Gegevensbewuste beveiligingspostuur inschakelen

  • Artikel

In dit artikel wordt beschreven hoe u gegevensbewuste beveiligingspostuur inschakelt in Microsoft Defender voor Cloud.

Voordat u begint

  • Raadpleeg de ondersteuning en vereisten voordat u gegevensbewuste beveiligingspostuur inschakelt.
  • Wanneer u Defender CSPM- of Defender for Storage-abonnementen inschakelt, wordt de extensie voor detectie van gevoelige gegevens automatisch ingeschakeld. U kunt deze instelling uitschakelen als u geen gegevensbewuste beveiligingspostuur wilt gebruiken, maar we raden u aan de functie te gebruiken om de meeste waarde op te halen uit Defender voor Cloud.
  • Gevoelige gegevens worden geïdentificeerd op basis van de instellingen voor gegevensgevoeligheid in Defender voor Cloud. U kunt de instellingen voor gegevensgevoeligheid aanpassen om de gegevens te identificeren die door uw organisatie als gevoelig worden beschouwd.
  • Het duurt maximaal 24 uur om de resultaten van een eerste detectie te zien nadat de functie is ingeschakeld.

Inschakelen in Defender CSPM (Azure)

Volg deze stappen om gegevensbewuste beveiligingspostuur in te schakelen. Vergeet niet om de vereiste machtigingen te controleren voordat u begint.

  1. Navigeer naar Microsoft Defender voor Cloud> Omgevingsinstellingen.

  2. Selecteer het relevante Azure-abonnement.

  3. Selecteer voor het Defender CSPM-abonnement de status On .

    Als Defender CSPM al is ingeschakeld, selecteert u Instellingen in de kolom Bewakingsdekking van het Defender CSPM-plan en zorgt u ervoor dat het onderdeel Gevoelige gegevensdetectie is ingesteld op Status Aan.

  4. Zodra detectie van gevoelige gegevens is ingeschakeld in Defender CSPM, wordt automatisch ondersteuning opgenomen voor aanvullende resourcetypen, omdat het bereik van ondersteunde resourcetypen wordt uitgebreid.

Inschakelen in Defender CSPM (AWS)

Voordat u begint

  • Vergeet niet om de vereisten voor AWS-detectie en vereiste machtigingen te controleren.
  • Controleer of er geen beleid is dat de verbinding met uw Amazon S3-buckets blokkeert.
  • Voor RDS-exemplaren: KMS-versleuteling voor meerdere accounts wordt ondersteund, maar aanvullende beleidsregels voor KMS-toegang kunnen de toegang verhinderen.

Inschakelen voor AWS-resources

S3-buckets en RDS-exemplaren

  1. Gegevensbeveiligingspostuur inschakelen zoals hierboven beschreven
  2. Ga verder met de instructies om de CloudFormation-sjabloon te downloaden en uit te voeren in AWS.

Automatische detectie van S3-buckets in het AWS-account wordt automatisch gestart.

Voor S3-buckets wordt de Defender voor Cloud scanner uitgevoerd in uw AWS-account en maakt deze verbinding met uw S3-buckets.

Voor RDS-exemplaren wordt detectie geactiveerd zodra Gevoelige gegevensdetectie is ingeschakeld. De scanner maakt de meest recente geautomatiseerde momentopname voor een exemplaar, maakt een handmatige momentopname in het bronaccount en kopieert deze naar een geïsoleerde omgeving die eigendom is van Microsoft binnen dezelfde regio.

De momentopname wordt gebruikt om een live-exemplaar te maken dat is uitgezet, gescand en vervolgens onmiddellijk vernietigd (samen met de gekopieerde momentopname).

Alleen scanresultaten worden gerapporteerd door het scanplatform.

Diagram explaining the RDS scanning platform.

Controleren op S3-blokkeringsbeleid

Als het inschakelen niet werkt vanwege een geblokkeerd beleid, controleert u het volgende:

  • Zorg ervoor dat het S3-bucketbeleid de verbinding niet blokkeert. Selecteer in de BUCKET AWS S3 het tabblad > Machtigingen bucketbeleid. Controleer de beleidsdetails om ervoor te zorgen dat de Microsoft Defender voor Cloud scannerservice die wordt uitgevoerd in het Microsoft-account in AWS niet wordt geblokkeerd.
  • Zorg ervoor dat er geen SCP-beleid is dat de verbinding met de S3-bucket blokkeert. Uw SCP-beleid kan bijvoorbeeld lees-API-aanroepen blokkeren naar de AWS-regio waar uw S3-bucket wordt gehost.
  • Controleer of deze vereiste API-aanroepen zijn toegestaan door uw SCP-beleid: AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock
  • Controleer of uw SCP-beleid aanroepen naar de AWS-regio vs - oost-1 toestaat. Dit is de standaardregio voor API-aanroepen.

Gegevensbewuste bewaking inschakelen in Defender for Storage

Detectie van bedreigingen voor gevoelige gegevens is standaard ingeschakeld wanneer het onderdeel voor detectie van gevoelige gegevens is ingeschakeld in het Defender for Storage-plan. Meer informatie.

Alleen Azure Storage-resources worden gescand als het Defender CSPM-abonnement is uitgeschakeld.

Volgende stappen

De beveiligingsrisico's in uw gegevens bekijken