A Felhőhöz készült Microsoft Defender újdonságai

Felhőhöz készült Defender aktív fejlesztés alatt áll, és folyamatosan kap fejlesztéseket. Ha naprakész szeretne maradni a legújabb fejlesztésekkel kapcsolatban, ezen az oldalon információkat talál az új funkciókról, a hibajavításokról és az elavult funkciókról.

Ez a lap gyakran frissül, ezért gyakran újra meg kell látogatni.

A hamarosan Felhőhöz készült Defender várható tervezett módosításokról további információt a Felhőhöz készült Microsoft Defender fontos, közelgő módosításait ismertető cikkben talál.

Tipp

Ha hat hónapnál régebbi elemeket keres, megtalálja őket az Archívumban a Felhőhöz készült Microsoft Defender újdonságaiért.

2022. április

Az áprilisi frissítések a következők:

Új Defender for Servers-csomagok

A Microsoft Defender for Servers mostantól két növekményes csomagban érhető el:

  • Defender for Servers Plan 2, korábbi nevén Defender for Servers
  • A Defender for Servers 1. csomagja csak Végponthoz készült Microsoft Defender támogatja

Bár a Defender for Servers 2. csomagja továbbra is védelmet nyújt a felhő és a helyszíni számítási feladatok fenyegetései és biztonsági rései ellen, a Defender for Servers 1. csomagja csak végpontvédelmet biztosít, a natívan integrált Végponthoz készült Defender segítségével. További információ a Defender for Servers csomagjairól.

Ha eddig a Defender for Servers szolgáltatást használta, nincs szükség beavatkozásra.

Emellett Felhőhöz készült Defender megkezdi a Defender for Endpoint egyesített ügynök fokozatos támogatását Windows Server 2012 R2-hez és 2016-hoz. A Defender for Servers 1. csomagja üzembe helyezi az új egyesített ügynököt az R2 és 2016 számítási feladatok Windows Server 2012. A Defender for Servers 2. csomagja üzembe helyezi az örökölt ügynököt Windows Server 2012 R2 és 2016 számítási feladatokon, és hamarosan megkezdi az egyesített ügynök üzembe helyezését.

Egyéni javaslatok áthelyezése

Egyéni javaslatok azok, amelyeket a felhasználók hoztak létre, és nincsenek hatással a biztonsági pontszámra. Az egyéni javaslatok mostantól a Minden javaslat lapon találhatók.

Az egyéni javaslatok megkereséséhez használja az új "javaslattípus" szűrőt.

További információ: Egyéni biztonsági kezdeményezések és szabályzatok létrehozása.

PowerShell-szkript riasztások streameléséhez a Splunknak és az IBM QRadarnak

Javasoljuk, hogy az Event Hubs és egy beépített összekötő használatával exportálja a biztonsági riasztásokat a Splunkba és az IBM QRadarba. Most egy PowerShell-szkripttel beállíthatja az előfizetés vagy a bérlő biztonsági riasztásainak exportálásához szükséges Azure-erőforrásokat.

Egyszerűen töltse le és futtassa a PowerShell-szkriptet. Miután megadott néhány részletet a környezetről, a szkript konfigurálja az erőforrásokat. A szkript ezután az integráció befejezéséhez a SIEM platformon használt kimenetet állítja elő.

További információ: Stream-riasztások a Splunkba és a QRadarba.

Elavult a Azure Cache for Redis javaslat

A javaslat Azure Cache for Redis should reside within a virtual network (előzetes verzió) elavult. Módosítottuk Azure Cache for Redis példányok védelmére vonatkozó útmutatónkat. Javasoljuk, hogy virtuális hálózat helyett privát végpontot használjon a Azure Cache for Redis-példányhoz való hozzáférés korlátozásához.

Új riasztási változat a Microsoft Defender for Storage (előzetes verzió) számára a bizalmas adatok expozíciójának észleléséhez

A Microsoft Defender for Storage riasztásai értesítik, ha a fenyegetéstevők megpróbálják átvizsgálni és közzétenni a helytelenül konfigurált, nyilvánosan megnyitott tárolókat, hogy megpróbálják kiszűrni a bizalmas információkat.

A gyorsabb osztályozás és válaszidő érdekében, ha lehetséges, hogy bizalmas adatok kiszűrése történt, új változatot adtunk ki a meglévő Publicly accessible storage containers have been exposed riasztáshoz.

Az új riasztás Publicly accessible storage containers with potentially sensitive data have been exposedsúlyossági szinttel High aktiválódik, miután sikerült felderíteni egy nyilvánosan megnyitott tároló(ka)t, amelynek nevei statisztikailag ritkán voltak nyilvánosan közzétéve, ami arra utal, hogy bizalmas információkat tárolhatnak.

Riasztás (riasztás típusa) Description MITRE-taktika Súlyosság
ELŐZETES VERZIÓ – Nyilvánosan elérhető tárolók, amelyek potenciálisan bizalmas adatokkal rendelkeznek
(Storage. Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)
Valaki megvizsgálta az Azure-Storage-fiókját, és közzétette a nyilvános hozzáférést engedélyező tároló(ka)t. Egy vagy több közzétett tároló neve azt jelzi, hogy bizalmas adatokat tartalmazhatnak.

Ez általában azt jelzi, hogy egy fenyegetéselemző felderíti a bizalmas adatokat tartalmazó, helytelenül konfigurált, nyilvánosan elérhető tárolókat.

Miután egy fenyegetéselemző sikeresen felderített egy tárolót, az adatok kiszivárgásával folytathatja a műveletet.
✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Gyűjtemény Magas

Tárolóvizsgálati riasztás címe IP-címmel bővítve

Az IP-címek hírneve azt jelzi, hogy a vizsgálati tevékenység egy ismert fenyegetési szereplőtől származik-e, vagy egy olyan szereplőtől, amely a Tor-hálózatot használja identitásuk elrejtéséhez. Mindkét mutató azt sugallja, hogy rosszindulatú szándék van. Az IP-cím hírnevét a Microsoft Threat Intelligence biztosítja.

Az IP-cím hírnevének hozzáadása a riasztási címhez lehetővé teszi az aktor szándékának gyors kiértékelését, és ezáltal a fenyegetés súlyosságát.

A következő riasztások tartalmazzák ezt az információt:

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

A riasztás címéhez hozzáadott információk például így Publicly accessible storage containers have been exposed néznek ki:

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

A Microsoft Defender for Storage összes riasztása továbbra is tartalmazza a fenyegetésfelderítési információkat az IP-entitásban a riasztás Kapcsolódó entitások szakaszában.

Biztonsági riasztáshoz kapcsolódó tevékenységnaplók megtekintése

A biztonsági riasztások kiértékeléséhez végrehajtható műveletek részeként a kapcsolódó platformnaplókat az Erőforrás-környezet vizsgálata területen találja, hogy kontextust nyerjen az érintett erőforrásról. Felhőhöz készült Microsoft Defender azonosítja a riasztást követő egy napon belül található platformnaplókat.

A platformnaplók segítségével kiértékelheti a biztonsági fenyegetést, és azonosíthatja az azonosított kockázat mérsékléséhez szükséges lépéseket.

2022. március

A márciusi frissítések a következők:

Az AWS- és GCP-környezetek biztonsági pontszámának globális rendelkezésre állása

A Felhőhöz készült Microsoft Defender által biztosított felhőbiztonsági helyzetkezelési képességek mostantól támogatják az AWS- és GCP-környezeteket a biztonsági pontszámon belül.

A vállalatok mostantól megtekinthetik az általános biztonsági helyzetüket különböző környezetekben, például az Azure-ban, az AWS-ben és a GCP-ben.

A Biztonsági pontszám lap a Biztonsági állapot irányítópultra lett cserélve. A Biztonsági helyzet irányítópulton megtekintheti az összes környezet összesített pontszámát, vagy a biztonsági helyzet lebontását a környezetek tetszőleges kombinációja alapján.

A Javaslatok lap is át lett tervezve, hogy olyan új képességeket biztosítson, mint a felhőkörnyezet kiválasztása, a tartalomon alapuló speciális szűrők (erőforráscsoport, AWS-fiók, GCP-projekt stb.), továbbfejlesztett felhasználói felület alacsony felbontásban, nyílt lekérdezés támogatása az erőforrás-grafikonon stb. További információ az általános biztonsági helyzetről és a biztonsági javaslatokról.

Elavultak a hálózati adatgyűjtő ügynök telepítésére vonatkozó javaslatok

Az ütemterv és a prioritások változásai megszüntették a hálózati forgalom adatgyűjtési ügynökének szükségességét. Az alábbi két javaslat és a hozzájuk kapcsolódó szabályzatok elavultak.

Ajánlás Description Súlyosság
A hálózati forgalom adatgyűjtési ügynökét Linux rendszerű virtuális gépekre kell telepíteni Felhőhöz készült Defender a Microsoft Dependency-ügynökkel hálózati forgalmi adatokat gyűjt az Azure-beli virtuális gépekről olyan speciális hálózatvédelmi funkciók engedélyezéséhez, mint a hálózati térképen látható forgalomvizualizáció, a hálózati megerősített javaslatok és az adott hálózati fenyegetések. Közepes
A hálózati forgalom adatgyűjtési ügynökét telepíteni kell Windows virtuális gépekre Felhőhöz készült Defender a Microsoft Dependency-ügynökkel hálózati forgalmi adatokat gyűjt az Azure-beli virtuális gépekről olyan speciális hálózatvédelmi funkciók engedélyezéséhez, mint a hálózati térképen látható forgalomvizualizáció, a hálózati megerősített javaslatok és az adott hálózati fenyegetések. Közepes

A Defender for Containers mostantól biztonsági réseket kereshet Windows képeken (előzetes verzió)

A Defender for Container képvizsgálata mostantól támogatja Windows Azure Container Registry-ben üzemeltetett rendszerképeket. Ez a funkció előzetes verzióban ingyenes, és a szolgáltatás általánosan elérhető állapotában költségekkel jár.

További információ a Microsoft Defender tárolóhoz való használatáról a rendszerképek biztonsági réseinek kereséséhez.

Új riasztás a Storage-hez készült Microsoft Defenderhez (előzetes verzió)

A Microsoft Defender Storage által biztosított veszélyforrások elleni védelem kibővítéséhez új előzetes verziójú riasztást adtunk hozzá.

A fenyegetést jelentő szereplők alkalmazásokkal és eszközökkel derítik fel és érik el a tárfiókokat. A Microsoft Defender for Storage észleli ezeket az alkalmazásokat és eszközöket, így letilthatja őket, és kijavíthatja a testtartását.

Ennek az előzetes verziójú riasztásnak a neve Access from a suspicious application. A riasztás csak a Azure Blob Storage és az ADLS Gen2 esetében releváns.

Riasztás (riasztás típusa) Description MITRE-taktika Súlyosság
ELŐZETES VERZIÓ – Hozzáférés gyanús alkalmazásból
(Storage. Blob_SuspiciousApp)
Azt jelzi, hogy egy gyanús alkalmazás sikeresen hozzáfért egy tárfiók tárolóhoz hitelesítéssel.
Ez azt jelezheti, hogy egy támadó beszerezte a fiók eléréséhez szükséges hitelesítő adatokat, és kihasználja azt. Ez a szervezeten belül végzett behatolási tesztre is utalhat.
A következőkre vonatkozik: Azure Blob Storage, Azure Data Lake Storage Gen2
Kezdeti hozzáférés Közepes

E-mail-értesítések beállításainak konfigurálása riasztásból

Új szakasz lett hozzáadva a riasztás felhasználói felületéhez (UI), amely lehetővé teszi, hogy megtekintse és szerkessze, ki kap e-mail-értesítéseket az aktuális előfizetésben aktivált riasztásokról.

Screenshot of the new UI showing how to configure email notification.

Megtudhatja, hogyan konfigurálhatja az e-mail-értesítéseket a biztonsági riasztásokhoz.

Elavult előzetes verziójú riasztás: ARM. MCAS_ActivityFromAnonymousIPAddresses

A következő előzetes verziójú riasztás elavult:

Riasztás neve Description
ELŐZETES VERZIÓ – Kockázatos IP-címből származó tevékenység
(ARM. MCAS_ActivityFromAnonymousIPAddresses)
A rendszer egy névtelen proxy IP-címként azonosított IP-címről származó felhasználói tevékenységet észlelt.
Ezeket a proxykat azok használják, akik el szeretnék rejteni eszközük IP-címét, és rosszindulatú szándékkal használhatók. Ez az észlelés olyan gépi tanulási algoritmust használ, amely csökkenti a téves pozitívumokat, például a tévesen címkézett IP-címeket, amelyeket a szervezet felhasználói széles körben használnak.
Aktív Microsoft Defender for Cloud Apps licenc szükséges.

Létre lett hozva egy új riasztás, amely megadja ezt az információt, és hozzáadja azt. Emellett az újabb riasztásokhoz (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) nincs szükség licencre Microsoft Defender for Cloud Apps (korábbi nevén Microsoft Cloud App Security).

További riasztások Resource Manager.

A tárolóbiztonsági konfigurációk biztonsági réseit a biztonsági pontszámról az ajánlott eljárásokra kell kijavítani

A javaslat Vulnerabilities in container security configurations should be remediated át lett helyezve a biztonságos pontszám szakaszból az ajánlott eljárások szakaszba.

Az aktuális felhasználói felület csak akkor adja meg a pontszámot, ha az összes megfelelőségi ellenőrzés sikeres volt. A legtöbb ügyfélnek nehézséget okoz az összes szükséges ellenőrzés teljesítése. Dolgozunk a javaslat továbbfejlesztésén, és a javaslat kiadása után visszakerül a biztonsági pontszámra.

Elavult a javaslat, hogy szolgáltatásneveket használjon az előfizetések védelméhez

Ahogy a szervezetek nem használnak felügyeleti tanúsítványokat az előfizetéseik kezeléséhez, és a közelmúltban bejelentettük, hogy kivonjuk a Cloud Services (klasszikus) üzemi modellből, a következő Felhőhöz készült Defender javaslatot és a hozzá kapcsolódó szabályzatot elavultattuk:

Ajánlás Description Súlyosság
A felügyeleti tanúsítványok helyett szolgáltatásneveket kell használni az előfizetések védelmére A felügyeleti tanúsítványok lehetővé teszik, hogy a velük hitelesítést végző felhasználók felügyeljék a hozzájuk társított előfizetés(ek)et. Az előfizetések biztonságosabb kezelése érdekében ajánlott a Resource Manager szolgáltatásnevek használatával korlátozni a robbanási sugarat a tanúsítványok sérülése esetén. Emellett automatizálja az erőforrás-kezelést is.
(Kapcsolódó szabályzat: A szolgáltatásneveket az előfizetések védelmére kell használni a felügyeleti tanúsítványok helyett)
Közepes

További információ:

Az ISO 27001 régi implementációját felváltotta az új ISO 27001:2013 kezdeményezés

Az ISO 27001 régi implementációja el lett távolítva Felhőhöz készült Defender szabályozási megfelelőségi irányítópultjáról. Ha nyomon követi az ISO 27001-es megfelelőségi Felhőhöz készült Defender, az új ISO 27001:2013 szabvány bevezetése az összes releváns felügyeleti csoporthoz vagy előfizetéshez.

Defender for Cloud's regulatory compliance dashboard showing the message about the removal of the legacy implementation of ISO 27001.

Elavult Microsoft Defender for IoT-eszközökre vonatkozó javaslatok

A Microsoft Defender for IoT-eszközökre vonatkozó javaslatok már nem láthatók a Felhőhöz készült Microsoft Defender. Ezek a javaslatok továbbra is elérhetők az IoT-hez készült Microsoft Defender Javaslatok oldalán.

A következő javaslatok elavultak:

Értékelési kulcs Javaslatok
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: IoT-eszközök Portok megnyitása az eszközön
ba975338-f956-41e7-a9f2-7614832d382d: IoT-eszközök Megengedő tűzfalszabály található a bemeneti láncban
beb62be3-5e78-49bd-ac5f-099250ef3c7c: IoT-eszközök Megengedő tűzfalszabályzatot találtak az egyik láncban
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: IoT-eszközök Megengedő tűzfalszabály található a kimeneti láncban
5f65e47f-7a00-4bf3-acae-90ee441ee876: IoT-eszközök Az operációs rendszer alapkonfiguráció-ellenőrzési hibája
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: IoT-eszközök Az ügynök nem kihasznált üzeneteket küld
2acc27c6-5fdb-405e-9080-cb66b850c8f5: IoT-eszközök TLS-titkosítási csomag frissítése szükséges
d74d2738-2485-4103-9919-69c7e63776ec: IoT-eszközök A naplózott folyamat leállította az események küldését

Elavult Microsoft Defender for IoT-eszközriasztások

Az IoT-eszközökhöz készült Microsoft Defender-riasztások már nem láthatók a Felhőhöz készült Microsoft Defender. Ezek a riasztások továbbra is elérhetők a Microsoft Defender for IoT Riasztás lapján és a Microsoft Sentinelben.

Általánosan elérhető állapotkezelés és fenyegetésvédelem az általánosan elérhető AWS-hez és GCP-hez

  • Felhőhöz készült Defender CSPM-funkciói az AWS- és GCP-erőforrásokra is kiterjednek. Ez az ügynök nélküli csomag a többfelhős erőforrásokat a biztonsági pontszámban szereplő, felhőspecifikus biztonsági javaslatok alapján értékeli. Az erőforrások megfelelősége a beépített szabványok alapján történik. Felhőhöz készült Defender eszközleltár-oldala egy többfelhős funkció, amellyel az Azure-erőforrások mellett kezelheti az AWS-erőforrásokat.

  • A Microsoft Defender for Servers fenyegetésészlelést és fejlett védelmet biztosít a számítási példányokhoz az AWS-ben és a GCP-ben. A Defender for Servers csomag tartalmaz egy integrált licencet a Végponthoz készült Microsoft Defender, a sebezhetőségi felmérés vizsgálatához és egyebekhez. Ismerje meg a virtuális gépek és kiszolgálók összes támogatott funkcióját. Az automatikus előkészítési képességek lehetővé teszik a környezetben észlelt meglévő vagy új számítási példányok egyszerű csatlakoztatását.

Megtudhatja, hogyan védheti meg és csatlakoztathatja AWS-környezetét és GCP-szervezetét Felhőhöz készült Microsoft Defender.

Az ACR-ben Windows rendszerképek beállításjegyzékbeli vizsgálata mostantól támogatja az országos felhőket

Az Azure Government és az Azure China 21Vianet mostantól támogatja Windows rendszerképek beállításjegyzékbeli vizsgálatát. Ez a kiegészítés jelenleg előzetes verzióban érhető el.

További információ a funkció elérhetőségéről.

2022. február

A februári frissítések a következők:

Kubernetes számítási feladatok védelme Arc-kompatibilis Kubernetes-fürtökhöz

A Defender for Containers korábban csak a Azure Kubernetes Service futó Kubernetes számítási feladatokat védte. Most kiterjesztettük a védelmi lefedettséget az Azure Arc-kompatibilis Kubernetes-fürtökre.

Megtudhatja, hogyan állíthatja be a Kubernetes számítási feladatok védelmét az AKS-hez és az Azure Arc-kompatibilis Kubernetes-fürtökhöz.

Natív CSPM a GCP-hez és fenyegetésvédelem a GCP számítási példányokhoz

A GCP-környezetek új, automatizált bevezetése lehetővé teszi a GCP számítási feladatok védelmét Felhőhöz készült Microsoft Defender. Felhőhöz készült Defender az alábbi csomagokkal védi az erőforrásokat:

  • Felhőhöz készült Defender CSPM-funkciói a GCP-erőforrásokra is kiterjednek. Ez az ügynök nélküli csomag a GCP-specifikus biztonsági javaslatoknak megfelelően értékeli a GCP-erőforrásokat, amelyeket a Felhőhöz készült Defender biztosít. A biztonsági pontszám tartalmazza a GCP-javaslatokat, és a rendszer ellenőrzi, hogy az erőforrások megfelelnek-e a beépített GCP CIS-szabványnak. Felhőhöz készült Defender eszközleltárlapja egy többfelhős funkció, amely segít az Erőforrások kezelésében az Azure-ban, az AWS-ben és a GCP-ben.

  • A Microsoft Defender for Servers fenyegetésészlelést és fejlett védelmet biztosít a GCP számítási példányokhoz. Ez a csomag tartalmazza a Végponthoz készült Microsoft Defender integrált licencét, a sebezhetőségi felmérés vizsgálatát és egyebeket.

    Az elérhető szolgáltatások teljes listáját a virtuális gépek és kiszolgálók támogatott szolgáltatásai között találja. Az automatikus előkészítési képességek lehetővé teszik a környezetben észlelt meglévő és új számítási példányok egyszerű csatlakoztatását.

Megtudhatja, hogyan védheti meg és csatlakoztathatja GCP-projektjeit Felhőhöz készült Microsoft Defender.

Előzetes verzióban megjelent a Microsoft Defender for Azure Cosmos DB-csomag

Kiterjesztettük Felhőhöz készült Microsoft Defender adatbázis-lefedettségét. Mostantól engedélyezheti az Azure Cosmos DB-adatbázisok védelmét.

Az Azure Cosmos DB-hez készült Microsoft Defender egy natív Azure-biztonsági réteg, amely észleli az Azure Cosmos DB-fiókokban található adatbázisok kihasználására tett kísérleteket. Az Azure Cosmos DB-hez készült Microsoft Defender észleli a potenciális SQL-injektálásokat, a Microsoft Fenyegetésfelderítésen alapuló ismert rossz szereplőket, a gyanús hozzáférési mintákat, valamint az adatbázis feltört identitásokon vagy rosszindulatú belső felhasználókon keresztül történő potenciális kihasználását.

Folyamatosan elemzi az Azure Cosmos DB-szolgáltatások által generált ügyféladatfolyamot.

Potenciálisan rosszindulatú tevékenységek észlelésekor biztonsági riasztások jönnek létre. Ezek a riasztások Felhőhöz készült Microsoft Defender jelennek meg a gyanús tevékenység részleteivel, valamint a kapcsolódó vizsgálati lépésekkel, szervizelési műveletekkel és biztonsági javaslatokkal együtt.

A szolgáltatás engedélyezése nem befolyásolja az adatbázis teljesítményét, mert az Azure Cosmos DB-hez készült Defender nem fér hozzá az Azure Cosmos DB-fiók adataihoz.

További információ : Bevezetés az Azure Cosmos DB-hez készült Microsoft Defender használatába.

Bevezetünk egy új engedélyezési felületet is az adatbázis-biztonsághoz. Most már engedélyezheti az Felhőhöz készült Microsoft Defender-védelmet az előfizetésében az összes adatbázistípus, például az Azure Cosmos DB, a Azure SQL Database, a Azure SQL-kiszolgálók védelme érdekében, valamint a Microsoft Defendert a nyílt forráskódú relációs adatbázisokhoz egyetlen engedélyezési folyamattal. A csomag konfigurálásával egyes erőforrástípusok belefoglalhatók vagy kizárhatók.

Megtudhatja, hogyan engedélyezheti az adatbázis biztonságát az előfizetés szintjén.

A Google Kubernetes Engine- (GKE-) fürtök fenyegetésvédelme

A Natív CSPM a GCP-hez és a GCP számítási példányok veszélyforrások elleni védelmének bejelentése után a Microsoft Defender for Containers kiterjesztette a Kubernetes fenyegetésvédelmet, a viselkedéselemzést és a beépített belépésvezérlési szabályzatokat a Google Kubernetes Engine (GKE) Standard fürtjeire. Automatikus előkészítési képességeinkkel könnyedén előkészíthet bármilyen meglévő vagy új GKE Standard-fürtöt a környezetbe. Az elérhető funkciók teljes listájáért tekintse meg a Tárolóbiztonság Felhőhöz készült Microsoft Defender című témakört.

2022. január

A januári frissítések a következők:

A Microsoft Defender for Resource Manager új riasztásokkal frissült, és nagyobb hangsúlyt fektetett a MITRE ATTCK-mátrixra&® leképezett nagy kockázatú műveletekre

A felhőfelügyeleti réteg kritikus fontosságú szolgáltatás, amely az összes felhőbeli erőforráshoz kapcsolódik. Emiatt a támadók célpontja is lehet. Javasoljuk, hogy a biztonsági üzemeltetési csapatok szorosan figyeljék az erőforrás-kezelési réteget.

A Microsoft Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit, függetlenül attól, hogy azokat a Azure Portal, az Azure REST API-kkal, az Azure CLI-vel vagy más programozott Azure-ügyfelekkel hajtja végre. Felhőhöz készült Defender speciális biztonsági elemzéseket futtat, hogy észlelje a fenyegetéseket, és riasztásokat küld a gyanús tevékenységekről.

A terv védelme nagy mértékben javítja a szervezet ellenálló képességét a fenyegetést jelentő szereplők támadásai ellen, és jelentősen növeli a Felhőhöz készült Defender által védett Azure-erőforrások számát.

2020 decemberében bevezettük a Defender for Resource Manager előzetes verzióját, és 2021 májusában általánosan elérhetővé tettük a tervet.

Ezzel a frissítéssel átfogóan átdolgoztuk a Microsoft Defender for Resource Manager csomag fókuszát. A frissített terv számos új riasztást tartalmaz, amelyek a magas kockázatú műveletek gyanús meghívásának azonosítására összpontosítanak. Ezek az új riasztások kiterjedt monitorozást biztosítanak a teljesMITRE ATTCK-mátrix&® támadásaihoz a felhőalapú technikák esetében.

Ez a mátrix a következő lehetséges szándékokat fedi le a szervezet erőforrásait célzó fenyegetési szereplők számára: Kezdeti hozzáférés, Végrehajtás, Adatmegőrzés, Jogosultságeszkaláció, Védelmi kijátszás, Hitelesítő adatok elérése, Felderítés, Oldalirányú mozgás, Gyűjtemény, Kiszivárgás és Hatás.

A Defender-tervhez tartozó új riasztások ezeket a szándékokat fedik le az alábbi táblázatban látható módon.

Tipp

Ezek a riasztások a riasztások referenciaoldalán is megjelennek.

Riasztás (riasztás típusa) Description MITRE-taktikák (szándékok) Súlyosság
Nagy kockázatú "Kezdeti hozzáférés" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.InitialAccess)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú műveletről az előfizetésében, ami korlátozott erőforrások elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony elérését. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő ilyen műveleteket használhat a környezet korlátozott erőforrásaihoz való kezdeti hozzáféréshez. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Kezdeti hozzáférés Közepes
Nagy kockázatú "Végrehajtás" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.Execution)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy nagy kockázatú műveletről az előfizetésében lévő gépen, ami kód végrehajtására tett kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások biztonságának sérülésére a környezetben. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Futtatási Közepes
Egy magas kockázatú "Adatmegőrzés" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.Persistence)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú művelettel az előfizetésében, ami az adatmegőrzési kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplők ilyen műveleteket használhatnak a környezetben való megőrzés érdekében. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Kitartás Közepes
Nagy kockázatú "Privilege Escalation" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.PrivilegeEscalation)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt az előfizetésében egy magas kockázatú művelettel, ami a jogosultságok eszkalálására tett kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva eszkalálhatja a jogosultságokat, miközben veszélyeztetheti az erőforrásokat a környezetben. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Jogosultság eszkalációja Közepes
Egy magas kockázatú "Defense Evasion" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.DefenseEvasion)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú műveletről az előfizetésében, ami a védelem megkerülésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetek biztonsági helyzetének hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetések szereplői ilyen műveleteket használhatnak annak érdekében, hogy a rendszer ne észlelje őket, miközben veszélyeztetné az erőforrásokat a környezetben. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Védelmi kijátszás Közepes
Gyanús hívás egy magas kockázatú hitelesítőadat-hozzáférési művelet észlelésekor (előzetes verzió)
(ARM_AnomalousOperation.CredentialAccess)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú műveletről az előfizetésében, ami a hitelesítő adatok elérésére tett kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony elérését. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások biztonságának sérülésére a környezetben. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Hitelesítő adatok elérése Közepes
Nagy kockázatú "Oldalirányú mozgás" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.LateralMovement)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú műveletről az előfizetésében, ami oldalirányú mozgásra tett kísérletet jelezhet. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveleteket kihasználva veszélyeztetheti a környezet további erőforrásait. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Oldalirányú mozgás Közepes
Nagy kockázatú adatgyűjtési művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.Collection)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú műveletről az előfizetésében, ami adatgyűjtési kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetést jelentő szereplő az ilyen műveletek segítségével bizalmas adatokat gyűjthet a környezet erőforrásairól. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Gyűjtemény Közepes
Nagy kockázatú "Hatás" művelet gyanús hívása észlelhető (előzetes verzió)
(ARM_AnomalousOperation.Impact)
A Microsoft Defender for Resource Manager gyanús meghívást észlelt egy magas kockázatú műveletről az előfizetésében, ami konfigurációmódosítási kísérletre utalhat. Az azonosított műveletek célja, hogy lehetővé tegyék a rendszergazdák számára a környezetük hatékony kezelését. Bár ez a tevékenység jogos lehet, a fenyegetést jelölő szereplők ilyen műveleteket használhatnak a korlátozott hitelesítő adatok elérésére és az erőforrások biztonságának sérülésére a környezetben. Ez azt jelezheti, hogy a fiók biztonsága sérült, és rosszindulatú szándékkal használják. Hatás Közepes

Emellett a tervből származó két riasztás már előzetes verzióban is elérhető:

Riasztás (riasztás típusa) Description MITRE-taktikák (szándékok) Súlyosság
Azure Resource Manager művelet gyanús IP-címről
(ARM_OperationFromSuspiciousIP)
A Microsoft Defender for Resource Manager olyan műveletet észlelt egy IP-címről, amely gyanúsként lett megjelölve a fenyegetésfelderítési hírcsatornákban. Futtatási Közepes
Azure Resource Manager-művelet gyanús proxy IP-címről
(ARM_OperationFromSuspiciousProxyIP)
A Microsoft Defender for Resource Manager egy olyan IP-címről észlelt erőforrás-kezelési műveletet, amely a proxyszolgáltatásokhoz, például a TOR-hez van társítva. Bár ez a viselkedés jogos lehet, gyakran rosszindulatú tevékenységekben is előfordul, amikor a fenyegetést jelentő szereplők megpróbálják elrejteni a forrás IP-címét. Védelmi kijátszás Közepes

Javaslatok a Microsoft Defender-csomagok munkaterületeken való engedélyezéséhez (előzetes verzióban)

Ahhoz, hogy kihasználhassa a Microsoft Defender for Servers és a Microsoft Defender for SQL összes biztonsági funkcióját a gépeken, a csomagokat az előfizetés és a munkaterület szintjén is engedélyezni kell.

Ha egy gép olyan előfizetésben van, amelyen engedélyezve van az egyik ilyen csomag, a teljes védelemért fizetnie kell. Ha azonban a gép a terv engedélyezése nélkül küld jelentést egy munkaterületnek, akkor nem fogja ténylegesen megkapni ezeket az előnyöket.

Két javaslatot adtunk hozzá, amelyek kiemelik azokat a munkaterületeket, amelyek nincsenek engedélyezve a csomagokban, de a gépek olyan előfizetésekből jelentenek , amelyeken engedélyezve van a csomag.

A két javaslat, amelyek egyaránt kínálnak automatizált szervizelést (a "Javítás" műveletet), a következők:

Ajánlás Description Súlyosság
A Microsoft Defender for Serverst engedélyezni kell a munkaterületeken A Microsoft Defender for Servers fenyegetésészlelést és fejlett védelmet biztosít a Windows és Linux rendszerű gépekhez.
Ha ez a Defender-csomag engedélyezve van az előfizetésein, de a munkaterületeken nem, akkor a Microsoft Defender for Servers teljes kapacitásáért kell fizetnie, de az előnyök egy részét nem.
Ha egy munkaterületen engedélyezi a Microsoft Defender for Servers szolgáltatást, az adott munkaterületre jelentéssel rendelkező összes gép után a Microsoft Defender for Servers lesz kiszámlázva – még akkor is, ha azok olyan előfizetésekben vannak, amelyeken nincs engedélyezve a Defender-csomagok használata. Ha nem engedélyezi a Microsoft Defender for Servers szolgáltatást az előfizetésben, ezek a gépek nem fogják tudni kihasználni a virtuális gépek igény szerint történő hozzáférését, az adaptív alkalmazásvezérlőket és az Azure-erőforrások hálózatészleléseit.
További információ: A Microsoft Defender for Servers bemutatása.
(Nincs kapcsolódó szabályzat)
Közepes
A gépeken SQL Microsoft Defendert engedélyezni kell a munkaterületeken A Microsoft Defender for Servers fenyegetésészlelést és fejlett védelmet biztosít a Windows és Linux rendszerű gépekhez.
Ha ez a Defender-csomag engedélyezve van az előfizetésein, de a munkaterületeken nem, akkor a Microsoft Defender for Servers teljes kapacitásáért kell fizetnie, de az előnyök egy részét nem.
Ha egy munkaterületen engedélyezi a Microsoft Defender for Servers szolgáltatást, az adott munkaterületre jelentéssel rendelkező összes gép után a Microsoft Defender for Servers lesz kiszámlázva – még akkor is, ha azok olyan előfizetésekben vannak, amelyeken nincs engedélyezve a Defender-csomagok használata. Ha nem engedélyezi a Microsoft Defender for Servers szolgáltatást az előfizetésben, ezek a gépek nem fogják tudni kihasználni a virtuális gépek igény szerint történő hozzáférését, az adaptív alkalmazásvezérlőket és az Azure-erőforrások hálózatészleléseit.
További információ: A Microsoft Defender for Servers bemutatása.
(Nincs kapcsolódó szabályzat)
Közepes

Log Analytics-ügynök automatikus kiépítése Azure Arc-kompatibilis gépekre (előzetes verzió)

Felhőhöz készült Defender a Log Analytics-ügynök használatával gyűjti össze a biztonsággal kapcsolatos adatokat a gépekről. Az ügynök beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat, és elemzés céljából átmásolja az adatokat a munkaterületre.

Felhőhöz készült Defender automatikus kiépítési beállításainak kapcsolója van minden támogatott bővítménytípushoz, beleértve a Log Analytics-ügynököt is.

Hibrid felhőszolgáltatásaink további bővítése során hozzáadtunk egy lehetőséget a Log Analytics-ügynök automatikus kiépítésére az Azure Archoz csatlakoztatott gépeken.

A többi automatikus kiépítési lehetőséghez hasonlóan ez is az előfizetés szintjén van konfigurálva.

Ha engedélyezi ezt a beállítást, a rendszer kérni fogja a munkaterületet.

Megjegyzés

Ebben az előzetes verzióban nem választhatja ki a Felhőhöz készült Defender által létrehozott alapértelmezett munkaterületeket. Annak biztosításához, hogy megkapja az Azure Arc-kompatibilis kiszolgálókhoz elérhető összes biztonsági szolgáltatást, ellenőrizze, hogy a megfelelő biztonsági megoldás telepítve van-e a kiválasztott munkaterületen.

Screenshot of how to auto provision the Log Analytics agent to your Azure Arc-enabled machines.

Elavult a bizalmas adatok besorolására vonatkozó javaslat SQL adatbázisokban

Eltávolítottuk a bizalmas adatokra vonatkozó javaslatot a SQL-adatbázisokban, és annak részeként kell besorolni, hogy Felhőhöz készült Defender hogyan azonosítja és védi a bizalmas dátumokat a felhőbeli erőforrásokban.

Erről a változásról előzetes értesítés jelent meg az elmúlt hat hónapban a fontos közelgő változások Felhőhöz készült Microsoft Defender oldalon.

A következő riasztás korábban csak azoknak a szervezeteknek volt elérhető, amelyek engedélyezték a Microsoft Defender for DNS-csomagot .

Ezzel a frissítéssel a riasztás a Microsoft Defender for Servers vagy a Defender for App Service csomaggal rendelkező előfizetések esetén is megjelenik.

Emellett a Microsoft Threat Intelligence kibővítette az ismert rosszindulatú tartományok listáját, hogy tartalmazza a Log4j-hez társított széles körben nyilvános biztonsági rések kihasználásával társított tartományokat.

Riasztás (riasztás típusa) Description MITRE-taktikák Súlyosság
Kommunikáció a fenyegetésfelderítés által azonosított gyanús tartománnyal
(AzureDNS_ThreatIntelSuspectDomain)
A gyanús tartománnyal folytatott kommunikációt az erőforrás DNS-tranzakcióinak elemzésével és a fenyegetésfelderítési hírcsatornák által azonosított ismert rosszindulatú tartományokkal való összehasonlítással észleltük. A rosszindulatú tartományokkal való kommunikációt gyakran a támadók végzik, ami azt jelentheti, hogy az erőforrás biztonsága sérül. Kezdeti hozzáférés / Adatmegőrzés / Végrehajtás / Parancs és ellenőrzés / Hasznosítás Közepes

"Riasztás JSON másolása" gomb hozzáadva a biztonsági riasztás részletei panelhez

Annak érdekében, hogy a felhasználók gyorsan megoszthassák egy riasztás részleteit másokkal (például SOC-elemzőkkel, erőforrás-tulajdonosokkal és fejlesztőkkel), hozzáadtuk azt a képességet, hogy egy adott riasztás összes részletét egyszerűen kinyerjük egy gombbal a biztonsági riasztás részleteit tartalmazó panelről.

Az új JSON-értesítés másolása gomb JSON formátumban helyezi el a riasztás részleteit a felhasználó vágólapjára.

Screenshot of the 'Copy alert JSON' button in the alert details pane.

Két javaslat átnevezve

A többi javaslat nevével való konzisztenciáért az alábbi két javaslatot neveztük át:

  • Javaslat a tárolólemezképek futtatása során felfedezett biztonsági rések megoldására

    • Előző név: A tárolórendszerképek futtatásának biztonsági réseit ki kell javítani (a Qualys működteti)
    • Új név: A tárolólemezképek futtatásakor meg kell oldani a biztonságirés-megállapításokat
  • Javaslat a diagnosztikai naplók engedélyezésére Azure App Service

    • Előző név: A diagnosztikai naplókat engedélyezni kell a App Service
    • Új név: Engedélyezni kell a diagnosztikai naplókat App Service

Az elavult Kubernetes-fürttárolóknak csak az engedélyezett portokra vonatkozó szabályzatot kell figyelnie

A Kubernetes-fürttárolók elavultak, csak az engedélyezett portokra vonatkozó javaslatok figyelése javasolt .

Házirend neve Description Effektus(ok) Verzió
A Kubernetes-fürttárolóknak csak az engedélyezett portokon kell figyelnie Korlátozza a tárolókat, hogy csak az engedélyezett portokon figyeljenek a Kubernetes-fürthöz való hozzáférés biztonságossá tételéhez. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. naplózás, megtagadás, letiltva 6.1.2

A szolgáltatásoknak figyelnie kell az engedélyezett portokat, és csak az alkalmazás által az interneten elérhetővé tenni kívánt portok korlátozására kell javaslatot használni.

"Aktív riasztás" munkafüzet hozzáadva

Annak érdekében, hogy segítsünk a felhasználóknak megérteni a környezetüket fenyegető aktív fenyegetéseket, és rangsorolni tudjuk az aktív riasztások között a szervizelési folyamat során, hozzáadtuk az Aktív riasztások munkafüzetet.

Screenshot showing the addition of the Active alerts workbook.

Az aktív riasztások munkafüzete lehetővé teszi, hogy a felhasználók egységes irányítópultot tekintsenek meg az összesített riasztásaikról súlyosság, típus, címke, MITRE ATTCK& taktikák és hely szerint. További információ : Az Aktív riasztások munkafüzet használata.

"Rendszerfrissítés" javaslat hozzáadva a kormányzati felhőhöz

A "Rendszerfrissítéseket telepíteni kell a gépekre" javaslat mostantól minden kormányzati felhőben elérhető.

Valószínű, hogy ez a módosítás hatással lesz a kormányzati felhőbeli előfizetés biztonsági pontszámára. A változás várhatóan alacsonyabb pontszámot eredményez, de előfordulhat, hogy a javaslat belefoglalása bizonyos esetekben magasabb pontszámot eredményezhet.

2021. december

A decemberi frissítések a következők:

Általánosan elérhető Microsoft Defender for Containers-csomag (GA)

Több mint két évvel ezelőtt bevezettük a Kuberneteshez készült Defendert és a tárolóregisztrációs adatbázisokhoz készült Defendert az Azure Defender Felhőhöz készült Microsoft Defender belüli ajánlatának részeként.

A Microsoft Defender for Containers kiadásával egyesítettük ezt a két meglévő Defender-csomagot.

Az új csomag:

  • Egyesíti a két meglévő csomag funkcióit – a Kubernetes-fürtök fenyegetésészlelését és a tárolóregisztrációs adatbázisokban tárolt rendszerképek sebezhetőségi felmérését
  • Új és továbbfejlesztett funkciókat kínál – többek között a többfelhős támogatást, a gazdagépszintű fenyegetésészlelést több mint hatvan új Kubernetes-felismerő analitikával, valamint a rendszerképek futtatására szolgáló sebezhetőségi felmérést
  • Bevezeti a Kubernetes natív, nagy léptékű előkészítését – alapértelmezés szerint, amikor engedélyezi a tervet, a rendszer az összes releváns összetevőt automatikus üzembe helyezésre konfigurálja

Ebben a kiadásban a Kuberneteshez készült Defender és a Tárolóregisztrációs adatbázisokhoz készült Defender rendelkezésre állása és bemutatása az alábbiak szerint változott:

  • Új előfizetések – A korábbi két tárolócsomag már nem érhető el
  • Meglévő előfizetések – Bárhol is jelenjenek meg a Azure Portal, a csomagok elavultként jelennek meg, és útmutatást adnak az újabb csomagra való frissítéshezDefender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

Az új csomag 2021 decemberében ingyenes. A régi csomagok számlázásának lehetséges változásairól a Defender for Containers szolgáltatásra vonatkozóan, valamint a csomaggal bevezetett előnyökről további információt a Microsoft Defender for Containers bemutatása című témakörben talál.

További információkért lásd:

Új riasztások a Microsoft Defender for Storage általánosan elérhető verziójához (GA)

A fenyegetést jelentő aktorok eszközöket és szkripteket használnak a nyilvánosan megnyitott tárolók kereséséhez abban a reményben, hogy bizalmas adatokat tartalmazó, helytelenül konfigurált nyílt tárolókat találnak.

A Microsoft Defender for Storage észleli ezeket a szkennereket, így letilthatja őket, és kijavíthatja a testtartását.

Az ezt észlelő előzetes verziójú riasztás neve "Nyilvános tárolók névtelen vizsgálata". A felderített gyanús események egyértelműbb megismerése érdekében ezt két új riasztásra osztottuk. Ezek a riasztások csak Azure Blob Storage relevánsak.

Továbbfejlesztettük az észlelési logikát, frissítettük a riasztás metaadatait, és módosítottuk a riasztás nevét és típusát.

Ezek az új riasztások:

Riasztás (riasztás típusa) Description MITRE-taktika Súlyosság
A nyilvánosan elérhető tárolók felderítve sikeresen észlelhetők
(Storage. Blob_OpenContainersScanning.SuccessfulDiscovery)
A tárfiókban lévő nyilvánosan megnyitott tároló(k) sikeres felderítését egy ellenőrző szkript vagy eszköz hajtotta végre az elmúlt órában.

Ez általában felderítési támadásra utal, ahol a fenyegetést jelentő szereplő tárolónevek kitalálásával próbál blobokat listázni, abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó nyílt tárolókat talál.

A fenyegetést jelentő szereplő használhatja a saját szkriptjét, vagy használhatja az ismert vizsgálati eszközöket, például a Microburstot a nyilvánosan megnyitott tárolók kereséséhez.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Gyűjtemény Közepes
A nyilvánosan elérhető tárolók vizsgálata sikertelen
(Storage. Blob_OpenContainersScanning.FailedAttempt)
Az elmúlt órában sikertelen kísérleteket hajtottak végre a nyilvánosan megnyitott tárolók keresésére.

Ez általában felderítési támadásra utal, ahol a fenyegetést jelentő szereplő tárolónevek kitalálásával próbál blobokat listázni, abban a reményben, hogy helytelenül konfigurált, bizalmas adatokat tartalmazó nyílt tárolókat talál.

A fenyegetést jelentő szereplő használhatja a saját szkriptjét, vagy használhatja az ismert vizsgálati eszközöket, például a Microburstot a nyilvánosan megnyitott tárolók kereséséhez.

✔ Azure Blob Storage
✖ Azure Files
✖ Azure Data Lake Storage Gen2
Gyűjtemény Alacsony

További információkért lásd:

A Microsoft Defender for Storage riasztásainak fejlesztései

A kezdeti hozzáférési riasztások mostantól nagyobb pontossággal és több adattal rendelkeznek a vizsgálat támogatásához.

A fenyegetésészlelők a kezdeti hozzáférés során különböző technikákat használnak a hálózaton belüli lábtartáshoz. A Microsoft Defender for Storage azon riasztásai közül kettő, amelyek ebben a szakaszban viselkedési anomáliákat észlelnek, továbbfejlesztett észlelési logikával és további adatokkal rendelkeznek a vizsgálatok támogatásához.

Ha korábban már konfigurált automatizálásokat vagy meghatározott riasztáselnyomási szabályokat ezekhez a riasztásokhoz, frissítse őket a változásoknak megfelelően.

Hozzáférés észlelése a Tor kilépési csomópontjáról

A Tor kilépési csomópontjáról való hozzáférés azt jelezheti, hogy egy fenyegetést jelentő szereplő megpróbálja elrejteni az identitását.

A riasztás most már úgy van hangolva, hogy csak hitelesített hozzáféréshez generáljon, ami nagyobb pontosságot és megbízhatóságot eredményez, hogy a tevékenység rosszindulatú. Ez a fejlesztés csökkenti a jóindulatú pozitív arányt.

A kifelé irányuló minták súlyossága magas, míg a kevésbé rendellenes minták közepes súlyosságúak lesznek.

A riasztás neve és leírása frissült. Az AlertType változatlan marad.

  • Riasztás neve (régi): Hozzáférés Tor kilépési csomópontjáról egy tárfiókhoz
  • Riasztás neve (új): Hitelesített hozzáférés a Tor kilépési csomópontjáról
  • Riasztástípusok: Storage. Blob_TorAnomaly/ Storage. Files_TorAnomaly
  • Leírás: A tárfiókban található egy vagy több tároló vagy fájlmegosztás sikeresen el lett érve a Tor aktív kilépési csomópontjának (egy anonimizáló proxynak) nevezett IP-címről. A fenyegetéskezelők a Tor használatával megnehezítik a tevékenység visszakövetését. A Tor kilépési csomópontjáról való hitelesített hozzáférés valószínűleg azt jelzi, hogy a fenyegetést okozó szereplő megpróbálja elrejteni az identitását. A következőkre vonatkozik: Azure Blob Storage, Azure Files, Azure Data Lake Storage Gen2
  • MITRE-taktika: Kezdeti hozzáférés
  • Súlyosság: Magas/Közepes

Szokatlan, nem hitelesített hozzáférés

A hozzáférési minták változása azt jelezheti, hogy a fenyegetést jelentő szereplő kihasználhatta a tárolók nyilvános olvasási hozzáférését a hozzáférési konfigurációk hibájának kihasználásával vagy a hozzáférési engedélyek módosításával.

Ez a közepes súlyosságú riasztás mostantól továbbfejlesztett viselkedési logikával, nagyobb pontossággal és megbízhatóan van hangolva, hogy a tevékenység rosszindulatú. Ez a fejlesztés csökkenti a jóindulatú pozitív arányt.

A riasztás neve és leírása frissült. Az AlertType változatlan marad.

  • Riasztás neve (régi): Névtelen hozzáférés tárfiókhoz
  • Riasztás neve (új): Szokatlan, nem hitelesített hozzáférés egy tárolóhoz
  • Riasztástípusok: Storage. Blob_AnonymousAccessAnomaly
  • Leírás: Ezt a tárfiókot hitelesítés nélkül érték el, ami a közös hozzáférési minta változása. A tároló olvasási hozzáférése általában hitelesítve van. Ez azt jelezheti, hogy a fenyegetést jelentő szereplő képes volt kihasználni a tárfiók(ok)ban található tároló(k) nyilvános olvasási hozzáférését. A következőkre vonatkozik: Azure Blob Storage
  • MITRE-taktika: Gyűjtemény
  • Súlyosság: Közepes

További információkért lásd:

A "PortSweeping" riasztás el lett távolítva a hálózati réteg riasztásaiból

A következő riasztás el lett távolítva a hálózati réteg riasztásaiból a hatékonysági hiányosságok miatt:

Riasztás (riasztás típusa) Description MITRE-taktikák Súlyosság
Lehetséges kimenőport-vizsgálati tevékenység észlelhető
(PortSweeping)
A hálózati forgalom elemzése gyanús kimenő forgalmat észlelt a(z) %{Feltört gazdagép} felől. Ez a forgalom portvizsgálati tevékenység eredménye lehet. Ha a sérült erőforrás egy terheléselosztó vagy alkalmazásátjáró, a feltételezett kimenő forgalom a háttérkészlet egy vagy több erőforrásához (a terheléselosztóhoz vagy az Application Gatewayhez) érkezett. Ha ez a viselkedés szándékos, vegye figyelembe, hogy a portvizsgálat az Azure szolgáltatási feltételein van. Ha ez a viselkedés nem szándékos, az azt jelentheti, hogy az erőforrás biztonsága sérült. Felderítés Közepes

2021. november

Az Ignite kiadás a következőket tartalmazza:

A novemberi változások közé tartoznak a következők:

Azure Security Center és az Azure Defender Felhőhöz készült Microsoft Defender

A 2021-ben készült State of the Cloud (A felhő állapota) jelentés szerint a szervezetek 92%-a már többfelhős stratégiával rendelkezik. A Microsoftnál az a célunk, hogy központosítsuk a biztonságot ezekben a környezetekben, és segítsük a biztonsági csapatokat a hatékonyabb munkavégzésben.

Felhőhöz készült Microsoft Defender (korábbi nevén Azure Security Center és Azure Defender) egy felhőbiztonsági helyzetkezelési (CSPM) és felhőbeli számítási feladatok védelmére (CWP) épülő megoldás, amely feltárja a felhőkonfiguráció gyengeségeit, segít megerősíteni a környezet általános biztonsági állapotát, és védelmet nyújt a számítási feladatoknak a teljes felhőkonfigurációban többfelhős és hibrid környezetek.

Az Ignite 2019-ben megosztottuk elképzelésünket, hogy a lehető legteljesebb megközelítést hozzuk létre a digitális tulajdon védelméhez és az XDR-technológiák Integrálásához a Microsoft Defender márkanév alatt. Az Azure Security Center és az Azure Defender új néven Felhőhöz készült Microsoft Defender egységesítése a biztonsági ajánlatunk integrált képességeit és a felhőplatformok támogatásának képességét tükrözi.

Natív CSPM az AWS-hez és fenyegetésvédelem az Amazon EKS-hez és az AWS EC2-höz

Az új környezeti beállításokat tartalmazó lap nagyobb átláthatóságot és vezérlést biztosít a felügyeleti csoportok, előfizetések és AWS-fiókok felett. A lap úgy lett kialakítva, hogy nagy méretekben regisztrálja az AWS-fiókokat: csatlakoztassa az AWS-felügyeleti fiókot, és automatikusan előkészítse a meglévő és a jövőbeli fiókokat.

Use the new environment settings page to connect your AWS accounts.

Az AWS-fiókok hozzáadásakor Felhőhöz készült Defender az AWS-erőforrásokat az alábbi csomagok bármelyikével vagy mindegyikével védi:

  • Felhőhöz készült Defender CSPM-funkciói az AWS-erőforrásokra is kiterjednek. Ez az ügynök nélküli csomag az AWS-specifikus biztonsági javaslatok alapján értékeli az AWS-erőforrásokat, és ezek szerepelnek a biztonsági pontszámban. Az erőforrásokat az AWS-hez (AWS CIS, AWS PCI DSS és AWS foundational security best Practices) tartozó beépített szabványoknak való megfelelés szempontjából is értékelni fogjuk. Felhőhöz készült Defender eszközleltár-oldala egy többfelhős funkció, amely segít az AWS-erőforrások és az Azure-erőforrások kezelésében.
  • A Kuberneteshez készült Microsoft Defender kiterjeszti tárolófenyegetések észlelését és fejlett védelmét az Amazon EKS Linux-fürtökre.
  • A Microsoft Defender for Servers fenyegetésészlelést és fejlett védelmet biztosít a Windows- és Linux EC2-példányokhoz. Ez a csomag tartalmazza a Végponthoz készült Microsoft Defender integrált licencét, a biztonsági alapkonfigurációkat és az operációsrendszer-szintű értékeléseket, a sebezhetőségi felmérés vizsgálatát, az adaptív alkalmazásvezérlőket (AAC), a fájlintegritási monitorozást (FIM) és egyebeket.

További információ az AWS-fiókok Felhőhöz készült Microsoft Defender való csatlakoztatásáról.

Biztonsági műveletek rangsorolása adatérzékenység alapján (a Microsoft Purview-ban) (előzetes verzióban)

Az adaterőforrások továbbra is népszerű célpontok a fenyegetést jelentő szereplők számára. Ezért kulcsfontosságú, hogy a biztonsági csapatok azonosíthassák, rangsorolhassák és biztonságossá tehessék a bizalmas adaterőforrásokat a felhőkörnyezeteikben.

A feladat megoldása érdekében Felhőhöz készült Microsoft Defender mostantól integrálja a Microsoft Purview bizalmassági adatait. A Microsoft Purview egy egységes adatszabályozási szolgáltatás, amely részletes betekintést nyújt a többfelhős és helyszíni számítási feladatokban lévő adatok bizalmasságába.

A Microsoft Purview integrációja kibővíti a biztonsági láthatóságot Felhőhöz készült Defender az infrastruktúra szintjétől az adatokig, így teljesen új módon rangsorolhatja az erőforrásokat és a biztonsági tevékenységeket a biztonsági csapatok számára.

További információ a biztonsági műveletek adatérzékenység szerinti rangsorolásával foglalkozó témakörben.

Kibővített biztonsági vezérlési értékelések az Azure Security Benchmark v3 használatával

Felhőhöz készült Microsoft Defender biztonsági javaslatait az Azure biztonsági teljesítménytesztje engedélyezi és támogatja.

Az Azure Security Benchmark a Microsoft által létrehozott, azure-specifikus irányelvkészlet a közös megfelelőségi keretrendszereken alapuló biztonsági és megfelelőségi ajánlott eljárásokhoz. Ez a széles körben elismert teljesítményteszt a Center for Internet Security (CIS) és a National Institute of Standards and Technology (NIST) vezérlőire épül, a felhőközpontú biztonságra összpontosítva.

Az Ignite 2021-től az Azure Security Benchmark v3elérhető Felhőhöz készült Defender szabályozási megfelelőségi irányítópultján, és az új alapértelmezett kezdeményezésként van engedélyezve a Felhőhöz készült Microsoft Defender védett Azure-előfizetésekhez.

A v3 fejlesztései a következők:

  • További leképezések a PCI-DSS v3.2.1 és a CIS Controls v8 iparági keretrendszerekhez.

  • Részletesebb és végrehajtható útmutatás a vezérlőkhöz az alábbiak bevezetésével:

    • Biztonsági alapelvek – Betekintést nyújt a javaslatok alapjául szolgáló általános biztonsági célkitűzésekbe.
    • Azure-útmutató – Technikai útmutató a célkitűzések teljesítéséhez.
  • Az új vezérlők közé tartozik a DevOps-biztonság olyan problémák esetén, mint a fenyegetésmodellezés és a szoftverellátási lánc biztonsága, valamint kulcs- és tanúsítványkezelés az Ajánlott eljárásokhoz az Azure-ban.

További információ az Azure Security Benchmark bemutatása című témakörben.

A Microsoft Sentinel-összekötő opcionális kétirányú riasztás-szinkronizálása általánosan elérhető (GA)

Júliusban bejelentettük a Microsoft Sentinel beépített összekötőjének (a Microsoft natív felhőalapú SIEM- és SOAR-megoldásának) előzetes funkcióját, a kétirányú riasztások szinkronizálását. Ez a funkció mostantól általánosan elérhető .

Amikor Felhőhöz készült Microsoft Defender csatlakozik a Microsoft Sentinelhez, a rendszer szinkronizálja a biztonsági riasztások állapotát a két szolgáltatás között. Így például ha egy riasztás bezárul Felhőhöz készült Defender, az a Microsoft Sentinelben is bezártként jelenik meg. A riasztás állapotának módosítása Felhőhöz készült Defender nem befolyásolja a szinkronizált Microsoft Sentinel-riasztást tartalmazó Microsoft Sentinel-incidensek állapotát, csak magát a szinkronizált riasztást.

Ha engedélyezi a kétirányú riasztások szinkronizálását, automatikusan szinkronizálja az eredeti Felhőhöz készült Defender riasztások állapotát olyan Microsoft Sentinel-incidensekkel, amelyek a Felhőhöz készült Defender riasztások másolatait tartalmazzák. Így például ha egy Felhőhöz készült Defender riasztást tartalmazó Microsoft Sentinel-incidens bezárul, Felhőhöz készült Defender automatikusan bezárja a megfelelő eredeti riasztást.

További információ Csatlakozás Azure Defender-riasztásokról Azure Security Center ésStream-riasztásokról az Azure Sentinelbe.

Új javaslat Azure Kubernetes Service (AKS) naplók Sentinelbe való leküldésére

A Felhőhöz készült Defender és a Microsoft Sentinel együttes értékének továbbfejlesztése érdekében most olyan Azure Kubernetes Service példányokat emelünk ki, amelyek nem küldenek naplóadatokat a Microsoft Sentinelnek.

A SecOps-csapatok közvetlenül a javaslat részletei oldalon választhatják ki a megfelelő Microsoft Sentinel-munkaterületet, és azonnal engedélyezhetik a nyers naplók streamelését. A két termék közötti zökkenőmentes kapcsolat megkönnyíti a biztonsági csapatok számára, hogy teljes naplózási lefedettséget biztosítsanak a számítási feladataikon, hogy a teljes környezetükön maradjanak.

A "Diagnosztikai naplók engedélyezése a Kubernetes-szolgáltatásokban" új javaslat tartalmazza a "Javítás" lehetőséget a gyorsabb szervizelés érdekében.

A Sentinel streamelési képességeivel bővítettük a "Naplózás SQL kiszolgálón engedélyezni kell" javaslatot is.

Javaslatok a MITRE ATT-re& van leképezve CK-keretrendszer® – általánosan elérhető (GA)

Továbbfejlesztettük Felhőhöz készült Defender biztonsági javaslatait, hogy megjelenítsük álláspontjukat a MITRE ATTCK-keretrendszerben&®. Ez a globálisan elérhető tudásbázis valós megfigyeléseken alapuló fenyegetési szereplők taktikái és technikái több kontextust biztosítanak a környezettel kapcsolatos javaslatok kockázatainak megértéséhez.

Ezeket a taktikákat bárhol megtalálhatja, ahol a javaslati információkhoz fér hozzá:

  • Az Azure Resource Graph vonatkozó javaslatok lekérdezési eredményei közé tartozik a MITRE ATT& CK-taktikák® és technikák.

  • A javaslat részleteit tartalmazó oldalak az összes releváns javaslat leképezését jelenítik meg:

    Screenshot of the MITRE tactics mapping for a recommendation.

  • A Felhőhöz készült Defender javaslatok lapja egy új szűrővel rendelkezik, amely a hozzájuk tartozó taktikának megfelelően választja ki a javaslatokat:

További információ a biztonsági javaslatok áttekintésében.

Biztonságirés-felmérési megoldásként hozzáadott Microsoft Threat and Vulnerability Management – általánosan elérhető (GA)

Októberben bejelentettük a Microsoft Defender for Servers és a Végponthoz készült Microsoft Defender közötti integráció kiterjesztését, amely egy új biztonságirés-felmérési szolgáltatót támogat a gépekhez: a Microsoft Veszélyforrás- és biztonságirés-kezelés. Ez a funkció mostantól általánosan elérhető .

A Veszélyforrás- és biztonságirés-kezelés segítségével közel valós időben felderítheti a biztonsági réseket és a helytelen konfigurációkat az Végponthoz készült Microsoft Defender-kompatibilis integrációval, további ügynökök vagy rendszeres vizsgálatok nélkül. A fenyegetések és biztonságirés-kezelés a szervezet fenyegetési környezete és észlelése alapján rangsorolja a biztonsági réseket.

Használja a "Sebezhetőség-felmérési megoldást engedélyezni kell a virtuális gépeken" biztonsági javaslatot a támogatott gépek Veszélyforrás- és biztonságirés-kezelés által észlelt biztonsági rések feltárásához.

A biztonsági rések automatikus felszínre hozásához a meglévő és az új gépeken anélkül, hogy manuálisan kellene kijavítani a javaslatot, tekintse meg, hogy a sebezhetőségi felmérési megoldások mostantól automatikusan engedélyezhetők (előzetes verzióban).

További információ az Végponthoz készült Microsoft Defender Veszélyforrás- és biztonságirés-kezelés gyenge pontjainak vizsgálatával kapcsolatban.

Végponthoz készült Microsoft Defender Linux rendszeren mostantól támogatott a Microsoft Defender for Servers – általánosan elérhető (GA)

Augusztusban bejelentettük, hogy előzetes verzióban támogatott a Defender for Endpoint for Linux-érzékelő telepítése a támogatott Linux-gépeken. Ez a funkció mostantól általánosan elérhető .

A Microsoft Defender for Servers tartalmaz egy integrált licencet Végponthoz készült Microsoft Defender. Ezek együttesen átfogó végponti észlelés és reagálás (EDR) képességeket biztosítanak.

Amikor a Defender for Endpoint fenyegetést észlel, riasztást aktivál. A riasztás Felhőhöz készült Defender jelenik meg. A Felhőhöz készült Defender a Defender for Endpoint konzolhoz is forgathat, és részletes vizsgálatot végezhet a támadás hatókörének felderítéséhez.

További információ a végpontok védelméről a Security Center integrált EDR megoldásával: Végponthoz készült Microsoft Defender.

Pillanatkép exportálása javaslatokhoz és biztonsági eredményekhez (előzetes verzióban)

Felhőhöz készült Defender részletes biztonsági riasztásokat és javaslatokat hoz létre. Megtekintheti őket a portálon vagy programozott eszközökkel. Előfordulhat, hogy ezeket az információkat exportálnia kell a környezet más monitorozási eszközeivel való nyomon követés céljából.

Felhőhöz készült Defender folyamatos exportálási funkciójával teljes mértékben testre szabhatja, hogy mi lesz exportálva, és hová kerül. További információ: Felhőhöz készült Microsoft Defender adatok folyamatos exportálása.

Annak ellenére, hogy a funkciót folyamatosnak nevezik, lehetősége van heti pillanatképek exportálására is. Eddig ezek a heti pillanatképek a biztonságos pontszámra és a jogszabályi megfelelőségi adatokra korlátozódtak. Hozzáadtuk a javaslatokat és a biztonsági megállapításokat exportáló képességet.

Általánosan elérhető sebezhetőségi felmérési megoldások automatikus kiépítése

Októberben bejelentettük, hogy sebezhetőségi felmérési megoldásokat adunk hozzá Felhőhöz készült Defender automatikus kiépítési oldalához. Ez az Azure Defender for Servers által védett előfizetésekben lévő Azure-beli virtuális gépekre és Azure Arc-gépekre vonatkozik. Ez a funkció mostantól általánosan elérhető .

Ha a Végponthoz készült Microsoft Defender integrációja engedélyezve van, Felhőhöz készült Defender a sebezhetőségi felmérési megoldások közül választhat:

  • (ÚJ) A Microsoft Veszélyforrás- és biztonságirés-kezelés Végponthoz készült Microsoft Defender modulja (lásd a kibocsátási megjegyzést)
  • Az integrált Qualys-ügynök

A választott megoldás automatikusan engedélyezve lesz a támogatott gépeken.

További információ: Sebezhetőségi felmérés automatikus konfigurálása a gépekhez.

Az eszközleltárban általánosan elérhető szoftverleltár-szűrők (GA)

Októberben bejelentettük az eszközleltár oldal új szűrőit, amelyek kiválasztják az adott szoftvereket futtató gépeket , sőt, meg is adják az érdeklődésre számot tartó verziókat. Ez a funkció mostantól általánosan elérhető .

A szoftverleltár adatait az Azure Resource Graph Explorerben kérdezheti le.

Ezeknek a funkcióknak a használatához engedélyeznie kell az integrációt Végponthoz készült Microsoft Defender.

További részletekért, beleértve az Azure Resource Graph Kusto-lekérdezéseinek mintáját, tekintse meg az Access szoftverleltárát.

Új AKS biztonsági szabályzat hozzáadva az alapértelmezett kezdeményezéshez – csak privát előzetes verziós ügyfelek számára

Annak biztosítása érdekében, hogy a Kubernetes számítási feladatai alapértelmezés szerint biztonságosak legyenek, Felhőhöz készült Defender Kubernetes-szintű szabályzatokat és megerősített javaslatokat tartalmaz, beleértve a Kubernetes belépés-vezérlésére vonatkozó kényszerítési lehetőségeket.

A projekt részeként hozzáadtunk egy szabályzatot és javaslatokat (alapértelmezés szerint le van tiltva) a Kubernetes-fürtökön való üzembe helyezés letiltására. A szabályzat az alapértelmezett kezdeményezés része, de csak a kapcsolódó privát előzetes verzióra regisztráló szervezetek számára releváns.

Nyugodtan figyelmen kívül hagyhatja a szabályzatokat és a javaslatokat ("A Kubernetes-fürtöknek a sebezhető képek üzembe helyezését meg kell akadályoznia), és ez nem lesz hatással a környezetre.

Ha részt szeretne venni a privát előzetes verzióban, a privát előzetes verziós kör tagjának kell lennie. Ha még nem tagja, küldjön ide egy kérelmet. A tagok értesítést kapnak az előzetes verzió kezdetekor.

A helyszíni gépek leltárkijelzése eltérő sablont alkalmaz az erőforrásnévhez

Az eszközleltár erőforrásainak megjelenítésének javítása érdekében eltávolítottuk a "source-computer-IP" elemet a helyszíni gépek elnevezésére szolgáló sablonból.

  • Előző formátum:machine-name_source-computer-id_VMUUID
  • Ebből a frissítésből:machine-name_VMUUID