Archiv der Neuerungen in Defender für Cloud
Diese Seite enthält Informationen zu Features, Fixes und Veralteten, die älter als sechs Monate sind. Informationen zu den neuesten Updates finden Sie unter "Neuerungen in Defender for Cloud".
September 2023
Datensicherheitsdashboard als öffentliche Vorschau verfügbar
27. September 2023
Das Dashboard zur Datensicherheit ist jetzt als Teil des Defender CSPM-Plans als öffentliche Vorschau verfügbar. Das Datensicherheitsdashboard ist ein interaktives, datenorientiertes Dashboard, das wesentliche Risiken für vertrauliche Daten aufzeigt und dadurch Warnungen und potenzielle Angriffspfade für Daten in Hybrid Cloud-Workloads priorisiert. Erfahren Sie mehr über das Datensicherheitsdashboard.
Previewrelease: Neuer Prozess zur automatischen Bereitstellung für SQL Server auf Computern
21. September 2023
Microsoft Monitoring Agent (MMA) ist ab August 2024 veraltet. Für Defender for Cloud wurde die Strategie aktualisiert, indem MMA durch die Release eines automatischen Bereitstellungsprozesses von Azure Monitoring Agent für SQL Server ersetzt wurde.
Während der Preview werden Kunden, die den MMA-Prozess zur automatischen Bereitstellung mit der Option für Azure Monitor-Agent (Preview) verwenden, aufgefordert, zum neuen Azure Monitoring Agent für SQL Server auf Computern (Preview) für die automatische Bereitstellung zu migrieren. Der Migrationsprozess ist nahtlos und bietet kontinuierlichen Schutz für alle Computer.
Weitere Informationen finden Sie unter Migrieren zum automatischen Bereitstellungsprozess von Azure Monitoring Agent für SQL Server.
GitHub Advanced Security für Azure DevOps-Warnungen in Defender for Cloud
20. September 2023
Sie können jetzt Warnungen von GitHub Advanced Security für Azure DevOps (GHAzDO) im Zusammenhang mit CodeQL, Geheimnissen und Abhängigkeiten in Defender for Cloud anzeigen. Die Ergebnisse werden auf der DevOps-Seite und unter „Empfehlungen“ angezeigt. Um diese Ergebnisse anzuzeigen, führen Sie ein Onboarding Ihrer GHAzDO-fähigen Repositorys in Defender for Cloud durch.
Weitere Informationen zu GitHub Advanced Security für Azure DevOps.
Ausgenommene Funktionen sind jetzt für Empfehlungen für Defender für APIs verfügbar
11. September 2023
Sie können jetzt Empfehlungen für die folgenden Sicherheitsempfehlungen für Defender für APIs ausschließen.
| Empfehlung | Beschreibung und zugehörige Richtlinie | Severity |
|---|---|---|
| (Vorschau) Nicht verwendete API-Endpunkte sollten deaktiviert und aus dem Azure API Management-Dienst entfernt werden | Als bewährte Sicherheitsmethode gelten API-Endpunkte, die 30 Tage lang keinen Datenverkehr empfangen haben, als ungenutzt und sollten aus dem Azure API Management-Dienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko darstellen. Dies könnten APIs sein, die im Azure API Management-Dienst als veraltet gekennzeichnet sein sollten, aber versehentlich aktiv bleiben. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung. | Niedrig |
| (Vorschau) API-Endpunkte in Azure API Management sollten authentifiziert werden | API-Endpunkte, die in Azure API Management veröffentlicht werden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dies erlaubt Angreifern, Implementierungsfehler auszunutzen und auf Daten zuzugreifen. Für in Azure API Management veröffentlichte APIs bewertet diese Empfehlung die Ausführung der Authentifizierung über die in Azure API Management konfigurierten Abonnementschlüssel, JWT und Clientzertifikate. Wenn keiner dieser Authentifizierungsmechanismen während des API-Aufrufs ausgeführt wird, wird die API diese Empfehlung erhalten. | Hoch |
Erfahren Sie mehr über das Ausschließen von Empfehlungen in Defender for Cloud.
Erstellen von Beispielwarnungen für Defender für APIs-Erkennungen
11. September 2023
Sie können jetzt Beispielwarnungen für die Sicherheitserkennungen generieren, die im Rahmen der öffentlichen Vorschau von Defender für APIs veröffentlicht wurden. Erfahren Sie mehr über das Generieren von Beispielwarnungen in Defender for Cloud.
Vorschauversion: Die von Microsoft Defender Vulnerability Management unterstützte Sicherheitsrisikobewertung von Containern unterstützt jetzt das Überprüfen nach Pullen
6. September 2023
Container-Sicherheitsrisikobewertung, die von Microsoft Defender Vulnerability Management unterstützt wird, unterstützt jetzt einen zusätzlichen Auslöser für das Scannen von Bildern, die von einem ACR abgerufen werden. Dieser neu hinzugefügte Trigger deckt zusätzlich zu den bestehenden Triggern, die Bilder scannen, die in den letzten 90 Tagen an einen ACR übertragen wurden, und Bilder, die derzeit in AKS laufen, auch aktive Bilder ab.
Dieser neue Trigger wird heute eingeführt und wird voraussichtlich ab Ende September für alle Kunden verfügbar sein.
Aktualisieren des Benennungsformats von Center for Internet Security (CIS)-Standards unter Einhaltung gesetzlicher Bestimmungen
6. September 2023
Das Benennungsformat von CIS (Center for Internet Security) Foundations-Benchmarks auf dem Compliance-Dashboard wird von [Cloud] CIS [version number] in CIS [Cloud] Foundations v[version number] geändert. Beachten Sie hierzu die folgende Tabelle:
| Aktueller Name | Neuer Name |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations v1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations v1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations v1.4.0 |
| AWS CIS 1.2.0 | CIS AWS Foundations v1.2.0 |
| AWS CIS 1.5.0 | CIS AWS Foundations v1.5.0 |
| GCP CIS 1.1.0 | CIS GCP Foundations v1.1.0 |
| GCP CIS 1.2.0 | CIS GCP Foundations v1.2.0 |
Erfahren Sie, wie Sie die Einhaltung gesetzlicher Bestimmungen verbessern.
Ermittlung vertraulicher Daten für PaaS-Datenbanken (Vorschau)
5. September 2023
Datenbasierte Sicherheitsstatusfunktionen für die reibungslose Ermittlung vertraulicher Daten für PaaS-Datenbanken (Azure SQL-Datenbanken und Amazon RDS-Instanzen jeglicher Art) sind jetzt als öffentliche Vorschauversion verfügbar. Mit dieser öffentlichen Vorschauversion können Sie eine Karte Ihrer kritischen Daten erstellen, unabhängig davon, wo sie sich befinden, und unabhängig vom Typ der Daten, die sich in diesen Datenbanken befinden.
Die Ermittlung vertraulicher Daten für Azure- und AWS-Datenbanken ergänzt die freigegebene Taxonomie und Konfiguration, die bereits öffentlich für Cloudobjektspeicherressourcen (Azure Blob Storage, AWS S3-Buckets und GCP-Speicherbuckets) verfügbar ist, und bietet eine einheitliche Konfigurations- und Aktivierungserfahrung.
Datenbanken werden wöchentlich überprüft. Wenn Sie sensitive data discovery aktivieren, wird die Ermittlung innerhalb von 24 Stunden ausgeführt. Die Ergebnisse können im Cloudsicherheits-Explorer oder durch Überprüfen der neuen Angriffspfade für verwaltete Datenbanken mit vertraulichen Daten angezeigt werden.
Der datenbasierte Sicherheitsstatus für Datenbanken ist über den Defender CSPM-Plan verfügbar und wird für Abonnements mit aktivierter Option sensitive data discovery automatisch aktiviert.
Weitere Informationen zum datenbasierten Sicherheitsstatus finden Sie in den folgenden Artikeln:
- Unterstützung und Voraussetzungen für den datenfähigen Sicherheitsstatus
- Aktivieren des datenfähigen Sicherheitsstatus
- Untersuchen von Risiken für vertrauliche Daten
Allgemeine Verfügbarkeit (GA): Überprüfung auf Schadsoftware in Defender für Storage
1. September 2023
Die Überprüfung auf Schadsoftware ist jetzt allgemein als Add-On für Defender für Storage verfügbar. Die Überprüfung auf Schadsoftware in Defender für Storage hilft Ihnen, Ihre Speicherkonten vor bösartigen Inhalten zu schützen, indem es nahezu in Echtzeit eine vollständige Überprüfung der hochgeladenen Inhalte auf Schadsoftware durchführt und dabei die Funktionen von Microsoft Defender Antivirus nutzt. Diese Funktion wurde entwickelt, um Sicherheits- und Complianceanforderungen für die Verarbeitung von nicht vertrauenswürdigen Inhalten zu erfüllen. Die Funktion zur Überprüfung auf Schadsoftware ist eine agentenlose SaaS-Lösung, die die Einrichtung in großem Umfang ermöglicht und die Automatisierung der Reaktion in großem Umfang unterstützt.
Erfahren Sie mehr über die Überprüfung auf Schadsoftware in Defender für Storage.
Der Preis für die Überprüfung auf Schadsoftware richtet sich nach Ihrer Datennutzung und Ihrem Budget. Die Abrechnung beginnt am 3. September 2023. Weitere Informationen hierzu finden Sie in der Preisübersicht.
Wenn Sie den vorherigen Plan verwenden, müssen Sie proaktiv zum neuen Plan migrieren, um schadsoftwareüberprüfungen zu ermöglichen.
Lesen Sie den Blogbeitrag zur Microsoft Defender for Cloud-Ankündigung.
August 2023
Updates im August:
Defender for Containers: Agentenlose Ermittlung für Kubernetes
30. August 2023
Wir freuen uns, Defender for Containers: Agentenlose Ermittlung für Kubernetes vorstellen zu können. Dieses Release ist ein wichtiger Schritt nach vorn bei der Containersicherheit und ermöglicht Ihnen erweiterte Erkenntnisse und umfassende Bestandsfunktionen für Kubernetes-Umgebungen. Das neue Containerangebot wird durch das kontextbezogene Sicherheitsdiagramm von Defender for Cloud unterstützt. Hier sehen Sie, was Sie von diesem neuesten Update erwarten können:
- Agentenlose Kubernetes-Ermittlung
- Umfassende Bestandsfunktionen
- Kubernetes-spezifische Sicherheitseinblicke
- Erweiterte Risikosuche mit Cloudsicherheits-Explorer
Die agentenlose Ermittlung für Kubernetes ist jetzt für alle Defender for Containers-Kunden verfügbar. Sie können diese erweiterten Funktionen noch heute verwenden. Wir empfehlen Ihnen, Ihre Abonnements zu aktualisieren, um den vollständigen Satz von Erweiterungen zu aktivieren und von den neuesten Ergänzungen und Features zu profitieren. Besuchen Sie den Bereich Umgebung und Einstellungen Ihres Defender for Containers-Abonnements, um die Erweiterung zu aktivieren.
Hinweis
Das Aktivieren der neuesten Ergänzungen verursacht keine neuen Kosten für aktive Defender for Containers-Kunden.
Weitere Informationen finden Sie unter Übersicht über die Containersicherheit von Microsoft Defender for Containers.
Veröffentlichte Empfehlung: Microsoft Defender for Storage sollte mit Überprüfung auf Schadsoftware und Bedrohungserkennung für vertrauliche Daten aktiviert werden
22. August 2023
Eine neue Empfehlung in Defender for Storage wurde veröffentlicht. Diese Empfehlung stellt sicher, dass Defender for Storage auf Abonnementebene mit Funktionen zur Überprüfung auf Schadsoftware und zur Bedrohungserkennung für vertrauliche Daten aktiviert ist.
| Empfehlung | Beschreibung |
|---|---|
| Microsoft Defender for Storage sollte mit Überprüfung auf Schadsoftware und Bedrohungserkennung für vertrauliche Daten aktiviert werden | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. Der Plan lässt sich in großem Umfang ohne Agents einrichten. Wenn er auf Abonnementebene aktiviert wird, sind alle vorhandenen und neu erstellten Speicherkonten in diesem Abonnement automatisch geschützt. Sie können auch bestimmte Speicherkonten aus geschützten Abonnements ausschließen. |
Diese neue Empfehlung ersetzt die aktuelle Empfehlung Microsoft Defender for Storage should be enabled (Bewertungsschlüssel 1be22853-8ed1-4005-9907-ddad64cb1417). Diese Empfehlung ist jedoch weiterhin in Azure Government Clouds verfügbar.
Erfahren Sie mehr über Microsoft Defender for Storage.
Erweiterte Eigenschaften in Defender for Cloud-Sicherheitswarnungen werden in Aktivitätsprotokollen maskiert
17. August 2023
Wir haben kürzlich die Art und Weise geändert, in der Sicherheitswarnungen und Aktivitätsprotokolle integriert werden. Um vertrauliche Kundeninformationen besser zu schützen, fügen wir diese Informationen nicht mehr in Aktivitätsprotokolle ein. Stattdessen maskieren wir sie mit Sternchen. Die Informationen sind jedoch weiterhin über die Warnungs-API, den fortlaufenden Export und das Defender for Cloud-Portal verfügbar.
Kunden, die Aktivitätsprotokolle zum Exportieren von Warnungen in ihre SIEM-Lösungen verwenden, sollten eine andere Lösung in Betracht ziehen, da diese Methode zum Exportieren von Defender for Cloud-Sicherheitswarnungen nicht empfohlen wird.
Anweisungen zum Exportieren von Defender for Cloud-Sicherheitswarnungen nach SIEM, SOAR und anderen Anwendungen von Drittanbietern finden Sie unter Stream-Warnungen zu einer SIEM-, SOAR- oder IT-Dienstverwaltungslösung.
Vorschauversion der GCP-Unterstützung in Defender CSPM
15. August 2023
Wir kündigen das Vorschaurelease des kontextbezogenen Defender CSPM-Cloudsicherheitsdiagramms und der Analyse des Angriffspfads mit Unterstützung für GCP-Ressourcen an. Sie können die Leistungsfähigkeit von Defender CSPM für umfassende Transparenz und intelligente Cloudsicherheit für GCP-Ressourcen nutzen.
Zu den wichtigsten Features unserer GCP-Unterstützung gehören:
- Analyse des Angriffspfads: Verstehen der potenziellen Routen, die Angreifer nehmen können.
- Cloudsicherheits-Explorer: Identifizieren Sie proaktiv Sicherheitsrisiken, indem Sie graphbasierte Abfragen für das Sicherheitsdiagramm ausführen.
- Überprüfung ohne Agent: Überprüfen Sie Server, und identifizieren Sie Geheimnisse und Sicherheitsrisiken, ohne einen Agent zu installieren.
- Datenfähiger Sicherheitsstatus: Ermitteln und Beheben von Risiken für vertrauliche Daten in Google Cloud Storage-Buckets.
Informieren Sie sich ausführlicher über die Defender CSPM-Planoptionen.
Neue Sicherheitswarnungen in Defender for Servers Plan 2: Erkennen potenzieller Angriffe durch Missbrauch von Azure-VM-Erweiterungen
7. August 2023
Diese neuen Warnungen konzentrieren sich auf das Erkennen verdächtiger Aktivitäten von Azure-VM-Erweiterungen und bieten Einblicke in die Versuche von Angreifer*innen, VMs zu kompromittieren und schädliche Aktivitäten auf diesen auszuführen.
Microsoft Defender for Servers kann jetzt verdächtige Aktivitäten von VM-Erweiterungen erkennen, sodass die Sicherheit der Workloads besser abgedeckt ist.
Azure-VM-Erweiterungen sind kleine Anwendungen, die nach der Bereitstellung auf VMs ausgeführt werden und Funktionen wie Konfiguration, Automatisierung, Überwachung, Sicherheit und vieles mehr ermöglichen. Erweiterungen sind nützlich, können jedoch von Angreifer*innen für verschiedene schädliche Zwecke verwendet werden, darunter:
- Für die Datensammlung und -überwachung.
- Für die Codeausführung und die Konfigurationsbereitstellung mit hohen Berechtigungen.
- Zum Zurücksetzen von Anmeldeinformationen und zum Erstellen von Administrativen Benutzern.
- Zum Verschlüsseln von Datenträgern.
Hier finden Sie eine Tabelle der neuen Warnungen.
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktiken | severity |
|---|---|---|---|
| Verdächtiger Fehler bei der Installation der GPU-Erweiterung in Ihrem Abonnement (Vorschau) (VM_GPUExtensionSuspiciousFailure) |
Verdächtige Absicht, eine GPU-Erweiterung auf nicht unterstützten VMs zu installieren. Diese Erweiterung sollte auf VMs installiert werden, die mit einem Grafikprozessor ausgestattet sind. Dies ist bei den aktuellen VMs nicht der Fall. Diese Fehler treten auf, wenn Angreifer*innen mehrere Installationen einer solchen Erweiterung zu Cryptominingzwecken ausführen. | Auswirkungen | Medium |
| Verdächtige Installation einer GPU-Erweiterung auf Ihrer VM erkannt (Vorschau) (VM_GPUDriverExtensionUnusualExecution) Diese Warnung wurde im Juli 2023 veröffentlicht. |
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine verdächtige Installation einer GPU-Erweiterung auf Ihrer VM erkannt. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen. Diese Aktivität wird als verdächtig eingestuft, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht. | Auswirkungen | Niedrig |
| Befehlsausführung mit verdächtigem Skript auf Ihrer VM erkannt (Vorschau) (VM_RunCommandSuspiciousScript) |
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine Skriptausführung mit einem verdächtigen Skript auf Ihrer VM erkannt. Angreifer könnten die Skriptausführung verwenden, um über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihrer VM auszuführen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden. | Ausführung | Hoch |
| Verdächtige nicht autorisierte Nutzung der Skriptausführung auf Ihrer VM erkannt (Vorschau) (VM_RunCommandSuspiciousFailure) |
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement ist eine verdächtige nicht autorisierte Nutzung der Skriptausführung fehlgeschlagen und wurde auf Ihrer VM erkannt. Angreifer könnten versuchen, mithilfe der Skriptausführung über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihren VMs auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde. | Ausführung | Medium |
| Verdächtige Nutzung der Skriptausführung auf Ihrer VM erkannt (Vorschau) (VM_RunCommandSuspiciousUsage) |
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine verdächtige Nutzung der Skriptausführung auf Ihrer VM erkannt. Angreifer könnten die Skriptausführung verwenden, um über den Azure Resource Manager schädlichen Code mit erhöhten Berechtigungen auf Ihren VMs auszuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde. | Ausführung | Niedrig |
| Verdächtige Verwendung mehrerer Überwachungs- oder Datensammlungserweiterungen auf Ihren VMs erkannt (Vorschau) (VM_SuspiciousMultiExtensionUsage) |
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine verdächtige Nutzung mehrerer Überwachungs- oder Datensammlungserweiterungen auf Ihren VMs erkannt. Angreifer könnten solche Erweiterungen für die Datensammlung, die Überwachung des Netzwerkdatenverkehrs und weitere Aktionen in Ihrem Abonnement missbrauchen. Diese Nutzung wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde. | Reconnaissance | Medium |
| Verdächtige Installation von Datenträgerverschlüsselungserweiterungen auf Ihren VMs erkannt (Vorschau) (VM_DiskEncryptionSuspiciousUsage) |
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine verdächtige Installation von Datenträgerverschlüsselungserweiterungen auf Ihren VMs erkannt. Angreifer könnten die Datenträgerverschlüsselungserweiterung missbrauchen, um vollständige Datenträgerverschlüsselungen auf Ihren VMs über den Azure Resource Manager bereitzustellen und so zu versuchen, Ransomware-Aktivitäten durchzuführen. Diese Aktivität wird als verdächtig eingestuft, weil sie bisher nicht häufig festgestellt wurde und sehr viele Erweiterungen installiert wurden. | Auswirkungen | Medium |
| Verdächtige Nutzung der VM Access-Erweiterung auf Ihren VMs erkannt (Vorschau) (VM_VMAccessSuspiciousUsage) |
Auf Ihren VMs wurde eine verdächtige Nutzung der VM Access-Erweiterung erkannt. Angreifer könnten die VM-Zugriffserweiterung missbrauchen, um Zugriff zu erhalten und Ihre VMs mit hohen Berechtigungen zu kompromittieren, indem sie den Zugriff zurücksetzen oder Administratoren verwalten. Diese Aktivität wird als verdächtig angesehen, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht und sehr viele Erweiterungen installiert wurden. | Persistenz | Medium |
| DSC-Erweiterung (Desired State Configuration) mit einem verdächtigen Skript auf Ihrer VM erkannt (Vorschau) (VM_DSCExtensionSuspiciousScript) |
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine DSC-Erweiterung (Desired State Configuration) mit einem verdächtigen Skript auf Ihrer VM erkannt. Angreifer könnten die DSC (Desired State Configuration)-Erweiterung verwenden, um schädliche Konfigurationen wie Persistenzmechanismen, schädliche Skripts un mehr mit hohen Berechtigungen auf Ihren VMs bereitzustellen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden. | Ausführung | Hoch |
| Verdächtige Nutzung einer DSC-Erweiterung (Desired State Configuration) auf Ihren VMs erkannt (Vorschau) (VM_DSCExtensionSuspiciousUsage) |
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine verdächtige Nutzung einer DSC-Erweiterung (Desired State Configuration) auf Ihren VMs erkannt. Angreifer könnten die DSC (Desired State Configuration)-Erweiterung verwenden, um schädliche Konfigurationen wie Persistenzmechanismen, schädliche Skripts un mehr mit hohen Berechtigungen auf Ihren VMs bereitzustellen. Diese Aktivität wird als verdächtig angesehen, weil das Verhalten des Prinzipals von seinen üblichen Mustern abweicht und sehr viele Erweiterungen installiert wurden. | Auswirkungen | Niedrig |
| Benutzerdefinierte Skripterweiterung mit verdächtigem Skript auf Ihrer VM erkannt (Vorschau) (VM_CustomScriptExtensionSuspiciousCmd) (Diese Warnung ist bereits vorhanden und wurde mit verbesserter Logik und verbesserten Erkennungsmethoden ausgestattet.) |
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine benutzerdefinierte Skripterweiterung mit einem verdächtigen Skript auf Ihrer VM erkannt. Angreifer könnten eine benutzerdefinierte Skripterweiterung verwenden, um über den Azure Resource Manager schädlichen Code mit hohen Berechtigungen auf Ihrer VM auszuführen. Das Skript wird als verdächtig eingestuft, weil bestimmte Teile als möglicherweise schädlich identifiziert wurden. | Ausführung | Hoch |
Weitere Informationen finden in den erweiterungsbasierten Warnungen in Defender for Servers.
Eine vollständige Liste der Warnungen finden Sie in der Referenztabelle für alle Sicherheitswarnungen in Microsoft Defender for Cloud.
Geschäftsmodell- und Preisupdates für Defender for Cloud-Pläne
1. August 2023
Microsoft Defender for Cloud weist drei Pläne auf, die Schutz auf Dienstebene bieten:
Defender für Key Vault
Defender für Resource Manager
Defender für DNS
Basierend auf Kundenfeedback in Bezug auf die Vorhersagbarkeit von Ausgaben und die Vereinfachung der Gesamtkostenstruktur haben wir diese Pläne in ein neues Geschäftsmodell mit anderen Preisen und Paketen überführt.
Zusammenfassung von Geschäftsmodell- und Preisänderungen:
Für Defender for Key Vault-, Defender for Resource Manager- und Defender for DNS-Bestandskunden gelten weiterhin ihre aktuellen Geschäftsmodelle und Preise, sofern die Kunden sich nicht aktiv für einen Wechsel zum neuen Geschäftsmodell und zu den neuen Preisen entscheiden.
- Defender for Resource Manager: Für diesen Plan gilt ein Festpreis pro Abonnement und Monat. Kunden können zum neuen Geschäftsmodell wechseln, indem sie das neue Pro-Abonnement-Modell für Defender for Resource Manager auswählen.
Für Defender for Key Vault-, Defender for Resource Manager- und Defender for DNS-Bestandskunden gelten weiterhin ihre aktuellen Geschäftsmodelle und Preise, sofern die Kunden sich nicht aktiv für einen Wechsel zum neuen Geschäftsmodell und zu den neuen Preisen entscheiden.
- Defender for Resource Manager: Für diesen Plan gilt ein Festpreis pro Abonnement und Monat. Kunden können zum neuen Geschäftsmodell wechseln, indem sie das neue Pro-Abonnement-Modell für Defender for Resource Manager auswählen.
- Defender for Key Vault: Für diesen Plan gilt ein Festpreis pro Tresor und Monat ohne Überschreitungsgebühren. Kunden können zum neuen Geschäftsmodell zu wechseln, indem sie das neue Pro-Tresor-Modell für Defender for Key Vault auswählen
- Defender for DNS: Kunden mit Defender for Servers-Plan 2 erhalten im Rahmen von Defender for Servers-Plan 2 ohne zusätzliche Kosten Zugriff auf die Vorteile von Defender for DNS. Kunden, die Defender for Servers-Plan 2 und Defender for DNS nutzen, wird Defender for DNS nicht mehr in Rechnung gestellt. Defender for DNS ist als eigenständiger Plan nicht mehr verfügbar.
Weitere Informationen zu den Preisen für diese Pläne finden Sie auf der Preisseite für Defender for Cloud.
Juli 2023
Zu den Updates im Juli gehören:
Vorschau der Veröffentlichung von Containern zur Sicherheitsrisikobewertung mit Microsoft Defender Vulnerability Management
31. Juli 2023
Wir kündigen die Veröffentlichung der Sicherheitsrisikobewertung (VA) für Linux-Containerimages in Azure-Containerregistrierungen an, die von microsoft Defender Vulnerability Management in Defender for Containers und Defender for Container Registries unterstützt werden. Das neue Container-VA-Angebot wird zusammen mit unserem bestehenden Container VA-Angebot, das von Qualys unterstützt wird, sowohl in Defender for Container als auch in Defender for Container Registries bereitgestellt und umfasst tägliche Neuscans von Containerimages, Informationen zur Ausnutzbarkeit, Unterstützung für Betriebssystem und Programmiersprachen (SCA) und vieles mehr.
Dieses neue Angebot wird heute eingeführt und wird voraussichtlich bis zum 7. August für alle Kunden verfügbar sein.
Erfahren Sie mehr über die Bewertung der Sicherheitsanfälligkeit in Containern mit microsoft Defender Vulnerability Management.
Containerstatus ohne Agent in Defender CSPM ist jetzt allgemein verfügbar
30. Juli 2023
Containerstatusfunktionen ohne Agent sind jetzt allgemein verfügbar (GA) als Teil des Defender CSPM (Cloud Security Posture Management)-Plans.
Erfahren Sie mehr über den Containerstatus ohne Agent in Defender CSPM.
Verwaltung von automatischen Updates für Defender for Endpoint für Linux
20. Juli 2023
Standardmäßig versucht Defender for Cloud, Ihre Defender for Endpoint für Linux-Agents zu aktualisieren, die mit der MDE.Linux-Erweiterung integriert wurden. Bei diesem Release können Sie diese Einstellung verwalten und die Standardkonfiguration deaktivieren, um Ihre Updatezyklen manuell zu verwalten.
Informieren Sie sich zum Verwalten der Konfiguration von automatischen Updates für Linux.
Agentless secrets scanning for virtual machines in Defender for servers P2 & Defender CSPM
18. Juli 2023
Die Geheimnisüberprüfung ist jetzt im Rahmen der agentlosen Überprüfung in Defender for Servers P2 und Defender CSPM verfügbar. Diese Funktion hilft beim Erkennen nicht verwalteter und unsicherer Geheimnisse, die auf VMs in Azure oder in AWS-Ressourcen gespeichert sind, die zum lateralen Verschieben im Netzwerk verwendet werden können. Wenn Geheimnisse erkannt werden, kann Defender for Cloud bei der Priorisierung und Durchführung umsetzbarer Schritte zur Problembehandlung helfen, um das Risiko von Seitwärtsbewegungen (Lateral Movement) zu minimieren, ohne die Leistung Ihres Computers zu beeinträchtigen.
Weitere Informationen dazu, wie Sie Ihre Geheimnisse mit geheimen Überprüfungen schützen, finden Sie unter Verwalten von geheimen Schlüsseln mit agentlosen Geheimschlüsselscans.
Neue Sicherheitswarnung in Defender for Servers Plan 2: Erkennen potenzieller Angriffe mithilfe von Azure-VM-GPU-Treibererweiterungen
12. Juli 2023
Diese Warnung konzentriert sich auf die Identifizierung verdächtiger Aktivitäten, die die GPU-Treibererweiterungen von Azure-Computern nutzen, und gibt Einblicke in die Versuche von Angreifern, Ihre virtuellen Computer zu kompromittieren. Die Warnung zielt auf verdächtige Bereitstellungen von GPU-Treibererweiterungen ab. Solche Erweiterungen werden häufig von Bedrohungsakteuren missbraucht, um die volle Leistungsfähigkeit der GPU-Karte zu nutzen und Kryptojacking durchzuführen.
| Anzeigename der Warnung (Warnungstyp) |
BESCHREIBUNG | severity | MITRE-Taktik |
|---|---|---|---|
| Verdächtige Installation der GPU-Erweiterung auf Ihrem virtuellen Computer (Vorschau) (VM_GPUDriverExtensionUnusualExecution) |
Bei der Analyse der Azure Resource Manager-Vorgänge in Ihrem Abonnement wurde eine verdächtige Installation einer GPU-Erweiterung auf Ihrer VM erkannt. Angreifer könnten die GPU-Treibererweiterung verwenden, um GPU-Treiber über den Azure-Resource Manager auf Ihrer VM zu installieren, um Cryptojacking durchzuführen. | Niedrig | Wirkung |
Eine vollständige Liste der Warnungen finden Sie in der Referenztabelle für alle Sicherheitswarnungen in Microsoft Defender for Cloud.
Unterstützung für die Deaktivierung bestimmter Sicherheitsrisikobewertungen
9. Juli 2023
Freigabe der Unterstützung für die Deaktivierung von Sicherheitsrisikobewertungen für Ihre Containerregistrierungsimages oder ausgeführten Images als Teil des Containerstatus ohne Agent. Wenn in Ihrer Organisation eine Sicherheitsrisikobewertung ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung oder erzeugen kein unerwünschtes Rauschen.
Weitere Informationen zum Deaktivieren von Sicherheitsrisikobewertungen für Containerregistrierungsimages.
Datenfähiger Sicherheitsstatus jetzt allgemein verfügbar
1. Juli 2023
Der datenfähige Sicherheitsstatus in Microsoft Defender for Cloud ist jetzt allgemein verfügbar. Er hilft Kund*innen, das Datenrisiko zu reduzieren und auf Datenschutzverletzungen zu reagieren. Mithilfe des datenfähigen Sicherheitsstatus können Sie Folgendes ausführen:
- Ermitteln Sie vertrauliche Datenressourcen automatisch in mehreren Azure und AWS.
- Werten Sie die Datenvertraulichkeit, die Offenlegung von Daten und den Datenfluss in der Organisation aus.
- Decken Sie proaktiv und kontinuierlich Risiken auf, die zu Datenschutzverletzungen führen könnten.
- Erkennen Sie verdächtige Aktivitäten, die auf laufende Bedrohungen für vertrauliche Datenressourcen hinweisen könnten.
Weitere Informationen finden Sie unter Datenfähiger Sicherheitsstatus in Microsoft Defender for Cloud.
Juni 2023
Zu den Updates im Juni gehören:
Optimiertes Onboarding von Multicloudkonten mit erweiterten Einstellungen
26. Juni 2023
Defender for Cloud hat das Onboarding verbessert und enthält jetzt eine neue optimierte Benutzeroberfläche und Anweisungen sowie neue Funktionen, mit denen Sie Ihre AWS- und GCP-Umgebungen integrieren und gleichzeitig Zugriff auf erweiterte Onboardingfeatures bereitstellen können.
Für Organisationen, die Hashicorp Terraform für die Automatisierung eingeführt haben, bietet Defender for Cloud jetzt die Möglichkeit, Terraform als Bereitstellungsmethode zusammen mit AWS CloudFormation oder GCP Cloud Shell zu verwenden. Sie können jetzt die erforderlichen Rollennamen beim Erstellen der Integration anpassen. Außerdem steht Folgendes zur Auswahl:
Standardzugriff: Ermöglicht es Defender for Cloud, Ihre Ressourcen zu überprüfen, und enthält automatisch zukünftige Funktionen.
Zugriff mit den geringsten Rechten: Gewährt Defender for Cloud nur Zugriff auf die aktuellen Berechtigungen, die für die ausgewählten Pläne erforderlich sind.
Wenn Sie die Berechtigungen mit den geringsten Rechten auswählen, erhalten Sie nur Benachrichtigungen zu allen neuen Rollen und Berechtigungen, die erforderlich sind, um den vollständigen Funktionsumfang in Connectorintegrität zu erhalten.
Mit Defender for Cloud können Sie Ihre Cloudkonten anhand ihrer nativen Namen von den Cloudanbietern unterscheiden. Beispielsweise AWS-Kontoaliase und GCP-Projektnamen.
Unterstützung für private Endpunkte für das Malware Scanning in Defender for Storage
25. Juni 2023
Die Unterstützung privater Endpunkte ist jetzt als Teil der öffentlichen Vorschau von Malware Scanning in Defender for Storage verfügbar. Diese Funktion ermöglicht das Aktivieren von Malware Scanning für Speicherkonten, die private Endpunkte verwenden. Es ist keine weitere Konfiguration erforderlich.
Malware Scanning (Vorschau) in Defender for Storage hilft Ihnen, Ihre Speicherkonten vor schädlichen Inhalten zu schützen, indem eine vollständige Schadsoftwareüberprüfung für hochgeladene Inhalte nahezu in Echtzeit mithilfe von Microsoft Defender Antivirus-Funktionen durchgeführt wird. Diese Funktion wurde entwickelt, um Sicherheits- und Complianceanforderungen für die Verarbeitung von nicht vertrauenswürdigen Inhalten zu erfüllen. Die Funktion ist eine SaaS-Lösung ohne Agent, die eine einfache Einrichtung im großen Stil ohne Wartungsaufwand ermöglicht und die Automatisierung von Reaktionen im großen Stil unterstützt.
Private Endpunkte bieten sichere Konnektivität mit Ihren Azure Storage-Diensten und eliminieren die Exposition gegenüber dem öffentlichen Internet effektiv. Sie gelten als eine bewährte Sicherheitsmethode.
Für Speicherkonten mit privaten Endpunkten, für die Malware Scanning bereits aktiviert ist, müssen Sie den Plan mit Malware Scanning deaktivieren und wieder aktivieren, damit dies funktioniert.
Erfahren Sie mehr über die Verwendung privater Endpunkte in Defender for Storage und darüber, wie Sie Ihre Speicherdienste noch sicherer machen können.
Empfehlung für die Vorschau veröffentlicht: Ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management)
21. Juni 2023
Für die Vorschau wird eine neue Containerempfehlung in Defender CSPM veröffentlicht, die von Microsoft Defender Vulnerability Management unterstützt wird:
| Empfehlung | BESCHREIBUNG | Bewertungsschlüssel |
|---|---|---|
| Ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management)(Vorschau) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Diese neue Empfehlung soll die aktuelle Empfehlung mit dem gleichen Namen ersetzen, die von Qualys unterstützt wird, nur in Defender CSPM (ersetzt den Bewertungsschlüssel 41503391-efa5-47ee-9282-4eff6131462c).
Kontrollaktualisierungen an den NIST 800-53-Standards zur Einhaltung gesetzlicher Bestimmungen
15. Juni 2023
Die Standards NIST 800-53 (sowohl R4 als auch R5) wurden kürzlich mit Kontrolländerungen in Microsoft Defender for Cloud für die Einhaltung gesetzlicher Bestimmungen aktualisiert. Die von Microsoft verwalteten Kontrollen wurden aus dem Standard entfernt, und die Informationen zur Microsoft-Implementierung der Verantwortung (als Teil des Modells der gemeinsamen Verantwortung in der Cloud) sind jetzt nur im Bereich mit den Kontrolldetails unter Microsoft-Aktionen verfügbar.
Diese Kontrollen wurden zuvor als bestandene Kontrollen berechnet, so dass Sie zwischen April 2023 und Mai 2023 möglicherweise einen deutlichen Rückgang Ihrer Konformitätsbewertung für NIST-Standards feststellen werden.
Weitere Informationen zu Konformitätskontrollen finden Sie unter Tutorial: Überprüfungen der Einhaltung gesetzlicher Bestimmungen – Microsoft Defender for Cloud.
Die Planung der Cloudmigration mit einem Azure Migrate-Geschäftsszenario umfasst jetzt Defender for Cloud.
11. Juni 2023
Jetzt können Sie potenzielle Kosteneinsparungen bei der Sicherheit ermitteln, indem Sie Defender for Cloud im Kontext eines Azure Migrate-Geschäftsszenarios anwenden.
Die Expresskonfiguration für Sicherheitsrisikobewertungen in Defender for SQL ist jetzt allgemein verfügbar.
7. Juni 2023
Die Expresskonfiguration für Sicherheitsrisikobewertungen in Defender for SQL ist jetzt allgemein verfügbar. Die Express-Konfiguration bietet ein optimiertes Onboarding für SQL-Sicherheitsrisikobewertungen mithilfe einer 1-Klick-Konfiguration (oder eines API-Aufrufs). Es sind keine zusätzlichen Einstellungen oder Abhängigkeiten von verwalteten Speicherkonten erforderlich.
Weitere Informationen zu dieser Lösung finden Sie in diesem Blog.
Sie können die Unterschiede zwischen Expresskonfiguration und klassischer Konfiguration kennenlernen.
Vorhandene Azure DevOps-Connectors um weitere Bereiche ergänzt
6. Juni 2023
Defender for DevOps hat der ADO-Anwendung (Azure DevOps) die folgenden zusätzlichen Bereiche hinzugefügt:
Advanced Security-Verwaltung:
vso.advsec_manage. Dies ist erforderlich, damit Sie GitHub Advanced Security für ADO aktivieren, deaktivieren und verwalten können.Containerzuordnung:
vso.extension_manage,vso.gallery_manager; dies ist erforderlich, damit Sie die Decorator-Erweiterung für die ADO-Organisation freigeben können.
Nur Defender for DevOps-Neukund*innen, die versuchen, ADO-Ressourcen in Microsoft Defender for Cloud zu integrieren, sind von dieser Änderung betroffen.
Das direkte Onboarding (ohne Azure Arc) in Defender for Servers ist jetzt allgemein verfügbar.
5. Juni 2023
Bisher war Azure Arc für das Onboarding von Nicht-Azure-Servern in Defender for Servers erforderlich. Mit dem neuesten Release können Sie jedoch auch das Onboarding Ihrer lokalen Server in Defender for Servers durchführen, indem Sie nur den Microsoft Defender for Endpoint-Agent verwenden.
Diese neue Methode vereinfacht den Onboardingprozess für Kund*innen, die sich auf den Kernendpunktschutz konzentrieren, und ermöglicht es Ihnen, die nutzungsbasierte Abrechnung von Defender for Servers sowohl für Cloud- als auch für Nicht-Cloudressourcen zu nutzen. Die Option für direktes Onboarding über Defender for Endpoint ist jetzt verfügbar, wobei die Abrechnung für Computer, für die ein Onboarding durchgeführt wurde, ab dem 1. Juli beginnt.
Weitere Informationen finden Sie unter Verbinden von Nicht-Azure-Computern mit Microsoft Defender for Cloud mithilfe von Defender for Endpoint.
Ersetzen der Agent-basierten Ermittlung durch Ermittlung ohne Agent für Containerfunktionen in Defender CSPM
4. Juni 2023
Da in Defender CSPM Funktionen für Containerstatus ohne Agent verfügbar sind, sind die agentbasierten Ermittlungsfunktionen jetzt eingestellt worden. Wenn Sie derzeit Containerfunktionen innerhalb Defender CSPM verwenden, stellen Sie bitte sicher, dass die relevanten Erweiterungen aktiviert sind, um weiterhin containerbezogene Werte der neuen Funktionen ohne Agent zu erhalten, z. B. containerbezogene Angriffspfade, Erkenntnisse und Inventar. (Es kann bis zu 24 Stunden dauern, bis die Auswirkungen der Aktivierung der Erweiterungen angezeigt werden.)
Erfahren Sie mehr über den Containerstatus ohne Agent.
Mai 2023
Die Updates könnten folgende sein:
- Eine neue Warnung in Defender für Key Vault.
- Unterstützung für die agentlose Überprüfung von verschlüsselten Datenträgern in AWS.
- Änderungen an JIT(Just-In-Time)-Regelbenennungskonventionen in Defender für Cloud.
- Das Onboarding ausgewählter AWS-Regionen.
- Änderungen an Identitätsempfehlungen.
- Veraltete Standards im Compliance-Dashboard.
- Update von zwei Defender für DevOps-Empfehlungen, um Azure DevOps-Scanergebnisse einzuschließen.
- Neue Standardeinstellung für die Sicherheitsrisikobewertungslösung defender for Servers.
- Möglichkeit zum Herunterladen eines CSV-Berichts ihrer Abfrageergebnisse im CloudSicherheits-Explorer (Vorschau).
- Die Veröffentlichung der Sicherheitsrisikobewertung von Containern mit microsoft Defender Vulnerability Management.
- Die Umbenennung von Containerempfehlungen, die von Qualys unterstützt werden.
- Ein Update auf Defender für DevOps GitHub-Anwendung.
- Wechseln Sie zu Defender für DevOps Pull Request Anmerkungen in Azure DevOps-Repositorys, die jetzt Infrastruktur als Code falsch konfigurieren.
Neue Warnung in Defender für Key Vault
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktiken | Schweregrad |
|---|---|---|---|
| Ungewöhnlicher Zugriff auf den Schlüsseltresor von einer verdächtigen IP-Adresse (nicht von Microsoft oder extern) (KV_UnusualAccessSuspiciousIP) |
Ein Benutzer oder Dienstprinzipal hat in den letzten 24 Stunden von einer Nicht-Microsoft-IP-Adresse aus einen anomalen Zugriff auf Schlüsseltresore versucht. Dieses anomale Zugriffsmuster könnte eine legitime Aktivität sein. Dies könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Schlüsseltresor und den darin enthaltenen Geheimnissen zu verschaffen. Weitere Untersuchungen werden empfohlen. | Zugriff auf Anmeldeinformationen | Medium |
Informationen zu allen verfügbaren Warnungen finden Sie unter Warnungen für Azure Key Vault.
Überprüfung ohne Agent unterstützt jetzt verschlüsselte Datenträger in AWS
Die Überprüfung ohne Agent für virtuelle Computer unterstützt jetzt die Verarbeitung von Instanzen mit verschlüsselten Datenträgern in AWS mithilfe von kundenseitig und plattformseitig verwalteten Schlüsseln.
Dieser erweiterte Support erhöht die Abdeckung und Sichtbarkeit Ihrer Cloudumgebung, ohne dass sich dies auf Ihre ausgeführten Workloads auswirkt. Der Support für verschlüsselte Datenträger behält die gleiche Methode ohne Auswirkungen auf ausgeführte Instanzen bei.
- Für neue Kunden, die Überprüfungen ohne Agent in AWS aktivieren, ist die Abdeckung verschlüsselter Datenträger standardmäßig integriert und unterstützt.
- Für Bestandskund*innen, die bereits über einen AWS-Connector mit aktivierter Überprüfung ohne Agent verfügen, müssen Sie den CloudFormation-Stapel erneut auf Ihre integrierten AWS-Konten anwenden, um die neuen Berechtigungen zu aktualisieren und hinzuzufügen, die zum Verarbeiten verschlüsselter Datenträger erforderlich sind. Die aktualisierte CloudFormation-Vorlage enthält neue Zuweisungen, mit denen Defender for Cloud verschlüsselte Datenträger verarbeiten kann.
Erhalten Sie weitere Informationen zu den Berechtigungen, die zum Überprüfen von AWS-Instanzen verwendet werden.
So wenden Sie Ihren CloudFormation-Stapel erneut an:
- Wechseln Sie zu den Defender for Cloud-Umgebungseinstellungen, und öffnen Sie Ihren AWS-Connector.
- Navigieren Sie zur Registerkarte Zugriff konfigurieren.
- Wählen Sie Klicken Sie hier, um die CloudFormation-Vorlage herunterzuladen aus.
- Navigieren Sie zu Ihrer AWS-Umgebung, und wenden Sie die aktualisierte Vorlage an.
Erfahren Sie mehr über die Überprüfung ohne Agent und das Aktivieren von Überprüfungen ohne Agent in AWS.
Überarbeitete Namenskonventionen für JIT(Just-In-Time)-Regeln in Defender for Cloud
Wir haben die JIT(Just-In-Time)-Regeln überarbeitet, um sie an der Marke „Microsoft Defender for Cloud“ auszurichten. Wir haben die Namenskonventionen für Azure Firewall- und NSG(Netzwerksicherheitsgruppen)-Regeln geändert.
Die Änderungen sind wie folgt aufgeführt:
| Beschreibung | Alter Name | Neuer Name |
|---|---|---|
| JIT-Regelnamen (zulassen und verweigern) in NSG (Netzwerksicherheitsgruppe) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| JIT-Regelbeschreibungen in NSG | ASC-JIT-Netzwerkzugriffsregel | MDC-JIT-Netzwerkzugriffsregel |
| Namen der JIT-Firewallregelsammlung | ASC-JIT | MDC-JIT |
| Namen von JIT-Firewallregeln | ASC-JIT | MDC-JIT |
Weitere Informationen finden Sie unter Sichern Ihrer Verwaltungsports mit Just-in-Time-Zugriff.
Onboarding ausgewählter AWS-Regionen
Um Ihnen bei der Verwaltung Ihrer AWS CloudTrail-Kosten und Complianceanforderungen zu helfen, können Sie jetzt auswählen, welche AWS-Regionen beim Hinzufügen oder Bearbeiten eines Cloudconnectors überprüft werden sollen. Sie können jetzt ausgewählte bestimmte AWS-Regionen oder alle verfügbaren Regionen (Standard) überprüfen, wenn Sie Ihr AWS-Konto in Defender for Cloud integrieren. Weitere Informationen finden Sie unter Verbinden Ihrer AWS-Konten mit Microsoft Defender for Cloud.
Mehrere Änderungen an Identitätsempfehlungen
Die folgenden Empfehlungen werden jetzt für die Allgemeinheit veröffentlicht und ersetzen die V1-Empfehlungen, die jetzt veraltet sind.
Allgemeine Verfügbarkeit (GA)-Release der Identitätsempfehlungen V2
Mit der V2-Version von Identitätsempfehlungen werden die folgenden Verbesserungen eingeführt:
- Der Bereich der Überprüfung wurde erweitert, um alle Azure-Ressourcen und nicht nur Abonnements einzuschließen. Dadurch können Sicherheitsadministratoren Rollenzuweisungen pro Konto anzeigen.
- Bestimmte Konten können jetzt von der Auswertung ausgenommen werden. Beispielsweise können Konten für den Notfallzugriff oder Dienstkonten von Sicherheitsadministratoren ausgeschlossen werden.
- Die Überprüfungshäufigkeit wurde von 24 Stunden auf 12 Stunden erhöht, wodurch sichergestellt wird, dass die Identitätsempfehlungen aktueller und genauer sind.
Die folgenden Sicherheitsempfehlungen sind allgemein verfügbar und ersetzen die V1-Empfehlungen:
| Empfehlung | Bewertungsschlüssel |
|---|---|
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Veralterung von Identitätsempfehlungen V1
Die folgenden Sicherheitsempfehlungen sind jetzt veraltet:
| Empfehlung | Bewertungsschlüssel |
|---|---|
| MFA sollte für Konten mit Besitzerberechtigungen für Abonnements aktiviert werden. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| MFA sollte für Konten mit Schreibberechtigungen für Abonnements aktiviert werden. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| MFA sollte für Konten mit Leseberechtigungen für Abonnements aktiviert werden. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Externe Konten mit Besitzerberechtigungen sollten aus Abonnements entfernt werden. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Externe Konten mit Schreibberechtigungen sollten aus Abonnements entfernt werden. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Externe Konten mit Leseberechtigungen sollten aus Abonnements entfernt werden. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Veraltete Konten mit Besitzerberechtigungen sollten aus Abonnements entfernt werden. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Veraltete Konten müssen aus Abonnements entfernt werden. | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Es wird empfohlen, benutzerdefinierte Skripts, Workflows und Governanceregeln zu aktualisieren, damit sie den V2-Empfehlungen entsprechen.
Einstellung der Legacystandards im Compliance-Dashboard
Legacy-PCI-DSS v3.2.1 und Legacy-SOC-TSP wurden im Defender for Cloud-Compliance-Dashboard vollständig eingestellt und durch die Compliancestandards ersetzt, die auf der Initiative SOC 2 Typ 2 und PCI-DSS v4 basieren. Die Unterstützung des Standards / der Initiative PCI-DSS in Microsoft Azure, betrieben von 21Vianet wurde vollständig eingestellt.
Erfahren Sie mehr über das Anpassen der Gruppe von Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.
Zwei Defender for DevOps-Empfehlungen umfassen jetzt Azure DevOps-Überprüfungsergebnisse.
Defender for DevOps Code und IaC haben ihre Empfehlungsabdeckung in Microsoft Defender for Cloud erweitert, um Azure DevOps-Sicherheitsergebnisse für die folgenden beiden Empfehlungen einzubeziehen:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Bisher umfasste die Abdeckung für die Azure DevOps-Sicherheitsüberprüfung nur die Empfehlung für Geheimnisse.
Weitere Informationen zu Defender for DevOps
Neue Standardeinstellung für die Lösung zur Sicherheitsrisikobewertung in Defender for Servers
Lösungen zur Sicherheitsrisikobewertung (VA) sind unerlässlich, um Computer vor Cyberangriffen und Datenschutzverletzungen zu schützen.
Microsoft Defender Vulnerability Management ist jetzt als standardmäßige integrierte Lösung für alle Abonnements aktiviert, die von Defender für Server geschützt sind, die noch keine VA-Lösung ausgewählt haben.
Wenn für ein Abonnement eine VA-Lösung auf einem seiner virtuellen Computer aktiviert ist, werden keine Änderungen vorgenommen, und die Sicherheitsrisikoverwaltung von Microsoft Defender wird in Standard diesem Abonnement nicht standardmäßig aktiviert. Sie können eine VA-Lösung auf den verbleibenden VMs in Ihren Abonnements aktivieren.
Erfahren Sie, wie Sie Sicherheitsrisiken ermitteln und den Softwarebestand mit agentloser Überprüfung (Vorschau) erfassen.
Herunterladen eines CSV-Berichts der Abfrageergebnisse Ihres Cloudsicherheits-Explorers (Vorschau)
Defender for Cloud hat die Möglichkeit hinzugefügt, einen CSV-Bericht der Abfrageergebnisse Ihres Cloudsicherheits-Explorers herunterzuladen.
Nachdem Sie eine Suche nach einer Abfrage ausgeführt haben, können Sie auf der Seite Cloudsicherheits-Explorer in Defender for Cloud die Schaltfläche CSV-Bericht herunterladen (Vorschau) auswählen.
Informationen zum Erstellen von Abfragen mit dem Cloudsicherheits-Explorer
Die Veröffentlichung der Sicherheitsrisikobewertung von Containern mit microsoft Defender Vulnerability Management
Wir kündigen die Veröffentlichung der Sicherheitsrisikobewertung für Linux-Images in Azure-Containerregistrierungen an, die von Microsoft Defender Vulnerability Management in Defender CSPM unterstützt werden. Diese Version umfasst das tägliche Scannen von Images. Im Sicherheits-Explorer verwendete Ergebnisse und Angriffspfade basieren auf der Microsoft Defender-Sicherheitsrisikobewertung anstelle des Qualys-Scanners.
Die bestehende Empfehlung wird durch eine neue Empfehlung Container registry images should have vulnerability findings resolved ersetzt:
| Empfehlung | BESCHREIBUNG | Bewertungsschlüssel |
|---|---|---|
| Containerregistrierungsimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | dbd0cb49-b563-45e7-9724-889e799fa648 wird durch c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 ersetzt. |
Erfahren Sie mehr über den Haltungsstatus von Agentless-Containern in Defender CSPM.
Erfahren Sie mehr über microsoft Defender Vulnerability Management.
Umbenennung von Containerempfehlungen, die von Qualys unterstützt werden
Die aktuellen Containerempfehlungen in Defender for Containers werden wie folgt umbenannt:
| Empfehlung | BESCHREIBUNG | Bewertungsschlüssel |
|---|---|---|
| Sicherheitsrisiken bei Images für die Containerregistrierung sollten behoben werden (unterstützt von Qualys) | Die Sicherheitsrisikobewertung für Containerimages scannt Ihre Registrierung auf Sicherheitsrisiken und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Ausgeführte Containerimages sollten Sicherheitsrisikoergebnisse behoben haben (unterstützt von Qualys) | Die Sicherheitsrisikobewertung für Containerimages scannt Containerimages, die auf Ihren Kubernetes-Clustern ausgeführt werden, und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. | 41503391-efa5-47ee-9282-4eff6131462c |
GitHub-Anwendungsupdate für Defender for DevOps
Microsoft Defender for DevOps nimmt ständig Änderungen und Aktualisierungen vor, so dass Kunden von Defender for DevOps, die ihre GitHub-Umgebungen in Defender for Cloud eingebunden haben, Berechtigungen als Teil der in ihrer GitHub-Organisation bereitgestellten Anwendung zur Verfügung stellen müssen. Diese Berechtigungen sind notwendig, um sicherzustellen, dass alle Sicherheitsfunktionen von Defender for DevOps normal und ohne Probleme funktionieren.
Sie sollten die Berechtigungen so bald wie möglich aktualisieren, damit Sie weiterhin Zugriff auf alle verfügbaren Funktionen von Defender for DevOps haben.
Berechtigungen können auf zwei verschiedene Arten erteilt werden:
Wählen Sie in Ihrer Organisation GitHub Apps aus. Suchen Sie Ihre Organisation und wählen Sie Anforderung überprüfen aus.
Sie erhalten eine automatisierte E-Mail vom GitHub-Support. Wählen Sie in der E-Mail die Option Berechtigungsanforderung überprüfen, um diese Änderung zu akzeptieren oder abzulehnen.
Nachdem Sie eine dieser beiden Optionen gewählt haben, werden Sie zum Überprüfungsbildschirm weitergeleitet, wo Sie die Anforderung überprüfen sollten. Wählen Sie die Option Neue Berechtigungen annehmen, um die Anforderung zu genehmigen.
Wenn Sie Unterstützung beim Aktualisieren von Berechtigungen benötigen, können Sie eine Azure-Support Anforderung erstellen.
Sie können auch mehr über Defender for DevOps erfahren. Wenn für ein Abonnement eine VA-Lösung auf einem seiner virtuellen Computer aktiviert ist, werden keine Änderungen vorgenommen, und die Sicherheitsrisikoverwaltung von Microsoft Defender wird in Standard diesem Abonnement nicht standardmäßig aktiviert. Sie können eine VA-Lösung auf den verbleibenden VMs in Ihren Abonnements aktivieren.
Erfahren Sie, wie Sie Sicherheitsrisiken ermitteln und den Softwarebestand mit agentloser Überprüfung (Vorschau) erfassen.
Defender for DevOps-Pull Request-Anmerkungen in Azure DevOps-Repositorys enthalten jetzt Infrastructure-as-Code-Fehlkonfigurationen.
Defender for DevOps hat die Abdeckung von Pull-Anforderungen (PR) in Azure DevOps um Infrastructure-as-Code (IaC)-Fehlkonfigurationen erweitert, die in Azure Resource Manager- und Bicep-Vorlagen erkannt werden.
Entwickler können jetzt Anmerkungen für IaC-Fehlkonfigurationen direkt in ihren PRs anzeigen. Entwickler können auch kritische Sicherheitsprobleme beheben, bevor die Infrastruktur in Cloudworkloads bereitgestellt wird. Um die Wartung zu vereinfachen, werden den Entwicklern in jeder Anmerkung ein Schweregrad, eine Beschreibung der Fehlkonfiguration und Anweisungen zur Wartung angezeigt.
Zuvor umfasste die Abdeckung für Defender for DevOps PR-Anmerkungen in Azure DevOps nur Geheimnisse.
Erfahren Sie mehr über Defender for DevOps und Pull Request-Anmerkungen.
April 2023
Zu den Updates im April gehören:
- Containerstatus ohne Agent in Defender CSPM (Vorschau)
- Neue Vorschau der Unified Disk Encryption-Empfehlung
- Änderungen an der Empfehlung „Computer müssen sicher konfiguriert sein“
- Einstellung von Richtlinien zur Sprachüberwachung für App Service
- Neue Warnung in Defender for Resource Manager
- Drei Warnungen im Defender for Resource Manager-Plan wurden als veraltet gekennzeichnet
- Der automatische Export von Warnungen in den Log Analytics-Arbeitsbereich wurde als veraltet gekennzeichnet
- Einstellung und Verbesserung ausgewählter Warnungen für Windows- und Linux-Server
- Neue Empfehlungen zur Azure Active Directory-Authentifizierung für Azure Data Services
- Zwei Empfehlungen im Zusammenhang mit fehlenden Betriebssystemupdates wurden für GA veröffentlicht.
- Defender für APIs (Vorschau)
Containerstatus ohne Agent in Defender CSPM (Vorschau)
Die neuen Funktionen für den Containerstatus ohne Agent (Vorschau) sind als Teil des Defender CSPM(Cloud Security Posture Management)-Plans verfügbar.
Der Containerstatus ohne Agent ermöglicht es Sicherheitsteams, Sicherheitsrisiken in Containern und Kubernetes-Bereichen zu identifizieren. Ein Ansatz ohne Agent ermöglicht es Sicherheitsteams, Einblick in ihre Kubernetes- und Containerregistrierungen in SDLC und Runtime zu erhalten, wodurch die Reibung und der Speicherbedarf von Workloads verringert werden.
Der Containerstatus ohne Agent bietet Sicherheitsrisikobewertungen für Container, die es Sicherheitsteams in Kombination mit der Analyse des Angriffspfads ermöglichen, bestimmte Sicherheitsrisiken in Bezug auf Container zu priorisieren und näher zu betrachten. Sie können auch den Cloud-Sicherheits-Explorer verwenden, um Risiken aufzudecken und Erkenntnisse zum Containerstatus zu ermitteln, z. B. Ermittlung von Anwendungen, die anfällige Images ausführen oder im Internet verfügbar gemacht werden.
Weitere Informationen finden Sie unter Containerstatus ohne Agent (Vorschau).
Unified Disk Encryption-Empfehlung (Vorschau)
Es gibt neue Empfehlungen für die einheitliche Datenträgerverschlüsselung in der Vorschau.
Wndows virtual machines should enable Azure Disk Encryption or EncryptionAtHostLinux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Diese Empfehlungen ersetzen die EmpfehlungVirtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, die die Azure Disk Encryption erkannt hat, und die Richtlinie Virtual machines and virtual machine scale sets should have encryption at host enabled, die die EncryptionAtHost erkannt hat. ADE und EncryptionAtHost bieten eine vergleichbare Verschlüsselung bei der Testabdeckung, und es wird empfohlen, eine davon auf jedem virtuellen Computer zu aktivieren. Die neuen Empfehlungen erkennen, ob Azure Disk Encryption oder EncryptionAtHost aktiviert sind, und warnen nur, wenn keine aktiviert ist. Es wird ebenfalls gewarnt, wenn Azure Disk Encryption auf einigen, aber nicht auf allen Datenträgern eines virtuellen Computers aktiviert ist (diese Bedingung gilt nicht für EncryptionAtHost).
Die neuen Empfehlungen erfordern die Computerkonfiguration von Azure Automanage.
Diese Empfehlungen basieren auf den folgenden Richtlinien:
- (Vorschau) Virtuelle Windows-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren
- (Vorschau) Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren
Weitere Informationen finden Sie unter Azure Disk Encryption und EncryptionAtHost und wie Sie eine davon aktivieren.
Änderungen an der Empfehlung „Computer müssen sicher konfiguriert sein“
Die Empfehlung Machines should be configured securely wurde aktualisiert. Das Update verbessert die Leistung und Stabilität der Empfehlung und richtet die Erfahrung am allgemeinen Verhalten der Empfehlungen von Defender for Cloud aus.
Als Teil dieses Updates wurde die ID der Empfehlung von 181ac480-f7c4-544b-9865-11b8ffe87f47 in c476dc48-8110-4139-91af-c8d940896b98 geändert.
Auf Kundenseite ist keine Aktion erforderlich, und es gibt keine erwarteten Auswirkungen auf die Sicherheitsbewertung.
Einstellung von Richtlinien zur Sprachüberwachung für App Service
Die folgenden Richtlinien zur Sprachüberwachung für App Service wurden aufgrund dessen als veraltet gekennzeichnet, da sie falsch negative Ergebnisse generieren können und keine bessere Sicherheit bieten. Sie sollten immer sicherstellen, dass Sie eine Sprachversion ohne bekannte Sicherheitsrisiken verwenden.
| Richtlinienname | Richtlinien-ID |
|---|---|
| App Service-Apps, die Java verwenden, sollten die neueste „Java-Version“ verwenden | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| App Service-Apps, die Python verwenden, sollten die neueste „Python-Version“ verwenden | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Funktions-Apps, die Java verwenden, sollten die neueste „Java-Version“ verwenden | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Funktions-Apps, die Python verwenden, sollten die neueste „Python-Version“ verwenden | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| App Service-Apps, die PHP verwenden, sollten die neueste „PHP-Version“ verwenden | 7261b898-8a84-4db8-9e04-18527132abb3 |
Kunden können alternative integrierte Richtlinien verwenden, um jede angegebene Sprachversion für ihre App Services zu überwachen.
Diese Richtlinien sind nicht mehr in den integrierten Empfehlungen von Defender for Cloud verfügbar. Sie können sie als benutzerdefinierte Empfehlungen hinzufügen, um sie von Defender for Cloud überwachen zu lassen.
Neue Warnung in Defender for Resource Manager
Defender for Resource Manager liegt die folgende neue Warnung vor:
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktiken | severity |
|---|---|---|---|
| VORSCHAU – Verdächtige Erstellung von Compute-Ressourcen erkannt (ARM_SuspiciousComputeCreation) |
Microsoft Defender for Resource Manager identifiziert eine verdächtige Erstellung von Compute-Ressourcen in Ihrem Abonnement mithilfe von virtuellen Computern/Azure-Skalierungsgruppen. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können, indem sie bei Bedarf neue Ressourcen bereitstellen. Obwohl diese Aktivität legitim sein könnte, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um Cryptomining durchzuführen. Die Aktivität wird als verdächtig eingestuft, da die Skalierung der Compute-Ressourcen höher ist als zuvor im Abonnement beobachtet. Dies kann darauf hinweisen, dass der Prinzipal kompromittiert ist und mit böswilliger Absicht benutzt wird. |
Wirkung | Medium |
Sie können eine Liste aller für Resource Manager verfügbaren Warnungen anzeigen.
Drei Warnungen im Defender for Resource Manager-Plan wurden als veraltet gekennzeichnet
Die folgenden drei Warnungen im Defender for Resource Manager-Plan wurden als veraltet gekennzeichnet:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
In einem Szenario, in dem eine Aktivität von einer verdächtigen IP-Adresse erkannt wird, wird eine der folgenden Warnungen des Defender for Resource Manager-Plans angezeigt: Azure Resource Manager operation from suspicious IP address oder Azure Resource Manager operation from suspicious proxy IP address.
Der automatische Export von Warnungen in den Log Analytics-Arbeitsbereich wurde als veraltet gekennzeichnet
Defender for Cloud-Sicherheitswarnungen werden automatisch in einen standardmäßigen Log Analytics-Arbeitsbereich auf Ressourcenebene exportiert. Dies führt zu einem indeterministischen Verhalten, und daher wurde dieses Feature als veraltet gekennzeichnet.
Sie können stattdessen Ihre Sicherheitswarnungen mit dem Fortlaufenden Export in einen dedizierten Log Analytics-Arbeitsbereich exportieren.
Wenn Sie bereits den fortlaufenden Export Ihrer Warnungen in einen Log Analytics-Arbeitsbereich konfiguriert haben, ist keine weitere Aktion erforderlich.
Einstellung und Verbesserung ausgewählter Warnungen für Windows- und Linux-Server
Im Rahmen der Verbesserung der Qualität von Sicherheitswarnungen für Defender for Servers werden einige Warnungen für Windows- und Linux-Server ausgemustert. Die veralteten Warnungen werden jetzt über Defender for Endpoint-Bedrohungswarnungen bezogen und abgedeckt.
Wenn Sie die Integration von Defender for Endpoint bereits aktiviert haben, sind keine weiteren Maßnahmen erforderlich. Im April 2023 kann es zu einem Rückgang der Warnungsmenge kommen.
Wenn Sie die Integration von Defender for Endpoint in Defender for Servers nicht aktiviert haben, müssen Sie die Defender for Endpoint-Integration aktivieren, um Ihre Warnungsabdeckung aufrechtzuerhalten und zu verbessern.
Alle Defender for Servers-Kunden haben im Rahmen des Defender for Servers-Plans vollen Zugriff auf die Integration von Defender for Endpoint.
Sie können sich ausführlicher über die Optionen für das Onboarding von Microsoft Defender for Endpoint informieren.
Sie können auch die vollständige Liste der Warnungen anzeigen, die als veraltet festgelegt sind.
Lesen Sie den Microsoft Defender for Cloud-Blog.
Neue Empfehlungen zur Azure Active Directory-Authentifizierung für Azure Data Services
Wir haben vier neue Azure Active Directory-Authentifizierungsempfehlungen für Azure Data Services hinzugefügt.
| Name der Empfehlung | Beschreibung der Empfehlung | Policy |
|---|---|---|
| Der Authentifizierungsmodus von Azure SQL Managed Instance darf nur die Azure Active Directory-Authentifizierung sein. | Wenn Sie lokale Authentifizierungsmethoden deaktivieren und nur die Azure Active Directory-Authentifizierung zulassen, wird die Sicherheit erhöht, indem sichergestellt wird, dass auf Azure SQL Managed Instance ausschließlich von Azure Active Directory-Identitäten zugegriffen werden kann. | Für Azure SQL Managed Instance darf nur die Azure Active Directory-Authentifizierung aktiviert sein |
| Der Authentifizierungsmodus von Azure Synapse Workspace darf nur die Azure Active Directory-Authentifizierung sein. | Ausschließlich Azure Active Directory-Authentifizierungsmethoden verbessern die Sicherheit, indem sichergestellt wird, dass Synapse Workspaces ausschließlich Azure AD-Identitäten für die Authentifizierung erfordern. Weitere Informationen | Synapse-Arbeitsbereiche sollten nur Azure Active Directory-Identitäten für die Authentifizierung verwenden |
| Für Azure Database for MySQL muss ein Azure Active Directory-Administrator bereitgestellt werden. | Stellen Sie einen Azure AD-Administrator für Azure Database for MySQL bereit, um Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | Für MySQL Server-Instanzen sollte ein Azure Active Directory-Administrator bereitgestellt werden |
| Für Azure Database for PostgreSQL muss ein Azure Active Directory-Administrator bereitgestellt werden. | Stellen Sie einen Azure AD-Administrator für Azure Database for PostgreSQL bereit, um Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | Für PostgreSQL Server-Instanzen sollte ein Azure Active Directory-Administrator bereitgestellt werden |
Zwei Empfehlungen im Zusammenhang mit fehlenden Betriebssystemupdates wurden für GA veröffentlicht
Die Empfehlungen System updates should be installed on your machines (powered by Azure Update Manager) und Machines should be configured to periodically check for missing system updates wurden für die allgemeine Verfügbarkeit veröffentlicht.
Zur Verwendung der neuen Empfehlung müssen Sie die folgenden Schritte ausführen:
- Verbinden Sie Ihre Nicht-Azure-Computer mit Arc.
- Aktivieren Sie die Eigenschaft für die regelmäßige Bewertung. Sie können die Korrektur-Schaltfläche
in der neuen Empfehlung (
Machines should be configured to periodically check for missing system updates) verwenden, um die Empfehlung zu korrigieren.
Nach Abschluss dieser Schritte können Sie die alte Empfehlung (System updates should be installed on your machines) entfernen, indem Sie sie in der integrierten Initiative von Defender for Cloud in der Azure-Richtlinie deaktivieren.
Die beiden Versionen der Empfehlungen:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Beide werden verfügbar sein, bis der Log Analytics-Agent am 31. August 2024 veraltet ist. Dies ist der Zeitpunkt, an dem auch die ältere Version (System updates should be installed on your machines) der Empfehlung veraltet ist. Beide Empfehlungen geben die gleichen Ergebnisse zurück und stehen unter demselben Steuerelement Apply system updates zur Verfügung.
Die neue Empfehlung System updates should be installed on your machines (powered by Azure Update Manager) verfügt über einen Wartungsflow, der über die Schaltfläche „Korrigieren“ verfügbar ist. Mit dieser können alle Ergebnisse über den Update-Manager (Vorschau) behoben werden. Dieser Korrekturvorgang befindet sich noch in der Vorschauphase.
Es wird nicht erwartet, dass die neue Empfehlung System updates should be installed on your machines (powered by Azure Update Manager) Ihre Sicherheitsbewertung beeinflusst, da sie die gleichen Ergebnisse wie die alte Empfehlung System updates should be installed on your machines liefert.
Die erforderliche Empfehlung (Aktivieren Sie die Eigenschaft für die regelmäßige Bewertung) wirkt sich negativ auf Ihre Sicherheitsbewertung aus. Sie können den negativen Effekt mit der verfügbaren Korrektur-Schaltfläche beheben.
Defender für APIs (Vorschau)
Defender for Cloud von Microsoft kündigt an, dass das neue Defender für APIs in der Vorschau verfügbar ist.
Defender für APIs bietet vollständigen Lebenszyklusschutz, Erkennung und Antwortabdeckung für APIs.
Defender für APIs hilft Ihnen, Einblicke in unternehmenskritische APIs zu erhalten. Sie können den API-Sicherheitsstatus untersuchen und verbessern, Sicherheitskorrekturen priorisieren und aktive Echtzeitbedrohungen schnell erkennen.
Hier finden Sie weitere Informationen zu Defender für APIs.
März 2023
Zu den Updates im März gehören:
- Neuer Defender for Storage-Plan verfügbar, einschließlich Überprüfung auf Schadsoftware nahezu in Echtzeit und Bedrohungserkennung für vertrauliche Daten
- Datenfähiger Sicherheitsstatus (Vorschau)
- Verbesserte Erfahrung für die Verwaltung der Azure-Standardsicherheitsrichtlinien
- Defender for CSPM (Cloud Security Posture Management) ist jetzt allgemein verfügbar (GA)
- Option zum Erstellen benutzerdefinierter Empfehlungen und Sicherheitsstandards in Microsoft Defender for Cloud
- Microsoft Cloud Security Benchmark (MCSB) Version 1.0 jetzt allgemein verfügbar (GA)
- Einige Standards zur Einhaltung gesetzlicher Bestimmungen sind jetzt in Government-Clouds verfügbar
- Neue Vorschauempfehlung für Azure SQL Server
- Neue Warnung in Defender für Key Vault
Neuer Defender for Storage-Plan verfügbar, einschließlich Überprüfung auf Schadsoftware nahezu in Echtzeit und Bedrohungserkennung für vertrauliche Daten
Cloudspeicher spielt eine wichtige Rolle in der Organisation und speichert große Mengen wertvoller und vertraulicher Daten. Wir geben heute bekannt, dass es einen neuen Defender for Storage-Plan gibt. Wenn Sie den vorherigen Plan verwenden (jetzt umbenannt in „Defender for Storage (klassisch)“), müssen Sie proaktiv zum neuen Plan migrieren, um die neuen Features und Vorteile nutzen zu können.
Der neue Plan umfasst erweiterte Sicherheitsfunktionen zum Schutz vor böswilligen Dateiuploads, Exfiltration von vertraulichen Daten und Datenbeschädigung. Außerdem bietet er eine vorhersagbarere und flexiblere Preisstruktur für eine bessere Kontrolle über Abdeckung und Kosten.
Der neue Plan verfügt jetzt über neue Funktionen in der öffentlichen Vorschau:
Erkennen von Ereignissen zur Offenlegung und Exfiltration vertraulicher Daten
Überprüfung auf Schadsoftware beim Hochladen von Blobs nahezu in Echtzeit für alle Dateitypen
Erkennen von Entitäten ohne Identitäten mithilfe von SAS-Token
Diese Funktionen erweitern die vorhandene Aktivitätsüberwachungsfunktion, die auf der Protokollanalyse und Verhaltensmodellierung auf Steuerungs- und Datenebene basiert, um frühe Anzeichen von Sicherheitsverletzungen zu erkennen.
Alle diese Funktionen sind in einem neuen vorhersagbaren und flexiblen Preisplan verfügbar, der eine präzise Kontrolle über den Datenschutz auf Abonnement- und Ressourcenebene bietet.
Weitere Informationen finden Sie unter Übersicht zu Microsoft Defender for Storage.
Datenfähiger Sicherheitsstatus (Vorschau)
Microsoft Defender for Cloud hilft Sicherheitsteams dabei, Risiken besser zu reduzieren und auf Datenschutzverletzungen in der Cloud zu reagieren. Es ermöglicht ihnen, Stördaten mit Datenkontext zu reduzieren und die kritischsten Sicherheitsrisiken zu priorisieren, um kostspielige Datenverletzungen zu verhindern.
- Automatisches Ermitteln von Datenressourcen in der gesamten Cloudumgebung und Bewerten ihrer Zugänglichkeit, Datenvertraulichkeit und konfigurierten Datenflüsse. –Kontinuierliches Aufdecken von Risiken für Datenschutzverletzungen bei vertraulichen Datenressourcen, Offenlegung oder Angriffspfaden, die mithilfe einer Lateral-Movement-Technik zu einer Datenressource führen können.
- Erkennen Sie verdächtige Aktivitäten, die auf eine fortlaufende Bedrohung für vertrauliche Datenressourcen hinweisen könnten.
Erfahren Sie mehr über den datenfähigen Sicherheitsstatus.
Verbesserte Erfahrung für die Verwaltung der Azure-Standardsicherheitsrichtlinien
Wir führen eine verbesserte Azure-Sicherheitsrichtlinienverwaltung für integrierte Empfehlungen ein, die die Optimierung der Sicherheitsanforderungen für Defender for Cloud-Kunden vereinfacht. Die neue Benutzeroberfläche umfasst die folgenden neuen Funktionen:
- Eine einfache Schnittstelle ermöglicht eine bessere Leistung und Benutzererfahrung beim Verwalten von Standardsicherheitsrichtlinien in Defender for Cloud.
- Eine einzige Ansicht aller integrierten Sicherheitsempfehlungen, die von Microsoft Cloud Security Benchmark (ehemals Azure Security Benchmark) bereitgestellt werden. Empfehlungen sind in logische Gruppen unterteilt, sodass die abgedeckten Ressourcentypen und die Beziehung zwischen Parametern und Empfehlungen leichter zu verstehen sind.
- Neue Features wie Filter und Suche wurden hinzugefügt.
Erfahren Sie mehr über das Verwalten von Sicherheitsrichtlinien.
Lesen Sie den Microsoft Defender for Cloud-Blog.
Defender for CSPM (Cloud Security Posture Management) ist jetzt allgemein verfügbar (GA)
Wir geben bekannt, dass Defender CSPM jetzt allgemein verfügbar ist. Defender for CSPM bietet alle Dienste, die unter den grundlegenden CSPM-Funktionen verfügbar sind, und zusätzlich die folgenden Vorteile:
- Analyse des Angriffspfads und ARG-API: Die Analyse des Angriffspfads verwendet einen graphbasierten Algorithmus, der den Cloud-Sicherheitsgraphen überprüft, um Angriffspfade aufzudecken. Zudem werden Sie anhand von Empfehlungen darüber informiert, wie Sie Probleme am besten behandeln, um den Angriffspfad zu unterbrechen und ein erfolgreiches Eindringen zu verhindern. Sie können Angriffspfade auch programmgesteuert nutzen, indem Sie die ARG-API (Azure Resource Graph) abfragen. Erfahren Sie mehr über die Verwendung der Angriffspfadanalyse.
- Cloudsicherheits-Explorer: Mit dem Cloudsicherheits-Explorer können Sie graphbasierte Abfragen für den Cloudsicherheitsgraphen ausführen, um Sicherheitsrisiken in Ihren Multicloudumgebungen proaktiv zu identifizieren. Informieren Sie sich ausführlicher über den Cloudsicherheits-Explorer.
Erfahren Sie mehr über Defender CSPM.
Option zum Erstellen benutzerdefinierter Empfehlungen und Sicherheitsstandards in Microsoft Defender for Cloud
Microsoft Defender for Cloud bietet die Möglichkeit, mithilfe von KQL-Abfragen benutzerdefinierte Empfehlungen und Standards für AWS und GCP zu erstellen. Sie können einen Abfrage-Editor verwenden, um Abfragen für Ihre Daten zu erstellen und zu testen. Dieses Feature ist Teil des Defender CSPM-Plans (Cloud Security Posture Management). Erfahren Sie mehr über das Erstellen von benutzerdefinierten Empfehlungen und Standards.
Microsoft Cloud Security Benchmark (MCSB) Version 1.0 jetzt allgemein verfügbar (GA)
Microsoft Defender for Cloud gibt bekannt, dass Microsoft Cloud Security Benchmark (MCSB) Version 1.0 jetzt allgemein verfügbar (GA) ist.
Microsoft Cloud Security Benchmark (MCSB) Version 1.0 ersetzt Azure Security Benchmark (ASB) Version 3 als Defender for Cloud-Standardsicherheitsrichtlinie. MCSB Version 1.0 wird als vorgegebener Konformitätsstandard im Konformitätsdashboard angezeigt und ist standardmäßig für alle Defender for Cloud-Kund*innen aktiviert.
Sie können auch mehr darüber erfahren, wie Microsoft Cloud Security Benchmark (MCSB) Sie auf dem erfolgreichen Weg zur Cloudsicherheit unterstützt.
Informieren Sie sich ausführlicher über MCSB.
Einige Standards für die Einhaltung gesetzlicher Bestimmungen sind jetzt in Government-Clouds verfügbar
Wir aktualisieren diese Standards für Kund*innen in Azure Government und Microsoft Azure, betrieben von 21Vianet.
Azure Government:
Microsoft Azure, betrieben von 21Vianet:
Erfahren Sie mehr über das Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.
Neue Vorschauempfehlung für Azure SQL Server
Wir haben eine neue Empfehlung für Azure SQL Server hinzugefügt: Azure SQL Server authentication mode should be Azure Active Directory Only (Preview).
Die Empfehlung basiert auf der vorhandenen Richtlinie Azure SQL Database should have Azure Active Directory Only Authentication enabled
Diese Empfehlung deaktiviert lokale Authentifizierungsmethoden und lässt nur die Azure Active Directory-Authentifizierung zu, was die Sicherheit erhöht, indem sichergestellt wird, dass auf Azure SQL-Datenbank-Instanzen ausschließlich von Azure Active Directory-Identitäten zugegriffen werden kann.
Erfahren Sie mehr über das Erstellen eines Servers mit aktivierter reiner Azure AD-Authentifizierung in Azure SQL.
Neue Warnung in Defender für Key Vault
Defender für Key Vault liegt die folgende neue Warnung vor:
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktiken | severity |
|---|---|---|---|
| Zugriff auf einen Schlüsseltresor von einer verdächtigen IP-Adresse verweigert (KV_SuspiciousIPAccessDenied) |
Auf einen Schlüsseltresor ist ein erfolgloser Zugriffsversuch von einer IP-Adresse erfolgt, die von Microsoft Threat Intelligence als verdächtige IP-Adresse identifiziert wurde. Obwohl dieser Versuch nicht erfolgreich war, deutet dies darauf hin, dass Ihre Infrastruktur möglicherweise kompromittiert wurde. Weitere Untersuchungen werden empfohlen. | Zugriff auf Anmeldeinformationen | Niedrig |
Sie können eine Liste aller für Key Vault verfügbaren Warnungen anzeigen.
Februar 2023
Updates im Februar:
- Verbesserter Cloudsicherheits-Explorer
- Sicherheitsüberprüfungen von ausgeführten Linux-Images in Defender for Container sind jetzt allgemein verfügbar
- Ankündigung der Unterstützung für den AWS CIS 1.5.0-Compliancestandard
- Microsoft Defender for DevOps (Vorschau) jetzt in weiteren Regionen verfügbar
- Die integrierte Richtlinie „[Vorschau]: Privater Endpunkt muss für Key Vault konfiguriert werden.“ ist veraltet.
Verbesserter Cloudsicherheits-Explorer
Eine verbesserte Version des Cloudsicherheits-Explorers umfasst eine aktualisierte Benutzeroberfläche, die die Reibungsverluste bei Abfragen deutlich verringert. Außerdem wurden eine Möglichkeit zum Ausführen von Abfragen für mehrere Clouds und mehrere Ressourcen sowie eine eingebettete Dokumentation für jede Abfrageoption hinzugefügt.
Mit dem Cloudsicherheits-Explorer können Sie jetzt cloudabstrakte Abfragen ressourcenübergreifend ausführen. Sie können entweder die vordefinierten Abfragevorlagen oder die benutzerdefinierte Suche verwenden, um Filter zum Erstellen Ihrer Abfrage anzuwenden. Erfahren Sie mehr über das Verwalten des Cloudsicherheits-Explorers.
Sicherheitsüberprüfungen von ausgeführten Linux-Images in Defender for Container sind jetzt allgemein verfügbar
Defender for Container erkennt Sicherheitsrisiken in ausgeführten Containern. Sowohl Windows- als auch Linux-Container werden unterstützt.
Im August 2022 wurde diese Funktion in der Vorschauversion für Windows und Linux veröffentlicht. Diese Funktion wird jetzt für Linux allgemein verfügbar gemacht.
Wenn Sicherheitsrisiken erkannt werden, generiert Defender for Cloud die folgende Sicherheitsempfehlung mit einer Auflistung der Überprüfungsergebnisse: Für ausgeführte Containerimages müssen erkannte Sicherheitsrisiken behoben werden.
Informieren Sie sich ausführlicher über das Anzeigen von Sicherheitsrisiken für zurzeit ausgeführte Images.
Ankündigung der Unterstützung für den AWS CIS 1.5.0-Compliancestandard
Defender for Cloud unterstützt jetzt den Compliancestandard CIS Amazon Web Services Foundations v1.5.0. Der Standard kann Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen hinzugefügt werden. Er basiert auf den vorhandenen MDC-Angeboten für Multicloudempfehlungen und -standards.
Dieser neue Standard umfasst sowohl vorhandene als auch neue Empfehlungen, die die Abdeckung von Defender for Cloud auf neue AWS-Dienste und -Ressourcen erweitern.
Weitere Informationen finden Sie unter Verwalten von AWS-Bewertungen und -Standards.
Microsoft Defender for DevOps (Vorschau) jetzt in weiteren Regionen verfügbar
Die Vorschauversion von Microsoft Defender for DevOps wurde ausgedehnt und ist jetzt in den Regionen „Europa, Westen“ und „Australien, Osten“ verfügbar, wenn Sie Ihre Azure DevOps- und GitHub-Ressourcen integrieren.
Erfahren Sie mehr zu Microsoft Defender for DevOps.
Die integrierte Richtlinie „[Vorschau]: Privater Endpunkt muss für Key Vault konfiguriert werden.“ ist veraltet.
Die integrierte Richtlinie [Preview]: Private endpoint should be configured for Key Vault ist veraltet und wird durch die Richtlinie [Preview]: Azure Key Vaults should use private link ersetzt.
Erfahren Sie mehr über die Integration von Azure Key Vault in Azure Policy.
Januar 2023
Die Updates im Januar umfassen Folgendes:
- Auf die Komponente Endpoint Protection (Microsoft Defender for Endpoint) wird jetzt über die Seite „Einstellungen und Überwachung“ zugegriffen.
- Neue Version der Empfehlung zum Ermitteln fehlender Systemupdates (Vorschau)
- Bereinigen gelöschter Azure Arc-Computer in verbundenen AWS- und GCP-Konten
- Zulassen des fortlaufenden Exports in Event Hubs hinter einer Firewall
- Der Name der Sicherheitsbewertungskontrolle „Anwendungen mit erweiterten Netzwerklösungen von Azure schützen“ wurde geändert.
- Die Richtlinieneinstellungen der Sicherheitsrisikobewertung für SQL Server, bei denen eine E-Mail-Adresse zum Empfangen von Überprüfungsberichten enthalten sein muss, sind veraltet.
- Die Empfehlung zum Aktivieren von Diagnoseprotokollen für Virtual Machine Scale Sets ist veraltet.
Auf die Komponente Endpoint Protection (Microsoft Defender for Endpoint) wird jetzt über die Seite „Einstellungen und Überwachung“ zugegriffen.
Um auf den Endpunktschutz zuzugreifen, navigieren Sie zu Umgebungseinstellungen>Defender-Pläne>Einstellungen und Überwachung. Von hier aus können Sie Endpunktschutz auf Ein festlegen. Sie können auch die anderen Komponenten anzeigen, die verwaltet werden.
Hier erfahren Sie mehr über das Aktivieren von Microsoft Defender for Endpoint auf Ihren Servern mit Defender for Servers.
Neue Version der Empfehlung zum Ermitteln fehlender Systemupdates (Vorschau)
Sie benötigen nicht länger einen Agent auf Ihren Azure-VMs und Azure Arc-Computern, um sicherzustellen, dass die Computer über sämtliche neuesten Sicherheitsupdates bzw. kritischen Systemupdates verfügen.
Die neue Empfehlung für Systemupdates, System updates should be installed on your machines (powered by Azure Update Manager) im Steuerelement Apply system updates, basiert auf dem Update Manager (Vorschau). Bei der Empfehlung wird ein nativer Agent, der in jeder Azure-VM und in jedem Azure Arc-Computer eingebettet ist, statt eines installierten Agents verwendet. Über die schnelle Problembehebung in der neuen Empfehlung werden Sie zu einer einmaligen Installation der fehlenden Updates im Portal des Update Managers weitergeleitet.
Zur Verwendung der neuen Empfehlung müssen Sie die folgenden Schritte ausführen:
- Verbinden Sie Ihre Nicht-Azure-Computer mit Arc.
- Aktivieren Sie die Eigenschaft „Periodische Bewertung“. Sie können die schnelle Problembehebung in der neuen Empfehlung verwenden (
Machines should be configured to periodically check for missing system updates), um die Empfehlung zu beheben.
Die vorhandene Empfehlung „Auf Ihren Computern müssen Systemupdates installiert werden“, die auf dem Log Analytics-Agent basiert, steht weiterhin im selben Steuerelement zur Verfügung.
Bereinigen gelöschter Azure Arc-Computer in verbundenen AWS- und GCP-Konten
Ein Computer, der mit einem AWS- und GCP-Konto verbunden ist, das von Defender for Servers oder Defender for SQL auf Computern abgedeckt wird, wird in Defender for Cloud als Azure Arc-Computer dargestellt. Bis jetzt wurde dieser Computer beim Löschen aus dem AWS- oder GCP-Konto nicht aus dem Inventar gelöscht. Dies führt in Defender for Cloud zu unnötigen Azure Arc-Ressourcen, die gelöschte Computer darstellen.
Defender for Cloud löscht jetzt automatisch Azure Arc-Computer, wenn diese Computer im verbundenen AWS- oder GCP-Konto gelöscht werden.
Zulassen des fortlaufenden Exports in Event Hubs hinter einer Firewall
Sie können jetzt den fortlaufenden Export von Warnungen und Empfehlungen, die durch eine Azure-Firewall geschützt sind, als vertrauenswürdigen Dienst in Event Hubs aktivieren.
Sie können den fortlaufenden Export aktivieren, wenn die Warnungen oder Empfehlungen generiert werden. Sie können auch einen Zeitplan festlegen, um in regelmäßigen Abständen Momentaufnahmen aller neuen Daten zu senden.
Hier erfahren Sie, wie Sie den fortlaufenden Export in Event Hubs hinter einer Azure-Firewall aktivieren.
Der Name der Sicherheitsbewertungskontrolle „Anwendungen mit erweiterten Netzwerklösungen von Azure schützen“ wurde geändert.
Die Sicherheitsbewertungskontrolle Protect your applications with Azure advanced networking solutions wurde in Protect applications against DDoS attacks geändert.
Der aktualisierte Name wird in Azure Resource Graph (ARG), der API für Sicherheitsbewertungskontrollen und im Download CSV report angezeigt.
Die Richtlinieneinstellungen der Sicherheitsrisikobewertung für SQL Server, bei denen eine E-Mail-Adresse zum Empfangen von Überprüfungsberichten enthalten sein muss, sind veraltet.
Die Richtlinie Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports ist veraltet.
Der E-Mail-Bericht zur Sicherheitsrisikobewertung von Defender für SQL ist weiterhin verfügbar, und vorhandene E-Mail-Konfigurationen ändern sich nicht.
Die Empfehlung zum Aktivieren von Diagnoseprotokollen für Virtual Machine Scale Sets ist veraltet.
Die Empfehlung Diagnostic logs in Virtual Machine Scale Sets should be enabled ist veraltet.
Die zugehörige Richtliniendefinition ist auch für alle Standards als veraltet eingestuft, die im Dashboard zur Einhaltung gesetzlicher Bestimmungen angezeigt werden.
| Empfehlung | BESCHREIBUNG | severity |
|---|---|---|
| In Virtual Machine Scale Sets sollten Diagnoseprotokolle aktiviert sein. | Aktivieren Sie Protokolle, und bewahren Sie sie bis zu einem Jahr lang auf. Auf diese Weise können Sie zu Untersuchungszwecken vergangene Aktivitäten nachvollziehen, wenn ein Sicherheitsincident auftritt oder Ihr Netzwerk kompromittiert wird. | Niedrig |
Dezember 2022
Zu den Updates im Dezember gehören:
Ankündigung der Expresskonfiguration für die Sicherheitsrisikobewertung in Defender for SQL
Die Expresskonfiguration für die Sicherheitsrisikobewertung in Microsoft Defender for SQL bietet Sicherheitsteams eine optimierte Konfigurationsmöglichkeit für Azure SQL-Datenbanken und dedizierte SQL-Pools außerhalb von Synapse-Arbeitsbereichen.
Die Funktion zur Expresskonfiguration für die Sicherheitsrisikobewertung ermöglicht Sicherheitsteams Folgendes:
- Konfigurieren der Sicherheitsrisikobewertung in der Sicherheitskonfiguration der SQL-Ressource, ohne zusätzliche Einstellungen oder Abhängigkeiten von kundenseitig verwalteten Speicherkonten
- Sofortiges Hinzufügen von Überprüfungsergebnissen zu den Baselines, sodass sich der Status der Ergebnisse von ohne erneute Überprüfung der Datenbank von Fehlerhaft in Fehlerfrei ändert
- Hinzufügen mehrerer Regeln zu Baselines in einem Arbeitsschritt und Verwenden der neuesten Überprüfungsergebnisse
- Aktivieren der Sicherheitsrisikobewertung für alle Azure SQL Server-Instanzen, wenn Microsoft Defender auf Abonnementebene für Datenbanken aktiviert wird
Erfahren Sie mehr über die Sicherheitsrisikobewertung mit Defender for SQL.
November 2022
Updates im November:
- Schutz der Container in Ihrer GCP-Organisation mit Microsoft Defender for Containers
- Überprüfen des Defender for Containers-Schutzes mit Beispielwarnungen
- Governanceregeln im großen Maßstab (Vorschau)
- Die Funktion zum Erstellen benutzerdefinierter Bewertungen in AWS und GCP (Vorschau) ist veraltet.
- Die Empfehlung zum Konfigurieren von Warteschlangen für unzustellbare Nachrichten für Lambdafunktionen ist veraltet.
Schutz der Container in Ihrer GCP-Organisation mit Microsoft Defender for Containers
Ab sofort können Sie Defender for Containers für Ihre GCP-Umgebung aktivieren, um GKE-Standardcluster in einer gesamten GCP-Organisation zu schützen. Erstellen Sie einfach einen neuen GCP-Connector mit aktiviertem Defender for Containers, oder aktivieren Sie Defender for Containers für einen vorhandenen GCP-Connector auf Organisationsebene.
Erfahren Sie mehr über das Verbinden von GCP-Projekten und Organisationen mit Defender for Cloud.
Überprüfen des Defender for Containers-Schutzes mit Beispielwarnungen
Sie können jetzt Beispielwarnungen auch für den Plan „Defender for Containers“ erstellen. Die neuen Beispielwarnungen werden als Warnungen aus AKS, Clustern mit Arc-Verbindung, EKS- und GKE-Ressourcen mit unterschiedlichen Schweregraden und MITRE-Taktiken dargestellt. Sie können mithilfe dieser Beispielwarnungen Konfigurationen für Sicherheitswarnungen überprüfen, z. B. SIEM-Integrationen, Workflowautomatisierung und E-Mail-Benachrichtigungen.
Erfahren Sie mehr über die Warnungsüberprüfung.
Governanceregeln im großen Maßstab (Vorschau)
Wir freuen uns, die neue Funktionalität zur Anwendung von Governanceregeln im großen Maßstab (Vorschau) in Defender for Cloud ankündigen zu können.
Mit dieser neuen Funktion können Sicherheitsteams per Massenvorgang Governanceregeln für verschiedene Geltungsbereiche (Abonnements und Connectors) definieren. Sicherheitsteams können diese Aufgabe mithilfe von Verwaltungsbereichen wie beispielsweise Azure-Verwaltungsgruppen, AWS-Konten der obersten Ebene oder GCP-Organisationen ausführen.
Außerdem werden auf der Seite „Governanceregeln (Vorschau)“ alle verfügbaren Governanceregeln angezeigt, die in den Umgebungen der jeweiligen Organisation wirksam sind.
Erfahren Sie mehr über die neue Funktionalität für Governanceregeln im großen Stil.
Hinweis
Ab dem 1. Januar 2023 muss der Defender CSPM-Plan in Ihrem Abonnement oder Connector aktiviert sein, um die Vorteile der Governancefunktionen nutzen zu können.
Die Funktion zum Erstellen benutzerdefinierter Bewertungen in AWS und GCP (Vorschau) ist veraltet.
Die Previewfunktion zum Erstellen von benutzerdefinierten Bewertungen für AWS-Konten und GCP-Projekte ist veraltet.
Die Empfehlung zum Konfigurieren von Warteschlangen für unzustellbare Nachrichten für Lambdafunktionen ist veraltet.
Die Empfehlung Lambda functions should have a dead-letter queue configured ist veraltet.
| Empfehlung | BESCHREIBUNG | severity |
|---|---|---|
| Für Lambdafunktionen sollte eine Warteschlange für unzustellbare Nachrichten konfiguriert sein. | Diese Kontrolle überprüft, ob eine Lambdafunktion mit einer Warteschlange für unzustellbare Nachrichten konfiguriert ist. Die Kontrolle schlägt fehl, wenn die Lambdafunktion nicht mit einer Warteschlange für unzustellbare Nachrichten konfiguriert ist. Als Alternative zu einem Ziel bei Fehlern können Sie Ihre Funktion mit einer Warteschlange für unzustellbare Nachrichten konfigurieren, um verworfene Ereignisse zur weiteren Verarbeitung zu speichern. Eine Warteschlange für unzustellbare Nachrichten verhält sich genauso wie ein Ziel bei Fehlern. Sie wird verwendet, wenn ein Ereignis bei allen Verarbeitungsversuchen fehlschlägt oder abläuft, ohne verarbeitet zu werden. Mit einer Warteschlange für unzustellbare Nachrichten können Sie auf Fehler oder fehlgeschlagene Anforderungen an Ihre Lambdafunktion zurückblicken, um ungewöhnliches Verhalten zu debuggen oder zu identifizieren. Aus der Sicherheitsperspektive ist es wichtig zu verstehen, warum Ihre Funktion fehlgeschlagen ist, und sicherzustellen, dass Ihre Funktion keine Daten verliert oder deswegen die Datensicherheit gefährdet wird. Wenn Ihre Funktion zum Beispiel nicht mit einer zugrunde liegenden Ressource kommunizieren kann, kann dies ein Symptom für einen Denial-of-Service-Angriff (DoS) an anderer Stelle im Netzwerk sein. | Medium |
Oktober 2022
Updates im Oktober:
- Ankündigung der Microsoft Cloud Security Benchmark
- Angriffspfadanalyse und kontextbezogene Sicherheitsfunktionen in Defender for Cloud (Vorschau)
- Überprüfung ohne Agent für Azure- und AWS-Computer (Vorschau)
- Defender for DevOps (Vorschau)
- Dashboard für die Einhaltung gesetzlicher Bestimmungen unterstützt jetzt die manuelle Kontrollverwaltung und detaillierte Informationen zum Compliancestatus von Microsoft
- Die automatische Bereitstellung wird in Einstellungen & Überwachung umbenannt und verfügt über eine aktualisierte Oberfläche.
- Defender Cloud Security Posture Management (CSPM) (Vorschau)
- DIE MITRE ATT&CK Framework-Zuordnung ist jetzt auch für AWS- und GCP-Sicherheitsempfehlungen verfügbar.
- Defender for Containers unterstützt jetzt die Sicherheitsrisikobewertung für Elastic Container Registry (Vorschau)
Ankündigung der Microsoft Cloud Security Benchmark
Die Microsoft Cloud Security Benchmark (MCSB) ist ein neues Framework, das grundlegende Cloudsicherheitsprinzipien, die auf allgemeinen Branchenstandards und Complianceframeworks basieren, zusammen mit detaillierten technischen Anleitungen zur Implementierung dieser bewährten Methoden auf Cloudplattformen definiert. MCSB ersetzt die Azure Security Benchmark. MCSB stellt detaillierte Vorschriften zum Implementieren der jeweiligen cloudagnostischen Sicherheitsempfehlungen auf mehreren Clouddienstplattformen zur Verfügung (zunächst für Azure und AWS).
Sie können jetzt den Status Ihrer Cloudsicherheitscompliance cloudspezifisch in einem einzigen integrierten Dashboard überwachen. MCSB wird als standardmäßiger Compliancestandard angezeigt, wenn Sie zum Dashboard zur Einhaltung gesetzlicher Bestimmungen von Defender for Cloud navigieren.
Die Microsoft Cloud Security Benchmark wird automatisch Ihren Azure-Abonnements und AWS-Konten zugewiesen, wenn Sie ein Defender for Cloud-Onboarding durchführen.
Weitere Informationen zur Microsoft Cloud Security Benchmark.
Angriffspfadanalyse und kontextbezogene Sicherheitsfunktionen in Defender for Cloud (Vorschau)
Die neuen Funktionen für Cloudsicherheitsdiagramm, Angriffspfadanalyse und kontextbezogene Cloudsicherheit sind jetzt in Defender for Cloud in der Vorschau verfügbar.
Eine der größten Herausforderungen für Sicherheitsteams ist heutzutage die Anzahl von Sicherheitsproblemen, mit denen sie Tag für Tag konfrontiert werden. Es gibt sehr viele Sicherheitsprobleme, die gelöst werden müssen, und nie genug Ressourcen, um sie alle zu behandeln.
Die neuen Funktionen für Cloudsicherheitsdiagramm und Angriffspfadanalyse von Defender for Cloud bieten Sicherheitsteams die Möglichkeit, das Risiko hinter jedem Sicherheitsproblem zu bewerten. Sicherheitsteams können auch die Probleme mit dem höchsten Risiko ermitteln, die schnellstens behoben werden müssen. Defender for Cloud unterstützt Sicherheitsteams dabei, das Risiko einer folgenschweren Sicherheitsverletzung für ihre Umgebung möglichst effektiv zu reduzieren.
Weitere Informationen zu Cloudsicherheitsdiagramm, Angriffspfadanalyse und Cloudsicherheits-Explorer.
Überprüfung ohne Agent für Azure- und AWS-Computer (Vorschau)
Bis jetzt werden für die Statusbewertungen von Defender for Cloud für VMs agentbasierte Lösungen verwendet. Um Kunden dabei zu helfen, die Abdeckung zu maximieren und Probleme bei Onboarding und Verwaltung zu verringern, veröffentlichen wir eine agentlose Überprüfung für VMs als Vorschauversion.
Mit der Überprüfung ohne Agent für VMs erhalten Sie einen umfassenden Einblick in installierte Software und Software-CVEs. Sie profitieren von Transparenz, ohne sich um die Herausforderungen im Rahmen der Agenteninstallation und -wartung, die Anforderungen an die Netzwerkkonnektivität und die Auswirkungen auf die Leistung Ihrer Workloads kümmern zu müssen. Die Analyse wird von Microsoft Defender Vulnerability Management unterstützt.
Die agentlose Überprüfung auf Sicherheitsrisiken ist sowohl in Defender Cloud Security Posture Management (CSPM) als auch in Defender for Servers P2 mit nativer Unterstützung für AWS- und Azure-VMs verfügbar.
- Weitere Informationen zur agentlosen Überprüfung.
- Informationen zum Aktivieren der agentlosen Sicherheitsrisikobewertung.
Defender for DevOps (Vorschau)
Microsoft Defender for Cloud bietet umfassende Sichtbarkeit, Statusverwaltung und Bedrohungsschutz in Hybrid- und Multi-Cloud-Umgebungen wie Azure, AWS, Google und lokalen Ressourcen.
Der neue Defender for DevOps-Plan integriert ab sofort Quellcodeverwaltungssysteme wie GitHub und Azure DevOps in Defender for Cloud. Dank dieser neuen Integration sind Sicherheitsteams in der Lage, ihre Ressourcen vom Code bis zur Cloud zu schützen.
Mit Defender for DevOps erhalten Sie Einblicke in Ihre verbundenen Entwicklerumgebungen und Coderessourcen und können sie verwalten. Derzeit können Sie Azure DevOps- und GitHub-Systeme mit Defender for Cloud verbinden und DevOps-Repositorys in Inventory und die neue DevOps Security-Seite integrieren. Sicherheitsteams erhalten auf einer einheitlichen Seite zur DevOps-Sicherheit einen allgemeinen Überblick über die erkannten Sicherheitsprobleme.
Sie können Anmerkungen für Pullanforderungen konfigurieren, damit Entwickler geheime Überprüfungsergebnisse in Azure DevOps direkt in ihren Pull-Anforderungen adressieren können.
Sie können die Microsoft Security DevOps-Tools in Azure Pipelines und GitHub-Workflows konfigurieren, um die folgenden Sicherheitsüberprüfungen zu aktivieren:
| Name | Sprache | Lizenz |
|---|---|---|
| Bandit | Python | Apache License 2.0 |
| BinSkim | Binary – Windows, ELF | MIT-Lizenz |
| ESlint | JavaScript | MIT-Lizenz |
| CredScan (nur Azure DevOps) | Credential Scanner (auch bekannt als CredScan) ist ein Tool, das von Microsoft entwickelt und gepflegt wird, um nicht verschlüsselte Anmeldeinformationen zu ermitteln, z. B. in Quellcode und Konfigurationsdateien. Dazu gehören insbesondere Standardkennwörter, SQL-Verbindungszeichenfolgen und Zertifikate mit privaten Schlüsseln. | Nicht Open Source |
| Vorlagenanalyse | ARM-Vorlage, Bicep-Datei | MIT-Lizenz |
| Terrascan | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Apache License 2.0 |
| Trivy | Containerimages, Dateisysteme, Git-Repositorys | Apache License 2.0 |
Ab sofort stehen die folgenden neuen Empfehlungen für DevOps zur Verfügung:
| Empfehlung | BESCHREIBUNG | severity |
|---|---|---|
| (Vorschau) Für Coderepositorys müssen Ergebnisse des Codescannens aufgelöst werden | Defender für DevOps hat Sicherheitsrisiken in Coderepositorys gefunden. Um den Sicherheitsstatus der Repositorys zu verbessern, empfiehlt es sich dringend, diese Sicherheitsrisiken zu beheben. (Keine zugehörige Richtlinie) | Medium |
| (Vorschau) Für Coderepositorys müssen Ergebnisse des Geheimnisscannens aufgelöst werden | Defender für DevOps hat ein Geheimnis in Coderepositorys gefunden. Dies sollte sofort behoben werden, um eine Sicherheitsverletzung zu verhindern. In Repositorys gefundene Geheimnisse können nach außen dringen oder von Angreifern entdeckt werden, was zur Kompromittierung einer Anwendung oder eines Dienstes führen kann. Für Azure DevOps überprüft das Microsoft Security DevOps CredScan-Tool nur Builds, für die es zur Ausführung konfiguriert wurde. Daher spiegeln die Ergebnisse möglicherweise nicht den vollständigen Status von Geheimnissen in Ihren Repositorys wider. (Keine zugehörige Richtlinie) | High |
| (Vorschau) Für Coderepositorys müssen Ergebnisse des Dependabot-Scannens aufgelöst werden | Defender für DevOps hat Sicherheitsrisiken in Coderepositorys gefunden. Um den Sicherheitsstatus der Repositorys zu verbessern, empfiehlt es sich dringend, diese Sicherheitsrisiken zu beheben. (Keine zugehörige Richtlinie) | Medium |
| (Vorschau) Für Coderepositorys müssen Ergebnisse des Infrastructure-as-Code-Scannens aufgelöst werden | (Vorschau) Für Coderepositorys müssen Ergebnisse des Infrastructure-as-Code-Scannens aufgelöst werden | Medium |
| (Vorschau) Für GitHub-Repositorys muss das Codescannen aktiviert sein | GitHub verwendet das Codescannen, um Code zu analysieren und Sicherheitsrisiken und Fehler im Code zu finden. Mit dem Codescannen können Sie Korrekturen für vorhandene Probleme in Ihrem Code suchen, selektieren und priorisieren. Durch das Codescannen wird außerdem verhindert, dass Entwickler neue Probleme einführen. Für Überprüfungen können bestimmte Tage und Uhrzeiten festgelegt werden, oder Überprüfungen können ausgelöst werden, wenn im Repository ein bestimmtes Ereignis auftritt, z. B. ein Push. Wenn beim Codescannen ein potenzielles Sicherheitsrisiko oder ein Fehler im Code gefunden wird, zeigt GitHub eine Warnung im Repository an. Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts zu beeinträchtigen. (Keine zugehörige Richtlinie) | Medium |
| (Vorschau) Für GitHub-Repositorys muss das Geheimnisscannen aktiviert sein | GitHub durchsucht Repositorys nach bekannten Geheimnistypen, um die betrügerische Verwendung von Geheimnissen zu verhindern, die versehentlich in Repositorys committet wurden. Beim Geheimnisscannen wird der gesamte Git-Verlauf für alle Branches in Ihrem GitHub-Repository nach Geheimnissen durchsucht. Beispiele für Geheimnisse sind Token und private Schlüssel, die ein Dienstanbieter für die Authentifizierung ausstellen kann. Wenn ein Geheimnis in ein Repository eingefügt wird, kann jeder, der über Lesezugriff auf das Repository verfügt, das Geheimnis verwenden, um mit diesen Berechtigungen auf den externen Dienst zuzugreifen. Geheimnisse sollten in einem dedizierten, sicheren Speicherort außerhalb des Repositorys für das Projekt gespeichert werden. (Keine zugehörige Richtlinie) | High |
| (Vorschau) Für GitHub-Repositorys muss das Dependabot-Scannen aktiviert sein | GitHub sendet Dependabot-Warnungen, wenn Sicherheitsrisiken in Codeabhängigkeiten erkannt werden, die sich auf Repositorys auswirken. Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts oder anderer Projekte, die seinen Code verwenden, zu beeinträchtigen. Sicherheitsrisiken variieren im Hinblick auf Typ, Schweregrad und Angriffsmethode. Wenn Code von einem Paket abhängt, das eine Sicherheitslücke aufweist, kann diese anfällige Abhängigkeit eine Reihe von Problemen verursachen. (Keine zugehörige Richtlinie) | Medium |
Die Defender for DevOps-Empfehlungen ersetzen den veralteten Sicherheitsrisikoscanner für CI/CD-Workflows, der in Defender for Containers enthalten war.
Weitere Informationen zu Defender for DevOps.
Das Dashboard für die Einhaltung gesetzlicher Bestimmungen unterstützt jetzt die manuelle Kontrollverwaltung und detaillierte Informationen zum Compliancestatus von Microsoft
Das Compliance-Dashboard in Defender for Cloud ist ein wichtiges Tool für Kunden, mit dem sie ihren Compliancestatus feststellen und nachverfolgen können. Kunden können Umgebungen den Anforderungen vieler verschiedener Standards und Vorschriften entsprechend kontinuierlich überwachen.
Jetzt können Sie Ihren Konformitätsstatus vollständig verwalten, indem Sie operative und andere Kontrollen manuell nachweisen. Sie können jetzt die Einhaltung für Kontrollen nachweisen, die nicht automatisiert sind. Zusammen mit den automatisierten Bewertungen können Sie jetzt einen vollständigen Bericht für die Compliance innerhalb eines ausgewählten Bereichs generieren, in dem alle Kontrollen für einen bestimmten Standard berücksichtigt werden.
Darüber hinaus verfügen Sie mit umfassenderen Kontrollinformationen und ausführlicheren Details und Nachweisen für den Compliancestatus von Microsoft jetzt jederzeit über alle erforderlichen Informationen für Audits.
Einige neue Vorteile sind beispielsweise:
Manuelle Kundenaktionen bieten einen Mechanismus zum manuellen Nachweis der Einhaltung von nicht automatisierten Kontrollen. Dies umfasst die Möglichkeit, Nachweise zu verknüpfen sowie ein Compliancedatum und ein Ablaufdatum festzulegen.
Umfassendere Kontrolldetails für unterstützte Standards, die Microsoft-Aktionen und manuelle Kundenaktionen zusätzlich zu den bereits vorhandenen automatisierten Kundenaktionen veranschaulichen.
Microsoft-Aktionen transparente Informationen zum Compliancestatus von Microsoft, die Auditbewertungsverfahren, Testergebnisse und Microsoft-Reaktionen auf Abweichungen enthalten.
Complianceangebote ermöglichen eine zentrale Überprüfung von Azure-, Dynamics 365- und Power Platform-Produkte sowie der jeweiligen behördlichen Compliancezertifizierungen.
Weitere Informationen zur Verbesserung der Einhaltung gesetzlicher Bestimmungen mit Microsoft Defender for Cloud.
Die automatische Bereitstellung wird in Einstellungen & Überwachung umbenannt und verfügt über eine aktualisierte Oberfläche.
Wir haben die Seite "Autoprovisioning" in Einstellungen & Überwachung umbenannt.
Die automatische Bereitstellung war dafür vorgesehen, erforderliche Komponenten für die erweiterten Features und Funktionen von Defender for Cloud im großen Stil zu aktivieren. Um unsere erweiterten Funktionen besser zu unterstützen, wurden folgende Änderungen an der Benutzeroberfläche vorgenommen:
Die Seite „Pläne“ von Defender for Cloud umfasst jetzt folgende Funktionen:
- Wenn Sie einen Defender-Plan aktivieren, der Überwachungskomponenten erfordert, werden diese Komponenten für die automatische Bereitstellung mit Standardeinstellungen aktiviert. Diese Einstellungen können optional jederzeit bearbeitet werden.
- Auf der Seite „Pläne“ von Defender können Sie für jeden Defender-Plan auf die Einstellungen für die Überwachungskomponenten zugreifen.
- Auf der Seite „Pläne“ von Defender wird deutlich angezeigt, ob alle Überwachungskomponenten für die einzelnen Defender-Pläne vorhanden sind oder ob die Überwachungsabdeckung unvollständig ist.
Die Einstellungen & Monitoring-Seite:
- Jede Überwachungskomponente zeigt an, mit welchen Defender-Plänen sie verknüpft ist.
Weitere Informationen zur Verwaltung Ihrer Überwachungseinstellungen.
Defender Cloud Security Posture Management (CSPM)
Eine der wichtigsten Cloudsicherheitskomponenten von Microsoft Defender for Cloud ist Cloud Security Posture Management (CSPM). CSPM liefert Informationen zur Härtung, die Ihnen dabei helfen, Ihre Sicherheit effizient und effektiv zu verbessern. Darüber hinaus bietet CSPM auch Einblicke in Ihre aktuelle Sicherheitssituation.
Wir kündigen einen neuen Defender-Plan an: Defender CSPM. Dieser Plan verbessert die Sicherheitsfunktionen von Defender for Cloud und umfasst die folgenden neuen und erweiterten Features:
- Kontinuierliche Bewertung der Sicherheitskonfiguration Ihrer Cloudressourcen
- Sicherheitsempfehlungen zum Beheben von Fehlkonfigurationen und Schwachstellen
- Sicherheitsbewertung
- Governance
- Compliance
- Cloudsicherheitsdiagramm
- Analyse des Angriffspfads
- Überprüfung ohne Agent für Computer
Erfahren Sie mehr über den Defender CSPM-Plan.
DIE MITRE ATT&CK Framework-Zuordnung ist jetzt auch für AWS- und GCP-Sicherheitsempfehlungen verfügbar.
Für Sicherheitsanalysten ist es wichtig, die potenziellen Risiken zu identifizieren, die mit Sicherheitsempfehlungen verbunden sind, und die Angriffsvektoren zu verstehen, damit sie ihre Aufgaben effektiver priorisieren können.
Defender for Cloud erleichtert die Priorisierung, indem die Azure-, AWS- und GCP-Sicherheitsempfehlungen dem MITRE ATT&CK-Framework zugeordnet werden. Das MITRE ATT&CK-Framework ist eine global zugängliche Wissensdatenbank von Gegnertaktiken und Techniken basierend auf realen Beobachtungen, sodass Kunden die sichere Konfiguration ihrer Umgebungen stärken können.
Das MITRE ATT&CK-Framework ist auf drei Arten integriert:
- Empfehlungen Zuordnung zu MITRE ATT&CK Taktiken und Techniken.
- Abfragen von MITRE ATT&CK-Taktiken und -Techniken zu Empfehlungen mithilfe von Azure Resource Graph.
Defender for Containers unterstützt jetzt die Sicherheitsrisikobewertung für Elastic Container Registry (Vorschau)
Microsoft Defender for Containers ermöglicht jetzt die agentlose Überprüfung der Sicherheitsrisikobewertung für Elastic Container Registry (ECR) in Amazon AWS. Dadurch wird die Abdeckung für Multi-Cloud-Umgebungen erweitert, die auf dem früheren Release in diesem Jahr für erweiterten Bedrohungsschutz und Härtung der Kubernetes-Umgebung für AWS und Google GCP aufbauen. Das agentlose Modell erstellt AWS-Ressourcen in Ihren Konten, um Images ohne Extraktion der Images aus Ihren AWS-Konten und ohne Beeinflussung Ihrer Workload zu überprüfen.
Die agentlose Überprüfung der Sicherheitsrisikobewertung für Images in ECR-Repositorys ermöglicht eine Reduzierung der Angriffsfläche Ihrer containerisierten Ressourcen, indem Images kontinuierlich überprüft werden, um Sicherheitsrisiken von Containern zu ermitteln und zu verwalten. In diesem neuen Release überprüft Defender for Cloud Containerimages, nachdem sie in das Repository gepusht wurden, und bewertet die ECR-Containerimages in der Registrierung laufend neu. Die Ergebnisse sind in Microsoft Defender for Cloud als Empfehlungen verfügbar, und Sie können die integrierten automatisierten Workflows von Defender for Cloud verwenden, um Maßnahmen für die Ergebnisse zu ergreifen, z. B. Öffnen eines Tickets zum Beheben eines Sicherheitsrisikos mit hohem Schweregrad in einem Image.
Weitere Informationen zur Sicherheitsrisikobewertung für Amazon ECR-Images.
September 2022
Updates im September:
- Unterdrücken von Warnungen basierend auf Container- und Kubernetes-Entitäten
- Defender für Server unterstützt die Dateiintegritätsüberwachung mit Azure Monitor Agent
- Veraltung von Legacy-Bewertungs-APIs
- Zusätzliche Empfehlungen, die zur Identität hinzugefügt wurden
- Sicherheitswarnungen für Computer, die an mandantenübergreifende Log Analytics-Arbeitsbereiche berichten, wurden entfernt
Unterdrücken von Warnungen basierend auf Container- und Kubernetes-Entitäten
- Kubernetes-Namespace
- Kubernetes-Pod
- Kubernetes-Geheimnis
- Kubernetes-ServiceAccount
- Kubernetes-ReplicaSet
- StatefulSet von Kubernetes
- Kubernetes-Daemonset
- Kubernetes-Auftrag
- Kubernetes-CronJob
Erfahren Sie mehr über Regeln zur Unterdrückung von Warnungen.
Defender für Server unterstützt die Dateiintegritätsüberwachung mit Azure Monitor Agent
Die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) untersucht Dateien und Registrierungen von Betriebssystemen auf Änderungen, die auf einen Angriff hindeuten könnten.
FIM ist jetzt in einer neuen Version basierend auf Azure Monitor Agent (AMA) verfügbar, die Sie über Defender für Cloud bereitstellen können.
Erfahren Sie mehr über die Überwachung der Dateiintegrität mit dem Azure Monitor-Agent.
Veraltung von Legacy-Bewertungs-APIs
Die folgenden APIs wurden als veraltet markiert:
- Sicherheitsaufgaben
- Sicherheitsstatus
- Sicherheitszusammenfassungen
Diese drei APIs stellten alte Bewertungsformate bereit und werden durch die Assessments-APIs und SubAssessments-APIs ersetzt. Alle Daten, die von diesen Legacy-APIs bereitgestellt werden, sind auch in den neuen APIs verfügbar.
Zusätzliche Empfehlungen, die zur Identität hinzugefügt wurden
Defender for Cloud-Empfehlungen zur Verbesserung der Verwaltung von Benutzern und Konten.
Neue Empfehlungen
Das neue Release umfasst die folgenden Funktionen:
Erweiterter Auswertungsbereich: Die Abdeckung wurde verbessert, um Identitätskonten ohne Multi-Faktor-Authentifizierung (MFA) und externe Konten für Azure-Ressourcen (statt nur Abonnements) einzubeziehen, sodass Sicherheitsadministrator*innen Rollenzuweisungen pro Konto anzeigen können.
Verbessertes Aktualisierungsintervall: Die Identitätsempfehlungen weisen jetzt ein Aktualisierungsintervall von 12 Stunden auf.
Kontoausnahmefunktion: Defender für Cloud enthält viele Features, die Sie verwenden können, um Ihre Umgebung anzupassen und sicherzustellen, dass Ihre Sicherheitsbewertung die Sicherheitsprioritäten Ihrer Organisation widerspiegelt. Sie können beispielsweise Ressourcen und Empfehlungen aus Ihrer Sicherheitsbewertung ausschließen.
Mit diesem Update können Sie bestimmte Konten von der Auswertung mit den sechs in der folgenden Tabelle aufgeführten Empfehlungen ausnehmen.
In der Regel nehmen Sie Notfallkonten von MFA-Empfehlungen aus, da solche Konten häufig von den MFA-Anforderungen einer Organisation absichtlich ausgeschlossen werden. Sie verfügen unter Umständen über externe Konten, für die Sie den Zugriff zulassen möchten, für die MFA nicht aktiviert ist.
Tipp
Wenn Sie ein Konto ausgenommen haben, wird es nicht als fehlerhaft angezeigt. Es führt auch nicht dazu, dass ein Abonnement als fehlerhaft angezeigt wird.
Empfehlung Bewertungsschlüssel Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein 6240402e-f77c-46fa-9060-a7ce53997754 Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein c0cb17b2-0607-48a7-b0e0-903ed22de39b Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. 20606e75-05c4-48c0-9d97-add6daa2109a Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden 050ac097-3dda-4d24-ab6d-82568e7a50cf Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Obwohl in der Vorschau, werden die Empfehlungen neben den Empfehlungen angezeigt, die derzeit allgemein verfügbar sind.
Sicherheitswarnungen für Computer, die an mandantenübergreifende Log Analytics-Arbeitsbereiche berichten, wurden entfernt
Früher konnten Sie mit Defender for Cloud den Arbeitsbereich auswählen, dem Ihre Log Analytics-Agents Bericht erstatten. Wenn ein Computer zu einem Mandanten (Mandant A) gehörte, aber sein Log Analytics-Agent einem Arbeitsbereich in einem anderen Mandanten ("Mandant B") gemeldet hat, wurden Sicherheitswarnungen über den Computer an den ersten Mandanten (Mandant A) gemeldet.
Mit dieser Änderung werden Warnungen auf Computern, die mit dem Log Analytics-Arbeitsbereich in einem anderen Mandanten verbunden sind, nicht mehr in Defender for Cloud angezeigt.
Wenn Sie die Warnungen weiterhin in Defender for Cloud erhalten möchten, verbinden Sie den Log Analytics-Agent der relevanten Maschinen mit dem Arbeitsbereich im selben Mandanten wie die Maschine.
Erfahren Sie mehr über Sicherheitswarnungen.
August 2022
Updates im August:
- Sicherheitsanfälligkeiten bei zurzeit ausgeführten Images sind jetzt mit Microsoft Defender für Container in Ihren Windows-Containern sichtbar.
- Azure Monitor Agent-Integration jetzt in der Vorschau
- Veraltete VM-Warnungen bezüglich verdächtiger Aktivitäten im Zusammenhang mit einem Kubernetes-Cluster
Sicherheitsanfälligkeiten bei zurzeit ausgeführten Images sind jetzt mit Microsoft Defender für Container in Ihren Windows-Containern sichtbar.
Defender für Container zeigt jetzt Sicherheitsrisiken bei zurzeit ausgeführten Windows-Containern an.
Wenn Sicherheitsrisiken erkannt werden, generiert Defender für Cloud die folgende Sicherheitsempfehlung mit einer Auflistung der erkannten Probleme: Für ausgeführte Containerimages müssen erkannte Sicherheitsrisiken behoben werden.
Informieren Sie sich ausführlicher über das Anzeigen von Sicherheitsrisiken für zurzeit ausgeführte Images.
Azure Monitor Agent-Integration jetzt in der Vorschau
Defender für Cloud enthält jetzt Vorschauunterstützung für den Azure Monitor Agent (AMA). AMA soll den älteren Log Analytics-Agent (auch als Microsoft Monitoring Agent (MMA) bezeichnet) ersetzen, der zukünftig eingestellt wird. AMA bietet viele Vorteile gegenüber älteren Agents.
Wenn Sie in Defender for Cloud die automatische Bereitstellung für Azure Monitor-Agent (AMA) aktivieren, wird der Agent auf vorhandenen und neuen VMs und Computern mit Azure Arc-Unterstützung bereitgestellt, die in Ihren Abonnements erkannt werden. Wenn Defender für Cloud-Pläne aktiviert sind, sammelt AMA Konfigurationsinformationen und Ereignisprotokolle von Azure-VMs und Azure Arc-Computern. Die AMA-Integration befindet sich in der Vorschau. Daher empfehlen wir die Verwendung in Testumgebungen und nicht in Produktionsumgebungen.
Veraltete VM-Warnungen bezüglich verdächtiger Aktivitäten im Zusammenhang mit einem Kubernetes-Cluster
In der folgenden Tabelle sind die Warnungen aufgeführt, die eingestellt wurden:
| Warnungsname | BESCHREIBUNG | Taktik | Schweregrad |
|---|---|---|---|
| Erkannter Docker-Buildvorgang auf einem Kubernetes-Knoten (VM_ImageBuildOnNode) |
Computerprotokolle zeigen einen Buildvorgang eines Containerimages auf einem Kubernetes-Knoten an. Obwohl dieses Verhalten legitim sein kann, können Angreifer ihre schädlichen Images lokal erstellen, um die Erkennung zu vermeiden. | Umgehen von Verteidigungsmaßnahmen | Niedrig |
| Suspicious request to Kubernetes API (Verdächtige Anforderung an Kubernetes-API) (VM_KubernetesAPI) |
Die Computerprotokolle enthalten einen Hinweis darauf, dass eine verdächtige Anforderung an die Kubernetes-API gesendet wurde. Die Anforderung wurde von einem Kubernetes-Knoten gesendet – unter Umständen von einem der Container, die auf dem Knoten ausgeführt werden. Dieses Verhalten kann zwar beabsichtigt sein, aber es ist ggf. auch ein Hinweis darauf, dass auf dem Knoten ein kompromittierter Container ausgeführt wird. | LateralMovement | Medium |
| SSH server is running inside a container (SSH-Server wird in einem Container ausgeführt) (VM_ContainerSSH) |
Die Computerprotokolle enthalten einen Hinweis darauf, dass ein SSH-Server in einem Docker-Container ausgeführt wird. Dieses Verhalten kann zwar beabsichtigt sein, aber es ist häufig auch ein Hinweis darauf, dass ein Container falsch konfiguriert oder kompromittiert wurde. | Ausführung | Medium |
Diese Warnungen werden verwendet, um einen Benutzer über verdächtige Aktivitäten im Zusammenhang mit einem Kubernetes-Cluster zu informieren. Die Warnungen werden durch entsprechende Warnungen aus der Auswahl der Microsoft Defender für Cloud Container-Warnungen (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI und K8S.NODE_ ContainerSSH) ersetzt. Dadurch wird eine verbesserte Genauigkeit erreicht und ein umfassender Kontext bereitgestellt, um die Warnungen zu untersuchen und darauf zu reagieren. Erfahren Sie mehr über Warnungen für Kubernetes-Cluster.
Containersicherheitsrisiken enthalten jetzt detaillierte Paketinformationen
Die Sicherheitsrisikobewertung (Vulnerability Assessment, VA) von Defender für Container enthält jetzt detaillierte Paketinformationen für jedes Ergebnis, einschließlich: Paketname, Pakettyp, Pfad, installierte Version und korrigierte Version. Mit den Paketinformationen können Sie anfällige Pakete finden, sodass Sie das Sicherheitsrisiko beheben oder das Paket entfernen können.
Diese detaillierten Paketinformationen sind für neue Scans von Images verfügbar.
Juli 2022
Zu den Updates im Juli gehören:
- Allgemeine Verfügbarkeit (GA) des Cloud-nativen Sicherheitsagents für Kubernetes-Runtimeschutz
- Die VA von Defender for Container fügt Unterstützung für die Erkennung sprachspezifischer Pakete hinzu (Vorschau)
- Schutz vor dem Operations Management Infrastructure-Sicherheitsrisiko CVE-2022-29149
- Integration mit der Berechtigungsverwaltung von Entra
- Key Vault-Empfehlungen zu „Überwachen“ geändert
- Veraltete API-App-Richtlinien für App Service
Allgemeine Verfügbarkeit (General Availability, GA) des cloudnativen Sicherheitsagents für Kubernetes-Runtimeschutz
Wir freuen uns, dass der cloudnative Sicherheitsagent für Kubernetes-Runtimeschutz jetzt allgemein verfügbar ist (GA)!
Die Produktionsbereitstellungen von Kubernetes-Clustern wachsen weiterhin, da Kunden weiterhin ihre Anwendungen containern. Um dieses Wachstum zu unterstützen, hat das Microsoft Defender für Container-Team einen Cloud-nativen Kubernetes-orientierten Sicherheitsagent entwickelt.
Der neue Sicherheitsagent ist ein Kubernetes DaemonSet, basierend auf der eBPF-Technologie und ist vollständig in AKS-Cluster im Rahmen des AKS-Sicherheitsprofils integriert.
Die Aktivierung des Sicherheits-Agents ist über die automatische Bereitstellung, den Empfehlungsflow, den AKS-RP oder im großen Stil über Azure Policy verfügbar.
Sie können den Defender-Agent heute auf Ihren AKS-Clustern bereitstellen.
Mit dieser Ankündigung ist der Runtimeschutz – Bedrohungserkennung (Workload) jetzt auch allgemein verfügbar.
Erfahren Sie mehr über die Verfügbarkeit der Features von Defender für Container.
Sie können auch alle verfügbaren Warnungen überprüfen.
Beachten Sie: Wenn Sie die Vorschauversion verwenden, ist das AKS-AzureDefender Feature-Flag nicht mehr erforderlich.
Die VA von Defender for Container fügt Unterstützung für die Erkennung sprachspezifischer Pakete hinzu (Vorschau)
Die Schwachstellenanalyse (VA) von Defender for Container ist in der Lage, Schwachstellen in Betriebssystempaketen zu erkennen, die über den Betriebssystempaket-Manager bereitgestellt werden. Wir haben jetzt die Fähigkeiten von VA erweitert, um Schwachstellen zu erkennen, die in sprachspezifischen Paketen enthalten sind.
Dieses Feature ist in der Vorschauversion und nur für Linux-Images verfügbar.
Um alle enthaltenen sprachspezifischen Pakete anzuzeigen, die hinzugefügt wurden, sehen Sie sich die vollständige Liste der Funktionen und deren Verfügbarkeit von Defender for Container an.
Schutz vor dem Operations Management Infrastructure-Sicherheitsrisiko CVE-2022-29149
Operations Management Infrastructure (OMI) ist eine Sammlung von cloudbasierten Diensten für die Verwaltung von lokalen und Cloud-Umgebungen von einem einzigen Ort aus. Statt lokale Ressourcen bereitzustellen und zu verwalten, werden OMI-Komponenten vollständig in Azure gehostet.
In Azure HDInsight integriertes Log Analytics mit OMI, Version 13, erfordert einen Patch zur Behebung von CVE-2022-29149. Lesen Sie den Bericht über diese Sicherheitsanfälligkeit im Handbuch zu Microsoft-Sicherheitsupdates, um Informationen darüber zu erhalten, wie Sie Ressourcen identifizieren können, die von dieser Sicherheitsanfälligkeit betroffen sind, und Schritte zur Behebung.
Wenn Sie Defender for Servers mit aktivierter Schwachstellenbewertung haben, können Sie diese Arbeitsmappe verwenden, um betroffene Ressourcen zu identifizieren.
Integration mit der Berechtigungsverwaltung von Entra
Defender for Cloud ist in Microsoft Entra Permissions Managementintegriert, eine Cloud Infrastructure Berechtigungsverwaltung (CIEM)-Lösung, die umfassende Transparenz und Kontrolle über Berechtigungen für jede Identität und jede Ressource in Azure, AWS und GCP bietet.
Jedes Azure-Abonnement, AWS-Konto und GCP-Projekt, das Sie integrieren, zeigt Ihnen jetzt eine Ansicht Ihres Permission Creep Index (PCI).
Erfahren Sie mehr über Entra Permission Management (früher Cloudknox)
Key Vault-Empfehlungen zu „Überwachen“ geändert
Der Effekt für die hier aufgeführten Key Vault-Empfehlungen wurde in „Audit“ geändert:
| Name der Empfehlung | Empfehlungs-ID |
|---|---|
| Gültigkeitszeitraum für in Azure Key Vault gespeicherte Zertifikate sollte zwölf Monate nicht überschreiten | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. | 14257785-9437-97fa-11ae-898cfb24302b |
| Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Veraltete API-App-Richtlinien für App Service
Wir haben die folgenden Richtlinien zu entsprechenden Richtlinien verworfen, die bereits vorhanden sind, um API-Apps einzuschließen:
| In Kürze als veraltet eingestuft | Ändern in |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Juni 2022
Zu den Updates im Juni gehören:
- Allgemeine Verfügbarkeit (GA) für Microsoft Defender für Azure Cosmos DB
- Allgemeine Verfügbarkeit (GA) von Defender für SQL auf Maschinen für AWS- und GCP-Umgebungen
- Vorantreiben der Umsetzung von Sicherheitsempfehlungen, um Ihre Sicherheitslage zu verbessern
- Sicherheitswarnungen nach IP-Adresse filtern
- Warnmeldungen nach Ressourcengruppe
- Automatische Bereitstellung der einheitlichen Microsoft Defender for Endpoint-Lösung
- Veraltete Richtlinie „API-App sollte nur über HTTPS zugänglich sein“
- Neue Key Vault-Warnungen
Allgemeine Verfügbarkeit (GA) für Microsoft Defender für Azure Cosmos DB
Microsoft Defender für Azure Cosmos DB ist jetzt allgemein verfügbar (GA) und unterstützt SQL (Core) API Kontotypen.
Diese neue Version von GA ist Teil der Microsoft Defender für Cloud-Datenbankschutz-Suite, die verschiedene Typen von SQL-Datenbanken und MariaDB umfasst. Microsoft Defender für Azure Cosmos DB ist eine in Azure native Sicherheitsebene, die Exploit-Versuche in Datenbanken in Ihren Azure Cosmos DB-Konten erkennt.
Wenn Sie diesen Plan aktivieren, werden Sie auf potenzielle SQL-Eingriffe, bekannte bösartige Akteure, verdächtige Zugriffsmuster und potenzielle Erkundungen Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider aufmerksam gemacht.
Bei Erkennung von potenziell schädlichen Aktivitäten werden Sicherheitswarnungen generiert. Diese Warnungen enthalten Angaben zu verdächtigen Aktivitäten zusammen mit den entsprechenden Untersuchungsschritten, Abhilfemaßnahmen und Sicherheitsempfehlungen.
Microsoft Defender für Azure Cosmos DB analysiert kontinuierlich den von den Azure Cosmos DB-Diensten erzeugten Telemetrie-Strom und gleicht ihn mit Microsoft Threat Intelligence und Verhaltensmodellen ab, um verdächtige Aktivitäten zu erkennen. Defender für Azure Cosmos DB greift nicht auf die Kontodaten von Azure Cosmos DB zu und hat keine Auswirkungen auf die Leistung Ihrer Datenbank.
Informieren Sie sich genauer über Microsoft Defender für Azure Cosmos DB.
Mit dem Zusätzlichen Support für Azure Cosmos DB bietet Defender für Cloud jetzt eins der umfassendsten Arbeitslastschutzangebote für cloudbasierte Datenbanken. Sicherheitsteams und Datenbankbesitzer können jetzt die Datenbanksicherheit ihrer Umgebungen zentral verwalten.
Erfahren Sie, wie Sie in Ihren Datenbanken Datenschutz aktivieren können.
Allgemeine Verfügbarkeit (GA) von Defender für SQL auf Maschinen für AWS- und GCP-Umgebungen
Die Datenbankschutzfunktionen von Microsoft Defender für Cloud bieten zusätzliche Unterstützung für Ihre SQL-Server, die entweder in AWS- oder GCP-Umgebungen gehostet werden.
Defender für SQL, jetzt können Unternehmen ihren gesamten Datenbankbestand schützen, der in Azure, AWS, GCP und auf lokalen Rechnern gehostet wird.
Microsoft Defender für SQL bietet eine einheitliche Multicloud-Erfahrung, um Sicherheitsempfehlungen, Sicherheitswarnungen und Bewertungen von Sicherheitsrisiken sowohl für den SQL-Server als auch für das zugrunde liegende Windows-Betriebssystem anzuzeigen.
Mit der Multicloud-Onboarding-Erfahrung können Sie den Datenbankschutz für SQL-Server, die auf AWS EC2, RDS Custom für SQL Server und GCP Compute Engine laufen, aktivieren und durchsetzen. Sobald Sie einen dieser Pläne aktiviert haben, sind alle unterstützten Ressourcen, die innerhalb des Abonnements vorhanden sind, geschützt. Zukünftige Ressourcen, die unter demselben Abonnement erstellt werden, werden ebenfalls geschützt.
Erfahren Sie, wie Sie Ihre AWS-Umgebung und GCP-Organisation mit Microsoft Defender für Cloud schützen und verbinden können.
Vorantreiben der Umsetzung von Sicherheitsempfehlungen, um Ihre Sicherheitslage zu verbessern
Die zunehmenden Bedrohungen, denen Unternehmen heute ausgesetzt sind, bringen das Sicherheitspersonal an seine Grenzen, wenn es darum geht, die wachsenden Arbeitsauslastung zu schützen. Sicherheitsteams sind gefordert, die in ihren Sicherheitsrichtlinien definierten Schutzmaßnahmen umzusetzen.
Dank der Governance-Erfahrung in der Vorschauphase können die Sicherheitsteams nun die Behebung von Sicherheitsempfehlungen den Ressourceneigentümern zuweisen und einen Zeitplan für die Behebung verlangen. Sie haben volle Transparenz über den Fortschritt der Abhilfe und werden benachrichtigt, wenn Aufgaben überfällig sind.
Informieren Sie sich über Governance-Erfahrung in Bringen Sie Ihr Unternehmen dazu, Sicherheitsprobleme mit Empfehlungen für Governance zu beheben.
Sicherheitswarnungen nach IP-Adresse filtern
In vielen Fällen von Angriffen ist es sinnvoll, Sicherheitswarnungen auf der Grundlage der IP-Adresse des an dem Angriff beteiligten Unternehmens zu verfolgen. Bisher erschien die IP nur im Abschnitt "Verwandte Entitäten" im einzelnen Benachrichtigungsfenster. Jetzt können Sie die Warnungen auf der Seite „Sicherheitswarnungen“ filtern, um die Warnungen im Zusammenhang mit der IP-Adresse anzuzeigen, und Sie können nach einer bestimmten IP-Adresse suchen.
Warnmeldungen nach Ressourcengruppe
Die Seite „Sicherheitswarnungen“ wurde um die Möglichkeit erweitert, nach Ressourcengruppen zu filtern, zu sortieren und zu gruppieren.
Dem Warnungsraster wurde eine Spalte „Ressourcengruppe“ hinzugefügt.
Ein neuer Filter wurde hinzugefügt, mit dem Sie alle Warnungen für bestimmte Ressourcengruppen anzeigen können.
Sie können jetzt auch Ihre Warnungen nach Ressourcengruppe gruppieren, um alle Ihre Warnungen für jede Ihrer Ressourcengruppen anzuzeigen.
Automatische Bereitstellung der einheitlichen Microsoft Defender for Endpoint-Lösung
Bisher beinhaltete die Integration mit Microsoft Defender für Endpunkt (MDE) die automatische Installation der neuen MDE einheitliche Lösung für Computer (Azure-Abonnements und Multicloud-Konnektoren) mit aktiviertem Defender für Servers Plan 1 und für Multicloud-Konnektoren mit aktiviertem Defender für Servers Plan 2. Plan 2 für Azure-Abonnements ermöglichte die einheitliche Lösung nur für Linux-Rechner und Windows 2019 und 2022 Server. Windows Server 2012R2 und 2016 verwendeten die MDE-Legacy-Lösung, die vom Log Analytics-Agent abhängig ist.
Jetzt ist die neue einheitliche Lösung für alle Computer in beiden Plänen – sowohl für Azure-Abonnements als auch für Multicloud-Connectors – verfügbar. Für Azure-Abonnements mit Server-Plan 2, die die MDE-Integration nach dem 20. Juni 2022 aktiviert haben, ist die vereinheitlichte Lösung standardmäßig für alle Computer aktiviert. Azure-Abonnements mit dem Defender for Servers-Plan 2, der mit der MDE-Integration vor dem 20. Juni 2022 aktiviert wurde, können jetzt die Installation der vereinheitlichten Lösung für Windows Server 2012R2 und 2016 über die entsprechende Schaltfläche auf der Seite Integrationen aktivieren:
Erfahren Sie mehr über MDE-Integration mit Defender für Server.
Veraltete Richtlinie „API-App sollte nur über HTTPS zugänglich sein“
Die Richtlinie API App should only be accessible over HTTPS ist veraltet. Diese Richtlinie wurde durch die Richtlinie Web Application should only be accessible over HTTPS ersetzt, die in App Service apps should only be accessible over HTTPS umbenannt wurde.
Weitere Informationen zu Richtliniendefinitionen für Azure App Service finden Sie unter Integrierte Azure Policy-Definitionen für Azure App Service.
Neue Key Vault-Warnungen
Um den Schutz vor Bedrohungen zu erweitern, den Microsoft Defender für Key Vault bietet, haben wir zwei neue Warnmeldungen hinzugefügt.
Diese Warnungen informieren Sie, wenn für einen Ihrer Key Vaults eine Anomalie bei der Zugriffsverweigerung festgestellt wird.
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktiken | severity |
|---|---|---|---|
| Ungewöhnlicher Zugriff verweigert – Zugriff durch Benutzer, der auf eine große Anzahl von Key Vaults zugreift, verweigert (KV_DeniedAccountVolumeAnomaly) |
Ein Benutzer oder Dienstprinzipal hat in den letzten 24 Stunden versucht, auf eine ungewöhnlich hohe Anzahl von Key Vaults zuzugreifen. Dieses anomale Zugriffsmuster kann eine legitime Aktivität sein. Dieser Versuch war zwar erfolglos, aber er könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Key Vault und den darin enthaltenen Vertraulichkeiten zu verschaffen. Weitere Untersuchungen werden empfohlen. | Ermittlung | Niedrig |
| Ungewöhnlicher Zugriff verweigert – Ungewöhnlicher Benutzerzugriff auf Key Vault verweigert (KV_UserAccessDeniedAnomaly) |
Ein Benutzer hat versucht, auf einen Key Vault zuzugreifen, auf den er normalerweise nicht zugreift. Dieses anormale Zugriffsmuster kann eine legitime Aktivität sein. Dieser Versuch war zwar erfolglos, aber er könnte ein Hinweis auf einen möglichen Versuch sein, sich Zugang zum Key Vault und den darin enthaltenen Vertraulichkeiten zu verschaffen. | Erster Zugriff, Ermittlung | Niedrig |
Mai 2022
Zu den Updates im Mai gehören:
- Multicloud-Einstellungen des Server-Plans sind jetzt auf Connectorebene verfügbar
- JIT-Zugriff (Just-in-Time) für VMs ist jetzt für AWS EC2-Instanzen (Vorschau) verfügbar
- Hinzufügen und Entfernen des Defender-Sensors für AKS-Cluster mithilfe der CLI
Multicloud-Einstellungen des Server-Plans sind jetzt auf Connectorebene verfügbar
Es gibt jetzt Einstellungen auf Connectorebene für Defender für Server in Multicloud.
Die neuen Einstellungen auf Connectorebene bieten unabhängig vom Abonnement Granularität für Preise und die Konfiguration der automatischen Bereitstellung pro Connector.
Alle Komponenten für die automatische Bereitstellung auf Connectorebene (Azure Arc, Microsoft Defender for Endpoint und Sicherheitsrisikobewertungen) sind standardmäßig aktiviert, und die neue Konfiguration unterstützt die Tarife von Plan 1 als auch Plan 2.
Updates in der Benutzeroberfläche umfassen eine Reflexion des ausgewählten Tarifs und die erforderlichen, konfigurierten Komponenten.
Änderungen an der Sicherheitsrisikenbewertung
Defender für Container zeigt jetzt Sicherheitslücken mit mittlerem und niedrigem Schweregrad an, die nicht gepatcht werden können.
Im Rahmen dieses Updates werden nun Sicherheitsrisiken mit mittleren und niedrigen Schweregraden angezeigt, unabhängig davon, ob Patches verfügbar sind oder nicht. Dieses Update bietet maximale Sichtbarkeit, ermöglicht es Ihnen aber dennoch, unerwünschte Sicherheitsrisiken mithilfe der bereitgestellten „Deaktivieren“-Regel herauszufiltern.
Weitere Informationen zur Handhabung von Sicherheitsrisiken
JIT-Zugriff (Just-in-Time) für VMs ist jetzt für AWS EC2-Instanzen (Vorschau) verfügbar
Wenn Sie AWS-Konten verbinden, bewertet JIT automatisch die Netzwerkkonfiguration der Sicherheitsgruppen Ihrer Instanz und empfiehlt, welche Instanzen Schutz für ihre den Risiken ausgesetzten Verwaltungsports benötigen. Dies ähnelt der Funktionsweise von JIT mit Azure. Wenn Sie ungeschützte EC2-Instanzen einbinden, blockiert JIT den öffentlichen Zugriff auf die Verwaltungsports und öffnet sie nur bei autorisierten Anforderungen für einen begrenzten Zeitrahmen.
Erfahren Sie, wie JIT Ihre AWS EC2-Instanzen schützt
Hinzufügen und Entfernen des Defender-Sensors für AKS-Cluster mithilfe der CLI
Der Defender-Agent ist für Defender for Containers erforderlich, um die Runtime-Schutzfunktionen bereitzustellen und Signale von Knoten zu sammeln. Sie können jetzt die Azure CLI verwenden, um den Defender-Agent für einen AKS-Cluster hinzuzufügen und zu entfernen.
Hinweis
Diese Option ist in Azure CLI 3.7 und höher enthalten.
April 2022
Zu den Updates im April gehören:
- Neue Defender für Server-Pläne
- Verlagerung benutzerdefinierter Empfehlungen
- PowerShell-Skript zum Streamen von Warnungen an Splunk und QRadar
- Veraltete Empfehlung für die Azure Cache for Redis
- Neue Warnungsvariante für Microsoft Defender für Storage (Vorschau) zum Erkennen der Exposition vertraulicher Daten
- Containerscan-Warnungstitel, der mit der IP-Adress-Reputation erweitert wurde
- Anzeigen der Aktivitätsprotokolle, die sich auf eine Sicherheitswarnung beziehen
Neue Defender für Serverpläne
Microsoft Defender für Server wird jetzt in zwei inkrementellen Plänen angeboten:
- Defender für Server Plan 2, früher Defender für Server
- Defender für Server Plan 1 bietet Unterstützung nur für Microsoft Defender für Endpunkt
Defender für Server Plan 2 bietet weiterhin Schutz vor Bedrohungen und Sicherheitsrisiken für Ihre Cloud- und lokalen Workloads, Defender für Server Plan 1 bietet nur Endpunktschutz, unterstützt von dem nativ integrierten Defender für Endpunkt. Erfahren Sie mehr über die Defender für Server-Pläne.
Wenn Sie Defender für Server bis jetzt verwenden, ist keine Aktion erforderlich.
Darüber hinaus beginnt Defender für Cloud auch schrittweise Unterstützung für den Defender for Endpoint Unified Agent für Windows Server 2012 R2 und 2016. Defender für Server Plan 1 stellt den neuen einheitlichen Agent für Windows Server 2012 R2- und 2016-Workloads bereit.
Verlagerung benutzerdefinierter Empfehlungen
Benutzerdefinierte Empfehlungen werden von einem Benutzer erstellt und haben keine Auswirkungen auf die Sicherheitsbewertung. Die benutzerdefinierten Empfehlungen finden Sie jetzt auf der Registerkarte "Alle Empfehlungen".
Verwenden Sie den neuen Filter "Empfehlungstyp", um benutzerdefinierte Empfehlungen zu finden.
Mehr dazu erfahren Sie unter Erstellen von benutzerdefinierten Sicherheitsinitiativen und -richtlinien.
PowerShell-Skript zum Streamen von Warnungen an Splunk und IBM QRadar
Es wird empfohlen, Event Hubs und einen integrierten Connector zum Exportieren von Sicherheitswarnungen in Splunk und IBM QRadar zu verwenden. Jetzt können Sie ein PowerShell-Skript verwenden, um die Azure-Ressourcen einzurichten, die zum Exportieren von Sicherheitswarnungen für Ihr Abonnement oder Mandanten erforderlich sind.
Laden Sie einfach das PowerShell-Skript herunter und führen Sie sie aus. Nachdem Sie einige Details ihrer Umgebung bereitgestellt haben, konfiguriert das Skript die Ressourcen für Sie. Das Skript erzeugt dann die Ausgabe, die Sie in der SIEM-Plattform verwenden, um die Integration abzuschließen.
Weitere Informationen finden Sie unter Streambenachrichtigungen für Splunk und QRadar.
Veraltete Empfehlung für die Azure Cache for Redis
Die Empfehlung Azure Cache for Redis should reside within a virtual network (Vorschau) ist veraltet. Wir haben unsere Anleitung zum Sichern von Azure Cache for Redis Instanzen geändert. Wir empfehlen die Verwendung eines privaten Endpunkts, um den Zugriff auf Ihre Azure Cache for Redis-Instanz anstelle eines virtuellen Netzwerks einzuschränken.
Neue Warnungsvariante für Microsoft Defender für Storage (Vorschau) zum Erkennen der Exposition vertraulicher Daten
Die Warnmeldungen von Microsoft Defender für Storage benachrichtigen Sie, wenn Bedrohungsakteure versuchen, falsch konfigurierte, öffentlich zugängliche Speichercontainer zu scannen und freizulegen, um vertrauliche Informationen heraus zu schleusen, ob erfolgreich oder nicht.
Um eine schnellere Triagierung und Reaktionszeit zu ermöglichen, wenn die Exfiltration potenziell vertraulicher Daten aufgetreten ist, haben wir eine neue Variante für die vorhandene Publicly accessible storage containers have been exposed-Warnung veröffentlicht.
Die neue Warnung Publicly accessible storage containers with potentially sensitive data have been exposed wird mit dem Schweregrad High ausgelöst, nachdem öffentlich zugängliche Speichercontainer mit Namen gefunden wurden, die den Statistiken zufolge selten öffentlich verfügbar gemacht werden, was nahelegt, dass sie vertrauliche Informationen enthalten.
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktik | severity |
|---|---|---|---|
| VORSCHAU – Öffentlich zugängliche Speichercontainer mit potenziell vertraulichen Daten wurden verfügbar gemacht. (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Jemand hat Ihr Azure Storage-Konto gescannt und Container verfügbar gemacht, die den öffentlichen Zugriff zulassen. Eine oder mehrere der verfügbaren Container verfügen über Namen, die angeben, dass sie vertrauliche Daten enthalten können. Dies gibt in der Regel die Rekonsierung durch einen Bedrohungsdarsteller an, der nach falsch konfigurierten, öffentlich zugänglichen Speichercontainern sucht, die vertrauliche Daten enthalten können. Nachdem ein Bedrohungsakteur einen Container erfolgreich entdeckt hat, können sie fortfahren, indem sie die Daten exfiltrieren. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | High |
Containerscan-Warnungstitel, der mit der IP-Adress-Reputation erweitert wurde
Der Ruf einer IP-Adresse kann angeben, ob die Scanaktivität aus einem bekannten Bedrohungsakteur stammt oder von einem Akteur, der das Tor-Netzwerk verwendet, um ihre Identität auszublenden. Beide Indikatoren schlagen vor, dass böswillige Absichten vorhanden sind. Der Ruf der IP-Adresse wird von Microsoft Threat Intelligence bereitgestellt.
Der Ruf der IP-Adresse zum Warnungstitel bietet eine Möglichkeit, die Absicht des Akteurs schnell zu bewerten und somit den Schweregrad der Bedrohung zu bewerten.
Die folgenden Warnungen enthalten diese Informationen:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Beispielsweise sieht die hinzugefügten Informationen zum Titel der Publicly accessible storage containers have been exposed Warnung wie folgt aus:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Alle Warnungen für Microsoft Defender für Storage enthalten weiterhin Bedrohungsinformationen in der IP-Entität im Abschnitt "Verwandte Entitäten der Warnung".
Anzeigen der Aktivitätsprotokolle, die sich auf eine Sicherheitswarnung beziehen
Im Rahmen der Aktionen, die Sie ausführen können, um eine Sicherheitswarnung auszuwerten, finden Sie die zugehörigen Plattformprotokolle unter Überprüfen des Ressourcenkontexts, um Kontext zu der betroffenen Ressource zu erhalten. Microsoft Defender für Cloud identifiziert Plattformprotokolle, die weniger als einen Tag vor der Warnung liegen.
Die Plattformprotokolle können Ihnen dabei helfen, die Sicherheitsrisiken auszuwerten und Maßnahmen zu ermitteln, die Sie ergreifen können, um das identifizierte Risiko zu verringern.
März 2022
Zu den Updates im März gehören:
- Globale Verfügbarkeit von Secure Score für AWS- und GCP-Umgebungen
- Die Empfehlungen zum Installieren des Datensammlungs-Agents für Netzwerkdatenverkehr wurden als „veraltet“ eingestuft
- Defender für Container kann jetzt in Windows-Images eine Überprüfung auf Sicherheitsrisiken durchführen (Vorschau)
- Neue Warnung bei Microsoft Defender für Speicher (Vorschau)
- Konfigurieren von Einstellungen für E-Mail-Benachrichtigungen aus einer Warnung
- Veraltete Vorschauwarnung: ARM.MCAS_ActivityFromAnonymousIPAddresses
- Die Empfehlung „Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden“ wird von „Sicherheitsbewertung“ zu „Bewährte Methoden“ verschoben
- Empfehlung zur Verwendung von Dienstprinzipalen zum Schutz Ihrer Abonnements wurde als veraltet markiert
- Die Legacyimplementierung von ISO 27001 wird durch die neue ISO-Norm 27001:2013 ersetzt
- Microsoft Defender für IoT-Geräteempfehlungen wurde als veraltet markiert
- Microsoft Defender für IoT-Gerätewarnungen wurde als veraltet markiert
- Haltungsverwaltung und Bedrohungsschutz für AWS und GCP für allgemeine Verfügbarkeit (GA) veröffentlicht
- Registrierungsscan für Windows Bilder in ACR hinzugefügt Unterstützung für nationale Clouds
Globale Verfügbarkeit von Secure Score für AWS- und GCP-Umgebungen
Die von Microsoft Defender für Cloud bereitgestellten Funktionen für die Cloudsicherheitsverwaltung haben nun Unterstützung für Ihre AWS- und GCP-Umgebungen innerhalb Ihrer Sicheren Bewertung hinzugefügt.
Unternehmen können nun ihre gesamte Sicherheitshaltung in verschiedenen Umgebungen anzeigen, z. B. Azure, AWS und GCP.
Die Seite „Sicherheitsbewertung“ wurde durch das Sicherheitsstatusdashboard ersetzt. Mit dem Dashboard für Sicherheitshaltungen können Sie eine gesamt kombinierte Bewertung für alle Ihre Umgebungen oder eine Aufschlüsselung Ihrer Sicherheitshaltung basierend auf einer beliebigen Kombination von Umgebungen anzeigen, die Sie auswählen.
Die Empfehlungen Seite wurde auch neu gestaltet, um neue Funktionen wie die Auswahl der Cloudumgebung, erweiterte Filter basierend auf Inhalten (Ressourcengruppe, AWS-Konto, GCP-Projekt und mehr), verbesserte Benutzeroberfläche auf niedriger Auflösung, Unterstützung für offene Abfrage in Ressourcendiagramm und vieles mehr bereitzustellen. Sie können mehr über Ihre allgemeine Sicherheitshaltung und Sicherheitsempfehlungen erfahren.
Die Empfehlungen zum Installieren des Datensammlungs-Agents für Netzwerkdatenverkehr wurden als „veraltet“ eingestuft
Durch Änderungen an unserer Roadmap und den Prioritäten ist der Datensammlungs-Agent für Netzwerkdatenverkehr nicht mehr notwendig. Die folgenden beiden Empfehlungen und deren zugehörige Richtlinien wurden als „veraltet“ eingestuft.
| Empfehlung | BESCHREIBUNG | severity |
|---|---|---|
| Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden. | Defender für Cloud verwendet den Microsoft Dependency-Agent, um Netzwerkdatenverkehrsdaten Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfeatures, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | Medium |
| Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden. | Defender für Cloud verwendet den Microsoft Dependency-Agent, um Netzwerkdatenverkehrsdaten Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfeatures, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | Medium |
Defender für Container kann jetzt in Windows-Images eine Überprüfung auf Sicherheitsrisiken durchführen (Vorschau)
Die Image-Überprüfung von Defender für Container unterstützt jetzt Windows-Images, die in Azure Container Registry gehostet werden. Dieses Feature ist in der Vorschauversion kostenlos und verursacht Kosten, wenn es allgemein verfügbar wird.
Weitere Informationen finden Sie unter Verwenden von Microsoft Defender für Container zum Überprüfen Ihrer Images auf Sicherheitsrisiken.
Neue Warnung bei Microsoft Defender für Speicher (Vorschau)
Zur Erweiterung des von Microsoft Defender für Speicher bereitgestellten Bedrohungsschutzes haben wir eine neue Vorschauwarnung hinzugefügt.
Bedrohungsakteure verwenden Anwendungen und Tools, um Speicherkonten zu ermitteln und darauf zuzugreifen. Microsoft Defender für Speicher erkennt diese Anwendungen und Tools, sodass Sie sie blockieren und Ihren Sicherheitsstatus verbessern können.
Diese Vorschauwarnung wird als Access from a suspicious application bezeichnet. Die Warnung ist für Azure Blob Storage und nur ADLS Gen2 relevant.
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktik | severity |
|---|---|---|---|
| VORSCHAU: Zugriff aus einer verdächtigen Anwendung (Storage. Blob_SuspiciousApp) |
Gibt an, dass eine verdächtige Anwendung auf einen Container eines Speicherkontos mit Authentifizierung erfolgreich zugegriffen hat. Dies könnte darauf hinweisen, dass ein Angreifer die für den Zugriff auf das Konto erforderlichen Anmeldeinformationen erhalten hat und sie ausnutzt. Es könnte auch ein Hinweis auf einen Penetrationtest sein, der in Ihrer Organisation durchgeführt wurde. Gilt für: Azure Blob Storage, Azure Data Lake Storage Gen2 |
Erstzugriff | Medium |
Konfigurieren von Einstellungen für E-Mail-Benachrichtigungen aus einer Warnung
Der Benutzeroberfläche für Warnungen wurde ein neuer Abschnitt hinzugefügt, in dem Sie die Empfänger*innen von E-Mail-Benachrichtigungen für Warnungen, die für das aktuelle Abonnement ausgelöst werden, anzeigen und bearbeiten können.
Informieren Sie sich über das Konfigurieren von E-Mail-Benachrichtigungen bei Sicherheitswarnungen.
Vorschauwarnung wirde aös veraltet markiert: ARM.MCAS_ActivityFromAnonymousIPAddresses
Die folgende Vorschauwarnung ist veraltet:
| Warnungsname | BESCHREIBUNG |
|---|---|
| VORSCHAU: Aktivität von einer riskanten IP-Adresse (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Es wurde eine Benutzeraktivität über eine IP-Adresse erkannt, die als anonyme Proxy-IP-Adresse identifiziert wurde. Diese Proxys werden von Personen verwendet, die die IP-Adresse ihres Geräts verbergen möchten, und können in böswilliger Absicht eingesetzt werden. Die Erkennung nutzt einen Algorithmus für maschinelles Lernen, um falsch positive Ergebnisse wie etwa falsch gekennzeichnete IP-Adressen zu reduzieren, die regelmäßig von anderen Benutzern in der Organisation verwendet werden. Erfordert eine aktive Microsoft Defender für Cloud Apps-Lizenz. |
Es wurde eine neue Warnung erstellt, die diese und weitere Informationen bereitstellt. Darüber hinaus ist bei den neueren Warnungen („ARM_OperationFromSuspiciousIP“, „ARM_OperationFromSuspiciousProxyIP“) keine Lizenz für Microsoft Defender für Cloud-Apps (früher als „Microsoft Cloud App Security“ bezeichnet) erforderlich.
Weitere Warnungen für Resource Manager.
Die Empfehlung „Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden“ wurde von „Sicherheitsbewertung“ zu „Bewährte Methoden“ verschoben
Die Empfehlung Vulnerabilities in container security configurations should be remediated wurde vom Abschnitt „Sicherheitsbewertung“ in den Abschnitt „Bewährte Methoden“ verschoben.
Die aktuelle Benutzeroberfläche stellt die Bewertung nur dann bereit, wenn alle Konformitätsprüfungen bestanden wurden. Die meisten Kunden haben Schwierigkeiten, alle erforderlichen Überprüfungen zu erfüllen. Wir arbeiten an einer verbesserten Benutzeroberfläche für diese Empfehlung, und nach der Veröffentlichung wird die Empfehlung wieder in die Sicherheitsbewertung verschoben.
Empfehlung zur Verwendung von Dienstprinzipalen zum Schutz Ihrer Abonnements wurde als veraltet markiert
Da Organisationen versuchen, keine Verwaltungszertifikate mehr für die Verwaltung ihrer Abonnements zu verwenden und wir das Bereitstellungsmodell „Cloud Services (klassisch)“ gemäß unserer Ankündigung außer Betrieb nehmen, haben wir die folgende Defender für Cloud-Empfehlung und die zugehörige Richtlinie als veraltet markiert:
| Empfehlung | BESCHREIBUNG | severity |
|---|---|---|
| Zum Schutz Ihrer Abonnements Dienstprinzipale anstelle von Verwaltungszertifikaten verwenden | Verwaltungszertifikate ermöglichen es jedem, der sich mit ihnen authentifiziert, die Abonnements zu verwalten, mit denen sie verbunden sind. Zur höheren Sicherheit der Verwaltung von Abonnements empfiehlt sich die Verwendung von Dienstprinzipalen mit Resource Manager, um den Auswirkungsgrad im Falle kompromittierter Zertifikate zu beschränken. Außerdem wird hierdurch die Ressourcenverwaltung automatisiert. (Zugehörige Richtlinie: Zum Schutz Ihrer Abonnements Dienstprinzipale anstelle von Verwaltungszertifikaten verwenden) |
Medium |
Weitere Informationen:
- Bereitstellungsmodell „Cloud Services (klassisch)“ wird am 31. August 2024 außer Betrieb genommen
- Übersicht über Azure Cloud Services (klassisch)
- Workflow der klassischen VM-Architektur von Microsoft Azure – einschließlich der Grundlagen des RDFE-Workflows
Die Legacyimplementierung von ISO 27001 wird durch die neue ISO-Norm 27001:2013 ersetzt.
Die Legacyimplementierung von ISO 27001 wurde aus dem Defender for Cloud-Dashboard „Einhaltung gesetzlicher Bestimmungen“ entfernt. Wenn Sie Ihre ISO 27001-Konformität mit Defender für Cloud nachverfolgen, integrieren Sie den neuen Standard „ISO 27001:2013“ für alle relevanten Verwaltungsgruppen oder Abonnements.
Microsoft Defender für IoT-Geräteempfehlungen wurde als veraltet markiert
Empfehlungen für Microsoft Defender für IoT-Geräte werden in Microsoft Defender für Cloud nicht mehr angezeigt. Diese Empfehlungen sind weiterhin auf der Empfehlungsseite für Microsoft Defender für IoT und in Microsoft Sentinel verfügbar.
Die folgenden Empfehlungen wurden als veraltet markiert:
| Bewertungsschlüssel | Empfehlungen |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT-Geräte | Offene Ports am Gerät |
| ba975338-f956-41e7-a9f2-7614832d382d: IoT-Geräte | In der INPUT-Kette wurde eine zu wenig einschränkende Firewallregel gefunden |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT-Geräte | In einer der Ketten wurde eine zu wenig einschränkende Firewallrichtlinie gefunden |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT-Geräte | In der OUTPUT-Kette wurde eine zu wenig einschränkende Firewallregel gefunden |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT-Geräte | Fehler beim Überprüfen der Betriebssystembaseline |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT-Geräte | Sendekapazität für Agentnachrichten nicht ausgeschöpft |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT-Geräte | TLS-Cipher-Suite-Upgrade erforderlich |
| d74d2738-2485-4103-9919-69c7e63776ec: IoT-Geräte | Auditd Das Senden von Ereignissen wurde beendet. |
Microsoft Defender für IoT-Gerätewarnungen wurde als veraltet markiert
Alle Warnmeldungen von Microsoft Defender für IoT-Geräte sind in Microsoft Defender für Cloud nicht mehr sichtbar. Diese Warnungen sind weiterhin auf der Warnungsseite für Microsoft Defender für IoT und in Microsoft Sentinel verfügbar.
Haltungsverwaltung und Bedrohungsschutz für AWS und GCP für allgemeine Verfügbarkeit (GA) veröffentlicht
Die CSPM-Features von Defender für Cloud werden auf Ihre AWS- und GCP-Ressourcen ausgeweitet. Dieser Plan ohne Agents bewertet Ihre Multicloudressourcen anhand von cloudspezifischen Sicherheitsempfehlungen, die in Ihrer Sicherheitsbewertung enthalten sind. Die Ressourcen werden mithilfe der integrierten Standards für die Compliance bewertet. Die Seite „Ressourcenbestand“ von Defender für Cloud ist eine Multi-Cloud-Funktion, mit der Sie Ihre AWS-Ressourcen zusammen mit Ihren Azure-Ressourcen verwalten können.
Microsoft Defender für Server bringt Bedrohungserkennung und erweiterten Schutz für Ihre Compute-Instanzen in AWS und GCP. Der Defender für Server-Plan enthält eine integrierte Lizenz für Microsoft Defender for Endpoint, Scans zur Schwachstellenanalyse und mehr. Erfahren Sie mehr über alle unterstützten Features für virtuelle Computer und Server. Funktionen für automatisches Onboarding ermöglichen es Ihnen, alle vorhandenen und neuen Compute-Instanzen, die in Ihrer Umgebung ermittelt wurden, einfach zu verbinden.
Erfahren Sie, wie Sie Ihre AWS-Umgebung und GCP-Organisation mit Microsoft Defender für Cloud schützen und verbinden können.
Registrierungsscan für Windows Bilder in ACR hinzugefügt Unterstützung für nationale Clouds
Die Registrierungsüberprüfung für Windows-Images wird jetzt in Azure Government und Microsoft Azure operated by 21Vianet unterstützt. Diese Ergänzung befindet sich derzeit in der Vorschau.
Erfahren Sie mehr über die Verfügbarkeit unseres Features.
Februar 2022
Updates im Februar:
- Kubernetes-Workloadschutz für Kubernetes-Cluster mit Arc-Unterstützung
- Native CSPM für GCP und Bedrohungsschutz für GCP-Compute-Instanzen
- Microsoft Defender für Azure Cosmos DB-Plan für die Vorschau veröffentlicht
- Bedrohungsschutz für Google Kubernetes Engine (GKE)-Cluster
Kubernetes-Workloadschutz für Kubernetes-Cluster mit Arc-Unterstützung
Defender für Container hat bisher nur Kubernetes-Workloads geschützt, die in Azure Kubernetes Service ausgeführt werden. Jetzt haben wir die Schutzabdeckung auf Kubernetes-Cluster mit Azure Arc-Unterstützung erweitert.
Erfahren Sie, wie Sie Ihren Kubernetes-Workloadschutz für AKS und Kubernetes-Cluster mit Azure Arc-Unterstützung einrichten.
Native CSPM für GCP und Bedrohungsschutz für GCP-Compute-Instanzen
Mit dem neuen automatisierten Onboarding von GCP-Umgebungen können Sie GCP-Workloads mit Microsoft Defender für Cloud schützen. Defender für Cloud schützt Ihre Ressourcen mit den folgenden Plänen:
Die CSPM-Features von Defender für Cloud werden auf Ihre GCP-Ressourcen ausgeweitet. Dieser Plan ohne Agent bewertet Ihre GCP-Ressourcen entsprechend den GCP-spezifischen Sicherheitsempfehlungen, die mit Defender für Cloud bereitgestellt werden. GCP-Empfehlungen sind in Ihrer Sicherheitsbewertung enthalten, und die Ressourcen werden auf Konformität mit dem integrierten GCP-CIS-Standard bewertet. Die Seite „Ressourcenbestand“ von Defender für Cloud ist eine Multi-Cloud-Funktion, die Ihnen hilft, Ihre Ressourcen in Azure, AWS und GCP zu verwalten.
Microsoft Defender für Server stattet Ihre GCP-Compute-Instanzen mit Bedrohungserkennung und erweiterten Schutzmaßnahmen aus. Dieser Plan umfasst die integrierte Lizenz für Microsoft Defender für Endpoint, Überprüfungen zur Sicherheitsrisikobewertung und mehr.
Eine vollständige Liste der verfügbaren Features finden Sie unter Unterstützte Funktionen für virtuelle Computer und Server. Funktionen für automatisches Onboarding ermöglichen es Ihnen, alle vorhandenen und neuen Compute-Instanzen, die in Ihrer Umgebung ermittelt wurden, einfach zu verbinden.
Erfahren Sie, wie Sie Ihre GCP-Projekte mit Microsoft Defender für Cloud schützen und verbinden.
Microsoft Defender für Azure Cosmos DB-Plan für die Vorschau veröffentlicht
Wir haben die Datenbankabdeckung von Microsoft Defender für Cloud erweitert. Sie können jetzt den Schutz für Ihre Azure Cosmos DB-Datenbanken aktivieren.
Microsoft Defender für Azure Cosmos DB ist eine native Azure-Sicherheitsebene, die jeden Versuch erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Microsoft Defender für Azure Cosmos DB erkennt potenzielle Einschleusungen von SQL-Befehlen, bekannte böswillige Akteure basierend auf Microsoft Threat Intelligence, verdächtige Zugriffsmuster und potenzielle Ausnutzung Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider.
Der durch die Azure Cosmos DB-Dienste generierte Kundendatenstrom wird von Microsoft Defender für Azure Cosmos DB kontinuierlich analysiert.
Bei Erkennung von potenziell schädlichen Aktivitäten werden Sicherheitswarnungen generiert. Diese Warnungen werden in Microsoft Defender for Cloud zusammen mit den Details der verdächtigen Aktivität sowie den entsprechenden Untersuchungsschritten, Abhilfemaßnahmen und Sicherheitsempfehlungen angezeigt.
Eine Aktivierung des Diensts hat keine Auswirkung auf die Datenbankleistung, weil Defender für Azure Cosmos DB auf die Azure Cosmos DB-Kontodaten nicht zugreift.
Erfahren Sie mehr unter Überblick über Microsoft Defender für Azure Cosmos DB.
Wir führen zurzeit auch eine neue Aktivierungsmöglichkeit für die Datenbanksicherheit ein. Sie können jetzt den Microsoft Defender für Cloud-Schutz für Ihr Abonnement aktivieren, um alle Datenbanktypen wie z. B. Azure Cosmos DB, Azure SQL-Datenbank, Azure SQL-Server auf Computern und Microsoft Defender für relationale Open Source-Datenbanken über einen einzigen Aktivierungsprozess zu schützen. Bestimmte Ressourcentypen können einbezogen oder ausgeschlossen werden, indem Sie Ihren Plan entsprechend konfigurieren.
Informieren Sie sich, wie Sie Ihre Datenbanksicherheit auf Abonnementebene aktivieren können.
Bedrohungsschutz für Google Kubernetes Engine (GKE)-Cluster
Nach unserer kürzlichen Ankündigung Native CSPM für GCP und Bedrohungsschutz für GCP-Compute-Instanzen hat Microsoft Defender für Container seinen Kubernetes-Bedrohungsschutz, verhaltensbezogene Analysen und integrierte Zugangskontrollrichtlinien auf die Kubernetes Engine (GKE)-Standard-Cluster von Google erweitert. Mit unseren Funktionen für automatisches Onboarding können Sie alle vorhandenen oder neuen GKE Standard-Cluster mühelos in Ihre Umgebung integrieren. Eine vollständige Liste der verfügbaren Features finden Sie unter Containersicherheit mit Microsoft Defender für Cloud.
Januar 2022
Die Updates im Januar umfassen Folgendes:
- Microsoft Defender für Ressourcen-Manager wurde mit neuen Warnungen aktualisiert und hat mehr Gewicht auf vorgänge mit hohem Risiko, die MITRE ATT&CK® Matrix zugeordnet sind
- Empfehlungen zur Aktivierung der Microsoft Defender-Pläne für Arbeitsbereiche (in der Vorschau)
- Automatische Bereitstellung des Log Analytics-Agents auf Computern mit Azure Arc-Unterstützung (Vorschau)
- Die Empfehlung, sensible Daten in SQL-Datenbanken zu klassifizieren, wurde abgeschafft
- Kommunikation mit verdächtiger Domänenwarnung erweitert auf bekannte Log4Shell-bezogene Domänen
- 'Alarm-JSON kopieren'-Schaltfläche zum Detailfenster für Sicherheitswarnungen hinzugefügt
- Umbenennung zweier Empfehlungen
- Die Richtlinie „Kubernetes-Clustercontainer sollten nur an zulässigen Ports lauschen“ ist veraltet
- Arbeitsmappe „Aktive Warnungen“ hinzugefügt
- „Systemupdate“-Empfehlung wurde zur Government-Cloud hinzugefügt
Microsoft Defender für Ressourcen-Manager wurde mit neuen Warnungen aktualisiert und hat mehr Gewicht auf vorgänge mit hohem Risiko, die MITRE ATT&CK® Matrix zugeordnet sind
Die Cloudverwaltungsebene ist ein wichtiger Dienst, der mit allen Ihren Cloudressourcen verbunden ist. Dies macht ihn allerdings auch zu einem potenziellen Ziel für Angreifer. Wir empfehlen, dass Sicherheitsteams die Ressourcenverwaltungsebene genau überwachen.
Microsoft Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Dabei spielt es keine Rolle, ob diese über das Azure-Portal, Azure-REST-APIs, die Azure CLI oder andere programmgesteuerte Azure-Clients ausgeführt werden. Defender für Cloud führt erweiterte Sicherheitsanalysen durch, um Bedrohungen zu erkennen und Sie auf verdächtige Aktivitäten aufmerksam zu machen.
Die Schutzmaßnahmen des Plans verbessern die Widerstandsfähigkeit eines Unternehmens gegen Angriffe von Bedrohungsakteuren und erhöhen die Anzahl der Azure-Ressourcen, die durch Defender für Cloud geschützt werden, beträchtlich.
Im Dezember 2020 haben wir die Vorschau von Defender für Ressourcen-Manager vorgestellt, und im Mai 2021 wurde der Plan zur allgemeinen Verfügbarkeit freigegeben.
Mit diesem Update haben wir den Fokus des Microsoft Defender für Ressourcen-Manager Plans grundlegend überarbeitet. Der aktualisierte Plan enthält viele neue Warnungen, die sich auf die Erkennung verdächtiger Aufrufe von Hochrisikooperationen konzentrieren. Diese neuen Warnungen bieten umfassende Überwachung für Angriffe in der gesamtenMITRE ATT&CK-Matrix® für cloudbasierte Techniken.
Diese Matrix deckt das folgende Spektrum potenzieller Absichten von Bedrohungsakteuren ab, die es auf die Ressourcen Ihrer Organisation abgesehen haben könnten: Initialer Zugriff, Ausführung, Persistenz, Privilegieneskalation, Umgehung von Verteidigungsmaßnahmen, Zugriff auf Zugangsdaten, Entdeckung, seitliche Bewegung, Sammlung, Exfiltration und Auswirkungen.
Die neuen Ausschreibungen für diesen Defender-Plan decken diese Absichten wie in der folgenden Tabelle dargestellt ab.
Tipp
Diese Warnungen erscheinen auch auf der Referenzseite Warnungen.
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktiken (Absichten) | severity |
|---|---|---|---|
| Verdächtiger Aufruf einer risikoreichen "Initial Access"-Operation entdeckt (Vorschau) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch des Zugriffs auf eingeschränkte Ressourcen hinweisen könnte. Die identifizierten Operationen sollen den Administratoren einen effizienten Zugriff auf ihre Umgebungen ermöglichen. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um einen ersten Zugang zu eingeschränkten Ressourcen in Ihrer Umgebung zu erhalten. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Erstzugriff | Medium |
| Verdächtiger Aufruf einer risikoreichen "Ausführungs"-Operation entdeckt (Vorschau) (ARM_AnomalousOperation.Execution) |
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs auf einem Computer in Ihrem Abonnement identifiziert, der auf einen Versuch der Ausführung von Code hinweisen könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um auf eingeschränkte Zugangsdaten zuzugreifen und Ressourcen in Ihrer Umgebung zu gefährden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Ausführung | Medium |
| Verdächtiger Aufruf einer hochriskanten 'Persistenz'-Operation entdeckt (Vorschau) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch der Herstellung von Persistenz hinweisen könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Obwohl diese Aktivität legitim sein kann, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um sich in Ihrer Umgebung zu etablieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Persistenz | Medium |
| Verdächtiger Aufruf einer hochriskanten 'Privilege Escalation'-Operation entdeckt (Vorschau) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch der Eskalation von Berechtigungen hinweisen könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um seine Privilegien zu erweitern und Ressourcen in Ihrer Umgebung zu kompromittieren. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Berechtigungsausweitung | Medium |
| Verdächtiger Aufruf einer hochriskanten 'Defense Evasion'-Operation entdeckt (Vorschau) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch der Umgehung von Schutzmaßnahmen hinweisen könnte. Die identifizierten Operationen sollen es den Administratoren ermöglichen, die Sicherheitslage ihrer Umgebungen effizient zu verwalten. Diese Aktivitäten können zwar legitim sein, aber ein Bedrohungsakteur könnte solche Vorgänge nutzen, um nicht entdeckt zu werden, während er Ressourcen in Ihrer Umgebung kompromittiert. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Umgehen von Verteidigungsmaßnahmen | Medium |
| Verdächtiger Aufruf eines risikoreichen Vorgangs "Credential Access" entdeckt (Vorschau) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch des Zugriffs auf Anmeldeinformationen hinweisen könnte. Die identifizierten Operationen sollen den Administratoren einen effizienten Zugriff auf ihre Umgebungen ermöglichen. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um auf eingeschränkte Zugangsdaten zuzugreifen und Ressourcen in Ihrer Umgebung zu gefährden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Zugriff auf Anmeldeinformationen | Medium |
| Verdächtiger Aufruf einer Hochrisiko-Operation "Seitliche Bewegung" entdeckt (Vorschau) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch der Durchführung einer seitlichen Bewegung/Verschiebung (Lateral Movement) hinweisen könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um weitere Ressourcen in Ihrer Umgebung zu gefährden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Seitliche Verschiebung | Medium |
| Verdächtiger Aufruf einer risikoreichen Operation "Datenerfassung" entdeckt (Vorschau) (ARM_AnomalousOperation.Collection) |
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement identifiziert, der auf einen Versuch der Datenerfassung hinweisen könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um sensible Daten über Ressourcen in Ihrer Umgebung zu sammeln. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Collection | Medium |
| Verdächtiger Aufruf einer risikoreichen "Impact"-Operation entdeckt (Vorschau) (ARM_AnomalousOperation.Impact) |
Microsoft Defender für Resource Manager hat einen verdächtigen Aufruf eines risikoreichen Vorgangs in Ihrem Abonnement festgestellt, der auf eine versuchte Konfigurationsänderung hinweisen könnte. Die identifizierten Vorgänge sind so konzipiert, dass Administratoren ihre Umgebungen effizient verwalten können. Auch wenn diese Aktivität legitim sein mag, könnte ein Bedrohungsakteur solche Vorgänge nutzen, um auf eingeschränkte Zugangsdaten zuzugreifen und Ressourcen in Ihrer Umgebung zu gefährden. Dies kann darauf hinweisen, dass das Konto kompromittiert ist und in böser Absicht verwendet wird. | Wirkung | Medium |
Darüber hinaus sind diese beiden Ausschreibungen aus diesem Plan in der Vorschau erschienen:
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktiken (Absichten) | severity |
|---|---|---|---|
| Azure Resource Manager-Operation von verdächtiger IP-Adresse (ARM_OperationFromSuspiciousIP) |
Microsoft Defender für Resource Manager hat einen Vorgang über eine IP-Adresse erkannt, die in Threat Intelligence-Feeds als verdächtig gekennzeichnet wurde. | Ausführung | Mittel |
| Azure Resource Manager-Operation von verdächtiger Proxy-IP-Adresse (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender für Resource Manager hat einen Ressourcenverwaltungsvorgang von einer IP-Adresse erkannt, die Proxydiensten zugeordnet ist, z. B. TOR. Dieses Verhalten kann legitim sein, aber es wird häufig mit bösartigen Aktivitäten in Verbindung gebracht, wenn Bedrohungsakteure versuchen, ihre Quell-IP-Adresse zu verbergen. | Umgehen von Verteidigungsmaßnahmen | Medium |
Empfehlungen zur Aktivierung von Microsoft Defender-Plänen für Arbeitsbereiche (in der Vorschau)
Um alle Sicherheitsfunktionen von Microsoft Defender für Server und Microsoft Defender für SQL auf Computern nutzen zu können, müssen die Pläne sowohl auf Abonnement- als auch auf Arbeitsbereich-ebene aktiviert sein.
Wenn ein Rechner in einem Abonnement mit einem dieser Pläne aktiviert ist, werden Ihnen die vollen Schutzmaßnahmen in Rechnung gestellt. Wenn dieser Rechner jedoch an einen Arbeitsbereich berichtet, für den der Plan nicht aktiviert ist, werden Sie diese Vorteile nicht erhalten.
Wir haben zwei Empfehlungen hinzugefügt, die Arbeitsbereiche hervorheben, in denen diese Pläne nicht aktiviert sind, für die aber dennoch Maschinen aus Abonnements gemeldet werden, für die der Plan aktiviert ist.
Die beiden Empfehlungen, die beide eine automatische Behebung (die Aktion "Beheben") vorsehen, sind:
| Empfehlung | BESCHREIBUNG | severity |
|---|---|---|
| Microsoft Defender für Server sollte auf Arbeitsbereichen aktiviert sein | Microsoft Defender für Server bietet Bedrohungserkennung und erweiterten Schutz für Ihre Windows- und Linux-Rechner. Wenn dieser Defender-Plan für Ihre Abonnements, aber nicht für Ihre Arbeitsbereiche aktiviert ist, zahlen Sie für die volle Leistungsfähigkeit von Microsoft Defender für Server, verpassen aber einige der Vorteile. Wenn Sie Microsoft Defender für Server in einem Arbeitsbereich aktivieren, wird Microsoft Defender für Server allen Computern, die diesem Arbeitsbereich zugeordnet sind, in Rechnung gestellt - auch wenn sie Abonnements ohne aktivierte Defender-Tarife angehören. Wenn Sie Microsoft Defender nicht auch für Server im Abonnement aktivieren, können diese Maschinen nicht die Vorteile von Just-in-Time-VM-Zugriff, adaptiver Anwendungssteuerung und Netzwerkerkennung für Azure-Ressourcen nutzen. Weitere Informationen erhalten Sie unter Übersicht über Microsoft Defender für Server. (Keine zugehörige Richtlinie) |
Medium |
| Microsoft Defender für SQL auf Computern sollte in Arbeitsbereichen aktiviert sein | Microsoft Defender für Server bietet Bedrohungserkennung und erweiterten Schutz für Ihre Windows- und Linux-Rechner. Wenn dieser Defender-Plan für Ihre Abonnements, aber nicht für Ihre Arbeitsbereiche aktiviert ist, zahlen Sie für die volle Leistungsfähigkeit von Microsoft Defender für Server, verpassen aber einige der Vorteile. Wenn Sie Microsoft Defender für Server in einem Arbeitsbereich aktivieren, wird Microsoft Defender für Server allen Computern, die diesem Arbeitsbereich zugeordnet sind, in Rechnung gestellt - auch wenn sie Abonnements ohne aktivierte Defender-Tarife angehören. Wenn Sie Microsoft Defender nicht auch für Server im Abonnement aktivieren, können diese Maschinen nicht die Vorteile von Just-in-Time-VM-Zugriff, adaptiver Anwendungssteuerung und Netzwerkerkennung für Azure-Ressourcen nutzen. Weitere Informationen erhalten Sie unter Übersicht über Microsoft Defender für Server. (Keine zugehörige Richtlinie) |
Medium |
Automatische Bereitstellung des Log Analytics-Agents auf Computern mit Azure Arc-Unterstützung (Vorschau)
Defender für Cloud verwendet den Log Analytics-Agent, um sicherheitsrelevante Daten von Rechnern zu sammeln. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle und kopiert die Daten zur Analyse in Ihren Arbeitsbereich.
In den Einstellungen für die automatische Bereitstellung von Defender for Cloud ist eine Umschaltfläche für jeden unterstützten Erweiterungstyp verfügbar, einschließlich des Log Analytics-Agents.
In einer weiteren Erweiterung unserer Hybrid Cloud-Funktionen haben wir eine Option zum automatischen Bereitstellen des Log Analytics-Agents auf Computern, die mit Azure Arc verbunden sind, hinzugefügt.
Wie die anderen Optionen für die automatische Bereitstellung wird auch diese Option auf der Abonnementebene konfiguriert.
Wenn Sie diese Option aktivieren, werden Sie zur Eingabe des Arbeitsbereichs aufgefordert.
Hinweis
Für diese Vorschau können Sie nicht die Standardarbeitsbereiche auswählen, die von Defender für Cloud erstellt wurden. Um sicherzustellen, dass Sie den vollen Satz an Sicherheitsfunktionen erhalten, der für die Azure Arc-fähigen Server verfügbar ist, stellen Sie sicher, dass die entsprechende Sicherheitslösung auf dem ausgewählten Arbeitsbereich installiert ist.
Die Empfehlung, sensible Daten in SQL-Datenbanken zu klassifizieren, wurde abgeschafft
Wir haben die Empfehlung Sensible Daten in Ihren SQL-Datenbanken sollten klassifiziert werden als Teil einer Überarbeitung der Art und Weise entfernt, wie Defender for Cloud sensible Daten in Ihren Cloud-Ressourcen identifiziert und schützt.
Vorankündigungen zu dieser Änderung erschienen in den letzten sechs Monaten auf der Seite Wichtige bevorstehende Änderungen an Microsoft Defender für Cloud.
Warnung bei Kommunikation mit verdächtiger Domäne auf bekannte Log4Shell-bezogene Domänen erweitert
Die folgende Warnung war bisher nur für Unternehmen verfügbar, die den Plan Microsoft Defender für DNS aktiviert hatten.
Mit diesem Update wird die Warnung auch für Abonnements angezeigt, bei denen der Plan Microsoft Defender für Server oder Defender für App Service aktiviert ist.
Außerdem hat Microsoft Threat Intelligence die Liste von bekannten bösartigen Domänen um Domänen erweitert, die mit der Ausnutzung der weithin bekannt gewordenen Schwachstellen im Zusammenhang mit „Log4j“ in Verbindung stehen.
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktiken | severity |
|---|---|---|---|
| Kommunikation mit verdächtiger Domäne identifiziert durch Threat Intelligence (AzureDNS_ThreatIntelSuspectDomain) |
Die Kommunikation mit der verdächtigen Domäne wurde erkannt, indem DNS-Transaktionen aus der Ressource analysiert und mit bekannten schädlichen Domänen verglichen werden, die durch Threat Intelligence-Feeds identifiziert werden. Die Kommunikation mit bösartigen Domänen wird häufig von Angreifern durchgeführt und könnte bedeuten, dass Ihre Ressource gefährdet ist. | Erstzugriff / Persistenz / Ausführung / Befehl und Kontrolle / Ausbeutung | Mittel |
Schaltfläche "Alarm JSON kopieren" im Detailbereich für Sicherheitswarnungen hinzugefügt
Damit unsere Benutzer die Details einer Warnung schnell mit anderen teilen können (z. B. SOC-Analysten, Ressourcenbesitzer und Entwickler), haben wir die Möglichkeit hinzugefügt, alle Details einer bestimmten Warnung mit einer Schaltfläche aus dem Detailbereich der Sicherheitswarnung zu extrahieren.
Die neue Schaltfläche Alarm JSON kopieren legt die Details des Alarms im JSON-Format in der Zwischenablage des Benutzers ab.
Zwei Empfehlungen umbenannt
Aus Gründen der Konsistenz mit anderen Empfehlungsbezeichnungen haben wir die beiden folgenden Empfehlungen umbenannt:
Empfehlung zur Behebung von Sicherheitslücken, die in laufenden Container-Images entdeckt wurden
- Vorheriger Name: Schwachstellen in laufenden Container-Images sollten behoben werden (powered by Qualys)
- Neuer Name: Bei laufenden Container-Images sollten die Schwachstellen behoben sein
Empfehlung zur Aktivierung von Diagnoseprotokollen für Azure App Service
- Vorheriger Name: Diagnoseprotokolle sollten in App Service aktiviert werden
- Neuer Name: Diagnoseprotokolle im App Service sollten aktiviert werden
Die Richtlinie „Kubernetes-Clustercontainer sollten nur an zulässigen Ports lauschen“ ist veraltet
Wir haben die Empfehlung Kubernetes-Clustercontainer sollten nur an zulässigen Ports lauschen als „veraltet“ festgelegt.
| Richtlinienname | BESCHREIBUNG | Auswirkungen | Version |
|---|---|---|---|
| Container in einem Kubernetes-Cluster dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Container nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 6.1.2 |
Die Empfehlung Dienste sollten nur an zulässigen Ports lauschen sollte verwendet werden, um die Ports zu begrenzen, die eine Anwendung dem Internet zur Verfügung stellt.
Arbeitsmappe „Aktive Warnungen“ wurde hinzugefügt
Wir haben die Arbeitsmappe „Aktive Warnungen“ hinzugefügt, um unseren Benutzern dabei zu helfen, die aktiven Bedrohungen ihrer Umgebungen zu verstehen und aktive Warnungen während des Wartungsprozesses zu priorisieren.
Mit der aktiven Warnungsarbeitsmappe können Benutzer ein einheitliches Dashboard ihrer aggregierten Warnungen nach Schweregrad, Typ, Tag, MITRE ATT&CK-Taktiken und Standort anzeigen. Weitere Informationen finden Sie unter Verwenden der Arbeitsmappe „Aktive Warnungen“.
„Systemupdate“-Empfehlung wurde zur Government-Cloud hinzugefügt
Die Empfehlung „Systemupdates müssen auf Ihren Computern installiert werden“ ist jetzt in allen Government-Clouds verfügbar.
Es ist wahrscheinlich, dass sich diese Änderung auf die Sicherheitsbewertung Ihres Government-Cloudabonnements auswirkt. Es wird erwartet, dass die Änderung zu einer niedrigeren Bewertung führt, aber es ist möglich, dass die Einbeziehung der Empfehlung in einigen Fällen eine höhere Bewertung zur Folge hat.
Dezember 2021
Zu den Updates im Dezember gehören:
- Plan für Microsoft Defender für Container für allgemeine Verfügbarkeit (General Availability, GA) veröffentlicht
- Neue Warnungen für Microsoft Defender für Speicher für allgemeine Verfügbarkeit (General Availability, GA) veröffentlicht
- Verbesserungen für Warnungen für Microsoft Defender für Speicher
- PortSweeping-Warnung aus Warnungen auf Netzwerkebene entfernt
Plan für Microsoft Defender für Container für allgemeine Verfügbarkeit (General Availability, GA) veröffentlicht
Im Rahmen des Azure Defender-Angebots in Microsoft Defender für Cloud wurden vor mehr als zwei Jahren Defender für Kubernetes und Defender für Containerregistrierungen eingeführt.
Mit der Veröffentlichung von Microsoft Defender für Container haben wir diese beiden vorhandenen Defender-Pläne zusammengeführt.
Merkmale des neuen Plans:
- Er kombiniert die Features der beiden vorhandenen Pläne miteinander: Bedrohungserkennung für Kubernetes-Cluster und Sicherheitsrisikobewertung für Images, die in Containerregistrierungen gespeichert sind.
- Er bietet neue und verbesserte Features: Einschließlich Unterstützung mehrerer Clouds, Bedrohungserkennung auf Hostebene mit über 60 neuen Kubernetes-fähigen Analysen und Sicherheitsrisikobewertung für ausgeführte Images.
- Er führt Kubernetes-natives Onboarding im großen Stil ein: Beim Aktivieren des Plans werden standardmäßig alle relevanten Komponenten für die automatische Bereitstellung konfiguriert.
Mit diesem Release hat sich die Verfügbarkeit und Darstellung von Defender für Kubernetes und Defender für Containerregistrierungen wie folgt geändert:
- Neue Abonnements: Die beiden vorherigen Containerpläne sind nicht mehr verfügbar.
- Vorhandene Abonnements: Die Pläne werden überall im Azure-Portal als Veraltet angezeigt – zusammen mit einer Anleitung zum Upgraden auf den neueren Plan.
Der neue Plan ist für Dezember 2021 kostenlos. Informationen zu den potenziellen Abrechnungsänderungen zwischen den alten Plänen und Defender für Container sowie ausführlichere Informationen zu den Vorteilen dieses Plans finden Sie in der Einführung in Microsoft Defender für Container.
Weitere Informationen finden Sie unter
- Übersicht zu Microsoft Defender für Container
- Aktivieren von Microsoft Defender für Container
- Einführung in Microsoft Defender für Container (Microsoft Tech Community)
- Microsoft Defender für Container | Defender für Cloud im praktischen Einsatz Nr. 3 (YouTube)
Neue Warnungen für Microsoft Defender für Speicher für allgemeine Verfügbarkeit (General Availability, GA) veröffentlicht
Bedrohungsakteure verwenden Tools und Skripts, um nach öffentlich zugänglichen Containern zu suchen, und spekulieren darauf, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden.
Microsoft Defender für Speicher erkennt diese Scanner, sodass Sie sie blockieren und Ihren Sicherheitsstatus verbessern können.
Die Vorschauwarnung für diese Erkennung lautete Anonyme Überprüfung von öffentlichen Speichercontainern. Um die gefundenen verdächtigen Ereignisse klarer zu machen, wurde die Warnung in zwei neue Warnungen aufgeteilt. Diese Warnungen sind nur für Azure Blob Storage relevant.
Wir haben die Erkennungslogik verbessert, die Warnungsmetadaten aktualisiert sowie Warnungsname und Warnungstyp geändert.
Dies sind die neuen Warnungen:
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktik | severity |
|---|---|---|---|
| Öffentlich zugängliche Speichercontainer erfolgreich gefunden (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
In der letzten Stunde wurde durch ein Überprüfungsskript oder -tool mindestens ein öffentlich zugänglicher Speichercontainer in Ihrem Speicherkonto gefunden. Dies deutet in der Regel auf einen Reconnaissanceangriff hin, bei dem der Bedrohungsakteur versucht, Blobs durch Erraten von Containernamen auflisten zu lassen, in der Hoffnung, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden. Der Bedrohungsakteur kann sein eigenes Skript oder bekannte Scantools wie Microburst verwenden, um nach öffentlich zugänglichen Containern zu suchen. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Collection | Medium |
| Öffentlich zugängliche Speichercontainer nicht erfolgreich gescannt (Storage.Blob_OpenContainersScanning.FailedAttempt) |
In der letzten Stunde wurde mehrmals erfolglos versucht, nach öffentlich zugänglichen Speichercontainern zu suchen. Dies deutet in der Regel auf einen Reconnaissanceangriff hin, bei dem der Bedrohungsakteur versucht, Blobs durch Erraten von Containernamen auflisten zu lassen, in der Hoffnung, falsch konfigurierte offene Speichercontainer mit vertraulichen Daten zu finden. Der Bedrohungsakteur kann sein eigenes Skript oder bekannte Scantools wie Microburst verwenden, um nach öffentlich zugänglichen Containern zu suchen. ✔ Azure Blob Storage ✖ Azure Files ✖ Azure Data Lake Storage Gen2 |
Sammlung | Niedrig |
Weitere Informationen finden Sie unter
- Bedrohungsmatrix für Speicherdienste
- Übersicht zu Microsoft Defender für Storage
- Liste der Warnungen von Microsoft Defender für Speicher
Verbesserungen für Warnungen für Microsoft Defender für Speicher
Die Warnungen im Zusammenhang mit dem ersten Zugriff sind jetzt genauer und enthalten mehr Daten, um die Untersuchung zu unterstützen.
Bedrohungsakteure verwenden beim ersten Zugriff verschiedene Techniken, um innerhalb eines Netzwerks Fuß zu fassen. Zwei der Warnungen von Microsoft Defender für Speicher, die Verhaltensanomalien in dieser Phase erkennen, verfügen jetzt über eine verbesserte Erkennungslogik sowie über zusätzliche Daten, um Untersuchungen zu unterstützen.
Falls in der Vergangenheit für diese Warnungen Automatisierungen konfiguriert oder Warnungsunterdrückungsregeln definiert wurden, aktualisieren Sie sie entsprechend.
Erkennen des Zugriffs über einen Tor-Exitknoten
Der Zugriff über einen Tor-Exitknoten kann auf einen Bedrohungsakteur hindeuten, der versucht, seine Identität zu verbergen.
Die Warnung ist jetzt so optimiert, dass sie nur für authentifizierten Zugriff generiert wird. Dadurch erhöht sich sowohl die Genauigkeit als auch die Wahrscheinlichkeit, dass die Aktivität schädlich ist. Durch diese Verbesserung wird die Rate unschädlich positiver Ergebnisse reduziert.
Ein anormales Muster hat einen hohen Schweregrad, während weniger anomale Muster einen mittleren Schweregrad aufweisen.
Der Warnungsname und die Beschreibung wurden aktualisiert. Der Warnungstyp (AlertType) bleibt unverändert.
- Warnungsname (alt): Zugriff von einem Tor-Beendigungsknoten auf ein Speicherkonto
- Warnungsname (neu): Authentifizierter Zugriff von einem Tor-Exitknoten
- Warnungstypen: Storage.Blob_TorAnomaly/Storage.Files_TorAnomaly
- Beschreibung: Auf eine(n) oder mehrere Speichercontainer/Dateifreigaben in Ihrem Speicherkonto wurde erfolgreich über eine IP-Adresse zugegriffen, die als aktiver Exitknoten von Tor (anonymisierender Proxy) bekannt ist. Bedrohungsakteure verwenden Tor, um die Rückverfolgung der Aktivität zu erschweren. Der authentifizierte Zugriff über einen Tor-Exitknoten ist wahrscheinlich ein Hinweis darauf, dass ein Bedrohungsakteur versucht, seine Identität zu verbergen. Gilt für: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
- MITRE-Taktik: Erster Zugriff
- Schweregrad: Hoch/Mittel
Ungewöhnlicher nicht authentifizierter Zugriff
Eine Änderung der Zugriffsmuster kann darauf hindeuten, dass ein Bedrohungsakteur den öffentlichen Lesezugriff auf Speichercontainer ausnutzen konnte, indem er sich entweder einen Fehler in Zugriffskonfigurationen zunutze gemacht oder die Zugriffsberechtigungen geändert hat.
Diese Warnung mit mittlerem Schweregrad verfügt jetzt über eine verbesserte Verhaltenslogik und eine höhere Genauigkeit sowie über eine höhere Zuverlässigkeit bei der Einschätzung, ob es sich um eine schädliche Aktivität handelt. Durch diese Verbesserung wird die Rate unschädlich positiver Ergebnisse reduziert.
Der Warnungsname und die Beschreibung wurden aktualisiert. Der Warnungstyp (AlertType) bleibt unverändert.
- Warnungsname (alt): Anonymer Zugriff auf ein Speicherkonto
- Warnungsname (neu): Ungewöhnlicher nicht authentifizierter Zugriff auf einen Speichercontainer
- Warnungstypen: Storage.Blob_AnonymousAccessAnomaly
- Beschreibung: Auf dieses Speicherkonto wurde ohne Authentifizierung zugegriffen. Dies ist eine Änderung des allgemeinen Zugriffsmusters. Der Lesezugriff auf diesen Container wird in der Regel authentifiziert. Dies kann darauf hindeuten, dass ein Bedrohungsakteur den öffentlichen Lesezugriff auf Speichercontainer in diesen Speicherkonten ausnutzen konnte. Gilt für: Azure Blob Storage
- MITRE-Taktik: Sammlung
- Schweregrad: Mittel
Weitere Informationen finden Sie unter
- Bedrohungsmatrix für Speicherdienste
- Einführung in Microsoft Defender für Storage
- Liste der Warnungen von Microsoft Defender für Speicher
PortSweeping-Warnung aus Warnungen auf Netzwerkebene entfernt
Die folgende Warnung wurde aufgrund von Ineffizienzen aus den Warnungen auf Netzwerkebene entfernt:
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktiken | severity |
|---|---|---|---|
| Mögliche ausgehende Portscanaktivität erkannt (PortSweeping) |
Bei der Analyse des Netzwerkdatenverkehrs wurde verdächtiger ausgehender Datenverkehr von %{Compromised Host} erkannt. Dieser Datenverkehr kann das Ergebnis einer Portscanaktivität sein. Wenn es sich bei der kompromittierten Ressource um einen Lastenausgleich oder ein Anwendungsgateway handelt, stammt der vermutete ausgehende Datenverkehr von einer oder mehreren Ressourcen im Back-End-Pool (des Lastenausgleichs oder des Anwendungsgateways). Wenn dieses Verhalten beabsichtigt ist, beachten Sie, dass die Durchführung von Portscans gegen die Vertragsbedingungen von Azure verstößt. Wenn dieses Verhalten nicht beabsichtigt ist, kann dies darauf hindeuten, dass Ihre Ressourcen kompromittiert worden sind. | Ermittlung | Medium |
November 2021
Unser Ignite-Release umfasst Folgendes:
- Azure Security Center und Azure Defender werden zu Microsoft Defender für Cloud
- Native CSPM für AWS und Bedrohungsschutz für Amazon EKS und AWS EC2
- Priorisieren von Sicherheitsaktionen nach Datensensitivität (unterstützt durch Microsoft Purview) (in der Vorschau)
- Erweiterte Sicherheitskontrollbewertungen mit dem Azure-Sicherheitsvergleichstest v3
- Optionale bidirektionale Warnungssynchronisierung des Microsoft Sentinel-Connectors – jetzt allgemein verfügbar
- Neue Empfehlung zum Pushen von Azure Kubernetes Service-Protokollen (AKS) an Sentinel
- Dem MITRE ATT-&CK®-Framework zugeordnete Empfehlungen – jetzt allgemein verfügbar
Weitere Änderungen im November sind:
- Bedrohungs- und Sicherheitsrisikomanagement von Microsoft als Lösung zur Sicherheitsrisikobewertung hinzugefügt (in der Vorschau) – jetzt allgemein verfügbar
- Microsoft Defender für Endpunkt für Linux wird jetzt von Microsoft Defender für Server unterstützt – jetzt allgemein verfügbar
- Momentaufnahmeexport für Empfehlungen und Sicherheitsergebnisse (in der Vorschau)
- Automatische Bereitstellung von Lösungen zur Sicherheitsrisikobewertung – jetzt allgemein verfügbar
- Softwareinventurfilter im Bestandsverzeichnis – jetzt allgemein verfügbar
- Neue AKS-Sicherheitsrichtlinie zur Standardinitiative hinzugefügt – Vorschau
- Anwendung einer anderen Vorlage für den Ressourcennamen auf die Bestandsanzeige von lokalen Computern
Azure Security Center und Azure Defender werden zu Microsoft Defender für Cloud
Gemäß dem Bericht 2021 State of the Cloud verfügen 92 % der Organisationen jetzt über eine Multi-Cloud-Strategie. Ziel von Microsoft ist es, die Sicherheit in Umgebungen zu zentralisieren und Sicherheitsteams dabei zu unterstützen, effektiver zu arbeiten.
Microsoft Defender for Cloud ist eine Lösung für Cloud Security Posture Management (CSPM) und Cloudworkloadschutz (Cloud Workload Protection, CWP), die Schwachstellen in Ihrer Cloudkonfiguration entdeckt, den allgemeinen Sicherheitsstatus Ihrer Umgebung stärkt und Workloads in Umgebungen mit mehreren Clouds und Hybridumgebungen schützt.
Auf der Ignite 2019 haben wir unsere Vision vorgestellt, den umfassendsten Ansatz für die Absicherung Ihrer digitalen Ressourcen zu entwickeln und XDR-Technologien unter der Marke Microsoft Defender zu integrieren. Die Zusammenführung von Azure Security Center und Azure Defender unter dem neuen Namen Microsoft Defender for Cloud spiegelt die integrierten Funktionen unseres Sicherheitsangebots sowie unsere Fähigkeit zur Unterstützung jeder Cloudplattform wider.
Native CSPM für AWS und Bedrohungsschutz für Amazon EKS und AWS EC2
Eine neue Seite mit Umgebungseinstellungen bietet mehr Transparenz und Kontrolle über Ihre Verwaltungsgruppen, Abonnements und AWS-Konten. Die Seite ist für das Onboarding von AWS-Konten im großen Stil konzipiert: Durch das Verbinden Ihres AWS-Verwaltungskontos werden automatisch vorhandene und zukünftige Konten integriert.
Wenn Sie Ihre AWS-Konten hinzugefügt haben, schützt Defender für Cloud Ihre AWS-Ressourcen mit einem oder allen der folgenden Pläne:
- Die CSPM-Features von Defender für Cloud werden auf Ihre AWS-Ressourcen ausgeweitet. Dieser Plan ohne Agent bewertet Ihre AWS-Ressourcen gemäß AWS-spezifischen Sicherheitsempfehlungen und ist in Ihrer Sicherheitsbewertung enthalten. Die Ressourcen werden auch auf Einhaltung integrierter AWS-spezifischer Standards (AWS CIS, AWS PCI-DSS und AWS Foundational Security Best Practices) bewertet. Die Seite Bestandsverzeichnis von Defender für Cloud ist eine Multi-Cloud-Funktion, die Ihnen hilft, Ihre AWS-Ressourcen zusammen mit Ihren Azure-Ressourcen zu verwalten.
- Mit Microsoft Defender für Kubernetes werden die Containerbedrohungserkennung und erweiterten Schutzmaßnahmen auf Ihre Amazon EKS Linux-Cluster ausgeweitet.
- Microsoft Defender für Server stattet Ihre Windows- und Linux-EC2-Instanzen mit Bedrohungserkennung und erweiterten Schutzmaßnahmen aus. Dieser Plan umfasst die integrierte Lizenz für Microsoft Defender für Endpunkt, Sicherheitsbaselines und Bewertungen auf Betriebssystemebene, Überprüfungen zur Sicherheitsrisikobewertung, adaptive Anwendungssteuerung (AAC), Überwachung der Dateiintegrität (FIM) und mehr.
Weitere Informationen zum Verbinden Ihrer AWS-Konten mit Microsoft Defender für Cloud.
Priorisieren von Sicherheitsaktionen nach Datensensitivität (unterstützt durch Microsoft Purview) (in der Vorschau)
Datenressourcen bleiben ein beliebtes Ziel für Bedrohungsakteure. Daher ist es wichtig, dass Sicherheitsteams vertrauliche Datenressourcen in ihren Cloudumgebungen identifizieren, priorisieren und schützen.
Um diese Herausforderung zu bewältigen, integriert Microsoft Defender für Cloud jetzt Vertraulichkeitsinformationen aus Microsoft Purview. Microsoft Purview ist ein einheitlicher Datengovernance-Dienst, der umfassende Einblicke in die Vertraulichkeit Ihrer Daten innerhalb von Multi-Cloud- und lokalen Workloads bietet.
Die Integration in Microsoft Purview weitet Ihre Sicherheitstransparenz in Defender für Cloud von der Infrastrukturebene bis hinunter zu den Daten aus und ermöglicht eine völlig neue Möglichkeit, Ressourcen und Sicherheitsaktivitäten für Ihre Sicherheitsteams zu priorisieren.
Weitere Informationen finden Sie unter Priorisieren von Sicherheitsaktionen nach Datenvertraulichkeit.
Erweiterte Sicherheitskontrollbewertungen mit dem Azure-Sicherheitsvergleichstest v3
Die Sicherheitsempfehlungen in Microsoft Defender for Cloud werden von Azure Security Benchmark unterstützt.
Beim Azure-Sicherheitsvergleichstest handelt es sich um einen von Microsoft erstellten Satz mit Azure-spezifischen Richtlinien zu bewährten Methoden für Sicherheit und Compliance, die auf allgemeinen Complianceframeworks basieren. Diese weit verbreitete Benchmark basiert auf den Kontrollen des Center for Internet Security (CIS) und des National Institute of Standards and Technology (NIST) und konzentriert sich auf cloudzentrierte Sicherheit.
Ab der Ignite 2021 ist v3 des Azure-Sicherheitsvergleichstests im Dashboard für die Einhaltung gesetzlicher Bestimmungen von Defender für Cloud verfügbar und als neue Standardinitiative für alle Azure-Abonnements aktiviert, die mit Microsoft Defender für Cloud geschützt werden.
Zu den Verbesserungen für v3 gehören:
Zusätzliche Zuordnungen zu den Branchenframeworks PCI-DSS v3.2.1 und CIS Controls v8.
Detailliertere und umsetzbare Anleitungen für Steuerungen mit der Einführung von Folgendem:
- Sicherheitsprinzipien: Einblicke in die allgemeinen Sicherheitsziele, die die Grundlage für unsere Empfehlungen bilden.
- Azure-Leitfaden: Technische „Anleitung“ zum Erreichen dieser Ziele.
Neue Steuerungen umfassen DevOps-Sicherheit für Probleme wie Bedrohungsmodellierung und Sicherheit der Softwarelieferkette sowie Schlüssel- und Zertifikatverwaltung für bewährte Methoden in Azure.
Weitere Informationen finden Sie in der Einführung zum Azure-Sicherheitsvergleichstest.
Optionale bidirektionale Warnungssynchronisierung des Microsoft Sentinel-Connectors – jetzt allgemein verfügbar
Im Juli wurde eine Previewfunktion angekündigt, die bidirektionale Warnungssynchronisierung für den integrierten Connector in Microsoft Sentinel (die cloudnative SIEM- und SOAR-Lösung von Microsoft). Dieses Feature ist jetzt allgemein verfügbar.
Wenn Sie Microsoft Defender für Cloud mit Microsoft Sentinel verbinden, wird der Status von Sicherheitswarnungen zwischen den beiden Diensten synchronisiert. Wenn also beispielsweise eine Warnung in Defender for Cloud geschlossen wird, wird diese Warnung auch in Microsoft Sentinel als geschlossen angezeigt. Die Änderung des Status einer Warnung in Defender für Cloud wirkt sich nicht auf den Status aller Microsoft Sentinel Vorfälle aus, die die synchronisierte Microsoft Sentinel-Warnung enthalten, sondern nur auf den der synchronisierten Warnung selbst.
Wenn Sie Bidirektionale Synchronisierung von Warnungen aktivieren, wird der Status der ursprünglichen Defender for Cloud-Warnungen automatisch mit Microsoft Sentinel-Vorfällen synchronisiert, die Kopien dieser Warnungen enthalten. Wenn zum Beispiel ein Microsoft Sentinel-Vorfall, der eine Defender für Cloud-Warnung enthält, geschlossen wird, schließt Defender für Cloud automatisch die entsprechende ursprüngliche Warnung.
Weitere Informationen finden Sie unter Verbinden von Azure Defender-Benachrichtigungen aus Azure Security Center und Streamen von Warnungen in Azure Sentinel.
Neue Empfehlung zum Pushen von Azure Kubernetes Service-Protokollen (AKS) an Sentinel
In einer weiteren Verbesserung des kombinierten Werts von Defender für Cloud und Microsoft Sentinel werden jetzt Azure Kubernetes Service-Instanzen hervorgehoben, die keine Protokolldaten an Microsoft Sentinel senden.
SecOps-Teams können den entsprechenden Microsoft Sentinel-Arbeitsbereich direkt auf der Seite mit den Empfehlungsdetails auswählen und sofort das Streaming von Rohprotokollen aktivieren. Diese nahtlose Verbindung zwischen den beiden Produkten erleichtert es Sicherheitsteams, eine vollständige Protokollierungsabdeckung für ihre Workloads sicherzustellen, damit sie über die gesamte Umgebung auf dem Laufenden bleiben.
Die neue Empfehlung „Diagnoseprotokolle in Kubernetes-Diensten sollten aktiviert werden“ enthält die Option „Korrigieren“ für eine schnellere Korrektur.
Wir haben auch die Empfehlung „Überwachung auf SQL Server sollte aktiviert sein“ um die gleichen Sentinel-Streamingfunktionen erweitert.
Dem MITRE ATT-&CK®-Framework zugeordnete Empfehlungen – jetzt allgemein verfügbar
Wir haben die Sicherheitsempfehlungen von Defender für Cloud erweitert, um ihre Position im MITRE ATT&CK®-Framework anzuzeigen. Diese weltweit zugängliche Wissensbasis über die Taktiken und Techniken von Bedrohungsakteuren, die auf Beobachtungen in der realen Welt beruht, bietet mehr Kontext, um Ihnen zu helfen, die Risiken für Ihre Umgebung im Zusammenhang mit den Empfehlungen zu verstehen.
Sie finden diese Taktiken überall dort, wo Sie auf Empfehlungsinformationen zugreifen:
Azure Resource Graph-Abfrageergebnisse für relevante Empfehlungen beinhalten die MITRE ATT&CK®-Taktiken und -Techniken.
Die Seiten mit den Empfehlungsdetails zeigen die Zuordnung für alle relevanten Empfehlungen:
Die Seite „Empfehlungen“ in Defender für Cloud verfügt über einen neuen
-Filter zur Auswahl von Empfehlungen nach der zugehörigen Taktik:
Weitere Informationen finden Sie unter Überprüfen der Sicherheitsempfehlungen.
Bedrohungs- und Sicherheitsrisikomanagement von Microsoft als Lösung zur Sicherheitsrisikobewertung hinzugefügt (in der Vorschau) – jetzt allgemein verfügbar
Im Oktober wurde eine Erweiterung der Integration zwischen Microsoft Defender für Server und Microsoft Defender für Endpunkt angekündigt, um einen neuen Anbieter von Sicherheitsrisikobewertungen für Ihre Computer zu unterstützen: Bedrohungs- und Sicherheitsrisikomanagement von Microsoft. Dieses Feature ist jetzt allgemein verfügbar.
Verwenden Sie Bedrohungs- und Schwachstellenmanagement, um Schwachstellen und Fehlkonfigurationen nahezu in Echtzeit zu erkennen, wenn die Integration mit Microsoft Defender für Endpoint aktiviert ist, ohne dass zusätzliche Agenten oder regelmäßige Scans erforderlich sind. Das Bedrohungs- und Schwachstellenmanagement priorisiert Schwachstellen auf der Grundlage der Bedrohungslandschaft und der Entdeckungen in Ihrem Unternehmen.
Verwenden Sie die Sicherheitsempfehlung "Eine Lösung zur Bewertung von Schwachstellen sollte auf Ihren virtuellen Maschinen aktiviert sein", um die von der Bedrohungs- und Schwachstellenverwaltung erkannten Schwachstellen für Ihre unterstützten Maschinen anzuzeigen.
Um die Schwachstellen auf bestehenden und neuen Maschinen automatisch zu erkennen, ohne die Empfehlung manuell korrigieren zu müssen, siehe Schwachstellenbewertungslösungen können jetzt automatisch aktiviert werden (in der Vorschau).
Weitere Informationen finden Sie unter Untersuchen Sie Schwachstellen mit dem Bedrohungs- und Schwachstellenmanagement von Microsoft Defender for Endpoint.
Microsoft Defender für Endpunkt für Linux wird jetzt von Microsoft Defender für Server unterstützt – jetzt allgemein verfügbar
Im August wurde die Vorschauunterstützung für die Bereitstellung des Defender für Endpunkt für Linux-Sensors auf unterstützten Linux-Computern angekündigt. Dieses Feature ist jetzt allgemein verfügbar.
Microsoft Defender für Server beinhaltet eine integrierte Lizenz für Microsoft Defender für Endpunkt. Dadurch stehen umfassende EDR-Funktionen (Endpoint Detection and Response; Endpunkterkennung und -reaktion) zur Verfügung.
Wenn Defender für Endpunkt eine Bedrohung erkennt, wird eine Warnung ausgelöst. Die Warnung wird in Defender für Cloud angezeigt. Über Defender für Cloud können Sie auch zur Defender für Endpunkt-Konsole wechseln und eine detaillierte Untersuchung durchführen, um das Ausmaß des Angriffs zu ermitteln.
Weitere Informationen finden Sie unter Schützen Sie Ihre Endpunkte mit der in Security Center integrierten EDR-Lösung: Microsoft Defender für den Endpunkt.
Momentaufnahmeexport für Empfehlungen und Sicherheitsergebnisse (in der Vorschau)
Defender für Cloud generiert detaillierte Sicherheitswarnungen und -empfehlungen. Sie können diese im Portal oder über programmgesteuerte Tools anzeigen. Möglicherweise müssen Sie diese Informationen auch ganz oder teilweise für die Nachverfolgung mit anderen Überwachungstools in Ihrer Umgebung exportieren.
Mit dem fortlaufenden Export-Feature von Defender für Cloud können Sie umfassend anpassen, was exportiert wird und wohin. Weitere Informationen finden Sie unter Fortlaufendes Exportieren von Microsoft Defender für Cloud-Daten.
Obwohl das Feature als fortlaufend bezeichnet wird, gibt es auch eine Option zum Exportieren von wöchentlichen Momentaufnahmen. Bisher waren diese wöchentlichen Momentaufnahmen auf Sicherheitsbewertung und Daten zur Einhaltung gesetzlicher Bestimmungen beschränkt. Wir haben die Funktion zum Exportieren von Empfehlungen und Sicherheitsergebnissen hinzugefügt.
Automatische Bereitstellung von Lösungen zur Sicherheitsrisikobewertung – jetzt allgemein verfügbar
Im Oktober haben wir angekündigt, dass der Seite für die automatische Bereitstellung von Defender for Cloud Lösungen zur Sicherheitsrisikobewertung hinzugefügt werden. Dies ist für virtuelle Azure-Computer und Azure Arc-Computer in Abonnements relevant, die durch Azure Defender für Server geschützt sind. Dieses Feature ist jetzt allgemein verfügbar.
Wenn die Integration mit Microsoft Defender for Endpunkt aktiviert ist, zeigt Defender für Cloud außerdem eine Auswahl an Lösungen zur Sicherheitsrisikobewertung an:
- (NEU) Das Microsoft Bedrohungs- und Schwachstellenmanagement-Modul von Microsoft Defender für Endpoint (siehe die Release Note)
- Der integrierte Qualys-Agent
Die von Ihnen gewählte Lösung wird automatisch auf unterstützten Maschinen aktiviert.
Erfahren Sie mehr unter Automatische Konfiguration der Schwachstellenbewertung für Ihre Maschinen.
Softwareinventurfilter im Bestandsverzeichnis – jetzt allgemein verfügbar
Im Oktober wurden neue Filter für die Seite Bestandsverzeichnisangekündigt, mit denen Sie Computer, auf denen bestimmte Software ausgeführt wird, auswählen und dabei sogar die gewünschten Versionen angeben können. Dieses Feature ist jetzt allgemein verfügbar.
Sie können die Softwareinventurdaten im Azure Resource Graph Explorer abfragen.
Um diese Features nutzen zu können, müssen Sie die Integration mit Microsoft Defender for Endpoint aktivieren.
Ausführliche Informationen, einschließlich Beispielabfragen von Kusto für Azure Resource Graph, finden Sie unter Zugriff auf ein Softwareinventar.
Neue AKS-Sicherheitsrichtlinie zur Standardinitiative hinzugefügt
Um sicherzustellen, dass Kubernetes-Workloads standardmäßig sicher sind, fügt Defender für Cloud Richtlinien auf Kubernetes-Ebene und Härtungsempfehlungen hinzu, einschließlich Erzwingungsoptionen mit Kubernetes-Zugangskontrolle.
Im Rahmen dieses Projekts haben wir eine Richtlinie und Empfehlung (standardmäßig deaktiviert) für die Verhinderung der Bereitstellung in Kubernetes-Clustern hinzugefügt. Die Richtlinie befindet sich in der Standardinitiative, ist aber nur für Organisationen relevant, die sich für die zugehörige Vorschau registrieren.
Sie können die Richtlinien und Empfehlung („Kubernetes-Cluster sollten die Bereitstellung anfälliger Images verhindern“) problemlos ignorieren. Dies hat keine Auswirkungen auf Ihre Umgebung.
Wenn Sie an der Vorschau teilnehmen möchten, müssen Sie Mitglied des Vorschaurings sein. Wenn Sie noch kein Mitglied sind, senden Sie hier eine Anforderung. Mitglieder werden benachrichtigt, wenn die Vorschau beginnt.
Anwendung einer anderen Vorlage für den Ressourcennamen auf die Bestandsanzeige von lokalen Computern
Um die Darstellung von Ressourcen unter Ressourcenbestand zu verbessern, wurde das Element „source-computer-IP“ aus der Vorlage für die Benennung von lokalen Computern entfernt.
- Vorheriges Format:
machine-name_source-computer-id_VMUUID - Format nach der Aktualisierung:
machine-name_VMUUID
Oktober 2021
Updates im Oktober:
- Microsoft Threat and Vulnerability Management als Lösung zur Schwachstellenbewertung hinzugefügt (in der Vorschau)
- Schwachstellenbewertungslösungen können jetzt automatisch aktiviert werden (in der Vorschau)
- Software-Inventarisierungsfilter zum Bestandsverzeichnis hinzugefügt (in Vorschau)
- Ändern des Präfix einiger Warnungstypen von „ARM_“ in „VM_“
- Änderungen an der Logik einer Sicherheitsempfehlung für Kubernetes-Cluster
- Empfehlungen Detailseiten zeigen nun verwandte Empfehlungen an
- Neue Warnungen für Azure Defender für Kubernetes (in der Vorschau)
Microsoft Threat and Vulnerability Management als Lösung zur Schwachstellenbewertung hinzugefügt (in der Vorschau)
Wir haben die Integration zwischen Azure Defender für Server und Microsoft Defender für Endpoint erweitert, um eine neue Sicherheitsrisikobewertung für Ihre Computer zu unterstützen: Bedrohungs- und Sicherheitsrisikomanagement von Microsoft.
Verwenden Sie Bedrohungs- und Schwachstellenmanagement, um Schwachstellen und Fehlkonfigurationen nahezu in Echtzeit zu erkennen, wenn die Integration mit Microsoft Defender für Endpoint aktiviert ist, ohne dass zusätzliche Agenten oder regelmäßige Scans erforderlich sind. Das Bedrohungs- und Schwachstellenmanagement priorisiert Schwachstellen auf der Grundlage der Bedrohungslandschaft und der Entdeckungen in Ihrem Unternehmen.
Verwenden Sie die Sicherheitsempfehlung "Eine Lösung zur Bewertung von Schwachstellen sollte auf Ihren virtuellen Maschinen aktiviert sein", um die von der Bedrohungs- und Schwachstellenverwaltung erkannten Schwachstellen für Ihre unterstützten Maschinen anzuzeigen.
Um die Schwachstellen auf bestehenden und neuen Maschinen automatisch zu erkennen, ohne die Empfehlung manuell korrigieren zu müssen, siehe Schwachstellenbewertungslösungen können jetzt automatisch aktiviert werden (in der Vorschau).
Weitere Informationen finden Sie unter Untersuchen Sie Schwachstellen mit dem Bedrohungs- und Schwachstellenmanagement von Microsoft Defender for Endpoint.
Lösungen zur Schwachstellenanalyse können jetzt automatisch aktiviert werden (in der Vorschau)
Die Seite für die automatische Bereitstellung in Security Center enthält jetzt eine Option zum automatischen Aktivieren einer Lösung zur Sicherheitsrisikoanalyse für Azure-VMs und Azure Arc-Computer in Abonnements, die durch Azure Defender for Servers geschützt sind.
Wenn die Integration mit Microsoft Defender for Endpunkt aktiviert ist, zeigt Defender für Cloud außerdem eine Auswahl an Lösungen zur Sicherheitsrisikobewertung an:
- (NEU) Das Microsoft Bedrohungs- und Schwachstellenmanagement-Modul von Microsoft Defender für Endpoint (siehe die Release Note)
- Der integrierte Qualys-Agent
Die von Ihnen gewählte Lösung wird automatisch auf unterstützten Maschinen aktiviert.
Erfahren Sie mehr unter Automatische Konfiguration der Schwachstellenbewertung für Ihre Maschinen.
Software-Inventarisierungsfilter zum Anlageninventar hinzugefügt (in Vorschau)
Die Seite Anlageninventar enthält jetzt einen Filter zur Auswahl von Rechnern, auf denen bestimmte Software läuft - und sogar zur Angabe der gewünschten Versionen.
Außerdem können Sie die Softwareinventardaten im Azure Resource Graph Explorer abfragen.
Um diese neuen Funktionen nutzen zu können, müssen Sie die Integration mit Microsoft Defender for Endpoint aktivieren.
Ausführliche Informationen, einschließlich Beispielabfragen von Kusto für Azure Resource Graph, finden Sie unter Zugriff auf ein Softwareinventar.
Ändern des Präfix einiger Warnungstypen von „ARM_“ in „VM_“
Im Juli 2021 haben wir eine logische Neuorganisation des Azure Defender für Resource Manager-Warnungen angekündigt.
Während der Neuorganisation der Defender-Pläne wurden Warnungen von Azure Defender für Resource Manager nach Azure Defender for Servers verschoben.
Mit diesem Update haben wir die Präfixe dieser Warnungen so geändert, dass sie mit dieser Neuzuordnung übereinstimmen, und „ARM_“ durch „VM_“ ersetzt, wie in der folgenden Tabelle gezeigt:
| Ursprünglicher Name | Aus dieser Änderung |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Hier finden Sie weitere Informationen zu den Plänen Azure Defender für Resource Manager und Azure Defender für Server.
Änderungen an der Logik einer Sicherheitsempfehlung für Kubernetes-Cluster
Die Empfehlung „Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden“ verhindert bei einer Reihe von Ressourcentypen die Verwendung des Standardnamespace. Zwei der Ressourcentypen, die in dieser Empfehlung enthalten waren, wurden entfernt: ConfigMap und Secret.
Weitere Informationen zu dieser Empfehlung und zum Härten Ihrer Kubernetes-Cluster finden Sie unter Grundlegendes zu Azure Policy für Kubernetes-Cluster.
Empfehlungen Detailseiten zeigen nun verwandte Empfehlungen an
Um die Beziehungen zwischen verschiedenen Empfehlungen zu verdeutlichen, haben wir den Detailseiten vieler Empfehlungen den Bereich Verwandte Empfehlungen hinzugefügt.
Die drei Beziehungstypen, die auf diesen Seiten angezeigt werden, sind:
- Voraussetzung: Eine Empfehlung, die vor der ausgewählten Empfehlung abgeschlossen werden muss.
- Alternative: Eine andere Empfehlung, die eine weitere Möglichkeit bietet, die Ziele der ausgewählten Empfehlung zu erreichen.
- Abhängig: Eine Empfehlung, für die die ausgewählte Empfehlung eine Voraussetzung ist.
Für jede verwandte Empfehlung wird in der Spalte Betroffene Ressourcen die Anzahl fehlerhafter Ressourcen angezeigt.
Tipp
Wenn eine verwandte Empfehlung ausgegraut ist, ist ihre Abhängigkeit noch nicht abgeschlossen und die Empfehlung ist daher nicht verfügbar.
Ein Beispiel für verwandte Empfehlungen:
Security Center überprüft Ihre Computer auf unterstützte Lösungen zur Sicherheitsrisikobewertung:
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werdenWenn eine gefunden wird, werden Sie über erkannte Sicherheitsrisiken benachrichtigt:
Sicherheitsrisiken für VMs müssen behoben werden
Natürlich kann Security Center Sie nicht über erkannte Sicherheitsrisiken benachrichtigen, solange keine unterstützte Lösung zur Sicherheitsrisikobewertung gefunden wird.
Deshalb gilt Folgendes:
- Empfehlung 1 ist eine Voraussetzung für Empfehlung 2
- Empfehlung 2 hängt von Empfehlung 1 ab
Neue Warnungen für Azure Defender für Kubernetes (in der Vorschau)
Wir haben zwei Vorschauwarnungen hinzugefügt, um den Bedrohungsschutz von Azure Defender für Kubernetes zu erweitern.
Diese Warnungen werden basierend auf einem neuen Machine Learning-Modell und erweiterten Kubernetes-Analysen generiert, wobei mehrere Bereitstellungs- und Rollenzuweisungsattribute anhand vorheriger Aktivitäten im Cluster und in allen von Azure Defender überwachten Clustern gemessen werden.
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktik | Schweregrad |
|---|---|---|---|
| Anomale Podbereitstellung (Vorschau) (K8S_AnomalousPodDeployment) |
Bei der Kubernetes-Überwachungsprotokollanalyse wurde eine Podbereitstellung erkannt, die basierend auf der vorherigen Podbereitstellungsaktivität anomal ist. Diese Aktivität wird als Anomalie betrachtet, wenn berücksichtigt wird, in welcher Beziehung die verschiedenen Features im Bereitstellungsvorgang zueinander stehen. Die von dieser Analyse überwachten Features umfassen die verwendete Containerimageregistrierung, das Konto, das die Bereitstellung durchführt, den Wochentag, die Häufigkeit der Ausführung von Podbereitstellungen durch dieses Konto, den im Vorgang verwendeten Benutzer-Agent (dabei handelt es sich um einen Namespace, für den die Podbereitstellung zu häufig ausgeführt wird, oder ein anderes Feature). Die wichtigsten Gründe für das Auslösen dieser Warnung als anomale Aktivität werden in den erweiterten Eigenschaften der Warnung ausführlich beschrieben. | Ausführung | Medium |
| Im Kubernetes-Cluster zugewiesene übermäßige Rollenberechtigungen (Vorschau) (K8S_ServiceAcountPermissionAnomaly) |
Bei der Analyse der Kubernetes-Überwachungsprotokolle wurde eine übermäßige Zuweisung von Berechtigungen zu Ihrem Cluster erkannt. Bei der Untersuchung von Rollenzuweisungen sind die aufgeführten Berechtigungen für das jeweilige Dienstkonto ungewöhnlich. Bei dieser Erkennung werden vorherige Rollenzuweisungen für dasselbe Dienstkonto über von Azure überwachte Cluster hinweg, das Volume pro Berechtigung und die Auswirkungen der jeweiligen Berechtigung berücksichtigt. Das für diese Warnung verwendete Anomalieerkennungsmodell berücksichtigt, wie diese Berechtigung über alle von Azure Defender überwachte Cluster hinweg verwendet wird. | Berechtigungsausweitung | Niedrig |
Eine vollständige Liste der Kubernetes-Warnungen finden Sie unter Warnungen für Container: Kubernetes-Cluster.
September 2021
Im September wurde das folgende Update veröffentlicht:
Zwei neue Empfehlungen zur Prüfung von Betriebssystemkonfigurationen für die Einhaltung der Azure-Sicherheitsgrundlagen (in der Vorschau)
Die folgenden beiden Empfehlungen wurden veröffentlicht, um die Konformität Ihrer Computer mit der Windows-Sicherheitsbaseline und der Linux-Sicherheitsbaseline zu bewerten:
- Für Windows-Rechner sollten Schwachstellen in der Sicherheitskonfiguration auf Ihren Windows-Rechnern behoben werden (mit Hilfe der Gastkonfiguration).
- Für Linux-Rechner sollten Schwachstellen in der Sicherheitskonfiguration auf Ihren Linux-Rechnern behoben werden (mit Hilfe der Gastkonfiguration).
Diese Empfehlungen verwenden die Gastkonfigurationsfeature von Azure Policy, um die Betriebssystemkonfiguration einer Maschine mit der im Azure Security Benchmark definierten Baseline zu vergleichen.
Weitere Informationen zur Verwendung dieser Empfehlungen finden Sie unter Härten der Betriebssystemkonfiguration eines Computers mithilfe der Gastkonfiguration.
August 2021
Updates im August:
- Microsoft Defender für Endpunkt für Linux wird jetzt von Azure Defender für Server (Vorschauversion) unterstützt
- Zwei neue Empfehlungen für die Verwaltung von Endpoint Protection-Lösungen (Vorschauversion)
- Integrierte Problembehandlung und Anleitungen zum Beheben häufiger Probleme
- Azure Audit-Berichte des Dashboards für die Einhaltung gesetzlicher Bestimmungen, veröffentlicht zur allgemeinen Verfügbarkeit
- Empfehlung „Log Analytics-Agent-Integritätsprobleme müssen auf Computern gelöst werden“ veraltet
- Azure Defender für Containerregistrierungen sucht jetzt mit Azure Private Link nach Sicherheitsrisiken in Registrierungen
- Security Center kann jetzt die Azure Policy-Gastkonfigurationserweiterung automatisch bereitstellen (Vorschau).
- Empfehlungen zum Aktivieren von Azure Defender-Plänen unterstützen jetzt die Option „Erzwingen“
- CSV-Exporte von Empfehlungsdaten jetzt auf 20 MB beschränkt
- Die Seite „Empfehlungen“ enthält jetzt mehrere Ansichten
Microsoft Defender für Endpunkt für Linux wird jetzt von Azure Defender für Server (Vorschauversion) unterstützt
Azure Defender für Server beinhaltet eine integrierte Lizenz für Microsoft Defender für Endpunkt. Dadurch stehen umfassende EDR-Funktionen (Endpoint Detection and Response; Endpunkterkennung und -reaktion) zur Verfügung.
Wenn Defender für Endpunkt eine Bedrohung erkennt, wird eine Warnung ausgelöst. Die Warnung wird in Security Center angezeigt. Über Security Center können Sie auch zur Defender für Endpunkt-Konsole wechseln und eine ausführliche Untersuchung durchführen, um das Ausmaß des Angriffs zu ermitteln.
Während des Vorschauzeitraums stellen Sie den Defender für Endpunkt für Linux-Sensor auf unterstützten Linux-Computern auf eine von zwei Arten zur Verfügung, je nachdem, ob Sie ihn bereits auf Ihren Windows-Computern bereitgestellt haben:
- Bestehende Benutzer mit aktivierten erweiterten Sicherheitsfeatures von Defender für Cloud und Microsoft Defender für Endpunkt für Windows
- Neue Benutzer, die die Integration in Microsoft Defender für Endpunkt für Windows noch nie aktiviert haben
Weitere Informationen finden Sie unter Schützen Sie Ihre Endpunkte mit der in Security Center integrierten EDR-Lösung: Microsoft Defender für den Endpunkt.
Zwei neue Empfehlungen für die Verwaltung von Endpoint Protection-Lösungen (Vorschauversion)
Er wurden zwei Vorschau-Empfehlungen für die Bereitstellung und Wartung der Endpoint Protection-Lösungen auf Ihren Computern hinzugefügt. Beide Empfehlungen beinhalten Unterstützung für virtuelle Azure-Maschinen und Maschinen, die mit Azure Arc-aktivierten Servern verbunden sind.
| Empfehlung | BESCHREIBUNG | severity |
|---|---|---|
| Endpoint Protection sollte auf Ihren Computern installiert sein | Installieren Sie eine unterstützte Endpoint Protection-Lösung, um Ihre Computer vor Bedrohungen und Sicherheitsrisiken zu schützen. Informieren Sie sich über die Endpoint Protection-Evaluierung für Computer. (Zugehörige Richtlinie: Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen) |
Hoch |
| Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind hier dokumentiert. Die Endpoint Protection-Bewertung ist hier dokumentiert. (Zugehörige Richtlinie: Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen) |
Medium |
Hinweis
Die Empfehlungen zeigen als Aktualisierungsintervall 8 Stunden an, aber es gibt einige Szenarien, in denen dies erheblich länger dauern kann. Wenn beispielsweise ein lokaler Computer gelöscht wird, dauert es 24 Stunden, bis Security Center die Löschung erkannt hat. Danach dauert es bis zu 8 Stunden, bis die Bewertungsinformationen zurückgegeben werden. In dieser speziellen Situation kann es daher 32 Stunden dauern, bis der Computer aus der Liste der betroffenen Ressourcen entfernt wird.
Integrierte Problembehandlung und Anleitungen zum Beheben häufiger Probleme
Ein neuer, dedizierter Bereich der Security Center-Seiten im Azure-Portal bietet einen sortierten, ständig wachsenden Satz von Selbsthilfematerialien zur Lösung gängiger Herausforderungen mit Security Center Azure Defender.
Wenn Sie ein Problem haben oder von unserem Supportteam Hilfe anfordern möchten, ist Diagnose und Problemlösung ein weiteres Tool, mit dem Sie die Lösung finden können:
Azure Audit-Berichte des Dashboards für die Einhaltung gesetzlicher Bestimmungen, veröffentlicht zur allgemeinen Verfügbarkeit
Die Symbolleiste des Dashboards für die Einhaltung gesetzlicher Bestimmungen bietet Azure- und Dynamics-Zertifizierungsberichte für die auf Ihre Abonnements angewendeten Standards.
Sie können die Registerkarte für die relevanten Berichtstypen (PCI, SOC, ISO usw.) auswählen und Filter verwenden, um nach den benötigten spezifischen Berichten zu suchen.
Weitere Informationen finden Sie unter Generieren von Konformitätsstatusberichten und -zertifikaten.
Empfehlung „Log Analytics-Agent-Integritätsprobleme müssen auf Computern gelöst werden“ veraltet
Wir haben festgestellt, dass die EmpfehlungLog Analytics-Agent-Integritätsprobleme müssen auf Computern gelöst werden Auswirkungen auf die Sicherheitsbewertungen haben, die dem Schwerpunkt von Security Center Cloud Security Posture Management (CSPM) nicht entsprechen. In der Regel bezieht sich CSPM auf die Ermittlung von Fehlkonfigurationen bei der Sicherheit. Probleme mit der Agent-Integrität gehören nicht in diese Problemkategorie.
Darüber hinaus handelt es sich bei der Empfehlung im Gegensatz zu den anderen Agents im Zusammenhang mit Security Center um eine Anomalie: Dies ist der einzige Agent mit einer Empfehlung im Zusammenhang mit Integritätsproblemen.
Die Empfehlung wurde als veraltet eingestuft.
Daher haben wir auch geringfügige Änderungen an den Empfehlungen für die Installation des Log Analytics-Agents vorgenommen (Der Log Analytics-Agent muss auf ... installiert sein).
Diese Änderung wirkt sich mit hoher Wahrscheinlichkeit auf Ihre Sicherheitsbewertungen aus. Bei den meisten Abonnements erwarten wir, dass die Änderung zu einer höheren Bewertung führt. Es ist aber möglich, dass die Updates der Installationsempfehlung in einigen Fällen zu niedrigeren Bewertungen führen können.
Tipp
Diese Änderung wirkte sich auch auf die Seite Ressourcenbestand aus, da diese den Überwachungsstatus eines Computers anzeigt (überwacht, nicht überwacht oder teilweise überwacht) – ein Zustand, der einen Agent mit Integritätsproblemen anzeigt.
Azure Defender für Containerregistrierungen sucht jetzt mit Azure Private Link nach Sicherheitsrisiken in Registrierungen
Azure Defender für Containerregistrierungen enthält eine Überprüfungen auf Sicherheitsrisiken für Images in Ihren Azure Container Registry-Registrierungen. Informationen zum Überprüfen Ihrer Registrierungen und zum Beheben der Ergebnissen finden Sie unter Verwenden von Azure Defender für Containerregistrierungen zum Überprüfen Ihrer Images auf Sicherheitsrisiken.
Um den Zugriff auf eine in Azure Container Registry gehostete Registrierung zu beschränken, weisen Sie den Registrierungsendpunkten private IP-Adressen des virtuellen Netzwerks zu, und verwenden Sie Azure Private Link, wie in Herstellen einer privaten Verbindung mit einer Azure-Containerregistrierung über Azure Private Link beschrieben.
Im Rahmen unserer kontinuierlichen Bemühungen zur Unterstützung zusätzlicher Umgebungen und Anwendungsfälle überprüft Azure Defender jetzt auch Containerregistrierungen, die mit Azure Private Link geschützt werden.
Security Center kann jetzt die Azure Policy-Gastkonfigurationserweiterung automatisch bereitstellen (Vorschau).
Mit Azure Policy können Einstellungen innerhalb eines Computers überwacht werden. Dies gilt für in Azure ausgeführte Computer sowie für über Arc verbundene Computer. Für die Überprüfung verwenden Sie die Erweiterung und den Client Guest Configuration. Weitere Informationen finden Sie in Grundlegendes zur Gastkonfiguration von Azure Policy.
Mit diesem Update können Sie jetzt festlegen, dass Security Center diese Erweiterung automatisch für alle unterstützten Computer bereitstellt.
Weitere Informationen zur Funktionsweise der automatischen Bereitstellung finden Sie im Thema zum Konfigurieren der automatischen Bereitstellung für Agents und Erweiterungen.
Empfehlungen zum Aktivieren von Azure Defender-Plänen unterstützen jetzt die Option „Erzwingen“
Security Center enthält zwei Features, die sicherstellen, dass neu erstellte Ressourcen auf sichere Weise bereitgestellt werden: Erzwingen und Verweigern. Wenn eine Empfehlung diese Optionen bietet, können Sie sicherstellen, dass Ihre Sicherheitsanforderungen erfüllt werden, sobald jemand versucht, eine Ressource zu erstellen:
- Verweigern verhindert, dass fehlerhafte Ressourcen erstellt werden.
- Erzwingen sorgt automatisch dafür, dass nicht konforme Ressourcen bei ihrer Erstellung korrigiert werden.
Mit diesem Update ist nun die Option „Erzwingen“ in den Empfehlungen zur Aktivierung von Azure Defender-Plänen verfügbar (z. B. Azure Defender für App Service muss aktiviert sein, Azure Defender für Key Vault muss aktiviert sein, Azure Defender für Speicher muss aktiviert sein).
Weitere Informationen zu diesen Optionen finden Sie unter Verhindern von Fehlkonfigurationen mit den Optionen zum Erzwingen/Ablehnen für Empfehlungen.
CSV-Exporte von Empfehlungsdaten jetzt auf 20 MB beschränkt
Es wurde ein Grenzwert von 20 MB für das Exportieren von Security Center-Empfehlungsdaten eingerichtet.
Wenn Sie größere Datenmengen exportieren müssen, verwenden Sie vor der Auswahl die verfügbaren Filter, oder wählen Sie Teilmengen Ihrer Abonnements aus, und laden Sie die Daten in Batches herunter.
Erfahren Sie mehr über das Ausführen eines CSV-Exports Ihrer Sicherheitsempfehlungen.
Die Seite „Empfehlungen“ enthält jetzt mehrere Ansichten
Die Seite „Empfehlungen“ verfügt jetzt über zwei Registerkarten, um alternative Möglichkeiten zum Anzeigen der Empfehlungen zu bieten, die für Ihre Ressourcen relevant sind:
- Empfehlungen zur Sicherheitsbewertung: Auf dieser Registerkarte können Sie die Liste der Empfehlungen, gruppiert nach Sicherheitskontrollen, anzeigen. Weitere Informationen zu diesen Steuerelementen finden Sie unter Sicherheitskontrollen und deren Empfehlungen.
- Alle Empfehlungen: Auf dieser Registerkarte können Sie die Liste der Empfehlungen als einfache Liste anzeigen. Diese Registerkarte verdeutlicht zudem, welche Initiative (einschließlich Standards zur Einhaltung gesetzlicher Bestimmungen) die Empfehlung generiert hat. Weitere Informationen zu Initiativen und deren Beziehung zu Empfehlungen finden Sie unter Was sind Sicherheitsrichtlinien, Initiativen und Empfehlungen?
Juli 2021
Zu den Updates im Juli gehören:
- Der Azure Sentinel-Connector enthält jetzt optionale bidirektionale Warnungssynchronisierung (Vorschauversion)
- Logische Neuorganisation des Azure Defender für Resource Manager-Warnungen
- Erweiterungen der Empfehlung zum Aktivieren Azure Disk Encryption (ADE)
- Fortlaufender Export von Daten zur Sicherheitsbewertung und zur Einhaltung gesetzlicher Bestimmungen, veröffentlicht zur allgemeinen Verfügbarkeit
- Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst wurden (GA)
- Bewertungs-API-Felder „FirstEvaluationDate“ und „StatusChangeDate“ jetzt in Arbeitsbereichsschemas und Logik-Apps verfügbar
- Arbeitsmappenvorlage „Konformität im Zeitverlauf“ zum Azure Monitor Workbooks-Katalog hinzugefügt
Der Azure Sentinel-Connector enthält jetzt optionale bidirektionale Warnungssynchronisierung (Vorschauversion)
Security Center ist nativ in Azure Sentinel, der cloudnativen SIEM- und SOAR-Lösung von Azure, integriert.
Azure Sentinel umfasst integrierte Connectors für Azure Security Center auf Abonnement- und Mandantenebene. Weitere Informationen finden Sie unter Streamen von Warnungen in Azure Sentinel.
Wenn Sie Azure Defender mit Azure Sentinel verbinden, wird der Status der in den Azure Sentinel-Dienst übernommenen Azure Defender-Warnungen zwischen den beiden Diensten synchronisiert. Wenn also beispielsweise eine Warnung in einem Azure Defender geschlossen wird, wird diese Warnung auch in Azure Sentinel als geschlossen angezeigt. Das Ändern des Status einer Warnung in Azure Defender wirkt sich „nicht“ auf den Status von Azure Sentinel-Incidents aus, die die synchronisierte Azure Sentinel-Warnung enthalten, sondern nur auf den Status der synchronisierten Warnung selbst.
Wenn Sie die Previewfunktion Bidirektionale Synchronisierung von Warnungen aktivieren, wird der Status der ursprünglichen Azure Defender-Warnungen automatisch mit Azure Sentinel-Vorfällen synchronisiert, die Kopien dieser Azure Defender-Warnungen enthalten. Wenn also beispielsweise ein Azure Sentinel-Incident, der eine Azure Defender-Warnung enthält, geschlossen wird, schließt Azure Defender automatisch die entsprechende ursprüngliche Warnung.
Weitere Informationen finden Sie unter Verbinden von Azure Defender-Benachrichtigungen aus Azure Security Center.
Logische Neuorganisation des Azure Defender für Resource Manager-Warnungen
Die unten aufgeführten Warnungen wurden im Rahmen des Azure Defender für Resource Manager-Plans bereitgestellt.
Im Rahmen einer logischen Neuorganisation für einige der Azure Defender-Pläne wurden einzelne Warnungen vom Azure Defender für Resource Manager in den Azure Defender für Server verschoben.
Die Warnungen sind nach zwei Hauptprinzipien organisiert:
- Warnungen, die Schutz auf der Steuerungsebene für viele Azure-Ressourcentypen bieten, werden ein Teil des Azure Defender für Resource Manager
- Warnungen, die bestimmte Workloads schützen, befinden sich im Azure Defender-Plan, der sich auf diese Workload bezieht
Dies sind die Warnungen, die Teil des Azure Defender für Resource Manager waren und aufgrund dieser Änderung jetzt Teil von Azure Defender für Server sind:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Hier finden Sie weitere Informationen zu den Plänen Azure Defender für Resource Manager und Azure Defender für Server.
Erweiterungen der Empfehlung zum Aktivieren Azure Disk Encryption (ADE)
Aufgrund von Benutzerfeedback haben wir die Empfehlung Die Datenträgerverschlüsselung sollte auf virtuelle Computer angewendet werden umbenannt.
Die neue Empfehlung verwendet die gleiche Bewertungs-ID und heißt Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln.
Die Beschreibung wurde ebenfalls aktualisiert, um den Zweck dieser Empfehlung zur Härtung verständlicher zu machen:
| Empfehlung | BESCHREIBUNG | severity |
|---|---|---|
| Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln | Standardmäßig werden die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers im Ruhespeicher mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt. Temporäre Datenträger und Datencaches werden nicht verschlüsselt, und auch während der Übertragung zwischen Compute- und Speicherressourcen werden Daten nicht verschlüsselt. Weitere Informationen finden Sie im Vergleich der verschiedenen Datenträgerverschlüsselungstechnologien in Azure. Verwenden Sie Azure Disk Encryption, um sämtliche dieser Daten zu verschlüsseln. Ignorieren Sie diese Empfehlung, wenn (1) Sie die Verschlüsselung auf dem Host verwenden oder wenn die (2) serverseitige Verschlüsselung auf Managed Disks Ihre Sicherheitsanforderungen erfüllt. Weitere Informationen erhalten Sie unter „Serverseitige Verschlüsselung von Azure Disk Storage“. |
Hoch |
Fortlaufender Export von Daten zur Sicherheitsbewertung und zur Einhaltung gesetzlicher Bestimmungen, veröffentlicht zur allgemeinen Verfügbarkeit
Der fortlaufende Export stellt den Mechanismus zum Exportieren Ihrer Sicherheitswarnungen und Empfehlungen für die Nachverfolgung mit anderen Überwachungstools in Ihrer Umgebung bereit.
Wenn Sie den fortlaufenden Export einrichten, konfigurieren Sie, was exportiert wird und wohin die Daten übertragen werden. Weitere Informationen finden Sie unter Übersicht über den fortlaufende Export.
Wir haben dieses Feature im Laufe der Zeit verbessert und erweitert:
Im November 2020 haben wir die Vorschauoption hinzugefügt, um Änderungen an Ihre Sicherheitsbewertung zu streamen.
Vollständige Informationen finden Sie unter Die Sicherheitsbewertung ist jetzt im fortlaufenden Export (Vorschauversion) verfügbar.Im Dezember 2020 haben wir die Vorschaufunktion hinzugefügt, mit der Sie Änderungen an Ihren Daten zur Bewertung der Einhaltung gesetzlicher Bestimmungen streamen können.
Ausführliche Informationen finden Sie unter Fortlaufender Export ruft neue Datentypen ab (Vorschau).
Mit diesem Update werden diese beiden Optionen zur allgemeinen Verfügbarkeit veröffentlicht.
Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst wurden (GA)
Im Februar 2021 haben wir die Vorschau eines dritten Datentyps zu den Triggeroptionen für Ihre Workflowautomatisierungen hinzugefügt: Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen. Weitere Informationen finden Sie unter Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst werden.
Mit diesem Update wird diese Triggeroption zur allgemeinen Verfügbarkeit veröffentlicht.
Informieren Sie sich unter Automatisieren der Reaktionen auf Security Center-Trigger über die Nutzung der Tools für die Workflowautomatisierung.
Bewertungs-API-Felder „FirstEvaluationDate“ und „StatusChangeDate“ jetzt in Arbeitsbereichsschemas und Logik-Apps verfügbar
Im Mai 2021 haben wir der Bewertungs-API zwei neue Felder hinzugefügt: FirstEvaluationDate und StatusChangeDate. Vollständige Informationen finden Sie unter Die Bewertungs-API wurde um zwei neue Felder erweitert.
Auf diese Felder kann über die REST-API, Azure Resource Graph, den fortlaufenden Export und in CSV-Exporten zugegriffen werden.
Mit dieser Änderung stellen wir die Informationen im Log Analytics-Arbeitsbereichsschema und in Logik-Apps zur Verfügung.
Arbeitsmappenvorlage „Konformität im Zeitverlauf“ zum Azure Monitor Workbooks-Katalog hinzugefügt
Im März haben wir die integrierte Azure Monitor-Arbeitsmappenerfahrung in Security Center angekündigt (siehe Integration von Azure Monitor-Arbeitsmappen in Security Center und Bereitstellung von drei Vorlagen).
Das erste Release enthielt drei Vorlagen zum Erstellen dynamischer und visueller Berichte über den Sicherheitsstatus Ihrer Organisation.
Wir haben nun eine Arbeitsmappe hinzugefügt, die speziell für die Nachverfolgung der Konformität eines Abonnements mit den dafür geltenden gesetzlichen Vorschriften oder Branchenstandards bestimmt ist.
Informieren Sie sich über die Nutzung dieser Berichte oder die Erstellung eigener Berichte unter Erstellen umfassender interaktiver Berichte für Security Center-Daten.
Juni 2021
Zu den Updates im Juni gehören:
- Neue Warnung für Azure Defender für Key Vault
- Empfehlungen zur Verschlüsselung mit standardmäßig deaktivierten kundenseitig verwalteten Schlüsseln
- Änderung des Präfix für Kubernetes-Warnungen von „AKS_“ in „K8S_“
- Zwei Empfehlungen der Sicherheitskontrolle „Systemupdates anwenden“ wurden als veraltet eingestuft
Neue Warnung für Azure Defender für Key Vault
Wir haben die folgende Warnung hinzugefügt, um den Bedrohungsschutz von Azure Defender für Key Vault zu erweitern:
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktik | severity |
|---|---|---|---|
| Zugriff auf einen Schlüsseltresor von einer verdächtigen IP-Adresse (KV_SuspiciousIPAccess) |
Auf einen Schlüsseltresor ist ein erfolgreicher Zugriff von einer IP-Adresse erfolgt, die von Microsoft Threat Intelligence als verdächtige IP-Adresse identifiziert wurde. Dies kann ggf. ein Hinweis darauf sein, dass Ihre Infrastruktur kompromittiert wurde. Wir empfehlen Ihnen, dies eingehender zu untersuchen. Weitere Informationen finden Sie unter Threat Intelligence-Funktionen von Microsoft. | Zugriff auf Anmeldeinformationen | Medium |
Weitere Informationen finden Sie unter
- Einführung in Azure Defender für Key Vault
- Reagieren auf Warnungen zu Azure Defender für Key Vault
- Liste mit Warnungen von Azure Defender für Key Vault
Empfehlungen zur Verschlüsselung mit standardmäßig deaktivierten kundenseitig verwalteten Schlüsseln
Security Center enthält mehrere Empfehlungen zur Verschlüsselung von ruhenden Daten mit kundenseitig verwalteten Schlüsseln, z. B.:
- Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden
- Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.
- Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden
Daten werden in Azure automatisch mit plattformseitig verwalteten Schlüsseln verschlüsselt. Daher sollten kundenseitig verwaltete Schlüssel nur angewendet werden, wenn dies zur Einhaltung einer bestimmten Richtlinie erforderlich ist, die in Ihrer Organisation durchgesetzt werden soll.
Aufgrund dieser Änderung sind die Empfehlungen zur Nutzung von kundenseitig verwalteten Schlüsseln jetzt standardmäßig deaktiviert. Sie können sie wieder aktivieren, falls dies für Ihre Organisation relevant ist. Ändern Sie hierfür den Parameter Effect für die entsprechende Sicherheitsrichtlinie in AuditIfNotExists oder Enforce. Weitere Informationen finden Sie unter Aktivieren einer Sicherheitsempfehlung.
Diese Änderung wird in den Namen der Empfehlung durch das neue Präfix [Bei Bedarf aktivieren] widergespiegelt. Dies wird in den folgenden Beispielen veranschaulicht:
- [Bei Bedarf aktivieren] Speicherkonten müssen für die Verschlüsselung von ruhenden Daten einen kundenseitig verwalteten Schlüssel verwenden
- [Bei Bedarf aktivieren] Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden
- [Bei Bedarf aktivieren] Azure Cosmos DB-Konten müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden
Änderung des Präfix für Kubernetes-Warnungen von „AKS_“ in „K8S_“
Azure Defender für Kubernetes wurde kürzlich erweitert, um Kubernetes-Cluster zu schützen, die lokal und in Umgebungen mit mehreren Clouds gehostet werden. Weitere Informationen finden Sie unter Verwenden von Azure Defender für Kubernetes zum Schutz von Hybrid- und Multi-Cloud-Bereitstellungen von Kubernetes (Vorschau).
Um deutlich zu machen, dass die Sicherheitswarnungen von Azure Defender für Kubernetes nicht mehr auf Azure Kubernetes Service (AKS)-Cluster beschränkt sind, haben wir das Präfix für die Warnungstypen von „AKS_“ in „K8S_“ geändert. Bei Bedarf wurden auch die Namen und Beschreibungen aktualisiert. Ein Beispiel:
| Warnung (Warnungstyp) | Beschreibung |
|---|---|
| Erkannte Tools für Kubernetes-Penetrationstests (AKS_PenTestToolsKubeHunter) |
Die Analyse des Kubernetes-Überwachungsprotokolls hat die Verwendung von Kubernetes-Penetrationstesttools im AKS-Cluster erkannt. Dieses Verhalten kann zwar legitim sein, aber Angreifer können solche öffentlichen Tools für böswillige Zwecke nutzen. |
In diese Warnung geändert:
| Warnung (Warnungstyp) | Beschreibung |
|---|---|
| Erkannte Tools für Kubernetes-Penetrationstests (K8S_PenTestToolsKubeHunter) |
Die Analyse des Kubernetes-Überwachungsprotokolls hat die Verwendung von Kubernetes-Penetrationstesttools im Kubernetes-Cluster erkannt. Dieses Verhalten kann zwar legitim sein, aber Angreifer können solche öffentlichen Tools für böswillige Zwecke nutzen. |
Unterdrückungsregeln, in denen auf mit „AKS_“ beginnende Warnungen verwiesen wird, wurden automatisch konvertiert. Wenn Sie SIEM-Exporte oder benutzerdefinierte Automatisierungsskripts eingerichtet haben, in denen anhand des Warnungstyps auf Kubernetes-Warnungen verwiesen wird, müssen diese mit den neuen Warnungstypen aktualisiert werden.
Eine vollständige Liste der Kubernetes-Warnungen finden Sie unter Warnungen für Container: Kubernetes-Cluster.
Zwei Empfehlungen der Sicherheitskontrolle „Systemupdates anwenden“ wurden als veraltet eingestuft
Die beiden folgenden Empfehlungen wurden als veraltet eingestuft:
- Die Betriebssystemversion sollte für Ihre Clouddienstrollen aktualisiert werden: Azure aktualisiert Ihr Gastbetriebssystem standardmäßig in regelmäßigen Abständen auf das neueste Image innerhalb der BS-Familie, die Sie in der Dienstkonfiguration (CSCFG-Datei) angegeben haben (z B. Windows Server 2016).
- Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden: Die Evaluierungen dieser Empfehlung sind uns nicht weitreichend genug. Wir planen, die Empfehlung durch eine erweiterte Version zu ersetzen, die besser auf Ihre Sicherheitsanforderungen abgestimmt ist.
Mai 2021
Zu den Updates im Mai gehören:
- Azure Defender für DNS und Azure Defender für Resource Manager, veröffentlicht zur allgemeinen Verfügbarkeit
- Azure Defender für relationale Open-Source-Datenbanken, veröffentlicht zur allgemeinen Verfügbarkeit
- Neue Warnungen für Azure Defender für Resource Manager
- CI/CD-Sicherheitsrisikoüberprüfung von Containerimages mit GitHub-Workflows und Azure Defender (Vorschau)
- Verfügbarkeit weiterer Resource Graph-Abfragen für einige Empfehlungen
- Schweregrad der Empfehlung zur SQL-Datenklassifizierung geändert
- Neue Empfehlungen zur Aktivierung von Funktionen für den vertrauenswürdigen Start (Vorschau)
- Neue Empfehlungen für die Härtung von Kubernetes-Clustern (Vorschau)
- Die Bewertungs-API wurde um zwei neue Felder erweitert.
- Cloudumgebungsfilter für Ressourcenbestand
Azure Defender für DNS und Azure Defender für Resource Manager, veröffentlicht zur allgemeinen Verfügbarkeit
Diese beiden breit gefächerten cloudnativen Bedrohungsschutzpläne befinden sich nun in der Phase der allgemeinen Verfügbarkeit.
Diese neuen Schutzmaßnahmen sorgen für eine erhebliche Verbesserung der Resilienz gegenüber Angriffen von Bedrohungsakteuren sowie für eine deutliche Erhöhung der Anzahl von Azure-Ressourcen, die durch Azure Defender geschützt werden.
Azure Defender für Resource Manager: Überwacht automatisch alle in Ihrer Organisation ausgeführten Ressourcenverwaltungsvorgänge. Weitere Informationen finden Sie unter
Azure Defender für DNS: Überwacht kontinuierlich alle DNS-Abfragen Ihrer Azure-Ressourcen. Weitere Informationen finden Sie unter
Verwenden Sie die folgenden Empfehlungen, um den Prozess für die Aktivierung dieser Pläne zu vereinfachen:
- Azure Defender für Resource Manager muss aktiviert sein
- Azure Defender für DNS muss aktiviert sein
Hinweis
Bei Aktivierung dieser Azure Defender-Pläne fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie auf der Seite mit der Preisübersicht von Security Center.
Azure Defender für relationale Open-Source-Datenbanken, veröffentlicht zur allgemeinen Verfügbarkeit
Das Angebot zum SQL-Schutz von Azure Security Center wird um ein neues Paket erweitert, das für Ihre relationalen Open-Source-Datenbanken gilt:
- Azure Defender für Azure SQL-Datenbankserver – schützt Ihre nativen Azure SQL Server.
- Azure Defender für SQL Server auf Computern – erweitert denselben Schutz auf Ihre SQL Server-Instanzen in Hybrid-, Multicloud- und lokalen Umgebungen.
- Azure Defender für relationale Open-Source-Datenbanken: Dient zur Verteidigung Ihrer Single Server-Versionen von Azure Database for MySQL, PostgreSQL und MariaDB.
Mit Azure Defender für relationale Open-Source-Datenbanken werden Ihre Server ständig auf Sicherheitsbedrohungen überwacht, und es werden anomale Datenbankaktivitäten erkannt, die auf potenzielle Bedrohungen für Azure Database for MySQL, PostgreSQL und MariaDB hinweisen. Beispiele:
- Präzise Erkennung von Brute-Force-Angriffen: Azure Defender für relationale Open-Source-Datenbanken liefert ausführliche Informationen zu versuchten und erfolgreichen Brute-Force-Angriffen. So verfügen Sie über alle Informationen zur Art und zum Status des Angriffs auf Ihre Umgebung, die Sie benötigen, um die Untersuchung durchführen und entsprechend reagieren zu können.
- Warnungen zur Erkennung von bestimmtem Verhalten: Mit Azure Defender für relationale Open-Source-Datenbanken werden Sie vor verdächtigem und unerwartetem Verhalten auf Ihren Servern gewarnt, z. B. Änderungen beim Zugriffsmuster Ihrer Datenbank.
- Auf Threat Intelligence basierende Erkennung: Azure Defender wendet die Threat Intelligence-Informationen und eine umfangreiche Wissensdatenbank von Microsoft auf die Anzeige von Bedrohungswarnungen an, damit Sie entsprechende Maßnahmen ergreifen können.
Weitere Informationen finden Sie unter Einführung in Azure Defender für relationale Open-Source-Datenbanken.
Neue Warnungen für Azure Defender für Resource Manager
Wir haben die folgenden Warnungen hinzugefügt, um den Bedrohungsschutz von Azure Defender für Resource Manager zu erweitern:
| Warnung (Warnungstyp) | Beschreibung | MITRE-Taktiken | severity |
|---|---|---|---|
| In Ihrer Azure-Umgebung wurden für eine RBAC-Rolle auf ungewöhnliche Weise Berechtigungen gewährt (Vorschau) (ARM_AnomalousRBACRoleAssignment) |
Azure Defender für Resource Manager hat die Zuweisung einer RBAC-Rolle entdeckt, die gegenüber anderen Zuweisungen derselben zuweisenden Person bzw. für dieselbe zuweisende Person oder auf Ihrem Mandanten ungewöhnlich ist, weil Anomalien in den folgenden Bereichen bestehen: Zuweisungszeitpunkt, Standort der zuweisenden Person, zuweisende Person, Authentifizierungsmethode, zugewiesene Entitäten, verwendete Clientsoftware, Umfang der Zuweisung. Dieser Vorgang wurde ggf. von einem legitimen Benutzer Ihrer Organisation durchgeführt. Unter Umständen kann dies auch ein Hinweis darauf sein, dass ein Konto Ihrer Organisation übernommen wurde und dass der Bedrohungsakteur versucht, Berechtigungen für ein weiteres Konto in seinem Besitz zu gewähren. | Seitwärtsbewegung, Umgehen von Verteidigungsmaßnahmen | Medium |
| Für Ihr Abonnement wurde auf verdächtige Weise eine benutzerdefinierte privilegierte Rolle erstellt (Vorschau) (ARM_PrivilegedRoleDefinitionCreation) |
Azure Defender für Resource Manager hat in Ihrem Abonnement eine verdächtige Erstellung der Definition einer benutzerdefinierten privilegierten Rolle erkannt. Dieser Vorgang wurde ggf. von einem legitimen Benutzer Ihrer Organisation durchgeführt. Unter Umständen kann dies auch ein Hinweis darauf sein, dass ein Konto in Ihrer Organisation übernommen wurde und der Bedrohungsakteur versucht, eine privilegierte Rolle für die zukünftige Verwendung zu erstellen, um eine Erkennung zu vermeiden. | Seitwärtsbewegung, Umgehen von Verteidigungsmaßnahmen | Niedrig |
| Azure Resource Manager-Vorgang von einer verdächtigen IP-Adresse (Vorschau) (ARM_OperationFromSuspiciousIP) |
Azure Defender für Resource Manager hat einen Vorgang über eine IP-Adresse erkannt, die in Threat Intelligence-Feeds als verdächtig gekennzeichnet wurde. | Ausführung | Medium |
| Azure Resource Manager-Vorgang von einer verdächtigen Proxy-IP-Adresse (Vorschau) (ARM_OperationFromSuspiciousProxyIP) |
Azure Defender für Resource Manager hat einen Ressourcenverwaltungsvorgang von einer IP-Adresse erkannt, die Proxydiensten zugeordnet ist, z. B. TOR. Dieses Verhalten kann legitim sein, aber es wird häufig mit bösartigen Aktivitäten in Verbindung gebracht, wenn Bedrohungsakteure versuchen, ihre Quell-IP-Adresse zu verbergen. | Umgehen von Verteidigungsmaßnahmen | Medium |
Weitere Informationen finden Sie unter
- Einführung in Azure Defender für Resource Manager
- Reagieren auf Warnungen von Azure Defender für Resource Manager
- Warnungen für Resource Manager
CI/CD-Sicherheitsrisikoüberprüfung von Containerimages mit GitHub-Workflows und Azure Defender (Vorschau)
Azure Defender für Containerregistrierungen ermöglicht DevSecOps-Teams jetzt Einblicke in GitHub Actions-Workflows.
Mit dem neuen Feature „Überprüfung von Sicherheitsrisiken“ für Containerimages, das Trivy nutzt, können Sie eine Überprüfung auf häufige Sicherheitsrisiken in Containerimages durchführen, bevor Images in Containerregistrierungen gepusht werden.
Die Berichte zu Containerüberprüfungen sind in Azure Security Center zusammengefasst und ermöglichen Sicherheitsteams einen besseren Einblick und ein tieferes Verständnis der Ursache für anfällige Containerimages und die zugehörigen ursprünglichen Workflows und Repositorys.
Weitere Informationen finden Sie unter Identifizieren von anfälligen Containerimages in Ihren CI/CD-Workflows.
Verfügbarkeit weiterer Resource Graph-Abfragen für einige Empfehlungen
Für alle Empfehlungen von Security Center gibt es die Option, die Informationen zum Status der betroffenen Ressourcen mit Azure Resource Graph über Abfrage öffnen anzuzeigen. Ausführliche Informationen zu diesem leistungsstarken Feature finden Sie unter Überprüfen von Empfehlungsdaten im Azure Resource Graph-Explorer (ARG).
Security Center umfasst integrierte Überprüfungen auf Sicherheitsrisiken, um Ihre VMs, SQL Server-Instanzen und zugehörigen Hosts sowie die Containerregistrierungen auf Sicherheitsrisiken zu überprüfen. Die Ergebnisse werden als Empfehlungen zurückgegeben, wobei alle Einzelergebnisse für die einzelnen Ressourcentypen jeweils in einer Ansicht zusammengefasst sind. Die Empfehlungen lauten wie folgt:
- Sicherheitsrisiken in Azure Container Registry-Images müssen behoben werden (unterstützt von Qualys).
- Sicherheitsrisiken für VMs müssen behoben werden
- Bei SQL-Datenbanken sollten gefundene Sicherheitsrisiken behoben werden.
- Bei SQL Servern auf Computern sollten gefundene Sicherheitsrisiken behoben werden.
Dank dieser Änderung können Sie die Schaltfläche Abfrage öffnen verwenden, um auch die Abfrage mit den Sicherheitsergebnissen zu öffnen.
Die Schaltfläche Abfrage öffnen bietet zusätzliche Optionen für einige andere Empfehlungen, sofern relevant.
Weitere Informationen zu den Sicherheitsrisikoüberprüfungen von Security Center:
- Der in Azure Defender integrierte Qualys-Schwachstellen-Scanner für Azure- und Hybrid-Maschinen
- Integrierte Azure Defender-Überprüfung zur Sicherheitsrisikobewertung für SQL Server-Instanzen
- Integrierte Azure Defender-Überprüfung zur Sicherheitsrisikobewertung für Containerregistrierungen
Schweregrad der Empfehlung zur SQL-Datenklassifizierung geändert
Der Schweregrad der Empfehlung Sensible Daten in Ihren SQL-Datenbanken müssen klassifiziert werden wurde von Hoch in Niedrig geändert.
Dies ist Teil einer laufenden Änderung an dieser Empfehlung, die auf unserer Seite für bevorstehende Änderungen angekündigt wird.
Neue Empfehlungen zur Aktivierung von Funktionen für den vertrauenswürdigen Start (Vorschau)
Azure bietet den vertrauenswürdigen Start als nahtlose Möglichkeit zur Verbesserung der Sicherheit von VMs der Generation 2 an. Der vertrauenswürdige Start bietet Schutz vor komplexen und permanenten Angriffstechniken. Der vertrauenswürdige Start besteht aus mehreren koordinierten Infrastrukturtechnologien, die unabhängig voneinander aktiviert werden können. Jede Technologie bietet eine eigene Schutzschicht gegen komplexe Bedrohungen. Weitere Informationen finden Sie unter Vertrauenswürdiger Start für Azure-VMs.
Wichtig
Der vertrauenswürdige Start erfordert die Erstellung neuer VMs. Sie können den vertrauenswürdigen Start nicht für vorhandene VMs aktivieren, die ursprünglich ohne vertrauenswürdigen Start erstellt wurden.
Der vertrauenswürdige Start befindet sich derzeit in der öffentlichen Vorschau. Die Vorschau wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar.
Mit der Empfehlung Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden von Security Center wird sichergestellt, dass für Ihre Azure-VMs ein virtuelles TPM-Gerät genutzt wird. Diese virtualisierte Version einer Trusted Platform Module-Hardwareeinheit ermöglicht die Nachweiserbringung, indem die gesamte Startkette Ihrer VM (UEFI, Betriebssystem, System und Treiber) gemessen wird.
Wenn das virtuelle TPM-Gerät aktiviert ist, kann der sichere Start von der Erweiterung für den Gastnachweis per Remotezugriff überprüft werden. Mit den folgenden Empfehlungen wird sichergestellt, dass diese Erweiterung bereitgestellt wird:
- Für unterstützte Windows-VMs muss der sichere Start aktiviert werden
- Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein
- Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein.
- Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein
- Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein.
Weitere Informationen finden Sie unter Vertrauenswürdiger Start für Azure-VMs.
Neue Empfehlungen für die Härtung von Kubernetes-Clustern (Vorschau)
Mit den folgenden Empfehlungen können Sie die weitere Härtung Ihrer Kubernetes-Cluster durchführen.
- Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden: Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen.
- Kubernetes-Cluster müssen die automatische Bereitstellung von API-Anmeldeinformationen deaktivieren: Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, um für eine potenziell kompromittierte Podressource die Ausführung von API-Befehlen für Kubernetes-Cluster zu verhindern.
- Kubernetes-Cluster sollten keine CAPSYSADMIN-Sicherheitsfunktionen gewähren
Informationen dazu, wie Sie Ihre containerisierten Umgebungen mit Security Center schützen können, finden Sie unter Containersicherheit in Security Center.
Die Bewertungs-API wurde um zwei neue Felder erweitert.
Wir haben die folgenden beiden Felder zur Bewertungs-REST-API hinzugefügt:
- FirstEvaluationDate: Der Zeitpunkt, zu dem die Empfehlung erstellt und zum ersten Mal ausgewertet wurde. Wird als UTC-Zeit im ISO 8601-Format zurückgegeben.
- StatusChangeDate: Der Zeitpunkt, zu dem sich der Status der Empfehlung zuletzt geändert hat. Wird als UTC-Zeit im ISO 8601-Format zurückgegeben.
Der anfängliche Standardwert für diese Felder ist für alle Empfehlungen 2021-03-14T00:00:00+0000000Z.
Um auf diese Informationen zuzugreifen, können Sie eine der Methoden in der folgenden Tabelle verwenden.
| Tool | Details |
|---|---|
| REST-API-Aufruf | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Fortlaufendem Export | Die beiden dedizierten Felder sind für die Log Analytics-Arbeitsbereichsdaten verfügbar. |
| CSV-Export | Die beiden Felder sind in den CSV-Dateien enthalten. |
Erfahren Sie mehr zur Bewertungs-REST-API.
Cloudumgebungsfilter für Ressourcenbestand
Die Security Center-Seite für den Ressourcenbestand bietet einige Filter, mit denen die Liste mit den angezeigten Ressourcen schnell eingegrenzt werden kann. Weitere Informationen finden Sie unter Untersuchen und Verwalten Ihrer Ressourcen mit dem Ressourcenbestand und Verwaltungstools.
Ein neuer Filter bietet die Möglichkeit, die Liste gemäß den Cloudkonten einzugrenzen, mit denen Sie über die Multi-Cloud-Features von Security Center eine Verbindung hergestellt haben:
Weitere Informationen zu den Multi-Cloud-Features:
- Verbinden Ihrer AWS-Konten mit Azure Security Center
- Verbinden Ihrer GCP-Projekte mit Azure Security Center
April 2021
Zu den Updates im April gehören:
- Aktualisierte Seite „Ressourcenintegrität“ (Vorschau)
- Containerregistrierungsimages, die vor Kurzem gepullt wurden, werden jetzt wöchentlich erneut überprüft (veröffentlicht zur allgemeinen Verfügbarkeit)
- Verwenden von Azure Defender für Kubernetes zum Schutz von Hybrid- und Multi-Cloud-Bereitstellungen von Kubernetes (Vorschau)
- Microsoft Defender für Endpoint Integration mit Azure Defender unterstützt jetzt Windows Server 2019 und Windows 10 auf Windows Virtual Desktop für allgemeine Verfügbarkeit (GA) freigegeben
- Empfehlungen zum Aktivieren von Azure Defender für DNS und Resource Manager (Vorschau)
- Drei Standards zur Einhaltung gesetzlicher Bestimmungen wurden hinzugefügt: „Azure CIS 1.3.0“, „CMMC Level 3“ und „Durch New Zealand ISM eingeschränkt“.
- Vier neue Empfehlungen im Zusammenhang mit der Gastkonfiguration (Vorschau)
- CMK-Empfehlungen wurden in bewährte Methoden für die Sicherheitskontrolle verschoben
- Elf Azure Defender-Warnungen wurden als veraltet eingestuft.
- Zwei Empfehlungen der Sicherheitskontrolle „Systemupdates anwenden“ wurden als veraltet eingestuft
- Kachel für Azure Defender für SQL auf Computern vom Azure Defender-Dashboard entfernt
- 21 Empfehlungen wurden zwischen Sicherheitskontrollen verschoben.
Aktualisierte Seite „Ressourcenintegrität“ (Vorschau)
„Resource Health“ wurde erweitert und verbessert, um eine Momentaufnahmesicht der Gesamtintegrität einer einzelnen Ressource bereitzustellen.
Sie können ausführliche Informationen zur Ressource und sich alle Empfehlungen im Zusammenhang mit der Ressource ansehen. Wenn Sie die erweiterten Schutzpläne von Microsoft Defender verwenden, werden Ihnen außerdem sehr nützliche Sicherheitswarnungen für diese bestimmte Ressource angezeigt.
Wählen Sie auf der Seite Ressourcenbestand eine beliebige Ressource aus, um die Seite „Ressourcenintegrität“ für eine Ressource zu öffnen.
Diese Vorschauseite auf Portalseiten im Security Center zeigt:
- Ressourceninformationen: Zugehörige Ressourcengruppe, zugehöriges Abonnement, geografischer Standort und Ähnliches.
- Angewendetes Sicherheitsfeature: Gibt an, ob Azure Defender für die Ressource aktiviert ist.
- Anzahl ausstehenden Empfehlungen und Warnungen: Die Anzahl ausstehender Sicherheitsempfehlungen und Azure Defender-Warnungen.
- Umsetzbare Empfehlungen und handlungsrelevante Warnungen: Auf zwei Registerkarten werden die Empfehlungen und Warnungen für die Ressource aufgeführt.
Weitere Informationen finden Sie unter Tutorial: Untersuchen der Integrität Ihrer Ressourcen.
Containerregistrierungsimages, die vor Kurzem gepullt wurden, werden jetzt wöchentlich erneut überprüft (veröffentlicht zur allgemeinen Verfügbarkeit)
Azure Defender für Containerregistrierungen enthält eine integrierte Überprüfung auf Sicherheitsrisiken. Bei dieser Überprüfung werden alle Images, die Sie in Ihre Registrierung pushen oder per Pullvorgang innerhalb der letzten 30 Tage abgerufen haben, sofort überprüft.
Jeden Tag werden neue Sicherheitsrisiken entdeckt. Nach diesem Update werden Containerimages, die innerhalb der letzten 30 Tage per Pullvorgang aus Ihren Registrierungen abgerufen wurden, wöchentlich erneut überprüft. So wird sichergestellt, dass neu ermittelte Sicherheitsrisiken in Ihren Images erkannt werden.
Da die Kosten für die Überprüfung pro Image berechnet werden, fallen für diese erneuten Überprüfungen keine zusätzlichen Kosten an.
Weitere Informationen finden Sie unter Verwenden von Azure Defender für Containerregistrierungen zum Überprüfen Ihrer Images auf Sicherheitsrisiken.
Verwenden von Azure Defender für Kubernetes zum Schutz von Hybrid- und Multi-Cloud-Bereitstellungen von Kubernetes (Vorschau)
Azure Defender für Kubernetes erweitert seine Funktionen zum Schutz vor Bedrohungen, um Ihre Cluster unabhängig von Ihrem Bereitstellungsort zu schützen. Dies wurde durch die Integration von Kubernetes mit Azure Arc-Unterstützung und der zugehörigen neuen Erweiterungsfunktionen ermöglicht.
Wenn Sie Azure Arc in ihren Nicht-Azure Kubernetes-Clustern aktiviert haben, bietet eine neue Empfehlung von Azure Security Center an, den Azure Defender-Agent mit nur wenigen Klicks für Sie bereitzustellen.
Verwenden Sie die Empfehlung (für Kubernetes-Cluster mit Azure Arc-Unterstützung muss die Azure Defender-Erweiterung installiert sein) und die Erweiterung, um Kubernetes-Cluster zu schützen, die bei anderen Cloudanbietern, jedoch nicht in ihren verwalteten Kubernetes-Diensten bereitgestellt werden.
Diese Integration zwischen Azure Security Center, Azure Defender und Kubernetes mit Azure Arc-Unterstützung ermöglicht:
- Einfache Bereitstellung des Azure Defender-Agent für ungeschützte Kubernetes-Cluster mit Azure Arc-Aktivierung (manuell und skalierbar)
- Überwachung des Azure Defender-Agent und ihres Bereitstellungsstatus über das Azure Arc-Portal
- Sicherheitsempfehlungen von Security Center werden auf der neuen Seite "Sicherheit" des Azure Arc-Portals angezeigt
- Von Azure Defender erkannte Sicherheitsbedrohungen werden auf der neuen Seite "Sicherheit" des Azure Arc-Portals angezeigt
- Kubernetes-Cluster mit Azure Arc-Unterstützung werden in die Azure Security Center-Plattform und -Benutzeroberfläche integriert.
Weitere Informationen finden Sie unter Verwenden von Azure Defender für Kubernetes mit Ihren lokalen und Multi-Cloud-Kubernetes-Clustern.
Microsoft Defender für Endpoint Integration mit Azure Defender unterstützt jetzt Windows Server 2019 und Windows 10 auf Windows Virtual Desktop für allgemeine Verfügbarkeit (GA) freigegeben.
Microsoft Defender für den Endpunkt ist eine ganzheitliche, cloudbasierte Lösung für die Endpunktsicherheit. Sie ermöglicht die risikobasierte Verwaltung und Bewertung von Sicherheitsrisiken sowie Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR). Eine vollständige Liste mit den Vorteilen der gemeinsamen Nutzung von Defender für Endpunkt und Azure Security Center finden Sie unter Schützen Sie Ihre Endpunkte mit der in Security Center integrierten EDR-Lösung: Microsoft Defender für Endpunkt.
Wenn Sie Azure Defender für Server auf einem Windows-Server aktivieren, ist im Plan eine Lizenz für Defender für Endpunkt enthalten. Falls Sie Azure Defender für Server bereits aktiviert haben und unter Ihrem Abonnement Windows Server 2019-Server nutzen, wird Defender für Endpunkt mit diesem Update darauf automatisch bereitgestellt. Es ist keine manuelle Aktion erforderlich.
Die Unterstützung wurde nun auf Windows Server 2019 und Windows 10 auf Windows Virtual Desktop erweitert.
Hinweis
Stellen Sie beim Aktivieren von Defender für Endpunkt auf einem Windows Server 2019-Server sicher, dass die unter Aktivieren der Integration von Microsoft Defender für Endpunkt beschriebenen Voraussetzungen erfüllt sind.
Empfehlungen zum Aktivieren von Azure Defender für DNS und Resource Manager (Vorschau)
Zwei neue Empfehlungen wurden hinzugefügt, um den Prozess zum Aktivieren von Azure Defender für Resource Manager und Azure Defender für DNS zu vereinfachen:
- Azure Defender für Resource Manager muss aktiviert sein: Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten.
- Azure Defender für DNS muss aktiviert sein: Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen aus Ihren Azure-Ressourcen fortlaufend überwacht werden. Azure Defender warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene.
Bei Aktivierung dieser Azure Defender-Pläne fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie auf der Seite mit der Preisübersicht von Security Center.
Tipp
Empfehlungen der Vorschau versetzen keine Ressourcen in einen fehlerhaften Zustand, und sie werden nicht in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Setzen Sie sie trotzdem um, wann immer möglich, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen. Informationen zum Umgang mit diesen Empfehlungen finden Sie unter Umsetzen von Empfehlungen in Azure Security Center.
Drei Standards zur Einhaltung gesetzlicher Bestimmungen wurden hinzugefügt: „Azure CIS 1.3.0“, „CMMC Level 3“ und „Durch New Zealand ISM eingeschränkt“.
Wir haben drei Standards für die Verwendung mit Azure Security Center hinzugefügt. Mithilfe des Dashboards zur Einhaltung gesetzlicher Bestimmungen können Sie jetzt Ihre Konformität mit Folgendem nachverfolgen:
Sie können diese Standards Ihren Abonnements zuweisen, wie unter Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen beschrieben.
Weitere Informationen finden Sie hier:
- Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen
- Tutorial: Verbessern der Einhaltung gesetzlicher Vorschriften
- Häufig gestellte Fragen: Dashboard für die Einhaltung gesetzlicher Bestimmungen
Vier neue Empfehlungen im Zusammenhang mit der Gastkonfiguration (Vorschau)
Die Erweiterung für Gastkonfigurationen von Azure sendet Meldungen an Security Center, um sicherzustellen, dass die In-Guest-Einstellungen Ihrer virtuellen Computer festgeschrieben werden. Bei Arc-fähigen Servern wird die Erweiterung nicht benötigt, da sie bereits im Arc Connected Machine-Agent enthalten ist. Die Erweiterung erfordert eine vom System verwaltete Identität auf dem Computer.
Wir haben vier neue Empfehlungen zum Security Center hinzugefügt, damit Sie diese Erweiterung optimal nutzen können.
In zwei Empfehlungen werden Sie aufgefordert, die Erweiterung und die erforderliche vom System verwaltete Identität zu installieren:
- Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein.
- VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden
Wenn die Erweiterung installiert ist und ausgeführt wird, beginnt Sie mit der Überprüfung ihrer Computer, und Sie werden aufgefordert, Einstellungen wie die Konfiguration der Betriebssystem- und Umgebungseinstellungen festzuschreiben. Mit diesen beiden Empfehlungen werden Sie dazu aufgefordert, Ihre Windows-und Linux-Computer wie beschrieben festzuschreiben:
- Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein
- Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein
Weitere Informationen finden Sie in Grundlegendes zur Gastkonfiguration von Azure Policy.
CMK-Empfehlungen wurden in bewährte Methoden für die Sicherheitskontrolle verschoben
Das Sicherheitsprogramm jeder Organisation enthält Anforderungen an die Datenverschlüsselung. Die Daten von Azure-Kunden werden im Ruhezustand standardmäßig mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel (CMK) sind aber häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit CMKs können Sie Ihre Daten mit einem Azure Key Vault-Schlüssel verschlüsseln, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. So haben Sie die volle Kontrolle über den Schlüssellebenszyklus, einschließlich der Rotation und Verwaltung, und sind dafür entsprechend verantwortlich.
Bei Sicherheitskontrollen von Azure Security Center handelt es sich um logische Gruppen mit verwandten Sicherheitsempfehlungen, die Ihren anfälligen Angriffsflächen entsprechen. Jede Sicherheitskontrolle verfügt über eine maximale Anzahl von Punkten, die Ihrer Sicherheitsbewertung hinzugefügt wird, wenn Sie alle in der Sicherheitskontrolle aufgeführten Empfehlungen für Ihre gesamten Ressourcen umsetzen. Die Sicherheitskontrolle Best Practices für die Sicherheit implementieren hat einen Wert von null Punkten. Daher wirken sich die Empfehlungen dieser Sicherheitskontrolle nicht auf Ihre Sicherheitsbewertung aus.
Die unten angegebenen Empfehlungen werden in die Sicherheitskontrolle Best Practices für die Sicherheit implementieren verschoben, um besser zu verdeutlichen, dass sie optional sind. Durch die Verschiebung wird sichergestellt, dass sich diese Empfehlungen in der Sicherheitskontrolle befinden, die zur Erreichung des Ziels am besten geeignet ist.
- Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden.
- Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden
- Für Azure KI Services-Konten muss die Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel (CMK) aktiviert sein
- Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden
- SQL Managed Instance-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden
- SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden
- Speicherkonten sollten einen kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) zur Verschlüsselung verwenden.
Informationen dazu, welche Empfehlungen in den einzelnen Sicherheitssteuerungen enthalten sind, finden Sie unter Sicherheitskontrollen und deren Empfehlungen.
Elf Azure Defender-Warnungen als veraltet eingestuft
Die elf nachfolgend aufgeführten Azure Defender-Warnungen wurden als veraltet eingestuft.
Neue Warnungen werden diese beiden Warnungen ersetzt und für eine bessere Abdeckung sorgen:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PREVIEW – MicroBurst toolkit „Get-AzureDomainInfo“ function run detected (VORSCHAU – Ausführung der MicroBurst-Toolkitfunktion „Get-AzureDomainInfo“ erkannt) ARM_MicroBurstRunbook PREVIEW – MicroBurst toolkit „Get-AzurePasswords“ function run detected (VORSCHAU – Ausführung der MicroBurst-Funktion „Get-AzurePasswords“ erkannt) Die folgenden neun Warnungen beziehen sich auf einen Azure Active Directory Identity Protection-Connector (IPC), der bereits veraltet ist:
AlertType AlertDisplayName UnfamiliarLocation Ungewöhnliche Anmeldeeigenschaften AnonymousLogin Anonyme IP-Adresse InfectedDeviceLogin Mit Schadsoftware verknüpfte IP-Adresse ImpossibleTravel Ungewöhnlicher Ortswechsel MaliciousIP Schädliche IP-Adresse LeakedCredentials Kompromittierte Anmeldeinformationen PasswordSpray Kennwortspray LeakedCredentials Azure AD Threat Intelligence AADAI Azure AD-KI Tipp
Bei diesen neun IPC-Warnungen hat es sich niemals um Security Center-Warnungen gehandelt. Sie sind Teil des Azure Active Directory (AAD) Identity Protection Connector (IPC), der Sie an Security Center gesendet hat. In den letzten zwei Jahren haben nur solche Kunden diese Warnungen gesehen, die den Export (vom Connector zu ASC) im Jahr 2019 oder früher konfiguriert haben. AAD IPC hat Sie weiterhin in den eigenen Warnsystemen angezeigt und waren weiterhin in Azure Sentinel verfügbar. Die einzige Veränderung besteht darin, dass sie nicht mehr in Security Center angezeigt werden.
Zwei Empfehlungen der Sicherheitskontrolle „Systemupdates anwenden“ wurden als veraltet eingestuft
Die folgenden beiden Empfehlungen wurden als veraltet eingestuft und die Änderungen können geringfügige Auswirkungen auf Ihre Sicherheitsbewertung haben:
- Ihre Computer sollten zur Anwendung von Systemupdates neu gestartet werden
- Der Überwachungs-Agent sollte auf Ihren Computern installiert werden. Diese Empfehlung gilt nur für lokale Computer. Ein Teil der Logik wird in eine andere Empfehlung übertragen: Log Analytics-Agent-Integritätsprobleme müssen auf Computern gelöst werden
Wir empfehlen Ihnen, Ihre Konfigurationen für den fortlaufenden Export und die Workflowautomatisierung zu überprüfen, um zu ermitteln, ob diese Empfehlungen darin enthalten sind. Darüber hinaus sollten Sie alle Dashboards oder anderen Überwachungstools, für die diese ggf. genutzt werden, entsprechend aktualisieren.
Weitere Informationen zu diesen Empfehlungen finden Sie auf der Referenzseite zu Sicherheitsempfehlungen.
Kachel für Azure Defender für SQL auf Computern vom Azure Defender-Dashboard entfernt
Der Abdeckungsbereich des Azure Defender-Dashboards enthält Kacheln für die relevanten Azure Defender-Pläne für Ihre Umgebung. Aufgrund eines Problems mit der Meldung der Anzahl geschützter und nicht geschützter Ressourcen haben wir uns entschieden, den Ressourcenabdeckungsstatus für Azure Defender für SQL auf Computern vorübergehend zu entfernen, bis das Problem behoben ist.
Empfehlungen zwischen Sicherheitssteuerelementen verschoben
Die folgenden Empfehlungen wurden in andere Sicherheitskontrollen verschoben. Bei Sicherheitskontrollen handelt es sich um logische Gruppen verwandter Sicherheitsempfehlungen, die anfällige Angriffsflächen widerspiegeln. Durch die Verschiebung wird sichergestellt, dass sich jede dieser Empfehlungen in der am besten geeigneten Kontrolle befindet, um das jeweilige Ziel zu erreichen.
Informationen dazu, welche Empfehlungen in den einzelnen Sicherheitssteuerungen enthalten sind, finden Sie unter Sicherheitskontrollen und deren Empfehlungen.
| Empfehlung | Änderung und Auswirkung |
|---|---|
| Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein. Bewertung von Sicherheitsrisiken für verwaltete SQL-Instanzen aktivieren Sicherheitsrisiken in Ihren SQL-Datenbanken müssen entschärft werden (neu) Die Sicherheitsrisiken für Ihre SQL-Datenbanken in VMs müssen entschärft werden. |
Verschiebung aus „Sicherheitsrisiken entschärfen“ (sechs Punkte) in „Sicherheitskonfigurationen bereinigen“ (vier Punkte). Diese Empfehlungen haben je nach Umgebung eine geringere Auswirkung auf Ihre Bewertung. |
| Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein. Automation-Kontovariablen sollten verschlüsselt werden. IoT-Geräte: Überwachter Prozess hat das Senden von Ereignissen beendet IoT-Geräte: Fehler bei Validierung von Baseline von Betriebssystem IoT-Geräte:Upgrade der TLS-Verschlüsselungssammlung erforderlich IoT-Geräte: offene Ports auf Gerät IoT-Geräte: In einer der Ketten wurde eine zu wenig einschränkende Firewallrichtlinie gefunden IoT-Geräte: In der Eingabekette wurde eine zu wenig einschränkende Firewallregel gefunden IoT-Geräte: In der Ausgabekette wurde eine zu wenig einschränkende Firewallregel gefunden In IoT Hub sollten Diagnoseprotokolle aktiviert sein. IoT-Geräte: Agent sendet Nachrichten zu Unterauslastung IoT-Geräte: Die Standard-IP-Filterrichtlinie sollte auf „Verweigern“ festgelegt werden IoT-Geräte: Großer IP-Adressbereich für IP-Filterregel IoT-Geräte: Agent-Nachrichtenintervalle und -größe müssen angepasst werden IoT-Geräte: Identische Anmeldeinformationen für die Authentifizierung IoT-Geräte – Auditd-Prozess hat das Senden von Ereignissen beendet IoT-Geräte: Baselinekonfiguration des Betriebssystems (OS) muss korrigiert werden |
Verschiebung in Bewährte Sicherheitsmethoden implementieren. Wenn eine Empfehlung in die Sicherheitskontrolle „Bewährte Sicherheitsmethoden implementieren“ (Wert: null Punkte) verschoben wird, wirkt sie sich nicht mehr auf Ihre Sicherheitsbewertung aus. |
März 2021
Zu den Updates im März gehören:
- In Security Center integrierte Azure Firewall-Verwaltung
- SQL-Sicherheitsrisikobewertung enthält jetzt die Option „Regel deaktivieren“ (Vorschauversion)
- In Security Center integrierte Azure Monitor-Arbeitsmappen und drei verfügbare Vorlagen
- Dashboard für die Einhaltung gesetzlicher Bestimmungen enthält jetzt Azure-Überwachungsberichte (Vorschauversion)
- Empfehlungsdaten können mit „In ARG untersuchen“ in Azure Resource Graph angezeigt werden
- Updates der Richtlinien für die Bereitstellung der Workflowautomatisierung
- Von zwei Legacyempfehlungen werden keine Daten mehr direkt in das Azure-Aktivitätsprotokoll geschrieben
- Verbesserungen der Seite „Empfehlungen“
In Security Center integrierte Azure Firewall-Verwaltung
Wenn Sie Azure Security Center öffnen, wird als Erstes die Übersichtsseite angezeigt.
Dieses interaktive Dashboard ermöglicht eine einheitliche Übersicht über den Sicherheitsstatus Ihrer Hybrid Cloud-Workloads. Darüber hinaus werden darauf Sicherheitswarnungen, Informationen zur Abdeckung und andere Infos angezeigt.
Um Sie beim Anzeigen Ihres Sicherheitsstatus über eine zentrale Benutzeroberfläche zu unterstützen, haben wir u. a. Azure Firewall Manager in dieses Dashboard integriert. Sie können den Firewall-Abdeckungsstatus jetzt für alle Netzwerke überprüfen und über Security Center die Azure Firewall-Richtlinien an einem zentralen Ort verwalten.
Weitere Informationen zu diesem Dashboard finden Sie auf der Übersichtsseite für Azure Security Center.
SQL-Sicherheitsrisikobewertung enthält jetzt die Option „Regel deaktivieren“ (Vorschauversion)
Security Center enthält eine integrierte Überprüfung auf Sicherheitsrisiken, mit der Sie potenzielle Sicherheitsrisiken für Datenbanken ermitteln, nachverfolgen und beseitigen können. Die Ergebnisse Ihrer Überprüfungen für die Bewertung ermöglichen einen Überblick über den Sicherheitszustand Ihrer SQL-Computer und enthalten Einzelheiten zu allen Sicherheitsergebnissen.
Wenn in Ihrer Organisation eine Suche ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung und erzeugen kein unerwünschtes Rauschen.
Weitere Informationen finden Sie unter Deaktivieren bestimmter Ergebnisse.
In Security Center integrierte Azure Monitor-Arbeitsmappen und drei verfügbare Vorlagen
Bei der Ignite im Frühjahr 2021 haben wir eine integrierte Benutzeroberfläche für Azure Monitor-Arbeitsmappen in Security Center angekündigt.
Sie können diese neue Integration verwenden, um mit der Verwendung der vordefinierten Vorlagen aus dem Security Center-Katalog zu beginnen. Mit den Arbeitsmappenvorlagen können Sie auf dynamische und grafische Berichte zugreifen bzw. diese erstellen, um den Sicherheitsstatus Ihrer Organisation nachzuverfolgen. Darüber hinaus können Sie auch neue Arbeitsmappen, die auf Security Center-Daten basieren, oder alle anderen unterstützten Datentypen erstellen und in kurzer Zeit Community-Arbeitsmappen aus der GitHub-Community für Security Center bereitstellen.
Es sind drei Vorlagenberichte verfügbar:
- Sicherheitsbewertung im Zeitverlauf: Nutzen Sie die Nachverfolgung der Bewertungen Ihrer Abonnements und der Änderungen von Empfehlungen für Ihre Ressourcen.
- Systemupdates: Zeigen Sie fehlende Systemupdates nach Ressource, Betriebssystem, Schweregrad usw. an.
- Ergebnisse der Sicherheitsrisikobewertung: Zeigen Sie die Ergebnisse der Sicherheitsrisikobewertungen Ihrer Azure-Ressourcen an.
Informieren Sie sich über die Nutzung dieser Berichte oder die Erstellung eigener Berichte unter Erstellen umfassender interaktiver Berichte für Security Center-Daten.
Dashboard für die Einhaltung gesetzlicher Bestimmungen enthält jetzt Azure-Überwachungsberichte (Vorschauversion)
In der Symbolleiste im Dashboard für die Einhaltung gesetzlicher Bestimmungen können Sie jetzt Zertifizierungsberichte für Azure und Dynamics herunterladen.
Sie können die Registerkarte für die relevanten Berichtstypen (PCI, SOC, ISO usw.) auswählen und Filter verwenden, um nach den benötigten spezifischen Berichten zu suchen.
Informieren Sie sich über das Verwalten der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.
Empfehlungsdaten können mit „In ARG untersuchen“ in Azure Resource Graph angezeigt werden
Auf den Empfehlungsdetailseiten steht die Schaltfläche „In ARG untersuchen“ zur Verfügung. Verwenden Sie diese Schaltfläche, um eine Azure Resource Graph-Abfrage zu öffnen und die Daten der Empfehlung zu erkunden, zu exportieren und weiterzugeben.
Azure Resource Graph (ARG) bietet mit zuverlässigen Funktionen zum Filtern, Gruppieren und Sortieren sofortigen Zugriff auf Ressourceninformationen in Ihren Cloudumgebungen. Es ist eine schnelle und effiziente Möglichkeit, Informationen über Azure-Abonnements programmgesteuert oder aus dem Azure-Portal heraus abzufragen.
Weitere Informationen zu Azure Resource Graph (ARG) finden Sie hier.
Updates der Richtlinien für die Bereitstellung der Workflowautomatisierung
Die Automatisierung der Prozesse Ihrer Organisation zur Überwachung und Reaktion auf Vorfälle kann die Zeit, die zum Untersuchen von Sicherheitsvorfällen und zur Durchführung entsprechender Gegenmaßnahmen benötigt wird, erheblich verkürzen.
Wir stellen drei Azure Policy-Richtlinien vom Typ „DeployIfNotExist“ bereit, mit denen Verfahren für die Workflowautomatisierung erstellt und konfiguriert werden, damit Sie Ihre Automatisierungen in Ihrer gesamten Organisation bereitstellen können:
| Zielsetzung | Richtlinie | Richtlinien-ID |
|---|---|---|
| Workflowautomatisierung für Sicherheitswarnungen | Bereitstellen der Workflowautomatisierung für Azure Security Center-Warnungen | f1525828-9a90-4fcf-be48-268cdd02361e |
| Workflowautomatisierung für Sicherheitsempfehlungen | Bereitstellen der Workflowautomatisierung für Azure Security Center-Empfehlungen | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Workflowautomatisierung für Änderungen bei der Einhaltung gesetzlicher Bestimmungen | Workflowautomatisierung für die Einhaltung gesetzlicher Bestimmungen in Azure Security Center bereitstellen | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Für die Features dieser Richtlinien wurden zwei Aktualisierungen durchgeführt:
- Wenn sie zugewiesen werden, wird erzwungen, dass sie aktiviert bleiben.
- Sie können diese Richtlinien jetzt anpassen und alle Parameter auch nach der Bereitstellung noch aktualisieren. Sie können beispielsweise einen Bewertungsschlüssel hinzufügen oder bearbeiten.
Beginnen Sie mit Vorlagen zur Workflowautomatisierung.
Informieren Sie sich über das Automatisieren der Reaktionen auf Security Center-Trigger.
Von zwei Legacyempfehlungen werden keine Daten mehr direkt in das Azure-Aktivitätsprotokoll geschrieben
Von Security Center werden die Daten für nahezu alle Sicherheitsempfehlungen an Azure Advisor übergeben und anschließend von Azure Advisor in das Azure-Aktivitätsprotokoll geschrieben.
Bei zwei Empfehlungen werden die Daten gleichzeitig direkt in das Azure-Aktivitätsprotokoll geschrieben. Diese Änderung sorgt dafür, dass Daten für diese Legacysicherheitsempfehlungen von Security Center nicht mehr direkt in das Aktivitätsprotokoll geschrieben werden. Stattdessen werden die Daten genau wie bei allen anderen Empfehlungen nach Azure Advisor exportiert.
Die beiden Legacyempfehlungen sind:
- Integritätsprobleme in Endpoint Protection sollten auf Ihren Computern behoben werden.
- Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden.
Wenn Sie auf Informationen für diese beiden Empfehlungen in der Kategorie „Empfehlung vom Typ "TaskDiscovery"“ zugegriffen haben, ist dies nicht mehr möglich.
Verbesserungen der Seite „Empfehlungen“
Wir haben eine verbesserte Version der Empfehlungsliste veröffentlicht, um mehr Informationen auf einen Blick zu präsentieren.
Auf der Seite sehen Sie nun Folgendes:
- Die maximale Bewertung und die aktuelle Bewertung für jede Sicherheitskontrolle
- Symbole, die Tags ersetzen, etwa Fix und Vorschau
- Eine neue Spalte mit der Richtlinieninitiative für jede Empfehlung (sichtbar, wenn „Nach Kontrollen gruppieren“ deaktiviert ist)
Weitere Informationen finden Sie unter Sicherheitsempfehlungen in Azure Security Center.
Februar 2021
Updates im Februar:
- Neue Seite „Sicherheitswarnungen“ im Azure-Portal nun allgemein verfügbar
- Empfehlungen zum Schutz von Kubernetes-Workloads nun allgemein verfügbar
- Microsoft Defender für Endpoint Integration mit Azure Defender unterstützt jetzt Windows Server 2019 und Windows 10 auf Windows Virtual Desktop (in der Vorschau)
- Direkter Link zur Richtlinie auf der Seite mit den Empfehlungsdetails
- Empfehlung zur SQL-Datenklassifizierung hat keine Auswirkung auf Ihre Sicherheitsbewertung mehr
- Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst werden (Vorschau)
- Erweiterungen für die Seite „Ressourcenbestand“
Neue Seite „Sicherheitswarnungen“ im Azure-Portal nun allgemein verfügbar
Die Seite „Sicherheitswarnungen“ in Azure Security Center wurde neu gestaltet, um folgende Funktionen bereitzustellen:
- Eine verbesserte Selektierungsoberfläche für Warnungen: Die Liste enthält anpassbare Filter und Gruppierungsoptionen und trägt dadurch zur Reduzierung der „Warnungsmüdigkeit“ bei, sodass Sie sich einfacher auf die relevantesten Bedrohungen konzentrieren können.
- Weitere Informationen in der Warnungsliste, beispielsweise MITRE ATT&CK-Taktiken
- Schaltfläche zum Erstellen von Beispielwarnungen: Zum Evaluieren von Azure Defender-Funktionen und Testen Ihrer Warnungen. Sie können Beispielwarnungen aus allen Azure Defender-Plänen erstellen (Konfiguration für SIEM-Integration, E-Mail-Benachrichtigungen und Workflowautomatisierungen).
- Angleichung an die Azure Sentinel-Incidentoberfläche: Für Kunden, die beide Produkte verwenden, ist der Wechsel zwischen den Produkten jetzt unkomplizierter, und es ist einfach, das eine vom anderen zu übernehmen.
- Bessere Leistung für große Warnungslisten
- Tastaturnavigation durch die Warnungsliste
- Warnungen aus Azure Resource Graph: Sie können Warnungen in Azure Resource Graph abfragen, der Kusto-ähnlichen API für alle Ihre Ressourcen. Dies ist auch nützlich, wenn Sie eigene Warnungsdashboards erstellen. Erfahren Sie mehr über Azure Resource Graph.
- Feature zum Erstellen von Beispielwarnungen: Informationen zum Erstellen von Beispielwarnungen über die neue Oberfläche für Warnungen finden Sie unter Generieren von Azure Defender-Beispielwarnungen.
Empfehlungen zum Schutz von Kubernetes-Workloads nun allgemein verfügbar
Wir freuen uns, ankündigen zu können, dass die Empfehlungen für den Schutz von Kubernetes-Workloads jetzt allgemein verfügbar sind.
Um sicherzustellen, dass Kubernetes-Workloads standardmäßig sicher sind, wurden über Security Center Härtungsempfehlungen auf Kubernetes-Ebene hinzugefügt, z. B. auch Erzwingungsoptionen mit Kubernetes-Zugangskontrolle.
Wenn Azure Policy für Kubernetes in Ihrem AKS-Cluster (Azure Kubernetes Service) installiert ist, wird jede Anforderung an den Kubernetes-API-Server anhand der vordefinierten bewährten Methoden (Anzeige in Form von 13 Sicherheitsempfehlungen) überwacht, bevor sie im Cluster gespeichert wird. Anschließend können Sie das Erzwingen der bewährten Methoden konfigurieren und auf zukünftige Workloads anwenden.
Beispielsweise können Sie vorschreiben, dass keine privilegierten Container erstellt werden sollen und dass zukünftige Anforderungen für diese Aktion blockiert werden sollen.
Weitere Informationen finden Sie unter Bewährte Methoden zum Schutz von Workloads mithilfe der Kubernetes-Zugangssteuerung.
Hinweis
Während sich die Empfehlungen in der Vorschauphase befunden haben, haben diese nicht dazu geführt, dass eine AKS-Clusterressource als fehlerhaft gekennzeichnet wurde, und sind nicht in die Berechnung Ihrer Sicherheitsbewertung eingegangen. Ab dem Zeitpunkt dieser Ankündigung zur allgemeinen Verfügbarkeit wirken sie sich aber auf die Bewertungsberechnung aus. Falls Sie sie noch nicht umgesetzt haben, kann sich dies geringfügig auf Ihre Sicherheitsbewertung auswirken. Setzen Sie sie nach Möglichkeit um, wie dies unter Umsetzen von Empfehlungen in Azure Security Center beschrieben ist.
Microsoft Defender für Endpoint Integration mit Azure Defender unterstützt jetzt Windows Server 2019 und Windows 10 auf Windows Virtual Desktop (in der Vorschau).
Microsoft Defender für den Endpunkt ist eine ganzheitliche, cloudbasierte Lösung für die Endpunktsicherheit. Sie ermöglicht die risikobasierte Verwaltung und Bewertung von Sicherheitsrisiken sowie Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR). Eine vollständige Liste mit den Vorteilen der gemeinsamen Nutzung von Defender für Endpunkt und Azure Security Center finden Sie unter Schützen Sie Ihre Endpunkte mit der in Security Center integrierten EDR-Lösung: Microsoft Defender für Endpunkt.
Wenn Sie Azure Defender für Server auf einem Windows-Server aktivieren, ist im Plan eine Lizenz für Defender für Endpunkt enthalten. Falls Sie Azure Defender für Server bereits aktiviert haben und unter Ihrem Abonnement Windows Server 2019-Server nutzen, wird Defender für Endpunkt mit diesem Update darauf automatisch bereitgestellt. Es ist keine manuelle Aktion erforderlich.
Die Unterstützung wurde nun auf Windows Server 2019 und Windows 10 auf Windows Virtual Desktop erweitert.
Hinweis
Stellen Sie beim Aktivieren von Defender für Endpunkt auf einem Windows Server 2019-Server sicher, dass die unter Aktivieren der Integration von Microsoft Defender für Endpunkt beschriebenen Voraussetzungen erfüllt sind.
Direkter Link zur Richtlinie auf der Seite mit den Empfehlungsdetails
Wenn Sie die Details einer Empfehlung überprüfen, ist es häufig hilfreich, die zugrunde liegende Richtlinie zu kennen. Für jede Empfehlung, die von einer Richtlinie unterstützt wird, enthält die Seite mit den Empfehlungsdetails einen neuen Link:
Verwenden Sie diesen Link, um die Richtliniendefinition anzuzeigen und die Bewertungslogik zu überprüfen.
In der Liste mit den Empfehlungen in unserem Referenzhandbuch für Sicherheitsempfehlungen finden Sie auch Links zu den Seiten mit Richtliniendefinitionen:
Empfehlung zur SQL-Datenklassifizierung hat keine Auswirkung auf Ihre Sicherheitsbewertung mehr
Die Empfehlung Sensible Daten in Ihren SQL-Datenbanken müssen klassifiziert werden hat keine Auswirkung auf Ihre Sicherheitsbewertung mehr. Die Sicherheitssteuerung wendet die Datenklassifizierung an, die sie enthält, verfügt jetzt über einen Sicherheitsbewertungswert von 0.
Eine vollständige Liste aller Sicherheitssteuerelemente sowie deren Bewertungen und eine Liste der Empfehlungen finden Sie unter "Sicherheitssteuerelemente" und deren Empfehlungen.
Workflowautomatisierungen können durch Änderungen an Bewertungen der Einhaltung gesetzlicher Bestimmungen ausgelöst werden (Vorschau)
Wir haben den Triggeroptionen für Ihre Workflowautomatisierungen jetzt einen dritten Datentyp hinzugefügt: Änderungen an Bewertungen zur Einhaltung gesetzlicher Bestimmungen.
Informieren Sie sich unter Automatisieren der Reaktionen auf Security Center-Trigger über die Nutzung der Tools für die Workflowautomatisierung.
Erweiterungen für die Seite „Ressourcenbestand“
Die Seite „Ressourcenbestand“ in Azure Security Center wurde wie folgt verbessert:
Zusammenfassungen am oberen Rand der Seite enthalten jetzt Nicht registrierte Abonnements und geben Aufschluss über die Anzahl von Abonnements ohne Security Center-Aktivierung.
Filter wurden erweitert und verbessert, um Folgendes einzuschließen:
Anzahl: Für die Filter wird jeweils die Anzahl von Ressourcen angezeigt, die die Kriterien der jeweiligen Kategorie erfüllen.
Ausnahmenfilter (optional): Ermöglicht das Eingrenzen der Ergebnisse auf Ressourcen mit bzw. ohne Ausnahmen. Dieser Filter wird standardmäßig nicht angezeigt, ist aber über die Schaltfläche Filter hinzufügen verfügbar.
Weitere Informationen zum Erkunden und Verwalten Ihrer Ressourcen mithilfe des Ressourcenbestands und finden Sie hier.
Januar 2021
Die Updates im Januar umfassen Folgendes:
- Der Azure-Sicherheitsvergleichstest ist jetzt die Standardrichtlinieninitiative für Azure Security Center.
- Die Sicherheitsrisikobewertung für lokale Computer und Multi-Cloud-Computer ist jetzt allgemein verfügbar.
- Die Sicherheitsbewertung für Verwaltungsgruppen ist jetzt als Vorschau verfügbar.
- Die Sicherheitsbewertungs-API ist jetzt allgemein verfügbar.
- Azure Defender für App Service wurde Schutz vor verwaisten DNS-Einträgen hinzugefügt.
- Multi-Cloud-Connectors sind jetzt allgemein verfügbar.
- Möglichkeit, bei Ihrer Sicherheitsbewertung für Abonnements und Verwaltungsgruppen ganze Empfehlungen auszunehmen
- Benutzer können beim globalen Administrator jetzt mandantenweite Sichtbarkeit anfordern.
- 35 Vorschauempfehlungen werden hinzugefügt, um die Abdeckung des Azure-Sicherheitsvergleichstests zu erhöhen
- CSV-Export der gefilterten Liste mit Empfehlungen
- Nicht anwendbare Ressourcen werden in Azure Policy-Bewertungen jetzt als „Konform“ gemeldet.
- Exportieren wöchentlicher Momentaufnahmen der Daten für die Sicherheitsbewertung und die Einhaltung gesetzlicher Bestimmungen per fortlaufendem Export (Vorschau)
Der Azure-Sicherheitsvergleichstest ist jetzt die Standardrichtlinieninitiative für Azure Security Center.
Beim Azure-Sicherheitsvergleichstest handelt es sich um einen von Microsoft erstellten Satz Azure-spezifischer Richtlinien zu bewährten Methoden für Sicherheit und Compliance, die auf allgemeinen Complianceframeworks basieren. Diese weit verbreitete Benchmark basiert auf den Kontrollen des Center for Internet Security (CIS) und des National Institute of Standards and Technology (NIST) und konzentriert sich auf cloudzentrierte Sicherheit.
In den letzten Monaten wurde die Liste der integrierten Sicherheitsempfehlungen von Security Center erheblich erweitert, um unsere Abdeckung dieser Benchmark auszudehnen.
Ab diesem Release bildet die Benchmark die Grundlage für Security Center-Empfehlungen und ist vollständig als Standardrichtlinieninitiative integriert.
Die Dokumentation jedes Azure-Diensts enthält eine Seite mit der Sicherheitsbaseline. Diese Baselines basieren auf dem Vergleichstest für die Azure-Sicherheit.
Auf dem Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen werden während eines Übergangszeitraums zwei Instanzen der Benchmark angezeigt:
Auf bereits vorhandene Empfehlungen hat dies keine Auswirkungen, und im Zuge des weiteren Ausbaus der Benchmark werden Änderungen automatisch in Security Center berücksichtigt.
Weitere Informationen finden Sie auf den folgenden Seiten:
- Weitere Informationen zum Vergleichstest für die Azure-Sicherheit
- Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen
Die Sicherheitsrisikobewertung für lokale Computer und Multi-Cloud-Computer ist jetzt allgemein verfügbar.
Im Oktober haben wir eine Vorschauversion für die Überprüfung von Azure Arc-fähigen Servern mit des Scanners für die Sicherheitsrisikobewertung (von Qualys) angekündigt, die in Azure Defender für Server integriert ist.
Dieses Feature ist jetzt allgemein verfügbar.
Wenn Sie Azure Arc auf Ihren Nicht-Azure-Computern aktiviert haben, bietet Security Center eine manuelle und skalierbare Bereitstellung des integrierten Sicherheitsrisikoscanners auf diesen Computern.
Mit diesem Update können Sie die Leistungsfähigkeit von Azure Defender für Server nutzen, um Ihr Programm zur Verwaltung von Sicherheitsrisiken auf allen Azure- und Nicht-Azure-Ressourcen zu konsolidieren.
Hauptfunktionen:
- Überwachen des Bereitstellungsstatus des Scanners für die Sicherheitsrisikobewertung auf Azure Arc-Computern
- Bereitstellen des integrierten Agents für die Sicherheitsrisikobewertung auf ungeschützten Azure Arc-Computern unter Windows und Linux (manuell und skalierbar)
- Empfangen und Analysieren ermittelter Sicherheitsrisiken von bereitgestellten Agents (manuell und skalierbar)
- Einheitliche Benutzeroberfläche für Azure-VMs und Azure Arc-Computer
Erfahren Sie mehr über Server mit Azure Arc-Unterstützung.
Die Sicherheitsbewertung für Verwaltungsgruppen ist jetzt als Vorschau verfügbar.
Zusätzlich zur Abonnementebene werden auf der Seite „Sicherheitsbewertung“ nun auch die aggregierten Sicherheitsbewertungen für Ihre Verwaltungsgruppen angezeigt. Nun können Sie sich also die Liste der Verwaltungsgruppen in Ihrer Organisation sowie die Bewertung für die jeweilige Verwaltungsgruppe ansehen.
Weitere Informationen finden Sie unter Erweiterter Secure Score (Vorschau) in Azure Security Center.
Die Sicherheitsbewertungs-API ist jetzt allgemein verfügbar.
Sie können jetzt über die Sicherheitsbewertungs-API auf Ihre Bewertung zugreifen. Die API-Methoden bieten die Flexibilität, die Daten abzufragen und im Laufe der Zeit einen eigenen Berichtsmechanismus für Ihre Sicherheitsbewertungen zu erstellen. Beispiel:
- Verwenden Sie die API für Sicherheitsbewertungen, um die Bewertung für ein bestimmtes Abonnement zu erhalten.
- Verwenden Sie die API für Sicherheitsbewertungs-Steuerelemente, um die Sicherheitssteuerelemente und die aktuelle Bewertung Ihrer Abonnements aufzulisten.
Informieren Sie sich im Bereich zu den Sicherheitsbewertungen in unserer GitHub-Community über die externen Tools, die mit der Sicherheitsbewertungs-API verwendet werden können.
Weitere Informationen finden Sie unter Erweiterter Secure Score (Vorschau) in Azure Security Center.
Azure Defender für App Service wurde Schutz vor verwaisten DNS-Einträgen hinzugefügt.
Unterdomänenübernahmen sind eine weit verbreitete Bedrohung mit hohem Schweregrad für Organisationen. Eine Unterdomänenübernahme ist möglich, wenn Sie über einen DNS-Eintrag verfügen, der auf Website verweist, deren Bereitstellung aufgehoben wurde. Solche DNS-Einträge werden auch als „verwaiste DNS“-Einträge bezeichnet. CNAME-Einträge sind besonders anfällig für diese Bedrohung.
Durch die Übernahme von Unterdomänen können Bedrohungsakteure Datenverkehr, der für die Domäne eines Unternehmens bestimmt ist, an eine Website für schädliche Aktivitäten umleiten.
Von Azure Defender für App Service werden nun verwaiste DNS-Einträge erkannt, wenn eine App Service-Website eingestellt wird. Zu diesem Zeitpunkt verweist der DNS-Eintrag auf eine Ressource, die nicht vorhanden ist, und Ihre Website ist für eine Unterdomänenübernahme anfällig. Diese Schutzmaßnahmen sind unabhängig davon verfügbar, ob Ihre Domänen mit Azure DNS oder mit einer externen Domänenregistrierungsstelle verwaltet werden, und sie gelten sowohl für App Service unter Windows als auch für App Service unter Linux.
Weitere Informationen:
- Referenztabelle Warnungen für Azure App Service: Enthält zwei neue Azure Defender-Warnungen, die ausgelöst werden, wenn ein verwaister DNS-Eintrag erkannt wird.
- Verhindern verwaister DNS-Einträge und Vermeiden von Unterdomänenübernahmen: Hier finden Sie Informationen zur Gefahr von Unterdomänenübernahmen sowie zu verwaisten DNS-Einträgen.
- Einführung in Azure Defender für App Service
Multi-Cloud-Connectors sind jetzt allgemein verfügbar.
Cloudworkloads umfassen in der Regel mehrere Cloudplattformen, daher muss das auch für Cloudsicherheitsdienste gelten.
Azure Security Center schützt Workloads in Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP).
Wenn Sie eine Verbindung mit Ihren AWS- oder GCP-Projekten herstellen, werden ihre nativen Sicherheitstools wie AWS Security Hub und GCP Security Command Center in Azure Security Center integriert.
Das bedeutet, dass Security Center Transparenz und Schutz für alle gängigen Cloudumgebungen bereitstellt. Diese Integration hat unter anderem folgende Vorteile:
- Automatische Agent-Bereitstellung: Security Center verwendet Azure Arc, um den Log Analytics-Agent für Ihre AWS-Instanzen bereitzustellen.
- Richtlinienverwaltung
- Verwaltung von Sicherheitsrisiken
- Integrierte Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR)
- Erkennung von Sicherheitsfehlkonfigurationen
- Eine zentrale Ansicht mit Sicherheitsempfehlungen von allen Cloudanbietern
- Einbindung all Ihrer Ressourcen in die Berechnung von Sicherheitsbewertungen durch Security Center
- Bewertung der Einhaltung gesetzlicher Bestimmungen für Ihre AWS- und GPC-Ressourcen
Wählen Sie im Menü von Defender für Cloud die Option Connectors für mehrere Clouds aus, um die Optionen zum Erstellen neuer Connectors anzuzeigen:
Weitere Informationen finden Sie hier:
- Verbinden Ihrer AWS-Konten mit Azure Security Center
- Verbinden Ihrer GCP-Projekte mit Azure Security Center
Möglichkeit, bei Ihrer Sicherheitsbewertung für Abonnements und Verwaltungsgruppen ganze Empfehlungen auszunehmen
Wir erweitern die Ausnahmenfunktion um die Möglichkeit, vollständige Empfehlungen einzuschließen. Dazu stellen wir weitere Optionen für die Feinabstimmung der Sicherheitsempfehlungen zur Verfügung, die Security Center für Ihre Abonnements, Verwaltungsgruppe oder Ressourcen bereitstellt.
Gelegentlich kann es vorkommen, dass eine Ressource als fehlerhaft aufgeführt wird, obwohl Sie wissen, dass das Problem durch ein Drittanbietertool behoben und dies von Security Center nicht erkannt wurde. Auch kann es bisweilen passieren, dass eine Empfehlung in einem Bereich angezeigt wird, zu dem sie Ihrer Meinung nach nicht gehört. Möglicherweise ist die Empfehlung für ein bestimmtes Abonnement nicht geeignet. Oder vielleicht hat Ihr Unternehmen auch die Entscheidung getroffen, die Risiken im Zusammenhang mit der jeweiligen Ressource oder Empfehlung zu akzeptieren.
Mit dieser Previewfunktion können Sie jetzt eine Ausnahme für eine Empfehlung erstellen. Dabei haben Sie folgende Möglichkeiten:
Sie können eine Ressource ausnehmen, um sicherzustellen, dass sie in Zukunft nicht mehr als fehlerhafte Ressourcen aufgeführt wird und keine Auswirkung auf Ihre Sicherheitsbewertung hat. Die Ressource wird als nicht anwendbar aufgeführt, und als Grund wird „Ausgenommen“ mit der spezifischen, von Ihnen ausgewählten Begründung angezeigt.
Sie können ein Abonnement oder eine Verwaltungsgruppe ausnehmen, um sicherzustellen, dass die Empfehlung keine Auswirkung auf Ihre Sicherheitsbewertung hat und in Zukunft nicht mehr für das Abonnement oder die Verwaltungsgruppe angezeigt wird. Das gilt sowohl für bereits vorhandene Ressourcen als auch für alle zukünftig erstellten Ressourcen. Die Empfehlung wird mit der spezifischen Begründung gekennzeichnet, die Sie für den ausgewählten Bereich auswählen.
Weitere Informationen finden Sie unter Ausschließen einer Ressource aus Empfehlungen und der Sicherheitsbewertung.
Benutzer können beim globalen Administrator jetzt mandantenweite Sichtbarkeit anfordern.
Wenn ein Benutzer nicht über Berechtigungen zum Anzeigen von Security Center-Daten verfügt, wird ihm jetzt ein Link angezeigt, über den er Berechtigungen vom globalen Administrator der Organisation anfordern kann. Die Anforderung enthält die gewünschte Rolle sowie eine Begründung, warum die Rolle erforderlich ist.
Weitere Informationen finden Sie unter Anfordern mandantenweiter Berechtigungen, wenn die eigenen Berechtigungen nicht ausreichen.
35 Vorschauempfehlungen werden hinzugefügt, um die Abdeckung des Azure-Sicherheitsvergleichstests zu erhöhen
Der Azure-Sicherheitsvergleichstest ist die Standardrichtlinieninitiative in Azure Security Center.
Die folgenden 35 Vorschauempfehlungen wurden zu Security Center hinzugefügt, um die Abdeckung dieser Benchmark zu erhöhen.
Tipp
Empfehlungen der Vorschau versetzen keine Ressourcen in einen fehlerhaften Zustand, und sie werden nicht in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Setzen Sie sie trotzdem um, wann immer möglich, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen. Informationen zum Umgang mit diesen Empfehlungen finden Sie unter Umsetzen von Empfehlungen in Azure Security Center.
| Sicherheitskontrolle | Neue Empfehlungen |
|---|---|
| Aktivieren der Verschlüsselung ruhender Daten | - Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. - Azure Machine Learning-Arbeitsbereiche sollten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsselt werden. - BYOK-Datenschutz (Bring Your Own Key) sollte für MySQL-Server aktiviert sein. - BYOK-Datenschutz (Bring Your Own Key) sollte für PostgreSQL-Server aktiviert sein. – Für Azure KI Services-Konten muss die Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel (CMK) aktiviert sein - Containerregistrierungen sollten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsselt werden. - Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. - Computer mit SQL Server sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. - Speicherkonten sollten einen kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) zur Verschlüsselung verwenden. |
| Bewährte Sicherheitsmethoden implementieren | - In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. - Für Ihr Abonnement muss die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. - E-Mail-Benachrichtigungen bei Warnungen mit hohem Schweregrad sollten aktiviert sein. - Das Senden von E-Mail-Benachrichtigungen an den Abonnementbesitzers bei Warnungen mit hohem Schweregrad sollte aktiviert sein. - Für Schlüsseltresore sollte der Löschschutz aktiviert sein. - Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. |
| Zugriff und Berechtigungen verwalten | - Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein. |
| Anwendungen vor DDoS-Angriffen schützen | - Web Application Firewall (WAF) sollte für Application Gateway aktiviert sein. - Web Application Firewall (WAF) muss für Azure Front Door Service aktiviert sein |
| Nicht autorisierten Netzwerkzugriff einschränken | - Für Key Vault sollte eine Firewall aktiviert sein. - Für Key Vault sollte ein privater Endpunkt konfiguriert werden. - App Configuration sollte eine private Verbindung verwenden. - Azure Cache for Redis sollte sich in einem virtuellen Netzwerk befinden. - Azure Event Grid-Domänen sollten eine private Verbindung verwenden. - Azure Event Grid-Themen sollten eine private Verbindung verwenden. - Azure Machine Learning-Arbeitsbereiche sollten eine private Verbindung verwenden. - Azure SignalR Service sollte eine private Verbindung verwenden. - Azure Spring Cloud sollte Netzwerkinjektion verwenden. - Containerregistrierungen sollten keinen uneingeschränkten Netzwerkzugriff zulassen. - Containerregistrierungen sollten eine private Verbindung verwenden. - Öffentlicher Netzwerkzugriff sollte für MariaDB-Server deaktiviert sein. - Öffentlicher Netzwerkzugriff sollte für MySQL-Server deaktiviert sein. - Öffentlicher Netzwerkzugriff sollte für PostgreSQL-Server deaktiviert sein. - Das Speicherkonto sollte eine Private Link-Verbindung verwenden. - Speicherkonten sollten den Netzwerkzugriff mithilfe von VNET-Regeln einschränken. - VM Image Builder-Vorlagen sollten eine private Verbindung verwenden. |
Verwandte Links:
- Weitere Informationen zum Vergleichstest für die Azure-Sicherheit
- Weitere Informationen zu Azure Database for MariaDB
- Weitere Informationen zu Azure Database for MySQL
- Weitere Informationen zu Azure Database for PostgreSQL
CSV-Export der gefilterten Liste mit Empfehlungen
Im November 2020 haben wir der Seite mit den Empfehlungen Filter hinzugefügt (Die Empfehlungsliste beinhaltet nun Filter). Im Dezember haben wir diese Filter erweitert (Empfehlungsseite enthält neue Filter für Umgebung, Schweregrad und verfügbare Antworten).
Mit dieser Ankündigung wird das Verhalten der Schaltfläche für den Download als CSV so geändert, dass der CSV-Export nur die Empfehlungen enthält, die derzeit in der gefilterten Liste angezeigt werden.
Im folgenden Screenshot wurde die Liste beispielsweise nach zwei Empfehlungen gefiltert. Die generierte CSV-Datei enthält die Statusdetails für jede Ressource, auf die sich diese beiden Empfehlungen auswirken.
Weitere Informationen finden Sie unter Sicherheitsempfehlungen in Azure Security Center.
Nicht anwendbare Ressourcen werden in Azure Policy-Bewertungen jetzt als „Konform“ gemeldet.
Bislang wurden Ressourcen, die für eine Empfehlung ausgewertet und als nicht anwendbar befunden wurden, in Azure Policy als „Nicht konform“ angezeigt. Ihr Zustand kann durch keine Benutzeraktion in „Konform“ geändert werden. Mit dieser Änderung werden sie zur besseren Verständlichkeit als „Konform“ gemeldet.
Die einzige Auswirkung wird in Azure Policy zu sehen sein, weil die Anzahl der konformen Ressourcen dort steigt. Ihre Sicherheitsbewertung in Azure Security Center wird dadurch nicht beeinflusst.
Exportieren wöchentlicher Momentaufnahmen der Daten für die Sicherheitsbewertung und die Einhaltung gesetzlicher Bestimmungen per fortlaufendem Export (Vorschau)
Wir haben den Tools für den fortlaufenden Export eine neue Previewfunktion hinzugefügt, mit der wöchentliche Momentaufnahmen der Daten für die Sicherheitsbewertung und die Einhaltung gesetzlicher Bestimmungen exportiert werden können.
Legen Sie beim Definieren eines Vorgangs für den fortlaufenden Export die Exporthäufigkeit fest:
- Streaming: Bewertungen werden gesendet, wenn der Integritätszustand einer Ressource aktualisiert wird (wenn keine Updates durchgeführt werden, werden keine Daten gesendet).
- Momentaufnahmen: Einmal pro Woche wird eine Momentaufnahme des aktuellen Zustands aller Bewertungen der Einhaltung gesetzlicher Bestimmungen gesendet. (Dies ist eine Previewfunktion für wöchentliche Momentaufnahmen der Daten für Sicherheitsbewertungen und die Einhaltung gesetzlicher Bestimmungen.)
Erfahren Sie mehr zu allen Funktionen dieses Features unter Fortlaufendes Exportieren von Security Center-Daten.
Dezember 2020
Zu den Updates im Dezember gehören:
- Azure Defender für SQL Server-Instanzen auf Computern ist allgemein verfügbar.
- Azure Defender für SQL-Unterstützung für dedizierte SQL-Pools von Azure Synapse Analytics ist allgemein verfügbar.
- Globale Administratoren können sich jetzt selbst Berechtigungen auf Mandantenebene erteilen.
- Zwei neue Azure Defender-Pläne: Azure Defender für DNS und Azure Defender für Resource Manager (in der Vorschauphase)
- Neue Seite „Sicherheitswarnungen“ im Azure-Portal (Vorschau)
- Überarbeitete Security Center-Benutzeroberfläche in Azure SQL-Datenbank und SQL Managed Instance
- Aktualisierung von Tools und Filtern des Ressourcenbestands
- Empfehlung zu Web-Apps, die SSL-Zertifikate anfordern, ist nicht mehr Teil der Sicherheitsbewertung
- Empfehlungsseite enthält neue Filter für Umgebung, Schweregrad und verfügbare Antworten
- Neue Datentypen und verbesserte deployifnotexist-Richtlinien für fortlaufenden Export
Azure Defender für SQL Server-Instanzen auf Computern ist allgemein verfügbar.
Azure Security Center bietet zwei Azure Defender-Pläne für SQL Server:
- Azure Defender für Azure SQL-Datenbankserver – schützt Ihre nativen Azure SQL Server.
- Azure Defender für SQL Server auf Computern – erweitert denselben Schutz auf Ihre SQL Server-Instanzen in Hybrid-, Multicloud- und lokalen Umgebungen.
Mit dieser Ankündigung schützt Azure Defender für SQL jetzt Ihre Datenbanken und deren Daten überall, wo sie sich befinden.
Azure Defender für SQL umfasst Funktionen zur Sicherheitsrisikobewertung. Das Tool zur Sicherheitsrisikobewertung umfasst die folgenden erweiterten Funktionen:
- Baselinekonfiguration (neu!), um die Ergebnisse von Sicherheitsrisikoscans auf intelligente Weise auf jene einzuschränken, die echte Sicherheitsprobleme darstellen könnten. Nach dem Festlegen des Baseline-Sicherheitsstatus meldet die das Tool zur Sicherheitsrisikobewertung nur noch Abweichungen von diesem Baselinestatus. Wenn Ergebnisse in nachfolgenden Überprüfungen mit der Baseline übereinstimmen, wird dies als Bestehen gewertet. Auf diese Weise können Sie und ihre Analysten Ihre Aufmerksamkeit darauf konzentrieren, wo sie gefordert ist.
- Ausführliche Informationen, die Ihnen helfen, die erkannten Ergebnisse und deren Zusammenhang mit ihren Ressourcen zu verstehen.
- Wiederherstellungsskripts zum Verringern identifizierter Risiken.
Weitere Informationen zu Azure Defender für SQL.
Azure Defender für SQL-Unterstützung für dedizierte SQL-Pools von Azure Synapse Analytics ist allgemein verfügbar.
Azure Synapse Analytics (früher SQL DW) ist ein Analysedienst, der Data Warehousing für Unternehmen mit Big Data-Analysen vereint. Dedizierte SQL-Pools sind die Data Warehousing-Funktionen für Unternehmen von Azure Synapse. Weitere Informationen finden Sie unter Was ist Azure Synapse Analytics (früher SQL DW)?.
Azure Defender für SQL schützt Ihre dedizierten SQL-Pools wie folgt:
- Erweiterter Schutz vor Bedrohungen zur Erkennung von Bedrohungen und Angriffen
- Funktionen zur Sicherheitsrisikobewertung zum Identifizieren und Beheben von Sicherheitsfehlkonfigurationen
Die Azure Defender für SQL-Unterstützung für Azure Synapse Analytics-SQL-Pools wird in Azure Security Center automatisch dem Paket „Azure SQL-Datenbanken“ hinzugefügt. Es gibt eine neue Azure Defender für SQL-Registerkarte auf ihrer Synapse-Arbeitsbereichsseite im Azure-Portal.
Weitere Informationen zu Azure Defender für SQL.
Globale Administratoren können sich jetzt selbst Berechtigungen auf Mandantenebene erteilen.
Ein Benutzer mit der Azure Active Directory-Rolle Globaler Administrator hat möglicherweise mandantenweite Aufgaben, aber keine Azure-Berechtigungen zum Anzeigen der organisationsweiten Informationen in Azure Security Center.
Unter Erteilen mandantenweiter Berechtigungen für sich selbst erfahren Sie, wie Sie sich selbst Berechtigungen auf Mandantenebene erteilen.
Zwei neue Azure Defender-Pläne: Azure Defender für DNS und Azure Defender für Resource Manager (in der Vorschauphase)
Wir haben zwei neue cloudnative und breit gefächerte Bedrohungsschutzfunktionen für Ihre Azure-Umgebung hinzugefügt.
Diese neuen Schutzmaßnahmen sorgen für eine erhebliche Verbesserung der Resilienz gegenüber Angriffen von Bedrohungsakteuren sowie für eine deutliche Erhöhung der Anzahl von Azure-Ressourcen, die durch Azure Defender geschützt werden.
Azure Defender für Resource Manager: Überwacht automatisch alle in Ihrer Organisation ausgeführten Ressourcenverwaltungsvorgänge. Weitere Informationen finden Sie unter
Azure Defender für DNS: Überwacht kontinuierlich alle DNS-Abfragen Ihrer Azure-Ressourcen. Weitere Informationen finden Sie unter
Neue Seite „Sicherheitswarnungen“ im Azure-Portal (Vorschau)
Die Seite „Sicherheitswarnungen“ in Azure Security Center wurde neu gestaltet, um folgende Funktionen bereitzustellen:
- Eine verbesserte Selektierungsoberfläche für Warnungen: Die Liste enthält anpassbare Filter und Gruppierungsoptionen und trägt dadurch zur Reduzierung der „Warnungsmüdigkeit“ bei, sodass Sie sich einfacher auf die relevantesten Bedrohungen konzentrieren können.
- Weitere Informationen in der Warnungsliste, beispielsweise MITRE ATT&CK-Taktiken
- Schaltfläche zum Erstellen von Beispielwarnungen: Sie können Beispielwarnungen aus allen Azure Defender-Plänen erstellen, um Azure Defender-Funktionen auszuwerten und Ihre Warnungskonfiguration zu testen (SIEM-Integration, E-Mail-Benachrichtigungen und Workflowautomatisierungen).
- Angleichung an die Azure Sentinel-Incidentoberfläche: Für Kunden, die beide Produkte verwenden, ist der Wechsel zwischen den Produkten jetzt unkomplizierter, und es ist einfach, das eine vom anderen zu übernehmen.
- Bessere Leistung für große Warnungslisten
- Tastaturnavigation durch die Warnungsliste
- Warnungen aus Azure Resource Graph: Sie können Warnungen in Azure Resource Graph abfragen, der Kusto-ähnlichen API für alle Ihre Ressourcen. Dies ist auch nützlich, wenn Sie eigene Warnungsdashboards erstellen. Erfahren Sie mehr über Azure Resource Graph.
Um auf die neue Oberfläche zuzugreifen, verwenden Sie oben auf der Seite „Sicherheitswarnungen“ den Link „Jetzt ausprobieren“ im Banner.
Informationen zum Erstellen von Beispielwarnungen über die neue Oberfläche für Warnungen finden Sie unter Generieren von Azure Defender-Beispielwarnungen.
Überarbeitete Security Center-Benutzeroberfläche in Azure SQL-Datenbank und SQL Managed Instance
Die Security Center-Benutzeroberfläche in SQL ermöglicht den Zugriff auf die folgenden Security Center- und Azure Defender für SQL-Features:
- Sicherheitsempfehlungen: Security Center führt eine regelmäßige Analyse des Sicherheitsstatus aller verbundenen Azure-Ressourcen durch, um potenzielle Fehlkonfigurationen in Bezug auf die Sicherheit zu identifizieren. Anschließend werden Empfehlungen dazu angezeigt, wie Sie diese Sicherheitsrisiken beseitigen und den Sicherheitsstatus von Organisationen verbessern können.
- Sicherheitswarnungen: Bei diesem Erkennungsdienst werden Azure SQL-Aktivitäten fortlaufend auf Bedrohungen wie Einschleusung von SQL-Befehlen, Brute-Force-Angriffe und Berechtigungsmissbrauch überwacht. Dieser Dienst löst ausführliche und aktionsorientierte Sicherheitswarnungen in Security Center aus und zeigt Optionen für die weitere Untersuchung mit Azure Sentinel, der nativen SIEM-Lösung von Microsoft, an.
- Ergebnisse: Bei diesem Dienst für die Sicherheitsrisikobewertung werden die Azure SQL-Konfigurationen fortlaufend überwacht, und es wird Hilfestellung bei der Eindämmung von Sicherheitsrisiken geleistet. Es werden Bewertungsüberprüfungen durchgeführt, um eine Übersicht über die einzelnen Azure SQL-Sicherheitsstatus und die zugehörigen ausführlichen Ergebnisse zur Sicherheit anzeigen zu können.
Aktualisierung von Tools und Filtern des Ressourcenbestands
Die Seite „Bestand“ in Azure Security Center wurde mit den folgenden Änderungen aktualisiert:
Der Symbolleiste wurde eine Option für Anleitungen und Feedback hinzugefügt. Ein Bereich mit Links zu verwandten Informationen und Tools wurde hinzugefügt.
Den verfügbaren Standardfiltern für Ihre Ressourcen wurde ein Abonnementfilter hinzugefügt.
Link Abfrage öffnen zum Öffnen der aktuellen Filteroptionen als Azure Resource Graph-Abfrage (früher als „Im Resource Graph-Explorer anzeigen“ bezeichnet).
Operatoroptionen für jeden Filter. Sie können jetzt auch andere logische Operatoren als „=“ auswählen. Beispielsweise können Sie nach allen Ressourcen mit aktiven Empfehlungen suchen, deren Titel die Zeichenfolge „encrypt“ enthält.
Weitere Informationen zum Bestand finden Sie unter Untersuchen und Verwalten Ihrer Ressourcen mit dem Ressourcenbestand und Verwaltungstools.
Empfehlung zu Web-Apps, die SSL-Zertifikate anfordern, ist nicht mehr Teil der Sicherheitsbewertung
Die Empfehlung „Web-Apps sollten für alle eingehenden Anforderungen ein SSL-Zertifikat anfordern“ wurde von der Sicherheitskontrolle Zugriff und Berechtigungen verwalten (mit einem Wert von maximal 4 Punkten) in Best Practices für die Sicherheit implementieren (mit einem Wert von 0 Punkten) verschoben.
Wenn sichergestellt wird, dass eine Web-App ein Zertifikat anfordert, erhöht dies auf jeden Fall die Sicherheit. Für öffentliche Web-Apps ist dies aber irrelevant. Wenn Sie über HTTP und nicht HTTPS auf Ihre Website zugreifen, erhalten Sie kein Clientzertifikat. Wenn Ihre Anwendung also Clientzertifikate erfordert, sollten Sie keine Anforderungen an Ihre Anwendung über HTTP zulassen. Weitere Informationen finden Sie unter Konfigurieren der gegenseitigen TLS-Authentifizierung für Azure App Service.
Mit dieser Änderung ist die Empfehlung jetzt eine empfohlene bewährte Methode, die keine Auswirkung auf die Bewertung hat.
Informationen dazu, welche Empfehlungen in den einzelnen Sicherheitssteuerungen enthalten sind, finden Sie unter Sicherheitskontrollen und deren Empfehlungen.
Empfehlungsseite enthält neue Filter für Umgebung, Schweregrad und verfügbare Antworten
Azure Security Center überwacht alle verbundenen Ressourcen und generiert Sicherheitsempfehlungen. Verwenden Sie diese Empfehlungen, um den Sicherheitsstatus Ihrer Hybrid Cloud zu verbessern und die Konformität mit den relevanten Richtlinien und Standards für Ihre Organisation, Ihre Branche und Ihr Land bzw. Region nachzuverfolgen.
Während die Abdeckung und die Features von Security Center erweitert werden, werden der Liste mit den Sicherheitsempfehlungen jeden Monat neue Einträge hinzugefügt. Informieren Sie sich beispielsweise unter 29 Vorschauempfehlungen hinzugefügt, um die Abdeckung des Azure Security-Vergleichstests zu erhöhen.
Da der Liste ständig neue Einträge hinzugefügt werden, ist es erforderlich, dass sie nach den für Sie interessanten Empfehlungen gefiltert werden kann. Im November haben wir der Seite mit den Empfehlungen Filter hinzugefügt (siehe Die Empfehlungsliste beinhaltet nun Filter).
Die in diesem Monat hinzugefügten Filter verfügen über Optionen, mit denen Sie den Umfang der Liste mit den Empfehlungen wie folgt eingrenzen können:
Umgebung: Es werden Empfehlungen für Ihre AWS-, GCP- oder Azure-Ressourcen (oder eine beliebige Kombination) angezeigt.
Schweregrad: Es werden Empfehlungen gemäß der Klassifizierung nach Schweregrad angezeigt, die für Security Center festgelegt wurden.
Antwortaktionen: Es werden Empfehlungen gemäß der Verfügbarkeit von Security Center-Antwortoptionen angezeigt: „Beheben“, „Verweigern“ und „Erzwingen“.
Tipp
Der Filter für Antwortaktionen ersetzt den Filter vom Typ Schnelle Problembehebung verfügbar (Ja/Nein) .
Informieren Sie sich weiter über diese Antwortoptionen:
Neue Datentypen und verbesserte deployifnotexist-Richtlinien für fortlaufenden Export
Mit den Azure Security Center-Tools für den fortlaufenden Export können Sie die Empfehlungen und Warnungen für die Verwendung mit anderen Überwachungstools in Ihrer Umgebung exportieren.
Mit dem fortlaufenden Export können Sie umfassend anpassen, was exportiert wird und wohin. Ausführliche Informationen finden Sie unter Fortlaufendes Exportieren von Security Center-Daten.
Diese Tools wurden wie folgt verbessert und erweitert:
Verbesserung der deployifnotexist-Richtlinien für den fortlaufenden Export: Mit den Richtlinien wird nun Folgendes durchgeführt:
Überprüfen, ob die Konfiguration aktiviert ist: Wenn nicht, wird die Richtlinie als nicht konform angezeigt und eine konforme Ressource erstellt. Weitere Informationen zu den bereitgestellten Azure Policy-Vorlagen finden Sie unter Einrichten eines fortlaufenden Exports auf der Registerkarte „Bereitstellung im großen Stil mit Azure Policy“.
Unterstützen des Exports von Sicherheitsergebnissen: Bei Verwendung der Azure Policy-Vorlagen können Sie Ihren fortlaufenden Export so konfigurieren, dass er Ergebnisse enthält. Dies ist beim Exportieren von Empfehlungen relevant, die über untergeordnete Empfehlungen verfügen. Beispiele hierfür sind Ergebnisse aus Sicherheitsrisikobewertungen oder spezifische Systemupdates für die übergeordnete Empfehlung „Systemupdates sollten auf Ihren Computern installiert sein“.
Unterstützen des Exports der Daten von Sicherheitsbewertungen
Daten zur Bewertung der Einhaltung gesetzlicher Bestimmungen hinzugefügt (Vorschauphase): Sie können Updates für Bewertungen der Einhaltung gesetzlichen Bestimmungen jetzt fortlaufend in einen Log Analytics-Arbeitsbereich oder eine Event Hubs-Instanz exportieren (gilt auch für benutzerdefinierte Initiativen). Diese Funktion ist in nationalen Clouds nicht verfügbar.
November 2020
Updates im November:
- 29 Vorschauempfehlungen hinzugefügt, um die Abdeckung des Azure Security-Vergleichstests zu erhöhen
- NIST SP 800 171 R2 in das Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen aufgenommen
- Die Empfehlungsliste beinhaltet nun Filter.
- Die Oberfläche für die automatische Bereitstellung wurde verbessert und erweitert.
- Die Sicherheitsbewertung ist jetzt im fortlaufenden Export (Vorschauversion) verfügbar.
- Die Empfehlung „Auf Ihren Computern sollten Systemupdates installiert werden“ enthält jetzt Unterempfehlungen.
- Die Seite „Richtlinienverwaltung“ im Azure-Portal zeigt jetzt den Zuweisungsstatus von Standardrichtlinien an.
29 Vorschauempfehlungen hinzugefügt, um die Abdeckung des Azure Security-Vergleichstests zu erhöhen
Beim Azure-Sicherheitsvergleichstest handelt es sich um einen von Microsoft erstellten Satz mit Azure-spezifischen Richtlinien zu bewährten Methoden für Sicherheit und Compliance, die auf allgemeinen Complianceframeworks basieren. Weitere Informationen zum Azure-Sicherheitsvergleichstest
Die folgenden 29 Vorschauempfehlungen wurden zu Security Center hinzugefügt, um die Abdeckung dieses Vergleichstests zu erhöhen.
Empfehlungen der Vorschau versetzen keine Ressourcen in einen fehlerhaften Zustand, und sie werden nicht in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Setzen Sie sie trotzdem um, wann immer möglich, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen. Informationen zum Umgang mit diesen Empfehlungen finden Sie unter Umsetzen von Empfehlungen in Azure Security Center.
| Sicherheitskontrolle | Neue Empfehlungen |
|---|---|
| Verschlüsseln von Daten während der Übertragung | – Erzwingen einer SSL-Verbindung sollte für PostgreSQL-Datenbankserver aktiviert sein – Erzwingen einer SSL-Verbindung sollte für MySQL-Datenbankserver aktiviert sein – TLS sollte für Ihre API-App auf die aktuelle Version aktualisiert werden – TLS sollte für Ihre Funktions-App auf die aktuelle Version aktualisiert werden – TLS sollte für Ihre Web-App auf die aktuelle Version aktualisiert werden – FTPS sollte in API-App erforderlich sein – FTPS sollte in Funktions-App erforderlich sein – FTPS sollte in Web-App erforderlich sein |
| Zugriff und Berechtigungen verwalten | – Web-Apps sollten ein SSL-Zertifikat für alle eingehenden Anforderungen anfordern – API-App sollte verwaltete Identität verwenden – Funktions-App sollte verwaltete Identität verwenden – Web-App sollte verwaltete Identität verwenden |
| Nicht autorisierten Netzwerkzugriff einschränken | – Privater Endpunkt sollte für PostgreSQL-Server aktiviert sein – Privater Endpunkt sollte für MariaDB-Server aktiviert sein – Privater Endpunkt sollte für MySQL-Server aktiviert sein |
| Überwachung und Protokollierung aktivieren | - In App Services müssen Diagnoseprotokolle aktiviert sein |
| Bewährte Sicherheitsmethoden implementieren | – Azure Backup sollte für virtuelle Computer aktiviert sein – Georedundante Sicherung sollte für Azure Database for MariaDB aktiviert sein – Georedundante Sicherung sollte für Azure Database for MySQL aktiviert sein – Georedundante Sicherung sollte für Azure Database for PostgreSQL aktiviert sein – PHP sollte für Ihre API-App auf die aktuelle Version aktualisiert werden – PHP sollte für Ihre Web-App auf die aktuelle Version aktualisiert werden – Java sollte für Ihre API-App auf die aktuelle Version aktualisiert werden – Java sollte für Ihre Funktions-App auf die aktuelle Version aktualisiert werden – Java sollte für Ihre Web-App auf die aktuelle Version aktualisiert werden – Python sollte für Ihre API-App auf die aktuelle Version aktualisiert werden – Python sollte für Ihre Funktions-App auf die aktuelle Version aktualisiert werden – Python sollte für Ihre Web-App auf die aktuelle Version aktualisiert werden – Die Aufbewahrung der Überprüfung für SQL-Server sollte auf mindestens 90 Tage festgelegt sein |
Verwandte Links:
- Weitere Informationen zum Vergleichstest für die Azure-Sicherheit
- Weitere Informationen zu API-Apps in Azure
- Weitere Informationen zu Funktions-Apps in Azure
- Weitere Informationen zu Web-Apps in Azure
- Weitere Informationen zu Azure Database for MariaDB
- Weitere Informationen zu Azure Database for MySQL
- Weitere Informationen zu Azure Database for PostgreSQL
NIST SP 800 171 R2 in das Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen aufgenommen
Der Standard „NIST SP 800-171 R2“ ist jetzt als integrierte Initiative zur Verwendung mit dem Azure Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen verfügbar. Die Zuordnungen für die Steuerelemente werden in Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß NIST SP 800-171 R2 beschrieben.
Um den Standard auf Ihre Abonnements anzuwenden und Ihren Compliancestatus kontinuierlich zu überwachen, verwenden Sie die Anweisungen unter Anpassen der Standards in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.
Weitere Informationen zu diesem Compliancestandard finden Sie unter NIST SP 800-171 R2.
Die Empfehlungsliste beinhaltet nun Filter.
Sie können die Liste der Sicherheitsempfehlungen nun nach verschiedenen Kriterien filtern. Im folgenden Beispiel ist die Empfehlungsliste zur Anzeige von Empfehlungen gefiltert, für die Folgendes gilt:
- Sie sind allgemein verfügbar (also nicht in der Vorschauphase).
- Sie gelten für Speicherkonten.
- Sie unterstützen eine schnelle Problembehebung.
Die Oberfläche für die automatische Bereitstellung wurde verbessert und erweitert.
Mit der Funktion zur automatischen Bereitstellung können Sie den Verwaltungsaufwand verringern, indem Sie die erforderlichen Erweiterungen auf neuen und vorhandenen Azure-VMs installieren, damit diese vom Security Center-Schutz profitieren können.
Da Azure Security Center wächst, wurden mehr Erweiterungen entwickelt, und Security Center kann eine umfangreichere Liste von Ressourcentypen überwachen. Die Tools für die automatische Bereitstellung wurden erweitert, um durch die Nutzung der Funktionen von Azure Policy weitere Erweiterungen und Ressourcentypen zu unterstützen.
Sie können jetzt die automatische Bereitstellung folgender Komponenten konfigurieren:
- Log Analytics-Agent
- (Neu) Azure Policy für Kubernetes
- (Neu) Microsoft Dependency-Agent
Weitere Informationen finden Sie im Thema zur automatischen Bereitstellung von Agents und Erweiterungen über Azure Security Center.
Die Sicherheitsbewertung ist jetzt im fortlaufenden Export (Vorschauversion) verfügbar.
Mit dem fortlaufenden Export der Sicherheitsbewertung können Sie Änderungen an Ihrer Bewertung in Echtzeit an Azure Event Hubs oder an einen Log Analytics-Arbeitsbereich streamen. Diese Funktion ermöglicht Folgendes:
- Nachverfolgen Ihrer Sicherheitsbewertung im Laufe der Zeit mit dynamischen Berichten
- Exportieren von Sicherheitsbewertungsdaten an Azure Sentinel (oder an eine beliebige andere SIEM-Lösung)
- Integrieren dieser Daten in beliebige Prozesse, die in Ihrer Organisation ggf. bereits zur Überwachung der Sicherheitsbewertung verwendet werden
Weitere Informationen zum fortlaufenden Exportieren von Security Center-Daten finden Sie hier.
Die Empfehlung „Auf Ihren Computern sollten Systemupdates installiert werden“ enthält jetzt Unterempfehlungen.
Die Empfehlung Systemupdates müssen auf Ihren Computern installiert werden wurde erweitert. Die neue Version enthält Unterempfehlungen für jedes fehlende Update und bietet folgende Verbesserungen:
Eine neu gestaltete Umgebung auf den Azure Security Center-Seiten des Azure-Portals. Die Seite mit den Empfehlungsdetails für Auf Ihren Computern sollten Systemupdates installiert werden enthält die unten gezeigte Liste der Ergebnisse. Wenn Sie ein einzelnes Ergebnis auswählen, wird die Detailansicht mit einem Link zu den Informationen zur Risikominderung und einer Liste der betroffenen Ressourcen geöffnet.
Erweiterte Daten für die Empfehlung aus Azure Resource Graph (ARG). ARG ist ein Azure-Dienst zur effizienten Untersuchung von Ressourcen. Sie können ARG verwenden, um über einen bestimmten Satz von Abonnements Abfragen im großen Stil durchzuführen und Ihre Umgebung so effektiv zu verwalten.
Für Azure Security Center können Sie ARG und die Kusto-Abfragesprache (KQL) verwenden, um eine Vielzahl von Daten zum Sicherheitsstatus abzufragen.
Zuvor galt: Wenn Sie diese Empfehlung in ARG abgefragt haben, bestand die einzige verfügbare Information darin, dass die Empfehlung auf einem Computer behandelt werden muss. Die folgende Abfrage der aktualisierten Version gibt die einzelnen fehlenden Systemupdates zurück (gruppiert nach Computer):
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
Die Seite „Richtlinienverwaltung“ im Azure-Portal zeigt jetzt den Zuweisungsstatus von Standardrichtlinien an.
Auf der Seite Sicherheitsrichtlinie von Security Center im Azure-Portal sehen Sie nun, ob ihren Abonnements die standardmäßige Security Center-Richtlinie zugewiesen ist.
Oktober 2020
Updates im Oktober:
- Sicherheitsrisikobewertung für lokale Computer und Multi-Cloud-Computer (Vorschau)
- Empfehlung für Azure Firewall hinzugefügt (Vorschau)
- Die Empfehlung „Für Kubernetes-Dienste sollten autorisierte IP-Adressbereiche definiert werden“ wurde mit einer schnellen Problembehebung aktualisiert
- Das Dashboard zur Einhaltung gesetzlicher Bestimmungen enthält jetzt die Option, Standards zu entfernen
- Microsoft.Security/securityStatuses-Tabelle aus Azure Resource Graph (ARG) entfernt
Sicherheitsrisikobewertung für lokale Computer und Multi-Cloud-Computer (Vorschau)
Der in Azure Defender für Server integrierte Scanner für die Sicherheitsrisikobewertung (von Qualys) überprüft jetzt Server mit Azure Arc-Unterstützung.
Wenn Sie Azure Arc auf Ihren Nicht-Azure-Computern aktiviert haben, bietet Security Center eine manuelle und skalierbare Bereitstellung des integrierten Sicherheitsrisikoscanners auf diesen Computern.
Mit diesem Update können Sie die Leistungsfähigkeit von Azure Defender für Server nutzen, um Ihr Programm zur Verwaltung von Sicherheitsrisiken auf allen Azure- und Nicht-Azure-Ressourcen zu konsolidieren.
Hauptfunktionen:
- Überwachen des Bereitstellungsstatus des Scanners für die Sicherheitsrisikobewertung auf Azure Arc-Computern
- Bereitstellen des integrierten Agents für die Sicherheitsrisikobewertung auf ungeschützten Azure Arc-Computern unter Windows und Linux (manuell und skalierbar)
- Empfangen und Analysieren ermittelter Sicherheitsrisiken von bereitgestellten Agents (manuell und skalierbar)
- Einheitliche Benutzeroberfläche für Azure-VMs und Azure Arc-Computer
Erfahren Sie mehr über Server mit Azure Arc-Unterstützung.
Empfehlung für Azure Firewall hinzugefügt (Vorschau)
Es wurde eine neue Empfehlung zum Schützen aller virtuellen Netzwerke mit Azure Firewall hinzugefügt.
In der Empfehlung Virtuelle Netzwerke müssen durch Azure Firewall geschützt werden wird Ihnen geraten, mithilfe der Azure-Firewall den Zugriff auf Ihre virtuellen Netzwerke einzuschränken und potenzielle Bedrohungen zu verhindern.
Erfahren Sie mehr über Azure Firewall.
Die Empfehlung „Für Kubernetes-Dienste sollten autorisierte IP-Adressbereiche definiert werden“ wurde mit einer schnellen Problembehebung aktualisiert
Für die Empfehlung Für Kubernetes-Dienste sollten autorisierte IP-Adressbereiche definiert werden gibt es jetzt eine Option zur schnellen Problembehebung.
Weitere Informationen zu dieser Empfehlung und allen anderen Security Center-Empfehlungen finden Sie unter Sicherheitsempfehlungen: Referenzhandbuch.
Das Dashboard zur Einhaltung gesetzlicher Bestimmungen enthält jetzt die Option, Standards zu entfernen
Das Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen bietet Erkenntnisse zu Ihrem Compliancestatus basierend auf der Erfüllung bestimmter Compliancevorgaben und -anforderungen.
Das Dashboard enthält einen Standardsatz gesetzlicher Standards. Falls einer der angegebenen Standards für Ihre Organisation nicht relevant ist, ist es nun problemlos möglich, diesen aus der Benutzeroberfläche für ein Abonnement zu entfernen. Standards können nur auf der Ebene des Abonnements entfernt werden, nicht der für den Verwaltungsgruppenbereich.
Weitere Informationen finden Sie unter Entfernen eines Standards aus Ihrem Dashboard.
Microsoft.Security/securityStatuses-Tabelle aus Azure Resource Graph (ARG) entfernt
Azure Resource Graph ist ein Dienst in Azure, der eine effiziente Ressourcenuntersuchung mit der Fähigkeit bereitstellt, übergreifend für eine bestimmte Menge von Abonnements nach Bedarf Abfragen durchzuführen, sodass Sie Ihre Umgebung effektiv beherrschen können.
Für Azure Security Center können Sie ARG und die Kusto-Abfragesprache (KQL) verwenden, um eine Vielzahl von Daten zum Sicherheitsstatus abzufragen. Zum Beispiel:
- Asset Inventory nutzt (ARG)
- Wir haben eine ARG-Beispielabfrage zum Identifizieren von Konten ohne aktivierte mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) dokumentiert.
In ARG gibt es Datentabellen, die Sie in Ihren Abfragen verwenden können.
Tipp
In der ARG-Dokumentation sind alle verfügbaren Tabellen unter Azure Resource Graph-Tabelle und Ressourcentypreferenz aufgelistet.
Bei diesem Update wurde die Tabelle Microsoft.Security/securityStatuses entfernt. Die securityStatuses-API ist weiterhin verfügbar.
Zum Datenersatz kann die Microsoft.Security/Assessments-Tabelle verwendet werden.
Der Hauptunterschied zwischen Microsoft.Security/securityStatuses und Microsoft.Security/Assessments besteht darin, dass Erstere die Aggregation von Bewertungen zeigt, während in der Zweiten jeweils ein einzelner Datensatz enthalten ist.
Beispielsweise gibt Microsoft.Security/securityStatuses ein Ergebnis mit einem Array von zwei Richtlinienbewertungen (policyAssessments) zurück:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
„Microsoft.Security/Assessments“ enthält hingegen einen Datensatz für jede Richtlinienbewertung:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Beispiel für das Konvertieren einer vorhandenen ARG-Abfrage mit securityStatuses für die Verwendung der Assessments-Tabelle:
Abfrage, die auf SecurityStatuses verweist:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Ersatzabfrage für die Assessments-Tabelle:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Weitere Informationen finden Sie unter den folgenden Links:
- Schnellstart: Ausführen Ihrer ersten Resource Graph-Abfrage mithilfe des Azure Resource Graph-Explorers
- Kusto-Abfragesprache (KQL)
September 2020
Updates im September:
- Security Center erhält ein neues Aussehen!
- Azure Defender veröffentlicht
- Azure Defender für Key Vault ist allgemein verfügbar.
- Azure Defender für Storage ist für Files und ADLS Gen2 allgemein verfügbar.
- Asset Inventory-Tools sind jetzt allgemein verfügbar.
- Deaktivieren der Erkennung eines bestimmten Sicherheitsrisikos bei Scans von Containerregistrierungen und virtuellen Computern
- Ausschließen einer Ressource aus einer Empfehlung
- AWS- und GCP-Connectors in Security Center für Szenarien mit mehreren Clouds
- Empfehlungsbündel für Kubernetes-Workloadschutz
- Ergebnisse der Sicherheitsrisikobewertung sind jetzt im fortlaufenden Export verfügbar
- Verhindern von sicherheitsbezogenen Fehlkonfigurationen durch Erzwingen von Empfehlungen beim Erstellen neuer Ressourcen
- Empfehlungen für Netzwerksicherheitsgruppen verbessert
- Veraltete AKS-Vorschauempfehlung „Für Kubernetes Service müssen Podsicherheitsrichtlinien definiert werden“
- E-Mail-Benachrichtigungen von Azure Security Center verbessert
- Sicherheitsbewertung ohne Vorschauempfehlungen
- Empfehlungen jetzt mit Schweregradindikator und Aktualisierungsintervall
Security Center erhält ein neues Aussehen
Wir haben eine aktualisierte Benutzeroberfläche für die Portalseiten von Security Center veröffentlicht. Die neuen Seiten enthalten eine neue Übersicht und Dashboards für Sicherheitsbewertung, Ressourcenbestand und Azure Defender.
Die neu gestaltete Übersicht verfügt jetzt über eine Kachel für den Zugriff auf die Sicherheitsbewertung, den Ressourcenbestand und Azure Defender-Dashboards. Außerdem bietet eine neue Kachel eine Verknüpfung mit dem Compliance-Dashboard.
Erfahren Sie mehr über die Übersicht.
Azure Defender veröffentlicht
Azure Defender ist die in Security Center integrierte Cloud Workload Protection Platform (CWPP), die einen erweiterten, intelligenten Schutz Ihrer Azure- und Hybridworkloads bietet. Sie ersetzt den Standard-Tarif von Security Center.
Wenn Sie Azure Defender über den Bereich Preise und Einstellungen von Azure Security Center aktivieren, werden alle folgenden Defender-Pläne aktiviert und bieten umfassende Schutzmechanismen für die Compute-, Daten- und Dienstebenen Ihrer Umgebung:
- Azure Defender für Server
- Azure Defender für App Service
- Azure Defender für Storage
- Azure Defender für SQL
- Azure Defender für Key Vault
- Azure Defender für Kubernetes
- Azure Defender für Containerregistrierungen
Jeder dieser Pläne wird in der Security Center-Dokumentation einzeln erläutert.
Über ein dediziertes Dashboard bietet Azure Defender Sicherheitswarnungen und erweiterten Bedrohungsschutz für virtuelle Computer, SQL-Datenbanken, Container, Webanwendungen, Ihr Netzwerk u. v. m.
Weitere Informationen zu Azure Defender.
Azure Defender für Key Vault ist allgemein verfügbar
Der Azure Key Vault-Clouddienst schützt Verschlüsselungsschlüssel und Geheimnisse (wie Zertifikate, Verbindungszeichenfolgen und Kennwörter).
Azure Defender für Key Vault bietet in Azure nativen erweiterten Bedrohungsschutz für Azure Key Vault und dadurch eine zusätzliche Ebene der Sicherheitsintelligenz. Durch die Erweiterung schützt Azure Defender für Key Vault daher viele der Ressourcen, die von Ihren Key Vault-Konten abhängig sind.
Der optionale Plan ist nun allgemein verfügbar. Dieses Feature wurde in der Vorschau als „Advanced Threat Protection für Azure Key Vault“ bezeichnet.
Außerdem enthalten die Key Vault-Seiten im Azure-Portal nun eine dedizierte Seite Sicherheit für Empfehlungen und Warnungen von Security Center.
Weitere Informationen finden Sie unter Azure Defender für Key Vault.
Azure Defender für Storage ist für Files und ADLS Gen2 allgemein verfügbar
Azure Defender für Storage erkennt potenziell schädliche Aktivitäten in Ihren Azure Storage-Konten. Ihre Daten können geschützt werden, und zwar unabhängig davon, ob Sie als Blobcontainer, Dateifreigaben oder Data Lakes gespeichert werden.
Die Unterstützung für Azure Files und Azure Data Lake Storage Gen2 ist jetzt allgemein verfügbar.
Ab dem 1. Oktober 2020 beginnen wir damit, den Schutz von Ressourcen für diese Dienste abzurechnen.
Weitere Informationen finden Sie unter Azure Defender für Storage.
Asset Inventory-Tools sind jetzt allgemein verfügbar
Auf der Seite „Ressourcenbestand“ von Azure Security Center können Sie auf einer Seite den gesamten Sicherheitsstatus der Ressourcen anzeigen, die Sie mit Azure Security Center verbunden haben.
Azure Security Center analysiert in regelmäßigen Abständen den Sicherheitsstatus der Azure-Ressourcen, um mögliche Sicherheitsrisiken zu erkennen. Anschließend erhalten Sie Empfehlungen dazu, wie Sie diese Sicherheitsrisiken beheben können.
Wenn eine Ressource ausstehende Empfehlungen hat, werden diese im Inventar angezeigt.
Weitere Informationen finden Sie unter Untersuchen und Verwalten Ihrer Ressourcen mit dem Ressourcenbestand und Verwaltungstools.
Deaktivieren der Erkennung eines bestimmten Sicherheitsrisikos bei Scans von Containerregistrierungen und virtuellen Computern
Azure Defender enthält Sicherheitsrisikoscanner, mit denen Sie Images in Azure Container Registry und auf Ihren virtuellen Computern scannen können.
Wenn in Ihrer Organisation eine Suche ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung und erzeugen kein unerwünschtes Rauschen.
Wenn eine Suche mit den in Ihren Deaktivierungsregeln definierten Kriterien übereinstimmt, wird sie nicht in der Liste der Ergebnisse angezeigt.
Diese Option ist auf den Detailseiten der Empfehlungen verfügbar:
- Sicherheitsrisiken in Azure Container Registry-Images müssen behoben werden
- Sicherheitsrisiken für VMs müssen behoben werden
Weitere Informationen finden Sie unter Deaktivieren bestimmter Ergebnisse für Containerimages und Deaktivieren bestimmter Ergebnisse für virtuelle Computer.
Ausschließen einer Ressource aus einer Empfehlung
Gelegentlich wird eine Ressource in Bezug auf eine bestimmte Empfehlung als fehlerhaft aufgeführt (und damit Ihre Sicherheitsbewertung gesenkt), obwohl Sie anderer Ansicht sind. Unter Umständen wurde dafür eine Lösungsmaßnahme mit einem Prozess durchgeführt, der von Security Center nicht nachverfolgt wird. Es kann auch sein, dass Ihre Organisation die Entscheidung getroffen hat, das Risiko für die entsprechende Ressource zu akzeptieren.
In diesen Fällen können Sie eine Ausnahmeregel erstellen und sicherstellen, dass die Ressource in Zukunft nicht mehr in der Liste mit den fehlerhaften Ressourcen enthalten ist. Diese Regeln können dokumentierte Begründungen enthalten, wie unten beschrieben.
Weitere Informationen finden Sie unter Ausschließen einer Ressource aus Empfehlungen und der Sicherheitsbewertung.
AWS- und GCP-Connectors in Security Center für Szenarien mit mehreren Clouds
Cloudworkloads umfassen in der Regel mehrere Cloudplattformen, daher muss das auch für Cloudsicherheitsdienste gelten.
Azure Security Center schützt nun Workloads in Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP).
Beim Onboarding von AWS- und GCP-Projekten in Security Center werden AWS Security Hub, GCP Security Command und Azure Security Center integriert.
Weitere Informationen finden Sie unter Herstellen einer Verbindung zwischen Ihren AWS-Konten und Azure Security Center und Verbinden von GCP-Projekten mit Microsoft Defender für Cloud.
Empfehlungsbündel für Kubernetes-Workloadschutz
Um sicherzustellen, dass Kubernetes-Workloads standardmäßig sicher sind, fügt Security Center Härtungsempfehlungen auf Kubernetes-Ebene hinzu, einschließlich Erzwingungsoptionen mit Kubernetes-Zugangskontrolle.
Wenn Sie Azure Policy für Kubernetes in Ihrem AKS-Cluster installiert haben, wird jede Anforderung an den Kubernetes-API-Server anhand der vordefinierten bewährten Methoden überwacht, bevor sie im Cluster persistent gespeichert wird. Anschließend können Sie das Erzwingen der bewährten Methoden konfigurieren und auf zukünftige Workloads anwenden.
Beispielsweise können Sie vorschreiben, dass keine privilegierten Container erstellt werden sollen und dass zukünftige Anforderungen für diese Aktion blockiert werden sollen.
Weitere Informationen finden Sie unter Bewährte Methoden zum Schutz von Workloads mithilfe der Kubernetes-Zugangssteuerung.
Ergebnisse der Sicherheitsrisikobewertung sind jetzt im fortlaufenden Export verfügbar
Verwenden Sie den fortlaufenden Export, um Warnungen und Empfehlungen an Azure Event Hubs, Log Analytics-Arbeitsbereiche oder Azure Monitor zu streamen. Von dort aus können Sie diese Daten in SIEM-Lösungen integrieren (z. B. Azure Sentinel, Power BI, Azure Data Explorer usw.).
Die integrierten Tools für die Sicherheitsrisikobewertung von Security Center geben Ergebnisse zu Ihren Ressourcen als handlungsrelevante Empfehlungen innerhalb einer übergeordneten Empfehlung zurück, z. B. als „Sicherheitsrisiken für VMs müssen behoben werden“.
Die sicherheitsrelevanten Ergebnisse sind jetzt über den fortlaufenden Export verfügbar, wenn Sie Empfehlungen auswählen und die Option Sicherheitsrelevante Ergebnisse einbeziehen aktivieren.
Verwandte Seiten:
- In Security Center integrierte Qualys-Lösung zur Sicherheitsrisikobewertung für virtuelle Computer
- Integrierte Security Center-Lösung zur Sicherheitsrisikobewertung für Azure Container Registry-Images
- Fortlaufendem Export
Verhindern von sicherheitsbezogenen Fehlkonfigurationen durch Erzwingen von Empfehlungen beim Erstellen neuer Ressourcen
Sicherheitsbezogene Fehlkonfigurationen sind eine häufige Ursache für Sicherheitsincidents. In Security Center ist jetzt ein Feature verfügbar, mit dem Sie Fehlkonfigurationen neuer Ressourcen dank bestimmter Empfehlungen verhindern können.
Dieses Feature kann dazu beitragen, dass Ihre Workloads geschützt sind und Ihre Sicherheitsbewertung stabil bleibt.
Zum Erzwingen einer sicheren Konfiguration auf Grundlage einer bestimmten Empfehlung stehen zwei Modi zur Verfügung:
Mithilfe des verweigerten Modus der Azure-Richtlinie können Sie verhindern, dass fehlerhafte Ressourcen erstellt werden.
Mit der erzwungenen Option können Sie den DeployIfNotExist-Effekt von Azure Policy nutzen und beim Erstellen automatisch nicht kompatible Ressourcen korrigieren.
Diese sind für ausgewählte Sicherheitsempfehlungen oben auf der Seite mit den Ressourcendetails verfügbar.
Weitere Informationen finden Sie unter Verhindern von Fehlkonfigurationen mit den Optionen zum Erzwingen/Ablehnen für Empfehlungen.
Empfehlungen für Netzwerksicherheitsgruppen verbessert
Die folgenden Sicherheitsempfehlungen im Zusammenhang mit Netzwerksicherheitsgruppen wurden verbessert, um einige Arten von False Positives zu verringern.
- Alle Netzwerkports sollten auf NSGs eingeschränkt werden, die ihrer VM zugeordnet sind.
- Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden.
- Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden.
- Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden
Veraltete AKS-Vorschauempfehlung „Für Kubernetes Service müssen Podsicherheitsrichtlinien definiert werden“
Die Vorschauempfehlung „Für Kubernetes Service müssen Podsicherheitsrichtlinien definiert werden“ ist veraltet. Eine Beschreibung finden Sie in der Dokumentation zu Azure Kubernetes Service.
Das Feature „Podsicherheitsrichtlinie“ (Vorschauversion) wird als veraltet eingestuft und steht nach dem 15. Oktober 2020 zugunsten von Azure Policy für AKS nicht mehr zur Verfügung.
Wenn die Podsicherheitsrichtlinie (Vorschauversion) veraltet ist, müssen Sie das Feature für alle vorhandenen Cluster deaktivieren, die das veraltete Feature verwenden, um zukünftige Clusterupgrades ausführen und weiterhin Azure-Support erhalten zu können.
E-Mail-Benachrichtigungen von Azure Security Center verbessert
Die folgenden Bereiche von E-Mails zu Sicherheitswarnungen wurden verbessert:
- Möglichkeit zum Senden von E-Mail-Benachrichtigungen zu Warnungen für alle Schweregrade hinzugefügt
- Möglichkeit zum Benachrichtigen von Benutzern mit unterschiedlichen Azure-Rollen für das Abonnement hinzugefügt
- Wir benachrichtigen standardmäßig Abonnementbesitzer bei Warnungen mit hohem Schweregrad (bei denen es sich mit hohen Wahrscheinlichkeit um echte Verstöße handelt).
- Das Feld für die Telefonnummer wurde von der Konfigurationsseite für E-Mail-Benachrichtigungen entfernt.
Weitere Informationen finden Sie unter Einrichten von E-Mail-Benachrichtigungen für Sicherheitswarnungen.
Sicherheitsbewertung ohne Vorschauempfehlungen
Security Center führt eine ständige Bewertung Ihrer Ressourcen, Abonnements und Organisation in Bezug auf Sicherheitsprobleme durch. Anschließend werden alle Ergebnisse in einer einzigen Bewertung zusammengefasst, sodass Sie auf einen Blick Ihre aktuelle Sicherheitssituation erkennen können: je höher die Bewertung, desto geringer das ermittelte Risiko.
Wenn neue Bedrohungen erkannt werden, werden neue Sicherheitsempfehlungen in Security Center über neue Empfehlungen verfügbar gemacht. Um unerwartete Änderungen an Ihrer Sicherheitsbewertung zu vermeiden und eine Toleranzperiode zu gewähren, in der Sie neue Empfehlungen erkunden können, bevor diese sich auf Ihre Bewertungen auswirken, werden Empfehlungen, die als Vorschau gekennzeichnet sind, nicht mehr in die Berechnungen Ihrer Sicherheitsbewertung einbezogen. Sie sollten nach Möglichkeit weiterhin korrigiert werden, damit sie nach Ablauf des Vorschauzeitraums zu Ihrer Bewertung beitragen.
Außerdem führen Empfehlungen in der Vorschauphase nicht dazu, dass eine Ressource als „Fehlerhaft“ gekennzeichnet wird.
Beispiel für eine Vorschauempfehlung:
Weitere Informationen zur Sicherheitsbewertung.
Empfehlungen jetzt mit Schweregradindikator und Aktualisierungsintervall
Die Detailseite für Empfehlungen enthält jetzt einen Indikator für das Aktualisierungsintervall (sofern relevant) und eine deutliche Anzeige des Schweregrads der Empfehlung.
August 2020
Updates im August:
- Ressourcenbestand – leistungsstarke neue Ansicht des Sicherheitsstatus ihrer Ressourcen
- Unterstützung für Azure Active Directory-Sicherheitsstandards (für die mehrstufige Authentifizierung) hinzugefügt
- Empfehlung zu Dienstprinzipale hinzugefügt
- Sicherheitsrisikobewertung bei virtuellen Computern: Empfehlungen und Richtlinien wurden konsolidiert
- Neue AKS-Sicherheitsrichtlinien, die ASC_default Initiative hinzugefügt wurden
Ressourcenbestand – leistungsstarke neue Ansicht des Sicherheitsstatus ihrer Ressourcen
Der Ressourcenbestand in Security Center (derzeit in der Vorschauphase) bietet eine Möglichkeit, den Sicherheitsstatus der Ressourcen anzuzeigen, die Sie mit Security Center verbunden haben.
Azure Security Center analysiert in regelmäßigen Abständen den Sicherheitsstatus der Azure-Ressourcen, um mögliche Sicherheitsrisiken zu erkennen. Anschließend erhalten Sie Empfehlungen dazu, wie Sie diese Sicherheitsrisiken beheben können. Wenn eine Ressource ausstehende Empfehlungen hat, werden diese im Inventar angezeigt.
Sie können die Ansicht und ihre Filter verwenden, um Ihre Daten zum Sicherheitsstatus zu untersuchen und auf der Grundlage der Ergebnisse weitere Maßnahmen zu ergreifen.
Weitere Informationen: Ressourcenbestand.
Unterstützung für Azure Active Directory-Sicherheitsstandards (für die mehrstufige Authentifizierung) hinzugefügt
Azure Security Center bietet vollständige Unterstützung für Sicherheitsstandards, den kostenlosen Schutzfunktionen von Microsoft für die Identitätssicherheit.
Die Sicherheitsstandards bieten vorkonfigurierte Identitätssicherheitseinstellungen, um Ihre Organisation vor häufigen identitätsbezogenen Angriffen zu schützen. Sicherheitsstandards schützen bereits mehr als 5 Millionen Mandanten insgesamt; 50.000 Mandanten werden zusätzlich durch Azure Security Center geschützt.
Azure Security Center stellt jetzt eine Sicherheitsempfehlung bereit, sobald ein Azure-Abonnement ohne aktivierte Sicherheitsstandards identifiziert wird. Bisher empfahl Azure Security Center die Aktivierung der mehrstufigen Authentifizierung (MFA) mittels bedingtem Zugriff, was Teil der Lizenz von Azure Active Directory (AD) Premium ist. Für Kunden, die Azure AD Free verwenden, empfehlen wir nun, die Sicherheitsstandards zu aktivieren.
Unser Ziel ist es, mehr Kunden zu ermutigen, ihre Cloudumgebungen mit MFA abzusichern und damit eines der höchsten Risiken zu mindern, das sich auch am stärksten auf ihre Sicherheitsbewertung auswirkt.
Weitere Informationen: Sicherheitsstandards.
Empfehlung zu Dienstprinzipale hinzugefügt
Es wurde eine neue Empfehlung hinzugefügt, die Azure Security Center-Kund*innen, die Verwaltungszertifikate zum Verwalten ihrer Abonnements verwenden, die Umstellung auf Dienstprinzipale empfiehlt.
Die Empfehlung, Zum Schutz Ihrer Abonnements Dienstprinzipale anstelle von Verwaltungszertifikaten verwenden besagt, für eine sicherere Verwaltung Ihrer Abonnements Dienstprinzipale oder Azure Resource Manager zu verwenden.
Weitere Informationen: Anwendungs- und Dienstprinzipalobjekten in Azure Active Directory.
Sicherheitsrisikobewertung bei virtuellen Computern: Empfehlungen und Richtlinien wurden konsolidiert
Security Center untersucht Ihre virtuellen Computer, um festzustellen, ob darauf eine Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Wenn keine Lösung zur Sicherheitsrisikobewertung gefunden wird, gibt Security Center eine Empfehlung zur Vereinfachung der Bereitstellung.
Werden Sicherheitsrisiken gefunden, gibt Security Center eine Empfehlung, die die Ergebnisse zusammenfasst, damit Sie die Sicherheitsrisiken untersuchen und gegebenenfalls beheben können.
Um für alle Benutzer, unabhängig vom verwendeten Scannertyp, eine einheitliche Umgebung zu gewährleisten, haben wir vier Empfehlungen zu den folgenden beiden Empfehlungen vereinheitlicht:
| Vereinheitlichte Empfehlung | Änderungsbeschreibung |
|---|---|
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Ersetzt die folgenden beiden Empfehlungen: ***** Integrierte Lösung zur Sicherheitsrisikobewertung auf virtuellen Computern aktivieren (unterstützt von Qualys – jetzt veraltet) (Empfehlung wird in Standard-Tarifen angezeigt) ***** Die Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern installiert werden (jetzt veraltet) (Empfehlung wird sowohl in Standard- als auch Free-Tarifen angezeigt) |
| Sicherheitsrisiken für VMs müssen behoben werden | Ersetzt die folgenden beiden Empfehlungen: ***** Auf Ihren virtuellen Computern gefundene Sicherheitsrisiken beheben (unterstützt von Qualys – jetzt veraltet) ***** Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung entschärft werden (unterstützt von Qualys – jetzt veraltet) |
Jetzt wenden Sie dieselbe Empfehlung an, um die Security Center-Erweiterung für die Sicherheitsrisikobewertung oder eine privat lizenzierte Lösung mit Verwendung Ihrer eigenen Lizenz (BYOL, Bring-Your-Own-License) von einem Partner wie Qualys oder Rapid7 bereitzustellen.
Wurden Sicherheitsrisiken gefunden und an Security Center gemeldet, werden Sie unabhängig von der Lösung zur Sicherheitsrisikobewertung, die diese Sicherheitsrisiken identifiziert hat, mit einer einzigen Empfehlung auf die Ergebnisse aufmerksam gemacht.
Aktualisieren von Abhängigkeiten
Wenn Sie über Skripts, Abfragen oder Automatisierungen verfügen, die sich auf die früheren Empfehlungen oder Richtlinienschlüssel/-namen beziehen, verwenden Sie die folgenden Tabellen, um die Verweise zu aktualisieren:
Vor August 2020
| Empfehlung | `Scope` |
|---|---|
| Integrierte Lösung zur Sicherheitsrisikobewertung (unterstützt von Qualys) auf virtuellen Computern aktivieren Schlüssel: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Integriert |
| Auf Ihren virtuellen Computern gefundene Sicherheitsrisiken beheben (unterstützt von Qualys) Schlüssel: 1195afff-c881-495e-9bc5-1486211ae03f |
Integriert |
| Die Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern installiert werden Schlüssel: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
| Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung beseitigt werden Schlüssel: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Richtlinie | `Scope` |
|---|---|
| Sicherheitsrisikobewertung für virtuelle Computer muss aktiviert sein Richtlinien-ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Integriert |
| Sicherheitsrisiken sollten durch eine Lösung zur Sicherheitsrisikobewertung entschärft werden Richtlinien-ID: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
Ab August 2020
| Empfehlung | `Scope` |
|---|---|
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden Schlüssel: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Integriert + BYOL |
| Sicherheitsrisiken für VMs müssen behoben werden Schlüssel: 1195afff-c881-495e-9bc5-1486211ae03f |
Integriert + BYOL |
| Richtlinie | `Scope` |
|---|---|
| Sicherheitsrisikobewertung für virtuelle Computer muss aktiviert sein Richtlinien-ID: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Integriert + BYOL |
Neue AKS-Sicherheitsrichtlinien, die ASC_default Initiative hinzugefügt wurden
Um sicherzustellen, dass Kubernetes-Workloads standardmäßig sicher sind, fügt Security Center Richtlinien auf Kubernetes-Ebene und Härtungsempfehlungen hinzu, einschließlich Erzwingungsoptionen mit Kubernetes-Zugangskontrolle.
Die frühe Phase dieses Projekts umfasst eine Vorschau und die Hinzufügung neuer (standardmäßig deaktivierter) Richtlinien zur ASC_default Initiative.
Sie können diese Richtlinien gefahrlos und ohne Auswirkungen auf Ihre Umgebung ignorieren. Wenn Sie sie aktivieren möchten, melden Sie sich über die Microsoft Cloud Security Private Community für die Vorschau an und wählen Sie eine der folgenden Optionen:
- Einzelne Vorschau – Um nur dieser Vorschau beizutreten. Nennen Sie „ASC Continuous Scan“ ausdrücklich als Vorschauversion, der Sie beitreten möchten.
- Fortlaufendes Programm, um dieser und zukünftigen privaten Vorschauversionen hinzugefügt zu werden. Sie müssen ein Profil und eine Datenschutzvereinbarung ausfüllen.
Juli 2020
Zu den Updates im Juli gehören:
- Die Sicherheitsrisikobewertung für VMs ist jetzt verfügbar für Images, die nicht auf dem Marketplace erhältlich sind.
- Erweiterung des Bedrohungsschutzes für Azure Storage durch Einbeziehen von Azure Files und Azure Data Lake Storage Gen2 (Vorschau)
- Acht neue Empfehlungen zum Aktivieren von Bedrohungsschutzfeatures
- Verbesserungen der Containersicherheit: schnellere Überprüfung der Registrierung und aktualisierte Dokumentation
- Neue Empfehlung zum Aktualisieren Ihrer Regeln für die adaptive Anwendungssteuerung
- Sechs Richtlinien für SQL Advanced Data Security als veraltet markiert
Sicherheitsrisikobewertung für virtuelle Computer jetzt verfügbar für Nicht-Marketplace-Images
Bisher hat Security Center eine Überprüfung vor der Bereitstellung durchgeführt, wenn Sie eine Lösung zur Sicherheitsrisikobewertung bereitgestellt haben. Die Überprüfung diente der Bestätigung einer Marketplace-SKU des virtuellen Zielcomputers.
Ab diesem Update wurde die Überprüfung entfernt, und Sie können nun Tools zur Sicherheitsrisikobewertung auf benutzerdefinierten Windows- und Linux-Computern bereitstellen. Benutzerdefinierte Images sind solche, in denen Sie die Marketplace-Standardeinstellungen geändert haben.
Auch wenn Sie nun die integrierte Erweiterung für die Sicherheitsrisikobewertung (bereitgestellt durch Qualys) auf vielen weiteren Computern bereitstellen können, ist Support nur verfügbar, wenn Sie ein Betriebssystem verwenden, das unter Bereitstellen der integrierten für Überprüfung auf Sicherheitsrisiken auf VMs im Standard-Tarif aufgeführt ist.
Erfahren Sie mehr über die integrierte Lösung für die Überprüfung auf Sicherheitsrisiken für virtuelle Computer (erfordert Azure Defender).
Erfahren Sie mehr über die Verwendung Ihrer eigenen privat lizenzierten Sicherheitsrisikobewertungslösung aus Qualys oder Rapid7 in der Bereitstellung einer Lösung zur Überprüfung von Sicherheitsrisiken durch Partner.
Erweiterung des Bedrohungsschutzes für Azure Storage durch Einbeziehen von Azure Files und Azure Data Lake Storage Gen2 (Vorschau)
Der Bedrohungsschutz für Azure Storage erkennt potenziell schädliche Aktivitäten in Ihren Azure Storage-Konten. Security Center zeigt Warnungen an, wenn Versuche erkannt werden, auf Ihre Speicherkonten zuzugreifen oder diese auszunutzen.
Ihre Daten können geschützt werden, und zwar unabhängig davon, ob Sie als Blobcontainer, Dateifreigaben oder Data Lakes gespeichert werden.
Acht neue Empfehlungen zum Aktivieren von Bedrohungsschutzfeatures
Es wurden acht neue Empfehlungen hinzugefügt, um eine einfache Möglichkeit zum Aktivieren der Bedrohungsschutzfeatures von Azure Security Center für die folgenden Ressourcentypen bereitzustellen: virtuelle Computer, App Service-Pläne, Azure SQL-Datenbank-Server, SQL-Server auf Computern, Azure Storage-Konten, Azure Kubernetes Service-Cluster, Azure Container Registry-Registrierungen und Azure Key Vault-Tresore.
Die neuen Empfehlungen sind:
- Advanced Data Security muss für Azure SQL-Datenbank-Server aktiviert sein
- Advanced Data Security muss für SQL Server-Instanzen auf Computern aktiviert sein.
- Advanced Threat Protection muss in Azure App Service-Plänen aktiviert sein.
- Advanced Threat Protection muss in Azure Container Registry-Instanzen aktiviert sein
- Advanced Threat Protection muss in Azure Key Vault-Instanzen aktiviert sein
- Advanced Threat Protection muss in Azure Kubernetes Service-Clustern aktiviert sein
- Advanced Threat Protection muss für Azure Storage-Konten aktiviert sein
- Advanced Threat Protection muss für virtuelle Computer aktiviert sein.
Die Empfehlungen schließen auch die Möglichkeit schneller Korrekturen ein.
Wichtig
Wenn Sie eine dieser Empfehlungen umsetzen, fallen Gebühren für den Schutz der relevanten Ressourcen an. Diese Kosten beginnen sofort, wenn Sie über zugehörige Ressourcen im aktuellen Abonnement verfügen. Das gilt auch, wenn Sie sie zu einem späteren Zeitpunkt hinzufügen.
Wenn Sie z. B. nicht über Azure Kubernetes Service-Cluster in Ihrem Abonnement verfügen und den Bedrohungsschutz aktivieren, fallen keine Gebühren an. Wenn Sie in Zukunft einen Cluster im selben Abonnement hinzufügen, wird dieser automatisch geschützt, und die Gebühren beginnen ab diesem Zeitpunkt.
Weitere Informationen zu den einzelnen Angaben finden Sie auf der Referenzseite zu Sicherheitsempfehlungen.
Erfahren Sie mehr über Bedrohungsschutz in Azure Security Center.
Verbesserungen bei der Containersicherheit: schnellere Überprüfung der Registrierung und aktualisierte Dokumentation
Im Rahmen der kontinuierlichen Investitionen im Bereich Containersicherheit geben wir gerne eine bedeutende Leistungsverbesserung im Security Center-Feature für dynamische Scans von Containerimages in Azure Container Registry weiter. Scans werden nun in der Regel in ungefähr zwei Minuten abgeschlossen. In einigen Fällen kann es bis zu 15 Minuten dauern.
Zur Verbesserung der Klarheit und der Beschreibungen zu den Sicherheitsfunktionen von Azure Security Center haben wir auch die Dokumentationsseiten für die Containersicherheit aktualisiert.
Weitere Informationen zur Containersicherheit in Security Center finden Sie in den folgenden Artikeln:
- Übersicht über die Containersicherheitsfeatures von Security Center
- Ausführliche Informationen zur Integration mit Azure Container Registry
- Ausführliche Informationen zur Integration mit Azure Kubernetes Service
- Überprüfen Ihrer Registrierungen und Härten Ihrer Docker-Hosts
- Sicherheitswarnungen von den Features zum Schutz vor Bedrohungen für Azure Kubernetes Service-Cluster
- Sicherheitsempfehlungen für Container
Neue Empfehlung zum Aktualisieren Ihrer Regeln für die adaptive Anwendungssteuerung
Das Feature für die adaptive Anwendungssteuerung hat zwei bedeutende Updates erhalten:
Eine neue Empfehlung identifiziert potenziell legitimes Verhalten, das bisher noch nicht zulässig war. Die neue Empfehlung Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden fordert Sie auf, der vorhandenen Richtlinie neue Regeln hinzuzufügen, um die Anzahl der falsch positiven Ergebnisse bei adaptiven Warnungen zu Anwendungssteuerungen zu verringern.
Pfadregeln unterstützen jetzt Platzhalter. Mit diesem Update können Sie zulässige Pfadregeln mithilfe von Platzhaltern konfigurieren. Es werden zwei Szenarios unterstützt:
Verwenden eines Platzhalters am Ende eines Pfads, um alle ausführbaren Dateien in diesem Ordner und in den zugehörigen Unterordnern zuzulassen.
Verwenden eines Platzhalters in der Mitte eines Pfads zum Aktivieren des Namens einer bekannten ausführbaren Datei mit einem sich ändernden Ordnernamen (z. B. persönliche Benutzerordner mit einer bekannten ausführbaren Datei, automatisch generierte Ordnernamen usw.)
Weitere Informationen über Adaptive Anwendungssteuerungen
Sechs Richtlinien für SQL Advanced Data Security als veraltet markiert
Sechs Richtlinien im Zusammenhang mit Advanced Data Security für SQL-Computer werden als veraltet markiert:
- Advanced Threat Protection-Typen müssen in den Advanced Data Security-Einstellungen von SQL Managed Instance auf „Alle“ festgelegt werden
- Advanced Threat Protection-Typen müssen in den Advanced Data Security-Einstellungen der SQL Server-Instanz auf „Alle“ festgelegt werden
- Advanced Data Security-Einstellungen für verwaltete SQL-Instanzen sollten eine E-Mail-Adresse für den Empfang von Sicherheitswarnungen enthalten.
- Advanced Data Security-Einstellungen für SQL Server sollten eine E-Mail-Adresse für den Empfang von Sicherheitswarnungen enthalten.
- In den Advanced Data Security-Einstellungen für die verwaltete SQL-Instanz müssen E-Mail-Benachrichtigungen an Administratoren und Abonnementbesitzer aktiviert sein
- E-Mail-Benachrichtigungen an Administratoren und Abonnementbesitzer sollten in den erweiterten Einstellungen für Datensicherheit in SQL Server aktiviert werden.
Weitere Informationen zu integrierten Richtlinien
Juni 2020
Zu den Updates im Juni gehören:
- Sicherheitsbewertungs-API (Vorschau)
- Erweiterte Datensicherheit für SQL-Computer (Azure, andere Clouds und lokal) (Vorschau)
- Zwei neue Empfehlungen zum Bereitstellen des Log Analytics-Agent auf Azure Arc-Computern (Vorschau)
- Neue Richtlinien zum Erstellen von Konfigurationen für fortlaufenden Export und Workflowautomatisierung im großen Stil
- Neue Empfehlung zum Verwenden von NSGs zum Schützen von virtuellen Computern ohne Internetzugriff
- Neue Richtlinien zum Aktivieren von Bedrohungsschutz und erweiterter Datensicherheit
Sicherheitsbewertungs-API (Vorschau)
Sie können jetzt auf Ihre Bewertung über die Sicherheitsbewertungs-API (derzeit in der Vorschau) zugreifen. Die API-Methoden bieten die Flexibilität, die Daten abzufragen und im Laufe der Zeit einen eigenen Berichtsmechanismus für Ihre Sicherheitsbewertungen zu erstellen. Beispielsweise können Sie die API Sicherheitsbewertungen verwenden, um die Bewertung für ein bestimmtes Abonnement zu erhalten. Darüber hinaus können Sie die API Sicherheitsbewertungs-Steuerelemente verwenden, um die Sicherheitssteuerelemente und die aktuelle Bewertung Ihrer Abonnements aufzulisten.
Beispiele für externe Tools, die mit der Sicherheitsbewertungs-API verwendet werden können, finden Sie im Bereich zu den Sicherheitsbewertungen in unserer GitHub-Community.
Weitere Informationen finden Sie unter Erweiterter Secure Score (Vorschau) in Azure Security Center.
Erweiterte Datensicherheit für SQL-Computer (Azure, andere Clouds und lokal) (Vorschau)
Advanced Data Security für SQL-Computer im Azure Security Center schützt jetzt in Azure, in anderen Cloudumgebungen und sogar auf lokalen Computern gehostete SQL-Server-Instanzen. Dies erweitert den Schutz für Ihre nativen Azure-SQL Server-Instanzen, um vollständige Unterstützung für Hybridumgebungen bereitzustellen.
Erweiterte Datensicherheit bietet eine Sicherheitsrisikobewertung und erweiterten Bedrohungsschutz für Ihre SQL-Computer, wo immer sie sich befinden.
Das Setup umfasst zwei Schritte:
Stellen Sie den Log Analytics-Agent auf dem Hostcomputer Ihrer SQL Server-Instanz bereit, um die Verbindung mit dem Azure-Konto herzustellen.
Aktivieren Sie das optionale Paket auf der Security Center-Seite „Preise und Einstellungen“.
Weitere Informationen finden Sie unter Erweiterte Datensicherheit für SQL Server-Instanzen in Azure Virtual Machines (Vorschau).
Zwei neue Empfehlungen zum Bereitstellen des Log Analytics-Agent auf Azure Arc-Computern (Vorschau)
Es wurden zwei neue Empfehlungen hinzugefügt, die Ihnen helfen, den Log Analytics-Agent auf Ihren Azure Arc-Computern bereitzustellen und sicherzustellen, dass sie durch Azure Security Center geschützt sind:
- Log Analytics-Agent muss auf Ihren Windows-basierten Azure Arc-Computern installiert sein (Vorschau)
- Log Analytics-Agent muss auf Ihren Linux-basierten Azure Arc-Computern installiert sein (Vorschau)
Diese neuen Empfehlungen werden in denselben vier Sicherheitssteuerelementen angezeigt wie die vorhandene (verwandte) Empfehlung, Monitoring Agent sollte auf ihren Computern installiert werden: Sicherheitskonfigurationen reparieren, adaptive Anwendungssteuerung anwenden, Systemupdates anwenden und Endpunktschutz aktivieren.
Die Empfehlungen umfassen auch die Funktion „Schnelle Problembehebung“, um den Bereitstellungsprozess zu beschleunigen.
Weitere Informationen zu diesen beiden neuen Empfehlungen finden Sie in der Tabelle Compute- und App-Empfehlungen.
In Was ist der Log Analytics-Agent? erfahren Sie mehr darüber, wie Azure Security Center den Agent verwendet.
Erfahren Sie mehr über Erweiterungen für Azure Arc-Computer.
Neue Richtlinien zum Erstellen von Konfigurationen für fortlaufenden Export und Workflowautomatisierung im großen Stil
Die Automatisierung der Prozesse Ihrer Organisation zur Überwachung und Reaktion auf Vorfälle kann die Zeit, die zum Untersuchen von Sicherheitsvorfällen und zur Durchführung entsprechender Gegenmaßnahmen benötigt wird, erheblich verkürzen.
Zum Bereitstellen Ihrer Automatisierungskonfigurationen in Ihrer Organisation verwenden Sie diese integrierten „DeployIfdNotExist“-Azure-Richtlinien zum Erstellen und Konfigurieren von Prozeduren für fortlaufenden Export und Workflowautomatisierung:
Die Richtliniendefinitionen finden Sie unter Azure Policy:
| Zielsetzung | Richtlinie | Richtlinien-ID |
|---|---|---|
| Fortlaufender Export zu Event Hubs | Bereitstellen eines Exports für Azure Security Center-Warnungen und -Empfehlungen an Event Hubs | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Fortlaufender Export in einen Log Analytics-Arbeitsbereich | Bereitstellen eines Exports für Azure Security Center-Warnungen und -Empfehlungen in Log Analytics-Arbeitsbereichen | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Workflowautomatisierung für Sicherheitswarnungen | Bereitstellen der Workflowautomatisierung für Azure Security Center-Warnungen | f1525828-9a90-4fcf-be48-268cdd02361e |
| Workflowautomatisierung für Sicherheitsempfehlungen | Bereitstellen der Workflowautomatisierung für Azure Security Center-Empfehlungen | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Beginnen Sie mit Vorlagen zur Workflowautomatisierung.
Weitere Informationen über die Verwendung der beiden Exportrichtlinien finden Sie unter Konfigurieren der Workflowautomatisierung in großem Stile mit Hilfe der bereitgestellten Richtlinien und Einrichten eines fortlaufenden Exports.
Neue Empfehlung zum Verwenden von NSGs zum Schützen von virtuellen Computern ohne Internetzugriff
Das Sicherheitssteuerelement „Bewährte Sicherheitsmethoden implementieren“ enthält jetzt die folgende neue Empfehlung:
- Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden.
Eine vorhandene Empfehlung VMs mit Internetzugang sollten mithilfe von Netzwerksicherheitsgruppen geschützt werden unterschied nicht zwischen virtuellen Computern mit und ohne Internetzugriff. Für beide wurde eine Empfehlung mit hohem Schweregrad generiert, wenn eine VM keiner Netzwerksicherheitsgruppe zugewiesen war. Diese neue Empfehlung separiert die Computer ohne Internetzugriff, um falsch positive Ergebnisse zu reduzieren und unnötige Warnungen mit hohem Schweregrad zu vermeiden.
Weitere Informationen finden Sie in der Tabelle Netzwerkempfehlungen.
Neue Richtlinien zum Aktivieren von Bedrohungsschutz und erweiterter Datensicherheit
Die folgenden neuen Richtliniendefinitionen wurden der ASC-Standardinitiative hinzugefügt und dienen zur Unterstützung beim Aktivieren von Bedrohungsschutz oder erweiterter Datensicherheit für die relevanten Ressourcentypen.
Die Richtliniendefinitionen finden Sie unter Azure Policy:
| Richtlinie | Richtlinien-ID |
|---|---|
| Für Azure SQL-Datenbank-Server muss Advanced Data Security aktiviert sein | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| Advanced Data Security muss für SQL Server-Instanzen auf Computern aktiviert sein. | 6581d072-105e-4418-827f-bd446d56421b |
| Advanced Threat Protection muss für Azure Storage-Konten aktiviert sein | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| Advanced Threat Protection muss in Azure Key Vault-Instanzen aktiviert sein | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| Advanced Threat Protection muss in Azure App Service-Plänen aktiviert sein. | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| Advanced Threat Protection muss in Azure Container Registry-Instanzen aktiviert sein | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| Advanced Threat Protection muss in Azure Kubernetes Service-Clustern aktiviert sein | 523b5cdq1-3 23-492b5a539-13118b6d1e3a |
| Advanced Threat Protection muss für Virtual Machines aktiviert sein | 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
Erfahren Sie mehr über Bedrohungsschutz in Azure Security Center.
Mai 2020
Zu den Updates im Mai gehören:
- Regeln zur Warnungsunterdrückung (Vorschau)
- Sicherheitsrisikobewertung für virtuelle Computer ist jetzt allgemein verfügbar
- Änderungen am JIT-VM-Zugriff (Just-In-Time)
- Benutzerdefinierte Empfehlungen wurden in ein separates Sicherheitssteuerelement verschoben
- Umschalter zum Anzeigen von Empfehlungen in Steuerelementen oder als flache Liste hinzugefügt
- Erweitertes Sicherheitssteuerelement „Bewährte Sicherheitsmethoden implementieren“
- Benutzerdefinierte Richtlinien mit benutzerdefinierten Metadaten sind nun allgemein verfügbar
- Migration der Funktionen für die Absturzabbildanalyse zur Erkennung dateiloser Angriffe
Regeln zur Warnungsunterdrückung (Vorschau)
Dieses neue Feature (derzeit in der Vorschauphase) trägt zur Reduzierung der „Warnungsmüdigkeit“ bei. Verwenden Sie Regeln, damit Warnungen, die auf harmlose Fehler hinweisen oder sich auf normale Aktivitäten Ihrer Organisation beziehen, automatisch ausgeblendet werden. Auf diese Weise können Sie sich auf die relevantesten Bedrohungen konzentrieren.
Warnungen, die den aktivierten Unterdrückungsregeln entsprechen, werden zwar weiterhin generiert, aber ihr Status lautet „Geschlossen“. Der Status wird im Azure-Portal bzw. an dem Ort angezeigt, über den Sie auf die Security Center-Sicherheitswarnungen zugreifen.
Mit Unterdrückungsregeln werden die Kriterien definiert, nach denen Warnungen automatisch geschlossen werden sollen. Normalerweise verwenden Sie in folgenden Fällen eine Unterdrückungsregel:
Unterdrücken von Warnungen, die Sie als falsch positiv identifiziert haben
Unterdrücken von Warnungen, die zu oft ausgelöst werden und daher nicht nützlich sind
Weitere Informationen finden Sie unter Unterdrücken von Warnungen aus dem Threat Protection-Modul von Azure Security Center.
Sicherheitsrisikobewertung für virtuelle Computer ist jetzt allgemein verfügbar
Der Standardtarif von Security Center enthält jetzt eine integrierte Sicherheitsrisikobewertung, für die keine zusätzlichen Gebühren anfallen. Diese Erweiterung basiert auf Qualys, aber die Ergebnisse werden direkt an Security Center gemeldet. Sie benötigen keine Qualys-Lizenz und auch kein Qualys-Konto – alles erfolgt nahtlos innerhalb von Security Center.
Mit der neuen Lösung können Ihre virtuellen Computer fortlaufend gescannt werden, um Sicherheitsrisiken zu ermitteln, und die Ergebnisse werden in Security Center bereitgestellt.
Verwenden Sie zum Bereitstellen der Lösung die neue Sicherheitsempfehlung:
„Integrierte Lösung zur Sicherheitsrisikobewertung (unterstützt von Qualys) auf virtuellen Computern aktivieren“
Informieren Sie sich über die integrierte Sicherheitsrisikobewertung für virtuelle Computer von Security Center.
Änderungen am JIT-VM-Zugriff (Just-In-Time)
Security Center enthält ein optionales Feature zum Schützen der Verwaltungsports Ihrer virtuellen Computer. Dies ist eine Verteidigungsmaßnahme gegen die häufigste Form von Brute-Force-Angriffen.
Mit diesem Update werden die folgenden Änderungen an diesem Feature vorgenommen:
Die Empfehlung, JIT für eine VM zu aktivieren, wurde umbenannt. Die Empfehlung „Die Just-In-Time-Netzwerkzugriffssteuerung sollte auf virtuelle Computer angewendet werden.“ heißt jetzt „Verwaltungsports virtueller Computer müssen mit der Just-In-Time-Netzwerkzugriffssteuerung geschützt werden“.
Die Empfehlung wird nur ausgelöst, wenn offene Verwaltungsports vorhanden sind.
Erfahren Sie mehr zum Feature für JIT-Zugriff.
Benutzerdefinierte Empfehlungen wurden in ein separates Sicherheitssteuerelement verschoben
Eine Sicherheitskontrolle, die zusammen mit der erweiterten Sicherheitsbewertung eingeführt wurde, ist „Best Practices für die Sicherheit implementieren“. Alle benutzerdefinierten Empfehlungen, die für Ihre Abonnements erstellt wurden, wurden automatisch in dieses Steuerelement eingefügt.
Um Ihnen die Suche nach Ihren benutzerdefinierten Empfehlungen zu erleichtern, haben wir diese in die dedizierte Sicherheitskontrolle „Benutzerdefinierte Empfehlungen“ verschoben. Dieses Steuerelement wirkt sich nicht auf Ihre Sicherheitsbewertung aus.
Weitere Informationen zu Sicherheitssteuerelementen finden Sie unter Erweiterte Sicherheitsbewertung (Vorschau) in Azure Security Center.
Umschalter zum Anzeigen von Empfehlungen in Steuerelementen oder als flache Liste hinzugefügt
Bei Sicherheitssteuerelementen handelt es sich um logische Gruppen mit zusammengehörigen Sicherheitsempfehlungen. Diese spiegeln Ihre anfälligen Angriffsflächen wider. Eine Sicherheitskontrolle umfasst eine Reihe von Sicherheitsempfehlungen mit Anweisungen, mit denen Sie diese Empfehlungen implementieren können.
Um sofort zu sehen, wie gut jede einzelne Angriffsfläche in Ihrer Organisation geschützt ist, sehen Sie sich die Bewertungen für die einzelnen Sicherheitskontrollen an.
Ihre Empfehlungen werden standardmäßig in den Sicherheitssteuerelementen angezeigt. Ab diesem Update können Sie sie auch als Liste anzeigen. Verwenden Sie den neuen Umschalter, mit dem Sie „Nach Steuerelementen gruppieren“ können, um sie als einfache Liste anzuzeigen, die nach dem Integritätsstatus der betroffenen Ressourcen sortiert ist. Der Umschalter befindet sich oberhalb der Liste im Portal.
Die Sicherheitssteuerelemente – und dieser Umschalter – sind Teil der neuen Benutzeroberfläche für die Sicherheitsbewertung. Denken Sie daran, uns über das Portal Ihr Feedback hierzu zu senden.
Weitere Informationen zu Sicherheitssteuerelementen finden Sie unter Erweiterte Sicherheitsbewertung (Vorschau) in Azure Security Center.
Erweitertes Sicherheitssteuerelement „Bewährte Sicherheitsmethoden implementieren“
Eine Sicherheitskontrolle, die zusammen mit der erweiterten Sicherheitsbewertung eingeführt wurde, ist „Best Practices für die Sicherheit implementieren“. Wenn eine Empfehlung in diesem Steuerelement angeordnet ist, wirkt sie sich nicht auf die Sicherheitsbewertung aus.
Mit diesem Update wurden drei Empfehlungen aus den Steuerelementen, in denen sie ursprünglich angeordnet waren, in dieses Steuerelement für die bewährte Vorgehensweise verschoben. Wir haben dies durchgeführt, weil wir festgestellt haben, dass das Risiko bei diesen drei Empfehlungen niedriger als anfänglich gedacht ist.
Außerdem wurden zwei neue Empfehlungen eingeführt und diesem Steuerelement hinzugefügt.
Die folgenden drei Empfehlungen wurden verschoben:
- Für Konten mit Leseberechtigungen für Ihr Abonnement muss MFA aktiviert sein (ursprünglich im Steuerelement „MFA aktivieren“ enthalten)
- Externe Konten mit Leseberechtigungen müssen aus Ihrem Abonnement entfernt werden (ursprünglich im Steuerelement „Zugriff und Berechtigungen verwalten“ enthalten)
- Für Ihr Abonnement dürfen maximal 3 Besitzer festgelegt werden (ursprünglich im Steuerelement „Zugriff und Berechtigungen verwalten“ enthalten)
Die beiden folgenden neuen Empfehlungen wurden dem Steuerelement hinzugefügt:
Die Erweiterung Guest Configuration sollte auf Windows-VMs installiert sein (Vorschau) : Guest Configuration von Azure Policy ermöglicht auf virtuellen Computern einen Einblick in Server- und Anwendungseinstellungen (nur Windows).
Windows Defender Exploit Guard sollte auf Ihren Computern aktiviert sein (Vorschau) : Für Windows Defender Exploit Guard wird der Guest Configuration-Agent von Azure Policy genutzt. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows).
Weitere Informationen zu Windows Defender Exploit Guard finden Sie unter Erstellen und Bereitstellen einer Exploit Guard-Richtlinie.
Weitere Informationen zu Sicherheitssteuerelementen finden Sie unter Erweiterte Sicherheitsbewertung (Vorschau).
Benutzerdefinierte Richtlinien mit benutzerdefinierten Metadaten sind nun allgemein verfügbar
Benutzerdefinierte Richtlinien sind nun Bestandteil der Security Center-Oberfläche mit den Empfehlungen, der Sicherheitsbewertung und des Dashboards mit den Standards zur Einhaltung gesetzlicher Bestimmungen. Dieses Feature ist jetzt allgemein verfügbar und ermöglicht es Ihnen, die Abdeckung in Bezug auf die Sicherheitsbewertung Ihrer Organisation in Security Center zu erweitern.
Erstellen Sie in Azure Policy eine benutzerdefinierte Initiative, und fügen Sie ihr Richtlinien hinzu. Führen Sie anschließend das Onboarding in Azure Security Center und die Visualisierung in Form von Empfehlungen durch.
Wir haben jetzt auch die Option zum Bearbeiten der benutzerdefinierten Metadaten für die Empfehlungen hinzugefügt. Zu den Metadatenoptionen zählen Schweregrad, Problembehandlungsschritte, Bedrohungsinformationen und mehr.
Informieren Sie sich über das Verbessern der benutzerdefinierten Empfehlungen mit ausführlichen Informationen.
Migration der Funktionen für die Absturzabbildanalyse zur Erkennung dateiloser Angriffe
Wir integrieren die Erkennungsfunktionen der Windows-Absturzabbildanalyse mit der Erkennung dateiloser Angriffe. Die Analyse zur Erkennung dateiloser Angriffe verfügt über verbesserte Versionen der folgenden Sicherheitswarnungen für Windows-Computer: „Codeinjektion erkannt“, „Windows-Maskerademodul erkannt“, „Shellcode erkannt“ und „Verdächtiges Codesegment erkannt“.
Diese Umstellung hat u. a. folgende Vorteile:
Proaktive und rechtzeitige Erkennung von Schadsoftware: Bei der Absturzabbildanalyse wurde gewartet, bis es zu einem Absturz gekommen ist, und erst dann wurde die Analyse durchgeführt, um bösartige Artefakte zu ermitteln. Bei der Erkennung von dateilosen Angriffen werden In-Memory-Bedrohungen proaktiv während der Ausführung identifiziert.
Erweiterte Warnungen: Die Sicherheitswarnungen bei der Erkennung von dateilosen Angriffen verfügen über erweiterte Elemente, die bei der Absturzabbildanalyse nicht vorhanden sind, z. B. Informationen zu aktiven Netzwerkverbindungen.
Warnungsaggregation: Wenn bei der Absturzabbildanalyse in einem Absturzabbild mehrere Angriffsmuster erkannt wurden, wurden mehrere Sicherheitswarnungen ausgelöst. Bei der Erkennung von dateilosen Angriffen werden alle identifizierten Angriffsmuster eines Prozesses in einer Warnung zusammengefasst, damit nicht mehrere Warnungen korreliert werden müssen.
Verringerung der Anforderungen in Ihrem Log Analytics-Arbeitsbereich: Absturzabbilder mit potenziell vertraulichen Daten werden nicht mehr in Ihren Log Analytics-Arbeitsbereich hochgeladen.
April 2020
Zu den Updates im April gehören:
- Dynamische Compliancepakete sind jetzt allgemein verfügbar
- Empfehlungen zur Identität sind in Azure Security Center jetzt im Free-Tarif enthalten
Dynamische Compliancepakete sind jetzt allgemein verfügbar
Das Azure Security Center-Dashboard für die Einhaltung gesetzlicher Bestimmungen enthält jetzt dynamische Compliancepakete (allgemein verfügbar), um weitere branchenbezogene und gesetzliche Standards nachverfolgen zu können.
Dynamische Compliancepakete können über die Security Center-Seite mit den Sicherheitsrichtlinien Ihrem Abonnement oder Ihrer Verwaltungsgruppe hinzugefügt werden. Nachdem Sie das Onboarding für einen Standard oder einen Benchmarkwert durchgeführt haben, wird der Standard in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen mit allen zugeordneten Compliancedaten in Form von Bewertungen angezeigt. Ein zusammenfassender Bericht für alle Standards, für die das Onboarding durchgeführt wurde, wird als Download bereitgestellt.
Sie können nun beispielsweise folgende Standards hinzufügen:
- NIST SP 800-53 R4
- SWIFT CSP CSCF-v2020
- UK Official und UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0 (neu) (eine vollständigere Darstellung von Azure CIS 1.1.0)
Zusätzlich haben wir vor Kurzem den Azure-Sicherheitsvergleichstest hinzugefügt. Dies sind von Microsoft erstellte Azure-spezifische Richtlinien zu den bewährten Methoden für Sicherheit und Compliance, die auf allgemeinen Compliance-Frameworks basieren. Weitere Standards werden im Dashboard unterstützt, sobald sie verfügbar sind.
Erfahren Sie mehr zum Aktualisieren auf dynamische Compliancepakete in Ihrem Dashboard für die Einhaltung gesetzlicher Bestimmungen.
Empfehlungen zur Identität sind in Azure Security Center jetzt im Free-Tarif enthalten
Sicherheitsempfehlungen zur Identität und zum Zugriff sind im Free-Tarif von Azure Security Center nun allgemein verfügbar. Dies ist Teil der Maßnahme, mit der die Features für die Verwaltung des Cloudsicherheitsstatus kostenlos zugänglich gemacht werden sollen. Bisher waren diese Empfehlungen nur im Standard-Tarif verfügbar.
Beispiele für Empfehlungen zur Identität und zum Zugriff sind:
- „Für Konten mit Besitzerberechtigungen für Ihr Abonnement muss MFA aktiviert sein“
- „Für Ihr Abonnement dürfen maximal 3 Besitzer festgelegt werden“
- „Veraltete Konten müssen aus Ihrem Abonnement entfernt werden“
Bei Abonnements mit Free-Tarif wirkt sich diese Änderung auf deren Sicherheitsbewertungen aus, weil die Sicherheit in Bezug auf die Identität und den Zugriff hierfür bisher noch nicht bewertet wurde.
Weitere Informationen finden Sie in den Empfehlungen zur Identität und zum Zugriff.
Weitere Informationen finden Sie unter Verwalten der MFA-Erzwingung (mehrstufige Authentifizierung) für Ihre Abonnements.
März 2020
Zu den Updates im März gehören:
- Workflowautomatisierung ist nun allgemein verfügbar
- Integration von Azure Security Center mit Windows Admin Center
- Schutz für Azure Kubernetes Service
- Verbesserte Just-In-Time-Umgebung
- Zwei Sicherheitsempfehlungen für Webanwendungen als veraltet gekennzeichnet
Workflowautomatisierung ist nun allgemein verfügbar
Das Feature „Workflowautomatisierung“ von Azure Security Center ist jetzt allgemein verfügbar. Sie können es verwenden, um Logic Apps bei Sicherheitswarnungen und Empfehlungen automatisch auszulösen. Darüber hinaus sind manuelle Trigger für Warnungen und alle Empfehlungen verfügbar, für die die „Schnellkorrektur“ verfügbar ist.
Jedes Sicherheitsprogramm umfasst mehrere Workflows für die Reaktion auf Vorfälle. Diese Prozesse können das Benachrichtigen relevanter Stakeholder, das Starten eines Change Management-Prozesses und das Anwenden spezifischer Korrekturschritte umfassen. Sicherheitsexperten empfehlen, möglichst viele Schritte dieser Verfahren zu automatisieren. Durch die Automatisierung wird der Aufwand reduziert. Außerdem können Sie die Sicherheit erhöhen, indem Sie sicherstellen, dass die Prozessschritte schnell, einheitlich und gemäß Ihren vordefinierten Anforderungen ausgeführt werden.
Weitere Informationen zu den automatischen und manuellen Security Center-Funktionen zum Ausführen von Workflows finden Sie unter Workflowautomatisierung.
Erfahren Sie mehr zum Erstellen von Logik-Apps.
Integration von Azure Security Center mit Windows Admin Center
Es ist jetzt möglich, Ihre lokalen Windows-Server aus Windows Admin Center direkt in Azure Security Center zu verschieben. Security Center wird somit zu Ihrer zentralen Benutzeroberfläche für die Anzeige von Sicherheitsinformationen für Ihre gesamten Windows Admin Center-Ressourcen, z. B. lokale Server, virtuelle Computer und weitere PaaS-Workloads.
Nach dem Verschieben eines Servers aus Windows Admin Center in Azure Security Center haben Sie folgende Möglichkeiten:
- Anzeigen von Sicherheitswarnungen und -empfehlungen in der Security Center-Erweiterung von Windows Admin Center
- Anzeigen des Sicherheitsstatus und Abrufen weiterer detaillierter Informationen zu Ihren mit Windows Admin Center verwalteten Servern in Security Center im Azure-Portal (oder über eine API)
Erfahren Sie mehr zum Integrieren von Azure Security Center mit Windows Admin Center.
Schutz für Azure Kubernetes Service
Für Azure Security Center werden die Containersicherheitsfeatures als Schutz für Azure Kubernetes Service (AKS) erweitert.
Die beliebte Open-Source-Plattform Kubernetes ist mittlerweile so verbreitet, dass sie heute ein Branchenstandard für die Containerorchestrierung ist. Trotz dieser weit verbreiteten Implementierung gibt es immer noch Defizite, was das Schützen einer Kubernetes-Umgebung betrifft. Zum Verteidigen der Angriffsflächen einer Containeranwendung sind bestimmte Kenntnisse erforderlich, um sicherstellen zu können, dass die Infrastruktur sicher konfiguriert ist und ständig auf potenzielle Bedrohungen überwacht wird.
Die Verteidigung für Security Center umfasst Folgendes:
- Ermittlung und Transparenz: Kontinuierliche Ermittlung von verwalteten AKS-Instanzen in den für Security Center registrierten Abonnements.
- Sicherheitsempfehlungen: Direkt umsetzbare Empfehlungen, damit Sie für AKS die bewährten Methoden in Bezug auf die Sicherheit anwenden können. Diese Empfehlungen sind in Ihrer Sicherheitsbewertung enthalten, um dafür zu sorgen, dass sie als Teil des Sicherheitsstatus Ihres Unternehmens angesehen werden. Ein Beispiel für eine AKS-bezogene Empfehlung, die möglicherweise angezeigt wird, ist „Die rollenbasierte Zugriffssteuerung sollte genutzt werden, um den Zugriff auf einen Kubernetes Service-Cluster einzuschränken“.
- Bedrohungsschutz: Security Center analysiert Ihre AKS-Bereitstellung ständig und warnt Sie vor Bedrohungen und schädlichen Aktivitäten, die auf dem Host und auf der AKS-Clusterebene erkannt werden.
Erfahren Sie mehr zur Integration von Security Center in Azure Kubernetes Service.
Erfahren Sie mehr zu den Containersicherheitsfeatures von Security Center.
Verbesserte Just-In-Time-Umgebung
Die Features, der Betrieb und die Benutzeroberfläche der Just-In-Time-Tools von Azure Security Center, mit denen Ihre Verwaltungsports geschützt werden, wurden wie folgt verbessert:
- Feld für Begründung: Beim Anfordern des Zugriffs auf einen virtuellen Computer (VM) über die Just-In-Time-Seite des Azure-Portals ist ein neues optionales Feld verfügbar, in dem eine Begründung für die Anforderung eingegeben werden kann. Die in diesem Feld eingegebenen Informationen können im Aktivitätsprotokoll nachverfolgt werden.
- Automatische Bereinigung von redundanten Just-In-Time-Regeln (JIT) : Bei jedem Update einer JIT-Richtlinie wird automatisch ein Bereinigungstool ausgeführt, um die Gültigkeit des gesamten Regelsatzes zu überprüfen. Das Tool sucht nach Konflikten zwischen den Regeln in Ihrer Richtlinie und den Regeln in der NSG. Wenn das Bereinigungstool einen Konflikt feststellt, ermittelt es die Ursache und entfernt integrierte Regeln, die nicht mehr benötigt werden – sofern dies auf sichere Weise möglich ist. Der Cleaner löscht niemals Regeln, die Sie erstellt haben.
Erfahren Sie mehr zum Feature für JIT-Zugriff.
Zwei Sicherheitsempfehlungen für Webanwendungen als veraltet gekennzeichnet
Zwei Sicherheitsempfehlungen zu Webanwendungen wurden als veraltet gekennzeichnet:
Regeln für Webanwendungen in IaaS-NSGs müssen verstärkt werden. (Zugehörige Richtlinie: Für Webanwendungen in IaaS müssen die NSG-Regeln verstärkt werden)
Zugriff auf App Services muss eingeschränkt sein. (Zugehörige Richtlinie: Zugriff auf App Services muss eingeschränkt sein [Vorschau])
Diese Empfehlungen werden nicht mehr in der Security Center-Liste mit den Empfehlungen angezeigt. Die zugehörigen Richtlinien sind nicht mehr in der Initiative mit dem Namen „Security Center-Standardrichtlinie“ enthalten.
Erfahren Sie mehr über Sicherheitsempfehlungen.
Februar 2020
Erkennung von dateilosen Angriffen für Linux (Vorschau)
Da Angreifer immer häufiger verdeckte Methoden nutzen, um einer Entdeckung zu entgehen, wird die Erkennung von dateilosen Angriffen für Azure Security Center zusätzlich zu Windows auch auf Linux erweitert. Bei dateilosen Angriffen werden Sicherheitsrisiken in der Software ausgenutzt, schädliche Nutzlasten in unkritische Systemprozesse eingeschleust und Angriffe im Arbeitsspeicher verborgen. Diese Vorgehensweise soll Folgendes bewirken:
- Verringerung oder Beseitigung der Spuren von Schadsoftware auf Datenträgern
- Erhebliche Verringerung der Wahrscheinlichkeit, dass Angreifer von datenträgerbasierten Schadsoftware-Scanlösungen erkannt werden
Als Reaktion auf diese Bedrohung wurde die Azure Security Center-Erkennung von dateilosen Angriffen für Windows im Oktober 2018 veröffentlicht und nun auch auf Linux ausgeweitet.
Januar 2020
Erweiterte Sicherheitsbewertung (Vorschau)
Eine erweiterte Version der Sicherheitsbewertung von Azure Security Center ist jetzt verfügbar und befindet sich in der Vorschauphase. Bei dieser Version werden mehrere Empfehlungen zu Sicherheitssteuerelementen gruppiert, die Ihre anfälligen Angriffsflächen besser widerspiegeln (z. B. Einschränkung des Zugriffs auf Verwaltungsports).
Machen Sie sich mit den Änderungen vertraut, die während der Vorschauphase für die Sicherheitsbewertung vorgenommen werden, und ermitteln Sie andere Lösungen, mit denen Sie Ihre Umgebung noch besser schützen können.
Erfahren Sie mehr über die erweiterte Sicherheitsbewertung (Vorschau).
November 2019
Updates im November:
- Threat Protection für Azure Key Vault in Nordamerika (Vorschau)
- Threat Protection für Azure Storage mit zuverlässigem Malwarescreening
- Workflowautomatisierung mit Azure Logic Apps (Vorschau)
- Ressourcenübergreifende schnelle Problembehebung allgemein verfügbar
- Überprüfen von Containerimages auf Sicherheitsrisiken (Vorschau)
- Zusätzliche Standards zur Einhaltung gesetzlicher Bestimmungen (Vorschau)
- Threat Protection-Unterstützung für Azure Kubernetes Service (AKS) (Vorschau)
- Sicherheitsrisikobewertung für virtuelle Computer (Vorschau)
- Advanced Data Security für SQL-Server auf Azure-VMs (Vorschau)
- Unterstützung für benutzerdefinierte Richtlinien (Vorschau)
- Erweitertes Azure Security Center-Angebot: Plattform für die Community und Partner
- Erweiterte Integration über den Export von Security Center-Empfehlungen und -Warnungen (Vorschau)
- Onboarding lokaler Server in Security Center über Windows Admin Center (Vorschau)
Threat Protection für Azure Key Vault in Nordamerika (Vorschau)
Azure Key Vault ist ein zum Schutz von Daten und zur Verbesserung der Leistung von Cloudanwendungen unabdingbarer Dienst, der die Möglichkeit bietet, Schlüssel, Geheimnisse, Kryptografieschlüssel und Richtlinien zentral in der Cloud zu verwalten. Da in Azure Key Vault vertrauliche und geschäftskritische Daten gespeichert werden, ist für die Schlüsseltresore und die darin gespeicherten Daten höchste Sicherheit erforderlich.
Die Unterstützung des Bedrohungsschutzes für Azure Storage in Azure Security Center bietet eine zusätzliche Ebene intelligenter Sicherheitsfunktionen, die ungewöhnliche und möglicherweise schädliche Versuche erkennen, auf Schlüsseltresore zuzugreifen und diese missbräuchlich zu nutzen. Aufgrund dieser neuen Schutzebene können Kunden auch ohne Sicherheitsexpertise oder die Verwaltung von Sicherheitsüberwachungssystemen effektiv auf Bedrohungen ihrer Schlüsseltresore reagieren. Dieses Feature ist in Nordamerika als öffentliche Vorschauversion verfügbar.
Threat Protection für Azure Storage umfasst zuverlässiges Malwarescreening
Threat Protection für Azure Storage bietet mithilfe der Analyse für Hashbewertung und verdächtige Zugriffsmuster von einem aktiven Tor-Exitknoten (anonymisierender Proxy) von Microsoft Threat Intelligence neue Funktionen zum Erkennen von Malwareuploads in Azure Storage. Sie können jetzt mithilfe des Azure Security Center in Speicherkonten entdeckte Malware anzeigen lassen.
Workflowautomatisierung mit Azure Logic Apps (Vorschauversion)
Organisationen mit zentral verwalteten Sicherheits- und IT-Abläufen implementieren interne Workflowprozesse, um erforderliche Aktionen innerhalb der Organisation voranzutreiben, wenn Abweichungen in der Umgebung entdeckt werden. In vielen Fällen handelt es sich bei diesen Workflows um wiederholbare Prozesse, und durch die Automatisierung können Prozesse in der Organisation deutlich optimiert werden.
Wir führen heute eine neue Funktion in Security Center ein, die Kunden unter Verwendung von Azure Logic Apps das Erstellen von Automatisierungskonfigurationen und Richtlinien ermöglicht, die basierend auf bestimmten ASC-Ergebnissen wie beispielsweise Empfehlungen oder Warnungen automatisch ausgelöst werden. Azure Logic Apps kann so konfiguriert werden, dass eine beliebige von der großen Logic App-Connectors-Community unterstützte benutzerdefinierte Aktion ausgeführt oder eine der von Security Center bereitgestellten Vorlagen wie das Senden einer E-Mail oder das Öffnen eines ServiceNow™-Tickets verwendet wird.
Weitere Informationen zu den automatischen und manuellen Security Center-Funktionen zum Ausführen von Workflows finden Sie unter Workflowautomatisierung.
Informationen zum Erstellen von Logic Apps finden Sie unter Azure Logic Apps.
Ressourcenübergreifendes schnelle Problembehebung allgemein verfügbar
Die Sicherheitsbewertung kann sehr umfangreich sein, wodurch es schwierig wird, Probleme ressourcenübergreifend zu beheben.
Verwenden Sie die schnelle Problembehebung, um fehlerhafte Sicherheitskonfigurationen zu korrigieren, Empfehlungen für mehrere Ressourcen anzuwenden und Ihre Sicherheitsbewertung zu verbessern.
Mit dieser Vorgehensweise können Sie die Ressourcen auswählen, auf die Sie die Wartung anwenden möchten, und dann die Wartungsaktion starten. Die Konfiguration erfolgt automatisch, ohne dass Sie eingreifen müssen.
Die schnelle Problembehebung steht Kunden ab heute über die Seite „Security Center-Empfehlungen“ zur Verfügung.
Im Referenzhandbuch für Sicherheitsempfehlungen erfahren Sie, für welche Empfehlungen die schnelle Problembehebung aktiviert ist.
Überprüfen von Containerimages auf Sicherheitsrisiken (Vorschauversion)
Azure Security Center kann nun Containerimages in Azure Container Registry auf Sicherheitsrisiken überprüfen.
Bei der Überprüfung von Images wird die Containerimagedatei analysiert und anschließend auf bekannte Sicherheitsrisiken überprüft (unterstützt durch Qualys).
Die Überprüfung selbst wird automatisch ausgelöst, wenn neue Containerimages per Push an Azure Container Registry übertragen werden. Erkannte Sicherheitsrisiken werden als Security Center-Empfehlungen angezeigt und sind zusammen mit Informationen zum Patchen dieser Risiken zur Reduzierung der gebotenen Angriffsfläche in der Sicherheitsbewertung enthalten.
Zusätzliche Standards zur Einhaltung gesetzlicher Bestimmungen (Vorschauversion)
Das Dashboard „Einhaltung gesetzlicher Bestimmungen“ bietet Erkenntnisse über Ihren Konformitätsstatus, die auf Security Center-Bewertungen basieren. Das Dashboard zeigt, inwieweit Ihre Umgebung mit den Steuerelementen und Anforderungen bestimmter gesetzlicher Standards und Branchenbenchmarks übereinstimmt und bietet ausführliche Empfehlungen zum Erfüllen dieser Anforderungen.
Das Dashboard „Einhaltung gesetzlicher Bestimmungen“ verfügt daher über vier integrierte und unterstützte Standards: Azure CIS 1.1.0, PCI-DSS, ISO 27001 und SOC-TSP. Wir künden hiermit die öffentliche Vorschauversion zusätzlicher unterstützter Standards an: NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM und UK Official zusammen mit UK NHS. Außerdem veröffentlichen wir eine aktualisierte Version von Azure CIS 1.1.0, in der weitere Steuerelemente der optimierten und der Standarderweiterbarkeit verfügbar sind.
Threat Protection-Unterstützung für Azure Kubernetes Service (AKS) (Vorschauversion)
Kubernetes entwickelt sich in Rekordzeit zum neuen Standard für die Softwarebereitstellung und -verwaltung in der Cloud. Derzeit gibt es noch wenige Benutzer, die umfassende Erfahrungen mit Kubernetes vorweisen können. Viele konzentrieren sich auf die allgemeine Entwicklung und Verwaltung und vernachlässigen dabei den Sicherheitsaspekt. Eine Kubernetes-Umgebung muss sorgfältig konfiguriert werden, damit sie wirklich sicher ist. So wird sichergestellt, dass keine Angriffsfläche für Angriffe auf Container geboten wird. Die Unterstützung für den Containerbereich in Security Center wird um einen der am schnellsten wachsenden Dienst in Azure ausgebaut: Azure Kubernetes Service (AKS).
Die öffentliche Vorschauversion umfasst folgende Funktionen:
- Ermittlung und Sichtbarkeit: Continuous Discovery für verwaltete AKS-Instanzen in den registrierten Security Center-Abonnements.
- Empfehlungen zur Sicherheitsbewertung: Nützliche Hinweise, mit denen Kunden die Best Practices für Sicherheit in AKS einhalten und ihre Sicherheitsbewertung erhöhen können. Ein Beispiel für diese Empfehlungen lautet: „Die rollenbasierte Zugriffssteuerung sollte genutzt werden, um den Zugriff auf einen Kubernetes Service-Cluster einzuschränken“.
- Bedrohungserkennung: host- und clusterbasierte Analysen (z. B. „Ein privilegierter Container wurde erkannt.“).
Sicherheitsrisikobewertung für virtuelle Computer (Vorschauversion)
Auf virtuellen Computern installierte Anwendungen sind oft anfällig für Sicherheitsrisiken, die zu einer Kompromittierung des gesamten virtuellen Computers führen können. Heute geben wir bekannt, dass der Security Center-Standard-Tarif eine kostenlose integrierte Sicherheitsrisikobewertung für virtuelle Computer enthält. Die Sicherheitsrisikobewertung in der öffentlichen Vorschauversion basiert auf Qualys und ermöglicht das kontinuierliche Scannen aller installierten Anwendungen auf einem virtuellen Computer, um anfällige Anwendungen zu finden und die Ergebnisse auf der Benutzeroberfläche des Security Center-Portal anzuzeigen. Das Security Center berücksichtigt dabei alle Bereitstellungsvorgänge, sodass der Benutzer keine weiteren Maßnahmen ergreifen muss. Für die Zukunft planen wir die Bereitstellung von Sicherheitsrisikobewertungsoptionen, um die individuellen Geschäftsanforderungen unserer Kunden zu erfüllen.
Weitere Informationen über Sicherheitsrisikobewertungen für Ihre virtuellen Azure-Computer
Advanced Data Security für SQL-Server auf Azure-VMs (Vorschauversion)
Die Unterstützung von Azure Security Center für die Bedrohungsschutz- und Sicherheitsrisikobewertung für SQL-Datenbanken, die auf IaaS-VMs ausgeführt werden, befindet sich jetzt in der Vorschauphase.
Sicherheitsrisikobewertung ist ein einfach zu konfigurierender Dienst, mit dem potenzielle Schwachstellen in der Datenbank ermittelt, nachverfolgt und behoben werden können. Sie bietet Einblicke in Ihren Sicherheitsstatus als Teil der Sicherheitsbewertung, enthält die Schritte zum Beheben von Sicherheitsproblemen und verbessert Ihre Datenbanksicherheit.
Advanced Threat Protection erkennt Anomalien bei Aktivitäten, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf SQL Server zuzugreifen oder diesen zu nutzen. Sie überwacht Ihre Datenbank fortlaufend auf verdächtige Aktivitäten und stellt handlungsorientierte Sicherheitswarnungen bei anomalen Datenbankzugriffsmustern bereit. Diese Warnungen enthalten Details zur verdächtigen Aktivität sowie empfohlene Maßnahmen zur Untersuchung und Abwehr der Bedrohung.
Unterstützung für benutzerdefinierte Richtlinien (Vorschauversion)
Azure Security Center unterstützt jetzt benutzerdefinierte Richtlinien (Vorschauphase).
Unsere Kunden haben sich gewünscht, die Abdeckung ihrer aktuellen Sicherheitsbewertungen in Security Center um ihre eigenen Sicherheitsbewertungen zu erweitern, die auf Richtlinien basieren, die sie in Azure Policy erstellen. Da nun benutzerdefinierte Richtlinien unterstützt werden, ist dies jetzt möglich.
Diese neuen Richtlinien sollen Teil der Security Center-Empfehlungen, Sicherheitsbewertung und dem Dashboard für Standards zur Einhaltung gesetzlicher Bestimmungen werden. Durch die Unterstützung benutzerdefinierter Richtlinien können Sie jetzt benutzerdefinierte Initiativen in Azure Policy erstellen, diese als Richtlinien zu Security Center hinzufügen und anschließend als Empfehlungen visualisieren.
Erweitertes Azure Security Center-Angebot: Plattform für die Community und Partner
Verwenden Sie Security Center, um Empfehlungen nicht nur von Microsoft, sondern auch aus bestehenden Lösungen von Partnern wie Check Point, Tenable und CyberArk zu erhalten, wobei viele weitere Integrationen vorgesehen sind. Der einfache Security Center-Onboardingflow ermöglicht das Verbinden Ihrer vorhandenen Lösungen mit Security Center, sodass Sie alle Sicherheitsstatusempfehlungen an einem Ort anzeigen, vereinheitlichte Berichte ausführen und alle Security Center-Funktionen sowohl für integrierte als auch Partnerempfehlungen nutzen können. Sie können Security Center-Empfehlungen auch für Partnerprodukte exportieren.
Weitere Informationen zur Microsoft Intelligent Security Association
Erweiterte Integration über den Export von Security Center-Empfehlungen und -Warnungen (Vorschauversion)
Für Szenarios auf Unternehmensebene, die auf Security Center basieren, können jetzt Warnungen und Empfehlungen von Security Center auch außerhalb des Azure-Portals oder der Azure-API verarbeitet werden. Sie können sie direkt in einen Event Hub oder in Log Analytics-Arbeitsbereiche exportieren. Hier finden Sie Beispiele für Workflows, die Sie mithilfe dieser neuen Funktionen erstellen können:
- Durch den Export in Log Analytics-Arbeitsbereiche können Sie mithilfe von Power BI benutzerdefinierte Dashboards erstellen.
- Durch den Export an Event Hubs können Sie Warnungen und Empfehlungen für Security Center in SIEM-Produkte von Drittanbietern, in eine Drittanbieterlösung oder in Azure Data Explorer exportieren.
Onboarding lokaler Server in Security Center über Windows Admin Center (Vorschau)
Windows Admin Center ist ein Verwaltungsportal für Windows-Server, die nicht in Azure bereitgestellt wurden, und bietet diesen mehrere Azure-Verwaltungsfunktionen wie Sicherungen und Systemupdates. Wir haben kürzlich eine Funktion zum Onboarding dieser Nicht-Azure-Server hinzugefügt, damit diese direkt über Windows Admin Center vom Azure Security Center geschützt werden.
Benutzer können jetzt einen WAC-Server in Azure Security Center integrieren und die Anzeige seiner Sicherheitswarnungen und Empfehlungen direkt in der Windows Admin Center-Umgebung aktivieren.
September 2019
Updates im September:
- Verbesserte Verwaltung von Regeln mit der adaptiven Anwendungssteuerung
- Steuern von Empfehlungen für die Containersicherheit mit Azure Policy
Verbesserte Verwaltung von Regeln mit der adaptiven Anwendungssteuerung
Die Funktion zum Verwalten von Regeln für virtuelle Computer mithilfe der adaptiven Anwendungssteuerung wurde verbessert. Die adaptive Anwendungssteuerung ist ein Feature von Azure Security Center, mit dem Sie steuern können, welche Anwendungen auf Ihren virtuellen Computern ausgeführt werden können. Neben der allgemeinen Verbesserung der Regelverwaltung können Sie dank einer neuen Funktion nun steuern, welche Dateitypen geschützt werden, wenn Sie eine neue Regel hinzufügen.
Weitere Informationen über Adaptive Anwendungssteuerungen
Steuern von Empfehlungen für die Containersicherheit mit Azure Policy
Die Empfehlungen von Azure Security Center zum Korrigieren von Sicherheitsrisiken bei Containern können nun mit Azure Policy aktiviert und deaktiviert werden.
Öffnen Sie zum Anzeigen der von Ihnen aktivierten Sicherheitsrichtlinien in Security Center die Seite „Sicherheitsrichtlinie“.
August 2019
Updates im August:
- Just-In-Time-Zugriff (JIT) auf virtuelle Computer für Azure Firewall
- Ein-Klick-Wartung zur Verbesserung Ihres Sicherheitsstatus (Vorschau)
- Mandantenübergreifende Verwaltung
Just-In-Time-Zugriff (JIT) auf virtuelle Computer für Azure Firewall
Just-In-Time-Zugriff (JIT) auf virtuelle Computer für Azure Firewall ist jetzt allgemein verfügbar. Schützen Sie damit Ihre durch Azure Firewall geschützten Umgebungen zusätzlich zu Ihren durch Netzwerksicherheitsgruppen (NSG) geschützten Umgebungen.
JIT-VM-Zugriff sorgt für ein geringeres Risiko durch volumetrische Netzwerkangriffe, da mit dieser Steuerung nur der wirklich erforderliche Zugriff auf Ihre VMs gewährt wird und dabei Ihre NSG- und Azure Firewall-Regeln angewandt werden.
Beim Aktivieren von JIT für Ihre VMs erstellen Sie eine Richtlinie, die festlegt, welche Ports geschützt werden sollen, wie lange die Ports geöffnet sein sollen und von welchen genehmigten IP-Adressen aus auf diese Ports zugegriffen werden kann. Mit dieser Richtlinie behalten Sie volle Kontrolle darüber, was Ihre Benutzer ausführen dürfen, wenn sie Zugriff anfordern.
Anforderungen werden im Azure-Aktivitätsprotokoll erfasst, sodass Sie den Zugriff ganz einfach überwachen und überprüfen können. Außerdem können Sie auf der JIT-Seite sehr schnell ermitteln, auf welchen vorhandenen VMs JIT aktiviert ist und auf welchen JIT empfohlen wird.
Weitere Informationen über Azure Firewall
Ein-Klick-Wartung zur Verbesserung Ihres Sicherheitsstatus (Vorschauversion)
Secure Score ist ein Tool, mit dem Sie den Sicherheitsstatus bewerten können. Es überprüft Ihre Sicherheitsempfehlungen und priorisiert sie für Sie, damit Sie wissen, welche Empfehlungen Sie zuerst durchführen sollten. Dies hilft Ihnen, die schwerwiegendsten Sicherheitsrisiken zu finden, um die Untersuchung priorisieren zu können.
Zur Vereinfachung der Wartung von Fehlkonfigurationen bei der Sicherheit und für eine schnelle Verbesserung Ihrer Sicherheitsbewertung haben wir außerdem eine neue Funktion hinzugefügt, mit der Sie einzelne Empfehlungen mit nur einem Klick für einen ganzen Stapel von Ressourcen ausführen können.
Mit dieser Vorgehensweise können Sie die Ressourcen auswählen, auf die Sie die Wartung anwenden möchten, und dann die Wartungsaktion starten. Die Konfiguration erfolgt automatisch, ohne dass Sie eingreifen müssen.
Im Referenzhandbuch für Sicherheitsempfehlungen erfahren Sie, für welche Empfehlungen die schnelle Problembehebung aktiviert ist.
Mandantenübergreifende Verwaltung
Security Center unterstützt jetzt Szenarien mit mandantenübergreifender Verwaltung als Teil von Azure Lighthouse. Dadurch können Sie in Security Center mehrere Mandanten einsehen und ihren Sicherheitsstatus verwalten.
Weitere Informationen über mandantenübergreifende Verwaltungsmöglichkeiten
Juli 2019
Updates für Netzwerkempfehlungen
Azure Security Center (ASC) hat neue Netzwerkempfehlungen veröffentlicht und bestehende verbessert. Damit trägt Security Center noch mehr zum Schutz Ihres Netzwerks und Ihrer Ressourcen bei.
Weitere Informationen über Netzwerkempfehlungen
Juni 2019
Adaptive Netzwerkhärtung allgemein verfügbar
Eine der größten Angriffsflächen für Workloads, die in der öffentlichen Cloud ausgeführt werden, sind Verbindungen mit und aus dem öffentlichen Internet. Unsere Kunden finden es schwierig zu entscheiden, welche Netzwerksicherheitsgruppenregeln gelten sollten, damit Azure-Workloads auch wirklich nur für die erforderlichen Quellbereiche verfügbar sind. Mit diesem Feature werden der Netzwerkdatenverkehr und Verbindungsmuster von Azure-Workloads von Security Center analysiert und Empfehlungen für Netzwerksicherheitsgruppenregeln für VMs gemacht, die mit dem Internet verbunden sind. Dadurch können Kunden ihre Netzwerkzugriffsrichtlinien besser konfigurieren und die Anfälligkeit für Angriffe minimieren.