即將推出之適用於雲端的 Microsoft Defender 重要變更
重要
本頁中載明的資訊與預先發行產品或功能相關,且內容可能在公開上市之前修改。 Microsoft 對於此處提供的資訊不做任何明示或暗示的承諾或保證。
本頁內容可帶您了解為適用於雲端的 Defender 規劃的各項變更。 其說明規劃對產品進行的修改,這些修改可能會影響您的安全分數或工作流程等。
提示
將下列 URL 複製並貼到您的摘要讀取器,以在本頁更新時收到通知:
https://aka.ms/mdc/upcoming-rss
如果要尋找最新的發行備註,您可以在適用於雲端的 Microsoft Defender 的新功能 (部分機器翻譯) 中找到這些資訊。
規劃的變更
| 規劃的變更 | 公告日期 | 變更的預估日期 |
|---|---|---|
| 透過 AMA 移除 FIM,並在適用於端點的 Defender 上發行新版本 | 2024 年 5 月 1 日 | 2024年6月 |
| 淘汰系統更新建議 | 2024 年 5 月 1 日 | 2024 年 5 月 |
| 淘汰 MMA 相關建議 | 2024 年 5 月 1 日 | 2024 年 5 月 |
| 淘汰無檔案攻擊警示 | 2024年4月18日 | 2024 年 5 月 |
| CIEM 評量標識碼的變更 | 2024年4月16日 | 2024 年 5 月 |
| 取代加密建議 | 2024年4月3日 | 2024 年 5 月 |
| 取代虛擬機建議 | 2024年4月2日 | 2024 年 4 月 30 日 |
| 整合磁碟加密建議的正式運作 | 2024 年 3 月 28 日 | 2024 年 4 月 30 日 |
| 存取合規性供應專案和 Microsoft 動作位置的變更 | 2024 年 3 月 3 日 | 2025 年 9 月 30 日 |
| Microsoft 安全性程式代碼分析 (MSCA) 已不再運作 | 2024 年 2 月 26 日 | 2024 年 2 月 26 日 |
| Microsoft.SecurityDevOps 資源提供者的解除委任 | 2024 年 2 月 5 日 | 2024 年 3 月 6 日 |
| 多重雲端容器威脅偵測的價格變更 | 2024 年 1 月 30 日 | 2024 年 4 月 |
| 針對進階 DevOps 安全性功能的 Defender CSPM 強制執行 | 2024 年 1 月 29 日 | 2024 年 3 月 |
| 針對無代理程式 VM 掃描內建 Azure 角色的更新 | 2024 年 1 月 14 日 | 2024 年 2 月 |
| 適用於伺服器的 Defender 內建弱點評量 (Qualys) 淘汰路徑 | 2024 年 1 月 9 日 | 2024 年 5 月 |
| 針對適用於雲端的 Defender 的多重雲端網路需求即將推出的變更 | 2024 年 1 月 3 日 | 2024 年 5 月 |
| 兩個 DevOps 安全性建議的淘汰 | 2023 年 11 月 30 日 | 2024 年一月 |
| 適用於雲端的 Defender 服務等級 2 名稱的合併 | 2023 年 11 月 1 日 | 2023 年 12 月 |
| 變更適用於雲端的 Microsoft Defender 的成本在 Microsoft 成本管理中的顯示方式 | 2023 年 10 月 25 日 | 2023 年 11 月 |
| 將「金鑰保存庫應啟用清除保護」建議取代為合併的「金鑰保存庫應啟用刪除保護」建議 | 2023 年 6 月 | |
| 針對 Log Analytics 每日上限的變更 | 2023 年 9 月 | |
| 適用於 DevOps 的 Defender 的 DevOps 資源重複資料刪除 | 2023 年 11 月 | |
| 淘汰兩個安全性事件 | 2023 年 11 月 | |
| 針對 Log Analytics 代理程式淘汰的適用於雲端的 Defender 方案和策略 | 2024 年 8 月 |
透過 AMA 移除 FIM,並在適用於端點的 Defender 上發行新版本
公告日期:2024 年 5 月 1 日
變更的估計日期:2024年6月
作為 MMA 淘汰和適用於伺服器之 Defender 更新部署策略的一部分,所有適用於伺服器的 Defender 安全性功能都會透過單一代理程式 (MDE) 或透過無代理程序掃描功能提供,而不需要相依於 Log Analytics 代理程式 (MMA) 或 Azure 監視代理程式 (AMA)。
透過 適用於端點的 Microsoft Defender 的新版本檔案完整性監視 (FIM) 可讓您即時監視重要檔案和登錄、稽核變更,以及偵測可疑的檔案內容變更,以符合合規性。
在此版本中,從 5 月 30 日起,將無法再透過 適用於雲端的 Defender 入口網站取得透過 AMA 的 FIM 體驗。 如需詳細資訊,請參閱 檔案完整性監視體驗 - 變更和移轉指引。
淘汰系統更新建議
公告日期:2024 年 5 月 1 日
變更的預估日期:2024 年 5 月
由於使用 Azure 監視器代理程式 (AMA) 和 Log Analytics 代理程式 (也稱為 Microsoft Monitoring Agent (MMA)已 逐步淘汰在適用於伺服器的 Defender 中,下列依賴這些代理程式的建議會設定為淘汰:
以 Azure Update Manager 整合 為基礎的新建議已正式推出 ,且沒有代理程式相依性。
淘汰 MMA 相關建議
公告日期:2024 年 5 月 1 日
變更的預估日期:2024 年 5 月
作為 MMA 淘汰和適用於伺服器之 Defender 更新部署策略的一部分,所有適用於伺服器的 Defender 安全性功能都會透過單一代理程式 (MDE) 或透過無代理程序掃描功能提供,而不需要相依於 Log Analytics 代理程式 (MMA) 或 Azure 監視代理程式 (AMA)。
作為這一部分,以及降低複雜度的目標,將會淘汰下列建議:
| Display name | 相關功能 |
|---|---|
| Log Analytics 代理程式應該安裝在已啟用 Windows 的 Azure Arc 機器上 | MMA 啟用 |
| Log Analytics 代理程式應該安裝在虛擬機擴展集上 | MMA 啟用 |
| 應在訂用帳戶上啟用Log Analytics代理程式的自動布建 | MMA 啟用 |
| Log Analytics 代理程式應該安裝在虛擬機上 | MMA 啟用 |
| Log Analytics 代理程式應該安裝在已啟用 Linux 的 Azure Arc 機器上 | MMA 啟用 |
| 客體設定擴充功能應該安裝在機器上 | GC 啟用 |
| 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | GC 啟用 |
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | AAC |
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | AAC |
淘汰無檔案攻擊警示
公告日期:2024 年 4 月 18 日
變更的預估日期:2024 年 5 月
在 2024 年 5 月,為了提高適用於伺服器的 Defender 安全性警示品質,Windows 和 Linux 虛擬機特有的無檔案攻擊警示將會停止。 這些警示將由適用於端點的 Defender 產生:
- 偵測到無檔案攻擊工具組 (VM_FilelessAttackToolkit.Windows)
- 偵測到無檔案攻擊技術 (VM_FilelessAttackTechnique.Windows)
- 偵測到無檔案攻擊行為 (VM_FilelessAttackBehavior.Windows)
- 偵測到無檔案攻擊工具組 (VM_FilelessAttackToolkit.Linux)
- 偵測到無檔案攻擊技術 (VM_FilelessAttackTechnique.Linux)
- 偵測到無檔案攻擊行為 (VM_FilelessAttackBehavior.Linux)
已淘汰警示涵蓋的所有安全性案例全都涵蓋適用於端點的Defender威脅警示。
如果您已啟用適用於端點的 Defender 整合,則您不需要採取任何動作。 在 2024 年 5 月,您可能會在警示量中遇到減少,但仍會受到保護。 如果您目前在適用於伺服器的 Defender 中未啟用適用於端點的 Defender 整合,您必須啟用整合,以維護和改善警示涵蓋範圍。 所有適用於伺服器的 Defender 客戶都可以存取適用於端點的 Defender 整合的完整價值,不需額外費用。 如需詳細資訊,請參閱 啟用適用於端點的 Defender 整合。
CIEM 評量標識碼的變更
公告日期:2024 年 4 月 16 日
變更的預估日期:2024 年 5 月
下列建議已排程進行重新建置,這會導致其評量標識碼的變更:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
取代加密建議
公告日期:2024 年 4 月 3 日
變更的預估日期:2024 年 5 月
建議虛擬機應加密計算與 儲存體 資源之間的暫存磁碟、快取和數據流,設定為已被取代。
取代虛擬機建議
公告日期:2024 年 4 月 2 日
預估變更日期:2024年 4月30日
建議虛擬機應該移轉至新的 Azure Resource Manager 資源,設定為已被取代。 客戶應該不會有任何影響,因為這些資源已不存在。
整合磁碟加密建議的正式運作
公告日期:2024 年 3 月 28 日
預估變更日期:2024年 4月30日
整合磁碟加密建議將於 2024 年 4 月在 Azure 公用雲端內正式推出。。 建議可讓客戶使用 Azure 磁碟加密 或 EncryptionAtHost 稽核虛擬機的加密合規性。
建議 移至 GA:
| 建議名稱 | 評量金鑰 |
|---|---|
| Linux 虛擬機應該啟用 Azure 磁碟加密 或 EncryptionAtHost | a40cc620-e72c-fdf4-c554-c6ca2cd705c0 |
| Windows 虛擬機應該啟用 Azure 磁碟加密 或 EncryptionAtHost | 0cb5f317-a94b-6b80-7212-13a9cc8826af |
Azure 磁碟加密 (ADE) 和 EncryptionAtHost 提供待用加密涵蓋範圍,如中所述受控磁碟加密選項概觀 - Azure 虛擬機器,建議您在虛擬機上啟用其中一項。
建議取決於 客體設定。 在虛擬機上線至客體設定的必要條件應啟用,以符合預期地完成合規性掃描的建議。
這些建議將取代「虛擬機應該加密計算與 儲存體 資源之間的暫存磁碟、快取和數據流」建議。
存取合規性供應專案和 Microsoft 動作位置的變更
公告日期:2024 年 3 月 3 日
預估變更日期:2025年9月30日
在 2025 年 9 月 30 日,您存取兩個預覽功能的位置將會變更:合規性供應專案和 Microsoft 動作。
下表列出 Microsoft 產品的合規性狀態(從 Defender 法規合規性儀錶板工具列的 [合規性供應專案] 按鈕存取)。 從 適用於雲端的 Defender 移除此按鈕之後,您仍然可以使用服務信任入口網站存取此資訊。
針對控件的子集,Microsoft Actions 可從控件詳細數據窗格中的 [Microsoft 動作][預覽] 按鈕存取。 拿掉此按鈕之後,您可以瀏覽適用於 FedRAMP 的 Microsoft 服務信任入口網站並存取 Azure 系統安全性方案檔,以檢視 Microsoft Actions。
Microsoft 安全性程式代碼分析 (MSCA) 已不再運作
公告日期:2024 年 2 月 26 日
預估變更日期:2024年2月26日
2021年2月,MSCA工作的淘汰已傳達給所有客戶,自2022年3月以來一直已結束生命週期支援。 截至 2024 年 2 月 26 日,MSCA 正式不再運作。
客戶可以透過 Microsoft Security DevOps 從 適用於雲端的 Defender 取得最新的 DevOps 安全性工具,以及透過 GitHub Advanced Security for Azure DevOps 提供更多安全性工具。
Microsoft.SecurityDevOps 資源提供者的解除委任
公告日期:2024 年 2 月 5 日
變更的預估日期:2024 年 3 月 6 日
適用於雲端的 Microsoft Defender 將對用於 DevOps 安全性公開預覽的資源提供者 Microsoft.SecurityDevOps 進行解除委任,因為已將該提供者移轉至現有的 Microsoft.Security 提供者。 此變更的原因是為了減少與 DevOps 連接器相關聯的資源提供者數目來改善客戶體驗。
仍使用 Microsoft.SecurityDevOps 下的 2022-09-01-preview 版 API 來查詢適用於雲端的 Defender DevOps 安全性資料的客戶將會受到影響。 若要避免其服務的中斷,客戶必須更新至 Microsoft.Security 提供者下的新 2023-09-01-preview 版 API。
目前從 Azure 入口網站上使用適用於雲端的 Defender DevOps 安全性的客戶將不會受到影響。
如需新 API 版本的詳細資料,請參閱適用於雲端的 Microsoft Defender REST API (部分機器翻譯)。
端點保護建議的變更
公告日期:2024 年 2 月 1 日
變更的預估日期:2024 年 3 月
隨著 Azure 監視器代理程式 (AMA) 和 Log Analytics 代理程式 (也稱為 Microsoft Monitoring Agent (MMA)) 的使用在適用於伺服器的 Defender 中逐步淘汰 (英文),仰賴那些代理程式的現有端點建議也將會取代為新的建議。 新的建議會仰賴無代理程式機器掃描 (部分機器翻譯),其允許建議探索及評估支援的端點偵測及回應解決方案的設定,並在找到問題的情況下提供補救步驟。
這些公開預覽建議將會淘汰。
| 建議 | 專員 | 取代日期 | 取代的建議 |
|---|---|---|---|
| 您的機器上應安裝端點保護 (公用) | MMA/AMA | 2024 年 3 月 | 新的無代理程式建議。 |
| 應解決機器上端點保護健康情況的問題 (公開) | MMA/AMA | 2024 年 3 月 | 新的無代理程式建議。 |
將會持續支援目前正式推出的建議,直到 2024 年 8 月為止。
作為該淘汰的一部分,我們將推出新的無代理程式端點保護建議。 這些建議將會在適用於伺服器的 Defender 方案 2 和 Defender CSPM 方案中提供。 其將支援 Azure 和多重雲端機器。 不支援內部部署機器。
| 初步建議名稱 | 預估發行日期 |
|---|---|
| 應在虛擬機器上安裝端點偵測及回應 (EDR) 解決方案 | 2024 年 3 月 |
| 應在 EC2 上安裝端點偵測及回應 (EDR) 解決方案 | 2024 年 3 月 |
| 應在虛擬機器 (GCP) 上安裝端點偵測及回應 (EDR) 解決方案 | 2024 年 3 月 |
| 應該解決虛擬機器上的端點偵測及回應 (EDR) 設定問題 | 2024 年 3 月 |
| 應該解決 EC2 上的端點偵測及回應 (EDR) 設定問題 | 2024 年 3 月 |
| 應該解決 GCP 虛擬機器上的端點偵測及回應 (EDR) 設定問題 | 2024 年 3 月 |
深入了解移轉至更新的端點保護建議體驗 (部分機器翻譯)。
多重雲端容器威脅偵測的價格變更
公告日期:2024 年 1 月 30 日
變更的預估日期:2024 年 4 月
當多重雲端容器威脅偵測 (部分機器翻譯) 移至 GA 時,其將不再免費提供。 如需詳細資訊,請參閱適用於雲端的 Microsoft Defender 價格。
針對進階 DevOps 安全性值的 Defender CSPM 強制執行
公告日期:2024 年 1 月 29 日
變更的預估日期:2024 年 3 月 7 日
從 2024 年 3 月 7 日開始,適用於雲端的 Defender 將開始針對進階 DevOps 安全性值強制執行 Defender CSPM 方案檢查。 如果您已在您 DevOps 連接器建立所在的相同租用戶內的雲端環境 (Azure、AWS、GCP) 上啟用 Defender CSPM 方案,您將能在不需額外支付費用的情況下,繼續接收進階 DevOps 功能。 如果您不是 Defender CSPM 客戶,您必須在 2024 年 3 月 7 日之前啟用 Defender CSPM,否則便會失去對這些安全性功能的存取權。 若要在 2024 年 3 月 7 日之前於連線的雲端環境上啟用 Defender CSPM,請遵循此處 (部分機器翻譯) 所述的啟用文件。
如需基礎 CSPM 和 Defender CSPM 方案上提供的 DevOps 安全性功能的詳細資訊,請參閱我們概述功能可用性的文件。
如需適用於雲端的 Defender 中 DevOps 安全性的詳細資訊,請參閱概觀文件 (部分機器翻譯)。
如需 Defender CSPM 中存取雲端安全性功能之程式碼的詳細資訊,請參閱如何使用 Defender CSPM 保護您的資源 (部分機器翻譯)。
針對無代理程式 VM 掃描內建 Azure 角色的更新
公告日期:2024 年 1 月 14 日
變更的預估日期:2024 年 2 月
在 Azure 中,針對 VM 的無代理程式掃描會使用內建角色 (稱為 VM 掃描器操作員 (部分機器翻譯)),此角色具有針對安全性問題對您的 VM 進行掃描和評估的最低必要權限。 為了針對具有加密磁碟區的 VM 持續提供相關掃描健康情況和設定建議,我們已規劃對此角色的權限進行更新。 該更新包括新增 Microsoft.Compute/DiskEncryptionSets/read 權限。 此權限僅能改善對 VM 中加密磁碟使用方式的識別。 除了在推出此變更之前已經支援 (部分機器翻譯) 的加密方法,此變更並不會提供適用於雲端的 Defender 對這些加密磁碟區內容額外的解密或存取能力。 此變更預計在 2024 年 2 月進行,且不需要您採取任何動作。
適用於伺服器的 Defender 內建弱點評量 (Qualys) 淘汰路徑
公告日期:2024 年 1 月 9 日
變更的預估日期:2024 年 5 月
由 Qualys 提供的適用於伺服器的 Defender 內建弱點評量解決方案現已位於淘汰路徑上,其預計於 2024 年 5 月 1 日完成。 如果您目前使用由 Qualys 提供的弱點評量解決方案,您應該規劃轉換至整合的 Microsoft Defender 弱點管理解決方案。
如需有關我們決定使用 Microsoft Defender 弱點管理來整合弱點評量供應項目的詳細資訊,您可以參閱此部落格文章 (英文)。
您也可以查看有關轉換至 Microsoft Defender 弱點管理解決方案的常見問題 (部分機器翻譯)。
針對適用於雲端的 Defender 的多重雲端網路需求即將推出的變更
公告日期:2024 年 1 月 3 日
變更的預估日期:2024 年 5 月
從 2024 年 5 月開始,我們將淘汰與我們的多重雲端探索服務相關聯的舊 IP 位址,以因應改善並確保所有使用者都能獲得更安全且更有效率的體驗。
為了確保對我們服務的存取不會中斷,您應該將 IP 允許清單更新為下列小節中所提供的新範圍。 您應該對防火牆設定、安全性群組或可能適用於您環境的任何其他設定進行必要的調整。
此清單適用於所有方案,且足以對應 CSPM 基礎 (免費) 供應項目的完整功能。
即將淘汰的 IP 位址:
- 探索 GCP:104.208.29.200、52.232.56.127
- 探索 AWS:52.165.47.219、20.107.8.204
- 上線:13.67.139.3
即將新增的新區域特定 IP 範圍:
- 西歐 (weu):52.178.17.48/28
- 北歐 (neu):13.69.233.80/28
- 美國中部 (cus):20.44.10.240/28
- 美國東部 2 (eus2):20.44.19.128/28
兩個 DevOps 安全性建議的淘汰
公告日期:2023 年 11 月 30 日
變更的預估日期:2024 年 1 月
隨著 DevOps 環境狀態管理的正式發行,我們也將更新為以子評量格式顯示建議的做法。 之前,我們提供的是涵蓋多個調查結果的廣泛建議。 現在,我們將改成針對每個特定調查結果提供個別的建議。 隨著此變更,有兩個廣泛的建議將會淘汰:
Azure DevOps Posture Management findings should be resolvedGitHub Posture Management findings should be resolved
這表示我們不再會針對所有已探索到的錯誤設定提供單一建議,而是會針對每個問題提供不同的建議,例如「Azure DevOps 服務連線不應該為所有管線授與存取權」。 此變更的目的是要增強特定問題的清晰性和可見度。
如需詳細資訊,請參閱新建議 (部分機器翻譯)。
適用於雲端的 Defender 服務等級 2 名稱的合併
公告日期:2023 年 11 月 1 日
變更的預估日期:2023 年 12 月
我們正在將所有適用於雲端的 Defender 方案的舊版服務等級 2 名稱合併成單一的新服務層級 2 名稱:適用於雲端的 Microsoft Defender。
目前一共有四個服務等級 2 名稱:Azure Defender、進階威脅防護、進階資料安全性,以及資訊安全中心。 適用於雲端的 Microsoft Defender 的各種計量目前分散在這些個別的服務等級 2 名稱之間,使得「成本管理 + 計費」、發票及其他 Azure 計費相關工具在使用上變得更加複雜。
此變更能夠簡化檢閱適用於雲端的 Defender 費用的流程,並提供更清楚的成本分析。
為了確保能夠順利轉換,我們已採取措施以維護產品/服務名稱、SKU 及計量識別碼的一致性。 受影響的客戶將會收到供參考的 Azure 服務通知以傳達這些變更。
透過呼叫我們的 API 來擷取成本資料的組織,必須更新其呼叫中的值來因應此變更。 例如,在此篩選函式中,其中的值將不會傳回任何資訊:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
此變更預計於 2023 年 12 月 1 日生效。
| 舊服務等級 2 名稱 | 新服務等級 2 名稱 | 服務層級 - 服務等級 4 (無變更) |
|---|---|---|
| 進階資料安全性 | 適用於雲端的 Microsoft Defender | 適用於 SQL 的 Defender |
| 進階威脅防護 | 適用於雲端的 Microsoft Defender | 適用於容器登錄的 Defender |
| 進階威脅防護 | 適用於雲端的 Microsoft Defender | 適用於 DNS 的 Defender |
| 進階威脅防護 | 適用於雲端的 Microsoft Defender | 適用於 Key Vault 的 Defender |
| 進階威脅防護 | 適用於雲端的 Microsoft Defender | 適用於 Kubernetes 的 Defender |
| 進階威脅防護 | 適用於雲端的 Microsoft Defender | 適用於 MySQL 的 Defender |
| 進階威脅防護 | 適用於雲端的 Microsoft Defender | 適用於 PostgreSQL 的 Defender |
| 進階威脅防護 | 適用於雲端的 Microsoft Defender | 適用於 Resource Manager 的 Defender |
| 進階威脅防護 | 適用於雲端的 Microsoft Defender | 適用於儲存體的 Defender |
| Azure Defender | 適用於雲端的 Microsoft Defender | 適用於外部受攻擊面管理的 Defender |
| Azure Defender | 適用於雲端的 Microsoft Defender | 適用於 Azure Cosmos DB 的 Defender |
| Azure Defender | 適用於雲端的 Microsoft Defender | 適用於容器的 Defender |
| Azure Defender | 適用於雲端的 Microsoft Defender | 適用於 MariaDB 的 Defender |
| 資訊安全中心 | 適用於雲端的 Microsoft Defender | 適用於 App Service 的 Defender |
| 資訊安全中心 | 適用於雲端的 Microsoft Defender | 適用於伺服器的 Defender |
| 資訊安全中心 | 適用於雲端的 Microsoft Defender | Defender CSPM |
變更適用於雲端的 Microsoft Defender 的成本在 Microsoft 成本管理中的顯示方式
公告日期:2023 年 10 月 26 日
變更的預估日期:2023 年 11 月
在 11 月,我們將會變更適用於雲端的 Microsoft Defender 的成本在成本管理和訂用帳戶發票中顯示的方式。
成本將會針對每個受保護的資源呈現,而非訂用帳戶中所有資源的彙總。
如果資源已套用標記 (組織通常會使用此方式來執行財務退款流程),其將會新增至適當的計費明細中。
將「金鑰保存庫應啟用清除保護」建議取代為合併的「金鑰保存庫應啟用刪除保護」建議
變更的預期日期:2023 年 6 月
Key Vaults should have purge protection enabled 建議已從 (法規合規性儀表板/Azure 安全性基準計畫) 中淘汰,並取代為新的合併建議 Key Vaults should have deletion protection enabled。
| 建議名稱 | 描述 | 效果 | 版本 |
|---|---|---|---|
| 金鑰保存庫應啟用刪除保護 | 您組織中可能有惡意的內部人員能夠刪除和清除金鑰保存庫。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 | 稽核、拒絕、停用 | 2.0.0 |
請參閱適用於 Key Vault 之 Azure 原則內建原則定義的完整索引 (部分機器翻譯)。
針對 Log Analytics 每日上限的變更
Azure 監視器針對在您 Log Analytics 工作區上擷取的資料設定每日上限 (部分機器翻譯) 的能力。 不過,那些排除項目目前並不支援適用於雲端的 Defender 安全性事件。
從 2023 年 9 月 18 日開始,Log Analytics 每日上限將不再排除下列這組資料類型:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- 更新
- UpdateSummary
- CommonSecurityLog
- Syslog
屆時,如果達到每日上限,將會限制所有可計費的資料類型。 此變更能改善您控制高於預期的資料擷取所帶來之成本的能力。
深入了解使用適用於雲端的 Microsoft Defender 的工作區 (部分機器翻譯)。
適用於 DevOps 的 Defender 的 DevOps 資源重複資料刪除
變更的預估日期:2023 年 11 月
為了改善適用於 DevOps 的 Defender 使用者體驗並實現與適用於雲端的 Defender 豐富功能集的進一步整合,適用於 DevOps 的 Defender 不再支援將重複的 DevOps 組織執行個體針對 Azure 租用戶進行上線。
如果您沒有將 DevOps 組織執行個體針對您的組織進行多次上線,則不需要採取進一步的動作。 如果您有針對租用戶多次上線的 DevOps 組織執行個體,訂用帳戶擁有者將會收到通知,且必須瀏覽至適用於雲端的 Defender [環境設定] 並刪除他們不想要保留的 DevOps 連接器。
客戶必須在 2023 年 11 月 14 日之前解決此問題。 在此日期之後,只有存在 DevOps 組織執行個體且最近建立的 DevOps 連接器才會持續針對適用於 DevOps 的 Defender 上線。 例如,如果 Contoso 組織同時存在於 connectorA 和 connectorB 中,且 connectorB 是在 connectorA 之後建立,則系統會從適用於 DevOps 的 Defender 中移除 connectorA。
針對 Log Analytics 代理程式淘汰的適用於雲端的 Defender 方案和策略
變更的預估日期:2024 年 8 月
Azure Log Analytics 代理程式 (也稱為 Microsoft Monitoring Agent (MMA)) 將於 2024 年 8 月淘汰 (英文)。因此,仰賴 Log Analytics 代理程式的兩個適用於雲端的 Defender 方案的功能將會受到影響,且其將具有更新的策略:適用於伺服器的 Defender 和機器上適用於 SQL Server 的 Defender。
重要策略點
- Azure 監視代理程式 (AMA) 不再是適用於伺服器的 Defender 供應項目的需求,但將持續是適用於 SQL 的 Defender 必要的一部分。
- 適用於伺服器的 Defender Log Analytics 版本以 MMA 為基礎的功能和能力將在 2024 年 8 月淘汰,並會在 MMA 淘汰日期之前透過替代基礎結構傳遞。
- 此外,目前提供這兩個代理程式 (MMA/AMA) 的安裝和設定的共用自動佈建流程也將會據以調整。
適用於伺服器的 Defender
下表說明在 Log Analytics 代理程式淘汰之後,將如何提供每個功能:
| 功能 | 淘汰計畫 | 替代 |
|---|---|---|
| 適用於下層機器 (Windows Server 2012 R2、2016) 的適用於端點的 Defender/適用於雲端的 Defender 整合 | 使用舊版適用於端點的 Defender 感應器和 Log Analytics 代理程式的適用於端點的 Defender 整合 (適用於 Windows Server 2016 和 Windows Server 2012 R2 機器),在 2024 年 8 月後將不再受到支援。 | 請啟用 GA 整合代理程式整合來維持對機器的支援,並接收完整的擴充功能集。 如需詳細資訊,請參閱啟用適用於端點的 Microsoft Defender 整合 (部分機器翻譯)。 |
| OS 層級威脅偵測 (代理程式型) | 以 Log Analytics 代理程式為基礎的 OS 層級威脅偵測在 2024 年 8 月後將不再可用。 我們很快將會提供已淘汰偵測的完整清單。 | OS 層級偵測是由適用於端點的 Defender 整合提供,且已經處於 GA。 |
| 自適性應用程式控制 | 以 Log Analytics 代理程式為基礎的目前 GA 版本 (部分機器翻譯) 將會與以 Azure 監視代理程式為基礎的預覽版本一起在 2024 年 8 月淘汰。 | 目前的自適性應用程式控制功能將會中止,而針對應用程式控制領域 (適用於端點的 Defender 和 Windows Defender 應用程式控制目前所提供的功能之外) 的新功能,將會作為未來適用於伺服器的 Defender 藍圖的一部分加以考量。 |
| 端點保護探索建議 | 目前針對在已偵測到的解決方案中安裝端點保護和修正健康情況問題的 GA 建議 (部分機器翻譯) 將在 2024 年 8 月淘汰。 目前透過 Log Analytics 代理程式提供的預覽建議,將會在透過無代理程式磁碟掃描功能提供替代方案後淘汰。 | 新的無代理程式版本將在 2024 年 6 月前提供用於探索和設定差距。 作為此升級的一部分,此功能將以適用於伺服器的 Defender 方案 2 和 Defender CSPM 元件之一部分的形式提供,且不會涵蓋內部部署或已連線至 Arc 的機器。 |
| 遺失 OS 修補檔 (系統更新) | 以 Log Analytics 代理程式為基礎套用系統更新的建議,在 2024 年 8 月後將不再可用。 目前透過來賓設定代理程式提供的預覽版本,將會在透過 Microsoft Defender 弱點管理進階功能提供替代方案後淘汰。 此功能針對 Docker 中樞和 VMMS 的支援將會在 2024 年 8 月淘汰,且將會作為未來適用於伺服器的 Defender 藍圖的一部分加以考量。 | 以和更新管理員的整合為基礎的新建議 (部分機器翻譯) 已經處於 GA,且沒有代理程式相依性。 |
| OS 設定錯誤 (Azure 安全性基準建議) | 以 Log Analytics 代理程式為基礎的目前 GA 版本 (部分機器翻譯) 在 2024 年 8 月之後將不再可用。 使用來賓設定代理程式的目前預覽版本,將會在提供 Microsoft Defender 弱點管理整合後淘汰。 | 以和進階 Microsoft Defender 弱點管理的整合為基礎的新版本,將會在 2024 年年初以適用於伺服器的 Defender 方案 2 之一部分的形式提供。 |
| 檔案完整性監視 | 以 Log Analytics 代理程式為基礎的目前 GA 版本 (部分機器翻譯) 在 2024 年 8 月之後將不再可用。 以 Azure 監視器代理程式 (AMA) 為基礎的 FIM 公開預覽版本 (部分機器翻譯) 將於透過適用於端點的 Defender 提供替代方案後淘汰。 | 此功能的新版本將會根據 2024 年 6 月的整合 適用於端點的 Microsoft Defender 提供。 |
| 針對資料擷取的 500 MB 權益 (部分機器翻譯) | 針對已定義資料表上資料擷取的 500 MB 權益 (部分機器翻譯),在適用於伺服器的 Defender P2 所涵蓋之訂用帳戶下的機器上仍會透過 AMA 代理程式支援。 每部機器都有資格獲得一次權益,即使 Log Analytics 代理程式和 Azure 監視器代理程式都安裝在其上方也一樣。 |
Log Analytics 和 Azure 監視代理程式自動佈建體驗
目前提供這兩個代理程式 (MMA/AMA) 的安裝和設定的佈建流程,也將會針對上述方案據以調整:
MMA 自動佈建機制及其相關原則計畫將透過適用於雲端的 Defender 平台保持選擇性且受到支援,直到 2024 年 8 月為止。
在 2023 年 10 月:
目前共用的「Log Analytics 代理程式」/「Azure 監視器代理程式」自動佈建機制將只會更新並套用至「Log Analytics 代理程式」。
- 與 Azure 監視器代理程式 (AMA) 相關的公開預覽原則計畫將會淘汰,並取代為適用於 Azure 監視器代理程式 (AMA) 的新自動佈建流程,且僅以 Azure 註冊的 SQL 伺服器 (Azure VM 上的 SQL 伺服器/已啟用 Arc 的 SQL 伺服器) 為目標。
目前具有已啟用公開預覽原則計畫之 AMA 的客戶將持續受到支援,但仍建議其移轉至新的原則。
為了確保您伺服器的安全性,並能接收來自適用於伺服器的 Defender 的所有安全性更新,請務必在您的訂用帳戶上啟用適用於端點的 Defender 整合 (部分機器翻譯) 和無代理程式磁碟掃描 (部分機器翻譯)。 這也能使您的伺服器在替代交付項目方面保持在最新狀態。
代理程式移轉規劃
首先,建議所有適用於伺服器的 Defender 客戶都啟用作為適用於伺服器的 Defender 供應項目之一部分的適用於端點的 Defender 整合和無代理程式磁碟掃描,不需額外付費。 這將能確保您能夠自動獲得新替代交付項目的涵蓋,且無需進行額外的上線動作。
接下來,請根據您的組織需求規劃您的移轉計畫:
| 需要 Azure 監視器代理程式 (AMA) (針對適用於 SQL 的 Defender 或其他案例) | 需要 FIM/EPP 探索/基準,作為適用於伺服器的 Defender 的一部分 | 我該做什麼 |
|---|---|---|
| No | Yes | 從 2024 年 4 月開始,您便可以移除 MMA,並根據您的需求使用 GA 版本的適用於伺服器的 Defender (將會提早提供預覽版本) |
| No | No | 您可以立即移除 MMA |
| 是 | No | 您可以立即從 MMA 移轉至 AMA |
| Yes | Yes | 您可以在 2024 年 4 月開始從 MMA 移轉至 AMA,也可以從現在起同時使用這兩個代理程式。 |
已啟用 Log Analytics 代理程式(MMA) 的客戶
如果您的組織需要下列功能:檔案完整性監視 (FIM)、端點保護建議、OS 錯誤設定 (安全性基準建議),您可以在替代方案於 2024 年 4 月以 GA 形式提供時淘汰 MMA (將會提早提供預覽版本)。
如果您的組織需要上述功能,且其他服務也需要 Azure 監視器代理程式 (AMA),您可以在 2024 年 4 月開始從 MMA 移轉至 AMA。 或者,您可以同時使用 MMA 和 AMA 以取得所有 GA 功能,然後在 2024 年 4 月移除 MMA。
如果您不需要上述功能,且其他服務需要 Azure 監視器代理程式 (AMA),您可以立即開始從 MMA 移轉至 AMA。 不過請注意,透過 AMA 提供的預覽適用於伺服器的 Defender 功能將在 2024 年 4 月淘汰。
已啟用 Azure 監視器代理程式 (AMA) 的客戶
您不需採取任何動作。
- 您將會透過無代理程式和適用於端點的 Defender 接收到所有適用於伺服器的 Defender GA 功能。 下列功能將在 2024 年 4 月以 GA 形式提供:檔案完整性監視 (FIM)、端點保護建議、OS 錯誤設定 (安全性基準建議)。 透過 AMA 提供的預覽適用於伺服器的 Defender 功能將在 2024 年 4 月淘汰。
重要
如需如何針對此變更進行規劃的詳細資訊,請參閱適用於雲端的 Microsoft Defender - 針對 Log Analytics 代理程式 (MMA) 淘汰的策略和規劃 (英文)。
機器上適用於 SQL Server 的 Defender
機器上適用於 SQL Server 的 Defender 方案需仰賴 Log Analytics 代理程式 (MMA)/Azure 監視代理程式 (AMA) 來針對 IaaS SQL Server 執行個體提供弱點評量和進階威脅防護。 該方案支援處於 GA 的 Log Analytics 代理程式自動佈建,以及處於公開預覽的 Azure 監視代理程式自動佈建。
下列小節描述以 SQL Server 為目標的全新改良 Azure 監視代理程式 (AMA) 自動佈建流程的規劃推出,以及 Log Analytics 代理程式 (MMA) 的淘汰程序。 使用 MMA 的內部部署 SQL 伺服器在移轉至新流程時,由於 AMA 需求的緣故,將會需要 Azure Arc 代理程式。 使用新自動佈建流程的客戶將能受益於簡單且順暢的代理程式設定,並減少上線錯誤,同時提供更廣泛的保護涵蓋範圍。
| 里程碑 | Date | 其他相關資訊 |
|---|---|---|
| 以 SQL 為目標的 AMA 自動佈建公開預覽發行 | 2023 年 10 月 | 新的自動佈建流程將僅以 Azure 註冊的 SQL 伺服器 (Azure VM 上的 SQL 伺服器/已啟用 Arc 的 SQL 伺服器) 為目標。 目前的 AMA 自動佈建流程及其相關原則計畫將會淘汰。 客戶仍然可以加以使用,但其已不再受到支援。 |
| 以 SQL 為目標的 AMA 自動佈建 GA 發行 | 2023 年 12 月 | 以 SQL 為目標的 AMA 自動佈建流程的 GA 發行。 在發行之後,其將會定義為所有新客戶的預設選項。 |
| MMA 淘汰 | 2024 年 8 月 | 目前的 MMA 自動佈建流程及其相關原則計畫將會淘汰。 客戶仍然可以加以使用,但其已不再受到支援。 |
淘汰兩個安全性事件
變更的預估日期:2023 年 11 月
為了遵循品質改善流程,下列安全性事件預計將會淘汰:Security incident detected suspicious virtual machines activity 和 Security incident detected on multiple machines。
下一步
如需 Defender for Cloud 的所有最近變更,請參閱Microsoft Defender for Cloud 的新功能。