Wat is er nieuw in Microsoft Defender for Cloud?
Notitie
Azure Security Center en Azure Defender heten nu Microsoft Defender for Cloud. We hebben de naam van de abonnementen Azure Defender gewijzigd in Microsoft Defender-plannen. Een voorbeeld: Azure Defender voor Storage is nu Microsoft Defender voor Storage.
Meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.
Defender for Cloud is actief in ontwikkeling en ontvangt voortdurend verbeteringen. Om u op de hoogte te houden van de nieuwste ontwikkelingen, biedt deze pagina u informatie over nieuwe functies, opgeloste fouten en afgeschafte functionaliteit.
Deze pagina wordt regelmatig bijgewerkt. Kom hier daarom regelmatig terug.
Zie Belangrijke toekomstige wijzigingen in Microsoft Defender for Cloud voor meer informatie over geplande wijzigingen die binnenkort beschikbaar komen voor Defender for Cloud.
Tip
Als u items zoekt die ouder zijn dan zes maanden, vindt u deze in Archief voor Wat is er nieuw in Microsoft Defender for Cloud?.
November 2021
Onze Ignite-release omvat:
- Azure Security Center en Azure Defender microsoft Defender for Cloud worden
- Native CSPM voor AWS en bedreigingsbeveiliging voor Amazon EKS en AWS EC2
- Prioriteit geven aan beveiligingsacties op gegevensgevoeligheid (powered by Azure Purview) (in preview)
- Uitgebreide evaluaties van beveiligingsbeheer met Azure Security Benchmark v3
- Optionele bi-directionele waarschuwingssynchronisatie van De Microsoft Sentinel-connector is vrijgegeven voor algemene beschikbaarheid (GA)
- Nieuwe aanbeveling voor het pushen Azure Kubernetes Service (AKS)-logboeken naar Sentinel
- Aanbevelingen aan het MITRE ATT&CK® framework - uitgebracht voor algemene beschikbaarheid
Andere wijzigingen in november zijn onder andere:
- Microsoft Threat and Vulnerability Management toegevoegd als oplossing voor evaluatie van beveiligingsleed- uitgebracht voor algemene beschikbaarheid
- Microsoft Defender voor Eindpunt voor Linux wordt nu ondersteund door Microsoft Defender voor servers- uitgebracht voor algemene beschikbaarheid
- Momentopname exporteren voor aanbevelingen en beveiligings bevindingen (in preview)
- Automatisch inrichten van oplossingen voor evaluatie van beveiligingsleed, uitgebracht voor algemene beschikbaarheid
- Software-inventarisfilters in assetinventarisatie vrijgegeven voor algemene beschikbaarheid
- Bij de inventarisatieweergave van on-premises machines wordt een andere sjabloon toegepast voor de resourcenaam
Azure Security Center en Azure Defender microsoft Defender for Cloud worden
Volgens het rapport 2021 State of the Cloudheeft 92% van de organisaties nu een strategie voor meerdere cloudservices. Bij Microsoft is ons doel om de beveiliging in deze omgevingen te centraliseren en beveiligingsteams te helpen effectiever te werken.
Microsoft Defender for Cloud (voorheen bekend als Azure Security Center en Azure Defender) is een cloudbeveiligingsstatusbeheeroplossing (CSPM) en cloudworkloadbeveiliging (CWP) waarmee zwakke plekken in uw cloudconfiguratie worden ontdekt, de algehele beveiligingsstatus van uw omgeving wordt versterkt en workloads in omgevingen met meerdere cloudomgevingen en hybride omgevingen worden beschermd.
Tijdens Ignite 2019 hebben we onze visie gedeeld om de meest complete aanpak te maken voor het beveiligen van uw digitale estate en het integreren van XDR-technologieën onder het Microsoft Defender-merk. Het Azure Security Center en Azure Defender onder de nieuwe naam Microsoft Defender for Cloud weerspiegelt de geïntegreerde mogelijkheden van ons beveiligingsaanbod en onze mogelijkheid om elk cloudplatform te ondersteunen.
Native CSPM voor AWS en bedreigingsbeveiliging voor Amazon EKS en AWS EC2
Een nieuwe pagina met omgevingsinstellingen biedt meer zichtbaarheid en controle over uw beheergroepen, abonnementen en AWS-accounts. De pagina is ontworpen om AWS-accounts op schaal te onboarden: maak verbinding met uw AWS-beheeraccount en u maakt automatisch onboarding van bestaande en toekomstige accounts.
Wanneer u uw AWS-accounts hebt toegevoegd, beschermt Defender for Cloud uw AWS-resources met een of alle volgende plannen:
- De CSPM-functies van Defender for Cloud zijn uitgebreid naar uw AWS-resources. Met dit plan zonder agent worden uw AWS-resources beoordeeld op basis van AWS-specifieke beveiligingsaanbevelingen en deze zijn opgenomen in uw beveiligingsscore. De resources worden ook beoordeeld op naleving van ingebouwde standaarden die specifiek zijn voor AWS (AWS CIS, AWS PCI DSS en AWS Foundational Security Best Practices). De assetinventarisatiepagina van Defender for Cloud is een functie voor meerdere cloudservices waarmee u uw AWS-resources naast uw Azure-resources kunt beheren.
- Microsoft Defender voor Kubernetes breidt de detectie van bedreigingen voor containers en geavanceerde verdediging uit naar uw Amazon EKS Linux-clusters.
- Microsoft Defender voor servers brengt bedreigingsdetectie en geavanceerde verdedigingslinie naar uw Windows en Linux EC2-instanties. Dit plan omvat de geïntegreerde licentie voor Microsoft Defender voor eindpunten, beveiligingsbasislijnen en evaluaties op besturingssysteemniveau, scannen van evaluatie van beveiligingsleed, adaptieve toepassingsbesturingselementen (AAC), bewaking van bestandsintegriteit (FIM) en meer.
Meer informatie over het verbinden van uw AWS-accounts met Microsoft Defender for Cloud.
Prioriteit geven aan beveiligingsacties op gegevensgevoeligheid (powered by Azure Purview) (in preview)
Gegevensresources blijven een populair doel voor bedreigingen. Het is dus van cruciaal belang dat beveiligingsteams gevoelige gegevensbronnen in hun cloudomgevingen identificeren, prioriteren en beveiligen.
Om deze uitdaging aan te pakken, integreert Microsoft Defender for Cloud nu gevoeligheidsinformatie van Azure Purview. Azure Purview is een geïntegreerde service voor gegevensgovernance die uitgebreide inzichten biedt in de gevoeligheid van uw gegevens binnen workloads in meerdere cloudomgevingen en on-premises workloads.
De integratie met Azure Purview breidt uw beveiligingszichtbaarheid in Defender for Cloud uit van het infrastructuurniveau tot de gegevens, waardoor u resources en beveiligingsactiviteiten op een geheel nieuwe manier kunt prioriteren voor uw beveiligingsteams.
Meer informatie in Beveiligingsacties prioriteren op gegevensgevoeligheid.
Uitgebreide evaluaties van beveiligingsbeheer met Azure Security Benchmark v3
De beveiligingsaanbevelingen van Microsoft Defender for Cloud worden ingeschakeld en ondersteund door de Azure Security-benchmark.
Azure Security Benchmark is de door Microsoft opgestelde, voor Azure specifieke set richtlijnen voor best practices voor beveiliging en naleving op basis van algemene nalevings frameworks. Deze breed gerespecteerde benchmark bouwt voort op de controles van het Center for Internet Security (CIS) en het National Institute of Standards and Technology (NIST) met de focus op cloudgerichte beveiliging.
Vanaf Ignite 2021 is Azure Security Benchmark v3 beschikbaar in het dashboard voor naleving van regelgeving van Defender for Cloud en ingeschakeld als het nieuwe standaardinitiatief voor alle Azure-abonnementen die zijn beveiligd met Microsoft Defender for Cloud.
Verbeteringen voor v3 zijn onder andere:
Aanvullende toewijzingen aan industriekaders PCI-DSS v3.2.1 en CIS Controls v8.
Meer gedetailleerde en actiebare richtlijnen voor besturingselementen met de introductie van:
- Beveiligingsprincipes: inzicht geven in de algemene beveiligingsdoelstellingen die de basis vormen voor onze aanbevelingen.
- Azure-richtlijnen: de technische instructies om aan deze doelstellingen te voldoen.
Nieuwe besturingselementen omvatten DevOps-beveiliging voor problemen zoals threat modeling en beveiliging van software-toeleveringsketens, evenals sleutel- en certificaatbeheer voor best practices in Azure.
Meer informatie in Inleiding tot Azure Security Benchmark.
Optionele bi-directionele waarschuwingssynchronisatie van De Microsoft Sentinel-connector is vrijgegeven voor algemene beschikbaarheid (GA)
In juli hebben we een preview-functie, synchronisatie van bi-directionele waarschuwingen, aangekondigd voor de ingebouwde connector in Microsoft Sentinel (de cloudeigen SIEM- en SOAR-oplossing van Microsoft). Deze functie is nu uitgebracht voor algemene beschikbaarheid.
Wanneer u Microsoft Defender for Cloud verbindt met Microsoft Sentinel, wordt de status van beveiligingswaarschuwingen gesynchroniseerd tussen de twee services. Wanneer bijvoorbeeld een waarschuwing wordt gesloten in Defender for Cloud, wordt die waarschuwing ook weergegeven als gesloten in Microsoft Sentinel. Het wijzigen van de status van een waarschuwing in Defender for Cloud heeft geen invloed op de status van Microsoft Sentinel-incidenten die de gesynchroniseerde Microsoft Sentinel-waarschuwing bevatten, alleen die van de gesynchroniseerde waarschuwing zelf.
Wanneer u synchronisatie van bi-directionele waarschuwingen inschakelen, synchroniseert u automatisch de status van de oorspronkelijke Defender for Cloud-waarschuwingen met Microsoft Sentinel-incidenten die de kopieën van deze Defender for Cloud-waarschuwingen bevatten. Wanneer bijvoorbeeld een Microsoft Sentinel-incident met een Defender for Cloud-waarschuwing wordt gesloten, sluit Defender for Cloud automatisch de bijbehorende oorspronkelijke waarschuwing.
Meer informatie in Verbinding maken Azure Defender waarschuwingen van Azure Security Center en Stream-waarschuwingen naar Azure Sentinel.
Nieuwe aanbeveling voor het pushen Azure Kubernetes Service (AKS)-logboeken naar Sentinel
In een verdere uitbreiding van de gecombineerde waarde van Defender for Cloud en Microsoft Sentinel markeren we nu Azure Kubernetes Service exemplaren die geen logboekgegevens naar Microsoft Sentinel verzenden.
SecOps-teams kunnen de relevante Microsoft Sentinel-werkruimte rechtstreeks op de pagina met aanbevelingsdetails kiezen en direct streaming van onbewerkte logboeken inschakelen. Deze naadloze verbinding tussen de twee producten maakt het voor beveiligingsteams eenvoudig om ervoor te zorgen dat volledige logboekregistratiedekking voor hun workloads de volledige omgeving in de hand heeft.
De nieuwe aanbeveling 'Diagnostische logboeken in Kubernetes-services moeten zijn ingeschakeld' bevat de optie 'Oplossing' voor sneller herstel.
We hebben ook de aanbeveling 'Controle op SQL server moet worden ingeschakeld' verbeterd met dezelfde Sentinel-streamingmogelijkheden.
Aanbevelingen aan het MITRE ATT&CK® framework - uitgebracht voor algemene beschikbaarheid
We hebben de beveiligingsaanbevelingen van Defender for Cloud verbeterd om hun positie op het MITRE ATT-framework&CK® te tonen. Deze wereldwijd toegankelijke knowledge base van de tactieken en technieken van bedreigingsactoren op basis van waarnemingen in de echte wereld biedt meer context om u te helpen inzicht te krijgen in de bijbehorende risico's van de aanbevelingen voor uw omgeving.
U vindt deze tactieken overal waar u toegang hebt tot aanbevelingsinformatie:
Azure Resource Graph queryresultaten voor relevante aanbevelingen zijn de MITRE ATT-&CK®tactieken en technieken.
Pagina's met aanbevelingsdetails tonen de toewijzing voor alle relevante aanbevelingen:
De pagina met aanbevelingen in Defender for Cloud heeft een nieuw filter om aanbevelingen te selecteren op basis van hun
bijbehorende tactiek:
Meer informatie in Uw beveiligingsaanbevelingen controleren.
Microsoft Threat and Vulnerability Management toegevoegd als oplossing voor evaluatie van beveiligingsleed- uitgebracht voor algemene beschikbaarheid
In oktober hebben we een uitbreiding aangekondigd van de integratie tussen Microsoft Defender voor servers en Microsoft Defender for Endpoint ter ondersteuning van een nieuwe provider voor de evaluatie van beveiligingsleed voor uw computers: Microsoft Threat and Vulnerability Management. Deze functie is nu uitgebracht voor algemene beschikbaarheid.
Gebruik Threat and Vulnerability Management om in bijna realtime beveiligingsproblemen en onjuiste configuraties te ontdekken met de integratie met Microsoft Defender for Endpoint ingeschakeld en zonder dat er aanvullende agents of periodieke scans nodig zijn. Bedreigingen en vulnerability management prioriteit geven aan beveiligingsproblemen op basis van het bedreigingslandschap en detecties in uw organisatie.
Gebruik de beveiligingsaanbeveling'Ermoet een oplossing voor de evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines' om de beveiligingsproblemen op te sporen die zijn gedetecteerd door Threat and Vulnerability Management voor uw ondersteunde machines.
Zie Oplossingen voor evaluatie van beveiligingsproblemen kunnen nu automatisch worden ingeschakeld (in preview)als u de beveiligingsproblemen automatisch wilt verhelpen op bestaande en nieuwe machines, zonder de aanbeveling handmatig te hoeven herstellen.
Meer informatie in Zwakke plekken onderzoeken met de microsoft Defender for Endpoint-Threat and Vulnerability Management.
Microsoft Defender voor Eindpunt voor Linux wordt nu ondersteund door Microsoft Defender voor servers- uitgebracht voor algemene beschikbaarheid
In augustus hebben we preview-ondersteuning aangekondigd voor het implementeren van de Defender for Endpoint for Linux-sensor op ondersteunde Linux-machines. Deze functie is nu uitgebracht voor algemene beschikbaarheid.
Microsoft Defender voor servers bevat een geïntegreerde licentie voor Microsoft Defender for Endpoint. Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR).
Wanneer Defender voor Eindpunten een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Defender for Cloud. Vanuit Defender for Cloud kunt u ook naar de Defender for Endpoint-console draaien en een gedetailleerd onderzoek uitvoeren om het bereik van de aanval te achterhalen.
Meer informatie in Uw eindpunten beveiligen met Security Center geïntegreerde EDR oplossing: Microsoft Defender for Endpoint.
Momentopname exporteren voor aanbevelingen en beveiligings bevindingen (in preview)
Defender for Cloud genereert gedetailleerde beveiligingswaarschuwingen en aanbevelingen. U kunt ze weergeven in de portal of via programmatische hulpprogramma's. Mogelijk moet u ook een deel of al deze informatie exporteren om bij te houden met andere bewakingsprogramma's in uw omgeving.
Met de functie voor continue export van Defender for Cloud kunt u volledig aanpassen wat er wordt geëxporteerd en waar het naartoe gaat. Meer informatie in Continu Microsoft Defender for Cloud-gegevens exporteren.
Hoewel de functie doorlopend wordt genoemd, is er ook een optie om wekelijkse momentopnamen te exporteren. Tot nu toe waren deze wekelijkse momentopnamen beperkt tot gegevens over de veilige score en naleving van regelgeving. We hebben de mogelijkheid toegevoegd om aanbevelingen en beveiligings bevindingen te exporteren.
Automatisch inrichten van oplossingen voor evaluatie van beveiligingsleed, uitgebracht voor algemene beschikbaarheid
In oktober hebben we de toevoeging aangekondigd van oplossingen voor de evaluatie van beveiligingsleed aan de pagina voor automatische inrichting van Defender for Cloud. Dit is relevant voor virtuele Azure-machines en Azure Arc machines in abonnementen die worden beveiligd door Azure Defender voor servers. Deze functie is nu uitgebracht voor algemene beschikbaarheid.
Als de integratie met Microsoft Defender for Endpoint is ingeschakeld, biedt Defender for Cloud een keuze uit oplossingen voor de evaluatie van beveiligingsleed:
- (NIEUW) De Microsoft Threat and Vulnerability Management-module van Microsoft Defender for Endpoint (zie de release-opmerking)
- De geïntegreerde Qualys-agent
Uw gekozen oplossing wordt automatisch ingeschakeld op ondersteunde computers.
Meer informatie in Evaluatie van beveiligingsleed automatisch configureren voor uw computers.
Software-inventarisfilters in assetinventaris vrijgegeven voor algemene beschikbaarheid
In oktober hebben we nieuwe filters aangekondigd voor de assetinventarispagina om machines met specifieke software te selecteren en zelfs de verantwoordelijke versies op te geven. Deze functie is nu uitgebracht voor algemene beschikbaarheid.
U kunt een query uitvoeren op de software-inventarisgegevens in Azure Resource Graph Explorer.
Als u deze functies wilt gebruiken, moet u de integratie met Microsoft Defender voor eindpunt inschakelen.
Zie Access a software inventory (Toegang tot een software-inventaris) voor Graph kusto-voorbeeldquery's voor Azure Resource Graph.
Nieuw AKS-beveiligingsbeleid toegevoegd aan standaardinitiatief: alleen voor gebruik door klanten met een privépreview
Om ervoor te zorgen dat Kubernetes-workloads standaard zijn beveiligd, bevat Defender for Cloud beleidsregels op Kubernetes-niveau en aanbevelingen voor beveiliging, waaronder afdwingingsopties met Kubernetes-toegangsbeheer.
Als onderdeel van dit project hebben we een beleid en aanbeveling toegevoegd (standaard uitgeschakeld) voor het implementeren van Kubernetes-clusters. Het beleid maakt gebruik van het standaardinitiatief, maar is alleen relevant voor organisaties die zich registreren voor de gerelateerde privépreview.
U kunt het beleid en de aanbeveling negeren ('Kubernetes-clusters moeten de implementatie van kwetsbare afbeeldingen beperken') en dit heeft geen invloed op uw omgeving.
Als u wilt deelnemen aan de privépreview, moet u lid zijn van de privépreviewring. Als u nog geen lid bent, dient u hier een aanvraag in. Leden krijgen een melding wanneer de preview begint.
Bij de inventarisatieweergave van on-premises machines wordt een andere sjabloon toegepast voor de resourcenaam
Om de presentatie van resources in de assetinventarisatie te verbeteren,hebben we het element 'source-computer-IP' verwijderd uit de sjabloon voor de naamgeving van on-premises machines.
- Vorige indeling:
machine-name_source-computer-id_VMUUID - In deze update:
machine-name_VMUUID
Oktober 2021
De updates in oktober omvatten:
- Microsoft Threat and Vulnerability Management toegevoegd als oplossing voor evaluatie van beveiligingsleed (in preview)
- Oplossingen voor evaluatie van beveiligingsleed kunnen nu automatisch worden ingeschakeld (in preview)
- Software-inventarisfilters toegevoegd aan assetinventarisatie (in preview)
- Het voorvoegsel van sommige waarschuwingstypen is gewijzigd van 'ARM_' in 'VM_'
- Wijzigingen in de logica van een beveiligingsaanbeveling voor Kubernetes-clusters
- Aanbevelingen pagina's met details geven nu gerelateerde aanbevelingen weer
- Nieuwe waarschuwingen voor Azure Defender voor Kubernetes (in preview)
Microsoft Threat and Vulnerability Management toegevoegd als oplossing voor evaluatie van beveiligingsleed (in preview)
We hebben de integratie tussen Azure Defender voor servers en Microsoft Defender for Endpoint uitgebreid om ondersteuning te bieden voor een nieuwe provider voor de evaluatie van beveiligingsprobleemvoor uw computers: Microsoft Threat and Vulnerability Management .
Gebruik Threat and Vulnerability Management om in bijna realtime beveiligingsproblemen en onjuiste configuraties te ontdekken met de integratie met Microsoft Defender for Endpoint ingeschakeld en zonder dat er aanvullende agents of periodieke scans nodig zijn. Bedreigingen en vulnerability management prioriteit geven aan beveiligingsproblemen op basis van het bedreigingslandschap en detecties in uw organisatie.
Gebruik de beveiligingsaanbeveling'Ermoet een oplossing voor evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines' om de beveiligingsproblemen op te sporen die door Threat and Vulnerability Management voor uw ondersteunde machines zijn gedetecteerd.
Zie Oplossingen voor evaluatie van beveiligingsproblemen kunnen nu automatisch worden ingeschakeld (in preview)als u de beveiligingsproblemen automatisch wilt verhelpen op bestaande en nieuwe machines, zonder de aanbeveling handmatig te hoeven herstellen.
Meer informatie in Zwakke plekken onderzoeken met de microsoft Defender for Endpoint-Threat and Vulnerability Management.
Oplossingen voor evaluatie van beveiligingsleed kunnen nu automatisch worden ingeschakeld (in preview)
de Security Center van de automatische inrichtingspagina van Security Center bevat nu de optie om automatisch een oplossing voor de evaluatie van beveiligingsle gegevens in teschakelen voor virtuele Azure-machines en Azure Arc-machines op abonnementen die zijn beveiligd met Azure Defender voor servers.
Als de integratie met Microsoft Defender for Endpoint is ingeschakeld, biedt Defender for Cloud een keuze uit oplossingen voor de evaluatie van beveiligingsleed:
- (NIEUW) De Microsoft Threat and Vulnerability Management-module van Microsoft Defender for Endpoint (zie de release-opmerking)
- De geïntegreerde Qualys-agent
Uw gekozen oplossing wordt automatisch ingeschakeld op ondersteunde computers.
Meer informatie in Evaluatie van beveiligingsleed automatisch configureren voor uw computers.
Software-inventarisfilters toegevoegd aan assetinventarisatie (in preview)
De assetinventarispagina bevat nu een filter om machines met specifieke software te selecteren en zelfs de activumversies op te geven.
Daarnaast kunt u een query uitvoeren op de software-inventarisgegevens in Azure Resource Graph Explorer.
Als u deze nieuwe functies wilt gebruiken, moet u de integratie met Microsoft Defender voor eindpunt inschakelen.
Zie Access a software inventory (Toegang tot een software-inventaris) voor Graph kusto-voorbeeldquery's voor Azure Resource Graph.
Het voorvoegsel van sommige waarschuwingstypen is gewijzigd van 'ARM_' in 'VM_'
In juli 2021 hebben we een logische herindeling aangekondigd van Azure Defender voor Resource Manager waarschuwingen
Als onderdeel van een logische herindeling van een aantal Azure Defender-plannen, hebben we eenentwintig waarschuwingen verplaatst van Azure Defender voor Resource Manager naar Azure Defender voor servers.
Met deze update hebben we de voorvoegsels van deze waarschuwingen zo gewijzigd dat ze overeenkomen met deze nieuwe ARM_ en 'ARM_' vervangen door 'VM_', zoals wordt weergegeven in de volgende tabel:
| Oorspronkelijke naam | Van deze wijziging |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Meer informatie over de Azure Defender voor Resource Manager en Azure Defender voor servers-abonnementen.
Wijzigingen in de logica van een beveiligingsaanbeveling voor Kubernetes-clusters
Met de aanbeveling 'Kubernetes-clusters mogen niet de standaardnaamruimte gebruiken' wordt het gebruik van de standaardnaamruimte voor een bereik van resourcetypen voorkomen. Twee van de resourcetypen die in deze aanbeveling zijn opgenomen, zijn verwijderd: ConfigMap en Secret.
Meer informatie over deze aanbeveling en het harden van uw Kubernetes-clusters vindt u in Inzicht Azure Policy voor Kubernetes-clusters.
Aanbevelingen pagina's met details geven nu gerelateerde aanbevelingen weer
Om de relaties tussen verschillende aanbevelingen te verduidelijken, hebben we het gebied Gerelateerde aanbevelingen toegevoegd aan de pagina's met details van veel aanbevelingen.
De drie relatietypen die op deze pagina's worden weergegeven, zijn:
- Vereiste: een aanbeveling die moet worden voltooid vóór de geselecteerde aanbeveling
- Alternatief: een andere aanbeveling die een andere manier biedt om de doelstellingen van de geselecteerde aanbeveling te bereiken
- Afhankelijk: een aanbeveling waarvoor de geselecteerde aanbeveling een vereiste is
Voor elke gerelateerde aanbeveling wordt het aantal slechte resources weergegeven in de kolom Betrokken resources.
Tip
Als een gerelateerde aanbeveling grijs wordt weergegeven, is de afhankelijkheid nog niet voltooid en is deze dus niet beschikbaar.
Een voorbeeld van gerelateerde aanbevelingen:
Security Center controleert uw computers op ondersteunde oplossingen voor evaluatie van beveiligingsleed:
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)Als er een wordt gevonden, krijgt u een melding over gevonden beveiligingsproblemen:
Beveiligingsproblemen op uw virtuele machines moeten worden hersteld
Uiteraard kunnen Security Center u niet op de hoogte stellen van gevonden beveiligingsproblemen, tenzij er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen wordt gevonden.
Daarom:
- Aanbeveling 1 is een vereiste voor aanbeveling 2
- Aanbeveling 2 is afhankelijk van aanbeveling 1
Nieuwe waarschuwingen voor Azure Defender voor Kubernetes (in preview)
We hebben twee preview-waarschuwingen toegevoegd om de bedreigingsbeveiligingen die door Azure Defender voor Kubernetes worden geleverd, uit te breiden.
Deze waarschuwingen worden gegenereerd op basis van een nieuw machine learning-model en geavanceerde kubernetes-analyses, die meerdere implementatie- en roltoewijzingskenmerken meten ten opzichte van eerdere activiteiten in het cluster en in alle clusters die worden bewaakt door Azure Defender.
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactiek | Ernst |
|---|---|---|---|
| Afwijkende podimplementatie (preview) (K8S_AnomalousPodDeployment) |
Analyse van auditlogboek van Kubernetes heeft implementatie van pods gedetecteerd die afwijkende is op basis van de vorige implementatieactiviteit van pods. Deze activiteit wordt beschouwd als een afwijking wanneer rekening wordt gehouden met de manier waarop de verschillende functies die in de implementatiebewerking worden gezien, met elkaar in relatie staan. De functies die door deze analyse worden bewaakt, zijn onder andere het gebruikte containerregister, het account dat de implementatie uitvoert, de dag van de week, hoe vaak dit account podimplementaties uitvoert, de gebruikersagent die wordt gebruikt in de bewerking. Dit is een naamruimte die podimplementatie vaak of een andere functie is. De belangrijkste redenen voor het verhogen van deze waarschuwing als afwijkende activiteit worden beschreven onder de uitgebreide eigenschappen van de waarschuwing. | Uitvoering | Normaal |
| Overmatige rolmachtigingen toegewezen in Kubernetes-cluster (preview) (K8S_ServiceAcountPermissionAnomaly) |
Bij analyse van de Kubernetes-auditlogboeken is een overmatige machtigingenroltoewijzing aan uw cluster gedetecteerd. Bij het onderzoeken van roltoewijzingen zijn de vermelde machtigingen ongebruikelijk voor het specifieke serviceaccount. Bij deze detectie wordt rekening gehouden met eerdere roltoewijzingen aan hetzelfde serviceaccount in clusters die worden bewaakt door Azure, volume per machtiging en de impact van de specifieke machtiging. In het anomaliedetectiemodel dat voor deze waarschuwing wordt gebruikt, wordt rekening gehouden met de manier waarop deze machtiging wordt gebruikt voor alle clusters die worden bewaakt door Azure Defender. | Escalatie van bevoegdheden | Beperkt |
Zie Waarschuwingen voor Kubernetes-clusters voor een volledige lijst met Kubernetes-waarschuwingen.
September 2021
In september is de volgende update uitgebracht:
Twee nieuwe aanbevelingen voor het controleren van besturingssysteemconfiguraties voor naleving van Azure-beveiligingsbasislijnen (in preview)
De volgende twee aanbevelingen zijn uitgebracht om de compatibiliteit van uw computers met de Windows beveiligingsbasislijn en de Linux-beveiligingsbasislijn te beoordelen:
- Voor Windows machines moeten beveiligingsproblemen in de beveiligingsconfiguratie op Windows machines worden verteerd (powered by gastconfiguratie)
- Voor Linux-machines moeten beveiligingsproblemen in de beveiligingsconfiguratie op uw Linux-machines worden verteerd (powered by gastconfiguratie)
Deze aanbevelingen maken gebruik van de gastconfiguratiefunctie van Azure Policy om de besturingssysteemconfiguratie van een machine te vergelijken met de basislijn die is gedefinieerd in de Azure Security Benchmark.
Meer informatie over het gebruik van deze aanbevelingen in Besturingssysteemconfiguratie van een machine harden met behulp van gastconfiguratie.
Augustus 2021
De updates in augustus zijn onder meer:
- Microsoft Defender voor Eindpunt voor Linux wordt nu ondersteund door Azure Defender voor servers (in preview)
- Twee nieuwe aanbevelingen voor het beheren van oplossingen voor eindpuntbeveiliging (in preview)
- Ingebouwde probleemoplossing en richtlijnen voor het oplossen van veelvoorkomende problemen
- Azure Audit reports released for general availability (GA) (Azure-controlerapporten van het dashboard voor naleving van regelgeving, uitgebracht voor algemene beschikbaarheid)
- Afgeschafte aanbeveling ' Statusproblemen met Log Analytics-agent moeten worden opgelost op uw computers'
- Azure Defender voor containerregisters scant nu op beveiligingsproblemen in registers die zijn beveiligd met Azure Private Link
- Security Center kunt de gastconfiguratie-extensie van Azure Policy nu automatisch inrichten (in preview)
- Aanbevelingen voor het inschakelen Azure Defender nu 'Afdwingen' wordt ondersteund
- CSV-exports van aanbevelingsgegevens nu beperkt tot 20 MB
- Aanbevelingen pagina bevat nu meerdere weergaven
Microsoft Defender voor Eindpunt voor Linux wordt nu ondersteund door Azure Defender voor servers (in preview)
Azure Defender voor servers bevat een geïntegreerde licentie voor Microsoft Defender for Endpoint. Samen bieden ze uitgebreide mogelijkheden voor eindpuntdetectie en -reactie (EDR).
Wanneer Defender voor Eindpunten een bedreiging detecteert, wordt er een waarschuwing geactiveerd. De waarschuwing wordt weergegeven in Security Center. Vanuit Security Center kunt u ook naar de Defender voor Eindpunten-console draaien en een gedetailleerd onderzoek uitvoeren om het bereik van de aanval te ontdekken.
Tijdens de preview-periode implementeert u de Defender for Endpoint for Linux-sensor op een van de volgende twee manieren op ondersteunde Linux-machines, afhankelijk van of u deze al hebt geïmplementeerd op uw Windows machines:
- Bestaande gebruikers met verbeterde beveiligingsfuncties van Defender for Cloud en Microsoft Defender for Endpoint voor Windows
- Nieuwe gebruikers die de integratie met Microsoft Defender for Endpoint nooit hebben ingeschakeld voor Windows
Meer informatie in Uw eindpunten beveiligen met Security Center geïntegreerde EDR oplossing: Microsoft Defender for Endpoint.
Twee nieuwe aanbevelingen voor het beheren van oplossingen voor eindpuntbeveiliging (in preview)
We hebben twee preview-aanbevelingen toegevoegd voor het implementeren en onderhouden van de oplossingen voor eindpuntbeveiliging op uw computers. Beide aanbevelingen omvatten ondersteuning voor virtuele Azure-machines en machines die zijn verbonden Azure Arc servers met ingeschakelde servers.
| Aanbeveling | Beschrijving | Severity |
|---|---|---|
| Eindpuntbeveiliging moet op uw machines worden geïnstalleerd | Installeer een ondersteunde oplossing voor eindpuntbeveiliging om uw machines tegen bedreigingen en beveiligingsproblemen te beschermen. Meer informatie over het evalueren van Endpoint Protection voor machines. (Gerelateerd beleid: Ontbrekende eindpuntbeveiliging bewaken in Azure Security Center) |
Hoog |
| Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Azure Security Center ondersteunde oplossingen voor eindpuntbeveiliging worden hier beschreven. Endpoint Protection-evaluatie wordt hier beschreven. (Gerelateerd beleid: Ontbrekende eindpuntbeveiliging bewaken in Azure Security Center) |
Normaal |
Notitie
De aanbevelingen geven hun nieuwheidsinterval weer als 8 uur, maar er zijn enkele scenario's waarin dit aanzienlijk langer kan duren. Wanneer een on-premises machine bijvoorbeeld wordt verwijderd, duurt het 24 uur voordat Security Center de verwijdering heeft gevonden. Daarna duurt het maximaal acht uur om de informatie te retourneren. In die specifieke situatie kan het daarom 32 uur duren voordat de machine is verwijderd uit de lijst met betrokken resources.
Ingebouwde probleemoplossing en richtlijnen voor het oplossen van veelvoorkomende problemen
Een nieuw, toegewezen gebied van de Security Center-pagina's in de Azure Portal biedt een gesorteerde, steeds groeiende set zelfhulpmateriaal voor het oplossen van veelvoorkomende problemen met Security Center en Azure Defender.
Wanneer u een probleem hebt of op zoek bent naar advies van ons ondersteuningsteam, is Problemen vaststellen en oplossen een ander hulpmiddel om u te helpen bij het vinden van de oplossing:
Azure Audit reports released for general availability (GA) (Azure-controlerapporten van het dashboard voor naleving van regelgeving, uitgebracht voor algemene beschikbaarheid)
De werkbalk van het dashboard voor naleving van regelgeving biedt Azure- en Dynamics-certificeringsrapporten voor de standaarden die worden toegepast op uw abonnementen.
U kunt het tabblad voor de relevante rapportentypen (PCI, SOC, ISO en andere) selecteren en filters gebruiken om de specifieke rapporten te vinden die u nodig hebt.
Zie Rapporten over de nalevingsstatus en certificaten genereren voor meer informatie.
Afgeschafte aanbeveling ' Statusproblemen met Log Analytics-agent moeten worden opgelost op uw computers'
We hebben geconstateerd dat de aanbeveling voor het oplossen van problemen met de status van de Log Analytics-agent op uw computers van invloed is op beveiligingsscores op manieren die inconsistent zijn met de CSPM-focus (Cloud Security Posture Management) van Security Center. CSPM heeft doorgaans betrekking op het identificeren van onjuiste beveiligingsconfiguraties. Statusproblemen van de agent passen niet in deze categorie problemen.
De aanbeveling is ook een afwijking in vergelijking met de andere agents met betrekking tot Security Center: dit is de enige agent met een aanbeveling met betrekking tot statusproblemen.
De aanbeveling is afgeschaft.
Als gevolg van deze afschaffing hebben we ook kleine wijzigingen aangebracht in de aanbevelingen voor het installeren van de Log Analytics-agent (Log Analytics-agent moet worden geïnstalleerd op... ).
Het is waarschijnlijk dat deze wijziging van invloed is op uw beveiligde scores. Voor de meeste abonnementen verwachten we dat de wijziging zal leiden tot een hogere score, maar het is mogelijk dat de updates van de installatieaanbeveling in sommige gevallen kunnen leiden tot lagere scores.
Tip
De assetinventarispagina is ook beïnvloed door deze wijziging, omdat deze de bewaakte status voor machines we weergeven (bewaakt, niet bewaakt of gedeeltelijk bewaakt: een status die verwijst naar een agent met statusproblemen).
Azure Defender voor containerregisters scant nu op beveiligingsproblemen in registers die zijn beveiligd met Azure Private Link
Azure Defender voor containerregisters bevat een scanner voor beveiligingsprobleem om afbeeldingen in uw Azure Container Registry scannen. Meer informatie over het scannen van uw registers en het herstellen van bevindingen in Azure Defender voor containerregistersgebruiken om uw afbeeldingen te scannen op beveiligingsproblemen.
Als u de toegang wilt beperken tot een register dat wordt gehost in Azure Container Registry, wijst u privé-IP-adressen van virtuele netwerken toe aan de register-eindpunten en gebruikt u Azure Private Link zoals uitgelegd in Verbinding maken privé aan een Azure-containerregistermet behulp van Azure Private Link .
Als onderdeel van onze voortdurende inspanningen om aanvullende omgevingen en gebruiksgevallen te ondersteunen, scant Azure Defender nu ook containerregisters die zijn beveiligd met Azure Private Link.
Security Center kunt de gastconfiguratie-extensie van Azure Policy nu automatisch inrichten (in preview)
Azure Policy kunt instellingen in een computer controleren, zowel voor machines die worden uitgevoerd in Azure als arc-verbonden machines. De validatie wordt uitgevoerd door de extensie en client voor gastconfiguratie. Meer informatie in Inzicht Azure Policy gastconfiguratie van Azure Policy.
Met deze update kunt u nu instellen dat Security Center extensie automatisch inrichten voor alle ondersteunde machines.
Meer informatie over hoe automatische inrichting werkt in Automatische inrichting configureren voor agents en extensies.
Aanbevelingen voor het inschakelen Azure Defender nu 'Afdwingen' wordt ondersteund
Security Center bevat twee functies die ervoor zorgen dat nieuwe resources veilig worden ingericht: afdwingen en weigeren. Wanneer een aanbeveling deze opties biedt, kunt u ervoor zorgen dat aan uw beveiligingsvereisten wordt voldaan wanneer iemand een resource probeert te maken:
- Weigeren stopt het maken van resources die niet in orde zijn
- Afdwingen herstelt automatisch niet-compatibele resources wanneer deze worden gemaakt
Met deze update is de optie afdwingen nu beschikbaar in de aanbevelingen voor het inschakelen van Azure Defender-abonnementen (zoals Azure Defender voor App Service moet zijn ingeschakeld, moet Azure Defender voor Key Vault zijn ingeschakeld, moet Azure Defender voor Storage zijn ingeschakeld).
Meer informatie over deze opties kunt u bekijken in Onjuiste configuraties voorkomen met aanbevelingen voor afdwingen/weigeren.
CSV-exports van aanbevelingsgegevens nu beperkt tot 20 MB
We hanteren een limiet van 20 MB bij het exporteren van Security Center aanbevelingen.
Als u grotere hoeveelheden gegevens wilt exporteren, gebruikt u de beschikbare filters voordat u subsets van uw abonnementen selecteert of selecteert en de gegevens in batches downloadt.
Meer informatie over het uitvoeren van een CSV-export van uw beveiligingsaanbevelingen.
Aanbevelingen pagina bevat nu meerdere weergaven
De pagina aanbevelingen heeft nu twee tabbladen om alternatieve manieren te bieden om de aanbevelingen weer te geven die relevant zijn voor uw resources:
- Aanbevelingen voor beveiligingsscore: gebruik dit tabblad om de lijst met aanbevelingen weer te geven die zijn gegroepeerd op beveiligingsbeheer. Meer informatie over deze besturingselementen in Beveiligingsmaatregelen en hun aanbevelingen.
- Alle aanbevelingen: gebruik dit tabblad om de lijst met aanbevelingen weer te geven als een platte lijst. Dit tabblad is ook geweldig om te begrijpen welk initiatief (inclusief nalevingsstandaarden voor regelgeving) de aanbeveling heeft gegenereerd. Meer informatie over initiatieven en hun relatie tot aanbevelingen in Wat zijn beveiligingsbeleid, initiatieven en aanbevelingen?.
Juli 2021
De updates in juli zijn onder meer:
- Azure Sentinel-connector bevat nu optionele synchronisatie van waarschuwingen in twee richtingen (in preview)
- Logische herindeling van Azure Defender voor Resource Manager waarschuwingen
- Verbeteringen in de aanbeveling voor het inschakelen Azure Disk Encryption (ADE)
- Continue export van gegevens over de beveiliging en naleving van regelgeving die zijn vrijgegeven voor algemene beschikbaarheid
- Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in evaluaties van naleving van regelgeving (GA)
- Het API-veld 'FirstEvaluationDate' en 'StatusChangeDate' voor evaluaties zijn nu beschikbaar in werkruimteschema's en logische apps
- Werkmapsjabloon 'Naleving gedurende een periode' toegevoegd aan Azure Monitor Werkmappengalerie
Azure Sentinel-connector bevat nu optionele synchronisatie van waarschuwingen in twee richtingen (in preview)
Security Center systeemeigen integreert met Azure Sentinel, de cloudeigen SIEM- en SOAR-oplossing van Azure.
Azure Sentinel bevat ingebouwde connectors voor Azure Security Center op abonnements- en tenantniveau. Meer informatie in Stream-waarschuwingen voor Azure Sentinel.
Wanneer u verbinding Azure Defender met Azure Sentinel, wordt de status van Azure Defender-waarschuwingen die worden opgenomen in Azure Sentinel gesynchroniseerd tussen de twee services. Wanneer een waarschuwing bijvoorbeeld in een Azure Defender gesloten, wordt die waarschuwing ook weergegeven als gesloten in Azure Sentinel waarschuwing. Het wijzigen van de status van een waarschuwing in Azure Defender is niet van invloed op de status van Azure Sentinel-incidenten die de gesynchroniseerde Azure Sentinel-waarschuwing bevatten, alleen die van de gesynchroniseerde waarschuwing zelf.
Als u deze preview-functie inschakelen, synchronisatie van bi-directionele waarschuwingen, wordt de status van de oorspronkelijke Azure Defender-waarschuwingen automatisch gesynchroniseerd met Azure Sentinel-incidenten die de kopieën van deze Azure Defender-waarschuwingen bevatten. Wanneer bijvoorbeeld een Azure Sentinel met een Azure Defender waarschuwing wordt gesloten, wordt Azure Defender de bijbehorende oorspronkelijke waarschuwing automatisch gesloten.
Meer informatie in Verbinding maken Azure Defender waarschuwingen van Azure Security Center.
Logische herindeling van Azure Defender voor Resource Manager waarschuwingen
De onderstaande waarschuwingen zijn opgegeven als onderdeel van de Azure Defender voor Resource Manager abonnement.
Als onderdeel van een logische herindeling van een aantal Azure Defender-plannen, hebben we enkele waarschuwingen verplaatst van Azure Defender voor Resource Manager naar Azure Defender voor servers.
De waarschuwingen zijn ingedeeld volgens twee hoofdprincipes:
- Waarschuwingen die beveiliging op besturingsvlak bieden voor veel Azure-resourcetypen, maken deel uit van Azure Defender voor Resource Manager
- Waarschuwingen voor het beveiligen van specifieke workloads staan in Azure Defender plan dat betrekking heeft op de bijbehorende workload
Dit zijn de waarschuwingen die deel uitmaakten van Azure Defender voor Resource Manager en die, als gevolg van deze wijziging, nu deel uitmaken van Azure Defender voor servers:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Meer informatie over de Azure Defender voor Resource Manager en Azure Defender voor servers-abonnementen.
Verbeteringen in de aanbeveling voor het inschakelen Azure Disk Encryption (ADE)
Na feedback van gebruikers hebben we de naam van de aanbeveling Schijfversleuteling moet worden toegepast op virtuele machines gewijzigd.
De nieuwe aanbeveling maakt gebruik van dezelfde evaluatie-id en heet Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen versleutelen tussen Compute en Storage resources.
De beschrijving is ook bijgewerkt om het doel van deze aanbeveling voor betere harding beter uit te leggen:
| Aanbeveling | Beschrijving | Severity |
|---|---|---|
| Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen versleutelen tussen Reken- en Storage resources | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine in rust versleuteld met behulp van door het platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagbronnen. Zie voor een vergelijking van verschillende schijfversleutelingstechnologieën in https://aka.ms/diskencryptioncomparison Azure. Gebruik Azure Disk Encryption om al deze gegevens te versleutelen. Negeer deze aanbeveling als: (1) u de functie encryption-at-host gebruikt of (2) versleuteling aan de serverzijde op Managed Disks voldoet aan uw beveiligingsvereisten. Meer informatie in Versleuteling aan serverzijde van Azure Disk Storage. |
Hoog |
Continue export van gegevens over de beveiliging en naleving van regelgeving die zijn vrijgegeven voor algemene beschikbaarheid
Continue export biedt het mechanisme voor het exporteren van uw beveiligingswaarschuwingen en aanbevelingen voor het bijhouden van andere bewakingsprogramma's in uw omgeving.
Wanneer u uw continue export in stelt, configureert u wat er wordt geëxporteerd en waar het naartoe gaat. Meer informatie in het overzicht van continue export.
We hebben deze functie in de afgelopen tijd verbeterd en uitgebreid:
In november 2020 hebben we de preview-optie toegevoegd om wijzigingen naar uw secure score te streamen.
Zie Secure score is now available in continuous export (preview) (Beveiligde score is nu beschikbaar in continue export (preview)) voor meer informatie.In december 2020 hebben we de preview-optie toegevoegd om wijzigingen te streamen naar de evaluatiegegevens van uw regelgeving.
Zie Continue export haalt nieuwe gegevenstypen op (preview) voor meer informatie.
Met deze update worden deze twee opties uitgebracht voor algemene beschikbaarheid.
Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in evaluaties van naleving van regelgeving (GA)
In februari 2021 hebben we een derde voorbeeldgegevenstype toegevoegd aan de triggeropties voor uw werkstroomautomatiseringen: wijzigingen in evaluaties van naleving van regelgeving. Meer informatie vindt u in Werkstroomautomatiseringen kunnen worden geactiveerd door wijzigingen in evaluaties van naleving van regelgeving.
Met deze update wordt deze triggeroptie uitgebracht voor algemene beschikbaarheid.
Meer informatie over het gebruik van de hulpprogramma's voor werkstroomautomatisering in Reacties op Security Center triggers automatiseren.
Het API-veld 'FirstEvaluationDate' en 'StatusChangeDate' voor evaluaties zijn nu beschikbaar in werkruimteschema's en logische apps
In mei 2021 hebben we de evaluatie-API bijgewerkt met twee nieuwe velden, FirstEvaluationDate en StatusChangeDate. Zie Assessments API expanded with two new fields (Api voor evaluaties uitgebreid met twee nieuwe velden) voor meer informatie.
Deze velden waren toegankelijk via de REST API, Azure Resource Graph, continue export en in CSV-exports.
Met deze wijziging maken we de informatie beschikbaar in het Log Analytics-werkruimteschema en vanuit logische apps.
Werkmapsjabloon 'Naleving na een periode' toegevoegd aan Azure Monitor Workbooks-galerie
In maart hebben we de geïntegreerde Azure Monitor Workbooks-ervaring in Security Center aangekondigd (zie Azure Monitor Workbooks geïntegreerd in Security Center en drie meegeleverde sjablonen).
De eerste release bevatte drie sjablonen voor het maken van dynamische en visuele rapporten over de beveiligingsstatus van uw organisatie.
We hebben nu een werkmap toegevoegd die speciaal is bedoeld voor het bijhouden van de naleving van een abonnement met de regelgeving of industriestandaarden die op het abonnement worden toegepast.
Meer informatie over het gebruik van deze rapporten of het bouwen van uw eigen rapporten in Uitgebreide, interactieve rapporten van Security Center maken.
Juni 2021
De updates in juni zijn onder meer:
- Nieuwe waarschuwing voor Azure Defender voor Key Vault
- Aanbevelingen versleutelen met door de klant beheerde sleutels (CMK's) die standaard zijn uitgeschakeld
- Voorvoegsel voor Kubernetes-waarschuwingen is gewijzigd van 'AKS_' in 'K8S_'
- Twee aanbevelingen van het beveiligingsbeheer Systeemupdates toepassen zijn afgeschaft
Nieuwe waarschuwing voor Azure Defender voor Key Vault
We hebben de volgende waarschuwing toegevoegd om de bedreigingsbeveiligingen Azure Defender voor Key Vault uit te breiden:
| Waarschuwing (waarschuwingstype) | Description | MITRE-tactiek | Ernst |
|---|---|---|---|
| Toegang vanaf een verdacht IP-adres tot een sleutelkluis (KV_SuspiciousIPAccess) |
Een sleutelkluis is toegankelijk via een IP-adres dat door Microsoft Threat Intelligence is geïdentificeerd als een verdacht IP-adres. Dit kan erop wijzen dat uw infrastructuur is aangetast. We raden verder onderzoek aan. Lees meer over de bedreigingsinformatiemogelijkheden van Microsoft. | Toegang tot referenties | Normaal |
Zie voor meer informatie:
- Inleiding tot Azure Defender voor Key Vault
- Reageren op Azure Defender voor Key Vault-waarschuwingen
- Lijst met waarschuwingen die door de Azure Defender voor Key Vault
Aanbevelingen om te versleutelen met door de klant beheerde sleutels (CMK's) die standaard zijn uitgeschakeld
Security Center bevat meerdere aanbevelingen voor het versleutelen van data-at-rest met door de klant beheerde sleutels, zoals:
- Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest
- Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
Gegevens in Azure worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels moet alleen worden toegepast wanneer dit vereist is voor naleving van een specifiek beleid dat uw organisatie wil afdwingen.
Met deze wijziging zijn de aanbevelingen voor het gebruik van CMK's nu standaard uitgeschakeld. Indien relevant voor uw organisatie, kunt u deze inschakelen door de parameter Effect voor het bijbehorende beveiligingsbeleid te wijzigen in AuditIfNotExists of Enforce. Meer informatie in Een beveiligingsbeleid inschakelen.
Deze wijziging wordt weerspiegeld in de namen van de aanbeveling met een nieuw voorvoegsel, [Indien nodig inschakelen] , zoals wordt weergegeven in de volgende voorbeelden:
- [Inschakelen indien nodig] Storage accounts moeten een door de klant beheerde sleutel gebruiken om data-at-rest te versleutelen
- [Inschakelen indien nodig] Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
- [Inschakelen indien nodig] Azure Cosmos DB-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
Voorvoegsel voor Kubernetes-waarschuwingen is gewijzigd van 'AKS_' in 'K8S_'
Azure Defender voor Kubernetes onlangs uitgebreid om Kubernetes-clusters te beveiligen die on-premises en in omgevingen met meerdere cloudomgevingen worden gehost. Zie Use Azure Defender voor Kubernetes to protect hybrid and multi-cloud Kubernetes deployments (in preview) (Kubernetes-implementaties in meerdere cloudimplementaties (in preview) voor meer informatie.
Om het feit weer te geven dat de beveiligingswaarschuwingen van Azure Defender voor Kubernetes niet langer beperkt zijn tot clusters op Azure Kubernetes Service, hebben we het voorvoegsel voor de waarschuwingstypen gewijzigd van 'AKS_' in 'K8S_'. Indien nodig zijn de namen en beschrijvingen ook bijgewerkt. Bijvoorbeeld deze waarschuwing:
| Waarschuwing (waarschuwingstype) | Description |
|---|---|
| Kubernetes-penetratietestprogramma gedetecteerd (AKS _PenTestToolsKubeHunter) |
Analyse van het auditlogboek van Kubernetes heeft het gebruik gedetecteerd van het Kubernetes-penetratietestprogramma in het AKS-cluster. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers dergelijke openbare hulpprogramma's gebruiken voor schadelijke doeleinden. |
is gewijzigd in:
| Waarschuwing (waarschuwingstype) | Description |
|---|---|
| Kubernetes-penetratietestprogramma gedetecteerd (K8S-_PenTestToolsKubeHunter) |
Analyse van het auditlogboek van Kubernetes heeft het gebruik gedetecteerd van het Kubernetes-penetratietestprogramma in het Kubernetes-cluster. Hoewel dit gedrag legitiem kan zijn, kunnen aanvallers dergelijke openbare hulpprogramma's gebruiken voor schadelijke doeleinden. |
Alle onderdrukkingsregels die verwijzen naar waarschuwingen die beginnen AKS_, zijn automatisch geconverteerd. Als u SIEM-exports of aangepaste automatiseringsscripts hebt ingesteld die verwijzen naar Kubernetes-waarschuwingen per waarschuwingstype, moet u deze bijwerken met de nieuwe waarschuwingstypen.
Zie Waarschuwingen voor Kubernetes-clusters voor een volledige lijst met Kubernetes-waarschuwingen.
Twee aanbevelingen van het beveiligingsbeheer Systeemupdates toepassen zijn afgeschaft
De volgende twee aanbevelingen zijn afgeschaft:
- De versie van het besturingssysteem moet worden bijgewerkt voor uw cloudservicerollen: standaard werkt Azure uw gastbesturingssysteem periodiek bij naar de meest recente ondersteunde installatie afbeelding binnen de besturingssysteemfamilie die u hebt opgegeven in uw serviceconfiguratie (.cscfg), zoals Windows Server 2016.
- Kubernetes Services moet worden geüpgraded naar een niet-kwetsbare Kubernetes-versie. De evaluaties van deze aanbeveling zijn niet zo breed als we willen. We zijn van plan de aanbeveling te vervangen door een verbeterde versie die beter is afgestemd op uw beveiligingsbehoeften.