Supporto e prerequisiti per il comportamento di sicurezza compatibile con i dati
Esaminare i requisiti in questa pagina prima di configurare il comportamento di sicurezza compatibile con i dati in Microsoft Defender per il cloud.
Abilitazione dell'individuazione dei dati sensibili
L'individuazione dei dati sensibili è disponibile nei piani di Defender CSPM, Defender per Archiviazione e Defender per database.
- Quando si abilita uno dei piani, l'estensione per l'individuazione dei dati sensibili viene attivata come parte del piano.
- Se sono in esecuzione piani esistenti, l'estensione è disponibile, ma disattivata per impostazione predefinita.
- Lo stato del piano esistente viene visualizzato come "Parziale" anziché "Completo" se una o più estensioni non sono attivate.
- La funzionalità è attivata a livello di sottoscrizione.
- Se l'individuazione dei dati sensibili è attivata, ma Defender CSPM non è abilitato, verranno analizzate solo le risorse di archiviazione.
- Se una sottoscrizione è abilitata con Defender CSPM e in parallelo sono state analizzate le stesse risorse con Purview, il risultato dell'analisi di Purview viene ignorato e per impostazione predefinita viene visualizzato il risultato dell'analisi del Microsoft Defender per il cloud per il tipo di risorsa supportato.
Che cosa viene supportato?
La tabella riepiloga il supporto per la gestione del comportamento compatibile con i dati.
| Supporto | Dettagli |
|---|---|
| Quali risorse dati di Azure è possibile individuare? | Archiviazione oggetti: Bloccare gli account di archiviazione BLOB in Archiviazione di Azure v1/v2 Azure Data Lake Storage Gen2 Archiviazione sono supportati gli account dietro le reti private. Archiviazione sono supportati gli account crittografati con una chiave lato server gestita dal cliente. Gli account non sono supportati se una di queste impostazioni è abilitata: Archiviazione account è definito come zona DNS di Azure; All'endpoint dell'account di archiviazione è associato un dominio personalizzato. Database Database SQL di Azure |
| Quali risorse dati AWS è possibile individuare? | Archiviazione oggetti: Bucket di AWS S3 Defender per il cloud possibile individuare i dati crittografati Servizio di gestione delle chiavi, ma non i dati crittografati con una chiave gestita dal cliente. Database - Amazon Aurora - Amazon RDS per PostgreSQL - Amazon RDS per MySQL - Amazon RDS per MariaDB - Amazon RDS per SQL Server (non personalizzato) - Amazon RDS per Oracle Database (solo edizione edizione Standard 2 non personalizzata) Prerequisiti e limitazioni: - È necessario abilitare i backup automatizzati. - Il ruolo IAM creato per scopi di analisi (DefenderForCloud-DataSecurityPostureDB per impostazione predefinita) deve avere le autorizzazioni per la chiave Servizio di gestione delle chiavi usata per la crittografia dell'istanza di Servizi Desktop remoto. - Non è possibile condividere uno snapshot del database che usa un gruppo di opzioni con opzioni permanenti o persistenti, ad eccezione delle istanze di Oracle DB con l'opzione Fuso orario o OLS (o entrambi). Ulteriori informazioni |
| Quali risorse dati GCP è possibile individuare? | Bucket di archiviazione GCP Classe Standard Area geografica: area geografica, doppia area, più aree |
| Quali autorizzazioni sono necessarie per l'individuazione? | account Archiviazione: proprietario della sottoscrizione or Microsoft.Authorization/roleAssignments/* (lettura, scrittura, eliminazione) eMicrosoft.Security/pricings/* (lettura, scrittura, eliminazione) eMicrosoft.Security/pricings/SecurityOperators (lettura, scrittura)Bucket Amazon S3 e istanze di Servizi Desktop remoto: autorizzazione dell'account AWS per eseguire Cloud Formation (per creare un ruolo). Bucket di archiviazione GCP: autorizzazione dell'account Google per eseguire lo script (per creare un ruolo). |
| Quali tipi di file sono supportati per l'individuazione dei dati sensibili? | Tipi di file supportati (non è possibile selezionare un subset): .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
| Quali aree di Azure sono supportate? | È possibile individuare gli account di archiviazione di Azure in: Asia orientale; Asia sud-orientale; Australia centrale; Australia centrale 2; Australia orientale; Australia sud-orientale; Brasile meridionale; Brasile sud-orientale; Canada centrale; Canada orientale; Europa settentrionale; Europa occidentale; Francia centrale; Francia meridionale; Germania settentrionale; Germania centro-occidentale; India centrale; India meridionale; Giappone orientale; Giappone occidentale; Jio India Occidentale; Corea centrale; Corea del Sud; Norvegia orientale; Norvegia occidentale; Sudafrica settentrionale; Sudafrica occidentale; Svezia centrale; Svizzera settentrionale; Svizzera occidentale; Emirati Arabi Uniti settentrionali; Regno Unito meridionale; Regno Unito occidentale; Stati Uniti centrali; Stati Uniti orientali; Stati Uniti orientali 2; Stati Uniti centro-settentrionali; Stati Uniti centro-meridionali; Stati Uniti occidentali; Stati Uniti occidentali 2; Stati Uniti occidentali 3; Stati Uniti centro-occidentali; È possibile individuare database SQL di Azure in qualsiasi area in cui sono supportati i database SQL di Azure e CsPm di Defender. |
| Quali aree AWS sono supportate? | S3: Asia Pacifico (Mumbai); Asia Pacifico (Singapore); Asia Pacifico (Sydney); Asia Pacifico (Tokyo); Canada (Montreal); Europa (Francoforte); Europa (Irlanda); Europa (Londra); Europa (Parigi); Europa (Stoccolma); Sud America (San Paolo); Stati Uniti orientali (Ohio); Stati Uniti orientali (N. Virginia); Stati Uniti occidentali (N. California): Stati Uniti occidentali (Oregon). RDS: Africa (Città del Capo); Asia Pacifico (HONG KONG SAR); Asia Pacifico (): Asia Pacifico (Melbourne); Asia Pacifico (Mumbai); Asia Pacifico (Osaka); Asia Pacifico (Seoul); Asia Pacifico (Singapore); Asia Pacifico (Sydney); Asia Pacifico (Tokyo); Canada (centrale); Europa (Francoforte); Europa (Irlanda); Europa (Londra); Europa (Parigi); Europa (Stoccolma); Europa (Zurigo); Medio Oriente (Emirati Arabi Uniti); Sud America (San Paolo); Stati Uniti orientali (Ohio); Stati Uniti orientali (N. Virginia); Stati Uniti occidentali (N. California): Stati Uniti occidentali (Oregon). L'individuazione viene eseguita localmente all'interno dell'area. |
| Quali aree GCP sono supportate? | europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-nord-est1 |
| È necessario installare un agente? | No, l'individuazione non richiede l'installazione dell'agente. |
| Qual è il costo? | La funzionalità è inclusa nei piani di Defender CSPM e Defender per Archiviazione e non comporta costi aggiuntivi ad eccezione dei rispettivi costi di piano. |
| Quali autorizzazioni sono necessarie per visualizzare o modificare le impostazioni di riservatezza dei dati? | È necessario uno di questi ruoli di Microsoft Entra: Global Amministrazione istrator, Compliance Amministrazione istrator, Compliance Data Amministrazione istrator, Security Amministrazione istrator, Security Operator. |
| Quali autorizzazioni è necessario eseguire l'onboarding? | È necessario uno di questi ruoli di controllo degli accessi in base al ruolo di Azure: Amministrazione di sicurezza, Collaboratore, Proprietario a livello di sottoscrizione (in cui risiede il progetto/i GCP). Per l'utilizzo dei risultati della sicurezza: ruolo con autorizzazioni di lettura per la sicurezza, Amministrazione di sicurezza, lettore, collaboratore, proprietario a livello di sottoscrizione (in cui risiede il progetto GCP). |
Configurazione delle impostazioni di riservatezza dei dati
I passaggi principali per la configurazione delle impostazioni di riservatezza dei dati includono:
- Importare tipi/etichette di informazioni di riservatezza personalizzati da Portale di conformità di Microsoft Purview
- Personalizzare categorie/tipi di dati sensibili
- Impostare la soglia per le etichette di riservatezza
Altre informazioni sulle etichette di riservatezza in Microsoft Purview.
Individuazione
Defender per il cloud inizia l'individuazione dei dati immediatamente dopo l'abilitazione di un piano o dopo l'attivazione della funzionalità nei piani già in esecuzione.
Per l'archiviazione di oggetti:
- Per visualizzare i risultati per una prima individuazione, sono necessarie fino a 24 ore.
- Dopo l'aggiornamento dei file nelle risorse individuate, i dati vengono aggiornati entro otto giorni.
- Un nuovo account di archiviazione di Azure aggiunto a una sottoscrizione già individuata viene individuato entro 24 ore o meno.
- Un nuovo bucket AWS S3 o un bucket di archiviazione GCP aggiunto a un account AWS già individuato o un account Google viene individuato entro 48 ore o meno.
Per i database:
- I database vengono analizzati su base settimanale.
- Per le sottoscrizioni appena abilitate, i risultati vengono visualizzati entro 24 ore.
Individuazione di bucket AWS S3
Per proteggere le risorse AWS in Defender per il cloud, è necessario configurare un connettore AWS usando un modello CloudFormation per eseguire l'onboarding dell'account AWS.
- Per individuare le risorse dati di AWS, Defender per il cloud aggiorna il modello CloudFormation.
- Il modello CloudFormation crea un nuovo ruolo in AWS IAM, per consentire all'Defender per il cloud scanner di accedere ai dati nei bucket S3.
- Per connettere gli account AWS, sono necessarie autorizzazioni Amministrazione istrator per l'account.
- Il ruolo consente queste autorizzazioni: solo lettura S3; Servizio di gestione delle chiavi decrittografare.
Individuazione delle istanze di AWS RDS
Per proteggere le risorse AWS in Defender per il cloud, configurare un connettore AWS usando un modello CloudFormation per eseguire l'onboarding dell'account AWS.
- Per individuare le istanze di AWS RDS, Defender per il cloud aggiorna il modello CloudFormation.
- Il modello CloudFormation crea un nuovo ruolo in AWS IAM, per consentire all'Defender per il cloud scanner di acquisire l'ultimo snapshot automatizzato disponibile dell'istanza e portarlo online in un ambiente di analisi isolato all'interno della stessa area AWS.
- Per connettere gli account AWS, sono necessarie autorizzazioni Amministrazione istrator per l'account.
- Gli snapshot automatizzati devono essere abilitati nelle istanze/cluster di Servizi Desktop remoto pertinenti.
- Il ruolo consente queste autorizzazioni (esaminare il modello CloudFormation per le definizioni esatte):
- Elencare tutti i database/cluster Servizi Desktop remoto
- Copiare tutti gli snapshot di database/cluster
- Eliminazione/aggiornamento dello snapshot del database/cluster con prefisso defenderfordatabases
- Elencare tutte le chiavi di Servizio di gestione delle chiavi
- Usare tutte le chiavi Servizio di gestione delle chiavi solo per Servizi Desktop remoto nell'account di origine
- Crea e controllo completo su tutte le chiavi Servizio di gestione delle chiavi con prefisso tag DefenderForDatabases
- Creare un alias per le chiavi di Servizio di gestione delle chiavi
- Servizio di gestione delle chiavi chiavi vengono create una volta per ogni area che contiene istanze di Servizi Desktop remoto. La creazione di una chiave Servizio di gestione delle chiavi può comportare un costo aggiuntivo minimo, in base ai prezzi di AWS Servizio di gestione delle chiavi.
Individuazione di bucket di archiviazione GCP
Per proteggere le risorse GCP in Defender per il cloud, è possibile configurare un connettore Google usando un modello di script per eseguire l'onboarding dell'account GCP.
- Per individuare i bucket di archiviazione GCP, Defender per il cloud aggiorna il modello di script.
- Il modello di script crea un nuovo ruolo nell'account Google per consentire all'Defender per il cloud scanner di accedere ai dati nei bucket di archiviazione GCP.
- Per connettere gli account Google, è necessario Amministrazione istrator autorizzazioni per l'account.
Esposto a Internet/consente l'accesso pubblico
I percorsi di attacco di Defender CSPM e le informazioni dettagliate sul grafico della sicurezza cloud includono informazioni sulle risorse di archiviazione esposte a Internet e consentono l'accesso pubblico. La tabella seguente fornisce informazioni più dettagliate.
| Stato | Account di archiviazione di Azure | Bucket AWS S3 | Bucket Archiviazione GCP |
|---|---|---|---|
| Esposto a Internet | Un account di archiviazione di Azure viene considerato esposto a Internet se una di queste impostazioni è abilitata: > Archiviazione_account_nameAccesso>alla>rete pubblica abilitato da tutte le reti or > Archiviazione_account_nameAccesso>alla rete>pubblica Abilita da reti virtuali e indirizzi IP selezionati. |
Un bucket AWS S3 viene considerato esposto a Internet se i criteri del bucket AWS account/AWS S3 non hanno una condizione impostata per gli indirizzi IP. | Per impostazione predefinita, tutti i bucket di archiviazione GCP vengono esposti a Internet. |
| Consente l'accesso pubblico | Un contenitore dell'account di archiviazione di Azure viene considerato come consentire l'accesso pubblico se queste impostazioni sono abilitate nell'account di archiviazione: > Archiviazione_account_nameConfigurazione>Consenti l'accesso>pubblico blob abilitato. e una di queste impostazioni: > Archiviazione_account_nameContenitori> container_name >livello di accesso pubblico impostato su BLOB (accesso in lettura anonimo solo per i BLOB) In alternativa, storage_account_name >Contenitori> container_name >livello di accesso pubblico impostato su Contenitore (accesso in lettura anonimo per contenitori e BLOB). |
Un bucket AWS S3 viene considerato per consentire l'accesso pubblico se sia l'account AWS che il bucket AWS S3 hanno Bloccato l'accesso pubblico impostato su Disattivato e viene impostata una di queste impostazioni: Nei criteri RestrictPublicBuckets non è abilitato e l'impostazione Principal è impostata su * e Effect è impostata su Consenti. In alternativa, nell'elenco di controllo di accesso IgnorePublicAcl non è abilitato e l'autorizzazione è consentita per Tutti o per gli utenti autenticati. |
Un bucket di archiviazione GCP viene considerato per consentire l'accesso pubblico se ha un ruolo IAM (Identity and Access Management) che soddisfa questi criteri: Il ruolo viene concesso allUsers principale o allAuthenticatedUsers. Il ruolo ha almeno un'autorizzazione di archiviazione che nonè storage.buckets.create o storage.buckets.list. L'accesso pubblico in GCP è denominato "Public to Internet". |
Le risorse del database non consentono l'accesso pubblico, ma possono comunque essere esposte a Internet.
Le informazioni dettagliate sull'esposizione Internet sono disponibili per le risorse seguenti:
Azure:
- Server di Azure SQL
- Azure Cosmos DB
- Istanza gestita di SQL di Azure
- Server singolo di Azure MySQL
- Server flessibile di Azure MySQL
- Server singolo di Azure PostgreSQL
- Server flessibile di PostgreSQL di Azure
- Server singolo di Azure MariaDB
- Area di lavoro di Synapse
AWS:
- Istanza di Servizi Desktop remoto
Nota
- Le regole di esposizione che includono 0.0.0.0/0 vengono considerate "eccessivamente esposte", ovvero sono accessibili da qualsiasi INDIRIZZO IP pubblico.
- Le risorse di Azure con la regola di esposizione "0.0.0.0" sono accessibili da qualsiasi risorsa in Azure (indipendentemente dal tenant o dalla sottoscrizione).
Passaggio successivo
Abilitare il comportamento di sicurezza compatibile con i dati.