你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

关于数据感知安全态势

随着数字化转型的加速，各组织使用多个数据存储（如对象存储和托管/托管数据库）以指数级速率将数据移动到云中。云的动态和复杂性质增加了数据威胁面和风险。这给安全团队带来了数据可见性和保护云数据资产方面的挑战。

Microsoft Defender for Cloud 中的数据感知安全性可帮助减小对数据的风险并应对数据泄露。使用数据感知安全态势，你可以：

自动发现

数据感知安全态势可跨云自动持续发现托管和影子数据资源，包括不同类型的对象存储和数据库。

Defender for Cloud 使用智能采样发现云数据存储中的选定数量的资产。智能采样结果可发现敏感数据问题的证据，同时节省发现成本和时间。

Defender CSPM 提供组织安全态势的可见性和上下文见解。通过向 Defender CSPM 计划添加数据感知安全态势，可以主动识别关键数据风险并确定其优先级，并将其与风险较低的问题区分开来。

攻击路径分析功能可帮助解决在环境中构成直接威胁、最有可能被利用的安全问题。 Defender for Cloud 分析哪些安全问题属于攻击者可能用来破坏环境的潜在攻击路径。它还强调了需要解决以缓解风险的安全建议。

可以通过有权访问敏感数据存储的 Internet 公开 VM 的攻击路径来发现数据泄露的风险。黑客可以利用暴露的 VM 在企业中横向移动来访问这些存储。

云安全资源管理器帮助你通过在云安全图（Defender for Cloud 的上下文引擎）上运行基于图的查询来识别云环境中的安全风险。你可以优先考虑安全团队关注的问题，同时考虑组织的特定上下文和惯例。

你可以使用 Cloud Security Explorer 查询模板，或生成自己的查询，以跨多云环境查找有关可公开访问且包含敏感数据的错误配置数据资源的见解。可以运行查询来检查安全问题，并将环境上下文引入资产清单、Internet 暴露、访问控制、数据流等。查看云图见解。

Defender for Storage 使用高级威胁检测功能监视 Azure 存储帐户。它通过识别访问或利用数据的有害尝试，以及识别可能导致泄露的可疑配置更改来检测潜在的数据泄露。

当检测到早期可疑迹象时，Defender for Storage 会生成安全警报，使安全团队能够快速响应和缓解。

通过在存储资源上应用敏感度信息类型和 Microsoft Purview 敏感度标签，可以轻松确定关注敏感数据的警报和建议的优先级。

详细了解 Defender for Storage 中的敏感数据发现。

数据敏感度设置定义组织中被视为敏感数据的内容。 Defender for Cloud 中的数据敏感度值基于：

预定义的敏感信息类型：Defender for Cloud 使用 Microsoft Purview 中的内置敏感信息类型。这可确保跨服务和工作负载进行一致的分类。其中一些类型默认在 Defender for Cloud 中启用。可以修改这些默认值。在这些内置敏感信息类型中，有一个子集的类型受敏感数据发现功能支持。可查看此子集的参考列表，其中还列出了默认支持的信息类型。
自定义信息类型/标签：可以选择导入在 Microsoft Purview 合规门户中定义的自定义敏感信息类型和标签。
敏感数据阈值：在 Defender for Cloud 中，可以设置敏感数据标签的阈值。阈值确定在 Defender for Cloud 中标记为敏感标签的最低置信度。使用阈值可以更轻松地浏览敏感数据。

发现资源的数据敏感度时，结果基于这些设置。

使用 Defender CSPM 或 Defender for Storage 计划中的敏感数据发现组件启用数据感知安全功能时，Defender for Cloud 使用算法来识别疑似包含敏感数据的数据资源。资源根据数据敏感度设置进行标记。

敏感度设置中的更改在下次发现资源时生效。