Vanliga frågor – Allmänna frågor

Vad är Microsoft Defender för molnet?

Microsoft Defender för molnet hjälper dig att förhindra, identifiera och svara på hot med ökad insyn i och kontroll över säkerheten för dina resurser. Härifrån kan du övervaka och hantera principer för alla prenumerationer på en gång och upptäcka hot som annars kanske skulle förbli oupptäckta. Azure Security Center fungerar tillsammans med ett vittomfattande ekosystem med säkerhetslösningar.

Defender för molnet använder övervakningskomponenter för att samla in och lagra data. Mer detaljerad information finns i Datainsamling i Microsoft Defender för molnet.

Hur gör jag för att få Microsoft Defender för molnet?

Microsoft Defender för molnet är aktiverat med din Microsoft Azure-prenumeration och nås från Azure-portalen. Logga in på portalen genom att välja Bläddra och rulla till Defender för molnet.

Finns det en utvärderingsversion av Defender för molnet?

Defender för molnet är gratis under de första 30 dagarna. All användning utöver 30 dagar debiteras automatiskt enligt prissättningsschemat. Läs mer. Observera att genomsökning av skadlig kod i Defender for Storage inte ingår kostnadsfritt under den första 30-dagars utvärderingsversionen och debiteras från och med den första dagen.

Vilka Azure-resurser övervakas av Microsoft Defender för molnet?

Microsoft Defender för molnet övervakar följande Azure-resurser:

Defender för molnet skyddar även lokala resurser och multimolnresurser, inklusive Amazon AWS och Google Cloud.

Hur kan jag se det aktuella säkerhetstillståndet för mina Azure-, multimolns- och lokala resurser?

Sidan Defender för molnet Översikt visar den övergripande säkerhetsstatusen för din miljö uppdelad efter beräkning, nätverk, lagring och data och program. Varje resurstyp har en indikator som visar identifierade säkerhetsrisker. Om du väljer varje panel visas en lista över säkerhetsproblem som identifieras av Defender för molnet, tillsammans med en inventering av resurserna i din prenumeration.

Vad är ett säkerhetsinitiativ?

Ett säkerhetsinitiativ definierar den uppsättning kontroller (principer) som rekommenderas för resurser i den angivna prenumerationen. I Microsoft Defender för molnet tilldelar du initiativ för dina Azure-prenumerationer, AWS-konton och GCP-projekt enligt företagets säkerhetskrav och typen av program eller känslighet för data i varje prenumeration.

Säkerhetsprinciperna som är aktiverade i Microsoft Defender för molnet skapa säkerhetsrekommendationer och övervakning. Läs mer i Vad är säkerhetsprinciper, initiativ och rekommendationer?.

Vem kan ändra en säkerhetsprincip?

Om du vill ändra en säkerhetsprincip måste du vara säkerhetsadministratör eller ägare till den prenumerationen.

Information om hur du konfigurerar en säkerhetsprincip finns i Ange säkerhetsprinciper i Microsoft Defender för molnet.

Vad är en säkerhetsrekommendations?

Microsoft Defender för molnet analyserar säkerhetstillståndet för dina Azure-, multimolns- och lokala resurser. När potentiella säkerhetsrisker identifieras skapas rekommendationer. Rekommendationerna vägleder dig genom processen att konfigurera den kontroll som behövs. Några exempel:

  • Etablering av skadlig kod som hjälper dig att identifiera och ta bort skadlig programvara
  • Nätverkssäkerhetsgrupper och regler för att styra trafik till virtuella datorer
  • Etablering av en brandvägg för webbprogram för att skydda mot attacker som riktas mot dina webbprogram
  • genomföra alla systemuppdateringar som fattas
  • Hantera OS-konfigurationer som inte matchar de rekommenderade baslinjerna

Här visas endast rekommendationer som är aktiverade i säkerhetsprinciper.

Vad utlöser en säkerhetsavisering?

Microsoft Defender för molnet samlar automatiskt in, analyserar och säkringar loggdata från dina Azure-, multimolns- och lokala resurser, nätverket och partnerlösningar som program mot skadlig kod och brandväggar. Om hot upptäcks skapas en säkerhetsavisering. Exempel på hot:

  • angripna virtuella datorer som kommunicerar med IP-adresser som man vet är skadliga
  • Avancerad skadlig kod har identifierats med hjälp av Felrapportering i Windows
  • nyckelsökningsangrepp mot virtuella datorer
  • Säkerhetsaviseringar från integrerade partnersäkerhetslösningar som skydd mot skadlig kod eller brandväggar för webbprogram

Vad är skillnaden mellan hot som identifieras och aviseras av Microsoft Security Response Center jämfört med Microsoft Defender för molnet?

Microsoft Security Response Center (MSRC) utför välj säkerhetsövervakning av Azure-nätverket och infrastrukturen och tar emot klagomål om hotinformation och missbruk från tredje part. När MSRC får kännedom om att kunddata har använts av en olaglig eller obehörig part eller att kundens användning av Azure inte uppfyller villkoren för godtagbar användning meddelar en säkerhetsincidenthanterare kunden. Meddelanden sker vanligtvis genom att skicka ett e-postmeddelande till de säkerhetskontakter som anges i Microsoft Defender för molnet eller Azure-prenumerationens ägare om en säkerhetskontakt inte har angetts.

Defender för molnet är en Azure-tjänst som kontinuerligt övervakar kundens Azure-, multimolns- och lokala miljö och tillämpar analys för att automatiskt identifiera en mängd potentiellt skadliga aktiviteter. Dessa identifieringar visas som säkerhetsaviseringar på instrumentpanelen för arbetsbelastningsskydd.

Hur kan jag spåra vem i min organisation som har aktiverat en Microsoft Defender-plan i Defender för molnet?

Azure-prenumerationer kan ha flera administratörer med behörighet att ändra prisinställningarna. Om du vill ta reda på vilken användare som gjorde en ändring använder du Azure-aktivitetsloggen.

Screenshot of Azure Activity log showing a pricing change event.

Om användarens information inte visas i den händelse som initieras av kolumnen kan du utforska händelsens JSON för relevant information.

Screenshot of Azure Activity log JSON explorer.

Vad händer när en rekommendation finns i flera principinitiativ?

Ibland visas en säkerhetsrekommendations i mer än ett principinitiativ. Om du har flera instanser av samma rekommendation tilldelade till samma prenumeration och du skapar ett undantag för rekommendationen påverkar det alla initiativ som du har behörighet att redigera.

Om du försöker skapa ett undantag för den här rekommendationen visas något av följande två meddelanden:

  • Om du har de behörigheter som krävs för att redigera båda initiativen ser du:

    Den här rekommendationen ingår i flera principinitiativ: [initiativnamn avgränsade med kommatecken]. Undantag skapas på alla.

  • Om du inte har tillräcklig behörighet för båda initiativen visas det här meddelandet i stället:

    Du har begränsad behörighet att tillämpa undantaget på alla principinitiativ. Undantagen skapas endast på initiativ med tillräcklig behörighet.

Finns det några rekommendationer som inte stöder undantag?

Dessa allmänt tillgängliga rekommendationer stöder inte undantag:

  • Alla avancerade hotskyddstyper ska vara aktiverade i avancerade datasäkerhetsinställningar för SQL-hanterade instanser
  • Alla typer av avancerat hotskydd bör aktiveras i de avancerade inställningarna för datasäkerhet på SQL-servern
  • Cpu- och minnesgränser för containrar ska tillämpas
  • Containeravbildningar ska endast distribueras från betrodda register
  • Container med behörighetseskalering bör undvikas
  • Containrar som delar känsliga värdnamnområden bör undvikas
  • Containrar ska endast lyssna på tillåtna portar
  • Standardprincipen för IP-filter ska nekas
  • Oföränderligt (skrivskyddat) rotfilsystem ska tillämpas för containrar
  • IoT-enheter – Öppna portar på enheten
  • IoT-enheter – Tillåtande brandväggsprincip i en av kedjorna hittades
  • IoT-enheter – Tillåten brandväggsregel i indatakedjan hittades
  • IoT-enheter – Tillåten brandväggsregel i utdatakedjan hittades
  • STORT IP-intervall för IP-filterregel
  • Minst privilegierade Linux-funktioner ska tillämpas för containrar
  • Åsidosätta eller inaktivera containrar AppArmor-profilen bör begränsas
  • Privilegierade containrar bör undvikas
  • Du bör undvika att köra containrar som rotanvändare
  • Tjänster bör endast lyssna på tillåtna portar
  • SQL-servrar bör ha en Microsoft Entra-administratör etablerad
  • Användningen av värdnätverk och portar bör begränsas
  • Användning av poddars HostPath-volymmonteringar bör begränsas till en känd lista för att begränsa nodåtkomsten från komprometterade containrar

Vi använder redan principen för villkorlig åtkomst (CA) för att framtvinga MFA. Varför får vi fortfarande Defender för molnet rekommendationer?

Om du vill undersöka varför rekommendationerna fortfarande genereras kontrollerar du följande konfigurationsalternativ i din MFA CA-princip:

  • Du inkluderade kontona i avsnittet Användare i din MFA CA-princip (eller någon av grupperna i avsnittet Grupper)
  • Azure Management-app-ID (797f4846-ba00-4fd7-ba43-dac1f8f63013) eller alla appar ingår i avsnittet Appar i din MFA CA-princip
  • Azure Management-app-ID utesluts inte i avsnittet Appar i din MFA CA-princip
  • OR-villkoret används endast med MFA, eller SÅ används AND-villkoret med MFA
  • En princip för villkorsstyrd åtkomst som framtvingar MFA via autentiseringsstyrkor stöds för närvarande inte i vår utvärdering

Vi använder ett MFA-verktyg från tredje part för att framtvinga MFA. Varför får vi fortfarande Defender för molnet rekommendationer?

Defender för molnet MFA-rekommendationer stöder inte MFA-verktyg från tredje part (till exempel DUO).

Om rekommendationerna är irrelevanta för din organisation kan du överväga att markera dem som "minimerade" enligt beskrivningen i Undanta resurser och rekommendationer från din säkerhetspoäng. Du kan också inaktivera en rekommendation.

Varför visar Defender för molnet användarkonton utan behörighet för prenumerationen som "kräver MFA"?

Defender för molnet MFA-rekommendationer avser Azure RBAC-roller och rollen klassiska Azure-prenumerationsadministratörer. Kontrollera att inga av kontona har sådana roller.

Vi tillämpar MFA med PIM. Varför visas PIM-konton som inkompatibla?

Defender för molnet MFA-rekommendationer stöder för närvarande inte PIM-konton. Du kan lägga till dessa konton i en CA-princip i avsnittet Användare/Grupper.

Kan jag undanta eller avvisa några av kontona?

Möjligheten att undanta vissa konton som inte använder MFA är tillgänglig för de nya rekommendationerna i förhandsversionen:

  • Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade
  • Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade
  • Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade

Följ dessa steg för att undanta konton:

  1. Välj en MFA-rekommendation som är associerad med ett konto med feltillstånd.
  2. På fliken Konton väljer du ett konto som ska undantas.
  3. Välj knappen tre punkter och välj sedan Undanta konto.
  4. Välj en omfångs- och undantagsorsak.

Om du vill se vilka konton som är undantagna går du till Undantagna konton för varje rekommendation.

Dricks

När du undantar ett konto visas det inte som felfritt och gör inte att en prenumeration visas som felfri.

Finns det några begränsningar för Defender för molnet identitets- och åtkomstskydd?

Det finns vissa begränsningar för Defender för molnet identitets- och åtkomstskydd:

  • Identitetsrekommendationer är inte tillgängliga för prenumerationer med fler än 6 000 konton. I dessa fall visas dessa typer av prenumerationer under fliken Ej tillämpligt.
  • Identitetsrekommendationer är inte tillgängliga för Molnlösningsleverantör (CSP)-partnerns administratörsagenter.
  • Identitetsrekommendationer identifierar inte konton som hanteras med ett PIM-system (Privileged Identity Management). Om du använder ett PIM-verktyg kan du se felaktiga resultat i kontrollen Hantera åtkomst och behörigheter .
  • Identitetsrekommendationer stöder inte principer för villkorsstyrd åtkomst i Microsoft Entra med inkluderade katalogroller i stället för användare och grupper.

Vilka operativsystem för mina EC2-instanser stöds?

En lista över AMIs med SSM-agenten förinstallerad finns på den här sidan i AWS-dokumenten.

För andra operativsystem bör SSM-agenten installeras manuellt med hjälp av följande instruktioner:

Vilka IAM-behörigheter krävs för CSPM-planen för att identifiera AWS-resurser?

Följande IAM-behörigheter krävs för att identifiera AWS-resurser:

DataCollector AWS-behörigheter
API-gateway apigateway:GET
Automatisk skalning av program application-autoscaling:Describe*
Automatisk skalning autoscaling-plans:Describe*
autoscaling:Describe*
Certifikathanterare acm-pca:Describe*
acm-pca:List*
acm:Describe*
acm:List*
CloudFormation cloudformation:Describe*
cloudformation:List*
CloudFront cloudfront:DescribeFunction
cloudfront:GetDistribution
cloudfront:GetDistributionConfig
cloudfront:List*
CloudTrail cloudtrail:Describe*
cloudtrail:GetEventSelectors
cloudtrail:List*
cloudtrail:LookupEvents
CloudWatch cloudwatch:Describe*
cloudwatch:List*
CloudWatch-loggar logs:DescribeLogGroups
logs:DescribeMetricFilters
CodeBuild codebuild:DescribeCodeCoverages
codebuild:DescribeTestCases
codebuild:List*
Konfigurationstjänst config:Describe*
config:List*
DMS – databasmigreringstjänst dms:Describe*
dms:List*
DAX dax:Describe*
DynamoDB dynamodb:Describe*
dynamodb:List*
Ec2 ec2:Describe*
ec2:GetEbsEncryptionByDefault
ECR ecr:Describe*
ecr:List*
ECS ecs:Describe*
ecs:List*
EFS elasticfilesystem:Describe*
EKS eks:Describe*
eks:List*
Elastic Beanstalk elasticbeanstalk:Describe*
elasticbeanstalk:List*
ELB – elastisk belastningsutjämning (v1/2) elasticloadbalancing:Describe*
Elastisk sökning es:Describe*
es:List*
EMR – elastisk kartreducering elasticmapreduce:Describe*
elasticmapreduce:GetBlockPublicAccessConfiguration
elasticmapreduce:List*
elasticmapreduce:View*
GuardDuty guardduty:DescribeOrganizationConfiguration
guardduty:DescribePublishingDestination
guardduty:List*
IAM iam:Generate*
iam:Get*
iam:List*
iam:Simulate*
KMS kms:Describe*
kms:List*
Lambda lambda:GetPolicy
lambda:List*
Nätverksbrandvägg network-firewall:DescribeFirewall
network-firewall:DescribeFirewallPolicy
network-firewall:DescribeLoggingConfiguration
network-firewall:DescribeResourcePolicy
network-firewall:DescribeRuleGroup
network-firewall:DescribeRuleGroupMetadata
network-firewall:ListFirewallPolicies
network-firewall:ListFirewalls
network-firewall:ListRuleGroups
network-firewall:ListTagsForResource
Fjärrskrivbordstjänster rds:Describe*
rds:List*
Redshift redshift:Describe*
S3 och S3Control s3:DescribeJob
s3:GetEncryptionConfiguration
s3:GetBucketPublicAccessBlock
s3:GetBucketTagging
s3:GetBucketLogging
s3:GetBucketAcl
s3:GetBucketLocation
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetAccountPublicAccessBlock
s3:GetObjectAcl
s3:GetObjectTagging
s3:List*
SageMaker sagemaker:Describe*
sagemaker:GetSearchSuggestions
sagemaker:List*
sagemaker:Search
Hemlig chef secretsmanager:Describe*
secretsmanager:List*
Enkel meddelandetjänst-SNS sns:Check*
sns:List*
$ 5 mn ssm:Describe*
ssm:List*
SQS sqs:List*
sqs:Receive*
STS sts:GetCallerIdentity
Brandvägg för webbaserade program waf-regional:Get*
waf-regional:List*
waf:List*
wafv2:CheckCapacity
wafv2:Describe*
wafv2:List*

Finns det ett API för att ansluta mina GCP-resurser till Defender för molnet?

Ja. Om du vill skapa, redigera eller ta bort Defender för molnet molnanslutningar med ett REST-API kan du läsa mer om API:et Anslut ors.

Vilka GCP-regioner stöds av Defender för molnet?

Defender för molnet stöder och söker igenom alla tillgängliga regioner i det offentliga GCP-molnet.

Stöder arbetsflödesautomation några scenarier för affärskontinuitet eller haveriberedskap (BCDR) ?

När du förbereder din miljö för BCDR-scenarier, där målresursen drabbas av ett avbrott eller en annan katastrof, är det organisationens ansvar att förhindra dataförlust genom att upprätta säkerhetskopior enligt riktlinjerna från Azure Event Hubs, Log Analytics-arbetsytan och Logic Apps.

För varje aktiv automatisering rekommenderar vi att du skapar en identisk (inaktiverad) automatisering och lagrar den på en annan plats. När det uppstår ett avbrott kan du aktivera dessa automatiseringar för säkerhetskopiering och underhålla normala åtgärder.

Läs mer om affärskontinuitet och haveriberedskap för Azure Logic Apps.

Vilka är kostnaderna för att exportera data?

Det kostar ingenting att aktivera en kontinuerlig export. Kostnader kan uppstå för inmatning och kvarhållning av data på Log Analytics-arbetsytan, beroende på din konfiguration där.

Många aviseringar tillhandahålls bara när du har aktiverat Defender-planer för dina resurser. Ett bra sätt att förhandsgranska aviseringarna som du får i dina exporterade data är att se aviseringarna som visas på Defender för molnet sidor i Azure-portalen.

Läs mer om priser för Log Analytics-arbetsytan.

Läs mer om priser för Azure Event Hubs.

Allmän information om Defender för molnet prissättning finns på prissidan.

Innehåller den kontinuerliga exporten data om det aktuella tillståndet för alla resurser?

Nej. Kontinuerlig export skapas för strömning av händelser:

  • Aviseringar som tas emot innan du aktiverade exporten exporteras inte.
  • Rekommendationer skickas när en resurss efterlevnadstillstånd ändras. Till exempel när en resurs övergår från felfri till inte felfri. Som med aviseringar exporteras därför inte rekommendationer för resurser som inte har ändrat tillstånd eftersom du har aktiverat export.
  • Säkerhetspoäng per säkerhetskontroll eller prenumeration skickas när en säkerhetskontrolls poäng ändras med 0,01 eller mer.
  • Status för regelefterlevnad skickas när statusen för resursens efterlevnad ändras.

Varför skickas rekommendationer med olika intervall?

Olika rekommendationer har olika intervall för utvärdering av efterlevnad, som kan variera från några minuter till med några dagars mellanrum. Så hur lång tid det tar för rekommendationer att visas i exporten varierar.

Hur får jag en exempelfråga för en rekommendation?

Om du vill hämta en exempelfråga för en rekommendation öppnar du rekommendationen i Defender för molnet, väljer Öppna fråga och väljer sedan Fråga som returnerar säkerhetsresultat.

Screenshot of how to create example query for recommendation.

Stöder kontinuerlig export några scenarier med affärskontinuitet eller haveriberedskap (BCDR) ?

Kontinuerlig export kan vara till hjälp för att förbereda för BCDR-scenarier där målresursen drabbas av ett avbrott eller en annan katastrof. Det är dock organisationens ansvar att förhindra dataförlust genom att upprätta säkerhetskopior enligt riktlinjerna från Azure Event Hubs, Log Analytics-arbetsytan och Logikappen.

Läs mer i Azure Event Hubs – Geo-haveriberedskap.

Kan jag programmatiskt uppdatera flera planer på en enda prenumeration samtidigt?

Vi rekommenderar inte programmatiskt uppdatering av flera planer för en enskild prenumeration samtidigt (via REST API, ARM-mallar, skript osv.). När du använder API:et Microsoft.Security/pricings eller någon annan programmatisk lösning bör du infoga en fördröjning på 10–15 sekunder mellan varje begäran.