Архив сведений о новых возможностях Defender для облака
На этой странице представлены сведения о функциях, исправлениях и устаревших функциях, которые старше шести месяцев. Последние обновления см. в статье "Новые возможности" Defender для облака?.
Сентябрь 2023
Изменение ежедневной крышки Log Analytics
Azure Monitor предлагает возможность задать ежедневное ограничение данных, которые будут приемированы в рабочих областях Log Analytics. Однако события Defenders for Cloud Security в настоящее время не поддерживаются в этих исключениях.
Ежедневное ограничение Log Analytics больше не исключает следующий набор типов данных:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- Обновить
- UpdateSummary
- CommonSecurityLog
- Системный журнал
Все оплачиваемые типы данных будут ограничены при выполнении ежедневного ограничения. Это изменение повышает способность полностью содержать затраты от приема данных выше, чем ожидалось.
Дополнительные сведения о рабочих областях с помощью Microsoft Defender для облака.
Панель мониторинга безопасности данных доступна в общедоступной предварительной версии
27 сентября 2023 г.
Панель мониторинга безопасности данных теперь доступна в общедоступной предварительной версии в рамках плана CSPM Defender. Панель мониторинга безопасности данных — это интерактивная панель мониторинга, ориентированная на данные, которая освещает значительные риски для конфиденциальных данных, приоритеты оповещений и потенциальных путей атак для данных в гибридных облачных рабочих нагрузках. Дополнительные сведения о панели мониторинга безопасности данных.
Предварительный выпуск: новый процесс автоматической подготовки для SQL Server на компьютерах
21 сентября 2023 г.
Microsoft Monitoring Agent (MMA) устарел в августе 2024 года. Defender для облака обновлена стратегия, заменив MMA выпуском процесса автоматической подготовки агента мониторинга Azure с целевым сервером SQL Server.
Во время предварительной версии клиенты, использующие процесс автоматической подготовки MMA с параметром агента Azure Monitor (предварительная версия), запрашиваются для миграции в новый агент мониторинга Azure для SQL Server на компьютерах (предварительная версия) автоматической подготовки. Процесс миграции является простым и обеспечивает непрерывную защиту для всех компьютеров.
Дополнительные сведения см. в статье "Миграция на сервер SQL Server, предназначенный для агента мониторинга Azure" для автоматической подготовки.
Оповещения GitHub Advanced Security для Azure DevOps в Defender для облака
20 сентября 2023 г.
Теперь вы можете просматривать оповещения GitHub Advanced Security для Azure DevOps (GHAzDO), связанные с CodeQL, секретами и зависимостями в Defender для облака. Результаты отображаются на странице DevOps и в Рекомендации. Чтобы просмотреть эти результаты, добавьте репозитории с поддержкой GHAzDO в Defender для облака.
Дополнительные сведения о расширенной безопасности GitHub для Azure DevOps.
Выключаемые функции теперь доступны для рекомендаций Defender для API
11 сентября 2023 г.
Теперь вы можете исключить рекомендации для следующих рекомендаций по безопасности Defender для API.
| Рекомендация | Описание и связанная политика | Важность |
|---|---|---|
| (предварительная версия) Конечные точки API, неиспользуемые, должны быть отключены и удалены из службы azure Управление API | В качестве рекомендации по обеспечению безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользуемых и должны быть удалены из службы azure Управление API. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности. Это могут быть API, которые должны были быть устаревшими из службы Azure Управление API, но случайно были оставлены активными. Такие API обычно не получают наиболее актуального покрытия безопасности. | Низкая |
| (предварительная версия) Конечные точки API в Azure Управление API должны проходить проверку подлинности | Конечные точки API, опубликованные в Azure Управление API, должны применять проверку подлинности, чтобы свести к минимуму риск безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и получать доступ к данным. Для API, опубликованных в Azure Управление API, эта рекомендация оценивает выполнение проверки подлинности с помощью ключей подписки, JWT и сертификата клиента, настроенного в Управление API Azure. Если ни один из этих механизмов проверки подлинности не выполняется во время вызова API, API получит эту рекомендацию. | Высокая |
Дополнительные сведения об исключении рекомендаций см. в Defender для облака.
Создание примеров оповещений для обнаружения API Defender
11 сентября 2023 г.
Теперь вы можете создать примеры оповещений для обнаружения безопасности, выпущенных в рамках общедоступной предварительной версии Defender для API. Дополнительные сведения о создании примеров оповещений в Defender для облака.
Предварительная версия выпуска: оценка уязвимостей контейнеров с помощью Управление уязвимостями Microsoft Defender теперь поддерживает сканирование по запросу
6 сентября 2023 г.
Оценка уязвимостей контейнеров на основе Управление уязвимостями Microsoft Defender теперь поддерживает дополнительный триггер для сканирования изображений, полученных из ACR. Этот недавно добавленный триггер обеспечивает дополнительное покрытие для активных образов в дополнение к существующим триггерам сканирования изображений, отправленных в ACR за последние 90 дней и образы, работающие в AKS.
Новый триггер начнет развертываться сегодня и, как ожидается, будет доступен всем клиентам к концу сентября.
Обновленный формат именования стандартов Центра безопасности Интернета (CIS) в соответствии с нормативными требованиями
6 сентября 2023 г.
Формат именования базовых показателей CIS (Center for Internet Security) в панели мониторинга соответствия требованиям изменяется на [Cloud] CIS [version number]CIS [Cloud] Foundations v[version number]. См. таблицу ниже.
| Текущее название | Новое название |
|---|---|
| Azure CIS 1.1.0 | CIS Azure Foundations версии 1.1.0 |
| Azure CIS 1.3.0 | CIS Azure Foundations версии 1.3.0 |
| Azure CIS 1.4.0 | CIS Azure Foundations версии 1.4.0 |
| AWS CIS 1.2.0 | Основы CIS AWS версии 1.2.0 |
| AWS CIS 1.5.0 | Основы CIS AWS версии 1.5.0 |
| GCP CIS 1.1.0 | Основы CIS GCP версии 1.1.0 |
| GCP CIS 1.2.0 | Cis GCP Foundations версии 1.2.0 |
Узнайте, как улучшить соответствие нормативным требованиям.
Обнаружение конфиденциальных данных для баз данных PaaS (предварительная версия)
5 сентября 2023 г.
Возможности защиты с учетом данных для обнаружения небезопасных конфиденциальных данных для баз данных PaaS (База данных SQL Azure и экземпляров Amazon RDS любого типа) теперь доступны в общедоступной предварительной версии. Эта общедоступная предварительная версия позволяет создать карту критически важных данных, где бы она ни находились, и тип данных, найденных в этих базах данных.
Обнаружение конфиденциальных данных для баз данных Azure и AWS добавляется в общую таксономию и конфигурацию, которая уже общедоступна для ресурсов облачного хранилища объектов (Хранилище BLOB-объектов Azure, контейнеров AWS S3 и контейнеров хранилища GCP) и предоставляет единую конфигурацию и возможности включения.
Базы данных сканируются еженедельно. При включении sensitive data discoveryобнаружение выполняется в течение 24 часов. Результаты можно просмотреть в Обозреватель Cloud Security или просмотреть новые пути атаки для управляемых баз данных с конфиденциальными данными.
Состояние безопасности с поддержкой данных для баз данных доступно через план CSPM Defender и автоматически включается в подписках, где sensitive data discovery включен параметр.
Дополнительные сведения о позе безопасности с учетом данных см. в следующих статьях:
- Поддержка и предварительные требования для обеспечения безопасности с учетом данных
- Включение защиты с учетом данных
- Изучение рисков для конфиденциальных данных
Общедоступная версия (GA): сканирование вредоносных программ в Defender для служба хранилища
1 сентября 2023 г.
Проверка вредоносных программ теперь общедоступна как надстройка в Defender для служба хранилища. Сканирование вредоносных программ в Defender для служба хранилища помогает защитить учетные записи хранения от вредоносного содержимого путем выполнения полного сканирования вредоносных программ при отправке содержимого практически в режиме реального времени с помощью антивирусная программа в Microsoft Defender возможностей. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого. Возможность сканирования вредоносных программ — это решение SaaS без агента, которое позволяет настраивать в большом масштабе и поддерживает автоматизацию ответа в масштабе.
Дополнительные сведения о сканировании вредоносных программ в Defender для служба хранилища.
Сканирование вредоносных программ имеет цену в соответствии с вашими данными и бюджетом. Выставление счетов начинается 3 сентября 2023 года. Дополнительные сведения см. на странице цен.
Если вы используете предыдущий план, необходимо заранее перенести его в новый план , чтобы включить сканирование вредоносных программ.
Ознакомьтесь с записью блога Microsoft Defender для облака объявлений.
Август 2023 г.
В августе добавлены следующие обновления:
Defender для контейнеров: обнаружение без агента для Kubernetes
30 августа 2023 г.
Мы рады ознакомиться с Defender for Containers: обнаружение без агента для Kubernetes. Этот выпуск знаменует собой значительный шаг вперед в обеспечении безопасности контейнеров, предоставляя расширенные аналитические сведения и комплексные возможности инвентаризации для сред Kubernetes. Новое предложение контейнера работает на Defender для облака контекстном графе безопасности. Вот что можно ожидать от этого последнего обновления:
- Обнаружение Kubernetes без агента
- Комплексные возможности инвентаризации
- Аналитика безопасности, зависят от Kubernetes
- Улучшенная охота на риск с помощью Cloud Security Обозреватель
Обнаружение без агента для Kubernetes теперь доступно всем клиентам Defender для контейнеров. Вы можете начать использовать эти расширенные возможности сегодня. Мы рекомендуем обновить подписки, чтобы иметь полный набор расширений и воспользоваться последними дополнениями и функциями. Перейдите в область "Среда" и "Параметры " подписки Defender для контейнеров, чтобы включить расширение.
Примечание.
Включение последних дополнений не приведет к новым затратам на активных клиентов Defender для контейнеров.
Дополнительные сведения см. в разделе "Обзор безопасности контейнеров Microsoft Defender для контейнеров".
Выпуск рекомендаций. Microsoft Defender для служба хранилища следует включить с помощью сканирования вредоносных программ и обнаружения угроз конфиденциальных данных.
22 августа 2023 г.
Выпущена новая рекомендация в Defender для служба хранилища. Эта рекомендация гарантирует, что Defender для служба хранилища включен на уровне подписки с возможностями сканирования вредоносных программ и обнаружения угроз конфиденциальных данных.
| Рекомендация | Description |
|---|---|
| Microsoft Defender для служба хранилища следует включить с помощью сканирования вредоносных программ и обнаружения угроз конфиденциальных данных | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. При использовании простой настройки без агента при включении на уровне подписки все существующие и только что созданные учетные записи хранения в этой подписке будут автоматически защищены. Вы также можете исключить определенные учетные записи хранения из защищенных подписок. |
Эта новая рекомендация заменяет текущую рекомендацию Microsoft Defender for Storage should be enabled (ключ оценки 1be22853-8ed1-4005-9907-ddad64cb1417). Однако эта рекомендация по-прежнему будет доступна в Azure для государственных организаций облаках.
Дополнительные сведения о Microsoft Defender для служба хранилища.
Расширенные свойства в оповещениях системы безопасности Defender для облака маскируются из журналов действий
17 августа 2023 г.
Недавно мы изменили способ интеграции оповещений системы безопасности и журналов действий. Чтобы лучше защитить конфиденциальную информацию о клиенте, мы больше не добавим эту информацию в журналы действий. Вместо этого мы маскируем его звездочками. Однако эти сведения по-прежнему доступны через API оповещений, непрерывный экспорт и портал Defender для облака.
Клиенты, использующие журналы действий для экспорта оповещений в свои решения SIEM, должны рассмотреть возможность использования другого решения, так как это не рекомендуемый способ экспорта оповещений системы безопасности Defender для облака.
Инструкции по экспорту оповещений системы безопасности Defender для облака в SIEM, SOAR и других сторонних приложений см. в статье "Потоковая передача оповещений" в решение SIEM, SOAR или ИТ-службы управления.
Предварительная версия поддержки GCP в CSPM Defender
15 августа 2023 г.
Мы объявляем предварительную версию предварительной версии контекстного графа облачной безопасности Defender CSPM и анализа путей атаки с поддержкой ресурсов GCP. Вы можете применить возможности CSPM Defender для комплексной видимости и интеллектуальной облачной безопасности в ресурсах GCP.
К ключевым функциям поддержки GCP относятся:
- Анализ пути атаки. Сведения о потенциальных маршрутах, которые могут занять злоумышленники.
- Cloud Security Explorer — упреждающее определение рисков безопасности путем выполнения запросов на основе графа безопасности.
- Сканирование без агента — сканирование серверов и определение секретов и уязвимостей без установки агента.
- Защита с учетом данных — обнаружение и устранение рисков для конфиденциальных данных в контейнерах Google Cloud служба хранилища.
Дополнительные сведения о параметрах плана CSPM в Защитнике.
Новые оповещения системы безопасности в Defender для серверов плана 2. Обнаружение потенциальных атак, злоупотребляющих расширениями виртуальных машин Azure
7 августа 2023 г.
Эта новая серия оповещений посвящена обнаружению подозрительных действий расширений виртуальных машин Azure и предоставляет аналитические сведения о попытках злоумышленников компрометировать и выполнять вредоносные действия на виртуальных машинах.
Microsoft Defender для серверов теперь может обнаруживать подозрительные действия расширений виртуальных машин, что позволяет повысить уровень безопасности рабочих нагрузок.
Расширения виртуальных машин Azure — это небольшие приложения, которые выполняют после развертывания на виртуальных машинах и предоставляют такие возможности, как конфигурация, автоматизация, мониторинг, безопасность и многое другое. Хотя расширения являются мощным инструментом, они могут использоваться субъектами угроз для различных вредоносных намерений, например:
- Для сбора и мониторинга данных.
- Для выполнения кода и развертывания конфигурации с высокими привилегиями.
- Для сброса учетных данных и создания административных пользователей.
- Для шифрования дисков.
Ниже приведена таблица новых оповещений.
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| Подозрительный сбой при установке расширения GPU в подписке (предварительная версия) (VM_GPUExtensionSuspiciousFailure) |
Подозрительное намерение установки расширения GPU на неподдерживаемых виртуальных машинах. Это расширение должно быть установлено на виртуальных машинах, оснащенных графическим процессором, и в этом случае виртуальные машины не оснащены такими. Эти сбои можно увидеть, когда вредоносные злоумышленники выполняют несколько установок такого расширения в целях шифрования. | Воздействие | Средняя |
| Обнаружена подозрительная установка расширения GPU на виртуальной машине (предварительная версия) (VM_GPUDriverExtensionUnusualExecution) Это оповещение было выпущено в июле 2023 года. |
Обнаружена подозрительная установка расширения GPU на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение драйвера GPU для установки драйверов GPU на виртуальной машине с помощью Azure Resource Manager для выполнения шифрования. Это действие считается подозрительным, так как поведение субъекта уходит от обычных шаблонов. | Воздействие | Низкая |
| Команда выполнения с подозрительным скриптом обнаружена на виртуальной машине (предварительная версия) (VM_RunCommandSuspiciousScript) |
Команда запуска с подозрительным скриптом обнаружена на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать команду run для выполнения вредоносного кода с высокими привилегиями на виртуальной машине с помощью Azure Resource Manager. Сценарий считается подозрительным, так как некоторые части были идентифицированы как потенциально вредоносные. | Выполнение | Высокая |
| Обнаружено подозрительное несанкционированное использование команды запуска на виртуальной машине (предварительная версия) (VM_RunCommandSuspiciousFailure) |
Сбой подозрительного несанкционированного использования команды run и обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в вашей подписке. Злоумышленники могут попытаться использовать команду run для выполнения вредоносного кода с высокими привилегиями на виртуальных машинах с помощью Azure Resource Manager. Это действие считается подозрительным, так как оно не было часто видно раньше. | Выполнение | Средняя |
| Обнаружено подозрительное использование команды запуска на виртуальной машине (предварительная версия) (VM_RunCommandSuspiciousUsage) |
Подозрительное использование команды run было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать команду run для выполнения вредоносного кода с высокими привилегиями на виртуальных машинах с помощью Azure Resource Manager. Это действие считается подозрительным, так как оно не было часто видно раньше. | Выполнение | Низкая |
| Обнаружено подозрительное использование нескольких расширений мониторинга или сбора данных на виртуальных машинах (предварительная версия) (VM_SuspiciousMultiExtensionUsage) |
Подозрительное использование нескольких расширений мониторинга или сбора данных было обнаружено на виртуальных машинах путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут злоупотреблять такими расширениями для сбора данных, мониторинга сетевого трафика и многого другого в подписке. Это использование считается подозрительным, так как оно не было часто видно раньше. | Рекогносцировка | Средняя |
| Обнаружена подозрительная установка расширений шифрования дисков на виртуальных машинах (предварительная версия) (VM_DiskEncryptionSuspiciousUsage) |
Обнаружена подозрительная установка расширений шифрования дисков на виртуальных машинах путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут злоупотреблять расширением шифрования дисков для развертывания полного шифрования дисков на виртуальных машинах с помощью Azure Resource Manager в попытке выполнить действие программы-шантажистов. Это действие считается подозрительным, так как оно не было часто видно раньше и из-за большого количества установок расширений. | Воздействие | Средняя |
| Обнаружено подозрительное использование расширения доступа к виртуальной машине на виртуальных машинах (предварительная версия) (VM_VMAccessSuspiciousUsage) |
На виртуальных машинах обнаружено подозрительное использование расширения доступа к виртуальной машине. Злоумышленники могут злоупотреблять расширением доступа к виртуальной машине, чтобы получить доступ и скомпрометировать виртуальные машины с высокими привилегиями, сбросив доступ или управляя административными пользователями. Это действие считается подозрительным, так как поведение субъекта отошел от обычных шаблонов, и из-за большого количества установок расширения. | Сохраняемость | Средняя |
| Расширение требуемой конфигурации состояния (DSC) с подозрительным скриптом обнаружено на виртуальной машине (предварительная версия) (VM_DSCExtensionSuspiciousScript) |
Расширение требуемой конфигурации состояния (DSC) с подозрительным скриптом было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение Требуемой конфигурации состояния (DSC) для развертывания вредоносных конфигураций, таких как механизмы сохраняемости, вредоносные скрипты и многое другое с высокими привилегиями на виртуальных машинах. Сценарий считается подозрительным, так как некоторые части были идентифицированы как потенциально вредоносные. | Выполнение | Высокая |
| Обнаружено подозрительное использование расширения требуемой конфигурации состояния (DSC) на виртуальных машинах (предварительная версия) (VM_DSCExtensionSuspiciousUsage) |
Подозрительное использование расширения Требуемой конфигурации состояния (DSC) было обнаружено на виртуальных машинах путем анализа операций Azure Resource Manager в вашей подписке. Злоумышленники могут использовать расширение Требуемой конфигурации состояния (DSC) для развертывания вредоносных конфигураций, таких как механизмы сохраняемости, вредоносные скрипты и многое другое с высокими привилегиями на виртуальных машинах. Это действие считается подозрительным, так как поведение субъекта отошел от обычных шаблонов, и из-за большого количества установок расширения. | Воздействие | Низкая |
| Расширение пользовательских скриптов с подозрительным скриптом было обнаружено на виртуальной машине (предварительная версия) (VM_CustomScriptExtensionSuspiciousCmd) (Это оповещение уже существует и было улучшено с более расширенными методами логики и обнаружения.) |
Расширение пользовательского скрипта с подозрительным скриптом было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение пользовательского скрипта для выполнения вредоносного кода с высокими привилегиями на виртуальной машине с помощью Azure Resource Manager. Сценарий считается подозрительным, так как некоторые части были идентифицированы как потенциально вредоносные. | Выполнение | Высокая |
См. оповещения на основе расширений в Defender для серверов.
Полный список оповещений см. в справочной таблице для всех оповещений системы безопасности в Microsoft Defender для облака.
Обновления бизнес-модели и цен для планов Defender для облака
1 августа 2023 г.
Microsoft Defender для облака имеет три плана, которые предлагают защиту уровня служб:
Defender для Key Vault
Defender для Resource Manager
Defender для DNS
Эти планы перешли на новую бизнес-модель с различными ценами и упаковкой для решения отзывов клиентов о прогнозируемости расходов и упрощении общей структуры затрат.
Сводка по бизнес-модели и изменениям цен:
Существующие клиенты Defender для Key-Vault, Defender для Resource Manager и Defender для DNS сохраняют текущую бизнес-модель и цены, если они активно не выбирают переход на новую бизнес-модель и цену.
- Defender для Resource Manager: этот план имеет фиксированную цену за подписку в месяц. Клиенты могут переключиться на новую бизнес-модель, выбрав Defender для Resource Manager новую для каждой модели подписки.
Существующие клиенты Defender для Key-Vault, Defender для Resource Manager и Defender для DNS сохраняют текущую бизнес-модель и цены, если они активно не выбирают переход на новую бизнес-модель и цену.
- Defender для Resource Manager: этот план имеет фиксированную цену за подписку в месяц. Клиенты могут переключиться на новую бизнес-модель, выбрав Defender для Resource Manager новую для каждой модели подписки.
- Defender для Key Vault: этот план имеет фиксированную цену за хранилище, в месяц без превышения платы. Клиенты могут переключиться на новую бизнес-модель, выбрав Defender для Key Vault новую для каждой модели хранилища.
- Defender для DNS: Defender для серверов плана 2 клиенты получают доступ к значению Defender для DNS в рамках плана 2 Defender для серверов без дополнительных затрат. Клиенты, у которых есть защитник для плана 2 и Defender для DNS, больше не взимается плата за Defender для DNS. Defender для DNS больше не доступен как автономный план.
Дополнительные сведения о ценах на эти планы см. на странице цен на Defender для облака.
Июль 2023 г.
В июле добавлены следующие обновления:
Предварительная версия оценки уязвимостей контейнеров с Управление уязвимостями Microsoft Defender
31 июля 2023 г.
Мы объявим о выпуске образов контейнеров Linux для образов контейнеров Linux на базе Управление уязвимостями Microsoft Defender в Defender для контейнеров и Defender для реестров контейнеров. Новое предложение va для контейнера будет предоставлено вместе с существующим предложением Container VA, предоставляемым Qualys в Defender для контейнеров и Defender для реестров контейнеров, а также включает ежедневные повторное сканирование образов контейнеров, сведения об эксплойтируемости, поддержку языков ОС и программирования (SCA) и многое другое.
Это новое предложение начнется сегодня, и, как ожидается, будет доступно всем клиентам к 7 августа.
Дополнительные сведения об оценке уязвимостей контейнера см. в Управление уязвимостями Microsoft Defender.
Состояние контейнера без агента в CSPM в Defender теперь общедоступно
30 июля 2023 г.
Возможности размещения контейнеров без агента теперь являются общедоступными (GA) в рамках плана CSPM Defender (Cloud Security Posture Management).
Узнайте больше о том, как разместить контейнер без агента в CSPM в Defender.
Управление автоматическими обновлениями в Defender для конечной точки для Linux
20 июля 2023 г.
По умолчанию Defender для облака пытается обновить агенты Defender для конечной точки для Linux, подключенные с расширениемMDE.Linux. В этом выпуске вы можете управлять этим параметром и отказаться от настройки по умолчанию для управления циклами обновления вручную.
Узнайте, как управлять конфигурацией автоматических обновлений для Linux.
Сканирование секретов без агента для виртуальных машин в Defender для серверов P2 и CSPM Defender
18 июля 2023 г.
Сканирование секретов теперь доступно в рамках безагентного сканирования в Defender для серверов P2 и CSPM Defender. Эта возможность помогает обнаруживать неуправляемые и небезопасные секреты, сохраненные на виртуальных машинах в ресурсах Azure или AWS, которые можно использовать для бокового перемещения в сети. Если обнаружены секреты, Defender для облака могут помочь определить приоритеты и предпринять действия по исправлению, чтобы свести к минимуму риск бокового перемещения, все без влияния на производительность компьютера.
Дополнительные сведения о защите секретов с помощью сканирования секретов см. в разделе "Управление секретами с помощью сканирования без агента".
Новое оповещение системы безопасности в Defender для серверов плана 2. Обнаружение потенциальных атак с использованием расширений драйверов GPU виртуальной машины Azure
12 июля 2023 г.
Это оповещение посвящено выявлению подозрительных действий с использованием расширений драйверов GPU виртуальной машины Azure и предоставляет аналитические сведения о попытках злоумышленников скомпрометировать виртуальные машины. Предупреждение предназначено для подозрительных развертываний расширений драйверов GPU; такие расширения часто злоупотребляют субъектами угроз, чтобы использовать полную мощность GPU карта и выполнять шифрование.
| Отображаемое имя оповещения (Тип оповещения) |
Description | Серьезность | Тактика MITRE |
|---|---|---|---|
| Подозрительная установка расширения GPU на виртуальной машине (предварительная версия) (VM_GPUDriverExtensionUnusualExecution) |
Обнаружена подозрительная установка расширения GPU на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение драйвера GPU для установки драйверов GPU на виртуальной машине с помощью Azure Resource Manager для выполнения шифрования. | Низкая | Воздействие |
Полный список оповещений см. в справочной таблице для всех оповещений системы безопасности в Microsoft Defender для облака.
Поддержка отключения определенных результатов уязвимостей
9 июля 2023 г.
Выпуск поддержки отключения результатов уязвимостей для образов реестра контейнеров или запуска образов в рамках размещения без агента. Если у вас есть организация, необходимо игнорировать обнаружение уязвимостей в образе реестра контейнеров, а не исправлять его, вы можете при необходимости отключить его. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.
Узнайте, как отключить результаты оценки уязвимостей в образах реестра контейнеров.
Защита с учетом данных теперь общедоступна
1 июля 2023 г.
Состояние безопасности с учетом данных в Microsoft Defender для облака теперь доступно в общедоступном режиме. Это помогает клиентам снизить риск данных и реагировать на нарушения данных. Функция состояния безопасности с учетом данных позволяет:
- Автоматически обнаруживайте ресурсы конфиденциальных данных в Azure и AWS.
- Оцените конфиденциальность данных, воздействие данных и способы потоков данных в организации.
- Упреждающее и непрерывное обнаружение рисков, которые могут привести к нарушениям данных.
- Обнаружение подозрительных действий, которые могут указывать на текущие угрозы для ресурсов конфиденциальных данных
Дополнительные сведения см. в статье о состоянии безопасности с поддержкой данных в Microsoft Defender для облака.
Июнь 2023 г.
В июне добавлены следующие обновления:
Упрощенная подключение учетной записи с несколькими облаками с расширенными параметрами
26 июня 2023 г.
Defender для облака улучшил интерфейс подключения, чтобы включить новый упрощенный пользовательский интерфейс и инструкции в дополнение к новым возможностям, которые позволяют подключить среды AWS и GCP при предоставлении доступа к расширенным функциям подключения.
Для организаций, которые приняли Hashicorp Terraform для автоматизации, Defender для облака теперь включает возможность использовать Terraform в качестве метода развертывания вместе с AWS CloudFormation или GCP Cloud Shell. Теперь при создании интеграции можно настроить необходимые имена ролей. Вы также можете выбрать один из вариантов:
Доступ по умолчанию— позволяет Defender для облака сканировать ресурсы и автоматически включать будущие возможности.
Минимальный привилегированный доступ - предоставляет Defender для облака доступ только к текущим разрешениям, необходимым для выбранных планов.
Если выбрать наименее привилегированные разрешения, вы получите уведомления только о новых ролях и разрешениях, необходимых для получения полной функциональности в работоспособности соединителя.
Defender для облака позволяет различать облачные учетные записи по собственным именам от поставщиков облачных служб. Например, псевдонимы учетных записей AWS и имена проектов GCP.
Поддержка проверки вредоносных программ в Defender для служба хранилища
25 июня 2023 г.
Поддержка частной конечной точки теперь доступна в рамках общедоступной предварительной версии сканирования вредоносных программ в Defender для служба хранилища. Эта возможность позволяет включить сканирование вредоносных программ в учетных записях хранения, использующих частные конечные точки. Никакой другой конфигурации не требуется.
Сканирование вредоносных программ (предварительная версия) в Defender для служба хранилища помогает защитить учетные записи хранения от вредоносного содержимого, выполнив полную проверку вредоносных программ на отправленном содержимом практически в режиме реального времени с помощью антивирусная программа в Microsoft Defender возможностей. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого. Это решение SaaS без агента, которое позволяет выполнять простую настройку в масштабе с нулевым обслуживанием и поддерживает автоматизацию ответа в масштабе.
Частные конечные точки обеспечивают безопасное подключение к службам служба хранилища Azure, эффективно устраняя общедоступный интернет-доступ и считаются рекомендациями по обеспечению безопасности.
Для учетных записей хранения с частными конечными точками, у которых уже включена проверка вредоносных программ, необходимо отключить и включить план с проверкой вредоносных программ для работы.
Узнайте больше об использовании частных конечных точек в Defender для служба хранилища и о том, как защитить службы хранилища дальше.
Рекомендация, выпущенная для предварительной версии: при выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender)
21 июня 2023 г.
Новая рекомендация по контейнеру в CSPM Defender с Управление уязвимостями Microsoft Defender выпущена для предварительной версии:
| Рекомендация | Description | Ключ оценки |
|---|---|---|
| При выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender)(предварительная версия) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Эта новая рекомендация заменяет текущую рекомендацию того же имени, на основе Qualys, только в CSPM Defender (замена ключа оценки 41503391-efa5-47ee-9282-4eff6131462c).
Обновления управления были сделаны в стандартах NIST 800-53 в соответствии с нормативными требованиями
15 июня 2023 г.
Недавно стандарты NIST 800-53 (R4 и R5) были обновлены с изменениями контроля в Microsoft Defender для облака соответствия нормативным требованиям. Управляемые корпорацией Майкрософт элементы управления были удалены из стандарта, а сведения о реализации ответственности Майкрософт (как часть облачной модели общей ответственности) теперь доступны только в области сведений об элементе управления в разделе "Действия Майкрософт".
Эти элементы управления ранее вычислялись как переданные элементы управления, поэтому вы можете увидеть значительный спад в оценке соответствия стандартам NIST в период с апреля 2023 по май 2023 года.
Дополнительные сведения об элементах управления соответствием см. в руководстве по проверка соответствия нормативным требованиям — Microsoft Defender для облака.
Планирование облачной миграции с помощью бизнес-дела службы "Миграция Azure" теперь включает Defender для облака
11 июня 2023 г.
Теперь вы можете обнаружить потенциальную экономию средств в безопасности, применяя Defender для облака в контексте бизнес-дела службы "Миграция Azure".
Экспресс-конфигурация для оценки уязвимостей в Defender для SQL теперь общедоступна
7 июня 2023 г.
Экспресс-конфигурация для оценки уязвимостей в Defender для SQL теперь общедоступна. Экспресс-конфигурация обеспечивает упрощенное подключение для оценки уязвимостей SQL с помощью конфигурации один щелчка (или вызова API). В управляемых учетных записях хранения нет дополнительных параметров или зависимостей.
Ознакомьтесь с этим блогом , чтобы узнать больше о экспресс-конфигурации.
Различия между экспресс-и классической конфигурацией можно узнать.
Дополнительные область, добавленные в существующие Подключение azure DevOps
6 июня 2023 г.
Defender для DevOps добавил следующие дополнительные область в приложение Azure DevOps (ADO):
Заранее управление безопасностью:
vso.advsec_manage. Это необходимо для включения, отключения и управления GitHub Advanced Security для ADO.Сопоставление контейнеров:
vso.extension_manage,vso.gallery_manager; Это необходимо для предоставления общего доступа к расширению декоратора организации ADO.
Это изменение влияет только на новых клиентов Defender для DevOps, которые пытаются подключить ресурсы ADO к Microsoft Defender для облака.
Подключение напрямую (без Azure Arc) к Defender для серверов теперь общедоступен
5 июня 2023 г.
Ранее Azure Arc требовалась для подключения серверов, отличных от Azure, к Defender для серверов. Однако с помощью последнего выпуска вы также можете подключить локальные серверы к Defender для серверов, используя только агент Microsoft Defender для конечной точки.
Этот новый метод упрощает процесс подключения для клиентов, ориентированных на защиту основных конечных точек, и позволяет воспользоваться преимуществами выставления счетов на основе потребления Defender для серверов как для облачных, так и для необлачных ресурсов. Теперь доступен вариант прямого подключения через Defender для конечной точки с выставлением счетов за подключенные компьютеры, начиная с 1 июля.
Дополнительные сведения см. в Подключение компьютерах, отличных от Azure, Microsoft Defender для облака с помощью Defender для конечной точки.
Замена обнаружения на основе агента с помощью обнаружения без агента для возможностей контейнеров в CSPM в Defender
4 июня 2023 г.
Благодаря возможностям остановки контейнеров без агента, доступными в CSPM в Defender, возможности обнаружения на основе агента теперь удаляются. Если в настоящее время вы используете возможности контейнеров в CSPM Defender, убедитесь, что соответствующие расширения включены для продолжения получения значения, связанного с контейнером, новых возможностей без агента, таких как пути атак, связанные с контейнером, аналитические сведения и инвентаризация. (Для просмотра последствий включения расширений может потребоваться до 24 часов.
Узнайте больше о позе контейнера без агента.
Май 2023 г.
Обновления может включать:
- Новое оповещение в Defender для Key Vault.
- Поддержка бессерверного сканирования зашифрованных дисков в AWS.
- Изменения в соглашениях об именовании правил JIT (JIT) в Defender для облака.
- Подключение выбранных регионов AWS.
- Изменения рекомендаций по идентификации.
- Отмена устаревших стандартов на панели мониторинга соответствия требованиям.
- Обновление двух рекомендаций Defender для DevOps для включения результатов проверки Azure DevOps.
- Новый параметр по умолчанию для решения оценки уязвимостей Defender для серверов.
- Возможность скачать CSV-отчет о результатах запроса Cloud Security Explorer (предварительная версия).
- Выпуск оценки уязвимостей контейнеров с Управление уязвимостями Microsoft Defender.
- Переименование рекомендаций по контейнерам на основе Qualys.
- Обновление приложения Defender для DevOps GitHub.
- Перейдите на заметки Defender для DevOps Pull Request в репозиториях Azure DevOps, которые теперь включают инфраструктуру в качестве неправильной настройки кода.
Новое оповещение в Defender для Key Vault
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| Необычный доступ к хранилищу ключей из подозрительного IP-адреса (не майкрософт или внешний) (KV_UnusualAccessSuspiciousIP) |
Пользователь или субъект-служба попытались получить аномальный доступ к хранилищам ключей из IP-адреса, отличного от Майкрософт, за последние 24 часа. Этот аномальный шаблон доступа может быть законным действием. Это может быть признаком возможной попытки получить доступ к хранилищу ключей и секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование. | Доступ к четным данным | Средняя |
Все доступные оповещения см. в разделе "Оповещения" для Azure Key Vault.
Сканирование без агента теперь поддерживает зашифрованные диски в AWS
Сканирование без агента для виртуальных машин теперь поддерживает обработку экземпляров с зашифрованными дисками в AWS с помощью CMK и PMK.
Эта расширенная поддержка повышает охват и видимость облачных ресурсов, не влияя на выполняемые рабочие нагрузки. Поддержка зашифрованных дисков поддерживает тот же метод нулевого влияния на запущенные экземпляры.
- Для новых клиентов, включающих сканирование без агента в AWS, покрытие зашифрованных дисков встроено и поддерживается по умолчанию.
- Для существующих клиентов, у которых уже есть соединитель AWS с включенным сканированием без агента, необходимо повторно применить стек CloudFormation к подключенным учетным записям AWS для обновления и добавления новых разрешений, необходимых для обработки зашифрованных дисков. Обновленный шаблон CloudFormation включает новые назначения, позволяющие Defender для облака обрабатывать зашифрованные диски.
Дополнительные сведения о разрешениях, используемых для сканирования экземпляров AWS.
Чтобы повторно применить стек CloudFormation, выполните указанные действия.
- Перейдите к Defender для облака параметрам среды и откройте соединитель AWS.
- Перейдите на вкладку "Настройка доступа ".
- Щелкните , чтобы скачать шаблон CloudFormation.
- Перейдите в среду AWS и примените обновленный шаблон.
Дополнительные сведения об бессерверном сканировании и включении сканирования без агента в AWS.
Измененные соглашения об именовании правил JIT (JIT) в Defender для облака
Мы пересмотрели правила JIT (JIT), чтобы соответствовать Microsoft Defender для облака бренду. Мы изменили соглашения об именовании для правил Брандмауэр Azure и NSG (группа безопасности сети).
Изменения перечислены следующим образом:
| Description | Старое имя | Новое название |
|---|---|---|
| Имена правил JIT (разрешить и запретить) в NSG (группа безопасности сети) | SecurityCenter-JITRule | MicrosoftDefenderForCloud-JITRule |
| Описания правил JIT в NSG | Правило доступа к сети JIT ASC | Правило доступа к сети JIT MDC |
| Имена коллекций правил брандмауэра JIT | ASC-JIT | MDC-JIT |
| Имена правил брандмауэра JIT | ASC-JIT | MDC-JIT |
Узнайте, как защитить порты управления с помощью JIT-доступа.
Подключение выбранных регионов AWS
Чтобы помочь вам управлять затратами и требованиями соответствия AWS CloudTrail, теперь можно выбрать регионы AWS для сканирования при добавлении или изменении облачного соединителя. Теперь вы можете сканировать выбранные регионы AWS или все доступные регионы (по умолчанию) при подключении учетных записей AWS к Defender для облака. Дополнительные сведения см. в Подключение учетной записи AWS, чтобы Microsoft Defender для облака.
Несколько изменений в рекомендациях по идентификации
Следующие рекомендации теперь выпускаются как общедоступная версия и заменяют рекомендации версии 1, которые теперь устарели.
Выпуск общедоступной версии удостоверений
В выпуске рекомендаций по идентификации версии 2 представлены следующие улучшения:
- Область сканирования развернут, чтобы включить все ресурсы Azure, а не только подписки. Это позволяет администраторам безопасности просматривать назначения ролей для каждой учетной записи.
- Теперь определенные учетные записи можно исключить из оценки. Учетные записи, такие как разрывы или учетные записи служб, могут быть исключены администраторами безопасности.
- Частота сканирования была увеличена с 24 часов до 12 часов, тем самым гарантируя, что рекомендации по идентификации являются более актуальными и точными.
Следующие рекомендации по безопасности доступны в общедоступной версии и заменены рекомендациями версии 1.
| Рекомендация | Ключ оценки |
|---|---|
| Для учетных записей с разрешениями владельца для ресурсов Azure должна быть включена многофакторная проверка подлинности | 6240402e-f77c-46fa-9060-a7ce53997754 |
| Для учетных записей с разрешениями на запись для ресурсов Azure должна быть включена многофакторная проверка подлинности | c0cb17b2-0607-48a7-b0e0-903ed22de39b |
| Для учетных записей с разрешениями на чтение для ресурсов Azure должна быть включена многофакторная проверка подлинности | dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | 20606e75-05c4-48c0-9d97-add6daa2109a |
| Гостевые учетные записи с разрешениями на запись для ресурсов Azure должны быть удалены | 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb |
| Гостевые учетные записи с разрешениями на чтение для ресурсов Azure должны быть удалены | fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 |
| Заблокированные учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | 050ac097-3dda-4d24-ab6d-82568e7a50cf |
| Заблокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены | 1ff0b4c9-ed56-4de6-be9c-d7ab39645926 |
Отмена рекомендаций по идентификации версии 1
Теперь не рекомендуется использовать следующие рекомендации по безопасности:
| Рекомендация | Ключ оценки |
|---|---|
| MFA должна быть включена в учетных записях с разрешениями владельца для подписок. | 94290b00-4d0c-d7b4-7cea-064a9554e681 |
| Многофакторная проверка подлинности должна быть включена в учетных записях с разрешениями на запись для подписок. | 57e98606-6b1e-6193-0e3d-fe621387c16b |
| Многофакторная проверка подлинности должна быть включена в учетных записях с разрешениями на чтение подписок. | 151e82c5-5341-a74b-1eb0-bc38d2c84bb5 |
| Внешние учетные записи с разрешениями владельца должны быть удалены из подписок. | c3b6ae71-f1f0-31b4-e6c1-d5951285d03d |
| Внешние учетные записи с разрешениями на запись должны быть удалены из подписок. | 04e7147b-0deb-9796-2e5c-0336343ceb3d |
| Внешние учетные записи с разрешениями на чтение должны быть удалены из подписок. | a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b |
| Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписок. | e52064aa-6853-e252-a11e-dffc675689c2 |
| Необходимо удалить устаревшие учетные записи из подписок | 00c6d40b-e990-6acf-d4f3-471e747a27c4 |
Мы рекомендуем обновить пользовательские скрипты, рабочие процессы и правила управления, чтобы соответствовать рекомендациям версии 2.
Отмена устаревших стандартов на панели мониторинга соответствия требованиям
Устаревшие версии PCI DSS версии 3.2.1 и устаревшие TSP SOC были полностью устарели на панели мониторинга соответствия требованиям Defender для облака и заменены инициативой SOC 2 типа 2 и стандартами соответствия требованиям pci DSS версии 4. Мы полностью нерекомендуемую поддержку стандарта ИЛИ инициативы PCI DSS в Microsoft Azure, работающей в 21Vianet.
Узнайте, как настроить набор стандартов на панели мониторинга соответствия нормативным требованиям.
Две рекомендации Defender для DevOps теперь включают результаты проверки Azure DevOps
Defender для DevOps Code и IaC расширили охват рекомендаций в Microsoft Defender для облака, чтобы включить результаты безопасности Azure DevOps для следующих двух рекомендаций:
Code repositories should have code scanning findings resolvedCode repositories should have infrastructure as code scanning findings resolved
Ранее проверка безопасности Azure DevOps включала только рекомендацию по секретам.
Дополнительные сведения о Defender для DevOps.
Новый параметр по умолчанию для решения оценки уязвимостей Defender для серверов
Решения по оценке уязвимостей (VA) важны для защиты компьютеров от кибератак и нарушений данных.
Управление уязвимостями Microsoft Defender теперь включен как встроенное решение по умолчанию для всех подписок, защищенных Defender для серверов, которые еще не выбрали решение VA.
Если подписка включена на любой из своих виртуальных машин, изменения не вносятся и Управление уязвимостями Microsoft Defender по умолчанию не будут включены на оставшихся виртуальных машинах в этой подписке. Вы можете включить решение VA на оставшихся виртуальных машинах в подписках.
Скачивание CSV-отчета результатов запроса cloud security explorer (предварительная версия)
Defender для облака добавил возможность скачать CSV-отчет о результатах запроса cloud security explorer.
После выполнения поиска запроса нажмите кнопку "Скачать CSV-отчет (предварительная версия) на странице Обозреватель Cloud Security в Defender для облака.
Узнайте, как создавать запросы с помощью облачного обозревателя безопасности
Выпуск оценки уязвимостей контейнеров с Управление уязвимостями Microsoft Defender
Мы объявляем о выпуске образов оценки уязвимостей для Linux в реестрах контейнеров Azure на базе Управление уязвимостями Microsoft Defender в CSPM Defender. Этот выпуск включает ежедневное сканирование изображений. Результаты, используемые в Обозреватель безопасности и пути атак, зависят от оценки уязвимостей Microsoft Defender, а не сканера Qualys.
Существующая рекомендация Container registry images should have vulnerability findings resolved заменена новой рекомендацией:
| Рекомендация | Description | Ключ оценки |
|---|---|---|
| Образы реестра контейнеров должны иметь устраненные результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | dbd0cb49-b563-45e7-9724-889e799fa648 заменяется c0b7cfc6-3172-465a-b378-53c7ff2cc0d5. |
Узнайте больше о том, что контейнеры без агента размещены в CSPM Defender.
Дополнительные сведения о Управление уязвимостями Microsoft Defender.
Переименование рекомендаций по контейнерам на основе Qualys
Текущие рекомендации по контейнерам в Defender для контейнеров будут переименованы следующим образом:
| Рекомендация | Description | Ключ оценки |
|---|---|---|
| Необходимо устранить уязвимости в образах реестра контейнеров (на платформе Qualys) | Средство оценки уязвимостей в образах контейнеров проверяет реестр на наличие уязвимостей в каждом образе и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| При выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Qualys) | Средство оценки уязвимостей в образах контейнеров сканирует образы контейнеров, работающие в кластерах Kubernetes, на наличие уязвимостей и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. | 41503391-efa5-47ee-9282-4eff6131462c |
Обновление приложения Defender для DevOps GitHub
Microsoft Defender для DevOps постоянно вносит изменения и обновления, требующие от клиентов Defender для DevOps, которые подключены к средам GitHub в Defender для облака для предоставления разрешений в рамках приложения, развернутого в организации GitHub. Эти разрешения необходимы для обеспечения нормальной работы и без проблем во всех функциях безопасности Defender для DevOps.
Мы рекомендуем обновить разрешения как можно скорее, чтобы обеспечить постоянный доступ ко всем доступным функциям Defender для DevOps.
Разрешения можно предоставить двумя разными способами:
В организации выберите GitHub Apps. Найдите вашу организацию и выберите "Проверить запрос".
Вы получите автоматизированное сообщение электронной почты из службы поддержки GitHub. В сообщении электронной почты выберите "Проверить запрос на разрешение", чтобы принять или отклонить это изменение.
После того как вы выполнили любой из этих параметров, вы перейдете на экран проверки, где следует просмотреть запрос. Нажмите кнопку "Принять новые разрешения" , чтобы утвердить запрос.
Если вам нужна помощь в обновлении разрешений, можно создать запрос поддержка Azure.
Вы также можете узнать больше о Defender для DevOps. Если подписка включена на любой из своих виртуальных машин, изменения не вносятся и Управление уязвимостями Microsoft Defender по умолчанию не будут включены на оставшихся виртуальных машинах в этой подписке. Вы можете включить решение VA на оставшихся виртуальных машинах в подписках.
Заметки Defender для DevOps Pull Request в репозиториях Azure DevOps теперь включают инфраструктуру в качестве неправильной настройки кода
Defender для DevOps расширил покрытие заметок запроса на вытягивание (PR) в Azure DevOps, чтобы включить неправильно настроенные конфигурации инфраструктуры как кода (IaC), обнаруженные в шаблонах Azure Resource Manager и Bicep.
Теперь разработчики могут просматривать заметки для неправильной настройки IaC непосредственно в своих PR. Разработчики также могут устранить критически важные проблемы безопасности перед подготовкой инфраструктуры в облачные рабочие нагрузки. Чтобы упростить исправление, разработчики предоставляются с уровнем серьезности, описанием неправильной настройки и инструкциями по исправлению в каждой заметке.
Ранее покрытие заметок pr Defender для DevOps в Azure DevOps включало только секреты.
Дополнительные сведения о заметках Defender для DevOps и запросов на вытягивание.
Апрель 2023 г.
В апреле добавлены следующие обновления:
- Состояние контейнера без агента в CSPM в Defender (предварительная версия)
- Рекомендация по использованию единого шифрования дисков предварительной версии
- Изменения на компьютерах рекомендаций должны быть настроены безопасно
- Отмена политик мониторинга языка Служба приложений
- Новое оповещение в Defender для Resource Manager
- Три оповещения в плане Defender для Resource Manager устарели
- Оповещения автоматического экспорта в рабочую область Log Analytics устарели
- Отмена и улучшение выбранных оповещений для серверов Windows и Linux
- Новые рекомендации по проверке подлинности Azure Active Directory для служб данных Azure
- Две рекомендации, связанные с отсутствием обновлений операционной системы (ОС), были выпущены в общедоступной версии
- Defender для API (предварительная версия)
Состояние контейнера без агента в CSPM в Defender (предварительная версия)
Новые возможности размещения контейнеров без агента (предварительная версия) доступны в рамках плана CSPM Defender (Cloud Security Posture Management).
Защита контейнеров без агента позволяет командам безопасности выявлять риски безопасности в контейнерах и областях Kubernetes. Подход без агента позволяет группам безопасности получать представление о своих реестрах Kubernetes и контейнеров в SDLC и среде выполнения, устраняя трения и следы от рабочих нагрузок.
Posture без агента предлагает оценки уязвимостей контейнера, которые в сочетании с анализом пути атаки позволяют группам безопасности определять приоритеты и увеличивать масштабы определенных уязвимостей контейнеров. Вы также можете использовать обозреватель облачной безопасности для выявления рисков и поиска аналитических сведений о положении контейнеров, таких как обнаружение приложений, работающих под уязвимыми изображениями или доступ к Интернету.
Дополнительные сведения см. в публикации без агента (предварительная версия).
Рекомендация по единому шифрованию дисков (предварительная версия)
В предварительной версии существуют новые рекомендации по шифрованию унифицированных дисков.
Wndows virtual machines should enable Azure Disk Encryption or EncryptionAtHostLinux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.
Эти рекомендации заменяютсяVirtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, которые обнаружили Шифрование дисков Azure и политикуVirtual machines and virtual machine scale sets should have encryption at host enabled, которая обнаружила EncryptionAtHost. ADE и EncryptionAtHost обеспечивают сравнимое шифрование при хранении, и мы рекомендуем включить один из них на каждой виртуальной машине. Новые рекомендации определяют, включены ли ADE или EncryptionAtHost, и предупреждают только в том случае, если они не включены. Мы также предупреждаем, включена ли ADE на некоторых дисках виртуальной машины (это условие не применимо к EncryptionAtHost).
Для новых рекомендаций требуется настройка компьютера автоуправляемого управления Azure.
Эти рекомендации основаны на следующих политиках:
- (предварительная версия) Виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost
- (предварительная версия) Виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost
Узнайте больше о ADE и EncryptionAtHost и о том, как включить один из них.
Изменения на компьютерах рекомендаций должны быть настроены безопасно
Была обновлена рекомендация Machines should be configured securely . Обновление повышает производительность и стабильность рекомендации и сопоставляет его опыт с универсальным поведением рекомендаций Defender для облака.
В рамках этого обновления идентификатор рекомендации был изменен на 181ac480-f7c4-544b-9865-11b8ffe87f47c476dc48-8110-4139-91af-c8d940896b98.
Никаких действий на стороне клиента не требуется, и ожидаемое влияние на оценку безопасности не требуется.
Отмена политик мониторинга языка Служба приложений
Следующие Служба приложений политики мониторинга языка устарели из-за их способности создавать ложные отрицательные значения и потому, что они не обеспечивают лучшую безопасность. Всегда следует убедиться, что вы используете языковую версию без известных уязвимостей.
| Имя политики | ИД политики |
|---|---|
| Приложения Службы приложений, использующие Java, должны использовать последнюю версию Java | 496223c3-ad65-4ecd-878a-bae78737e9ed |
| Приложения Службы приложений, использующие Python, должны использовать последнюю версию Python | 7008174a-fd10-4ef0-817e-fc820a951d73 |
| Приложения-функции, использующие Java, должны использовать последнюю версию Java | 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc |
| Приложения-функции, использующие Python, должны использовать последнюю версию Python | 7238174a-fd10-4ef0-817e-fc820a951d73 |
| Приложения Службы приложений, использующие PHP, должны использовать последнюю версию PHP | 7261b898-8a84-4db8-9e04-18527132abb3 |
Клиенты могут использовать альтернативные встроенные политики для мониторинга любой указанной языковой версии для своих Служба приложений.
Эти политики больше не доступны в встроенных рекомендациях Defender для облака. Их можно добавить в качестве пользовательских рекомендаций, чтобы Defender для облака отслеживать их.
Новое оповещение в Defender для Resource Manager
Defender для Resource Manager имеет следующее новое оповещение:
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| Предварительная версия. Обнаружено подозрительное создание вычислительных ресурсов (ARM_SuspiciousComputeCreation) |
Microsoft Defender для Resource Manager определил подозрительное создание вычислительных ресурсов в подписке с помощью Виртуальные машины или масштабируемого набора Azure. Определяемые операции предназначены для эффективного управления средами администраторами путем развертывания новых ресурсов при необходимости. Хотя это действие может быть законным, субъект угроз может использовать такие операции для проведения крипто-интеллектуального анализа данных. Действие считается подозрительным, так как масштаб вычислительных ресурсов выше, чем ранее наблюдалось в подписке. Это может указывать на то, что субъект скомпрометирован и используется с вредоносным намерением. |
Воздействие | Средняя |
Вы можете просмотреть список всех оповещений, доступных для Resource Manager.
Три оповещения в плане Defender для Resource Manager устарели
Следующие три оповещения для плана Defender для Resource Manager устарели:
Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)
В сценарии обнаружения действия из подозрительного IP-адреса один из следующих оповещений Azure Resource Manager operation from suspicious IP address о планах Defender для Resource Manager или Azure Resource Manager operation from suspicious proxy IP address будет присутствовать.
Оповещения автоматического экспорта в рабочую область Log Analytics устарели
Оповещения Defenders for Cloud Security автоматически экспортируются в рабочую область Log Analytics по умолчанию на уровне ресурса. Это приводит к детерминированному поведению, поэтому мы не рекомендуем использовать эту функцию.
Вместо этого можно экспортировать оповещения системы безопасности в выделенную рабочую область Log Analytics с помощью непрерывного экспорта.
Если вы уже настроили непрерывный экспорт оповещений в рабочую область Log Analytics, дальнейшие действия не требуются.
Отмена и улучшение выбранных оповещений для серверов Windows и Linux
Процесс улучшения качества оповещений системы безопасности для Defender для серверов включает нерекомендуние некоторых оповещений для серверов Windows и Linux. Устаревшие оповещения теперь создаются из оповещений Defender для конечной точки и охватываются оповещениями об угрозах Defender для конечной точки.
Если у вас уже включена интеграция Defender для конечной точки, дальнейшие действия не требуются. В апреле 2023 г. может возникнуть снижение объема оповещений.
Если у вас нет интеграции Defender для конечной точки в Defender для серверов, необходимо включить интеграцию Defender для конечной точки для поддержания и улучшения охвата оповещений.
Все клиенты Defender для серверов имеют полный доступ к интеграции Defender для конечной точки в рамках плана Defender для серверов.
Дополнительные сведения о параметрах подключения можно узнать о Microsoft Defender для конечной точки.
Вы также можете просмотреть полный список оповещений , которые настроены как устаревшие.
Ознакомьтесь с блогом Microsoft Defender для облака.
Новые рекомендации по проверке подлинности Azure Active Directory для служб данных Azure
Мы добавили четыре новых рекомендаций по проверке подлинности Azure Active Directory для служб данных Azure.
| Имя рекомендации | Описание рекомендации | Политика |
|---|---|---|
| Управляемый экземпляр SQL Azure режим проверки подлинности должен иметь только Azure Active Directory | Отключение методов локальной проверки подлинности и разрешение только проверки подлинности Azure Active Directory повышает безопасность, обеспечивая доступ к управляемым экземплярам SQL Azure исключительно для удостоверений Azure Active Directory. | Для управляемого экземпляра SQL Azure должна быть включена проверка подлинности только Azure Active Directory |
| Режим проверки подлинности рабочей области Azure Synapse должен иметь только Azure Active Directory | Только методы проверки подлинности Azure Active Directory повышают безопасность, гарантируя, что рабочие области Synapse требуют только удостоверения Azure AD для проверки подлинности. Подробнее. | Рабочие области Synapse должны использовать только удостоверения Azure Active Directory для проверки подлинности |
| База данных Azure для MySQL должен быть подготовлен администратор Azure Active Directory | Подготовьте администратора Azure AD для База данных Azure для MySQL, чтобы включить проверку подлинности Azure AD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | Администратор Azure Active Directory должен быть подготовлен для серверов MySQL |
| База данных Azure для PostgreSQL должен быть подготовлен администратор Azure Active Directory | Подготовьте администратора Azure AD для База данных Azure для PostgreSQL, чтобы включить проверку подлинности Azure AD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | Администратор Azure Active Directory должен быть подготовлен для серверов PostgreSQL |
Две рекомендации, связанные с отсутствием обновлений операционной системы (ОС), были выпущены в общедоступной версии
Рекомендации и Machines should be configured to periodically check for missing system updates выпущены System updates should be installed on your machines (powered by Azure Update Manager) для общедоступной доступности.
Чтобы использовать новую рекомендацию, необходимо:
- Подключение компьютеры, отличные от Azure, в Arc.
- Включите свойство периодической оценки. С помощью кнопки "Исправить".
в новой рекомендации, чтобы исправить эту рекомендацию
Machines should be configured to periodically check for missing system updates.
После выполнения этих действий можно удалить старую рекомендациюSystem updates should be installed on your machines, отключив ее от встроенной инициативы Defender для облака в политике Azure.
Две версии рекомендаций:
System updates should be installed on your machinesSystem updates should be installed on your machines (powered by Azure Update Manager)
Оба будут доступны до тех пор, пока агент Log Analytics не будет нерекомендуем 31 августа 2024 г., то есть когда более старая версия (System updates should be installed on your machines) рекомендации также будет устарела. Обе рекомендации возвращают одинаковые результаты и доступны в одном элементе управления Apply system updates.
Новая рекомендация System updates should be installed on your machines (powered by Azure Update Manager) содержит поток исправления, доступный с помощью кнопки "Исправление", которая может использоваться для исправления любых результатов с помощью диспетчера обновлений (предварительная версия). Этот процесс исправления по-прежнему находится в предварительной версии.
Ожидается, что новая рекомендация System updates should be installed on your machines (powered by Azure Update Manager) не влияет на оценку безопасности, так как она имеет те же результаты, что и старая рекомендация System updates should be installed on your machines.
Рекомендация по предварительным требованиям (включение периодического свойства оценки) негативно влияет на оценку безопасности. Вы можете исправить негативный эффект с помощью доступной кнопки "Исправить".
Defender для API (предварительная версия)
Defender для облака Майкрософт объявляет о том, что новый Defender для API доступен в предварительной версии.
Defender для API обеспечивает полную защиту жизненного цикла, обнаружение и покрытие ответов для API.
Defender для API помогает получить представление о критически важных для бизнеса API. Вы можете исследовать и улучшать состояние безопасности API, определять приоритеты исправлений уязвимостей и быстро обнаруживать активные угрозы в режиме реального времени.
Дополнительные сведения об Defender для API.
Март 2023 г.
В марте добавлены следующие обновления:
- Доступен новый план Defender для служба хранилища, включая сканирование вредоносных программ практически в режиме реального времени и обнаружение угроз конфиденциальной данных
- Состояние безопасности с учетом данных (предварительная версия)
- Улучшенный интерфейс для управления политиками безопасности Azure по умолчанию
- CSPM Defender (Управление облачная безопасность) теперь общедоступен (GA)
- Возможность создания пользовательских рекомендаций и стандартов безопасности в Microsoft Defender для облака
- Microsoft Cloud Security Benchmark (MCSB) версии 1.0 теперь общедоступен (GA)
- Некоторые стандарты соответствия нормативным требованиям теперь доступны в облаках государственных организаций
- Новая предварительная версия рекомендации для СЕРВЕРОВ SQL Azure
- Новое оповещение в Defender для Key Vault
Доступен новый план Defender для служба хранилища, включая сканирование вредоносных программ практически в режиме реального времени и обнаружение угроз конфиденциальной данных
Облачное хранилище играет ключевую роль в организации и хранит большие объемы ценных и конфиденциальных данных. Сегодня мы объявляем о новом плане Defender для служба хранилища. Если вы используете предыдущий план (теперь переименованы в Defender для служба хранилища (классическая модель)), необходимо заранее перейти на новый план, чтобы использовать новые функции и преимущества.
Новый план включает расширенные возможности безопасности для защиты от вредоносных отправки файлов, кражи конфиденциальных данных и повреждения данных. Она также обеспечивает более прогнозируемую и гибкую структуру ценообразования для более эффективного контроля над покрытием и затратами.
Новый план теперь имеет новые возможности в общедоступной предварительной версии:
Обнаружение событий воздействия конфиденциальных данных и кражи
Проверка вредоносных программ в режиме реального времени практически в режиме реального времени для всех типов файлов
Обнаружение сущностей без удостоверений с помощью маркеров SAS
Эти возможности повышают существующую возможность мониторинга активности на основе анализа журналов управления и анализа журналов плоскости данных и моделирования поведения для выявления ранних признаков нарушения.
Все эти возможности доступны в новом прогнозируемом и гибком плане ценообразования, который обеспечивает детальный контроль над защитой данных на уровне подписки и ресурсов.
Дополнительные сведения см. в статье "Обзор Microsoft Defender для служба хранилища".
Состояние безопасности с учетом данных (предварительная версия)
Microsoft Defender для облака помогает командам по обеспечению безопасности работать эффективнее при снижении рисков и реагировании на нарушения данных в облаке. Он позволяет им сократить шум с контекстом данных и определить наиболее важные риски безопасности, предотвращая дорогостоящие нарушения данных.
- Автоматически обнаруживайте ресурсы данных в облаке и оцените их доступность, конфиденциальность данных и настроенные потоки данных. -Непрерывно обнаруживать риски для нарушений данных конфиденциальных ресурсов данных, воздействия или атак, которые могут привести к ресурсу данных с помощью метода бокового перемещения.
- Обнаружение подозрительных действий, которые могут указывать на постоянную угрозу для ресурсов конфиденциальных данных.
Узнайте больше о позе безопасности с учетом данных.
Улучшенный интерфейс для управления политиками безопасности Azure по умолчанию
Мы введем улучшенный интерфейс управления политиками безопасности Azure для встроенных рекомендаций, упрощающих настройку требований к безопасности Defender для облака клиентам. Новый интерфейс включает следующие новые возможности:
- Простой интерфейс позволяет повысить производительность и взаимодействие с политиками безопасности по умолчанию в Defender для облака.
- Одно представление всех встроенных рекомендаций по безопасности, предлагаемых microsoft cloud security benchmark (прежнее название — тест безопасности Azure). Рекомендации организованы в логические группы, что упрощает понимание типов ресурсов и связь между параметрами и рекомендациями.
- Добавлены новые функции, такие как фильтры и поиск.
Узнайте, как управлять политиками безопасности.
Ознакомьтесь с блогом Microsoft Defender для облака.
CSPM Defender (Управление облачная безопасность) теперь общедоступен (GA)
Мы объявляем, что CSPM Defender теперь общедоступен (GA). CSPM Defender предлагает все службы, доступные в рамках возможностей CSPM Foundational, и добавляет следующие преимущества:
- Анализ пути атаки и API ARG — анализ пути атаки использует алгоритм на основе графа, который сканирует граф облачной безопасности для предоставления путей атаки и предлагает рекомендации по устранению проблем, которые нарушают путь атаки и предотвращают успешное нарушение. Вы также можете использовать пути атаки программным способом, запрашивая API Azure Resource Graph (ARG). Узнайте, как использовать анализ пути атаки
- Cloud Security Explorer — используйте Обозреватель Cloud Security для выполнения запросов на основе графов в графе облачной безопасности, чтобы заранее определить риски безопасности в средах с несколькими облаками. Дополнительные сведения об облачном обозревателе безопасности.
Дополнительные сведения о CSPM Defender.
Возможность создания пользовательских рекомендаций и стандартов безопасности в Microsoft Defender для облака
Microsoft Defender для облака предоставляет возможность создания пользовательских рекомендаций и стандартов для AWS и GCP с помощью запросов KQL. С помощью редактора запросов можно создавать и тестировать запросы по данным. Эта функция входит в план CSPM Defender (Cloud Security Posture Management). Узнайте, как создавать пользовательские рекомендации и стандарты.
Microsoft Cloud Security Benchmark (MCSB) версии 1.0 теперь общедоступен (GA)
Microsoft Defender для облака объявляется, что microsoft cloud security benchmark (MCSB) версии 1.0 теперь общедоступен (GA).
MCSB версии 1.0 заменяет azure Security Benchmark (ASB) версии 3 как политику безопасности по умолчанию Defender для облака. MCSB версии 1.0 отображается как стандарт соответствия по умолчанию на панели мониторинга соответствия требованиям и включен по умолчанию для всех Defender для облака клиентов.
Вы также можете узнать, как microsoft cloud security benchmark (MCSB) поможет вам добиться успеха в пути облачной безопасности.
Дополнительные сведения о MCSB.
Некоторые стандарты соответствия нормативным требованиям теперь доступны в облаках государственных организаций
Мы обновляем эти стандарты для клиентов в Azure для государственных организаций и Microsoft Azure, управляемых 21Vianet.
Azure для государственных организаций:
Microsoft Azure, управляемый 21Vianet:
Узнайте, как настроить набор стандартов на панели мониторинга соответствия нормативным требованиям.
Новая предварительная версия рекомендации для СЕРВЕРОВ SQL Azure
Мы добавили новую рекомендацию для серверов SQL Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)Azure.
Рекомендация основана на существующей политике Azure SQL Database should have Azure Active Directory Only Authentication enabled
Эта рекомендация отключает локальные методы проверки подлинности и разрешает только проверку подлинности Azure Active Directory, что повышает безопасность, обеспечивая доступ к База данных SQL Azure исключительно удостоверениям Azure Active Directory.
Узнайте, как создавать серверы с включенной проверкой подлинности только azure AD в SQL Azure.
Новое оповещение в Defender для Key Vault
Defender для Key Vault имеет следующее новое оповещение:
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| Отказ в доступе из подозрительного IP-адреса в хранилище ключей (KV_SuspiciousIPAccessDenied) |
Неудачный доступ к хранилищу ключей был предпринят попыткой IP-адреса, который был идентифицирован Microsoft Threat Intelligence как подозрительный IP-адрес. Хотя эта попытка была неудачной, это означает, что ваша инфраструктура может быть скомпрометирована. Мы рекомендуем провести дополнительное расследование. | Доступ к четным данным | Низкая |
Список всех оповещений, доступных для Key Vault.
2023 февраля
В феврале добавлены следующие изменения:
- Расширенная Обозреватель Cloud Security
- Проверка уязвимостей Defender для контейнеров для запуска образов Linux теперь общедоступная версия
- Объявление о поддержке стандарта соответствия AWS CIS 1.5.0
- Microsoft Defender для DevOps (предварительная версия) теперь доступен в других регионах
- Встроенная политика [предварительная версия]: частная конечная точка должна быть настроена для Key Vault не рекомендуется
Расширенная Обозреватель Cloud Security
Улучшенная версия облачного обозревателя безопасности включает обновленный пользовательский интерфейс, который значительно устраняет трение запросов, добавил возможность выполнять многооблачные и многоресурсные запросы, а также внедренную документацию для каждого варианта запроса.
Теперь Обозреватель Cloud Security позволяет выполнять облачные абстрактные запросы между ресурсами. Вы можете использовать предварительно созданные шаблоны запросов или использовать пользовательский поиск для применения фильтров для создания запроса. Узнайте, как управлять Обозреватель Cloud Security.
Проверка уязвимостей Defender для контейнеров для запуска образов Linux теперь общедоступная версия
Defender для контейнеров обнаруживает уязвимости в запущенных контейнерах. Поддерживаются контейнеры Windows и Linux.
В августе 2022 г. эта возможность была выпущена в предварительной версии для Windows и Linux. Теперь мы выпускаем его для общедоступной версии (GA) для Linux.
При обнаружении уязвимостей Defender для облака создает следующую рекомендацию по безопасности, в которой перечислены результаты сканирования: при выполнении образов контейнеров должны быть устранены результаты уязвимостей.
Узнайте больше о просмотре уязвимостей для запущенных образов.
Объявление о поддержке стандарта соответствия AWS CIS 1.5.0
Defender для облака теперь поддерживает стандарт соответствия cis Amazon Web Services версии 1.5.0. Стандарт можно добавить на панель мониторинга соответствия нормативным требованиям и использовать существующие предложения MDC для многооблачных рекомендаций и стандартов.
Этот новый стандарт включает как существующие, так и новые рекомендации, которые расширяют охват Defender для облака новыми службами и ресурсами AWS.
Узнайте, как управлять оценками и стандартами AWS.
Microsoft Defender для DevOps (предварительная версия) теперь доступен в других регионах
Microsoft Defender для DevOps расширил свою предварительную версию и теперь доступен в регионах Западной Европы и Восточной Австралии при подключении ресурсов Azure DevOps и GitHub.
Дополнительные сведения о Microsoft Defender для DevOps.
Встроенная политика [предварительная версия]: частная конечная точка должна быть настроена для Key Vault не рекомендуется
Встроенная политика [Preview]: Private endpoint should be configured for Key Vault устарела и заменена политикой [Preview]: Azure Key Vaults should use private link .
Дополнительные сведения об интеграции Azure Key Vault с Политика Azure.
2023 января
Обновления в январе включают следующие:
- Компонент Endpoint Protection (Microsoft Defender для конечной точки) теперь доступен на странице Параметры и мониторинга
- Новая версия рекомендации по поиску отсутствующих обновлений системы (предварительная версия)
- Очистка удаленных компьютеров Azure Arc в подключенных учетных записях AWS и GCP
- Разрешить непрерывный экспорт в Центры событий за брандмауэром
- Имя элемента управления "Защита оценки безопасности" для приложений с помощью расширенных сетевых решений Azure изменилось
- Параметры оценки уязвимостей политики для SQL Server должны содержать адрес электронной почты для получения отчетов проверки не рекомендуется
- Рекомендация по включению журналов диагностики для Масштабируемые наборы виртуальных машин не рекомендуется
Компонент Endpoint Protection (Microsoft Defender для конечной точки) теперь доступен на странице Параметры и мониторинга
Чтобы получить доступ к Endpoint Protection, перейдите к планам> Защитника>среды Параметры и мониторингу. Здесь можно задать значение Endpoint Protection включено. Вы также можете увидеть другие компоненты, управляемые.
Дополнительные сведения о включении Microsoft Defender для конечной точки на серверах с помощью Defender для серверов.
Новая версия рекомендации по поиску отсутствующих обновлений системы (предварительная версия)
Вам больше не нужен агент на виртуальных машинах Azure и компьютерах Azure Arc, чтобы убедиться, что компьютеры имеют все последние обновления системы безопасности или критически важных систем.
Новая рекомендация System updates should be installed on your machines (powered by Azure Update Manager) по обновлению системы в элементе Apply system updates управления основана на диспетчере обновлений (предварительная версия). Эта рекомендация использует собственный агент, внедренный в каждую виртуальную машину Azure и компьютеры Azure Arc вместо установленного агента. Краткое исправление в новой рекомендации приводит к однократной установке отсутствующих обновлений на портале Диспетчера обновлений.
Чтобы использовать новую рекомендацию, необходимо:
- Подключение компьютеры, отличные от Azure, в Arc
- Включите периодическое свойство оценки. Чтобы устранить эту рекомендацию,
Machines should be configured to periodically check for missing system updatesможно использовать быстрое исправление в новой рекомендации.
Существующая рекомендация "Обновления системы должны быть установлены на компьютерах", которая зависит от агента Log Analytics, по-прежнему доступна под тем же элементом управления.
Очистка удаленных компьютеров Azure Arc в подключенных учетных записях AWS и GCP
Компьютер, подключенный к учетной записи AWS и GCP, охватываемой Defender для серверов или Defender для SQL на компьютерах, представлен в Defender для облака как компьютер Azure Arc. До сих пор этот компьютер не был удален из инвентаризации, когда компьютер был удален из учетной записи AWS или GCP. Что приводит к ненужным ресурсам Azure Arc, оставшимся в Defender для облака, представляющем удаленные компьютеры.
Defender для облака теперь автоматически удаляет компьютеры Azure Arc при удалении этих компьютеров в подключенной учетной записи AWS или GCP.
Разрешить непрерывный экспорт в Центры событий за брандмауэром
Теперь вы можете включить непрерывный экспорт оповещений и рекомендаций в качестве доверенной службы в Центры событий, защищенные брандмауэром Azure.
Вы можете включить непрерывный экспорт в виде создаваемых оповещений или рекомендаций. Можно также определить расписание для отправки периодических моментальных снимков всех новых данных.
Узнайте, как включить непрерывный экспорт в центры событий за брандмауэром Azure.
Имя элемента управления "Защита показателей безопасности" для приложений с помощью расширенных сетевых решений Azure изменяется
Элемент управления Protect your applications with Azure advanced networking solutions оценкой безопасности изменяется на Protect applications against DDoS attacks.
Обновленное имя отражается в Azure Resource Graph (ARG), API элементов управления оценкой безопасности и Download CSV report.
Параметры оценки уязвимостей политики для SQL Server должны содержать адрес электронной почты для получения отчетов проверки не рекомендуется
Политика Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports устарела.
Отчет об оценке уязвимостей Defender для SQL по-прежнему доступен и существующие конфигурации электронной почты не изменились.
Рекомендация по включению журналов диагностики для Масштабируемые наборы виртуальных машин не рекомендуется
Рекомендация Diagnostic logs in Virtual Machine Scale Sets should be enabled устарела.
Определение связанной политики также устарело из любых стандартов, отображаемых на панели мониторинга соответствия нормативным требованиям.
| Рекомендация | Description | Серьезность |
|---|---|---|
| В масштабируемых наборах виртуальных машин должны быть включены журналы диагностики. | Включите журналы и сохраните их до года, что позволяет повторно создавать тропы действий для расследования при возникновении инцидента безопасности или компрометации сети. | Низкая |
Декабрь 2022 г.
В декабре добавлены следующие обновления:
Объявление о экспресс-конфигурации для оценки уязвимостей в Defender для SQL
Экспресс-конфигурация для оценки уязвимостей в Microsoft Defender для SQL обеспечивает упрощенную настройку для База данных SQL Azure и выделенных пулов SQL за пределами рабочих областей Synapse.
При использовании экспресс-конфигурации для оценки уязвимостей команды безопасности могут:
- Выполните настройку оценки уязвимостей в конфигурации безопасности ресурса SQL без каких-либо других параметров или зависимостей от учетных записей хранения, управляемых клиентом.
- Немедленно добавьте результаты сканирования в базовые показатели, чтобы состояние поиска изменений от неработоспособного к работоспособному без повторного сканирования базы данных.
- Добавьте несколько правил в базовые показатели одновременно и используйте последние результаты сканирования.
- Включите оценку уязвимостей для всех серверов SQL Azure при включении Microsoft Defender для баз данных на уровне подписки.
Дополнительные сведения об оценке уязвимостей Defender для SQL.
Ноябрь 2022 г.
В ноябре добавлены следующие обновления:
- Защита контейнеров в организации GCP с помощью Defender для контейнеров
- Проверка защиты Defender для контейнеров с помощью примеров оповещений
- Правила управления в масштабе (предварительная версия)
- Возможность создания пользовательских оценок в AWS и GCP (предварительная версия) не рекомендуется
- Рекомендация по настройке очередей недоставленных букв для Лямбда-функций не рекомендуется
Защита контейнеров в организации GCP с помощью Defender для контейнеров
Теперь вы можете включить Defender для контейнеров для среды GCP для защиты стандартных кластеров GKE во всей организации GCP. Просто создайте новый соединитель GCP с включенным защитником контейнеров или включите Defender для контейнеров на существующем соединителе GCP уровня организации.
Узнайте больше о подключении проектов и организаций GCP к Defender для облака.
Проверка защиты Defender для контейнеров с помощью примеров оповещений
Теперь можно создать примеры оповещений для плана Defender для контейнеров. Новые примеры оповещений представлены как из AKS, подключенных к Arc кластеров, ресурсов EKS и GKE с различными уровнями серьезности и тактикой MITRE. Примеры оповещений можно использовать для проверки конфигураций оповещений системы безопасности, таких как интеграции SIEM, автоматизация рабочих процессов и Уведомления по электронной почте.
Дополнительные сведения о проверке оповещений.
Правила управления в масштабе (предварительная версия)
Мы рады объявить о новой возможности применения правил управления в масштабе (предварительная версия) в Defender для облака.
Благодаря этому новому интерфейсу команды безопасности могут массово определять правила управления для различных область (подписок и соединителей). Группы безопасности могут выполнить эту задачу с помощью область управления, таких как группы управления Azure, учетные записи верхнего уровня AWS или организации GCP.
Кроме того, на странице правил управления (предварительная версия) представлены все доступные правила управления, действующие в средах организации.
Узнайте больше о новых правилах управления в масштабе.
Примечание.
По состоянию на 1 января 2023 г. для получения возможностей, предлагаемых управлением, необходимо включить план CSPM Defender в подписке или соединителе.
Возможность создания пользовательских оценок в AWS и GCP (предварительная версия) не рекомендуется
Возможность создавать пользовательские оценки для учетных записей AWS и проектов GCP, которые являлись функцией предварительной версии, устарела.
Рекомендация по настройке очередей недоставленных букв для Лямбда-функций не рекомендуется
Рекомендация Lambda functions should have a dead-letter queue configured устарела.
| Рекомендация | Description | Серьезность |
|---|---|---|
| Для лямбда-функций должна быть настроена очередь недоставленных сообщений | Этот элемент управления проверяет, настроена ли для лямбда-функции очередь недоставленных сообщений. Элемент управления завершается ошибкой, если Лямбда-функция не настроена в очереди недоставленных писем. В качестве альтернативы назначению на случай сбоя можно настроить для функции очередь недоставленных сообщений, в которую будут сохраняться отклоненные события для дальнейшей обработки. Очередь недоставленных сообщений действует так же, как и назначение на случай сбоя. Он используется, когда событие завершается сбоем всех попыток обработки или истекает без обработки. Очередь недоставленных сообщений позволяет просматривать ошибки или неудачные запросы к лямбда-функции для отладки или выявления необычного поведения. С точки зрения безопасности важно понять, почему не удалось выполнить функцию, и убедиться, что ваша функция не удаляет данные или не компрометируют безопасность данных в результате. Например, если ваша функция не может взаимодействовать с базовым ресурсом, который может быть симптомом атаки типа "отказ в обслуживании" (DoS) в другом месте сети. | Средняя |
Октябрь 2022
В октябре добавлены следующие обновления:
- Объявление о тесте безопасности в облаке Майкрософт
- Анализ пути атаки и возможности контекстной безопасности в Defender для облака (предварительная версия)
- Сканирование без агента для компьютеров Azure и AWS (предварительная версия)
- Defender для DevOps (предварительная версия)
- Панель мониторинга соответствия нормативным требованиям теперь поддерживает ручное управление и подробные сведения о состоянии соответствия Майкрософт
- Автоматическая подготовка переименована в Параметры и мониторинга и имеет обновленный интерфейс
- Управление облачной безопасностью Defender (CSPM) (предварительная версия)
- Сопоставление платформы MITRE ATT&CK теперь доступно для рекомендаций по безопасности AWS и GCP
- Defender для контейнеров теперь поддерживает оценку уязвимостей для реестра эластичных контейнеров (предварительная версия)
Объявление о тесте безопасности в облаке Майкрософт
Microsoft Cloud Security Benchmark (MCSB) — это новая платформа, определяющая основные принципы облачной безопасности на основе общих отраслевых стандартов и платформ соответствия требованиям. Вместе с подробными техническими рекомендациями по реализации этих рекомендаций на облачных платформах. MCSB заменяет Azure Security Benchmark. MCSB предоставляет подробные сведения о реализации рекомендаций по безопасности в облаке, не зависящих от облака, на нескольких платформах облачных служб, первоначально охватывающих Azure и AWS.
Теперь вы можете отслеживать состояние соответствия требованиям облачной безопасности для каждого облака в одной интегрированной панели мониторинга. McSB можно увидеть как стандарт соответствия по умолчанию при переходе на панель мониторинга соответствия нормативным требованиям Defender для облака.
Microsoft Cloud Security Benchmark автоматически назначается подпискам Azure и учетным записям AWS при подключении Defender для облака.
Дополнительные сведения о тесте безопасности в облаке Майкрософт.
Анализ пути атаки и возможности контекстной безопасности в Defender для облака (предварительная версия)
Новый граф облачной безопасности, анализ пути атаки и возможности контекстной облачной безопасности теперь доступны в Defender для облака в предварительной версии.
Одной из самых больших проблем, с которыми сталкиваются команды по безопасности сегодня, является число проблем безопасности, которые они сталкиваются ежедневно. Существует множество проблем безопасности, которые необходимо устранить и никогда не хватает ресурсов, чтобы устранить их все.
новые возможности графа облачной безопасности и анализа путей атак Defender для облака предоставляют группам безопасности возможность оценить риск каждой проблемы безопасности. Группы безопасности также могут определить самые высокие проблемы риска, которые необходимо устранить в ближайшее время. Defender для облака работает с командами по обеспечению безопасности, чтобы снизить риск нарушения их среды наиболее эффективным способом.
Дополнительные сведения о новом графе облачной безопасности, анализе пути атаки и обозревателе облачной безопасности.
Сканирование без агента для компьютеров Azure и AWS (предварительная версия)
До сих пор Defender для облака на основе оценки состояния виртуальных машин на основе агентов. Чтобы помочь клиентам максимально увеличить охват и сократить нагрузку на подключение и управление, мы выпускаем бессерверную проверку для виртуальных машин для предварительной версии.
При проверке без агента для виртуальных машин вы получаете широкую видимость установленных программ и программных CVEs. Вы получаете видимость без проблем установки и обслуживания агента, требований к сетевому подключению и производительности для рабочих нагрузок. Анализ осуществляется на Управление уязвимостями Microsoft Defender.
Сканирование уязвимостей без агента доступно как в Azure Cloud Security Posture Management (CSPM), так и в Defender для серверов P2 с собственной поддержкой AWS и виртуальных машин Azure.
- Дополнительные сведения о сканировании без агента.
- Узнайте, как включить оценку уязвимостей без агента.
Defender для DevOps (предварительная версия)
Microsoft Defender для облака обеспечивает полную видимость, управление состоянием и защиту от угроз в гибридных и многооблачных средах, включая Azure, AWS, Google и локальные ресурсы.
Теперь новый план Defender для DevOps интегрирует системы управления исходным кодом, такие как GitHub и Azure DevOps, в Defender для облака. Благодаря этой новой интеграции мы расширим возможности групп безопасности для защиты своих ресурсов от кода в облако.
Defender для DevOps позволяет получить представление о подключенных средах разработчика и ресурсах кода и управлять ими. В настоящее время вы можете подключить системы Azure DevOps и GitHub к Defender для облака и подключить репозитории DevOps к инвентаризации и новой странице DevOps Security. Он предоставляет группам безопасности общий обзор обнаруженных проблем безопасности, которые существуют в них на странице единой системы безопасности DevOps Security.
Вы можете настроить заметки на запросы на вытягивание, чтобы помочь разработчикам обращаться к секретам сканирования результатов в Azure DevOps непосредственно в своих запросах на вытягивание.
Средства Microsoft Security DevOps можно настроить в рабочих процессах Azure Pipelines и GitHub, чтобы включить следующие проверки безопасности:
| Имя. | Язык | Лицензия |
|---|---|---|
| Бандит | Python | Лицензия Apache 2.0 |
| BinSkim | Двоичное — Windows, ELF | Лицензия MIT |
| ESlint | JavaScript | Лицензия MIT |
| CredScan (только Azure DevOps) | Сканер учетных данных (также известный как CredScan) — это средство, разработанное корпорацией Майкрософт для выявления утечки учетных данных, таких как в файлах исходного кода и файлов конфигурации распространенных типов: пароли по умолчанию, sql строка подключения, сертификаты с закрытыми ключами | Не открытый исходный код |
| Анализ шаблона | Шаблон ARM, Bicep-файл | Лицензия MIT |
| Terrascan; | Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation | Лицензия Apache 2.0 |
| Триви | Образы контейнеров, файловые системы, репозитории Git | Лицензия Apache 2.0 |
Теперь для DevOps доступны следующие новые рекомендации:
| Рекомендация | Description | Серьезность |
|---|---|---|
| (предварительная версия) Репозитории кода должны иметь разрешенные результаты сканирования кода | Defender для DevOps обнаружил уязвимости в репозиториях кода. Чтобы повысить уровень безопасности репозиториев, настоятельно рекомендуется устранить эти уязвимости. (Связанная политика отсутствует) | Средняя |
| (предварительная версия) Репозитории кода должны иметь разрешение на проверку секретов | Defender для DevOps обнаружил секрет в репозиториях кода. Это необходимо исправить немедленно, чтобы предотвратить брешь в системе безопасности. Секреты, найденные в репозиториях, могут быть раскрыты или обнаружены злоумышленниками, что может привести к компрометации приложения или службы. Для Azure DevOps средство Microsoft Security DevOps CredScan проверяет только сборки, на которых она настроена для запуска. Поэтому результаты могут не отражать полное состояние секретов в репозиториях. (Связанная политика отсутствует) | Высокая |
| (предварительная версия) Репозитории кода должны иметь разрешенные результаты проверки зависимостей | Defender для DevOps обнаружил уязвимости в репозиториях кода. Чтобы повысить уровень безопасности репозиториев, настоятельно рекомендуется устранить эти уязвимости. (Связанная политика отсутствует) | Средняя |
| (предварительная версия) Репозитории кода должны иметь инфраструктуру в качестве результата сканирования кода, разрешенных | (предварительная версия) Репозитории кода должны иметь инфраструктуру в качестве результата сканирования кода, разрешенных | Средняя |
| (предварительная версия) Репозитории GitHub должны иметь включенную проверку кода | GitHub использует проверку кода для анализа кода с целью поиска уязвимостей и ошибок безопасности в коде. Сканирование кода можно использовать для поиска, рассмотрения и определения приоритетов исправлений существующих проблем в коде. Сканирование кода также может защитить от внедрения новых проблем разработчиками. Сканирования могут планироваться на определенные дни и время или активироваться при возникновении определенного события в репозитории, например при отправке. Если при сканировании кода обнаружена потенциальная уязвимость или ошибка в коде, GitHub отображает оповещение в репозитории. Уязвимость — это проблема в коде проекта, которую можно использовать для нарушения конфиденциальности, целостности или доступности проекта. (Связанная политика отсутствует) | Средняя |
| (предварительная версия) Репозитории GitHub должны иметь включенную проверку секретов | GitHub сканирует репозитории на наличие известных типов секретов, чтобы предотвратить мошенническое использование секретов, которые были случайно зафиксированы в репозиториях. Сканирование секретов будет охватывать весь журнал на наличие секретов GIT во всех ветвях, присутствующих в репозитории GitHub. Примерами секретов являются маркеры и закрытые ключи, которые поставщик услуг может выдать для проверки подлинности. Если секрет зарегистрирован в репозитории, любой, у кого есть доступ на чтение в репозитории, сможет использовать этот секрет для доступа к внешней службе с теми привилегиями. Секреты должны храниться в выделенном безопасном расположении за пределами репозитория проекта. (Связанная политика отсутствует) | Высокая |
| (предварительная версия) Репозитории GitHub должны иметь включенную проверку зависимостей | GitHub отправляет оповещения Dependabot при обнаружении уязвимостей в зависимостях кода, влияющих на репозитории. Уязвимость — это недостаток в коде проекта, который может привести к нарушению конфиденциальности, целостности или доступности проекта или других проектов, использующих его код. Уязвимости зависят от типа, серьезности и метода атаки. Если ваш код зависит от пакета, содержащего уязвимость в системе безопасности, эта уязвимая зависимость может вызвать ряд проблем. (Связанная политика отсутствует) | Средняя |
Рекомендации Defender для DevOps заменили устаревший сканер уязвимостей для рабочих процессов CI/CD, включенных в Defender для контейнеров.
Дополнительные сведения об Defender для DevOps
Панель мониторинга соответствия нормативным требованиям теперь поддерживает управление вручную и подробные сведения о состоянии соответствия Майкрософт
Панель мониторинга соответствия требованиям в Defender для облака — это ключевое средство для клиентов, которое помогает им определять и отслеживать состояние соответствия требованиям. Клиенты могут постоянно отслеживать среды в соответствии с требованиями различных стандартов и нормативных требований.
Теперь вы можете полностью управлять состоянием соответствия, вручную заверяя работу и другие элементы управления. Теперь вы можете предоставить доказательства соответствия для средств управления, которые не автоматизированы. Вместе с автоматизированными оценками теперь можно создать полный отчет о соответствии в выбранной области, обращаясь ко всему набору средств управления для определенного стандарта.
Кроме того, благодаря более подробной информации об управлении, а также расширенным сведениям и свидетельствам о состоянии соответствия Майкрософт теперь у вас есть вся информация, необходимая для аудита.
Вот некоторые новые преимущества:
Действия клиентов вручную предоставляют механизм для проверки соответствия требованиям, неавтомным элементам управления. Включая возможность связывания доказательств, задайте дату соответствия и дату окончания срока действия.
Более подробные сведения о элементах управления для поддерживаемых стандартов, демонстрирующих действия Майкрософт и действия клиента вручную, а также уже существующие автоматизированные действия клиента.
Действия Майкрософт обеспечивают прозрачность состояния соответствия Майкрософт, включая процедуры оценки аудита, результаты тестирования и ответы Майкрософт на отклонения.
Предложения соответствия требованиям предоставляют центральное расположение для проверка продуктов Azure, Dynamics 365 и Power Platform и их соответствующих сертификатов соответствия нормативным требованиям.
Узнайте, как оптимизировать соответствие нормативным требованиям с помощью Defender для облака.
Автоматическая подготовка переименована в Параметры и мониторинга и имеет обновленный интерфейс
Мы переименовали страницу автоматической подготовки для Параметры и мониторинга.
Автоматическая подготовка предназначена для обеспечения масштабируемого включения необходимых компонентов, необходимых для расширенных функций и возможностей Defender для облака. Чтобы улучшить поддержку расширенных возможностей, мы запускаем новый интерфейс со следующими изменениями:
Теперь страница планов Defender для облака включает:
- При включении плана Defender, требующего компонентов мониторинга, эти компоненты включены для автоматической подготовки с параметрами по умолчанию. Эти параметры можно изменять в любое время.
- Вы можете получить доступ к параметрам компонентов мониторинга для каждого плана Defender на странице плана Defender.
- Страница планов Defender четко указывает, установлены ли все компоненты мониторинга для каждого плана Defender или если покрытие мониторинга не завершено.
Страница Параметры и мониторинга:
- Каждый компонент мониторинга указывает планы Defender, к которым он связан.
Дополнительные сведения об управлении параметрами мониторинга.
Управление облачной безопасностью Defender (CSPM)
Одним из основных принципов Microsoft Defender для облака для облачной безопасности является управление безопасностью Cloud Security (CSPM). CSPM предоставляет рекомендации по защите, помогающие эффективно и эффективно повысить безопасность. CSPM также дает представление о текущей ситуации безопасности.
Мы объявляем новый план Defender: CsPM Defender. Этот план повышает возможности безопасности Defender для облака и включает следующие новые и расширенные функции:
- Непрерывная оценка конфигурации безопасности облачных ресурсов
- Рекомендации по безопасности для устранения ошибок и слабых мест
- Оценка безопасности
- Система управления
- Соблюдение нормативных требований
- Граф облачной безопасности
- Анализ пути атаки
- Сканирование без агента для компьютеров
Дополнительные сведения о плане CSPM Defender.
Сопоставление платформы MITRE ATT&CK теперь доступно для рекомендаций по безопасности AWS и GCP
Для аналитиков безопасности важно определить потенциальные риски, связанные с рекомендациями по безопасности, и понять векторы атак, чтобы они могли эффективно определять приоритеты своих задач.
Defender для облака упрощает приоритет, сопоставляя рекомендации по безопасности Azure, AWS и GCP с платформой MITRE ATT&CK. Платформа MITRE ATT&CK является глобально доступной база знаний тактики и методов злоумышленника на основе реальных наблюдений, что позволяет клиентам укрепить безопасную конфигурацию своих сред.
Платформа MITRE ATT&CK интегрирована тремя способами:
- Рекомендации сопоставить тактику и методы MITRE ATT&CK.
- Запрос тактики и методов MITRE ATT&CK по рекомендациям с помощью Azure Resource Graph.
Defender для контейнеров теперь поддерживает оценку уязвимостей для реестра эластичных контейнеров (предварительная версия)
Microsoft Defender для контейнеров теперь предоставляет проверку уязвимостей без агента для эластичного реестра контейнеров (ECR) в Amazon AWS. Расширение охвата для мультиоблачных сред, основываясь на выпуске в начале этого года расширенной защиты от угроз и защиты среды Kubernetes для AWS и Google GCP. Модель без агента создает ресурсы AWS в учетных записях, чтобы сканировать изображения, не извлекая изображения из учетных записей AWS и не имея места на рабочей нагрузке.
Проверка уязвимостей без агента для изображений в репозиториях ECR помогает уменьшить область атак контейнеризованного пространства путем непрерывного сканирования образов для выявления уязвимостей контейнеров и управления ими. В этом новом выпуске Defender для облака сканирует образы контейнеров после отправки в репозиторий и постоянно переназначает образы контейнеров ECR в реестре. Результаты доступны в Microsoft Defender для облака в качестве рекомендаций, и вы можете использовать встроенные автоматизированные рабочие процессы Defender для облака для принятия решений, таких как открытие билета на исправление уязвимости высокой серьезности на изображении.
Дополнительные сведения об оценке уязвимостей для образов Amazon ECR.
2022 сентября
В сентябре добавлены следующие обновления:
- Подавление оповещений на основе сущностей контейнера и Kubernetes
- Defender для серверов поддерживает мониторинг целостности файлов с использованием агента Azure Monitor
- Устаревшие API оценки
- Дополнительные рекомендации, добавленные в удостоверение
- Удалены оповещения системы безопасности для компьютеров, которые сообщают о рабочих областях Log Analytics между клиентами
Подавление оповещений на основе сущностей контейнера и Kubernetes
- Kubernetes Namespace
- Kubernetes Pod
- Kubernetes Secret
- Kubernetes ServiceAccount
- Kubernetes ReplicaSet
- Kubernetes StatefulSet
- Kubernetes DaemonSet
- Kubernetes Job
- Kubernetes CronJob
См. дополнительные сведения о правилах генерации оповещений.
Defender для серверов поддерживает мониторинг целостности файлов с использованием агента Azure Monitor
Мониторинг целостности файлов проверяет файлы и реестры операционной системы на наличие изменений, которые могут указывать на атаку.
Эта функция теперь доступна в новой версии на основе агента Azure Monitor (AMA), который можно развернуть с помощью Defender для облака.
Дополнительные сведения см. в статье Мониторинг целостности файлов с использованием агента Azure Monitor.
Устаревшие API оценки
Следующие API не рекомендуется использовать:
- Задачи по обеспечению безопасности
- состояния системы безопасности
- Сводки по безопасности
Эти три API предоставляют старые форматы оценок и заменяются API оценки и API-интерфейсами subAssessmentsments. Все данные, предоставляемые этими устаревшими API, также доступны в новых API.
Дополнительные рекомендации, добавленные в удостоверение
рекомендации Defender для облака по улучшению управления пользователями и учетными записями.
Новые рекомендации
Новый выпуск содержит следующие возможности:
Расширенная оценка область. Покрытие улучшается для учетных записей удостоверений без MFA и внешних учетных записей в ресурсах Azure (вместо подписок), что позволяет администраторам безопасности просматривать назначения ролей для каждой учетной записи.
Улучшенный интервал свежести. Рекомендации по идентификации теперь имеют интервал свежести в 12 часов.
Возможность исключения для учетной записи.. В Defender для облака доступно множество функций для настройки рабочего процесса и включения в оценку безопасности приоритетов безопасности вашей организации. Например, можно исключить ресурсы и рекомендации из оценки безопасности.
Это обновление позволяет исключить определенные учетные записи из оценки с помощью шести рекомендаций, перечисленных в следующей таблице.
Как правило, вы исключили учетные записи аварийного взлома из рекомендаций MFA, так как такие учетные записи часто намеренно исключены из требований MFA организации. Кроме того, у вас могут быть внешние учетные записи, к которым вы хотите разрешить доступ, у которых нет многофакторной проверки подлинности.
Совет
Если вы исключите учетную запись, она не будет отображаться как неработоспособная и не станет причиной неработоспособности подписки.
Рекомендация Ключ оценки Для учетных записей с разрешениями владельца для ресурсов Azure должна быть включена многофакторная проверка подлинности 6240402e-f77c-46fa-9060-a7ce53997754 Для учетных записей с разрешениями на запись для ресурсов Azure должна быть включена многофакторная проверка подлинности c0cb17b2-0607-48a7-b0e0-903ed22de39b Для учетных записей с разрешениями на чтение для ресурсов Azure должна быть включена многофакторная проверка подлинности dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены 20606e75-05c4-48c0-9d97-add6daa2109a Гостевые учетные записи с разрешениями на запись для ресурсов Azure должны быть удалены 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb Гостевые учетные записи с разрешениями на чтение для ресурсов Azure должны быть удалены fde1c0c9-0fd2-4ecc-87b5-98956cbc1095 Заблокированные учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены 050ac097-3dda-4d24-ab6d-82568e7a50cf Заблокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены 1ff0b4c9-ed56-4de6-be9c-d7ab39645926
Рекомендации, хотя и в предварительной версии, будут отображаться рядом с рекомендациями, которые в настоящее время находятся в общедоступной версии.
Удалены оповещения системы безопасности для компьютеров, которые сообщают о рабочих областях Log Analytics между клиентами
В прошлом Defender для облака позволить выбрать рабочую область, в которую передаются агенты Log Analytics. Когда компьютер принадлежал одному клиенту (клиент A), но его агент Log Analytics сообщил рабочей области в другом клиенте ("Клиент B"), оповещения системы безопасности о компьютере были сообщены первому клиенту (клиент A).
При этом изменении оповещения на компьютерах, подключенных к рабочей области Log Analytics, в другом клиенте больше не отображаются в Defender для облака.
Если вы хотите продолжить получать оповещения в Defender для облака, подключите агент Log Analytics соответствующих компьютеров к рабочей области в том же клиенте, что и компьютер.
Дополнительные сведения о оповещениях системы безопасности.
Август 2022 г.
В августе добавлены следующие обновления:
- Уязвимости для запущенных образов теперь можно увидеть с помощью Defender для контейнеров Windows
- Интеграция агента Azure Monitor теперь предоставляется в режиме предварительной версии
- Нерекомендуемые оповещения виртуальной машины о подозрительных действиях, связанных с кластером Kubernetes
Уязвимости для запущенных образов теперь можно увидеть с помощью Defender для контейнеров Windows.
Defender для контейнеров теперь отображает уязвимости для запущенных контейнеров Windows.
При обнаружении уязвимостей Defender для облака создает следующую рекомендацию по безопасности, в которой перечислены обнаруженные проблемы: для запущенных образов контейнеров необходимо устранить обнаруженные уязвимости.
Узнайте больше о просмотре уязвимостей для запущенных образов.
Интеграция агента Azure Monitor теперь предоставляется в режиме предварительной версии
Defender для облака теперь поддерживает предварительную версию агента Azure Monitor (AMA). AMA заменит собой устаревший агент Log Analytics (известный как Microsoft Monitoring Agent (MMA)), поддержка которого скоро будет прекращена. AMA предоставляет множество преимуществ по сравнению с устаревшими агентами.
В Defender для облака при включении автоматической подготовки для AMA агент развертывается на существующих и новых виртуальных машинах и компьютерах с поддержкой Azure Arc, обнаруженных в подписках. Если включены планы Defenders для облака, AMA собирает сведения о конфигурации и журналы событий из виртуальных машин Azure и компьютеров Azure Arc. Интеграция AMA доступна в предварительной версии, поэтому мы рекомендуем использовать ее в тестовой среде, а не в рабочих средах.
Нерекомендуемые оповещения виртуальной машины о подозрительных действиях, связанных с кластером Kubernetes
В следующей таблице перечислены оповещения, которые признаны нерекомендуемыми:
| Имя оповещения | Description | Тактика | Важность |
|---|---|---|---|
| Обнаружена операция сборки Docker на узле Kubernetes (VM_ImageBuildOnNode) |
Журналы компьютеров указывают на операцию сборки образа контейнера на узле Kubernetes. Хотя такое поведение может быть допустимым, злоумышленники могут создавать свои вредоносные образы локально, чтобы избежать обнаружения. | Уклонение от защиты | Низкая |
| Suspicious request to Kubernetes API (Подозрительный запрос к API Kubernetes) (VM_KubernetesAPI) |
Журналы компьютера указывают на то, что был сделан подозрительный запрос к API Kubernetes. Запрос был отправлен с узла Kubernetes, возможно, из одного из контейнеров, запущенных в узле. Хотя такое поведение может быть допустимым, оно может указывать на то, что в узле выполняется скомпрометированный контейнер. | LateralMovement | Средняя |
| SSH server is running inside a container (Сервер SSH работает в контейнере) (VM_ContainerSSH) |
Журналы компьютера указывают, что сервер SSH работает в контейнере Docker. Хотя такое поведение может быть намеренным, оно часто указывает на то, что контейнер неправильно настроен или его безопасность нарушена. | Выполнение | Средняя |
Эти оповещения используются для уведомления пользователя о подозрительной активности, подключенной к кластеру Kubernetes. Оповещения будут заменены соответствующими оповещениями, которые являются частью оповещений Microsoft Defender для облака контейнеров (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI и K8S.NODE_ ContainerSSH), которые обеспечивают улучшенную точность и комплексный контекст для изучения и принятия мер по оповещениям. Узнайте больше об оповещениях для кластеров Kubernetes.
Информация об уязвимостях контейнера теперь содержит подробные сведения о пакете
Оценка уязвимостей в Defender для контейнеров теперь включает подробные сведения о пакете для каждого найденного элемента, включая имя пакета, тип пакета, путь, установленную версию и исправленную версию. Сведения о пакете позволяют найти уязвимые пакеты, чтобы вы могли устранить уязвимость или удалить пакет.
Эти подробные сведения о пакете доступны для новых проверок образов.
Июль 2022
В июле добавлены следующие обновления:
- Общая доступность ориентированного на облако агента безопасности для защиты среды выполнения Kubernetes
- VA Defender для контейнеров добавляет поддержку обнаружения языковых пакетов (предварительная версия)
- Защита от уязвимости инфраструктуры Operations Management CVE-2022-29149
- Интеграция с управлением разрешениями Entra
- Статус рекомендаций Key Vault изменен на "аудит"
- Нерекомендуемые политики приложений API для Службы приложений
Общая доступность ориентированного на облако агента безопасности для защиты среды выполнения Kubernetes
Мы рады сообщить о выходе ориентированного на облако агента безопасности для защиты среды выполнения Kubernetes в общую доступность.
Производственные развертывания кластеров Kubernetes продолжают расширяться, поскольку клиенты продолжают контейнеризировать свои приложения. В целях содействия этому расширению команда Defender для контейнеров разработала ориентированный на облако агент безопасности Kubernetes.
Новый агент безопасности — это Kubernetes DaemonSet, основанный на технологии eBPF и полностью интегрированный в кластеры AKS в составе профиля безопасности AKS.
Включение агента безопасности доступно с помощью автоматической подготовки, потока рекомендаций, AKS RP или масштабирования с помощью Политика Azure.
Агент Defender можно развернуть сегодня в кластерах AKS.
После выхода этого объявления также становится общедоступной рабочая нагрузка защиты среды выполнения — обнаружение угроз.
Узнайте больше о доступности функций Defender для контейнера.
Вы также можете просмотреть все доступные оповещения.
Обратите внимание, что если вы используете предварительную версию, флаг компонента AKS-AzureDefender больше не требуется.
VA Defender для контейнеров добавляет поддержку обнаружения языковых пакетов (предварительная версия)
Оценка уязвимостей (VA) в Defender для контейнеров позволяет обнаруживать уязвимости в пакетах ОС, развернутых с помощью диспетчера пакетов ОС. Мы расширили возможности VA — теперь эта функция может обнаруживать уязвимости, включенные в языковые пакеты.
Эта функция доступна в предварительной версии и доступна только для образов Linux.
Просмотреть все добавленные языковые пакеты можно в полном списке функций Defender для контейнеров и их доступности.
Защита от уязвимости инфраструктуры Operations Management CVE-2022-29149
Инфраструктура Operations Management (OMI) — это набор облачных служб для централизованного управления локальными и облачными средами. Все компоненты OMI размещаются в Azure, благодаря чему отсутствует необходимость развертывания и администрирования локальных ресурсов.
Служба Log Analytics, интегрированная с Azure HDInsight под управлением OMI версии 13, требует исправления для устранения CVE-2022-29149. Ознакомьтесь с отчетом об этой уязвимости в руководстве по обновлению системы безопасности Майкрософт, чтобы узнать, как определить ресурсы, затронутые этой уязвимостью, и какие действия по исправлению следует выполнить.
Если Defender для серверов поддерживает оценку уязвимостей, эту книгу можно использовать для выявления затронутых ресурсов.
Интеграция с управлением разрешениями Entra
Defender для облака интегрирован с Управлением разрешениями Microsoft Entra, решением для управления правами облачной инфраструктуры (CIEM), которое обеспечивает комплексную видимость и контроль над разрешениями на доступ к любому удостоверению и любому ресурсу в Azure, AWS и GCP.
В каждой подписке Azure, учетной записи AWS и проекте GCP, который вы подключите, будет отображаться представление индекса смещения разрешений (PCI).
Дополнительные сведения об Управлении разрешениями Entra (прежнее название — Cloudknox).
Статус рекомендаций Key Vault изменен на "аудит"
Эффект для указанных здесь рекомендаций Key Vault был изменен на "аудит".
| Имя рекомендации | ИД рекомендации |
|---|---|
| Срок действия сертификатов, хранящихся в Azure Key Vault, не должен превышать 12 месяцев. | fc84abc0-eee6-4758-8372-a7681965ca44 |
| Для секретов Key Vault должна быть задана дата окончания срока действия | 14257785-9437-97fa-11ae-898cfb24302b |
| Ключи Key Vault должны иметь дату окончания срока действия | 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2 |
Нерекомендуемые политики приложений API для Службы приложений
Мы прекратили поддержку указанных ниже политик в пользу уже существующих соответствующих политик, в которых включен API приложений.
| Будет считаться устаревшей | Будет использоваться |
|---|---|
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' |
App Service apps should have 'Client Certificates (Incoming client certificates)' enabled |
Ensure that 'Python version' is the latest, if used as a part of the API app |
App Service apps that use Python should use the latest Python version' |
CORS should not allow every resource to access your API App |
App Service apps should not have CORS configured to allow every resource to access your apps |
Managed identity should be used in your API App |
App Service apps should use managed identity |
Remote debugging should be turned off for API Apps |
App Service apps should have remote debugging turned off |
Ensure that 'PHP version' is the latest, if used as a part of the API app |
App Service apps that use PHP should use the latest 'PHP version' |
FTPS only should be required in your API App |
App Service apps should require FTPS only |
Ensure that 'Java version' is the latest, if used as a part of the API app |
App Service apps that use Java should use the latest 'Java version' |
Latest TLS version should be used in your API App |
App Service apps should use the latest TLS version |
Июнь 2022 г.
В июне добавлены следующие обновления:
- Общая доступность (общедоступная версия) Microsoft Defender для Azure Cosmos DB
- общедоступная версия Defender для SQL на компьютерах для сред AWS и GCP;
- управление реализацией рекомендаций по защите для повышения уровня безопасности;
- фильтрация оповещений системы безопасности по IP-адресу;
- группирование оповещений по группе ресурсов.
- Автоматическая подготовка единого решения Microsoft Defender для конечной точки
- Прекращение использования политики "Приложение API должно быть доступно только по протоколу HTTPS"
- Новые оповещения Key Vault
Общая доступность (общедоступная версия) Microsoft Defender для Azure Cosmos DB
Microsoft Defender для Azure Cosmos DB теперь предоставляется в общедоступной версии с поддержкой типов учетных записей API SQL (Core).
Этот новый выпуск общедоступной версии является частью пакета защиты баз данных Microsoft Defender для облака, который включает в себя разные типы баз данных SQL и MariaDB. Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает попытки использования баз данных в ваших учетных записях Azure Cosmos DB.
Когда вы включите этот план, вы будете оповещаться о потенциальном внедрении кода SQL, известных злоумышленниках, подозрительных шаблонах доступа и потенциальных исследованиях вашей базы данных через скомпрометированные удостоверения или злоумышленников.
При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения предоставляют подробные сведения о подозрительной активности, а также соответствующие шаги расследования, действия по исправлению и рекомендации по безопасности.
Microsoft Defender для Azure Cosmos DB постоянно анализирует поток телеметрии, созданный службами Azure Cosmos DB, и сопоставляет их с Microsoft Threat Intelligence и поведенческими моделями для обнаружения любых подозрительных действий. Defender для Azure Cosmos DB не обращается к данным учетной записи Azure Cosmos DB и не влияет на производительность базы данных.
См. дополнительные сведения о Microsoft Defender для Azure Cosmos DB.
С добавлением поддержки Azure Cosmos DB Defender для облака теперь предоставляет одно из наиболее полных предложений по защите рабочих нагрузок для облачных баз данных. Команды по обеспечению безопасности и владельцы баз данных теперь могут централизованно управлять безопасностью баз данных в своих средах.
Узнайте, как включить защиту для баз данных.
общедоступная версия Defender для SQL на компьютерах для сред AWS и GCP;
К возможностям защиты баз данных, предоставляемым Microsoft Defender для облака, добавлена поддержка серверов SQL, размещенных в средах AWS или GCP.
Теперь с помощью Defender для SQL предприятия могут защищать свои данные независимо от того, где они размещены: в Azure, AWS, GCP или на локальных компьютерах.
Microsoft Defender для SQL предоставляет унифицированный многооблачный интерфейс для просмотра рекомендаций по безопасности, оповещений системы безопасности и результатов оценки уязвимостей как для сервера SQL Server, так и для базовой ОС Windows.
Используя многооблачный интерфейс подключения, вы можете включить и применить защиту баз данных для серверов SQL, работающих в AWS EC2, RDS Custom для SQL Server и вычислительной подсистемы GCP. При включении любого из этих планов активируется защита для всех поддерживаемых ресурсов, существующих в подписке. Будущие ресурсы, созданные в той же подписке, также будут защищены.
Узнайте, как защитить и подключить свою среду AWS и свою организацию GCP с помощью Microsoft Defender для облака.
Управление реализацией рекомендаций по защите для повышения уровня безопасности
Сегодня появляется все больше угроз для организаций. Защита расширяющихся рабочих нагрузок требует задействования большого числа сотрудников службы безопасности. Перед командами по обеспечению безопасности стоит непростая задача реализации средств защиты, определенных в их политиках безопасности.
Теперь с интерфейсом управления в предварительной версии команды безопасности могут назначать исправления рекомендаций по безопасности владельцам ресурсов и требовать расписание исправления. Специалисты по обеспечению безопасности могут полностью отслеживать ход исправления и получать уведомления о просроченных задачах.
Ознакомьтесь с дополнительными сведениями о возможностях системы управления в статье Налаживание в организации устранения проблем безопасности с помощью системы управления рекомендациями.
фильтрация оповещений системы безопасности по IP-адресу;
Во многих случаях совершения атак необходимо отслеживать оповещения на основе IP-адреса сущности, связанной с атакой. До сих пор IP-адрес отображался только в разделе "Связанные сущности" в одной колонке оповещений. Теперь вы можете отфильтровать оповещения на странице оповещений системы безопасности, чтобы просмотреть оповещения, связанные с IP-адресом, и найти конкретный IP-адрес.
группирование оповещений по группе ресурсов.
Возможность фильтрации, сортировки и группировки по группе ресурсов добавляется на страницу оповещений системы безопасности.
Столбец группы ресурсов добавляется в сетку оповещений.
Добавлен новый фильтр, позволяющий просматривать все оповещения для определенных групп ресурсов.
Теперь вы можете группировать оповещения по группе ресурсов, чтобы просмотреть все оповещения для каждой группы ресурсов.
Автоматическая подготовка единого решения Microsoft Defender для конечной точки
До сих пор интеграция с Microsoft Defender для конечной точки (MDE) включала автоматическую установку нового унифицированного решения MDE для компьютеров (подписки Azure и многооблачные соединители) с включенным решением Defender для серверов (план 1) и для многооблачных соединителей с включенным решением Defender для серверов (план 2). План 2 для подписок Azure включает унифицированное решение только для компьютеров Linux и серверов Windows 2019 и 2022. Серверы Windows 2012R2 и 2016 использовали устаревшее решение MDE, зависящее от агента Log Analytics.
Теперь новое унифицированное решение доступно для всех компьютеров в обоих планах, как для подписок Azure, так и для многооблачных соединителей. Для подписок Azure с планами 2 серверов, которые включили интеграцию MDE после 20 июня 2022 г., единое решение по умолчанию включается для всех компьютеров Azure с поддержкой плана 2 Defender для серверов 2 с поддержкой интеграции MDE до 20 июня 2022 г. теперь может включить единую установку решения для серверов Windows Server 2012R2 и 2016 с помощью выделенной кнопки на странице интеграции:
Дополнительные сведения см. в разделе Интеграция MDE с Defender для серверов.
Прекращение использования политики "Приложение API должно быть доступно только по протоколу HTTPS"
Политика API App should only be accessible over HTTPS устарела. Эта политика заменена политикой Web Application should only be accessible over HTTPS , в которую переименовывается App Service apps should only be accessible over HTTPS.
Дополнительные сведения см. в статье Политика Azure встроенных определений для Службы приложений Azure.
Новые оповещения Key Vault
Чтобы расширить защиту от угроз, предоставляемую Microsoft Defender для Key Vault, мы добавили два новых оповещения.
Эти оповещения информируют об аномалии отказа в доступе, обнаруженной для любого из ваших хранилищ ключей.
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| Запрещен необычный доступ — пользователю запрещен доступ к большому количеству хранилищ ключей (KV_DeniedAccountVolumeAnomaly) |
Пользователь или субъект-служба попытались получить доступ к аномально большому числу хранилищ ключей за последние 24 часа. Этот аномальный шаблон доступа может быть легитимным. Хотя доступ был запрещен, эти действия могут свидетельствовать о возможной попытке доступа к хранилищам ключей и находящимся в них секретам. Мы рекомендуем провести дополнительное расследование. | Обнаружение | Низкая |
| Запрещен необычный доступ — пользователю запрещен необычный доступ к хранилищу ключей (KV_UserAccessDeniedAnomaly) |
Пользователь, который обычно не обращается к хранилищу, предпринял попытку доступа к нему. Этот аномальный шаблон доступа может быть легитимным. Хотя доступ был запрещен, эти действия могут свидетельствовать о возможной попытке доступа к хранилищам ключей и находящимся в них секретам. | Первоначальный доступ, обнаружение | Низкая |
Май 2022 г.
В мае добавлены следующие обновления:
- Параметры многооблачного плана серверов теперь доступны на уровне соединителя
- JIT-доступ для виртуальных машин теперь доступен для экземпляров AWS EC2 (предварительная версия)
- Добавление и удаление датчика Defender для кластеров AKS с помощью интерфейса командной строки
Параметры многооблачного плана серверов теперь доступны на уровне соединителя
Теперь в многооблачных средах есть параметры уровня соединителя для Defender для серверов.
Новые параметры уровня соединителя обеспечивают детализацию цен и автоматической подготовки конфигурации для каждого соединителя независимо от подписки.
Все компоненты автоматической подготовки, доступные на уровне соединителя (Azure Arc, MDE и оценки уязвимостей), включены по умолчанию, и новая конфигурация поддерживает как ценовые категории плана 1, так и план 2.
Обновления в пользовательском интерфейсе включают отражение выбранной ценовой категории и настроенные необходимые компоненты.
Изменения в оценке уязвимостей
Сейчас Defender для контейнеров не отображает уязвимости со средним и низким уровнем серьезности, которые нельзя исправить.
В результате этого обновления теперь отображаются уязвимости со средним и низким уровнем серьезности независимо от доступности исправлений. Это обновление обеспечивает максимальную видимость, но при этом позволяет отфильтровывать нежелательные уязвимости с помощью указанного правила отключения.
Узнать больше об управлении уязвимостями можно здесь.
JIT-доступ для виртуальных машин теперь доступен для экземпляров AWS EC2 (предварительная версия)
При подключении учетных записей AWS JIT автоматически оценивает конфигурацию сети групп безопасности экземпляра и рекомендует, какие экземпляры нуждаются в защите для доступных портов управления. Это похоже на то, как JIT работает с Azure. При подключении незащищенных экземпляров EC2 JIT блокирует общий доступ к портам управления и открывает их только с авторизованными запросами на ограниченный временной интервал.
Узнайте, как JIT защищает экземпляры AWS EC2
Добавление и удаление датчика Defender для кластеров AKS с помощью интерфейса командной строки
Агент Defender требуется для защитника для контейнеров для обеспечения защиты среды выполнения и сбора сигналов от узлов. Теперь можно использовать Azure CLI для добавления и удаления агента Defender для кластера AKS.
Примечание.
Этот параметр включен в Azure CLI 3.7 и более поздних версий.
Апрель 2022 г.
В апреле добавлены следующие обновления:
- Новые планы Defender для серверов
- Перемещение пользовательских рекомендаций
- Скрипт PowerShell для потоковой передачи оповещений в Splunk и QRadar
- Не рекомендуется использовать рекомендацию по Кэш Azure для Redis
- Новый вариант оповещения для Microsoft Defender для хранилища (предварительная версия) для обнаружения уязвимости конфиденциальных данных
- Заголовок оповещения проверки контейнера дополнен репутацией IP-адресов
- Просмотр журналов действий, связанных с оповещением системы безопасности
Новые планы Defender для серверов
Microsoft Defender для серверов теперь предлагается в двух дополнительных планах:
- Defender для серверов (план 2), ранее — Defender для серверов
- Defender для серверов (план 1) предоставляет поддержку только Defender для конечной точки
В то время как Defender для серверов (план 2) по-прежнему обеспечивает защиту от угроз и уязвимостей для ваших облачных и локальных рабочих нагрузок, Defender для серверов (план 1) обеспечивает защиту только конечных точек на основе встроенной интеграции с Defender для облака. Подробные сведения см. в статье планы Defender для серверов.
Если вы используете Defender для серверов до сих пор, никаких действий не требуется.
Кроме того, Defender для облака также начинает постепенную поддержку унифицированного агента Defender для конечной точки для Windows Server 2012 R2 и 2016. Defender для серверов (план 1) развертывает новый унифицированный агент для рабочих нагрузок Windows Server 2012 R2 и 2016.
Перемещение пользовательских рекомендаций
Пользовательские рекомендации создаются пользователями и не влияют на оценку безопасности. Пользовательские рекомендации теперь можно найти на вкладке "Все рекомендации".
Используйте новый фильтр "тип рекомендации" для поиска пользовательских рекомендаций.
Узнайте больше в разделе Создание пользовательских инициатив и политик безопасности.
Скрипт PowerShell для потоковой передачи оповещений в Splunk и IBM QRadar
Рекомендуется использовать Центры событий и встроенный соединитель для экспорта оповещений системы безопасности в Splunk и IBM QRadar. Теперь можно использовать скрипт PowerShell для настройки ресурсов Azure, необходимых для экспорта оповещений системы безопасности для подписки или клиента.
Просто скачайте и запустите скрипт PowerShell. После того как вы предоставите несколько сведений о своей среде, скрипт настроит ресурсы для вас. Затем скрипт создает выходные данные, используемые на платформе SIEM для завершения интеграции.
Дополнительные сведения см. в разделе Потоковая передача оповещений в Splunk и QRadar.
Не рекомендуется использовать рекомендацию по кэшу Azure для Redis
Рекомендация Azure Cache for Redis should reside within a virtual network (предварительная версия) устарела. Рекомендации по защите экземпляров кэша Azure для Redis были изменены. Рекомендуется использовать частную конечную точку для ограничения доступа к экземпляру кэша Azure для Redis вместо виртуальной сети.
Новый вариант оповещения для Microsoft Defender для хранилища (предварительная версия) для обнаружения уязвимости конфиденциальных данных
Оповещения Microsoft Defender для службы хранилища уведомляют вас, когда злоумышленники пытаются сканировать и выявлять (успешно или нет) неправильно настроенные общедоступные контейнеры хранилища, чтобы попытаться украсть конфиденциальную информацию.
Чтобы обеспечить более быстрое рассмотрение и меньшее время отклика в случае кражи потенциально конфиденциальных данных, был выпущен новый вариант существующего оповещения Publicly accessible storage containers have been exposed.
Новое оповещение Publicly accessible storage containers with potentially sensitive data have been exposedактивируется с High уровнем серьезности, после успешного обнаружения открытых контейнеров хранилища с именами, которые статистически были обнаружены для общедоступного доступа, предполагая, что они могут хранить конфиденциальную информацию.
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — общедоступные контейнеры хранилища с потенциально конфиденциальными данными были раскрыты (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive) |
Кто-то просканировал вашу учетную запись хранилища Azure и открытые контейнеры, к которым разрешен общий доступ. Один или несколько доступных контейнеров имеют имена, указывающие на то, что они могут содержать конфиденциальные данные. Обычно это указывает на рекогносцировку субъектом угрозы, который сканирует неправильно настроенные общедоступные контейнеры хранения, которые могут содержать конфиденциальные данные. После успешного обнаружения контейнера субъект угрозы может продолжить процесс кражи данных. ✔ Хранилище BLOB-объектов Azure ✖ Файлы Azure ✖ Azure Data Lake Storage 2-го поколения |
Коллекция | Высокая |
Заголовок оповещения проверки контейнера дополнен репутацией IP-адресов
Репутация IP-адреса может указывать на то, исходит ли сканирование от известного субъекта угрозы или от субъекта, который использует сеть Tor, чтобы скрыть свое удостоверение. Оба этих индикатора предполагают наличие вредоносного намерения. Репутация IP-адреса обеспечивается Microsoft Threat Intelligence.
Добавление репутации IP-адреса к заголовку оповещения позволяет быстро оценить намерения субъекта и, следовательно, серьезность угрозы.
Следующие оповещения включают приведенные ниже сведения:
Publicly accessible storage containers have been exposedPublicly accessible storage containers with potentially sensitive data have been exposedPublicly accessible storage containers have been scanned. No publicly accessible data was discovered
Например, добавленная информация к заголовку оповещения Publicly accessible storage containers have been exposed будет выглядеть следующим образом:
Publicly accessible storage containers have been exposedby a suspicious IP addressPublicly accessible storage containers have been exposedby a Tor exit node
Все оповещения для Microsoft Defender для хранилища будут по-прежнему включать сведения об аналитике угроз в сущности IP-адреса в разделе "Связанные объекты" оповещения.
Просмотр журналов действий, связанных с оповещением системы безопасности
В рамках действий, которые можно предпринять для оценки оповещения системы безопасности, можно найти связанные журналы платформы в контексте проверки ресурсов для получения контекста затронутых ресурсов. Microsoft Defender для облака определяет журналы платформы в течение одного дня относительно оповещения.
Журналы платформы помогут оценить угрозу безопасности и определить действия, которые можно предпринять для устранения выявленных рисков.
Март 2022 г.
В марте добавлены следующие обновления:
- Глобальная доступность оценки безопасности для сред AWS и GCP
- Устарели рекомендации по установке агента сбора данных о трафике
- Defender для контейнеров теперь может проверять наличие уязвимостей в Windows образах (предварительная версия)
- Новое оповещение для Microsoft Defender для хранилища (предварительная версия)
- Настройка параметров уведомлений по электронной почте из оповещения
- Нерекомендуемые оповещения в предварительной версии: ARM.MCAS_ActivityFromAnonymousIPAddresses
- Перемещение рекомендации "Необходимо устранить уязвимости в конфигурациях безопасности контейнера" из раздела "Оценка безопасности" в раздел "Рекомендации"
- Устарела рекомендация по использованию субъектов-служб для защиты подписок
- Устаревшая реализация стандарта ISO 27001 заменяется новым стандартом ISO 27001:2013
- Устарели рекомендации относительно Microsoft Defender для устройств IoT
- Нерекомендуемые оповещения относительно Microsoft Defender для устройств IoT
- Управление состоянием и защита от угроз для AWS и GCP, выпущенные для общедоступной версии (GA)
- Добавлена поддержка национальных облаков в сканирование реестра на наличие образов Windows в ACR
Глобальная доступность оценки безопасности для сред AWS и GCP
Возможности управления состоянием безопасности облака, предоставляемые Microsoft Defender для облака, теперь добавили поддержку сред AWS и GCP в рамках оценки безопасности.
Теперь предприятия могут просматривать общее состояние безопасности в различных средах, таких как Azure, AWS и GCP.
Страница "Оценка безопасности" заменена панелью мониторинга состояния безопасности. Панель мониторинга состояния безопасности позволяет просматривать общую совокупную оценку для всех сред или разбивку состояния безопасности по любому выбранному сочетанию сред.
Страница "Рекомендации" также была переработана для предоставления новых возможностей, таких как выбор облачной среды, расширенные фильтры на основе содержимого (группа ресурсов, учетная запись AWS, проект GCP и многое другое), улучшенный пользовательский интерфейс при низком разрешении, поддержка открытого запроса в графике ресурсов и многое другое. Вы можете узнать больше об общем состоянии безопасности и рекомендациях по безопасности.
Устарели рекомендации по установке агента сбора данных о трафике
В связи с изменениями в стратегии развития и приоритетах агент сбора данных о трафике больше не требуется. Следующие две рекомендации и связанные с ними политики устарели.
| Рекомендация | Description | Серьезность |
|---|---|---|
| На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика. | Defender для облака использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и для реализации расширенных функций защиты, таких как визуализация трафика на карте сети, выдача рекомендаций по улучшению безопасности и обработка конкретных сетевых угроз. | Средняя |
| На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Defender для облака использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и для реализации расширенных функций защиты, таких как визуализация трафика на карте сети, выдача рекомендаций по улучшению безопасности и обработка конкретных сетевых угроз. | Средняя |
Defender для контейнеров теперь может проверять наличие уязвимостей в Windows образах (предварительная версия)
Проверка образа Defender для контейнера теперь поддерживает образы Windows, размещенные в Реестре контейнеров Azure. Эта функция предоставляется бесплатно в режиме предварительной версии, но когда она станет общедоступной, за нее будет взиматься плата.
Дополнительные сведения см. в статье Использование Microsoft Defender для контейнеров с целью проверки образов на наличие уязвимостей.
Новое оповещение для Microsoft Defender для хранилища (предварительная версия)
Чтобы расширить возможности защиты от угроз, предоставляемой Microsoft Defender для хранилища, мы добавили новое оповещение в предварительной версии.
Субъекты угроз используют приложения и средства для обнаружения учетных записей хранения и доступа к ним. Microsoft Defender для хранилища обнаруживает эти приложения и средства, чтобы их можно было заблокировать и исправить состояние.
Это оповещение в предварительной версии называется Access from a suspicious application. Оповещение относится только к Хранилищу BLOB-объектов и ADLS 2-го поколения.
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| PREVIEW - Access from a suspicious application (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — доступ из подозрительного приложения) (Storage.Blob_SuspiciousApp) |
Указывает, что подозрительное приложение успешно обращалось к контейнеру учетной записи хранения с проверкой подлинности. Это может означать, что злоумышленник получил учетные данные, необходимые для доступа к учетной записи, и использует ее. Это также может свидетельствовать о проведении в вашей организации проверки на проникновение. Применимо к: Хранилище BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения |
Первоначальный доступ | Средняя |
Настройка параметров уведомлений по электронной почте из оповещения
В пользовательский интерфейс генерации оповещений добавлен новый раздел, который позволяет просматривать и изменять, кто получит Уведомления по электронной почте для оповещений, активируемых в текущей подписке.
Узнайте о настройке отправляемых по электронной почте уведомлений для оповещений системы безопасности.
Нерекомендуемые оповещения в предварительной версии: ARM.MCAS_ActivityFromAnonymousIPAddresses
Следующее оповещение предварительной версии устарело:
| Имя оповещения | Description |
|---|---|
| ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — действие, выполняемое с рискованного IP-адреса (ARM.MCAS_ActivityFromAnonymousIPAddresses) |
Была обнаружена активность с IP-адреса, который был идентифицирован как анонимный прокси-IP-адрес. Эти прокси-серверы используют пользователи, желающие скрыть IP-адреса своих устройств. Иногда их используют злоумышленники. Это обнаружение использует алгоритм машинного обучения, который уменьшает количество "ложных срабатываний" (например, ошибочно помеченных IP-адресов, которые часто используются корпоративными пользователями). Требуется действующая лицензия Microsoft Defender для облачных приложений. |
Было создано новое оповещение, которое предоставляет эти сведения и добавляет в него. Кроме того, для новых предупреждений (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) не требуется лицензия на Microsoft Defender для облачных приложений (ранее Microsoft Cloud App Security).
Другие оповещения см. в разделе Resource Manager.
Перемещение рекомендации "Необходимо устранить уязвимости в конфигурациях безопасности контейнера" из раздела "Оценка безопасности" в раздел "Рекомендации"
Рекомендация Vulnerabilities in container security configurations should be remediated была перемещена из раздела оценки безопасности в раздел рекомендаций.
Текущий пользовательский интерфейс предоставляет оценку только после прохождения всех проверок соответствия. Большинству клиентов трудно выполнить требование о прохождении всех необходимых проверок. Мы работаем над повышением удобства работы с этой рекомендацией. После выпуска она будет возвращена в раздел "Оценка безопасности".
Устарела рекомендация по использованию субъектов-служб для защиты подписок
Поскольку организации отказываются от использования сертификатов управления для управления подписками, а мы недавно объявили о прекращении использования модели развертывания Облачных служб (классической модели), мы не рекомендуем использовать следующую рекомендацию по Defender для облака и связанную с ним политику.
| Рекомендация | Description | Серьезность |
|---|---|---|
| Для защиты подписок вместо сертификатов управления следует использовать субъекты-службы | Сертификаты управления позволяют всем пользователям, прошедшим проверку подлинности с их помощью, управлять подписками, с которыми связаны эти сертификаты. Для более безопасного управления подписками рекомендуется использовать субъекты-службы с Resource Manager, чтобы минимизировать радиус поражения в случае компрометации сертификата. Также это поможет автоматизировать управление ресурсами. (Связанная политика: Субъекты-службы должны использоваться для защиты подписок вместо сертификатов управления) |
Средняя |
Подробнее:
- Прекращение использования модели развертывания Облачных служб (классической модели) с 31 августа 2024 г.
- Обзор Azure Облачные службы (классическая версия)
- Рабочий процесс классической архитектуры виртуальной машины Microsoft Azure (включая основные сведения о рабочем процессе RDFE)
Устаревшая реализация стандарта ISO 27001 заменяется новым стандартом ISO 27001:2013
Устаревшая реализация ISO 27001 была удалена из панели мониторинга соответствия нормативным требованиям Defender для облака. Если вы отслеживаете соответствие стандарту ISO 27001 с помощью Defender для облака, используйте новый стандарт ISO 27001:2013 для всех соответствующих групп управления или подписок.
Устарели рекомендации относительно Microsoft Defender для устройств IoT
Рекомендации Microsoft Defender для устройства IoT больше не отображаются в Microsoft Defender для облака. Эти рекомендации по-прежнему доступны на странице "Рекомендации Microsoft Defender для IoT".
Следующие рекомендации являются устаревшими:
| Ключ оценки | Рекомендации |
|---|---|
| 1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: устройства IoT | Открытые порты на устройстве |
| ba975338-f956-41e7-a9f2-7614832d382d: устройства IoT | Во входной цепочке найдено разрешительное правило брандмауэра |
| beb62be3-5e78-49bd-ac5f-099250ef3c7c: устройства IoT | В одной из цепочек найдена разрешительная политика брандмауэра |
| d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: устройства IoT | В выходной цепочке обнаружено разрешительное правило брандмауэра |
| 5f65e47f-7a00-4bf3-acae-90ee441ee876: устройства IoT | Сбой базовой проверки операционной системы |
| a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: устройства IoT | Агент отправляет недогруженные сообщения |
| 2acc27c6-5fdb-405e-9080-cb66b850c8f5: устройства IoT | Требуется обновление комплекта шифров TLS |
| d74d2738-2485-4103-9919-69c7e63776ec: устройства IoT | Auditd процесс остановки отправки событий |
Нерекомендуемые оповещения относительно Microsoft Defender для устройств IoT
Ни одно из оповещений Microsoft Defender для устройства IoT больше не отображается в Microsoft Defender для облака. Эти оповещения по-прежнему доступны на странице оповещений Microsoft Defender для IoT и в Microsoft Sentinel.
Управление состоянием и защита от угроз для AWS и GCP, выпущенные для общедоступной версии (GA)
Функции CSPM в Defender для облака теперь можно использовать для ресурсов AWS и GCP. Этот безагентный план оценивает многооблачные ресурсы в соответствии со специально разработанными для облака рекомендациями по безопасности, и эти рекомендации учитываются в вашей оценке безопасности. Ресурсы оцениваются на соответствие нормативным требованиям с помощью встроенных стандартов. Страница инвентаризации ресурсов Defender для облака — это функция с поддержкой нескольких облаков, которая позволяет управлять ресурсами AWS вместе с ресурсами Azure.
Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты для вычислительных экземпляров в AWS и GCP. План "Microsoft Defender для серверов" включает в себя интегрированную лицензию на Microsoft Defender для конечной точки, проверку оценки уязвимостей и многое другое. Узнайте обо всех поддерживаемых функциях для виртуальных машин и серверов. Возможности автоматической адаптации позволяют легко подключать существующие или новые вычислительные экземпляры, обнаруженные в вашей среде.
Узнайте, как защитить и подключить свою среду AWS и организацию GCP с помощью Microsoft Defender для облака.
Добавлена поддержка национальных облаков в сканирование реестра на наличие образов Windows в ACR
Проверка реестра для образов Windows теперь поддерживается в Azure для государственных организаций и Microsoft Azure под управлением 21Vianet. Это дополнение в настоящее время находится в режиме предварительной версии.
См. дополнительные сведения о доступности нашей функции.
2022 февраля
В феврале добавлены следующие изменения:
- Защита рабочих нагрузок Kubernetes для кластеров Kubernetes с поддержкой Arc
- Собственный класс CSPM для GCP и защиты от угроз для вычислительных экземпляров GCP
- Выпуск Microsoft Defender для плана Azure Cosmos DB для предварительной версии
- Защита от угроз для кластеров Google Kubernetes Engine (GKE)
Защита рабочих нагрузок Kubernetes для кластеров Kubernetes с поддержкой Arc
Defender для контейнеров ранее защищал только рабочие нагрузки Kubernetes, запущенные в Службе Kubernetes Azure. Теперь мы расширили защитное покрытие, включив кластеры Kubernetes с поддержкой Azure Arc.
Узнайте, как настроить защиту рабочих нагрузок Kubernetes для кластеров Kubernetes с поддержкой AKS и Azure Arc.
Собственный класс CSPM для GCP и защиты от угроз для вычислительных экземпляров GCP
Новая автоматическая адаптация сред GCP позволяет защищать рабочие нагрузки GCP с помощью Microsoft Defender для облака. Defender для облака защищает ресурсы при использовании следующих планов:
Функции CSPM в Defender для облака теперь можно использовать для ресурсов GCP. Этот план без агента оценивает ресурсы GCP в соответствии со специальными рекомендациями по обеспечению безопасности GCP, которые предоставляются вместе с Defender для облака. Рекомендации по GCP включены в оценку безопасности, а ресурсы будут оцениваться на соответствие встроенному стандарту CIS для GCP. Страница инвентаризации ресурсов Defender для облака — это функция с поддержкой нескольких облаков, которая позволяет управлять ресурсами в Azure, AWS и GCP.
Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты для вычислительных экземпляров GCP. Этот план включает в себя интегрированную лицензию на Microsoft Defender для конечной точки, проверку оценки уязвимостей и многое другое.
Полный список доступных функций см. в разделе Поддерживаемые функции для виртуальных машин и серверов. Возможности автоматической адаптации позволяют легко подключать существующие и новые вычислительные экземпляры, обнаруженные в вашей среде.
Узнайте, как защитить и подключить ваши проекты GCP с помощью Microsoft Defender для облака.
Выпуск Microsoft Defender для плана Azure Cosmos DB для предварительной версии
Мы расширили покрытие баз данных в Microsoft Defender для облака. Теперь можно включить защиту для баз данных Azure Cosmos DB.
Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает все попытки использования баз данных в учетных записях Azure Cosmos DB. Microsoft Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации.
Это средство непрерывно анализирует поток данных клиента, создаваемый службами Azure Cosmos DB.
При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Microsoft Defender для облака вместе с подробными сведениями о подозрительных действиях, а также о соответствующими шагами расследования, действиями по исправлению и рекомендациями по безопасности.
Включение службы не влияет на производительность базы данных, так как Defender для Azure Cosmos DB не обращается к данным учетной записи Azure Cosmos DB.
Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для Azure Cosmos DB.
Мы также представляем новый интерфейс для обеспечения безопасности базы данных. Теперь вы можете включить защиту Microsoft Defender для облака в своей подписке, чтобы защитить базы данных всех типов, в том числе Azure Cosmos DB, Базу данных SQL Azure, серверы Azure SQL на компьютерах и Microsoft Defender для реляционных баз данных с открытым кодом, в рамках одного процесса обеспечения. Настроив план, можно включать или исключать конкретные типы ресурсов.
Узнайте, как включить безопасность базы данных на уровне подписки.
Защита от угроз для кластеров Google Kubernetes Engine (GKE)
После последнего объявления Собственный класс CSPM для GCP и защиты от угроз для вычислительных экземпляров GCP возможности защиты от угроз в Kubernetes, аналитика поведения и встроенные политики управления допуском в Microsoft Defender для контейнеров были расширены на стандартные кластеры Google Kubernetes Engine (GKE). Вы можете легко подключить существующие или новые стандартные кластеры GKE к своей среде, используя возможности автоматического адаптации. Полный список доступных возможностей см. в разделе Обеспечение безопасности контейнеров с помощью Microsoft Defender для облака.
2022 января
Обновления в январе включают следующие:
- Microsoft Defender для Resource Manager обновлен с новыми оповещениями и больше акцента на операциях с высоким риском, сопоставленных с матрицей MITRE ATT&CK®
- Рекомендации по включению планов Microsoft Defender для рабочих областей (предварительная версия)
- Агент Log Analytics с поддержкой Autoprovision на компьютерах с поддержкой Azure Arc (предварительная версия)
- Устарела рекомендация по классификации конфиденциальных данных в базах данных SQL
- Теперь оповещение о связи с подозрительным доменом отображается также для известных доменов, связанных с Log4Shell
- В область сведений для оповещений системы безопасности добавлена кнопка "Копировать JSON-оповещения"
- Переименованы две рекомендации
- Прекращение поддержки политики "Контейнеры кластера Kubernetes должны прослушивать только разрешенные порты"
- Добавлена книга "Активные оповещения"
- В облако для государственных организаций добавлена рекомендация "Обновление системы"
Microsoft Defender для Resource Manager обновлен с новыми оповещениями и больше акцента на операциях с высоким риском, сопоставленных с матрицей MITRE ATT&CK®
Уровень управления облаком — это важная служба, подключенная ко всем облачным ресурсам. По этой причине он также является потенциальной целью для злоумышленников. Мы рекомендуем группам по обеспечению безопасности внимательно отслеживать уровень управления ресурсами.
Microsoft Defender для Resource Manager автоматически отслеживает операции управления ресурсами в вашей организации, независимо от того, выполняются ли они с помощью портала Azure, Azure REST API, Azure CLI или других программных клиентов Azure. Defender для облака обеспечивает расширенную аналитику безопасности для обнаружения угроз и предупреждает о подозрительных действиях.
Эти возможности защиты для плана значительно улучшают устойчивость организации к атакам со стороны субъектов угроз и существенно увеличивают число ресурсов Azure, защищенных с помощью Defender для облака.
В декабре 2020 года мы предоставили предварительную версию Defender для Resource Manager, а в мае 2021 года план был выпущен для общедоступной версии.
В этом обновлении мы полностью пересмотрели приоритеты плана Microsoft Defender для Resource Manager. Обновленный план включает много новых оповещений, касающихся выявлению подозрительных вызовов операций с высоким риском. Эти новые оповещения обеспечивают широкий мониторинг атак в полной матрице MITRE ATT&CK® для облачных методов.
Эта таблица охватывает следующий ряд потенциальных намерений субъектов угроз, которые могут нацелиться на ресурсы вашей организации: начальный доступ, выполнение, сохраняемость, повышение привилегий, обход защиты, доступ к учетным данным, обнаружение, боковое смещение, сбор данных, кража данных и влияние.
Как показано в следующей таблице новые оповещения для этого плана Defender охватывают эти намерения.
Совет
Эти оповещения также отображаются на странице справки по оповещениям.
| Оповещение (тип оповещения) | Description | Тактика MITRE (намерения) | Важность |
|---|---|---|---|
| Suspicious invocation of a high-risk 'Initial Access' operation detected (Preview) (Обнаружен подозрительный вызов операции первоначального доступа с высоким риском (предварительная версия)) (ARM_AnomalousOperation.InitialAccess) |
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку доступа к ограниченным ресурсам. Обнаруженные операции обеспечивают администраторам эффективный доступ к их средам. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для получения начального доступа к ресурсам с ограниченным доступом в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Первоначальный доступ | Средняя |
| Suspicious invocation of a high-risk 'Execution' operation detected (Preview) (Обнаружен подозрительный вызов операции выполнения с высоким риском (предварительная версия)) (ARM_AnomalousOperation.Execution) |
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском на компьютере, что может означать попытку выполнения кода. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для доступа к учетным данным с ограниченным доступом и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Выполнение | Средняя |
| Suspicious invocation of a high-risk 'Persistence' operation detected (Preview) (Обнаружен подозрительный вызов операции сохранения состояния с высоким риском (предварительная версия)) (ARM_AnomalousOperation.Persistence) |
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку обеспечения сохраняемости. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для обеспечения сохраняемости в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Сохраняемость | Средняя |
| Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (Preview) (Обнаружен подозрительный вызов операции повышения привилегий с высоким риском (предварительная версия)) (ARM_AnomalousOperation.PrivilegeEscalation) |
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку повысить привилегии. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для повышения привилегий при компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Повышение привилегий | Средняя |
| Suspicious invocation of a high-risk 'Defense Evasion' operation detected (Preview) (Обнаружен подозрительный вызов операции обхода защиты с высоким риском (предварительная версия)) (ARM_AnomalousOperation.DefenseEvasion) |
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку обхода защиты. Обнаруженные операции обеспечивают администраторам эффективное управление состоянием безопасности их сред. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для предотвращения обнаружения при компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Уклонение от защиты | Средняя |
| Suspicious invocation of a high-risk 'Credential Access' operation detected (Preview) (Обнаружен подозрительный вызов операции доступа к учетным данным с высоким риском (предварительная версия)) (ARM_AnomalousOperation.CredentialAccess) |
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку доступа к учетным данным. Обнаруженные операции обеспечивают администраторам эффективный доступ к их средам. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для доступа к учетным данным с ограниченным доступом и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Доступ к четным данным | Средняя |
| Suspicious invocation of a high-risk 'Lateral Movement' operation detected (Preview) (Обнаружен подозрительный вызов операции бокового смещения с высоким риском (предварительная версия)) (ARM_AnomalousOperation.LateralMovement) |
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку бокового смещения. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для компрометации дополнительных ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Боковое смещение | Средняя |
| Suspicious invocation of a high-risk 'Data Collection' operation detected (Preview) (Обнаружен подозрительный вызов операции сбора данных с высоким риском (предварительная версия)) (ARM_AnomalousOperation.Collection) |
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку сбора данных. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для сбора конфиденциальных данных о ресурсах в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Коллекция | Средняя |
| Suspicious invocation of a high-risk 'Impact' operation detected (Preview) (Обнаружен подозрительный вызов операции воздействия с высоким риском (предварительная версия)) (ARM_AnomalousOperation.Impact) |
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку изменения конфигурации. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для доступа к учетным данным с ограниченным доступом и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. | Воздействие | Средняя |
Кроме того, в предварительной версии появились также следующие два оповещения из этого плана:
| Оповещение (тип оповещения) | Description | Тактика MITRE (намерения) | Важность |
|---|---|---|---|
| Операция Azure Resource Manager с подозрительного IP-адреса (ARM_OperationFromSuspiciousIP) |
Microsoft Defender для Resource Manager обнаружил операцию с IP-адреса, который был помечен как подозрительный в каналах аналитики угроз. | Выполнение | Средняя |
| Операция Azure Resource Manager с подозрительного IP-адреса прокси-сервера (ARM_OperationFromSuspiciousProxyIP) |
Microsoft Defender для Resource Manager обнаружил операцию управления ресурсами с IP-адреса, связанного с прокси-службами, такими как TOR. Хотя подобный алгоритм поведения может быть обоснованным, зачастую он проявляется в злонамеренных действиях, когда злоумышленники пытаются скрыть свой исходный IP-адрес. | Уклонение от защиты | Средняя |
Рекомендации по включению планов Microsoft Defender для рабочих областей (предварительная версия)
Чтобы воспользоваться всеми функциями безопасности, доступными в Microsoft Defender для серверов и Microsoft Defender для SQL на компьютерах, планы должны быть включены одновременно на уровне подписки и рабочей области.
Если на компьютере действует подписка, для которой включен один из этих планов, вам будет выставлен счет за полную защиту. Однако если этот компьютер отправляет отчеты в рабочую область без включенного плана, вы фактически не сможете воспользоваться этими преимуществами.
Мы добавили две рекомендации, посвященные рабочим областям, для которых эти планы не включенных, но в которые, тем не менее, поступают отчеты с компьютеров в рамках подписок, для которых этот план включен.
Ниже приведены две рекомендации, которые предлагают автоматическое исправление (действие "Исправление").
| Рекомендация | Description | Серьезность |
|---|---|---|
| Необходимо включить Microsoft Defender для серверов в рабочей области | Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты на компьютерах Windows и Linux. Если этот план Defender включен для ваших подписок, но не включен для ваших рабочих областей, вы оплачиваете все возможности Microsoft Defender для серверов, но не можете воспользоваться некоторыми преимуществами. После включения Microsoft Defender для серверов в рабочей области для всех компьютеров, отправляющих отчеты в эти рабочие области, будет взиматься плата за использование Microsoft Defender для серверов, даже если они находятся в подписках без включенных планов Defender. Если при этом вы не включите Microsoft Defender для серверов в подписке, на этих компьютерах нельзя будет воспользоваться преимуществами JIT-доступа к виртуальным машинам, адаптивными элементами управления приложениями и обнаружением сети для ресурсов Azure. Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для серверов. (Связанная политика отсутствует) |
Средняя |
| Microsoft Defender для SQL на компьютерах должен быть включен в рабочих областях | Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты на компьютерах Windows и Linux. Если этот план Defender включен для ваших подписок, но не включен для ваших рабочих областей, вы оплачиваете все возможности Microsoft Defender для серверов, но не можете воспользоваться некоторыми преимуществами. После включения Microsoft Defender для серверов в рабочей области для всех компьютеров, отправляющих отчеты в эти рабочие области, будет взиматься плата за использование Microsoft Defender для серверов, даже если они находятся в подписках без включенных планов Defender. Если при этом вы не включите Microsoft Defender для серверов в подписке, на этих компьютерах нельзя будет воспользоваться преимуществами JIT-доступа к виртуальным машинам, адаптивными элементами управления приложениями и обнаружением сети для ресурсов Azure. Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для серверов. (Связанная политика отсутствует) |
Средняя |
Агент Log Analytics с поддержкой Autoprovision на компьютерах с поддержкой Azure Arc (предварительная версия)
Defender для облака использует агент Log Analytics для сбора с компьютеров данных, связанных с безопасностью. Агент считывает различные журналы событий и конфигурации, связанные с безопасностью, а также копирует данные в рабочую область для анализа.
параметры автоматической подготовки Defender для облака имеют переключатель для каждого типа поддерживаемого расширения, включая агент Log Analytics.
В дальнейшем мы добавили возможность автоматической подготовки агента Log Analytics к компьютерам, подключенным к Azure Arc.
Как и в случае с другими параметрами автоматической подготовки, это настраивается на уровне подписки.
При включении этого параметра появится запрос рабочей области.
Примечание.
В этой предварительной версии нельзя выбрать рабочие области по умолчанию, созданные Defender для облака. Чтобы получить полный набор функций безопасности, доступных для серверов с поддержкой Azure Arc, убедитесь, что в выбранной рабочей области установлено соответствующее решение для обеспечения безопасности.
Устарела рекомендация по классификации конфиденциальных данных в базах данных SQL
Мы удалили рекомендацию Конфиденциальные данные в базах данных SQL должны быть засекречены в связи с изменением подхода, используемого Defender для облака для выявления и защиты конфиденциальных данных в облачных ресурсах.
Последние шесть месяцев на странице Важные предстоящие изменения в Microsoft Defender для облака отображалось предварительное уведомление об этом изменении.
Теперь оповещение о связи с подозрительным доменом отображается также для известных доменов, связанных с Log4Shell
Ранее следующее оповещение было доступно только тем организациям, которые включили план Microsoft Defender для DNS.
В этом обновлении это оповещение будет также отображаться для подписок с включенным планом Microsoft Defender для серверов или Defender для Службы приложений.
Кроме того, в Microsoft Threat Intelligence расширен список известных вредоносных доменов, который теперь включает домены, связанные с использованием широко распространенных уязвимостей, имеющих отношение к Log4j.
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| Связь с подозрительным доменом, обнаруженным посредством аналитики угроз (AzureDNS_ThreatIntelSuspectDomain) |
Обнаружен обмен данными с подозрительным доменом путем анализа транзакций DNS из ресурса и их сравнения с известными вредоносными доменами, идентифицируемыми каналами аналитики угроз. Обмен данными с вредоносными доменами часто осуществляется злоумышленниками и может свидетельствовать о компрометации ресурса. | Начальный доступ, сохраняемость, выполнение, управление и контроль, несанкционированное использование | Средняя |
В область сведений для оповещений системы безопасности добавлена кнопка "Копировать JSON-оповещения"
Чтобы пользователям быстро проще обмениваться сведениями об оповещениях с другими (например, аналитиками SOC, владельцами ресурсов и разработчиками), мы добавили возможность простого извлечения всех сведений о конкретном оповещении с помощью одной кнопки в области сведений об оповещениях системы безопасности.
С помощью новой кнопки Копировать JSON-оповещения можно поместить сведения об оповещении в формате JSON в буфер обмена пользователя.
Переименованы две рекомендации
Для обеспечения согласованности с названиями других рекомендаций мы переименовали следующие две рекомендации:
Рекомендация по устранению уязвимостей, обнаруженных в выполняющихся образах контейнеров
- Предыдущее название. Необходимо устранить уязвимости в запущенных образах контейнеров (на платформе Qualys)
- Новое название. Необходимо устранить уязвимости в образах работающих контейнеров
Рекомендация по включению журналов диагностики для Службы приложений Azure
- Предыдущее название. В Службе приложений должны быть включены журналы диагностики
- Новое название. В Службе приложений должны быть включены журналы диагностики
Прекращение поддержки политики "Контейнеры кластера Kubernetes должны прослушивать только разрешенные порты"
Рекомендация Контейнеры кластера Kubernetes должны прослушивать только разрешенные порты устарела.
| Имя политики | Description | Действие | Версия |
|---|---|---|---|
| Контейнеры кластера Kubernetes должны ожидать передачи данных только в разрешенных портах | Ограничение контейнеров, чтобы они ожидали передачи данных только на разрешенных портах для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS), но для обработчика AKS и Azure Arc с поддержкой Kubernetes она доступна в предварительной версии. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 6.1.2 |
Чтобы ограничить количество портов, открытых в приложение для доступа через Интернет, следует воспользоваться рекомендацией Службы должны ожидать передачи данных только на разрешенных портах.
Добавлена книга "Активные оповещения"
Чтобы нашим пользователям было проще понять, какие активные угрозы существуют в их средах, и определить приоритетность активных оповещений в процессе исправления, мы добавили книгу "Активные оповещения ".
Книга активных оповещений позволяет пользователям просматривать единую панель мониторинга объединенных оповещений по серьезности, типу, тегу, тактике MITRE ATT&CK и расположению. Дополнительные сведения см. в разделе Использование книги "Активные оповещения".
В облако для государственных организаций добавлена рекомендация "Обновление системы"
Рекомендация "На ваших компьютерах должны быть установлены обновления системы" теперь доступна во всех облаках для государственных организаций.
Скорее всего, это изменение повлияет на оценку безопасности подписки на облако для государственных организаций. Мы ожидаем, что изменение приведет к уменьшению оценки, но в некоторых случаях добавление рекомендации может обеспечить увеличение оценки.
Декабрь 2021 г.
В декабре добавлены следующие обновления:
- Стал общедоступным план "Microsoft Defender для контейнеров"
- Стали общедоступными новые оповещения для плана "Microsoft Defender для контейнеров"
- Улучшения оповещений для Microsoft Defender для хранилища
- Оповещение PortSweeping удалено из списка оповещений сетевого уровня
Стал общедоступным план "Microsoft Defender для контейнеров"
Более двух лет назад мы внедрили Defender для Kubernetes и Defender для реестров контейнеров в рамках предложения Azure Defender в Microsoft Defender для облака.
С выпуском Microsoft Defender для контейнеров мы объединили эти два имеющихся плана Defender.
Преимущества нового плана:
- Объединение функций двух имеющихся планов. Обнаружение угроз для кластеров Kubernetes и оценка уязвимостей для образов, хранящихся в реестрах контейнеров.
- Добавление новых и улучшенных функций. В том числе обеспечение поддержки нескольких облаков, обнаружение угроз на уровне узла с более чем 60 новыми средствами аналитики с поддержкой Kubernetes и оценка уязвимостей для запуска образов
- Внедрение подключения в большом масштабе собственными средствами Kubernetes. По умолчанию при включении плана все соответствующие компоненты настраиваются для автоматического развертывания.
В этом выпуске доступность и представление Defender для Kubernetes и Defender для реестров контейнеров изменились следующим образом:
- Новые подписки. Два предыдущих плана контейнеров больше не доступны.
- Существующие подписки — где бы они ни отображались в портал Azure, планы отображаются как устаревшие с инструкциями по обновлению до более нового плана.
Новый план предоставляется бесплатно в течение декабря 2021 года. Дополнительные сведения о возможных затратах в связи с выставлением счетов из старых планов в Defender для контейнеров и о преимуществах, появившихся в этом плане, см. в статье Знакомство с Microsoft Defender для контейнеров.
Дополнительные сведения см. в разделе:
- Общие сведения о Microsoft Defender для контейнеров
- Включение Microsoft Defender для контейнеров
- Знакомство с Microsoft Defender для контейнеров — Microsoft Tech Community
- Microsoft Defender для контейнеров | Defender для облака в поле № 3 — YouTube
Стали общедоступными новые оповещения для плана "Microsoft Defender для контейнеров"
Субъекты угроз используют средства и скрипты для поиска общедоступных открытых контейнеров в попытке найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными.
Microsoft Defender для хранилища обнаруживает эти сканеры, чтобы их можно было заблокировать и исправить состояние.
В предварительной версии при их обнаружении выводилось оповещение Анонимное сканирование общедоступных контейнеров хранилища. Чтобы обнаруженные подозрительные события было проще классифицировать, мы разделили это оповещение на два новых. Эти оповещения относятся только к Хранилищу BLOB-объектов Azure.
Мы улучшили логику обнаружения, обновили метаданные оповещений, а также изменили имя и тип оповещения.
Вот новые оповещения:
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| Успешно обнаружены общедоступные контейнеры хранилища (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery) |
За последний час с помощью скрипта или средства сканирования были успешно обнаружены открытые контейнеры хранилища в учетной записи хранения. Как правило, это означает атаку с рекогносцировкой, в ходе которой субъект угрозы пытается получить список больших двоичных объектов путем подбора имен контейнеров в надежде найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными. Для поиска общедоступных открытых контейнеров субъект угрозы может использовать собственный скрипт или известные средства сканирования, например Microburst. ✔ Хранилище BLOB-объектов Azure ✖ Файлы Azure ✖ Azure Data Lake Storage 2-го поколения |
Коллекция | Средняя |
| Успешно просканированы общедоступные контейнеры хранилища (Storage.Blob_OpenContainersScanning.FailedAttempt) |
За последний час был предпринят ряд неудачных попыток сканирования общедоступных открытых контейнеров хранилища. Как правило, это означает атаку с рекогносцировкой, в ходе которой субъект угрозы пытается получить список больших двоичных объектов путем подбора имен контейнеров в надежде найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными. Для поиска общедоступных открытых контейнеров субъект угрозы может использовать собственный скрипт или известные средства сканирования, например Microburst. ✔ Хранилище BLOB-объектов Azure ✖ Файлы Azure ✖ Azure Data Lake Storage 2-го поколения |
Коллекция | Низкая |
Дополнительные сведения см. в разделе:
- Таблица угроз для служб хранилища
- Общие сведения о Microsoft Defender для хранилища
- Список оповещений, предоставленных Microsoft Defender для хранилища
Улучшения оповещений для Microsoft Defender для хранилища
Для оповещений о начальном доступе улучшена точность и добавлены дополнительные данные для поддержки расследования.
При начальном доступе субъекты угроз используют различные методы, позволяющие им внедриться в сеть. Два оповещения Microsoft Defender для хранилища, которые используются при обнаружении аномалий на этом этапе, теперь имеют улучшенную логику обнаружения и дополнительные данные для поддержки исследований.
Если вы настроили автоматизацию или определили правила подавления оповещений для этих оповещений в прошлом, обновите их в соответствии с этими изменениями.
Обнаружение доступа из выходного узла Tor
Доступ из выходного узла Tor может указывать на то, что субъект угрозы пытается скрыть свое удостоверение.
Теперь оповещение настроено так, чтобы оно создавалось только при доступе с проверкой подлинности, что обеспечит более высокую точность и уверенность в том, что действие является вредоносным. Это улучшение сокращает частоту неопасных положительных срабатываний.
Нехарактерный шаблон будет иметь высокий уровень серьезности, а менее аномальные шаблоны — среднюю серьезность.
Обновлены имя и описание оповещения. AlertType остается без изменений.
- Имя оповещения (старое). Доступ из выходного узла Tor к учетной записи хранения
- Имя оповещения (новое). Доступ с проверкой подлинности из выходного узла Tor
- Типы оповещений: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
- Описание. С IP-адреса, известного как активный выходной узел Tor (анонимизирующий прокси-сервер) успешно получен доступ к одному или нескольким контейнерам хранилища либо одной или нескольким общим папкам в вашей учетной записи хранения. Субъекты угроз используют Tor, чтобы усложнить трассировку активности. Доступ с проверкой подлинности с выходного узла TOR, скорее всего, указывает на то, что субъект угрозы пытается скрыть свое удостоверение. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения
- Тактика MITRE: первоначальный доступ
- Серьезность: высокая или средняя
Необычный доступ без проверки подлинности
Изменение в шаблонах доступа может означать, что субъекту угрозы удалось воспользоваться открытым доступом на чтение из контейнеров хранилища, воспользовавшись ошибками в конфигурациях доступа или изменив права доступа.
Это оповещение средней серьезности теперь настраивается с использованием улучшенной логики поведения и обеспечением большей точности и уверенности в том, что действие является вредоносным. Это улучшение сокращает частоту неопасных положительных срабатываний.
Обновлены имя и описание оповещения. AlertType остается без изменений.
- Имя оповещения (старое). Анонимный доступ к учетной записи хранения
- Имя оповещения (новое). Необычный доступ без проверки подлинности к контейнеру хранилища
- Типы оповещений: Storage.Blob_AnonymousAccessAnomaly
- Описание. Доступ к этой учетной записи хранения осуществлялся без проверки подлинности, что указывает на изменение обычного шаблона доступа. Для доступа на чтение в этом контейнере обычно необходимо пройти проверку подлинности. Это может означать, что субъекту угрозы удалось воспользоваться открытым доступом на чтение в контейнерах хранилища в этих учетных записях хранения. Применимо к: Хранилище BLOB-объектов Azure
- Тактика MITRE: сбор данных
- Серьезность: средняя
Дополнительные сведения см. в разделе:
- Таблица угроз для служб хранилища
- Общие сведения о Microsoft Defender для хранилища
- Список оповещений, предоставленных Microsoft Defender для хранилища
Оповещение PortSweeping удалено из списка оповещений сетевого уровня
Следующее оповещение было удалено из списка оповещений сетевого уровня из-за неэффективности:
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| Possible outgoing port scanning activity detected (Обнаружено возможное действие сканирования исходящего порта) (PortSweeping) |
При анализе сетевого трафика %{скомпрометированный_узел} обнаружена подозрительная сетевая активность. Этот трафик может быть результатом операции сканирования порта. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). Если это поведение намеренное, обратите внимание, что сканирование портов выполняется в условиях предоставления услуг Azure. Если такое поведение непреднамеренно, это может означать, что ваш ресурс был скомпрометирован. | Обнаружение | Средняя |
Ноябрь 2021 г.
Наш выпуск Ignite включает в себя следующее:
- Microsoft Defender для облака вместо Центра безопасности Azure и Azure Defender
- Собственный класс CSPM для AWS и защита от угроз для Amazon EKS и AWS EC2
- Определение приоритета действий системы безопасности с учетом чувствительности данных (на базе Microsoft Purview) (предварительная версия)
- Расширенные оценки управления безопасностью с помощью теста производительности системы безопасности Azure версии 3
- Общая доступность необязательной двунаправленной синхронизации оповещений соединителя Microsoft Sentinel
- Новая рекомендация по принудительной отправке журналов Azure Kubernetes Service (AKS) в Sentinel
- Рекомендации сопоставлены с платформой MITRE ATT&CK®, выпущенной для общедоступной версии (GA)
К другим ноябрьским изменениям относятся:
- В качестве решения для оценки уязвимостей добавлен модуль Майкрософт для управления угрозами и уязвимостями (общедоступная версия)
- Microsoft Defender для серверов теперь поддерживает Microsoft Defender для конечной точки для Linux (общедоступная версия)
- Экспорт моментальных снимков для получения рекомендаций и сведений о безопасности (предварительная версия)
- Автоматическая подготовка решений для оценки уязвимостей, выпущенных для общедоступной доступности (GA)
- Фильтры инвентаризации программного обеспечения в системе инвентаризации ресурсов (общедоступная версия)
- Новая политика безопасности AKS, добавленная в инициативу по умолчанию — предварительная версия
- Для экрана инвентаризации на локальных компьютерах для имени ресурса будет применяться другой шаблон
Microsoft Defender для облака вместо Центра безопасности Azure и Azure Defender
В соответствии с отчетом о состоянии облака за 2021 г. 92 % организаций на данный момент уже имеют стратегию использования нескольких облаков. Наша цель — централизация безопасности в разных средах и более эффективная работа команд безопасности.
Microsoft Defender для облака — это решение cloud Security Posture Management (CSPM) и защита облачных рабочих нагрузок (CWP), которое обнаруживает слабые места в вашей облачной конфигурации, помогает укрепить общую безопасность среды и защитить рабочие нагрузки в многооблачных и гибридных средах.
В Ignite 2019 мы предоставляем нашу концепцию создания наиболее полного подхода к защите своего цифрового пространства и интеграции технологий XDR под торговой маркой Microsoft Defender. Объединение Центр безопасности Azure и Azure Defender с новым именем Microsoft Defender для облака отражает интегрированные возможности нашего предложения безопасности и нашу способность поддерживать любую облачную платформу.
Собственный класс CSPM для AWS и защита от угроз для Amazon EKS и AWS EC2
Новая страница параметров среды обеспечивает большую видимость и контроль над группами управления, подписками и учетными записями AWS. Эта страница предназначена для подключения учетных записей AWS в большом масштабе — просто подключите свою учетную запись управления AWS, и имеющиеся и будущие учетные записи подключаться автоматически.
После добавления учетных записей AWS Defender для облака будет защищать ресурсы AWS с помощью любого или каждого из следующих планов:
- Функции CSPM в Defender для облака теперь можно использовать для ресурсов AWS. Этот безагентный план оценивает ресурсы AWS в соответствии со специально разработанными для AWS рекомендациями по безопасности, и эти рекомендации учитываются в вашей оценке безопасности. Ресурсы также будут оцениваться на соответствие встроенным стандартам AWS (AWS CIS, AWS PCI DSS и AWS Foundational Security Best Practices). Страница Инвентаризация ресурсов службы "Defender для облака" — это функция с поддержкой нескольких облаков, которая позволяет управлять ресурсами AWS вместе с ресурсами Azure.
- Обнаружение угроз для контейнеров и расширенные средства защиты Microsoft Defender для Kubernetes теперь можно использовать в кластерах Amazon EKS под управлением Linux.
- Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты на экземплярах Windows и Linux EC2. Этот план включает в себя встроенную лицензию на Microsoft Defender для конечной точки, базовые показатели безопасности и оценки уровня ОС, сканирование с оценкой уязвимостей, адаптивные элементы управления приложениями (AAC), мониторинг целостности файлов (FIM) и другие возможности.
Узнайте больше о подключении учетных записей AWS к Microsoft Defender для облака.
Определение приоритета действий системы безопасности с учетом чувствительности данных (на базе Microsoft Purview) (предварительная версия)
Ресурсы данных остаются популярным целевым объектом для субъектов угроз. Поэтому крайне важно, чтобы отделы безопасности выявляли и защищали ресурсы конфиденциальных данных в облачных средах, а также определяли их приоритеты.
Чтобы решить эту проблему, Microsoft Defender для облака теперь интегрирует сведения о конфиденциальности из Microsoft Purview. Microsoft Purview — это единая служба управления данными, которая предоставляет подробные сведения о конфиденциальности данных в нескольких облаках и локальных рабочих нагрузках.
Интеграция с Microsoft Purview расширяет видимость системы безопасности в Defender для облака с уровня инфраструктуры до уровня данных, предоставляя отделам безопасности совершенно новый способ определения приоритетов ресурсов и выполнения связанных с безопасностью действий.
Дополнительные сведения см. в разделе Ранжирование действий по обеспечению безопасности с учетом конфиденциальности данных.
Расширенные оценки управления безопасностью с помощью теста производительности системы безопасности Azure версии 3
Рекомендации по безопасности в Defender для облака поддерживаются Azure Security Benchmark.
Azure Security Benchmark (ASB) — это специально разработанный корпорацией Майкрософт набор руководств по обеспечению безопасности и соответствия нормативным требованиям на основе распространенных платформ обеспечения соответствия. Это широко принятое тестирование основано на стандартах Центра Интернет-безопасности (CIS) и Национального института стандартов и технологий (NIST) с ориентацией на облачную безопасность.
С момента проведения Ignite 2021 тест производительности системы безопасности Azure версии 3 доступен на панели мониторинга соответствия нормативным требованиям Defender для облака и включена в качестве новой инициативы по умолчанию для всех подписок Azure, защищенных с помощью Microsoft Defender для облака.
Среди улучшений в версии 3:
Дополнительные сопоставления с отраслевыми платформами PCI-DSS версии 3.2.1 и CIS Controls версии 8.
Более детализированные и практичные рекомендации для элементов управления благодаря внедрению следующих возможностей:
- Принципы безопасности — предоставляют аналитические сведения об общих целях обеспечения безопасности, которые служат основой для наших рекомендаций.
- Руководство по Azure — техническое руководство по достижению этих целей.
К новым элементам управления относятся средство безопасности DevOps для решения таких проблем, как моделирование угроз и безопасность цепочки поставок программного обеспечения, а также управление ключами и сертификатами для рекомендаций в Azure.
Дополнительные сведения см. в статье Вводные сведения об Azure Security Benchmark.
Общая доступность необязательной двунаправленной синхронизации оповещений соединителя Microsoft Sentinel
В июле мы объявили о предварительной версии функции под названием двунаправленная синхронизация оповещений для встроенного соединителя в Microsoft Sentinel (облачное решение Майкрософт для SIEM и SOAR). Теперь эта функция общедоступна.
При подключении Microsoft Defender для облака к Microsoft Sentinel состояние оповещений системы безопасности синхронизируется между этими двумя службами. Например, если оповещение закрывается в Defender для облака, оно также отображается как закрытое в Microsoft Sentinel. Изменение состояния оповещения в Defender для облака не приведет к изменению состояния содержащих его инцидентов Microsoft Sentinel (меняется только состояние самого синхронизированного оповещения).
При включении двунаправленной синхронизации оповещений вы автоматически синхронизируете состояние исходных оповещений Defender для облака с инцидентами Microsoft Sentinel, содержащими копии этих оповещений. Например, при закрытии инцидента Microsoft Sentinel, содержащего оповещения Defender для облака, соответствующее исходное оповещение будет автоматически закрыто в Microsoft Defender для облака.
Дополнительные сведения см. в статье Подключение оповещений Azure Defender из Центра безопасности Azure и разделе Передача оповещений в Azure Sentinel.
Новая рекомендация по принудительной отправке журналов Azure Kubernetes Service (AKS) в Sentinel
В стремлении повысить совокупную ценность Defender для облака и Microsoft Sentinel мы сейчас активно работает над экземплярами Службы Azure Kubernetes, которые не отправляют данные журнала в Microsoft Sentinel.
Команды SecOps могут выбрать соответствующую рабочую область Microsoft Sentinel непосредственно на странице сведений о рекомендации и сразу же включить потоковую передачу необработанных журналов. Такое прозрачное подключение между двумя продуктами позволяет группам безопасности с легкостью обеспечить полное покрытие процесса ведения журнала в различных рабочих нагрузках для всеобъемлющего контроля над всей средой.
В новой рекомендации "Необходимо включить журналы диагностики в службах Kubernetes" предусмотрен параметр "Исправить" для более быстрого исправления.
Мы также дополнили рекомендацию "Необходимо включить аудит на сервере SQL" аналогичными возможностями потоковой передачи Sentinel.
Рекомендации сопоставлены с платформой MITRE ATT&CK®, выпущенной для общедоступной версии (GA)
Мы улучшили рекомендации по безопасности Defender для облака, чтобы показать свою позицию на платформе MITRE ATT&CK®. Эта глобально доступная база знаний о тактиках и методиках субъектов угроз, основанная на результатах наблюдения в реальных условиях. Она предоставляет дополнительный контекст, позволяющий понять связанные с рекомендациями риски для вашей среды.
Эти тактики можно просмотреть в любом месте, где доступны рекомендации:
Результаты запроса Azure Resource Graph для соответствующих рекомендаций включают тактику и методы MITRE ATT&CK®.
На страницах со сведениями о рекомендации отображается сопоставление для всех соответствующих рекомендаций:
На странице рекомендаций в Defender для облака появился новый фильтр
для выбора рекомендаций в соответствии с тактиками, которые с ними связаны:
Дополнительные сведения см. в статье Проверка рекомендаций по обеспечению безопасности.
В качестве решения для оценки уязвимостей добавлен модуль Майкрософт для управления угрозами и уязвимостями (общедоступная версия)
В октябре мы объявили о расширении интеграции между Microsoft Defender для серверов и Microsoft Defender для конечной точки, чтобы обеспечить поддержку нового поставщика оценки уязвимостей для ваших компьютеров: Управление угрозами и уязвимостями (Майкрософт). Теперь эта функция общедоступна.
Воспользуйтесь управлением угрозами и уязвимостями для обнаружения уязвимостей и неправильных настроек почти в режиме реального времени при включенной интеграции Microsoft Defender для конечной точки без дополнительных агентов или периодических проверок. Управление угрозами и уязвимостями обеспечивает определение приоритетов уязвимостей на основе ландшафта угроз и результатов обнаружения в организации.
Воспользуйтесь рекомендацией по безопасности Необходимо включить решение для оценки уязвимостей на виртуальных машинах, чтобы выявить уязвимости, обнаруженные модулем управления угрозами и уязвимостями, для поддерживаемых компьютеров.
Сведения о том, как автоматически выявлять уязвимости на имеющихся и новых компьютерах без необходимости вручную выполнять исправление по рекомендации, см. в разделе Решения для оценки уязвимостей теперь можно включать автоматически (предварительная версия).
Дополнительные сведения см. в статье Исследование уязвимостей с помощью модуля контроля угроз и уязвимостей Microsoft Defender для конечной точки.
Microsoft Defender для серверов теперь поддерживает Microsoft Defender для конечной точки для Linux (общедоступная версия)
В августе мы объявили о поддержке в предварительной версии развертывания датчика Defender для конечной точки для Linux на поддерживаемых компьютерах с Linux. Теперь эта функция общедоступна.
В Microsoft Defender для серверов интегрирована лицензия на Microsoft Defender для конечной точки. Вместе они обеспечивают широкие возможности обнаружения конечных точек и реагирования.
Когда Defender для конечной точки обнаруживает угрозу, активируется оповещение. Оповещение отображается в Defender для облака. Из Defender для облака вы можете перейти к консоли Defender для конечной точки, отобразить сводные данные и тщательно их изучить для определения области атаки.
Дополнительные сведения см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности Azure: Microsoft Defender для конечной точки.
Экспорт моментальных снимков для получения рекомендаций и сведений о безопасности (предварительная версия)
Defender для облака создает подробные оповещения и рекомендации по безопасности. Их можно просматривать на портале или с помощью программных средств. Кроме того, может потребоваться экспортировать некоторые или все эти сведения для отслеживания с помощью других средств мониторинга в вашем окружении.
Функция Непрерывный экспорт в Defender для облака позволяет полностью настроить экспортируемые объекты и расположение их сохранения. Дополнительные сведения см. в статье Непрерывный экспорт данных Microsoft Defender для облака.
Хотя эта функция называется непрерывной, существует также возможность экспорта еженедельных моментальных снимков. До настоящего момента применение этих моментальных снимков было ограничено оценкой безопасности и нормативными данными о соответствии требованиям. Мы добавили возможность экспортировать рекомендации и результаты анализа безопасности.
Автоматическая подготовка решений для оценки уязвимостей, выпущенных для общедоступной доступности (GA)
В октябре мы объявили о добавлении решений для оценки уязвимостей на страницу автоматической подготовки Defender для облака. Это относится к виртуальным машинам Azure и компьютерам Azure Arc в подписках, защищенных Azure Defender для серверов. Теперь эта функция общедоступна.
Если включена Интеграция с Microsoft Defender для облака, Defender для облака предоставляет возможность выбора решений для оценки уязвимостей:
- (НОВИНКА) Модуль Майкрософт для управления угрозами и уязвимостями в Microsoft Defender для конечной точки (см. заметки о выпуске).
- Встроенный агент Qualys
Выбранное решение будет автоматически включено на поддерживаемых компьютерах.
Дополнительные сведения см. в статье Автоматическая настройка оценки уязвимостей для компьютеров.
Фильтры инвентаризации программного обеспечения в системе инвентаризации ресурсов (общедоступная версия)
В октябре мы объявили о новых фильтрах для страницы Инвентаризация ресурсов, позволяющих выбрать компьютеры, на которых выполняется определенное программное обеспечение, и даже указать интересующие версии. Теперь эта функция общедоступна.
вы можете запросить данные инвентаризации программного обеспечения в Обозревателе Azure Resource Graph.
Чтобы использовать эти функции, необходимо включить интеграцию с Microsoft Defender для конечной точки.
Полные сведения, включая примеры запросов Kusto для Azure Resource Graph, см. в разделе Доступ к инвентаризации программного обеспечения.
Новая политика безопасности AKS, добавленная в инициативу по умолчанию
Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, Defender для облака предоставляет политики и рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.
В рамках этого проекта мы добавили политику и рекомендацию (отключены по умолчанию) для развертывания с ограничением в кластерах Kubernetes. Политика находится в инициативе по умолчанию, но относится только к организациям, которые регистрируются для связанной предварительной версии.
Вы можете просто проигнорировать политики и рекомендацию "Кластеры Kubernetes должны ограничивать развертывание уязвимых образов", и это не повлияет на вашу среду.
Если вы хотите принять участие в предварительной версии, вам потребуется быть членом кольца предварительной версии. Если вы еще не являетесь его участником, отправьте запрос здесь. Участники получат уведомление о начале тестирования предварительной версии.
Для экрана инвентаризации на локальных компьютерах для имени ресурса будет применяться другой шаблон
Чтобы улучшить представление ресурсов в разделе Инвентаризация активов, мы удалили элемент source-computer-IP из шаблона для именования локальных компьютеров.
- Предыдущий формат:
machine-name_source-computer-id_VMUUID - Из этого обновления:
machine-name_VMUUID
2021 октября
В октябре добавлены следующие обновления:
- В качестве решения для оценки уязвимостей добавлен модуль Майкрософт для управления угрозами и уязвимостями (предварительная версия)
- Теперь поддерживается автоматическое включение решений по оценке уязвимостей (предварительная версия)
- В инвентаризацию ресурсов добавлены фильтры инвентаризации программного обеспечения (предварительная версия)
- Изменен префикс некоторых типов оповещений с "ARM_" на "VM_"
- Изменения в логике рекомендации по безопасности для кластеров Kubernetes
- Страницы сведений о рекомендациях теперь содержат связанные рекомендации
- Новые оповещения для Azure Defender для Kubernetes (предварительная версия)
В качестве решения для оценки уязвимостей добавлен модуль Майкрософт для управления угрозами и уязвимостями (предварительная версия)
Мы расширили интеграцию между Azure Defender для серверов и Microsoft Defender для конечной точки, чтобы обеспечить поддержку нового поставщика оценки уязвимостей для ваших компьютеров: Управление угрозами и уязвимостями (Майкрософт).
Воспользуйтесь управлением угрозами и уязвимостями для обнаружения уязвимостей и неправильных настроек почти в режиме реального времени при включенной интеграции Microsoft Defender для конечной точки без дополнительных агентов или периодических проверок. Управление угрозами и уязвимостями обеспечивает определение приоритетов уязвимостей на основе ландшафта угроз и результатов обнаружения в организации.
Воспользуйтесь рекомендацией по безопасности Необходимо включить решение для оценки уязвимостей на виртуальных машинах, чтобы выявить уязвимости, обнаруженные модулем управления угрозами и уязвимостями, для поддерживаемых компьютеров.
Сведения о том, как автоматически выявлять уязвимости на имеющихся и новых компьютерах без необходимости вручную выполнять исправление по рекомендации, см. в разделе Решения для оценки уязвимостей теперь можно включать автоматически (предварительная версия).
Дополнительные сведения см. в статье Исследование уязвимостей с помощью модуля контроля угроз и уязвимостей Microsoft Defender для конечной точки.
Теперь поддерживается автоматическое включение решений по оценке уязвимостей (предварительная версия)
Страница автоматической подготовки Центра безопасности теперь включает возможность автоматического включения решения оценки уязвимостей на виртуальных машинах Azure и компьютерах Azure Arc на подписках, защищенных Azure Defender для серверов.
Если включена Интеграция с Microsoft Defender для облака, Defender для облака предоставляет возможность выбора решений для оценки уязвимостей:
- (НОВИНКА) Модуль Майкрософт для управления угрозами и уязвимостями в Microsoft Defender для конечной точки (см. заметки о выпуске).
- Встроенный агент Qualys
Выбранное решение будет автоматически включено на поддерживаемых компьютерах.
Дополнительные сведения см. в статье Автоматическая настройка оценки уязвимостей для компьютеров.
В инвентаризацию ресурсов добавлены фильтры инвентаризации программного обеспечения (предварительная версия)
Теперь на странице Инвентаризация ресурсов есть фильтры, позволяющие выбрать компьютеры, на которых выполняется определенное программное обеспечение, и даже указать интересующие версии.
Кроме того, вы можете запросить данные инвентаризации программного обеспечения в Обозревателе Azure Resource Graph.
Чтобы использовать эти новые функции, необходимо включить интеграцию с Microsoft Defender для конечной точки.
Полные сведения, включая примеры запросов Kusto для Azure Resource Graph, см. в разделе Доступ к инвентаризации программного обеспечения.
Изменен префикс некоторых типов оповещений с "ARM_" на "VM_"
В июле 2021 года мы объявили о логической реорганизации Azure Defender для оповещений Resource Manager
Во время реорганизации планов Defender мы переместили оповещения из Azure Defender для Resource Manager в Azure Defender для серверов.
В этом обновлении мы изменили префиксы этих оповещений в соответствии с данным переназначением и заменили "ARM_" на "VM_", как показано в следующей таблице.
| Исходное имя | В результате этого изменения |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Узнайте больше о планах Azure Defender для Resource Manager и Azure Defender для серверов.
Изменения в логике рекомендации по безопасности для кластеров Kubernetes
Рекомендация "Кластеры Kubernetes не должны использовать пространство имен по умолчанию" препятствует использованию пространства имен по умолчанию для диапазона типов ресурсов. Удалены два типа ресурсов, включенных в эту рекомендацию: ConfigMap и Secret.
Дополнительные сведения об этой рекомендации и усилении защиты кластеров Kubernetes см. в статье Общие сведения о службе "Политика Azure" для кластеров Kubernetes.
Страницы сведений о рекомендациях теперь содержат связанные рекомендации
Чтобы уточнить связи между различными рекомендациями, во многих рекомендациях мы добавили область Связанные рекомендации на страницу подробных.
На этих страницах показаны три типа отношений:
- Предварительные требования — рекомендация, которая должна быть выполнена перед выбранной рекомендацией.
- Альтернативный вариант — другая рекомендация, которая предоставляет другой способ достижения целей выбранной рекомендации.
- Зависимый — рекомендация, для которой выбранная рекомендация является необходимым условием.
Для каждой связанной рекомендации в столбце "Затрагиваемые ресурсы" отображается число неработоспособных ресурсов.
Совет
Если связанная рекомендация неактивна, реализация ее зависимости еще не завершена, поэтому она недоступна.
Пример связанных рекомендаций:
Центр безопасности проверяет компьютеры на наличие поддерживаемых решений для оценки уязвимостей:
Необходимо включить решение для оценки уязвимостей на виртуальных машинахПри обнаружении одного из них вы будете получать уведомления об обнаруженных уязвимостях:
Должны быть устранены уязвимости на ваших виртуальных машинах.
Очевидно, что Центр безопасности не сможет уведомлять вас об обнаруженных уязвимостях, если он не найдет поддерживаемое решение для оценки уязвимостей.
Таким образом:
- Рекомендация № 1 является необходимым условием для рекомендаций № 2.
- Рекомендация № 2 зависит от рекомендации № 1
Новые оповещения для Azure Defender для Kubernetes (предварительная версия)
Чтобы расширить защиту от угроз, предоставляемую Azure Defender для Kubernetes, мы добавили два оповещения из предварительной версии:
Эти оповещения создаются на основе новой модели машинного обучения и расширенной аналитики Kubernetes, измеряя несколько атрибутов развертывания и назначения ролей по сравнению с предыдущими действиями в кластере и во всех кластерах, отслеживаемых Azure Defender.
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| Аномальное развертывание модулей pod (предварительная версия) (K8S_AnomalousPodDeployment) |
Анализ журнала аудита Kubernetes обнаружил развертывание pod, которое является аномальным на основе предыдущего действия развертывания pod. Это действие считается аномалией с учетом взаимосвязей между различными признаками операции развертывания. В число отслеживаемых данной аналитикой признаков входят используемый реестр образов контейнеров, учетная запись, выполняющая развертывание, день недели, периодичность развертывания модулей pod в этой учетной записи, агент пользователя, используемый в операции, использование пространства имен, в котором часто выполняется развертывание модулей pod, и другие особенности. Основные причины возникновения этого оповещения об аномальной операции подробно описаны в расширенных свойствах оповещения. | Выполнение | Средняя |
| Excessive role permissions assigned in Kubernetes cluster (Preview) (Избыточные разрешения роли, назначенные в кластере Kubernetes (предварительная версия)) (K8S_ServiceAcountPermissionAnomaly) |
При анализе журналов аудита Kubernetes обнаружено назначение избыточных разрешений роли для кластера. Результаты изучения назначений ролей свидетельствуют о том, что указанные разрешения не являются общими для конкретной учетной записи службы. Эта проверка учитывает предыдущие назначения ролей для той же учетной записи службы в кластерах, отслеживаемых службой Azure, тома каждого разрешения, а также влияние конкретного разрешения. В модели обнаружения аномалий, используемой в этом оповещении, учитывается, как именно это разрешение используется во всех кластерах, отслеживаемых Azure Defender. | Повышение привилегий | Низкая |
Полный список оповещений Kubernetes см. в разделе "Оповещения для контейнеров — кластеры Kubernetes" статьи "Оповещения системы безопасности — справочное руководство".
Сентябрь 2021 года
В сентябре было выпущено следующее обновление:
Две новые рекомендации по аудиту конфигураций ОС для обеспечения соответствия базовым показателям безопасности Azure (предварительная версия)
Для оценки соответствия ваших компьютеров базовым показателям безопасности Windows и Linux выпущены следующие две рекомендации:
- Для компьютеров с Windows: Необходимо устранить уязвимости в конфигурации безопасности на ваших компьютерах Windows (на базе гостевой конфигурации).
- Для компьютеров с Linux: Необходимо устранить уязвимости в конфигурации безопасности на ваших компьютерах Linux (на базе гостевой конфигурации).
В этих рекомендациях с помощью функции гостевой конфигурации Политики Azure конфигурация ОС компьютера сравнивается с базовыми показателями, определенными в Azure Security Benchmark.
Дополнительные сведения об использовании этих рекомендаций см. в разделе Защита конфигурации ОС компьютера с помощью гостевой конфигурации.
Август 2021 г.
В августе добавлены следующие обновления:
- Azure Defender для серверов теперь поддерживает Microsoft Defender для конечной точки для Linux (в предварительной версии)
- Две новые рекомендации по управлению решениями для защиты конечных точек (предварительные версии)
- Встроенные средства устранения неполадок и руководство по решению распространенных проблем
- Отчеты аудита Azure для панели мониторинга соответствия нормативным требованиям, выпущенные для общедоступной версии (GA)
- Игнорирование рекомендации "На ваших компьютерах необходимо устранить проблемы работоспособности агента анализа журналов Log Analytics"
- Azure Defender для реестров контейнеров проверяет наличие уязвимостей в реестре, защищенных с помощью службы "Приватный канал Azure"
- Центр безопасности теперь может автоматически подготовить расширение гостевой конфигурации Политика Azure (в предварительной версии)
- Рекомендации для включения планов Azure Defender теперь поддерживают вариант "Принудительно"
- Экспорт в CSV данных рекомендаций теперь ограничен 20 МБ
- Страница рекомендаций теперь состоит из нескольких представлений
Azure Defender для серверов теперь поддерживает Microsoft Defender для конечной точки для Linux (в предварительной версии)
В Azure Defender для серверов интегрирована лицензия на Microsoft Defender для конечной точки. Вместе они обеспечивают широкие возможности обнаружения конечных точек и реагирования.
Когда Defender для конечной точки обнаруживает угрозу, активируется оповещение. Оповещение отображается в Центре безопасности. Из Центра безопасности вы можете перейти к консоли Defender для конечной точки, отобразить сводные данные и тщательно их изучить для определения области атаки.
В период действия предварительной версии для развертывания Microsoft Defender для конечной точки на компьютерах Linux можно использовать один из двух способов, в зависимости от того, было ли это средство развернуто на ваших компьютерах с ОС Windows:
- для существующих пользователей, у которых включены функции усиленной безопасности Defender для облака и служба "Microsoft Defender для конечной точки" для Windows;
- для новых пользователей, которые еще не выполняли интеграцию с Microsoft Defender для конечной точки для Windows.
Дополнительные сведения см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности Azure: Microsoft Defender для конечной точки.
Две новые рекомендации по управлению решениями для защиты конечных точек (предварительные версии)
В предварительной версии мы добавили две рекомендации по развертыванию и обслуживанию решений для защиты конечных точек на ваших компьютерах. Обе рекомендации касаются поддержки виртуальных машин Azure и компьютеров, подключенных к серверам с поддержкой Azure Arc.
| Рекомендация | Description | Серьезность |
|---|---|---|
| Необходимо установить Endpoint Protection на ваших компьютерах | Чтобы защитить компьютеры от угроз и уязвимостей, установите поддерживаемое решение для защиты конечных точек. Узнайте, как оценивается защита конечных точек для компьютеров. (Связанная политика: Мониторинг отсутствия Endpoint Protection в Центр безопасности Azure) |
Высокая |
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны здесь. Оценка защиты конечных точек документально представлена здесь. (Связанная политика: Мониторинг отсутствия Endpoint Protection в Центр безопасности Azure) |
Средняя |
Примечание.
В рекомендациях показан интервал обновления в 8 часов, но в некоторых сценариях он может значительно большим. Например, в случае удаления локального компьютера Центру безопасности Azure для выявления этого события потребуется 24 часа. И потребуется еще 8 часов, чтобы выполнить оценку информации, которую необходимо вернуть. Таким образом, в данном конкретном случае для удаления компьютера из списка затронутых ресурсов может потребоваться 32 часа.
Встроенные средства устранения неполадок и руководство по решению распространенных проблем
Новая, выделенная область страниц Центра безопасности на портале Microsoft Azure содержит упорядоченный, постоянно увеличивающийся набор материалов для самостоятельного решения проблем с Центром безопасности и Azure Defender.
Если у вас возникла проблема или вы хотите получить совет от нашей группы поддержки, попробуйте найти решение с помощью инструмента Диагностика и устранение неполадок.
Отчеты аудита Azure для панели мониторинга соответствия нормативным требованиям, выпущенные для общедоступной версии (GA)
На панели инструментов панели мониторинга соответствия нормативным требованиям доступны отчеты о сертификатах Azure и Dynamics по стандартам, применяемым к подпискам.
Можно выбрать вкладку для соответствующих типов отчетов (PCI, SOC, ISO и др.) и использовать фильтры для поиска нужных отчетов.
Дополнительные сведения см. в разделе Создание отчетов о состоянии соответствия и сертификатов.
Игнорирование рекомендации "На ваших компьютерах необходимо устранить проблемы работоспособности агента анализа журналов Log Analytics"
Мы обнаружили, что рекомендация На ваших компьютерах должны быть решены проблемы работоспособности агента анализа журналов Log Analytics влияет на оценку безопасности таким образом, что это не согласуется с фокусом Управления состоянием безопасности облака (CPSM) Центра безопасности. Как правило, CSPM относится к выявлению нетипичных конфигураций безопасности. Проблемы работоспособности агентов не попадают в эту категорию.
Кроме того, рекомендация является отклонением при сравнении с другими агентами, связанными с Центром безопасности: это единственный агент с рекомендацией, относящейся к проблемам работоспособности.
Рекомендация не рекомендуется.
В связи с этим мы также внесли незначительные изменения в рекомендации по установке агента Log Analytics ("Агент Log Analytics должен быть установлен на…").
Скорее всего, это изменение повлияет на ваши оценки безопасности. Мы предполагаем, что для большинства подписок оно приведет к повышению оценки, но в определенных обстоятельствах такие изменения в рекомендациях по установке могут привести и к их снижению.
Совет
Это изменение также повлияет на страницу Инвентаризация активов, поскольку на ней отображается статус отслеживания компьютера: отслеживается, не отслеживается, частично отслеживается (состояние, относящееся к агенту с проблемами работоспособности).
Azure Defender для реестров контейнеров проверяет наличие уязвимостей в реестре, защищенных с помощью службы "Приватный канал Azure"
В инструмент Azure Defender для реестров контейнеров входит сканер уязвимостей для проверки образов в службе "Реестр контейнеров Azure". Узнайте, как проверить свои реестры и исправить результаты в статье Использование Azure Defender для реестров контейнеров для проверки уязвимости образов.
Чтобы ограничить доступ к реестру, размещенному в реестре контейнеров Azure, присвойте частные IP-адреса виртуальной сети конечным точкам реестра и воспользуйтесь службой "Приватный канал Azure", как описано в разделе Закрытое подключение к реестру контейнеров Azure с помощью приватного канала.
Мы постоянно стремимся обеспечить поддержку дополнительных сред и вариантов использования, поэтому Azure Defender теперь также сканирует реестры контейнеров, защищенные с помощью Приватного канала Azure.
Центр безопасности теперь может автоматически подготовить расширение гостевой конфигурации Политика Azure (в предварительной версии)
Политика Azure может выполнять аудит параметров на компьютере как для компьютеров, работающих в Azure, так и для компьютеров, подключенных к Arc. Проверка выполняется с помощью расширения гостевой конфигурации и клиента. Подробнее см. в статье Общие сведения о гостевой конфигурации службы "Политика Azure"
После этого обновления в Центре безопасности можно настраивать автоматическую подготовку этого расширения на всех поддерживаемых компьютерах.
Дополнительные сведения о том, как работает автопроизвидение, см. в разделе "Настройка автоматической подготовки для агентов и расширений".
Рекомендации по включению планов Azure Defender теперь поддерживают вариант "Применить"
В Центре безопасности Azure реализованы две возможности для безопасной подготовки создаваемых ресурсов: применить и отклонить. Если в рекомендацию включены такие варианты, то при каждой попытке создать ресурс вы сможете обеспечить соблюдение требований безопасности:
- Отклонить: прекращает создание неработоспособных ресурсов
- Применить: автоматическое исправление ресурсов, не соответствующих требованиям, при их создании
В рамках этого обновления вариант "Применить" теперь доступен в рекомендациях по включению планов Azure Defender (например, должны быть включеныAzure Defender для Службы приложений Azure, Azure Defender для Key Vault и Azure Defender для службы хранилища).
Подробнее об этих возможностях см. раздел Предотвращение ошибок конфигурации с помощью рекомендаций о применении и отклонении.
Экспорт данных рекомендаций в CSV-файл теперь ограничен 20 МБ
Мы установили ограничение в 20 МБ для экспорта данных рекомендаций Центра безопасности Azure.
Если необходимо экспортировать большие объемы данных, используйте фильтры перед выбором или выбирайте подмножества подписок и скачивайте данные пакетами.
Узнайте больше об экспорте рекомендаций по безопасности в формате CSV.
Страница рекомендаций теперь состоит из нескольких представлений
На странице рекомендаций теперь есть две вкладки, которые обеспечивают разные возможности просмотра рекомендаций для ваших ресурсов:
- Рекомендации по безопасной оценке. Используйте эту вкладку для просмотра списка рекомендаций, сгруппированных по элементам управления безопасностью. Подробнее об этих элементах управления см. в разделе Элементы управления безопасностью и рекомендации по ним.
- Все рекомендации. Используйте эту вкладку для просмотра списка рекомендаций в неструктурированном виде. На этой вкладке также можно четко определить, что является основанием для создания рекомендации (в том числе стандарты нормативного соответствия). Подробнее об инициативах и том, как они связаны с рекомендациями, см. в разделе Что собой представляют политики безопасности, а также инициативы и рекомендации по ее обеспечению?
Июль 2021
В июле добавлены следующие обновления:
- В соединитель Sentinel Azure теперь включена необязательная синхронизация двунаправленных оповещений (в предварительной версии)
- Логическая реорганизация Azure Defender для оповещений Resource Manager
- Дополнения к рекомендации по включению службы "Шифрование дисков Azure" (ADE)
- Функция непрерывного экспорта данных об оценке безопасности и соответствии нормативным требованиям, выпущенных для общедоступной версии (GA)
- Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (общедоступная версия, GA)
- Поля "FirstEvaluationDate" и "StatusChangeDate" программного интерфейса оценки теперь доступны в схемах рабочей области и приложениях логики
- В коллекцию книг Azure Monitor добавлен шаблон книги "Соответствие требованиям в долгосрочной перспективе"
В соединитель Sentinel Azure теперь включена необязательная синхронизация двунаправленных оповещений (в предварительной версии)
Центр безопасности изначально интегрирован с Azure Sentinel, облачным решением SIEM и SOAR от Azure.
В состав Azure Sentinel входят встроенные соединители для Центра безопасности Azure на уровнях подписки и арендатора. Подробнее см. раздел Потоковая передача оповещений в Azure Sentinel.
При подключении Azure Defender к Azure Sentinel состояние оповещений Azure Defender, принимаемых в Azure Sentinel, синхронизируется между этими двумя службами. Например, если оповещение закрывается в Azure Defender, оно также отображается как закрытое в Azure Sentinel. Изменение состояния синхронизированного оповещения в Azure Defender не приведет* к изменению состояния содержащих его инцидентов Azure Sentinel (меняется только состояние самого оповещения).
При включении двухнаправленной синхронизации оповещений предварительной версии автоматически синхронизируется состояние исходных оповещений Azure Defender с инцидентами Azure Sentinel, содержащими копии этих оповещений Azure Defender. Например, если вы закрыли инцидент Azure Sentinel, содержащий оповещение Azure Defender, Azure Defender автоматически закроет соответствующее исходное оповещение.
Дополнительные сведения см. в статье Подключение оповещений Azure Defender из Центра безопасности Azure.
Логическая реорганизация Azure Defender для оповещений Resource Manager
Приведенные ниже оповещения в настоящее время были предоставлены в рамках плана Azure Defender для Resource Manager.
В рамках логической реорганизации части планов Azure Defender мы перенесли некоторые оповещения из плана Azure Defender для Resource Manager в план Azure Defender для серверов.
Оповещения упорядочивают в соответствии с двумя основными принципами:
- Оповещения, которые обеспечивают защиту на уровне управления (для различных типов ресурсов Azure), входят в план "Azure Defender для Resource Manager".
- Оповещения, которые обеспечивают защиту определенных рабочих нагрузок, входят в план Azure Defender, связанный с соответствующей рабочей нагрузкой.
Ниже приведены оповещения, которые входили в план "Azure Defender для Resource Manager" и которые в результате этого изменения теперь включены в план "Azure Defender для серверов":
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Узнайте больше о планах Azure Defender для Resource Manager и Azure Defender для серверов.
Дополнения к рекомендации по включению службы "Шифрование дисков Azure" (ADE)
После получения отзывов пользователей мы переименовали рекомендацию На виртуальных машинах следует применять шифрование дисков.
В новой рекомендации под названием На виртуальных машинах следует шифровать временные диски, кэш и потоки данных между ресурсами службы вычислений и службы хранилища Azure используется тот же идентификатор оценки.
Кроме того, обновлено описание, чтобы лучше разъяснить цель этой рекомендации по усилению защиты:
| Рекомендация | Description | Серьезность |
|---|---|---|
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию операционная система и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски и кэш данных не шифруются, а также не шифруются данные при потоковой передаче между ресурсами вычислений и хранилища. Дополнительные сведения см. в статье о сравнении различных технологий шифрования дисков в Azure. Используйте службу "Шифрование дисков Azure" для шифрования всех этих данных. Игнорируйте эту рекомендацию в следующих случаях: (1) если вы используете функцию шифрования на узле; (2) если шифрование на стороне сервера на управляемых дисках соответствует требованиям к безопасности. Дополнительные сведения см. в разделе Шифрование хранилища дисков Azure на стороне сервера. |
Высокая |
Функция непрерывного экспорта данных об оценке безопасности и соответствии нормативным требованиям, выпущенных для общедоступной версии (GA)
Функция непрерывного экспорта представляет собой механизм для экспорта оповещений системы безопасности и рекомендаций для отслеживания с помощью других средств мониторинга в данной среде.
Для настройки функции непрерывного экспорта укажите, какие элементы необходимо экспортировать, и адресата. Дополнительные сведения см. в обзоре по непрерывному экспорту.
Все это время мы улучшали и расширяли эту функцию:
В ноябре 2020 г. мы ввели предварительные версии, чтобы оперативно изменять вашу оценку безопасности.
Полную информацию см. в статье Оценка безопасности теперь доступна для непрерывного экспорта (предварительная версия).В декабре 2020 г. мы ввели предварительную версию, чтобы оперативно изменять данные оценки соответствия требованиям.
Полную информацию см. в статье Непрерывный экспорт — новые типы данных (предварительная версия).
В этом обновлении эти две опции включены в общедоступную версию (GA).
Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (общедоступная версия, GA)
В феврале 2021 г. мы дополнили предварительную версию третьим типом данных для параметров триггера для автоматизации ваших рабочих процессов: изменения в оценке соответствия нормативным требованиям. Дополнительные сведения приведены в разделе Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям.
В этом обновлении этот параметр триггера выпущен для общедоступной версии (GA).
Сведения о том, как использовать средства автоматизации рабочих процессов, см. в статье Автоматизация реагирования на триггеры Центра безопасности.
Поля "FirstEvaluationDate" и "StatusChangeDate" программного интерфейса оценки теперь доступны в схемах рабочей области и приложениях логики
В мае 2021 г. мы обновили программный интерфейс оценки, добавив два новых поля: FirstEvaluationDate и StatusChangeDate. Более полная информация приведена в разделе Программный интерфейс оценки дополнен двумя новыми полями.
Эти поля были доступны с помощью интерфейса REST API, Azure Resource Graph, функции непрерывного экспорта и в CSV-файлах экспорта.
После этого изменения данные станут доступны в схеме рабочей области Log Analytics и в приложениях логики.
В коллекцию книг Azure Monitor добавлен шаблон книги "Соответствие требованиям в долгосрочной перспективе"
В марте мы объявили о внедрении книг Azure Monitor в Центр безопасности Azure (см. статью Книги Azure Monitor интегрированы в Центр безопасности Azure и предоставлено три шаблона).
В первоначальный выпуск вошло три шаблона для создания динамических и визуальных отчетов о состоянии безопасности вашей организации.
Теперь мы добавили книгу, предназначенную для отслеживания соответствия подписок действующим нормативным требованиям или отраслевым стандартам.
Сведения об использовании этих отчетов или создании собственных см. в статье Создание интерактивных отчетов на основе данных Центра безопасности Azure.
Июнь 2021 года
В июне добавлены следующие обновления:
- Новое оповещение Azure Defender для Key Vault
- Рекомендации о шифровании данных с использованием ключей, управляемых клиентом (CMK), отключены по умолчанию
- Префикс оповещений Kubernetes поменялся с "AKS_" на "K8S_"
- Две рекомендации из элемента управления безопасностью "Применить обновления системы" объявлены устаревшими
Новое оповещение Azure Defender для Key Vault
Чтобы расширить защиту от угроз, предоставляемую Azure Defender для Key Vault, мы добавили следующее оповещение:
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| Доступ с подозрительного IP-адреса к хранилищу ключей (KV_SuspiciousIPAccess) |
К хранилищу ключей был успешно осуществлен доступ по IP-адресу, который был идентифицирован Microsoft Threat Intelligence как подозрительный IP-адрес. Это может указывать на то, что ваша инфраструктура была скомпрометирована. Рекомендуем провести дополнительное исследование. Подробнее о возможностях Microsoft Threat Intelligence. | Доступ к четным данным | Средняя |
Дополнительные сведения см. в разделе:
- Общие сведения о Azure Defender для Key Vault
- Реагирование на оповещения Azure Defender для Key Vault
- Список оповещений, предоставляемых Azure Defender для Key Vault
Рекомендации о шифровании данных с использованием ключей, управляемых клиентом (CMK), отключены по умолчанию
В Центре безопасности есть несколько рекомендаций шифровать неактивные данные с помощью управляемых клиентом ключей, например:
- В реестрах контейнеров должно использоваться шифрование с помощью ключа, управляемого клиентом (CMK)
- Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных
- Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом (CMK)
Данные в Azure шифруются автоматически с использованием ключей, управляемых платформой, поэтому применять управляемые клиентом ключи следует только в том случае, если этого требует конкретная политика, соблюдение которой ваша организация решила обеспечивать.
В результате этого изменения рекомендации об использовании ключей CMK отключены по умолчанию. Если они все же уместны для вашей организации, их можно включить, поменяв значение параметра Effect соответствующей политики безопасности на AuditIfNotExists или Enforce. Дополнительные сведения см. в разделе "Включение рекомендации по безопасности".
Это изменение отражено в именах рекомендаций: они предваряются новым префиксом [Включить, если обязательно], как показано в следующих примерах:
- [Включить, если обязательно] Учетные записи хранения должны использовать для шифрования неактивных данных ключ, управляемый клиентом
- [Включить, если необходимо] В реестрах контейнеров должно использоваться шифрование с помощью ключа, управляемого клиентом (CMK)
- [Включить, если необходимо] Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных
Префикс оповещений Kubernetes поменялся с "AKS_" на "K8S_"
С недавних пор Azure Defender для Kubernetes защищает также кластеры Kubernetes, размещенные локально и в многооблачных средах. Дополнительные сведения см. в разделе Использование Azure Defender для Kubernetes для защиты гибридных и многооблачных развертываний Kubernetes (предварительная версия).
Чтобы отразить тот факт, что оповещения системы безопасности, предоставляемые Azure Defender для Kubernetes, больше не ограничены кластерами в Служба Azure Kubernetes, мы изменили префикс для типов оповещений с "AKS_" на "K8S_". При необходимости имена и описания также были обновлены. Примером может служить следующее предупреждение:
| Оповещение (тип оповещения) | Description |
|---|---|
| Обнаружено средство тестирования на проникновение Kubernetes (AKS_PenTestToolsKubeHunter) |
В ходе анализа журнала аудита Kubernetes обнаружено использование средства тестирования на проникновение Kubernetes в кластере AKS. Хотя такое поведение может быть допустимым, злоумышленники могут использовать такие общедоступные средства для вредоносных целей. |
Изменено на это оповещение:
| Оповещение (тип оповещения) | Description |
|---|---|
| Обнаружено средство тестирования на проникновение Kubernetes (K8S_PenTestToolsKubeHunter) |
В ходе анализа журнала аудита Kubernetes обнаружено использование средства тестирования на проникновение Kubernetes в кластере Kubernetes. Хотя такое поведение может быть допустимым, злоумышленники могут использовать такие общедоступные средства для вредоносных целей. |
Все правила подавления, которые ссылаются на предупреждения, начинающиеся с "AKS_", были автоматически преобразованы. Если вы настроили экспорт из SIEM или пользовательские скрипты автоматизации, которые ссылаются на оповещения Kubernetes по типам оповещений, необходимо обновить в них соответствующие типы оповещений.
Полный список оповещений Kubernetes см. в разделе "Оповещения для контейнеров — кластеры Kubernetes" статьи "Оповещения системы безопасности — справочное руководство".
Две рекомендации из элемента управления безопасностью "Применить обновления системы" объявлены устаревшими
Объявлены устаревшими следующие две рекомендации:
- Необходимо обновить версию ОС для ролей облачной службы. По умолчанию Azure периодически обновляет гостевые ОС до последнего поддерживаемого образа в семействе ОС, который вы указали в конфигурации службы (CSCFG-файл), например Windows Server 2016.
- Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями. Эти оценки рекомендации применяются не так широко, как хотелось бы. Мы планируем заменить эту рекомендацию улучшенной версией, которая лучше соответствует вашим потребностям в области безопасности.
2021 мая
В мае добавлены следующие обновления:
- Вышли общедоступные версии Azure Defender для DNS и Azure Defender для Resource Manager
- Вышла общедоступная версия Azure Defender для реляционных баз данных с открытым кодом
- Новые оповещения Azure Defender для Resource Manager
- Сканирование образов контейнеров на уязвимости в ходе CI/CD с помощью рабочих процессов GitHub и Azure Defender (предварительная версия)
- Для некоторых рекомендаций доступны дополнительные запросы к Resource Graph
- Изменена степень серьезности рекомендации по классификации данных SQL
- Новые рекомендации по включению возможностей доверенного запуска (предварительная версия)
- Новые рекомендации по усилению защиты кластеров Kubernetes (предварительная версия)
- В API Оценок появилось два новых поля
- На страницу инвентаризации активов добавлен фильтр по облачной среде
Вышли общедоступные версии Azure Defender для DNS и Azure Defender для Resource Manager
Эти два ориентированных на облако плана защиты от угроз стали теперь общедоступными.
Эти новые возможности защиты значительно улучшают устойчивость к атакам со стороны субъектов угроз и существенно увеличивают число ресурсов Azure, защищенных с помощью Azure Defender.
Azure Defender для Resource Manager автоматически отслеживает все операции управления ресурсами, выполняемые в организации. Дополнительные сведения см. в разделе:
Azure Defender для DNS постоянно отслеживает все запросы DNS из ресурсов Azure. Дополнительные сведения см. в разделе:
Чтобы включить эти планы было проще, учтите следующие рекомендации:
- Azure Defender для Resource Manager должен быть включен
- Azure Defender для DNS должен быть включен
Примечание.
Включение планов Azure Defender является платной услугой. Подробно о ценах для каждого региона см. на странице цен Центра безопасности.
Вышла общедоступная версия Azure Defender для реляционных баз данных с открытым кодом
С выходом нового пакета для защиты реляционных баз данных с открытым кодом расширился круг баз данных SQL, защищаемых Центром безопасности Azure:
- Azure Defender для серверов базы данных SQL Azure — защищает собственные серверы SQL Server Azure
- Azure Defender для серверов SQL на компьютерах — расширяет действие такой защиты на серверы SQL в гибридных, многооблачных и локальных средах
- Azure Defender для реляционных баз данных с открытым кодом защищает Базы данных Azure для MySQL, PostgreSQL и MariaDB, размещенные на отдельных серверах
Azure Defender для реляционных баз данных с открытым кодом постоянно отслеживает серверы на предмет угроз безопасности и обнаруживает аномальные действия с базами данных, указывающие на потенциальные угрозы Базам данных Azure для MySQL, PostgreSQL и MariaDB. Некоторые примеры:
- Детализированное обнаружение атак методом подбора. Azure Defender для реляционных баз данных с открытым кодом предоставляет подробные сведения о попытках атаки и успешных атаках методом подбора. Это позволяет исследовать происходящее и получить более полное представление о характере и состоянии атаки на вашу среду, чтобы затем принять адекватные меры.
- Обнаружение посредством оповещений о поведении. Azure Defender для реляционных баз данных с открытым кодом выдает оповещения о подозрительном и непредвиденном поведении на серверах — например, изменении обычного характера доступа к базе данных.
- Обнаружение по данным аналитики угроз. Azure Defender выдает оповещения об угрозах на основе аналитики угроз и обширной базы знаний корпорации Майкрософт, чтобы вы могли принять соответствующие меры противодействия.
Подробнее см. в статье "Общие сведения об Azure Defender для реляционных баз данных с открытым кодом".
Новые оповещения Azure Defender для Resource Manager
Чтобы расширить защиту от угроз, предоставляемую Azure Defender для Resource Manager, мы добавили следующие оповещения:
| Оповещение (тип оповещения) | Description | Тактика MITRE | Важность |
|---|---|---|---|
| Роли RBAC в вашей среде Azure предоставлены разрешения необычным способом (предварительная версия) (ARM_AnomalousRBACRoleAssignment) |
Служба Azure Defender для Resource Manager обнаружила назначение роли RBAC, которое необычно по сравнению с другими назначениями, выполняемыми тем же назначающим (или для одного и того же уполномоченного) в вашем клиенте из-за следующих аномалий: время назначения, расположение назначающего, назначающий, метод проверки подлинности, назначенные сущности, используемое клиентское программное обеспечение, область назначения. Эта операция могла быть выполнена уполномоченным пользователем в вашей организации. В качестве альтернативы это может указывать на то, что учетная запись в вашей организации была взломана, и что злоумышленник пытается предоставить разрешения дополнительной учетной записи пользователя, которой он владеет. | Горизонтальное перемещение, обход защиты | Средняя |
| Привилегированная пользовательская роль, созданная для вашей подписки подозрительным образом (предварительная версия) (ARM_PrivilegedRoleDefinitionCreation) |
Служба Azure Defender Azure для Resource Manager обнаружил подозрительное создание определения привилегированной настраиваемой роли в вашей подписке. Эта операция могла быть выполнена уполномоченным пользователем в вашей организации. В качестве альтернативы это может указывать на то, что учетная запись в вашей организации была взломана, и что злоумышленник пытается создать привилегированную роль для использования в будущем, чтобы избежать обнаружения. | Горизонтальное перемещение, обход защиты | Низкая |
| Выполнение операции Azure Resource Manager с подозрительного IP-адреса (предварительная версия) (ARM_OperationFromSuspiciousIP) |
Защитник Azure для Resource Manager обнаружил операцию с IP-адреса, который был помечен как подозрительный в каналах аналитики угроз. | Выполнение | Средняя |
| Операция Azure Resource Manager с подозрительного IP-адреса прокси-сервера (предварительная версия) (ARM_OperationFromSuspiciousProxyIP) |
Защитник Azure для Resource Manager обнаружил операцию управления ресурсами с IP-адреса, связанного с прокси-службами, такими как TOR. Хотя подобный алгоритм поведения может быть обоснованным, зачастую он проявляется в злонамеренных действиях, когда злоумышленники пытаются скрыть свой исходный IP-адрес. | Уклонение от защиты | Средняя |
Дополнительные сведения см. в разделе:
- Общие сведения об Azure Defender для Resource Manager
- Реагирование на оповещения Azure Defender для Resource Manager
- Список оповещений Azure Defender для Resource Manager
Сканирование образов контейнеров на уязвимости в ходе CI/CD с помощью рабочих процессов GitHub и Azure Defender (предварительная версия)
Azure Defender для реестров контейнеров теперь предоставляет командам DevSecOps возможность наблюдения за рабочими процессами выполнения действий GitHub.
Новая функция сканирования уязвимостей для образов контейнеров, использующая Trivy, помогает проверять распространенные уязвимости в образах контейнеров перед отправкой образов в реестры контейнеров.
Краткие отчеты о сканировании контейнеров отображаются в Центре безопасности Azure. Они помогут группам безопасности лучше разобраться в том, откуда — в частности, из каких рабочих процессов и репозиториев — поступают уязвимые образы контейнеров.
Дополнительные сведения см. в статье "Обнаружение уязвимых образов контейнеров в ходе рабочих процессов CI/CD".
Для некоторых рекомендаций доступны дополнительные запросы к Resource Graph
Все рекомендации Центра безопасности позволяют просматривать сведения о состоянии затронутых ресурсов с помощью Azure Resource Graph путем открытия соответствующего запроса. Подробные сведения об этой функциональной возможности см. в разделе "Просмотр данных о рекомендациях в обозревателе Azure Resource Graph (ARG)" статьи "Просмотр рекомендаций по безопасности".
В Центре безопасности имеются встроенные сканеры уязвимостей, позволяющие проверять виртуальные машины, серверы SQL, их узлы и реестры контейнеров на уязвимости в системе безопасности. Результаты проверки возвращаются в виде рекомендаций, в которых собраны в единое представление все результаты по каждому типу ресурсов. Вот эти рекомендации:
- Должны быть исправлены уязвимости в образах реестра контейнеров Azure (на платформе Qualys)
- Должны быть устранены уязвимости на ваших виртуальных машинах.
- Уязвимости, обнаруженные в базах данных SQL, должны быть устранены
- Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены
После этого изменения кнопка Открыть запрос позволяет также открыть запрос, возвращающий результаты проверки безопасности.
Там, где это уместно, кнопка Открыть запрос обеспечивает доступ к дополнительным вариантам запросов, относящихся к некоторым другим рекомендациям.
Дополнительные сведения о сканерах уязвимостей в Центре безопасности:
- Интегрированный в Azure Defender сканер уязвимостей Qualys для компьютеров Azure и гибридных компьютеров
- Сканирование серверов SQL на уязвимости
- Сканирование хранящихся в реестре образов контейнеров на уязвимости с помощью Azure Defender
Изменена степень серьезности рекомендации по классификации данных SQL
Серьезность рекомендаций, конфиденциальных данных в базах данных SQL, должна быть классифицирована с высокой на низкую.
Это часть текущих изменений в этой рекомендации, о которых мы объявили на странице предстоящих изменений.
Новые рекомендации по включению возможностей доверенного запуска (предварительная версия)
Azure предлагает доверенный запуск как простой способ повышения безопасности виртуальных машин 2-го поколения. Доверенный запуск защищает от сложных и постоянных атак. Доверенный запуск состоит из нескольких скоординированных инфраструктурных технологий, которые можно активировать независимо. Каждая технология обеспечивает следующий уровень защиты от сложных угроз. Дополнительные сведения см. в статье Доверенный запуск виртуальных машин Azure.
Внимание
Для доверенного запуска требуется создание новых виртуальных машин. Доверенный запуск невозможно активировать на существующих виртуальных машинах, которые изначально были созданы без него.
В настоящее время доверенный запуск предлагается в общедоступной предварительной версии. Эта предварительная версия предлагается без соглашения об уровне обслуживания и не рекомендована для использования в рабочей среде. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены.
Рекомендация Центра безопасности "На поддерживаемых виртуальных машинах должен быть включен vTPM" призвана обеспечить использование vTPM с виртуальными машинами Azure. Эта виртуализированная версия аппаратного доверенного платформенного модуля (TPM) предоставляет возможность аттестации путем измерения всей цепочки загрузки виртуальной машины (UEFI, ОС, системы и драйверов).
Когда модуль vTPM включен, расширение аттестации гостей может удаленно проверить безопасную загрузку. Развертывание этого расширения предписывается следующими рекомендациями:
- На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка
- На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей
- Расширение аттестации гостей должно быть установлено в поддерживаемых windows Масштабируемые наборы виртуальных машин
- На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей
- Расширение аттестации гостей должно быть установлено в поддерживаемых Масштабируемые наборы виртуальных машин Linux
Дополнительные сведения см. в статье Доверенный запуск виртуальных машин Azure.
Новые рекомендации по усилению защиты кластеров Kubernetes (предварительная версия)
Ниже приведены рекомендации по дополнительной защите кластеров Kubernetes.
- В кластерах Kubernetes не должно использоваться пространство имен по умолчанию. Запретите использовать пространство имен по умолчанию в кластерах Kubernetes, чтобы защитить ресурсы типов ConfigMap, Pod, Secret, Service и ServiceAccount от несанкционированного доступа.
- В кластерах Kubernetes должны быть отключены учетные данные API для автоподключения. Чтобы предотвратить выполнение скомпрометированным ресурсом типа Pod команд API, воздействующих на кластеры Kubernetes, отключите учетные данные API для автоподключения.
- Кластеры Kubernetes не должны предоставлять функции безопасности CAPSYSADMIN
О том, как Центр безопасности может защитить контейнерные среды, см. в статье "Защита контейнеров в Центре безопасности".
В API Оценок появилось два новых поля
В REST API Оценок были добавлены следующие два поля:
- FirstEvaluationDate — время создания и первой оценки рекомендации. Возвращается как время в формате UTC согласно стандарту ISO 8601.
- StatusChangeDate — время последнего изменения состояния рекомендации. Возвращается как время в формате UTC согласно стандарту ISO 8601.
Начальное значение этих полей по умолчанию для всех рекомендаций — 2021-03-14T00:00:00+0000000Z.
Для доступа к этим сведениям можно использовать любой из методов, приведенных в таблице ниже.
| Средство | Сведения |
|---|---|
| Вызов REST API | GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates |
| Azure Resource Graph | securityresourceswhere type == "microsoft.security/assessments" |
| Непрерывный экспорт | Два выделенных поля будут доступны как данные рабочей области Log Analytics |
| Экспорт CSV | Эти два поля включаются в CSV-файлы |
Дополнительные сведения о REST API Оценок см. на этой странице.
На страницу инвентаризации активов добавлен фильтр по облачной среде
На странице инвентаризации активов Центра безопасности имеется множество фильтров для быстрого уточнения отображаемого списка ресурсов. См. сведения об изучении ресурсов и управлении ими с помощью инвентаризации ресурсов.
Новый фильтр позволяет уточнить список в соответствии с облачными учетными записями, которые вы подключили к функциям для многооблачных сред Центра безопасности:
Дополнительные сведения о функциях для многооблачных сред:
- Подключение учетных записей AWS к Центру безопасности Azure
- Подключение проектов GCP к Центру безопасности Azure
Апрель 2021 г.
В апреле добавлены следующие обновления:
- Обновлена страница работоспособности ресурса (предварительная версия)
- Недавно извлеченные образы реестра контейнеров теперь повторно сканируются еженедельно (выпущено в общедоступной версии, GA)
- Использование Azure Defender для Kubernetes для защиты гибридных и многооблачных развертываний Kubernetes (предварительная версия)
- Интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows 10 (выпущено в общедоступной версии)
- Рекомендации по включению Azure Defender для DNS и Resource Manager (предварительная версия)
- Добавлены три нормативных стандарта соответствия требованиям: Azure CIS 1.3.0, CMMC уровня 3 и New Zealand ISM Restricted
- Четыре новые рекомендации, связанные с гостевой конфигурацией (предварительная версия)
- Рекомендации по использованию CMK перемещены в рекомендации по управлению безопасностью
- Одиннадцать оповещений Azure Defender устарели
- Две рекомендации из элемента управления безопасностью "Apply system updates" (Применить обновления системы) объявлены нерекомендуемыми
- Фрагмент Azure Defender для SQL на компьютере удален с панели мониторинга Azure Defender
- Рекомендации были перемещены между элементами управления безопасностью
Обновлена страница работоспособности ресурса (предварительная версия)
Работоспособность ресурсов была расширена, улучшена и улучшена, чтобы обеспечить представление моментального снимка общего состояния одного ресурса.
Там можно просмотреть подробные сведения о нем и все связанные с ним рекомендации. Кроме того, если вы используете расширенные планы защиты Microsoft Defender, вы также будете видеть текущие оповещения системы безопасности для этого ресурса.
Чтобы открыть страницу работоспособности того или иного ресурса, выберите этот ресурс на странице инвентаризации активов.
На предварительной версии этой страницы в Центре безопасности отображается следующее:
- Сведения о ресурсах — группа ресурсов и подписка, к которым она подключена, географическое расположение и многое другое.
- Примененная функция безопасности: указывает, включен ли для ресурса Azure Defender.
- Количество активных рекомендаций и оповещений: число активных рекомендаций по безопасности и оповещений Azure Defender.
- Практические рекомендации и оповещения: на двух вкладках приведены рекомендации и оповещения, относящиеся к данному ресурсу.
Дополнительные сведения см. здесь: "Учебник: анализ работоспособности ресурсов".
Недавно извлеченные образы реестра контейнеров теперь повторно сканируются еженедельно (выпущено в общедоступной версии)
Azure Defender для реестров контейнеров содержит встроенный сканер уязвимостей. Этот сканер сразу же проверяет все образы, которые вы отправляете в реестр или извлекали за последние 30 дней.
Новые уязвимости обнаруживаются ежедневно. В этом обновлении образы контейнеров, которые были извлечены из реестра в течение последних 30 дней, будут повторно сканироваться каждую неделю. Это гарантирует, что вновь обнаруженные уязвимости будут обнаружены в ваших образах.
Плата за сканирование взимается по количеству образов, поэтому дополнительная оплата за повторные сканирования отсутствует.
Дополнительные сведения об этом сканере см. в статье Использование Azure Defender для реестров контейнеров с целью проверки образов на наличие уязвимостей.
Использование Azure Defender для Kubernetes для защиты гибридных и многооблачных развертываний Kubernetes (предварительная версия)
Для Azure Defender для Kubernetes расширен функционал защиты кластеров. Это было включено путем интеграции с Kubernetes с поддержкой Azure Arc и ее новыми возможностями расширений.
Если вы включили Azure Arc в кластерах, отличных от Azure Kubernetes, новая рекомендация из Центр безопасности Azure предлагает развернуть агент Azure Defender для них только с несколькими щелчками мыши.
Используйте рекомендацию (В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Azure Defender) и расширение для защиты кластеров Kubernetes, развернутых в других поставщиках облачных служб, хотя и не в управляемых средах Kubernetes.
Эта комбинация возможностей Центра безопасности Azure, Azure Defender и Kubernetes с поддержкой Azure Arc обеспечивает следующее:
- Простая подготовка агента Azure Defender для незащищенных кластеров Kubernetes с поддержкой Azure Arc (вручную и в масштабе)
- Мониторинг агента Azure Defender и его состояния подготовки на портале Azure Arc
- Рекомендации по безопасности от Центра безопасности отображаются на новой странице "Безопасность" на портале Azure Arc
- Угрозы, обнаруженные Azure Defender, отображаются на новой странице "Безопасность" на портале Azure Arc
- Кластеры Kubernetes с поддержкой Azure Arc интегрированы в платформу и интерфейс Центра безопасности Azure.
Дополнительные сведения см. в статье Использование Azure Defender для Kubernetes в локальных и многооблачных кластерах Kubernetes.
Интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows 10 (выпущено в общедоступной версии)
Microsoft Defender для конечной точки — целостное облачное решение для обеспечения безопасности конечной точки. Оно предоставляет возможности контроля и оценки уязвимостей на основе рисков, а также возможности обнаружения конечных точек и реагирования. Полный список преимуществ использования Defender для конечной точки вместе с Центром безопасности Azure см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности: Microsoft Defender для конечной точки.
При включении Azure Defender для серверов под управлением Windows Server в этот план включается лицензия на Defender для конечной точки. Если вы уже включили Azure Defender для серверов и в вашей подписке есть серверы под управлением Windows Server 2019, они автоматически получат Defender для конечной точки с этим обновлением. Вам не потребуется выполнять вручную никаких действий.
Теперь добавлена поддержка Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows.
Примечание.
Если вы включаете Azure Defender для конечной точки на сервере под управлением Windows Server 2019, убедитесь, что он соответствует предварительным требованиям, описанным в разделе Активация интеграции Microsoft Defender для конечной точки.
Рекомендации по включению Azure Defender для DNS и Resource Manager (предварительная версия)
С целью упрощения процедуры включения Azure Defender для Resource Manager и Azure Defender для DNS, были добавлены две новые рекомендации:
- Служба Azure Defender для Resource Manager должен быть включен - служба Defender для Resource Manager автоматически отслеживает операции управления ресурсами в вашей организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях.
- Azure Defender для DNS должен быть включен - служба Defender для DNS предоставляет дополнительный уровень защиты ваших облачных ресурсов, непрерывно отслеживая все запросы DNS, исходящие с ваших ресурсов Azure. Azure Defender предупреждает вас о подозрительных действиях на уровне DNS.
Включение планов Azure Defender является платной услугой. Подробно о ценах для каждого региона см. на странице цен Центра безопасности.
Совет
Рекомендации предварительной версии не присваивают ресурсу состояние неработоспособного и не включаются в вычисления вашей оценки безопасности. По возможности их все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку. Дополнительные сведения о том, как реагировать на эти рекомендации, см. в статье Рекомендации по исправлению ошибок в Центре безопасности Azure.
Добавлены три нормативных стандарта соответствия требованиям: Azure CIS 1.3.0, CMMC уровня 3 и New Zealand ISM Restricted
Мы добавили три стандарта для использования с Центром безопасности Azure. С помощью панели мониторинга соответствия нормативам вы теперь можете отслеживать соответствие следующим стандартам:
Их можно назначить своим подпискам, как описано в разделе Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.
См. дополнительные сведения:
- Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям
- Руководство. Улучшение соответствия нормативным требованиям
- Часто задаваемые вопросы. Панель мониторинга соответствия нормативным требованиям
Четыре новые рекомендации, связанные с гостевой конфигурацией (предварительная версия)
Расширение гостевой конфигурации Azure отправляет отчеты в центр безопасности, чтобы обеспечить защиту параметров гостевых виртуальных машин. Расширение не требуется для серверов с поддержкой Arc, так как оно включено в агент Arc Connected Machine. Для расширения требуется управляемое системой удостоверение на компьютере.
Мы добавили в центр безопасности четыре новые рекомендации, чтобы максимально эффективно использовать это расширение.
В двух рекомендациях предлагается установить расширение и требуемое системой удостоверение.
- На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация"
- Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой
После установки и запуска расширение приступит к аудиту компьютеров, и вам будет предложено защитить такие параметры, как конфигурация операционной системы и параметры среды. Эти две рекомендации предложат вам защитить компьютеры Windows и Linux, как описано ниже.
- На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender
- При аутентификации на компьютерах Linux должны использоваться ключи SSH
Подробнее см. в статье Общие сведения о гостевой конфигурации службы "Политика Azure"
Рекомендации по использованию CMK перемещены в рекомендации по управлению безопасностью
В любой организации программа безопасности включает требования к шифрованию данных. По умолчанию данные пользователей Azure шифруются при хранении с помощью ключей, управляемых службой. Но для соответствия нормативным требованиям обычно нужно использовать ключи, управляемые клиентом, (CMK). Поддержка CMK позволяет шифровать данные с помощью ключа Azure Key Vault, который вы сами создаете и которым управляете. Вы получаете полный контроль над жизненным циклом ключа, включая его смену и управление им.
Элементы управления безопасностью в Центре безопасности Azure представляют собой логические группы родственных рекомендаций по безопасности, которые отражают уязвимые для атак области. Каждый элемент определяет максимальное количество баллов, которые вы сможете добавить к оценке безопасности, выполнив все рекомендации, перечисленные в этом элементе управления, для всех ресурсов. Элемент управления безопасностью Implement security best practices (Реализация рекомендаций по безопасности) стоит ноль баллов. Это означает, что рекомендации в этом элементе управления не влияют на оценку безопасности.
Перечисленные ниже рекомендации перемещены в элемент управления безопасностью Реализация рекомендаций по безопасности (Реализация рекомендаций по безопасности), чтобы лучше отражать их факультативный характер. Благодаря этому перемещению рекомендации оказались в наиболее подходящем элементе управления в соответствии с целями этих рекомендаций.
- Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных
- Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом (CMK)
- Учетные записи служб искусственного интеллекта Azure должны включать шифрование данных с помощью ключа, управляемого клиентом (CMK)
- В реестрах контейнеров должно использоваться шифрование с помощью ключа, управляемого клиентом (CMK)
- Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных
- Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных
- Учетные записи хранения должны использовать для шифрования ключ, управляемый клиентом (CMK)
Узнайте, какие рекомендации включает каждый элемент управления безопасностью, из раздела Элементы управления безопасностью и их рекомендации.
11 нерекомендуемых оповещений Azure Defender
11 перечисленных ниже предупреждений Azure Defender являются нерекомендуемыми.
Новые оповещения заменят эти два оповещения и обеспечат улучшенное покрытие:
AlertType AlertDisplayName ARM_MicroBurstDomainInfo PREVIEW – MicroBurst toolkit "Get-AzureDomainInfo" function run detected (Предварительная версия — обнаружено выполнение функции Get-AzureDomainInfo набора средств MicroBurst) ARM_MicroBurstRunbook PREVIEW – MicroBurst toolkit "Get-AzurePasswords" function run detected (Предварительная версия — обнаружено выполнение функции Get-AzurePasswords набора средств MicroBurst) Эти девять оповещений относятся к соединителю Защиты идентификации Azure Active Directory (IPC), который уже не поддерживается:
AlertType AlertDisplayName UnfamiliarLocation Необычные свойства входа AnonymousLogin Анонимный IP-адрес InfectedDeviceLogin IP-адрес, связанный с вредоносным ПО ImpossibleTravel Необычное перемещение MaliciousIP Вредоносный IP-адрес LeakedCredentials Утечка учетных данных PasswordSpray Распыление пароля LeakedCredentials Аналитика угроз Azure AD AADAI ИИ Azure AD Совет
Эти девять оповещений IPC никогда не входили в оповещения Центра безопасности. Они входят в состав соединителя Защиты идентификации Azure Active Directory (AAD IPC), который отправлял их в Центр безопасности. За последние два года единственными клиентами, которые видели эти оповещения, являются организации, которые настроили экспорт (от соединителя к ASC) в 2019 году или ранее. AAD IPC продолжает отображать их в собственных системах оповещений, и они до сих пор доступны в Azure Sentinel. Единственное изменение заключается в том, что они больше не отображаются в Центре безопасности.
Две рекомендации из элемента управления безопасностью "Apply system updates" (Применить обновления системы) объявлены нерекомендуемыми
Следующие две рекомендации объявлены нерекомендуемыми, что может незначительно повлиять на вашу оценку безопасности:
- Необходимо перезагрузить компьютеры для применения обновлений системы
- Необходимо установить агент наблюдения на ваших компьютерах. Эта рекомендация относится только к локальным компьютерам, а часть ее логики будет перенесена в другую рекомендацию: Проблемы с работоспособностью агента Log Analytics на ваших компьютерах должны быть устранены
Мы рекомендуем проверить конфигурацию непрерывного экспорта и автоматизации рабочих процессов и выяснить, включены ли в нее эти рекомендации. Кроме того, следует соответствующим образом обновить все панели мониторинга и другие средства мониторинга, которые могут использовать эти рекомендации.
Дополнительные сведения см. на странице со справочной информацией о рекомендациях по обеспечению безопасности.
Фрагмент Azure Defender для SQL на компьютере удален с панели мониторинга Azure Defender
Область охвата панели мониторинга Azure Defender включает фрагменты для соответствующих планов Azure Defender для вашей среды. С учетом наличия проблемы с отчетом о количестве защищенных и незащищенных ресурсов, мы решили временно удалить статус покрытия ресурсов для Azure Defender для SQL на машинах до тех пор, пока проблема не будет решена.
Рекомендации перемещены между элементами управления безопасностью
Следующие рекомендации перемещены в другой элемент управления безопасностью. Элементы управления безопасностью представляют собой логические группы связанных рекомендаций по безопасности, которые отражают уязвимые для атак области. Такое перемещение нужно для того, чтобы каждая из рекомендаций размещалась в наиболее подходящем элементе управления, в соответствии с ее задачами.
Узнайте, какие рекомендации включает каждый элемент управления безопасностью, из раздела Элементы управления безопасностью и их рекомендации.
| Рекомендация | Изменение и влияние |
|---|---|
| На серверах SQL Server должна быть включена оценка уязвимости В управляемых экземплярах SQL должна быть включена оценка уязвимостей Необходимо устранить уязвимости в базах данных SQL (новое). Уязвимости в базах данных SQL на виртуальных машинах должны быть устранены |
Переход из исправлений уязвимостей (стоит шесть очков) Для исправления конфигураций безопасности (стоит четыре пункта). В зависимости от конкретной среды эти рекомендации могут меньше влиять на оценку. |
| Подписке должно быть назначено несколько владельцев Необходимо включить шифрование для переменных учетной записи службы автоматизации Устройства Интернета вещей. Процесс Auditd прекратил отправку событий Устройства Интернета вещей. Сбой базовой проверки операционной системы Устройства Центра Интернета вещей. Требуется обновление комплекта шифров TLS Устройства Интернета вещей. Открытые порты на устройстве Устройства Интернета вещей. В одной из цепочек найдена нестрогая политика брандмауэра Устройства Интернета вещей. Во входной цепочке найдено нестрогое правило брандмауэра Устройства Интернета вещей. В выходной цепочке найдено нестрогое правило брандмауэра В Центре Интернета вещей должны быть включены журналы диагностики. Устройства Интернета вещей. Агент отправляет сообщения о недостаточной нагрузке Устройства Интернета вещей. Политика фильтра IP-адресов по умолчанию должна иметь значение "Запретить" Устройства Интернета вещей. Правило фильтрации IP-адресов — большой диапазон IP-адресов Устройства Интернета вещей. Необходимо изменить интервалы и размер сообщений агента Устройства Интернета вещей. Идентичные учетные данные для проверки подлинности Устройства Интернета вещей. Процесс Auditd прекратил отправку событий Устройства Интернета вещей. Базовая конфигурация операционной системы (ОС) должна быть исправлена |
Переносится в Реализация рекомендаций по безопасности. После перемещения в элемент управления "Реализация рекомендаций по безопасности", вес которого составляет ноль пунктов, рекомендация перестает влиять на оценку безопасности. |
Март 2021 г.
В марте добавлены следующие обновления:
- возможности управления Брандмауэром Azure интегрированы в Центр безопасности;
- средство оценки уязвимостей SQL теперь включает функцию "Отключить правило" (предварительная версия);
- книги Azure Monitor интегрированы в Центр безопасности, предоставлены три шаблона;
- панель мониторинга соответствия нормативным требованиям теперь включает отчеты об аудите Azure (предварительная версия);
- Данные рекомендаций можно просмотреть в Azure Resource Graph с помощью кнопки Explore in ARG (Обзор в ARG)
- обновлены политики для развертывания процедур автоматизации рабочих процессов.
- Данные двух устаревших рекомендаций больше не записываются непосредственно в журнал действий Azure
- Улучшения страницы рекомендаций
возможности управления Брандмауэром Azure интегрированы в Центр безопасности;
При входе в Центр безопасности Azure первым делом вы попадаете на страницу обзора.
На этой странице с интерактивной панелью мониторинга представлен комплексный обзор состояния безопасности рабочих нагрузок в гибридном облаке. Кроме того, здесь отображаются оповещения безопасности, сведения о покрытии и многое другое.
Мы интегрировали Диспетчер брандмауэра Azure в эту панель мониторинга, чтобы обеспечить комплексное представление о состоянии безопасности на основной странице. Теперь вы можете проверять состояние области действия Брандмауэра для всех сетей и централизованно управлять политиками брандмауэра Azure в самом Центре безопасности.
Дополнительные сведения об этой панели мониторинга см. в статье Страница обзора в Центре безопасности Azure.
средство оценки уязвимостей SQL теперь включает функцию "Отключить правило" (предварительная версия);
В Центре безопасности предоставляется встроенный сканер уязвимостей, который помогает обнаруживать, отслеживать и устранять потенциальные уязвимости баз данных. Результаты оценочной проверки содержат общие сведения о состоянии безопасности для компьютеров SQL и подробные сведения о результатах проверки безопасности.
Если правила вашей организации требуют игнорировать обнаруженную проблему, а не исправлять ее, вы можете исключить ее из результатов поиска. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.
Дополнительные сведения см. в разделе Отключение определенных результатов.
Книги Azure Monitor интегрированы в Центр безопасности, предоставлены три шаблона
На конференции Ignite Spring 2021 мы объявили об интеграции книг Azure Monitor с Центром безопасности.
Благодаря этой новой интеграции можно использовать готовые шаблоны, доступные в коллекции Центра безопасности Azure. С помощью шаблонов книг можно получить доступ к динамическим и визуальным отчетам и создавать их, чтобы отслеживать состояние безопасности организации. Кроме того, можно создавать новые книги на основе данных Центра безопасности или любых других данных поддерживаемых типов, а также быстро развертывать книги, предоставляемые сообществом Центра безопасности в GitHub.
Предоставляются три шаблона отчетов:
- Оценка безопасности за период времени — отслеживание результатов оценки по подпискам и изменений в рекомендациях для ресурсов.
- Обновления системы — просмотр отсутствующих обновлений для системы по ресурсам, ОС, уровню серьезности и другим параметрам.
- Результаты оценки уязвимостей — просмотр результатов проверок уязвимостей для ресурсов Azure.
Сведения об использовании этих отчетов или создании собственных см. в статье Создание интерактивных отчетов на основе данных Центра безопасности Azure.
Панель мониторинга соответствия нормативным требованиям теперь включает отчеты об аудите Azure (предварительная версия)
С помощью панели инструментов на панели мониторинга соответствия нормативным требованиям можно скачать отчеты о сертификации Azure и Dynamics.
Можно выбрать вкладку для соответствующих типов отчетов (PCI, SOC, ISO и др.) и использовать фильтры для поиска нужных отчетов.
Дополнительные сведения см. в статье Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.
Данные рекомендаций можно просмотреть в Azure Resource Graph с помощью кнопки Explore in ARG (Обзор в ARG)
На панели инструментов страниц со сведениями о рекомендациях теперь есть кнопка Explore in ARG (Обзор в ARG). С помощью этой кнопки можно открыть запрос к Azure Resource Graph, чтобы изучить и экспортировать данные рекомендаций, а также предоставить к ним общий доступ.
Azure Resource Graph (ARG) обеспечивает мгновенный доступ к сведениям о ресурсах в облачных средах с помощью надежных средств фильтрации, группировки и сортировки. Это быстрый и эффективный способ запросить сведения по подпискам Azure программно или с помощью портала Azure.
Узнайте больше об Azure Resource Graph (ARG).
Обновлены политики для развертывания процедур автоматизации рабочих процессов
Автоматизация корпоративных процессов мониторинга и реагирования на инциденты может значительно ускорить процессы изучения и устранения инцидентов безопасности.
Мы предоставляем в службе "Политика Azure" три политики DeployIfNotExist, которые позволяют создать и настроить процедуры автоматизации рабочих процессов для развертывания этих процедур в вашей организации.
| Goal | Политика | ИД политики |
|---|---|---|
| Автоматизация рабочих процессов для оповещений системы безопасности | Развертывание средств автоматизации рабочих процессов для оповещений Центра безопасности Azure | f1525828-9a90-4fcf-be48-268cdd02361e |
| Автоматизация рабочих процессов для рекомендаций системы безопасности | Развертывание средств автоматизации рабочих процессов для рекомендаций Центра безопасности Azure | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| Автоматизация рабочих процессов для изменения правил соответствия нормативным требованиям | Развертывание средств автоматизации рабочих процессов для соответствия нормативным требованиям Центра безопасности Azure | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
Обновлены две функции этих политик:
- При назначении политики остаются включенными принудительно.
- Теперь можно настроить эти политики и обновить любые параметры даже после развертывания политик. Например, можно добавить или изменить ключ оценки.
Начало работы с шаблонами автоматизации рабочих процессов.
Узнайте больше о том, как автоматизировать реагирование на триггеры Центра безопасности.
Данные двух устаревших рекомендаций больше не записываются непосредственно в журнал действий Azure
Центр безопасности передает данные практически для всех рекомендаций по безопасности в Помощник по Azure, который в свою очередь записывает их в журнал действий Azure.
Данные для двух рекомендаций одновременно записываются непосредственно в журнал действий Azure. После этого изменения Центр безопасности прекращает записывать данные для этих устаревших рекомендаций по безопасности непосредственно в журнал действий. Вместо этого мы экспортируем данные в Помощник по Azure, как и в случае с другими рекомендациями.
Две устаревшие рекомендации:
- Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах
- Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.
Доступ к сведениям об этих двух рекомендациях в категории рекомендаций типа TaskDiscovery в журнале действий больше не предоставляется.
Улучшения страницы рекомендаций
Мы выпустили улучшенную версию списка рекомендаций, чтобы обеспечить быстрый обзор большего количества информации.
Теперь на странице вы сможете найти:
- Максимальная оценка и текущий показатель для каждого элемента управления безопасностью.
- Значки заменяют теги, такие как Исправление и Предварительная версия.
- Новый столбец, в котором показана инициатива политики, связанная с каждой рекомендацией. Отображается, если параметр Group by controls (Группировать по элементам управления) отключен.
Дополнительные сведения см. в статье Рекомендации по безопасности в Центре безопасности Azure.
2021 февраля
В феврале добавлены следующие изменения:
- Выпущена общедоступная версия (GA) новой страницы оповещений системы безопасности на портале Azure
- Выпущена общедоступная версия (GA) рекомендаций по защите рабочих нагрузок Kubernetes
- Интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows(в предварительной версии)
- прямая ссылка на политику на странице сведений о рекомендации;
- Рекомендация по классификации данных SQL больше не влияет на оценку безопасности.
- автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (в предварительной версии);
- усовершенствования страницы "Инвентаризация активов".
Выпущена общедоступная версия (GA) новой страницы оповещений системы безопасности на портале Azure
Страница оповещений системы безопасности Центр безопасности Azure была изменена для предоставления:
- Улучшен интерфейс для рассмотрения оповещений. Список включает настраиваемые фильтры и параметры группирования, которые помогают скрыть избыточные оповещения и сосредоточиться на наиболее важных угрозах.
- В списки оповещений добавлена дополнительная информация, например сведения о тактиках из базы знаний MITRE ATT&ACK.
- Кнопка для создания примеров оповещений. Чтобы оценить возможности Azure Defender и протестировать конфигурацию оповещений (для интеграции SIEM, уведомлений по электронной почте и автоматизации рабочих процессов), можно создать примеры оповещений практически во всех планах Azure Defender.
- Согласованность с функциями для инцидентов в Azure Sentinel. Клиентам, использующим оба продукта, стало удобнее переключаться между ними, а также стал проще обмен данными между этими продуктами.
- Улучшена производительность при работе с большими списками оповещений.
- Добавлена навигация по списку оповещений с помощью клавиатуры.
- Оповещения из Azure Resource Graph. Вы можете запросить оповещения из Azure Resource Graph (работающий по принципу Kusto API) для всех ваших ресурсов. Это также удобно, если вы создаете собственные панели мониторинга для оповещений. Узнайте больше об Azure Resource Graph.
- Функция создания примеров оповещений. Сведения о том, как создать примеры оповещений в новом интерфейсе, см. в разделе Создание примеров оповещений Azure Defender.
Выпущена общедоступная версия (GA) рекомендаций по защите рабочих нагрузок Kubernetes
Мы рады сообщить о выходе общедоступной версии (GA) набора рекомендаций по защите рабочих нагрузок Kubernetes.
Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, в Центр безопасности добавлены рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.
При установке Политика Azure для Kubernetes в кластере Служба Azure Kubernetes (AKS) каждый запрос к серверу API Kubernetes будет отслеживаться с помощью предопределенного набора рекомендаций, отображаемого как 13 рекомендаций по безопасности, прежде чем сохраняться в кластере. Вы можете настроить принудительное применение таких рекомендаций для всех будущих рабочих нагрузок.
Например, можно запретить создание привилегированных контейнеров, и тогда любой запрос такого типа будет блокироваться.
См. сведения о рекомендациях по защите рабочих нагрузок с использованием средств управления доступом в Kubernetes.
Примечание.
Пока рекомендации оставались в предварительной версии, они не влияли на состояние работоспособности ресурса кластера AKS и не учитывались при вычислении оценки безопасности. С момента этого объявления об общедоступной версии они будут учитываться при расчете оценки. Если вы еще не выполнили их, это может оказать небольшое влияние на вашу оценку безопасности. Выполните их при первой возможности, как описано в статье Выполнение рекомендаций в Центре безопасности Azure.
Интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows(в предварительной версии).
Microsoft Defender для конечной точки — целостное облачное решение для обеспечения безопасности конечной точки. Оно предоставляет возможности контроля и оценки уязвимостей на основе рисков, а также возможности обнаружения конечных точек и реагирования. Полный список преимуществ использования Defender для конечной точки вместе с Центром безопасности Azure см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности: Microsoft Defender для конечной точки.
При включении Azure Defender для серверов под управлением Windows Server в этот план включается лицензия на Defender для конечной точки. Если вы уже включили Azure Defender для серверов и в вашей подписке есть серверы под управлением Windows Server 2019, они автоматически получат Defender для конечной точки с этим обновлением. Вам не потребуется выполнять вручную никаких действий.
Теперь добавлена поддержка Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows.
Примечание.
Если вы включаете Azure Defender для конечной точки на сервере под управлением Windows Server 2019, убедитесь, что он соответствует предварительным требованиям, описанным в разделе Активация интеграции Microsoft Defender для конечной точки.
прямая ссылка на политику на странице сведений о рекомендации;
При просмотре сведений о рекомендациях часто бывает полезным просмотреть базовую политику. Для каждой рекомендации, которую поддерживает политика, на странице сведений о рекомендации появилась новая ссылка:
Эту ссылку можно использовать для просмотра определения политики и логики оценки.
Если вы изучаете список рекомендаций в справочном руководстве по безопасности, вы также увидите ссылки на страницы определения политики:
Рекомендация по классификации данных SQL больше не влияет на оценку безопасности.
Рекомендация Конфиденциальные данные в базах данных SQL должны быть засекречены теперь не влияет на оценку безопасности. Элемент управления безопасностью применяет классификацию данных, содержащую ее теперь, имеет значение 0.
Полный список всех элементов управления безопасностью, а также их оценки и список рекомендаций в каждом из них см. в разделе "Элементы управления безопасностью" и их рекомендации.
Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (в предварительной версии)
Мы добавили третий тип данных в параметры триггера для автоматизации ваших рабочих процессов: изменения в оценке соответствия нормативным требованиям.
Сведения о том, как использовать средства автоматизации рабочих процессов, см. в статье Автоматизация реагирования на триггеры Центра безопасности.
усовершенствования страницы "Инвентаризация активов".
Улучшена страница инвентаризации активов Центра безопасности:
В сводку в верхней части страницы добавлены сведения о незарегистрированных подписках. Здесь отображается количество подписок, для которых не включен Центр безопасности.
В фильтры добавлены следующие улучшения:
Счетчики. Каждый фильтр представляет количество ресурсов, соответствующих условиям каждой категории.
Добавлен фильтр исключений. При необходимости вы можете ограничить результаты ресурсами, для которых заданы или не заданы исключения. Этот фильтр не отображается по умолчанию, но станет доступным, если нажать кнопку Добавить фильтр.
Узнайте больше о том, как изучать ресурсы и управлять ими путем инвентаризации.
2021 января
Обновления в январе включают следующие:
- Azure Security Benchmark теперь является инициативой политики по умолчанию для Центра безопасности Azure.
- Выпущена общедоступная версия (GA) оценки уязвимостей для компьютеров в локальной среде и нескольких облаках
- Оценка безопасности для групп управления теперь доступна в предварительной версии.
- Выпущена общедоступная версия (GA) API Оценки безопасности
- В Azure Defender для Службы приложений добавлена защита от недействительных записей DNS.
- Выпущена общедоступная версия (GA) соединителей для нескольких облаков
- Исключение полных рекомендаций из оценки безопасности для подписок и групп управления
- Теперь пользователи могут запрашивать видимость на уровне арендатора у своего глобального администратора
- Добавлены 35 рекомендаций в предварительной версии, чтобы повысить охват тестов производительности системы безопасности Azure
- Экспорт отфильтрованного списка рекомендаций в CSV-файл.
- "Неприменимые" ресурсы теперь отображаются с состоянием "Соответствует" в результатах оценки в Политике Azure.
- Экспорт еженедельных моментальных снимков для оценки безопасности и данных соответствия нормативным требованиям с помощью непрерывного экспорта (предварительная версия).
Azure Security Benchmark теперь является инициативой политики по умолчанию для Центра безопасности Azure.
Azure Security Benchmark (ASB) — это специально разработанный корпорацией Майкрософт набор руководств по обеспечению безопасности и соответствия нормативным требованиям на основе распространенных платформ обеспечения соответствия. Это широко принятое тестирование основано на стандартах Центра Интернет-безопасности (CIS) и Национального института стандартов и технологий (NIST) с ориентацией на облачную безопасность.
За последние месяцы список встроенных рекомендаций по обеспечению безопасности в Центре безопасности значительно увеличился для максимального соблюдения требований этого теста.
Начиная с этого выпуска тест является основой для рекомендаций Центра безопасности. Он полностью интегрирован в качестве инициативы политики по умолчанию.
Все службы Azure в своей документации имеют страницу, посвященную базовым средствам безопасности. Эти рекомендации основаны на Azure Security Benchmark.
Если вы используете панель мониторинга соответствия нормативным требованиям Центра безопасности, вам будут отображаться два экземпляра теста в течение периода перехода:
Существующие рекомендации не затрагиваются, и по мере расширения теста изменения будут автоматически отражены в Центре безопасности.
Дополнительные сведения см. на следующих страницах:
- Общие сведения о тесте производительности системы безопасности Azure.
- Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям
Выпущена общедоступная версия (GA) оценки уязвимостей для компьютеров в локальной среде и нескольких облаках
В октябре мы объявили о выпуске предварительной версии для проверки серверов с поддержкой Azure Arc с интегрированным сканером оценки уязвимостей Azure Defender для серверов (на основе Qualys).
Теперь выпущена общедоступная версия (GA) этой функции.
Когда вы включаете Azure Arc на компьютерах, не относящихся к Azure, Центр безопасности предлагает развернуть на них встроенный сканер уязвимостей — вручную и в большом масштабе.
Начиная с этого обновления, вы сможете применять возможности Azure Defender для серверов, чтобы объединить программы управления уязвимостями для всех ресурсов в Azure и других средах.
Основные возможности:
- мониторинг состояния подготовки средства оценки уязвимостей на компьютерах Azure Arc;
- подготовка к работе интегрированного агента оценки уязвимостей для незащищенных компьютеров Azure Arc под управлением ОС Windows и Linux (вручную и в большом масштабе);
- получение и анализ обнаруженных уязвимостей от развернутых агентов (вручную и в большом масштабе);
- объединенный интерфейс для виртуальных машин Azure и компьютеров Azure Arc.
См. дополнительные сведения о развертывании интегрированного сканера уязвимостей Qualys на гибридных компьютерах.
См. дополнительные сведения о серверах с поддержкой Azure Arc.
Оценка безопасности для групп управления теперь доступна в предварительной версии.
Теперь на странице оценки безопасности отображаются сводные оценки безопасности для групп управления в дополнение к уровню подписки. Теперь вы можете видеть список групп управления в вашей организации и оценку для каждой группы управления.
См. сведения об оценке безопасности и элементах управления безопасностью в Центре безопасности Azure.
Выпущена общедоступная версия (GA) API Оценки безопасности
Теперь вы можете получить доступ к оценке через API оценки безопасности. Методы этого API позволяют гибко выполнять запросы к данным и создавать собственные механизмы создания отчетов об оценках безопасности за разные периоды. Например:
- используйте API оценки безопасности, чтобы получить оценку для конкретной подписки;
- используйте API элементов управления оценкой безопасности, чтобы получить список элементов управления безопасностью и текущие оценки для всех подписок.
Сведения о внешних средствах, которые можно реализовать с помощью API оценки безопасности, см. в разделе оценок безопасности в сообществе GitHub.
См. сведения об оценке безопасности и элементах управления безопасностью в Центре безопасности Azure.
В Azure Defender для Службы приложений добавлена защита от недействительных записей DNS.
Перехват поддоменов — это распространенная угроза высокого уровня серьезности для организаций. Перенаправление поддомена может произойти, если у вас существует запись DNS, указывающая на неработающий веб-сайт. Такие записи DNS называются недействительными. Записи CNAME особенно уязвимы перед этой угрозой.
Перенаправление поддомена позволяет злоумышленникам перенаправлять трафик, предназначенный для домена организации, на сайт, выполняющий вредоносные действия.
Azure Defender для Службы приложений теперь обнаруживает недействительные записи DNS при прекращении использования веб-сайта Службы приложений. Это момент, когда запись DNS указывает на ресурс, который не существует, и ваш веб-сайт уязвим к переходу поддомена. Защита от появления недействительных записей DNS обеспечивается независимо от того, управляются ли домены с помощью Azure DNS или внешнего регистратора домена, и применяется к Службе приложений в Windows и Linux.
Подробнее:
- Справочная таблица с оповещениями Службы приложений — включает два новых оповещения Azure Defender, которые инициируются при обнаружении недействительных записей DNS.
- Предотвращение появления недействительных записей DNS и перенаправления поддомена — узнайте об угрозе перенаправления поддомена и недействительных записях DNS.
- Общие сведения о Azure Defender для Служба приложений
Выпущена общедоступная версия (GA) соединителей для нескольких облаков
Так как облачные рабочие нагрузки часто распределяются между несколькими облачными платформами, облачные службы безопасности должны охватывать их все.
Центр безопасности Azure может обеспечить защиту рабочих нагрузок, развернутых в Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).
При подключении проектов AWS или GCP их собственные инструменты безопасности, такие как AWS Security Hub и GCP Security Command Center, интегрируются в Центр безопасности Azure.
Это означает, что Центр безопасности обеспечивает видимость и защиту во всех основных облачных средах. Некоторые преимущества этой интеграции:
- автоматическая подготовка агентов — Центр безопасности использует Azure Arc для развертывания агента Log Analytics в экземплярах AWS;
- Управление политикой
- Управление уязвимостями
- встроенное обнаружение и нейтрализация атак на конечные точки (EDR);
- определение неправильных настроек системы безопасности;
- единое представление, содержащее рекомендации по безопасности от всех поставщиков облачных служб;
- учет всех ресурсов при оценке безопасности в Центре безопасности;
- оценка соответствия нормативным требованиям для ресурсов AWS и GCP.
В меню Defender для облака выберите Соединители для нескольких облаков, и вы увидите варианты создания новых соединителей:
См. дополнительные сведения:
- Подключение учетных записей AWS к Центру безопасности Azure
- Подключение проектов GCP к Центру безопасности Azure
Исключение полных рекомендаций из оценки безопасности для подписок и групп управления
Мы расширяем возможность исключения рекомендаций полностью, предоставляя дополнительные возможности для точной настройки рекомендаций по обеспечению безопасности, которые доступны в Центре безопасности для подписок, групп управления или ресурсов.
Иногда ресурс будет указан как неработоспособный, когда вы знаете, что проблема устранена сторонним инструментом, который центр безопасности не обнаружил. Или рекомендация будет отображаться в области, которой она не принадлежит. Рекомендации могут быть недопустимыми для конкретной подписки. Или, возможно, ваша организация считает допустимыми риски, связанные с конкретным ресурсом или рекомендацией.
Предварительная версия этой возможности позволяет создать исключение для рекомендации со следующей целью:
Исключение ресурса, чтобы он не был включен в неработоспособные ресурсы в будущем и чтобы это не влияло на вашу оценку безопасности. Ресурс будет указан как неприменимый по причине исключения с указанным вами обоснованием.
Исключение подписки или группы управления, чтобы рекомендации не влияли на вашу оценку безопасности и не отображались для подписки или группы управления в будущем. Это применимо как существующим ресурсам, так и всем тем, которые вы создадите в будущем. Рекомендации будут дополнены обоснованием, указанным для выбранной области.
Дополнительные сведения см. в статье Исключение ресурсов и рекомендаций из оценки безопасности.
Теперь пользователи могут запрашивать видимость на уровне арендатора у своего глобального администратора
Если у пользователя нет разрешений на просмотр данных Центра безопасности, пользователь увидит ссылку на запрос разрешений от глобального администратора своей организации. Запрос включает желаемую роль и обоснование.
Дополнительные сведения см. в разделе Запрашивание разрешений на уровне арендатора, когда ваших разрешений недостаточно.
Добавлены 35 рекомендаций в предварительной версии, чтобы повысить охват тестов производительности системы безопасности Azure
Azure Security Benchmark - это инициатива политики по умолчанию в Центре безопасности Azure.
Чтобы улучшить соблюдение требований этого теста, в Центр безопасности включены следующие 35 рекомендаций (предварительная версия).
Совет
Рекомендации предварительной версии не присваивают ресурсу состояние неработоспособного и не включаются в вычисления вашей оценки безопасности. По возможности их все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку. Дополнительные сведения о том, как реагировать на эти рекомендации, см. в статье Рекомендации по исправлению ошибок в Центре безопасности Azure.
| Элемент управления безопасностью | Новые рекомендации |
|---|---|
| Включение шифрования неактивных данных | – Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных. – Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом (CMK). – Для серверов MySQL должна быть включена защита данных с созданием собственных ключей. – Для серверов PostgreSQL должна быть включена защита данных с созданием собственных ключей. — учетные записи служб искусственного интеллекта Azure должны включать шифрование данных с помощью ключа, управляемого клиентом (CMK) – Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом. – Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных. – Серверы SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных. – Учетные записи хранения должны использовать для шифрования ключ, управляемый клиентом (CMK). |
| Реализация рекомендаций по безопасности | – Подписки должны содержать адрес электронной почты контактного лица по проблемам безопасности. — Автоматическая подготовка агента Log Analytics должна быть включена в подписке. – Для оповещений высокого уровня серьезности должны быть включены уведомления по электронной почте. – Для оповещений высокого уровня серьезности должно быть включено уведомление владельца подписки по электронной почте. – В хранилищах ключей должна быть включена защита от очистки. – В хранилищах ключей должно быть включено обратимое удаление. |
| Управление доступом и разрешениями | – Для приложений-функций должны быть включены сертификаты клиента (входящие сертификаты клиента). |
| Защита приложений от атак DDoS | – Для Шлюза приложений должен быть включен Брандмауэр веб-приложений (WAF). - Для службы Azure Front Door Service должен быть включен Брандмауэр веб-приложений (WAF). |
| Ограничить несанкционированный сетевой доступ | – Для Key Vault должен быть включен брандмауэр. – Для Key Vault должна быть настроена частная конечная точка. – Служба "Конфигурация приложений" должна использовать приватный канал. – Кэш Azure для Redis должен находиться в виртуальной сети. – Домены Сетки событий Azure должны использовать приватный канал. – Разделы Сетки событий Azure должны использовать приватный канал. – Рабочие области Машинного обучения Azure должны использовать приватный канал. – Служба Azure SignalR должна использовать приватный канал. – Служба Azure Spring Cloud должна использовать внедрение в сеть. – Реестры контейнеров не должны разрешать неограниченный сетевой доступ. – Реестры контейнеров должны использовать приватный канал. – Для северов MariaDB должен быть отключен доступ через общедоступную сеть. – Для северов MySQL должен быть отключен доступ через общедоступную сеть. – Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть. – Учетная запись хранения должна использовать подключение через приватный канал. – Учетные записи хранения должны ограничивать сетевой доступ, используя правила виртуальной сети. – Шаблоны Конструктора образов для виртуальных машин должны использовать приватный канал. |
Связанные ссылки
- Общие сведения о тесте производительности системы безопасности Azure.
- Дополнительные сведения о Базе данных Azure для MariaDB.
- Дополнительные сведения о Базе данных Azure для MySQL.
- Дополнительные сведения о Базе данных Azure для PostgreSQL.
Экспорт отфильтрованного списка рекомендаций в CSV-файл.
В ноябре 2020 года мы добавили фильтры на страницу рекомендаций (см. раздел В списке рекомендаций теперь можно применять фильтры). В декабре мы расширили эти фильтры (см. раздел На странице "Рекомендации" доступны новые фильтры для среды, серьезности и доступных ответов).
Объявляем о том, что мы изменяем поведение кнопки Скачать в CSV, чтобы экспорт в CSV-файл включал только те рекомендации, которые сейчас отображаются в отфильтрованном списке.
Например, на рисунке ниже можно увидеть, что список фильтруется до двух рекомендаций. Генерируемый CSV-файл содержит сведения о состоянии для каждого ресурса, которого касаются эти две рекомендации.
Дополнительные сведения см. в статье Рекомендации по безопасности в Центре безопасности Azure.
"Неприменимые" ресурсы теперь отображаются с состоянием "Соответствует" в результатах оценки в Политике Azure.
Ранее ресурсы, которые оценивались для рекомендации и определялись как неприменимые, отображались в Политике Azure с состоянием "Не соответствует". Никакие действия пользователя не могут изменить состояние на "Соответствует". С этим изменением они сообщаются как "Совместимые" для улучшения ясности.
Это повлияет только на то, что в Политике Azure увеличится количество соответствующих ресурсов. Но это никак не отразится на оценке безопасности в Центре безопасности Azure.
Экспорт еженедельных моментальных снимков для оценки безопасности и данных соответствия нормативным требованиям с помощью непрерывного экспорта (предварительная версия).
Мы добавили новую предварительную версию функции в средства непрерывного экспорта для экспорта еженедельных моментальных снимков для оценки безопасности и данных соответствия нормативным требованиям.
При определении непрерывного экспорта задайте периодичность экспорта:
- Потоковая передача. Результаты оценки будут отправляться при обновлении состояния работоспособности ресурса (при отсутствии обновлений данные не отправляются).
- Моментальные снимки — моментальный снимок текущего состояния всех оценок соответствия нормативным требованиям будет отправляться еженедельно (это предварительная версия функции для еженедельных моментальных снимок оценок безопасности и данных соответствия нормативным требованиям).
Узнайте больше о всех возможностях этой функции из статьи Непрерывный экспорт данных Центра безопасности.
Декабрь 2020 г.
В декабре добавлены следующие обновления:
- Выпущена общедоступная версия службы Azure Defender для серверов SQL на компьютерах
- Выпущена общедоступная версия поддержки Azure Defender для SQL для выделенного пула SQL Azure Synapse Analytics
- Теперь глобальные администраторы могут предоставлять себе разрешения на уровне клиента
- Два новых плана Azure Defender: Azure Defender для DNS и Azure Defender для Resource Manager (предварительная версия)
- Новая страница оповещений системы безопасности на портале Azure (предварительная версия)
- Обновленный интерфейс Центра безопасности в Базе данных SQL Azure и Управляемом экземпляре SQL
- Обновление фильтров средств инвентаризации активов
- Рекомендации по веб-приложениям, запрашивающим SSL-сертификаты, больше не являются частью оценки безопасности
- На странице "Рекомендации" доступны новые фильтры для среды, серьезности и доступных ответов
- Для непрерывного экспорта добавлены новые типы данных и улучшены политики deployifnotexist
Выпущена общедоступная версия службы Azure Defender для серверов SQL на компьютерах
Центр безопасности Azure предлагает два плана Azure Defender для серверов SQL Server:
- Azure Defender для серверов базы данных SQL Azure — защищает собственные серверы SQL Server Azure
- Azure Defender для серверов SQL на компьютерах — расширяет действие такой защиты на серверы SQL в гибридных, многооблачных и локальных средах
Это объявление указывает на то, что Azure Defender для SQL теперь будет защищать базы данных и данные таких баз данных, независимо от их расположения.
Azure Defender для SQL содержит возможности оценки уязвимостей. Средство оценки уязвимостей включает в себя следующие усовершенствованные возможности:
- Базовая конфигурация (Новинка!) для рационального уточнения результатов проверки уязвимостей с целью выявления угроз, которые могут представлять собой реальные проблемы в области безопасности. Если задать базовое состояние безопасности, средство оценки уязвимостей будет сообщать только об отклонениях от этого базового состояния. При следующих проверках результаты, которые соответствуют базовым показателям, будут рассматриваться как прошедшие проверку. Это позволит вам и вашим аналитикам акцентировать внимание на важных моментах.
- Подробные сведения о тестах производительности, изучив которые вы сможете понять полученные сведения, а также их связь с вашими ресурсами.
- Сценарии исправления, с помощью которых вы сможете устранить идентифицированные риски.
Узнайте больше про Azure Defender для SQL.
Выпущена общедоступная версия поддержки Azure Defender для SQL для выделенного пула SQL Azure Synapse Analytics
Azure Synapse Analytics (ранее — Хранилище данных SQL) — это служба аналитики, которая объединяет корпоративные хранилища данных и аналитику больших данных. Выделенные пулы SQL — это функции хранения корпоративных данных Azure Synapse. Дополнительные сведения см. в статье Что такое Azure Synapse Analytics (ранее — Хранилище данных SQL)?
Azure Defender для SQL защищает выделенные пулы SQL с помощью:
- Расширенной защиты от угроз для обнаружения угроз и атак
- Возможностей оценки уязвимостей для обнаружения и исправления ошибок в конфигурациях системы безопасности
Поддержка Azure Defender для SQL для пулов SQL Azure Synapse Analytics автоматически добавляется в пакет баз данных SQL Azure в Центре безопасности Azure. На странице рабочей области Synapse в портал Azure есть новая вкладка Azure Defender для SQL.
Узнайте больше про Azure Defender для SQL.
Теперь глобальные администраторы могут предоставлять себе разрешения на уровне клиента
У пользователя с ролью Azure Active Directory Глобальный администратор могут быть обязанности на уровне клиента, но отсутствовать разрешения Azure на просмотр сведений в масштабах организации в Центре безопасности Azure.
Чтобы назначить себе разрешения уровня клиента, следуйте инструкциям в разделе Предоставление себе разрешений на уровне клиента .
Два новых плана Azure Defender: Azure Defender для DNS и Azure Defender для Resource Manager (предварительная версия)
Мы добавили две новые ориентированные на облако возможности защиты от угроз для вашей среды Azure.
Эти новые возможности защиты значительно улучшают устойчивость к атакам со стороны субъектов угроз и существенно увеличивают число ресурсов Azure, защищенных с помощью Azure Defender.
Azure Defender для Resource Manager автоматически отслеживает все операции управления ресурсами, выполняемые в организации. Дополнительные сведения см. в разделе:
Azure Defender для DNS постоянно отслеживает все запросы DNS из ресурсов Azure. Дополнительные сведения см. в разделе:
Новая страница оповещений системы безопасности на портале Azure (предварительная версия)
Страница оповещений системы безопасности Центр безопасности Azure была изменена для предоставления:
- Улучшен интерфейс для рассмотрения оповещений. Список включает настраиваемые фильтры и параметры группирования, которые помогают скрыть избыточные оповещения и сосредоточиться на наиболее важных угрозах.
- В списки оповещений добавлена информация, например сведения о тактиках из базы знаний MITRE ATT&ACK.
- Кнопка для создания примеров оповещений. Чтобы оценить возможности Azure Defender и протестировать конфигурацию оповещений (для интеграции SIEM, уведомлений по электронной почте и автоматизации рабочих процессов), можно создать примеры оповещений практически во всех планах Azure Defender.
- Согласованность с функциями для инцидентов в Azure Sentinel. Клиентам, использующим оба продукта, стало удобнее переключаться между ними, а также стал проще обмен данными между этими продуктами.
- Улучшена производительность при работе с большими списками оповещений.
- Добавлена навигация по списку оповещений с помощью клавиатуры.
- Оповещения из Azure Resource Graph. Вы можете запросить оповещения из Azure Resource Graph (работающий по принципу Kusto API) для всех ваших ресурсов. Это также удобно, если вы создаете собственные панели мониторинга для оповещений. Узнайте больше об Azure Resource Graph.
Чтобы получить доступ к новому интерфейсу, используйте ссылку "Попробовать сейчас" в баннере вверху страницы "Оповещения системы безопасности".
Сведения о том, как создать примеры оповещений в новом интерфейсе, см. в разделе Создание примеров оповещений Azure Defender.
Обновленный интерфейс Центра безопасности в Базе данных SQL Azure и Управляемом экземпляре SQL
Интерфейс Центра безопасности в SQL предоставляет доступ к следующим функциям Центра безопасности и Azure Defender для SQL:
- Рекомендации по обеспечению безопасности — Центр безопасности периодически анализирует состояние безопасности ресурсов Azure, чтобы выявить потенциальные ошибки в конфигурации безопасности. Затем он предоставляет рекомендации по устранению таких уязвимостей и улучшению состояния безопасности в организации.
- Оповещения безопасности — служба обнаружения, которая постоянно отслеживает действия SQL Azure на наличие таких угроз, как внедрение кода SQL, атаки методом перебора и злоупотребление привилегиями. Эта служба запускает подробные и практические оповещения системы безопасности в Центре безопасности, а также предоставляет варианты для их дальнейшего изучения с помощью Azure Sentinel, собственного решения SIEM Microsoft Azure.
- Результаты — служба оценки уязвимостей, которая постоянно отслеживает конфигурации SQL Azure и помогает устранять уязвимости. Проверки оценки предоставляют общие сведения о состояниях безопасности SQL Azure наряду с подробными результатами проверки безопасности.
Обновление фильтров средств инвентаризации активов
Страница инвентаризации в Центр безопасности Azure обновлена со следующими изменениями:
На панель инструментов добавлен элемент Руководства и отзывы. Он открывает область со ссылками на связанные сведения и инструменты.
Фильтр подписок добавлен к фильтрам по умолчанию, доступным для ресурсов.
Ссылка Открыть запрос для открытия текущих параметров фильтра в виде запроса к Azure Resource Graph (ранее "Просмотреть в проводнике Resource Graph").
Параметры оператора для каждого фильтра. Теперь вы можете выбрать один из нескольких логических операторов, а не только равенство ("="). Например, вам может потребоваться найти все ресурсы с активными рекомендациями, заголовки которых содержат строку encrypt.
Сведения об инвентаризации см. в статье Изучение ресурсов и управление ими с помощью инвентаризации ресурсов.
Рекомендации по веб-приложениям, запрашивающим SSL-сертификаты, больше не являются частью оценки безопасности
Рекомендация "Веб-приложения должны запрашивать SSL-сертификат для всех входящих запросов", была перемещена из элемента управления безопасностью "Управление доступом и разрешениями (стоимостью не более 4 pts) в реализации рекомендаций по обеспечению безопасности (что не стоит никаких очков).
Требование запроса сертификата в приложении несомненно повышает его безопасность. Но для общедоступных веб-приложений это не имеет значения. Если для доступа к сайту используется протокол HTTP, а не HTTPS, вы не получите сертификат клиента. Поэтому, если ваше приложение требует клиентские сертификаты, не следует разрешать запросы к приложению по протоколу HTTP. Сведения см. в статье Настройка взаимной аутентификации TLS в Службе приложений Azure.
В результате этого изменения рекомендация теперь является рекомендуемой лучшей методикой, которая не влияет на вашу оценку.
Узнайте, какие рекомендации включает каждый элемент управления безопасностью, из раздела Элементы управления безопасностью и их рекомендации.
На странице "Рекомендации" доступны новые фильтры для среды, серьезности и доступных ответов
Центр безопасности Azure отслеживает все подключенные ресурсы и создает рекомендации по обеспечению безопасности. Используйте эти рекомендации для укрепления вашей гибридной облачной системы и отслеживания соответствия политикам и стандартам, соответствующим вашей организации, отрасли и стране или региону.
По мере расширения охвата и функциональности Центра безопасности мы ежемесячно добавляем новые рекомендации по безопасности. Например, ознакомьтесь с рекомендациями двадцать девять предварительных версий, добавленными для повышения охвата Azure Security Benchmark.
Так как их число постоянно растет, есть необходимость фильтровать рекомендации для выбора наиболее важных. В ноябре мы добавили фильтры на страницу рекомендаций (см. раздел Список рекомендаций теперь включает фильтры).
Фильтры, добавленные в этом месяце, предоставляют возможности для отображения рекомендаций по следующему:
Среда — отображение рекомендаций по ресурсам AWS, GCP или Azure (в любом сочетании).
Серьезность — отображение рекомендаций в соответствии с классификацией серьезности, заданной в Центре безопасности.
Действия ответа — отображение рекомендаций в соответствии с доступностью вариантов ответов в Центре безопасности (исправление, запрет и принудительное применение).
Совет
Фильтр "Действия ответа" заменяет фильтр Доступно быстрое исправление (да/нет).
См. сведения о каждом из вариантов ответов:
Для непрерывного экспорта добавлены новые типы данных и улучшены политики deployifnotexist
Средства непрерывного экспорта в Центре безопасности Azure позволяют экспортировать рекомендации и оповещения Центра безопасности для использования с другими средствами мониторинга в вашей среде.
Непрерывный экспорт позволяет полностью настроить экспортируемые объекты и расположение их сохранения. Полные сведения см. в статье Непрерывный экспорт данных Центра безопасности.
Эти средства были усовершенствованы и расширены следующим образом:
Расширены политики deployifnotexist для экспорта. Политики теперь делают следующее:
Проверяют, включена ли конфигурация. Если она не включена, политика будет отображаться как не соответствующая требованиям; также она создаст ресурс соответствия. Дополнительные сведения о предоставляемых шаблонах Политики Azure на вкладке "Развертывание в большом масштабе с помощью Политики Azure" см. в разделе Настройка непрерывного экспорта.
Поддерживают экспорт результатов безопасности. При использовании шаблонов Политики Azure можно настроить непрерывный экспорт, который будет включать результаты. Это удобно при экспорте рекомендаций, которые содержат вложенные рекомендации, такие как результаты сканеров оценки уязвимостей или конкретные обновления системы для родительской рекомендации "На вашем компьютере должны быть установлены системные обновления".
Поддерживают экспорт данных об оценке безопасности.
Добавлены данные об оценке соответствия нормативным требованиям (в предварительной версии). Теперь вы можете выполнять непрерывный экспорт обновлений для оценок соответствия нормативным требованиям (в том числе для любых пользовательских инициатив) в рабочую область Log Analytics или в Центры событий. Эта функция недоступна в национальных облаках.
Ноябрь 2020 г.
В ноябре добавлены следующие обновления:
- добавлены 29 рекомендаций для предварительной версии, чтобы повысить охват тестов производительности системы безопасности Azure;
- на панель мониторинга соответствия нормативным требованиям в Центре безопасности добавлен стандарт NIST SP 800 171 R2.
- в списке рекомендаций теперь можно применять фильтры;
- Улучшенный и расширенный интерфейс автоматической подготовки
- оценка безопасности теперь доступна для непрерывного экспорта (предварительная версия);
- Рекомендация "На компьютерах должны быть установлены обновления системы" теперь включает вложенные рекомендации
- на странице "Управление политиками" на портале Azure теперь отображается состояние назначений политики по умолчанию.
добавлены 29 рекомендаций для предварительной версии, чтобы повысить охват тестов производительности системы безопасности Azure;
Azure Security Benchmark — это руководства с рекомендациями по обеспечению безопасности и соответствия требованиям для Azure, подготовленные корпорацией Майкрософт на основе распространенных платформ соответствия. См. сведения о Тесте производительности системы безопасности Azure.
Следующие 29 новых рекомендаций для предварительной версии добавлены в Центр безопасности, чтобы увеличить охват теста производительности.
Рекомендации предварительной версии не присваивают ресурсу состояние неработоспособного и не включаются в вычисления вашей оценки безопасности. По возможности их все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку. Дополнительные сведения о том, как реагировать на эти рекомендации, см. в статье Рекомендации по исправлению ошибок в Центре безопасности Azure.
| Элемент управления безопасностью | Новые рекомендации |
|---|---|
| Шифрование передаваемых данных | – Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения – Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения – Для вашего приложения API необходимо обновить TLS до последней версии – Для вашего приложения-функции необходимо обновить TLS до последней версии – Для вашего веб-приложения необходимо обновить TLS до последней версии – В вашем приложении API необходимо принудительно использовать FTPS – В вашем приложении-функции необходимо принудительно использовать FTPS – В вашем веб-приложении необходимо принудительно использовать FTPS |
| Управление доступом и разрешениями | – Веб-приложения должны запрашивать сертификат SSL для всех входящих запросов – В приложении API должно использоваться управляемое удостоверение – В приложении-функции должно использоваться управляемое удостоверение – В веб-приложении должно использоваться управляемое удостоверение |
| Ограничить несанкционированный сетевой доступ | – Для серверов PostgreSQL необходимо включить частную конечную точку – Для серверов MariaDB необходимо включить частную конечную точку – Для серверов MySQL необходимо включить частную конечную точку |
| Включение аудита и ведения журнала | – В Службах приложений должны быть включены журналы диагностики |
| Реализация рекомендаций по безопасности | – Необходимо включить Azure Backup для виртуальных машин – База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование – База данных Azure для MySQL должна использовать геоизбыточное резервное копирование – База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование – Для вашего приложения API необходимо обновить PHP до последней версии – Для вашего веб-приложения необходимо обновить PHP до последней версии – Для вашего приложения API необходимо обновить Java до последней версии – Для вашего приложения-функции необходимо обновить Java до последней версии – Для вашего веб-приложения необходимо обновить Java до последней версии – Для вашего приложения API необходимо обновить Python до последней версии – Для вашего приложения-функции необходимо обновить Python до последней версии – Для вашего веб-приложения необходимо обновить Python до последней версии – Аудит для серверов SQL должен храниться не менее 90 дней |
Связанные ссылки
- Общие сведения о тесте производительности системы безопасности Azure.
- Дополнительные сведения о приложениях API.
- Дополнительные сведения о приложениях-функциях Azure.
- Дополнительные сведения о веб-приложениях Azure.
- Дополнительные сведения о Базе данных Azure для MariaDB.
- Дополнительные сведения о Базе данных Azure для MySQL.
- Дополнительные сведения о Базе данных Azure для PostgreSQL.
На панель мониторинга соответствия нормативным требованиям в Центре безопасности добавлен стандарт NIST SP 800 171 R2
Стандарт NIST SP 800-171 R2 теперь доступен как встроенная инициатива для использования с панелью мониторинга соответствия нормативным требованиям в Центре безопасности Azure. Сопоставления для элементов управления описаны в статье Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-171 R2.
Чтобы применить стандарт к подпискам и постоянно отслеживать состояние соответствия требованиям, воспользуйтесь инструкциями из статьи Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.
Дополнительные сведения об этом стандарте соответствия см. на странице описания NIST SP 800-171 R2 (специальной публикации Национального института стандартов и технологий).
в списке рекомендаций теперь можно применять фильтры;
Теперь можно отфильтровать список рекомендаций по безопасности по ряду критериев. В следующем примере список рекомендаций фильтруется для отображения рекомендаций, которые:
- общедоступны (т. е. не являются предварительной версией);
- предназначены для учетных записей хранения;
- поддерживают быстрое исправление.
Улучшенный и расширенный интерфейс автоматической подготовки
Функция автоматической подготовки помогает сократить затраты на управление, установив необходимые расширения на новых виртуальных машинах Azure, чтобы они могли воспользоваться защитой Центра безопасности.
По мере развития Центра безопасности Azure разрабатываются дополнительные расширения, и Центр безопасности может отслеживать более широкий список типов ресурсов. Теперь средства автоматической подготовки были расширены для поддержки других расширений и типов ресурсов, используя возможности Политика Azure.
Теперь можно настроить автоматическую подготовку:
- Агент Log Analytics
- (Новое) Политика Azure для Kubernetes
- Microsoft Dependency Agent (новая возможность).
Дополнительные сведения см. в разделе "Агенты автоматической подготовки и расширения" из Центр безопасности Azure.
Оценка безопасности теперь доступна для непрерывного экспорта (предварительная версия)
Благодаря непрерывному экспорту результатов оценки безопасности вы можете в потоковом режиме и в реальном времени передавать изменения оценки в Центры событий Azure или в рабочую область Log Analytics. Эта возможность предназначена для следующих задач:
- отслеживать оценку безопасности и создавать динамические отчеты;
- экспортировать данные об оценке безопасности в Azure Sentinel (или другую систему SIEM);
- интегрировать эти данные с любыми уже используемыми процессами для отслеживания оценки безопасности в организации.
Подробные сведения о непрерывном экспорте данных Центра безопасности см. здесь.
Рекомендация "На компьютерах должны быть установлены обновления системы" теперь включает вложенные рекомендации
Обновления системы должны быть установлены на компьютерах, которые были улучшены . Новая версия содержит вложенные рекомендации для каждого пропущенного обновления и включает следующие улучшения:
улучшенный интерфейс на страницах Центра безопасности Azure портала Azure. Страница сведений о рекомендации На компьютерах должны быть установлены обновления системы содержит список результатов, как показано ниже. Если выбрать один результат, откроется область сведений со ссылкой на информацию об исправлении и списком затрагиваемых ресурсов.
Обогащенные данные для рекомендации из Azure Resource Graph (ARG). ARG — это служба Azure, предназначенная для простого изучения ресурсов. Вы можете использовать ARG для выполнения масштабных запросов к заданному набору подписок, чтобы вы могли эффективно управлять своей средой.
При работе с Центром безопасности Azure вы можете применять ARG с языком запросов Kusto (KQL), чтобы получить расширенный набор данных о состоянии безопасности.
Ранее при запросе этой рекомендации в ARG вы могли получить только сведения о том, что вам необходимо выполнить рекомендацию на компьютере. Следующий запрос в расширенной версии будет возвращать сведения обо всех отсутствующих на компьютере обновлениях (с группировкой по компьютерам).
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27" | where properties.status.code == "Unhealthy"
На странице "Управление политиками" на портале Azure теперь отображается состояние назначений политики по умолчанию
Теперь вы можете просмотреть, назначена ли вашим подпискам политика Центра безопасности по умолчанию, на странице Политика безопасности Центра безопасности на портале Azure.
2020 октября
В октябре добавлены следующие обновления:
- Оценка уязвимостей для компьютеров в локальной среде и нескольких облаках (предварительная версия)
- Добавлена рекомендация Брандмауэра Azure (предварительная версия)
- Рекомендация "В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов" обновлена с помощью быстрого исправления
- На панели мониторинга соответствия нормативным требованиям теперь есть параметр для удаления стандартов
- Таблица Microsoft.Security/securityStatuses удалена из Azure Resource Graph (ARG)
Оценка уязвимостей для компьютеров в локальной среде и нескольких облаках (предварительная версия)
Средство оценки уязвимостей в Azure Defender для серверов (на основе Qualys) теперь проверяет серверы с поддержкой Azure Arc.
Когда вы включаете Azure Arc на компьютерах, не относящихся к Azure, Центр безопасности предлагает развернуть на них встроенный сканер уязвимостей — вручную и в большом масштабе.
Начиная с этого обновления, вы сможете применять возможности Azure Defender для серверов, чтобы объединить программы управления уязвимостями для всех ресурсов в Azure и других средах.
Основные возможности:
- мониторинг состояния подготовки средства оценки уязвимостей на компьютерах Azure Arc;
- подготовка к работе интегрированного агента оценки уязвимостей для незащищенных компьютеров Azure Arc под управлением ОС Windows и Linux (вручную и в большом масштабе);
- получение и анализ обнаруженных уязвимостей от развернутых агентов (вручную и в большом масштабе);
- объединенный интерфейс для виртуальных машин Azure и компьютеров Azure Arc.
См. дополнительные сведения о развертывании интегрированного сканера уязвимостей Qualys на гибридных компьютерах.
См. дополнительные сведения о серверах с поддержкой Azure Arc.
Добавлена рекомендация Брандмауэра Azure (предварительная версия)
Добавлена новая рекомендация по защите всех виртуальных сетей с помощью Брандмауэр Azure.
Эта рекомендация — Virtual networks should be protected by Azure Firewall (Виртуальные сети должны быть защищены с помощью Брандмауэра Azure) — предлагает ограничить доступ к виртуальным сетям, чтобы избежать потенциальных угроз с помощью Брандмауэра Azure.
Дополнительные сведения о брандмауэре Azure.
Рекомендация "В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов" обновлена с помощью быстрого исправления
Для рекомендации В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов выпущено быстрое исправление.
Сведения об этой и всех других рекомендациях Центра безопасности см. в статье Рекомендации по безопасности — справочное руководство.
На панели мониторинга соответствия нормативным требованиям теперь есть параметр для удаления стандартов
Панель мониторинга соответствия нормативным требованиям в Центре безопасности предоставляет аналитические сведения о состоянии соответствия на основе того, как вы используете определенные средства и соблюдаете определенные требования.
Панель мониторинга включает набор нормативных стандартов по умолчанию. Если какой-либо из предоставляемых стандартов не имеет отношения к вашей организации, теперь достаточно удалить его через пользовательский интерфейс для подписки. Стандарты можно удалять только на уровне подписки. На уровне области группы управления такая возможность не поддерживается.
Дополнительные сведения см. в разделе Удаление стандарта с панели мониторинга.
Таблица Microsoft.Security/securityStatuses удалена из Azure Resource Graph (ARG)
Azure Resource Graph — это служба в Azure, которая обеспечивает эффективную оценку ресурсов с возможностью выполнения запросов к заданному набору подписок в большом масштабе, чтобы вы могли эффективно управлять своей средой.
При работе с Центром безопасности Azure вы можете применять ARG с языком запросов Kusto (KQL), чтобы получить расширенный набор данных о состоянии безопасности. Например:
- Инвентаризация ресурсов использует ARG.
- Мы описали простой запрос ARG для идентификации учетных записей, для которых не включена многофакторная проверка подлинности (MFA).
В ARG существуют таблицы данных, которые вы можете использовать в запросах.
Совет
В статье Таблица Azure Resource Graph и сведения о типах ресурсов из документации по ARG представлен список всех доступных таблиц.
Из этого обновления была удалена таблица Microsoft.Security/securityStatuses . API securityStatuses остается доступным.
В качестве замены можно использовать таблицу Microsoft.Security/Assessments.
Основное различие между таблицами Microsoft.Security/securityStatuses и Microsoft.Security/Assessments заключается в том, что первая отображала оценки в агрегированном виде, а вторая содержит отдельную запись для каждой оценки.
Например, таблица Microsoft.Security/securityStatuses вернула бы результат с массивом из двух экземпляров policyAssessments:
{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties: {
policyAssessments: [
{assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
{assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
],
securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
name: "GenericResourceHealthProperties",
type: "VirtualNetwork",
securitystate: "High"
}
В то время как Microsoft.Security/Assessments хранит запись для каждой такой оценки политики следующим образом:
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties: {
resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
displayName: "Azure DDOS Protection should be enabled",
status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}
{
type: "Microsoft.Security/assessments",
id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
displayName: "Audit diagnostic setting",
status: {code: "Unhealthy"}
}
Пример преобразования существующего запроса ARG с использованием таблицы securityStatuses для использования таблицы Assessments:
Запрос к таблице securityStatuses:
SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails
Новый запрос к таблице Assessments:
securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData
Дополнительные сведения см. по следующим ссылкам:
Сентябрь 2020 г.
В сентябре добавлены следующие обновления:
- Новый внешний вид Центра безопасности
- Выпуск Azure Defender
- Выпуск общедоступной версии Azure Defender для Key Vault
- Выпуск общедоступной версии Azure Defender для защиты хранилища файлов и ADLS 2-го поколения
- Выпуск общедоступной версии средств инвентаризации ресурсов
- Отключение определенного результата поиска уязвимостей при проверках реестров контейнеров и виртуальных машин
- Исключение ресурса из рекомендации
- Соединители AWS и GCP в Центре безопасности охватывают несколько облаков
- Пакет рекомендаций по защите рабочих нагрузок Kubernetes
- Результаты оценки уязвимостей теперь доступны в непрерывном экспорте
- Защита от ошибок в конфигурации безопасности благодаря принудительному применению рекомендаций при создании новых ресурсов
- Улучшения рекомендаций по группе безопасности сети
- Объявлена устаревшей рекомендация по AKS предварительной версии "В службах Kubernetes должны быть определены политики безопасности объекта pod"
- Улучшения уведомлений по электронной почте от Центра безопасности Azure
- Оценка безопасности не включает рекомендации предварительной версии
- В рекомендациях добавлены индикатор серьезности и интервал актуальности
У Центра безопасности новый внешний вид
Мы выпустили обновленный пользовательский интерфейс для страниц портала Центра безопасности. Добавлены новые страницы, в том числе страница обзора, и панели мониторинга для оценки безопасности, инвентаризации ресурсов и Azure Defender.
Обновленная страница обзорных сведений содержит плитку для доступа к панелям мониторинга для оценки безопасности, инвентаризации ресурсов и Azure Defender. Также на ней есть плитка, связанная с панелью мониторинга соответствия нормативным требованиям.
См. сведения о странице обзора.
Выпуск Azure Defender
Azure Defender — это облачная платформа защиты рабочих нагрузок (CWPP), интегрированная в Центр безопасности для расширенной интеллектуальной защиты рабочих нагрузок Azure и гибридных рабочих нагрузок. Это решение заменяет Центр безопасности ценовой категории "Стандартный".
При включении Azure Defender в области Цены и параметры в Центре безопасности Azure все следующие планы Defender активируются одновременно и обеспечивают комплексную защиту для уровней вычислений, данных и служб в вашей среде:
- Azure Defender для серверов
- Azure Defender для Службы приложений
- Azure Defender для служба хранилища
- Azure Defender для SQL
- Azure Defender для Key Vault
- Azure Defender для Kubernetes
- Azure Defender для реестров контейнеров
Каждый из этих планов отдельно описан в документации Центра безопасности.
Azure Defender предоставляет на специальной панели мониторинга оповещения системы безопасности и возможности Расширенной защиты от угроз для виртуальных машин, баз данных SQL, контейнеров, веб-приложений, сети и т. д.
См. сведения об Azure Defender.
Выпуск общедоступной версии Azure Defender для Key Vault
Azure Key Vault — это облачная служба, которая обеспечивает защиту ключей шифрования и секретов (например, сертификатов, строк подключения и паролей).
Azure Defender для Key Vault предоставляет реализованные в Azure возможности Расширенной защиты от угроз для Azure Key Vault с дополнительным уровнем аналитики безопасности. Azure Defender для Key Vault также защищает многие другие ресурсы, которые зависят от учетных записей Key Vault.
Выпущена общедоступная версия дополнительного плана. Эта функция была в предварительной версии как "расширенная защита от угроз для Azure Key Vault".
Кроме того, страницы Key Vault на портале Azure теперь содержат специальную страницу Безопасность для рекомендаций и оповещений Центра безопасности.
См. сведения об Azure Defender для Key Vault.
Выпуск общедоступной версии Azure Defender для защиты хранилища файлов и ADLS 2-го поколения
Azure Defender для службы хранилища обнаруживает потенциально опасные действия в учетных записях хранения Azure. Данные можно защитить независимо от того, хранятся ли они в виде контейнеров больших двоичных объектов, общих папок или озер данных.
Поддержка платформ Файлы Azure и Azure Data Lake Storage 2-го поколения стала общедоступной.
С 1 октября 2020 г. мы будем взимать плату за защиту ресурсов в этих службах.
См. сведения об Azure Defender для службы хранилища.
Выпуск общедоступной версии средств инвентаризации ресурсов
Страница инвентаризации ресурсов в Центре безопасности Azure позволяет просматривать состояние безопасности всех ресурсов, подключенных к Центру безопасности.
Центр безопасности периодически анализирует состояние безопасности ресурсов Azure, чтобы выявить потенциальные уязвимости. Затем он предоставляет рекомендации по устранению этих уязвимостей.
Если для каких-то ресурсов есть необработанные рекомендации, они будут отображаться в данных инвентаризации.
См. сведения об изучении ресурсов и управлении ими с помощью инвентаризации ресурсов.
Отключение определенного результата поиска уязвимостей при проверках реестров контейнеров и виртуальных машин
Azure Defender включает средства сканирования для проверки образов в Реестре контейнеров Azure и на виртуальных машинах.
Если правила вашей организации требуют игнорировать обнаруженную проблему, а не исправлять ее, вы можете исключить ее из результатов поиска. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.
Если результат поиска соответствует критерию, заданному в правилах отключения, он не будет отображаться в списке результатов.
Этот параметр доступен на страницах с подробными сведениями для следующих рекомендаций:
- Должны быть устранены уязвимости в образах Реестра контейнеров Azure
- Должны быть устранены уязвимости на ваших виртуальных машинах.
См. сведения об отключении определенных результатов поиска для образов контейнеров и виртуальных машин.
Исключение ресурса из рекомендации
Иногда случается так, что согласно определенной рекомендации ресурс получает статус неработоспособного (что снижает оценку безопасности), но вы считаете это неправильным. Например, ресурс мог был исправлен процессом, который не отслеживается Центром безопасности. Или ваша организация решила принять этот риск для определенного ресурса.
В таких случаях вы можете создать правило исключения, чтобы в будущем этот ресурс не попадал в список неработоспособных ресурсов. Такие правила могут содержать документированные обоснования, как описано ниже.
См. сведения об исключении ресурса из рекомендаций и оценки безопасности.
Соединители AWS и GCP в Центре безопасности охватывают несколько облаков
Так как облачные рабочие нагрузки часто распределяются между несколькими облачными платформами, облачные службы безопасности должны охватывать их все.
Центр безопасности Azure теперь защищает рабочие нагрузки, развернутые в Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).
При подключении проектов AWS и GCP в Центр безопасности она интегрирует Центр безопасности AWS, команду безопасности GCP и Центр безопасности Azure.
См. сведения о подключении к Центру безопасности Azure учетных записей AWS и проектов GCP.
Пакет рекомендаций по защите рабочих нагрузок Kubernetes
Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, Центр безопасности предоставляет рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.
Когда вы установили Политика Azure для Kubernetes в кластере AKS, каждый запрос к серверу API Kubernetes будет отслеживаться в отношении предопределенного набора рекомендаций перед сохранением в кластере. Вы можете настроить принудительное применение таких рекомендаций для всех будущих рабочих нагрузок.
Например, можно запретить создание привилегированных контейнеров, и тогда любой запрос такого типа будет блокироваться.
См. сведения о рекомендациях по защите рабочих нагрузок с использованием средств управления доступом в Kubernetes.
Результаты оценки уязвимостей теперь доступны в непрерывном экспорте
Используйте непрерывный экспорт для потоковой передачи оповещений и рекомендаций в Центры событий Azure, рабочие области Log Analytics и Azure Monitor. Отсюда эти данные можно интегрировать с системами SIEM (например, Azure Sentinel, Power BI, Azure Data Explorer и т. д.).
Встроенные средства оценки уязвимостей в Центре безопасности возвращают результаты поиска, связанные с ресурсами, в виде дочерних рекомендаций в родительской рекомендации, предлагая, например, исправить уязвимости на виртуальных машинах.
Результаты проверки безопасности теперь можно экспортировать через механизм непрерывного экспорта, выбрав нужные рекомендации и включив параметр Включить результаты проверки безопасности.
Связанные страницы:
- Интегрированное решение оценки уязвимостей виртуальных машин Qualys в Центре безопасности
- Интегрированное решение оценки уязвимостей образов в Реестре контейнеров Azure в Центре безопасности
- Непрерывный экспорт
Защита от ошибок в конфигурации безопасности благодаря принудительному применению рекомендаций при создании новых ресурсов
Ошибки в конфигурации безопасности являются частой причиной инцидентов безопасности. Центр безопасности теперь помогает предотвращать такие ошибки для новых ресурсов в соответствии с определенными рекомендациями.
Эта возможность помогает поддерживать безопасность рабочих нагрузок и стабилизировать оценку безопасности.
Вы можете применить безопасную конфигурацию на основе определенной рекомендации в двух режимах:
С помощью запрещенного режима Политика Azure можно остановить создание неработоспособных ресурсов
Используя примененный параметр, вы можете воспользоваться преимуществами эффекта DeployIfNotExist Политика Azure и автоматически устранять несоответствующие ресурсы при создании.
Эта возможность доступна в верхней части страницы сведений о ресурсах, но не для всех рекомендаций системы безопасности.
См. сведения о предотвращении ошибок конфигурации с помощью рекомендаций о применении и отклонении.
Улучшения рекомендаций по группе безопасности сети
Были улучшены следующие рекомендации по безопасности, связанные с группами безопасности сети, чтобы сократить количество некоторых ложноположительных результатов.
- Требуется ограничить доступ ко всем сетевым портам в связанной с виртуальной машиной группе безопасности сети
- Порты управления на виртуальных машинах должны быть закрыты.
- Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети.
- Подсети должны быть связаны с группой безопасности сети.
Объявлена устаревшей рекомендация по AKS предварительной версии "В службах Kubernetes должны быть определены политики безопасности объекта pod"
Рекомендация предварительной версии "В службах Kubernetes должны быть определены политики безопасности группы pod" теперь является устаревшей, как описано в документации по Службе Azure Kubernetes.
Функция политики безопасности объекта pod (предварительная версия) объявлена устаревшей и станет недоступной после 15 октября 2020 г. Вместо нее будет использоваться Политика Azure для AKS.
После этой даты политику безопасности pod (предварительная версия) нужно будет отключить на всех затронутых существующих кластерах, чтобы сохранить возможность обновления кластеров в будущем и обеспечить поддержку Azure.
Улучшения уведомлений по электронной почте от Центра безопасности Azure
Улучшены следующие аспекты отправки оповещений системы безопасности по электронной почте:
- включена возможность отправлять по электронной почте уведомления о предупреждениях для всех уровней серьезности;
- включена возможность уведомлять пользователей с разными ролями Azure в подписке;
- мы по умолчанию упреждающе уведомляем владельцев подписок об оповещениях высокого уровня серьезности (связанных с высокой вероятностью обнаружения брешей);
- мы удалили поле для номера телефона на странице настройки уведомлений по электронной почте
См. сведения о настройке отправки по электронной почте уведомлений об оповещениях системы безопасности.
Оценка безопасности не включает рекомендации предварительной версии
Центр безопасности постоянно оценивает ресурсы, подписки и организацию на предмет проблем безопасности. Затем он объединяет все результаты в одну оценку, чтобы вы могли понять текущее состояние системы безопасности: чем выше оценка, тем ниже выявленный уровень риска.
По мере обнаружения новых угроз в Центре безопасности становятся доступными новые рекомендации с советами по обеспечению безопасности. Чтобы вы могли предотвратить неожиданное изменение оценки безопасности и настроить период отсрочки для изучения рекомендаций, прежде чем они начнут влиять на оценки, рекомендации с отметкой Предварительная версия теперь не учитываются в оценке безопасности. При этом их по возможности все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку.
Кроме того, рекомендации предварительной версии не присваивают ресурсу состояние неработоспособного.
Пример рекомендации предварительной версии:
См. сведения об оценке безопасности.
В рекомендациях добавлены индикатор серьезности и интервал актуальности
На странице сведений для рекомендаций теперь отображаются индикатор актуальности рекомендации (где он применим) и уровень ее серьезности.
Август 2020 г.
В августе добавлены следующие обновления:
- Инвентаризация ресурсов — новое мощное представление состояния безопасности для ресурсов
- Включена поддержка параметров безопасности Azure Active Directory по умолчанию (для многофакторной проверки подлинности)
- Добавлены рекомендации для субъектов-служб
- Оценка уязвимостей на виртуальных машинах — рекомендации и политики объединены
- Новые политики безопасности AKS, добавленные в инициативу ASC_default
Инвентаризация ресурсов — новое мощное представление состояния безопасности для ресурсов
Инвентаризация ресурсов Центра безопасности (сейчас доступна в предварительной версии) позволяет просматривать уровень безопасности ресурсов, подключенных к Центру безопасности.
Центр безопасности периодически анализирует состояние безопасности ресурсов Azure, чтобы выявить потенциальные уязвимости. Затем он предоставляет рекомендации по устранению этих уязвимостей. Если для каких-то ресурсов есть необработанные рекомендации, они будут отображаться в данных инвентаризации.
Вы можете использовать это представление и фильтры в нем для изучения данных о состоянии безопасности и выполнения дополнительных действий с учетом полученных результатов.
См. сведения об инвентаризации ресурсов.
Включена поддержка параметров безопасности Azure Active Directory по умолчанию (для многофакторной проверки подлинности)
В Центре безопасности включена полная поддержка параметров безопасности по умолчанию (предоставляется корпорацией Майкрософт бесплатно для защиты удостоверений).
Параметры безопасности по умолчанию — это предварительно настроенная конфигурация безопасности для защиты удостоверений организации от распространенных атак, связанных с удостоверениями. Параметры безопасности по умолчанию уже помогают защитить более 5 000 000 арендаторов во всем мире, а Центр безопасности — 50 000 арендаторов.
Центр безопасности теперь предоставляет рекомендации по безопасности, если он определяет подписку Azure без включенных параметров безопасности по умолчанию. Ранее Центр безопасности рекомендовал включать многофакторную проверку подлинности с использованием условного доступа в рамках лицензии Azure Active Directory (AD) уровня "Премиум". Теперь для клиентов, которые используют бесплатную версию Azure AD, мы рекомендуем включать параметры безопасности по умолчанию.
Мы хотим, чтобы как можно больше клиентов настроили MFA для защиты облачных сред, снизив один из самых высоких рисков, которые влияют на оценку безопасности.
См. сведения о параметрах безопасности по умолчанию.
Добавлены рекомендации для субъектов-служб
Добавлена новая рекомендация, которая рекомендует клиентам Центра безопасности, использующим сертификаты управления для управления подписками, переключаться на субъекты-службы.
Эта рекомендация (Для защиты подписок вместо сертификатов управления следует использовать субъекты-службы) информирует о том, что использование субъектов-служб или Azure Resource Manager позволяет более безопасно управлять подписками.
См. сведения об использовании объектов субъектов-служб и приложений в Azure Active Directory.
Оценка уязвимостей на виртуальных машинах — рекомендации и политики объединены
Центр безопасности проверяет, используют ли виртуальные машины решение для оценки уязвимостей. Если решение для оценки уязвимостей не найдено, Центр безопасности рекомендует упростить развертывание.
При обнаружении уязвимостей Центр безопасности предоставляет рекомендацию с обобщенными результатами поиска, чтобы вы могли при необходимости исследовать и устранить проблемы.
Чтобы обеспечить согласованный интерфейс для всех пользователей независимо от используемого типа средства проверки, мы объединили четыре рекомендации в следующие две:
| Единая рекомендация | Описание изменения |
|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Заменяет следующие две рекомендации: *****Активируйте встроенное решение оценки уязвимостей на виртуальных машинах (на платформе Qualys) (устаревшая; отображается для уровня "Стандартный"). *****Необходимо установить решение "Оценка уязвимостей" на виртуальных машинах (устаревшая; отображается для уровней "Стандартный" и "Бесплатный"). |
| Должны быть устранены уязвимости на ваших виртуальных машинах. | Заменяет следующие две рекомендации: *****Устраните уязвимости, обнаруженные на виртуальных машинах (на платформе Qualys) (устаревшая). *****Уязвимости должны быть устранены с помощью решения для оценки уязвимостей (устаревшая). |
Теперь вы будете использовать ту же рекомендацию для развертывания расширения оценки уязвимостей Центра безопасности или частного лицензированного решения (BYOL) от партнера, такого как Qualys или Rapid 7.
Кроме того, если Центр безопасности получает сведения об обнаружении уязвимостей, одна рекомендация проинформирует вас о результатах поиска независимо от используемого решения для оценки уязвимостей.
Обновление зависимостей
Если у вас есть скрипты, запросы или автоматизации, которые ссылаются на упомянутые рекомендации, ключи или имена политик, обновите эти ссылки в соответствии со следующими таблицами.
До августа 2020 года
| Рекомендация | Область |
|---|---|
| Активируйте встроенное решение оценки уязвимостей на виртуальных машинах (на платформе Qualys) Ключ: 550e890b-e652-4d22-8274-60b3bdb24c63 |
Встроенный |
| Устранение уязвимостей, обнаруженных на виртуальных машинах (на платформе Qualys) Ключ: 1195afff-c881-495e-9bc5-1486211ae03f |
Встроенный |
| Необходимо установить решение "Оценка уязвимостей" на виртуальных машинах Ключ: 01b1ed4c-b733-4fee-b145-f23236e70cf3 |
BYOL |
| Уязвимости должны быть устранены с помощью решения для оценки уязвимостей Ключ: 71992a2a-d168-42e0-b10e-6b45fa2ecddb |
BYOL |
| Политика | Область |
|---|---|
| На виртуальных машинах должна быть включена оценка уязвимостей Идентификатор политики: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Встроенный |
| Уязвимости должны быть устранены с помощью решения для оценки уязвимостей Идентификатор политики: 760a85ff-6162-42b3-8d70-698e268f648c |
BYOL |
После августа 2020 года
| Рекомендация | Область |
|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах Ключ: ffff0522-1e88-47fc-8382-2a80ba848f5d |
Встроено, с использованием собственной лицензии |
| Должны быть устранены уязвимости на ваших виртуальных машинах. Ключ: 1195afff-c881-495e-9bc5-1486211ae03f |
Встроено, с использованием собственной лицензии |
| Политика | Область |
|---|---|
| На виртуальных машинах должна быть включена оценка уязвимостей Идентификатор политики: 501541f7-f7e7-4cd6-868c-4190fdad3ac9 |
Встроено, с использованием собственной лицензии |
Новые политики безопасности AKS, добавленные в инициативу ASC_default
Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, Центр безопасности предоставляет политики и рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.
Ранний этап этого проекта включает предварительную версию и добавление новых (отключенных по умолчанию) политик в инициативу ASC_default.
Вы можете спокойно игнорировать эти политики, так как они не влияют на вашу среду. Если вы захотите включить их, зарегистрируйтесь для использования предварительной версии в закрытом сообществе по безопасности Microsoft Cloud и выберите один из следующих вариантов:
- Одна предварительная версия— присоединение только к этой предварительной версии . Явным образом укажите ASC Continuous Scan (Непрерывная проверка ASC) в качестве нужной предварительной версии.
- Ongoing Program (Текущая программа) — использование не только этой, но и всех последующих закрытых предварительных версий. Вам будет предложено заполнить профиль и принять соглашение о конфиденциальности.
Июль 2020
В июле добавлены следующие обновления:
- Оценка уязвимостей виртуальных машин теперь доступна для образов, которые не доступны в Marketplace
- Защита от угроз для службы хранилища Azure предоставляется для Файлов Azure и Azure Data Lake Storage 2-го поколения (предварительная версия)
- Восемь новых рекомендаций для включения возможностей защиты от угроз
- Улучшения защиты контейнеров — ускоренная проверка и обновленная документация
- Адаптивные элементы управления приложениями включают новые рекомендации и позволяют использовать подстановочные знаки в правилах путей
- Шесть политик для расширенной безопасности данных SQL объявлены устаревшими
Оценка уязвимости виртуальных машин стала доступной для образов, не предназначенных для Marketplace
При развертывании решения оценки уязвимостей Центр безопасности ранее выполнил проверку проверка перед развертыванием. Эта проверка подтверждала наличие SKU для Marketplace на целевой виртуальной машине.
В этом обновлении проверка удалены и теперь можно развернуть средства оценки уязвимостей на пользовательских компьютерах Windows и Linux. Пользовательскими считаются те образы, на которых что-то изменено по сравнению с конфигурацией по умолчанию из Marketplace.
Но независимо от возможности развертывать интегрированное расширение для оценки уязвимостей (на платформе Qualys) на большом числе новых компьютеров, поддержка предоставляется только для тех ОС, которые перечислены в разделе Развертывание интегрированного средства проверки уязвимостей на виртуальных машинах.
См. сведения об интегрированном средстве проверки уязвимостей для виртуальных машин (требуется наличие Azure Defender).
Дополнительные сведения об использовании собственного решения для оценки уязвимостей с частной лицензией из Qualys или Rapid7развертывании решения для сканирования уязвимостей партнера.
Защита от угроз для службы хранилища Azure предоставляется для Файлов Azure и Azure Data Lake Storage 2-го поколения (предварительная версия)
Защита от угроз для службы хранилища обнаруживает потенциально опасные действия в учетных записях хранения Azure. Центр безопасности отображает оповещения об обнаруженных попытках получения доступа или эксплойтов в учетных записях хранения.
Данные можно защитить независимо от того, хранятся ли они в виде контейнеров больших двоичных объектов, общих папок или озер данных.
Восемь новых рекомендаций для включения возможностей защиты от угроз
Добавлены восемь новых рекомендаций, которые позволяют легко включить возможности Центра безопасности Azure для защиты от уязвимостей в ресурсах следующих типов: виртуальные машины, планы службы приложений, серверы Базы данных SQL Azure, серверы SQL на отдельных компьютерах, учетные записи хранения в службе хранилища Azure, кластеры Службы Azure Kubernetes, реестры Реестра контейнеров Azure и хранилища Azure Key Vault.
Вот эти новые рекомендации:
- На серверах Базы данных SQL Azure должна быть включена Расширенная защита данных
- Для серверов SQL на компьютерах должна быть включена Расширенная защита данных
- Для планов Службы приложений Azure должна быть включена Расширенная защита от угроз
- Для реестров в службе "Реестр контейнеров Azure" должна быть включена Расширенная защита от угроз
- Для хранилищ в службе Azure Key Vault должна быть включена Расширенная защита от угроз
- Для кластеров в Службе Azure Kubernetes должна быть включена Расширенная защита от угроз
- Для учетных записей службы хранилища Azure должна быть включена Расширенная защита от угроз
- На виртуальных машинах должна быть включена Расширенная защита от угроз
Каждая из них содержит функцию быстрого исправления.
Внимание
Применение любой из этих рекомендаций предусматривает плату за защиту соответствующих ресурсов. Плата будет начислена немедленно, если у вас есть необходимые ресурсы в текущей подписке. Если вы добавите их позже, плата будет начисляться с момента добавления.
Например, если в текущей подписке нет кластеров Azure Kubernetes, при включении защиты от угроз плата не будет взиматься. Если позже вы добавите кластер в эту подписку, к нему будет автоматически применена как защита, за что будет начислена плата.
См. сведения о каждой из этих рекомендаций по обеспечению безопасности.
Дополнительные сведения см. в статье Защита от угроз с помощью Центра безопасности Azure.
Улучшения защиты контейнеров — ускоренная проверка и обновленная документация
Мы рады сообщить о непрерывных улучшениях в области защиты контейнеров, в частности о заметном повышении производительности динамических проверок Центра безопасности, выполняемых для образов контейнеров, хранящихся в Реестре контейнеров Azure. Теперь проверки выполняются примерно за две минуты. Но в некоторых случаях может потребоваться до 15 минут.
Для повышения четкости и качества рекомендаций о возможностях Центра безопасности Azure в отношении защиты контейнеров мы также обновили страницы документации по обеспечению безопасности контейнеров.
Сведения о возможностях Центра безопасности для защиты контейнеров см. в следующих статьях:
- Защита контейнеров в Центре безопасности
- Интеграция с Реестром контейнеров Azure
- Интеграция со Службой Azure Kubernetes
- Проверка реестров и защита узлов Docker
- Оповещения системы безопасности от функций защиты от угроз для кластеров службы Kubernetes Azure
- Рекомендации по безопасности для контейнеров
Адаптивные элементы управления приложениями включают новые рекомендации и позволяют использовать подстановочные знаки в правилах путей
Адаптивные элементы управления приложениями были существенно обновлены:
Новая рекомендация определяет потенциально допустимое поведение, которое ранее было запрещено. Новая рекомендация (Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями) предлагает добавить к существующей политике новые правила, чтобы сократить число ложноположительных результатов в оповещениях о нарушении работы адаптивных элементов управления приложениями.
Правила путей теперь позволяют использовать подстановочные знаки. Начиная с этого обновления, вы можете настраивать правила разрешенных путей с использованием подстановочных знаков. Поддерживаются два сценария работы:
Использование wild карта в конце пути, чтобы разрешить все исполняемые файлы в этой папке и вложенных папках.
Использование подстановочного знака в середине пути, чтобы разрешить исполняемый файл с известным именем в папках с разными именами (например, в сценариях с личными папками пользователей с известным исполняемым файлом, автоматически создаваемыми именами папок и т. д.).
Дополнительные сведения об адаптивных элементах управления приложениями.
Шесть политик для расширенной безопасности данных SQL объявлены устаревшими
Объявлены устаревшими следующие шесть политик, связанных с расширенной безопасностью данных для компьютеров SQL:
- Для параметра "Типы Расширенной защиты от угроз" в параметрах Расширенной защиты данных Управляемого экземпляра SQL необходимо установить значение "Все".
- Для параметра "Типы Расширенной защиты от угроз" в параметрах Расширенной защиты данных SQL Server необходимо установить значение "Все".
- Параметры расширенной защиты данных для управляемого экземпляра SQL должны содержать адрес электронной почты для получения оповещений системы безопасности
- Параметры Расширенной защиты данных для сервера SQL должны содержать адрес электронной почты для получения оповещений системы безопасности
- Уведомления по электронной почте для администраторов и владельцев подписок следует включить в параметрах расширенной защиты данных для управляемого экземпляра SQL
- Уведомления по электронной почте для администраторов и владельцев подписок следует включить в параметрах расширенной защиты данных для сервера SQL
См. сведения о встроенных политиках.
Июнь 2020 г.
В июне добавлены следующие обновления:
- API оценки безопасности (предварительная версия)
- Расширенная защита данных для компьютеров SQL (в Azure, других облаках и локальной среде) (предварительная версия)
- Две новые рекомендации по развертыванию агента Log Analytics на компьютерах Azure Arc (предварительная версия)
- Новые политики для создания непрерывного экспорта и конфигураций автоматизации рабочих процессов в большом масштабе
- Новая рекомендация по использованию групп безопасности сети для защиты виртуальных машин, не подключенных к Интернету
- Новые политики для включения защиты от угроз и расширенной защиты данных
API оценки безопасности (предварительная версия)
Теперь вы можете получить доступ к оценке через API оценки безопасности (предварительная версия). Методы этого API позволяют гибко выполнять запросы к данным и создавать собственные механизмы создания отчетов об оценках безопасности за разные периоды. Например, API оценки безопасности позволяет получить оценку для конкретной подписки. Кроме того, с помощью API элементов управления оценкой безопасности можно составить список элементов управления безопасностью и текущие оценки для всех подписок.
Примеры внешних средств, которые можно реализовать с помощью API оценки безопасности, см. в разделе оценок безопасности в сообществе GitHub.
См. сведения об оценке безопасности и элементах управления безопасностью в Центре безопасности Azure.
Расширенная защита данных для компьютеров SQL (в Azure, других облаках и локальной среде) (предварительная версия)
Расширенная защита данных в Центре безопасности Azure для компьютеров SQL теперь защищает экземпляры SQL Server, размещенные в Azure, других облачных средах и даже на локальных компьютерах. Это позволяет обеспечить в гибридной среде такую же защиту экземпляров SQL Server, как и в Azure.
Расширенная защита данных предоставляет оценку уязвимостей и расширенную защиту от угроз для компьютеров SQL в любом расположении.
Настройка включает два шага:
развертывание агента Log Analytics на компьютере с SQL Server для подключения к учетной записи Azure;
включение дополнительного пакета на странице цен и параметров Центра безопасности.
См. сведения о расширенной защите данных для компьютеров SQL.
Две новые рекомендации по развертыванию агента Log Analytics на компьютерах Azure Arc (предварительная версия)
Добавлены две новые рекомендации, которые помогают развернуть агент Log Analytics на компьютерах Azure Arc и обеспечить их защиту с помощью Центра безопасности Azure:
- На виртуальных машинах Windows с Azure Arc должен быть установлен агент Log Analytics (предварительная версия)
- На виртуальных машинах Linux с Azure Arc должен быть установлен агент Log Analytics (предварительная версия)
Эти новые рекомендации будут отображаться в тех же четырех элементах управления безопасностью, что и существующая связанная рекомендация (Необходимо установить агент мониторинга на ваших компьютерах): исправление конфигураций системы безопасности, применение адаптивного элемента управления приложениями, применение системных обновлений и включение защиты конечных точек.
Рекомендации также включают возможность быстрого исправления для ускорения процесса развертывания.
Сведения об этих двух новых рекомендациях см. в таблице с рекомендациями по вычислительной среде и приложениям.
Сведения о том, как Центр безопасности Azure использует агент, см. в разделе Что такое агент Log Analytics?
См. сведения о расширениях для компьютеров Azure Arc.
Новые политики для создания непрерывного экспорта и конфигураций автоматизации рабочих процессов в большом масштабе
Автоматизация корпоративных процессов мониторинга и реагирования на инциденты может значительно ускорить процессы изучения и устранения инцидентов безопасности.
Чтобы развернуть конфигурации автоматизации в масштабе всей организации, примените следующие встроенные политики Azure DeployIfdNotExist для создания и настройки процедур непрерывного экспорта и автоматизации рабочих процессов.
Определения политик можно найти в Политике Azure.
| Goal | Политика | ИД политики |
|---|---|---|
| Непрерывный экспорт в центры событий | Развертывание экспортированных данных в центры событий для оповещений и рекомендаций Центра безопасности Azure | cdfcce10-4578-4ecd-9703-530938e4abcb |
| Непрерывный экспорт в рабочую область Log Analytics | Развертывание экспортированных данных в рабочей области Log Analytics для оповещений и рекомендаций Центра безопасности Azure | ffb6f416-7bd2-4488-8828-56585fef2be9 |
| Автоматизация рабочих процессов для оповещений системы безопасности | Развертывание средств автоматизации рабочих процессов для оповещений Центра безопасности Azure | f1525828-9a90-4fcf-be48-268cdd02361e |
| Автоматизация рабочих процессов для рекомендаций системы безопасности | Развертывание средств автоматизации рабочих процессов для рекомендаций Центра безопасности Azure | 73d6ab6c-2475-4850-afd6-43795f3492ef |
Начало работы с шаблонами автоматизации рабочих процессов.
Дополнительные сведения об использовании этих двух политик экспорта см. в разделах Настройка автоматизации рабочих процессов в большом масштабе с помощью представленных политик и Настройка непрерывного экспорта.
Новая рекомендация по использованию групп безопасности сети для защиты виртуальных машин, не подключенных к Интернету
Элемент управления безопасностью "Внедрение лучших методик обеспечения безопасности" теперь включает следующие новые рекомендации:
- Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети
Существующая рекомендация (Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети) ранее не учитывала разницу между виртуальными машинами, подключенными и не подключенными к Интернету. В обоих случаях создавалась рекомендация с высоким уровнем серьезности, если виртуальная машина не была назначена группе безопасности сети. Новая рекомендация исключает компьютеры, не подключенные к Интернету, чтобы сократить число ложноположительных результатов и избежать появления ненужных оповещений с высоким уровнем серьезности.
См. сведения в таблице с рекомендациями по использованию сети.
Новые политики для включения защиты от угроз и расширенной защиты данных
Перечисленные ниже новые определения политик добавлены в инициативу ASC_default, чтобы включить защиту от угроз или расширенную защиту данных для соответствующих типов ресурсов.
Определения политик можно найти в Политике Azure.
| Политика | ИД политики |
|---|---|
| На серверах Базы данных SQL Azure должна быть включена Расширенная защита данных | 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2 |
| Для серверов SQL на компьютерах должна быть включена Расширенная защита данных | 6581d072-105e-4418-827f-bd446d56421b |
| Для учетных записей службы хранилища Azure должна быть включена Расширенная защита от угроз | 308fbb08-4ab8-4e67-9b29-592e93fb94fa |
| Для хранилищ в службе Azure Key Vault должна быть включена Расширенная защита от угроз | 0e6763cc-5078-4e64-889d-ff4d9a839047 |
| Для планов Службы приложений Azure должна быть включена Расширенная защита от угроз | 2913021d-f2fd-4f3d-b958-22354e2bdbcb |
| Для реестров в службе "Реестр контейнеров Azure" должна быть включена Расширенная защита от угроз | c25d9a16-bc35-4e15-a7e5-9db606bf9ed4 |
| Для кластеров в Службе Azure Kubernetes должна быть включена Расширенная защита от угроз | 523b5cd1-3e23-492f-a539-13118b6d1e3a |
| На виртуальных машинах должна быть включена Расширенная защита от угроз | 4da35fc9-c9e7-4960-aec9-797fe7d9051d |
Дополнительные сведения см. в статье Защита от угроз с помощью Центра безопасности Azure.
Май 2020 г.
В мае добавлены следующие обновления:
- Правила подавления оповещений (предварительная версия)
- оценка уязвимостей виртуальных машин (общедоступная версия);
- изменения в JIT-доступе к виртуальным машинам;
- настраиваемые рекомендации перемещены в отдельный элемент управления безопасностью;
- добавлен переключатель для просмотра рекомендаций по элементам управления или в виде неструктурированного списка;
- расширен элемент управления безопасностью, отвечающий за внедрение рекомендаций по обеспечению безопасности;
- пользовательские политики с пользовательскими метаданными теперь общедоступны.
- Возможности анализа аварийного дампа, перенесенные в обнаружение атак без файлов
Правила подавления оповещений (предварительная версия)
Эта новая функция (сейчас доступна в предварительной версии) помогает сократить количество ненужных оповещений. С помощью правил можно автоматически скрывать оповещения, о которых точно известно, что они не связаны с какой-либо опасностью или относятся к обычным действиям в организации. Это позволяет сосредоточиться на наиболее важных оповещениях, связанных с угрозами.
Оповещения, которые соответствуют включенным правилам подавления, по-прежнему будут создаваться, но будут считаться закрытыми. Вы можете увидеть их состояние на портале Azure или воспользоваться любым привычным способом просмотра оповещений безопасности в Центре безопасности.
В правилах подавления определяются условия, в соответствии с которыми оповещения должны автоматически закрываться. Правила подавления обычно используются, чтобы:
подавлять оповещения, которые вы идентифицировали как ложные срабатывания;
подавлять оповещения, которые активируются слишком часто и потому бесполезны.
См. дополнительные сведения о подавлении оповещений из раздела "Защита от угроз" в Центре безопасности Azure.
Оценка уязвимостей виртуальных машин стала общедоступной
Уровень "Стандартный" Центра безопасности теперь включает в себя интегрированную оценку уязвимостей для виртуальных машин. Дополнительная плата не взимается. Это расширение работает на платформе Qualys, но возвращает результаты непосредственно в Центр безопасности. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Центре безопасности.
Новое решение может постоянно сканировать виртуальные машины, чтобы находить уязвимости и отображать результаты в Центре безопасности.
Чтобы развернуть решение, воспользуйтесь новой рекомендацией по безопасности:
"Включение встроенного решения для оценки уязвимостей на виртуальных машинах (на платформе Qualys)"
См. дополнительные сведения об интегрированной оценке уязвимостей для виртуальных машин в Центре безопасности.
Изменения в JIT-доступе на виртуальных машинах
В Центре безопасности имеется дополнительная функция, которая защищает порты управления виртуальных машин. Это обеспечивает защиту от наиболее распространенной формы атак методом подбора.
В данном обновлении представлены следующие изменения этой функции:
Рекомендация, которая рекомендует включить JIT на виртуальной машине, была переименована. Ранее "JIT-управление доступом к сети должно применяться на виртуальных машинах" теперь: "Порты управления виртуальными машинами должны быть защищены с помощью JIT-управления доступом к сети".
Эта рекомендация активируется только при наличии открытых портов управления.
См. дополнительные сведения о JIT-доступе.
Настраиваемые рекомендации перемещены в отдельный элемент управления безопасностью
Одним из элементов управления безопасностью, представленным с улучшенной оценкой безопасности, было "Реализация рекомендаций по обеспечению безопасности". Все пользовательские рекомендации, созданные для подписок, автоматически помещаются в этот элемент управления.
Чтобы упростить поиск пользовательских рекомендаций, мы переместили их в выделенный элемент управления безопасностью "Пользовательские рекомендации". Этот элемент управления не влияет на оценку безопасности.
Дополнительные сведения об элементах управления безопасностью см. в статье Улучшенная оценка безопасности (предварительная версия) в Центре безопасности Azure.
Добавлен переключатель для просмотра рекомендаций в элементах управления или в виде простого списка
Элементы управления безопасностью — это группы логически связанных рекомендаций по безопасности. Они соответствуют областям, уязвимым для атак. Средство управления — это набор рекомендаций по безопасности с инструкциями, которые помогут вам реализовать эти рекомендации.
Чтобы мгновенно понять, насколько хорошо ваша организация защищает каждую уязвимую область, просмотрите баллы для каждого элемента управления безопасностью.
По умолчанию рекомендации отображаются в элементах управления безопасностью. С выходом этого обновления их можно также отобразить в виде списка. Чтобы просмотреть их в виде простого списка, отсортированного по состоянию работоспособности затронутых ресурсов, воспользуйтесь новым переключателем "Группировать по элементам управления". Переключатель размещен на портале над списком.
Элементы управления безопасностью и этот переключатель — это составная часть нового интерфейса оценки безопасности. Не забудьте отправить нам свои отзывы через портал.
Дополнительные сведения об элементах управления безопасностью см. в статье Улучшенная оценка безопасности (предварительная версия) в Центре безопасности Azure.
Расширенный элемент управления безопасностью "Внедрение рекомендаций по обеспечению безопасности"
Одним из элементов управления безопасностью, представленным с расширенной оценкой безопасности, является "Реализация рекомендаций по обеспечению безопасности". Если рекомендация находится в этом элементе управления, она не влияет на оценку безопасности.
В данном обновлении три рекомендации перемещены из исходных элементов управления в этот. Мы сделали это, так как выяснили, что эти три рекомендации связаны с меньшим риском, чем считалось сначала.
Кроме того, появились две новые рекомендации, которые также добавлены в этот элемент управления.
Вот три рекомендации, которые были перемещены:
- Для учетных записей с разрешениями на чтение в вашей подписке должна быть включена многофакторная проверка подлинности (исходный элемент управления — "Включить MFA");
- Внешние учетные записи с разрешениями на чтение должны быть удалены из подписки (исходный элемент управления — "Настроить доступ и разрешения");
- Подписке должно быть назначено не более 3 владельцев (исходный элемент управления — "Настроить доступ и разрешения").
Вот две новые рекомендации, которые были добавлены в элемент управления:
На виртуальных машинах Windows должно быть установлено расширение гостевой конфигурации (предварительная версия) — использование гостевой конфигурации Политики Azure обеспечивает видимость виртуальных машин для параметров сервера и приложения (только для Windows).
На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender (предварительная версия) — Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows).
Дополнительные сведения об Exploit Guard в Защитнике Windows см. в статье Создание и развертывание политики Exploit Guard.
Сведения об элементах управления безопасностью см. в статье Улучшенная оценка безопасности (предварительная версия).
Настраиваемые политики с пользовательскими метаданными стали общедоступными
Настраиваемые политики теперь присутствуют в разделе рекомендаций Центра безопасности, в оценке безопасности и на панели мониторинга стандартов соответствия нормативным требованиям. Эта возможность стала общедоступной, так что вы можете расширить покрытие оценки безопасности для своей организации в Центре безопасности.
Создайте в Политике Azure пользовательскую инициативу, добавьте в нее политики, подключите ее к Центру безопасности Azure и представьте наглядно в виде рекомендаций.
Также добавлена возможность редактировать пользовательские метаданные рекомендаций. Возможны такие варианты метаданных, как серьезность, шаги для исправления, сведения об угрозах и многое другое.
См. статью об усовершенствовании пользовательских рекомендаций с помощью дополнительных сведений.
Возможности анализа аварийного дампа перенесены в компонент обнаружения бесфайловых атак
Возможности анализа аварийного дампа Windows (CDA) интегрированы в компонент обнаружения бесфайловых атак. Аналитика обнаружения бесфайловых атак обеспечивает улучшенные версии следующих оповещений системы безопасности для компьютеров с Windows: обнаружено внедрение кода, обнаружена маскировка под модуль Windows, обнаружен код оболочки, обнаружен подозрительный сегмент кода.
Вот некоторые из преимуществ этого переноса:
Упреждающее и своевременное обнаружение вредоносных программ. При использовании подхода CDA приходилось ожидать аварийного завершения работы и только потом выполнять анализ для поиска вредоносных артефактов. Обнаружение бесфайловых атак обеспечивает упреждающее выявление угроз в памяти во время их работы.
Более информативные оповещения. Оповещения системы безопасности, которые создает компонент обнаружения бесфайловых атак, содержат сведения, которых не предоставляет CDA, например информацию об активных сетевых подключениях.
Агрегирование оповещений. Когда CDA обнаруживает в одном аварийном дампе несколько шаблонов атак, создаются несколько оповещений системы безопасности. Компонент обнаружения бесфайловых атак объединяет все выявленные шаблоны атак из одного процесса в одно оповещение, тем самым устраняя необходимость соотносить несколько оповещений.
Снижение требований к рабочей области Log Analytics. Аварийные дампы, содержащие потенциально конфиденциальные данные, больше не передаются в рабочую область Log Analytics.
Апрель 2020 г.
В апреле добавлены следующие обновления:
- Динамические пакеты соответствия теперь общедоступны
- Рекомендации по идентификации теперь включены в бесплатный уровень Центр безопасности Azure
Динамические пакеты соответствия стали общедоступными
Панель мониторинга соответствия нормативным требованиям в Центре безопасности Azure теперь включает в себя динамические пакеты соответствия (уже общедоступные), позволяющие отслеживать дополнительные отраслевые и нормативные стандарты.
Пакеты динамического соответствия можно добавить в подписку или группу управления на странице политики безопасности в Центре безопасности. При подключении стандарта или эталона он отобразится на панели мониторинга "Соответствие требованиям" со всеми связанными данными соответствия, сопоставленными в виде оценок. Вы также сможете скачать сводный отчет по всем подключенным стандартам.
В настоящее время можно добавить следующие стандарты:
- NIST SP 800-53, ред. 4
- SWIFT CSP-CSCF, версия 2020
- UK Official и UK NHS
- Canada Federal PBMM
- Azure CIS 1.1.0 (новый) (это более полное представление Azure CIS 1.1.0)
Кроме того, недавно мы добавили Тест производительности системы безопасности Azure. Это руководства с рекомендациями по обеспечению безопасности и соответствия требованиям для Azure, подготовленные корпорацией Майкрософт на основе распространенных платформ соответствия. Поддержка дополнительных стандартов будет обеспечена на панели мониторинга по мере их появления.
См. дополнительные сведения о настройке набора стандартов на панели мониторинга соответствия нормативным требованиям.
Рекомендации по идентификации теперь предоставляются на уровне "Бесплатный" Центра безопасности Azure
Рекомендации по безопасности для идентификации и доступа на уровне "Бесплатный" Центра безопасности Azure теперь общедоступны. Это составляющая нашей инициативы по обеспечению бесплатного доступа к управлению состоянием безопасности облака (CSPM). До сегодняшнего дня эти рекомендации были доступны только в ценовой категории "Стандартный".
Примеры рекомендаций по идентификации и доступу:
- "Необходимо включить многофакторную проверку подлинности для учетных записей с разрешениями владельца для вашей подписки".
- "Подписке может быть назначено максимум три владельца".
- "Необходимо удалить устаревшие учетные записи из подписки".
Если у вас есть подписки ценовой категории "Бесплатный", это изменение повлияет на их оценки безопасности, так как эти подписки никогда не оценивались на предмет безопасности идентификации и доступа.
См. дополнительные сведения о рекомендациях по удостоверениям и доступу.
Дополнительные сведения см. в разделе Управление принудительной многофакторной проверкой подлинности (MFA) в подписках.
Март 2020 г.
В марте добавлены следующие обновления:
- Автоматизация рабочих процессов теперь общедоступна
- Интеграция Центр безопасности Azure с Центром Администратор Windows
- Защита Служба Azure Kubernetes
- Улучшенный JIT-интерфейс
- Две рекомендации по безопасности для веб-приложений устарели
Автоматизация рабочих процессов стала общедоступной
Функция автоматизации рабочих процессов Центра безопасности Azure теперь предоставляется в общедоступной версии. Используйте ее для автоматической активации Logic Apps в оповещениях и рекомендациях системы безопасности. Кроме того, доступны ручные триггеры для активации оповещений и всех рекомендаций с поддержкой быстрого исправления.
Каждая программа обеспечения безопасности включает несколько рабочих процессов для реагирования на инциденты. Эти процессы могут уведомлять соответствующих заинтересованных лиц, запускать операции управления изменениями и выполнять определенные действия для устранения проблем. Специалисты по безопасности рекомендуют автоматизировать максимальное количество этапов. Автоматизация сокращает издержки и может повысить безопасность, обеспечивая быстрое и согласованное выполнение этапов процесса в соответствии с предопределенными требованиями.
Дополнительные сведения о возможностях автоматического и ручного выполнения рабочих процессов в Центре безопасности см. в статье Автоматизация рабочих процессов.
См. дополнительные сведения о создании Logic Apps.
Интеграция Центра безопасности Azure с Windows Admin Center
Теперь можно переместить локальные серверы Windows из Windows Admin Center непосредственно в Центр безопасности Azure. Таким образом, Центр безопасности станет единым интерфейсом для просмотра сведений обо всех ресурсах Windows Admin Center, включая локальные серверы, виртуальные машины и дополнительные рабочие нагрузки PaaS.
После перемещения сервера из Windows Admin Center в Центр безопасности Azure вы сможете:
- просматривать оповещения и рекомендации, касающиеся безопасности, в расширении Центра безопасности для Windows Admin Center;
- узнавать состояние безопасности и получать дополнительные подробные сведения об управляемых серверах из Windows Admin Center в Центре безопасности на портале Azure (или через API).
См. дополнительные сведения о том, как интегрировать Центр безопасности Azure с Windows Admin Center.
Защита для Службы Azure Kubernetes
К функциям обеспечения безопасности контейнеров Центра безопасности Azure добавлена защита службы Azure Kubernetes (AKS).
Популярная платформа Kubernetes с открытым исходным кодом используется так широко, что теперь является отраслевым стандартом для оркестрации контейнеров. Несмотря на такую популярность платформы Kubernetes, вопросы ее защиты все еще недостаточно проработаны. Чтобы защитить контейнерное приложение по возможным направлениям атак, требуется обеспечить настройку безопасной конфигурации инфраструктуры и постоянный мониторинг потенциальных угроз.
Защита Центра безопасности включает следующие возможности:
- Обнаружение и видимость. Это непрерывное обнаружение управляемых экземпляров AKS в подписках, зарегистрированных в Центре безопасности.
- Рекомендации по безопасности. Это практические рекомендации, которые помогут внедрить лучшие методики обеспечения безопасности для AKS. Они включены в вашу оценку безопасности и поэтому отображаются в сведениях о состоянии безопасности вашей организации. Пример рекомендации, связанной с AKS, — "Управление доступом на основе ролей должно использоваться для ограничения доступа к кластеру служб Kubernetes".
- Защита от угроз. Благодаря непрерывному анализу развернутой службы AKS Центр безопасности предупреждает об угрозах и вредоносных действиях, обнаруженных на уровне узла и кластера AKS.
См. дополнительные сведения об интеграции Службы Azure Kubernetes с Центром безопасности.
См. дополнительные сведения о возможностях защиты контейнеров в Центре безопасности.
Улучшенный интерфейс для JIT
Возможности, функции и пользовательский интерфейс средств JIT в Центре безопасности Azure, предназначенных для защиты портов управления, усовершенствованы следующим образом.
- Поле обоснования. При запросе доступа к виртуальной машине через страницу JIT на портале Microsoft Azure предусмотрено новое необязательное поле для ввода обоснования. Сведения, введенные в этом поле, можно отслеживать в журнале действий.
- Автоматическая очистка избыточных правил JIT. Когда вы обновляете политику JIT, автоматически запускается средство очистки, которое проверяет действительность всего набора правил. Средство ищет несоответствия между правилами в политике и правилами в группе безопасности сети. Если средство очистки обнаруживает несоответствие, оно определяет причину и, когда это можно сделать без угрозы для безопасности, удаляет встроенные правила, которые больше не нужны. Средство очистки никогда не удаляет созданные вами правила.
См. дополнительные сведения о JIT-доступе.
Две рекомендации по безопасности для веб-приложений устарели
Две рекомендации по обеспечению безопасности, связанные с веб-приложениями, объявляются нерекомендуемыми:
рекомендация сделать более строгими правила для веб-приложений в группах безопасности сети IaaS (Связанная политика: правила групп безопасности сети для веб-приложений в IaaS должны быть затвердены)
рекомендация ограничить доступ к службам приложений (Связанная политика: доступ к Служба приложений должен быть ограничен [предварительная версия])
Эти рекомендации больше не будут отображаться в списке рекомендаций Центра безопасности. Связанные политики больше не будут включаться в инициативу "Центр безопасности — по умолчанию".
См. дополнительные сведения о рекомендациях по безопасности.
Февраль 2020 г.
Обнаружение бесфайловых атак для Linux (предварительная версия)
Злоумышленники все чаще используют более скрытые методы, чтобы избежать обнаружения. Поэтому в Центре безопасности Azure реализована функция обнаружения бесфайловых атак для Linux (в дополнение к Windows). При бесфайловых атаках эксплуатируются уязвимости программного обеспечения и в благоприятные системные процессы вставляются вредоносные полезные данные, которые скрываются в памяти. Эти методы делают следующее:
- минимизируют или исключают следы вредоносных программ на диске;
- значительно уменьшают вероятность обнаружения с помощью решений для проверки диска на наличие вредоносных программ.
Чтобы обеспечить противодействие этой угрозе, в октябре 2018 г. в Центре безопасности Azure был представлен компонент обнаружения бесфайловых атак для Windows, а теперь эта возможность добавлена и для Linux.
Январь 2020 г.
Улучшенная оценка безопасности (предварительная версия)
Улучшенная оценка безопасности в Центре безопасности Azure теперь доступна в виде предварительной версии. В этой версии рекомендации группируются в элементы управления безопасностью, которые лучше соответствуют уязвимым направлениям атак (например, ограничивают доступ к портам управления).
Ознакомьтесь с изменениями средств оценки безопасности на этапе предварительной версии и определите другие исправления, которые помогут вам защитить среду.
См. дополнительные сведения об улучшенной оценке безопасности (предварительная версия).
Ноябрь 2019 г.
В ноябре добавлены следующие обновления:
- Защита от угроз для Azure Key Vault в регионах Северной Америки (предварительная версия)
- Защита от угроз для служба хранилища Azure включает проверку репутации вредоносных программ
- Автоматизация рабочих процессов с помощью Logic Apps (предварительная версия)
- Быстрое исправление общих ресурсов
- Сканирование образов контейнеров для уязвимостей (предварительная версия)
- Дополнительные стандарты соответствия нормативным требованиям (предварительная версия)
- Защита от угроз для Служба Azure Kubernetes (предварительная версия)
- Оценка уязвимостей виртуальной машины (предварительная версия)
- Расширенная безопасность данных для серверов SQL server в Azure Виртуальные машины (предварительная версия)
- Поддержка пользовательских политик (предварительная версия)
- Расширение Центр безопасности Azure охвата платформой для сообщества и партнеров
- Расширенная интеграция с экспортом рекомендаций и оповещений (предварительная версия)
- Подключение локальных серверов к Центру безопасности из Центра Администратор Windows (предварительная версия)
Защита от угроз для Azure Key Vault в регионах Северной Америки (предварительная версия)
Azure Key Vault — это важная служба для защиты данных и улучшения производительности облачных приложений. Она позволяет централизованно управлять ключами, секретами, криптографическими ключами и политиками в облаке. Так как в Azure Key Vault хранятся конфиденциальные и критически важные для бизнеса данные, нужно обеспечить максимальную защиту для хранилищ ключей и содержащихся в них данных.
Поддержка Центром безопасности Azure защиты от угроз для Azure Key Vault обеспечивает дополнительный уровень аналитики безопасности для обнаружения нетипичных и потенциально опасных попыток доступа или использования хранилищ ключей. Этот новый уровень защиты позволяет клиентам устранять угрозы для хранилищ ключей, даже не обладая экспертными знаниями в области безопасности или управления системами мониторинга безопасности. Эта функция предоставляется в общедоступной предварительной версии в регионах Северной Америки.
Защита от угроз для службы хранилища Azure содержит функцию проверки репутации вредоносных программ
Защита от угроз для службы хранилища Azure предусматривает новые возможности обнаружения на базе Microsoft Threat Intelligence. Эти возможности включают обнаружение загрузок вредоносных программ в службу хранилища Azure с помощью анализа репутации хэша и подозрительных попыток доступа с активного выходного узла Tor (прокси-сервер анонимизации). Теперь данные об обнаруженных вредоносных программах в учетных записях хранения можно просматривать в Центре безопасности Azure.
Автоматизация рабочих процессов с помощью Logic Apps (предварительная версия)
Организации, в которых выполняется централизованное управление безопасностью, ИТ-средой и операциями, внедряют внутренние рабочие процессы для выполнения требуемых действий при обнаружении несоответствий в их средах. Во многих случаях эти рабочие процессы являются повторяемыми, и автоматизация может значительно оптимизировать процессы в организации.
Сегодня мы представляем новую возможность в Центре безопасности, которая позволяет клиентам создавать конфигурации для автоматизации с помощью Azure Logic Apps. Клиенты также могут создавать политики, которые будут автоматически запускать эти конфигурации на основе определенных результатов, полученных службой ASC, таких как рекомендации или оповещения. Можно настроить приложение Azure Logic Apps для выполнения любого действия, поддерживаемого обширным сообществом соединителей Logic Apps, или воспользоваться одним из шаблонов Центра безопасности, например для отправки сообщения электронной почты или открытия запроса в ServiceNow™.
Дополнительные сведения о возможностях автоматического и ручного выполнения рабочих процессов в Центре безопасности см. в статье Автоматизация рабочих процессов.
Сведения о создании приложений Logic Apps см. в статье Azure Logic Apps.
Общедоступная функция быстрого исправления множества ресурсов
После Оценки безопасности пользователь получает ряд заданий, что затрудняет эффективное устранение проблем в пределах большого парка ресурсов.
Используйте исправление быстрого исправления для устранения ошибок безопасности, устранения рекомендаций по нескольким ресурсам и повышения оценки безопасности.
Это позволяет выбрать ресурсы, к которым нужно применить исправление, и запустить действие исправления, которое настроит параметр от вашего имени.
В настоящее время функция быстрого исправления является общедоступной для клиентов на странице рекомендаций Центра безопасности.
Ознакомьтесь с рекомендациями, поддерживающими функцию быстрого исправления, в Справочном руководстве по рекомендациям по безопасности.
Сканирование образов контейнеров на наличие уязвимостей (предварительная версия)
Центр безопасности Azure теперь может сканировать образы контейнеров в Реестре контейнеров Azure на уязвимости.
При сканировании образов выполняется анализ файла образа контейнера, который затем проверяется на наличие известных уязвимостей (с помощью решения Qualys).
Само сканирование автоматически запускается при отправке новых образов контейнеров в Реестр контейнеров Azure. Обнаруженные уязвимости отображаются в виде рекомендаций Центра безопасности и добавляются в оценку безопасности вместе со сведениями об их исправлении для сокращения направлений соответствующих атак.
Дополнительные стандарты соответствия нормативным требованиям (предварительная версия)
Панель мониторинга "Соответствие нормативным требованиям" содержит аналитические сведения о вашем соответствии требованиям с учетом оценок, выставленных Центром безопасности. С помощью этой панели мониторинга вы узнаете, насколько ваша среда соответствует механизмам управления и требованиям, обусловленным определенными нормативными и отраслевыми стандартами, а также получите рекомендации по выполнению этих требований.
На сегодняшний день панель мониторинга соответствия нормативным требованиям поддерживает четыре встроенных стандарта: Azure CIS 1.1.0, PCI-DSS, ISO 27001 и SOC-TSP. Теперь мы объявляем общедоступный предварительный выпуск дополнительных поддерживаемых стандартов: NIST SP 800-53 R4, SWIFT CSP CSCF версии 2020, Канада Федеральный PBMM и UK Official вместе с UK NHS. Мы также выпускаем обновленную версию Azure CIS 1.1.0, охватывающую больше средств контроля из стандартной и улучшенной расширяемости.
Защита от угроз для Службы Azure Kubernetes
Kubernetes быстро превращается в новый стандарт для развертывания программного обеспечения и управления им в облаке. Немногие могут похвастаться широким опытом работы с Kubernetes, причем пользователи часто фокусируются на общем инжиниринге и администрировании, не уделяя достаточного внимания безопасности. Среду Kubernetes нужно тщательно настроить, чтобы исключить бреши в системе безопасности, которыми могут воспользоваться злоумышленники для своих атак. Поддержка контейнеров с помощью Центра безопасности теперь доступна для одной из наиболее динамично развивающихся служб из семейства Azure: Службы Azure Kubernetes (AKS).
Ниже перечислены новые возможности, доступные в этом выпуске предварительной версии.
- Обнаружение и видимость. Это непрерывное обнаружение управляемых экземпляров AKS в подписках, зарегистрированных в Центре безопасности.
- Рекомендации по оценке безопасности. Это действия, которые помогут клиентам обеспечить соответствие рекомендациям по обеспечению безопасности для AKS и повысить оценку безопасности. Пример рекомендации: "Для ограничения доступа к кластеру службы Kubernetes следует использовать управление доступом на основе ролей".
- Обнаружение угроз. Это аналитика на основе узла и кластера, например "Обнаружен привилегированный контейнер".
Оценка уязвимостей виртуальных машин (предварительная версия)
Приложения, установленные на виртуальных машинах, часто могут иметь уязвимости, что может привести к нарушению безопасности виртуальной машины. Мы объявляем, что уровень "Стандартный" Центра безопасности теперь включает в себя интегрированную оценку виртуальных машин без дополнительной платы. Оценка уязвимостей на платформе Qualys в общедоступной предварительной версии позволяет непрерывно сканировать все установленные приложения на виртуальной машине, чтобы найти уязвимые приложения и представить результаты на портале Центра безопасности. Центр безопасности отвечает за все операции по развертыванию, поэтому пользователю не нужно проделывать лишнюю работу. В дальнейшем мы планируем предоставить варианты оценки уязвимостей, соответствующие уникальным бизнес-потребностям клиентов.
Дополнительные сведения об оценке уязвимостей для виртуальных машин Azure.
Расширенная защита данных для серверов SQL Server на виртуальных машинах Azure (предварительная версия)
Теперь в Центре безопасности Azure доступна предварительная версия механизма поддержки защиты от угроз и оценки уязвимостей для баз данных SQL, запущенных на виртуальных машинах IaaS.
Оценка уязвимостей —это простая в настройке служба, которая может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. Эта служба позволяет получить представление о состоянии безопасности в рамках оценки безопасности и предлагает практические действия для устранения проблем безопасности и усиления защиты базы данных.
Расширенная защита от угроз выявляет подозрительную активность, указывающую на нетипичные и потенциально опасные попытки доступа к серверу SQL Server или его использования. Эта служба непрерывно отслеживает базу данных для выявления подозрительных действий и немедленно создает оповещения системы безопасности об аномальных шаблонах доступа к базам данных. Эти оповещения содержат сведения о подозрительных операциях и рекомендации о том, как исследовать причину угрозы и устранить ее.
Поддержка настраиваемых политик (предварительная версия)
Теперь Центр безопасности Azure поддерживает пользовательские политики (в предварительной версии).
Наши клиенты давно хотели расширить имеющийся диапазон оценок безопасности в Центре безопасности за счет собственных оценок на основе политик, создаваемых в Политике Azure. Это стало возможным благодаря поддержке пользовательских политик.
Эти новые политики станут частью рекомендаций Центра безопасности, Оценки безопасности и панели мониторинга соответствия нормативным требованиям и стандартам. Благодаря поддержке настраиваемых политик теперь можно создать настраиваемую инициативу в Политике Azure, а затем добавить ее как политику в Центре безопасности и визуализировать в качестве рекомендации.
Расширение возможностей Центра безопасности Azure с помощью платформы для членов сообщества и партнеров
Используйте Центр безопасности, чтобы получать рекомендации не только от корпорации Майкрософт, но и из существующих решений партнеров, таких как Check Point, Tenable и CyberArk, а также многих других ожидаемых интеграций. Простой поток подключения Центра безопасности позволяет подключать существующие решения к Центру безопасности, обеспечивая централизованный просмотр рекомендаций по обеспечению безопасности, запуск унифицированных отчетов и использование всех возможностей Центра безопасности в отношении встроенных и партнерских рекомендаций. Кроме того, рекомендации Центра безопасности можно экспортировать в продукты партнеров.
Дополнительные сведения об Ассоциации информационной безопасности Майкрософт.
Расширенные возможности интеграции с экспортом рекомендаций и оповещений (предварительная версия)
Чтобы применять сценарии уровня предприятия вдобавок к Центру безопасности, оповещения и рекомендации Центра безопасности теперь можно использовать в дополнительных местах (за исключением API и портала Azure). Их можно экспортировать непосредственно в рабочие области центра событий и Log Analytics. Например, с помощью этих новых возможностей можно создать такие рабочие процессы:
- С помощью экспорта в рабочую область Log Analytics можно создавать настраиваемые панели мониторинга в Power BI.
- С помощью функции экспорта в рабочую область центров событий можно экспортировать оповещения и рекомендации Центра безопасности в сторонние решения SIEM, другое стороннее решение или Azure Data Explorer.
Подключение локальных серверов к Центру безопасности из Центра Администратор Windows (предварительная версия)
Центра администрирования Windows — это портал управления для серверов с Windows, которые не развернуты в Azure. Он обеспечивает несколько возможностей управления Azure, в частности резервное копирование и обновления системы. Недавно мы добавили возможность подключать эти серверы, которые не относятся к Azure (для их защиты используется служба ASC), непосредственно из Центра администрирования Windows.
Теперь пользователи могут подключить сервер WAC к Центр безопасности Azure и включить просмотр оповещений системы безопасности и рекомендаций непосредственно в центре Windows Администратор.
Сентябрь 2019
В сентябре добавлены следующие обновления:
- Управление правилами с помощью усовершенствований адаптивных элементов управления приложениями
- Управление рекомендациями по безопасности контейнеров с помощью Политика Azure
Улучшенное управление правилами с помощью адаптивных элементов управления приложениями
Улучшены возможности управления правилами для виртуальных машин, использующих адаптивные элементы управления приложениями. Адаптивные элементы управления приложениями в Центре безопасности Azure помогают контролировать, какие приложения могут запускаться на виртуальных машинах. Помимо общего улучшения управления правилами, новое преимущество позволяет контролировать, какие типы файлов будут защищены при добавлении нового правила.
Дополнительные сведения об адаптивных элементах управления приложениями.
Управление рекомендациями по безопасности контейнеров с помощью Политики Azure
Рекомендации Центра безопасности Azure по исправлению уязвимостей в безопасности контейнеров теперь можно включить или отключить с помощью Политики Azure.
Чтобы просмотреть включенные политики безопасности, в Центре безопасности откройте страницу "Политика безопасности".
Август 2019
В августе добавлены следующие обновления:
- JIT-доступ к виртуальной машине для Брандмауэр Azure
- Исправление одного щелчка, чтобы повысить уровень безопасности (предварительная версия)
- Управление несколькими клиентами
JIT-доступ к виртуальным машинам для Брандмауэра Azure
Теперь JIT-доступ к виртуальным машинам для Брандмауэра Azure является общедоступным. Используйте его для обеспечения безопасности сред, защищенных с помощью Брандмауэра Azure, в дополнение к средам, защищенным с помощью группы безопасности сети.
JIT-доступ к виртуальным машинам снижает вероятность объемных атак на сеть, обеспечивая управляемый доступ к виртуальным машинам, предоставляемый только по необходимости, с помощью правил группы безопасности сети и Брандмауэра Azure.
Чтобы обеспечить JIT-доступ для виртуальной машины, нужно создать политику, которая определяет защищенные порты, указать, в течение какого периода порты остаются открытыми, и задать защищенные IP-адреса для осуществления доступа к портам. Эта политика позволяет контролировать действия пользователей, если они отправили запрос на доступ.
Запросы регистрируются в журнале действий Azure, что упрощает мониторинг и аудит доступа. Страница JIT-доступа также позволяет быстро выявить существующие виртуальные машины, для которых он включен и для которых рекомендуется.
Ознакомьтесь с дополнительными сведениями о Брандмауэре Azure.
Исправление одним щелчком для повышения безопасности (предварительная версия)
Оценка безопасности —это средство, с помощью которого можно оценить состояние безопасности рабочей нагрузки. Оно проверяет ваши рекомендации по безопасности и автоматически назначает для них приоритеты, поэтому вы знаете, какие рекомендации выполнять в первую очередь. Это поможет определить, какие уязвимости в системе безопасности являются наиболее серьезными и приоритетными для анализа.
Чтобы упростить исправление ошибок в конфигурации безопасности и помочь вам быстро повысить оценку безопасности, мы добавили новую возможность, которая позволяет применить рекомендацию к множеству ресурсов одним щелчком мыши.
Это позволяет выбрать ресурсы, к которым нужно применить исправление, и запустить действие исправления, которое настроит параметр от вашего имени.
Ознакомьтесь с рекомендациями, поддерживающими функцию быстрого исправления, в Справочном руководстве по рекомендациям по безопасности.
Управление в нескольких клиентах
Центр безопасности теперь поддерживает сценарии управления несколькими клиентами в рамках Azure Lighthouse. Это обеспечивает визуальный контроль и позволяет управлять уровнем безопасности нескольких клиентов в Центре безопасности.
Дополнительные сведения об интерфейсах межклиентского управления.
Июль 2019 г.
Обновления рекомендаций для сети
В Центре безопасности Azure добавлены новые рекомендации по работе с сетью и усовершенствованы существующие. Теперь использование Центра безопасности обеспечивает еще более высокий уровень сетевой защиты для ваших ресурсов.
Дополнительные сведения о рекомендациях для сети.
2019 июня
Адаптивная защита сети — общедоступная версия
Одно из наиболее распространенных направлений атак для рабочих нагрузок в общедоступном облаке — входящее и исходящее подключения к общедоступному Интернету. Нашим клиентам не всегда понятно, какие правила группы безопасности сети (NSG) нужно применять, чтобы рабочие нагрузки Azure были доступны только для необходимых исходных диапазонов. С помощью этой функции Центр безопасности изучает сетевой трафик и шаблоны подключений рабочих нагрузок Azure и предоставляет рекомендации правил NSG для подключенных к Интернету виртуальных машин. Благодаря этому клиенты могут применять более эффективные политики доступа к сети и снижать вероятность атак.