Ondersteuning en vereisten voor gegevensbewuste beveiligingspostuur
Bekijk de vereisten op deze pagina voordat u het beveiligingspostuur voor gegevensbewuste instellingen instelt in Microsoft Defender voor Cloud.
Detectie van gevoelige gegevens inschakelen
Detectie van gevoelige gegevens is beschikbaar in de abonnementen Defender CSPM, Defender for Storage en Defender for Databases.
- Wanneer u een van de plannen inschakelt, wordt de extensie voor detectie van gevoelige gegevens ingeschakeld als onderdeel van het plan.
- Als u bestaande abonnementen uitvoert, is de extensie beschikbaar, maar is deze standaard uitgeschakeld.
- De status van een bestaand plan wordt weergegeven als 'Gedeeltelijk' in plaats van 'Volledig' als een of meer extensies niet zijn ingeschakeld.
- De functie is ingeschakeld op abonnementsniveau.
- Als detectie van gevoelige gegevens is ingeschakeld, maar Defender CSPM niet is ingeschakeld, worden alleen opslagbronnen gescand.
- Als een abonnement is ingeschakeld met Defender CSPM en u dezelfde resources parallel hebt gescand met Purview, wordt het scanresultaat van Purview genegeerd en worden de scanresultaten van de Microsoft Defender voor Cloud standaard weergegeven voor het ondersteunde resourcetype.
Wat wordt er ondersteund
De tabel bevat een overzicht van de beschikbaarheid en ondersteunde scenario's voor detectie van gevoelige gegevens.
| Ondersteuning | DETAILS |
|---|---|
| Welke Azure-gegevensbronnen kan ik detecteren? | Objectopslag: Blob Storage-accounts blokkeren in Azure Storage v1/v2 Azure Data Lake Storage Gen2 Opslagaccounts achter privénetwerken worden ondersteund. Opslagaccounts die zijn versleuteld met een door de klant beheerde sleutel aan de serverzijde, worden ondersteund. Accounts worden niet ondersteund als een van deze instellingen is ingeschakeld: opslagaccount wordt gedefinieerd als Azure DNS-zone; Het eindpunt van het opslagaccount heeft een aangepast domein toegewezen. Databases Azure SQL Databases |
| Welke AWS-gegevensbronnen kan ik detecteren? | Objectopslag: AWS S3-buckets Defender voor Cloud kan met KMS versleutelde gegevens detecteren, maar geen gegevens die zijn versleuteld met een door de klant beheerde sleutel. Databases - Amazon Aurora - Amazon RDS voor PostgreSQL - Amazon RDS voor MySQL - Amazon RDS for MariaDB - Amazon RDS voor SQL Server (noncustom) - Amazon RDS voor Oracle Database (alleen noncustom, SE2 Edition) Vereisten en beperkingen: - Automatische back-ups moeten worden ingeschakeld. - De IAM-rol die is gemaakt voor de scandoeleinden (DefenderForCloud-DataSecurityPostureDB standaard) moet machtigingen hebben voor de KMS-sleutel die wordt gebruikt voor de versleuteling van het RDS-exemplaar. - U kunt geen db-momentopname delen die gebruikmaakt van een groepsvak met permanente of permanente opties, met uitzondering van Oracle DB-exemplaren met de optie Tijdzone of OLS (of beide). Meer informatie |
| Welke GCP-gegevensbronnen kan ik detecteren? | GCP-opslagbuckets Standard-klasse Geo: regio, dubbele regio, meerdere regio's |
| Welke machtigingen heb ik nodig voor detectie? | Opslagaccount: Abonnementseigenaar or Microsoft.Authorization/roleAssignments/* (lezen, schrijven, verwijderen) enMicrosoft.Security/pricings/* (lezen, schrijven, verwijderen) enMicrosoft.Security/pricings/SecurityOperators (lezen, schrijven)Amazon S3-buckets en RDS-exemplaren: AWS-accountmachtigingen voor het uitvoeren van cloudformaties (om een rol te maken). GCP-opslagbuckets: Google-accountmachtiging voor het uitvoeren van scripts (om een rol te maken). |
| Welke bestandstypen worden ondersteund voor detectie van gevoelige gegevens? | Ondersteunde bestandstypen (u kunt geen subset selecteren): .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc. |
| Welke Azure-regio's worden ondersteund? | U kunt Azure-opslagaccounts detecteren in: Azië - oost; Azië - zuidoost; Australië - centraal; Australië - centraal 2; Australië - oost; Australië - zuidoost; Brazilië - zuid; Brazilië - zuidoost; Canada - centraal; Canada - oost; Europa - noord; Europa - west; Frankrijk - centraal; Frankrijk - zuid; Duitsland - noord; Duitsland - west-centraal; India - centraal; India - zuid; Japan - oost; Japan West; Jio India West; Korea - centraal; Zuid-Korea; Noorwegen - oost; Noorwegen - west; Zuid-Afrika - noord; Zuid-Afrika - west; Zweden - centraal; Zwitserland - noord; Zwitserland - west; UAE - noord; VK - zuid; VK - west; US - centraal; VS - oost; VS - oost 2; VS - noord-centraal; VS - zuid-centraal; VS - west; US - west 2; VS - west 3; VS - west-centraal; U kunt Azure SQL Databases detecteren in elke regio waar Defender CSPM en Azure SQL Databases worden ondersteund. |
| Welke AWS-regio's worden ondersteund? | S3: Azië en Stille Oceaan (Mumbai); Azië en Stille Oceaan (Singapore); Azië en Stille Oceaan (Sydney); Azië en Stille Oceaan (Tokio); Canada (Montreal); Europa (Frankfurt); Europa (Ierland); Europa (Londen); Europa (Parijs); Europa (Stockholm); Zuid-Amerika (São Paulo); VS - oost (Ohio); VS - oost (N. Virginia); US - west (N. Californië): US - west (Oregon). RDS: Afrika (Kaapstad); Azië en Stille Oceaan (Hongkong SAR); Azië en Stille Oceaan (Pacific); Azië en Stille Oceaan (Melbourne); Azië en Stille Oceaan (Mumbai); Azië en Stille Oceaan (Osaka); Azië en Stille Oceaan (Seoul); Azië en Stille Oceaan (Singapore); Azië en Stille Oceaan (Sydney); Azië en Stille Oceaan (Tokio); Canada (centraal); Europa (Frankfurt); Europa (Ierland); Europa (Londen); Europa (Parijs); Europa (Stockholm); Europa (Zürich); Midden-Oosten (VAE); Zuid-Amerika (São Paulo); VS - oost (Ohio); VS - oost (N. Virginia); US - west (N. Californië): US - west (Oregon). Detectie wordt lokaal uitgevoerd binnen de regio. |
| Welke GCP-regio's worden ondersteund? | europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1 |
| Moet ik een agent installeren? | Nee, detectie vereist geen agentinstallatie. |
| Wat zijn de kosten? | De functie is opgenomen in de Defender CSPM- en Defender for Storage-abonnementen en er worden geen extra kosten in rekening gebracht, met uitzondering van de respectieve abonnementskosten. |
| Welke machtigingen heb ik nodig om vertrouwelijkheidsinstellingen voor gegevens weer te geven/te bewerken? | U hebt een van deze Microsoft Entra-rollen nodig: Global Beheer istrator, Compliance Beheer istrator, Compliance Data Beheer istrator, Security Beheer istrator, Security Operator. |
| Welke machtigingen heb ik nodig om onboarding uit te voeren? | U hebt een van deze azure RBAC-rollen (op rollen gebaseerd toegangsbeheer) nodig: Beveiliging Beheer, Inzender, Eigenaar op abonnementsniveau (waar het GCP-project/s zich bevinden). Voor het gebruik van de beveiligingsresultaten: Beveiligingslezer, Beveiliging Beheer, Lezer, Inzender, Eigenaar op abonnementsniveau (waar het GCP-project/s zich bevinden). |
Instellingen voor gegevensgevoeligheid configureren
De belangrijkste stappen voor het configureren van instellingen voor gegevensgevoeligheid zijn:
- Aangepaste typen/labels voor vertrouwelijkheidsgegevens importeren uit Microsoft Purview-nalevingsportal
- Categorieën/typen gevoelige gegevens aanpassen
- De drempelwaarde voor vertrouwelijkheidslabels instellen
Meer informatie over vertrouwelijkheidslabels in Microsoft Purview.
Detectie
Defender voor Cloud begint met het detecteren van gegevens direct na het inschakelen van een plan of na het inschakelen van de functie in plannen die al worden uitgevoerd.
Voor objectopslag:
- Het duurt maximaal 24 uur voordat de resultaten voor een eerste detectie worden weergegeven.
- Nadat bestanden in de gedetecteerde resources zijn bijgewerkt, worden gegevens binnen acht dagen vernieuwd.
- Binnen 24 uur of minder wordt een nieuw Azure-opslagaccount gedetecteerd dat is toegevoegd aan een al gedetecteerd abonnement.
- Een nieuwe AWS S3-bucket of GCP-opslagbucket die is toegevoegd aan een al gedetecteerd AWS-account of Google-account, wordt binnen 48 uur of minder gedetecteerd.
Voor databases:
- Databases worden wekelijks gescand.
- Voor nieuw ingeschakelde abonnementen worden de resultaten binnen 24 uur weergegeven.
AWS S3-buckets detecteren
Als u AWS-resources in Defender voor Cloud wilt beveiligen, stelt u een AWS-connector in met behulp van een CloudFormation-sjabloon om het AWS-account te onboarden.
- Voor het detecteren van AWS-gegevensresources werkt Defender voor Cloud de CloudFormation-sjabloon bij.
- Met de CloudFormation-sjabloon maakt u een nieuwe rol in AWS IAM, zodat de Defender voor Cloud scanner toegang heeft tot gegevens in de S3-buckets.
- Als u AWS-accounts wilt verbinden, hebt u Beheer machtigingen voor het account nodig.
- De rol staat deze machtigingen toe: alleen-lezen S3; KMS ontsleutelen.
AWS RDS-exemplaren detecteren
Als u AWS-resources in Defender voor Cloud wilt beveiligen, stelt u een AWS-connector in met behulp van een CloudFormation-sjabloon om het AWS-account te onboarden.
- Als u AWS RDS-exemplaren wilt detecteren, werkt Defender voor Cloud de CloudFormation-sjabloon bij.
- Met de CloudFormation-sjabloon maakt u een nieuwe rol in AWS IAM, zodat de Defender voor Cloud scanner de laatst beschikbare automatische momentopname van uw exemplaar kan maken en deze online brengt in een geïsoleerde scanomgeving binnen dezelfde AWS-regio.
- Als u AWS-accounts wilt verbinden, hebt u Beheer machtigingen voor het account nodig.
- Geautomatiseerde momentopnamen moeten worden ingeschakeld op de relevante RDS-exemplaren/-clusters.
- De rol staat deze machtigingen toe (bekijk de CloudFormation-sjabloon voor exacte definities):
- Alle RDS DB's/clusters weergeven
- Alle momentopnamen van db/cluster kopiëren
- Db-/clustermomentopname verwijderen/bijwerken met voorvoegsel Defenderfordatabases
- Alle KMS-sleutels weergeven
- Alle KMS-sleutels alleen gebruiken voor RDS in het bronaccount
- Volledig beheer maken voor alle KMS-sleutels met tagvoorvoegsel DefenderForDatabases
- Alias maken voor KMS-sleutels
- KMS-sleutels worden eenmaal gemaakt voor elke regio die RDS-exemplaren bevat. Het maken van een KMS-sleutel kan een minimale extra kosten met zich meebrengt volgens de PRIJZEN van AWS KMS.
GCP-opslagbuckets detecteren
Als u GCP-resources in Defender voor Cloud wilt beveiligen, kunt u een Google-connector instellen met behulp van een scriptsjabloon om het GCP-account te onboarden.
- Als u GCP-opslagbuckets wilt detecteren, werkt Defender voor Cloud de scriptsjabloon bij.
- Met de scriptsjabloon maakt u een nieuwe rol in het Google-account, zodat de Defender voor Cloud scanner toegang heeft tot gegevens in de GCP-opslagbuckets.
- Als u Google-accounts wilt verbinden, hebt u Beheer machtigingen voor het account nodig.
Beschikbaar gemaakt op internet/openbare toegang toestaat
Defender CSPM-aanvalspaden en inzichten in cloudbeveiligingsgrafiek bevatten informatie over opslagresources die beschikbaar zijn voor internet en openbare toegang toestaan. De volgende tabel bevat meer informatie.
| Staat/provincie | Azure Storage-accounts | AWS S3-buckets | GCP-opslagbuckets |
|---|---|---|---|
| Beschikbaar gesteld op internet | Een Azure-opslagaccount wordt beschouwd als beschikbaar gemaakt op internet als een van deze instellingen is ingeschakeld: >Storage_account_name Openbare>netwerktoegang>van netwerken ingeschakeld vanuit alle netwerken or Storage_account_name Openbare netwerktoegang>van netwerken inschakelen>vanuit geselecteerde virtuele netwerken en IP-adressen.> |
Een AWS S3-bucket wordt beschouwd als beschikbaar op internet als het AWS-account/AWS S3-bucketbeleid geen voorwaarde heeft ingesteld voor IP-adressen. | Alle GCP-opslagbuckets worden standaard blootgesteld aan internet. |
| Hiermee staat u openbare toegang toe | Een Azure Storage-accountcontainer wordt beschouwd als openbare toegang toestaan als deze instellingen zijn ingeschakeld voor het opslagaccount: Storage_account_name Configuratie>openbare blobtoegang>toestaan ingeschakeld.> en een van deze instellingen: >Storage_account_name Containers> container_name> Openbaar toegangsniveau ingesteld op Blob (alleen anonieme leestoegang voor blobs) Of storage_account_name Containers> container_name>> openbaar toegangsniveau ingesteld op Container (anonieme leestoegang voor containers en blobs). |
Een AWS S3-bucket wordt beschouwd als openbare toegang toestaan als zowel het AWS-account als de AWS S3-bucket alle openbare toegang blokkeren is ingesteld op Uit en een van deze instellingen is ingesteld: In het beleid is RestrictPublicBuckets niet ingeschakeld en de principal-instelling is ingesteld op * en Effect is ingesteld op Toestaan. Of in de toegangsbeheerlijst is IgnorePublicAcl niet ingeschakeld en is de machtiging toegestaan voor iedereen of voor geverifieerde gebruikers. |
Een GCP-opslagbucket wordt beschouwd als openbare toegang toestaan als: deze heeft een IAM-rol (Identiteits- en toegangsbeheer) die aan deze criteria voldoet: De rol wordt verleend aan de principal allUsers of allAuthenticatedUsers. De rol heeft ten minste één opslagmachtiging die geenstorage.buckets.create of storage.buckets.list is. Openbare toegang in GCP wordt 'Openbaar voor internet' genoemd. |
Databasebronnen staan geen openbare toegang toe, maar kunnen nog steeds worden blootgesteld aan internet.
Inzichten in internetblootstelling zijn beschikbaar voor de volgende bronnen:
Azure:
- Azure SQL Server
- Azure Cosmos DB
- Azure SQL Managed Instance
- Azure MySQL Enkele server
- Flexibele Azure MySQL-server
- Azure PostgreSQL Enkele server
- Flexibele Azure PostgreSQL-server
- Azure MariaDB Enkele server
- Synapse-werkruimte
AWS:
- RDS-exemplaar
Notitie
- Blootstellingsregels met 0.0.0.0/0 worden beschouwd als 'overmatig blootgesteld', wat betekent dat ze toegankelijk zijn vanaf elk openbaar IP-adres.
- Azure-resources met de blootstellingsregel 0.0.0.0 zijn toegankelijk vanuit elke resource in Azure (ongeacht de tenant of het abonnement).