Vad är nytt i Microsoft Defender for Cloud?
Anteckning
Azure Security Center och Azure Defender heter nu Microsoft Defender för molnet. Vi har också bytt namn Azure Defender till Microsoft Defender-planer. Till exempel är Azure Defender för Storage microsoft Defender för Storage.
Läs mer om det senaste namnbytet av Microsofts säkerhetstjänster.
Defender for Cloud är under aktiv utveckling och får kontinuerliga förbättringar. Den här sidan innehåller information om nya funktioner, felkorrigeringar och inaktuella funktioner för att hålla dig uppdaterad med den senaste utvecklingen.
Den här sidan uppdateras ofta, så gå ofta tillbaka till den.
Information om planerade ändringar som kommer snart till Defender for Cloud finns i Viktiga kommande ändringar i Microsoft Defender för molnet.
Tips
Om du letar efter objekt som är äldre än sex månader hittar du dem i Arkiv för Nyheter i Microsoft Defender för molnet.
November 2021
Vår Ignite-version innehåller:
- Azure Security Center och Azure Defender microsoft Defender for Cloud
- Inbyggd CSPM för AWS och hotskydd för Amazon EKS och AWS EC2
- Prioritera säkerhetsåtgärder efter datakänslighet (drivs av Azure Purview) (i förhandsversion)
- Utökade utvärderingar av säkerhetskontroller med Azure Security Benchmark v3
- Microsoft Sentinel-anslutningsappens valfria dubbelriktade aviseringssynkronisering släpps för allmän tillgänglighet (GA)
- Ny rekommendation för att skicka Azure Kubernetes Service(AKS)-loggar till Sentinel
- Rekommendationer mappas till MITRE ATT&CK®ramverk – publicerat för allmän tillgänglighet (GA)
Andra ändringar i november är:
- Microsoft Threat and Vulnerability Management har lagts till som lösning för sårbarhetsbedömning – släpps för allmän tillgänglighet (GA)
- Microsoft Defender för slutpunkt för Linux stöds nu av Microsoft Defender för servrar – släpps för allmän tillgänglighet (GA)
- Ögonblicksbildsexport för rekommendationer och säkerhetsresultat (i förhandsversion)
- Automatisk etablering av lösningar för sårbarhetsbedömning som släppts för allmän tillgänglighet (GA)
- Programvaruinventeringsfilter i tillgångsinventering som släppts för allmän tillgänglighet (GA)
- Inventeringsvisning av lokala datorer tillämpar en annan mall för resursnamn
Azure Security Center och Azure Defender microsoft Defender for Cloud
Enligt rapporten tillstånd för molnet från 2021har 92 % av organisationerna nu en strategi för flera moln. Hos Microsoft är vårt mål att centralisera säkerheten i de här miljöerna och hjälpa säkerhetsteamen att arbeta mer effektivt.
Microsoft Defender for Cloud (tidigare Azure Security Center och Azure Defender) är en CSPM-lösning (Cloud Security Posture Management) och CWP-lösning (Cloud Workload Protection) som identifierar svagheter i molnkonfigurationen, bidrar till att stärka den övergripande säkerhetsstatusen för din miljö och skyddar arbetsbelastningar i miljöer med flera moln och hybridmiljöer.
På Ignite 2019 delade vi vår vision om att skapa den mest kompletta metoden för att skydda din digitala egendom och integrera XDR-tekniker under microsoft Defender-varumärket. Unifying Azure Security Center and Azure Defender under the new name Microsoft Defender for Cloud, återspeglar de integrerade funktionerna i vårt säkerhetserbjudande och vår förmåga att stödja alla molnplattformar.
Inbyggd CSPM för AWS och hotskydd för Amazon EKS och AWS EC2
En ny miljöinställningssida ger bättre synlighet och kontroll över dina hanteringsgrupper, prenumerationer och AWS-konton. Sidan är utformad för att publicera AWS-konton i stor skala: anslut ditt AWS-hanteringskonto så kommer du automatiskt att publicera befintliga och framtida konton.
När du har lagt till dina AWS-konton skyddar Defender for Cloud dina AWS-resurser med någon eller alla av följande planer:
- Defender for Clouds CSPM-funktioner utökar till dina AWS-resurser. Den här agentlösa planen utvärderar dina AWS-resurser enligt AWS-specifika säkerhetsrekommendationer och dessa ingår i dina säkerhetspoäng. Resurserna kommer också att utvärderas för kompatibilitet med inbyggda standarder som är specifika för AWS (AWS CIS, AWS PCI DSS och AWS Foundational Security Best Practices). Defender for Clouds tillgångsinventeringssida är en funktion med flera moln som hjälper dig att hantera dina AWS-resurser tillsammans med dina Azure-resurser.
- Microsoft Defender för Kubernetes utökar sin identifiering av containerhot och avancerade försvar till dina Amazon EKS Linux-kluster.
- Microsoft Defender för servrar ger hotidentifiering och avancerat skydd till dina Windows och Linux EC2-instanser. Den här planen omfattar den integrerade licensen för Microsoft Defender för slutpunkt, säkerhetsbaslinjer och utvärderingar på operativsystemnivå, genomsökning av sårbarhetsbedömningar, anpassningsbara programkontroller (AAC), övervakning av filintegritet (FIM) med mera.
Läs mer om hur du ansluter dina AWS-konton till Microsoft Defender för molnet.
Prioritera säkerhetsåtgärder efter datakänslighet (drivs av Azure Purview) (i förhandsversion)
Dataresurser är fortfarande ett populärt mål för hot aktörer. Därför är det viktigt för säkerhetsteamen att identifiera, prioritera och skydda känsliga dataresurser i sina molnmiljöer.
För att hantera den här utmaningen integrerar Microsoft Defender for Cloud nu känslighetsinformation från Azure Purview. Azure Purview är en enhetlig datastyrningstjänst som ger omfattande insikter om känsligheten hos dina data i flera moln och lokala arbetsbelastningar.
Integreringen med Azure Purview utökar din säkerhetssynlighet i Defender for Cloud från infrastrukturnivån ned till data, vilket ger ett helt nytt sätt att prioritera resurser och säkerhetsaktiviteter för dina säkerhetsteam.
Läs mer i Prioritera säkerhetsåtgärder efter datakänslighet.
Utökade utvärderingar av säkerhetskontroller med Azure Security Benchmark v3
Microsoft Defender for Clouds säkerhetsrekommendationer är aktiverade och stöds av Azure Security Benchmark.
Azure Security Benchmark är microsofts författade, Azure-specifika uppsättning riktlinjer för bästa praxis för säkerhet och efterlevnad baserat på vanliga ramverk för efterlevnad. Det här respekterade benchmark-måttet bygger på kontrollerna från Center for Internet Security (CIS) och National Institute of Standards and Technology (NIST) med fokus på molncentrerad säkerhet.
Från Ignite 2021 är Azure Security Benchmark v3 tillgängligt i Defender för molnets instrumentpanel för regelefterlevnad och aktiverat som det nya standardinitiativ för alla Azure-prenumerationer som skyddas med Microsoft Defender för molnet.
Förbättringar för v3 är:
Ytterligare mappningar till branschramverken PCI-DSS v3.2.1 och CIS-kontroller v8.
Mer detaljerad och användbar vägledning för kontroller med introduktionen av:
- Säkerhetsprinciper – Ger inblick i de övergripande säkerhetsmål som utgör grunden för våra rekommendationer.
- Azure-vägledning – Tekniska anvisningar för att uppfylla dessa mål.
Nya kontroller omfattar DevOps-säkerhet för problem som hotmodellering och säkerhet i programvaruförsörjningskedjan samt hantering av nycklar och certifikat för bästa praxis i Azure.
Läs mer i Introduktion till Azure Security Benchmark.
Microsoft Sentinel-anslutningsappens valfria dubbelriktade aviseringssynkronisering släpps för allmän tillgänglighet (GA)
I juli presenterade vi en förhandsgranskningsfunktion, dubbelriktad aviseringssynkronisering , för den inbyggda anslutningsappen i Microsoft Sentinel (Microsofts molnbaserade SIEM- och SOAR-lösning). Den här funktionen släpps nu för allmän tillgänglighet (GA).
När du ansluter Microsoft Defender för moln till Microsoft Sentinel synkroniseras statusen för säkerhetsaviseringar mellan de två tjänsterna. När en avisering exempelvis stängs i Defender for Cloud visas aviseringen som stängd även i Microsoft Sentinel. Om du ändrar status för en avisering i Defender for Cloud påverkas inte statusen för microsoft Sentinel-incidenter som innehåller den synkroniserade Microsoft Sentinel-aviseringen, endast den synkroniserade aviseringen.
När du aktiverar dubbelriktad aviseringssynkronisering synkroniserar du automatiskt statusen för de ursprungliga aviseringarna från Defender for Cloud med Microsoft Sentinel-incidenter som innehåller kopior av dessa Defender for Cloud-aviseringar. När till exempel en Microsoft Sentinel-incident som innehåller en Defender for Cloud-avisering stängs, stänger Defender for Cloud automatiskt motsvarande ursprungliga avisering.
Läs mer i Anslut Azure Defender aviseringar från Azure Security Center och Stream-aviseringar till Azure Sentinel.
Ny rekommendation för att skicka Azure Kubernetes Service (AKS)-loggar till Sentinel
I en ytterligare förbättring av det kombinerade värdet för Defender for Cloud och Microsoft Sentinel ska vi nu lyfta fram Azure Kubernetes Service-instanser som inte skickar loggdata till Microsoft Sentinel.
SecOps-team kan välja relevant Microsoft Sentinel-arbetsyta direkt från sidan med rekommendationsinformation och omedelbart aktivera strömning av råloggar. Den här sömlösa anslutningen mellan de två produkterna gör det enkelt för säkerhetsteamen att säkerställa fullständig loggningstäckning för sina arbetsbelastningar så att de håller sig ovanpå hela miljön.
Den nya rekommendationen "Diagnostikloggar i Kubernetes-tjänster ska vara aktiverade" innehåller alternativet "Åtgärda" för snabbare reparation.
Vi har också förbättrat rekommendationen "Granskning på SQL server ska vara aktiverad" med samma strömningsfunktioner för Sentinel.
Rekommendationer mappas till MITRE ATT&CK®ramverk – publicerat för allmän tillgänglighet (GA)
Vi har förbättrat Defender for Clouds säkerhetsrekommendationer för att visa deras position i ramverket MITRE ATT&CK®. Den här globalt tillgängliga kunskapsbasen om hot aktörers taktiker och tekniker som baseras på verkliga observationer, ger mer kontext för att hjälpa dig att förstå de associerade riskerna med rekommendationerna för din miljö.
Du hittar de här taktikerna oavsett var du kommer åt rekommendationsinformation:
Azure Resource Graph-frågeresultat för relevanta rekommendationer omfattar MITRE ATT&CK® taktiker och tekniker.
Sidor med rekommendationsinformation visar mappningen för alla relevanta rekommendationer:
Sidan med rekommendationer i Defender for Cloud har ett nytt filter för att välja
rekommendationer enligt deras associerade taktik:
Läs mer i Granska dina säkerhetsrekommendationer.
Microsoft Threat and Vulnerability Management har lagts till som lösning för sårbarhetsbedömning – släpps för allmän tillgänglighet (GA)
I oktober presenterade vi ett tillägg till integreringen mellan Microsoft Defender för servrar och Microsoft Defender för slutpunkt för att stödja en ny leverantör av sårbarhetsbedömning för dina datorer: Microsoft Hantering av hot och säkerhetsrisker. Den här funktionen släpps nu för allmän tillgänglighet (GA).
Använd Hantering av hot och säkerhetsrisker för att upptäcka sårbarheter och felkonfigurationer nästan i realtid med integreringen med Microsoft Defender för slutpunkt aktiverad och utan behov av ytterligare agenter eller periodiska genomsökningar. Hot och hantering av säkerhetsrisker prioriterar sårbarheter baserat på hotlandskapet och identifieringar i din organisation.
Använd säkerhetsrekommendationen " En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer " för att upptäcka de sårbarheter som identifieras av Hantering av hot och säkerhetsrisker för de datorer som stöds.
Om du vill visa säkerhetsriskerna automatiskt på befintliga och nya datorer utan att du behöver åtgärda rekommendationen manuellt kan du gå till Lösningar för sårbarhetsbedömning kan nu aktiveras automatiskt (i förhandsversion).
Läs mer i Undersöka svagheter med Microsoft Defender för slutpunktens Hantering av hot och säkerhetsrisker.
Microsoft Defender för slutpunkt för Linux stöds nu av Microsoft Defender för servrar – släpps för allmän tillgänglighet (GA)
I augusti meddelade vi förhandsversionsstöd för distribution av Defender for Endpoint for Linux-sensorn till Linux-datorer som stöds. Den här funktionen släpps nu för allmän tillgänglighet (GA).
Microsoft Defender för servrar innehåller en integrerad licens för Microsoft Defender för slutpunkt. Tillsammans ger de omfattande identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt) funktioner.
När Defender för slutpunkt identifierar ett hot utlöser den en avisering. Aviseringen visas i Defender for Cloud. Från Defender for Cloud kan du också pivotera till Defender for Endpoint-konsolen och utföra en detaljerad undersökning för att upptäcka attackens omfattning.
Ögonblicksbildexport för rekommendationer och säkerhetsresultat (i förhandsversion)
Defender for Cloud genererar detaljerade säkerhetsaviseringar och rekommendationer. Du kan visa dem i portalen eller via programmatiska verktyg. Du kan också behöva exportera en del av eller all den här informationen för spårning med andra övervakningsverktyg i din miljö.
Med defender for Clouds kontinuerliga exportfunktion kan du helt anpassa vad som ska exporteras och vart det ska gå. Läs mer i Exportera kontinuerligt Microsoft Defender för molndata.
Även om funktionen kallas kontinuerlig finns det även ett alternativ för att exportera veckovisa ögonblicksbilder. Fram till nu har dessa veckovisa ögonblicksbilder begränsats till data om säkerhetspoäng och regelefterlevnad. Vi har lagt till möjligheten att exportera rekommendationer och säkerhetsresultat.
Automatisk etablering av lösningar för sårbarhetsbedömning som släppts för allmän tillgänglighet (GA)
I oktober presenterade vi tillägget av lösningar för sårbarhetsbedömning på Defender for Clouds sida för automatisk etablering. Detta är relevant för virtuella Azure-datorer och Azure Arc på prenumerationer som skyddas av Azure Defender för servrar. Den här funktionen har nu släppts för allmän tillgänglighet (GA).
Om integreringen med Microsoft Defender för slutpunkt är aktiverad visar Defender for Cloud ett val av lösningar för sårbarhetsbedömning:
- (NY) Microsoft Hantering av hot och säkerhetsrisker-modulen för Microsoft Defender för slutpunkt (se anmärkningen)
- Den integrerade Qualys-agenten
Den valda lösningen aktiveras automatiskt på datorer som stöds.
Läs mer i Konfigurera sårbarhetsbedömning automatiskt för dina datorer.
Programvaruinventeringsfilter i tillgångslager som släppts för allmän tillgänglighet (GA)
I oktober presenterade vi nya filter för tillgångsinventeringssidan för att välja datorer som kör specifik programvara – och även ange intressanta versioner. Den här funktionen har nu släppts för allmän tillgänglighet (GA).
Du kan köra frågor mot programvaruinventeringsdata i Azure Resource Graph Explorer.
Om du vill använda de här funktionerna måste du aktivera integreringen med Microsoft Defender för slutpunkt.
Fullständig information, inklusive kusto-exempelfrågor för Azure Resource Graph, finns i Access a software inventory (Få åtkomst till en programvaruinventering).
Ny AKS-säkerhetsprincip har lagts till i standardinitiativ – endast för privat förhandsversion av kunder
För att säkerställa att Kubernetes-arbetsbelastningar är säkra som standard innehåller Defender for Cloud principer på Kubernetes-nivå och härdningsrekommendationer, inklusive framtvingandealternativ med Kubernetes-antagningskontroll.
Som en del av det här projektet har vi lagt till en princip och rekommendation (inaktiverad som standard) för distribution på Kubernetes-kluster. Principen är i standardinitiativ men är endast relevant för organisationer som registrerar sig för den relaterade privata förhandsversionen.
Du kan ignorera principerna och rekommendationerna ("Kubernetes-kluster bör skydda distributionen av sårbara avbildningar") och det kommer inte att påverka din miljö.
Om du vill delta i den privata förhandsversionen måste du vara medlem i den privata förhandsgranskningsringen. Om du inte redan är medlem skickar du en begäran här. Medlemmar meddelas när förhandsversionen börjar.
Inventeringsvisning av lokala datorer tillämpar en annan mall för resursnamn
För att förbättra presentationen av resurser i tillgångsinventeringen har vi tagit bort elementet "source-computer-IP" från mallen för namngivning av lokala datorer.
- Föregående format:
machine-name_source-computer-id_VMUUID - Från den här uppdateringen:
machine-name_VMUUID
Oktober 2021
Uppdateringar i oktober är:
- Microsoft Threat and Vulnerability Management har lagts till som lösning för sårbarhetsbedömning (i förhandsversion)
- Lösningar för sårbarhetsbedömning kan nu aktiveras automatiskt (i förhandsversion)
- Programvaruinventeringsfilter har lagts till i tillgångsinventeringen (i förhandsversion)
- Prefixet för vissa aviseringstyper har ändrats från "ARM_" till "VM_"
- Ändringar i logiken i en säkerhetsrekommendation för Kubernetes-kluster
- Rekommendationer innehåller nu relaterade rekommendationer
- Nya aviseringar för Azure Defender för Kubernetes (i förhandsversion)
Microsoft Threat and Vulnerability Management har lagts till som lösning för sårbarhetsbedömning (i förhandsversion)
Vi har utökat integreringen mellan Azure Defender för servrar och Microsoft Defender för slutpunkt för att stödja en ny leverantör av sårbarhetsbedömning för dina datorer: Microsoft Hantering av hot och säkerhetsrisker.
Använd Hantering av hot och säkerhetsrisker för att upptäcka sårbarheter och felkonfigurationer nästan i realtid med integreringen med Microsoft Defender för slutpunkt aktiverad och utan behov av ytterligare agenter eller regelbundna genomsökningar. Hot och hantering av säkerhetsrisker prioriterar sårbarheter baserat på hotlandskapet och identifieringar i din organisation.
Använd säkerhetsrekommendationen " En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer " för att upptäcka de sårbarheter som upptäckts av Hantering av hot och säkerhetsrisker för de datorer som stöds.
Om du vill visa sårbarheterna automatiskt på befintliga och nya datorer utan att behöva åtgärda rekommendationen manuellt kan du gå till Lösningar för sårbarhetsbedömning kan nu aktiveras automatiskt (i förhandsversion).
Läs mer i Undersöka svagheter med Microsoft Defender för slutpunktens Hantering av hot och säkerhetsrisker.
Lösningar för sårbarhetsbedömning kan nu aktiveras automatiskt (i förhandsversion)
Security Center automatisk etablering innehåller nu alternativet att automatiskt aktivera en lösning för sårbarhetsbedömning för virtuella Azure-datorer och Azure Arc-datorer på prenumerationer som skyddas av Azure Defender för servrar.
Om integreringen med Microsoft Defender för slutpunkt är aktiverad visar Defender for Cloud ett val av lösningar för sårbarhetsbedömning:
- (NY) Microsoft Hantering av hot och säkerhetsrisker-modulen för Microsoft Defender för slutpunkt (se anmärkningen)
- Den integrerade Qualys-agenten
Den valda lösningen aktiveras automatiskt på datorer som stöds.
Läs mer i Konfigurera sårbarhetsbedömning automatiskt för dina datorer.
Programvaruinventeringsfilter har lagts till i tillgångsinventeringen (i förhandsversion)
Sidan för tillgångsinventering innehåller nu ett filter för att välja datorer som kör specifik programvara och även ange intressanta versioner.
Dessutom kan du köra frågor mot programvaruinventeringsdata i Azure Resource Graph Explorer.
Om du vill använda de här nya funktionerna måste du aktivera integreringen med Microsoft Defender för slutpunkt.
Fullständig information, inklusive kusto-exempelfrågor för Azure Resource Graph, finns i Access a software inventory (Få åtkomst till en programvaruinventering).
Prefixet för vissa aviseringstyper har ändrats från "ARM_" till "VM_"
I juli 2021 presenterade vi en logisk omorganisation av Azure Defender för Resource Manager aviseringar
Som en del av en logisk omorganisation av några av Azure Defender-planerna flyttade vi tjugoen aviseringar från Azure Defender för Resource Manager till Azure Defender för servrar.
Med den här uppdateringen har vi ändrat prefixen för dessa aviseringar så att de matchar den här omtilldeling och ersatt "ARM_" med "VM_" enligt följande tabell:
| Ursprungligt namn | Från den här ändringen |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Läs mer om Azure Defender för Resource Manager och Azure Defender för serverplaner.
Ändringar i logiken i en säkerhetsrekommendation för Kubernetes-kluster
Rekommendationen "Kubernetes-kluster bör inte använda standardnamnrymden" förhindrar användning av standardnamnrymden för ett antal resurstyper. Två av de resurstyper som ingick i den här rekommendationen har tagits bort: ConfigMap och Secret.
Läs mer om den här rekommendationen och härdning av Kubernetes-kluster i Förstå Azure Policy för Kubernetes-kluster.
Rekommendationer innehåller nu relaterade rekommendationer
För att tydliggöra relationerna mellan olika rekommendationer har vi lagt till ett område för relaterade rekommendationer på informationssidorna för många rekommendationer.
De tre relationstyper som visas på dessa sidor är:
- Krav – En rekommendation som måste slutföras innan den valda rekommendationen
- Alternativ – En annan rekommendation som ger ett annat sätt att uppnå målen för den valda rekommendationen
- Beroende – En rekommendation som den valda rekommendationen är en förutsättning för
För varje relaterad rekommendation visas antalet resurser med feltillstånd i kolumnen "Berörda resurser".
Tips
Om en relaterad rekommendation är nedtonad slutförs inte beroendet ännu och är därför inte tillgängligt.
Ett exempel på relaterade rekommendationer:
Security Center kontrollerar datorerna efter lösningar för sårbarhetsbedömning som stöds:
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorerOm en sådan hittas får du ett meddelande om identifierade säkerhetsrisker:
Sårbarheter i dina virtuella datorer bör åtgärdas
Naturligtvis kan Security Center meddela dig om identifierade säkerhetsrisker om den inte hittar en lösning för sårbarhetsbedömning som stöds.
Därför:
- Rekommendation nr 1 är en förutsättning för rekommendation nr 2
- Rekommendation nr 2 beror på rekommendation nr 1
Nya aviseringar för Azure Defender för Kubernetes (i förhandsversion)
Vi har lagt till två förhandsgranskningsaviseringar Azure Defender för Kubernetes att utöka skydd mot hot som tillhandahålls av Azure Defender för Kubernetes.
De här aviseringarna genereras baserat på en ny maskininlärningsmodell och Avancerad Kubernetes-analys som mäter flera attribut för distribution och rolltilldelning mot tidigare aktiviteter i klustret och i alla kluster som övervakas av Azure Defender.
| Avisering (aviseringstyp) | Beskrivning | MITRE-taktik | Allvarlighetsgrad |
|---|---|---|---|
| Avvikande podddistribution (förhandsversion) (K8S_AnomalousPodDeployment) |
Kubernetes-granskningslogganalys identifierade en podddistribution som är avvikande baserat på tidigare podddistributionsaktivitet. Den här aktiviteten betraktas som en avvikelse när du tar hänsyn till hur de olika funktionerna som visas i distributionsåtgärden är i relation till varandra. De funktioner som övervakas av den här analysen är containeravbildningsregistret som används, kontot som utför distributionen, veckodag, hur ofta det här kontot utför podddistributioner, användaragent som används i åtgärden, är detta ett namnområde som är podddistribution sker ofta eller någon annan funktion. De främsta bidragande orsakerna till att den här aviseringen visas som avvikande aktivitet beskrivs under de utökade egenskaperna för aviseringar. | Körnings- | Medel |
| Överdriven rollbehörighet tilldelad i Kubernetes-kluster (förhandsversion) (K8S_ServiceAcountPermissionAnomaly) |
Analysen av Kubernetes-granskningsloggarna identifierade en omfattande rolltilldelning av behörigheter till klustret. Från att undersöka rolltilldelningar är de angivna behörigheterna ovanliga för det specifika tjänstkontot. Den här identifieringen tar hänsyn till tidigare rolltilldelningar till samma tjänstkonto i kluster som övervakas av Azure, volym per behörighet och effekten av den specifika behörigheten. Modellen för avvikelseidentifiering som används för den här aviseringen tar hänsyn till hur den här behörigheten används i alla kluster som övervakas av Azure Defender. | Privilegieeskalering | Låg |
En fullständig lista över Kubernetes-aviseringar finns i Aviseringar för Kubernetes-kluster.
September 2021
I september släpptes följande uppdatering:
Två nya rekommendationer för att granska OS-konfigurationer för efterlevnad av Azure-säkerhetsbaslinjer (i förhandsversion)
Följande två rekommendationer har släppts för att utvärdera datorernas kompatibilitet med Windows säkerhetsbaslinje och Säkerhetsbaslinje för Linux:
- För Windows datorer bör säkerhetsrisker i säkerhetskonfigurationen på Windows-datorer åtgärdas (med gästkonfiguration)
- För Linux-datorer bör säkerhetsrisker i säkerhetskonfigurationen på dina Linux-datorer åtgärdas (med hjälp av gästkonfiguration)
De här rekommendationerna använder gästkonfigurationsfunktionen i Azure Policy för att jämföra operativsystemkonfigurationen för en dator med baslinjen som definieras i Azure Security Benchmark.
Läs mer om hur du använder dessa rekommendationer i Härda en dators OS-konfiguration med hjälp av gästkonfigurationen.
Augusti 2021
Uppdateringar i augusti är:
- Microsoft Defender för slutpunkt för Linux stöds nu av Azure Defender för servrar (i förhandsversion)
- Två nya rekommendationer för att hantera endpoint protection-lösningar (i förhandsversion)
- Inbyggd felsökning och vägledning för att lösa vanliga problem
- Instrumentpanel för regelefterlevnad i Azure-granskningsrapporter som släppts för allmän tillgänglighet (GA)
- Den inaktuella rekommendationen "Log Analytics-agentens hälsoproblem bör lösas på dina datorer"
- Azure Defender efter containerregister söker nu efter sårbarheter i register som skyddas med Azure Private Link
- Security Center kan nu automatiskt etablera Azure Policy gästkonfigurationstillägget (i förhandsversion)
- Rekommendationer aktivera Azure Defender har nu stöd för "Framtvinga"
- CSV-exporter av rekommendationsdata är nu begränsade till 20 MB
- Rekommendationer innehåller nu flera vyer
Microsoft Defender för slutpunkt för Linux stöds nu av Azure Defender för servrar (i förhandsversion)
Azure Defender för servrar innehåller en integrerad licens för Microsoft Defender för slutpunkt. Tillsammans ger de omfattande identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt) funktioner.
När Defender för slutpunkt identifierar ett hot utlöser det en avisering. Aviseringen visas i Security Center. Från Security Center kan du också pivotera till Defender for Endpoint-konsolen och utföra en detaljerad undersökning för att ta reda på attackens omfattning.
Under förhandsversionsperioden distribuerar du Defender for Endpoint for Linux-sensorn till Linux-datorer som stöds på något av två sätt beroende på om du redan har distribuerat den till dina Windows datorer:
- Befintliga användare med Defender for Clouds förbättrade säkerhetsfunktioner aktiverade och Microsoft Defender för slutpunkt för Windows
- Nya användare som aldrig har aktiverat integrering med Microsoft Defender för slutpunkt för Windows
Två nya rekommendationer för att hantera endpoint protection-lösningar (i förhandsversion)
Vi har lagt till två förhandsversionsrekommendationer för att distribuera och underhålla endpoint protection-lösningarna på dina datorer. Båda rekommendationerna omfattar stöd för virtuella Azure-datorer och datorer som är Azure Arc-aktiverade servrar.
| Rekommendation | Beskrivning | Allvarlighetsgrad |
|---|---|---|
| Endpoint Protection ska installeras på dina datorer | Installera en endpoint protection-lösning som stöds för att skydda dina datorer mot hot och sårbarheter. Läs mer om hur Endpoint Protection för datorer utvärderas. (Relaterad princip: Övervaka saknade Endpoint Protection i Azure Security Center) |
Högt |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Azure Security Center endpoint protection-lösningar som stöds finns dokumenterade här. Utvärdering av slutpunktsskydd dokumenteras här. (Relaterad princip: Övervaka saknade Endpoint Protection i Azure Security Center) |
Medel |
Anteckning
Rekommendationerna visar deras intervall för upp till 8 timmar, men det finns vissa scenarier där detta kan ta betydligt längre tid. När en lokal dator tas bort tar det till exempel 24 timmar innan Security Center att identifiera borttagningen. Därefter tar det upp till 8 timmar innan utvärderingen returnerar informationen. I den specifika situationen kan det därför ta 32 timmar innan datorn tas bort från listan över berörda resurser.
Inbyggd felsökning och vägledning för att lösa vanliga problem
Ett nytt, dedikerat område på Security Center-sidorna i Azure Portal ger en samlad, ständigt växande uppsättning självhjälpsmaterial för att lösa vanliga utmaningar med Security Center och Azure Defender.
När du har ett problem eller behöver råd från vårt supportteam är Diagnostisera och lösa problem ett annat verktyg som hjälper dig att hitta lösningen:
Instrumentpanel för regelefterlevnad i Azure-granskningsrapporter som släppts för allmän tillgänglighet (GA)
Verktygsfältet på instrumentpanelen för regelefterlevnad erbjuder Azure- och Dynamics-certifieringsrapporter för de standarder som tillämpas på dina prenumerationer.
Du kan välja fliken för relevanta rapporttyper (PCI, SOC, ISO med flera) och använda filter för att hitta de specifika rapporter som du behöver.
Mer information finns i Generera rapporter och certifikat för efterlevnadsstatus.
Den inaktuella rekommendationen "Log Analytics-agentens hälsoproblem bör lösas på dina datorer"
Vi har upptäckt att rekommendationen Problem med Log Analytics-agenthälsa bör lösas på dina datorer påverkar säkerhetspoängen på sätt som är inkonsekventa med Security Center:s CSPM-fokus (Cloud Security Posture Management). CSPM handlar vanligtvis om att identifiera felaktiga säkerhetskonfigurationer. Problem med agenthälsa passar inte in i den här kategorin av problem.
Rekommendationen är också en avvikelse jämfört med andra agenter relaterade till Security Center: det här är den enda agenten med en rekommendation som rör hälsoproblem.
Rekommendationen är inaktuell.
På grund av den här utfasningen har vi också gjort mindre ändringar i rekommendationerna för att installera Log Analytics-agenten (Log Analytics-agenten ska installeras på...).
Det är troligt att den här ändringen påverkar dina säkerhetspoäng. För de flesta prenumerationer förväntar vi oss att ändringen leder till en ökad poäng, men det är möjligt att uppdateringarna av installationsrekommendationen kan resultera i minskade poäng i vissa fall.
Tips
Sidan för tillgångslager påverkades också av den här ändringen eftersom den visar övervakad status för datorer (övervakas, övervakas inte eller övervakas delvis – ett tillstånd som refererar till en agent med hälsoproblem).
Azure Defender efter containerregister söker nu efter sårbarheter i register som skyddas med Azure Private Link
Azure Defender för containerregister innehåller en sårbarhetsskanner för att söka igenom bilder i Azure Container Registry register. Lär dig hur du genomsöker dina register och åtgärdar resultat i Använda Azure Defender för containerregister för att söka igenom dina avbildningar efter säkerhetsrisker.
Om du vill begränsa åtkomsten till ett register som finns i Azure Container Registry tilldelar du privata IP-adresser för virtuella nätverk till registerslutpunkterna och använder Azure Private Link enligt förklaringen i Anslut privat till ett Azure-containerregistermed hjälp av Azure Private Link .
Som en del av vårt pågående arbete med att stödja ytterligare miljöer och användningsfall genomsöker Azure Defender nu även containerregister som skyddas med Azure Private Link.
Security Center kan nu automatiskt etablera Azure Policy gästkonfigurationstillägget (i förhandsversion)
Azure Policy kan granska inställningar på en dator, både för datorer som körs på Azure- och Arc-anslutna datorer. Verifieringen utförs av gästkonfigurationstillägget och klienten. Läs mer i Förstå Azure Policy gästkonfiguration.
Med den här uppdateringen kan du nu konfigurera Security Center att automatiskt etablera tillägget till alla datorer som stöds.
Läs mer om hur automatisk etablering fungerar i Konfigurera automatisk etablering för agenter och tillägg.
Rekommendationer att aktivera Azure Defender har nu stöd för "Framtvinga"
Security Center innehåller två funktioner som säkerställer att nyligen skapade resurser etableras på ett säkert sätt: framtvinga och neka. När en rekommendation erbjuder dessa alternativ kan du se till att dina säkerhetskrav uppfylls när någon försöker skapa en resurs:
- Neka hindrar att resurser med feltillstånd skapas
- Framtvinga åtgärdar automatiskt icke-kompatibla resurser när de skapas
Med den här uppdateringen är alternativet framtvinga nu tillgängligt i rekommendationerna för att aktivera Azure Defender-planer (till exempel Azure Defender för App Service ska vara aktiverat , Azure Defender för Key Vault ska vara aktiverat , Azure Defender för Storage ska vara aktiverat).
Läs mer om de här alternativen i Förhindra felkonfigurationer med rekommendationer för framtvinga/neka.
CSV-exporter av rekommendationsdata är nu begränsade till 20 MB
Vi begränsar till 20 MB när vi exporterar Security Center rekommendationsdata.
Om du behöver exportera större mängder data använder du de tillgängliga filtren innan du väljer eller väljer delmängder av dina prenumerationer och laddar ned data i batchar.
Läs mer om att utföra en CSV-export av dina säkerhetsrekommendationer.
Rekommendationer innehåller nu flera vyer
Rekommendationssidan har nu två flikar där du kan visa de rekommendationer som är relevanta för dina resurser på olika sätt:
- Rekommendationer för säkerhetspoäng – Använd den här fliken för att visa listan över rekommendationer grupperade efter säkerhetskontroll. Läs mer om dessa kontroller i Säkerhetskontroller och deras rekommendationer.
- Alla rekommendationer – Använd den här fliken för att visa listan över rekommendationer som en platt lista. Den här fliken är också bra för att förstå vilket initiativ (inklusive standarder för regelefterlevnad) som genererade rekommendationen. Läs mer om initiativ och deras relation till rekommendationer i Vad är säkerhetsprinciper, initiativ och rekommendationer?.
Juli 2021
Uppdateringar i juli omfattar:
- Azure Sentinel-anslutningsappen innehåller nu valfri dubbelriktad aviseringssynkronisering (i förhandsversion)
- Logisk omorganisation av Azure Defender för Resource Manager aviseringar
- Förbättringar av rekommendationen för att Azure Disk Encryption (ADE)
- Löpande export av säkerhetspoäng och regelefterlevnadsdata släpps för allmän tillgänglighet (GA)
- Arbetsflödesautomation kan utlösas av ändringar i utvärderingar av regelefterlevnad (GA)
- Utvärderings-API-fältet FirstEvaluationDate och StatusChangeDate är nu tillgängligt i arbetsytescheman och logikappar
- Arbetsboksmallen "Efterlevnad över tid" har lagts till Azure Monitor galleriet Arbetsböcker
Azure Sentinel-anslutningsappen innehåller nu valfri dubbelriktad aviseringssynkronisering (i förhandsversion)
Security Center integreras med Azure Sentinel, Azures molnbaserade SIEM- och SOAR-lösning.
Azure Sentinel innehåller inbyggda anslutningsappar för Azure Security Center på prenumerations- och klientorganisationsnivå. Läs mer i Stream-aviseringar för att Azure Sentinel.
När du Azure Defender till Azure Sentinel synkroniseras statusen för Azure Defender-aviseringar som matas in i Azure Sentinel mellan de två tjänsterna. När en avisering till exempel stängs i Azure Defender visas aviseringen som stängd i Azure Sentinel också. Om du ändrar status för en avisering i Azure Defender "kommer inte" * att påverka statusen för alla Azure Sentinel-incidenter som innehåller den synkroniserade Azure Sentinel-aviseringen, endast statusen för den synkroniserade aviseringen.
Om du aktiverar den här förhandsgranskningsfunktionen, dubbelriktad aviseringssynkronisering, synkroniseras automatiskt statusen för de ursprungliga Azure Defender-aviseringarna med Azure Sentinel-incidenter som innehåller kopior av de Azure Defender aviseringarna. När till exempel en Azure Sentinel incident som innehåller en Azure Defender avisering stängs Azure Defender automatiskt motsvarande ursprungliga avisering.
Läs mer i Anslut Azure Defender aviseringar från Azure Security Center.
Logisk omorganisation av Azure Defender för Resource Manager aviseringar
Aviseringarna nedan har angetts som en del av Azure Defender för Resource Manager plan.
Som en del av en logisk omorganisation av några av Azure Defender-planerna har vi flyttat några aviseringar från Azure Defender för Resource Manager till Azure Defender för servrar.
Aviseringarna är ordnade enligt två huvudprinciper:
- Aviseringar som ger skydd på kontrollplan – för många Azure-resurstyper – ingår i Azure Defender för Resource Manager
- Aviseringar som skyddar specifika arbetsbelastningar finns i Azure Defender som relaterar till motsvarande arbetsbelastning
Det här är aviseringarna som ingick i Azure Defender för Resource Manager och som till följd av den här ändringen nu är en del av Azure Defender för servrar:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Läs mer om Azure Defender för Resource Manager och Azure Defender för serverplaner.
Förbättringar av rekommendationen för att Azure Disk Encryption (ADE)
Efter användarfeedback har vi bytt namn till rekommendationen Diskkryptering ska tillämpas på virtuella datorer.
Den nya rekommendationen använder samma utvärderings-ID och kallas Virtuella datorer bör kryptera temporära diskar, cacheminnen och dataflöden mellan Compute och Storage resurser .
Beskrivningen har också uppdaterats för att bättre förklara syftet med den här härdningsrekommendationen:
| Rekommendation | Beskrivning | Allvarlighetsgrad |
|---|---|---|
| Virtuella datorer bör kryptera temporära diskar, cacheminnen och dataflöden mellan Compute och Storage resurser | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med plattformsbaserade nycklar. temporära diskar och datacacheminnen krypteras inte och data krypteras inte när de flödar mellan beräknings- och lagringsresurser. En jämförelse av olika diskkrypteringstekniker i Azure finns i https://aka.ms/diskencryptioncomparison . Använd Azure Disk Encryption för att kryptera alla dessa data. Ignorera den här rekommendationen om: (1) du använder funktionen encryption-at-host eller (2) kryptering på serversidan på Managed Disks uppfyller dina säkerhetskrav. Läs mer i Kryptering på serversidan av Azure Disk Storage. |
Högt |
Löpande export av säkerhetspoäng och regelefterlevnadsdata släpps för allmän tillgänglighet (GA)
Kontinuerlig export tillhandahåller mekanismen för att exportera dina säkerhetsaviseringar och rekommendationer för spårning med andra övervakningsverktyg i din miljö.
När du konfigurerar den löpande exporten konfigurerar du vad som exporteras och vart den ska gå. Läs mer i översikten över löpande export.
Vi har förbättrat och utökat den här funktionen med tiden:
I november 2020 lade vi till förhandsgranskningsalternativet för att strömma ändringar till dina säkerhetspoäng.
Fullständig information finns i Säkerhetspoäng är nu tillgängligt i löpande export (förhandsversion).I december 2020 lade vi till förhandsversionsalternativet för att strömma ändringar i dina utvärderingsdata för regelefterlevnad.
Fullständig information finns i Löpande export hämtar nya datatyper (förhandsversion).
Med den här uppdateringen släpps dessa två alternativ för allmän tillgänglighet (GA).
Arbetsflödesautomation kan utlösas av ändringar i utvärderingar av regelefterlevnad (GA)
I februari 2021 lade vi till en förhandsversion av en tredje datatyp till utlösaralternativen för arbetsflödesautomationerna: ändringar av regelefterlevnadsutvärderingar. Läs mer i Arbetsflödesautomationerna kan utlösas av ändringar i regelefterlevnadsutvärderingar.
Med den här uppdateringen släpps det här utlösaralternativet för allmän tillgänglighet (GA).
Lär dig hur du använder verktygen för arbetsflödesautomation i Automatisera svar på Security Center utlösare.
Utvärderings-API-fältet FirstEvaluationDate och StatusChangeDate är nu tillgängligt i arbetsytescheman och logikappar
I maj 2021 uppdaterade vi utvärderings-API:et med två nya fält, FirstEvaluationDate och StatusChangeDate. Fullständig information finns i Utvärderings-API expanderat med två nya fält.
Dessa fält var tillgängliga via REST API, Azure Resource Graph, löpande export och i CSV-exporter.
Med den här ändringen gör vi informationen tillgänglig i schemat för Log Analytics-arbetsytan och från logikappar.
Arbetsboksmallen "Efterlevnad över tid" har lagts till Azure Monitor galleriet Arbetsböcker
I mars presenterade vi den integrerade Azure Monitor-arbetsböcker i Security Center (se Azure Monitor-arbetsböckersom är integrerade i Security Center och tre mallar ).
Den första versionen innehöll tre mallar för att skapa dynamiska och visuella rapporter om organisationens säkerhetsstatus.
Vi har nu lagt till en arbetsbok som är dedikerad för att spåra en prenumerations efterlevnad av de regler eller branschstandarder som tillämpas på den.
Lär dig mer om att använda dessa rapporter eller skapa egna i Skapa omfattande, interaktiva rapporter Security Center data.
Juni 2021
Uppdateringar i juni omfattar:
- Ny avisering för Azure Defender för Key Vault
- Rekommendationer kryptera med kund hanterade nycklar (CMK)inaktiverat som standard
- Prefixet för Kubernetes-aviseringar har ändrats från "AKS_" till "K8S_"
- Två rekommendationer från säkerhetskontrollen "Tillämpa systemuppdateringar" har ersatts
Ny avisering för Azure Defender för Key Vault
Vi har lagt till följande avisering för att utöka Azure Defender skydd Key Vault aviseringen:
| Avisering (aviseringstyp) | Beskrivning | MITRE-taktik | Allvarlighetsgrad |
|---|---|---|---|
| Åtkomst från en misstänkt IP-adress till ett nyckelvalv (KV_SuspiciousIPAccess) |
Ett nyckelvalv har använts av en IP-adress som har identifierats av Microsoft Threat Intelligence som en misstänkt IP-adress. Detta kan tyda på att din infrastruktur har komprometterats. Vi rekommenderar ytterligare undersökning. Läs mer om Microsofts hotinformationsfunktioner. | Åtkomst till autentiseringsuppgifter | Medel |
Mer information finns i:
- Introduktion till Azure Defender för Key Vault
- Svara på Azure Defender för Key Vault-aviseringar
- Lista över aviseringar som tillhandahålls av Azure Defender för Key Vault
Rekommendationer kryptera med kund hanterade nycklar (CMK)inaktiverat som standard
Security Center innehåller flera rekommendationer för att kryptera vilodata med kund hanterade nycklar, till exempel:
- Containerregister ska krypteras med en kund hanterad nyckel (CMK)
- Azure Cosmos DB-konton ska använda kund hanterade nycklar för att kryptera vilodata
- Azure Machine Learning bör krypteras med en kund hanterad nyckel (CMK)
Data i Azure krypteras automatiskt med plattformsbaserade nycklar, så användningen av kund hanterade nycklar bör endast tillämpas när det krävs för att uppfylla en specifik princip som din organisation väljer att framtvinga.
Med den här ändringen är rekommendationerna för att använda CMK:er nu inaktiverade som standard. När det är relevant för din organisation kan du aktivera dem genom att ändra effektparametern för motsvarande säkerhetsprincip till AuditIfNotExists eller Enforce. Läs mer i Aktivera en säkerhetsprincip.
Den här ändringen återspeglas i namnen på rekommendationen med ett nytt prefix, [Aktivera om det behövs], som du ser i följande exempel:
- [Aktivera om det behövs] Storage bör använda kund hanterad nyckel för att kryptera vilodata
- [Aktivera om det behövs] Containerregister ska krypteras med en kund hanterad nyckel (CMK)
- [Aktivera om det behövs] Azure Cosmos DB-konton ska använda kund hanterade nycklar för att kryptera vilodata
Prefixet för Kubernetes-aviseringar har ändrats från "AKS_" till "K8S_"
Azure Defender för Kubernetes nyligen expanderat för att skydda Kubernetes-kluster som finns lokalt och i miljöer med flera moln. Läs mer i Använda Azure Defender för Kubernetes för att skydda Kubernetes-hybriddistributioner och Kubernetes-distributioner i flera moln (i förhandsversion).
För att återspegla det faktum att säkerhetsaviseringarna som tillhandahålls av Azure Defender för Kubernetes inte längre är begränsade till kluster i Azure Kubernetes Service har vi ändrat prefixet för aviseringstyperna från "AKS_" till "K8S_". Vid behov uppdaterades även namnen och beskrivningarna. Den här aviseringen kan till exempel:
| Avisering (aviseringstyp) | Beskrivning |
|---|---|
| Verktyget kubernetes-intrångstest har identifierats (AKS _PenTestToolsKubeHunter) |
Kubernetes-granskningslogganalys identifierade användningen av kubernetes-penetrationstestverktyget i AKS-klustret. Även om det här beteendet kan vara legitimt kan angripare använda sådana offentliga verktyg i skadliga syften. |
ändrades till:
| Avisering (aviseringstyp) | Beskrivning |
|---|---|
| Verktyget kubernetes-intrångstest har identifierats (K8S _PenTestToolsKubeHunter) |
Analys av Kubernetes-granskningslogg identifierade användning av kubernetes-penetrationstestverktyget i Kubernetes-klustret. Även om det här beteendet kan vara legitimt kan angripare använda sådana offentliga verktyg i skadliga syften. |
Undertryckningsregler som refererar till aviseringar som börjar "AKS_" konverterades automatiskt. Om du har ställt in SIEM-exporter eller anpassade automatiseringsskript som refererar till Kubernetes-aviseringar efter aviseringstyp måste du uppdatera dem med de nya aviseringstyperna.
En fullständig lista över Kubernetes-aviseringar finns i Aviseringar för Kubernetes-kluster.
Två rekommendationer från säkerhetskontrollen "Tillämpa systemuppdateringar" har ersatts
Följande två rekommendationer är inaktuella:
- Operativsystemversionen bör uppdateras för dina molntjänstroller – Som standard uppdaterar Azure regelbundet gästoperativsystemet till den senaste avbildningen som stöds i operativsystemfamiljen som du har angett i tjänstkonfigurationen (.cscfg), till exempel Windows Server 2016.
- Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version – den här rekommendationens utvärderingar är inte så omfattande som vi vill att de ska vara. Vi planerar att ersätta rekommendationen med en förbättrad version som är bättre anpassad efter dina säkerhetsbehov.