低權限存取權限,並接收可採取動作的建議,以解決 Azure、AWS 和 GCP 雲端環境的權限風險,做為其 Defender 雲端安全性態勢管理 (CSPM) 的一部分,而不需要任何額外的授權需求。

瞭解如何在 適用於雲端的 Microsoft Defender (預覽) 中啟用許可權管理。

適用於雲端的 Defender 與 ServiceNow 整合

2023 年 11 月 22 日

ServiceNow 現在已與適用於雲端的 Microsoft Defender 整合,讓客戶能夠將 ServiceNow 連線至其適用於雲端的 Defender 環境,以排定影響貴企業的建議補救優先順序。 Microsoft Defender for Cloud 與 ITSM 模組 (事件管理) 整合。 在此連線中,客戶可以從適用於雲端的 Microsoft Defender 建立/檢視 ServiceNow 票證 (連結至建議)。

您可以深入了解適用於雲端的 Defender 與 ServiceNow 的整合

機器方案上 SQL Server 自動佈建程序正式發行

2023 年 11 月 20 日

為了 2024 年 8 月 Microsoft Monitoring Agent (MMA) 淘汰做好準備,適用於雲端的 Defender 發行了以 SQL Server 為目標的 Azure 監視器代理程式 (AMA) 自動佈建流程。 會自動為所有新客戶啟用及設定新流程,並且還會提供 Azure SQL VM 和已啟用 Arc 的 SQL Server 資源層級啟用功能。

系統會要求使用 MMA 自動佈建流程的客戶,在機器自動佈建程序上遷移至新的適用於 SQL Server 的 Azure 監視器代理程式。 移轉流程不會產生中斷,可為所有機器提供持續保護。

適用於 API 的 Defender 正式發行

2023 年 11 月 15 日

我們宣佈適用於 API 的 Microsoft Defender 正式發行 (GA)。 適用於 API 的 Defender 是專為保護組織防範 API 安全性威脅而設計。

適用於 API 的 Defender 可讓組織保護其 API 和資料,免受惡意執行者的攻擊。 組織可以調查並改善其 API 安全性態勢、排定弱點修正的優先順序,以及快速偵測並回應作用中的即時威脅。 組織也可以將安全性警示直接整合到其安全性資訊與事件管理 (SIEM) 平台 (例如 Microsoft Sentinel),以調查並分級問題。

您可以了解如何使用適用於 API 的 Defender 保護您的 API。 您也可以深入了解適用於 API 的 Microsoft Defender

您還可以閱讀此部落格,以深入了解 GA 公告。

適用於雲端的 Defender 現已與 Microsoft 365 Defender 整合 (預覽)

2023 年 11 月 15 日

企業可以使用適用於雲端的 Microsoft Defender 與 Microsoft Defender XDR 之間的新整合來保護其雲端資源和裝置。 此整合會連接雲端資源、裝置和身分識別之間的點,這些點先前需要多個體驗。

整合也會將具競爭力的雲端保護功能導入日常安全性作業中心 (SOC)。 SOC 小組可以利用 Microsoft Defender XDR 輕鬆探索結合多個要素 (包括雲端、端點、身分識別、Office 365 等等) 偵測的攻擊。

一些主要優點包括:

  • 一個 SOC 小組易於使用的介面:SOC 小組現在使用整合至 M365D 的適用於雲端的 Defender 警示及雲端相互關聯,可以從單一介面存取所有安全性資訊,大幅提升作業效率。

  • 一個攻擊案例:客戶能夠使用結合多個來源安全性警示的預先建置相互關聯,了解完整的攻擊案例,包括其雲端環境。

  • Microsoft Defender XDR 中的新雲端實體:Microsoft Defender XDR 現在支援適用於雲端的 Microsoft Defender 特有的新雲端實體,例如雲端資源。 客戶可以比對虛擬機器 (VM) 實體與裝置實體,提供機器相關資訊的統一檢視,包括機器上觸發的警示和事件。

  • 適用於 Microsoft 安全性產品的 Unified API:客戶現在可以使用單一 API 將其安全性警示資料匯出至其選擇的系統,因為適用於雲端的 Microsoft Defender 警示和事件現在是 Microsoft Defender XDR 公用 API 的一部分。

適用於雲端的 Defender 與 Microsoft Defender XDR 之間的整合可供所有適用於雲端的 Defender 新客戶和現有客戶使用。

適用於容器的 Defender 和適用於容器登錄的 Defender 中由 Microsoft Defender 弱點管理 (MDVM) 所提供的容器弱點評量正式發行

2023 年 11 月 15 日

Azure 容器登錄中由 Microsoft Defender 弱點管理 (MDVM) 所提供 Linux 容器映像的弱點評量 (VA) 已在適用於容器的 Defender 以及適用於容器登錄的 Defender 正式發行 (GA)。

在這項變更中,下列建議會針對 GA 發行並重新命名,且現在會包含在安全分數計算中:

目前的建議名稱 新的建議名稱 描述 評量金鑰
容器登錄映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,並在部署前確保映像可安全使用。 c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
執行容器映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

MDVM 所提供的容器映像掃描現在也會依據方案定價產生費用。

注意

由 Qualys 提供的容器 VA 供應項目和由 MDVM 所提供的容器 VA 供應項目所掃描的映像,只會計費一次。

下列容器弱點評量的 Qualys 建議已重新命名,且將在 11 月 15 日之前持續可供任何訂用帳戶上啟用適用於容器的 Defender 的客戶使用。 在 11 月 15 日之後將適用於容器的 Defender 上線的新客戶只會看到由 Microsoft Defender 弱點管理提供的新容器弱點評量建議。

目前的建議名稱 新的建議名稱 描述 評量金鑰
容器登錄映像應該解決發現的弱點 (由 Qualys 提供) Azure 登錄容器映像應已解決弱點 (由 Qualys 提供) 容器映像弱點評定會掃描您的登錄,以判斷是否有安全性弱點,並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 dbd0cb49-b563-45e7-9724-889e799fa648
執行容器映像應該解決發現的弱點 (由 Qualys 提供) Azure 執行中的容器映像應已解決弱點 - (由 Qualys 提供) 容器映像弱點評定會掃描 Kubernetes 叢集上執行的容器映像,了解是否有任何安全性弱點,並公開每個映像的詳細發現。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 41503391-efa5-47ee-9282-4eff6131462c

容器弱點評量建議名稱變更

已重新命名下列容器弱點評量建議:

目前的建議名稱 新的建議名稱 描述 評量金鑰
容器登錄映像應該解決發現的弱點 (由 Qualys 提供) Azure 登錄容器映像應已解決弱點 (由 Qualys 提供) 容器映像弱點評定會掃描您的登錄,以判斷是否有安全性弱點,並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 dbd0cb49-b563-45e7-9724-889e799fa648
執行容器映像應該解決發現的弱點 (由 Qualys 提供) Azure 執行中的容器映像應已解決弱點 - (由 Qualys 提供) 容器映像弱點評定會掃描 Kubernetes 叢集上執行的容器映像,了解是否有任何安全性弱點,並公開每個映像的詳細發現。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 41503391-efa5-47ee-9282-4eff6131462c
彈性容器登錄映像應已解決發現的弱點 AWS 登錄容器映像應已解決弱點 (由 Trivy 提供) 容器映像弱點評定會掃描您的登錄,以判斷是否有安全性弱點,並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 03587042-5d4b-44ff-af42-ae99e3c71c87

風險優先順序現在可供建議使用

2023 年 11 月 15 日

您現在可以根據建議所構成的風險層級來排定安全性建議的優先順序,同時考量每個基礎安全性問題的惡意探索性和潛在商業效果。

若您根據建議的風險層級 (重大、高、中、低) 來組織您的建議,就能夠解決環境中最重大的風險,並根據網際網路暴露、資料敏感度、橫向移動可能性,以及可透過解決建議來緩和的潛在攻擊路徑,有效率地排定安全性問題的補救優先順序。

深入了解風險優先順序

攻擊路徑分析新的引擎和廣泛的增強功能

2023 年 11 月 15 日

我們會在適用於雲端的 Defender 中發行攻擊路徑分析功能的增強功能。

  • 新引擎 - 攻擊路徑分析有新的引擎,其會使用尋找路徑演算法來偵測雲端環境中存在的每個可能攻擊路徑 (根據我們在圖表中的資料)。 我們可以在您的環境中找到更多攻擊路徑,並偵測攻擊者可用來入侵貴組織更複雜且更精密的攻擊模式。

  • 改善 - 已發行下列改善:

    • 風險優先順序 - 根據風險 (可利用性與業務影響) 設定攻擊路徑的優先順序清單。
    • 增強補救 - 找出應解決以實際中斷鏈結的特定建議。
    • 跨雲端攻擊路徑 – 偵測跨雲端的攻擊路徑 (從一個雲端開始並結束於另一個雲端的路徑)。
    • MITRE – 將所有攻擊路徑對應至 MITRE 架構。
    • 重新整理的使用者體驗 – 重新整理過而具有更強大功能的體驗:進階篩選、搜尋和群組攻擊路徑,以方便分級。

了解如何識別及補救攻擊路徑

攻擊路徑的 Azure Resource Graph 資料表配置變更

2023 年 11 月 15 日

攻擊路徑的 Azure Resource Graph 數據表配置已更新。 已移除 attackPathType 屬性,並新增其他屬性。

Defender CSPM 中 GCP 支援的正式發行版本

2023 年 11 月 15 日

我們宣佈 GA (正式發行) Defender CSPM 内容式雲端安全性圖表和攻擊路徑分析,並具有適用於 GCP 資源的支援。 您可以套用 Defender CSPM 的強大功能,以取得 GCP 資源的完整可見度和智慧型雲端安全性。

GCP 支援的主要功能包括:

  • 攻擊路徑分析 - 了解攻擊者可能採取的潛在路由。
  • 雲端安全性總管 - 透過在安全性圖表上執行圖表式查詢,主動識別安全性風險。
  • 無代理程式掃描 - 掃描伺服器並識別秘密和弱點,而不需要安裝代理程式。
  • 資料感知安全性態勢 - 探索並補救 Google Cloud Storage 貯體中敏感資料的風險。

深入了解 Defender CSPM 方案選項

注意

Defender CSPM 中 GCP 支援正式發行的計費將於 2024 年 2 月 1 日開始。

資料安全性儀表板的正式發行版本

2023 年 11 月 15 日

資料安全性儀表板現已正式發行 (GA),做為 Defender CSPM 方案的一部分。

資料安全性儀表板可讓您檢視貴組織的資料資產、敏感資料的風險,以及資料資源的深入解析。

深入了解資料安全性儀表板

資料庫的敏感資料探索正式發行版本

2023 年 11 月 15 日

受控資料庫的敏感資料探索,包括 Azure SQL 資料庫和 AWS RDS 執行個體 (所有 RDBMS 變體) 現已正式發行,並允許自動探索包含敏感資料的重要資料庫。

若您要在環境中跨所有支援的資料存放區啟用此功能,則必須在 Defender CSPM 中啟用 Sensitive data discovery。 了解如何在 Defender CSPM 中啟用敏感資料探索

您也可以了解敏感資料探索在資料感知安全性態勢中的使用方式

公開預覽公告:適用於雲端的 Microsoft Defender 中新增多雲端資料安全性可見度

尋找遺漏系統更新的新版本建議現已正式發行

2023 年 11 月 6 日

Azure VM 和 Azure Arc 機器上不再需要額外的代理程式,以確保機器具有所有最新的安全性或重大系統更新。

新的系統更新建議 (System updates should be installed on your machines (powered by Azure Update Manager) Apply system updates 控制項) 是以更新管理員為基礎,現在已完全正式發行。 這個建議仰賴內嵌在每個 Azure VM 和 Azure Arc 機器中的原生代理程式,而不是已安裝的代理程式。 新建議中的快速修正會將您導覽至 [更新管理員] 入口網站中的一次性安裝遺失更新。

在 2024 年 8 月 (也就是舊版淘汰的時間) 之前,尋找遺漏系統更新的舊版本和新版本建議都可供使用。 這兩個建議:System updates should be installed on your machines (powered by Azure Update Manager)System updates should be installed on your machines 都位於相同的控制項下:Apply system updates,且具有相同的結果。 因此,安全分數的影響並不會重複。

建議您從適用於雲端的 Defender 在 Azure 原則內建方案中將其停用,以移轉至新的建議並移除舊的建議。

建議 [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) 也已正式發行,且為必要條件,這會對您的安全分數產生負面影響。 您可以使用可用的修正來補救負面影響。

若要套用新的建議,您需要:

  1. 將您的非 Azure 機器連線到 Arc。
  2. 開啟定期評量屬性。 您可以在新的建議 ([Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)) 中使用 [快速修正],以修正建議。

注意

針對已啟用 Arc 的機器 (其相關的 [訂用帳戶] 或 [連接器] 上並未啟用適用於伺服器的 Defender 方案 2) 啟用定期評量,需遵守 Azure 更新管理員定價。 已啟用 Arc 的機器 (其相關的 [訂用帳戶] 或 [連接器] 上或任何 Azure VM 已啟用適用於伺服器的 Defender 方案 2) 符合資格使用此功能而無須額外費用。

2023 年 10 月

Date 更新
10 月 30 日 變更自適性應用程控的安全性警示嚴重性
10 月 25 日 已從適用於 API 的 Defender 中移除離線 Azure API 管理修訂
10 月 19 日 公開預覽版中提供的 DevOps 安全性態勢管理建議
10 月 18 日 在法規合規性儀表板中發行 CIS Azure Foundations 基準 v2.0.0

變更自適性應用程式控制項安全性警示的嚴重性

公告日期:2023 年 10 月 30 日

作為適用於伺服器的 Defender 安全性警示品質改進程式的一部分,以及作為調適型應用程控功能的一部分,下列安全性警示的嚴重性會變更為「資訊」:

警示 [警示類型] 警示描述
已稽核自適性應用程式控制原則違規。[VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] 下列使用者在此機器上執行了違反貴組織應用程式控制原則的應用程式。 其可能會向惡意程式碼或應用程式弱點公開機器。

若要在 適用於雲端的 Microsoft Defender 入口網站的 [安全性警示] 頁面中繼續檢視此警示,請變更默認檢視篩選 [嚴重性],以在方格中包含資訊警示

此螢幕快照顯示要新增警示資訊嚴重性的位置。

已從適用於 API 的 Defender 中移除離線 Azure API 管理修訂

2023 年 10 月 25 日

適用於 API 的 Defender 已更新其 Azure API 管理 API 修訂的支援。 離線修訂不再顯示於已上線的適用於 API 的 Defender 詳細目錄中,且不再顯示為已上線至適用於 API 的 Defender。 離線修訂不允許對其傳送任何流量,且從安全性觀點來看,並不會造成任何風險。

公開預覽版中提供的 DevOps 安全性態勢管理建議

2023 年 10 月 19 日

新的 DevOps 態勢管理建議現在可供所有具有 Azure DevOps 或 GitHub 連接器的客戶公開預覽。 DevOps 態勢管理會找出安全性設定和存取控制的弱點,藉此協助減少 DevOps 環境的受攻擊面。 深入了解 DevOps 態勢管理

在法規合規性儀表板中發行 CIS Azure Foundations 基準 v2.0.0

2023 年 10 月 18 日

適用於雲端的 Microsoft Defender 現在支援法規合規性儀表板中最新的 CIS Azure Security Foundations 基準 - 2.0.0 版,以及 Azure 原則中的內建原則方案。 適用於雲端的 Microsoft Defender 2.0.0 版是 Microsoft、Center for Internet Security (CIS) 與使用者社群之間共同合作的努力。 2.0.0 版大幅擴充了評量範圍,現在包含 90 個以上的內建 Azure 原則,並在適用於雲端的 Microsoft Defender 和 Azure 原則中成功執行舊版 1.4.0 和 1.3.0 及 1.0。 如需詳細資訊,請參閱此部落格文章

2023 年 9 月

Date 更新
9 月 30 日 針對 Log Analytics 每日上限的變更
9 月 27 日 公開預覽中可用的資料安全性儀表板
9 月 21 日 預覽版本:計算機上 SQL Server 的新自動布建程式
9 月 20 日 適用於雲端的 Defender 中適用於 Azure DevOps 的 GitHub Advanced Security
9 月 11 日 適用於 API 建議的 Defender 現已提供豁免功能
9 月 11 日 建立適用於 API 的 Defender 偵測範例警示
9 月 6 日 預覽版本:由 Microsoft Defender 弱點管理所提供的容器弱點評量現在支援在提取時進行掃描
9 月 6 日 更新了法規合規性中 Center for Internet Security (CIS) 標準的命名格式
9 月 5 日 PaaS 資料庫的敏感資料探索 (預覽)
9 月 1 日 正式發行 (GA):適用於儲存體的 Defender 中的惡意程式碼掃描

針對 Log Analytics 每日上限的變更

Azure 監視器針對在您 Log Analytics 工作區上擷取的資料設定每日上限 (部分機器翻譯) 的能力。 不過,那些排除項目目前並不支援適用於雲端的 Defender 安全性事件。

Log Analytics 每日上限不再排除下列一組數據類型:

  • WindowsEvent
  • SecurityAlert
  • SecurityBaseline
  • SecurityBaselineSummary
  • SecurityDetection
  • SecurityEvent
  • WindowsFirewall
  • MaliciousIPCommunication
  • LinuxAuditLog
  • SysmonEvent
  • ProtectionStatus
  • 更新
  • UpdateSummary
  • CommonSecurityLog
  • Syslog

如果符合每日上限,所有可計費數據類型都會被限制。 此變更能改善您控制高於預期的資料擷取所帶來之成本的能力。

深入了解使用適用於雲端的 Microsoft Defender 的工作區 (部分機器翻譯)。

公開預覽中可用的資料安全性儀表板

2023 年 9 月 27 日

資料安全性儀表板現可在公開預覽中取得,做為 Defender CSPM 方案的一部分。 資料安全性儀表板是互動式並且以資料為中心的儀表板,可說明敏感資料的重大風險,並針對混合式雲端工作負載之間的資料排定警示的優先順序和潛在攻擊路徑。 深入了解資料安全性儀表板

預覽版本:機器計劃上 SQL Server 的新自動佈建流程

2023 年 9 月 21 日

Microsoft Monitoring Agent (MMA) 即將在 2024 年 8 月淘汰。 適用於雲端的 Defender 已將 MMA 取代為以 SQL Server 為目標的 Azure Monitoring Agent 自動佈建流程的版本,以更新其策略

在預覽期間,使用 MMA 自動佈建流程搭配 Azure 監視器代理程式 (預覽) 選項的客戶,必須遷移至新的在機器上適用於 SQL 伺服器的 Azure Monitoring Agent (預覽) 自動佈建程序。 移轉流程不會產生中斷,可為所有機器提供持續保護。

如需詳細資訊,請參閱移轉至以 SQL 伺服器為目標的 Azure Monitoring Agent 的自動佈建程序

適用於雲端的 Defender 中適用於 Azure DevOps 的 GitHub Advanced Security

2023 年 9 月 20 日

您現在可以在適用於雲端的 Defender 中檢視與 CodeQL、秘密和相依性的適用於 Azure DevOps 的 GitHub Advanced Security (GHAzDO) 警示。 結果會顯示在 DevOps 頁面和建議中。 若要查看這些結果,請將已啟用 GHAzDO 的存放庫上線至適用於雲端的 Defender。

深入了解適用於 Azure DevOps 的 GitHub Advanced Security

適用於 API 建議的 Defender 現已提供豁免功能

2023 年 9 月 11 日

您現在可以豁免下列適用於 API 的 Defender 安全性建議的建議。

建議 描述與相關原則 嚴重性
(預覽) 應停用或從 Azure APIM 服務中移除未使用的 API 端點 安全性最佳做法是,將已有 30 天未收到流量的 API 端點視為未使用,並應將其從 Azure APIM 服務中移除。 保留未使用的 API 端點可能會造成安全性風險。 這些可能是應該已從 Azure API 管理服務中淘汰,卻可能不小心還保持作用中狀態的 API。 這類 API 通常不會收到最新的安全性涵蓋範圍。
(預覽) Azure APIM 中的 API 端點應經過驗證 在 Azure APIM 內發佈的 API 端點應強制執行驗證,以協助將安全性風險降到最低。 驗證機制的實作有時會不正確或遺失。 這會讓攻擊者能夠利用實作缺陷以及存取資料。 針對在 Azure API 管理中發佈的 API,此建議會透過 Azure API 管理內設定的訂用帳戶金鑰、JWT 和用戶端憑證來評量驗證的執行。 如果在 API 呼叫期間未執行這些驗證機制,則 API 將會收到此建議。

深入了解在適用於雲端的 Defender 中豁免建議

建立適用於 API 的 Defender 偵測範例警示

2023 年 9 月 11 日

您現在可以針對在適用於 API 的 Defender 公開預覽中發行的安全性偵測產生範例警示。 深入了解如何在適用於雲端的 Defender 中產生範例警示

預覽版本:由 Microsoft Defender 弱點管理所提供的容器弱點評量現在支援在提取時進行掃描

2023 年 9 月 6 日

由 Microsoft Defender 弱點管理 提供的容器弱點評估,現在支持額外的觸發程式來掃描從 ACR 提取的影像。 這個新增的觸發程序除了現有觸發程序會掃描過去 90 天內推送至 ACR 的映像,以及目前在 AKS 中執行的映像之外,還提供作用中映像的額外涵蓋範圍。

新的觸發程序將於今天開始推出,並且預計將於 9 月底提供給所有客戶使用。

深入了解

更新了法規合規性中 Center for Internet Security (CIS) 標準的命名格式

2023 年 9 月 6 日

合規性儀表板中 CIS (Center for Internet Security) Foundations 基準的命名格式會從 [Cloud] CIS [version number] 變更為 CIS [Cloud] Foundations v[version number]。 如需詳細資訊,請參閱下表:

目前名稱 新名稱
Azure CIS 1.1.0 CIS Azure Foundations v1.1.0
Azure CIS 1.3.0 CIS Azure Foundations v1.3.0
Azure CIS 1.4.0 CIS Azure Foundations v1.4.0
AWS CIS 1.2.0 CIS AWS Foundations v1.2.0
AWS CIS 1.5.0 CIS AWS Foundations v1.5.0
GCP CIS 1.1.0 CIS GCP Foundations v1.1.0
GCP CIS 1.2.0 CIS GCP Foundations v1.2.0

了解如何改善您的法規合規性

PaaS 資料庫的敏感資料探索 (預覽)

2023 年 9 月 5 日

適用於 PaaS 資料庫 (任何類型的 Azure SQL Database 和 Amazon RDS 執行個體) 無摩擦敏感資料探索的資料感知安全性態勢功能現在處於公開預覽。 此公開預覽讓您不論重要資料的位置都能建立資料地圖,以及這些資料庫中找到的資料類型。

Azure 和 AWS 資料庫的敏感資料探索會新增至共用分類法和設定,此分類法和設定已公開可供雲端物件儲存體資源 (Azure Blob 記憶體、AWS S3 貯體和 GCP 儲存體貯體) 使用,並提供單一設定和啟用體驗。

資料庫每週會掃描一次。 如果您啟用 sensitive data discovery,則探索會在 24 小時內執行。 您可以在雲端安全性總管中檢視結果,或檢閱具有敏感資料的受控資料庫新攻擊路徑

資料庫的資料感知安全性態勢可透過 Defender CSPM 方案取得,並在啟用 sensitive data discovery 選項的訂用帳戶上自動啟用。

您可以在下列文章中深入了解資料感知安全性態勢:

正式發行 (GA):適用於儲存體的 Defender 中的惡意程式碼掃描

2023 年 9 月 1 日

惡意程式碼掃描現已正式發行 (GA),做為適用於儲存體的 Defender 附加元件。 適用於儲存體的 Defender 中的惡意程式碼掃描可透過使用 Microsoft Defender 防毒軟體功能,針對上傳的內容執行幾乎即時的完整惡意程式碼掃描,以協助保護儲存體帳戶免於惡意內容。 其設計目的是為了協助滿足處理不受信任內容的安全性與合規性需求。 惡意程式碼掃描功能是無代理程式 SaaS 解決方案,可大規模進行設定,並支援大規模自動回應。

深入了解適用於儲存體的 Defender 中的惡意程式碼掃描

惡意程式碼掃描會根據您的資料使用量和預算來定價。 帳單從 2023 年 9 月 3 日開始。 如需詳細資訊,請前往定價頁面。

如果您使用上一個方案,您必須主動 移轉至新方案 ,才能啟用惡意代碼掃描。

閱讀適用於雲端的 Microsoft Defender 公告部落格文章

2023 年 8 月

8 月的更新包括:

Date 更新
8 月 30 日 適用於容器的 Defender:適用於 Kubernetes 的無代理程式探索
8 月 22 日 建議版本:應使用惡意程式碼掃描和敏感資料威脅偵測來啟用適用於儲存體的 Microsoft Defender
8 月 17 日 適用於雲端的 Defender 安全性警示中的擴充屬性會從活動記錄中遮罩
8 月 15 日 Defender CSPM 中 GCP 支援的預覽版本
8 月 7 日 適用於伺服器的 Defender 方案 2 中新的安全性警示:偵測潛在攻擊濫用 Azure 虛擬機器擴充功能
8 月 1 日 適用於雲端的 Defender 方案的商務模型和定價更新

適用於容器的 Defender:適用於 Kubernetes 的無代理程式探索

2023 年 8 月 30 日

我們很高興推出適用於容器的 Defender:適用於 Kubernetes 的無代理程式探索。 此版本代表容器安全性向前邁出了重要的一步,讓您具備 Kubernetes 環境的進階深入解析和完整的詳細目錄功能。 新的容器供應項目是由適用於雲端的 Defender 內容安全性圖表所提供。 以下是您預期在最新更新中看到的內容:

  • 無代理程式 Kubernetes 探索
  • 完整的詳細目錄功能
  • Kubernetes 特定的安全性深入解析
  • 使用雲端安全性總管增強的風險搜捕

Kubernetes 的無代理程式探索現在可供所有適用於容器的 Defender 客戶使用。 您可以立即開始使用這些進階功能。 我們鼓勵您更新您的訂用帳戶,以啟用完整的擴充功能集,並受益於最新的新增項目和功能。 請瀏覽適用於容器的 Defender 訂用帳戶的 [環境和設定] 窗格,以啟用擴充功能。

注意

啟用最新的新增項目不會對作用中適用於容器的 Defender 客戶產生新的成本。

如需詳細資訊,請參閱適用於容器的 Microsoft Defender 中的容器安全性概觀

建議版本:應使用惡意程式碼掃描和敏感資料威脅偵測來啟用適用於儲存體的 Microsoft Defender

2023 年 8 月 22 日

已發行適用於儲存體的 Defender 中的新建議。 此建議可確保使用惡意程式碼掃描和敏感資料威脅偵測功能,在訂用帳戶層級啟用適用於儲存體的 Defender。

建議 描述
應使用惡意程式碼掃描和敏感資料威脅偵測來啟用適用於儲存體的 Microsoft Defender 適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。 這有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。 新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。 此方案也提供可預測的定價結構 (每一儲存體帳戶),以控制涵蓋範圍和成本。 透過大規模的簡單無代理程式設定,在訂用帳戶層級啟用時,該訂用帳戶下的所有現有和新建的儲存體帳戶都會自動受到保護。 您也可以從受保護的訂用帳戶中排除特定的儲存體帳戶。

這項新建議取代了目前的建議 Microsoft Defender for Storage should be enabled (評量金鑰 1be22853-8ed1-4005-9907-ddad64cb1417)。 不過,這項建議仍可在 Azure Government 雲端中使用。

深入了解適用於儲存體的 Microsoft Defender

適用於雲端的 Defender 安全性警示中的擴充屬性會從活動記錄中遮罩

2023 年 8 月 17 日

我們最近變更了安全性警示與活動記錄的整合方式。 為了更妥善保護敏感性客戶資訊,我們不再將這項資訊包含在活動記錄中。 相反地,我們會使用星號將其遮罩。 不過,您仍可透過警示 API、持續匯出和適用於雲端的 Defender 入口網站來取得這項資訊。

依賴活動記錄將警示匯出至 SIEM 解決方案的客戶應考慮使用不同的解決方案,因為這並非匯出適用於雲端的 Defender 安全性警示的建議方法。

如需如何將 適用於雲端的 Defender 安全性警示導出至 SIEM、SOAR 和其他第三方應用程式的指示,請參閱將警示串流至 SIEM、SOAR 或 IT 服務管理解決方案

Defender CSPM 中 GCP 支援的預覽版本

2023 年 8 月 15 日

我們宣佈預覽版 Defender CSPM 内容式雲端安全性圖表和攻擊路徑分析,並具有適用於 GCP 資源的支援。 您可以套用 Defender CSPM 的強大功能,以取得 GCP 資源的完整可見度和智慧型雲端安全性。

GCP 支援的主要功能包括:

  • 攻擊路徑分析 - 了解攻擊者可能採取的潛在路由。
  • 雲端安全性總管 - 透過在安全性圖表上執行圖表式查詢,主動識別安全性風險。
  • 無代理程式掃描 - 掃描伺服器並識別秘密和弱點,而不需要安裝代理程式。
  • 資料感知安全性態勢 - 探索並補救 Google Cloud Storage 貯體中敏感資料的風險。

深入了解 Defender CSPM 方案選項

適用於伺服器的 Defender 方案 2 中新的安全性警示:偵測潛在攻擊濫用 Azure 虛擬機器擴充功能

2023 年 8 月 7 日

這一系列新警示著重於偵測 Azure 虛擬機器擴充功能的可疑活動,並提供深入解析,說明攻擊者嘗試入侵及在您的虛擬機器上執行的惡意活動。

適用於伺服器的 Microsoft Defender 現在可以偵測虛擬機器擴充功能的可疑活動,讓您更了解工作負載安全性。

Azure 虛擬機器擴充功能是小型應用程式,可在虛擬機器上執行後置部署,並提供設定、自動化、監視、安全性等功能。 雖然擴充功能是功能強大的工具,但可能被威脅執行者用來進行各種惡意意圖,例如:

  • 用於數據收集和監視。
  • 針對具有高許可權的程式代碼執行和組態部署。
  • 若要重設認證並建立系統管理使用者。
  • 用於加密磁碟。

以下是新警示的資料表。

警示 (警示類型) 描述 MITRE 策略 嚴重性
在訂用帳戶中安裝 GPU 擴充功能時發生可疑的失敗 (預覽)
(VM_GPUExtensionSuspiciousFailure)
在不支援的 VM 上安裝 GPU 擴充功能的可疑意圖。 此擴充功能應該安裝在配備圖形處理器的虛擬機器上,在此情況下,虛擬機器並未配備這類功能。 當惡意敵人針對密碼編譯採礦目的執行多次安裝這類擴充功能時,就可以看到這些失敗。 影響
在虛擬機器上偵測到 GPU 擴充功能的可疑安裝 (預覽)
(VM_GPUDriverExtensionUnusualExecution)
此警示於 2023 年 7 月發行
藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機器上偵測到安裝 GPU 擴充功能的可疑安裝。 攻擊者可能會使用 GPU 驅動程式擴充功能,透過 Azure Resource Manager 在您的虛擬機器上安裝 GPU 驅動程式,以執行密碼編譯。 當主體的行為偏離其一般模式時,此活動會被視為可疑。 影響
在虛擬機器上偵測到具有可疑指令碼的執行指令 (預覽)
(VM_RunCommandSuspiciousScript)
藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機器上偵測到具有可疑指令碼的執行命令。 攻擊者可能會使用執行命令,透過 Azure Resource Manager 在虛擬機器上以高權限執行惡意程式碼。 因為某些部分已識別為潛在的惡意,所以指令碼被視為可疑。 執行
在虛擬機器上偵測到可疑的未經授權執行命令使用量 (預覽)
(VM_RunCommandSuspiciousFailure)
可疑的執行命令未經授權使用量發生失敗,並藉由分析訂用帳戶中的 Azure Resource Manager 作業在您的虛擬機器上偵測到未經授權的使用量。 攻擊者可能會嘗試使用執行命令,透過 Azure Resource Manager 在虛擬機器上以高權限執行惡意程式碼。 此活動被視為可疑,因為其以前並未經常看到。 執行
在虛擬機器上偵測到可疑的執行命令使用量 (預覽)
(VM_RunCommandSuspiciousUsage)
藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機器上偵測到執行命令的可疑使用量。 攻擊者可能會使用執行命令,透過 Azure Resource Manager 在虛擬機器上以高權限執行惡意程式碼。 此活動被視為可疑,因為其以前並未經常看到。 執行
在虛擬機器上偵測到多個監視或資料收集擴充功能的可疑使用量 (預覽)
(VM_SuspiciousMultiExtensionUsage)
藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機器上偵測到多個監視或資料收集擴充功能的可疑使用量。 攻擊者可能會在您的訂用帳戶中濫用這類資料收集、網路流量監視等擴充功能。 此使用量被視為可疑,因為其以前並未經常看到。 探查
在虛擬機器上偵測到磁碟加密擴充功能的可疑安裝 (預覽)
(VM_DiskEncryptionSuspiciousUsage)
藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機器上偵測到安裝磁碟加密擴充功能的可疑安裝。 攻擊者可能會濫用磁碟加密擴充功能,透過 Azure Resource Manager 在您的虛擬機器上部署完整磁碟加密,以嘗試執行勒索軟體活動。 因為過去並不常見到此活動,且由於大量安裝擴充功能,所以此活動被認為很可疑。 影響
在虛擬機器上偵測到 VM 存取擴充功能的可疑使用量 (預覽)
(VM_VMAccessSuspiciousUsage)
在虛擬機器上偵測到 VM 存取擴充功能的可疑使用量。 攻擊者可能會濫用 VM 存取擴充功能,藉由重設存取權或管理系統管理使用者,以高權限存取並危害虛擬機器。 因為主體的行為偏離其一般模式,且由於大量安裝擴充功能,所以此活動被視為可疑。 持續性
在虛擬機器上偵測到具有可疑指令碼的 Desired State Configuration (DSC) 擴充功能 (預覽)
(VM_DSCExtensionSuspiciousScript)
藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機器上偵測到具有可疑指令碼的預期狀態設定 (DSC) 擴充功能。 攻擊者可能會使用 Desired State Configuration (DSC) 擴充功能,在虛擬機器上部署惡意設定,例如持續性機制、惡意指令碼等等。 因為某些部分已識別為潛在的惡意,所以指令碼被視為可疑。 執行
在虛擬機器上偵測到 Desired State Configuration (DSC) 擴充功能的可疑使用量 (預覽)
(VM_DSCExtensionSuspiciousUsage)
藉由分析訂用帳戶中的 Azure Resource Manager 作業,在您的虛擬機器上偵測到 Desired State Configuration (DSC) 擴充功能的可疑使用量。 攻擊者可能會使用 Desired State Configuration (DSC) 擴充功能,在虛擬機器上部署惡意設定,例如持續性機制、惡意指令碼等等。 因為主體的行為偏離其一般模式,且由於大量安裝擴充功能,所以此活動被視為可疑。 影響
在虛擬機器上偵測到具有可疑指令碼的自訂指令碼延伸模組 (預覽)
(VM_CustomScriptExtensionSuspiciousCmd)
(此警示已經存在,並已透過更增強的邏輯和偵測方法進行改善。)
藉由分析訂用帳戶中的 Azure Resource Manager 作業,在虛擬機器中偵測到具有可疑指令碼的自訂指令碼擴充功能。 攻擊者可能會使用自訂指令碼延伸模組,透過 Azure Resource Manager 在虛擬機器上以高權限執行惡意程式碼。 因為某些部分已識別為潛在的惡意,所以指令碼被視為可疑。 執行

請參閱適用於伺服器的 Defender 中的擴充功能型警示

如需警示的完整清單,請參閱適用於雲端的 Microsoft Defender 中所有安全性警示的參考資料表

適用於雲端的 Defender 方案的商務模型和定價更新

2023 年 8 月 1 日

適用於雲端的 Microsoft Defender 有三個方案可提供服務層保護:

  • 適用於 Key Vault 的 Defender

  • 適用於 Resource Manager 的 Defender

  • 適用於 DNS 的 Defender

這些方案已轉換為具有不同定價和封裝的新商務模型,可解決有關支出可預測性及簡化整體成本結構的客戶意見反應。

商務模型和定價變更摘要

適用於 Key-Vault 的 Defender、適用於 Resource Manager 的 Defender 和適用於 DNS 的 Defender 現有客戶會保留其目前的商務模式和定價,除非這些客戶主動選擇切換至新的商務模式和價格。

  • 適用於 Resource Manager 的 Defender:此方案每月每個訂用帳戶都有固定價格。 客戶對於每個訂用帳戶模型皆可選取新的適用於 Resource Manager 的 Defender,以切換至新的商務模型。

適用於 Key-Vault 的 Defender、適用於 Resource Manager 的 Defender 和適用於 DNS 的 Defender 現有客戶會保留其目前的商務模式和定價,除非這些客戶主動選擇切換至新的商務模式和價格。

  • 適用於 Resource Manager 的 Defender:此方案每月每個訂用帳戶都有固定價格。 客戶對於每個訂用帳戶模型皆可選取新的適用於 Resource Manager 的 Defender,以切換至新的商務模型。
  • 適用於 Key Vault 的 Defender:此方案對每月每個保存庫皆有固定價格,且不收取超額費用。 客戶對於 Vault 模型皆可選取新的適用於 Key Vault 的 Defender,以切換至新的商務模型
  • 適用於 DNS 的 Defender:適用於伺服器的 Defender 方案 2 客戶可存取適用於 DNS 的 Defender 值,做為適用於伺服器的 Defender 方案 2 的一部分,且不需額外費用。 擁有適用於伺服器的 Defender 方案 2 和適用於 DNS 的 Defender 客戶將不再針對適用於 DNS 的 Defender 收費。 適用於 DNS 的 Defender 已不再做為獨立方案使用。

若要深入了解這些方案的價格,請參閱適用於雲端的 Defender 價格頁面

2023 年 7 月

7 月的更新包括:

Date 更新
7 月 31 日 適用於容器的Defender和適用於容器登錄的Defender中的 Microsoft Defender 弱點管理所提供之容器弱點評估的預覽版本
7 月 30 日 Defender CSPM 中的無代理程式容器狀態現已正式推出
7 月 20 日 管理適用於Linux的Defender的自動更新
7 月 18 日 適用於伺服器之 Defender P2 和 Defender CSPM 中虛擬機器的無代理程式秘密掃描
7 月 12 日 適用於伺服器的 Defender 中新的安全性警示計劃 2:使用 Azure VM GPU 驅動程式擴充功能偵測潛在攻擊
7 月 9 日 支援停用特定弱點結果
7 月 1 日 數據感知安全性狀態現已正式推出

使用 Microsoft Defender 弱點管理 預覽版容器弱點評估

2023 年 7 月 31 日

我們宣佈發行適用於容器的Defender和適用於容器登錄的Defender中由 Microsoft Defender 弱點管理 適用於容器的Defender和適用於容器登錄的Defender所提供之 Azure 容器登錄中 Linux 容器映像的弱點評量 (VA)。 新的容器 VA 供應專案將連同我們現有的容器 VA 供應專案,由適用於容器的 Defender 和適用於容器登錄的 Defender 所提供的 Qualys 提供,並包含容器映射的每日重新掃描、惡意探索資訊、OS 和程式設計語言的支援 (SCA) 等。

這項新供應專案將於今天推出,預計在8月7日前可供所有客戶使用。

深入瞭解使用 Microsoft Defender 弱點管理 進行容器弱點評估。

Defender CSPM 中的無代理程式容器狀態現已正式推出

2023年7月30日

無代理程式容器狀態功能現已正式推出(GA),作為 Defender CSPM(雲端安全性狀態管理)計劃的一部分。

深入瞭解 Defender CSPM中的無代理程式容器狀態。

管理適用於Linux的Defender的自動更新

2023 年 7 月 20 日

根據預設,適用於雲端的 Defender 嘗試更新以擴充功能上線MDE.Linux的適用於Linux的Defender代理程式。 使用此版本,您可以管理此設定,並退出宣告預設組態,以手動管理您的更新週期。

適用於伺服器之 Defender P2 和 Defender CSPM 中虛擬機器的無代理程式秘密掃描

2023 年 7 月 18 日

密碼掃描現在可在適用於伺服器的 Defender P2 和 Defender CSPM 中,作為無代理程序掃描的一部分。 這項功能可協助偵測儲存在 Azure 或 AWS 資源中虛擬機上的 Unmanaged 和不安全的秘密,這些密碼可用來在網路中橫向移動。 如果偵測到秘密,適用於雲端的 Defender 有助於排定優先順序並採取可採取動作的補救步驟,以將橫向移動的風險降到最低,而不會影響計算機的效能。

如需如何使用秘密掃描來保護秘密的詳細資訊,請參閱 使用無代理程式秘密掃描來管理秘密。

適用於伺服器的 Defender 中新的安全性警示計劃 2:利用 Azure VM GPU 驅動程式擴充功能偵測潛在的攻擊

2023 年 7 月 12 日

此警示著重於識別利用 Azure 虛擬機 GPU 驅動程式擴充 功能進行的可疑活動,並提供攻擊者嘗試入侵虛擬機的見解。 警示以 GPU 驅動程式延伸模組的可疑部署為目標;這類擴充功能通常會受到威脅執行者濫用,以利用 GPU 記憶卡的完整功能並執行密碼編譯。

警示顯示名稱
(警示類型)
描述 嚴重性 MITRE 策略
在虛擬機器中可疑安裝 GPU 擴充功能 (預覽版)
(VM_GPUDriverExtensionUnusualExecution)
藉由分析訂用帳戶中的 Azure Resource Manager 作業,偵測到虛擬機中可疑的 GPU 擴充功能安裝。 攻擊者可能會使用 GPU 驅動程式擴充功能,透過 Azure Resource Manager 在您的虛擬機器上安裝 GPU 驅動程式,以執行密碼編譯。 影響

如需警示的完整清單,請參閱適用於雲端的 Microsoft Defender 中所有安全性警示的參考資料表

支援停用特定弱點結果

2023年7月9日

針對您的容器登錄映像停用弱點結果或執行映像作為無代理程式容器狀態一部分的支援版本。 如果您有組織需要忽略容器登錄映像上的弱點尋找,而不是加以補救,您可以選擇性地將其停用。 停用的結果不會影響您的安全分數或產生不想要的雜訊。

瞭解如何 停用容器登錄映像上的弱點評估結果。

數據感知安全性狀態現已正式推出

2023 年 7 月 1 日

適用於雲端的 Microsoft Defender 中的數據感知安全性狀態現已正式推出。 它可協助客戶降低數據風險,並響應數據外洩。 使用資料感知安全性態勢,您可以:

  • 自動探索 Azure 和 AWS 之間的敏感數據資源。
  • 評估資料敏感度、資料暴露,以及資料在組織中的流動方式。
  • 主動且持續地發現可能導致資料外洩的風險。
  • 偵測可能表示敏感數據資源持續威脅的可疑活動

如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender 中的數據感知安全性狀態。

2023 年 6 月

6 月的更新包括:

Date 更新
6月26日 使用增強的設定簡化多雲端帳戶上線
6月25日 適用於記憶體的 Defender 中惡意代碼掃描的私人端點支援
6月15日 控制更新已針對 NIST 800-53 標準進行法規合規性
6月11日 使用 Azure Migrate 商務案例規劃雲端移轉現在包含 適用於雲端的 Defender
6 月 7 日 適用於 SQL 的 Defender 中弱點評估的快速設定現已正式推出
6 月 6 日 已新增至現有 Azure DevOps 連接器的更多範圍
6 月 4 日 將代理程式型探索取代為 Defender CSPM 中容器功能的無代理程式探索

使用增強的設定簡化多雲端帳戶上線

2023 年 6 月 26 日

適用於雲端的 Defender 已改善上線體驗,除了提供進階上線功能的存取權之外,還包含新的簡化使用者介面和指示,讓您能夠將AWS和 GCP 環境上線。

對於採用Hashicorp Terraform進行自動化的組織,適用於雲端的 Defender 現在包含能夠搭配 AWS CloudFormation 或 GCP Cloud Shell 使用 Terraform 作為部署方法。 您現在可以在建立整合時自定義必要的角色名稱。 您也可以在兩者之間選取:

  • 預設存取 - 允許 適用於雲端的 Defender 掃描您的資源,並自動包含未來的功能。

  • 最低特殊許可權存取權 -授與 適用於雲端的 Defender 只存取所選方案所需的目前許可權。

如果您選取最低許可權,則只會在連接器健康情況取得完整功能所需的任何新角色和許可權上收到通知。

適用於雲端的 Defender 可讓您根據雲端廠商的原生名稱來區分雲端帳戶。 例如,AWS 帳戶別名和 GCP 項目名稱。

適用於記憶體的 Defender 中惡意代碼掃描的私人端點支援

2023年6月25日

私人端點支持現在可在適用於記憶體的 Defender 中作為惡意代碼掃描公開預覽的一部分使用。 此功能允許在使用私人端點的記憶體帳戶上啟用惡意代碼掃描。 不需要其他設定。

適用於記憶體的 Defender 中的惡意代碼掃描(預覽版),使用 Microsoft Defender 防毒軟體 功能,在上傳的內容上執行完整惡意代碼掃描,以協助保護您的記憶體帳戶免於惡意內容。 其設計目的是為了協助滿足處理不受信任內容的安全性與合規性需求。 它是一種無代理程式 SaaS 解決方案,可讓您大規模進行簡單的設定,且零維護,並支援大規模自動化回應。

私人端點可為您的 Azure 儲存體 服務提供安全連線,有效地消除公用因特網暴露,並被視為安全性最佳做法。

針對已啟用惡意代碼掃描的私人端點的記憶體帳戶,您必須停用並 啟用具有惡意代碼掃描 的計劃,才能運作。

深入瞭解如何在適用於記憶體的Defender中使用私人端點,以及如何進一步保護您的記憶體服務。

預覽版的建議:執行中的容器映射應已解決弱點結果(由 Microsoft Defender 弱點管理 提供)

2023 年 6 月 21 日

由 Microsoft Defender 弱點管理 支援的Defender CSPM 中新的容器建議已發行以供預覽:

建議 描述 評量金鑰
執行中的容器映像應該已解決弱點結果(由 Microsoft Defender 弱點管理 提供電源)(預覽) 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

這項新建議只會取代由 Qualys 提供之相同名稱的目前建議(取代評估密鑰 41503391-efa5-47ee-9282-4eff6131462c)。

控制更新已針對 NIST 800-53 標準進行法規合規性

2023 年 6 月 15 日

NIST 800-53 標準(R4 和 R5)最近更新了 適用於雲端的 Microsoft Defender 法規合規性的控制變更。 Microsoft管理控件已從標準中移除,且Microsoft責任實作的相關信息(作為雲端共用責任模型的一部分),現在只能在 [Microsoft動作] 下的 [控件詳細數據] 窗格中取得。

這些控件先前已計算為通過的控件,因此您可能會在 2023 年 4 月至 2023 年 5 月之間看到 NIST 標準的合規性分數大幅下降。

如需合規性控制的詳細資訊,請參閱教學課程:法規合規性檢查 - 適用於雲端的 Microsoft Defender

使用 Azure Migrate 商務案例規劃雲端移轉現在包含 適用於雲端的 Defender

2023年6月11日

現在,您可以在 Azure Migrate 商務案例的內容中套用 適用於雲端的 Defender,以探索安全性的潛在成本節省。

適用於 SQL 的 Defender 中弱點評估的快速設定現已正式推出

2023 年 6 月 7 日

適用於 SQL 的 Defender 中弱點評估的快速設定現已正式推出。 快速設定使用單鍵組態(或 API 呼叫),為 SQL 弱點評估提供簡化的上線體驗。 不需要額外的設定或相依性受控記憶體帳戶。

請參閱此部落 以深入瞭解快速設定。

您可以瞭解快速和傳統組態之間的差異

已新增至現有 Azure DevOps 連接器的更多範圍

2023 年 6 月 6 日

適用於 DevOps 的 Defender 已將下列額外範圍新增至 Azure DevOps (ADO) 應用程式:

  • 進階安全性管理vso.advsec_manage。 這是必要的,才能讓您啟用、停用及管理 ADO 的 GitHub 進階安全性。

  • 容器對應vso.extension_manage、; vso.gallery_manager這是必要的,才能讓您與 ADO 組織共用裝飾專案延伸模組。

只有嘗試將 ADO 資源上線至 適用於雲端的 Microsoft Defender 的新適用於 DevOps 的 Defender 客戶會受到這項變更的影響。

直接上線 (不含 Azure Arc) 至適用於伺服器的 Defender 現已正式推出

2023 年 6 月 5 日

先前,Azure Arc 必須將非 Azure 伺服器上線至適用於伺服器的 Defender。 不過,使用最新版本,您也可以只使用 適用於端點的 Microsoft Defender 代理程式將內部部署伺服器上線至適用於伺服器的 Defender。

這個新方法可簡化專注於核心端點保護的客戶上線程式,並可讓您利用適用於伺服器的 Defender 針對雲端和非雲端資產的使用量型計費。 現在已提供透過適用於端點的Defender的直接上線選項,從7月1日起,已上線的機器計費。

如需詳細資訊,請參閱將非 Azure 機器連線到使用適用於端點的 Defender 適用於雲端的 Microsoft Defender。

將代理程式型探索取代為 Defender CSPM 中容器功能的無代理程式探索

2023年6月4日

使用Defender CSPM 中提供的無代理程式容器狀態功能,代理程式型探索功能現在已淘汰。 如果您目前在 Defender CSPM 中使用容器功能,請確定 已啟用相關的擴充 功能,以繼續接收新無代理程式功能的容器相關值,例如容器相關攻擊路徑、深入解析和清查。 (最多可能需要 24 小時才能看到啟用擴充功能的效果)。

深入瞭解 無代理程式容器狀態

2023 年 5 月

5 月份的更新包括:

適用於 金鑰保存庫的Defender中的新警示

警示 (警示類型) 描述 MITRE 策略 嚴重性
從可疑 IP 異常存取金鑰保存庫 (非Microsoft或外部)
(KV_UnusualAccessSuspiciousIP)
用戶或服務主體在過去 24 小時內嘗試從非Microsoft IP 存取金鑰保存庫的異常存取。 此異常存取模式可能是合法的活動。 這可能表示可能嘗試取得金鑰保存庫及其內含秘密的存取權。 我們建議進一步調查。 認證存取權

如需所有可用的警示,請參閱 Azure 金鑰保存庫 的警示。

無代理程式掃描現在支援 AWS 中的加密磁碟

VM 的無代理程式掃描現在支援使用 CMK 和 PMK 在 AWS 中使用加密磁碟處理實例。

此延伸支援會增加雲端資產的涵蓋範圍和可見度,而不會影響您執行中的工作負載。 對加密磁碟的支援會維護對執行中實例的相同零影響方法。

  • 針對在 AWS 中啟用無代理程式掃描的新客戶, 加密磁碟涵蓋範圍預設為內建和支援。
  • 對於已啟用無代理程序掃描的 AWS 連接器的現有客戶,您必須將 CloudFormation 堆疊重新套用至已上線的 AWS 帳戶,以更新並新增處理加密磁碟所需的新許可權。 更新后的 CloudFormation 範本包含新的指派,可讓 適用於雲端的 Defender 處理加密的磁碟。

您可以深入瞭解 用來掃描 AWS 實例的許可權。

若要重新套用 CloudFormation 堆疊

  1. 移至 適用於雲端的 Defender 環境設定,然後開啟 AWS 連接器。
  2. 瀏覽至 [ 設定存取] 索引標籤。
  3. 選取 [按兩下] 以下載 CloudFormation 樣本
  4. 流覽至您的 AWS 環境並套用更新的範本。

深入瞭解 無代理程序掃描 ,以及在 AWS 中啟用無代理程序掃描。

修訂后的 JIT (Just-In-Time) 規則命名慣例 適用於雲端的 Defender

我們修訂了 JIT (Just-In-Time) 規則,以配合 適用於雲端的 Microsoft Defender 品牌。 我們已變更 Azure 防火牆 和 NSG (網路安全組) 規則的命名慣例。

這些變更會如下所示:

描述 舊名稱 新名稱
NSG 中的 JIT 規則名稱 (允許與拒絕 ) SecurityCenter-JITRule MicrosoftDefenderForCloud-JITRule
NSG 中的 JIT 規則描述 ASC JIT 網路存取規則 MDC JIT 網路存取規則
JIT 防火牆規則集合名稱 ASC-JIT MDC-JIT
JIT 防火牆規則名稱 ASC-JIT MDC-JIT

瞭解如何 使用 Just-In-Time 存取來保護管理埠。

將選取的 AWS 區域上線

為了協助您管理 AWS CloudTrail 成本和合規性需求,您現在可以在新增或編輯雲端連接器時選取要掃描的 AWS 區域。 當您將 AWS 帳戶上線至 適用於雲端的 Defender 時,您現在可以掃描選取的特定 AWS 區域或所有可用的區域(預設值)。 若要深入瞭解,請參閱將 AWS 帳戶連線到 適用於雲端的 Microsoft Defender

身分識別建議的多個變更

下列建議現已發行為正式運作(GA),並取代現已淘汰的 V1 建議。

正式運作 (GA) 版本的身分識別建議 V2

身分識別建議的 V2 版本引進下列增強功能:

  • 掃描的範圍已擴充為包含所有 Azure 資源,而不只是訂用帳戶。 這可讓安全性系統管理員檢視每個帳戶的角色指派。
  • 特定帳戶現在可以免除評估。 安全性系統管理員可以排除像是中斷帳戶或服務帳戶等帳戶。
  • 掃描頻率已從 24 小時增加到 12 小時,從而確保身分識別建議更最新且準確。

GA 提供下列安全性建議,並取代 V1 建議:

建議 評量金鑰
具有 Azure 資源擁有者權限的帳戶應啟用 MFA 6240402e-f77c-46fa-9060-a7ce53997754
具有 Azure 資源寫入權限的帳戶應啟用 MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b
具有 Azure 資源讀取權限的帳戶應啟用 MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
應移除具有 Azure 資源擁有者權限的來賓帳戶 20606e75-05c4-48c0-9d97-add6daa2109a
具有 Azure 資源寫入權限的來賓帳戶應移除 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
具有 Azure 資源讀取權限的來賓帳戶應移除 fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
具有 Azure 資源擁有者權限的已封鎖帳戶應移除 050ac097-3dda-4d24-ab6d-82568e7a50cf
具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

淘汰身分識別建議 V1

現在已淘汰下列安全性建議:

建議 評量金鑰
應該在具有訂用帳戶擁有者許可權的帳戶上啟用 MFA。 94290b00-4d0c-d7b4-7cea-064a9554e681
應該在具有訂用帳戶寫入許可權的帳戶上啟用 MFA。 57e98606-6b1e-6193-0e3d-fe621387c16b
應該在具有訂用帳戶讀取許可權的帳戶上啟用 MFA。 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
具有擁有者許可權的外部帳戶應該從訂用帳戶中移除。 c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
應從訂用帳戶中移除具有寫入許可權的外部帳戶。 04e7147b-0deb-9796-2e5c-0336343ceb3d
應從訂用帳戶中移除具有讀取許可權的外部帳戶。 a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
具有擁有者許可權的已淘汰帳戶應該從訂用帳戶中移除。 e52064aa-6853-e252-a11e-dffc675689c2
已淘汰的帳戶應該從訂用帳戶中移除 00c6d40b-e990-6acf-d4f3-471e747a27c4

建議您更新自定義腳本、工作流程和治理規則,以對應 V2 建議。

淘汰合規性儀錶板中的舊版標準

舊版 PCI DSS v3.2.1 和舊版 SOC TSP 已在 適用於雲端的 Defender 合規性儀錶板中完全淘汰,並取代為 SOC 2 Type 2 方案和 PCI DSS v4 方案型合規性標準。 我們在由 21Vianet 運作的 Azure Microsoft已完全淘汰 PCI DSS 標準/方案的支援

瞭解如何 在法規合規性儀錶板中自定義一組標準。

適用於 DevOps 的 Defender 包含 Azure DevOps 掃描結果

適用於 DevOps Code 和 IaC 的 Defender 已擴充其 適用於雲端的 Microsoft Defender 的建議涵蓋範圍,以包含下列兩項建議的 Azure DevOps 安全性結果:

  • Code repositories should have code scanning findings resolved

  • Code repositories should have infrastructure as code scanning findings resolved

先前,Azure DevOps 安全性掃描的涵蓋範圍只包含秘密建議。

深入瞭解適用於 DevOps 的 Defender

適用於伺服器的 Defender 弱點評估解決方案的新預設設定

弱點評估 (VA) 解決方案對於保護機器免於網路攻擊和數據外洩至關重要。

Microsoft Defender 弱點管理 現在已針對尚未選取 VA 解決方案的 Defender 所保護的所有訂用帳戶,啟用為預設的內建解決方案。

如果訂用帳戶在其任何 VM 上啟用 VA 解決方案,則不會進行任何變更,而且該訂用帳戶中剩餘的 VM 預設不會啟用 Microsoft Defender 弱點管理。 您可以選擇在 訂用帳戶上的其餘 VM 上啟用 VA 解決方案

瞭解如何使用無代理程式掃描來尋找弱點並收集軟體清查(預覽版)。

下載雲端安全性總管查詢結果的 CSV 報告 (預覽)

適用於雲端的 Defender 新增了下載雲端安全性總管查詢結果 CSV 報告的功能。

執行搜尋查詢之後,您可以從 適用於雲端的 Defender 的 [雲端安全性總管] 頁面選取 [下載 CSV 報告 ][預覽] 按鈕。

瞭解如何 使用雲端安全性總管建置查詢

使用 Microsoft Defender 弱點管理 發行容器弱點評估

我們宣佈在 Defender CSPM 中由 Microsoft Defender 弱點管理 提供電源的 Azure 容器登錄中發行 Linux 映像的弱點評估。 此版本包含每日掃描影像。 安全性總管和攻擊路徑中使用的結果依賴 Microsoft Defender 弱點評估,而不是 Qualys 掃描器。

現有的建議 Container registry images should have vulnerability findings resolved 會由新的建議取代:

建議 描述 評量金鑰
容器登錄映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 dbd0cb49-b563-45e7-9724-889e799fa648 由 c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 取代。

深入瞭解 Defender CSPM中的無代理程式容器狀態。

深入瞭解 Microsoft Defender 弱點管理

重新命名由 Qualys 提供的容器建議

適用於容器的Defender中目前的容器建議將會重新命名,如下所示:

建議 描述 評量金鑰
容器登錄映像應該解決發現的弱點 (由 Qualys 提供) 容器映像弱點評定會掃描您的登錄,以判斷是否有安全性弱點,並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 dbd0cb49-b563-45e7-9724-889e799fa648
執行容器映像應該解決發現的弱點 (由 Qualys 提供) 容器映像弱點評定會掃描 Kubernetes 叢集上執行的容器映像,了解是否有任何安全性弱點,並公開每個映像的詳細發現。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 41503391-efa5-47ee-9282-4eff6131462c

適用於 DevOps 的 Defender GitHub 應用程式更新

Microsoft適用於 DevOps 的 Defender 不斷進行變更和更新,這些更新要求已將 GitHub 環境上線 適用於雲端的 Defender 的適用於 DevOps 客戶的 Defender,以在其 GitHub 組織中部署的應用程式中提供許可權。 這些許可權是確保適用於 DevOps 的 Defender 的所有安全性功能正常運作且沒有問題的必要條件。

我們建議儘快更新許可權,以確保持續存取適用於 DevOps 的 Defender 的所有可用功能。

可以透過兩種不同的方式授與權限:

  • 在您的組織中,選取 [GitHub Apps]。 找出您的組織,然後選取 [ 檢閱要求]。

  • 您將從 GitHub 支援取得自動化電子郵件。 在電子郵件中,選取 [ 檢閱許可權要求] 以接受或拒絕此變更

遵循上述任一選項之後,您將會流覽至檢閱畫面,供您檢閱要求。 選取 [ 接受新許可權 ] 以核准要求。

如果您需要任何協助更新許可權,您可以建立 Azure 支援 要求

您也可以深入瞭解 適用於 DevOps 的 Defender。 如果訂用帳戶在其任何 VM 上啟用 VA 解決方案,則不會進行任何變更,而且該訂用帳戶中剩餘的 VM 預設不會啟用 Microsoft Defender 弱點管理。 您可以選擇在 訂用帳戶上的其餘 VM 上啟用 VA 解決方案

瞭解如何使用無代理程式掃描來尋找弱點並收集軟體清查(預覽版)。

適用於 DevOps 的 Defender 提取要求批注現在包含基礎結構即程式代碼設定錯誤

適用於 DevOps 的 Defender 已擴充其 Azure DevOps 中的提取要求 (PR) 批注涵蓋範圍,以包含 Azure Resource Manager 和 Bicep 範本中偵測到的基礎結構即程式代碼 (IaC) 設定錯誤。

開發人員現在可以直接在PR中看到IaC設定錯誤的批注。 開發人員也可以在將基礎結構布建到雲端工作負載之前補救重大安全性問題。 為了簡化補救,開發人員會提供嚴重性層級、設定錯誤描述,以及每個批注內的補救指示。

先前,Azure DevOps 中適用於 DevOps 的 Defender PR 批注涵蓋範圍只包含秘密。

深入了解 適用於DevOps 的Defender和 提取要求批注

2023 年 4 月

4 月的更新包括:

Defender CSPM 中的無代理程式容器狀態 (預覽)

新的無代理程式容器狀態 (預覽) 功能是 Defender CSPM(雲端安全性狀態管理)計劃的一部分。

無代理程式容器狀態可讓安全性小組識別容器和 Kubernetes 領域的安全性風險。 無代理程式方法可讓安全性小組在 SDLC 和運行時間之間查看其 Kubernetes 和容器登錄,並移除工作負載的摩擦和使用量。

無代理程式容器狀態提供容器弱點評估,結合攻擊路徑分析,可讓安全性小組排定優先順序並放大特定容器弱點。 您也可以使用雲端安全性總管來找出風險,並搜尋容器狀態深入解析,例如探索執行易受攻擊的映像或公開至因特網的應用程式。

若要深入瞭解,請參閱 無代理程式容器狀態 (預覽)

整合磁碟加密建議 (預覽)

預覽版中有新的統一磁碟加密建議。

  • Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
  • Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.

這些建議會取代 Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources偵測到 Azure 磁碟加密 和偵測到 EncryptionAtHost 的原則Virtual machines and virtual machine scale sets should have encryption at host enabled。 ADE 和 EncryptionAtHost 提供可比較的待用加密涵蓋範圍,我們建議在每個虛擬機上啟用其中一個加密。 新的建議會偵測是否已啟用 ADE 或 EncryptionAtHost,而且只有在兩者都未啟用時才會發出警告。 我們也會在某些 VM 上啟用 ADE,但並非所有 VM 磁碟上都啟用警告(此條件不適用於 EncryptionAtHost)。

新的建議需要 Azure Automanage 機器組態

這些建議是以下列原則為基礎:

深入瞭解 ADE 和 EncryptionAtHost,以及如何啟用其中一個。

建議機器中的變更應安全地設定

Machines should be configured securely建議已更新。 更新可改善建議的效能和穩定性,並將其體驗與 適用於雲端的 Defender 建議的一般行為一致。

在此更新中,建議的識別碼已從 181ac480-f7c4-544b-9865-11b8ffe87f47 變更為 c476dc48-8110-4139-91af-c8d940896b98

用戶端不需要採取任何動作,且安全分數沒有預期的效果。

取代 App Service 語言監視原則

下列 App Service 語言監視原則已被取代,因為它們能夠產生誤判,而且無法提供更好的安全性。 您應該一律確定您使用的是語言版本,而不會有任何已知的弱點。

原則名稱 原則識別碼
使用 Java 的 App Service 應用程式應使用最新的「Java 版本」 496223c3-ad65-4ecd-878a-bae78737e9ed
使用 Python 的 App Service 應用程式應使用最新的「Python 版本」 7008174a-fd10-4ef0-817e-fc820a951d73
使用 Java 的函數應用程式應使用最新的「Java 版本」 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
使用 Python 的函數應用程式應使用最新的「Python 版本」 7238174a-fd10-4ef0-817e-fc820a951d73
使用 PHP 的 App Service 應用程式應使用最新的「PHP 版本」 7261b898-8a84-4db8-9e04-18527132abb3

客戶可以使用替代的內建原則來監視其App Services的任何指定語言版本。

適用於雲端的 Defender 內建建議中不再提供這些原則。 您可以將它們新增為自定義建議,讓 適用於雲端的 Defender 監視它們。

適用於 Resource Manager 的 Defender 中的新警示

適用於 Resource Manager 的 Defender 有下列新警示:

警示 (警示類型) 描述 MITRE 策略 嚴重性
預覽 - 偵測到可疑的計算資源建立
(ARM_SuspiciousComputeCreation)
Microsoft Defender for Resource Manager 發現使用 虛擬機器/Azure 擴展集,在您的訂用帳戶中建立計算資源可疑。 識別的作業是設計來允許系統管理員在需要時部署新的資源,以有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來執行密碼編譯採礦。
活動被視為可疑,因為計算資源規模高於先前在訂用帳戶中觀察到的。
這表示主體遭到入侵,且正與惡意意圖搭配使用。
影響

您可以看到 Resource Manager 可用的所有警示清單。

Resource Manager Defender 方案中的三個警示已被取代

Resource Manager Defender 方案的下列三個警示已被取代:

  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

在偵測到來自可疑IP位址的活動案例中,下列其中一個適用於Resource Manager的Defender方案警示 Azure Resource Manager operation from suspicious IP addressAzure Resource Manager operation from suspicious proxy IP address 將會存在。

已淘汰自動導出至Log Analytics工作區的警示

適用於雲端的Defender安全性警示會自動匯出至資源層級的預設Log Analytics工作區。 這會導致不確定的行為,因此我們已淘汰這項功能。

相反地,您可以將安全性警示導出至具有連續匯出專用Log Analytics工作區。

如果您已將警示連續匯出至 Log Analytics 工作區,則不需要採取進一步的動作。

已淘汰和改善 Windows 和 Linux 伺服器的所選警示

適用於伺服器的 Defender 安全性警示品質改進程式包括淘汰 Windows 和 Linux 伺服器的某些警示。 已淘汰的警示現在來自適用於端點的 Defender 威脅警示,並涵蓋這些警示。

如果您已啟用適用於端點的 Defender 整合,則不需要採取進一步的動作。 您可能會在 2023 年 4 月遇到警示量減少的問題。

如果您沒有在適用於伺服器的 Defender 中啟用適用於端點的 Defender 整合,您必須啟用適用於端點的 Defender 整合,以維護和改善警示涵蓋範圍。

所有適用於伺服器的 Defender 客戶,都可以完整存取適用於端點的 Defender 整合,作為適用於伺服器的 Defender 方案的一部分

您可以深入瞭解 適用於端點的 Microsoft Defender 上線選項

您也可以檢視 設定為已淘汰之警示 的完整清單。

閱讀 適用於雲端的 Microsoft Defender 部落格

我們已為 Azure Data Services 新增四個新的 Azure Active Directory 驗證建議。

建議名稱 建議描述 原則
Azure SQL 受控執行個體 驗證模式應該是僅限 Azure Active Directory 停用本地驗證方法並僅允許 Azure Active Directory 驗證,可確保只有 Azure Active Directory 身分識別才能存取 Azure SQL 受控執行個體,以提升安全性。 Azure SQL 受控執行個體應該已啟用僅限 Azure Active Directory 的驗證
Azure Synapse 工作區驗證模式應為僅限 Azure Active Directory Azure Active Directory 僅驗證方法可確保 Synapse Workspaces 完全要求 Azure AD 身分識別進行驗證,藉此改善安全性。 深入了解 Synapse 工作區應該只使用 Azure Active Directory 身分識別進行驗證
適用於 MySQL 的 Azure 資料庫 應布建 Azure Active Directory 系統管理員 為您的 適用於 MySQL 的 Azure 資料庫 布建 Azure AD 系統管理員,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 應為 MySQL 伺服器布建 Azure Active Directory 系統管理員
適用於 PostgreSQL 的 Azure 資料庫 應布建 Azure Active Directory 系統管理員 為您的 適用於 PostgreSQL 的 Azure 資料庫 布建 Azure AD 系統管理員,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 應為 PostgreSQL 伺服器布建 Azure Active Directory 系統管理員

System updates should be installed on your machines (powered by Azure Update Manager)建議並Machines should be configured to periodically check for missing system updates已發行正式運作。

若要使用新的建議,您需要:

  • 將您的非 Azure 機器連線到 Arc。
  • 啟用定期評定屬性。 您可以使用 [ 修正] 按鈕。 在新的建議中, Machines should be configured to periodically check for missing system updates 若要修正建議。

完成這些步驟之後,您可以從 Azure 原則中 適用於雲端的 Defender 的內建方案停用舊建議,以移除舊建議System updates should be installed on your machines

建議的兩個版本:

這兩者都將可供使用,直到 Log Analytics代理程式在2024年8月31日淘汰為止,也就是建議的舊版 (System updates should be installed on your machines) 也會被取代。 這兩個建議都會傳回相同的結果,而且可在相同的控件 Apply system updates下取得。

新的建議 System updates should be installed on your machines (powered by Azure Update Manager) 有可透過 [修正] 按鈕提供的補救流程,可用來透過 [更新管理員] 來補救任何結果(預覽)。 此補救程式仍處於預覽狀態。

新建議 System updates should be installed on your machines (powered by Azure Update Manager) 不預期會影響您的安全分數,因為它的結果與舊建議 System updates should be installed on your machines相同。

必要條件建議 (啟用定期評定屬性) 會對您的安全分數產生負面影響。 您可以使用可用的 [修正] 按鈕來補救負面影響。

適用於 API 的 Defender (預覽版)

Microsoft的 適用於雲端的 Defender 宣佈新的適用於 API 的 Defender 已在預覽版中提供。

適用於 API 的 Defender 提供 API 的完整生命週期保護、偵測和響應涵蓋範圍。

適用於 API 的 Microsoft Defender 可協助您掌控業務關鍵 API。 您可以調查並改善 API 安全性態勢、排定弱點修正的優先順序,以及快速偵測作用中的即時威脅。

深入了解適用於 API 的 Defender

2023 年 3 月

3 月的更新包括:

有新的適用於記憶體的 Defender 方案可供使用,包括近乎即時的惡意代碼掃描和敏感數據威脅偵測

雲端記憶體在組織中扮演重要角色,並儲存大量的寶貴和敏感數據。 今天,我們宣佈了新的適用於記憶體的 Defender 方案。 如果您使用上一個方案(現在重新命名為「適用於記憶體的 Defender」(傳統版),則必須主動 移轉至新方案 ,才能使用新功能和優點。

新方案包含進階安全性功能,可協助防範惡意檔案上傳、敏感性資料外流和資料損毀。 它也提供更可預測的彈性定價結構,以更好地控制涵蓋範圍和成本。

新的方案現在有公開預覽的新功能:

  • 偵測敏感數據暴露和外洩事件

  • 跨所有文件類型進行近乎即時的 Blob 上傳惡意代碼掃描

  • 使用SAS令牌偵測沒有身分識別的實體

這些功能會根據控制和數據平面記錄分析和行為模型,來增強現有的活動監視功能,以識別早期缺口跡象。

所有這些功能都可在新的可預測且彈性的定價方案中取得,可針對訂用帳戶和資源層級的數據保護提供細微的控制。

如需詳細資訊,請參閱 適用於記憶體的 Microsoft Defender 概觀。

資料感知安全性狀態 (預覽)

適用於雲端的 Microsoft Defender 可協助安全性小組在降低風險和回應雲端中的數據外泄時更有生產力。 其可讓它們透過數據內容來減少雜訊,並排定最重要的安全性風險優先順序,以防止代價高昂的數據外泄。

  • 自動探索雲端資產中的數據資源,並評估其輔助功能、數據敏感度和已設定的數據流。 -持續找出敏感數據資源的數據外洩、暴露或攻擊路徑的風險,這些路徑可能會使用橫向移動技術導致數據資源。
  • 偵測可能表示敏感數據資源持續威脅的可疑活動。

深入了解 數據感知安全性狀態。

改善管理預設 Azure 安全策略的體驗

我們為內建建議引進改良的 Azure 安全策略管理體驗,可簡化 適用於雲端的 Defender 客戶微調其安全性需求的方式。 新的體驗包含下列新功能:

  • 簡單介面可在管理 適用於雲端的 Defender 內的預設安全策略時,提供更好的效能和體驗。
  • Microsoft雲端安全性基準所提供的所有內建安全性建議的單一檢視(先前稱為 Azure 安全性基準)。 建議會組織成邏輯群組,讓您更輕鬆地瞭解涵蓋的資源類型,以及參數和建議之間的關聯性。
  • 已新增篩選和搜尋等新功能。

瞭解如何 管理安全策略

閱讀 適用於雲端的 Microsoft Defender 部落格

Defender CSPM (雲端安全性狀態管理) 現已正式推出 (GA)

我們宣佈Defender CSPM現已正式推出(GA)。 Defender CSPM 提供基礎 CSPM 功能下提供的所有服務,並新增下列優點:

  • 攻擊路徑分析和ARG API - 攻擊路徑分析會使用圖表型演算法來掃描雲端安全性圖表來公開攻擊路徑,並建議建議如何最佳補救破壞攻擊路徑並防止成功入侵的問題。 您也可以透過查詢 Azure Resource Graph (ARG) API,以程式設計方式取用攻擊路徑。 瞭解如何使用 攻擊路徑分析
  • 雲端安全性總 管 - 使用 Cloud Security Explorer 在雲端安全性圖表上執行圖形式查詢,以主動識別多重雲端環境中的安全性風險。 深入瞭解 雲端安全性總管

深入瞭解 Defender CSPM

在 適用於雲端的 Microsoft Defender 中建立自定義建議和安全性標準的選項

適用於雲端的 Microsoft Defender 提供使用 KQL 查詢為 AWS 和 GCP 建立自訂建議和標準的選項。 您可以使用查詢編輯器來建置及測試資料的查詢。 這項功能是 Defender CSPM(雲端安全性狀態管理)計劃的一部分。 瞭解如何 建立自定義建議和標準

Microsoft雲端安全性基準 (MCSB) 1.0 版現已正式推出 (GA)

適用於雲端的 Microsoft Defender 宣佈Microsoft雲端安全性基準 (MCSB) 1.0 版現已正式推出(GA)。

MCSB 1.0 版會將 Azure 安全性效能評定 (ASB) 第 3 版取代為 適用於雲端的 Defender 的預設安全策略。 MCSB 1.0 版會顯示為合規性儀錶板中的預設合規性標準,而且預設會為所有 適用於雲端的 Defender 客戶啟用。

您也可以瞭解 Microsoft雲端安全性效能評定 (MCSB) 如何協助您在雲端安全性旅程中取得成功。

深入瞭解 MCSB

政府雲端現已提供一些法規合規性標準

我們正在更新 Azure Government 中的客戶和由 21Vianet 營運的 Azure Microsoft 這些標準。

Azure Government:

由 21Vianet 營運的 Microsoft Azure:

瞭解如何 在法規合規性儀錶板中自定義一組標準。

Azure SQL Server 的新預覽建議

我們已新增 Azure SQL Server 的新建議。 Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)

建議是以現有的原則為基礎 Azure SQL Database should have Azure Active Directory Only Authentication enabled

此建議會停用本機驗證方法,只允許 Azure Active Directory 驗證,藉由確保 Azure SQL 資料庫 可由 Azure Active Directory 身分識別獨佔存取來改善安全性。

瞭解如何 在 Azure SQL 中建立已啟用 Azure AD 驗證的伺服器。

適用於 金鑰保存庫的Defender中新增警示

適用於 金鑰保存庫 的 Defender 有下列新的警示:

警示 (警示類型) 描述 MITRE 策略 嚴重性
拒絕從可疑IP存取金鑰保存庫
(KV_SuspiciousIPAccessDenied)
Microsoft威脅情報識別為可疑 IP 位址的 IP 嘗試了密鑰保存庫存取失敗。 雖然此嘗試失敗,但表示您的基礎結構可能已遭入侵。 我們建議進一步調查。 認證存取權

您可以看到可供 金鑰保存庫 使用的所有警示清單。

2023 年 2 月

2 月的更新包括:

增強型雲端安全性總管

雲端安全性總管的改良版本包含重新整理的用戶體驗,可大幅移除查詢摩擦、新增執行多重雲端和多重資源查詢的功能,以及每個查詢選項的內嵌檔。

Cloud Security Explorer 現在可讓您跨資源執行雲端抽象查詢。 您可以使用預先建置的查詢範本,或使用自訂搜尋來套用篩選來建置查詢。 瞭解如何 管理 Cloud Security Explorer

適用於容器的 Defender 現在正式推出執行 Linux 映像的弱點掃描

適用於容器的Defender會偵測執行中容器中的弱點。 同時支援 Windows 和 Linux 容器。

2022 年 8 月,此功能已在 Windows 和 Linux 預覽 版中發行。 我們現在發行適用於Linux的正式發行(GA)。

偵測到弱點時,適用於雲端的 Defender 會產生下列安全性建議,其中列出掃描的結果:執行中的容器映像應該已解決弱點結果。

深入了解檢視 執行中映像的弱點。

宣佈支援 AWS CIS 1.5.0 合規性標準

適用於雲端的 Defender 現在支援 CIS Amazon Web Services Foundations v1.5.0 合規性標準。 標準可以 新增至您的法規合規性儀錶板,並以 MDC 的現有供應專案為基礎來建置多重雲端建議和標準。

這個新標準同時包含現有和新的建議,這些建議會將 適用於雲端的 Defender 涵蓋範圍延伸到新的AWS服務和資源。

瞭解如何 管理 AWS 評定和標準

Microsoft適用於 DevOps 的 Defender(預覽版) 現已在其他區域中提供

當您將 Azure DevOps 和 GitHub 資源上線時,Microsoft適用於 DevOps 的 Defender 已擴充其預覽版,現在可在西歐和東澳大利亞地區取得。

深入了解 適用於 DevOps 的 Defender Microsoft。

內建原則 [預覽]:應針對 金鑰保存庫 設定私人端點已被取代

內建原則 [Preview]: Private endpoint should be configured for Key Vault 已被取代,並取代為原則 [Preview]: Azure Key Vaults should use private link

深入瞭解如何整合 Azure 金鑰保存庫 與 Azure 原則

2023 年 1 月

1 月的更新包括:

端點保護 (適用於端點的 Microsoft Defender) 元件現在已在 [設定和監視] 頁面中存取

若要存取 Endpoint Protection,請流覽至 [環境設定>] [Defender 方案>設定和監視]。 您可以從這裡將 Endpoint Protection 設定為 [開啟]。 您也可以查看受管理的其他元件。

深入瞭解使用適用於伺服器的 Defender 在伺服器上啟用 適用於端點的 Microsoft Defender

尋找遺漏系統更新的新版本建議 (預覽)

您不再需要 Azure VM 和 Azure Arc 機器上的代理程式,以確保機器具有所有最新的安全性或重大系統更新。

控制件中的Apply system updates新系統更新建議System updates should be installed on your machines (powered by Azure Update Manager)是以更新管理員 (預覽) 為基礎。 這個建議仰賴內嵌在每個 Azure VM 和 Azure Arc 機器中的原生代理程式,而不是已安裝的代理程式。 新建議中的快速修正會導致您在 Update Manager 入口網站中一次性安裝遺失的更新。

若要使用新的建議,您需要:

  • 將非 Azure 機器連線至 Arc
  • 開啟定期評量屬性。 您可以在新的建議 (Machines should be configured to periodically check for missing system updates) 中使用 [快速修正],以修正建議。

依賴 Log Analytics 代理程式的現有「系統更新應該安裝在您的電腦上」建議仍可在相同的控制下使用。

清除已連線 AWS 和 GCP 帳戶中已刪除的 Azure Arc 機器

聯機至適用於伺服器之 Defender 或適用於 SQL 之 Defender 所涵蓋機器的 AWS 和 GCP 帳戶的電腦,會以 Azure Arc 計算機的形式表示 適用於雲端的 Defender。 到目前為止,當機器從AWS或 GCP 帳戶中刪除時,該計算機不會從清查中刪除。 導致代表已刪除之機器的 適用於雲端的 Defender 中留下不必要的 Azure Arc 資源。

當這些機器在連線的 AWS 或 GCP 帳戶中刪除時,適用於雲端的 Defender 現在會自動刪除 Azure Arc 機器。

允許連續匯出至防火牆後方的事件中樞

您現在可以將警示和建議的持續導出,做為受 Azure 防火牆保護的事件中樞信任服務。

您可以啟用連續匯出,因為產生警示或建議。 您也可以定義排程,以傳送所有新數據的定期快照集。

瞭解如何啟用 持續匯出至 Azure 防火牆後方的事件中樞。

使用 Azure 進階網路解決方案保護應用程式的安全分數控件名稱已變更

安全分數控制項會 Protect your applications with Azure advanced networking solutions 變更為 Protect applications against DDoS attacks

更新的名稱會反映在 Azure Resource Graph (ARG)、安全分數控制 API 和 Download CSV report上。

SQL Server 的原則弱點評量設定應包含接收掃描報告的電子郵件位址已被取代

Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports原則已被取代。

適用於 SQL 的 Defender 弱點評估電子郵件報告仍可供使用,且現有的電子郵件設定尚未變更。

啟用 虛擬機器擴展集 診斷記錄的建議已被取代

建議 Diagnostic logs in Virtual Machine Scale Sets should be enabled 已淘汰。

相關 原則定義 也已從法規合規性儀錶板中顯示的任何標準淘汰。

建議 描述 嚴重性
應啟用 虛擬機器擴展集 中的診斷記錄 啟用記錄並保留最多一年,讓您在發生安全性事件或網路遭到入侵時,重新建立活動線索以供調查之用。

2022 年 12 月

12 月的更新包括:

在適用於 SQL 的 Defender 中宣佈弱點評量快速設定

適用於 SQL 的 Microsoft Defender 中的弱點評量快速設定提供安全性小組在 Synapse 工作區外部的 Azure SQL 資料庫 和專用 SQL 集區上簡化的設定體驗。

透過弱點評估的快速設定體驗,安全性小組可以:

  • 在 SQL 資源的安全性設定中完成弱點評估組態,而不需要對客戶管理的記憶體帳戶進行任何其他設定或相依性。
  • 立即將掃描結果新增至基準,讓結果的狀態從 [狀況不良 ] 變更為 [狀況良好 ],而不重新掃描資料庫。
  • 將多個規則一次新增至基準,並使用最新的掃描結果。
  • 當您在訂用帳戶層級開啟適用於資料庫的 Microsoft Defender 時,啟用所有 Azure SQL Server 的弱點評估。

深入瞭解 適用於 SQL 的 Defender 弱點評估

2022 年 11 月

11 月的更新包括:

使用適用於容器的Defender保護 GCP 組織之間的容器

現在,您可以為 GCP 環境啟用 適用於容器 的 Defender,以保護整個 GCP 組織的標準 GKE 叢集。 只要在現有的組織層級 GCP 連接器上建立已啟用適用於容器的 Defender 或啟用適用於容器的 Defender,即可建立新的 GCP 連接器。

深入瞭解如何將 GCP 專案和組織連線到 適用於雲端的 Defender。

使用範例警示驗證適用於容器的Defender保護

您現在可以為適用於容器的Defender方案建立範例警示。 新的範例警示會顯示為來自 AKS、Arc 連線的叢集、EKS 和 GKE 資源,具有不同嚴重性和 MITRE 策略。 您可以使用範例警示來驗證安全性警示設定,例如 SIEM 整合、工作流程自動化和電子郵件通知。

深入瞭解 警示驗證

大規模治理規則 (預覽)

我們很高興宣佈在 適用於雲端的 Defender 大規模套用治理規則的新能力。

有了這個新的體驗,安全性小組就能夠針對各種範圍(訂用帳戶和連接器)大量定義治理規則。 安全性小組可以使用 Azure 管理群組、AWS 最上層帳戶或 GCP 組織等管理範圍來完成這項工作。

此外,治理規則 (預覽) 頁面會呈現組織環境中有效的所有可用治理規則。

深入了解 大規模的新治理規則體驗

注意

自 2023 年 1 月 1 日起,若要體驗治理所提供的功能,您必須 在訂用帳戶或連接器上啟用 Defender CSPM 方案

在 AWS 和 GCP 中建立自訂評定的能力已被取代

已淘汰為 AWS 帳戶GCP 專案建立自定義評定的能力,這是預覽功能。

針對 Lambda 函式設定寄不出的信件佇列的建議已被取代

建議 Lambda functions should have a dead-letter queue configured 已淘汰。

建議 描述 嚴重性
Lambda 函式應該已設定寄不出的信件佇列 此控制項會檢查 Lambda 函式是否已設定成寄不出的信件佇列。 如果未使用寄不出的信件佇列來設定 Lambda 函式,控件就會失敗。 作為失敗目的地的替代方案,您可以使用寄不出的信件佇列來設定函式,以儲存捨棄的事件以供進一步處理。 寄不出的信件佇列的作用與失敗目的地相同。 當事件失敗所有處理嘗試或到期時,不會進行處理時,就會使用它。 寄不出的信件佇列可讓您回顧 Lambda 函式的錯誤或失敗要求,以偵錯或識別不尋常的行為。 從安全性觀點來看,請務必瞭解您的函式失敗的原因,並確保您的函式不會因此卸除數據或危害數據安全性。 例如,如果您的函式無法與基礎資源通訊,可能是網路其他地方拒絕服務 (DoS) 攻擊的徵兆。

2022 年 10 月

10 月的更新包括:

宣佈Microsoft雲端安全性基準檢驗

Microsoft雲端安全性基準 (MCSB) 是一個新的架構,根據常見的業界標準和合規性架構,定義基本雲端安全性準則。 以及跨雲端平台實作這些最佳做法的詳細技術指引。 MCSB 正在取代 Azure 安全性效能評定。 MCSB 提供一般詳細數據,說明如何在多個雲端服務平台上實作其與雲端無關的安全性建議,一開始涵蓋 Azure 和 AWS。

您現在可以在單一整合式儀錶板中監視每個雲端的雲端安全性合規性狀態。 當您流覽至 適用於雲端的 Defender 的法規合規性儀錶板時,您可以看到 MCSB 作為預設合規性標準。

當您上線 適用於雲端的 Defender 時,Microsoft雲端安全性效能評定會自動指派給您的 Azure 訂用帳戶和 AWS 帳戶。

深入了解 雲端安全性效能評定Microsoft。

適用於雲端的 Defender 中的攻擊路徑分析和內容安全性功能(預覽)

新的雲端安全性圖表、攻擊路徑分析和關係型雲端安全性功能現在可在預覽 適用於雲端的 Defender 取得。

安全性小組目前所面臨的最大挑戰之一,就是每天遇到的安全性問題數目。 有許多安全性問題需要解決,用來解決所有問題的資源卻永遠不夠。

適用於雲端的 Defender 新的雲端安全性圖表和攻擊路徑分析功能,可讓安全性小組評估每個安全性問題背後的風險。 安全性小組也可以識別需要儘快解決的最高風險問題。 適用於雲端的 Defender 與安全性小組合作,以最有效的方式降低對環境造成受影響缺口的風險。

深入瞭解新的 雲端安全性圖表、攻擊路徑分析和雲端安全性總管

Azure 和 AWS 機器的無代理程式掃描 (預覽)

到目前為止,適用於雲端的 Defender 根據代理程式型解決方案的 VM 狀態評定。 為了協助客戶將涵蓋範圍最大化並降低上線和管理摩擦,我們會釋出 VM 的無代理程式掃描以預覽。

透過 VM 的無代理程式掃描,您可以廣泛瞭解已安裝的軟體與軟體 CVE。 您無須挑戰代理程式安裝和維護、網路連線需求,以及工作負載的效能影響,即可取得可見度。 分析是由 Microsoft Defender 弱點管理 所提供。

無代理程式弱點掃描可在Defender雲端安全性狀態管理 (CSPM) 和 適用於伺服器的Defender P2中取得,且支援 AWS 和 Azure VM 的原生支援。

適用於 DevOps 的 Defender (預覽版)

適用於雲端的 Microsoft Defender 可讓您跨混合式和多重雲端環境,包括 Azure、AWS、Google 和內部部署資源,提供完整的可見性、狀態管理和威脅防護。

現在,新的適用於 DevOps 的 Defender 方案會將 GitHub 和 Azure DevOps 等原始程式碼管理系統整合到 適用於雲端的 Defender。 透過這項新的整合,我們讓安全性小組能夠保護其資源,使其免於程式代碼到雲端。

適用於 DevOps 的 Defender 可讓您深入瞭解及管理連線的開發人員環境和程式代碼資源。 目前,您可以將 Azure DevOps 和 GitHub 系統連線到 適用於雲端的 Defender,並將 DevOps 存放庫上線至清查和新的 DevOps 安全性頁面。 它會為安全性小組提供在整合DevOps安全性頁面中所探索到的安全性問題概觀。

您可以設定提取要求上的批注,協助開發人員直接在提取要求上解決 Azure DevOps 中掃描結果的秘密。

您可以在 Azure Pipelines 和 GitHub 工作流程上設定Microsoft安全性 DevOps 工具,以啟用下列安全性掃描:

名稱 語言 授權
Bandit Python Apache License 2.0
BinSkim 二進位 – Windows、ELF MIT 授權
ESlint JavaScript MIT 授權
CredScan (僅限 Azure DevOps) 認證掃描器 (也稱為 CredScan) 是由 Microsoft 所開發和維護的工具,用來識別認證流失,例如原始程式碼和組態檔中常見的類型:默認密碼、SQL 連接字串、具有私鑰的憑證 不是開放原始碼
範本分析 ARM 範本 Bicep 檔案 MIT 授權
Terrascan Terraform (HCL2)、Kubernetes (JSON/YAML)、Helm v3、Kustomize、Dockerfiles、Cloud Formation Apache License 2.0
Trivy 容器映像, 檔案系統, git 存放庫 Apache License 2.0

DevOps 現在提供下列新建議:

建議 描述 嚴重性
(預覽) 程式代碼存放庫應該已解決程式代碼掃描結果 適用於 DevOps 的 Defender 在程式代碼存放庫中發現弱點。 若要改善存放庫的安全性狀態,強烈建議您補救這些弱點。 (無相關政策)
(預覽) 程式代碼存放庫應該已解決秘密掃描結果 適用於 DevOps 的 Defender 已在程式代碼存放庫中找到秘密。  這應該立即補救,以避免發生安全性缺口。  在存放庫中發現的秘密可由敵人洩漏或探索,導致應用程式或服務遭到入侵。 針對 Azure DevOps,Microsoft 安全性 DevOps CredScan 工具只會掃描其設定為執行所在的組建。 因此,結果可能不會反映存放庫中秘密的完整狀態。 (無相關政策)
(預覽) 程式代碼存放庫應該已解決 Dependabot 掃描結果 適用於 DevOps 的 Defender 在程式代碼存放庫中發現弱點。 若要改善存放庫的安全性狀態,強烈建議您補救這些弱點。 (無相關政策)
(預覽) 程式代碼存放庫應具有基礎結構,因為程式代碼掃描結果已解決 (預覽)程式代碼存放庫應具有基礎結構,因為程式代碼掃描結果已解決
(預覽) GitHub 存放庫應該已啟用程式代碼掃描 GitHub 會使用程式代碼掃描來分析程序代碼,以找出程式代碼中的安全性弱點和錯誤。 程式代碼掃描可用來尋找、分級和排定程式代碼中現有問題的修正程式。 程式代碼掃描也可以防止開發人員引入新的問題。 掃描可以排程特定天數和時間,或在存放庫中發生特定事件時觸發掃描,例如推送。 如果程式代碼掃描在程式代碼中發現潛在的弱點或錯誤,GitHub 會在存放庫中顯示警示。 弱點是專案程序代碼中可能會遭到惡意探索的問題,以損害專案的機密性、完整性或可用性。 (無相關政策)
(預覽) GitHub 存放庫應該已啟用秘密掃描 GitHub 會掃描存放庫是否有已知的秘密類型,以防止意外認可至存放庫的秘密遭到詐騙。 秘密掃描會在 GitHub 存放庫中所有分支上掃描整個 Git 歷程記錄,以取得任何秘密。 秘密的範例包括服務提供者可以簽發的令牌和私鑰來進行驗證。 如果秘密簽入存放庫,任何具有存放庫讀取許可權的人都可以使用秘密來存取具有這些許可權的外部服務。 秘密應該儲存在專案的存放庫外部的專用安全位置。 (無相關政策)
(預覽) GitHub 存放庫應該已啟用 Dependabot 掃描 GitHub 會在偵測到影響存放庫的程式代碼相依性弱點時傳送 Dependabot 警示。 弱點是專案程序代碼中可能會遭到惡意探索的問題,以損害專案的機密性、完整性或可用性,或使用其程序代碼的其他專案。 弱點的類型、嚴重性和攻擊方法會有所不同。 當程式代碼相依於有安全性弱點的套件時,此易受攻擊的相依性可能會導致一系列問題。 (無相關政策)

適用於 DevOps 的 Defender 建議取代了適用於容器的 Defender 中包含的 CI/CD 工作流程已淘汰的弱點掃描器。

深入了解 適用於DevOps的Defender

法規合規性儀表板現在支援手動控制管理和Microsoft合規性狀態的詳細資訊

適用於雲端的 Defender 中的合規性儀錶板是客戶協助瞭解及追蹤其合規性狀態的重要工具。 客戶可以根據許多不同的標準和法規的需求,持續監視環境。

現在,您可以手動證明操作和其他控件,以完全管理合規性狀態。 您現在可以為未自動化的控制項提供合規性證據。 與自動化評定一起,您現在可以在所選範圍內產生合規性的完整報告,以解決指定標準的完整控件集。

此外,除了更豐富的控制資訊,以及Microsoft合規性狀態的深入詳細數據和證據,您現在有指尖稽核所需的所有資訊。

一些新的優點包括:

  • 手動客戶動作 提供一種機制,可手動證明與非自動化控件的合規性。 包括連結辨識項的能力、設定合規性日期和到期日。

  • 除了現有的自動化客戶動作之外,更豐富的支持標準控制詳細數據,可展示 Microsoft動作手動客戶動作

  • Microsoft動作可提供Microsoft合規性狀態的透明度,包括稽核評估程式、測試結果,以及Microsoft偏差的回應。

  • 合規性供應專案 提供檢查 Azure、Dynamics 365 和 Power Platform 產品及其各自法規合規性認證的中央位置。

深入瞭解如何改善 適用於雲端的 Defender的法規合規性

自動布建已重新命名為 [設定與監視],並具有更新的體驗

我們已將 [自動布建] 頁面重新命名為 [設定與監視]。

自動布建是為了允許大規模啟用必要條件,這是 適用於雲端的 Defender 進階特性和功能所需的必要條件。 為了更進一步支援我們擴充的功能,我們正透過下列變更來啟動新的體驗:

適用於雲端的 Defender 的計劃頁面現在包含

  • 當您啟用需要監視元件的 Defender 方案時,會啟用這些元件,以使用預設設定自動布建。 您可以隨時選擇性地編輯這些設定。
  • 您可以從 Defender 方案頁面存取每個 Defender 方案的監視元件設定。
  • [Defender 方案] 頁面清楚指出每個 Defender 方案的所有監視元件都已就緒,或監視涵蓋範圍不完整。

[設定與監視] 頁面

  • 每個監視元件都會指出與它相關的Defender計劃。

深入瞭解 如何管理監視設定

Defender 雲端安全性態勢管理 (CSPM)

適用於雲端的 Microsoft Defender 的雲端安全性的主要要素之一是雲端安全性態勢管理 (CSPM)。 CSPM 提供您強化指引,可協助您迅速有效改善安全性。 CSPM 也可讓您瞭解目前的安全性情況。

我們宣佈新的Defender方案:Defender CSPM。 此計劃可增強 適用於雲端的 Defender的安全性功能,並包含下列新功能和擴充功能:

  • 持續評估雲端資源的安全性設定
  • 用於修正錯誤設定和弱點的安全性建議
  • 安全分數
  • 治理
  • 法規合規性
  • 雲端安全性圖表
  • 攻擊路徑分析
  • 機器的無代理程式掃描

深入瞭解 Defender CSPM方案

MITRE ATT&CK 架構對應現在也可供 AWS 和 GCP 安全性建議使用

對於安全性分析師,請務必找出與安全性建議相關聯的潛在風險,並了解攻擊媒介,以便他們有效率地排定工作優先順序。

適用於雲端的 Defender 藉由將 Azure、AWS 和 GCP 安全性建議對應至 MITRE ATT&CK 架構,讓優先順序變得更容易。 MITRE ATT&CK 架構是以真實世界觀察為基礎的敵人策略和技術的全域存取 知識庫,可讓客戶加強其環境的安全設定。

MITRE ATT&CK 架構以三種方式整合:

  • 建議對應至 MITRE ATT&CK 策略和技術。
  • 使用 Azure Resource Graph 查詢 MITRE ATT&CK 策略和技術。

顯示 MITRE 攻擊存在於 Azure 入口網站 的螢幕快照。

適用於容器的 Defender 現在支援彈性容器登錄的弱點評估 (預覽)

Microsoft適用於容器的 Defender 現在提供 Amazon AWS 中彈性容器登錄 (ECR) 的無代理程式弱點評估掃描。 擴充多重雲端環境的涵蓋範圍,以今年早些時候針對AWS和Google GCP的進階威脅防護和 Kubernetes 環境強化版本為基礎。 無代理程式模型會在您的帳戶中建立 AWS 資源,以掃描您的映射,而不需要從 AWS 帳戶中擷取映像,且工作負載上沒有使用量。

ECR 存放庫中映像的無代理程式弱點評估掃描可藉由持續掃描映射來識別和管理容器弱點,協助減少容器化資產的攻擊面。 使用這個新版本,適用於雲端的 Defender 將容器映像推送至存放庫后掃描容器映像,並持續重新評估登錄中的 ECR 容器映像。 這些結果可在 適用於雲端的 Microsoft Defender 中作為建議使用,而且您可以使用 適用於雲端的 Defender 的內建自動化工作流程對結果採取動作,例如開啟票證來修正映像中的高嚴重性弱點。

深入瞭解 Amazon ECR 映射的弱點評估。

2022 年 9 月

9 月的更新包括:

根據容器和 Kubernetes 實體隱藏警示

  • Kubernetes 命名空間
  • Kubernetes Pod
  • Kubernetes 祕密
  • Kubernetes ServiceAccount
  • Kubernetes ReplicaSet
  • Kubernetes StatefulSet
  • Kubernetes DaemonSet
  • Kubernetes 作業
  • Kubernetes CronJob

深入瞭解 警示歸並規則

適用於伺服器的Defender支援使用 Azure 監視器代理程式進行檔案完整性監視

檔案完整性監視 (FIM) 會檢查作業系統檔案和登錄是否有可能表示攻擊的變更。

FIM 現在可在以 Azure 監視器代理程式 (AMA) 為基礎的新版本中取得,您可以透過 適用於雲端的 Defender 進行部署。

舊版評定 API 已淘汰

下列 API 已被取代:

  • 安全性工作
  • 安全性狀態
  • 安全性摘要

這三個 API 會公開舊格式的評定,並由評定 API子評估 API 取代。 這些舊版 API 所公開的所有數據,也可以在新的 API 中使用。

新增至身分識別的額外建議

適用於雲端的 Defender 改善使用者和帳戶管理的建議。

新建議

新版本包含下列功能:

  • 擴充評估範圍 – Azure 資源上沒有 MFA 的身分識別帳戶和外部帳戶的涵蓋範圍 已改善,這可讓您的安全性系統管理員檢視每個帳戶的角色指派。

  • 改善的新鮮度間隔 - 身分識別建議現在有 12 小時的新鮮度間隔。

  • 帳戶豁免功能 - 適用於雲端的 Defender 有許多功能可用來自定義您的體驗,並確保您的安全分數反映貴組織的安全性優先順序。 例如,您可以 免除安全分數的資源和建議。

    此更新可讓您使用下表所列的六項建議,免除特定帳戶的評估。

    一般而言,您會免除 MFA 建議的緊急「打破玻璃」帳戶,因為這類帳戶通常被故意排除在組織的 MFA 需求之外。 或者,您可能有想要允許存取的外部帳戶,但未啟用 MFA。

    提示

    當您豁免帳戶時,它不會顯示為狀況不良,也不會造成訂用帳戶顯示為狀況不良。

    建議 評量金鑰
    具有 Azure 資源擁有者權限的帳戶應啟用 MFA 6240402e-f77c-46fa-9060-a7ce53997754
    具有 Azure 資源寫入權限的帳戶應啟用 MFA c0cb17b2-0607-48a7-b0e0-903ed22de39b
    具有 Azure 資源讀取權限的帳戶應啟用 MFA dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
    應移除具有 Azure 資源擁有者權限的來賓帳戶 20606e75-05c4-48c0-9d97-add6daa2109a
    具有 Azure 資源寫入權限的來賓帳戶應移除 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
    具有 Azure 資源讀取權限的來賓帳戶應移除 fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
    具有 Azure 資源擁有者權限的已封鎖帳戶應移除 050ac097-3dda-4d24-ab6d-82568e7a50cf
    具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

雖然處於預覽狀態,但建議會出現在 GA 中的建議旁邊。

已移除向跨租使用者 Log Analytics 工作區報告之機器的安全性警示

在過去,適用於雲端的 Defender 可讓您選擇Log Analytics代理程式回報的工作區。 當計算機屬於一個租使用者(租使用者 A),但其 Log Analytics 代理程式向不同租使用者中的工作區報告時(「租使用者 B」),機器的安全性警示會回報給第一個租使用者(租使用者 A)。

有了這項變更,連線至不同租使用者之Log Analytics工作區的機器上的警示就不會再出現在 適用於雲端的 Defender 中。

如果您想要繼續接收 適用於雲端的 Defender 中的警示,請將相關計算機的Log Analytics代理程式連線到與電腦相同租使用者中的工作區。

深入瞭解 安全性警示

2022 年 8 月

8 月的更新包括:

Windows 容器上的適用於容器的 Defender 現在可以看到執行映射的弱點

適用於容器的Defender現在會顯示執行 Windows 容器的弱點。

偵測到弱點時,適用於雲端的 Defender 會產生下列安全性建議,列出偵測到的問題:執行中的容器映像應該會解決弱點結果。

深入了解檢視 執行中映像的弱點。

Azure 監視器代理程式整合現已處於預覽狀態

適用於雲端的 Defender 現在包含的預覽支援Azure 監視器代理程式 (AMA)。 AMA 旨在取代舊版 Log Analytics 代理程式(也稱為Microsoft監視代理程式 #MMA),其位於淘汰路徑上。 AMA 為舊版代理程式提供許多優點

在 適用於雲端的 Defender 中,當您啟用 AMA 的自動布建時,代理程式會部署在訂用帳戶中偵測到的現有和新的 VM 和已啟用 Azure Arc 的機器上。 如果已啟用適用於雲端的Defender方案,AMA會從 Azure VM 和 Azure Arc 機器收集組態資訊和事件記錄檔。 AMA 整合處於預覽狀態,因此建議您在測試環境中使用它,而不是在生產環境中使用。

下表列出已被取代的警示:

警示名稱 描述 手段 嚴重性
在 Kubernetes 節點上偵測到的 Docker 建置作業
(VM_ImageBuildOnNode)
機器記錄指出 Kubernetes 節點上容器映像的建置作業。 雖然此行為可能是合法的,但攻擊者可能會在本機建置其惡意映射,以避免偵測。 防禦規避
Kubernetes API 的可疑要求
(VM_KubernetesAPI)
計算機記錄指出已對 Kubernetes API 提出可疑的要求。 要求是從 Kubernetes 節點傳送的,可能是來自節點中執行的其中一個容器。 雖然此行為可能是刻意的,但它可能表示節點正在執行遭入侵的容器。 LateralMovement
SSH 伺服器正在容器內執行
(VM_ContainerSSH)
計算機記錄指出 SSH 伺服器正在 Docker 容器內執行。 雖然此行為可能是刻意的,但通常會指出容器設定錯誤或遭到入侵。 執行

這些警示可用來通知用戶連線至 Kubernetes 叢集的可疑活動。 警示會取代為符合的警示,這些警示屬於 適用於雲端的 Microsoft Defender 容器警示的一部分,K8S.NODE_ImageBuildOnNodeK8S.NODE_ KubernetesAPIK8S.NODE_ ContainerSSH其可提供改善的精確度和完整的內容,以調查和處理警示。 深入瞭解 Kubernetes 叢集的警示

容器弱點現在包含詳細的套件資訊

適用於容器的 Defender 弱點評估 (VA) 現在包含每個尋找的詳細套件資訊,包括:套件名稱、套件類型、路徑、已安裝的版本和固定版本。 套件資訊可讓您尋找易受攻擊的套件,以便補救弱點或移除套件。

此詳細的套件資訊可用於影像的新掃描。

容器弱點套件資訊的螢幕快照。

2022 年 7 月

7 月的更新包括:

適用於 Kubernetes 執行時間保護的雲端原生安全性代理程式的正式運作 (GA)

我們很高興分享 Kubernetes 運行時間保護的雲端原生安全性代理程式現已正式推出 (GA)!

Kubernetes 叢集的生產部署會隨著客戶繼續容器化其應用程式而持續成長。 為了協助進行此成長,適用於容器的Defender小組已開發雲端原生 Kubernetes 導向安全性代理程式。

新的安全性代理程式是以 eBPF 技術為基礎的 Kubernetes DaemonSet,且已完全整合到 AKS 叢集,作為 AKS 安全性配置檔的一部分。

安全性代理程式啟用可透過自動布建、建議流程、AKS RP 或使用 Azure 原則 大規模使用。

您現在可以在 AKS 叢集上部署 Defender 代理程式

在此公告中,運行時間防護 - 威脅偵測(工作負載)現在也已正式推出。

深入瞭解適用於容器的 Defender功能可用性

您也可以檢閱 所有可用的警示

請注意,如果您使用預覽版本, AKS-AzureDefender 則不再需要功能旗標。

適用於容器的 Defender VA 新增了偵測語言特定套件的支援 (預覽)

適用於容器的 Defender 弱點評估 (VA) 能夠偵測透過 OS 套件管理員部署的 OS 套件中的弱點。 我們現在擴充了 VA 偵測語言特定套件中包含的弱點的能力。

此功能處於預覽狀態,僅適用於Linux映像。

若要查看已新增的所有內含語言特定套件,請參閱適用於容器的 Defender功能完整清單及其可用性

防範 Operations Management 基礎結構弱點 CVE-2022-29149

Operations Management Infrastructure (OMI) 是一組雲端式服務,可從單一位置管理內部部署和雲端環境。 OMI 元件完全裝載於 Azure 中,而不是部署和管理內部部署資源。

Log Analytics 與執行 OMI 版本 13 的 Azure HDInsight 整合需要修補才能補救 CVE-2022-29149。 如需如何識別受此弱點和補救步驟影響之資源的相關信息,請檢閱 Microsoft 安全性更新指南有關此弱點的報告。

如果您的 Defender for Servers 已啟用弱點評量,您可以使用 此活頁簿 來識別受影響的資源。

與 Entra 許可權管理整合

適用於雲端的 Defender 已與 Microsoft Entra 權限管理 整合,這是雲端基礎結構權利管理 (CIEM) 解決方案,可提供 Azure、AWS 和 GCP 中任何身分識別和任何資源許可權的完整可見度和控制。

您上線的每個 Azure 訂用帳戶、AWS 帳戶和 GCP 專案現在都會顯示許可權爬行索引 (PCI)檢視。

深入瞭解 Entra Permission Management (先前稱為 Cloudknox)

金鑰保存庫 建議變更為「稽核」

此處所列 金鑰保存庫 建議的效果已變更為「稽核」:

建議名稱 建議標識碼
憑證儲存在 Azure Key Vault 中的有效期間不應超過 12 個月 fc84abc0-eee6-4758-8372-a7681965ca44
Key Vault 祕密應設定到期日 14257785-9437-97fa-11ae-898cfb24302b
Key Vault 金鑰應具有到期日 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

取代 App Service 的 API 應用程式原則

我們已將下列原則取代為已存在的對應原則,以包含API 應用程式:

即將淘汰 變更為
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

2022 年 6 月

6 月的更新包括:

適用於 Azure Cosmos DB 的 Microsoft Defender 正式推出 (GA)

適用於 Azure Cosmos DB 的 Microsoft Defender 現已正式推出,並支援 SQL(核心)API 帳戶類型。

這個 GA 新版本是 適用於雲端的 Microsoft Defender 資料庫保護套件的一部分,其中包含不同類型的 SQL 資料庫和 MariaDB。 Microsoft適用於 Azure Cosmos DB 的 Defender 是 Azure 原生安全性層,可偵測嘗試利用 Azure Cosmos DB 帳戶中的資料庫。

透過啟用此計畫,您將透過遭入侵的身分識別或惡意測試人員,收到潛在 SQL 插入、已知不良動作專案、可疑存取模式,以及資料庫潛在探索的警示。

偵測到潛在的惡意活動時,系統會產生安全性警示。 這些警示提供可疑活動的詳細數據,以及相關的調查步驟、補救動作和安全性建議。

Microsoft適用於 Azure Cosmos DB 的 Defender 會持續分析 Azure Cosmos DB 服務所產生的遙測串流,並與Microsoft威脅情報和行為模型交叉,以偵測任何可疑活動。 適用於 Azure Cosmos DB 的 Defender 不會存取 Azure Cosmos DB 帳戶數據,也不會對資料庫的效能有任何影響。

深入了解 適用於 Azure Cosmos DB 的 Microsoft Defender。

有了 Azure Cosmos DB 的支援,適用於雲端的 Defender 現在為雲端式資料庫提供最全面的工作負載保護供應專案之一。 安全性小組和資料庫擁有者現在可以集中體驗來管理其環境的資料庫安全性。

瞭解如何 為您的資料庫啟用保護

AWS 和 GCP 環境機器上適用於 SQL 的 Defender 正式推出 (GA)

適用於雲端的 Microsoft Defender 所提供的資料庫保護功能已新增對裝載於 AWS 或 GCP 環境中的 SQL 伺服器支援。

適用於 SQL 的 Defender 企業現在可以保護其整個資料庫資產,裝載於 Azure、AWS、GCP 和內部部署機器中。

Microsoft適用於 SQL 的 Defender 提供統一的多雲端體驗,可檢視 SQL Server 和內嵌 Windows OS 的安全性建議、安全性警示和弱點評估結果。

使用多重雲端上線體驗,您可以針對在 AWS EC2、RDS Custom for SQL Server 和 GCP 計算引擎上執行的 SQL Server 啟用並強制執行資料庫保護。 啟用上述任一方案之後,訂用帳戶內所有支持的資源都會受到保護。 未來在相同訂用帳戶上建立的資源也會受到保護。

瞭解如何使用 適用於雲端的 Microsoft Defender 保護 AWS 環境和 GCP 組織並加以連線。

推動安全性建議的實作,以增強安全性狀態

現今對組織的日益嚴重的威脅會延展安全性人員的限制,以保護其擴充的工作負載。 安全性小組會受到挑戰,以實作其安全策略中定義的保護。

現在有了預覽版的治理體驗,安全性小組可以將安全性建議的補救指派給資源擁有者,並要求補救排程。 他們可以完全透明地瞭解補救進度,並在工作逾期時收到通知。

深入瞭解推動貴組織補救建議治理的安全性問題中的治理體驗

依IP位址篩選安全性警示

在許多情況下,您想要根據攻擊中實體的IP位址來追蹤警示。 到目前為止,IP 只會出現在單一警示窗格中的 [相關實體] 區段中。 現在,您可以在安全性警示頁面中篩選警示,以查看與IP位址相關的警示,而且您可以搜尋特定IP位址。

適用於雲端的 Defender 警示中 I P 位址篩選的螢幕快照。

依資源群組的警示

依資源群組篩選、排序和分組的能力會新增至 [安全性警示] 頁面。

資源群組數據行會新增至警示方格。

新增資源群組數據行的螢幕快照。

已新增新的篩選,可讓您檢視特定資源群組的所有警示。

顯示新資源群組篩選條件的螢幕快照。

您現在可以依資源群組分組警示,以檢視每個資源群組的所有警示。

顯示如何依資源群組分組時檢視警示的螢幕快照。

自動布建 適用於端點的 Microsoft Defender 統一解決方案

到目前為止,與 適用於端點的 Microsoft Defender (MDE) 整合包括自動安裝適用於機器的新 MDE 整合解決方案(Azure 訂用帳戶和多雲端連接器),並啟用適用於伺服器的 Defender 方案 1,以及啟用 Defender for Servers 方案 2 的多雲端連接器。 Azure 訂用帳戶的方案 2 僅針對 Linux 機器和 Windows 2019 和 2022 伺服器啟用統一解決方案。 Windows Server 2012R2 和 2016 使用相依於 Log Analytics 代理程式的 MDE 舊版解決方案。

現在,新的整合解決方案適用於這兩個方案中的所有機器,適用於 Azure 訂用帳戶和多重雲端連接器。 針對在 2022 年 6 月 20 日之後啟用 MDE 整合的伺服器方案 2 的 Azure 訂用帳戶,預設會針對所有機器啟用 Azure 訂用帳戶,且在 2022 年 6 月 20 日之前啟用 MDE 整合的 Defender 方案 2,現在可透過 [整合] 頁面中的專用按鈕,為 Windows Server 2012R2 和 2016 啟用整合解決方案:

深入瞭解 MDE 與適用於伺服器的 Defender 整合。

取代「API 應用程式只能透過 HTTPS 存取」原則

API App should only be accessible over HTTPS原則已被取代。 此原則會取代為 Web Application should only be accessible over HTTPS 重新命名為 App Service apps should only be accessible over HTTPS的原則。

若要深入瞭解 Azure App 服務 的原則定義,請參閱 Azure 原則 Azure App 服務 的內建定義。

新增 金鑰保存庫 警示

為了擴充適用於 金鑰保存庫 Microsoft Defender 所提供的威脅防護,我們新增了兩個新的警示。

這些警示會通知您任何金鑰保存庫的存取遭拒異常。

警示 (警示類型) 描述 MITRE 策略 嚴重性
異常拒絕存取 - 使用者存取大量密鑰保存庫遭到拒絕
(KV_DeniedAccountVolumeAnomaly)
用戶或服務主體在過去 24 小時內嘗試存取異常大量的金鑰保存庫。 此異常存取模式可能是合法的活動。 雖然此嘗試失敗,但可能是可能嘗試取得密鑰保存庫及其內含秘密的嘗試。 我們建議進一步調查。 探索
異常存取遭拒 - 異常使用者存取密鑰保存庫遭拒
(KV_UserAccessDeniedAnomaly)
未正常存取金鑰保存庫的用戶嘗試存取金鑰保存庫,此異常存取模式可能是合法的活動。 雖然此嘗試失敗,但可能是可能嘗試取得密鑰保存庫及其內含秘密的嘗試。 初始存取、探索

2022 年 5 月

5 月份的更新包括:

伺服器方案的多重雲端設定現在可在連接器層級中使用

現在多雲端中適用於伺服器的 Defender 有連接器層級設定。

新的連接器層級設定會針對每個連接器提供定價和自動布建組態的數據粒度,與訂用帳戶無關。

默認會啟用連接器層級中所有可用的自動布建元件(Azure Arc、MDE 和弱點評估),而新的設定同時支援 方案 1 和方案 2 定價層

UI 中的更新包含所選定價層的反映,以及設定的必要元件。

主方案頁面的螢幕快照,其中包含 [伺服器方案多重雲端設定]。

已啟用 multicloud 連接器的自動布建頁面螢幕快照。

弱點評估的變更

適用於容器的 Defender 現在會顯示具有無法修補的中低嚴重性弱點。

在此更新中,現在會顯示有中度和低嚴重性弱點的弱點,無論是否有可用的修補程式。 此更新提供最大可見度,但仍可讓您使用提供的 [停用] 規則來篩選出不想要的弱點。

停用規則畫面的螢幕快照。

深入瞭解 弱點管理

VM 的 JIT (Just-In-Time) 存取現已可供 AWS EC2 實例使用(預覽)

當您 連線 AWS 帳戶時,JIT 會自動評估實例安全組的網路設定,並建議哪些實例需要保護其公開的管理埠。 這類似於 JIT 如何與 Azure 搭配運作。 當您將未受保護的 EC2 實例上線時,JIT 會封鎖對管理埠的公用存取,並只以有限的時間範圍內授權要求開啟它們。

瞭解 JIT 如何 保護您的 AWS EC2 實例

使用 CLI 新增和移除適用於 AKS 叢集的 Defender 感測器

適用於容器的Defender需要Defender代理程式,才能提供運行時間保護,並從節點收集訊號。 您現在可以使用 Azure CLI 來 新增和移除 AKS 叢集的 Defender 代理程式

注意

此選項包含在 Azure CLI 3.7 和更新版本

2022 年 4 月

4 月的更新包括:

適用於伺服器的新Defender方案

Microsoft適用於伺服器的 Defender 現在提供兩個累加方案:

  • 適用於伺服器的 Defender 方案 2,先前為適用於伺服器的 Defender
  • 適用於伺服器的 Defender 方案 1,僅支援 適用於端點的 Microsoft Defender

雖然適用於伺服器的 Defender 方案 2 會繼續提供保護,防止雲端和內部部署工作負載的威脅和弱點,但適用於伺服器的 Defender 方案 1 僅提供端點保護,由原生整合的適用於端點的 Defender 提供。 深入瞭解 適用於伺服器的 Defender 方案

如果您一直使用適用於伺服器的 Defender,直到現在不需要採取任何動作。

此外,適用於雲端的 Defender 也開始逐步支援適用於端點的Defender整合代理程式,適用於 Windows Server 2012 R2 和 2016。 適用於伺服器的 Defender 方案 1 會將新的整合代理程式部署到 Windows Server 2012 R2 和 2016 工作負載。

重新配置自定義建議

自定義建議是由使用者所建立,且對安全分數沒有任何影響。 您現在可以在 [所有建議] 索引標籤下找到自訂建議。

使用新的「建議類型」篩選條件,找出自定義建議。

在建立自定義安全性計劃與原則深入瞭解。

將警示串流至 Splunk 和 IBM QRadar 的 PowerShell 腳本

我們建議您使用事件中樞和內建連接器,將安全性警示導出至Splunk和IBM QRadar。 現在您可以使用PowerShell腳本來設定匯出訂用帳戶或租使用者安全性警示所需的 Azure 資源。

只要下載並執行PowerShell腳本即可。 在您提供一些環境詳細數據之後,腳本會為您設定資源。 然後腳本會產生您在 SIEM 平臺中用來完成整合的輸出。

若要深入瞭解,請參閱 將警示串流至 Splunk 和 QRadar

已淘汰 Azure Cache for Redis 建議

建議 Azure Cache for Redis should reside within a virtual network [預覽] 已被取代。 我們已變更保護 Azure Cache for Redis 實例的指導方針。 我們建議使用私人端點來限制對 Azure Cache for Redis 實例的存取,而不是虛擬網路。

Microsoft適用於記憶體的 Defender 的新警示變體(預覽版)可偵測敏感數據暴露

Microsoft適用於記憶體的 Defender 警示會在威脅執行者嘗試掃描和公開、成功或未正確設定、公開公開記憶體容器以嘗試外洩敏感性資訊時通知您。

為了允許更快的分級和回應時間,當可能外泄潛在敏感數據時,我們已發行現有 Publicly accessible storage containers have been exposed 警示的新變化。

新的警示 Publicly accessible storage containers with potentially sensitive data have been exposed會以 High 嚴重性層級觸發,在成功探索具有統計上很少公開的名稱公開的記憶體容器之後,建議他們可能會保存敏感性資訊。

警示 (警示類型) 描述 MITRE 策略 嚴重性
預覽 - 公開具有潛在敏感數據的可公開記憶體容器
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)
有人掃描了您的 Azure 儲存體 帳戶,並公開了允許公用存取的容器。 一或多個公開的容器具有名稱,指出它們可能包含敏感數據。

這通常表示威脅執行者正在掃描可能包含敏感數據之已設定錯誤的可公開存取記憶體容器的偵察。

在威脅執行者成功探索容器之後,可能會繼續外泄數據。
✔ Azure Blob 儲存體
✖ Azure 檔案儲存體
✖ Azure Data Lake Storage Gen2
集合

使用IP位址信譽增強的容器掃描警示標題

IP 位址的信譽可以指出掃描活動是否來自已知的威脅執行者,或來自使用 Tor 網路來隱藏其身分識別的動作專案。 這兩個指標都表明有惡意意圖。 IP 位址的信譽是由威脅情報Microsoft提供。

將IP位址的信譽新增至警示標題,可讓您快速評估動作專案的意圖,進而評估威脅的嚴重性。

下列警示將包含這項資訊:

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

例如,警示標題 Publicly accessible storage containers have been exposed 中新增的信息看起來會像這樣:

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

Microsoft適用於記憶體的 Defender 的所有警示都會繼續在警示的 [相關實體] 區段下的 IP 實體中包含威脅情報資訊。

查看與安全性警示相關的活動記錄

身為評估安全性警示所採取動作的一部分,您可以在 [檢查資源內容] 中找到相關的平台記錄,以取得受影響資源的相關內容。 適用於雲端的 Microsoft Defender 會識別警示一天內的平台記錄。

平台記錄可協助您評估安全性威脅,並識別可採取以減輕已識別風險的步驟。

2022 年 3 月

3 月的更新包括:

AWS 和 GCP 環境的安全分數全域可用性

適用於雲端的 Microsoft Defender 所提供的雲端安全性狀態管理功能,現在已在安全分數內新增 AWS 和 GCP 環境的支援。

企業現在可以跨各種環境檢視其整體安全性狀態,例如 Azure、AWS 和 GCP。

[安全分數] 頁面會取代為 [安全性狀態] 儀錶板。 [安全性狀態] 儀錶板可讓您檢視所有環境的整體合併分數,或根據您選擇的任何環境組合,檢視安全性狀態的細目。

[建議] 頁面也經過重新設計,以提供新功能,例如:雲端環境選取、以內容為基礎的進階篩選(資源群組、AWS 帳戶、GCP 專案等等),改善在低解析度上的使用者介面、支援在資源圖表中開啟查詢等等。 您可以深入瞭解整體 安全性狀態 和安全性 建議

已淘汰安裝網路流量數據收集代理程序的建議

我們的藍圖和優先順序變更已移除網路流量數據收集代理程式的需求。 下列兩項建議及其相關原則已被取代。

建議 描述 嚴重性
應在Linux虛擬機上安裝網路流量數據收集代理程式 適用於雲端的 Defender 會使用Microsoft相依性代理程式收集來自 Azure 虛擬機的網路流量數據,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議和特定網路威脅。
網路流量數據收集代理程式應該安裝在 Windows 虛擬機上 適用於雲端的 Defender 會使用Microsoft相依性代理程式收集來自 Azure 虛擬機的網路流量數據,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議,以及特定網路威脅。

適用於容器的 Defender 現在可以掃描 Windows 映射中的弱點 (預覽)

適用於容器的 Defender 映射掃描現在支援裝載在 Azure Container Registry 中的 Windows 映像。 此功能在預覽期間是免費的,而且會在正式推出時產生成本。

若要深入瞭解,請參閱 使用適用於容器的Defender Microsoft掃描映像是否有弱點

適用於記憶體的 Microsoft Defender 的新警示 (預覽)

為了擴充適用於記憶體的Defender Microsoft所提供的威脅防護,我們新增了新的預覽警示。

威脅執行者會使用應用程式和工具來探索和存取記憶體帳戶。 Microsoft適用於記憶體的 Defender 會偵測到這些應用程式和工具,讓您可以加以封鎖並補救您的狀態。

此預覽警示稱為 Access from a suspicious application。 警示僅與 Azure Blob 儲存體 和 ADLS Gen2 相關。

警示 (警示類型) 描述 MITRE 策略 嚴重性
預覽 - 從可疑應用程式存取
(Storage.Blob_SuspiciousApp)
表示可疑的應用程式已成功存取具有驗證的記憶體帳戶容器。
這可能表示攻擊者已取得存取帳戶所需的認證,並正在利用它。 這也表示在您的組織中進行的滲透測試。
適用於:Azure Blob 儲存體、Azure Data Lake Storage Gen2
初始存取

從警示設定電子郵件通知設定

已將新區段新增至警示使用者介面 (UI),可讓您檢視和編輯誰將會收到目前訂用帳戶上觸發之警示的電子郵件通知。

顯示如何設定電子郵件通知的新UI螢幕快照。

瞭解如何 設定安全性警示的電子郵件通知。

已淘汰的預覽警示:ARM。MCAS_ActivityFromAnonymousIPAddresses

下列預覽警示已被取代:

警示名稱 描述
預覽 - 來自具風險 IP 位址的活動
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
偵測到已識別為匿名 Proxy IP 位址的IP位址的用戶活動。
這些 Proxy 可供想要隱藏其裝置 IP 位址的人員使用,並可用於惡意意圖。 此偵測會使用可減少誤判的機器學習演算法,例如組織使用者廣泛使用的錯誤標記IP位址。
需要作用中 適用於雲端的 Microsoft Defender 應用程式授權。

已建立新的警示,提供這項資訊並新增至該警示。 此外,較新的警示(ARM_OperationFromSuspiciousIP、ARM_OperationFromSuspiciousProxyIP)不需要 適用於雲端的 Microsoft Defender Apps 的授權(先前稱為Microsoft 雲端 App 安全性)。

請參閱 Resource Manager更多警示。

將容器安全性設定中的弱點建議從安全分數補救到最佳做法

建議 Vulnerabilities in container security configurations should be remediated 已從安全分數區段移至最佳做法區段。

目前的用戶體驗只會提供所有合規性檢查通過時的分數。 大部分的客戶都很難滿足所有必要的檢查。 我們正在處理此建議的改善體驗,一旦發行建議,建議就會移回安全分數。

已淘汰使用服務主體來保護訂用帳戶的建議

當組織遠離使用管理憑證來管理其訂用帳戶,以及我們最近宣佈即將淘汰 雲端服務 (傳統) 部署模型時,我們淘汰了下列 適用於雲端的 Defender 建議及其相關原則:

建議 描述 嚴重性
服務主體應該用來保護您的訂用帳戶,而不是管理憑證 管理憑證可讓任何向他們進行驗證的人員管理他們相關聯的訂用帳戶。 若要更安全地管理訂用帳戶,建議在憑證遭入侵的情況下使用服務主體來限制爆破半徑。 它也會自動化資源管理。
(相關原則: 服務主體應該用來保護您的訂用帳戶,而不是管理憑證

深入了解:

舊版 ISO 27001 實作已取代為新的 ISO 27001:2013 方案

ISO 27001 的舊版實作已從 適用於雲端的 Defender 的法規合規性儀錶板中移除。 如果您要追蹤 ISO 27001 合規性與 適用於雲端的 Defender,請針對所有相關管理群組或訂用帳戶上線新的 ISO 27001:2013 標準。

適用於雲端的 Defender 的法規合規性儀錶板,顯示移除舊版 ISO 27001 實作的相關訊息。

適用於 IoT 裝置的 Defender 建議已被取代Microsoft

Microsoft適用於IoT的Defender裝置建議不再顯示在 適用於雲端的 Microsoft Defender 中。 Microsoft適用於IoT的Defender建議頁面仍提供這些建議。

下列建議已被取代:

評量金鑰 建議
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b:IoT 裝置 在裝置上開啟埠
ba975338-f956-41e7-a9f2-7614832d382d:IoT 裝置 在輸入鏈結中發現寬鬆的防火牆規則
beb62be3-5e78-49bd-ac5f-099250ef3c7c:IoT 裝置 找到其中一個鏈結中的寬鬆防火牆原則
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a:IoT 裝置 在輸出鏈結中發現寬鬆的防火牆規則
5f65e47f-7a00-4bf3-acae-90ee441ee876:IoT 裝置 操作系統基準驗證失敗
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879:IoT 裝置 傳送使用量過低訊息的代理程式
2acc27c6-5fdb-405e-9080-cb66b850c8f5:IoT 裝置 需要升級 TLS 加密套件
d74d2738-2485-4103-9919-69c7e63776ec:IoT 裝置 Auditd 進程已停止傳送事件

適用於 IoT 裝置的 Defender 警示已被取代Microsoft

適用於雲端的 Microsoft Defender 不再顯示所有Microsoft適用於IoT的Defender裝置警示。 這些警示仍可在適用於IoT的 Microsoft Defender 的 [警示] 頁面上,並在 Microsoft Sentinel 中使用。

AWS 和 GCP 的狀態管理和威脅防護已發行正式運作 (GA)

  • 適用於雲端的 Defender 的 CSPM 功能延伸至 AWS 和 GCP 資源。 此無代理程式方案會根據安全分數中包含的雲端特定安全性建議,評估您的多重雲端資源。 資源會使用內建標準來評估合規性。 適用於雲端的 Defender 的資產清查頁面是啟用多重雲端的功能,可讓您與 Azure 資源一起管理 AWS 資源。

  • Microsoft適用於伺服器的 Defender 會將威脅偵測和進階防禦帶到 AWS 和 GCP 中的計算實例。 適用於伺服器的 Defender 方案包含 適用於端點的 Microsoft Defender、弱點評估掃描等整合式授權。 瞭解虛擬機和伺服器的所有支援功能。 自動上線功能可讓您輕鬆地連接環境中探索到的任何現有或新的計算實例。

瞭解如何使用 適用於雲端的 Microsoft Defender 保護及連線 AWS 環境和 GCP 組織。

ACR 中 Windows 映射的登錄掃描新增了對國家雲端的支援

Azure Government 和由 21Vianet 運作的 Azure Microsoft 現在支援 Windows 映像的登錄掃描。 此新增功能目前為預覽狀態。

深入瞭解功能 的可用性

2022 年 2 月

2 月的更新包括:

已啟用 Arc 的 Kubernetes 叢集 Kubernetes 工作負載保護

適用於容器的 Defender 先前只會保護在 Azure Kubernetes Service 中執行的 Kubernetes 工作負載。 我們現在已擴充保護涵蓋範圍,以包含已啟用 Azure Arc 的 Kubernetes 叢集。

瞭解如何 為已啟用 AKS 和 Azure Arc 的 Kubernetes 叢集設定 Kubernetes 工作負載保護

GCP 的原生 CSPM 和 GCP 計算實例的威脅防護

GCP 環境的新自動化上線可讓您使用 適用於雲端的 Microsoft Defender 來保護 GCP 工作負載。 適用於雲端的 Defender 使用下列方案保護您的資源:

  • 適用於雲端的 Defender 的 CSPM 功能延伸至您的 GCP 資源。 此無代理程式計劃會根據 GCP 特定的安全性建議來評估您的 GCP 資源,這些建議會提供 適用於雲端的 Defender。 GCP 建議會包含在您的安全分數中,系統會評估資源是否符合內建的 GCP CIS 標準。 適用於雲端的 Defender 的資產清查頁面是啟用多重雲端的功能,可協助您跨 Azure、AWS 和 GCP 管理資源。

  • Microsoft適用於伺服器的 Defender 會為您的 GCP 計算實例帶來威脅偵測和進階防禦。 此方案包含 適用於端點的 Microsoft Defender 整合式授權、弱點評估掃描等等。

    如需可用功能的完整清單,請參閱 虛擬機和伺服器的支援功能。 自動上線功能可讓您輕鬆地連接環境中探索到的任何現有和新的計算實例。

瞭解如何使用 適用於雲端的 Microsoft Defender 保護 GCP 專案,以及連接您的 GCP 專案

適用於 Azure Cosmos DB 的 Microsoft Defender 方案已發行預覽

我們已擴充 適用於雲端的 Microsoft Defender的資料庫涵蓋範圍。 您現在可以為 Azure Cosmos DB 資料庫啟用保護。

Microsoft適用於 Azure Cosmos DB 的 Defender 是一種 Azure 原生安全性層,可偵測任何嘗試惡意探索 Azure Cosmos DB 帳戶中的資料庫。 「適用於 Azure Cosmos DB 的 Microsoft Defender」偵測 SQL 插入、根據 Microsoft 威脅情報而得知的惡意執行者、可疑的存取模式,以及可能利用盜用身分識別或惡意內部人員而惡意探索資料庫。

它會持續分析 Azure Cosmos DB 服務所產生的客戶數據流。

偵測到潛在的惡意活動時,系統會產生安全性警示。 這些警示會顯示在適用於雲端的 Microsoft Defender 中,並且會顯示可疑活動的詳細資料,以及相關的調查步驟、補救動作和安全性建議。

啟用服務時,不會影響資料庫效能,因為適用於 Azure Cosmos DB 的 Defender 不會存取 Azure Cosmos DB 帳戶數據。

如需詳細資訊,請參閱 適用於 Azure Cosmos DB 的 Microsoft Defender 概觀。

我們也引進了資料庫安全性的新啟用體驗。 您現在可以在訂用帳戶上啟用 適用於雲端的 Microsoft Defender 保護,以保護所有資料庫類型,例如 Azure Cosmos DB、Azure SQL 資料庫、機器上的 Azure SQL 伺服器,以及透過一個啟用程式Microsoft適用於開放原始碼關係資料庫的 Defender。 您可以透過設定方案來包含或排除特定資源類型。

瞭解如何 在訂用帳戶層級啟用資料庫安全性。

Google Kubernetes Engine (GKE) 叢集的威脅防護

在最近宣告 適用於 GCP 的原生 CSPM 和 GCP 計算實例的威脅防護之後,Microsoft適用於容器的 Defender 已將其 Kubernetes 威脅防護、行為分析和內建許可控制原則延伸至 Google Kubernetes Engine (GKE) 標準叢集。 您可以透過我們的自動上線功能,輕鬆地將任何現有或新的 GKE Standard 叢集上架到您的環境。 如需可用功能的完整清單,請參閱具有 適用於雲端的 Microsoft Defender 的容器安全性。

2022 年 1 月

1 月的更新包括:

Microsoft適用於 Resource Manager 的 Defender 更新了新的警示,並更強調對應至 MITRE ATT&CK® 矩陣的高風險作業

雲端管理層是可連線至您所有雲端資源的關鍵服務。 因此,這也是攻擊者的潛在目標。 我們建議安全性作業小組密切監視資源管理層。

無論是透過 Azure 入口網站、Azure REST API、Azure CLI 或其他 Azure 程式設計用戶端來執行作業,適用於 Resource Manager 的 Microsoft Defender 均會自動監視您組織中的資源管理作業。 適用於雲端的 Defender 會執行進階的安全性分析來偵測威脅,並針對可疑的活動發出警示。

該計劃的保護可大幅增強組織的抵禦威脅執行者攻擊的復原能力,並大幅增加受 適用於雲端的 Defender 保護的 Azure 資源數目。

在 2020 年 12 月,我們推出了適用於 Resource Manager 的 Defender 預覽版,並在 2021 年 5 月推出正式發行方案。

透過此更新,我們已全面修訂適用於 Resource Manager 的 Microsoft Defender 方案的重點。 更新的計劃包含許多 新的警示,著重於識別高風險作業的可疑調用。 這些新警示針對雲端式技術的完整 MITRE ATT&CK® 矩陣中的攻擊提供廣泛的監視。

此矩陣涵蓋威脅執行者可能以組織資源為目標的潛在意圖範圍: 初始存取、執行、持續性、許可權提升、防禦逃避、認證存取、探索、橫向移動、集合、外泄和影響

此 Defender 方案的新警示涵蓋這些意圖,如下表所示。

提示

這些警示也會出現在 [警示參考] 頁面中

警示 (警示類型) 描述 MITRE 策略 (意圖) 嚴重性
偵測到高風險「初始存取」作業的可疑調用(預覽)
(ARM_AnomalousOperation.InitialAccess)
Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試存取受限制的資源。 識別的作業是設計來允許系統管理員有效率地存取其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來取得環境中受限制資源的初始存取權。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。 初始存取
偵測到高風險「執行」作業的可疑調用(預覽)
(ARM_AnomalousOperation.Execution)
Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中機器上高風險作業的可疑調用,這可能表示嘗試執行程序代碼。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。 執行
偵測到高風險「持續性」作業的可疑調用(預覽)
(ARM_AnomalousOperation.Persistence)
Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試建立持續性。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業在您的環境中建立持續性。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。 持續性
偵測到高風險「許可權提升」作業的可疑調用(預覽)
(ARM_AnomalousOperation.PrivilegeEscalation)
Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試提升許可權。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來提升許可權,同時危害您環境中的資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。 權限提升
偵測到高風險「防禦逃逸」作業的可疑調用(預覽)
(ARM_AnomalousOperation.DefenseEvasion)
Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試逃避防禦。 識別的作業是設計來讓系統管理員有效率地管理其環境的安全性狀態。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業,以避免在危害您環境中的資源時偵測到。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。 防禦規避
偵測到高風險「認證存取」作業的可疑調用(預覽)
(ARM_AnomalousOperation.CredentialAccess)
Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試存取認證。 識別的作業是設計來允許系統管理員有效率地存取其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。 認證存取權
偵測到高風險「橫向移動」作業的可疑調用(預覽)
(ARM_AnomalousOperation.LateralMovement)
Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試執行橫向移動。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來危害環境中的其他資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。 橫向移動
偵測到高風險「數據收集」作業的可疑調用(預覽)
(ARM_AnomalousOperation.Collection)
Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試收集數據。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來收集環境中資源的敏感數據。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。 集合
偵測到高風險「影響」作業的可疑調用(預覽)
(ARM_AnomalousOperation.Impact)
Microsoft適用於 Resource Manager 的 Defender 識別出訂用帳戶中高風險作業的可疑調用,這可能表示嘗試的設定變更。 識別的作業是設計來允許系統管理員有效率地管理其環境。 雖然此活動可能是合法的,但威脅執行者可能會利用這類作業來存取受限制的認證,並危害您環境中的資源。 這表示帳戶遭到入侵,且正與惡意意圖搭配使用。 影響

此外,此方案的這兩個警示已推出預覽:

警示 (警示類型) 描述 MITRE 策略 (意圖) 嚴重性
來自可疑IP位址的 Azure Resource Manager 作業
(ARM_OperationFromSuspiciousIP)
Microsoft適用於 Resource Manager 的 Defender 偵測到 IP 位址中的作業,該 IP 位址在威脅情報摘要中標示為可疑。 執行
來自可疑 Proxy IP 位址的 Azure Resource Manager 作業
(ARM_OperationFromSuspiciousProxyIP)
Microsoft Defender for Resource Manager 偵測到與 Proxy 服務相關聯的 IP 位址的資源管理作業,例如 TOR。 雖然此行為可能是合法的,但當威脅執行者嘗試隱藏其來源IP時,通常會出現在惡意活動中。 防禦規避

在工作區上啟用 Microsoft Defender 方案的建議 (預覽版)

若要受益於適用於伺服器Microsoft Defender 的所有安全性功能,以及機器上適用於 SQL 的 Microsoft Defender,必須在訂用帳戶和工作區層級上啟用方案。

當計算機位於已啟用其中一個方案的訂用帳戶中時,系統會向您收取完整的保護費用。 不過,如果該計算機向未啟用方案的情況下向工作區報告,您實際上不會獲得這些權益。

我們新增了兩個建議,以醒目提示未啟用這些方案的工作區,但仍有機器從已啟用方案的訂用帳戶回報這些工作區。

這兩個建議都提供自動化補救(「修正」動作),包括:

建議 描述 嚴重性
應該在工作區上啟用適用於伺服器的Defender Microsoft Microsoft適用於伺服器的 Defender 為您的 Windows 和 Linux 機器帶來威脅偵測和進階防禦。
在訂用帳戶上啟用此 Defender 方案,但未在您的工作區上啟用,您需支付適用於伺服器的 Microsoft Defender 的完整功能,但缺少部分權益。
當您在工作區上啟用適用於伺服器的 Microsoft Defender 時,向該工作區報告的所有計算機都會針對適用於伺服器的 Microsoft Defender 計費,即使這些計算機是在未啟用 Defender 方案的訂用帳戶中也一樣。 除非您也啟用訂用帳戶上的 Microsoft Defender for Servers,否則這些機器將無法利用 Azure 資源的 Just-In-Time VM 存取、調適型應用程控和網路偵測。
若要深入瞭解,請參閱 適用於伺服器的 Microsoft Defender 概觀。
(無相關政策)
應在工作區上啟用適用於 SQL 的 Microsoft Defender Microsoft適用於伺服器的 Defender 為您的 Windows 和 Linux 機器帶來威脅偵測和進階防禦。
在訂用帳戶上啟用此 Defender 方案,但未在您的工作區上啟用,您需支付適用於伺服器的 Microsoft Defender 的完整功能,但缺少部分權益。
當您在工作區上啟用適用於伺服器的 Microsoft Defender 時,向該工作區報告的所有計算機都會針對適用於伺服器的 Microsoft Defender 計費,即使這些計算機是在未啟用 Defender 方案的訂用帳戶中也一樣。 除非您也啟用訂用帳戶上的 Microsoft Defender for Servers,否則這些機器將無法利用 Azure 資源的 Just-In-Time VM 存取、調適型應用程控和網路偵測。
若要深入瞭解,請參閱 適用於伺服器的 Microsoft Defender 概觀。
(無相關政策)

將 Log Analytics 代理程序自動布建至已啟用 Azure Arc 的機器 (預覽)

適用於雲端的 Defender 會使用Log Analytics代理程式從電腦收集安全性相關數據。 代理程式會讀取各種安全性相關組態和事件記錄檔,並將數據複製到您的工作區進行分析。

適用於雲端的 Defender 的自動布建設定具有每種支援延伸模組類型的切換,包括 Log Analytics 代理程式。

在進一步擴充混合式雲端功能時,我們新增了將Log Analytics代理程序自動布建至連線至 Azure Arc 的電腦的選項。

如同其他自動布建選項,這會在訂用帳戶層級進行設定。

當您啟用此選項時,系統會提示您輸入工作區。

注意

在此預覽中,您無法選取 適用於雲端的 Defender 所建立的預設工作區。 若要確保您收到已啟用 Azure Arc 的伺服器可用的一組完整安全性功能,請確認您已在選取的工作區上安裝相關的安全性解決方案。

如何將Log Analytics代理程式自動布建到已啟用 Azure Arc 的機器的螢幕快照。

已淘汰在 SQL 資料庫中分類敏感數據的建議

我們已移除 SQL 資料庫中的敏感數據建議,應分類為 適用於雲端的 Defender 如何識別及保護雲端資源中敏感性日期大修的一部分。

此變更的事先通知會出現在 [重要 適用於雲端的 Microsoft Defender 變更] 頁面中的最後六個月。

下列警示先前僅適用於已啟用 適用於 DNS 的 Microsoft Defender 方案的組織。

透過此更新,也會針對 已啟用適用於伺服器 Microsoft Defender 或 已啟用適用於App Service 方案的Defender訂閱顯示警示。

此外,Microsoft威脅情報已擴充已知的惡意網域清單,以包含與惡意探索與 Log4j 相關聯之廣為公開弱點的網域。

警示 (警示類型) 描述 MITRE 策略 嚴重性
與威脅情報所識別可疑網域的通訊
(AzureDNS_ThreatIntelSuspectDomain)
分析來自您資源的 DNS 交易,並與威脅情報摘要所識別的已知惡意網域進行比較,偵測到與可疑網域的通訊。 攻擊者經常執行與惡意網域的通訊,並可能表示您的資源遭到入侵。 初始存取/持續性/執行/命令和控制/惡意探索

[複製警示 JSON] 按鈕已新增至安全性警示詳細資料窗格

為了協助使用者快速與其他人分享警示的詳細數據(例如SOC分析師、資源擁有者和開發人員),我們已新增功能,輕鬆地從安全性警示的詳細數據窗格中擷取特定警示的所有詳細數據。

新的 [複製警示 JSON] 按鈕會將警示的詳細數據,以 JSON 格式放入使用者的剪貼簿。

警示詳細資料窗格中 [複製警示 JSON] 按鈕的螢幕快照。

已重新命名兩個建議

為了與其他建議名稱保持一致性,我們已將下列兩個建議重新命名:

  • 解決執行中容器映像中探索到弱點的建議

    • 先前的名稱:應補救執行中容器映像中的弱點(由 Qualys 提供電源)
    • 新名稱:執行容器映像應已解決弱點結果
  • 啟用 Azure App 服務 診斷記錄的建議

    • 先前的名稱:應在App Service 中啟用診斷記錄
    • 新名稱:應啟用App Service中的診斷記錄

取代 Kubernetes 叢集容器應該只接聽允許的埠原則

我們已淘汰 Kubernetes 叢集容器,應該只接聽允許的埠 建議。

原則名稱 描述 效果 版本
Kubernetes 叢集容器應該只接聽允許的埠 限制容器只在允許的埠上接聽,以保護對 Kubernetes 叢集的存取。 此原則已針對 Kubernetes Service (AKS) 正式推出,以及 AKS 引擎和已啟用 Azure Arc Kubernetes 的預覽。 如需詳細資訊,請參閱了解適用於 Kubernetes 叢集的 Azure 原則 稽核、拒絕、停用 6.1.2

服務應該只接聽允許的埠建議,以限制應用程式向因特網公開的埠。

已新增 [作用中警示] 活頁簿

為了協助使用者瞭解其環境的作用中威脅,並在補救程式期間設定作用中警示之間的優先順序,我們新增了作用中警示活頁簿。

顯示新增作用中警示活頁簿的螢幕快照。

作用中警示活頁簿可讓使用者依嚴重性、類型、標籤、MITRE ATT&CK策略和位置來檢視其匯總警示的統一儀錶板。 若要深入瞭解,請參閱使用「作用中 警示」活頁簿

新增至政府雲端的「系統更新」建議

所有政府雲端現在都提供「應該在您的機器上安裝系統更新」建議。

這項變更可能會影響您的政府雲端訂用帳戶的安全分數。 我們預期變更會導致分數降低,但在某些情況下,建議的包含可能會導致分數增加。

2021 年 12 月

12 月的更新包括:

Microsoft適用於容器的 Defender 方案正式推出 (GA)

兩年前,我們引進了適用於 Kubernetes 的 Defender 和適用於容器登錄的 Defender,作為 適用於雲端的 Microsoft Defender 內 Azure Defender 供應專案的一部分。

隨著適用於容器的 Microsoft Defender 發行,我們已合併這兩個現有的 Defender 方案。

新的計劃:

  • 結合兩個現有方案 的功能 - Kubernetes 叢集的威脅偵測,以及容器登錄中所儲存映像的弱點評估
  • 帶來新的和改進的功能 -- 包括多重雲端支援、具有超過 60 個全新 Kubernetes 感知分析的主機層級威脅偵測,以及執行映像的弱點評估
  • 引進 Kubernetes 原生大規模上線 - 根據預設,當您啟用計劃時,所有相關元件都會設定為自動部署

在此版本中,適用於 Kubernetes 的 Defender 和適用於容器登錄的 Defender 的可用性和呈現方式已變更,如下所示:

  • 新增訂用帳戶 - 前兩個容器方案已無法使用
  • 現有訂用帳戶 - 無論它們出現在 Azure 入口網站 中,方案都會顯示為已淘汰,並說明如何升級至較新的方案適用於容器登錄的 Defender 和適用於 Kubernetes 的 Defender 方案顯示「已淘汰」和升級資訊。

新方案在 2021 年 12 月免費。 如需從舊方案到適用於容器的 Defender 計費的潛在變更,以及此方案所引進權益的詳細資訊,請參閱 Microsoft適用於容器的 Defender 簡介。

如需詳細資訊,請參閱

Microsoft適用於記憶體的 Defender 已發行正式運作的新警示 (GA)

威脅執行者會使用工具和腳本來掃描公開開啟的容器,希望找到設定錯誤的開放記憶體容器與敏感數據。

Microsoft適用於記憶體的 Defender 會偵測到這些掃描器,以便您可以封鎖這些掃描器並修復您的狀態。

偵測到此情況的預覽警示稱為 「公用記憶體容器的匿名掃描」。 為了更清楚發現可疑事件,我們已將這 分成兩 個新的警示。 這些警示僅與 Azure Blob 儲存體 相關。

我們已改善偵測邏輯、更新警示元數據,以及變更警示名稱和警示類型。

以下是新的警示:

警示 (警示類型) 描述 MITRE 策略 嚴重性
已成功探索可公開存取的記憶體容器
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
掃描文本或工具在過去一小時內,已成功探索記憶體帳戶中公開開啟的記憶體容器。

這通常表示偵察攻擊,威脅執行者會嘗試藉由猜測容器名稱來列出 Blob,希望尋找設定錯誤的開放記憶體容器,並在其中含有敏感數據。

威脅執行者可能會使用自己的腳本,或使用 Microburst 等已知掃描工具來掃描公開開啟的容器。

✔ Azure Blob 儲存體
✖ Azure 檔案儲存體
✖ Azure Data Lake Storage Gen2
集合
未成功掃描可公開存取的記憶體容器
(Storage.Blob_OpenContainersScanning.FailedAttempt)
過去一小時內已執行一系列嘗試掃描公開開啟的記憶體容器。

這通常表示偵察攻擊,威脅執行者會嘗試藉由猜測容器名稱來列出 Blob,希望尋找設定錯誤的開放記憶體容器,並在其中含有敏感數據。

威脅執行者可能會使用自己的腳本,或使用 Microburst 等已知掃描工具來掃描公開開啟的容器。

✔ Azure Blob 儲存體
✖ Azure 檔案儲存體
✖ Azure Data Lake Storage Gen2
集合

如需詳細資訊,請參閱

適用於記憶體的 Microsoft Defender 警示的改善

初始存取警示現在已改善精確度和更多數據,以支持調查。

威脅執行者在初始存取中使用各種技術,在網路內取得立足點。 Microsoft適用於記憶體的 Defender 警示中有兩個,可在此階段偵測行為異常,現在已改善偵測邏輯和其他數據,以支持調查。

如果您過去已 設定自動化 或定義 這些警示的警示歸並規則 ,請根據這些變更加以更新。

偵測 Tor 結束節點的存取

從 Tor 結束節點存取可能表示威脅執行者嘗試隱藏其身分識別。

警示現在已調整為只針對已驗證的存取產生,這會導致活動是惡意的較高精確度和信賴度。 此增強功能可降低良性正率。

郊外模式的嚴重性會很高,而異常模式的異常模式將具有中度嚴重性。

警示名稱和描述已更新。 AlertType 保持不變。

  • 警示名稱(舊):從 Tor 結束節點存取記憶體帳戶
  • 警示名稱(新增):來自 Tor 結束節點的已驗證存取權
  • 警示類型:Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
  • 描述:您記憶體帳戶中的一或多個記憶體容器/檔案共用已成功從已知為 Tor 的作用中結束節點的 IP 位址存取(匿名 Proxy)。 威脅執行者會使用 Tor 將活動追蹤回去變得困難。 來自 Tor 結束節點的已驗證存取可能表示威脅執行者正嘗試隱藏其身分識別。 適用於:Azure Blob 儲存體、Azure 檔案儲存體、Azure Data Lake Storage Gen2
  • MITRE 策略:初始存取
  • 嚴重性:高/中

異常未經驗證的存取

存取模式的變更可能表示威脅執行者能夠利用存取容器的公用讀取許可權、利用存取組態的錯誤,或變更訪問許可權。

此中等嚴重性警示現在已透過改善的行為邏輯、更高的精確度,以及活動惡意的信心進行微調。 此增強功能可降低良性正率。

警示名稱和描述已更新。 AlertType 保持不變。

  • 警示名稱(舊):記憶體帳戶的匿名存取
  • 警示名稱(新增):對記憶體容器的異常未驗證存取
  • 警示類型:Storage.Blob_AnonymousAccessAnomaly
  • 描述:此記憶體帳戶未經驗證即可存取,這是常見存取模式的變更。 此容器的讀取許可權通常會經過驗證。 這可能表示威脅執行者能夠利用此記憶體帳戶中記憶體容器的公用讀取許可權。 適用於:Azure Blob 儲存體
  • MITRE 策略:集合
  • 嚴重性:中

如需詳細資訊,請參閱

已從網路層警示中移除 「埠][推播] 警示

下列警示已從網路層警示中移除,因為效率不佳:

警示 (警示類型) 描述 MITRE 策略 嚴重性
偵測到可能的傳出埠掃描活動
(PortSweeping)
網路流量分析偵測到來自 %{Compromised Host} 的可疑連出流量。 此流量可能是埠掃描活動的結果。 當遭入侵的資源是負載平衡器或應用程式閘道時,可疑的連出流量已源自後端集區(負載平衡器或應用程式網關的一或多個資源)。 如果此行為是刻意的,請注意執行埠掃描是針對 Azure 服務條款。 如果此行為不小心,這可能表示您的資源已遭入侵。 探索

2021 年 11 月

我們的 Ignite 版本包括:

11 月的其他變更包括:

Azure 資訊安全中心 和 Azure Defender 會變成 適用於雲端的 Microsoft Defender

根據 2021 年雲端狀態報告,92% 的組織現在具有多重雲端策略。 在Microsoft,我們的目標是將整個環境的安全性集中化,並協助安全性小組更有效率地運作。

適用於雲端的 Microsoft Defender 是雲端安全性狀態管理 (CSPM) 和雲端工作負載保護 (CWP) 解決方案,可探索雲端設定的弱點、協助加強環境的整體安全性狀態,以及跨多雲端和混合式環境保護工作負載。

在 Ignite 2019,我們分享了我們的願景,以建立最完整的方法來保護您的數字資產,並在 Microsoft Defender 品牌下整合 XDR 技術。 以新名稱統一 Azure 資訊安全中心 和 Azure Defender 適用於雲端的 Microsoft Defender 反映安全性供應專案的整合功能,以及支援任何雲端平臺的能力。

適用於 AWS 的原生 CSPM 和 Amazon EKS 和 AWS EC2 的威脅防護

新的 環境設定 頁面可讓您更瞭解及控制管理群組、訂用帳戶和 AWS 帳戶。 此頁面的設計目的是要大規模上線 AWS 帳戶:連線 AWS 管理帳戶,而且您會自動將現有和未來的帳戶上線。

使用新的環境設定頁面來連線 AWS 帳戶。

當您新增 AWS 帳戶時,適用於雲端的 Defender 使用下列任何或所有方案保護您的 AWS 資源:

  • 適用於雲端的 Defender 的 CSPM 功能會延伸至您的 AWS 資源。 此無代理程式方案會根據 AWS 特定的安全性建議來評估您的 AWS 資源,而這些建議會包含在您的安全分數中。 資源也會評估是否符合 AWS 專屬的內建標準 (AWS CIS、AWS PCI DSS 和 AWS 基礎安全性最佳做法)。 適用於雲端的 Defender 的資產清查頁面是啟用多重雲端的功能,可協助您與 Azure 資源一起管理 AWS 資源。
  • Microsoft適用於 Kubernetes 的 Defender 會將其容器威脅偵測和進階防禦延伸至 Amazon EKS Linux 叢集
  • Microsoft適用於伺服器的 Defender 為您的 Windows 和 Linux EC2 實例帶來威脅偵測和進階防禦。 此方案包含適用於端點的 Microsoft Defender、安全性基準和作業系統層級評量、弱點評量掃描、自適性應用程式控制 (AAC)、檔案完整性監視 (FIM) 等等的整合式授權。

深入瞭解如何將 AWS 帳戶連線到 適用於雲端的 Microsoft Defender

依數據敏感度排定安全性動作的優先順序(由 Microsoft Purview 提供電源)(預覽版)

數據資源仍然是威脅執行者的熱門目標。 因此,安全性小組必須識別、排定優先順序,並保護其雲端環境中的敏感數據資源。

為了解決這項挑戰,適用於雲端的 Microsoft Defender 現在整合來自 purview Microsoft的敏感度資訊。 Microsoft Purview 是統一的數據控管服務,可讓您深入瞭解多重雲端和內部部署工作負載內數據的敏感度。

與 Microsoft Purview 整合可讓您的安全性可見度從基礎結構層級向下延伸至數據 適用於雲端的 Defender,讓全新的方式為您的安全性小組排定資源和安全性活動的優先順序。

若要深入瞭解,請參閱 依數據敏感度排定安全性動作的優先順序

使用 Azure 安全性基準檢驗 v3 擴充的安全性控制評定

Azure 安全性效能評定支援 適用於雲端的 Defender 的安全性建議。

Azure Security Benchmark (Azure 安全性效能評定) 是 Microsoft 針對以通用合規性架構為基礎的安全性和合規性最佳做法所撰寫的一組 Azure 特定指導方針。 這項廣受公認好評的效能評定以美國網際網路安全中心 (CIS)國家標準與技術研究院 (NIST) 的控制項為基礎,著重以雲端為中心的安全性。

從 Ignite 2021 開始,Azure 安全性效能評定 v3 可在 適用於雲端的 Defender 的法規合規性儀錶板取得,並啟用為受 適用於雲端的 Microsoft Defender 保護的所有 Azure 訂用帳戶的新預設方案。

v3 的增強功能包括:

  • 與產業架構 PCI-DSS v3.2.1CIS控件 v8 的其他對應。

  • 透過引進下列專案,更細微且可採取動作的控件指引:

    • 安全性準則 - 提供整體安全性目標的深入解析,為建議建立基礎。
    • Azure 指引 - 符合這些目標的技術「操作說明」。
  • 新的控件包括 DevOps 安全性,例如威脅模型化和軟體供應鏈安全性,以及 Azure 中最佳做法的密鑰和憑證管理。

深入瞭解 Azure 安全性效能評定簡介。

Microsoft Sentinel 連接器針對正式運作發行的選擇性雙向警示同步處理 (GA)

在 7 月,我們宣佈了 Microsoft Sentinel建連接器的預覽功能雙向警示同步處理(Microsoft 的雲端原生 SIEM 和 SOAR 解決方案)。 這項功能現已正式推出(GA)。

當您將 適用於雲端的 Microsoft Defender 連線到 Microsoft Sentinel 時,安全性警示的狀態會在兩個服務之間同步處理。 因此,例如,當警示在 適用於雲端的 Defender 中關閉時,該警示也會顯示為關閉Microsoft Sentinel。 變更 適用於雲端的 Defender 中警示的狀態不會影響包含同步處理Microsoft Sentinel 警示之任何Microsoft Sentinel 事件的狀態,只有同步處理警示本身的狀態。

當您啟用雙向警示同步處理時,會自動同步處理原始 適用於雲端的 Defender 警示的狀態,以及包含這些警示複本的 sentinel 事件Microsoft。 例如,當包含 適用於雲端的 Defender 警示的Microsoft Sentinel 事件關閉時,適用於雲端的 Defender 會自動關閉對應的原始警示。

若要深入瞭解,請參閱將 Azure Defender 警示從 Azure 資訊安全中心將警示串流至 Azure Sentinel

將 Azure Kubernetes Service (AKS) 記錄推送至 Sentinel 的新建議

為了進一步增強 適用於雲端的 Defender 和Microsoft Sentinel 的組合值,我們現在將反白顯示不會將記錄數據傳送至 Microsoft Sentinel 的 Azure Kubernetes Service 實例。

SecOps 小組可以直接從建議詳細數據頁面選擇相關的Microsoft Sentinel 工作區,並立即啟用原始記錄的串流。 這兩個產品之間的無縫連線可讓安全性小組輕鬆確保整個工作負載的完整記錄涵蓋範圍,以維持整個環境。

新的建議「應啟用 Kubernetes 服務中的診斷記錄」包含 「修正」選項,以加快補救速度。

我們也使用相同的 Sentinel 串流功能強化了「應啟用 SQL 伺服器上的稽核」建議。

對應至 MITRE ATT&CK® 架構的建議 - 正式發行 (GA)

我們已增強 適用於雲端的 Defender 的安全性建議,以在 MITRE ATT&CK® 架構上顯示其位置。 這個全球可存取的威脅執行者策略和技術 知識庫,根據真實世界觀察,提供更多內容來協助您了解環境建議的相關風險。

無論您在何處存取建議資訊,您都會找到這些策略:

  • 相關建議的 Azure Resource Graph 查詢結果 包括 MITRE ATT&CK® 策略和技術。

  • 建議詳細數據頁面 會顯示所有相關建議的對應:

  • 適用於雲端的 Defender 中的 [建議] 頁面有新的篩選,可根據其相關聯的策略來選取建議:

若要深入瞭解,請參閱 檢閱您的安全性建議

Microsoft威脅與弱點管理新增為弱點評估解決方案 - 正式發行 (GA)

10 月,我們宣佈了適用於伺服器與 適用於端點的 Microsoft Defender Microsoft Defender 整合的延伸模組,以支持機器的新弱點評估提供者:Microsoft 威脅與漏洞管理。 這項功能現已正式推出(GA)。

使用 威脅與漏洞管理 近乎即時地探索弱點和設定錯誤,並啟用與 適用於端點的 Microsoft Defender 整合,而不需要額外的代理程式或定期掃描。 威脅和 弱點管理 會根據組織中的威脅狀況和偵測,排定弱點的優先順序。

使用安全性建議「應在您的虛擬機上啟用弱點評估解決方案」,來呈現所支持機器 威脅與漏洞管理 偵測到的弱點。

若要在現有和新計算機上自動呈現弱點,而不需要手動補救建議,請參閱弱點評估解決方案現在可以自動啟用(預覽版)。

若要深入瞭解,請參閱使用 適用於端點的 Microsoft Defender 威脅與漏洞管理 調查弱點。

適用於 Linux 的 適用於端點的 Microsoft Defender 現在由適用於伺服器的 Microsoft Defender 支援 - 正式發行 (GA)

在 8 月, 我們宣佈 預覽支援將適用於 Linux 的 Defender 感測器部署 至支援的 Linux 機器。 這項功能現已正式推出(GA)。

Microsoft適用於伺服器的 Defender 包含 適用於端點的 Microsoft Defender 的整合式授權。 兩者搭配運作下,可提供完整的端點偵測及回應 (EDR) 功能。

適用於端點的 Defender 偵測到威脅時會觸發警示。 警示會顯示在適用於雲端的 Defender 中。 您也可以從適用於雲端的 Defender 切換至適用於端點的 Defender 主控台,並執行詳細的調查以找出攻擊的範圍。

若要深入瞭解,請參閱使用資訊安全中心的整合式 EDR 解決方案保護您的端點:適用於端點的 Microsoft Defender

建議和安全性結果的快照集匯出 (預覽版)

適用於雲端的 Defender 會產生詳細的安全性警示和建議。 您可以在入口網站中或透過程式設計工具來檢視。 您可能也需要匯出部分或全部資訊,才能追蹤您環境中的其他監視工具。

適用於雲端的 Defender的連續匯出功能可讓您完整自定義將匯出的內容,以及其前往何處。 深入了解持續匯出 適用於雲端的 Microsoft Defender 數據

雖然此功能稱為 「連續」,但也有一個選項可匯出每周快照集。 到目前為止,這些每周快照集僅限於安全分數和法規合規性數據。 我們已新增匯出建議和安全性結果的功能。

針對公開上市發行的弱點評估解決方案自動布建 (GA)

10 月,我們宣佈將弱點評估解決方案新增至 適用於雲端的 Defender 的自動布建頁面。 這與適用於伺服器的 Azure Defender 所保護訂用帳戶上的 Azure 虛擬機和 Azure Arc 機器有關。 這項功能現已正式推出(GA)。

如果已啟用與 適用於端點的 Microsoft Defender整合,適用於雲端的 Defender 提供弱點評估解決方案的選擇:

  • 新增) 適用於端點的 Microsoft Defender Microsoft 威脅與漏洞管理 模組(請參閱版本資訊
  • 整合式 Qualys 代理程式

您所選擇的解決方案將會在支援的電腦上自動啟用。

若要深入瞭解,請參閱 自動為您的機器設定弱點評估。

針對正式上市發行的資產清查中的軟體清查篩選 (GA)

在 10 月,我們宣佈了資產清查頁面的新篩選,以選取執行特定軟體的計算機,甚至指定感興趣的版本。 這項功能現已正式推出(GA)。

您可以在 Azure Resource Graph 總管中查詢軟體清查數據。

若要使用這些功能,您必須啟用與 適用於端點的 Microsoft Defender的整合。

如需完整詳細數據,包括 Azure Resource Graph 的範例 Kusto 查詢,請參閱 存取軟體清查

新增至預設方案的新 AKS 安全策略

為了確保 Kubernetes 工作負載預設是安全的,適用於雲端的 Defender 包含 Kubernetes 層級原則和強化建議,包括使用 Kubernetes 許可控制強制執行選項。

在此專案中,我們已新增原則和建議(預設為停用)來設定 Kubernetes 叢集上的部署。 此原則處於預設方案,但僅適用於註冊相關預覽的組織。

您可以放心地忽略原則和建議(「Kubernetes 叢集應該閘道部署易受攻擊的映像」),而且不會對您的環境造成任何影響。

如果您想要參與預覽,您必須是預覽通道的成員。 如果您還不是成員,請在這裡提交要求。 成員會在預覽開始時收到通知。

內部部署機器的清查顯示會套用不同的資源名稱範本

為了改善資產清查資源的呈現方式,我們已從範本中移除 「source-computer-IP」 元素來命名內部部署機器。

  • 先前的格式: machine-name_source-computer-id_VMUUID
  • 從此更新: machine-name_VMUUID

2021 年 10 月

10 月的更新包括:

Microsoft威脅和弱點管理新增為弱點評估解決方案(預覽版)

我們已擴充適用於伺服器的 Azure Defender 與 適用於端點的 Microsoft Defender 之間的整合,以支持機器的新弱點評估提供者:Microsoft 威脅與漏洞管理

使用 威脅與漏洞管理 以近乎即時的方式探索弱點和設定錯誤,並啟用與 適用於端點的 Microsoft Defender 整合,而不需要額外的代理程式或定期掃描。 威脅和 弱點管理 會根據組織中的威脅狀況和偵測,排定弱點的優先順序。

使用安全性建議「應在您的虛擬機上啟用弱點評估解決方案」,來呈現所支持機器 威脅與漏洞管理 偵測到的弱點。

若要在現有和新計算機上自動呈現弱點,而不需要手動補救建議,請參閱弱點評估解決方案現在可以自動啟用(預覽版)。

若要深入瞭解,請參閱使用 適用於端點的 Microsoft Defender 威脅與漏洞管理 調查弱點。

弱點評估解決方案現在可以自動啟用(預覽版)

資訊安全中心的自動布建頁面現在包含選項,可讓您在受適用於伺服器的 Azure Defender 所保護的訂用帳戶上自動啟用 Azure 虛擬機和 Azure Arc 機器的弱點評估解決方案。

如果已啟用與 適用於端點的 Microsoft Defender的整合,適用於雲端的 Defender 會提供弱點評估解決方案的選擇:

  • 新增) 適用於端點的 Microsoft Defender Microsoft 威脅與漏洞管理 模組(請參閱版本資訊
  • 整合式 Qualys 代理程式

設定從 Azure 資訊安全中心 自動布建Microsoft 威脅與漏洞管理。

您所選擇的解決方案將會在支援的電腦上自動啟用。

若要深入瞭解,請參閱 自動為您的機器設定弱點評估。

新增至資產清查的軟體清查篩選 (預覽版)

資產 清查 頁面現在包含篩選條件,可選取執行特定軟體的計算機,甚至指定感興趣的版本。

此外,您可以在 Azure Resource Graph 總管中查詢軟體清查數據。

若要使用這些新功能,您必須啟用與 適用於端點的 Microsoft Defender 的整合。

如需完整詳細數據,包括 Azure Resource Graph 的範例 Kusto 查詢,請參閱 存取軟體清查

如果您已啟用威脅和弱點解決方案,資訊安全中心的資產清查會提供篩選條件,依其已安裝的軟體來選取資源。

已將某些警示類型的前置詞從 “ARM_”變更為 “VM_”

在 2021 年 7 月,我們宣佈 了 Azure Defender for Resource Manager 警示的邏輯重組

在重組 Defender 方案期間,我們將警示從 適用於 Resource Manager 的 Azure Defender 移至適用於伺服器的 Azure Defender。

透過此更新,我們已變更這些警示的前置詞,以符合此重新指派,並將 “ARM_” 取代為 “VM_”,如下表所示:

原始名稱 從這項變更
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

深入瞭解適用於 Resource ManagerAzure Defender 和適用於伺服器的 Azure Defender 方案。

Kubernetes 叢集安全性建議邏輯的變更

「Kubernetes 叢集不應使用預設命名空間」的建議可防止使用資源類型範圍的預設命名空間。 已移除此建議中包含的兩個資源類型:ConfigMap 和秘密。

若要深入瞭解這項建議,並強化 Kubernetes 叢集,請參閱瞭解 Kubernetes 叢集的 Azure 原則。

為了釐清不同建議之間的關聯性,我們已將 [相關建議] 區域新增 至許多建議 的詳細數據頁面。

這些頁面上顯示的三種關聯性類型如下:

  • 必要條件:必須在選取的建議之前完成的建議
  • 替代方案 - 不同的建議,提供另一種達成所選建議目標的方式
  • 相依:所選建議是必要條件的建議

針對每個相關建議,狀況不良的資源數目會顯示於 [受影響的資源] 資料行中。

提示

如果相關的建議呈現灰色,則其相依性尚未完成,因此無法使用。

相關建議的範例:

  1. 資訊安全中心會檢查您的電腦是否有支援的弱點評估解決方案:
    虛擬機器上應啟用弱點評估解決方案

  2. 如果找到其中一個,您將會收到已探索到弱點的通知:
    應補救虛擬機中的弱點

顯然,除非資訊安全中心發現支援的弱點評估解決方案,否則資訊安全中心無法通知您已探索到的弱點。

因此:

  • 建議 #1 是建議的必要條件 #2
  • 建議 #2 取決於建議 #1

部署弱點評估解決方案的建議螢幕快照。

解決已探索到弱點的建議螢幕快照。

適用於 Kubernetes 的 Azure Defender 的新警示(預覽版)

為了擴充適用於 Kubernetes 的 Azure Defender 所提供的威脅防護,我們新增了兩個預覽警示。

這些警示是根據新的機器學習模型和 Kubernetes 進階分析所產生,針對叢集中先前的活動以及 Azure Defender 所監視的所有叢集,測量多個部署和角色指派屬性。

警示 (警示類型) 描述 MITRE 策略 嚴重性
例外 Pod 部署 (預覽)
(K8S_AnomalousPodDeployment)
Kubernetes 稽核記錄分析偵測到根據先前 Pod 部署活動異常的 Pod 部署。 當考慮到部署作業中看到的不同功能彼此關係的方式時,此活動會被視為異常。 此分析所監視的功能包括所使用的容器映像登錄、執行部署的帳戶、一周中的一天、此帳戶執行 Pod 部署的頻率、作業中使用的使用者代理程式,這是 Pod 部署經常發生的命名空間或其他功能。 在警示擴充屬性下詳述引發此警示的最主要原因,因為異常活動會詳述。 執行
在 Kubernetes 叢集中指派過多的角色權限 (預覽)
(K8S_ServiceAcountPermissionAnomaly)
Kubernetes 稽核記錄的分析偵測到叢集的許可權過多角色指派。 從檢查角色指派,列出的許可權對特定服務帳戶來說並不常見。 此偵測會將先前的角色指派考慮至 Azure 所監視叢集的相同服務帳戶、每個許可權的磁碟區,以及特定許可權的影響。 用於此警示的異常偵測模型會考慮如何在 Azure Defender 監視的所有叢集上使用此許可權。 權限提升

如需 Kubernetes 警示的完整清單,請參閱 Kubernetes 叢集的警示。

2021 年 9 月

9 月發行了下列更新:

稽核 Azure 安全性基準合規性作業系統設定的兩個新建議(預覽版)

已發行下列兩項建議,以評估計算機與 Windows 安全性基準Linux 安全性基準的合規性:

這些建議會使用 Azure 原則 的客體設定功能,比較機器的OS組態與 Azure 安全性效能評定定義的基準。

在使用客體設定強化計算機的OS設定中深入瞭解如何使用這些建議。

2021 年 8 月

8 月的更新包括:

適用於伺服器的 Azure Defender 現在支援適用於 Linux 的 適用於端點的 Microsoft Defender (預覽版)

適用於伺服器的 Azure Defender 包含適用於 適用於端點的 Microsoft Defender整合式授權。 兩者搭配運作下,可提供完整的端點偵測及回應 (EDR) 功能。

適用於端點的 Defender 偵測到威脅時會觸發警示。 警示會顯示在資訊安全中心。 從資訊安全中心,您也可以樞紐至適用於端點的Defender控制台,並執行詳細的調查,以找出攻擊的範圍。

在預覽期間,您將根據您是否已經將適用於Linux的Defender感測器部署到 支援的Linux 機器,以兩種方式之一部署至Windows 計算機:

若要深入瞭解,請參閱使用資訊安全中心的整合式 EDR 解決方案保護您的端點:適用於端點的 Microsoft Defender

管理端點保護解決方案的兩個新建議(預覽版)

我們已新增兩 個預覽 建議,以部署和維護您機器上的 Endpoint Protection 解決方案。 這兩項建議包括支援 Azure 虛擬機和連線至已啟用 Azure Arc 的伺服器的電腦。

建議 描述 嚴重性
您的機器上應安裝端點保護 若要保護您的機器免於威脅和弱點的侵害,請安裝支援的端點保護解決方案。 深入瞭解如何評估計算機的 Endpoint Protection。
(相關原則: 在 Azure 資訊安全中心 中監視遺漏的 Endpoint Protection)
應解決您機器上端點保護健康情況的問題 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心 支援的 Endpoint Protection 解決方案記載於此處。 端點保護評估記載 於此處
(相關原則: 在 Azure 資訊安全中心 中監視遺漏的 Endpoint Protection)

注意

建議會將其新鮮度間隔顯示為8小時,但在某些情況下,這可能需要相當長的時間。 例如,刪除內部部署計算機時,資訊安全中心需要 24 小時才能識別刪除。 之後,評估最多需要8小時才能傳回資訊。 因此,在該特定情況下,機器可能需要 32 小時才會從受影響的資源清單中移除。

這兩個新的資訊安全中心建議的全新間隔指標

解決常見問題的內建疑難解答和指引

Azure 入口網站 中資訊安全中心頁面的新專用區域提供一組定序且不斷成長的自助數據,以解決資訊安全中心和 Azure Defender 的常見挑戰。

當您遇到問題或向支援小組尋求建議時, 診斷和解決問題 是另一個協助您尋找解決方案的工具:

資訊安全中心的 [診斷和解決問題] 頁面

法規合規性儀表板針對正式運作發佈的 Azure 稽核報告 (GA)

法規合規性儀錶板的工具列提供適用於您訂用帳戶之標準的 Azure 和 Dynamics 認證報告。

法規合規性儀錶板的工具列,其中顯示用於產生稽核報告的按鈕。

您可以選取相關報表類型的索引標籤(PCI、SOC、ISO 等),並使用篩選來尋找您需要的特定報表。

如需詳細資訊,請參閱 產生合規性狀態報告和憑證

可用 Azure 稽核報告的索引標籤清單。顯示的是 ISO 報表、SOC 報表、PCI 等等的索引標籤。

已被取代的建議「應該在您的機器上解決 Log Analytics 代理程式健康情況問題」

我們發現, Log Analytics 代理程式健康情況問題應該在您的機器 上解決,其影響安全分數的方式與資訊安全中心的雲端安全性狀態管理 (CSPM) 焦點不一致。 一般而言,CSPM 與識別安全性設定錯誤有關。 代理程式健康情況問題不符合此類別的問題。

此外,相較於與資訊安全中心相關的其他代理程式,建議是異常:這是唯一與健康情況問題相關的建議代理程式。

建議已被取代。

由於這項淘汰,我們也對安裝Log Analytics代理程式的建議進行了稍微變更(應安裝Log Analytics代理程式...)。

這項變更可能會影響您的安全分數。 對於大部分的訂用帳戶,我們預期變更會導致分數增加,但在某些情況下,安裝建議的更新可能會導致分數降低。

提示

資產 清查 頁面也會受到這項變更的影響,因為它會顯示機器的受監視狀態(受監視、未受監視或部分監視- 狀態,其是指有健康情況問題的代理程式)。

適用於容器登錄的 Azure Defender 包含弱點掃描器,可掃描 Azure Container Registry 登錄中的映像。 瞭解如何掃描您的登錄,並在使用適用於容器登錄的 Azure Defender 中修復結果,以掃描映射是否有弱點

若要限制存取裝載在 Azure Container Registry 中的登錄,請將虛擬網路私人 IP 位址指派給登錄端點,並使用 Azure Private Link,如使用 Azure Private Link 私下連線至 Azure 容器登錄中所述

作為我們持續支援其他環境和使用案例的一部分,Azure Defender 現在也會掃描使用 Azure Private Link 保護的容器登錄。

資訊安全中心現在可以自動布建 Azure 原則 的客體設定延伸模組(預覽版)

Azure 原則 可以針對在 Azure 和 Arc 連線機器中執行的機器稽核機器內的設定。 此驗證會由「來賓設定」延伸模組和用戶端執行。 若要深入瞭解,請參閱瞭解 Azure 原則 的客體設定

透過此更新,您現在可以將資訊安全中心設定為自動將此延伸模組布建至所有支持的機器。

啟用客體設定擴充功能的自動部署。

深入了解自動布建如何在設定代理程式和擴充功能的自動布建中運作。

建議現在支援「強制」

資訊安全中心包含兩項功能,可協助確保新建立的資源以安全的方式布建: 強制執行拒絕。 當建議提供這些選項時,您可以確保每當有人嘗試建立資源時,都會符合您的安全性需求:

  • 拒絕 會停止建立狀況不良的資源
  • 在建立資源時,強制 自動補救不符合規範的資源

透過此更新,現在可在啟用 Azure Defender 方案的建議上使用強制執行選項(例如應啟用適用於 App Service 的 Azure Defender、應啟用適用於 金鑰保存庫 的 Azure Defender、應啟用適用於記憶體的 Azure Defender)。

若要深入瞭解這些選項,請參閱 使用強制/拒絕建議防止設定錯誤。

建議數據的 CSV 導出現在限制為 20 MB

匯出資訊安全中心建議數據時,我們會設定 20 MB 的限制。

資訊安全中心的 [下載 CSV 報告] 按鈕可匯出建議數據。

如果您需要匯出較大的數據量,請在選取之前先使用可用的篩選,或選取訂用帳戶的子集,並以批次的方式下載數據。

篩選 Azure 入口網站 中的訂用帳戶。

深入瞭解 如何執行安全性建議的 CSV 導出。

[建議] 頁面現在包含多個檢視

[建議] 頁面現在有兩個索引標籤,可提供替代方式來檢視與您的資源相關的建議:

  • 安全分數建議 - 使用此索引標籤來檢視依安全性控制分組的建議清單。 在安全性控件及其建議深入了解這些控制件。
  • 所有建議 - 使用此索引標籤以一般清單檢視建議清單。 此索引標籤也非常適合瞭解哪個方案(包括法規合規性標準)產生建議。 若要深入了解計劃及其與建議的關係, 請參閱什麼是安全策略、計劃和建議?

索引標籤,以變更 Azure 資訊安全中心 中建議清單的檢視。

2021 年 7 月

7 月的更新包括:

Azure Sentinel 連接器現在包含選擇性雙向警示同步處理 (預覽版)

資訊安全中心會以原生方式與 Azure Sentinel、Azure 的雲端原生 SIEM 和 SOAR 解決方案整合。

Azure Sentinel 包含訂用帳戶和租用戶層級 Azure 資訊安全中心 的內建連接器。 在將警示串流至 Azure Sentinel深入瞭解。

當您將 Azure Defender 連線至 Azure Sentinel 時,擷取至 Azure Sentinel 的 Azure Defender 警示狀態會在兩個服務之間同步處理。 例如,在 Azure Defender 中關閉警示時,該警示也會在 Azure Sentinel 中顯示為已關閉。 變更 Azure Defender 中警示的狀態「不會」* 會影響包含已同步處理 Azure Sentinel 警示的任何 Azure Sentinel 事件 狀態,而只會影響已同步處理警示本身的狀態。

當您啟用預覽功能 雙向警示同步處理時,它會自動同步處理原始 Azure Defender 警示的狀態與包含這些 Azure Defender 警示複本的 Azure Sentinel 事件。 例如,當包含 Azure Defender 警示的 Azure Sentinel 事件關閉時,Azure Defender 會自動關閉對應的原始警示。

深入瞭解從 Azure 資訊安全中心 連線 Azure Defender 警示。

適用於 Resource Manager 的 Azure Defender 警示的邏輯重組

以下所列的警示是作為適用於 Resource Manager 的 Azure Defender 方案的一部分提供。

在一些 Azure Defender 方案的邏輯重組中,我們已將一些警示從 適用於 Resource Manager 的 Azure Defender 移至適用於伺服器的 Azure Defender。

警示會根據兩個主要原則進行組織:

  • 提供控制平面保護的警示 -- 跨許多 Azure 資源類型 - 是適用於 Resource Manager 的 Azure Defender 的一部分
  • 保護特定工作負載的警示位於與對應工作負載相關的 Azure Defender 方案中

這些是屬於適用於 Resource Manager 的 Azure Defender 的警示,而且由於這項變更,現在是適用於伺服器的 Azure Defender 的一部分:

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

深入瞭解適用於 Resource ManagerAzure Defender 和適用於伺服器的 Azure Defender 方案。

開啟 Azure 磁碟加密 的建議增強功能(ADE)

在使用者意見反應之後,我們已將建議 磁碟加密套用到虛擬機上。

新的建議使用相同的評量標識碼,稱為 虛擬機應該加密計算和記憶體資源之間的暫存磁碟、快取和數據流。

描述也已更新,以進一步說明此強化建議的目的:

建議 描述 嚴重性
虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 根據預設,虛擬機器的 OS 和資料磁碟會使用平台代控金鑰進行待用加密;暫存磁碟和資料快取不會加密,而且資料在計算與儲存體資源之間流動時不會加密。 如需詳細資訊,請參閱 Azure 中不同磁碟加密技術的比較。
使用 Azure 磁碟加密 來加密所有這些數據。 如果您使用的是主機加密功能,或 (2) 受控磁碟 上的伺服器端加密符合您的安全性需求,請忽略此建議。 深入瞭解 Azure 磁碟記憶體的伺服器端加密。

針對公開上市發行的安全分數和法規合規性數據持續匯出 (GA)

持續匯出 提供導出安全性警示的機制,以及用來追蹤環境中其他監視工具的建議。

當您設定連續匯出時,您可以設定匯出的內容,以及匯出的位置。 在持續匯出的概觀中深入瞭解。

我們已在一段時間內增強和擴充這項功能:

  • 在 2020 年 11 月,我們新增 了預覽 選項,可將變更串流至您的 安全分數

  • 在 2020 年 12 月,我們已新增 預覽 選項,以串流變更您的 法規合規性評定數據

透過此更新,這兩個選項會針對正式推出 (GA) 發行。

工作流程自動化可以透過法規合規性評估的變更來觸發 (GA)

在 2021 年 2 月,我們已將預覽第三個數據類型新增至工作流程自動化的觸發程式選項:法規合規性評定的變更。 在工作流程自動化中 深入瞭解,可透過法規合規性評定的變更來觸發。

透過此更新,此觸發程式選項會針對正式推出 (GA) 發行。

瞭解如何使用自動化資訊安全中心觸發程序的回應中的工作流程自動化工具。

使用法規合規性評定的變更來觸發工作流程自動化。

評定 API 欄位 'FirstEvaluationDate' 和 'StatusChangeDate' 現在可在工作區架構和邏輯應用程式中使用

在 2021 年 5 月,我們已使用兩個新字段 FirstEvaluationDate 和 StatusChangeDate 更新評定 API。 如需完整詳細數據,請參閱 使用兩個新字段展開的評定 API。

這些欄位可透過 REST API、Azure Resource Graph、連續匯出和 CSV 導出來存取。

透過這項變更,我們會在Log Analytics工作區架構和邏輯應用程式中提供資訊。

今年3月,我們宣佈了資訊安全中心的整合式 Azure 監視器活頁簿體驗(請參閱 整合至資訊安全中心的 Azure 監視器活頁簿和提供的三個範本)。

初始版本包含三個範本,可建置有關組織安全性狀態的動態和可視化報告。

我們現在已新增一個專門用來追蹤訂用帳戶合規性的活頁簿,並套用至該活頁簿的法規或業界標準。

瞭解如何使用這些報告,或在建立資訊安全中心數據的豐富互動式報表中建立您自己的報表。

Azure 資訊安全中心 一段時間活頁簿的合規性

2021 年 6 月

6 月的更新包括:

適用於 金鑰保存庫 的 Azure Defender 新警示

若要擴充適用於 金鑰保存庫 的 Azure Defender 所提供的威脅防護,我們新增了下列警示:

警示 (警示類型) 描述 MITRE 策略 嚴重性
從可疑IP位址存取金鑰保存庫
(KV_SuspiciousIPAccess)
Microsoft威脅情報識別為可疑 IP 位址的 IP 已成功存取密鑰保存庫。 這可能表示您的基礎結構已遭入侵。 我們建議進一步調查。 認證存取權

如需詳細資訊,請參閱

預設會停用以客戶管理的金鑰加密的建議

資訊安全中心包含使用客戶自控密鑰加密待用數據的多個建議,例如:

  • 容器登錄應使用客戶管理的金鑰加密 (CMK)
  • Azure Cosmos DB 帳戶應使用客戶自控金鑰加密待用資料
  • Azure 機器學習 工作區應使用客戶管理的金鑰加密 (CMK)

Azure 中的數據會使用平臺管理的密鑰自動加密,因此只有在組織選擇強制執行的特定原則時,才應套用客戶管理的密鑰。

有了這項變更,現在預設會停用使用CMK的建議。 當您的組織相關時,您可以將對應安全策略的 Effect 參數變更AuditIfNotExists[強制執行] 來加以啟用 若要深入瞭解,請參閱 啟用安全性建議

這項變更會反映在具有新前置詞 [啟用] 的建議名稱中,如下列範例所示:

  • [視需要啟用]儲存體帳戶應使用客戶管理的密鑰來加密待用數據
  • [必要時啟用] 容器登錄應使用客戶自控金鑰 (CMK) 來加密
  • [必要時啟用] Azure Cosmos DB 帳戶應使用客戶自控金鑰來加密待用資料

資訊安全中心的 CMK 建議預設會停用。

Kubernetes 警示的前置詞已從 “AKS_” 變更為 “K8S_”

適用於 Kubernetes 的 Azure Defender 最近擴充為保護裝載於內部部署和多重雲端環境中的 Kubernetes 叢集。 若要深入瞭解,請參閱使用適用於 Kubernetes 的 Azure Defender 來保護混合式和多重雲端 Kubernetes 部署(預覽版)。

為了反映適用於 Kubernetes 的 Azure Defender 所提供的安全性警示不再限於 Azure Kubernetes Service 上的叢集,我們已將警示類型的前置詞從 “AKS_” 變更為 “K8S_”。必要時,也會更新名稱和描述。 例如,此警示:

警示 (警示類型) 描述
偵測到 Kubernetes 滲透測試工具
AKS_PenTestToolsKubeHunter)
Kubernetes 稽核記錄分析偵測到 AKS 叢集中 Kubernetes 滲透測試工具的使用方式。 雖然此行為可能是合法的,但攻擊者可能會針對惡意目的使用這類公用工具。

已變更為此警示:

警示 (警示類型) 描述
偵測到 Kubernetes 滲透測試工具
K8S_PenTestToolsKubeHunter)
Kubernetes 稽核記錄分析偵測到 Kubernetes 叢集中 Kubernetes 滲透測試工具的使用狀況。 雖然此行為可能是合法的,但攻擊者可能會針對惡意目的使用這類公用工具。

任何參考「AKS_」警示的歸併規則都會自動轉換。 如果您已依警示類型設定 SIEM 匯出或參考 Kubernetes 警示的自定義自動化腳本,則必須使用新的警示類型來更新它們。

如需 Kubernetes 警示的完整清單,請參閱 Kubernetes 叢集的警示。

已淘汰「套用系統更新」安全性控件的兩項建議

下列兩項建議已被取代:

  • 雲端服務角色 的OS版本應該更新 - 根據預設,Azure 會定期將您的客體OS更新為您在服務組態 (.cscfg) 中指定的操作系統系列中的最新支援映像,例如Windows Server 2016。
  • Kubernetes Services 應該升級為非易受攻擊的 Kubernetes 版本 - 此建議的評估範圍不如我們想要的。 我們計劃將建議取代為更符合您安全性需求的增強版本。

2021 年 5 月

5 月份的更新包括:

適用於 DNS 的 Azure Defender 和適用於 Resource Manager 的 Azure Defender 正式推出 (GA)

這兩個雲端原生廣度威脅防護計劃現已正式推出。

這些新的保護可大幅增強您抵禦威脅執行者攻擊的復原能力,並大幅增加受 Azure Defender 保護的 Azure 資源數目。

若要簡化啟用這些方案的程式,請使用建議:

  • 應啟用適用於 Resource Manager 的 Azure Defender
  • 應啟用 Azure Defender for DNS

注意

啟用 Azure Defender 方案會產生費用。 了解資訊安全中心 定價頁面上每個區域的定價詳細數據。

適用於開放原始碼關係資料庫的 Azure Defender 正式推出 (GA)

Azure 資訊安全中心 使用新的配套擴充其 SQL 保護供應專案,以涵蓋您的開放原始碼關係資料庫:

  • 適用於 Azure SQL 資料庫伺服器 的 Azure Defender - 保護您的 Azure 原生 SQL Server
  • 適用於機器 上 SQL 伺服器的 Azure Defender - 將相同的保護延伸至混合式、多雲端和內部部署環境中的 SQL 伺服器
  • 適用於開放原始碼關係資料庫的 Azure Defender - 保護您的適用於 MySQL 的 Azure 資料庫、PostgreSQL 和 MariaDB 單一伺服器

適用於開放原始碼關係資料庫的 Azure Defender 會持續監視您的伺服器是否有安全性威脅,並偵測異常資料庫活動,指出 適用於 MySQL 的 Azure 資料庫、PostgreSQL 和 MariaDB 的潛在威脅。 一些範例包括:

  • 細微偵測暴力密碼破解攻擊 - 適用於開放原始碼關係資料庫的 Azure Defender 提供嘗試和成功暴力密碼破解攻擊的詳細資訊。 這可讓您更完整地調查和響應環境攻擊的性質和狀態。
  • 行為警示偵測 - 適用於開放原始碼關係資料庫的 Azure Defender 會警示您伺服器上的可疑和非預期行為,例如資料庫的存取模式變更。
  • 威脅情報型偵測 - Azure Defender 會套用Microsoft的威脅情報和龐大的 知識庫 來呈現威脅警示,以便您可以對其採取行動。

深入瞭解 適用於開放原始碼關係資料庫的 Azure Defender 簡介。

適用於 Resource Manager 的 Azure Defender 的新警示

為了擴充適用於 Resource Manager 的 Azure Defender 所提供的威脅防護,我們新增了下列警示:

警示 (警示類型) 描述 MITRE 策略 嚴重性
針對 Azure 環境以不尋常的方式授與 RBAC 角色的許可權 (預覽)
(ARM_AnomalousRBACRoleAssignment)
適用於 Resource Manager 的 Azure Defender 偵測到 RBAC 角色指派,相較於租使用者中相同指派者所執行的其他指派/針對租用戶執行的相同指派者/執行,因為下列異常狀況:指派時間、指派者位置、指派者、驗證方法、指派的實體、使用的用戶端軟體、指派範圍。 此作業可能是由組織中的合法使用者所執行。 或者,它可能表示貴組織中的帳戶遭到入侵,而且威脅執行者正在嘗試將許可權授與他們所擁有的其他用戶帳戶。 橫向運動,防禦逃避
以可疑的方式為訂用帳戶建立的特殊許可權自訂角色 (預覽)
(ARM_PrivilegedRoleDefinitionCreation)
適用於 Resource Manager 的 Azure Defender 偵測到您訂用帳戶中可疑地建立特殊許可權自定義角色定義。 此作業可能是由組織中的合法使用者所執行。 或者,它可能表示貴組織中的帳戶遭到入侵,而且威脅執行者正嘗試建立特殊許可權角色,以在未來用來逃避偵測。 橫向運動,防禦逃避
來自可疑 IP 位址的 Azure Resource Manager 作業 (預覽)
(ARM_OperationFromSuspiciousIP)
適用於 Resource Manager 的 Azure Defender 偵測到 IP 位址中的作業,該 IP 位址在威脅情報摘要中標示為可疑。 執行
來自可疑 Proxy IP 位址的 Azure Resource Manager 作業 (預覽)
(ARM_OperationFromSuspiciousProxyIP)
適用於 Resource Manager 的 Azure Defender 偵測到與 Proxy 服務相關聯的 IP 位址的資源管理作業,例如 TOR。 雖然此行為可能是合法的,但當威脅執行者嘗試隱藏其來源IP時,通常會出現在惡意活動中。 防禦規避

如需詳細資訊,請參閱

使用 GitHub 工作流程和 Azure Defender 掃描容器映射的 CI/CD 弱點掃描 (預覽)

適用於容器登錄的 Azure Defender 現在可為 GitHub Actions 工作流程提供 DevSecOps 小組可觀察性。

針對容器映像使用 Trivy 的新弱點掃描功能,可協助您在將映射推送至容器登錄之前,先掃描其容器映像中的常見弱點。

容器掃描報告摘要於 Azure 資訊安全中心,提供安全性小組更深入解析和瞭解易受攻擊容器映像的來源,以及來自其來源的工作流程和存放庫。

深入了解識別您的 CI/CD 工作流程中易受攻擊的容器映像

更多資源圖表查詢可供一些建議使用

資訊安全中心的所有建議都可以從 Open 查詢使用 Azure Resource Graph 來檢視受影響資源狀態的相關信息。 如需這項功能的完整詳細數據,請參閱 在 Azure Resource Graph 總管中檢閱建議數據。

資訊安全中心包含內建的弱點掃描器,可掃描您的 VM、SQL 伺服器及其主機,以及用於安全性弱點的容器登錄。 結果會以建議的形式傳回,每個資源類型的個別結果都會收集到單一檢視中。 建議如下:

  • 應補救 Azure Container Registry 映射中的弱點(由 Qualys 提供電源)
  • 應補救虛擬機中的弱點
  • SQL 資料庫應已解決發現的弱點
  • 機器上的 SQL Server 應已解決發現的弱點

透過這項變更,您可以使用 [ 開啟查詢 ] 按鈕來開啟顯示安全性結果的查詢。

開啟的查詢按鈕現在提供更深入查詢的選項,其中顯示弱點掃描器相關建議的安全性結果。

[ 開啟查詢] 按鈕會針對其他相關建議提供其他選項。

深入瞭解資訊安全中心的弱點掃描器:

SQL 數據分類建議嚴重性已變更

應分類 SQL 資料庫中建議敏感數據的嚴重性已從 [高] 變更為 [低]。

這是我們即將推出的變更頁面所宣佈這項建議的持續變更的一部分。

啟用受信任啟動功能的新建議(預覽版)

Azure 提供可信啟動作為能流暢改善第 2 代 VM 安全性的方式。 可信啟動會防止進階和持續性攻擊技術侵擾。 可信啟動是由數種可獨立啟用的協調基礎結構技術組成。 每個技術都會針對複雜的威脅提供另一層防禦。 深入瞭解 Azure 虛擬機的受信任啟動。

重要

信任的啟動需要建立新的虛擬機。 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。

受信任的啟動目前處於公開預覽狀態。 預覽版在沒有服務等級協議的情況下提供,不建議用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。

資訊安全中心的建議是, 應該在支援的虛擬機上啟用 vTPM,以確保您的 Azure VM 使用 vTPM。 此虛擬化的硬體信任平臺模組版本可藉由測量 VM 的整個開機鏈結來證明(UEFI、OS、系統和驅動程式)。

啟用 vTPM 後, 客體證明延伸模組 可以從遠端驗證安全開機。 下列建議可確保部署此擴充功能:

  • 應在支援的 Windows 虛擬機上啟用安全開機
  • 客體證明擴充功能應該安裝在支援的 Windows 虛擬機上
  • 客體證明擴充功能應該安裝在支援的 Windows 虛擬機器擴展集
  • 客體證明擴充功能應該安裝在支援的Linux虛擬機上
  • 客體證明擴充功能應該安裝在支援的Linux 虛擬機器擴展集

深入瞭解 Azure 虛擬機的受信任啟動。

強化 Kubernetes 叢集的新建議(預覽版)

下列建議可讓您進一步強化 Kubernetes 叢集

  • Kubernetes 叢集不應使用預設命名空間 - 若要防止 ConfigMap、Pod、Secret、Service 和 ServiceAccount 資源類型的未經授權存取,請防止在 Kubernetes 叢集中使用預設命名空間。
  • Kubernetes 叢集應該停用自動掛接 API 認證 - 若要防止可能遭入侵的 Pod 資源對 Kubernetes 叢集執行 API 命令,請停用自動掛接 API 認證。
  • Kubernetes 叢集不應授與 CAPSYSADMIN 安全性功能

了解資訊安全中心如何在資訊安全中心的容器安全性中保護您的容器化環境。

使用兩個新欄位展開的評定 API

我們已將下列兩個字段新增至 評定 REST API

  • FirstEvaluationDate - 建立建議的時間,以及第一次評估的時間。 以 ISO 8601 格式傳回為 UTC 時間。
  • StatusChangeDate – 建議狀態上次變更的時間。 以 ISO 8601 格式傳回為 UTC 時間。

這些欄位的初始預設值 -- 針對所有建議 - 為 2021-03-14T00:00:00+0000000Z

若要存取這項資訊,您可以使用下表中的任何方法。

工具 詳細資料
REST API 呼叫 GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph securityresources
where type == "microsoft.security/assessments"
連續匯出 Log Analytics 工作區數據將可使用這兩個專用字段
CSV 匯出 CSV 檔案中包含這兩個字段

深入瞭解 評定 REST API

資產清查會取得雲端環境篩選

資訊安全中心的資產清查頁面提供許多篩選條件,以快速精簡顯示的資源清單。 若要深入瞭解,請參閱 使用資產清查探索和管理您的資源。

新的篩選條件提供選項,根據您已連線到資訊安全中心多重雲端功能的雲端帳戶來精簡清單。

深入瞭解多重雲端功能:

2021 年 4 月

4 月的更新包括:

重新整理的資源健康情況頁面 (預覽版)

資源健康狀態已擴充、增強及改善,以提供單一資源整體健康情況的快照集檢視。

您可以檢閱資源的詳細資訊,以及該資源適用的所有建議。 此外,如果您使用 Microsoft Defender 的進階保護計劃,您也可以看到該特定資源的未完成安全性警示。

若要開啟資源的資源健康狀態頁面,請從 資產清查頁面選取任何資源。

資訊安全中心入口網站頁面中的這個預覽頁面會顯示:

  1. 資源資訊:所連結的資源群組和訂閱、地理位置等。
  2. 已套用的安全性功能 - 是否為資源啟用 Azure Defender。
  3. 未完成的建議和警示 計數 - 未完成的安全性建議數目和 Azure Defender 警示。
  4. 可操作的建議和警示:以兩個索引標籤列出適用於該資源的建議和警示。

Azure 資訊安全中心 的資源健康情況頁面,其中顯示虛擬機的健康情況資訊

若要深入瞭解,請參閱教學 課程:調查資源的健康情況。

最近提取的容器登錄映像現在每周重新掃描 (正式推出))

適用於容器登錄的 Azure Defender 包含內建弱點掃描器。 此掃描器會立即掃描您推送至登錄的任何映像,以及過去 30 天內提取的任何映像。

每天都會發現新的弱點。 透過此更新,過去 30 天內從登錄提取的容器映射將會 每周重新掃描 。 這可確保在映像中識別新探索到的弱點。

掃描會依每個影像收費,因此這些重新掃描不需要額外費用。

若要深入瞭解此掃描器,請參閱 使用適用於容器登錄的 Azure Defender 掃描映射是否有弱點

使用適用於 Kubernetes 的 Azure Defender 來保護混合式和多重雲端 Kubernetes 部署(預覽版)

適用於 Kubernetes 的 Azure Defender 正在擴充其威脅防護功能,以在部署叢集時防禦叢集。 這可藉由與 已啟用 Azure Arc 的 Kubernetes 及其新的 擴充功能整合來啟用。

當您在非 Azure Kubernetes 叢集上啟用 Azure Arc 時,Azure 資訊安全中心 提供的新建議,只要按幾下滑鼠,即可將 Azure Defender 代理程式部署到這些叢集。

使用建議(已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure Defender 的延伸模組)和擴充功能來保護部署在其他雲端提供者中的 Kubernetes 叢集,但不是在其受控 Kubernetes 服務上。

Azure 資訊安全中心、Azure Defender 和已啟用 Azure Arc 的 Kubernetes 之間的這項整合帶來了:

  • 輕鬆布建 Azure Defender 代理程式,以未受保護的 Azure Arc 啟用 Kubernetes 叢集(手動和大規模)
  • 從 Azure Arc 入口網站監視 Azure Defender 代理程式及其布建狀態
  • 資訊安全中心的安全性建議會在 Azure Arc 入口網站的新 [安全性] 頁面中回報
  • Azure Arc 入口網站的新 [安全性] 頁面中會報告來自 Azure Defender 的已識別安全性威脅
  • 已啟用 Azure Arc 的 Kubernetes 叢集已整合到 Azure 資訊安全中心 平台和體驗中

深入瞭解 搭配內部部署和多重雲端 Kubernetes 叢集使用適用於 Kubernetes 的 Azure Defender。

Azure 資訊安全中心 針對已啟用 Azure Arc 的 Kubernetes 叢集部署 Azure Defender 代理程式的建議。

適用於端點的 Microsoft Defender 與 Azure Defender 整合現在支援正式運作的 Windows 虛擬桌面上的 Windows Server 2019 和 Windows 10

適用於端點的 Microsoft Defender 是全方位的雲端交付端點安全性解決方案。 它提供風險型 弱點管理 和評估,以及 端點偵測及回應(EDR)。 如需使用適用於端點的 Defender 搭配 Azure 資訊安全中心 的完整優點清單,請參閱使用資訊安全中心的整合式 EDR 解決方案保護您的端點:適用於端點的 Microsoft Defender

當您啟用執行 Windows Server 的 Azure Defender 伺服器時,方案會包含適用於端點的 Defender 授權。 如果您已經啟用適用於伺服器的 Azure Defender,而且您的訂用帳戶中有 Windows Server 2019 伺服器,則這些伺服器會自動收到適用於端點的 Defender 並使用此更新。 不需要手動動作。

現在已擴充支援,以在 Windows 虛擬桌面中包含 Windows Server 2019 和 Windows 10。

注意

如果您要在 Windows Server 2019 伺服器上啟用適用於端點的 Defender,請確定它符合啟用 適用於端點的 Microsoft Defender 整合中所述的必要條件。

啟用適用於 DNS 和 Resource Manager 的 Azure Defender 的建議 (預覽版)

已新增兩個新建議,以簡化啟用 適用於 Resource Manager 的 Azure Defender 和 適用於 DNS 的 Azure Defender 的程式:

  • 應啟用 適用於 Resource Manager 的 Azure Defender - 適用於 Resource Manager 的 Defender 會自動監視您組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。
  • 應啟用 適用於 DNS 的 Azure Defender - 適用於 DNS 的 Defender 會持續監視來自 Azure 資源的所有 DNS 查詢,為您的雲端資源提供額外的保護層。 Azure Defender 會警示 DNS 層的可疑活動。

啟用 Azure Defender 方案會產生費用。 了解資訊安全中心 定價頁面上每個區域的定價詳細數據。

提示

預覽建議不會呈現資源狀況不良,且不會包含在安全分數的計算中。 請盡可能補救它們,以便在預覽期間結束時,為分數做出貢獻。 深入瞭解如何在補救 Azure 資訊安全中心 中的建議中回應這些建議。

新增三個法規合規性標準:Azure CIS 1.3.0、CMMC 層級 3 和紐西蘭 ISM 限制

我們已新增三個標準來搭配 Azure 資訊安全中心 使用。 使用法規合規性儀錶板,您現在可以追蹤您的合規性:

您可以將這些指派給您的訂用帳戶,如自定義法規合規性儀錶板中的一組標準中所述

已新增三個標準,以搭配 Azure 資訊安全中心 的法規合規性儀錶板使用。

深入瞭解:

Azure 的 客體設定擴充功能 會向資訊安全中心報告,以協助確保虛擬機的客體內設定已強化。 啟用 Arc 的伺服器不需要此擴充功能,因為其包含在連結 Arc 的機器代理程式中。 擴充功能需要計算機上的系統受控識別。

我們已將四個新建議新增至資訊安全中心,以充分利用此延伸模組。

  • 有兩個建議會提示您安裝擴充功能及其必要的系統受控識別:

    • 應在您的電腦上安裝來賓設定延伸模組
    • 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組
  • 安裝並執行擴充功能時,將會開始稽核您的計算機,系統會提示您強化設定,例如作業系統和環境設定的設定。 這兩項建議會提示您強化 Windows 和 Linux 機器,如下所示:

    • 應在您的機器上啟用 Windows Defender 惡意探索防護
    • 對 Linux 電腦進行驗證需要 SSH 金鑰

若要深入瞭解,請參閱瞭解 Azure 原則 的客體設定

CMK 建議已移至最佳做法安全性控制

每個組織的安全性計劃都包含數據加密需求。 根據預設,Azure 客戶的數據會以服務管理的金鑰進行待用加密。 不過,客戶管理的密鑰 (CMK) 通常需要符合法規合規性標準。 CMK 可讓您使用由您建立和擁有的 Azure 金鑰保存庫 金鑰來加密數據。 這可讓您完全控制關鍵生命週期,包括輪替和管理。

Azure 資訊安全中心 的安全性控制是相關安全性建議的邏輯群組,並反映易受攻擊面。 如果您針對所有資源補救控件中列出的所有建議,則每個控件都有可新增至安全分數的最大點數。 實作 安全性最佳做法 安全性控件的價值為零點。 因此,此控件中的建議不會影響您的安全分數。

下列建議會移至 實作安全性最佳做法 安全性控件,以更充分反映其選擇性性質。 這項移動可確保這些建議處於最適當的控制中,以符合其目標。

  • Azure Cosmos DB 帳戶應使用客戶自控金鑰加密待用資料
  • Azure 機器學習 工作區應使用客戶管理的金鑰加密 (CMK)
  • Azure AI 服務帳戶應使用客戶管理的金鑰來啟用資料加密 (CMK)
  • 容器登錄應使用客戶管理的金鑰加密 (CMK)
  • SQL 受控執行個體應使用客戶自控金鑰來加密待用資料
  • SQL 伺服器應使用客戶自控金鑰來加密待用資料
  • 儲存體帳戶應使用客戶自控金鑰 (CMK) 加密

了解安全性控件中每個安全性控件 中有哪些建議及其建議

11 個 Azure Defender 警示已被取代

下面列出的十一個 Azure Defender 警示已被取代。

  • 新的警示將會取代這兩個警示,並提供更佳的涵蓋範圍:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo 預覽 - 偵測到 MicroBurst 工具組 “Get-AzureDomainInfo” 函式執行
    ARM_MicroBurstRunbook 預覽 - 偵測到 MicroBurst 工具組 “Get-AzurePasswords” 函式執行
  • 這九個警示與已淘汰的 Azure Active Directory Identity Protection 連接器 (IPC) 相關:

    AlertType AlertDisplayName
    不熟悉Location 不熟悉的登入屬性
    AnonymousLogin 匿名 IP 位址
    InfectedDeviceLogin 已連結惡意程式碼的 IP 位址
    ImpossibleTravel 非慣用登入位置
    MaliciousIP 惡意 IP 位址
    LeakedCredentials 認證外洩
    PasswordSpray 密碼噴灑
    LeakedCredentials Azure AD 威脅情報
    AADAI Azure AD AI

    提示

    這九個 IPC 警示絕不是資訊安全中心警示。 它們是傳送至資訊安全中心的 Azure Active Directory (AAD) Identity Protection 連接器 (IPC) 的一部分。 在過去兩年中,唯一看到這些警示的客戶是 2019 年或更早版本中設定匯出 (從連接器到 ASC) 的組織。 AAD IPC 已繼續在自己的警示系統中顯示它們,而且它們仍可在 Azure Sentinel 中使用。 唯一的變更是不再出現在資訊安全中心。

「套用系統更新」安全性控件的兩項建議已被取代

下列兩個建議已被取代,變更可能會導致對安全分數產生輕微影響:

  • 您的電腦應該重新啟動以套用系統更新
  • 監視代理程式應該安裝在您的電腦上。 這項建議僅與內部部署機器有關,而且其某些邏輯將會傳送至另一項建議, Log Analytics 代理程式健康情況問題應該在您的機器上解決

建議您檢查您的連續匯出和工作流程自動化設定,以查看這些建議是否包含在其中。 此外,應該據以更新可能使用這些儀錶板的任何儀錶板或其他監視工具。

已從 Azure Defender 儀錶板移除的適用於 SQL 的 Azure Defender 機器磚

Azure Defender 儀錶板的涵蓋範圍區域包含適用於您環境之相關 Azure Defender 方案的圖格。 由於回報受保護和未受保護資源數目的問題,我們已決定暫時移除機器上適用於 SQL 的 Azure Defender 的資源涵蓋範圍狀態,直到問題解決為止。

在安全性控制之間移動的建議

下列建議已移至不同的安全性控制。 安全性控制是相關安全性建議的邏輯群組,並反映易受攻擊面。 此舉可確保這些建議都處於最適當的控制中,以符合其目標。

了解安全性控件中每個安全性控件 中有哪些建議及其建議

建議 變更和影響
弱點評估應於您的 SQL 伺服器上啟用
SQL 受控執行個體上應啟用弱點評定
應補救 SQL 資料庫上的弱點
應補救 VM 中 SQL 資料庫的弱點
從補救弱點移出 (價值六分)
以補救安全性設定(價值四點)。
根據您的環境,這些建議會對分數產生降低的影響。
應將一個以上的擁有者指派給您的訂用帳戶
應加密自動化帳戶變數
IoT 裝置 - 稽核的進程已停止傳送事件
IoT 裝置 - 作業系統基準驗證失敗
IoT 裝置 - 需要 TLS 加密套件升級
IoT 裝置 - 開啟裝置上的連接埠
IoT 裝置 - 在其中一個鏈結中找到寬鬆的防火牆原則
IoT 裝置 - 在輸入鏈結中找到寬鬆的防火牆規則
IoT 裝置 - 在輸出鏈結中找到寬鬆的防火牆規則
應在 IoT 中樞內啟用診斷記錄
IoT 裝置 - 代理程式傳送使用量過低的訊息
IoT 裝置 - 預設 IP 篩選原則應為拒絕
IoT 裝置 - IP 篩選規則大型IP範圍
IoT 裝置 - 應調整代理程式訊息間隔和大小
IoT 裝置 - 相同的驗證認證
IoT 裝置 - 稽核的進程已停止傳送事件
IoT 裝置 - 作業系統 (OS) 基準設定應修正
移至實 作安全性最佳做法
當建議移至實作安全性最佳做法安全性控件時,建議不會再影響您的安全分數。

2021 年 3 月

3 月的更新包括:

Azure 防火牆與資訊安全中心整合的管理

當您開啟 Azure 資訊安全中心 時,要顯示的第一個頁面是概觀頁面。

此互動式儀錶板提供混合式雲端工作負載安全性狀態的統一檢視。 此外,它也會顯示安全性警示、涵蓋範圍資訊等等。

作為協助您從集中體驗檢視安全性狀態的一部分,我們已將 Azure 防火牆 Manager 整合到此儀錶板中。 您現在可以檢查所有網路的防火牆涵蓋範圍狀態,並從資訊安全中心開始集中管理 Azure 防火牆 原則。

在 Azure 資訊安全中心的概觀頁面中深入瞭解此儀錶板

具有磚的資訊安全中心概觀儀錶板 Azure 防火牆

SQL 弱點評估現在包含「停用規則」體驗(預覽)

資訊安全中心包含內建的弱點掃描器,可協助您探索、追蹤和補救潛在的資料庫弱點。 評估掃描的結果提供 SQL 機器的安全性狀態概觀,以及任何安全性結果的詳細數據。

如果您的組織需要忽略某個結果,而不是將其修復,您可以選擇性地停用該結果。 停用的結果不會影響您的安全分數或產生不想要的雜訊。

在停用特定結果深入瞭解。

整合至資訊安全中心的 Azure 監視器活頁簿和三個提供的範本

在 Ignite Spring 2021 中,我們宣佈了資訊安全中心的整合式 Azure 監視器活頁簿體驗。

您可以使用新的整合,從資訊安全中心的資源庫開始使用現用的範本。 藉由使用活頁簿範本,您可以存取及建置動態和可視化報表,以追蹤組織的安全性狀態。 此外,您可以根據資訊安全中心的數據或任何其他支持的數據類型建立新的活頁簿,並從資訊安全中心的 GitHub 社群快速部署社群活頁簿。

提供三個範本報表:

  • 經過一段時間 的安全分數 - 追蹤訂用帳戶的分數,以及資源建議的變更
  • 系統更新 - 依資源、OS、嚴重性等等檢視遺漏的系統更新
  • 弱點評估結果 - 檢視 Azure 資源的弱點掃描結果

瞭解如何使用這些報告,或在建立資訊安全中心數據的豐富互動式報表中建立您自己的報表。

一段時間報告的安全分數。

法規合規性儀表板現在包含 Azure 稽核報告(預覽版)

您現在可以從法規合規性儀錶板的工具列下載 Azure 和 Dynamics 認證報告。

法規合規性儀錶板的工具列

您可以選取相關報表類型的索引標籤(PCI、SOC、ISO 等),並使用篩選來尋找您需要的特定報表。

深入瞭解管理 法規合規性儀錶板中的標準。

篩選可用的 Azure 稽核報告清單。

您可以使用「在 ARG 中探索」,在 Azure Resource Graph 中檢視建議數據

建議詳細數據頁面現在包含 [在 ARG 中探索] 工具列按鈕。 使用此按鈕開啟 Azure Resource Graph 查詢,並探索、匯出及共用建議的數據。

Azure Resource Graph (ARG) 可讓您透過強大的篩選、分組和排序功能,立即存取跨雲端環境的資源資訊。 這是一種快速且有效率的方式,可透過程式設計方式或從 Azure 入口網站中查詢 Azure 訂用帳戶的資訊。

深入了解 Azure Resource Graph

探索 Azure Resource Graph 中的建議數據。

部署工作流程自動化原則的更新

自動化組織的監視和事件回應程程序,可大幅改善調查和緩解安全性事件所需的時間。

我們提供三個 Azure 原則 『DeployIfNotExist』 原則,以建立和設定工作流程自動化程式,讓您可以跨組織部署自動化:

Goal 原則 原則識別碼
安全性警示的工作流程自動化 為 Azure 資訊安全中心警示部署工作流程自動化 f1525828-9a90-4fcf-be48-268cdd02361e
安全性建議的工作流程自動化 為 Azure 資訊安全中心建議部署工作流程自動化 73d6ab6c-2475-4850-afd6-43795f3492ef
法規合規性變更的工作流程自動化 部署工作流程自動化以符合 Azure 資訊安全中心 法規 509122b9-ddd9-47ba-a5f1-d0dac20be63c

這些原則的功能有兩個更新:

  • 指派時,強制仍會啟用它們。
  • 您現在可以自定義這些原則,並在部署這些原則之後更新任何參數。 例如,您可以新增或編輯評定金鑰。

開始使用工作流程自動化範本

深入瞭解如何 自動響應資訊安全中心觸發程式

兩項舊版建議不再將數據直接寫入 Azure 活動記錄

資訊安全中心會將幾乎所有安全性建議的數據傳遞給 Azure Advisor,接著會將它 寫入 Azure 活動記錄

針對兩個建議,數據會同時直接寫入 Azure 活動記錄。 透過這項變更,資訊安全中心會停止將這些舊版安全性建議的數據直接寫入活動記錄。 相反地,我們會將數據匯出至 Azure Advisor,就像我們對所有其他建議所做的一樣。

這兩個舊版建議如下:

  • 應解決您機器上端點保護健康情況的問題
  • 您應在機器上修復安全性組態的弱點

如果您已在活動記錄的「TaskDiscovery 類型建議」類別中存取這兩項建議的資訊,就無法再使用。

建議頁面增強功能

我們已發行建議清單的改良版本,以一目了然地呈現更多資訊。

現在您會在頁面上看到:

  1. 每個安全性控制件的最大分數和目前分數。
  2. 取代標記的圖示,例如 修正預覽
  3. 顯示與每個建議相關的原則計劃的新數據行-停用「依控件分組」時可見。

Azure 資訊安全中心 建議頁面的增強功能 - 2021 年 3 月

Azure 資訊安全中心 建議「一般」清單的增強功能 - 2021 年 3 月

若要深入瞭解安全性建議,請參閱 Azure 資訊安全中心

2021 年 2 月

2 月的更新包括:

正式發行 Azure 入口網站 中新的安全性警示頁面 (GA)

Azure 資訊安全中心 的安全性警示頁面經過重新設計以提供:

  • 改善警示 的分級體驗 - 協助降低警示疲勞,並更輕鬆地專注於最相關的威脅,清單包含可自定義的篩選和群組選項。
  • 警示清單中的 詳細資訊 - 例如 MITRE ATT&ACK 策略。
  • 建立範例警示 的按鈕 - 評估 Azure Defender 功能並測試您的警示。 設定 (針對 SIEM 整合、電子郵件通知和工作流程自動化),您可以從所有 Azure Defender 方案建立範例警示。
  • 與 Azure Sentinel 的事件體驗 一致 - 針對使用這兩個產品的客戶,在兩者之間切換現在是更直接的體驗,而且很容易從另一個產品中學習。
  • 大型警示清單的效能更佳。
  • 鍵盤流覽 警示清單。
  • 來自 Azure Resource Graph 的警示 - 您可以在 Azure Resource Graph 中查詢警示,這是所有資源的 Kusto 類似 API。 如果您要建置自己的警示儀錶板,這也很有用。 深入了解 Azure 資源群組
  • 建立範例警示功能 - 若要從新的警示體驗建立範例警示,請參閱 產生範例 Azure Defender 警示

正式運作的 Kubernetes 工作負載保護建議 (GA)

我們很高興宣佈 Kubernetes 工作負載保護的一組建議正式推出 (GA)。

為了確保 Kubernetes 工作負載預設是安全的,資訊安全中心已新增 Kubernetes 層級強化建議,包括使用 Kubernetes 許可控制強制執行選項。

當您的 Azure Kubernetes Service (AKS) 叢集上安裝 kubernetes 的 Azure 原則 時,Kubernetes API 伺服器的每個要求都會根據預先定義的最佳做法集進行監視,並顯示為 13 個安全性建議,再保存至叢集。 接下來,您便可透過設定來實施最佳做法,並為未來的工作負載授權採取這些做法。

例如,您可以授權禁止建立特殊權限容器,今後任何這類要求都會受到阻止。

在使用 Kubernetes 許可控制的工作負載保護最佳做法中深入瞭解。

注意

雖然建議處於預覽狀態,但並未呈現 AKS 叢集資源狀況不良,且未包含在安全分數的計算中。 透過此 GA 公告,這些將會包含在分數計算中。 如果您尚未補救它們,這可能會導致對安全分數產生輕微的影響。 請盡可能補救它們,如補救 Azure 資訊安全中心 中的建議中所述

適用於端點的 Microsoft Defender 與 Azure Defender 整合現在支援 Windows 虛擬桌面上的 Windows Server 2019 和 Windows 10 (預覽版)

適用於端點的 Microsoft Defender 是全方位的雲端交付端點安全性解決方案。 它提供風險型 弱點管理 和評估,以及 端點偵測及回應(EDR)。 如需使用適用於端點的 Defender 搭配 Azure 資訊安全中心 的完整優點清單,請參閱使用資訊安全中心的整合式 EDR 解決方案保護您的端點:適用於端點的 Microsoft Defender

當您啟用執行 Windows Server 的 Azure Defender 伺服器時,方案會包含適用於端點的 Defender 授權。 如果您已經啟用適用於伺服器的 Azure Defender,而且您的訂用帳戶中有 Windows Server 2019 伺服器,則這些伺服器會自動收到適用於端點的 Defender 並使用此更新。 不需要手動動作。

現在已擴充支援,以在 Windows 虛擬桌面中包含 Windows Server 2019 和 Windows 10。

注意

如果您要在 Windows Server 2019 伺服器上啟用適用於端點的 Defender,請確定它符合啟用 適用於端點的 Microsoft Defender 整合中所述的必要條件。

當您檢閱建議的詳細資料時,通常有助於查看基礎原則。 對於原則所支援的每個建議,建議詳細數據頁面會有新的連結:

支持建議之特定原則 Azure 原則 頁面的連結。

使用此連結來檢視原則定義,並檢閱評估邏輯。

SQL 數據分類建議不再影響您的安全分數

建議 SQL 資料庫中的敏感數據應該不再影響您的安全分數。 安全性控制檔 [套用數據分類 ],其中包含它現在的安全分數值為 0。

如需所有安全性控件的完整清單,以及其分數和每個建議的清單,請參閱 安全性控件及其建議

工作流程自動化可以透過法規合規性評定的變更來觸發 (預覽版)

我們已將第三個數據類型新增至工作流程自動化的觸發程式選項:法規合規性評定的變更。

瞭解如何使用自動化資訊安全中心觸發程序的回應中的工作流程自動化工具。

使用法規合規性評定的變更來觸發工作流程自動化。

資產清查頁面增強功能

資訊安全中心的資產清查頁面已改善:

  • 頁面頂端的摘要現在包含 [未註冊的訂用帳戶],其中顯示未啟用資訊安全中心的訂用帳戶數目。

    資產清查頁面頂端摘要中未註冊的訂用帳戶計數。

  • 篩選已展開並增強,包括:

    • 計數 - 每個篩選都會呈現符合每個類別準則的資源數目

      Azure 資訊安全中心 資產清查頁面中篩選中的計數。

    • 包含豁免篩選 條件 (選擇性) - 將結果縮小為沒有豁免的資源。 此篩選預設不會顯示,但可從 [ 新增篩選 ] 按鈕存取。

      在 Azure 資訊安全中心 的資產清查頁面中新增篩選 'contains exemption'

深入瞭解如何使用 資產清查探索和管理您的資源。

2021 年 1 月

1 月的更新包括:

Azure 安全性效能評定現在是 Azure 資訊安全中心的預設原則計畫 (英文)

Azure 安全性基準是 Microsoft 針對以通用合規性架構為基礎的安全性與合規性最佳做法所撰寫的一組 Azure 特定方針。 這項廣受公認好評的效能評定以美國網際網路安全中心 (CIS)國家標準與技術研究院 (NIST) 的控制項為基礎,著重以雲端為中心的安全性。

近幾個月來,資訊安全中心的內建安全性建議清單已大幅增加,以擴大我們對此基準的涵蓋範圍。

在此版本中,基準檢驗是資訊安全中心建議的基礎,並完全整合為默認原則計劃。

所有 Azure 服務都有其檔中的安全性基準頁面。 這些基準是以 Azure 安全性基準為基礎所建置。

如果您使用資訊安全中心的法規合規性儀錶板,您會在轉換期間看到基準檢驗的兩個實例:

Azure 資訊安全中心 的法規合規性儀錶板,其中顯示 Azure 安全性效能評定

現有的建議不會受到影響,而且隨著基準檢驗的成長,變更會自動反映在資訊安全中心內。

若要深入瞭解,請參閱下列頁面:

內部部署和多雲端機器的弱點評估已發行,正式運作 (GA)

10 月,我們宣佈預覽使用適用於伺服器的 Azure Defender 整合式弱點評估掃描器掃描已啟用 Azure Arc 的伺服器(由 Qualys 提供電源)。

現已發行正式上市(GA)。

當您在非 Azure 機器上啟用 Azure Arc 時,資訊安全中心會提供在非 Azure 機器上部署整合式弱點掃描器-手動和大規模。

透過此更新,您可以釋放適用於伺服器的 Azure Defender 的強大功能,以在所有 Azure 和非 Azure 資產中合併您的 弱點管理 程式。

主要功能:

  • 監視 Azure Arc 機器上的 VA (弱點評估) 掃描器布建狀態
  • 將整合式 VA 代理程式布建至未受保護的 Windows 和 Linux Azure Arc 機器(手動和大規模)
  • 從已部署的代理程式接收和分析偵測到的弱點(手動和大規模)
  • Azure VM 和 Azure Arc 機器的整合體驗

深入瞭解如何將整合式 Qualys 弱點掃描器部署到混合式機器

深入了解已啟用 Azure Arc 的伺服器

管理群組的安全分數現已提供預覽 (英文)

除了訂用帳戶層級之外,安全分數頁面現在也會顯示管理群組的匯總安全分數。 因此,您現在可以查看組織中的管理群組清單,以及每個管理群組的分數。

檢視管理群組的安全分數。

深入瞭解 Azure 資訊安全中心 中的安全分數和安全性控制。

公開上市的安全分數 API 已發行 (GA)

您現在可以透過 安全分數 API 存取分數。 API 方法可讓您靈活地查詢資料,並在一段時間後建立您自己的安全分數報告機制。 例如:

  • 使用安全分數 API 來取得特定訂用帳戶的分數
  • 使用安全 分數控制項 API 列出安全性控制項和您訂用帳戶的目前分數

瞭解在 GitHub 社群的安全分數區域中,使用安全分數 API 進行的外部工具。

深入瞭解 Azure 資訊安全中心 中的安全分數和安全性控制。

懸空 DNS 保護已新增至適用於 App Service 的 Azure Defender (英文)

子網域接管是組織的常見高嚴重性威脅。 當您有指向已取消布建網站的 DNS 記錄時,可能會發生子域接管。 這類 DNS 記錄也稱為「無關聯 DNS」項目。 CNAME 記錄特別容易遭受此威脅。

子域接管可讓威脅執行者將適用於組織網域的流量重新導向至執行惡意活動的月臺。

適用於 App Service 的 Azure Defender 現在會在 App Service 網站解除委任時偵測懸空的 DNS 專案。 這是 DNS 進入指向不存在的資源,且您的網站容易受到子域接管的影響。 無論您的網域是使用 Azure DNS 或外部網域註冊機構來管理,以及適用於 Windows 上的 App Service 和 Linux 上的 App Service,都可以使用這些保護。

深入了解:

多雲端連接器已發行正式運作 (GA)

由於雲端工作負載通常需要跨越多個雲端平台,因此雲端安全性服務必須執行相同動作。

Azure 資訊安全中心 保護 Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中的工作負載。

將您的 AWS 或 GCP 專案連線,會將其原生安全性工具,例如 AWS 安全性中樞和 GCP 安全性命令中心整合到 Azure 資訊安全中心。

這項功能表示資訊安全中心可在所有主要雲端環境中提供可見度和保護。 這項整合的一些優點:

  • 自動代理程式布建 - 資訊安全中心會使用 Azure Arc 將 Log Analytics 代理程式部署至 AWS 實例
  • 原則管理
  • 弱點管理
  • 內嵌端點偵測及回應 (EDR)
  • 偵測安全性設定錯誤
  • 顯示所有雲端提供者安全性建議的單一檢視
  • 將所有資源納入資訊安全中心的安全分數計算
  • AWS 和 GCP 資源的法規合規性評定

從 適用於雲端的 Defender 的功能表中,選取 [Multicloud 連接器],您會看到建立新連接器的選項:

在資訊安全中心的多重雲端連接器頁面上新增 AWS 帳戶按鈕

深入瞭解:

免除訂用帳戶和管理群組安全分數的整個建議

我們正在擴充豁免功能,以包含整個建議。 提供進一步選項來微調資訊安全中心針對訂用帳戶、管理群組或資源提出的安全性建議。

有時候,當您知道問題已由資訊安全中心未偵測到的第三方工具解決時,資源會列為狀況不良。 或者,建議會顯示在您覺得不屬於的範圍中。 建議可能不適用於特定訂用帳戶。 或者,您的組織可能已決定接受與特定資源或建議相關的風險。

透過此預覽功能,您現在可以建立建議的豁免:

  • 豁免資源 ,以確保它不會在未來以狀況不良的資源列出,而且不會影響您的安全分數。 資源將會列為不適用,而且原因將會顯示為「豁免」您所選取特定理由。

  • 豁免訂用帳戶或管理群組 ,以確保建議不會影響您的安全分數,而且未來不會針對訂用帳戶或管理群組顯示。 這與現有資源以及您未來建立的任何資源有關。 系統會將建議標上您所選取範圍的特定理由。

深入瞭解 從安全分數豁免資源和建議。

用戶現在可以從其全域管理員要求全租用戶可見度

如果使用者沒有查看資訊安全中心數據的許可權,他們現在會看到從其組織的全域管理員要求許可權的連結。 要求包含他們想要的角色,以及其必要原因的理由。

通知使用者可以要求全租用戶權限的橫幅。

在要求全租用戶許可權不足時深入瞭解

新增 35 個預覽建議,以增加 Azure 安全性效能評定的涵蓋範圍

Azure 安全性效能評定是 Azure 資訊安全中心 的默認原則方案。

為了增加此基準的涵蓋範圍,資訊安全中心已新增下列 35 個預覽建議。

提示

預覽建議不會呈現資源狀況不良,且不會包含在安全分數的計算中。 請盡可能補救它們,以便在預覽期間結束時,為分數做出貢獻。 深入瞭解如何在補救 Azure 資訊安全中心 中的建議中回應這些建議。

安全性控制項 新建議
啟用待用加密 - Azure Cosmos DB 帳戶應使用客戶管理的密鑰來加密待用數據
- Azure 機器學習 工作區應使用客戶管理的金鑰加密 (CMK)
- 應該為 MySQL 伺服器啟用您自己的金鑰數據保護
- 應該為 PostgreSQL 伺服器啟用您自己的金鑰數據保護
- Azure AI 服務帳戶應使用客戶管理的金鑰來啟用資料加密 (CMK)
- 容器登入應使用客戶管理的金鑰加密 (CMK)
- SQL 受控實例應該使用客戶自控密鑰來加密待用數據
- SQL 伺服器應使用客戶管理的金鑰來加密待用數據
- 儲存器帳戶應使用客戶管理的金鑰 (CMK) 進行加密
實作安全性最佳做法 - 訂用帳戶應有安全性問題的聯繫人電子郵件位址
- 應在您的訂用帳戶上啟用Log Analytics代理程式的自動布建
- 應啟用高嚴重性警示的電子郵件通知
- 應啟用高嚴重性警示的訂用帳戶擁有者的電子郵件通知
- 金鑰保存庫應該已啟用清除保護
- 金鑰保存庫應該已啟用虛刪除
管理存取權與權限 - 函式應用程式應已啟用「用戶端憑證」(傳入客戶端憑證)」
保護應用程式免受 DDoS 攻擊 - 應針對 應用程式閘道 啟用 Web 應用程式防火牆 (WAF)
- 應針對 Azure Front Door Service 啟用 Web 應用程式防火牆 (WAF)
限制未經授權的網路存取 - 應在 金鑰保存庫 上啟用防火牆
- 應針對 金鑰保存庫 設定私人端點
- 應用程式組態 應該使用私人連結
- Azure Cache for Redis 應該位於虛擬網路內
- Azure 事件方格 網域應使用私人連結
- Azure 事件方格 主題應使用私人連結
- Azure 機器學習 工作區應使用私人連結
- Azure SignalR Service 應使用私人連結
- Azure Spring Cloud 應該使用網路插入
- 容器登錄不應允許不受限制的網路存取
- 容器登錄應該使用私人連結
- 應停用 MariaDB 伺服器的公用網路存取
- MySQL 伺服器應停用公用網路存取
- 應停用 PostgreSQL 伺服器的公用網路存取
- 記憶體帳戶應使用私人連結連線
- 記憶體帳戶應使用虛擬網路規則來限制網路存取
- VM 映射產生器範本應該使用私人連結

相關連結:

已篩選建議清單的 CSV 匯出 (英文)

在 2020 年 11 月,我們已將篩選新增至建議頁面。

在此公告中,我們會變更 [下載至 CSV] 按鈕的行為 ,讓 CSV 匯出只包含篩選清單中目前顯示的建議。

例如,在下圖中,您可以看到清單已篩選為兩個建議。 產生的 CSV 檔案包含受這兩項建議影響之每個資源的狀態詳細數據。

將篩選的建議匯出至 CSV 檔案。

Azure 資訊安全中心 中深入瞭解安全性建議。

「不適用」資源現在會在 Azure 原則評定中回報為「符合規範」 (英文)

先前,針對建議進行評估且發現不適用的資源會出現在 Azure 原則 為「不符合規範」。 使用者動作無法將其狀態變更為「符合規範」。透過這項變更,系統會將他們回報為「相容」,以改善清晰度。

唯一的影響會顯示在 Azure 原則,其中符合規範的資源數目將會增加。 在 Azure 資訊安全中心 中,您的安全分數不會有任何影響。

使用連續匯出,匯出安全分數和法規合規性資料的每週快照集 (預覽) (英文)

我們已將新的預覽功能新增至連續匯出工具,以匯出安全分數和法規合規性數據的每周快照集。

當您定義連續匯出時,請設定匯出頻率:

選擇連續導出的頻率。

  • 串流 – 當資源的健康情況狀態更新時,將會傳送評量(如果未發生任何更新,則不會傳送任何數據)。
  • 快照集 – 每周都會傳送所有法規合規性評估目前狀態的快照集(這是安全分數和法規合規性數據的每周快照集預覽功能)。

在持續匯出資訊安全中心數據深入瞭解這項功能的完整功能。

2020 年 12 月

12 月的更新包括:

機器上的適用於 SQL 伺服器的 Azure Defender 已正式推出

Azure 資訊安全中心 提供兩個適用於 SQL Server 的 Azure Defender 方案:

  • 適用於 Azure SQL 資料庫伺服器 的 Azure Defender - 保護您的 Azure 原生 SQL Server
  • 適用於機器 上 SQL 伺服器的 Azure Defender - 將相同的保護延伸至混合式、多雲端和內部部署環境中的 SQL 伺服器

透過此公告, 適用於 SQL 的 Azure Defender 現在可保護資料庫及其數據,無論其位於何處。

適用於 SQL 的 Azure Defender 包含弱點評估功能。 弱點評估工具包含下列進階功能:

  • 基準設定 (New!) 以智慧方式精簡弱點掃描的結果,以將可能代表實際安全性問題的弱點掃描結果精簡。 建立基準安全性狀態之後,弱點評量工具只會報告與該基準狀態的偏差。 符合基準的結果會被視為通過後續掃描。 這可讓您和分析師將注意力放在重要的地方。
  • 詳細的基準檢驗資訊 可協助您 瞭解 探索到的結果,以及它們為何與您的資源相關。
  • 補救腳本 可協助您減輕已識別的風險。

深入了解 適用於 SQL 的 Azure Defender。

適用於 SQL 的 Azure Defender 支援適用於 Azure Synapse Analytics 的專用 SQL 集區已正式推出

Azure Synapse Analytics(先前稱為 SQL DW)是結合企業數據倉儲和巨量數據分析的分析服務。 專用 SQL 集區是 Azure Synapse 的企業數據倉儲功能。 在什麼是 Azure Synapse Analytics(先前稱為 SQL DW)中深入瞭解

適用於 SQL 的 Azure Defender 使用下列項目保護您的專用 SQL 集區:

  • 偵測威脅和攻擊的進階威脅防護
  • 識別及補救安全性設定的弱點評估功能

適用於 SQL 的 Azure Defender 支援 Azure Synapse Analytics SQL 集區會自動新增至 Azure 資訊安全中心 中的 Azure SQL 資料庫套件組合。 Azure 入口網站 的 Synapse 工作區頁面中有新的 [適用於 SQL 的 Azure Defender] 索引標籤。

深入了解 適用於 SQL 的 Azure Defender。

全域管理員現在可以授與自己租用戶層級的許可權

具有全域管理員 Azure Active Directory 角色的使用者可能會承擔整個租用戶的責任,但缺少 Azure 許可權,以檢視整個組織 Azure 資訊安全中心 的資訊。

若要指派自己租用戶層級的許可權,請遵循將全租用戶許可權授與自己中的指示。

兩個新的 Azure Defender 方案:適用於 DNS 的 Azure Defender 和適用於 Resource Manager 的 Azure Defender(預覽版)

我們已為您的 Azure 環境新增兩個新的雲端原生廣度威脅防護功能。

這些新的保護可大幅增強您抵禦威脅執行者攻擊的復原能力,並大幅增加受 Azure Defender 保護的 Azure 資源數目。

Azure 入口網站 中新的安全性警示頁面 (預覽)

Azure 資訊安全中心 的安全性警示頁面經過重新設計以提供:

  • 改善警示 的分級體驗 - 協助減少警示疲勞,並更輕鬆地專注於最相關的威脅,清單包含可自定義的篩選和群組選項
  • 警示清單中的 詳細資訊 - 例如 MITRE ATT&ACK 策略
  • 建立範例警示 的按鈕 - 若要評估 Azure Defender 功能並測試警示設定(適用於 SIEM 整合、電子郵件通知和工作流程自動化),您可以從所有 Azure Defender 方案建立範例警示
  • 與 Azure Sentinel 的事件體驗 一致 - 針對使用這兩個產品的客戶,在兩者之間切換現在是更直接的體驗,而且很容易從另一個產品中學習
  • 大型警示清單的效能更佳
  • 鍵盤流覽 警示清單
  • 來自 Azure Resource Graph 的警示 - 您可以在 Azure Resource Graph 中查詢警示,這是所有資源的 Kusto 類似 API。 如果您要建置自己的警示儀錶板,這也很有用。 深入了解 Azure 資源群組

若要存取新的體驗,請使用安全性警示頁面頂端橫幅中的 [立即試用] 連結。

包含新預覽警示體驗連結的橫幅。

若要從新的警示體驗建立範例警示,請參閱 產生範例 Azure Defender 警示

在 Azure SQL 資料庫 和 SQL 受管理執行個體 中振興資訊安全中心體驗

SQL 內的資訊安全中心體驗可讓您存取下列資訊安全中心和適用於 SQL 功能的 Azure Defender:

  • 安全性建議 – 資訊安全中心會定期分析所有已連線 Azure 資源的安全性狀態,以識別潛在的安全性設定錯誤。 接著會提供如何補救這些弱點並改善組織安全性狀態的建議。
  • 安全性警示 – 偵測服務,會持續監視 Azure SQL 活動是否有 SQL 插入式攻擊、暴力密碼破解攻擊和許可權濫用等威脅。 此服務會在資訊安全中心觸發詳細的動作導向安全性警示,並提供使用 Azure Sentinel 持續調查的選項,Microsoft的 Azure 原生 SIEM 解決方案。
  • 結果 – 持續監視 Azure SQL 組態並協助補救弱點的弱點評估服務。 評定掃描提供 Azure SQL 安全性狀態的概觀,以及詳細的安全性結果。

Azure 資訊安全中心 SQL 的安全性功能可從 Azure SQL 中取得

資產清查工具和篩選已更新

Azure 資訊安全中心 中的清查頁面已使用下列變更重新整理:

  • 已新增至工具列的指南和意見反應 。 這會開啟包含相關信息和工具連結的窗格。

  • 訂用帳戶篩選 已新增至資源可用的默認篩選。

  • 開啟查詢 連結,將目前的篩選選項開啟為 Azure Resource Graph 查詢(先前稱為「在資源圖表總管中檢視」)。

  • 每個篩選條件的運算符選項 。 現在您可以從 『=』 以外的更多邏輯運算子中進行選擇。 例如,您可能想要尋找具有使用中建議的所有資源,其標題包含字串 'encrypt'。

    資產清查篩選中運算符選項的控件

若要深入瞭解清查,請參閱 使用資產清查探索和管理您的資源。

要求 SSL 憑證的 Web 應用程式不再屬於安全分數的一部分的建議

建議「Web 應用程式應要求所有傳入要求的 SSL 憑證」已從安全性控制 管理存取權和許可權 (最多 4 點)移至 實作安全性最佳做法 (不值得點)。

確保 Web 應用程式要求憑證一定會使其更安全。 不過,針對面向公眾的 Web 應用程式,這無關緊要。 如果您透過 HTTP 存取您的網站,而非 HTTPS,將不會收到任何用戶端憑證。 因此如果您的應用程式需要用戶端憑證,請勿允許透過 HTTP 傳入您應用程式的要求。 若要深入瞭解,請參閱設定 Azure App 服務 的 TLS 相互驗證。

有了這項變更,建議現在是不會影響分數的建議最佳做法。

了解安全性控件中每個安全性控件 中有哪些建議及其建議

[建議] 頁面有適用於環境、嚴重性和可用回應的新篩選

Azure 資訊安全中心 監視所有連線的資源,併產生安全性建議。 使用這些建議來強化混合式雲端狀態,並追蹤與貴組織、產業和國家/地區相關的原則和標準合規性。

隨著資訊安全中心持續擴充其涵蓋範圍和功能,每個月的安全性建議清單都會增加。 例如,請參閱 新增二十九項預覽建議,以增加 Azure 安全性效能評定的涵蓋範圍。

隨著清單的成長,需要篩選建議,以找出最感興趣的建議。 在11月,我們已將篩選新增至建議頁面(請參閱 建議清單現在包含篩選條件)。

本月新增的篩選會提供選項,以根據下列專案來精簡建議清單:

  • 環境 - 檢視 AWS、GCP 或 Azure 資源的建議(或任何組合)

  • 嚴重性 - 根據資訊安全中心所設定的嚴重性分類來檢視建議

  • 回應動作 - 根據資訊安全中心回應選項的可用性檢視建議:修正、拒絕和強制執行

    提示

    回應動作篩選會 取代 [快速修正] 可用的 [是/否] 篩選條件。

    深入瞭解下列每個回應選項:

依安全性控制分組的建議。

連續導出會取得新的數據類型,並改善 deployifnotexist 原則

Azure 資訊安全中心的持續匯出工具可讓您匯出資訊安全中心的建議和警示,以搭配您環境中的其他監視工具使用。

連續匯出可讓您完整自定義將導出的內容,以及其前往何處。 如需完整詳細數據,請參閱 持續導出資訊安全中心數據

這些工具已透過下列方式增強和擴充:

  • 持續導出的 deployifnotexist 原則增強。 原則現在:

    • 檢查組態是否已啟用。 如果不是,原則會顯示為不符合規範,並建立相容的資源。 在設定連續匯出中,深入瞭解「使用 Azure 原則 大規模部署」索引標籤中提供的 Azure 原則 範本。

    • 支援匯出安全性結果。 使用 Azure 原則 範本時,您可以設定連續匯出以包含結果。 這在導出具有「子」建議的建議時相關,例如「應該在您的機器上安裝系統更新」的弱點評估掃描儀或特定系統更新的結果。

    • 支援導出安全分數數據。

  • 已新增法規合規性評定數據(預覽版)。 您現在可以持續將更新匯出至法規合規性評定,包括針對任何自定義計劃,導出至Log Analytics工作區或事件中樞。 國家雲端無法使用此功能。

    包含法規合規性評定資訊與連續匯出數據的選項。

2020 年 11 月

11 月的更新包括:

新增 29 項預覽建議,以增加 Azure 安全性效能評定的涵蓋範圍

Azure 安全性效能評定是以一般合規性架構為基礎的Microsoft撰寫、Azure 特定、安全性與合規性最佳做法的指導方針集。 深入瞭解 Azure 安全性效能評定

下列 29 個預覽建議已新增至資訊安全中心,以增加此基準檢驗的涵蓋範圍。

預覽建議不會呈現資源狀況不良,且不會包含在安全分數的計算中。 請盡可能補救它們,以便在預覽期間結束時,為分數做出貢獻。 深入瞭解如何在補救 Azure 資訊安全中心 中的建議中回應這些建議。

安全性控制項 新建議
加密傳輸中的資料 - 應針對 PostgreSQL 資料庫伺服器啟用 SSL 連線
- 應為 MySQL 資料庫伺服器啟用強制 SSL 連線
- TLS 應更新為 API 應用程式的最新版本
- 函式應用程式的 TLS 應更新為最新版本
- TLS 應更新為 Web 應用程式的最新版本
- 您的 API 應用程式中應該需要 FTPS
- 函式應用程式中應該需要 FTPS
- Web 應用程式中應該需要 FTPS
管理存取權與權限 - Web 應用程式應針對所有傳入要求要求要求 SSL 憑證
- 您的 API 應用程式應該使用受控識別
- 函式應用程式中應該使用受控識別
- 應在 Web 應用程式中使用受控識別
限制未經授權的網路存取 - 應為 PostgreSQL 伺服器啟用私人端點
- 應為 MariaDB 伺服器啟用私人端點
- 應為 MySQL 伺服器啟用私人端點
啟用稽核與記錄 - 應啟用 App Services 中的診斷記錄
實作安全性最佳做法 - 應為虛擬機啟用 Azure 備份
- 應針對 適用於 MariaDB 的 Azure 資料庫 啟用異地備援備份
- 應針對 適用於 MySQL 的 Azure 資料庫 啟用異地備援備份
- 應針對 適用於 PostgreSQL 的 Azure 資料庫 啟用異地備援備份
- PHP 應該更新為 API 應用程式的最新版本
- PHP 應更新為 Web 應用程式的最新版本
- Java 應更新為 API 應用程式的最新版本
- Java 應該更新為函式應用程式的最新版本
- Java 應更新為 Web 應用程式的最新版本
- Python 應更新為 API 應用程式的最新版本
- Python 應更新為函式應用程式的最新版本
- Python 應更新為 Web 應用程式的最新版本
- 稽核 SQL 伺服器的保留期應設定為至少 90 天

相關連結:

NIST SP 800 171 R2 已新增至資訊安全中心的法規合規性儀錶板

NIST SP 800-171 R2 標準現在可作為內建方案,可與 Azure 資訊安全中心 的法規合規性儀錶板搭配使用。 控件的對應描述 於 NIST SP 800-171 R2 法規合規性內建方案的詳細數據中。

若要將標準套用至您的訂用帳戶,並持續監視合規性狀態,請使用在法規合規性儀錶板中自定義標準集中的指示。

資訊安全中心法規合規性儀錶板中的 NIST SP 800 171 R2 標準

如需此合規性標準的詳細資訊,請參閱 NIST SP 800-171 R2

建議清單現在包含篩選

您現在可以根據一系列準則來篩選安全性建議清單。 在下列範例中,會篩選建議清單以顯示建議:

  • 已正式推出 (也就是說,不是預覽版)
  • 適用於 記憶體帳戶
  • 支援 快速修正 補救

建議清單的篩選。

自動布建體驗已改善和擴充

自動布建功能可藉由在新的和現有的 Azure VM 上安裝必要的擴充功能,協助降低管理額外負荷,讓它們受益於資訊安全中心的保護。

隨著 Azure 資訊安全中心 成長,已開發更多擴充功能,資訊安全中心可以監視較大的資源類型清單。 自動布建工具現已擴充,藉由利用 Azure 原則的功能來支援其他擴充功能和資源類型。

您現在可以設定下列項目的自動布建:

  • Log Analytics 代理程式
  • (新)適用於 Kubernetes 的 Azure 原則
  • (新)Microsoft相依性代理程式

深入瞭解從 Azure 資訊安全中心 自動布建代理程式和擴充功能

安全分數現已可在連續匯出中使用(預覽)

透過連續匯出安全分數,您可以即時將分數的變更串流至 Azure 事件中樞 或 Log Analytics 工作區。 您可以使用此功能:

  • 使用動態報告追蹤您的安全分數一段時間
  • 將安全分數數據匯出至 Azure Sentinel (或任何其他 SIEM)
  • 將此數據與您可能用來監視組織中安全分數的任何程式整合

深入瞭解如何 持續匯出資訊安全中心數據

「系統更新應該安裝在您的電腦上」建議現在包含子命令

系統更新應該安裝在您的電腦建議已增強。 新版本包含每個遺漏更新的子命令,並帶來下列改善:

  • Azure 入口網站 Azure 資訊安全中心 頁面中重新設計的體驗。 系統更新的建議詳細數據頁面 應該安裝在您的電腦 上,包括結果清單,如下所示。 當您選取單一尋找時,詳細數據窗格隨即開啟,其中包含補救資訊和受影響資源清單的連結。

    在入口網站體驗中開啟其中一個子命令,以取得更新的建議。

  • Azure Resource Graph (ARG) 中建議的擴充數據。 ARG 是一項 Azure 服務,其設計目的是提供有效率的資源探索。 您可以使用ARG大規模查詢一組指定的訂用帳戶,以便有效地控管您的環境。

    針對 Azure 資訊安全中心,您可以使用 ARG 和 Kusto 查詢語言 (KQL) 查詢各種安全性狀態數據。

    先前,如果您在 ARG 中查詢此建議,唯一可用的資訊就是必須在機器上補救建議。 下列增強版本的查詢會傳回每一個依計算機分組的遺漏系統更新。

    securityresources
    | where type =~ "microsoft.security/assessments/subassessments"
    | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
    | where properties.status.code == "Unhealthy"
    

Azure 入口網站 中的原則管理頁面現在會顯示默認原則指派的狀態

您現在可以在 Azure 入口網站 的資訊安全中心安全策略頁面中,查看訂用帳戶是否已指派預設資訊安全中心原則

Azure 資訊安全中心 的原則管理頁面,其中顯示默認原則指派。

2020 年 10 月

10 月的更新包括:

內部部署和多雲端機器的弱點評估 (預覽)

適用於伺服器的 Azure Defender 整合式弱點評估掃描器(由 Qualys 提供電源)現在會掃描已啟用 Azure Arc 的伺服器。

當您在非 Azure 機器上啟用 Azure Arc 時,資訊安全中心會提供在非 Azure 機器上部署整合式弱點掃描器-手動和大規模。

透過此更新,您可以釋放適用於伺服器的 Azure Defender 的強大功能,以在所有 Azure 和非 Azure 資產中合併您的 弱點管理 程式。

主要功能:

  • 監視 Azure Arc 機器上的 VA (弱點評估) 掃描器布建狀態
  • 將整合式 VA 代理程式布建至未受保護的 Windows 和 Linux Azure Arc 機器(手動和大規模)
  • 從已部署的代理程式接收和分析偵測到的弱點(手動和大規模)
  • Azure VM 和 Azure Arc 機器的整合體驗

深入瞭解如何將整合式 Qualys 弱點掃描器部署到混合式機器

深入了解已啟用 Azure Arc 的伺服器

已新增 Azure 防火牆 建議(預覽)

已新增新的建議,以保護所有具有 Azure 防火牆的虛擬網路。

建議虛擬網路應受到保護,Azure 防火牆 建議您限制對虛擬網路的存取,並防止使用 Azure 防火牆的潛在威脅。

深入瞭解 Azure 防火牆

授權的IP範圍應在 Kubernetes Services 建議上定義,並透過快速修正進行更新

建議在 Kubernetes Services 上定義授權的 IP 範圍現在有快速修正選項。

授權的IP範圍應在 Kubernetes Services 建議上定義,並具有快速修正選項。

法規合規性儀表板現在包含移除標準的選項

資訊安全中心的法規合規性儀錶板會根據您符合特定合規性控制和需求的方式,提供合規性狀態的深入解析。

儀錶板包含一組預設的法規標準。 如果任何提供的標準與您的組織無關,現在就是從訂用帳戶的UI中移除這些標準的程式。 標準只能在 用帳戶層級移除,而不是管理群組範圍。

若要深入瞭解,請參閱 從儀錶板移除標準。

Microsoft.Security/securityStatuses 數據表已從 Azure Resource Graph 移除 (ARG)

Azure Resource Graph 是 Azure 中的一項服務,其設計目的是提供有效率的資源探索,讓您能夠大規模查詢一組指定的訂用帳戶,以便有效地控管您的環境。

針對 Azure 資訊安全中心,您可以使用 ARG 和 Kusto 查詢語言 (KQL) 查詢各種安全性狀態數據。 例如:

在ARG中,有數據表可供您在查詢中使用。

Azure Resource Graph 總管和可用的數據表。

提示

ARG 檔案會列出 Azure Resource Graph 資料表和資源類型參考中的所有可用資料表。

從此更新中, 已移除 Microsoft.Security/securityStatuses 數據表。 securityStatuses API 仍可供使用。

Microsoft.Security/Assessments 數據表可以使用數據取代。

Microsoft.Security/securityStatuses 與 Microsoft.Security/Assessments 之間的主要差異在於,雖然第一個顯示評量匯總,但秒會保留每個記錄。

例如,Microsoft.Security/securityStatuses 會傳回具有兩個 policyAssessments 陣列的結果:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

Microsoft.Security/Assessments 會保留每個這類原則評估的記錄,如下所示:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

使用 securityStatuses 將現有 ARG 查詢轉換成現在使用評定數據表的範例:

參考 SecurityStatuses 的查詢:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Assessments 數據表的取代查詢:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

如需詳細資訊,請參閱下列連結:

2020 年 9 月

9 月的更新包括:

資訊安全中心會取得新外觀

我們已針對資訊安全中心的入口網站頁面發行重新整理的UI。 新頁面包含安全分數、資產清查和 Azure Defender 的新概觀頁面和儀錶板。

重新設計的概觀頁面現在有一個磚,可用於存取安全分數、資產清查和 Azure Defender 儀錶板。 它也具有磚連結至法規合規性儀錶板。

深入瞭解概 觀頁面

Azure Defender 已發行

Azure Defender 是資訊安全中心內整合的雲端工作負載保護平臺(CWPP),可進階、智慧型、保護 Azure 和混合式工作負載。 它會取代資訊安全中心的標準定價層選項。

當您從 Azure 資訊安全中心 的 [定價和設定] 區域啟用 Azure Defender 時,下列 Defender 方案都會同時啟用,併為環境的計算、數據和服務層級提供完整的防禦:

這些方案都會在資訊安全中心檔中個別說明。

Azure Defender 使用其專用儀錶板,可為虛擬機、SQL 資料庫、容器、Web 應用程式、網路等提供安全性警示和進階威脅防護。

深入瞭解 Azure Defender

適用於 金鑰保存庫 的 Azure Defender 已正式推出

Azure Key Vault 這項雲端服務可用來保護加密金鑰和秘密 (例如憑證、連接字串和密碼)。

適用於 金鑰保存庫 的 Azure Defender 提供適用於 Azure 金鑰保存庫 的 Azure 原生進階威脅防護,提供額外的安全性情報層。 依延伸模組,適用於 金鑰保存庫 的 Azure Defender 因此會保護許多相依於您 金鑰保存庫 帳戶的資源。

選擇性方案現在是 GA。 這項功能在預覽版中為「適用於 Azure 金鑰保存庫 的進階威脅防護」。

此外,Azure 入口網站 中的 金鑰保存庫 頁面現在包含資訊安全中心建議和警示的專用安全性頁面。

在適用於 金鑰保存庫 的 Azure Defender 中深入瞭解。

適用於檔案和 ADLS Gen2 的 Azure Defender 記憶體保護已正式推出

適用於記憶體的 Azure Defender 會偵測 Azure 儲存體 帳戶上的潛在有害活動。 不論數據儲存為 Blob 容器、檔案共用或 Data Lake,都可以受到保護。

Azure 檔案儲存體 和 Azure Data Lake Storage Gen2 的支援現已正式推出。

從 2020 年 10 月 1 日開始,我們將開始收取保護這些服務資源費用。

深入瞭解適用於記憶體Azure Defender。

資產清查工具現已正式推出

Azure 資訊安全中心 的資產清查頁面提供單一頁面,以檢視您已連線到資訊安全中心之資源的安全性狀態。

資訊安全中心會定期分析 Azure 資源的安全性狀態,以識別潛在的安全性弱點。 然後提供您如何補救這些弱點的建議。

當任何資源有尚未完成的建議時,就會出現在清查中。

若要深入瞭解,請參閱 使用資產清查探索和管理您的資源。

停用容器登錄和虛擬機掃描的特定弱點尋找

Azure Defender 包含弱點掃描器,可掃描 Azure Container Registry 和虛擬機中的映像。

如果您的組織需要忽略某個結果,而不是將其修復,您可以選擇性地停用該結果。 停用的結果不會影響您的安全分數或產生不想要的雜訊。

當某個結果符合停用規則中定義的準則時,其就不會出現在結果清單中。

此選項可從下列建議詳細數據頁面取得:

  • 應補救 Azure Container Registry 映射中的弱點
  • 應補救虛擬機中的弱點

讓資源豁免建議

有時候,即使您覺得不應該,資源也會列為特定建議狀況不良(因此降低您的安全分數)。 它可能已由資訊安全中心未追蹤的程式進行補救。 或者,貴組織已決定接受該特定資源的風險。

在這種情況下,您可以建立豁免規則,並確保未來資源不會列在狀況不良的資源中。 這些規則可以包含記載的理由,如下所述。

若要深入瞭解,請參閱 免除資源的建議和安全分數

資訊安全中心的 AWS 和 GCP 連接器帶來多重雲端體驗

由於雲端工作負載通常需要跨越多個雲端平台,因此雲端安全性服務必須執行相同動作。

Azure 資訊安全中心 現在可保護 Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中的工作負載。

當您將 AWS 和 GCP 項目上線至資訊安全中心時,它會整合 AWS 安全性中樞、GCP 安全性命令和 Azure 資訊安全中心。

深入瞭解將 AWS 帳戶連線到 Azure 資訊安全中心,並將 GCP 專案連線到 Azure 資訊安全中心

Kubernetes 工作負載保護建議套件組合

為了確保 Kubernetes 工作負載預設是安全的,資訊安全中心會新增 Kubernetes 層級強化建議,包括使用 Kubernetes 許可控制強制執行選項。

當您在 AKS 叢集上安裝適用於 Kubernetes 的 Azure 原則 時,Kubernetes API 伺服器的每個要求都會在保存至叢集之前,針對預先定義的最佳做法集進行監視。 接下來,您便可透過設定來實施最佳做法,並為未來的工作負載授權採取這些做法。

例如,您可以授權禁止建立特殊權限容器,今後任何這類要求都會受到阻止。

在使用 Kubernetes 許可控制的工作負載保護最佳做法中深入瞭解。

弱點評估結果現在可在連續匯出中使用

使用連續導出來串流您的警示和建議,以 Azure 事件中樞、Log Analytics 工作區或 Azure 監視器。 您可以從該處整合此數據與 SIEM(例如 Azure Sentinel、Power BI、Azure 數據總管等等。

資訊安全中心的整合式弱點評估工具會傳回資源相關結果,作為「父代」建議內可採取動作的建議,例如「應補救虛擬機中的弱點」。

當您選取建議並啟用 [包含安全性結果] 選項時,現在可以透過連續導出來匯出安全性結果

在連續匯出設定中包含安全性結果切換。

相關頁面:

藉由在建立新資源時強制執行建議來防止安全性設定錯誤

錯誤的安全性設定是安全性事件的主要原因。 資訊安全中心現在能夠協助防止有關特定建議的新資源設定錯誤。

這項功能可協助保護您工作負載的安全,並穩定您的安全分數。

您可以透過兩種模式,根據特定建議強制執行安全設定:

  • 使用拒絕 Azure 原則 模式,您可以停止建立狀況不良的資源

  • 使用強制選項,您可以利用 Azure 原則 的 DeployIfNotExist 效果,並在建立時自動補救不相容的資源

這適用於選取的安全性建議,而且可在資源詳細數據頁面頂端找到。

請在<防止強制/拒絕建議的設定錯誤>中深入了解。

網路安全組建議已改善

已改善與網路安全組相關的下列安全性建議,以減少某些誤判實例。

  • 所有網路埠都應該限制在與您的 VM 相關聯的 NSG 上
  • 應關閉虛擬機器上的管理連接埠
  • 應使用網路安全性群組保護網際網路對應的虛擬機器
  • 子網路應該與網路安全性群組建立關聯

已被取代的預覽 AKS 建議「應在 Kubernetes Services 上定義 Pod 安全策略」

預覽建議「應在 Kubernetes Services 上定義 Pod 安全策略」即將淘汰,如 Azure Kubernetes Service 檔中所述

Pod 安全策略 (預覽) 功能已設定為淘汰,且在 2020 年 10 月 15 日之後將不再提供,有利於 AKS 的 Azure 原則。

Pod 安全策略 (預覽) 已被取代之後,您必須使用已被取代的功能停用任何現有叢集上的功能,以執行未來的叢集升級,並保留在 Azure 支援 內。

已改善 Azure 資訊安全中心 的電子郵件通知

已改善下列有關安全性警示的電子郵件區域:

  • 已新增傳送所有嚴重性層級警示相關電子郵件通知的功能
  • 已新增在訂用帳戶上以不同 Azure 角色通知使用者的功能
  • 我們預設會在高嚴重性警示上主動通知訂用帳戶擁有者(其有嚴重違規的高機率)
  • 我們已從電子郵件通知設定頁面移除電話號碼欄位

若要深入瞭解,請參閱 設定安全性警示的電子郵件通知。

安全分數不包含預覽建議

資訊安全中心會持續評估資源、訂用帳戶、組織的安全性問題。 然後將所有的發現彙總成一個分數,讓您可以立即得知目前的安全性情況:分數越高,所識別的風險層級越低。

隨著發現新的威脅,資訊安全中心會透過新的建議提供新的安全性建議。 為了避免意外變更您的安全分數,並提供寬限期,您可以在這些建議影響分數之前探索新建議,標示為 預覽 的建議不再包含在安全分數的計算中。 在可能的情況下,仍應加以補救,以便在預覽期間結束時,為分數做出貢獻。

此外, 預覽 建議不會轉譯資源「狀況不良」。

預覽建議的範例:

具有預覽旗標的建議。

深入瞭解安全分數

建議現在包含嚴重性指標和新鮮度間隔

建議的詳細數據頁面現在包含全新間隔指標(每當相關時),以及建議嚴重性的清楚顯示。

顯示新鮮度和嚴重性的建議頁面。

2020 年 8 月

8 月的更新包括:

資產清查 - 強大的資產安全性狀態全新檢視

資訊安全中心的資產清查(目前為預覽版)提供一種方式,以檢視您已連線到資訊安全中心之資源的安全性狀態。

資訊安全中心會定期分析 Azure 資源的安全性狀態,以識別潛在的安全性弱點。 然後提供您如何補救這些弱點的建議。 當任何資源有尚未完成的建議時,就會出現在清查中。

您可以使用檢視及其篩選來探索安全性狀態數據,並根據結果採取進一步的動作。

深入了解 資產清查

已新增 Azure Active Directory 安全性預設值的支持(針對多重要素驗證)

資訊安全中心已新增安全性預設值的完整支援,Microsoft的免費身分識別安全性保護。

安全性預設值提供預先設定的身分識別安全性設定,以保護您的組織免於常見的身分識別相關攻擊。 安全性預設值已保護整體超過500萬個租使用者;資訊安全中心也會保護 50,000 個租使用者。

每當資訊安全中心識別未啟用安全性預設值的 Azure 訂用帳戶時,資訊安全中心就會提供安全性建議。 到目前為止,資訊安全中心建議使用條件式存取來啟用多重要素驗證,這是 Azure Active Directory(AD) 進階授權的一部分。 對於使用免費 Azure AD 的客戶,我們現在建議啟用安全性預設值。

我們的目標是鼓勵更多客戶使用 MFA 保護其雲端環境,並降低對安全分數影響最大的最高風險之一。

深入瞭解 安全性預設值

新增服務主體建議

新增了新的建議,建議資訊安全中心客戶使用管理憑證來管理其訂用帳戶切換至服務主體。

建議 使用服務主體來保護訂用帳戶,而不是管理憑證 ,建議您使用服務主體或 Azure Resource Manager 更安全地管理您的訂用帳戶。

深入瞭解 Azure Active Directory 中的應用程式和服務主體物件。

VM 上的漏洞評量 - 合併建議和原則

資訊安全中心會檢查您的 VM,以偵測其是否正在執行弱點評估解決方案。 如果找不到弱點評估解決方案,資訊安全中心會提供簡化部署的建議。

找到弱點時,資訊安全中心會提供建議,摘要您調查和補救結果。

為了確保所有使用者的一致體驗,無論使用的掃描器類型為何,我們已將四個建議統一到下列兩個:

整合建議 變更描述
虛擬機器上應啟用弱點評估解決方案 取代下列兩個建議:
在虛擬機上啟用內建弱點評估解決方案(由 Qualys 提供電源(現已淘汰)(隨附於標準層)
弱點評估解決方案應該安裝在您的虛擬機上(現已淘汰)(標準和免費層)
應補救虛擬機中的弱點 取代下列兩個建議:
補救虛擬機上發現的弱點(由 Qualys 提供電源)(現已淘汰)
弱點評估解決方案應補救弱點 (現已淘汰)

現在,您將使用相同的建議,從 Qualys 或 Rapid 7 等合作夥伴部署資訊安全中心的弱點評估延伸模組或私人授權解決方案 (“BYOL”。

此外,當找到弱點並回報給資訊安全中心時,不論識別弱點評估解決方案為何,單一建議都會提醒您結果。

更新相依性

如果您有參考先前建議或原則金鑰/名稱的腳本、查詢或自動化,請使用下表來更新參考:

2020 年 8 月之前
建議 範圍
在虛擬機器上啟用內建弱點評估解決方案(由 Qualys 提供電源)
機碼:550e890b-e652-4d22-8274-60b3bdb24c63
內建
補救虛擬機上發現的弱點(由 Qualys 提供電源)
機碼:1195afff-c881-495e-9bc5-1486211ae03f
內建
弱點評估解決方案應該安裝在虛擬機上
機碼:01b1ed4c-b733-4fee-b145-f23236e70cf3
BYOL
弱點評估解決方案應補救弱點
機碼:71992a2a-d168-42e0-b10e-6b45fa2ecddb
BYOL
原則 範圍
應在虛擬機上啟用弱點評估
原則標識碼:501541f7-f7e7-4cd6-868c-4190fdad3ac9
內建
弱點評估解決方案應補救弱點
原則標識碼:760a85ff-6162-42b3-8d70-698e268f648c
BYOL
從 2020 年 8 月起
建議 範圍
虛擬機器上應啟用弱點評估解決方案
機碼:ffff0522-1e88-47fc-8382-2a80ba848f5d
內建 + BYOL
應補救虛擬機中的弱點
機碼:1195afff-c881-495e-9bc5-1486211ae03f
內建 + BYOL
原則 範圍
應在虛擬機上啟用弱點評估
原則標識碼:501541f7-f7e7-4cd6-868c-4190fdad3ac9
內建 + BYOL

新增至ASC_default計劃的新 AKS 安全策略

為了確保 Kubernetes 工作負載預設是安全的,資訊安全中心會新增 Kubernetes 層級原則和強化建議,包括使用 Kubernetes 許可控制強制執行選項。

此專案的早期階段包括預覽和新增原則至ASC_default方案。

您可以放心地忽略這些原則,而且不會影響您的環境。 如果您想要啟用它們,請透過 Microsoft Cloud Security Private Community 註冊預覽,然後從下列選項中選取:

  1. 單一預覽 – 僅加入此預覽。 明確提及 「ASC 連續掃描」作為您想要加入的預覽。
  2. 進行中的計劃 – 新增至此和未來的私人預覽版。 您必須完成設定檔和隱私權合約。

2020 年 7 月

7 月的更新包括:

虛擬機器的弱點評定現已適用於非市集映像

當您部署弱點評估解決方案時,資訊安全中心先前會在部署前執行驗證檢查。 檢查是確認目的地虛擬機的市集 SKU。

從此更新中移除檢查,您現在可以將弱點評估工具部署至「自定義」的 Windows 和 Linux 機器。 自定義映像是您從 Marketplace 預設值修改過的映像。

雖然您現在可以在更多計算機上部署整合式弱點評估延伸模組(由Qualys提供技術支援),但只有在您使用將整合式弱點掃描儀部署至標準層 VM 中列出的操作系統時 ,才可使用支援

深入瞭解虛擬機的整合式弱點掃描器(需要 Azure Defender)。

深入瞭解從 Qualys 使用您自己的私人授權弱點評估解決方案,或在Rapid7部署合作夥伴弱點掃描解決方案

擴大 Azure 儲存體的威脅防護範圍,以納入 Azure 檔案儲存體和 Azure Data Lake Storage Gen2 (預覽)

Azure 儲存體 的威脅防護會偵測 Azure 儲存體 帳戶上可能有害的活動。 資訊安全中心會在偵測到嘗試存取或惡意探索您的記憶體帳戶時顯示警示。

不論數據儲存為 Blob 容器、檔案共用或 Data Lake,都可以受到保護。

啟用威脅防護功能的八個新建議

已新增八個新建議,以提供簡單的方法來啟用下列資源類型的 Azure 資訊安全中心 威脅防護功能:虛擬機、App Service 方案、Azure SQL 資料庫 伺服器、機器上的 SQL 伺服器、Azure 儲存體 帳戶、Azure Kubernetes Service 叢集、Azure Container Registry 登錄和 Azure 金鑰保存庫金庫。

新的建議如下:

  • 應在 Azure SQL 資料庫 伺服器上啟用進階資料安全性
  • 應在機器上的 SQL Server 上啟用進階數據安全性
  • 應針對 Azure App 服務 計劃啟用進階威脅防護
  • 應在 Azure Container Registry 登錄上啟用進階威脅防護
  • 應在 Azure 金鑰保存庫 保存庫上啟用進階威脅防護
  • 應在 Azure Kubernetes Service 叢集上啟用進階威脅防護
  • 應在 Azure 儲存體 帳戶上啟用進階威脅防護
  • 應在虛擬機上啟用進階威脅防護

建議也包含快速修正功能。

重要

補救任何這些建議會導致保護相關資源的費用。 如果您有目前訂用帳戶中的相關資源,這些費用將會立即開始。 或者,如果您稍後再新增它們,則為 。

例如,如果您的訂用帳戶中沒有任何 Azure Kubernetes Service 叢集,而且您啟用威脅防護,則不會產生任何費用。 如果未來您會在同一個訂用帳戶上新增叢集,它會自動受到保護,而且費用會從該時間開始。

深入瞭解 Azure 資訊安全中心 中的威脅防護。

容器安全性改善-更快的登錄掃描和重新整理的文件

在容器安全性網域的持續投資中,我們很高興在資訊安全中心動態掃描儲存在 Azure Container Registry 中的容器映射時,共用顯著的效能改善。 掃描現在通常會在大約兩分鐘內完成。 在某些情況下,最多可能需要 15 分鐘的時間。

為了改善 Azure 資訊安全中心 容器安全性功能的明確性與指引,我們也重新整理了容器安全性文件頁面。

自適性應用程式控制已更新,在路徑規則中新增了建議及萬用字元的支援

調適型應用程控功能已收到兩項重大更新:

  • 新的建議會識別先前未允許的潛在合法行為。 應更新調適型應用程控原則中的 Allowlist 規則的新建議,提示您將新規則新增至現有的原則,以減少自適性應用程控違規警示中的誤判數目。

  • 路徑規則現在支援通配符。 從此更新中,您可以使用通配符來設定允許的路徑規則。 支援的案例有兩種:

    • 在路徑結尾使用通配符,以允許此資料夾和子資料夾內的所有可執行檔。

    • 使用路徑中間的通配符來啟用具有變更資料夾名稱的已知可執行檔名稱(例如具有已知可執行檔的個人使用者資料夾、自動產生的資料夾名稱等等)。

淘汰 SQL 進階資料安全性的六個原則

SQL 機器的進階數據安全性相關六個原則即將淘汰:

  • 在 SQL 受控實例進階數據安全性設定中,進階威脅防護類型應設定為 [全部]
  • 在 SQL Server 進階數據安全性設定中,進階威脅防護類型應設定為 [全部]
  • SQL 受控實例的進階數據安全性設定應包含可接收安全性警示的電子郵件位址
  • SQL 伺服器的進階資料安全性設定應包含用來接收安全性警示的電子郵件地址
  • 應在 SQL 受控實例進階資料安全性設定中啟用系統管理員和訂用帳戶擁有者的電子郵件通知
  • 傳送給系統管理員和訂用帳戶擁有者的通知應於 SQL 伺服器進階資料安全性設定中啟用

深入瞭解 內建原則

2020 年 6 月

6 月的更新包括:

安全分數 API (預覽)

您現在可以透過 安全分數 API 存取分數(目前為預覽版)。 API 方法可讓您靈活地查詢資料,並在一段時間後建立您自己的安全分數報告機制。 例如,您可以使用安全分數 API 來取得特定訂閱的分數。 此外,您可以使用安全分數控制項 API 來列出您訂閱的安全性控制項和目前分數。

如需使用安全分數 API 進行的外部工具範例,請參閱 GitHub 社群的安全分數區域。

深入瞭解 Azure 資訊安全中心 中的安全分數和安全性控制。

SQL 機器的進階資料安全性 (Azure、其他雲端和內部部署) (預覽)

Azure 資訊安全中心 SQL 機器的進階數據安全性現在可保護裝載於 Azure、其他雲端環境,甚至是內部部署機器上的 SQL Server。 這會擴充 Azure 原生 SQL Server 的保護,以完全支援混合式環境。

進階數據安全性會為您的 SQL 機器提供弱點評定和進階威脅防護,無論它們位於何處。

設定牽涉到兩個步驟:

  1. 將 Log Analytics 代理程式部署至 SQL Server 的主電腦,以提供 Azure 帳戶的連線。

  2. 在資訊安全中心的定價和設定頁面中啟用選擇性套件組合。

深入瞭解 SQL 機器的進階數據安全性。

將 Log Analytics 代理程式部署至 Azure Arc 機器的兩個新建議 (預覽)

已新增兩個新建議,以協助將Log Analytics代理程式部署至您的 Azure Arc 機器,並確保它們受到 Azure 資訊安全中心 保護:

  • Log Analytics 代理程序應該安裝在 Windows 型 Azure Arc 機器上 (預覽)
  • Log Analytics 代理程式應該安裝在以 Linux 為基礎的 Azure Arc 機器上 (預覽)

這些新建議會出現在與現有(相關)建議相同的四個安全性控制中, 監視代理程式應該安裝在您的計算機上:補救安全性設定、套用自適性應用程控、套用系統更新,以及啟用端點保護。

建議也包含快速修正功能,以加速部署程式。

深入瞭解 Azure 資訊安全中心 如何在什麼是 Log Analytics 代理程式中使用代理程式?

深入瞭解 Azure Arc 機器的擴充功能。

可大規模建立連續匯出和工作流程自動化設定的新原則

自動化組織的監視和事件回應程程序,可大幅改善調查和緩解安全性事件所需的時間。

若要在整個組織中部署自動化設定,請使用這些內建的 『DeployIfdNotExist』 Azure 原則來建立和設定 連續匯出工作流程自動化 程式:

您可以在下列 Azure 原則 中找到原則定義:

Goal 原則 原則識別碼
連續匯出至事件中樞 將匯出至事件中樞以進行 Azure 資訊安全中心 警示和建議 cdfcce10-4578-4ecd-9703-530938e4abcb
連續匯出至 Log Analytics 工作區 為 Azure 資訊安全中心警示與建議部署「匯出至 Log Analytics 工作區」 ffb6f416-7bd2-4488-8828-56585fef2be9
安全性警示的工作流程自動化 為 Azure 資訊安全中心警示部署工作流程自動化 f1525828-9a90-4fcf-be48-268cdd02361e
安全性建議的工作流程自動化 為 Azure 資訊安全中心建議部署工作流程自動化 73d6ab6c-2475-4850-afd6-43795f3492ef

開始使用工作流程自動化範本

深入瞭解如何使用提供的原則大規模設定工作流程自動化中的兩個匯出原則,以及設定連續匯出

使用 NSG 保護非因特網對向虛擬機的新建議

「實作安全性最佳做法」安全性控件現在包含下列新建議:

  • 應使用網路安全性群組保護非網際網路對應的虛擬機器

現有的建議, 因特網對向虛擬機應受到網路安全組的保護,不會區分因特網對向和非因特網對向 VM。 針對這兩者,如果未將 VM 指派給網路安全組,就會產生高嚴重性建議。 這項新建議會分隔非因特網對向機器,以減少誤判,並避免不必要的高嚴重性警示。

啟用威脅防護和進階數據安全性的新原則

下列新原則定義已新增至 ASC 預設方案,其設計目的是協助啟用相關資源類型的威脅防護或進階數據安全性。

您可以在 Azure 原則 中找到原則定義:

原則 原則識別碼
應在 Azure SQL 資料庫 伺服器上啟用進階資料安全性 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
應在機器上的 SQL Server 上啟用進階數據安全性 6581d072-105e-4418-827f-bd446d56421b
應在 Azure 儲存體 帳戶上啟用進階威脅防護 308fbb08-4ab8-4e67-9b29-592e93fb94fa
應在 Azure 金鑰保存庫 保存庫上啟用進階威脅防護 0e6763cc-5078-4e64-889d-ff4d9a839047
應在 Azure App 服務 方案中啟用進階威脅防護 2913021d-f2fd-4f3d-b958-22354e2bdbcb
應在 Azure Container Registry 登錄上啟用進階威脅防護 c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
應在 Azure Kubernetes Service 叢集上啟用進階威脅防護 523b5cd1-3e23-492f-a539-13118b6d1e3a
應在 虛擬機器 上啟用進階威脅防護 4da35fc9-c9e7-4960-aec9-797fe7d9051d

深入瞭解 Azure 資訊安全中心 中的威脅防護。

2020 年 5 月

5 月份的更新包括:

警示歸並規則 (預覽)

這項新功能(目前為預覽版)有助於降低警示疲勞。 使用規則來自動隱藏已知無害或與組織中正常活動相關的警示。 這可讓您專注於最相關的威脅。

符合您已啟用歸併規則的警示仍然會產生,但其狀態將會設為已關閉。 您可以在 Azure 入口網站 中看到狀態,或存取資訊安全中心安全性警示。

隱藏規則會定義應該自動關閉警示的準則。 一般而言,您可以使用歸併規則來:

  • 隱藏您識別為誤判的警示

  • 隱藏觸發頻率過長而無法有用的警示

深入瞭解如何隱藏來自 Azure 資訊安全中心 威脅防護的警示。

虛擬機器弱點評定現已正式推出

資訊安全中心的標準層現在包含虛擬機的整合式弱點評估,不需額外費用。 此延伸模組由 Qualys 提供電源,但會將其結果直接回報給資訊安全中心。 您不需要 Qualys 授權或 Qualys 帳戶,一切都可以在資訊安全中心內流暢進行。

新的解決方案可以持續掃描您的虛擬機,以找出弱點,並在資訊安全中心呈現結果。

若要部署解決方案,請使用新的安全性建議:

「在虛擬機上啟用內建弱點評估解決方案(由 Qualys 提供電源)」

深入了解 資訊安全中心的虛擬機整合式弱點評估。

Just-In-Time (JIT) 虛擬機器 (VM) 存取變更

資訊安全中心包含保護 VM 管理埠的選擇性功能。 這會針對最常見的暴力密碼破解攻擊形式提供防禦。

此更新會針對這項功能帶來下列變更:

  • 建議您在 VM 上啟用 JIT 的建議已重新命名。 先前「應該在虛擬機上套用 Just-In-Time 網路訪問控制」,現在為:「虛擬機的管理埠應受到 Just-In-Time 網路存取控制的保護」。

  • 只有在有開啟的管理埠時,才會觸發建議。

深入瞭解 JIT 存取功能

自訂建議已移至專屬的安全控制項

增強式安全分數引進的一個安全性控制是「實作安全性最佳做法」。為訂用帳戶建立的任何自定義建議都會自動置於該控件中。

為了讓您更輕鬆地找到您的自定義建議,我們已將它們移至專用的安全性控件「自定義建議」。此控制件不會影響您的安全分數。

深入瞭解 Azure 資訊安全中心增強式安全分數 (預覽) 中的安全性控制。

新增可在控制項中或以簡單列表檢視建議的切換功能

安全性控制是相關安全性建議的邏輯群組。 它們反映您的易受攻擊面。 控制項是一組安全性建議,其中包含可協助您實作這些建議的指示。

若要立即查看貴組織如何保護每個個別的攻擊面,請檢閱每個安全性控件的分數。

根據預設,您的建議會顯示在安全性控件中。 從此更新中,您也可以將它們顯示為清單。 若要將其檢視為依受影響資源健康情況狀態排序的簡單清單,請使用新的切換 [依控件分組]。 切換位於入口網站中的清單上方。

安全性控制 - 和此切換 - 是新安全分數體驗的一部分。 請記得從入口網站內傳送您的意見反應給我們。

在 Azure 資訊安全中心深入了解增強式安全分數 (預覽) 中的安全性控制。

依控件分組以切換建議。

擴充的安全性控制項「實作安全性最佳做法」

增強式安全分數引進的一個安全性控制是「實作安全性最佳做法」。當建議在此控件中時,不會影響安全分數。

透過此更新,有三個建議已移出原本放置它們的控件,並移至此最佳做法控件中。 我們已採取此步驟,因為我們已判斷這三個建議的風險低於最初的想法。

此外,已導入兩個新的建議,並新增至此控件。

移動的三個建議如下:

  • 應在您的訂 用帳戶上具有讀取許可權的帳戶上啟用 MFA (原本在 [啟用 MFA] 控制件中)
  • 應從您的訂 用帳戶中移除具有讀取許可權的外部帳戶(原本在[管理存取權和許可權] 控件中)
  • 最多應為您的訂 用帳戶指定 3 個擁有者(原本在「管理存取權和許可權」控制器中)

新增至 控件的兩個新建議如下:

  • 客體設定擴充功能應該安裝在 Windows 虛擬機上 (預覽版) - 使用 Azure 原則 客體設定可提供虛擬機內部對伺服器和應用程式設定的可見度(僅限 Windows)。

  • Windows Defender 惡意探索防護應該在您的機器上啟用 (預覽) - Windows Defender 惡意探索防護會利用 Azure 原則 客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。

在建立和部署惡意探索防護原則深入瞭解 Windows Defender 惡意探索防護。

深入了解增強式安全分數中的安全性控制(預覽版)。

具有自訂中繼資料的自訂原則現已正式推出

自定義原則現在是資訊安全中心建議體驗、安全分數和法規合規性標準儀錶板的一部分。 這項功能現已正式推出,可讓您在資訊安全中心擴充組織的安全性評定涵蓋範圍。

在 Azure 原則 中建立自定義方案、將原則新增至其中,並將其上架至 Azure 資訊安全中心,並將其可視化為建議。

我們現在也新增了用來編輯自定義建議元數據的選項。 元數據選項包括嚴重性、補救步驟、威脅資訊等等。

深入瞭解如何使用 詳細信息來增強您的自定義建議。

移轉至無檔案攻擊偵測的損毀傾印分析功能

我們正在將 Windows 損毀傾印分析 (CDA) 偵測功能整合到 無檔案攻擊偵測中。 無檔案攻擊偵測分析為 Windows 機器帶來了下列安全性警示的改良版本:探索到程式代碼插入、偽裝 Windows 模組、探索到殼層程式代碼,以及偵測到可疑的程式代碼區段。

此轉換的一些優點:

  • 主動式和及時的惡意代碼偵測 - CDA 方法涉及等候當機發生,然後執行分析以尋找惡意成品。 使用無檔案攻擊偵測,會在記憶體內部威脅執行時主動識別。

  • 擴充的警示 - 來自無檔案攻擊偵測的安全性警示包括無法從 CDA 取得的擴充,例如作用中的網路連線資訊。

  • 警示匯總 - 當 CDA 在單一損毀傾印內偵測到多個攻擊模式時,就會觸發多個安全性警示。 無檔案攻擊偵測會將相同程式中所有已識別的攻擊模式合併成單一警示,而不需要將多個警示相互關聯。

  • 降低 Log Analytics 工作區 的需求 - 不再將包含潛在敏感數據的損毀傾印上傳至 Log Analytics 工作區。

2020 年 4 月

4 月的更新包括:

動態合規性套件現已正式推出

Azure 資訊安全中心的法規合規性儀表板現在包含動態合規性套件 (現已正式推出),以追蹤額外的產業和法規標準。

您可以從資訊安全中心的安全性原則頁面,將動態合規性套件新增至您的訂用帳戶或管理群組。 當您將一項標準或基準上線之後,該標準會出現在您的法規合規性儀表板中,並將所有相關聯的合規性資料對應為評定。 上線的每項標準都會有一份摘要報告都可供下載。

現在,您可以新增標準,例如:

  • NIST SP 800-53 R4
  • SWIFT CSP CSCF-v2020
  • 英國官方和英國 NHS
  • 加拿大聯邦 PBMM
  • Azure CIS 1.1.0 (new) (這是更完整的 Azure CIS 1.1.0 表示法)

此外,我們最近新增了 Azure 安全性基準,這是 Microsoft 根據一般合規性架構,針對安全性與合規性最佳做法所撰寫的 Azure 專用指導方針。 其他標準會在可用時於儀表板中提供支援。

深入瞭解 如何在法規合規性儀錶板中自定義一組標準。

Azure 資訊安全中心免費層現在已能提供身分識別建議

Azure 資訊安全中心免費層正式推出身分識別與存取的安全性建議。 這是讓雲端安全性狀態管理 (CSPM) 功能免費運作的一部分。 在此之前,只有標準定價層才會提供這些建議。

舉例來說,身分識別與存取建議包括:

  • 「具有訂閱之擁有者權限的帳戶,應啟多重要素驗證。」
  • 「您的訂閱最多可指定三位擁有者。」
  • 「即將淘汰的帳戶應從訂閱中移除。」

您在免費定價層中如有任何訂閱,其安全分數將會受此變更的影響。這是因為這些訂閱的身分識別與存取安全性從來不是評定的對象。

2020 年 3 月

3 月的更新包括:

工作流程自動化現已正式推出

Azure 資訊安全中心的工作流程自動化功能現已正式推出。 使用這項功能可針對安全性警示與建議,自動觸發 Logic Apps。 此外,也可針對警示與所有提供快速修正選項的建議,進行手動觸發。

所有安全性程式皆包含事件回應的多個工作流程。 這些程序可能包括通知相關利害關係人、啟動變更管理流程,以及套用特定的補救步驟。 安全性專家建議盡可能多將這些程序的步驟自動化。 自動化可確保根據您預先定義的需求,快速、一致地執行流程步驟,從而減少額外負荷並提升安全性。

若要深入了解用來執行工作流程的自動與手動資訊安全中心功能,請參閱工作流程自動化

深入瞭解如何 建立Logic Apps

Azure 資訊安全中心與 Windows Admin Center 整合

您現在可以將內部部署 Windows 伺服器從 Windows Admin Center 直接移至 Azure 資訊安全中心。 資訊安全中心即可供您集中檢視所有 Windows Admin Center 資源的安全性資訊,包括內部部署伺服器、虛擬機器及其他 PaaS 工作負載。

將伺服器從 Windows Admin Center 移至 Azure 資訊安全中心 之後,您將能夠:

  • 在 Windows Admin Center 的資訊安全中心延伸模組中,檢視安全性警訊與建議。
  • 透過 Azure 入口網站 (或透過 API),在資訊安全中心內檢視安全性狀態,以及擷取 Windows Admin Center 受控伺服器的其他詳細資訊。

深入了解如何/整合 Azure 資訊安全中心與 Windows Admin Center

Azure Kubernetes Service 的保護

Azure 資訊安全中心正在擴充其容器安全性功能,以保護 Azure Kubernetes Service (AKS)。

廣為採用的開放原始碼平臺 Kubernetes 非常廣泛,現在是容器協調流程的業界標準。 儘管實作很普遍,但對於如何保護 Kubernetes 環境仍缺乏瞭解。 保護容器化應用程式的受攻擊面,必須具備專業知識,才能確保安全地設定基礎結構,並持續監視潛在威脅。

資訊安全中心防禦包括:

  • 探索和可見性 - 在向資訊安全中心註冊的訂用帳戶內持續探索受控 AKS 實例。
  • 安全性建議 - 可採取動作的建議,可協助您符合 AKS 的安全性最佳做法。 這些建議包含在您的安全分數中,以確保這些建議會被視為貴組織安全性狀態的一部分。 您可能會看到 AKS 相關建議的範例是「應該使用角色型訪問控制來限制對 Kubernetes 服務叢集的存取」。
  • 威脅防護 - 透過持續分析 AKS 部署,資訊安全中心會警示您在主機和 AKS 叢集層級偵測到的威脅和惡意活動。

深入瞭解 Azure Kubernetes Services 與資訊安全中心的整合。

深入了解 資訊安全中心的容器安全性功能。

改善 Just-In-Time 體驗

Azure 資訊安全中心 保護管理埠的 Just-In-Time 工具的功能、作業和 UI 已增強,如下所示:

  • 理由欄位 - 透過 Azure 入口網站 的 Just-In-Time 頁面要求存取虛擬機時,可以使用新的選擇性字段來輸入要求的理由。 輸入此欄位中的資訊,可以在活動記錄中追蹤。
  • 自動清除重複的 Just-In-Time (JIT) 規則 - 每當更新 JIT 原則時,清除工具就會自動執行,以檢查整個規則集的有效性。 此工具會從原則與 NSG 的規則中,尋找不相符的規則。 如果清除工具發現不相符,它會判斷原因,而且當安全這麼做時,會移除不再需要的內建規則。 清除工具永遠不會刪除您所建立的規則。

深入瞭解 JIT 存取功能

Web 應用程式的兩個安全性建議已被取代

我們即將淘汰兩項與 Web 應用程式相關的安全性建議:

  • IaaS NSG 上之 Web 應用程式的規則應予強化 (相關原則:應強化 IaaS 上 Web 應用程式的 NSG 規則)

  • 對應用程式服務的存取應加以限制 (相關原則:應限制對 App Services 的存取 [預覽])

這些建議將不再出現在資訊安全中心的建議清單中。 相關原則將不再包含在名為「資訊安全中心預設值」的計劃中。

2020 年 2 月

適用於 Linux 的無檔案攻擊偵測 (預覽)

由於攻擊者日漸採用更加隱匿的方法來逃避偵測,因此除了 Windows 之外,Azure 資訊安全中心也擴充了對 Linux 的無檔案攻擊偵測功能。 無檔案攻擊會利用軟體弱點,將惡意承載插入無害的系統處理序,並藏匿在記憶體中。 這些技術:

  • 最小化或消除磁碟上惡意代碼的追蹤
  • 大幅減少磁碟型惡意代碼掃描解決方案偵測的機會

為了抵禦這項威脅,Azure 資訊安全中心於 2018 年 10 月發行 Windows 的無檔案攻擊偵測,現也擴充為會對 Linux 進行無檔案攻擊偵測。

2020 年 1 月

增強式安全分數 (預覽)

Azure 資訊安全中心經過改良的安全分數功能,現已開放預覽。 此版將多項建議分組為不同的安全性控制,更清楚地指出易受攻擊的層面 (例如限制存取管理連接埠)。

請熟悉預覽階段中的安全分數變更,並決定可協助您進一步保護環境的其他補救方式。

深入了解增強型安全分數(預覽版)。

2019 年 11 月

11 月的更新包括:

北美洲 區域中 Azure 金鑰保存庫 的威脅防護 (預覽)

Azure Key Vault 是一項基本服務,可透過提供集中管理雲端中的金鑰、秘密、加密金鑰和原則的功能,來保護資料並改善雲端應用程式效能。 由於 Azure Key Vault 儲存敏感和業務關鍵資料,因此其要求金鑰保存庫和儲存在其中的資料擁有最高安全性。

Azure 資訊安全中心 對 Azure 金鑰保存庫 威脅防護的支援,可提供額外的安全性情報層,以偵測存取或惡意探索密鑰保存庫的異常和潛在有害嘗試。 此新的防護層可讓使客戶不需身為安全性專家或管理安全性監視系統,即可解決對其金鑰保存庫的威脅。 此功能已在北美區域公開預覽。

Azure 儲存體的威脅防護包含惡意軟體信譽檢測

Azure 儲存體的威脅防護提供受 Microsoft 威脅情報支援的新偵測功能,可使用雜湊信譽分析和來自作用中 Tor 結束節點 (匿名化 Proxy) 的可疑存取,來偵測上傳至 Azure 儲存體的惡意軟體。 現在,您可以使用 Azure 資訊安全中心,檢視在儲存體帳戶中偵測到的惡意軟體。

使用 Logic Apps 的工作流程自動化 (預覽)

集中管理安全性及 IT/作業的組織,在發現環境中出現不一致時,會實作內部工作流程的程序,於組織內推動必要的動作。 在許多情況下,這些工作流程是可重複的程式,而且自動化可以大幅簡化組織內的程式。

今天介紹的資訊安全中心新功能,可讓客戶利用 Azure Logic Apps 建立自動化設定,並且建立原則,根據建議或警示等特定 ASC 結果,自動加以觸發。 您可將 Azure Logic Apps 設定為執行眾多 Logic Apps 連接器支援的任何自訂動作,也可以將其設定為使用資訊安全中心所提供的其中一個範本,例如傳送電子郵件或開立 ServiceNow™ 票證。

若要深入了解用來執行工作流程的自動與手動資訊安全中心功能,請參閱工作流程自動化

若要了解如何建立 Logic Apps,請參閱 Azure Logic Apps

大量資源的快速修正已正式推出

使用者接獲許多工作會計入安全分數,所以能否有效修復大型叢集的問題就十分具有挑戰性。

使用快速修正補救來修正安全性設定錯誤、補救多個資源的建議,以及改善您的安全分數。

這項作業可讓您選取要套用補救的資源,並啟動補救動作來代您進行設定。

快速修正現已正式推出客戶,作為資訊安全中心建議頁面的一部分。

掃描容器映像是否有弱點 (預覽)

Azure 資訊安全中心現已可掃描 Azure Container Registry 中的容器映像,以尋找弱點。

此映像掃描的工作方式為剖析容器映像檔案,然後檢查是否有任何已知的弱點 (Qualys 提供技術)。

當有新的容器映像推送至 Azure Container Registry 時,即會自動觸發掃描本身。 發現弱點會呈現為資訊安全中心的建議,並包含在安全分數中,以及如何修補弱點以降低允許的攻擊面的相關信息。

其他法規合規性標準(預覽)

法規合規性儀表板可讓您根據資訊安全中心的評量,深入了解合規狀態。 該儀表板會顯示您環境符合特定法規標準及產業基準所指定的控制與要求規範的程度,以及提供如何處理這些要求的規範建議。

法規合規性儀錶板迄今已支援四個內建標準:Azure CIS 1.1.0、PCI-DSS、ISO 27001 和 SOC-TSP。 我們現在宣佈公開預覽版本的其他支持標準:NIST SP 800-53 R4、SWIFT CSP CSCF v2020、加拿大聯邦 PBMM 和英國官方與英國 NHS。 而且也同時發行了 Azure CIS 1.1.0 更新版,涵蓋更多標準控制,並加強擴充性。

深入瞭解如何在法規合規性儀錶板中自定義一組標準。

適用於 Azure Kubernetes Service 的威脅防護 (預覽版)

Kubernetes 正快速成為雲端軟體部署及管理的新標準。 目前幾乎無人有豐富的 Kubernetes 經驗,而多數人又只著重在一般工程與行政性工作上,卻忽略了安全性。 Kubernetes 環境需要謹慎設定以確保安全,確保所有緊盯攻擊面門戶的容器都不會向攻擊者敞開。 資訊安全中心正在將其於容器空間內的支援,擴展至 Azure 其中一項成長快速的服務:Azure Kubernetes Service (AKS)。

此公用預覽版的新功能包括:

  • 探索和可見度 - 資訊安全中心已註冊訂用帳戶內受控 AKS 實例的持續探索。
  • 安全分數建議 - 可採取動作的專案,可協助客戶遵守 AKS 的安全性最佳做法,並增加其安全分數。 建議包含「角色型訪問控制應該用來限制 Kubernetes Service 叢集存取」之類的專案。
  • 威脅偵測 - 主機和叢集型分析,例如「偵測到特殊許可權容器」。

虛擬機弱點評估 (預覽)

安裝在虛擬機器的應用程式,通常會出現可能導致虛擬機器缺口的弱點。 我們宣佈資訊安全中心標準層包含虛擬機的內建弱點評估,不需額外費用。 由 Qualys 在公開預覽版中提供的弱點評估可讓您持續掃描虛擬機上所有已安裝的應用程式,以尋找易受攻擊的應用程式,並在資訊安全中心入口網站的體驗中呈現結果。 資訊安全中心會負責所有部署作業,所以使用者無須承擔任何額外的工作。 接下來,我們正計劃提供弱點評估選項,以支援客戶獨特的業務需求。

深入瞭解 Azure 虛擬機器 的弱點評估。

Azure 虛擬機器 上 SQL Server 的進階數據安全性(預覽版)

Azure 資訊安全中心 對在IaaS VM上執行的SQL DB進行威脅防護和弱點評估的支援現在已處於預覽狀態。

弱點評定服務可讓您輕鬆設定,以探索、追蹤並協助您補救潛在資料庫弱點。 它提供安全性狀態作為安全分數一部分的可見度,並包含解決安全性問題並增強資料庫防禦功能的步驟。

進階威脅防護可偵測異常活動,而所謂的異常活動則指對 SQL 伺服器進行存取或惡意探索的不尋常及可能有害的嘗試。 其會持續監視資料庫是否有可疑的活動,並在發現異常的資料庫存取模式時,提供偏向動作類的安全性警訊。 這些警示提供可疑活動的詳細資料,並提供調查與降低威脅的建議動作。

支援自訂原則 (預覽)

Azure 資訊安全中心現已可支援自訂原則 (預覽版)。

我們的客戶一直以來都希望能根據他們在 Azure 原則中所建立的原則,利用自己的安全性評估,擴展其目前在資訊安全中心內安全性評估的範圍。 而自從有了自訂原則的支援之後,此願望已得以實現。

這些新的原則會是資訊安全中心建議體驗、安全分數和法規合規性標準儀表板的一部分。 有了自定義原則的支援,您現在可以在 Azure 原則 中建立自定義方案,然後在資訊安全中心將其新增為原則,並將其可視化為建議。

透過社群平台與合作夥伴,擴展 Azure 資訊安全中心的涵蓋範圍

使用資訊安全中心不僅從Microsoft接收建議,也接收來自合作夥伴的現有解決方案,例如 Check Point、Tenable 和 CyberArk,還有更多整合。 資訊安全中心的簡單上線流程可將現有的解決方案連線到資訊安全中心,讓您能夠在單一位置檢視安全性狀態建議、執行統一報告,並針對內建和合作夥伴建議運用資訊安全中心的所有功能。 您也可以匯出資訊安全中心對合作夥伴產品的建議。

深入了解智慧型手機安全性關聯Microsoft。

進階整合與導出建議和警示 (預覽)

為了在資訊安全中心之上啟用企業層級案例,除了 Azure 入口網站 或 API 之外,您現在可以在其他位置取用資訊安全中心警示和建議。 這些可以直接導出至事件中樞和Log Analytics工作區。 以下是您可採用這些新功能來建立的一些工作流程:

  • 透過導出至 Log Analytics 工作區,您可以使用 Power BI 建立自定義儀錶板。
  • 透過導出至事件中樞,您將能夠將資訊安全中心警示和建議匯出至第三方 SIEM、第三方解決方案或 Azure 數據總管。

從 Windows Admin Center 將內部部署伺服器上線至資訊安全中心 (預覽版)

Windows Admin Center 是未部署在 Azure 中之 Windows 伺服器的管理入口網站,其能為這些伺服器提供一些 Azure 管理功能,例如備份及系統更新。 最近還新增了一項功能,讓您能上線這些非 Azure 的伺服器,直接運用 Windows Admin Center 體驗,由 ASC 進行保護。

用戶現在可以將 WAC 伺服器上線至 Azure 資訊安全中心,並直接在 Windows Admin Center 體驗中檢視其安全性警示和建議。

2019 年 9 月

9 月的更新包括:

使用自適性應用程控改善來管理規則

以自適性應用程式控制管理虛擬機器規則的體驗已改善。 Azure 資訊安全中心的調適型應用程控可協助您控制哪些應用程式可以在虛擬機上執行。 除了規則管理的一般改善之外,還有新優點能讓您控制新增規則時要保護的檔案類型。

深入瞭解自適性應用程控。

使用 Azure 原則 控制容器安全性建議

Azure 資訊安全中心 建議透過 Azure 原則 啟用或停用容器安全性中的弱點。

若要檢視已啟用的安全策略,請從資訊安全中心開啟 [安全策略] 頁面。

2019 年 8 月

8 月的更新包括:

Just-In-Time (JIT) VM 存取 Azure 防火牆

Azure 防火牆的 Just-In-Time (JIT) VM 存取現已正式推出。 使用這項功能可保護 NSG 保護的環境與 Azure 防火牆保護的環境。

JIT VM 存取會使用 NSG 和 Azure 防火牆規則控制 VM 存取,只在有需要時開放,從而降低面臨網路大量攻擊的機會。

當您為 VM 啟用 JIT 時,需要建立原則來決定要保護的連接埠、連接埠開放的持續時間,以及可存取這些連接埠的核准來源 IP 位址。 這項原則可協助您掌控使用者要求存取時可執行哪些作業。

要求會記錄在 Azure 活動記錄中,以便您輕鬆監視與稽核存取。 Just-In-Time 頁面也協助您快速識別已啟用 JIT 的現有 VM,以及建議使用 JIT 的 VM。

深入瞭解 Azure 防火牆

點選 「補救」 以提升安全性狀態 (預覽)

安全分數是一個可協助您評估工作負載安全性狀態的工具。 它會檢閱安全性建議,並排列這些建議的優先順序,讓您了解要先執行哪些建議。 這可協助您找出最嚴重的資訊安全漏洞,以便優先安排調查。

為了簡化安全性錯誤設定的補救,並協助您快速改善安全分數,我們新增了一項新功能,可讓您在單擊大量資源時補救建議。

這項作業可讓您選取要套用補救的資源,並啟動補救動作來代您進行設定。

跨租用戶管理

資訊安全中心現在支援 Azure Lighthouse 中的跨租用戶管理案例。 這可讓您在資訊安全中心內清楚掌握與管理多個租用戶的安全性狀態。

深入瞭解跨租使用者管理體驗

2019 年 7 月

網路建議的更新

Azure 資訊安全中心 (ASC) 推出了新的網路建議,並對現有的部分建議進行了改善。 現在,您可以使用資訊安全中心來確保資源擁有更完善的網路保護。

2019 年 6 月

自適性網路強化 - 正式推出

在公用雲端中執行的工作負載,其最大攻擊面之一是進出公用網際網路的連線。 我們的客戶發現,判斷哪些網路安全性群組 (NSG) 規則應該用於確定 Azure 工作負載僅可用於所需的來源範圍,是一件困難的事。 透過此功能,資訊安全中心可以了解 Azure 工作負載的網路流量和連線模式,並為網際網路對應虛擬機器提供 NSG 規則建議。 這有助於我們的客戶更加妥善設定其網路存取原則,並限制住面臨攻擊的風險。