共用方式為


適用於雲端的 Defender 中的建議、警示和事件中的新增功能

本文摘要說明適用於雲端的 Microsoft Defender 中的安全性建議、警示和事件的新增功能。 它包括有關新的、經修改的和已取代的建議和警示之資訊。

提示

將下列 URL 複製並貼到您的摘要讀取器,以在本頁更新時收到通知:

https://aka.ms/mdc/rss-recommendations-alerts

建議、警示和事件更新

新的和更新的建議、警示和事件依日期順序新增至資料表。

日期 類型 州 (縣/市) 名稱
12 月 16 日 Alert 預覽​​ AI - 從 Tor IP 存取
11 月 19 日 棄用 GA MFA 建議已被取代,因為 Azure 現在需要它。
下列建議已被取代:
* 具有 Azure 資源讀取許可權的帳戶應啟用
MFA * 具有 Azure 資源寫入許可權的帳戶應啟用 MFA * 具有 Azure 資源擁有者許可權的帳戶應啟用
MFA
11 月 19 日 Alert 預覽​​ AI - 偵測到可疑的使用者代理程式
11 月 19 日 Alert 預覽​​ ASCII 走私提示插入偵測到
10 月 30 日 Alert GA 可疑擷取 Azure Cosmos DB 帳戶密鑰
10 月 30 日 Alert GA 敏感性記憶體 Blob 容器的存取層級已變更為允許未經驗證的公用存取
10 月 30 日 建議 即將推出取代 MFA 建議已被取代,因為 Azure 現在需要它。
下列建議將被取代:
* 具有 Azure 資源讀取權限的帳戶應啟用 MFA
* 具有 Azure 資源寫入權限的帳戶應啟用 MFA
* 具有 Azure 資源擁有者權限的帳戶應啟用 MFA
10 月 12 日 建議 GA 適用於 PostgreSQL 的 Azure 資料庫彈性伺服器,應該只啟用 Microsoft Entra 驗證
10 月 6 日 建議 更新 [預覽] 在 GCP 中執行的容器映像應該已解決發現的弱點
10 月 6 日 建議 更新 [預覽] 在 AWS 中執行的容器映像應該已解決發現的弱點
10 月 6 日 建議 更新 [預覽] 在 Azure 中執行的容器應該已解決了弱點發現問題
9 月 10 日 Alert 預覽​​ 損毀的 AI 應用程式\模型\資料會針對使用者發起網絡釣魚嘗試
9 月 10 日 Alert 預覽​​ AI 應用程式中共用的網路釣魚 URL
9 月 10 日 Alert 預覽​​ AI 應用程式中偵測到的網路釣魚嘗試
9 月 5 日 建議 GA 系統更新應安裝在您的電腦上 (由 Azure 更新管理員提供支援)
9 月 5 日 建議 GA 機器應該設定定期檢查,以檢查是否有遺漏的系統更新
8 月 15 日 事件 即將推出取代 預估變更日期:2024 年 9 月 15 日

安全性事件偵測到異常地理位置活動 (預覽)
安全性事件偵測到可疑的應用程式服務活動 (預覽)
安全性事件偵測到可疑的 Key Vault 活動 (預覽)
安全性事件偵測到可疑的 Azure 工具組活動 (預覽)
偵測到同一資源上的安全性事件 (預覽)
安全性事件偵測到可疑的 IP 活動 (預覽)
安全性事件偵測到可疑的使用者活動 (預覽)
安全性事件偵測到可疑的服務主體活動 (預覽)
安全性事件偵測到可疑的 SAS 活動 (預覽)
安全性事件偵測到可疑的帳戶活動 (預覽)
安全性事件偵測到可疑的加密貨幣挖礦活動 (預覽)
安全性事件偵測到可疑的無檔案攻擊活動 (預覽)
安全性事件偵測到可疑的 Kubernetes 叢集活動 (預覽)
安全性事件偵測到可疑的儲存體活動 (預覽)
安全性事件偵測到可疑的加密貨幣挖礦活動 (預覽)
安全性事件偵測到可疑的資料外流活動 (預覽)
安全性事件偵測到可疑的 Kubernetes 叢集活動 (預覽)
安全性事件偵測到可疑的 DNS 活動 (預覽)
安全性事件偵測到可疑的 SQL 活動 (預覽)
安全性事件偵測到可疑的 DDOS 活動 (預覽)
8 月 12 日 建議 即將推出取代 電腦應該啟用檔案完整性監視預計淘汰時間:2024 年 8 月。
8 月 11 日 建議 即將推出取代 Azure 環境中的進階身分識別應該移除 GCP 環境中的進階身分識別,應移除 估計淘汰:2024 年 9 月
8 月 2 日 建議 預覽​​ Azure DevOps 專案應該已停用傳統管線的建立
8 月 2 日 建議 預覽​​ GitHub 組織應封鎖符合公用程式碼的 Copilot 建議
8 月 2 日 建議 預覽​​ GitHub 組織應針對外部共同作業者強制執行多重要素驗證
8 月 2 日 建議 預覽​​ GitHub 存放庫的程式碼推送應該至少需要兩名檢閱者核准
7 月 31 日 建議 預覽​​ 特殊權限角色不應該在訂用帳戶和資源群組層級擁有永久存取權
7 月 31 日 建議 預覽​​ 服務主體不應在訂用帳戶和資源群組層級擁有系統管理角色
7 月 31 日 建議 更新 Azure AI 服務資源應該使用 Azure Private Link
7 月 31 日 建議 GA [EDR 解決方案應安裝於虛擬機器](recommendations-reference-compute.md#edr-solution-should-be-installed-on-virtual-machineshttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey06e3a6db-6c0c-4ad9-943f-31d9d73ecf6c)
7 月 31 日 建議 GA [EDR 解決方案應安裝於 EC2](recommendations-reference-compute.md#edr-solution-should-be-installed-on-ec2shttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey77d09952-2bc2-4495-8795-cc8391452f85)
7 月 31 日 建議 GA [EDR 解決方案應安裝於 GCP 虛擬機器](recommendations-reference-compute.md#edr-solution-should-be-installed-on-gcp-virtual-machineshttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey68e595c1-a031-4354-b37c-4bdf679732f1)
7 月 31 日 建議 GA [EDR 設定問題應在虛擬機器上解決](recommendations-reference-compute.md#edr-configuration-issues-should-be-resolved-on-virtual-machineshttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeydc5357d0-3858-4d17-a1a3-072840bff5be)
7 月 31 日 建議 GA [EDR 設定問題應在 EC2 上解決](recommendations-reference-compute.md#edr-configuration-issues-should-be-resolved-on-ec2shttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey695abd03-82bd-4d7f-a94c-140e8a17666c)
7 月 31 日 建議 GA [EDR 設定問題應在 GCP 虛擬機器上解決](recommendations-reference-compute.md#edr-configuration-issues-should-be-resolved-on-gcp-virtual-machineshttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeyf36a15fb-61a6-428c-b719-6319538ecfbc)
7 月 31 日 建議 即將推出取代 應在網際網路對應的虛擬機器上套用自適性網路強化建議
7 月 31 日 Alert 即將推出取代 從建議封鎖的 IP 位址偵測到流量
7 月 30 日 建議 預覽​​ AWS Bedrock 應該使用 AWS PrivateLink
7 月 22 日 建議 更新 (必要時開啟) Azure AI 服務資源應使用客戶管理的金鑰加密待用資料 (CMK)
6 月 28 日 建議 GA Azure DevOps 存放庫程式碼推送至少需要兩名檢閱者核准
6 月 28 日 建議 GA Azure DevOps 存放庫不應允許要求者核准自己的提取要求
6 月 28 日 建議 GA GitHub 組織不應讓動作秘密供所有存放庫存取
6 月 27 日 Alert 棄用 Security incident detected suspicious source IP activity

嚴重性:中/高
6 月 27 日 Alert 棄用 Security incident detected on multiple resources

嚴重性:中/高
6 月 27 日 Alert 棄用 Security incident detected compromised machine

嚴重性:中/高
6 月 27 日 Alert 棄用 Security incident detected suspicious virtual machines activity

嚴重性:中/高
5 月 30 日 建議 GA Linux 虛擬機器應該啟用 Azure 磁碟加密 (ADE) 或 EncryptionAtHost。 評定金鑰 a40cc620-e72c-fdf4-c554-c6ca2cd705c0
5 月 30 日 建議 GA Windows 虛擬機器應該啟用 Azure 磁碟加密或 EncryptionAtHost。 評定金鑰 0cb5f317-a94b-6b80-7212-13a9cc8826af
5 月 28 日 建議 GA 應安全設定機器 (由 MDVM 提供)
5 月 1 日 建議 即將推出取代 應該在機器上安裝系統更新

預計淘汰:2024 年 7 月。
5 月 1 日 建議 即將推出取代 應該在虛擬機器擴展集上安裝系統更新

預計淘汰:2024 年 7 月。
5 月 1 日 建議 即將推出取代 Log Analytics 代理程式應該安裝於 Windows 型已啟用 Azure Arc 的機器上

預計淘汰:2024 年 7 月
5 月 1 日 建議 即將推出取代 Log Analytics 代理程式應該安裝於虛擬機器擴展集上

預計淘汰:2024 年 7 月
5 月 1 日 建議 即將推出取代 應在訂用帳戶上啟用 Log Analytics 代理程式的自動佈建

預計淘汰:2024 年 7 月
5 月 1 日 建議 即將推出取代 Log Analytics 代理程式應該安裝於虛擬機器上

預計淘汰:2024 年 7 月
5 月 1 日 建議 即將推出取代 您的電腦應啟用自適性應用程式控制,以定義安全應用程式

預計淘汰:2024 年 7 月
4 月 18 日 Alert 棄用 Fileless attack toolkit detected (VM_FilelessAttackToolkit.Windows)
Fileless attack technique detected (VM_FilelessAttackTechnique.Windows)
Fileless attack behavior detected (VM_FilelessAttackBehavior.Windows)
Fileless Attack Toolkit Detected (VM_FilelessAttackToolkit.Linux)
Fileless Attack Technique Detected (VM_FilelessAttackTechnique.Linux)
Fileless Attack Behavior Detected (VM_FilelessAttackBehavior.Linux)

Windows 和 Linux 虛擬機器的無檔案攻擊警示將中止。 相反,適用於端點的 Defender 將產生警示。 如果您已在適用於伺服器的 Defender 中啟用了適用於端點的 Defender 整合,則無需執行任何動作。 在 2024 年 5 月,您可能會經歷警示量減少的情況,但仍會受到保護。 如果您目前沒有啟用整合,請啟用它來維護和提高警示涵蓋範圍。 所有適用於伺服器的 Defender 客戶不須額外付費,就能獲得適用於端點之 Defender 整合的完整價值。 深入了解
4 月 3 日 建議 即將推出取代 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程
4 月 3 日 建議 預覽​​ Azure 登錄容器應該已解決發現的弱點 (預覽)
4 月 3 日 建議 預覽​​ 在 Azure 中執行的容器映像應該已解決發現的弱點 (預覽)
4 月 3 日 建議 預覽​​ AWS 登錄容器應該已解決發現的弱點 (預覽)
4 月 3 日 建議 預覽​​ 在 AWS 中執行的容器映像應該已解決發現的弱點 (預覽)
4 月 3 日 建議 預覽​​ GCP 登錄容器應該已解決發現的弱點 (預覽)
4 月 3 日 建議 預覽​​ 在 GCP 中執行的容器映像應該已解決發現的弱點 (預覽)
4 月 2 日 建議 即將推出取代 虛擬機器應遷移到新的 Azure Resource Manager 資源

由於這些資源已不再存在,因此沒有任何影響。 預計日期:2024 年 7 月 30 日
4 月 2 日 建議 更新 Azure AI 服務應限制網路存取
4 月 2 日 建議 更新 Azure AI 服務應停用金鑰存取 (停用本機驗證)
4 月 2 日 建議 更新 應啟用 Azure AI 服務資源中的診斷記錄
4 月 2 日 建議 棄用 應該停用認知服務帳戶的公用網路存取。
4 月 2 日 建議 GA Azure 登錄容器映像應已解決弱點
4 月 2 日 建議 棄用 應停用認知服務帳戶的公用網路存取
4 月 2 日 建議 GA Azure 執行中的容器映像應已解決弱點
4 月 2 日 建議 GA AWS 登錄容器映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援)
4 月 2 日 建議 GA 執行容器映像的 AWS 應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援)
4 月 2 日 建議 GA GCP 登錄容器映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援)
4 月 2 日 建議 GA 執行容器映像的 GCP 應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援)
3 月 28 日 建議 近期 Linux 虛擬機器應啟用 Azure 磁碟加密或 EncryptionAtHost (評定金鑰 a40cc620-e72c-fdf4-c554-c6ca2cd705c0)
3 月 28 日 建議 近期 Windows 虛擬機器應啟用 Azure 磁碟加密或 EncryptionAtHost (評定金鑰 0cb5f317-a94b-6b80-7212-13a9cc8826af)

統一磁碟加密建議將於 2024 年 4 月在 Azure 公用雲端中正式發行,取代「虛擬機器應加密暫存磁碟、快取以及計算和儲存資源之間的資料流」之建議
3 月 18 日 建議 GA EDR 解決方案應該安裝於虛擬機器上
3 月 18 日 建議 GA 應該解決虛擬機器上的 EDR 設定問題
3 月 18 日 建議 GA 應該解決 EC2s 上的 EDR 設定問題
3 月 18 日 建議 GA EDR 解決方案應該安裝於 EC2s 上
3 月 18 日 建議 GA 應該解決 GCP 虛擬機器上的 EDR 設定問題
3 月 18 日 建議 GA EDR 解決方案應該安裝於 GCP 虛擬機器上
3 月末 建議 棄用 應該在機器上安裝端點保護
3 月末 建議 棄用 應該解決機器上的端點保護健康情況問題
3 月 5 日 建議 棄用 應調查帳戶中過度佈建的身分識別,以減少權限異動指數 (PCI)
3 月 5 日 建議 棄用 訂閱中過度佈建的身分識別應予以調查,以降低權限蔓延指標 (PCI)
2 月 20 日 建議 近期 Azure AI 服務資源應限制網路存取
2 月 20 日 建議 近期 Azure AI 服務資源應停用金鑰存取 (停用本機驗證)
2 月 12 日 建議 棄用 Public network access should be disabled for Cognitive Services accounts. 預計淘汰:2024 年 5 月 14 日
2 月 8 日 建議 預覽​​ (預覽)Azure 本機電腦應符合安全的核心需求
2 月 8 日 建議 預覽​​ (預覽)Azure 本機計算機應一致地強制執行應用程控原則
2 月 8 日 建議 預覽​​ (預覽)Azure 本機系統應該有加密的磁碟區
2 月 8 日 建議 預覽​​ (預覽)主機和 VM 網路應在 Azure 本機系統上受到保護
2 月 1 日 建議 近期 EDR 解決方案應該安裝於虛擬機器上
應該解決虛擬機器上的 EDR 設定問題
EDR 解決方案應該安裝於 EC2s 上
應該解決 EC2s 上的 EDR 設定問題
應該解決 GCP 虛擬機器上的 EDR 設定問題
EDR 解決方案應該安裝於 GCP 虛擬機器上。
1 月 25 日 警示 (容器) 棄用 Anomalous pod deployment (Preview) (K8S_AnomalousPodDeployment)
1 月 25 日 警示 (容器) 棄用 Excessive role permissions assigned in Kubernetes cluster (Preview) (K8S_ServiceAcountPermissionAnomaly)
1 月 25 日 警示 (容器) 棄用 Anomalous access to Kubernetes secret (Preview) (K8S_AnomalousSecretAccess)
1 月 25 日 警示 (Windows 機器) 更新為知識 Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlWindowsViolationAudited)
1 月 25 日 警示 (Windows 機器) 更新為知識 Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlLinuxViolationAudited)
1 月 25 日 警示 (容器) 更新為知識 Attempt to create a new Linux namespace from a container detected (K8S.NODE_NamespaceCreation)
1 月 25 日 警示 (容器) 更新為知識 Attempt to stop apt-daily-upgrade.timer service detected (K8S.NODE_TimerServiceDisabled)
1 月 25 日 警示 (容器) 更新為知識 Command within a container running with high privileges (K8S.NODE_PrivilegedExecutionInContainer)
1 月 25 日 警示 (容器) 更新為知識 Container running in privileged mode (K8S.NODE_PrivilegedContainerArtifacts)
1 月 25 日 警示 (容器) 更新為知識 Container with a sensitive volume mount detected (K8S_SensitiveMount)
1 月 25 日 警示 (容器) 更新為知識 Creation of admission webhook configuration detected (K8S_AdmissionController)
1 月 25 日 警示 (容器) 更新為知識 Detected suspicious file download (K8S.NODE_SuspectDownloadArtifacts)
1 月 25 日 警示 (容器) 更新為知識 Docker build operation detected on a Kubernetes node (K8S.NODE_ImageBuildOnNode)
1 月 25 日 警示 (容器) 更新為知識 New container in the kube-system namespace detected (K8S_KubeSystemContainer)
1 月 25 日 警示 (容器) 更新為知識 New high privileges role detected (K8S_HighPrivilegesRole)
1 月 25 日 警示 (容器) 更新為知識 Privileged container detected (K8S_PrivilegedContainer)
1 月 25 日 警示 (容器) 更新為知識 Process seen accessing the SSH authorized keys file in an unusual way (K8S.NODE_SshKeyAccess)
1 月 25 日 警示 (容器) 更新為知識 Role binding to the cluster-admin role detected (K8S_ClusterAdminBinding)
1 月 25 日 警示 (容器) 更新為知識 SSH server is running inside a container (K8S.NODE_ContainerSSH)
1 月 25 日 警示 (DNS) 更新為知識 Communication with suspicious algorithmically generated domain (AzureDNS_DomainGenerationAlgorithm)
1 月 25 日 警示 (DNS) 更新為知識 Communication with suspicious algorithmically generated domain (DNS_DomainGenerationAlgorithm)
1 月 25 日 警示 (DNS) 更新為知識 Communication with suspicious random domain name (Preview) (DNS_RandomizedDomain)
1 月 25 日 警示 (DNS) 更新為知識 Communication with suspicious random domain name (AzureDNS_RandomizedDomain)
1 月 25 日 警示 (DNS) 更新為知識 Communication with possible phishing domain (AzureDNS_PhishingDomain)
1 月 25 日 警示 (DNS) 更新為知識 Communication with possible phishing domain (Preview) (DNS_PhishingDomain)
1 月 25 日 警示 (Azure App Service) 更新為知識 NMap scanning detected (AppServices_Nmap)
1 月 25 日 警示 (Azure App Service) 更新為知識 Suspicious User Agent detected (AppServices_UserAgentInjection)
1 月 25 日 警示 (Azure 網路層) 更新為知識 Possible incoming SMTP brute force attempts detected (Generic_Incoming_BF_OneToOne)
1 月 25 日 警示 (Azure 網路層) 更新為知識 Traffic detected from IP addresses recommended for blocking (Network_TrafficFromUnrecommendedIP)
1 月 25 日 警示 (Azure Resource Manager) 更新為知識 Privileged custom role created for your subscription in a suspicious way (Preview)(ARM_PrivilegedRoleDefinitionCreation)
1 月 4 日 建議 預覽​​ 認知服務帳戶應已停用本機驗證方法
Microsoft 雲端安全性基準 (部分機器翻譯)
1 月 4 日 建議預覽 認知服務應使用私人連結
Microsoft 雲端安全性基準 (部分機器翻譯)
1 月 4 日 建議 預覽​​ 虛擬機器和虛擬機器擴展集應啟用主機上的加密
Microsoft 雲端安全性基準 (部分機器翻譯)
1 月 4 日 建議 預覽​​ Azure Cosmos DB 應停用公用網路存取
Microsoft 雲端安全性基準 (部分機器翻譯)
1 月 4 日 建議 預覽​​ Cosmos DB 帳戶應使用私人連結
Microsoft 雲端安全性基準 (部分機器翻譯)
1 月 4 日 建議 預覽​​ VPN 閘道針對點對站使用者應該只使用 Azure Active Directory (Azure AD) 驗證
Microsoft 雲端安全性基準 (部分機器翻譯)
1 月 4 日 建議 預覽​​ Azure SQL Database 應執行 TLS 1.2 版或更新版本
Microsoft 雲端安全性基準 (部分機器翻譯)
1 月 4 日 建議 預覽​​ Azure SQL 受控執行個體應停用公用網路存取
Microsoft 雲端安全性基準 (部分機器翻譯)
1 月 4 日 建議 預覽​​ 儲存體帳戶應防止共用金鑰存取
Microsoft 雲端安全性基準 (部分機器翻譯)
12 月 14 日 建議 預覽​​ Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援)

使用 Microsoft Defender 弱點管理對 Linux 容器映像進行弱點評定。
12 月 14 日 建議 GA 執行容器映像的 Azure 應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援)

使用 Microsoft Defender 弱點管理對 Linux 容器映像進行弱點評定。
12 月 14 日 建議 重新命名 Azure 登錄容器映像應已解決弱點 (由 Qualys 提供支援)。 使用 Qualys 對容器映像進行弱點評定。
:容器登錄映像應該解決發現的弱點 (由 Qualys 提供)
12 月 14 日 建議 重新命名 ;Azure 執行中的容器映像應已解決弱點 - (由 Qualys 提供支援)

使用 Qualys 對容器映像進行弱點評定。
:執行容器映像應該解決發現的弱點 (由 Qualys 提供)
12 月 4 日 Alert 預覽​​ Malicious blob was downloaded from a storage account (Preview)

MITRE 策略:橫向移動

如需新功能的資訊,請參閱適用於雲端的 Defender 新增功能