Wichtige bevorstehende Änderungen an Microsoft Defender für Cloud
Wichtig
Die Informationen auf dieser Seite beziehen sich auf Vorabversionen von Produkten oder Features, die vor einer möglichen Veröffentlichung für den Handel wesentlich verändert werden können. Microsoft gewährt in Bezug auf die hier angegebenen Informationen keine Zusicherungen oder Garantien, weder ausdrücklich noch konkludent.
Auf dieser Seite erfahren Sie, welche Änderungen für Defender for Cloud geplant sind. Es werden geplante Änderungen am Produkt beschrieben, die sich auf Dinge wie Ihre Sicherheitsbewertung oder Workflows auswirken könnten.
Tipp
Lassen Sie sich benachrichtigen, wenn diese Seite aktualisiert wird, indem Sie die folgende URL kopieren und in Ihren Feedreader einfügen:
https://aka.ms/mdc/upcoming-rss
Wenn Sie nach den neuesten Versionshinweisen suchen, finden Sie diese unter Neuerungen in Microsoft Defender for Cloud.
Geplante Änderungen
Empfehlung für Verschlüsselung veraltet
Ankündigungsdatum: 3. April 2024
Geschätztes Datum für die Änderung: Mai 2024
Die Empfehlung Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln ist bald veraltet.
Empfehlung für VM veraltet
Ankündigungsdatum: 2. April 2024
Geschätztes Datum der Änderung: 30. April, 2024
Die Empfehlung VM sollte auf neue Azure Resource Manager Ressourcen migriert werden ist bald veraltet. Es sollte keine Auswirkungen auf Kunden haben, da diese Ressourcen nicht mehr vorhanden sind.
Empfehlungen für die allgemeine Verfügbarkeit von Unified Disk Encryption
Ankündigungsdatum: 28. März 2024
Geschätztes Datum der Änderung: 30. April, 2024
Empfehlungen zur Unified Disk Encryption werden im April 2024 für die allgemeine Verfügbarkeit (General Availability, GA) in Azure Public Cloud veröffentlicht. Die Empfehlungen ermöglichen es Kunden, die Verschlüsselungscompliance virtueller Computer mit Azure Disk Encryption oder EncryptionAtHost zu überwachen.
Empfehlungen für den Wechsel zu GA:
| Name der Empfehlung | Bewertungsschlüssel |
|---|---|
| Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | a40cc620-e72c-fdf4-c554-c6ca2cd705c0 |
| Virtuelle Windows-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | 0cb5f317-a94b-6b80-7212-13a9cc8826af |
Azure Disk Encryption (ADE) und EncryptionAtHost bieten eine Verschlüsselung im Ruhezustand, wie unter Übersicht über Optionen für die Verschlüsselung verwalteter Datenträger – Azure Virtual Machines beschrieben. Wir empfehlen, beides auf virtuellen Computern zu aktivieren.
Die Empfehlungen hängen von der Gastkonfiguration ab. Die Voraussetzungen für das Onboarding in die Gastkonfiguration sollten auf virtuellen Maschinen aktiviert sein, damit die Empfehlungen zum Abschluss von Compliance-Scans wie erwartet ausgeführt werden.
Diese Empfehlungen ersetzen die Empfehlung "Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln".
Änderungen beim Zugriff auf Compliance-Angebote und Microsoft-Aktionen
Ankündigungsdatum: 3. März 2024
Geschätztes Datum für die Änderung: September 30, 2025
Am 30. September 2025 ändern sich die Orte, an denen Sie auf zwei Vorschau-Funktionen zugreifen können: Compliance-Angebot und Microsoft Actions.
Die Tabelle mit dem Kompatibilitätsstatus von Microsoft-Produkten (zu erreichen über die Schaltfläche Kompatibilitätsangebot in der Symbolleiste des Dashboards für die Einhaltung gesetzlicher Vorschriften von Defender). Nachdem diese Schaltfläche aus Defender for Cloud entfernt wurde, können Sie weiterhin über das Service Trust Portal auf diese Informationen zugreifen.
Für eine Untergruppe von Steuerelementen war Microsoft Actions über die Schaltfläche Microsoft Actions (Vorschau) in der Detailansicht der Steuerelemente zugänglich. Nachdem diese Schaltfläche entfernt wurde, können Sie die Maßnahmen von Microsoft einsehen, indem Sie das Service Trust Portal von Microsoft für FedRAMP besuchen und auf das Dokument Azure System Security Plan zugreifen.
Microsoft Security Code Analysis (MSCA) ist nicht mehr einsatzbereit
Bekanntmachungsdatum: 26. Februar 2024
Geschätztes Datum für die Änderung: Februar 26, 2024
Im Februar 2021 wurde die Stilllegung der MSCA-Aufgabe allen Kunden mitgeteilt, und seit März 2022 ist das Ende des Lebenszyklus-Supports erreicht. Seit dem 26. Februar 2024 ist MSCA offiziell nicht mehr einsatzbereit.
Kunden können das neueste DevOps-Sicherheitstool von Defender for Cloud über Microsoft Security DevOps und zusätzliche Sicherheitstools über GitHub Advanced Security für Azure DevOps erhalten.
Außerbetriebnahme des Microsoft.SecurityDevOps-Ressourcenanbieters
Ankündigungsdatum: 5. Februar 2024
Geschätztes Datum der Änderung: 6. Februar 2024
Microsoft Defender for Cloud wurde zum vorhandenen Anbieter Microsoft.Security migriert und nimmt daher den Ressourcenanbieter Microsoft.SecurityDevOps außer Betrieb, der während der Public Preview von DevOps-Sicherheit verwendet wurde. Der Grund für die Änderung besteht darin, die Kundenfreundlichkeit zu verbessern, indem die Anzahl der Ressourcenanbieter in Verbindung mit DevOps-Connectors reduziert wird.
Dies betrifft Kunden, die weiterhin die API-Version 2022-09-01-Preview unter Microsoft.SecurityDevOps zum Abfragen von DevOps-Sicherheitsdaten in Defender for Cloud verwenden. Um Unterbrechungen des Diensts zu vermeiden, müssen Kunden ein Update auf die neue API-Version 2023-09-01-Preview unter dem Anbieter Microsoft.Security ausführen.
Kundschaft, die derzeit Defender for Cloud-DevOps-Sicherheit über das Azure-Portal verwendet, ist nicht betroffen.
Ausführliche Informationen zur neuen API-Version finden Sie unter Microsoft Defender for Cloud-REST-APIs.
Änderungen in den Empfehlungen zum Endpunktschutz
Ankündigungsdatum: 1. Februar 2024
Geschätztes Datum der Änderung: März 2024
Da die Verwendung des Azure Monitor-Agents (AMA) und des Log Analytics-Agents (auch als Microsoft Monitoring Agent, MMA, bezeichnet) in Defender for Servers nach und nach eingestellt wird, werden vorhandene Empfehlungen für Endpunkte, die sich auf diese Agents stützen, durch neue Empfehlungen ersetzt. Die neuen Empfehlungen stützen sich auf agentenloses Scannen von Computern, die es den Empfehlungen ermöglichen, die Konfiguration unterstützter Lösungen für Endpunkterkennung und Reaktion zu ermitteln und zu bewerten und Wartungsschritte zu bieten, wenn Probleme gefunden werden.
Diese Empfehlungen in der öffentlichen Vorschau werden veraltet.
| Empfehlung | Agent | Einstellungsdatum | Ersatzempfehlung |
|---|---|---|---|
| Endpunktschutz sollte auf Ihren Computern installiert werden (öffentlich) | MMA/AMA | März 2024 | Neue agentenlose Empfehlungen. |
| Endpunktschutz-Integritätsprobleme sollten auf Ihren Computern behoben werden (öffentlich) | MMA/AMA | März 2024 | Neue agentenlose Empfehlungen. |
Die aktuellen allgemein verfügbaren Empfehlungen bleiben bis August 2024 unterstützt.
Im Rahmen dieser Veralterung werden wir neue Empfehlungen zum agentenlosen Endpunktschutz einführen. Diese Empfehlungen werden in Defender for Servers-Plan 2 und dem Defender CSPM-Plan verfügbar sein. Diese unterstützen Azure- und Multicloudcomputer. Lokale Computer werden nicht unterstützt.
| Vorläufiger Empfehlungsname | Geschätztes Veröffentlichungsdatum |
|---|---|
| Die Lösung für Endpunkterkennung und Reaktion (Endpoint Detection and Response, EDR) sollte auf Virtual Machines installiert werden | März 2024 |
| Die Lösung für Endpunkterkennung und Reaktion (Endpoint Detection and Response, EDR) sollte auf EC2s installiert werden | März 2024 |
| Die Lösung für Endpunkterkennung und Reaktion (Endpoint Detection and Response, EDR) sollte auf Virtual Machines (GCP) installiert werden | März 2024 |
| Konfigurationsprobleme bei Endpunkterkennung und Reaktion (Endpoint Detection and Response, EDR) sollten auf VMs aufgelöst werden | März 2024 |
| Konfigurationsprobleme bei Endpunkterkennung und Reaktion (Endpoint Detection and Response, EDR) sollten auf EC2s behoben werden | März 2024 |
| Konfigurationsprobleme bei Endpunkterkennung und Reaktion (Endpoint Detection and Response, EDR) sollten auf GCP-VMs behoben werden | März 2024 |
Erfahren Sie mehr über die Migration zu den aktualisierten Endpunktschutzempfehlungen.
Änderung der Preise für die Bedrohungserkennung von Multicloud-Containern
Ankündigungsdatum: 30. Januar 2024
Geschätztes Datum der Änderung: April 2024
Wenn die Bedrohungserkennung von Multicloud-Containern zu GA wechselt, ist sie nicht mehr kostenlos. Weitere Informationen finden Sie in der Microsoft Defender für Cloud: Preise.
Erzwingung von Defender CSPM für Premium DevOps-Sicherheitswert
Ankündigungsdatum: 29. Januar 2024
Geschätztes Datum der Änderung: März 7, 2024
Defender für Cloud beginnt mit der Erzwingung des Defender CSPM-Plans ab dem 7. März 2024 auf den Premium DevOps-Sicherheitswert. Wenn Sie den Defender-CSPM-Plan in einer Cloudumgebung (Azure, AWS, GCP) innerhalb desselben Mandanten aktiviert haben, in dem Ihre DevOps-Connectors erstellt werden, erhalten Sie weiterhin Premium-DevOps-Funktionen ohne zusätzliche Kosten. Wenn Sie kein Defender CSPM-Kunde sind, müssen Sie bis zum 7. März 2024 Defender CSPM aktivieren, ehe Sie den Zugriff auf diese Sicherheitsfunktionen verlieren. Um Defender CSPM in einer verbundenen Cloudumgebung vor dem 7. März 2024 zu aktivieren, folgen Sie der hier beschriebenen Aktivierungsdokumentation.
Weitere Informationen dazu, welche DevOps-Sicherheitsfeatures sowohl in den Plänen Foundational CSPM als auch Defender CSPM verfügbar sind, finden Sie in unserer Dokumentation zur Verfügbarkeit von Features.
Weitere Informationen zu DevOps Security in Defender für Cloud finden Sie in der Übersichtsdokumentation.
Weitere Informationen zum Code zu Cloudsicherheitsfunktionen in Defender CSPM finden Sie unter Schutz Ihrer Ressourcen mit Defender CSPM.
Aktualisieren auf die integrierte Azure-Rolle für agentenloses VM-Scannen
Ankündigungsdatum: 14. Januar 2024
Geschätztes Datum der Änderung: Februar 2024
In Azure verwendet das agentenlose Scannen für VMs eine integrierte Rolle (als VM-Scanneroperator bezeichnet) mit den mindestens erforderlichen Berechtigungen, um Ihre VMs auf Sicherheitsprobleme zu scannen und zu bewerten. Um fortlaufend relevante Integritäts- und Konfigurationsempfehlungen aus dem Scan für VMs mit verschlüsselten Volumes bereitzustellen, ist eine Aktualisierung der Berechtigungen dieser Rolle geplant. Die Aktualisierung enthält das Hinzufügen der Microsoft.Compute/DiskEncryptionSets/read-Berechtigung. Diese Berechtigung ermöglicht ausschließlich eine verbesserte Identifizierung der verschlüsselten Datenträgernutzung in VMs. Defender for Cloud erhält keine zusätzlichen Funktionen zur Entschlüsselung oder zum Zugriff auf den Inhalt dieser verschlüsselten Volumes, die über die bereits vor dieser Änderung unterstützten Verschlüsselungsmethoden hinausgehen. Diese Änderung wird voraussichtlich im Februar 2024 stattfinden, und es sind keine Maßnahmen Ihrerseits erforderlich.
Pfad für die Ausmusterung der integrierten Defender for Servers-Sicherheitsrisikobewertung (Qualys)
Ankündigungsdatum: 9. Januar 2024
Geschätztes Datum für die Änderung: Mai 2024
Die integrierte Defender for Servers-Lösung zur Sicherheitsrisikobewertung, die von Qualys unterstützt wird ,wird voraussichtlich bis zum 1. Mai 2024 aus dem Verkehr gezogen. Wenn Sie derzeit die Lösung zur Sicherheitsrisikobewertung verwenden, die von Qualys unterstützt wird, sollten Sie Ihren Übergang zur integrierten Microsoft Defender-Lösung zur Sicherheitsrisikoverwaltung planen.
Für weitere Informationen zu unserer Entscheidung, unser Angebot zur Sicherheitsrisikobewertung mit Microsoft Defender Vulnerability Management zu vereinheitlichen, lesen Sie diesen Blogbeitrag.
Sie können auch die häufig gestellten Fragen zum Übergang zur Microsoft Defender Vulnerability Management-Lösung überprüfen.
Bevorstehende Änderung für die Anforderungen an das Multicloud-Netzwerk von Defender for Cloud
Ankündigungsdatum: 3. Januar 2024
Geschätztes Datum für die Änderung: Mai 2024
Ab Mai 2024 werden wir die alten IP-Adressen, die unseren Multicloud-Ermittlungsdienst zugeordnet sind, ausgemustert, um Verbesserungen zu ermöglichen und eine sicherere und effizientere Erfahrung für alle Benutzer*innen zu gewährleisten.
Um den unterbrechungsfreien Zugriff auf unsere Dienste sicherzustellen, sollten Sie Ihre Liste zugelassener IP-Adressen mit den neuen Bereichen aktualisieren, die in den folgenden Abschnitten bereitgestellt werden. Sie sollten die erforderlichen Anpassungen in Ihren Firewalleinstellungen, Sicherheitsgruppen oder anderen Konfigurationen vornehmen, die möglicherweise für Ihre Umgebung gelten.
Die Liste gilt für alle Pläne und ausreichend für die volle Funktionalität des (kostenlosen) CSPM-Grundlagenangebots.
IP-Adressen, die ausgemustert werden:
- Discovery GCP: 104.208.29.200, 52.232.56.127
- Discovery AWS: 52.165.47.219, 20.107.8.204
- Onboarding: 13.67.139.3
Neue regionsspezifische IP-Bereiche, die hinzugefügt werden sollen:
- Europa, Westen (WEU): 52.178.17.48/28
- Europa, Norden (NEU): 13.69.233.80/28
- USA, Mitte (CUS): 20.44.10.240/28
- USA, Osten 2 (EUS2): 20.44.19.128/28
Veraltung von zwei DevOps-Sicherheitsempfehlungen
Ankündigungsdatum: 30. November 2023
Geschätztes Datum für die Änderung: Januar 2024
Mit der allgemeinen Verfügbarkeit von DevOps-Umgebungsstatusverwaltung aktualisieren wir unseren Ansatz, Empfehlungen im Format der Unterbewertung anzuzeigen. Zuvor hatten wir breit angelegte Empfehlungen, die mehrere Erkenntnisse umfassten. Jetzt gehen wir zu individuellen Empfehlungen für jedes spezifische Ergebnis über. Mit dieser Änderung werden die beiden allgemeinen Empfehlungen veraltet sein:
Azure DevOps Posture Management findings should be resolvedGitHub Posture Management findings should be resolved
Das bedeutet, dass wir anstelle einer einzelnen Empfehlung für alle entdeckten Fehlkonfigurationen unterschiedliche Empfehlungen für jedes Problem geben, wie z. B. „Azure DevOps Dienstverbindungen sollten keinen Zugriff auf alle Pipelines gewähren“. Diese Änderung zielt darauf ab, die Klarheit und Sichtbarkeit bestimmter Themen zu verbessern.
Weitere Informationen finden Sie unter neue Empfehlungen.
Konsolidierung der Service Level 2-Namen von Defender for Cloud
Ankündigungsdatum: 1. November 2023
Geschätztes Datum der Änderung: Dezember 2023
Wir konsolidieren die bisherigen Service Level 2-Namen für alle Defender for Cloud-Pläne zu einem einzigen neuen Service Level 2-Namen, Microsoft Defender for Cloud.
Aktuell gibt es vier Service Level 2-Namen: Azure Defender, Advanced Threat Protection, Advanced Data Security und Security Center. Die verschiedenen Zähler für Microsoft Defender for Cloud sind in diesen separaten Service Level 2-Namen gruppiert, was bei der Verwendung von Cost Management + Billing, der Rechnungsstellung und anderen Azure-Abrechnungstools zu Komplikationen führt.
Die Änderung vereinfacht den Prozess der Überprüfung von Defender for Cloud-Gebühren und sorgt für mehr Klarheit bei der Kostenanalyse.
Um einen reibungslosen Übergang zu gewährleisten, haben wir Maßnahmen ergriffen, um die Konsistenz des Produkt-/Service-Namens, der SKU und der Zähler-IDs zu wahren. Betroffene Kunden erhalten eine Azure Service-Benachrichtigung, in der sie über die Änderungen informiert werden.
Organisationen, die Kostendaten durch Aufrufen unserer APIs abrufen, müssen die Werte in ihren Aufrufen aktualisieren, um die Änderung zu berücksichtigen. In dieser Filterfunktion geben die Werte zum Beispiel keine Informationen zurück:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
Die Änderung soll am 1. Dezember 2023 in Kraft treten.
| ALTER Service Level 2-Name | NEUER Service Level 2-Name | Dienstebene – Service Level 4 (Keine Änderung) |
|---|---|---|
| Advanced Data Security | Microsoft Defender für Cloud | Defender für SQL |
| Advanced Threat Protection für Azure SQL-Datenbank | Microsoft Defender für Cloud | Defender for Container Registries |
| Advanced Threat Protection für Azure SQL-Datenbank | Microsoft Defender für Cloud | Defender für DNS |
| Advanced Threat Protection für Azure SQL-Datenbank | Microsoft Defender für Cloud | Defender für Key Vault |
| Advanced Threat Protection für Azure SQL-Datenbank | Microsoft Defender für Cloud | Defender for Kubernetes |
| Advanced Threat Protection für Azure SQL-Datenbank | Microsoft Defender für Cloud | Defender for MySQL |
| Advanced Threat Protection für Azure SQL-Datenbank | Microsoft Defender für Cloud | Defender for PostgreSQL |
| Advanced Threat Protection für Azure SQL-Datenbank | Microsoft Defender für Cloud | Defender für Resource Manager |
| Advanced Threat Protection für Azure SQL-Datenbank | Microsoft Defender für Cloud | Defender für Storage |
| Azure Defender | Microsoft Defender für Cloud | Defender for External Attack Surface Management |
| Azure Defender | Microsoft Defender für Cloud | Defender für Azure Cosmos DB |
| Azure Defender | Microsoft Defender für Cloud | Defender für Container |
| Azure Defender | Microsoft Defender für Cloud | Defender for MariaDB |
| Security Center | Microsoft Defender für Cloud | Defender für App Service |
| Security Center | Microsoft Defender für Cloud | Defender für Server |
| Security Center | Microsoft Defender für Cloud | Defender CSPM |
Änderungen an der Darstellung der Kosten von Microsoft Defender for Cloud in Microsoft Cost Management
Ankündigungsdatum: 26. Oktober 2023
Geschätztes Datum für die Änderung: November 2023
Im November wird es eine Änderung geben, wie die Kosten von Microsoft Defender for Cloud in Cost Management und in Abonnementsrechnungen angezeigt werden.
Kosten werden für jede geschützte Ressource angezeigt, anstelle einer Aggregation aller Ressourcen im Abonnement.
Wenn für eine Ressource ein Tag angewendet ist, das häufig von Organisationen zum Ausführen von Finanzrückbuchungsprozessen verwendet wird, wird es den entsprechenden Abrechnungspositionen hinzugefügt.
Ersetzen der Empfehlung „Für Schlüsseltresore muss Löschschutz aktiviert sein“ durch die kombinierte Empfehlung „Für Schlüsseltresore sollte der Löschschutz aktiviert sein“
Voraussichtliches Datum der Änderung: Juni 2023
Die Empfehlung Key Vaults should have purge protection enabled ist im (Dashboard zur Einhaltung von Vorschriften/Azure-Sicherheitsbenchmark-Initiative) veraltet und wird durch eine neue kombinierte Empfehlung Key Vaults should have deletion protection enabled ersetzt.
| Name der Empfehlung | BESCHREIBUNG | Auswirkungen | Version |
|---|---|---|---|
| Für Schlüsseltresore sollte der Löschschutz aktiviert sein. | Ein böswilliger Insider in Ihrer Organisation kann möglicherweise Schlüsseltresore löschen oder bereinigen. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. | Audit, Deny, Disabled | 2.0.0 |
Weitere Informationen finden Sie im vollständigen Index der integrierten Azure Policy-Richtliniendefinitionen für Key Vault.
Ändern der täglichen Log Analytics-Obergrenze
Azure Monitor bietet die Möglichkeit, eine tägliche Obergrenze für die Datenmenge festzulegen, die in Ihren Log Analytics-Arbeitsbereichen erfasst werden. Sicherheitsrelevante Defender for Cloud-Ereignisse werden in diesen Ausschlüssen derzeit jedoch nicht unterstützt.
Ab dem 18. September 2023 werden die folgenden Gruppen von Datentypen nicht mehr von der täglichen Obergrenze von Log Analytics ausgeschlossen:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Aktualisieren
- UpdateSummary
- CommonSecurityLog
- syslog
Zu diesem Zeitpunkt werden alle abrechenbaren Datentypen begrenzt, wenn die tägliche Obergrenze erreicht worden ist. Dank dieser Änderung können Sie die Kosten durch eine höher als erwartete Datenerfassung vollständig eindämmen.
Hier finden Sie weitere Informationen zu Arbeitsbereichen mit Microsoft Defender for Cloud.
DevOps-Ressourcen-Deduplizierung für Defender for DevOps
Geschätztes Datum für die Änderung: November 2023
Um die Benutzerfreundlichkeit von Defender for DevOps zu verbessern und eine weitere Integration mit den umfangreichen Funktionen von Defender for Cloud zu ermöglichen, unterstützt Defender for DevOps nicht mehr das Onboarding von doppelten Instanzen einer DevOps-Organisation in einen Azure-Mandanten.
Wenn Sie keine Instanz einer DevOps-Organisation mehr als einmal in Ihre Organisation aufgenommen haben, sind keine weiteren Maßnahmen erforderlich. Wenn Sie mehr als eine Instanz einer DevOps-Organisation in Ihren Mandanten eingebunden haben, wird der Inhaber des Abonnements benachrichtigt und muss die DevOps Connector(s) löschen, die nicht mehr verwendet werden sollen. Dies erfolgt in den Umgebungseinstellungen von Defender for Cloud.
Kunden haben bis zum 14. November 2023 Zeit, um dieses Problem zu beheben. Nach diesem Datum bleibt nur der zuletzt erstellte DevOps-Connector, bei dem eine Instanz der DevOps-Organisation vorhanden ist, in Defender for DevOps integriert. Wenn beispielsweise die Organization Contoso sowohl in Connector A als auch in Connector B vorhanden ist und Connector B nach Connector A erstellt wurde, wird Connector A aus Defender for DevOps entfernt.
Defender for Cloud-Plan und -Strategie für die Einstellung des Log Analytics-Agents
Geschätztes Datum der Änderung: August 2024
Der Azure Log Analytics-Agent, auch bekannt als Microsoft Monitoring Agent (MMA), wird im August 2024 eingestellt. Daher sind die Features der beiden Defender for Cloud-Pläne, die auf dem Log Analytics-Agent basieren, betroffen und verfügen über aktualisierte Strategien: Defender for Servers und Defender für SQL-Server auf Computern.
Wichtige Strategiepunkte
- Der Azure Monitor-Agent (AMA) ist keine Voraussetzung für das Defender for Servers-Angebot, ist aber weiterhin als Teil von Defender für SQL erforderlich.
- MMA-basierte Features und Funktionen von Defender for Servers werden in ihrer Log Analytics-Version im August 2024 eingestellt und über alternative Infrastrukturen vor dem Datum der MMA-Einstellung bereitgestellt.
- Darüber hinaus wird der derzeit freigegebene Prozess zur automatischen Bereitstellung, der die Installation und Konfiguration beider Agents (MMA/AMA) ermöglicht, entsprechend angepasst.
Defender für Server
In der folgenden Tabelle wird erläutert, wie die einzelnen Funktionen nach der Einstellung des Log Analytics-Agents bereitgestellt werden:
| Feature | Veraltungsplan | Alternative |
|---|---|---|
| Integration von Defender for Endpoint/Defender for Cloud für kompatible Computer (Windows Server 2012 R2, 2016) | Die Integration von Defender for Endpoint, die den Defender for Endpoint-Legacysensor und den Log Analytics-Agent (für Windows Server 2016- und Windows Server 2012 R2-Computer) verwendet, wird nach August 2024 nicht mehr unterstützt. | Aktivieren Sie die Integration des allgemein verfügbaren einheitlichen Agent, um die Unterstützung für Computer aufrechtzuerhalten und den vollständigen erweiterten Featuresatz zu erhalten. Weitere Informationen finden Sie unter Aktivieren der Integration von Microsoft Defender for Endpoint. |
| Bedrohungserkennung auf Betriebssystemebene (Agent-basiert) | Bedrohungserkennung auf Betriebssystemebene, die auf dem Log Analytics-Agent basiert, ist nach August 2024 nicht mehr verfügbar. Eine vollständige Liste veralteter Erkennungen wird in Kürze bereitgestellt. | Erkennungen auf Betriebssystemebene werden von der Integration von Defender for Endpoint bereitgestellt und sind bereits allgemein verfügbar. |
| Adaptive Anwendungssteuerungen | Die aktuelle allgemein verfügbare Version, die auf dem Log Analytics-Agent basiert, wird im August 2024 zusammen mit der Vorschauversion eingestellt, die auf dem Azure Monitor-Agent basiert. | Die adaptive Anwendungssteuerungsfunktion wird in ihrer jetzigen Form eingestellt und neue Funktionen im Bereich der Anwendungssteuerung (zusätzlich zu dem, was Defender für Endpunkt und Windows Defender Anwendungssteuerung bereits bieten) werden als Teil der zukünftigen Roadmap für Defender for Servers in Betracht gezogen. |
| Empfehlungen zur Endpunktschutzermittlung | Die aktuellen allgemein verfügbaren Empfehlungen zum Installieren von Endpunkt-Schutzmaßnahmen und zur Behebung von Integritätsproblemen in den erkannten Lösungen werden im August 2024 eingestellt. Die Vorschauempfehlungen, die heute über den Protokollanalyseagent verfügbar sind, werden ausgemustert, wenn die Alternative über die Funktionalität über die agentenlose Datenträgerüberprüfung bereitgestellt wird. | Eine neue Version ohne Agent wird für Ermittlungs- und Konfigurationslücken bis April 2024 bereitgestellt. Im Rahmen dieses Upgrades wird dieses Feature als Komponente von Defender for Servers-Plan 2 und Defender CSPM bereitgestellt und deckt keine lokalen oder mit Arc verbundenen Computer ab. |
| Fehlende Betriebssystempatches (Systemupdates) | Empfehlungen zum Anwenden von Systemupdates basierend auf dem Log Analytics-Agent sind nach August 2024 nicht mehr verfügbar. Die Vorschauversion, die heute über den Gastkonfigurations-Agent verfügbar ist, wird nicht mehr aktuell, sobald die Alternative über die Premium-Funktionen der Microsoft Defender-Sicherheitsrisikoverwaltung bereitgestellt wird. Die Unterstützung dieses Features für Docker-Hub und VMMS wird im August 2024 eingestellt und wird als Teil der zukünftigen Roadmap für Defender for Servers in Betracht gezogen. | Neue Empfehlungen, die auf der Integration ins Update Manager basieren, sind bereits allgemein verfügbar, und es gibt keine Agent-Abhängigkeiten. |
| Fehlkonfigurationen des Betriebssystems (Azure Security Benchmark-Empfehlungen) | Die aktuelle allgemein verfügbare Version, die auf dem Log Analytics-Agent basiert, ist nach August 2024 nicht mehr verfügbar. Die aktuelle Vorschauversion, die den Gastkonfigurations-Agent verwendet, wird eingestellt, wenn die Microsoft Defender Vulnerability Management-Integration verfügbar wird. | Eine neue Version, die auf der Integration in Premium Microsoft Defender Vulnerability Management basiert, wird Anfang 2024 als Teil des Defender for Servers-Plan 2 verfügbar sein. |
| Überwachung der Dateiintegrität | Die aktuelle allgemein verfügbare Version, die auf dem Log Analytics-Agent basiert, ist nach August 2024 nicht mehr verfügbar. Die öffentliche FIM-Vorschauversion, die auf dem Azure Monitor-Agent (AMA) basiert, wird eingestellt, wenn die Alternative über Defender for Endpoint bereitgestellt wird. | Eine neue Version dieses Features wird basierend auf der Microsoft Defender for Endpoint-Integration im April 2024 bereitgestellt. |
| Der 500-MB-Vorteil für die Datenerfassung | Der 500-MB-Vorteil für die Datenerfassung über die definierten Tabellen wird weiterhin über den AMA-Agent für die Computer unter Abonnements unterstützt, die von Defender for Servers P2 abgedeckt werden. Jeder Computer ist nur einmal für den Vorteil berechtigt, auch wenn sowohl der Log Analytics-Agent als auch der Azure Monitor-Agent darauf installiert sind. |
Automatische Bereitstellung von Log Analytics- und Azure Monitor-Agents
Der derzeit freigegebene Prozess zur automatischen Bereitstellung, der die Installation und Konfiguration beider Agents (MMA/AMA) ermöglicht, wird gemäß dem oben aufgeführten Plan angepasst.
Der MMA-Mechanismus für die automatische Bereitstellung und die zugehörige Richtlinieninitiative bleiben optional und werden bis August 2024 über die Defender for Cloud-Plattform unterstützt.
Im Oktober 2023:
Der aktuelle freigegebene Mechanismus für die automatische Bereitstellung des „Log Analytics-Agents/Azure Monitor-Agents“ wird aktualisiert und nur auf den „Log Analytics-Agent“ angewendet.
- Public Preview-Richtlinieninitiativen im Zusammenhang mit dem Azure Monitor-Agent (AMA) werden veraltet und durch den neuen automatischen Bereitstellungsprozess für den Azure Monitor-Agent (AMA) ersetzt, der nur für Azure-registrierte SQL-Server (SQL Server auf Azure-VM/Arc-fähiger SQL Server) bestimmt ist.
Aktuelle Kunden mit AMA mit aktivierter Public Preview-Richtlinieninitiative werden weiterhin unterstützt, es wird jedoch empfohlen, zur neuen Richtlinie zu migrieren.
Um die Sicherheit Ihrer Server zu gewährleisten und alle Sicherheitsupdates von Defender for Servers zu erhalten, stellen Sie sicher, dass die Integration von Defender for Endpoint und die Datenträgerüberprüfung ohne Agent für Ihre Abonnements aktiviert sind. Dadurch bleiben Ihre Server auch mit dem alternativen Lieferumfang auf dem neuesten Stand.
Planung der Agentmigration
Zunächst wird allen Defender for Servers-Kunden empfohlen, die Integration von Defender for Endpoint und die Überprüfung von Datenträgern ohne Agent als Teil des Defender for Servers-Angebots ohne zusätzliche Kosten zu aktivieren. Dadurch wird sichergestellt, dass Sie automatisch mit den neuen alternativen Ergebnissen abgedeckt sind, ohne dass ein zusätzliches Onboarding erforderlich ist.
Erstellen Sie anschließend Ihren Migrationsplan gemäß den Anforderungen Ihrer Organisation:
| Azure Monitor-Agent (AMA) erforderlich (für Defender for SQL oder andere Szenarien) | FIM/EPP-Ermittlung/Baselined ist als Teil von Defender for Servers erforderlich. | Wie gehe ich vor? |
|---|---|---|
| Nein | Ja | Sie können MMA ab April 2024 entfernen, indem Sie die GA-Version von Defender for Servers entsprechend Ihren Anforderungen verwenden (Vorschauversionen sind früher verfügbar). |
| Nein | Nein | Sie können MMA ab sofort entfernen. |
| Ja | Nein | Sie können jetzt mit der Migration von MMA zu AMA beginnen. |
| Ja | Ja | Sie können die Migration von MMA zu AMA ab April 2024 starten oder alternativ ab jetzt beide Agents nebeneinander verwenden. |
Kunden mit aktiviertem Log Analytics-Agent(MMA)
Wenn die folgenden Features in Ihrer Organisation erforderlich sind: Überwachung der Dateiintegrität (File Integrity Monitoring, FIM), Endpoint Protection-Empfehlungen, Fehlkonfigurationen des Betriebssystems (Empfehlungen für Sicherheitsbaselines), können Sie mit der Ausmusterung von MMA im April 2024 beginnen, wenn eine Alternative in der Allgemeinen Verfügbarkeit bereitgestellt wird (Vorschauversionen sind früher verfügbar).
Wenn die oben genannten Features in Ihrer Organisation erforderlich sind und der Azure Monitor-Agent (AMA) auch für andere Dienste erforderlich ist, können Sie im April 2024 mit der Migration von MMA zu AMA beginnen. Alternativ können Sie sowohl MMA als auch AMA verwenden, um alle GA-Features zu erhalten, und MMA dann im April 2024 entfernen.
Wenn die oben genannten Features nicht erforderlich sind und der Azure Monitor-Agent (AMA) für andere Dienste erforderlich ist, können Sie jetzt mit der Migration von MMA zu AMA beginnen. Beachten Sie jedoch, dass die Vorschaufunktionen von Defender for Servers über AMA im April 2024 veraltet sind.
Kunden mit aktiviertem Azure Monitor-Agent (AMA)
Von Ihrer Seite ist keine Aktion erforderlich.
- Sie erhalten alle GA-Funktionen von Defender for Servers über Agentless und Defender for Endpoint. Die folgenden Features werden im April 2024 allgemein verfügbar sein: Überwachung der Dateiintegrität (File Integrity Monitoring, FIM), Endpoint Protection-Empfehlungen, Fehlkonfigurationen des Betriebssystems (Empfehlungen für Sicherheitsbaselines). Die Vorschaufunktionen von Defender for Servers über AMA sind im April 2024 veraltet.
Wichtig
Weitere Informationen zur Planung dieser Änderung finden Sie unter Microsoft Defender for Cloud – Strategie und Plan für die Einstellung des Log Analytics Agent (MMA).
Defender for SQL Server auf Computern
Der Plan für Defender for SQL Server auf Computern basiert auf dem Log Analytics-Agent (MMA) bzw. dem Azure Monitor-Agent (AMA), um Sicherheitsrisikobewertung und Advanced Threat Protection für IaaS-SQL Server-Instanzen bereitzustellen. Der Plan unterstützt die automatische Bereitstellung des Log Analytics-Agents mit allgemeiner Verfügbarkeit und die automatische Bereitstellung des Azure Monitoring-Agents als Public Preview.
Im folgenden Abschnitt werden die geplante Einführung eines neuen und verbesserten Prozesses für die automatische Bereitstellung des Azure Monitor-Agents für SQL Server und das Einstellungsverfahren des Log Analytics-Agents (MMA) beschrieben. Lokale SQL-Server, die MMA verwenden, erfordern den Azure Arc-Agent bei der Migration zum neuen Prozess aufgrund von AMA-Anforderungen. Kund*innen, die den neuen Prozess zur automatischen Bereitstellung verwenden, profitieren von einer einfachen und nahtlosen Agent-Konfiguration. Dadurch werden Onboardingfehler reduziert und eine breitere Schutzabdeckung bereitgestellt.
| Meilenstein | Date | Weitere Informationen |
|---|---|---|
| Public Preview-Release für die automatische AMA-Bereitstellung für SQL | Oktober 2023 | Der neue Prozess für die automatische Bereitstellung richtet sich nur an in Azure registrierte SQL-Server (SQL Server auf Azure-VM/SQL Server mit Arc-Unterstützung). Der aktuelle Prozess für die automatische AMA-Bereitstellung und die zugehörige Richtlinieninitiative werden eingestellt. Sie kann weiterhin von Kund*innen verwendet werden, aber sie sind nicht für den Support berechtigt. |
| Allgemein verfügbares Release für die automatische AMA-Bereitstellung für SQL | Dezember 2023 | Allgemein verfügbares Release eines Prozesses für die automatische AMA-Bereitstellung für SQL. Nach dem Release wird es als Standardoption für alle neuen Kund*innen definiert. |
| Einstellung von MMA | August 2024 | Der aktuelle Prozess für die automatische MMA-Bereitstellung und die zugehörige Richtlinieninitiative werden eingestellt. Sie kann weiterhin von Kund*innen verwendet werden, aber sie sind nicht für den Support berechtigt. |
Zwei Sicherheitsvorfälle als veraltet festgelegt
Geschätztes Datum für die Änderung: November 2023
Im folgenden Prozess zur Verbesserung der Qualität werden die folgenden Sicherheitsvorfälle als veraltet festgelegt: Security incident detected suspicious virtual machines activity und Security incident detected on multiple machines.
Nächste Schritte
Alle aktuellen Änderungen an Defender for Cloud finden Sie unter Neuerungen in Microsoft Defender for Cloud.