Bewerken

Veelgestelde vragen - Algemene vragen

  • Veelgestelde vragen

Wat is Microsoft Defender voor Cloud?

Microsoft Defender voor Cloud helpt u bedreigingen te voorkomen, te detecteren en erop te reageren met meer inzicht in en controle over de beveiliging van uw resources. Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw abonnementen, helpt bedreigingen te detecteren die anders onopgemerkt zouden blijven, en werkt met een uitgebreid ecosysteem van beveiligingsoplossingen.

Defender voor Cloud gebruikt bewakingsonderdelen om gegevens te verzamelen en op te slaan. Zie Gegevensverzameling in Microsoft Defender voor Cloud voor uitgebreide informatie.

Hoe kan ik Microsoft Defender voor Cloud?

Microsoft Defender voor Cloud is ingeschakeld met uw Microsoft Azure-abonnement en wordt geopend vanuit de Azure Portal. Meld u aan bij de portal, selecteer Bladeren en schuif naar Defender voor Cloud om de portal te openen.

Is er een evaluatieversie van Defender voor Cloud?

Defender voor Cloud is de eerste 30 dagen gratis. Elk gebruik dat langer is dan 30 dagen, wordt automatisch in rekening gebracht volgens het prijsschema. Meer informatie. Malwarescans in Defender for Storage zijn niet gratis inbegrepen in de eerste proefversie van 30 dagen en worden vanaf de eerste dag in rekening gebracht.

Welke Azure-resources worden bewaakt door Microsoft Defender voor Cloud?

Microsoft Defender voor Cloud controleert de volgende Azure-resources:

Defender voor Cloud beschermt ook on-premises resources en multicloudresources, waaronder Amazon AWS en Google Cloud.

Hoe kan ik de huidige beveiligingsstatus van mijn Azure-, multicloud- en on-premises resources zien?

Op de pagina Defender voor Cloud Overzicht ziet u de algehele beveiligingspostuur van uw omgeving, onderverdeeld in Compute, Netwerken, Opslag en gegevens en toepassingen. Elk resourcetype heeft een indicator met geïdentificeerde beveiligingsproblemen. Als u elke tegel selecteert, wordt een lijst weergegeven met beveiligingsproblemen die zijn geïdentificeerd door Defender voor Cloud, samen met een inventaris van de resources in uw abonnement.

Wat is een beveiligingsinitiatief?

Een beveiligingsinitiatief definieert de set besturingselementen (beleidsregels) die worden aanbevolen voor resources binnen het opgegeven abonnement. In Microsoft Defender voor Cloud wijst u initiatieven toe voor uw Azure-abonnementen, AWS-accounts en GCP-projecten op basis van de beveiligingsvereisten van uw bedrijf en het type toepassingen of gevoeligheid van de gegevens in elk abonnement.

Het beveiligingsbeleid dat is ingeschakeld in Microsoft Defender voor Cloud aanbevelingen voor beveiliging en bewaking aandrijven. Meer informatie in Wat zijn beveiligingsbeleid, initiatieven en aanbevelingen?

Wie kan een beveiligingsbeleid wijzigen?

Als u een beveiligingsbeleid wilt wijzigen, moet u een beveiligings-Beheer istrator of een eigenaar van dat abonnement zijn.

Zie Beveiligingsbeleid instellen in Microsoft Defender voor Cloud voor meer informatie over het configureren van een beveiligingsbeleid.

Wat is een beveiligingsaanaanveling?

Microsoft Defender voor Cloud analyseert de beveiligingsstatus van uw Azure-, multicloud- en on-premises resources. Wanneer mogelijke beveiligingsproblemen worden geïdentificeerd, worden aanbevelingen gemaakt. De aanbevelingen begeleiden u bij het configureren van het benodigde besturingselement. Een aantal voorbeelden:

  • Inrichting van antimalware om schadelijke software te identificeren en te verwijderen
  • Netwerkbeveiligingsgroepen en -regels voor het beheren van verkeer naar virtuele machines
  • Inrichten van een webtoepassingsfirewall ter bescherming tegen aanvallen die gericht zijn op uw webtoepassingen
  • Implementatie van ontbrekende systeemupdates
  • Configuraties van het besturingssysteem aanpakken die niet overeenkomen met de aanbevolen basislijnen

Hier worden alleen aanbevelingen weergegeven die zijn ingeschakeld in beveiligingsbeleid.

Wat activeert een beveiligingswaarschuwing?

Microsoft Defender voor Cloud automatisch logboekgegevens verzamelt, analyseert en fuseert logboekgegevens van uw Azure-, multicloud- en on-premises resources, het netwerk en partneroplossingen, zoals antimalware en firewalls. Wanneer er dreigingen worden gedetecteerd, wordt een beveiligingswaarschuwing gemaakt. Voorbeelden zijn detectie van:

  • Geïnfecteerde virtuele machines die communiceren met bekende schadelijke IP-adressen
  • Geavanceerde malware gedetecteerd met behulp van Windows-foutrapportage
  • Beveiligingsaanvallen op virtuele machines
  • Beveiligingswaarschuwingen van geïntegreerde partnerbeveiligingsoplossingen zoals Antimalware of Web Application Firewalls

Wat is het verschil tussen bedreigingen gedetecteerd en gewaarschuwd door Microsoft Security Response Center versus Microsoft Defender voor Cloud?

Het Microsoft Security Response Center (MSRC) voert een selecte beveiligingsbewaking van het Azure-netwerk en de infrastructuur uit en ontvangt bedreigingsinformatie en klachten over misbruik van derden. Wanneer MSRC zich ervan bewust wordt dat klantgegevens zijn geopend door een onrechtmatige of niet-geautoriseerde partij of dat het gebruik van Azure van de klant niet voldoet aan de voorwaarden voor acceptabel gebruik, meldt een beveiligingsincidentbeheerder de klant. De melding treedt meestal op door een e-mailbericht te verzenden naar de beveiligingscontactpersonen die zijn opgegeven in Microsoft Defender voor Cloud of de eigenaar van het Azure-abonnement als er geen beveiligingscontactpersoon is opgegeven.

Defender voor Cloud is een Azure-service die voortdurend de Azure-, multicloud- en on-premises omgeving van de klant bewaakt en analyses toepast om automatisch een breed scala aan mogelijk schadelijke activiteiten te detecteren. Deze detecties worden weergegeven als beveiligingswaarschuwingen in het dashboard voor workloadbeveiliging.

Hoe kan ik bijhouden wie in mijn organisatie een Microsoft Defender-abonnement heeft ingeschakeld in Defender voor Cloud?

Azure-abonnementen hebben mogelijk meerdere beheerders met machtigingen om de prijsinstellingen te wijzigen. Als u wilt weten welke gebruiker een wijziging heeft aangebracht, gebruikt u het Azure-activiteitenlogboek.

Schermopname van het Azure-activiteitenlogboek met een gebeurtenis voor prijswijziging.

Als de gegevens van de gebruiker niet worden weergegeven in de kolom Gebeurtenis gestart door, zoekt u de relevante gegevens in de JSON van de gebeurtenis.

Schermopname van JSON-verkenner van Azure-activiteitenlogboek.

Wat gebeurt er wanneer één aanbeveling zich in meerdere beleidsinitiatieven bevindt?

Soms wordt er een beveiligingsaanaanveling weergegeven in meer dan één beleidsinitiatief. Als u meerdere exemplaren van dezelfde aanbeveling hebt toegewezen aan hetzelfde abonnement en u een uitzondering voor de aanbeveling maakt, is dit van invloed op alle initiatieven die u gemachtigd hebt om te bewerken.

Als u een uitzondering voor deze aanbeveling probeert te maken, ziet u een van de twee volgende berichten:

  • Als u over de benodigde machtigingen beschikt om beide initiatieven te bewerken, ziet u:

    Deze aanbeveling is opgenomen in verschillende beleidsinitiatieven: [initiatiefnamen gescheiden door komma]. Uitzonderingen worden voor alle uitzonderingen gemaakt.

  • Als u niet over voldoende machtigingen voor beide initiatieven beschikt , ziet u in plaats daarvan dit bericht:

    U hebt beperkte machtigingen om de uitzondering toe te passen op alle beleidsinitiatieven. De uitzonderingen worden alleen gemaakt voor de initiatieven met voldoende machtigingen.

Zijn er aanbevelingen die geen ondersteuning bieden voor uitzonderingen?

Deze algemeen beschikbare aanbevelingen bieden geen ondersteuning voor uitzondering:

  • Alle Advanced Threat Protection-typen moeten zijn ingeschakeld bij de geavanceerde instellingen voor gegevensbeveiliging van het beheerde SQL-exemplaar
  • Alle Advanced Threat Protection-typen moeten zijn ingeschakeld bij de geavanceerde instellingen voor gegevensbeveiliging van SQL-servers
  • De CPU- en geheugenlimieten van containers moeten worden afgedwongen
  • Containerinstallatiekopieën mogen alleen worden geïmplementeerd vanuit vertrouwde registers
  • Container met escalatie van bevoegdheden moet worden vermeden
  • Containers die gevoelige hostnaamruimten delen, moeten worden vermeden
  • Containers mogen alleen op toegestane poorten luisteren
  • Standaard-IP-filterbeleid moet worden geweigerd
  • EDR-configuratieproblemen moeten worden opgelost op virtuele machines
  • De EDR-oplossing moet worden geïnstalleerd op virtuele machines
  • Bewaking van bestandsintegriteit moet zijn ingeschakeld op computers
  • Onveranderbaar (alleen-lezen) hoofdbestandssysteem moet worden afgedwongen voor containers
  • IoT-apparaten - Poorten op apparaat openen
  • IoT-apparaten : het permissieve firewallbeleid in een van de ketens is gevonden
  • IoT-apparaten: een missieve firewallregel in de invoerketen is gevonden
  • IoT-apparaten: er is een permissieve firewallregel in de uitvoerketen gevonden
  • IP-filterregel groot IP-bereik
  • Minimaal bevoegde Linux-functies moeten worden afgedwongen voor containers
  • Het overschrijven of uitschakelen van het AppArmor-profiel voor containers moet worden beperkt
  • Bevoegde containers moeten worden vermeden
  • Het uitvoeren van containers als hoofdgebruiker moet worden vermeden
  • Services mogen alleen op toegestane poorten luisteren
  • SQL-servers moeten een Microsoft Entra-beheerder hebben ingericht
  • Het gebruik van hostnetwerken en -poorten moet worden beperkt
  • Het gebruik van HostPath-volumekoppelingen voor pods moet worden beperkt tot een bekende lijst om de toegang tot knooppunten te beperken voor de containers die zijn gecompromitteerd

We gebruiken al beleid voor voorwaardelijke toegang (CA) om MFA af te dwingen. Waarom krijgen we nog steeds de Defender voor Cloud aanbevelingen?

Als u wilt onderzoeken waarom de aanbevelingen nog steeds worden gegenereerd, controleert u de volgende configuratieopties in uw MFA-CA-beleid:

  • U hebt de accounts opgenomen in de sectie Gebruikers van uw MFA-CA-beleid (of een van de groepen in de sectie Groepen )
  • De Azure Management-app-id (797f4846-ba00-4fd7-ba43-dac1f8f63013) of alle apps zijn opgenomen in de sectie Apps van uw MFA-CA-beleid
  • De Azure Management-app-id wordt niet uitgesloten in de sectie Apps van uw MFA-CA-beleid
  • OF-voorwaarde wordt gebruikt met alleen MFA of AND-voorwaarde wordt gebruikt met MFA
  • Een beleid voor voorwaardelijke toegang dat MFA afdwingt via verificatiesterkten , wordt momenteel niet ondersteund in onze evaluatie.

We gebruiken een MFA-hulpprogramma van derden om MFA af te dwingen. Waarom krijgen we nog steeds de Defender voor Cloud aanbevelingen?

Defender voor Cloud MFA-aanbevelingen bieden geen ondersteuning voor MFA-hulpprogramma's van derden (bijvoorbeeld DUO).

Als de aanbevelingen niet relevant zijn voor uw organisatie, kunt u deze markeren als 'beperkt', zoals beschreven in Het uitsluiten van resources en aanbevelingen van uw beveiligingsscore. U kunt ook een aanbeveling uitschakelen.

Waarom geeft Defender voor Cloud gebruikersaccounts weer zonder machtigingen voor het abonnement als 'MFA vereisen'?

de MFA-aanbevelingen van Defender voor Cloud verwijst naar Azure RBAC-rollen en de rol van beheerders van het klassieke Azure-abonnement. Controleer of geen van de accounts dergelijke rollen heeft.

We dwingen MFA af met PIM. Waarom worden PIM-accounts weergegeven als niet-compatibel?

de MFA-aanbevelingen van Defender voor Cloud bieden momenteel geen ondersteuning voor PIM-accounts. U kunt deze accounts toevoegen aan een CA-beleid in de sectie Gebruikers/groep.

Kan ik sommige accounts uitsluiten of negeren?

De mogelijkheid om bepaalde accounts die geen MFA gebruiken, uit te schakelen, is beschikbaar voor de nieuwe aanbevelingen in preview:

  • Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld
  • Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld
  • Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld

Voer de volgende stappen uit als u een of meer accounts wilt uitsluiten:

  1. Selecteer een MFA-aanbeveling die is gekoppeld aan een beschadigd account.
  2. Selecteer op het tabblad Accounts een account dat u wilt uitsluiten.
  3. Selecteer de knop met drie puntjes en selecteer vervolgens Uitgesloten account.
  4. Selecteer een reden voor bereik en uitzondering.

Als u wilt zien welke accounts zijn uitgesloten, gaat u voor elke aanbeveling naar Uitgesloten accounts .

Tip

Wanneer u een account uitzonderen, wordt dit niet weergegeven als beschadigd en wordt een abonnement niet in orde weergegeven.

Zijn er beperkingen voor de identiteits- en toegangsbeveiliging van Defender voor Cloud?

Er gelden enkele beperkingen voor de identiteits- en toegangsbeveiligingen van Defender voor Cloud:

  • Identiteitsaankopen zijn niet beschikbaar voor abonnementen met meer dan 6.000 accounts. In deze gevallen worden deze typen abonnementen weergegeven op het tabblad Niet van toepassing.
  • Identiteitsaankopen zijn niet beschikbaar voor de beheerdersagents van de CSP-partner (Cloud Solution Provider).
  • Identiteitsaankopen identificeren geen accounts die worden beheerd met een PIM-systeem (Privileged Identity Management). Als u een PIM-hulpprogramma gebruikt, ziet u mogelijk onjuiste resultaten in het besturingselement Toegang en machtigingen beheren.
  • Identiteitsaanvelingen bieden geen ondersteuning voor beleid voor voorwaardelijke toegang van Microsoft Entra met opgenomen directoryrollen in plaats van gebruikers en groepen.

Welke besturingssystemen voor mijn EC2-instanties worden ondersteund?

Zie deze pagina in de AWS-documenten voor een lijst met de URI's waarop de SSM-agent vooraf is geïnstalleerd.

Voor andere besturingssystemen moet de SSM-agent handmatig worden geïnstalleerd met behulp van de volgende instructies:

Voor het CSPM-plan zijn welke IAM-machtigingen nodig om AWS-resources te detecteren?

De volgende IAM-machtigingen zijn nodig om AWS-resources te detecteren:

DataCollector AWS-machtigingen
API-gateway apigateway:GET
Automatisch schalen van toepassingen application-autoscaling:Describe*
Automatisch schalen autoscaling-plans:Describe*
autoscaling:Describe*
Certificaatbeheerder acm-pca:Describe*
acm-pca:List*
acm:Describe*
acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
CloudWatch-logboeken logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
Configuratieservice config:Describe*
config:List*
DMS - databasemigratieservice dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
Ec2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
ECR ecr:Describe*
ecr:List*
ECS ecs:Describe*
ecs:List*
EFS elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB - elastische taakverdeling (v1/2) elasticloadbalancing:Describe*
Elastisch zoeken es:Describe*
es:List*
EMR - vermindering van elastische kaarten elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDuty guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
Lambda lambda:GetPolicy
lambda:List*
Netwerkfirewall network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
RDS rds:Describe*
rds:List*
Redshift redshift:Describe*
S3 en S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
Secret Manager secretsmanager:Describe*
secretsmanager:List*
Eenvoudige SNS-meldingsservice sns:Check*
sns:List*
SSM ssm:Describe*
ssm:List*
SQS sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
WAF waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

Is er een API voor het verbinden van mijn GCP-resources met Defender voor Cloud?

Ja. Als u Defender voor Cloud cloudconnectors met een REST API wilt maken, bewerken of verwijderen, raadpleegt u de details van de Verbinding maken ors-API.

Welke GCP-regio's worden ondersteund door Defender voor Cloud?

Defender voor Cloud ondersteunt en scant alle beschikbare regio's in de openbare GCP-cloud.

Ondersteunt werkstroomautomatisering scenario's voor bedrijfscontinuïteit of herstel na noodgevallen (BCDR)?

Bij het voorbereiden van uw omgeving voor BCDR-scenario's, waarbij de doelresource te maken heeft met een storing of een ander noodgeval, is het de verantwoordelijkheid van de organisatie om gegevensverlies te voorkomen door back-ups te maken op basis van de richtlijnen van Azure Event Hubs, Log Analytics-werkruimte en Logic Apps.

Voor elke actieve automatisering raden we u aan een identieke (uitgeschakelde) automatisering te maken en op een andere locatie op te slaan. Wanneer er een storing optreedt, kunt u deze back-upautomatiseringen inschakelen en normale bewerkingen onderhouden.

Meer informatie over bedrijfscontinuïteit en herstel na noodgevallen voor Azure Logic Apps.

Wat zijn de kosten voor het exporteren van gegevens?

Er zijn geen kosten verbonden aan het inschakelen van een continue export. Er kunnen kosten in rekening worden gebracht voor het opnemen en bewaren van gegevens in uw Log Analytics-werkruimte, afhankelijk van uw configuratie daar.

Er worden alleen veel waarschuwingen gegeven wanneer u Defender-abonnementen voor uw resources hebt ingeschakeld. Een goede manier om een voorbeeld te bekijken van de waarschuwingen die u in uw geëxporteerde gegevens krijgt, is door de waarschuwingen te bekijken die worden weergegeven op de pagina's van Defender voor Cloud in Azure Portal.

Meer informatie over prijzen voor Log Analytics-werkruimten.

Meer informatie over prijzen voor Azure Event Hubs.

Zie de pagina met prijzen voor algemene informatie over Defender voor Cloud prijzen.

Bevat de continue export gegevens over de huidige status van alle resources?

Nee Continue export is gebouwd voor het streamen van gebeurtenissen:

  • Waarschuwingen die zijn ontvangen voordat u export hebt ingeschakeld, worden niet geëxporteerd.
  • Aanbevelingen worden verzonden wanneer de nalevingsstatus van een resource verandert. Als een resource bijvoorbeeld van gezond naar beschadigd verandert. Aanbevelingen voor resources die de status niet hebben gewijzigd, omdat u export hebt ingeschakeld, worden daarom, net als bij waarschuwingen, niet geëxporteerd.
  • Beveiligingsscore per beveiligingsbeheer of abonnement wordt verzonden wanneer de score van een beveiligingsbeheer wordt gewijzigd met 0,01 of meer.
  • De nalevingsstatus van regelgeving wordt verzonden wanneer de status van de naleving van de resource verandert.

Waarom worden aanbevelingen met verschillende intervallen verzonden?

Verschillende aanbevelingen hebben verschillende nalevingsevaluatie-intervallen, die kunnen variëren van om de paar minuten tot elke paar dagen. De hoeveelheid tijd die nodig is om aanbevelingen in uw exports weer te geven, varieert dus.

Hoe krijg ik een voorbeeldquery voor een aanbeveling?

Als u een voorbeeldquery voor een aanbeveling wilt ophalen, opent u de aanbeveling in Defender voor Cloud, selecteert u Query openen en selecteert u vervolgens Query die beveiligingsresultaten retourneert.

Schermopname van het maken van een voorbeeldquery voor aanbeveling.

Ondersteunt continue export scenario's voor bedrijfscontinuïteit of herstel na noodgevallen (BCDR)?

Continue export kan nuttig zijn bij het voorbereiden van BCDR-scenario's waarbij de doelresource een storing of een ander noodgeval ondervindt. Het is echter de verantwoordelijkheid van de organisatie om gegevensverlies te voorkomen door back-ups te maken volgens de richtlijnen van Azure Event Hubs, Log Analytics-werkruimte en logische app.

Meer informatie vindt u in Azure Event Hubs : herstel na geo-noodgevallen.

Kan ik programmatisch meerdere abonnementen op één abonnement tegelijk bijwerken?

Het is niet raadzaam om meerdere abonnementen op één abonnement tegelijkertijd programmatisch bij te werken (via REST API, ARM-sjablonen, scripts, enzovoort). Wanneer u de API Microsoft.Security/pricings of een andere programmatische oplossing gebruikt, moet u tussen elke aanvraag een vertraging van 10-15 seconden invoegen.

Volgende stappen

Meer informatie over wat er nieuw is in Defender voor Cloud