Bulut için Microsoft Defender 'daki yenilikler nelerdir?
Not
Azure Güvenlik Merkezi ve Azure Defender artık Bulut için Microsoft Defender olarak adlandırılan bir yazılımdır. Ayrıca, microsoft Azure Defender Microsoft Defender planları olarak yeniden adlandırıldı. Örneğin, Azure Defender artık Depolama için Microsoft Defender Depolama.
Bulut için Defender, etkin geliştirme aşamasındadır ve sürekli olarak geliştirmeler sunar. En son gelişmelerden haberdar olmak için bu sayfada yeni özellikler, hata düzeltmeleri ve kullanım dışı işlevler hakkında bilgi verilmektedir.
Bu sayfa sıklıkla güncelleştirildi, bu nedenle sık olarak yeniden ziyaret edin.
Defender 'ın bulut için yakında piyasaya çıkacak planlı değişiklikler hakkında bilgi edinmek için bkz. bulut için Microsoft Defender 'da yapılan önemli değişiklikler.
İpucu
Altı aydan eski olan öğeleri arıyorsanız, bunları bulutta Microsoft Defender 'daki yenilikler hakkında daha fazla bilgi Için arşivdebulabilirsiniz.
2021 Kasım
Ignite yayınımız şunları içerir:
- Azure Güvenlik Merkezi ve Azure Defender, bulut için Microsoft Defender 'a dönüşür
- AWS için yerel CSPM ve Amazon EKS ve AWS EC2 için tehdit koruması
- Güvenlik eylemlerini veri duyarlığına göre önceliklendirin (Azure purview tarafından desteklenir) (önizlemede)
- Azure Güvenlik kıyaslaması v3 ile genişletilmiş güvenlik denetimi değerlendirmeleri
- Microsoft Sentinel bağlayıcısının isteğe bağlı çift yönlü uyarı eşitlemesi, genel kullanıma sunuldu (GA)
- Azure Kubernetes hizmeti (AKS) günlüklerini Sentinel 'e göndermek için yeni öneri
- Öneriler bir mitre ATT&CK® framework ile eşlendi-genel kullanıma sunuldu (GA)
Kasım 'daki diğer değişiklikler şunlardır:
- Microsoft tehdit ve güvenlik açığı yönetimi, güvenlik açığı değerlendirme çözümü olarak eklendi-genel kullanıma sunuldu (GA)
- Linux için Microsoft Defender, artık Microsoft Defender for Servers tarafından destekleniyor-genel kullanıma sunuldu (GA)
- Öneriler ve güvenlik bulguları için anlık görüntü dışa aktarma (önizlemede)
- Genel kullanıma sunulan güvenlik açığı değerlendirmesi çözümlerinin otomatik sağlaması (GA)
- Genel kullanıma sunulduğuna varlık envanterindeki yazılım envanteri filtreleri (GA)
- Şirket içi makinelerin envanter görüntüsü, kaynak adı için farklı şablon uygular
Azure Güvenlik Merkezi ve Azure Defender, bulut için Microsoft Defender 'a dönüşür
Bulut raporunun 2021 durumunagöre, kuruluşların %92 ' nin artık çok bulut stratejisi vardır. Microsoft 'un amacı, bu ortamlarda güvenliği merkezileştirmektir ve güvenlik ekiplerinin daha verimli bir şekilde çalışmasına yardımcı olur.
Bulut Için Microsoft Defender (önceki adıyla Azure Güvenlik Merkezi ve Azure Defender), bulut yapılandırmanızda zayıf yönleri tespit eden bulut güvenlik gönderme yönetimi (cspm) ve bulut iş yükü koruması (CWP) çözümüdür, ortamınızın genel güvenlik durumunu güçlendirin ve çok bulut ve karma ortamlarda iş yüklerini korur.
Ignite 2019 ' de, Microsoft Defender markası kapsamında dijital görüşsitenizin güvenliğini sağlamaya ve XDR teknolojilerini tümleştirmeye yönelik en kapsamlı yaklaşımı oluşturmak için vizyonumuzu paylaştık. Azure Güvenlik Merkezi 'ni ve Azure Defender 'ı bulut Için Microsoft Defender'ın yeni adı altında bırakmak, güvenlik teklifimizin tümleşik yeteneklerini ve herhangi bir bulut platformunu destekleme imkanını yansıtır.
AWS için yerel CSPM ve Amazon EKS ve AWS EC2 için tehdit koruması
Yeni bir ortam ayarları sayfası, yönetim gruplarınız, abonelikleriniz ve AWS hesaplarınız üzerinde daha fazla görünürlük ve denetim sağlar. Sayfa AWS hesaplarını ölçeğe eklemek için tasarlanmıştır: AWS Yönetim hesabınızı bağlayın ve var olan ve gelecekteki hesapları otomatik olarak ekleyebilirsiniz.
AWS hesaplarınızı eklediğinizde, bulut için Defender, AWS kaynaklarınızı aşağıdaki planların herhangi biriyle veya tümünde korur:
- Bulutun CSPM özellikleri Için Defender AWS kaynaklarınıza genişletilir. Bu aracısız plan, AWS kaynaklarınızı WS-specific güvenlik önerilerine göre değerlendirir ve bunlar güvenli puanınızın içine dahil edilmiştir. Kaynaklar ayrıca AWS 'ye (AWS CIS, AWS PCI DSS ve AWS temel güvenlik En Iyi uygulamalarına) özgü yerleşik standartlarla uyumluluk için değerlendirilir. Bulutun varlık Envanteri sayfası için Defender, Azure kaynaklarınızın yanı sıra AWS kaynaklarınızı yönetmenize yardımcı olan çoklu bulut özellikli bir özelliktir.
- Kubernetes Için Microsoft Defender , kapsayıcı tehdit algılamasını ve gelişmiş savunmaları Amazon EKS Linux kümelerinize genişletir.
- sunucular için Microsoft Defender , tehdit algılama ve gelişmiş savunmaları Windows ve Linux EC2 örneklerine getirir. Bu plan, uç nokta, güvenlik temelleri ve işletim sistemi düzeyi değerlendirmeleri, güvenlik açığı değerlendirme taraması, uyarlamalı uygulama denetimleri (AAC), dosya bütünlüğü izleme (FIM) ve daha fazlasını içeren Microsoft Defender için tümleşik lisans içerir.
AWS hesaplarınızı bulut Için Microsoft Defender 'a bağlamahakkında daha fazla bilgi edinin.
Güvenlik eylemlerini veri duyarlığına göre önceliklendirin (Azure purview tarafından desteklenir) (önizlemede)
Veri kaynakları tehdit aktörleri için popüler bir hedef kalır. Bu nedenle, güvenlik ekiplerinin, bulut ortamlarında hassas veri kaynaklarını tanımlaması, Önceliklendirmeleri ve güvenliğini sağlamak önemlidir.
Bu sorunu gidermek için, bulut için Microsoft Defender artık duyarlılık bilgilerini Azure purview'dan tümleştirir. Azure purview, çok bulut ve şirket içi iş yüklerindeki verilerinizin duyarlılığı hakkında zengin Öngörüler sunan Birleşik bir veri idare hizmetidir.
Azure purview ile tümleştirme, güvenlik ekipleriniz için kaynak ve güvenlik etkinliklerini önceliklendirmenin tamamen yeni bir yolunu etkinleştirerek, altyapı düzeyinden bulutta bulunan güvenlik görünürlüğünüzü veri düzeyine genişletir.
Verilerin duyarlılığına göre güvenlik eylemlerini önceliklendirerekdaha fazla bilgi edinin.
Azure Güvenlik kıyaslaması v3 ile genişletilmiş güvenlik denetimi değerlendirmeleri
Bulutun güvenlik önerileri için Microsoft Defender, Azure Güvenlik kıyaslaması tarafından etkinleştirilir ve desteklenir.
Azure Güvenlik kıyaslaması , yaygın uyumluluk çerçevelerine göre güvenlik ve uyum en iyi uygulamaları için Microsoft tarafından yazılan, Azure 'a özgü bir dizi kılavuzlardır. Bu, yaygın olarak kullanılan kıyaslama, Internet güvenliği (CIS) Için merkezden ve ulusal standartlar ve teknolojı Enstitüsü (NIST) ile bulut merkezli güvenliğe odaklanarak yapılar oluşturur.
Ignite 2021 ' den Azure Güvenlik kıyaslama v3 , Defender 'ın, bulut Için Microsoft Defender ile korunan tüm Azure abonelikleri için yeni varsayılan girişim olarak etkin olduğu için Defender 'da bulunabilir.
V3 geliştirmeleri şunları içerir:
Endüstri çerçeveleri için ek eşlemeler PCI-DSS v 3.2.1 ve CIS denetimleri V8.
Şu tanıtımı ile denetimler için daha ayrıntılı ve eyleme dönüştürülebilir bir kılavuz:
- Güvenlik ilkeleri -önerimiz için temeli oluşturan genel güvenlik amaçları hakkında öngörüler sağlar.
- Azure Kılavuzu -bu amaçları karşılamak için teknik "nasıl yapılır".
yeni denetimler, tehdit modellemesi ve yazılım tedarik zinciri güvenliği gibi sorunlar ve Azure 'da en iyi uygulamalar için anahtar ve sertifika yönetimi gibi konularda DevOps güvenliği içerir.
Azure Güvenlik kıyaslaması konusuna girişhakkında daha fazla bilgi edinin.
Microsoft Sentinel bağlayıcısının isteğe bağlı çift yönlü uyarı eşitlemesi, genel kullanıma sunuldu (GA)
Temmuz ayında, Microsoft Sentinel 'de yerleşik bağlayıcı (Microsoft 'un Cloud-NATIVE SıEM ve Soar çözümü) için bir önizleme özelliği ve iki yönlü uyarı eşitlemesi duyurduk . Bu özellik artık genel kullanıma sunuldu (GA).
Bulut için Microsoft Defender 'ı Microsoft Sentinel 'e bağladığınızda, güvenlik uyarılarının durumu iki hizmet arasında eşitlenir. Bu nedenle, örneğin, bir uyarı, bulut için Defender 'da kapatıldığında, bu uyarı Microsoft Sentinel 'de de kapatılmış olarak görüntülenecektir. Defender 'ın bulut için bir uyarının durumunu değiştirmek, eşitlenen Microsoft Sentinel uyarısını içeren herhangi bir Microsoft Sentinel olaylarının durumunu etkilemez, yalnızca eşitlenen uyarının kendisidir.
Çift yönlü uyarı eşitlemesini etkinleştirdiğinizde, bu Defender 'ın bulut uyarıları için kopyalarını Içeren Microsoft Sentinel olayları ile bulut uyarıları Için özgün Defender durumunu otomatik olarak eşitleyebilirsiniz. Bu nedenle, örneğin, bulut için bir Defender uyarısı içeren bir Microsoft Sentinel olayı kapatıldığında, bulut için Defender ilgili özgün uyarıyı otomatik olarak kapatır.
azure güvenlik merkezi 'nden azure Defender uyarıları Bağlan ve azure Sentinel 'e yönelik akış uyarılarıhakkında daha fazla bilgi edinin.
Azure Kubernetes hizmeti (AKS) günlüklerini Sentinel 'e göndermek için yeni öneri
Azure Kubernetes 'ın bulut ve Microsoft Sentinel 'e yönelik Birleşik değerini daha iyi geliştirerek, günlük verilerini Microsoft Sentinel 'e göndermeyen Azure Kubernetes hizmet örneklerini vurgulayacağız.
SecOps ekipleri, doğrudan öneri ayrıntıları sayfasından ilgili Microsoft Sentinel çalışma alanını seçebilir ve ham günlüklerin akışını hemen etkinleştirebilir. İki ürün arasındaki bu sorunsuz bağlantı, güvenlik ekiplerinin tüm ortamlarından en iyi şekilde haberdar olmak için iş yükleri genelinde eksiksiz günlük kapsamını kapsamayı kolaylaştırır.
Yeni öneri, "Kubernetes hizmetlerindeki tanılama günlükleri etkinleştirilmelidir" daha hızlı düzeltme için ' düzeltme ' seçeneğini içerir.
aynı Sentinel akış özelliklerine sahip "SQL sunucusu üzerinde denetim etkin olmalıdır" önerisi de geliştirilmiştir.
Öneriler bir mitre ATT&CK® framework ile eşlendi-genel kullanıma sunuldu (GA)
, COMRE ATT&CK® çerçevesinde konumlarını göstermek üzere bulutun güvenlik önerileri için Defender 'ı geliştirdik. Bu küresel olarak erişilebilen tehdit aktörleri ve tekniklerinin gerçek dünya gözlemlerine bağlı olan bu Genel Bilgi Bankası bilgisi tabanı, ortamınız için önerilerin ilişkili risklerini anlamanıza yardımcı olmak için daha fazla bağlam sağlar.
Öneri bilgilerine her eriştiğinizde bu tackler bulacaksınız:
Azure kaynak Graph ilgili önerilere yönelik sorgu sonuçları, mitler ve teknikler®, mitre ATT&CK ' i içerir.
Öneri ayrıntıları sayfaları tüm ilgili önerilerin eşlemesini gösterir:
Defender Için Defender 'daki öneriler sayfasında ,
ilişkili taclerine göre öneriler seçmek için yeni bir filtre vardır:
Güvenlik önerilerinizi gözden geçirinhakkında daha fazla bilgi edinin.
Microsoft tehdit ve güvenlik açığı yönetimi, güvenlik açığı değerlendirme çözümü olarak eklendi-genel kullanıma sunuldu (GA)
ekim 'de, makinelerinize yönelik yeni bir güvenlik açığı değerlendirme sağlayıcısını desteklemek için, sunucular için microsoft defender ve uç nokta için microsoft defender arasındaki tümleştirmeye bir uzantı duyurduk : microsoft Tehdit ve Güvenlik Açığı Yönetimi. Bu özellik artık genel kullanıma sunuldu (GA).
uç noktanın etkin olduğu ve ek aracılar veya düzenli taramalarda gerek olmadan, güvenlik açıklarını ve yapılandırmalarını neredeyse gerçek zamanlı olarak saptamak için Tehdit ve Güvenlik Açığı Yönetimi kullanın. tehdit ve güvenlik açığı yönetimi kuruluşunuzdaki tehdit ve algılamaları temel alarak güvenlik açıklarını önceliklendirir.
desteklenen makineleriniziçin Tehdit ve Güvenlik Açığı Yönetimi tarafından algılanan güvenlik açıklarını ortadan kaldırarak "güvenlikaçığı değerlendirme çözümünün sanal makinelerinizde etkinleştirilmesi gerekir" güvenlik önerisini kullanın.
Mevcut ve yeni makinelerde güvenlik açıklarını otomatik olarak gidermek için, öneriyi el ile düzeltmeye gerek kalmadan, bkz. güvenlik açığı değerlendirmesi çözümleri artık otomatik olarak etkinleştirilebilir (önizlemede).
Endpoint 'ın Tehdit ve Güvenlik Açığı Yönetimi için Microsoft Defender iledaha fazla bilgi edinin.
Linux için Microsoft Defender, artık Microsoft Defender for Servers tarafından destekleniyor-genel kullanıma sunuldu (GA)
Ağustos ayında, Linux algılayıcısı için Defender for Endpoint for desteklenen Linux makinelerine dağıtım için Önizleme desteği duyurduk . Bu özellik artık genel kullanıma sunuldu (GA).
Sunucular Için Microsoft Defender , uç nokta için Microsoft Defenderiçin tümleşik bir lisans içerir. birlikte, kapsamlı uç noktada algılama ve yanıtlama (EDR) yetenekler sağlar.
Endpoint için Defender bir tehdit algıladığında bir uyarı tetikler. Uyarı, Bulut için Defender'da gösterilir. Bulut için Defender'dan Uç Nokta için Defender konsoluna da özetler ve saldırının kapsamını ortaya çıkarmak için ayrıntılı bir araştırma gerçekleştirebilirsiniz.
Daha fazla bilgi için, Güvenlik Merkezi'nin tümleşik güvenlik çözümüyle uç EDR koruma: UçNokta için Microsoft Defender.
Öneriler ve güvenlik bulguları için anlık görüntü dışarı aktarma (önizlemede)
Bulut için Defender ayrıntılı güvenlik uyarıları ve öneriler üretir. Bunları portalda veya programlı araçlar aracılığıyla görüntüebilirsiniz. Ayrıca, ortamınız içinde diğer izleme araçlarıyla izlemek için bu bilgilerin bir veya hepsini dışarı aktarmanız da gerekir.
Bulutun sürekli dışarı aktarma özelliği için Defender, dışarı aktaracakları ve nereye gideceklerini tam olarak özelleştirmenize olanak sağlar. Bulut verileri için Microsoft Defender'ı sürekli dışarı aktarma makalesinde daha fazla bilgi edinebilirsiniz.
Özellik sürekli olarak çağrılsa da, haftalık anlık görüntüleri dışarı aktarma seçeneği de vardır. Şimdiye kadar, bu haftalık anlık görüntüler puan ve mevzuat uyumluluğu verilerini güvenli hale getirdi. Önerileri ve güvenlik bulgularını dışarı aktarma özelliğini ekledik.
Genel kullanılabilirlik için yayımlanan güvenlik açığı değerlendirme çözümlerinin otomatik sağlanması (GA)
Ekim ayında, Bulut için Defender'ın otomatik sağlama sayfasına güvenlik açığı değerlendirme çözümlerinin ek duyurusu yapıldı. Bu, Azure sanal makineleri ve sunucuları Azure Arc tarafından korunan aboneliklerde Azure Defender makineleri için geçerlidir. Bu özellik artık genel kullanılabilirlik (GA) için yayımlandı.
Uç Nokta için Microsoft Defender tümleştirmesi etkinleştirildiyse, Bulut için Defender bir güvenlik açığı değerlendirme çözümü seçeneği sunar:
- (Yenİ) Uç nokta Tehdit ve Güvenlik Açığı Yönetimi Microsoft Defender'ın Microsoft Tehdit ve Güvenlik Açığı Yönetimi modülü (sürüm notuna bakın)
- Tümleşik Qualys aracısı
Seçtiğiniz çözüm, desteklenen makinelerde otomatik olarak etkinleştirilir.
Makineleriniz için güvenlik açığı değerlendirmesini otomatik olarak yapılandırma hakkında daha fazla bilgi için.
Genel kullanılabilirlik için yayımlanan varlık envanteri yazılım envanteri filtreleri (GA)
Ekim ayında varlık envanteri sayfası için belirli yazılımları çalıştıran makineleri seçen ve hatta ilgi alanı sürümlerini belirten yeni filtreleri duyurduk. Bu özellik artık genel kullanılabilirlik (GA) için yayımlandı.
Yazılım envanteri verilerini Azure Kaynak Gezgini'nde Graph.
Bu özellikleri kullanmak için Uç Nokta için Microsoft Defender ile tümleştirmeyi etkinleştirmeniz gerekir.
Azure Resource Graph için örnek Kusto sorguları da dahil olmak üzere tüm ayrıntılar için bkz. Yazılım envanteri erişimi.
Varsayılan girişime yeni AKS güvenlik ilkesi eklendi ; yalnızca özel önizleme müşterileri tarafından kullanım için
Kubernetes iş yüklerinin varsayılan olarak güvenli olduğundan emin olmak için, Bulut için Defender Kubernetes düzeyi ilkeleri ve Kubernetes erişim denetimiyle zorlama seçenekleri de dahil olmak üzere sağlamlaştırma önerileri içerir.
Bu projenin bir parçası olarak, Kubernetes kümelerine dağıtım için bir ilke ve öneri ekledik (varsayılan olarak devre dışı). İlke varsayılan girişimdedir, ancak yalnızca ilgili özel önizlemeye kaydolan kuruluşlarla ilgilidir.
İlkeleri ve önerileri güvenli bir şekilde yoksayabilirsiniz ("Kubernetes kümeleri güvenlik açığı olan görüntülerin dağıtımını korumalıdır") ve ortamınız üzerinde hiçbir etkisi olmaz.
Özel önizlemeye katılmak için özel önizleme halkası üyesi olmak gerekir. Henüz üye değilseniz buraya bir istek gönderin. Önizleme başladığında üyelere bildirilecek.
Şirket içi makinelerin envanter görüntüsü, kaynak adı için farklı bir şablon uygular
Varlık envanteri içinde kaynakların sunumunu geliştirmek için, şirket içi makineleri adlandırmak için şablondan "source-computer-IP" öğesini kaldırdık.
- Önceki biçim:
machine-name_source-computer-id_VMUUID - Bu güncelleştirmeden:
machine-name_VMUUID
Ekim 2021
Ekim ayındaki güncelleştirmeler şunlardır:
- Microsoft Tehdit ve Güvenlik Açığı Yönetimi, güvenlik açığı değerlendirme çözümü olarak eklendi (önizlemede)
- Güvenlik açığı değerlendirme çözümleri artık otomatik olarak etkinleştirilebilir (önizlemede)
- Varlık envantere eklenen yazılım envanteri filtreleri (önizlemede)
- Bazı uyarı türlerinin ön eki "ARM_" olarak VM_
- Kubernetes kümeleri için güvenlik önerisinin mantığında yapılan değişiklikler
- Öneriler ayrıntıları sayfaları artık ilgili önerileri gösteriyor
- Kubernetes için Azure Defender için yeni uyarılar (önizlemede)
Microsoft Tehdit ve Güvenlik Açığı Yönetimi, güvenlik açığı değerlendirme çözümü olarak eklendi (önizlemede)
Makineleriniz için yeni bir güvenlik açığı değerlendirme sağlayıcısını desteklemek üzere Azure Defender için Microsoft Defender ile Uç Nokta için Microsoft Defender arasındaki tümleştirmeyi Tehdit ve Güvenlik Açığı Yönetimi.
Uç Tehdit ve Güvenlik Açığı Yönetimi için Microsoft Defender tümleştirmesi etkinken ve ek aracılara veya düzenli taramalara gerek kalmadan, güvenlik açıklarını ve yanlış yapılandırmaları gerçek zamanlıya yakın bir şekilde bulmak için Tehdit ve Güvenlik Açığı Yönetimi kullanın. Tehdit ve güvenlik açığı yönetimi, güvenlik açıklarına, tehdit ortamına ve kuruluşta algılamalara göre öncelik sırasına sahiptir.
Desteklenen makineleriniziçin güvenlik açığı değerlendirmesi çözümü tarafından algılanan güvenlik açıklarını ortaya Tehdit ve Güvenlik Açığı Yönetimi " güvenlik açığı değerlendirme çözümünün sanal makineleriniz üzerinde etkinleştirilmesi gerekir" güvenlik önerisini kullanın.
Mevcut ve yeni makinelerde güvenlik açıklarını öneriyi el ile düzeltmeye gerek kalmadan otomatik olarak ortaya kaldırmak için bkz. Güvenlik açığı değerlendirme çözümleri artık otomatik olarak etkinleştirilebilir (önizlemede).
Güvenlik açığı değerlendirme çözümleri artık otomatik olarak etkinleştirilebilir (önizlemede)
Güvenlik Merkezi'nin otomatik sağlama sayfası artık azure sanal makineleri için bir güvenlik açığı değerlendirme çözümünü otomatik olarak etkinleştirme seçeneğini ve sunucular için güvenlik açığı değerlendirmesi tarafından korunan aboneliklerde Azure Arc makineleri Azure Defender seçeneğini içerir.
Uç Nokta için Microsoft Defender tümleştirmesi etkinleştirildiyse, Bulut için Defender bir güvenlik açığı değerlendirme çözümü seçeneği sunar:
- (Yenİ) Uç nokta Tehdit ve Güvenlik Açığı Yönetimi Microsoft Defender'ın Microsoft Tehdit ve Güvenlik Açığı Yönetimi modülü (sürüm notuna bakın)
- Tümleşik Qualys aracısı
Seçtiğiniz çözüm, desteklenen makinelerde otomatik olarak etkinleştirilir.
Makineleriniz için güvenlik açığı değerlendirmesini otomatik olarak yapılandırma hakkında daha fazla bilgi için.
Varlık envantere eklenen yazılım envanteri filtreleri (önizlemede)
Varlık envanteri sayfası artık belirli yazılımları çalıştıran makineleri seçmek ve hatta ilgi alanı sürümlerini belirtmek için bir filtre içerir.
Ayrıca, Yazılım envanteri verilerini Azure Kaynak Gezgini'nde Graph.
Bu yeni özellikleri kullanmak için Uç Nokta için Microsoft Defender ile tümleştirmeyi etkinleştirmeniz gerekir.
Azure Resource Graph için örnek Kusto sorguları da dahil olmak üzere tüm ayrıntılar için bkz. Yazılım envanteri erişimi.
Bazı uyarı türlerinin ön eki "ARM_" olarak VM_
Temmuz 2021'de, Azure Defender uyarıları için Resource Manager yeniden düzenleme duyurusmuştuk
Bazı Azure Defender planlarının mantıksal olarak yeniden düzenlenmesinin bir parçası olarak, Azure Defender için Resource Manager uyarılarını sunuculara Azure Defender taşıdık.
Bu güncelleştirmeyle, bu uyarıların ön eklerini bu yeniden atamayla eş olacak şekilde değiştirdik ve "ARM_" yerine aşağıdaki tabloda gösterildiği gibi "VM_" adını değiştirdik:
| Orijinal ad | Bu değişiklikten |
|---|---|
| ARM_AmBroadFilesExclusion | VM_AmBroadFilesExclusion |
| ARM_AmDisablementAndCodeExecution | VM_AmDisablementAndCodeExecution |
| ARM_AmDisablement | VM_AmDisablement |
| ARM_AmFileExclusionAndCodeExecution | VM_AmFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusionAndCodeExecution | VM_AmTempFileExclusionAndCodeExecution |
| ARM_AmTempFileExclusion | VM_AmTempFileExclusion |
| ARM_AmRealtimeProtectionDisabled | VM_AmRealtimeProtectionDisabled |
| ARM_AmTempRealtimeProtectionDisablement | VM_AmTempRealtimeProtectionDisablement |
| ARM_AmRealtimeProtectionDisablementAndCodeExec | VM_AmRealtimeProtectionDisablementAndCodeExec |
| ARM_AmMalwareCampaignRelatedExclusion | VM_AmMalwareCampaignRelatedExclusion |
| ARM_AmTemporarilyDisablement | VM_AmTemporarilyDisablement |
| ARM_UnusualAmFileExclusion | VM_UnusualAmFileExclusion |
| ARM_CustomScriptExtensionSuspiciousCmd | VM_CustomScriptExtensionSuspiciousCmd |
| ARM_CustomScriptExtensionSuspiciousEntryPoint | VM_CustomScriptExtensionSuspiciousEntryPoint |
| ARM_CustomScriptExtensionSuspiciousPayload | VM_CustomScriptExtensionSuspiciousPayload |
| ARM_CustomScriptExtensionSuspiciousFailure | VM_CustomScriptExtensionSuspiciousFailure |
| ARM_CustomScriptExtensionUnusualDeletion | VM_CustomScriptExtensionUnusualDeletion |
| ARM_CustomScriptExtensionUnusualExecution | VM_CustomScriptExtensionUnusualExecution |
| ARM_VMAccessUnusualConfigReset | VM_VMAccessUnusualConfigReset |
| ARM_VMAccessUnusualPasswordReset | VM_VMAccessUnusualPasswordReset |
| ARM_VMAccessUnusualSSHReset | VM_VMAccessUnusualSSHReset |
Kaynak Yöneticisi Için Azure Defender ve sunucular için Azure Defender planları hakkında daha fazla bilgi edinin.
Kubernetes kümeleri için güvenlik önerisi mantığındaki değişiklikler
"Kubernetes kümeleri" varsayılan ad alanını kullanmamalıdır "önerisi, kaynak türleri aralığı için varsayılan ad alanının kullanımını engeller. Bu öneriye dahil edilen kaynak türlerinden ikisi kaldırılmıştır: ConfigMap ve Secret.
Bu öneri hakkında daha fazla bilgi edinin ve Kubernetes kümelerinizi sağlamlaştırma bölümünde Kubernetes kümeleri Için Azure Ilkesini anlayın.
Öneriler ayrıntıları sayfaları artık ilgili önerileri gösteriyor
Farklı öneriler arasındaki ilişkileri netleştirmek için, birçok önerilerin ayrıntılar sayfasına ilgili bir öneriler alanı ekledik.
Bu sayfalarda gösterilen üç ilişki türü şunlardır:
- Önkoşul -seçili öneriden önce tamamlanması gereken bir öneri
- Alternatif -Seçili öneriye ilişkin hedefleri elde etmenin farklı bir önerisi
- Bağımlı -seçilen önerinin bir önkoşul olduğu önerisi
İlgili her öneri için, sağlıksız kaynakların sayısı "etkilenen kaynaklar" sütununda gösterilir.
İpucu
İlgili bir öneri gri ise, bağımlılığı henüz tamamlanmaz ve bu nedenle kullanılamaz.
İlgili önerilere bir örnek:
Güvenlik Merkezi, makinelerinizi desteklenen güvenlik açığı değerlendirmesi çözümleri için denetler:
Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümünün etkinleştirilmesi gerekirBir tane bulunursa keşfedilen güvenlik açıkları hakkında bildirim alırsınız:
Sanal makinelerinizdeki güvenlik açıkları düzeltilmelidir
Kuşkusuz, Güvenlik Merkezi, desteklenen bir güvenlik açığı değerlendirme çözümü bulmadığı takdirde keşfedilen güvenlik açıklarına ilişkin sizi bildiremeyebilir.
Bu nedenle:
- Öneri #1 öneri için bir önkoşuldur #2
- Öneri #2 öneriye bağımlıdır #1
Kubernetes için Azure Defender için yeni uyarılar (önizlemede)
Kubernetes için Azure Defender tarafından sunulan tehdit korumalarını genişletmek için, iki önizleme uyarısı ekledik.
Bu uyarılar, yeni bir Machine Learning modeli ve Kubernetes gelişmiş analizler temel alınarak, kümedeki önceki etkinliklere karşı birden çok dağıtım ve rol atama özniteliği ölçerek Azure Defender tarafından izlenen tüm kümeler arasında oluşturulur.
| Uyarı (uyarı türü) | Description | Mitre taktik | Önem Derecesi |
|---|---|---|---|
| Anomalous Pod dağıtımı (Önizleme) (K8S_AnomalousPodDeployment) |
Kubernetes denetim günlüğü analizi, önceki Pod dağıtım etkinliğine göre anormal olan Pod dağıtımı algıladı. Bu etkinlik, dağıtım işleminde görülen farklı özelliklerin birbiriyle ilişkilerde olduğu hesaba göz önünde bulundurularak bir anomali olarak değerlendirilir. Bu analizler tarafından izlenen özellikler, kullanılan kapsayıcı görüntüsü kayıt defteri, dağıtımı gerçekleştiren hesap, haftanın günü, bu hesabın ne sıklıkta Pod dağıtımları gerçekleştirdiğine ilişkin bir ad alanı olan bu bir ad alanıdır. Bu uyarının anormal etkinlik olarak oluşturulmasına yönelik en önemli nedenler, uyarı genişletilmiş özellikleri altında ayrıntılıdır. | Yürütme | Orta |
| Kubernetes kümesinde atanan aşırı rol izinleri (Önizleme) (K8S_ServiceAcountPermissionAnomaly) |
Kubernetes denetim günlüklerinin çözümlenmesi, kümenize çok fazla izin rol ataması algıladı. Rol atamalarını inceleyerek, listelenen izinler belirli hizmet hesabında yaygın olarak görülür. Bu algılama, Azure tarafından izlenen kümeler genelinde aynı hizmet hesabına yönelik önceki rol atamalarını, izin başına birim ve belirli iznin etkisini dikkate alır. Bu uyarı için kullanılan anomali algılama modeli, bu iznin Azure Defender tarafından izlenen tüm kümeler genelinde nasıl kullanıldığını dikkate alır. | Ayrıcalık Yükseltme | Düşük |
Kubernetes uyarılarının tam listesi için bkz. Kubernetes kümeleri Için uyarılar.
Eylül 2021
Eylül ayında aşağıdaki güncelleştirme yayımlanmıştır:
Azure Güvenlik temeli uyumluluğu için işletim sistemi yapılandırmasını denetlemeye yönelik iki yeni öneri (önizlemede)
makinelerinizin Windows güvenlik temeli ve Linux güvenlik temeliile uyumluluğunu değerlendirmek için aşağıdaki iki öneri yayımlanmıştır:
- Windows makinelerde, Windows makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir (konuk yapılandırması tarafından desteklenir)
- Linux makinelerinde, Linux makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir (konuk yapılandırması tarafından desteklenir)
Bu öneriler, bir makinenin işletim sistemi yapılandırmasını Azure Güvenlik kıyaslaması'nda tanımlanan taban çizgisiyle karşılaştırmak Için Azure ilkesinin Konuk yapılandırma özelliğini kullanır.
Bu önerileri Konuk yapılandırması kullanarak bir makinenin işletim sistemi yapılandırmasıile ilgili olarak kullanma hakkında daha fazla bilgi edinin.
Ağustos 2021
Ağustos ayında güncelleştirmeler şunlardır:
- Linux için uç nokta için Microsoft Defender artık sunucular için Azure Defender tarafından destekleniyor (önizlemede)
- Endpoint Protection çözümlerini yönetmeye yönelik iki yeni öneri (önizlemede)
- Sık karşılaşılan sorunları çözmek için yerleşik sorun giderme ve kılavuz
- Yasal uyumluluk panosunun genel kullanıma sunulduğuna yönelik Azure denetim raporları (GA)
- Kullanım dışı önerisi ' Log Analytics aracı sistem durumu sorunları makinelerinizde çözümlenmelidir '
- Kapsayıcı kayıt defterleri için Azure Defender, artık Azure özel bağlantısı ile korunan kayıt defterlerinde güvenlik açıklarını tarar
- Güvenlik Merkezi artık Azure Ilkesinin Konuk yapılandırma uzantısını otomatik olarak temin edebilir (önizlemede)
- Azure Defender planlarını etkinleştirmek için Öneriler artık "zorla" desteği
- Öneri verilerinin CSV dışarı aktarmaları artık 20 MB ile sınırlıdır
- Öneriler sayfa artık birden çok görünüm içeriyor
Linux için uç nokta için Microsoft Defender artık sunucular için Azure Defender tarafından destekleniyor (önizlemede)
Sunucular Için Azure Defender , uç nokta için Microsoft Defenderiçin tümleşik bir lisans içerir. birlikte, kapsamlı uç noktada algılama ve yanıtlama (EDR) yetenekler sağlar.
Endpoint için Defender bir tehdit algıladığında bir uyarı tetikler. Uyarı, güvenlik merkezi 'nde gösterilir. Güvenlik Merkezi 'nden Ayrıca, uç nokta konsolu için Defender ' ı Özet olarak da kullanabilirsiniz ve saldırının kapsamını açığa çıkarmak için ayrıntılı bir araştırma gerçekleştirebilirsiniz.
önizleme dönemi boyunca, linux algılayıcısı için Defender for Endpoint for the onu Windows makinelerinize bağlı olarak bu iki şekilde, desteklenen linux makinelerine dağıtırsınız:
- Bulut için Microsoft 'un artırılmış güvenlik özellikleri için Defender özellikli mevcut kullanıcılar ve Windows için uç nokta için Microsoft Defender
- Windows için uç nokta için Microsoft Defender ile tümleştirmeyi hiç etkinleştirmeyen yeni kullanıcılar
Endpoint Protection çözümlerini yönetmeye yönelik iki yeni öneri (önizlemede)
Makinelerinizde Endpoint Protection çözümlerini dağıtmak ve sürdürmek için iki Önizleme önerisi ekledik. Her iki öneri de Azure sanal makineleri ve Azure Arc özellikli sunuculara bağlı makineler için destek içerir.
| Öneri | Description | Önem Derecesi |
|---|---|---|
| Uç nokta koruma, makinelerinizde yüklü olmalıdır | Makinelerinizi tehditler ve güvenlik açıklarına karşı korumak için desteklenen bir uç nokta koruma çözümü yüklersiniz. makineler için Endpoint Protection nasıl değerlendirildiği hakkında daha fazla bilgi edinin. (ilgili ilke: Azure güvenlik merkezi 'nde Endpoint Protection eksik izleme) |
Yüksek |
| Endpoint Protection sistem durumu sorunları makinelerinizde çözümlenmelidir | En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki Endpoint Protection sistem durumu sorunlarını çözün. Azure Güvenlik Merkezi tarafından desteklenen Endpoint Protection çözümleri buradabelgelenmiştir. Endpoint Protection değerlendirmesi buradabelgelenmiştir. (ilgili ilke: Azure güvenlik merkezi 'nde Endpoint Protection eksik izleme) |
Orta |
Not
Öneriler, kendi yeniliği aralığını 8 saat olarak gösterir, ancak bunun önemli ölçüde uzun sürebileceği bazı senaryolar vardır. Örneğin, bir şirket içi makine silindiğinde, güvenlik merkezi 'nin silme işlemini belirlemesi 24 saat sürer. Bundan sonra, bilgilerin döndürülmesi 8 saate kadar sürer. Bu nedenle bu durumda, makinenin etkilenen kaynaklar listesinden kaldırılması 32 saat sürebilir.
Sık karşılaşılan sorunları çözmek için yerleşik sorun giderme ve kılavuz
Azure portal Güvenlik Merkezi sayfalarının yeni ve özel bir alanı, güvenlik merkezi ve Azure Defender ile yaygın Güçlükleri çözmek için harmanlanmış, sürekli büyüyen bir dizi kendi kendine yardım malzemeleri sağlar.
Bir sorunla karşılaşdığınızda veya destek ekibimizin önerisi arıyorsanız, sorunları tanılamanıza ve çözmeye yardımcı olmak için diğer bir araçtır:
Yasal uyumluluk panosunun genel kullanıma sunulduğuna yönelik Azure denetim raporları (GA)
Mevzuat uyumluluk panosunun araç çubuğu, aboneliklerinize uygulanan standartlar için Azure ve Dynamics sertifika raporları sunar.
İlgili rapor türleri için sekmeyi seçebilirsiniz (PCI, SOC, ISO ve diğerleri) ve ihtiyacınız olan belirli raporları bulmak için filtreleri kullanabilirsiniz.
Daha fazla bilgi için bkz. uyumluluk durumu raporları ve sertifikaları oluşturma.
Kullanım dışı önerisi ' Log Analytics aracı sistem durumu sorunları makinelerinizde çözümlenmelidir '
Bu öneri Log Analytics aracı sistem durumu sorunlarının, makinelerinizde çözümlenmesi gerektiğini belirledik. Güvenlik Merkezi 'Nin bulut güvenlik Posture yönetimi (cspm) odağıyla tutarsız yollarla güvenli puanları etkiler. Genellikle, CSPM güvenlik yapılandırması yapılandırmalarını tanımlama ile ilgilidir. Aracı sistem durumu sorunları bu sorun kategorisine uymuyor.
Ayrıca, güvenlik merkezi ile ilgili diğer aracılar ile karşılaştırıldığında öneri bir anomali olur: Bu, sistem durumu sorunlarıyla ilgili bir öneriyle tek aracıdır.
Öneri kullanımdan kaldırılmıştır.
Bu kullanımdan kaldırma nedeniyle, Log Analytics aracısını yüklemeye yönelik önerilerle ilgili küçük değişiklikler yaptık (Log Analytics Aracısı üzerinde yüklü olmalıdır...).
Bu değişiklik, güvenli puanlarınızı etkileyebilir. Çoğu abonelik için değişikliğin arttığı bir puanı bekletireceğiz, ancak yükleme önerisiyle ilgili güncelleştirmeler bazı durumlarda düşüşlere neden olabilir.
İpucu
Varlık envanteri sayfası ayrıca, makineler için izlenen durumu (izlenen, izlenen veya kısmen izlenen) gösterdiği gibi, bu değişiklikten de etkilendi.
Kapsayıcı kayıt defterleri için Azure Defender, artık Azure özel bağlantısı ile korunan kayıt defterlerinde güvenlik açıklarını tarar
Kapsayıcı kayıt defterleri için Azure Defender, Azure Container Registry kayıt defterlerinden görüntüleri taramak üzere bir güvenlik açığı tarayıcısı içerir. Kayıt defterleri Için Azure Defender 'ı kullanmahakkında bilgi edinmek için bkz. kayıt defterlerini taramayı ve Azure Defender 'ı kullanma bölümündeki bulguları düzeltme.
Azure Container Registry ' de barındırılan bir kayıt defterine erişimi sınırlandırmak için, sanal ağ özel ıp adreslerini kayıt noktalarına atayın ve azure özel bağlantısı ' nı kullanarak azure özel bağlantı kayıt defterine özel olarak Bağlanaçıklandığı gibi azure özel bağlantısını kullanın.
Ek ortamları ve kullanım örneklerini desteklemeye yönelik devam eden çabalarımızın bir parçası olarak, Azure Defender artık Azure özel bağlantısıile korunan kapsayıcı kayıt defterlerini da tarar.
Güvenlik Merkezi artık Azure Ilkesinin Konuk yapılandırma uzantısını otomatik olarak temin edebilir (önizlemede)
Azure Ilkesi, hem Azure 'da hem de yay bağlantılı makinelerde çalışan makineler için bir makine içindeki ayarları denetleyebilir. Doğrulama, Konuk Yapılandırması uzantısı ve istemcisi tarafından gerçekleştirilir. Azure Ilkesinin Konuk yapılandırmasını anlamabölümünde daha fazla bilgi edinin.
Bu güncelleştirmeyle, artık Güvenlik Merkezi 'ni bu uzantıyı desteklenen tüm makinelere otomatik olarak sağlayacak şekilde ayarlayabilirsiniz.
Otomatik sağlamanın , aracılar ve uzantılar için otomatik sağlamayı yapılandırmabölümünde nasıl çalıştığı hakkında daha fazla bilgi edinin.
Azure Defender planlarını etkinleştirmek için Öneriler artık "zorla" desteği
Güvenlik Merkezi, yeni oluşturulan kaynakların güvenli bir şekilde sağlanmasının sağlanmasına yardımcı olan iki özelliği içerir: zorla ve Reddet. Bir öneri bu seçenekleri sunduğunda, birisi her kaynak oluşturmaya çalıştığında güvenlik gereksinimlerinizin karşılanmasını sağlayabilirsiniz:
- Reddetme , sağlıksız kaynakların oluşturulmasını durduruyor
- Her oluşturulduğunda uyumlu olmayan kaynakları otomatik olarak yeniden düzeltmelere zorla
bu güncelleştirmeyle, zorla seçeneği artık azure defender planlarını etkinleştirme (örneğin, App Service için azure defender 'ın etkinleştirilmesi) önerilerinde sunulmaktadır. Key Vault için azure defender etkinleştirilmelidir, Depolama için azure defender etkinleştirilmelidir).
Bu seçenekler hakkında daha fazla bilgi edinmek için zorla/Reddet önerilerini engelleyin.
Öneri verilerinin CSV dışarı aktarmaları artık 20 MB ile sınırlıdır
Güvenlik Merkezi öneri verilerini dışa aktarırken 20 MB 'lik bir limit instituting.
Daha büyük miktarlarda veri dışa aktarmanız gerekiyorsa, seçmeden önce kullanılabilir filtreleri kullanın veya aboneliklerinizin alt kümelerini seçin ve verileri toplu olarak indirin.
Güvenlik ÖNERILERINIZI CSV dışa aktarma işlemi gerçekleştirmehakkında daha fazla bilgi edinin.
Öneriler sayfa artık birden çok görünüm içeriyor
Öneriler sayfasında, kaynaklarınızla ilgili önerileri görüntülemenin alternatif yollarını sağlamak için artık iki sekme bulunur:
- Güvenli puan önerileri -güvenlik denetimine göre gruplanmış önerilerin listesini görüntülemek için bu sekmeyi kullanın. Güvenlik denetimlerinde ve bunların önerileriniöğrenmek için bu denetimler hakkında daha fazla bilgi edinin.
- Tüm öneriler -bu sekmeyi, önerilerin listesini düz bir liste olarak görüntülemek için kullanın. Bu sekme, hangi girişimin (mevzuat uyumluluk standartları dahil) öneriyi üretdiğini anlamak için de harika bir seçenektir. Girişimler hakkında daha fazla bilgi edinin ve güvenlik ilkeleri, girişimler ve öneriler nelerdir?konusundaki önerilerin ilişkileri hakkında daha fazla bilgi edinin.
2021 Temmuz
Temmuz ayında güncelleştirmeler şunları içerir:
- Azure Sentinel Bağlayıcısı artık isteğe bağlı çift yönlü uyarı eşitlemesi içeriyor (önizlemede)
- Azure Defender 'ın Kaynak Yöneticisi uyarılar için mantıksal yeniden düzenlemesi
- Azure disk şifrelemesi 'ni (ADE) etkinleştirme önerisine geliştirmeler
- Genel kullanım için yayınlanan güvenli puan ve mevzuat uyumluluk verilerinin sürekli dışarı aktarılması (GA)
- İş akışı tahminleri, mevzuat uyumluluk değerlendirmelerinde yapılan değişikliklere göre tetiklenebilir (GA)
- Değerlendirme API alanı ' FirstEvaluationDate ' ve ' StatusChangeDate ' artık çalışma alanı şemalarında ve Logic Apps 'te kullanılabilir
- Azure Izleyici çalışma kitapları galerisine ' zaman içinde uyumluluk ' çalışma kitabı şablonu eklendi
Azure Sentinel Bağlayıcısı artık isteğe bağlı çift yönlü uyarı eşitlemesi içeriyor (önizlemede)
Güvenlik Merkezi Azure Sentinel, Azure 'un Cloud-NATIVE SIEM ve Soar çözümü ile yerel olarak tümleştirilir.
Azure Sentinel, abonelik ve kiracı düzeylerinde Azure Güvenlik Merkezi için yerleşik bağlayıcılar içerir. Azure Sentinel 'e akış uyarılarıhakkında daha fazla bilgi edinin.
Azure Defender 'ı Azure Sentinel 'e bağladığınızda, Azure Sentinel 'e alınan Azure Defender uyarıları 'nın durumu iki hizmet arasında eşitlenir. Bu nedenle, örneğin, Azure Defender 'da bir uyarı kapatıldığında, bu uyarı Azure Sentinel 'de de kapatılmış olarak görüntülenecektir. Azure Defender 'daki bir uyarının durumunu değiştirmek "* ancak eşitlenmiş uyarının kendisi olan eşitlenmiş Azure Sentinel uyarısını içeren herhangi bir Azure Sentinel olaylarının durumunu etkilemez.
Bu önizleme özelliğinin etkinleştirilmesi, iki yönlü uyarı eşitleme, özgün Azure Defender uyarılarının durumunu otomatik olarak bu Azure Defender uyarılarının kopyalarını Içeren Azure Sentinel olayları ile eşitler. Bu nedenle, örneğin, bir Azure Defender uyarısı içeren bir Azure Sentinel olayı kapatıldığında, Azure Defender ilgili özgün uyarıyı otomatik olarak kapatır.
azure güvenlik merkezi 'nden azure Defender uyarıları Bağlanhakkında daha fazla bilgi edinin.
Azure Defender 'ın Kaynak Yöneticisi uyarılar için mantıksal yeniden düzenlemesi
Aşağıda listelenen uyarılar Kaynak Yöneticisi plan Için Azure Defender 'ın bir parçası olarak sunulmaktadır.
Bazı Azure Defender planlarının bir parçası olarak, Azure Defender 'dan Kaynak Yöneticisi için bazı uyarıları, sunucular için Azure Defender'a taşıdık.
Uyarılar iki ana ilkelere göre düzenlenmiştir:
- Birçok Azure Kaynak türü üzerinde denetim düzlemi koruması sağlayan uyarılar-Kaynak Yöneticisi için Azure Defender 'ın parçasıdır
- Belirli iş yüklerini koruyan uyarılar, ilgili iş yüküyle ilgili olan Azure Defender planında
Bunlar, Kaynak Yöneticisi için Azure Defender 'ın parçası olan uyarılardır ve bu değişikliğin sonucunda artık sunucular için Azure Defender 'ın bir parçasıdır:
- ARM_AmBroadFilesExclusion
- ARM_AmDisablementAndCodeExecution
- ARM_AmDisablement
- ARM_AmFileExclusionAndCodeExecution
- ARM_AmTempFileExclusionAndCodeExecution
- ARM_AmTempFileExclusion
- ARM_AmRealtimeProtectionDisabled
- ARM_AmTempRealtimeProtectionDisablement
- ARM_AmRealtimeProtectionDisablementAndCodeExec
- ARM_AmMalwareCampaignRelatedExclusion
- ARM_AmTemporarilyDisablement
- ARM_UnusualAmFileExclusion
- ARM_CustomScriptExtensionSuspiciousCmd
- ARM_CustomScriptExtensionSuspiciousEntryPoint
- ARM_CustomScriptExtensionSuspiciousPayload
- ARM_CustomScriptExtensionSuspiciousFailure
- ARM_CustomScriptExtensionUnusualDeletion
- ARM_CustomScriptExtensionUnusualExecution
- ARM_VMAccessUnusualConfigReset
- ARM_VMAccessUnusualPasswordReset
- ARM_VMAccessUnusualSSHReset
Sunucu planlarına ve Azure Defender için Resource Manager ve Azure Defender hakkında daha fazla bilgi edinebilirsiniz.
Azure Disk Şifrelemesi (ADE) için öneri geliştirmeleri
Kullanıcı geri bildiriminin ardından, sanal makinelere Disk şifrelemesi uygulanmalıdır önerilerini yeniden adlandırıldı.
Yeni öneri aynı değerlendirme kimliğini kullanır ve Sanal makineler olarak adlandırılan geçici diskleri, önbellekleri ve İşlem ile kaynak arasındaki veri akışlarını Depolama gerekir.
Açıklama ayrıca bu sağlamlaştırma önerisinin amacını daha iyi açıklayacak şekilde güncelleştirilmiştir:
| Öneri | Description | Önem Derecesi |
|---|---|---|
| Sanal makineler, İşlem ile sanal makine kaynakları arasında geçici diskleri, önbellekleri ve veri Depolama şifrelemeli | Varsayılan olarak, bir sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak şifrelenir; geçici diskler ve veri önbellekleri şifrelenmez ve işlem ve depolama kaynakları arasında akan veriler şifrelenmez. Azure'daki farklı disk şifreleme teknolojilerinin karşılaştırması için https://aka.ms/diskencryptioncomparison bkz. . Bu Azure Disk Şifrelemesi şifrelemek için Azure Disk Şifrelemesi'i kullanın. (1) Konakta şifreleme özelliğini veya güvenlik gereksinimlerinizi karşılamıyorsa (2) sunucu tarafı şifrelemesi Yönetilen Diskler bu öneriyi göz ardı edin. Azure Disk depolamanın sunucu tarafı şifrelemesi hakkında daha fazla Depolama. |
Yüksek |
Genel kullanılabilirlik için yayımlanan güvenlik puanı ve mevzuat uyumluluğu verilerini sürekli dışarı aktarma (GA)
Sürekli dışarı aktarma, ortamınız içinde diğer izleme araçlarıyla izleme için güvenlik uyarılarınızı ve önerilerinizi dışarı aktarma mekanizması sağlar.
Sürekli dışarı aktarmanızı ayar her zaman nelerin dışarı aktarıldığından ve nereye gideceğine göre yapılandırmış oluruz. Sürekli dışarı aktarmaya genel bakış hakkında daha fazla bilgi edinmek için bkz..
Bu özelliği zaman içinde geliştirin ve genişlettik:
Kasım 2020'de, güvenlik puanınıza değişiklik akışı yapmak için önizleme seçeneğini ekledik.
Tüm ayrıntılar için bkz. Güvenli puan artık sürekli dışarı aktarmada kullanılabilir (önizleme).Aralık 2020'de mevzuat uyumluluğu değerlendirme verilerinizde değişiklik akışı yapmak için önizleme seçeneğini ekledik.
Tüm ayrıntılar için bkz. Sürekli dışarı aktarma yeni veri türlerini alır (önizleme).
Bu güncelleştirmeyle birlikte, bu iki seçenek genel kullanılabilirlik (GA) için yayımlar.
İş akışı otomasyonları mevzuat uyumluluğu değerlendirmelerine (GA) yapılan değişikliklerle tetiklenir
Şubat 2021'de iş akışı otomasyonları için tetikleyici seçeneklerine üçüncü bir önizleme veri türü ekledik: mevzuat uyumluluğu değerlendirmelerine yapılan değişiklikler. Mevzuat uyumluluğu değerlendirmelerine yapılan değişikliklerle tetiklenen iş akışı otomasyonları hakkında daha fazla bilgi edinebilirsiniz.
Bu güncelleştirmeyle, bu tetikleyici seçeneği genel kullanılabilirlik (GA) için yayımlar.
Güvenlik Merkezi tetikleyicilerine yanıtları otomatikleştirme'de iş akışı otomasyon araçlarını kullanmayı öğrenin.
'FirstEvaluationDate' ve 'StatusChangeDate' değerlendirme API'si alanı artık çalışma alanı şemalarında ve mantıksal uygulamalarda kullanılabilir
Mayıs 2021'de Değerlendirme API'sini iki yeni alanla güncelleştirildi: FirstEvaluationDate ve StatusChangeDate. Tüm ayrıntılar için bkz. İki yeni alanla genişletilmiş Değerlendirmeler API'si.
Bu alanlara REST API, Azure Resource Graph, sürekli dışarı aktarma ve CSV dışarı aktarmaları aracılığıyla erişilebilirdi.
Bu değişiklikle, bilgileri Log Analytics çalışma alanı şemasında ve mantıksal uygulamalardan kullanılabilir hale yapıyoruz.
Çalışma Kitapları galerisine 'Zaman içinde uyumluluk' Azure İzleyici şablonu eklendi
Mart ayında, Güvenlik Merkezi'nde tümleşik Azure İzleyici Çalışma Kitapları deneyimini duyurduk (bkz. Azure İzleyici Merkezi ile tümleştirilmiş çalışma kitapları ve sağlanan üç şablon).
İlk sürümde, kuruluşun güvenlik duruşu hakkında dinamik ve görsel raporlar oluşturmak için üç şablon yer aldı.
Artık bir aboneliğin uygulanan düzenleme veya sektör standartlarıyla uyumluluğunu izlemeye ayrılmış bir çalışma kitabı ekledik.
Güvenlik Merkezi verileri için zengin ve etkileşimli raporlar oluşturma konusunda bu raporları kullanma veya kendi raporlarınızı oluşturma hakkında bilgi edinebilirsiniz.
Haziran 2021
Haziran ayındaki güncelleştirmeler şunlardır:
- Azure Defender için yeni Key Vault
- Öneriler tarafından yönetilen anahtarlarla (CMK'ler) varsayılan olarak devre dışı bırakılmıştır
- Kubernetes uyarı ön eki "AKS_" olarak "K8S_" olarak değiştirildi
- "Sistem güncelleştirmelerini uygula" güvenlik denetiminden iki öneri kullanım dışı bırakıldı
Azure Defender için yeni Key Vault
Azure Defender tarafından sağlanan Key Vault korumalarını genişletmek için aşağıdaki uyarıyı ekledik:
| Uyarı (uyarı türü) | Description | MITRE taktiği | Önem Derecesi |
|---|---|---|---|
| Şüpheli IP adreslerinden anahtar kasasına erişim (KV_SuspiciousIPAccess) |
Microsoft Tehdit Bilgileri tarafından şüpheli IP adresi olarak tanımlanan bir IP tarafından anahtar kasasına başarıyla erişildi. Bu, altyapının tehlikeye atılmış olduğunu gösteriyor olabilir. Daha fazla araştırma öneririz. Microsoft'un tehdit zekası özellikleri hakkında daha fazla bilgi edinin. | Kimlik Bilgileri Erişimi | Orta |
Daha fazla bilgi için bkz.
- Azure Defender'a Key Vault
- Key Vault için Azure Defender uyarılarına yanıt verme
- Azure Defender tarafından Key Vault
Öneriler tarafından yönetilen anahtarlarla (CMK'ler) varsayılan olarak devre dışı bırakılmıştır
Güvenlik Merkezi, müşteri tarafından yönetilen anahtarlarla kalan verileri şifrelemek için aşağıdakiler gibi birden çok öneri içerir:
- Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmeli
- Azure Cosmos DB hesapları, müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeli
- Azure Machine Learning çalışma alanlarının müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmeleri gerekir
Azure'daki veriler platform tarafından yönetilen anahtarlar kullanılarak otomatik olarak şifrelenir, bu nedenle müşteri tarafından yönetilen anahtarların kullanımı yalnızca, kuruluş tarafından zorunlu kılınan belirli bir ilkeyle uyumluluk için gerekli olduğunda uygulanmalıdır.
Bu değişiklikle, CMK'ları kullanma önerileri artık varsayılan olarak devre dışı bırakılmıştır. Kuruluş için uygun olduğunda, ilgili güvenlik ilkesi için Effect parametresini AuditIfNotExists veya Enforce olarak değiştirerek bunları etkinleştirebilir. Güvenlik ilkesi etkinleştirme hakkında daha fazla bilgi için:.
Bu değişiklik, aşağıdaki örneklerde gösterildiği gibi önerinin adlarına [Gerekirse etkinleştir] ön eki ile yansıtıldı:
- [Gerekirse etkinleştir] Depolama hesapları, müşteri tarafından yönetilen anahtarı kullanarak verileri şifrelemeli
- [Gerekirse etkinleştir] Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla (CMK) şifrelenmeli
- [Gerekirse etkinleştir] Azure Cosmos DB hesapları, müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeli
Kubernetes uyarı ön eki "AKS_" olarak "K8S_" olarak değiştirildi
Kubernetes için Azure Defender şirket içinde ve çok bulutlu ortamlarda barındırılan Kubernetes kümelerini korumak için genişletildi. Karma ve çok bulutlu Kubernetes dağıtımlarını korumak için Kubernetes için Azure Defender kullanma (önizlemede) konusunda daha fazla bilgi edinebilirsiniz.
Kubernetes için Azure Defender tarafından sağlanan güvenlik uyarılarını artık Azure Kubernetes Service'da kümeler ile sınırlı olmadığını yansıtmak için, "AKS_" uyarı türlerinin ön eklerini "K8S_" olarak değiştirdik. Gerektiğinde adlar ve açıklamalar da güncelleştirilmiştir. Örneğin, bu uyarı:
| Uyarı (uyarı türü) | Description |
|---|---|
| Kubernetes sızma testi aracı algılandı (AKS _PenTestToolsKubeHunter) |
Kubernetes denetim günlüğü analizinde AKS kümesinde Kubernetes sızma testi aracının kullanımı algılandı. Bu davranış meşru olabilir ancak saldırganlar bu tür genel araçları kötü amaçlı olarak kullanabilir. |
şu şekilde değiştirildi:
| Uyarı (uyarı türü) | Description |
|---|---|
| Kubernetes sızma testi aracı algılandı (K8S _PenTestToolsKubeHunter) |
Kubernetes denetim günlüğü analizinde Kubernetes kümesinde Kubernetes sızma testi aracının kullanımı algılandı. Bu davranış meşru olabilir ancak saldırganlar bu tür genel araçları kötü amaçlı olarak kullanabilir. |
"AKS_" başlayan uyarılara başvuran tüm gizleme kuralları otomatik olarak dönüştürülür. Uyarı türüne göre Kubernetes uyarılarına başvuran SIEM dışarı aktarmalarını veya özel otomasyon betiklerini ayarlarsanız, bunları yeni uyarı türleriyle güncelleştirmeniz gerekir.
Kubernetes uyarılarının tam listesi için bkz. Kubernetes kümeleri için uyarılar.
"Sistem güncelleştirmelerini uygula" güvenlik denetiminden iki öneri kullanım dışı bırakıldı
Aşağıdaki iki öneri kullanım dışıdır:
- Bulut hizmeti rolleriniz için işletim sistemi sürümü güncelleştirilmeli - Azure varsayılan olarak konuk işletim sisteminizi, hizmet yapılandırmanız (.cscfg) içinde belirttiğiniz işletim sistemi ailesinde desteklenen en son görüntüye (.cscfg) Windows Server 2016.
- Kubernetes Hizmetleri güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilsin- Bu önerinin değerlendirmeleri, bizim kadar geniş kapsamlı değildir. Öneriyi, güvenlik ihtiyaçlarınıza daha uygun gelişmiş bir sürümle değiştirmeyi planlıyoruz.