Co je nového v Microsoft Defenderu pro cloud?
Poznámka
Azure Security Center a Azure Defender se teď označují jako Microsoft Defender pro Cloud. Také jsme plány Azure Defender přejmenovaly na plány Microsoft Defenderu . například Azure defender pro Storage je nyní Microsoft Defender pro Storage.
Přečtěte si další informace o nedávných přejmenování služeb zabezpečení společnosti Microsoft.
Defender for Cloud je aktivní a průběžně vylepšuje. Abyste měli přehled o nejnovějším vývoji, najdete na této stránce informace o nových funkcích, opravách chyb a zastaralých funkcích.
Tato stránka se často aktualizuje, takže se k ní často znovu vážete.
Další informace o plánovaných změnách, které již brzy přicházejí do služby Defender for Cloud, najdete v tématu Důležité chystané změny Microsoft Defenderu pro cloud.
Tip
Pokud hledáte položky starší než šest měsíců, najdete je v archivu novinek v Microsoft Defenderu pro cloud.
Listopad 2021
Naše verze Ignite zahrnuje:
- Azure Security Center a Azure Defender se stát Microsoft Defenderem pro cloud
- Nativní CSPM pro AWS a ochranu před hrozbami pro Amazon EKS a AWS EC2
- Určení priorit akcí zabezpečení podle citlivosti dat (využívá Azure Purview) (ve verzi Preview)
- Rozšířené hodnocení kontrolních kontrol zabezpečení pomocí srovnávacího testu zabezpečení Azure v3
- Volitelná synchronizace obousměrných upozornění konektoru Microsoft Sentinel vydaná pro obecnou dostupnost
- Nové doporučení k nabízení Azure Kubernetes Service (AKS) do služby Sentinel
- Recommendations namapované na rozhraní MITRE ATT&CK® – vydáno pro obecnou dostupnost
Mezi další změny v listopadu patří:
- Microsoft Threat and Vulnerability Management přidaný jako řešení posouzení ohrožení zabezpečení – vydáno pro obecnou dostupnost (GA)
- Microsoft Defender for Endpoint pro Linux teď podporuje Microsoft Defender pro servery – vydaná pro všeobecnou dostupnost (GA)
- Export snímků pro doporučení a závěry zabezpečení (ve verzi Preview)
- Automatické zřizování řešení posouzení ohrožení zabezpečení vydaných pro obecnou dostupnost
- Filtry inventáře softwaru v inventáři prostředků vydané pro obecnou dostupnost
- Zobrazení inventáře místních počítačů používá pro název prostředku jinou šablonu
Azure Security Center a Azure Defender se stát Microsoft Defenderem pro cloud
Podle zprávy o stavu cloudu z roku 2021má nyní 92 % organizací strategii pro více cloudů. V Microsoftu je naším cílem centralizovat zabezpečení napříč těmito prostředími a pomoct týmům zabezpečení pracovat efektivněji.
Microsoft Defender for Cloud (dříve Azure Security Center a Azure Defender) je řešení cloudové správy stavů zabezpečení (CSPM) a ochrany cloudových úloh (CWP), které odhaluje slabá místa v konfiguraci cloudu, pomáhá posílit celkový stav zabezpečení vašeho prostředí a chrání úlohy napříč více cloudovými a hybridními prostředími.
Na Ignite 2019 jsme sdíleli naši vizi vytvoření nejúplnějšího přístupu k zabezpečení digitálních majetku a integraci technologií XDR pod značkou Microsoft Defenderu. Sjednocení Azure Security Center a Azure Defender pod novým názvem Microsoft Defender for Cloud odráží integrované možnosti naší nabídky zabezpečení a naši schopnost podporovat libovolnou cloudovou platformu.
Nativní CSPM pro AWS a ochranu před hrozbami pro Amazon EKS a AWS EC2
Nová stránka nastavení prostředí poskytuje lepší přehled a kontrolu nad skupinami pro správu, předplatným a účty AWS. Stránka je navržená tak, aby připojovat účty AWS ve velkém měřítku: připojte svůj účet pro správu AWS a vy automaticky připojíte existující a budoucí účty.
Po přidání účtů AWS bude Defender for Cloud chránit vaše prostředky AWS pomocí libovolného nebo všech následujících plánů:
- Funkce CSPM služby Defender for Cloud se rozšiřují na vaše prostředky AWS. Tento plán bez agentů vyhodnocuje vaše prostředky AWS podle doporučení zabezpečení specifických pro AWS a ty jsou součástí vašeho bezpečnostního skóre. U prostředků se také bude posuzovat dodržování integrovaných standardů specifických pro AWS (AWS CIS, AWS PCI DSS a AWS Foundational Security Best Practices). Stránka inventáře prostředků služby Defender for Cloud je funkce s podporou více cloudů, která pomáhá spravovat prostředky AWS společně s prostředky Azure.
- Microsoft Defender for Kubernetes rozšiřuje svou detekci hrozeb kontejnerů a pokročilou obranu na clustery Amazon EKS Linux.
- Microsoft Defender pro servery přináší detekci hrozeb a pokročilou obranu pro vaše Windows a linuxové instance EC2. Tento plán zahrnuje integrovanou licenci pro Microsoft Defender for Endpoint, standardní hodnoty zabezpečení a posouzení na úrovni operačního systému, kontrolu posouzení ohrožení zabezpečení, adaptivní řízení aplikací (AAC), monitorování integrity souborů (FIM) a další.
Přečtěte si další informace o připojení účtů AWS k Microsoft Defenderu for Cloud.
Určení priorit akcí zabezpečení podle citlivosti dat (využívá Azure Purview) (ve verzi Preview)
Datové prostředky zůstávají oblíbeným cílem pro aktéry hrozeb. Bezpečnostní týmy proto musí identifikovat, upřednostňovat a zabezpečit citlivé datové prostředky v cloudových prostředích.
K řešení této výzvy teď Microsoft Defender for Cloud integruje informace o citlivosti z Azure Purview. Azure Purview je jednotná služba zásad správného řízení dat, která poskytuje bohaté přehledy o citlivosti vašich dat v rámci více cloudových a místních úloh.
Integrace s Azure Purview rozšiřuje viditelnost zabezpečení ve službě Defender for Cloud od úrovně infrastruktury až po data a umožňuje zcela nový způsob určení priority prostředků a aktivit zabezpečení pro vaše bezpečnostní týmy.
Další informace najdete v části Stanovení priorit akcí zabezpečení podle citlivosti dat.
Rozšířené hodnocení kontrolních kontrol zabezpečení pomocí srovnávacího testu zabezpečení Azure v3
Doporučení k zabezpečení v programu Microsoft Defender for Cloud jsou povolená a podporovaná srovnávacím testem zabezpečení Azure.
Srovnávací test zabezpečení Azure je sada pokynů specifických pro Azure od Microsoftu pro osvědčené postupy v oblasti zabezpečení a dodržování předpisů založená na běžných architekturách dodržování předpisů. Tento široce respektovaný srovnávací test staví na kontrolách center pro internetovou bezpečnost (CIS) a institutu NIST (National Institute of Standards and Technology) se zaměřením na zabezpečení zaměřené na cloud.
Na Ignite 2021 je srovnávací test zabezpečení Azure v3 dostupný na řídicím panelu pro dodržování právních předpisů služby Defender for Cloud a je povolený jako nová výchozí iniciativa pro všechna předplatná Azure chráněná pomocí Microsoft Defenderu for Cloud.
Mezi vylepšení pro v3 patří:
Další mapování na oborové architektury PCI-DSS v3.2.1 a CIS Controls v8.
Podrobnější pokyny pro ovládací prvky s možností návšetí:
- Principy zabezpečení – poskytuje přehled o celkových cílech zabezpečení, které jsou základem našich doporučení.
- Pokyny k Azure – technické postupy pro splnění těchto cílů.
Mezi nové ovládací prvky DevOps zabezpečení problémů, jako je modelování hrozeb a zabezpečení dodavatelského řetězce softwaru, a také správa klíčů a certifikátů pro osvědčené postupy v Azure.
Další informace najdete v tématu Úvod do srovnávacího testu zabezpečení Azure.
Volitelná synchronizace obousměrných upozornění konektoru Microsoft Sentinel vydaná pro obecnou dostupnost
V červenci jsme oznámili funkci Preview, obousměrnou synchronizaci výstrah, pro integrovaný konektor v Microsoft Sentinelu (řešení SIEM a SOAR nativní pro cloud od Microsoftu). Tato funkce je teď vydaná pro obecnou dostupnost.
Když připojíte Microsoft Defender for Cloud k Microsoft Sentinelu, stav výstrah zabezpečení se mezi těmito dvěma službami synchronizuje. Když se tedy například výstraha zavře v Defenderu for Cloud, zobrazí se tato výstraha také jako uzavřená ve službě Microsoft Sentinel. Změna stavu výstrahy v Defenderu for Cloud neovlivní stav žádných incidentů Microsoft Sentinelu, které obsahují synchronizované upozornění Microsoft Sentinelu, pouze na stav samotné synchronizované výstrahy.
Když povolíte obousměrnou synchronizaci výstrah, automaticky synchronizujte stav původních upozornění služby Defender for Cloud s incidenty Microsoft Sentinelu, které obsahují kopie těchto upozornění služby Defender for Cloud. Takže když se například zavře incident Microsoft Sentinelu obsahující výstrahu služby Defender for Cloud, Defender for Cloud automaticky zavře odpovídající původní výstrahu.
Další informace najdete v Připojení Azure Defender výstrah z Azure Security Center a streamování upozornění na Azure Sentinel.
Nové doporučení k nabízení Azure Kubernetes Service (AKS) do služby Sentinel
V dalším vylepšení kombinované hodnoty služby Defender for Cloud a služby Microsoft Sentinel teď zdůrazníme instance služby Azure Kubernetes Service, které do služby Microsoft Sentinel neposílaly data protokolu.
Týmy SecOps si mohou příslušný pracovní prostor Microsoft Sentinelu vybrat přímo ze stránky s podrobnostmi o doporučení a okamžitě povolit streamování nezpracovaných protokolů. Toto bezproblémové propojení mezi těmito dvěma produkty usnadňuje bezpečnostním týmům zajištění úplného pokrytí protokolování napříč úlohami, aby zůstaly nad celým prostředím.
Nové doporučení"Diagnostické protokoly ve službách Kubernetes by se měly povolit" zahrnuje možnost Opravit pro rychlejší nápravu.
Také jsme vylepšli doporučení Auditování na SQL by se mělo povolit se stejnými možnostmi streamování Sentinelu.
Recommendations na mitre ATT&CK® – vydáno pro obecnou dostupnost
Vylepili jsme doporučení k zabezpečení služby Defender for Cloud, aby bylo možné ukázat jejich pozici v rozhraní MITRE ATT&CK®. Tato globálně přístupná znalostní báze taktik a technik aktérů hrozeb založená na pozorováních z reálného světa poskytuje další kontext, který vám pomůže pochopit související rizika doporučení pro vaše prostředí.
Tyto taktiky najdete všude, kde máte přístup k informacím o doporučení:
Mezi výsledky Graph dotazů Azure Resource Graph relevantní doporučení patří MITRE ATT&CK® taktika a techniky.
Na stránkách s podrobnostmi doporučení se zobrazí mapování všech relevantních doporučení:
Stránka doporučení v Defenderu for Cloud obsahuje nový filtr pro
výběr doporučení podle jejich přidružené taktiky:
Další informace najdete v části Kontrola doporučení k zabezpečení.
Microsoft Threat and Vulnerability Management přidaný jako řešení posouzení ohrožení zabezpečení – vydáno pro obecnou dostupnost (GA)
V říjnu jsme oznámili rozšíření integrace mezi Microsoft Defenderem pro servery a Microsoft Defenderem for Endpoint pro podporu nového zprostředkovatele posouzení ohrožení zabezpečení pro vaše počítače: Microsoft Threat and Vulnerability Management. Tato funkce je teď vydaná pro obecnou dostupnost.
Pomocí Threat and Vulnerability Management můžete zjistit ohrožení zabezpečení a chybné konfigurace v reálném čase s povolenou integrací s Microsoft Defenderem for Endpoint a bez nutnosti dalších agentů nebo pravidelných kontrol. Hrozby a správa ohrožení zabezpečení upřednostňuje ohrožení zabezpečení na základě prostředí hrozeb a detekcí ve vaší organizaci.
Pomocí doporučení zabezpečení"Navirtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení", abyste odhalili ohrožení zabezpečení zjištěná Threat and Vulnerability Management pro podporované počítače.
Pokud chcete tato ohrožení zabezpečení automaticky zobrazit, na stávajících a nových počítačích, aniž byste řešte doporučení ručně, podívejte se na stránku Řešení posouzení ohrožení zabezpečení je teď možné automaticky povolit (veverzi Preview).
Další informace najdete v článku Prozkoumání slabých stránek webu Microsoft Defenderu for Endpoint Threat and Vulnerability Management.
Microsoft Defender for Endpoint pro Linux teď podporuje Microsoft Defender pro servery – vydaná pro všeobecnou dostupnost (GA)
V srpnu jsme oznámili podporu verze Preview pro nasazení senzoru Defender for Endpoint pro Linux na podporované počítače s Linuxem. Tato funkce je teď vydaná pro obecnou dostupnost.
Microsoft Defender pro servery obsahuje integrovanou licenci pro Microsoft Defender for Endpoint. Společně poskytují komplexní možnosti detekce a reakce u koncových bodů (EDR).
Když Defender for Endpoint zjistí hrozbu, aktivuje upozornění. Upozornění se zobrazí v Defenderu for Cloud. Z Defenderu for Cloud můžete také překlopovat konzolu Defenderu for Endpoint a provést podrobné šetření, které odhalí rozsah útoku.
Další informace najdete v článku Ochrana koncových bodů Security Center integrovaném řešení EDR: Microsoft Defender for Endpoint.
Export snímků pro doporučení a závěry zabezpečení (ve verzi Preview)
Defender for Cloud generuje podrobná upozornění a doporučení zabezpečení. Můžete je zobrazit na portálu nebo prostřednictvím programových nástrojů. Můžete také potřebovat exportovat některé nebo všechny tyto informace pro sledování s jinými monitorovacími nástroji ve vašem prostředí.
Funkce průběžného exportu služby Defender for Cloud umožňuje plně přizpůsobit, co se bude exportovat a kam se bude exportovat. Další informace najdete v článku Průběžný export dat služby Microsoft Defender for Cloud.
I když se tato funkce nazývá souvislá, existuje také možnost exportovat týdenní snímky. Dosud byly tyto týdenní snímky omezené na bezpečnostní skóre a data dodržování právních předpisů. Přidali jsme možnost exportovat doporučení a závěry zabezpečení.
Automatické zřizování řešení posouzení ohrožení zabezpečení vydaných pro obecnou dostupnost
V říjnu jsme oznámili přidání řešení posouzení ohrožení zabezpečení na stránku automatického zřizování služby Defender for Cloud. To se týká virtuálních počítačů Azure a Azure Arc počítačů na předplatných chráněných Azure Defender pro servery. Tato funkce je teď vydaná pro obecnou dostupnost.
Pokud je integrace s Microsoft Defenderem for Endpoint povolená, nabízí Defender for Cloud výběr řešení posouzení ohrožení zabezpečení:
- (NOVÝ) Modul Microsoft Threat and Vulnerability Management služby Microsoft Defender for Endpoint (viz poznámka k verzi)
- Integrovaný agent Qualys
Zvolené řešení se automaticky povolí na podporovaných počítačích.
Další informace najdete v tématu Automatická konfigurace posouzení ohrožení zabezpečení pro vaše počítače.
Filtry inventáře softwaru v inventáři prostředků vydané pro obecnou dostupnost
V říjnu jsme oznámili nové filtry pro stránku inventáře prostředků, na které se vyberou počítače s určitým softwarem a dokonce určí verze, které vás zajímají. Tato funkce je teď vydaná pro obecnou dostupnost.
Data inventáře softwaru můžete dotazovat v Azure Resource Graph Exploreru.
Pokud chcete tyto funkce používat, musíte povolit integraci s Microsoft Defenderem for Endpoint.
Úplné podrobnosti, včetně ukázkových dotazů Kusto pro Azure Resource Graph najdete v tématu Přístup k inventáři softwaru.
Nové zásady zabezpečení AKS přidané do výchozí iniciativy – pro použití pouze zákazníky s privátními verzemi Preview
Aby se zajistilo, že úlohy Kubernetes jsou ve výchozím nastavení zabezpečené, zahrnuje Defender for Cloud zásady úrovně Kubernetes a doporučení k zabezpečení, včetně možností vynucení pomocí řízení přístupu Kubernetes.
V rámci tohoto projektu jsme přidali zásady a doporučení (ve výchozím nastavení zakázané) pro nasazení gating v clusterech Kubernetes. Zásady jsou ve výchozí iniciativě, ale jsou relevantní jenom pro organizace, které si zaregistrují související privátní verzi Preview.
Zásady a doporučení můžete bezpečně ignorovat (clustery Kubernetes by měly bránu při nasazování ohrožených imagí) a nebude to mít žádný vliv na vaše prostředí.
Pokud se chcete zapojit do privátní verze Preview, musíte být členem okruhu privátní verze Preview. Pokud ještě nejste členem, odešlete žádost tady. Členové budou upozorněni na zahájení verze Preview.
Zobrazení inventáře místních počítačů používá pro název prostředku jinou šablonu
Pro zlepšení prezentace prostředků v inventáři prostředků jsme ze šablony odebrali element source-computer-IP pro pojmenování místních počítačů.
- Předchozí formát:
machine-name_source-computer-id_VMUUID - Z této aktualizace:
machine-name_VMUUID
Říjen 2021
Mezi aktualizace v říjnu patří:
- Microsoft Threat and Vulnerability Management byl přidán jako řešení posouzení ohrožení zabezpečení (ve verzi Preview)
- Řešení posouzení ohrožení zabezpečení je teď možné automaticky povolit (ve verzi Preview)
- Filtry inventáře softwaru přidané do inventáře prostředků (ve verzi Preview)
- Změna předpony některých typů výstrah z "ARM_" na "VM_"
- Změny logiky doporučení zabezpečení pro clustery Kubernetes
- Recommendations stránky s podrobnostmi teď zobrazují související doporučení
- Nová upozornění pro Azure Defender pro Kubernetes (ve verzi Preview)
Microsoft Threat and Vulnerability Management byl přidán jako řešení posouzení ohrožení zabezpečení (ve verzi Preview)
Rozšířili jsme integraci mezi Azure Defender pro servery a Microsoft Defenderem for Endpoint, aby podporovala nového zprostředkovatele posouzení ohrožení zabezpečení pro vaše počítače: Microsoft Threat and Vulnerability Management.
Pomocí Threat and Vulnerability Management můžete zjistit ohrožení zabezpečení a chybné konfigurace v reálném čase s povolenou integrací s Microsoft Defenderem for Endpoint a bez nutnosti dalších agentů nebo pravidelných kontrol. Hrozby a správa ohrožení zabezpečení upřednostňuje ohrožení zabezpečení na základě prostředí hrozeb a detekcí ve vaší organizaci.
Pomocí doporučení zabezpečení"Navirtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení", abyste odhalili ohrožení zabezpečení zjištěná Threat and Vulnerability Management pro vaše podporované počítače.
Pokud chcete tato ohrožení zabezpečení automaticky zobrazit, na stávajících a nových počítačích, aniž byste řešte doporučení ručně, podívejte se na stránku Řešení posouzení ohrožení zabezpečení je teď možné automaticky povolit (veverzi Preview).
Další informace najdete v článku Prozkoumání slabých stránek webu Microsoft Defenderu for Endpoint Threat and Vulnerability Management.
Řešení posouzení ohrožení zabezpečení je teď možné automaticky povolit (ve verzi Preview)
Security Center automatické zřizování teď obsahuje možnost automatického povolení řešení posouzení ohrožení zabezpečení pro virtuální počítače Azure a počítače Azure Arc na předplatných chráněných službou Azure Defender pro servery.
Pokud je integrace s Microsoft Defenderem for Endpoint povolená, nabízí Defender for Cloud výběr řešení posouzení ohrožení zabezpečení:
- (NOVÝ) Modul Microsoft Threat and Vulnerability Management služby Microsoft Defender for Endpoint (viz poznámka k verzi)
- Integrovaný agent Qualys
Zvolené řešení se automaticky povolí na podporovaných počítačích.
Další informace najdete v tématu Automatická konfigurace posouzení ohrožení zabezpečení pro vaše počítače.
Filtry inventáře softwaru přidané do inventáře prostředků (ve verzi Preview)
Stránka inventáře aktiv teď obsahuje filtr pro výběr počítačů s určitým softwarem a dokonce i určení verzí, které vás zajímají.
Kromě toho se můžete dotazovat na data inventáře softwaru v Azure Resource Graph Exploreru.
Pokud chcete tyto nové funkce používat, musíte povolit integraci s Microsoft Defenderem for Endpoint.
Úplné podrobnosti, včetně ukázkových dotazů Kusto pro Azure Resource Graph najdete v tématu Přístup k inventáři softwaru.
Změna předpony některých typů výstrah z "ARM_" na "VM_"
V červenci 2021 jsme oznámili logickou reorganizaci Azure Defender pro Resource Manager výstrahy.
V rámci logické reorganizace některých plánů Azure Defender jsme přesunuli 21 výstrah z Azure Defender pro Resource Manager na Azure Defender pro servery.
V této aktualizaci jsme změnili předpony těchto výstrah tak, aby odpovídaly tomuto opětovnému přiřazení, a nahradili jsme "ARM_" textem "VM_", jak je znázorněno v následující tabulce:
| Původní jméno | Z této změny |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Přečtěte si další informace o Azure Defenderu pro správce prostředků a Azure Defender pro servery .
Změny logiky doporučení zabezpečení pro clustery Kubernetes
Doporučení "clustery Kubernetes by neměl používat výchozí obor názvů" zabraňuje použití výchozího oboru názvů pro rozsah typů prostředků. Odstranily se dva typy prostředků, které byly součástí tohoto doporučení: ConfigMap a tajný kód.
Přečtěte si další informace o tomto doporučení a posílení clusterů Kubernetes v porozumění Azure Policy pro clustery Kubernetes.
stránky s podrobnostmi o Recommendations nyní zobrazují související doporučení
Pro objasnění vztahů mezi různými doporučeními jsme na stránky podrobností o mnoha doporučeních přidali oblast související s doporučeními .
Existují tři typy vztahů, které jsou zobrazeny na těchto stránkách:
- Předpoklad – doporučení, které se musí dokončit před vybraným doporučením
- Alternativa – jiné doporučení, které poskytuje další způsob, jak dosáhnout cílů vybraného doporučení.
- Závislé – doporučení, pro které je vybrané doporučení podmínkou
U každého souvisejícího doporučení se ve sloupci ovlivněné zdroje zobrazuje počet prostředků, které nejsou v pořádku.
Tip
Pokud se související doporučení zobrazuje šedě, jeho závislost se ještě nedokončila, takže není k dispozici.
Příklad souvisejících doporučení:
Security Center kontroluje podporovaná řešení pro posouzení ohrožení zabezpečení v počítačích:
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.Pokud se najde, dostanete oznámení o zjištěných chybách zabezpečení:
Ohrožení zabezpečení ve vašich virtuálních počítačích by se mělo opravit.
Zjevně Security Center nemůže upozornit na zjištěné chyby zabezpečení, pokud nenajde podporované řešení posouzení ohrožení zabezpečení.
Proto:
- Doporučení #1 je předpokladem pro doporučení #2
- Doporučení #2 závisí na doporučeních #1
Nové výstrahy pro Azure Defender pro Kubernetes (ve verzi Preview)
Pokud chcete rozšířit ochranu před hrozbami, kterou poskytuje Azure Defender pro Kubernetes, Přidali jsme dvě výstrahy ve verzi Preview.
Tyto výstrahy se generují na základě nového modelu strojového učení a Kubernetes pokročilých analýz, měření více atributů nasazení a přiřazení rolí proti předchozím aktivitám v clusteru a napříč všemi clustery monitorovanými pomocí Azure Defenderu.
| Výstraha (typ výstrahy) | Popis | MITRE cílem | Závažnost |
|---|---|---|---|
| Neobvyklé pod nasazením (Preview) (K8S_AnomalousPodDeployment) |
Byla zjištěna Analýza protokolu auditu Kubernetes pod nasazením neobvyklé na základě předchozí aktivity nasazení. Tato aktivita se považuje za anomálii v případě, že se vezme v úvahu způsob, jakým jsou různé funkce v rámci operace nasazení vzájemně vzájemně vztazích. K funkcím, které tato analýza sleduje, patří použit registr imagí kontejneru, účet, který provádí nasazení, den v týdnu, jak často tento účet provádí po nasazeních, uživatelský agent použitý v operaci, je obor názvů, který se nachází pod nasazením často nebo jinými funkcemi. Důvody pro vyzvednutí této výstrahy jako aktivity neobvyklé jsou podrobně popsány v části rozšířené vlastnosti výstrahy. | Spuštění | Střední |
| Nadměrná oprávnění role přiřazená v clusteru Kubernetes (Preview) (K8S_ServiceAcountPermissionAnomaly) |
Analýza protokolů auditu Kubernetes zjistila, že se vašemu clusteru přihlásila role s nadměrnými oprávněními. V případě prozkoumání přiřazení rolí jsou uvedená oprávnění neobvyklá pro konkrétní účet služby. Tato detekce zvažuje přiřazení předchozích rolí ke stejnému účtu služby napříč clustery monitorovanými službou Azure, svazkem podle oprávnění a dopadem konkrétního oprávnění. Model detekce anomálií použitý pro tuto výstrahu bere v úvahu, jak se toto oprávnění používá ve všech clusterech monitorovaných pomocí Azure Defenderu. | Elevace oprávnění | Nízká |
Úplný seznam upozornění Kubernetes najdete v tématu výstrahy pro clustery Kubernetes.
Září 2021
V září byla vydána následující aktualizace:
Dvě nová doporučení pro audit konfigurací operačních systémů pro dodržování předpisů základní úrovně zabezpečení Azure (ve verzi Preview)
pro vyhodnocení shody vašich počítačů s Windows základními hodnotami zabezpečení a základními hodnotami zabezpečení pro Linuxbyla vydána následující dvě doporučení:
- u Windows počítačů by se měly opravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich Windowsch počítačích (s využitím konfigurace hosta) .
- U počítačů se systémem Linux by se měly opravit ohrožení zabezpečení v konfiguraci zabezpečení na počítačích se systémem Linux (s použitím konfigurace hosta) .
Tato doporučení využívají funkci konfigurace hosta Azure Policy k porovnání konfigurace operačního systému počítače se směrným plánem definovaným v srovnávacím testu zabezpečení Azure.
Přečtěte si další informace o použití těchto doporučení v zabezpečení konfigurace operačního systému počítače pomocí konfigurace hostů.
Srpen 2021
Aktualizace v srpnu zahrnují:
- Microsoft Defender pro koncové body pro Linux teď podporuje Azure Defender pro servery (ve verzi Preview).
- Dvě nová doporučení pro správu řešení Endpoint Protection (ve verzi Preview)
- Integrovaný Poradce při potížích a pokyny pro řešení běžných problémů
- Sestavy auditu Azure na řídicím panelu dodržování předpisů vydané pro obecnou dostupnost (GA)
- Nepoužívané doporučení: problémy s výkonem Log Analytics agenta by se měly vyřešit na vašich počítačích
- Azure Defender pro Registry kontejnerů teď vyhledává chyby zabezpečení v registrech chráněných pomocí privátního propojení Azure.
- Security Center teď může automaticky zřídit rozšíření konfigurace hosta Azure Policy (ve verzi Preview).
- Recommendations povolit plány v programu Azure Defender teď podporují "vymáhání".
- Export dat doporučení CSV se teď omezil na 20 MB.
- stránka Recommendations teď obsahuje několik zobrazení.
Microsoft Defender pro koncové body pro Linux teď podporuje Azure Defender pro servery (ve verzi Preview).
Azure Defender pro servery zahrnuje integrovanou licenci pro Microsoft Defender pro koncový bod. společně poskytují komplexní možnosti detekce a reakce u koncových bodů (EDR).
Když Defender pro koncový bod zjistí hrozbu, aktivuje výstrahu. Výstraha je zobrazena v Security Center. Z Security Center můžete také provést přesun do programu Defender pro konzolu koncového bodu a provést podrobné šetření, které odhalí rozsah útoku.
během období preview nasadíte senzory programu Defender for Endpoint pro linux do podporovaných počítačů se systémem linux jedním ze dvou způsobů v závislosti na tom, zda jste již nasadili na počítače s Windows:
- Stávající uživatelé s aktivovaným nástrojem pro rozšířené funkce zabezpečení cloudu a Microsoft Defender pro Windows
- Noví uživatelé, kteří nikdy nepovolili integraci s Microsoft Defenderem pro koncový bod pro Windows
další informace najdete v informacích o ochraně koncových bodů pomocí integrovaného EDR řešení Security Center: Microsoft Defender pro koncový bod.
Dvě nová doporučení pro správu řešení Endpoint Protection (ve verzi Preview)
Přidali jsme dvě doporučení verze Preview pro nasazení a údržbu řešení ochrany koncových bodů na vašich počítačích. Obě doporučení zahrnují podporu virtuálních počítačů Azure a počítačů připojených k serverům s podporou ARC Azure.
| Doporučení | Popis | Závažnost |
|---|---|---|
| V počítačích by se měla nainstalovat služba Endpoint Protection. | Chcete-li chránit počítače před hrozbami a ohroženími zabezpečení, nainstalujte podporované řešení ochrany koncových bodů. přečtěte si další informace o tom, jak se vyhodnocuje Endpoint Protection pro počítače. (související zásady: monitorování chybějících Endpoint Protection v Azure Security Center) |
Vysoká |
| Na vašich počítačích by se měly vyřešit problémy stavu aplikace Endpoint Protection. | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je chránili před nejnovějšími hrozbami a ohroženími zabezpečení. Tadyjsou popsány Azure Security Center podporovaná řešení ochrany koncových bodů. Posouzení ochrany koncových bodů je popsané tady. (související zásady: monitorování chybějících Endpoint Protection v Azure Security Center) |
Střední |
Poznámka
Doporučení ukazují interval aktuálnosti na 8 hodin, ale existují scénáře, ve kterých to může trvat výrazně déle. Například při odstranění místního počítače trvá Security Center k identifikaci odstranění 24 hodin. Až to bude, posouzení bude trvat až 8 hodin, než se informace vrátí. V takovém případě to může trvat 32 hodin, než se počítač odebere ze seznamu ovlivněných prostředků.
Integrovaný Poradce při potížích a pokyny pro řešení běžných problémů
Nová vyhrazená oblast Security Center stránek v Azure Portal poskytuje Kompletované, stále rostoucí sadu materiálů pro samoobslužnou nápovědu pro řešení běžných problémů s Security Center a Azure Defenderem.
Pokud se chystáte k problému nebo pokud hledáte Rady od našeho týmu podpory, Diagnostikujte a řešte problémy je další nástroj, který vám může pomoci najít řešení:
Sestavy auditu Azure na řídicím panelu dodržování předpisů vydané pro obecnou dostupnost (GA)
Panel nástrojů řídicí panel dodržování předpisů nabízí sestavy certifikace Azure a Dynamics pro standardy použité pro vaše předplatná.
Můžete vybrat kartu pro příslušné typy sestav (PCI, SOC, ISO a další) a pomocí filtrů najít konkrétní sestavy, které potřebujete.
Další informace najdete v tématu generování sestav a certifikátů stavu dodržování předpisů.
Nepoužívané doporučení: problémy s výkonem Log Analytics agenta by se měly vyřešit na vašich počítačích
Zjistili jsme, že na vašich počítačích by se měly vyřešit problémy se stavem agenta Log Analytics , které mají vliv na bezpečné skóre způsobem, který není konzistentní s fokusem CSPM (Cloud Security stav Management) Security Center. CSPM se obvykle týká identifikace nezabezpečených konfigurací zabezpečení. Problémy se stavem agenta se nevejdou do této kategorie problémů.
Doporučení je také anomálií ve srovnání s ostatními agenty týkajícími se Security Center: Toto je jediný agent s doporučeními týkajícími se problémů se stavem.
Doporučení se už nepoužívá.
V důsledku tohoto zařazování jsme také provedli drobné změny doporučení pro instalaci agenta Log Analytics (agent Log Analytics by měl být nainstalovaný na...).
Tato změna bude mít dopad na vaše bezpečná skóre. U většiny předplatných očekáváme, že tato změna vede ke zvýšenému skóre, ale je možné, že aktualizace doporučení pro instalaci může v některých případech způsobit snížení skóre.
Tip
Stránka inventáře prostředků byla ovlivněna i touto změnou, protože zobrazuje monitorovaný stav počítačů (monitorované, nemonitorované nebo částečně monitorovaný stav, který odkazuje na agenta s problémy se stavem).
Azure Defender pro Registry kontejnerů teď vyhledává chyby zabezpečení v registrech chráněných pomocí privátního propojení Azure.
Azure Defender pro Registry kontejnerů obsahuje skener ohrožení zabezpečení pro skenování imagí v Azure Container Registry Registry. Naučte se kontrolovat registry a napravovat zjištění v tématu použití Azure Defenderu pro Registry kontejnerů pro kontrolu ohrožení zabezpečení imagí.
pokud chcete omezit přístup k registru hostovanému v Azure Container Registry, přiřaďte soukromé IP adresy virtuální sítě k koncovým bodům registru a použijte privátní propojení azure, jak je vysvětleno v Připojení soukromě ke službě azure Container registry pomocí privátního propojení azure.
V rámci naší průběžné snahy o podporu dalších prostředí a případů použití používá Azure Defender nyní také kontrolu registrů kontejnerů chráněných pomocí privátního propojení Azure.
Security Center teď může automaticky zřídit rozšíření konfigurace hosta Azure Policy (ve verzi Preview).
Azure Policy můžou auditovat nastavení v počítači, a to pro počítače běžící v Azure i v počítačích připojených k ARC. Ověřování se provádí pomocí rozšíření Konfigurace hosta a prostřednictvím klienta. Další informace najdete v porozumět konfiguraci hosta Azure Policy.
V této aktualizaci teď můžete nastavit Security Center pro automatické zřízení tohoto rozšíření u všech podporovaných počítačů.
Přečtěte si další informace o tom, jak Automatické zřizování funguje v tématu Konfigurace automatického zřizování pro agenty a rozšíření.
Recommendations povolit plány v programu Azure Defender teď podporují "vymáhání".
Security Center obsahují dvě funkce, které vám pomůžou zajistit zabezpečený přístup k nově vytvořeným prostředkům: vymáhání a zamítnutí. Když doporučení nabízí tyto možnosti, můžete zajistit splnění požadavků na zabezpečení při každém pokusu někoho o vytvoření prostředku:
- Zamítnutí zastaví vytváření špatných prostředků.
- Vynutilit automatické opravy prostředků, které nedodržují předpisy, když se vytváří
v této aktualizaci je teď k dispozici možnost vyhovět na doporučeních pro povolení plánů programu Azure defender (například azure defender pro App Service by měla být povolená, azure defender pro Key Vault Storage by měl být povolený).
Přečtěte si další informace o těchto možnostech, které zabrání v neoprávněných konfiguracích s doporučeními pro vymáhání
Export dat doporučení CSV se teď omezil na 20 MB.
Při exportování Security Centerch doporučení jsou při exportu dat doporučena 20 MB.
Pokud potřebujete exportovat větší objem dat, použijte filtry k dispozici před výběrem nebo vyberte podmnožiny předplatných a stáhněte data v dávkách.
Přečtěte si další informace o tom, jak provést export vašich doporučení zabezpečení sdíleného svazku clusteru.
stránka Recommendations teď obsahuje několik zobrazení.
Stránka s doporučeními má teď dvě karty, které poskytují alternativní způsoby zobrazení doporučení relevantních pro vaše prostředky:
- Doporučení pro bezpečné skóre – pomocí této karty můžete zobrazit seznam doporučení seskupených podle řízení zabezpečení. Přečtěte si další informace o těchto ovládacích prvcích v ovládacích prvcích zabezpečení a jejich doporučeních.
- Všechna doporučení – Tato karta slouží k zobrazení seznamu doporučení jako nestrukturovaného seznamu. Tato karta je také skvělé pro porozumění, kterou iniciativu (včetně standardů dodržování předpisů) vygenerovala doporučení. Další informace o iniciativách a jejich vztahu k doporučením v tom, co jsou zásady zabezpečení, iniciativy a doporučení?.
Červenec 2021
Aktualizace v červenci zahrnují:
- Azure Sentinel Connector nyní zahrnuje volitelnou synchronizaci obousměrné výstrahy (ve verzi Preview).
- Logická reorganizace Azure Defenderu pro výstrahy Správce prostředků
- Vylepšení doporučení pro povolení Azure Disk Encryption (ADE)
- Průběžný export údajů o dodržování předpisů, které jsou vydány pro obecnou dostupnost (GA)
- Automatizace pracovního postupu se můžou aktivovat změnami pro vyhodnocení dodržování předpisů v souladu s předpisy (GA).
- Pole rozhraní API pro posouzení ' FirstEvaluationDate ' a ' StatusChangeDate ' jsou nyní k dispozici v schématech pracovních prostorů a aplikacích logiky
- Šablona sešitu dodržování předpisů v čase se přidala do galerie Azure Monitorch sešitů.
Azure Sentinel Connector nyní zahrnuje volitelnou synchronizaci obousměrné výstrahy (ve verzi Preview).
Security Center nativně integruje s Azure Sentinel, nativním cloudovým Siem a společnosti řešením Azure.
Azure Sentinel obsahuje integrované konektory pro Azure Security Center na úrovni předplatného a tenanta. Další informace o výstrahách služby Stream do Azure Sentinel.
Když připojíte Azure Defender ke službě Azure Sentinel, stav výstrah v Azure Defenderu, které se přiřadí do Azure Sentinel, se synchronizuje mezi těmito dvěma službami. Takže pokud je výstraha v Azure Defenderu uzavřená, zobrazí se tato výstraha také jako uzavřená ve službě Azure Sentinel. Změna stavu výstrahy v Azure Defenderu nebude * mít vliv na stav všech incidentů Sentinel Azure, které obsahují synchronizovaná upozornění služby Azure Sentinel, jenom pro samotnou synchronizovanou výstrahu.
Když tuto funkci Preview povolíte, synchronizace obousměrných výstrah bude automaticky synchronizovat stav původních výstrah v programu Azure Defender s incidenty Sentinel Azure, které obsahují kopie těchto výstrah v programu Azure Defender. Pokud je například incident Sentinel Azure obsahující výstrahu v programu Azure Defender uzavřený, bude Azure Defender automaticky zavřít odpovídající původní výstrahu.
další informace najdete v Připojení výstrahách v programu Azure Defender z Azure Security Center.
Logická reorganizace Azure Defenderu pro výstrahy Správce prostředků
Níže uvedené výstrahy byly k dispozici jako součást plánu Azure Defender pro správce prostředků .
V rámci logické reorganizace některých plánů Azure Defenderu jsme přesunuli některé výstrahy z Azure Defenderu pro správce prostředků do Azure Defenderu pro servery.
Výstrahy jsou uspořádány podle dvou hlavních principů:
- Výstrahy, které poskytují ochranu předních rovinami řízení – napříč mnoha typy prostředků Azure – jsou součástí Azure Defenderu pro Správce prostředků
- Výstrahy, které chrání konkrétní úlohy, jsou v plánu Azure Defenderu, který se vztahuje k odpovídajícímu zatížení.
Jedná se o výstrahy, které byly součástí programu Azure Defender pro Správce prostředků a které jsou v důsledku této změny součástí Azure Defenderu pro servery:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Přečtěte si další informace o Azure Defenderu pro správce prostředků a Azure Defender pro servery .
Vylepšení doporučení pro povolení Azure Disk Encryption (ADE)
Po zpětné vazbě od uživatele jsme přejmenovali na virtuální počítače použití šifrování disku doporučení.
nové doporučení používá stejné ID vyhodnocení a označuje se jako virtuální počítače, které by měly šifrovat dočasné disky, ukládat do mezipaměti a toky dat mezi výpočetními a Storagemi prostředky.
Popis se taky aktualizoval, aby lépe vysvětloval účel tohoto doporučení posílení zabezpečení:
| Doporučení | Popis | Závažnost |
|---|---|---|
| virtuální počítače by měly šifrovat dočasné disky, ukládat do mezipaměti a toky dat mezi výpočetními a Storagemi prostředky | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují bez použití klíčů spravovaných platformou. dočasné disky a mezipaměti dat nejsou šifrované a data se při toku mezi výpočetními a úložnými prostředky nešifrují. Porovnání různých technologií pro šifrování disků v Azure najdete v tématu https://aka.ms/diskencryptioncomparison . K šifrování všech těchto dat použijte Azure Disk Encryption. Bez ohledu na toto doporučení: (1) používáte funkci šifrování na straně hostitele nebo (2) šifrování na straně serveru na Managed Disks splňuje vaše požadavky na zabezpečení. Další informace najdete v Azure Disk Storageovém šifrování na straně serveru. |
Vysoká |
Průběžný export údajů o dodržování předpisů, které jsou vydány pro obecnou dostupnost (GA)
Průběžný export poskytuje mechanismus pro export výstrah zabezpečení a doporučení pro sledování dalších monitorovacích nástrojů ve vašem prostředí.
Při nastavování průběžného exportu nakonfigurujete, co se má exportovat, a kam se bude přecházet. Další informace najdete v přehledu průběžného exportu.
Tuto funkci jsme vylepšili a rozšířili v čase:
V listopadu 2020 jsme přidali možnost Preview pro streamování změn do vašeho zabezpečeného skóre.
Úplné podrobnosti najdete v tématu věnovaném průběžnému exportu (Secure skore), který je teď k dispozici ve verzi Preview.Do prosince 2020 jsme přidali možnost verze Preview pro streamování změn dat vyhodnocení dodržování předpisů regulativními předpisy.
Úplné podrobnosti najdete v článku průběžný export získá nové datové typy (Preview).
V této aktualizaci jsou tyto dvě možnosti vydány pro obecnou dostupnost (GA).
Automatizace pracovního postupu se můžou aktivovat změnami pro vyhodnocení dodržování předpisů v souladu s předpisy (GA).
V únoru 2021 jsme do možností triggeru pro vaše automatizované pracovní postupy přidali třetí datový typ Preview : změny dodržování předpisů pro legislativní předpisy. Další informace v automatizaci pracovních postupů je možné aktivovat pomocí změn v hodnocení dodržování předpisů regulativními předpisy.
V této aktualizaci se tato možnost triggeru uvolní pro obecnou dostupnost (GA).
Naučte se používat nástroje pro automatizaci pracovních postupů v automatizaci odpovědí na Security Center triggery.
Pole rozhraní API pro posouzení ' FirstEvaluationDate ' a ' StatusChangeDate ' jsou nyní k dispozici v schématech pracovních prostorů a aplikacích logiky
V květnu 2021 jsme aktualizovali rozhraní API pro posuzování se dvěma novými poli, FirstEvaluationDate a StatusChangeDate. Úplné podrobnosti najdete v tématu rozhraní API pro vyhodnocení rozbalené se dvěma novými poli.
tato pole byla přístupná prostřednictvím REST API, Graph prostředků Azure, průběžného exportu a v exportech CSV.
Tato změna zpřístupňuje informace, které jsou k dispozici ve schématu Log Analytics pracovního prostoru a z Logic Apps.
Šablona sešitu dodržování předpisů v čase se přidala do galerie Azure Monitorch sešitů.
V březnu jsme oznámili prostředí integrovaných Azure Monitor sešitů v Security Center (viz téma Azure monitor sešity integrované do Security Center a tři dodané šablony).
Počáteční verze zahrnuje tři šablony k vytváření dynamických a vizuálních sestav o stav zabezpečení vaší organizace.
Teď jsme přidali sešit vyhrazený pro sledování dodržování předpisů u předplatného s použitím regulativních nebo průmyslových standardů.
Naučte se používat tyto sestavy nebo vytvářet vlastní v vytváření bohatých interaktivních sestav Security Center dat.
Červeně 2021
Aktualizace v červnu zahrnují:
- Nové upozornění pro Azure Defender pro Key Vault
- Recommendations šifrování pomocí klíčů spravovaných zákazníkem (CMKs), které jsou ve výchozím nastavení zakázané
- Předpona pro výstrahy Kubernetes se změnila z "AKS_" na "K8S_"
- Vystaralá dvě doporučení pro řízení zabezpečení použít aktualizace systému
Nové upozornění pro Azure Defender pro Key Vault
Pokud chcete rozšířit ochranu před hrozbami, kterou poskytuje Azure Defender pro Key Vault, Přidali jsme následující upozornění:
| Výstraha (typ výstrahy) | Popis | MITRE cílem | Závažnost |
|---|---|---|---|
| Přístup z podezřelé IP adresy do trezoru klíčů (KV_SuspiciousIPAccess) |
K trezoru klíčů byl úspěšně použit protokol IP, který identifikovala služba Microsoft Threat Intelligence jako podezřelou IP adresu. To může znamenat, že došlo k ohrožení zabezpečení vaší infrastruktury. Doporučujeme další prošetření. Přečtěte si další informace o možnostech logiky hrozeb Microsoftu. | Přístup k přihlašovacím údajům | Střední |
Další informace naleznete v tématu:
- Seznámení s Azure Defenderem pro Key Vault
- Reakce na upozornění Azure Defenderu pro Key Vault
- Seznam výstrah, které poskytuje Azure Defender pro Key Vault
Recommendations šifrování pomocí klíčů spravovaných zákazníkem (CMKs), které jsou ve výchozím nastavení zakázané
Security Center obsahuje více doporučení pro šifrování neaktivních dat pomocí klíčů spravovaných zákazníkem, například:
- Registry kontejneru by měly být zašifrované pomocí klíče spravovaného zákazníkem (CMK)
- Azure Cosmos DB účty by měly používat klíče spravované zákazníkem k šifrování neaktivních dat
- Azure Machine Learning pracovní prostory by měly být zašifrované pomocí klíče spravovaného zákazníkem (CMK)
Data v Azure se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít jenom v případě, že je to vyžadováno pro splnění určitých zásad, které vaše organizace zvolí k vykonání.
V této změně jsou teď doporučení pro použití CMKs ve výchozím nastavení zakázaná. Pokud je to pro vaši organizaci důležité, můžete je povolit změnou parametru efektu pro odpovídající zásady zabezpečení na AuditIfNotExists nebo vykonatelné. Další informace najdete v povolovat zásady zabezpečení.
Tato změna se odrazí v názvech doporučení s novou předponou ( Povolit v případě potřeby), jak je znázorněno v následujících příkladech:
- [Povolit v případě potřeby] Storage účty by měly používat klíč spravovaný zákazníkem k šifrování dat v klidovém umístění.
- [Povolit v případě potřeby] Registry kontejneru by měly být zašifrované pomocí klíče spravovaného zákazníkem (CMK)
- [Povolit v případě potřeby] Azure Cosmos DB účty by měly používat klíče spravované zákazníkem k šifrování neaktivních dat
Předpona pro výstrahy Kubernetes se změnila z "AKS_" na "K8S_"
Azure Defender pro Kubernetes se nedávno rozšířil na ochranu Kubernetesch clusterů hostovaných místně a v prostředích s více cloudy. Další informace o použití Azure Defenderu pro Kubernetes k ochraně hybridních a multi-cloudových nasazení Kubernetes (ve verzi Preview).
Aby se projevily výstrahy zabezpečení, které poskytuje Azure Defender pro Kubernetes, už nejsou omezené na clustery ve službě Azure Kubernetes, změnili jsme předponu pro typy výstrah z AKS_ na K8S_. V případě potřeby se názvy a popisy aktualizovaly také. Například tato výstraha:
| Výstraha (typ výstrahy) | Popis |
|---|---|
| Zjistil se nástroj pro testování průniku Kubernetes. (AKS _PenTestToolsKubeHunter) |
Analýza protokolu auditu Kubernetes zjistila použití nástroje pro testování průniku Kubernetes v clusteru AKS . I když může být toto chování legitimní, útočníci můžou tyto veřejné nástroje využít ke škodlivým účelům. |
byl změněn na:
| Výstraha (typ výstrahy) | Popis |
|---|---|
| Zjistil se nástroj pro testování průniku Kubernetes. (K8S _PenTestToolsKubeHunter) |
Analýza protokolu auditu Kubernetes zjistila použití nástroje pro testování průniku Kubernetes v clusteru Kubernetes . I když může být toto chování legitimní, útočníci můžou tyto veřejné nástroje využít ke škodlivým účelům. |
Všechna pravidla potlačení, která odkazují na výstrahy začínající na AKS_, se automaticky převedou. Pokud jste nastavili SIEM exporty nebo vlastní skripty pro automatizaci, které odkazují na výstrahy Kubernetes podle typu výstrahy, budete je muset aktualizovat pomocí nových typů výstrah.
Úplný seznam upozornění Kubernetes najdete v tématu výstrahy pro clustery Kubernetes.
Vystaralá dvě doporučení pro řízení zabezpečení použít aktualizace systému
Následující dvě doporučení jsou zastaralá:
- Verze operačního systému by se měla aktualizovat pro vaše role cloudové služby – ve výchozím nastavení Azure pravidelně aktualizuje hostovaný operační systém na nejnovější podporovanou image v rámci řady operačních systémů, kterou jste zadali v konfiguraci služby (. cscfg), jako je například Windows Server 2016.
- Kubernetes služby by měly být upgradovány na nezranitelnou Kubernetes verzi – hodnocení tohoto doporučení nejsou v rozsahu, ve kterém bychom chtěli. Plánujeme toto doporučení nahradit rozšířenou verzí, která je lépe zarovnaná s vašimi požadavky na zabezpečení.