適用於雲端的 Microsoft Defender 的新功能?
我們正在積極開發、並持續改良適用於雲端的 Defender。 為了掌握最新的開發,此頁面提供新功能、錯誤修正和已淘汰功能的相關信息。
此頁面會以 適用於雲端的 Defender 中的最新更新頻繁更新。
提示
將下列 URL 複製並貼到您的摘要讀取器,以在此頁面更新時收到通知:
https://aka.ms/mdc/rss
若要瞭解即將 適用於雲端的 Defender 的計劃性變更,請參閱即將進行的 適用於雲端的 Microsoft Defender 變更。
如果您要尋找超過六個月的專案,您可以在 [封存] 中尋找 適用於雲端的 Microsoft Defender 新功能。
2024 年 4 月
| Date | 更新 |
|---|---|
| 4 月 15 日 | 適用於容器的Defender現已正式推出適用於AWS和 GCP |
| 4 月 3 日 | 風險優先順序現在是 適用於雲端的 Defender的默認體驗 |
| 4 月 3 日 | 新的容器弱點評估建議 |
| 4 月 3 日 | 適用於開放原始碼關係資料庫的Defender更新 |
| 4 月 2 日 | 更新為建議以配合 Azure AI Services 資源 |
| 4 月 2 日 | 淘汰認知服務建議 |
| 4 月 2 日 | 容器多重雲端建議 (GA) |
適用於容器的Defender現已正式推出適用於AWS和 GCP
2024 年 4 月 15 日
適用於容器的Defender中的AWS和 GCP 的運行時間威脅偵測和無代理程式探索現已正式推出(GA)。 如需詳細資訊,請參閱 適用於雲端的 Defender 中的容器支援矩陣。
此外,AWS 中有新的驗證功能可簡化布建。 如需詳細資訊,請參閱 設定適用於容器的 Microsoft Defender 元件。
風險優先順序現在是 適用於雲端的 Defender的默認體驗
2024年4月3日
風險優先順序現在是 適用於雲端的 Defender的默認體驗。 這項功能可協助您根據每個資源的風險因素,將建議優先順序放在環境中最重要的安全性問題。 風險因素包括安全性問題遭到入侵的潛在影響、風險類別,以及安全性問題所屬的攻擊路徑。
深入了解 風險優先順序。
新的容器弱點評估建議
2024年4月3日
為了支持建議的新 風險型優先順序 體驗,我們已為 Azure、AWS 和 GCP 中的容器弱點評估建立新的建議。 他們會報告運行時間的登錄和容器工作負載的容器映像:
- Azure 登錄中的容器映像應該已解決弱點結果
- 在 Azure 中執行的容器應該已解決弱點結果
- AWS 登錄中的容器映像應該已解決弱點結果
- 在 AWS 中執行的容器應該已解決弱點結果
- GCP 登錄中的容器映像應該已解決弱點結果
- 在 GCP 中執行的容器應已解決弱點結果
先前的容器弱點評估建議位於淘汰路徑上,而且會在正式推出新建議時移除。
- Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援)
- Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援)
- AWS 登錄容器映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援)
- 執行容器映像的 AWS 應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援)
- GCP 登錄容器映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) - Microsoft Azure
- GCP 執行中容器映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) - Microsoft Azure
注意
新的建議目前處於公開預覽狀態,不會用於安全分數計算。
適用於開放原始碼關係資料庫的Defender更新
2024年4月3日
適用於 PostgreSQL 的 Defender 彈性伺服器後 GA 更新 - 更新可讓客戶對訂用帳戶層級的現有 PostgreSQL 彈性伺服器強制執行保護,允許完全彈性地依據每個資源啟用保護,或自動保護訂用帳戶層級的所有資源。
適用於 MySQL 的 Defender 彈性伺服器可用性和 GA - 適用於雲端的 Defender 藉由納入 MySQL 彈性伺服器來擴充對 Azure 開放原始碼關係資料庫的支援。
此版本包含:
- 與適用於 MySQL 的 Defender 單一伺服器之現有警示的警示相容性。
- 啟用個別資源。
- 在訂用帳戶層級啟用。
如果您已經使用適用於開放原始碼關係資料庫的 Defender 來保護訂用帳戶,則會自動啟用、保護和計費彈性伺服器資源。
特定帳單通知已透過電子郵件傳送給受影響的訂用帳戶。
深入瞭解 適用於開放原始碼關係資料庫的 Microsoft Defender。
注意
更新 適用於 MySQL 的 Azure 資料庫 彈性伺服器在未來幾周內推出。 如果您看到錯誤訊息 The server <servername> is not compatible with Advanced Threat Protection,您可以等候更新推出,或開啟支援票證,以儘快將伺服器更新為支援的版本。
更新為建議以配合 Azure AI Services 資源
2024年4月2日
下列建議已更新,以配合 Azure AI 服務類別(先前稱為認知服務和認知搜尋),以符合新的 Azure AI 服務命名格式,並與相關資源一致。
| 舊建議 | 已更新的建議 |
|---|---|
| 認知服務帳戶應限制網路存取 | Azure AI 服務資源應限制網路存取 |
| 認知服務帳戶應已停用本機驗證方法 | Azure AI 服務資源應停用金鑰存取權(停用本機驗證) |
| 應在搜尋服務中啟用診斷記錄 | 應啟用 Azure AI 服務資源中的診斷記錄 |
請參閱安全性建議清單。
淘汰認知服務建議
2024年4月2日
建議 Public network access should be disabled for Cognitive Services accounts 已被取代。 已從法規合規性儀錶板中移除相關的原則定義 Cognitive Services accounts should disable public network access 。
Azure AI Services Cognitive Services accounts should restrict network access的另一個網路建議已涵蓋這項建議。
請參閱安全性建議清單。
容器多重雲端建議 (GA)
2024年4月2日
作為適用於容器的 Defender 多雲端正式運作的一部分,也會宣佈下列建議:
- 針對 Azure
| 建議 | 說明 | 評定金鑰 |
|---|---|---|
| Azure 登錄容器映像應已解決弱點 | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Azure 執行中的容器映像應已解決弱點 | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- 針對 GCP
| 建議 | 說明 | 評定金鑰 |
|---|---|---|
| GCP 登錄容器映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) - Microsoft Azure | 掃描 GCP 登錄容器映像中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,並在部署前確保映像可安全使用。 | c27441ae-775c-45be-8ffa-655de37362ce |
| GCP 執行中容器映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) - Microsoft Azure | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在您 Google Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
- 針對 AWS
| 建議 | 說明 | 評定金鑰 |
|---|---|---|
| AWS 登錄容器映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) | 掃描 GCP 登錄容器映像中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,並在部署前確保映像可安全使用。 掃描 AWS 登錄容器映像中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | c27441ae-775c-45be-8ffa-655de37362ce |
| 執行容器映像的 AWS 應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Elastic Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
建議會影響安全分數計算。
2024 年 3 月
| Date | 更新 |
|---|---|
| 3 月 31 日 | Windows 容器映射掃描現已正式推出 (GA) |
| 3 月 25 日 | 連續導出現在包含攻擊路徑數據 |
| 3 月 21 日 | 無代理程式掃描支援 Azure 中的 CMK 加密 VM(預覽版) |
| 3 月 18 日 | 新的 端點偵測及回應 建議 |
| 3 月 17 日 | 以適用於 Azure 的 KQL 為基礎的自訂建議現在是公開預覽 |
| 3 月 13 日 | 在 Microsoft 雲端安全性基準中包含 DevOps 建議 |
| 3 月 13 日 | ServiceNow 整合現已正式推出(GA) |
| 3 月 13 日 | 適用於雲端的 Microsoft Defender 中的重要資產保護 (預覽) |
| 3 月 13 日 | 使用自動化補救腳本增強的 AWS 和 GCP 建議 |
| 3 月 6 日 | (預覽)合規性標準已新增至合規性儀錶板 |
| 3 月 5 日 | 取代與 PCI 相關的兩項建議 |
| 3 月 3 日 | 適用於雲端的 Defender Qualys 淘汰所提供的容器弱點評估 |
Windows 容器映射掃描現已正式推出 (GA)
2024 年 3 月 31 日
我們宣佈適用於容器的 Defender 掃描的 Windows 容器映射正式推出 (GA) 支援。
連續導出現在包含攻擊路徑數據
2024 年 3 月 25 日
我們宣佈持續導出現在包含攻擊路徑數據。 這項功能可讓您將安全性數據串流至 Azure 監視器中的 Log Analytics、Azure 事件中樞 或另一個安全性資訊和事件管理(SIEM)、安全性協調流程自動化回應(SOAR)或 IT 傳統部署模型解決方案。
深入了解 連續匯出。
無代理程式掃描支援 Azure 中的 CMK 加密 VM
2024 年 3 月 21 日
到目前為止,無代理程式掃描涵蓋 AWS 和 GCP 中的 CMK 加密 VM。 在此版本中,我們也會完成對 Azure 的支援。 此功能會針對 Azure 中的 CMK 採用獨特的掃描方法:
- 適用於雲端的 Defender 不會處理金鑰或解密程式。 密鑰處理和解密會由 Azure 計算順暢地處理,而且對於 適用於雲端的 Defender 的無代理程式掃描服務而言是透明的。
- 未加密的 VM 磁碟資料永遠不會以另一個金鑰複製或重新加密。
- 原始金鑰不會在程式期間複寫。 清除它可消除生產 VM 和 適用於雲端的 Defender 暫存快照集上的數據。
在公開預覽期間,此功能不會自動啟用。 如果您使用適用於伺服器的 Defender P2 或 Defender CSPM,且您的環境具有具有 CMK 加密磁碟的 VM,您現在可以依照這些 啟用步驟掃描弱點、秘密和惡意代碼。
新的 端點偵測及回應 建議
2024 年 3 月 18 日
我們宣佈新的 端點偵測及回應 建議,可探索及評估所支援 端點偵測及回應 解決方案的設定。 如果發現問題,這些建議會提供補救步驟。
如果您已啟用無代理程式計算機掃描功能的訂用帳戶上已啟用適用於伺服器的 Defender 方案 2 或 Defender CSPM 方案,現在可以使用下列新的無代理程式端點保護建議。 建議支援 Azure 和多雲端電腦。 不支持內部部署機器。
| 建議名稱 | 描述 | 嚴重性 |
|---|---|---|
| EDR 解決方案應該安裝在 虛擬機器 | 若要保護虛擬機,請安裝端點偵測和回應 (EDR) 解決方案。 EDR 有助於防止、偵測、調查及回應進階威脅。 使用適用於伺服器的 Microsoft Defender 來部署 適用於端點的 Microsoft Defender。 如果資源分類為「狀況不良」,則未安裝支援的 EDR 解決方案 [Place Holder 連結 - 深入瞭解]。 如果您已安裝無法透過此建議探索的 EDR 解決方案,您可以豁免它。 | 高 |
| EDR 解決方案應該安裝在 EC2 上 | 若要保護 EC2,請安裝端點偵測和回應 (EDR) 解決方案。 EDR 有助於防止、偵測、調查及回應進階威脅。 使用適用於伺服器的 Microsoft Defender 來部署 適用於端點的 Microsoft Defender。 如果資源分類為「狀況不良」,則未安裝支援的 EDR 解決方案 [Place Holder 連結 - 深入瞭解]。 如果您已安裝無法透過此建議探索的 EDR 解決方案,您可以豁免它。 | 高 |
| EDR 解決方案應該安裝在 GCP 虛擬機器 | 若要保護虛擬機,請安裝端點偵測和回應 (EDR) 解決方案。 EDR 有助於防止、偵測、調查及回應進階威脅。 使用適用於伺服器的 Microsoft Defender 來部署 適用於端點的 Microsoft Defender。 如果資源分類為「狀況不良」,則未安裝支援的 EDR 解決方案 [Place Holder 連結 - 深入瞭解]。 如果您已安裝無法透過此建議探索的 EDR 解決方案,您可以豁免它。 | 高 |
| 應在虛擬機上解決 EDR 設定問題 | 若要保護虛擬機免於最新的威脅和弱點,請解決已安裝端點偵測和回應 (EDR) 解決方案的所有已識別設定問題。 注意:目前,此建議僅適用於已啟用 適用於端點的 Microsoft Defender (MDE) 的資源。 |
高 |
| EDR 設定問題應在 EC2 上解決 | 若要保護虛擬機免於最新的威脅和弱點,請解決已安裝端點偵測和回應 (EDR) 解決方案的所有已識別設定問題。 注意:目前,這項建議僅適用於已啟用 適用於端點的 Microsoft Defender (MDE) 的資源。 |
高 |
| GCP 虛擬機上應解決 EDR 設定問題 | 若要保護虛擬機免於最新的威脅和弱點,請解決已安裝端點偵測和回應 (EDR) 解決方案的所有已識別設定問題。 注意:目前,這項建議僅適用於已啟用 適用於端點的 Microsoft Defender (MDE) 的資源。 |
高 |
瞭解如何管理這些新的 端點偵測及回應 建議 (無代理程式)
這些公開預覽建議將於 3 月底淘汰。
| 建議 | 專員 |
|---|---|
| 您的機器上應安裝端點保護 (公用) | MMA/AMA |
| 應解決機器上端點保護健康情況的問題 (公開) | MMA/AMA |
目前正式推出的建議仍受到支援,並將持續到 2024 年 8 月。
瞭解如何 準備新的端點偵測建議體驗。
以適用於 Azure 的 KQL 為基礎的自訂建議現在是公開預覽
2024 年 3 月 17 日
以適用於 Azure 的 KQL 為基礎的自定義建議現在為公開預覽版,並支援所有雲端。 如需詳細資訊,請參閱 建立自定義安全性標準和建議。
在 Microsoft 雲端安全性基準中包含 DevOps 建議
2024 年 3 月 13 日
今天,我們宣佈除了 Azure、AWS 和 GCP 之外,您還可以在 Microsoft 雲端安全性效能評定 (MCSB) 中監視 DevOps 安全性和合規性狀態。 DevOps 評量是MCSB中DevOps安全性控件的一部分。
MCSB 是一種架構,可根據常見的業界標準和合規性架構來定義基本雲端安全性準則。 MCSB 提供如何實作其無從驗證安全性建議的規範詳細數據。
深入瞭解 將包含的 DevOps 建議 ,以及 Microsoft 雲端安全性效能評定。
ServiceNow 整合現已正式推出(GA)
2024 年 3 月 12 日
我們宣佈 ServiceNow 整合的正式運作(GA)。
適用於雲端的 Microsoft Defender 中的重要資產保護 (預覽)
2024 年 3 月 12 日
適用於雲端的 Defender 現在包含商務關鍵性功能,使用 Microsoft 安全性暴露管理的重要資產引擎,透過風險優先順序、攻擊路徑分析和雲端安全性總管來識別及保護重要資產。 如需詳細資訊,請參閱 適用於雲端的 Microsoft Defender 中的重要資產保護(預覽版)。
使用自動化補救腳本增強的 AWS 和 GCP 建議
2024 年 3 月 12 日
我們會使用自動化補救腳本來增強 AWS 和 GCP 建議,讓您以程式設計方式和大規模地進行補救。 深入瞭解 自動化補救腳本。
(預覽)合規性標準已新增至合規性儀錶板
2024 年 3 月 6 日
根據客戶意見反應,我們已在預覽版中新增合規性標準,以 適用於雲端的 Defender。
查看 支持合規性標準的完整清單
我們持續致力於新增和更新 Azure、AWS 和 GCP 環境的新標準。
瞭解如何 指派安全性標準。
取代與 PCI 相關的兩項建議
2024 年 3 月 5 日
下列與 Permission Creep Index (PCI) 相關的兩項建議即將淘汰:
- 應調查帳戶中過度布建的身分識別,以減少許可權爬行索引 (PCI)
- 應調查訂用帳戶中過度布建的身分識別,以減少許可權爬行索引 (PCI)
適用於雲端的 Defender 由 Qualys 淘汰所提供的容器弱點評估
2024 年 3 月 3 日
由 Qualys 提供的 適用於雲端的 Defender 容器弱點評估即將淘汰。 淘汰作業將於 3 月 6 日完成,直到該時間部分結果仍會出現在 Qualys 建議中,而 Qualys 則會導致安全性圖表。 先前使用此評量的任何客戶都應該升級至具有 Microsoft Defender 弱點管理 的 Azure 弱點評定。 如需轉換至由 Microsoft Defender 弱點管理 提供之容器弱點評估供應專案的相關信息,請參閱從 Qualys 轉換至 Microsoft Defender 弱點管理。
2024 年 2 月
| Date | 更新 |
|---|---|
| 2 月 28 日 | 更新的安全策略管理可擴充 AWS 和 GCP 的支援 |
| 2月26日 | 適用於容器的Defender雲端支援 |
| 2月20日 | 適用於容器的Defender新版Defender感測器 |
| 2 月 18 日 | Open Container Initiative (OCI) 映射格式規格支援 |
| 2月13日 | 由 Trivy 淘汰的 AWS 容器弱點評估 |
| 2 月 8 日 | 建議 發行預覽版:Azure Stack HCI 資源類型的四項建議 |
更新的安全策略管理可擴充 AWS 和 GCP 的支援
2024年2月28日
管理安全策略的更新體驗,最初在 Azure 預覽版中發行,正在擴充其跨雲端 (AWS 和 GCP) 環境的支援。 此預覽版本包括:
- 在 Azure、AWS 和 GCP 環境中管理 適用於雲端的 Defender 中的法規合規性標準。
- 建立和管理 Microsoft Cloud Security Benchmark(MCSB) 自定義建議的相同跨雲端介面體驗。
- 更新的體驗會套用至 AWS 和 GCP,以 使用 KQL 查詢建立自定義建議。
適用於容器的Defender雲端支援
2024年2月26日
適用於容器的 Defender 中的 Azure Kubernetes Service (AKS) 威脅偵測功能現在已完全支援商業、Azure Government 和 Azure China 21Vianet 雲端。 檢閱 支援的功能。
適用於容器的Defender新版Defender感測器
2024年2月20日
適用於容器的Defender感測器新版本可供使用。 它包含效能和安全性改進、支援 AMD64 和 ARM64 架構節點(僅限 Linux),並使用 Inspektor 小工具 作為進程收集代理程式,而不是 Sysdig。 只有 Linux 核心 5.4 版和更新版本才支援新版本,因此如果您有舊版的 Linux 核心,則需要升級。 ARM 64 的支援僅適用於 AKS V1.29 和更新版本。 如需詳細資訊,請參閱 支援的主機操作系統。
Open Container Initiative (OCI) 映射格式規格支援
2024年2月18日
開放容器計劃 (OCI) 映像格式規格現在受到弱點評估的支援,由AWS、Azure 和 GCP 雲端 Microsoft Defender 弱點管理 提供技術支援。
由 Trivy 淘汰的 AWS 容器弱點評估
2024 年 2 月 13 日
Trivy 所提供的容器弱點評估已淘汰。 先前使用此評定的任何客戶都應該升級至由 Microsoft Defender 弱點管理 提供的新 AWS 容器弱點評估。 如需如何升級的指示,請參閱 如何? 從淘汰的 Trivy 弱點評估升級至由 Microsoft Defender 弱點管理 支援的 AWS 弱點評估?
建議 已發行預覽版:Azure Stack HCI 資源類型的四項建議
2024年2月8日
我們已新增 Azure Stack HCI 的四個新建議,作為可透過 適用於雲端的 Microsoft Defender 管理的新資源類型。 這些新建議目前處於公開預覽狀態。
| 建議 | 描述 | 嚴重性 |
|---|---|---|
| (預覽)Azure Stack HCI 伺服器應符合安全核心需求 | 確定所有 Azure Stack HCI 伺服器都符合安全核心需求。 (相關原則: 客體設定擴充功能應該安裝在機器上 - Microsoft Azure) | 低 |
| (預覽)Azure Stack HCI 伺服器應該一致地強制執行應用程控原則 | 至少請在所有 Azure Stack HCI 伺服器上,以強制模式套用 Microsoft WDAC 基底原則。 套用的 Windows Defender 應用程式控制 (WDAC) 原則必須在相同叢集中的所有伺服器之間保持一致。 (相關原則: 客體設定擴充功能應該安裝在機器上 - Microsoft Azure) | 高 |
| (預覽)Azure Stack HCI 系統應該具有加密的磁碟區 | 使用 BitLocker 來加密 Azure Stack HCI 系統上的 OS 和資料磁碟區。 (相關原則: 客體設定擴充功能應該安裝在機器上 - Microsoft Azure) | 高 |
| (預覽)主機和 VM 網路應該在 Azure Stack HCI 系統上受到保護 | 保護 Azure Stack HCI 主機網路和虛擬機網路連線上的數據。 (相關原則: 客體設定擴充功能應該安裝在機器上 - Microsoft Azure) | 低 |
請參閱安全性建議清單。
2024 年一月
| Date | 更新 |
|---|---|
| 1 月 31 日 | Cloud Security Explorer 中作用中存放庫的新見解 |
| 1 月 25 日 | 淘汰安全性警示,並將安全性警示更新為資訊嚴重性層級 |
| 1 月 24 日 | 適用於容器的 Defender 和 Defender CSPM 中 GCP 的無代理程式容器狀態 (預覽) |
| 1 月 16 日 | 伺服器的無代理程式惡意代碼掃描公開預覽 |
| 15 年一月 | 適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應整合的正式運作 |
| 1 月 12 日 | Azure DevOps 連接器預設會啟用 DevOps 安全性提取要求批注 |
| 1 月 4 日 | 建議 已發行預覽版:九項新的 Azure 安全性建議 |
Cloud Security Explorer 中作用中存放庫的新見解
2024 年 1 月 31 日
Azure DevOps 存放庫的新見解已新增至 Cloud Security Explorer,以指出存放庫是否為作用中。 此深入解析指出程式代碼存放庫未封存或停用,這表示使用者仍可使用對程式代碼、組建和提取要求的寫入存取權。 封存和停用的存放庫可能會被視為優先順序較低,因為程式代碼通常不會用於使用中的部署。
若要透過 Cloud Security Explorer 測試查詢,請使用 此查詢連結。
淘汰安全性警示,並將安全性警示更新為資訊嚴重性層級
2024 年 1 月 25 日
此公告包含已淘汰的容器安全性警示,以及其嚴重性層級已更新為 Informational 的安全性警示。
下列容器安全性警示已被取代:
Anomalous pod deployment (Preview) (K8S_AnomalousPodDeployment)Excessive role permissions assigned in Kubernetes cluster (Preview) (K8S_ServiceAcountPermissionAnomaly)Anomalous access to Kubernetes secret (Preview) (K8S_AnomalousSecretAccess)
下列安全性警示會更新為 資訊 嚴重性層級:
Windows 計算機的警示:
Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlWindowsViolationAudited)Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlLinuxViolationAudited)
容器的警示:
Attempt to create a new Linux namespace from a container detected (K8S.NODE_NamespaceCreation)Attempt to stop apt-daily-upgrade.timer service detected (K8S.NODE_TimerServiceDisabled)Command within a container running with high privileges (K8S.NODE_PrivilegedExecutionInContainer)Container running in privileged mode (K8S.NODE_PrivilegedContainerArtifacts)Container with a sensitive volume mount detected (K8S_SensitiveMount)Creation of admission webhook configuration detected (K8S_AdmissionController)Detected suspicious file download (K8S.NODE_SuspectDownloadArtifacts)Docker build operation detected on a Kubernetes node (K8S.NODE_ImageBuildOnNode)New container in the kube-system namespace detected (K8S_KubeSystemContainer)New high privileges role detected (K8S_HighPrivilegesRole)Privileged container detected (K8S_PrivilegedContainer)Process seen accessing the SSH authorized keys file in an unusual way (K8S.NODE_SshKeyAccess)Role binding to the cluster-admin role detected (K8S_ClusterAdminBinding)SSH server is running inside a container (K8S.NODE_ContainerSSH)
DNS 的警示:
Communication with suspicious algorithmically generated domain (AzureDNS_DomainGenerationAlgorithm)Communication with suspicious algorithmically generated domain (DNS_DomainGenerationAlgorithm)Communication with suspicious random domain name (Preview) (DNS_RandomizedDomain)Communication with suspicious random domain name (AzureDNS_RandomizedDomain)Communication with possible phishing domain (AzureDNS_PhishingDomain)Communication with possible phishing domain (Preview) (DNS_PhishingDomain)
Azure App 服務 警示:
NMap scanning detected (AppServices_Nmap)Suspicious User Agent detected (AppServices_UserAgentInjection)
Azure 網路層的警示:
Possible incoming SMTP brute force attempts detected (Generic_Incoming_BF_OneToOne)Traffic detected from IP addresses recommended for blocking (Network_TrafficFromUnrecommendedIP)
Azure Resource Manager 的警示:
Privileged custom role created for your subscription in a suspicious way (Preview)(ARM_PrivilegedRoleDefinitionCreation)
請參閱安全性警示的完整清單。
適用於容器的 Defender 和 Defender CSPM 中 GCP 的無代理程式容器狀態 (預覽)
2024 年 1 月 24 日
新的無代理程式容器狀態 (預覽) 功能適用於 GCP,包括具有 Microsoft Defender 弱點管理 的 GCP 弱點評估。 如需所有功能的詳細資訊,請參閱 Defender CSPM 中的無代理程式容器狀態和 適用於容器的 Defender 中的無代理程式功能。
您也可以在此部落格文章中閱讀 Multicloud 的無代理程式容器狀態管理。
伺服器的無代理程式惡意代碼掃描公開預覽
2024 年 1 月 16 日
我們宣布發行 適用於雲端的 Defender Azure 虛擬機(VM)、AWS EC2 實例和 GCP VM 實例的無代理程式惡意代碼偵測,這是適用於伺服器 Defender 方案 2 的新功能。
VM 的無代理程式惡意代碼偵測現在已包含在無代理程式掃描平臺中。 無代理程式惡意代碼掃描會利用 Microsoft Defender 防毒軟體 反惡意代碼引擎來掃描及偵測惡意檔案。 任何偵測到的威脅、直接將安全性警示觸發至 適用於雲端的 Defender 和 Defender XDR,您可以在其中進行調查和補救。 無代理程式惡意代碼掃描器會使用無摩擦上線的第二層威脅偵測來補充代理程式型涵蓋範圍,而且不會影響您計算機的效能。
深入了解 伺服器的無代理程式惡意代碼掃描 ,以及 VM 的無代理程序掃描。
適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應整合的正式運作
2024年1月15日
我們宣佈 適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應(先前稱為 Microsoft 365 Defender)之間的整合正式推出(GA)。
整合會將具競爭力的雲端保護功能帶入安全性作業中心 (SOC) 日常。 透過 適用於雲端的 Microsoft Defender 和 Defender XDR 整合,SOC 小組可以探索結合多個要素偵測的攻擊,包括雲端、端點、身分識別、Office 365 等等。
深入瞭解 Microsoft Defender 全面偵測回應 中的警示和事件。
Azure DevOps 連接器預設會啟用 DevOps 安全性提取要求批注
2024年1月12日
DevOps 安全性會將安全性結果公開為提取要求 (PR) 中的註釋,以協助開發人員在進入生產環境之前,防止並修正潛在的安全性弱點和設定錯誤。 自 2024 年 1 月 12 日起,所有連線至 適用於雲端的 Defender 的新和現有 Azure DevOps 存放庫預設都會啟用 PR 批注。
根據預設,PR 批注只會針對高嚴重性基礎結構即程序代碼 (IaC) 結果啟用。 客戶仍然需要將 Microsoft Security for DevOps (MSDO) 設定為在 PR 組建中執行,並在 Azure DevOps 存放庫設定中啟用 CI 組建的建置驗證原則。 客戶可以從 DevOps 安全性刀鋒視窗存放庫組態選項中停用特定存放庫的 PR 批注功能。
深入瞭解如何 啟用 Azure DevOps 的提取要求批注。
建議 已發行預覽版:九項新的 Azure 安全性建議
2024年1月4日
我們已新增九項與 Microsoft Cloud Security Benchmark 一致的 Azure 安全性建議。 這些新建議目前處於公開預覽狀態。
| 建議 | 描述 | 嚴重性 |
|---|---|---|
| 認知服務帳戶應已停用本機驗證方法 | 停用本機驗證方法,可確保認知服務帳戶要求 Azure Active Directory 以獨佔方式識別來進行驗證,從而提高安全性。 若要深入瞭解,請參閱: https://aka.ms/cs/auth。(相關原則: 認知服務帳戶應停用本機驗證方法。 | 低 |
| 認知服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入瞭解 私人連結。 (相關原則: 認知服務應使用私人連結。 | 中 |
| 虛擬機器和虛擬機器擴展集應啟用主機上的加密 | 使用主機上的加密可進行虛擬機器和虛擬機器擴展集資料的端對端加密。 主機上的加密可讓您對暫存磁碟和 OS/資料磁碟快取進行待用加密。 啟用主機上的加密時,暫存和暫時性 OS 磁碟會使用平台代控金鑰進行加密。 視磁碟上選取的加密類型而定,OS/資料磁碟快取會使用客戶自控金鑰或平台代控金鑰進行待用加密。 深入了解:https://aka.ms/vm-hbe。 (相關原則: 虛擬機和虛擬機擴展集應該已啟用主機加密。 | 中 |
| Azure Cosmos DB 應停用公用網路存取 | 停用公用網路存取可改善安全性,方法是確保您的 Cosmos DB 帳戶不會在公用因特網上公開。 建立私人端點可以限制 Cosmos DB 帳戶的曝光。 深入了解。 (相關原則: Azure Cosmos DB 應停用公用網路存取。 | 中 |
| Cosmos DB 帳戶應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Cosmos DB 帳戶,數據外泄風險會降低。 深入瞭解 私人連結。 (相關原則: Cosmos DB 帳戶應該使用私人連結)。 | 中 |
| VPN 閘道針對點對站使用者應該只使用 Azure Active Directory (Azure AD) 驗證 | 停用本機驗證方法可確保 VPN 閘道只使用 Azure Active Directory 身分識別進行驗證,藉此提升安全性。 深入瞭解 Azure AD 驗證。 (相關原則: VPN 閘道應該只針對點對站使用者使用 Azure Active Directory(Azure AD) 驗證。 | 中 |
| Azure SQL Database 應執行 TLS 1.2 版或更新版本 | 將 TLS 版本設定為 1.2 或更新版本,可確保您的 Azure SQL Database 只能從使用 TLS 1.2 或更新版本的用戶端中存取,進而提高安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 (相關原則: Azure SQL 資料庫 應該執行 TLS 1.2 版或更新版本)。 | 中 |
| Azure SQL 受控執行個體應停用公用網路存取 | 在 Azure SQL 受控執行個體上停用公用網路存取 (公用端點) 可確保只能從其虛擬網路內部或透過私人端點進行存取,從而提升安全性。 深入瞭解 公用網路存取。 (相關原則: Azure SQL 受控執行個體 應停用公用網路存取)。 | 中 |
| 儲存體帳戶應防止共用金鑰存取 | Azure Active Directory (Azure AD) 進行必要條件審核,以授權儲存體帳戶的要求。 根據預設,您可以使用 Azure Active Directory 認證或使用共用金鑰授權的帳戶存取金鑰來授權要求。 在這兩種類型的授權中,Azure AD 提供優於共用密鑰的安全性和使用便利性,Microsoft 建議使用。 (相關原則: 儲存體 帳戶應防止共用密鑰存取)。 | 中 |
請參閱安全性建議清單。
2023 年 12 月
| Date | 更新 |
|---|---|
| 12 月 24 日 | 資源層級的Defender可供 GA 使用 |
| 12 月 21 日 | 淘汰適用於多重雲端的傳統連接器 |
| 12 月 21 日 | 涵蓋範圍活頁簿的版本 |
| 12 月 14 日 | 由 Azure Government 中的 Microsoft Defender 弱點管理 和 21Vianet 運作的 Azure 所提供之容器弱點評估的正式運作 |
| 12 月 14 日 | 由 Microsoft Defender 弱點管理 提供之容器弱點評定的 Windows 公開預覽 |
| 12 月 13 日 | 停用 Trivy 所提供的 AWS 容器弱點評估 |
| 12 月 13 日 | 適用於容器的 Defender 和 Defender CSPM 中 AWS 的無代理程式容器狀態 (預覽) |
| 12 月 13 日 | 適用於開放原始碼關係資料庫方案的Defender中PostgreSQL彈性伺服器正式推出 (GA) 支援 |
| 12 月 12 日 | 由 Microsoft Defender 弱點管理 支援的容器弱點評估現在支援Google Distroless |
| 12 月 4 日 | 適用於預覽的 Defender 儲存體 警示已發行:已從記憶體帳戶下載惡意 Blob |
資源層級的Defender可供 GA 使用
2023年12月24日
您現在可以管理訂用帳戶內特定資源上的Defender for Servers,讓您完全掌控您的保護策略。 透過這項功能,您可以使用與訂用帳戶層級所設定的設定不同的自定義組態來設定特定資源。
深入瞭解如何在 資源層級啟用適用於伺服器的Defender。
淘汰適用於多重雲端的傳統連接器
2023年12月21日
傳統多重雲端連接器體驗已淘汰,且數據不再串流至透過該機制建立的連接器。 這些傳統連接器可用來將 AWS 安全性中樞和 GCP 安全性命令中心的建議連線到 適用於雲端的 Defender,並將 AWS EC2s 上線至適用於伺服器的 Defender。
這些連接器的完整價值已取代為原生多重雲端安全性連接器體驗,自 2022 年 3 月起,AWS 和 GCP 已正式推出,無需額外費用。
新的原生連接器包含在您的方案中,並提供自動化的上線體驗,其中包含將單一帳戶、多個帳戶(含 Terraform),以及具有下列 Defender 方案的自動布建組織上線選項:免費基礎 CSPM 功能、Defender Cloud Security Posture Management (CSPM)、適用於伺服器的 Defender、適用於 SQL 的 Defender 和適用於容器的 Defender。
涵蓋範圍活頁簿的版本
2023年12月21日
[涵蓋範圍] 活頁簿可讓您追蹤哪些 適用於雲端的 Defender 方案在哪些環境中作用中。 此活頁簿可協助您確保環境和訂用帳戶受到完整保護。 透過存取詳細的涵蓋範圍資訊,您也可以識別任何可能需要其他保護的區域,並採取動作來解決這些區域。
深入瞭解涵蓋範圍活頁 簿。
由 Azure Government 和 21Vianet 運作的 Azure 中 Microsoft Defender 弱點管理 所提供之容器弱點評估的正式運作
2023年12月14日
Azure Government 中由 Microsoft Defender 弱點管理 提供的 Azure 容器登錄中 Linux 容器映射的弱點評量 (VA) 已針對 Azure Government 中的正式運作和由 21Vianet 運作的 Azure 發行。 這個新版本可在適用於容器的Defender和適用於容器登錄的Defender方案下取得。
在這項變更中,會針對 GA 發行下列建議,並包含在安全分數計算中:
| 建議名稱 | 描述 | 評定金鑰 |
|---|---|---|
| Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評估會掃描登錄中常見的弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| 執行容器映像應該已解決弱點結果(由 Microsoft Defender 弱點管理 提供電源) | Azure 執行中的容器映像應該已解決弱點(由 Microsoft Defender 弱點管理 所提供)。 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 |
c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
由 Microsoft Defender 弱點管理 提供的容器映射掃描現在也會根據方案定價產生費用。
注意
由 Qualys 提供的容器 VA 供應專案和由 Microsoft Defender 弱點管理 提供電源的容器 VA 供應專案掃描的映射,只會計費一次。
下列容器弱點評定的 Qualys 建議已重新命名,並持續可供在此版本之前在其任何訂用帳戶上啟用適用於容器的 Defender 的客戶使用。 在此版本之後將適用於容器的Defender上線的新客戶只會看到由 Microsoft Defender 弱點管理提供的新容器弱點評估建議。
| 目前的建議名稱 | 新的建議名稱 | 描述 | 評定金鑰 |
|---|---|---|---|
| 容器登錄映像應該解決發現的弱點 (由 Qualys 提供) | Azure 登錄容器映像應已解決弱點 (由 Qualys 提供) | 容器映像弱點評定會掃描您的登錄,以判斷是否有安全性弱點,並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 執行中的容器映像應該已解決弱點結果(由 Qualys 提供電源) | Azure 執行中的容器映像應已解決弱點 - (由 Qualys 提供) | 容器映像弱點評定會掃描 Kubernetes 叢集上執行的容器映像,了解是否有任何安全性弱點,並公開每個映像的詳細發現。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 | 41503391-efa5-47ee-9282-4eff6131462c |
針對由 Microsoft Defender 弱點管理 提供之容器弱點評估的 Windows 支援公開預覽
2023年12月14日
針對 Azure 容器登錄和 Azure Kubernetes Services 提供 Microsoft Defender 弱點管理 支援的 Windows 映射已於公開預覽版中發行, 作為弱點評估 (VA) 的一部分。
停用 Trivy 所提供的 AWS 容器弱點評估
2023年12月13日
Trivy 所提供的容器弱點評估現在已走上淘汰路徑,將於 2 月 13 日完成。 這項功能現在已被取代,且將繼續使用此功能的現有客戶使用此功能,直到 2 月 13 日為止。 我們鼓勵客戶使用這項功能,在 2 月 13 日前升級至由 Microsoft Defender 弱點管理 提供的新 AWS 容器弱點評估。
適用於容器的 Defender 和 Defender CSPM 中 AWS 的無代理程式容器狀態 (預覽)
2023年12月13日
新的無代理程式容器狀態 (預覽) 功能適用於 AWS。 如需詳細資訊,請參閱 Defender CSPM 中的無代理程式容器狀態和 適用於容器的Defender中的無代理程式功能。
適用於開放原始碼關係資料庫方案的 Defender 中 PostgreSQL 彈性伺服器正式推出支援
2023年12月13日
我們宣佈在適用於開放原始碼關係資料庫方案的 Microsoft Defender 中正式推出 PostgreSQL 彈性伺服器支援。 適用於開放原始碼關係資料庫的 Microsoft Defender 藉由偵測異常活動和產生 安全性警示,為 PostgreSQL 彈性伺服器提供進階威脅防護。
瞭解如何 為開放原始碼關係資料庫啟用 Microsoft Defender。
由 Microsoft Defender 弱點管理 提供的容器弱點評估現在支援Google Distroless
2023 年 12 月 12 日
由 Microsoft Defender 弱點管理 支援的容器弱點評估已隨著LinuxOS套件的額外涵蓋範圍而延伸,現在支援Google Distroless。
如需所有支援的操作系統清單,請參閱 Azure 的登錄和映射支援 - Microsoft Defender 弱點管理 所提供的弱點評估。
適用於預覽的 defender 儲存體 警示已發行:已從記憶體帳戶下載惡意 Blob
2023年12月4日
正在發行下列警示以供預覽:
| 警示 (警示類型) | 描述 | MITRE 策略 | 嚴重性 |
|---|---|---|---|
| 惡意 Blob 已從記憶體帳戶下載 (預覽) 儲存體。Blob_MalwareDownload |
警示指出已從記憶體帳戶下載惡意 Blob。 潛在原因可能包括上傳至記憶體帳戶且未移除或隔離的惡意代碼,進而讓威脅執行者下載它,或合法使用者或應用程式無意下載惡意代碼。 適用於:Azure Blob(標準一般用途 v2、Azure Data Lake 儲存體 Gen2 或進階區塊 Blob)儲存器帳戶,以及已啟用惡意代碼掃描功能的新 Defender for 儲存體 方案。 |
橫向移動 | 高,如果 Eicar - 低 |
請參閱適用於 儲存體的Defender中的擴充功能型警示。
如需警示的完整清單,請參閱 適用於雲端的 Microsoft Defender 中所有安全性警示的參考數據表。
2023 年 11 月
| Date | 更新 |
|---|---|
| 11 月 30 日 | 四個警示已被取代 |
| 11 月 27 日 | 在適用於伺服器和 Defender CSPM 的 Defender 中掃描無代理程式秘密的正式推出 |
| 11 月 22 日 | 使用 適用於雲端的 Defender 啟用權限管理 (預覽) |
| 11 月 22 日 | 適用於雲端的 Defender 與 ServiceNow 整合 |
| 11 月 20 日 | 機器方案上 SQL Server 自動布建程式的正式運作 |
| 11 月 15 日 | 適用於 API 的 Defender 正式運作 |
| 11 月 15 日 | 適用於雲端的 Defender 現在已與 Microsoft 365 Defender 整合(預覽版) |
| 11 月 15 日 | 適用於容器的Defender和適用於容器登錄的Defender中由 Microsoft Defender 弱點管理 (MDVM) 提供的容器弱點評估正式運作 |
| 11 月 15 日 | 變更為容器弱點評定建議名稱 |
| 11 月 15 日 | 風險優先順序現在可供建議使用 |
| 11 月 15 日 | 攻擊路徑分析新的引擎和廣泛的增強功能 |
| 11 月 15 日 | 攻擊路徑的 Azure Resource Graph 數據表配置變更 |
| 11 月 15 日 | Defender CSPM 中 GCP 支援的正式推出版本 |
| 11 月 15 日 | 數據安全性儀錶板的正式發行 |
| 11 月 15 日 | 資料庫的敏感數據探索正式發行 |
| 11 月 6 日 | 尋找遺漏系統更新的新版本建議現已正式推出 |
四個警示已被取代
2023 年 11 月 30 日
作為品質改進程式的一部分,下列安全性警示已被取代:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
在適用於伺服器和 Defender CSPM 的 Defender 中掃描無代理程式秘密的正式推出
2023年11月27日
無代理程式秘密掃描可藉由識別 VM 磁碟上的純文字秘密,來增強安全性雲端式 虛擬機器 (VM)。 無代理程式秘密掃描提供完整的資訊,可協助排定偵測到的結果的優先順序,並降低橫向移動風險,再發生。 此主動式方法可防止未經授權的存取,確保您的雲端環境保持安全。
我們宣佈了無代理程式秘密掃描的正式運作(GA),這包含在 適用於伺服器的 Defender P2 和 Defender CSPM 方案中。
無代理程式秘密掃描會利用雲端 API 來擷取磁碟的快照集,進行頻外分析,以確保 VM 的效能不會有任何影響。 無代理程式秘密掃描會擴大跨 Azure、AWS 和 GCP 環境 適用於雲端的 Defender 雲端資產所提供的涵蓋範圍,以增強您的雲端安全性。
在此版本中,適用於雲端的 Defender的偵測功能現在支援其他資料庫類型、數據存放區簽署 URL、存取令牌等等。
瞭解如何 使用無代理程式秘密掃描來管理秘密。
使用 適用於雲端的 Defender 啟用權限管理 (預覽)
2023年11月22日
Microsoft 現在透過 適用於雲端的 Microsoft Defender (CNAPP) 和 Microsoft Entra 權限管理 (CIEM) 提供雲端原生應用程式保護平臺 (CNAPP) 和雲端基礎結構權利管理 (CIEM) 解決方案。
安全性系統管理員可以在 適用於雲端的 Defender 內取得其未使用或過多訪問許可權的集中式檢視。
安全性小組可以驅動雲端資源的最低許可權訪問控制,並接收可採取動作的建議,以解決 Azure、AWS 和 GCP 雲端環境的許可權風險,作為其 Defender 雲端安全性狀態管理(CSPM)的一部分,而不需要任何額外的授權需求。
瞭解如何在 適用於雲端的 Microsoft Defender 中啟用許可權管理(預覽版)。
適用於雲端的 Defender 與 ServiceNow 整合
2023年11月22日
ServiceNow 現在已與 適用於雲端的 Microsoft Defender 整合,可讓客戶將 ServiceNow 連線到其 適用於雲端的 Defender 環境,以排定影響您企業的建議補救優先順序。 Microsoft Defender for Cloud 與 ITSM 模組 (事件管理) 整合。 在此連線中,客戶能夠從 適用於雲端的 Microsoft Defender 建立/檢視 ServiceNow 票證(連結至建議)。
您可以深入瞭解 適用於雲端的 Defender 與 ServiceNow 的整合。
機器方案上 SQL Server 自動布建程式的正式運作
2023 年 11 月 20 日
為了在 2024 年 8 月準備 Microsoft Monitoring Agent (MMA) 淘汰,適用於雲端的 Defender 發行了 SQL Server 目標 Azure 監視代理程式 (AMA) 自動佈建程式。 新程式會自動為所有新客戶啟用和設定,也提供 Azure SQL VM 和已啟用 Arc 的 SQL Server 資源層級啟用功能。
系統會要求使用 MMA 自動布建程式的客戶,在 機器自動布建程式上移轉至新的 Azure Monitoring Agent for SQL Server。 移轉流程不會產生中斷,可為所有機器提供持續保護。
適用於 API 的 Defender 正式運作
2023 年 11 月 15 日
我們宣佈適用於 API 的 Microsoft Defender 正式運作(GA)。 適用於 API 的 Defender 是專為保護組織防範 API 安全性威脅而設計。
適用於 API 的 Defender 可讓組織保護其 API 和數據免受惡意執行者的攻擊。 組織可以調查並改善其 API 安全性狀態、排定弱點修正的優先順序,以及快速偵測及回應作用中的實時威脅。 組織也可以將安全性警示直接整合到其安全性事件和事件管理 (SIEM) 平臺,例如 Microsoft Sentinel,以調查和分級問題。
您可以瞭解如何 使用適用於 API 的 Defender 保護您的 API。 您也可以深入了解適用於 API 的 Microsoft Defender。
您也可以閱讀 此部落格 ,以深入瞭解 GA 公告。
適用於雲端的 Defender 現在已與 Microsoft 365 Defender 整合(預覽版)
2023 年 11 月 15 日
企業可以使用 適用於雲端的 Microsoft Defender 與 Microsoft Defender 全面偵測回應 之間的新整合來保護其雲端資源和裝置。 此整合會連接雲端資源、裝置和身分識別之間的點,這些點先前需要多個體驗。
整合也會將具競爭力的雲端保護功能帶入資訊安全作業中心 (SOC) 日常。 透過 Microsoft Defender 全面偵測回應,SOC 小組可以輕鬆地探索結合多個要素的偵測攻擊,包括雲端、端點、身分識別、Office 365 等等。
一些主要優點包括:
SOC 小組的一個易於使用介面:透過整合至 M365D 的 適用於雲端的 Defender 警示和雲端相互關聯,SOC 小組現在可以從單一介面存取所有安全性資訊,大幅提升作業效率。
一個攻擊案例:客戶能夠使用結合多個來源安全性警示的預先建置相互關聯,瞭解完整的攻擊案例,包括其雲端環境。
Microsoft Defender 全面偵測回應 中的新雲端實體:Microsoft Defender 全面偵測回應 現在支援 適用於雲端的 Microsoft Defender 特有的新雲端實體,例如雲端資源。 客戶可以比對虛擬機(VM)實體與裝置實體,提供機器相關信息的統一檢視,包括觸發的警示和事件。
適用於 Microsoft 安全性產品的整合 API:客戶現在可以使用單一 API 將其安全性警示數據匯出至其選擇的系統,因為 適用於雲端的 Microsoft Defender 警示和事件現在是 Microsoft Defender 全面偵測回應 公用 API 的一部分。
適用於雲端的 Defender 與 Microsoft Defender 全面偵測回應 之間的整合可供所有新的和現有的 適用於雲端的 Defender 客戶使用。
適用於容器的Defender和適用於容器登錄的Defender中由 Microsoft Defender 弱點管理 (MDVM) 提供的容器弱點評估正式運作
2023 年 11 月 15 日
適用於容器的Defender和適用於容器登錄的Defender中,Microsoft Defender 弱點管理 (MDVM) 所提供之 Azure 容器登錄中 Linux 容器映像的弱點評估 (VA) 已發行。
在這項變更中,已針對 GA 發行並重新命名下列建議,現在會包含在安全分數計算中:
| 目前的建議名稱 | 新的建議名稱 | 描述 | 評定金鑰 |
|---|---|---|---|
| 容器登錄映像應已解決弱點結果(由 Microsoft Defender 弱點管理 提供電源) | Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評估會掃描登錄中常見的弱點(CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| 執行容器映像的弱點結果應已解決(由 Microsoft Defender 弱點管理 提供電源) | Azure 執行中的容器映像應該已解決弱點(由 Microsoft Defender 弱點管理 | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
MDVM 所提供的容器映射掃描現在也會根據 方案定價產生費用。
注意
由 Qualys 提供的容器 VA 供應專案和由 MDVM 提供的容器 VA 供應專案所掃描的映射,只會計費一次。
下列適用於容器弱點評估的Qualys建議已重新命名,並將繼續提供給在11月15日之前在其任何訂用帳戶上啟用適用於容器的Defender的客戶。 在 11 月 15 日之後,新客戶將適用於容器的 Defender 上線,只會看到由 Microsoft Defender 弱點管理 提供的新容器弱點評估建議。
| 目前的建議名稱 | 新的建議名稱 | 描述 | 評定金鑰 |
|---|---|---|---|
| 容器登錄映像應該解決發現的弱點 (由 Qualys 提供) | Azure 登錄容器映像應已解決弱點 (由 Qualys 提供) | 容器映像弱點評定會掃描您的登錄,以判斷是否有安全性弱點,並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 執行中的容器映像應該已解決弱點結果(由 Qualys 提供電源) | Azure 執行中的容器映像應已解決弱點 - (由 Qualys 提供) | 容器映像弱點評定會掃描 Kubernetes 叢集上執行的容器映像,了解是否有任何安全性弱點,並公開每個映像的詳細發現。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 | 41503391-efa5-47ee-9282-4eff6131462c |
變更為容器弱點評定建議名稱
下列容器弱點評估建議已重新命名:
| 目前的建議名稱 | 新的建議名稱 | 描述 | 評定金鑰 |
|---|---|---|---|
| 容器登錄映像應該解決發現的弱點 (由 Qualys 提供) | Azure 登錄容器映像應已解決弱點 (由 Qualys 提供) | 容器映像弱點評定會掃描您的登錄,以判斷是否有安全性弱點,並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 | dbd0cb49-b563-45e7-9724-889e799fa648 |
| 執行中的容器映像應該已解決弱點結果(由 Qualys 提供電源) | Azure 執行中的容器映像應已解決弱點 - (由 Qualys 提供) | 容器映像弱點評定會掃描 Kubernetes 叢集上執行的容器映像,了解是否有任何安全性弱點,並公開每個映像的詳細發現。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 | 41503391-efa5-47ee-9282-4eff6131462c |
| 彈性容器登錄映像應已解決弱點結果 | AWS 登錄容器映射應已解決弱點 - (由 Trivy 提供電源) | 容器映像弱點評定會掃描您的登錄,以判斷是否有安全性弱點,並公開每個映像的詳細結果。 解決這些弱點可以大幅改善容器的安全性狀態,並保護容器免於遭受攻擊。 | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
風險優先順序現在可供建議使用
2023 年 11 月 15 日
您現在可以根據所構成的風險層級來排定安全性建議的優先順序,同時考慮每個基礎安全性問題的惡意探索性和潛在商業效果。
藉由根據建議的風險層級來組織您的建議(重大、高、中、低),您就能夠解決環境中最重要的風險,並根據因特網暴露、數據敏感度、橫向移動可能性,以及可能透過解決建議來緩和的潛在攻擊路徑,有效率地排定安全性問題的補救優先順序。
深入了解 風險優先順序。
攻擊路徑分析新的引擎和廣泛的增強功能
2023 年 11 月 15 日
我們會在 適用於雲端的 Defender 中發行攻擊路徑分析功能的增強功能。
新引擎 - 攻擊路徑分析有新的引擎 ,它會使用尋找路徑演算法來偵測雲端環境中存在的每個可能的攻擊路徑(根據我們在圖表中的數據)。 我們可以在您的環境中找到更多攻擊路徑,並偵測攻擊者可用來入侵貴組織的複雜且複雜的攻擊模式。
改善 - 已發行下列改善:
- 風險優先順序 - 根據風險設定攻擊路徑的優先順序清單(可利用性與業務影響)。
- 增強補救 - 找出應解決以實際中斷鏈結的特定建議。
- 跨雲端攻擊路徑 – 偵測跨雲端的攻擊路徑(從一個雲端開始並結束到另一個雲端的路徑)。
- MITRE – 將所有攻擊路徑對應至 MITRE 架構。
- 重新整理的用戶體驗 – 具有更強大功能的重新整理體驗:進階篩選、搜尋和群組攻擊路徑,以方便分級。
瞭解如何 識別和補救攻擊路徑。
攻擊路徑的 Azure Resource Graph 數據表配置變更
2023 年 11 月 15 日
攻擊路徑的 Azure Resource Graph (ARG) 資料表配置已更新。 已移除 屬性 attackPathType ,並新增其他屬性。
Defender CSPM 中 GCP 支援的正式推出版本
2023 年 11 月 15 日
我們宣佈推出適用於 GCP 資源的 Defender CSPM 關係型雲端安全性圖表和攻擊路徑分析正式發行。 您可以套用Defender CSPM的強大功能,以取得 GCP 資源的完整可見度和智慧型手機端安全性。
GCP 支援的主要功能包括:
- 攻擊路徑分析 - 了解攻擊者可能採取的潛在路由。
- 雲端安全性總管 - 藉由在安全性圖表上執行圖表式查詢,主動識別安全性風險。
- 無代理程序掃描 - 掃描伺服器並識別秘密和弱點,而不需要安裝代理程式。
- 數據感知安全性狀態 - 探索並補救 Google Cloud 儲存體 貯體中敏感數據的風險。
深入瞭解 Defender CSPM方案選項。
注意
適用於 Defender CSPM 中 GCP 支援正式發行的計費將於 2024 年 2 月 1 日開始。
數據安全性儀錶板的正式發行
2023 年 11 月 15 日
數據安全性儀錶板現已在正式運作 (GA) 中提供,作為 Defender CSPM 方案的一部分。
數據安全性儀錶板可讓您檢視組織的數據資產、敏感數據的風險,以及數據資源的深入解析。
深入了解 數據安全性儀錶板。
資料庫的敏感數據探索正式發行
2023 年 11 月 15 日
受控資料庫的敏感數據探索,包括 Azure SQL 資料庫和 AWS RDS 實例(所有 RDBMS 類別)現已正式推出,並允許自動探索包含敏感數據的重要資料庫。
若要在環境中啟用此功能,您必須在 Defender CSPM 中啟用 Sensitive data discovery 此功能。 瞭解如何 在Defender CSPM中啟用敏感數據探索。
公開預覽公告:適用於雲端的 Microsoft Defender 中多重雲端數據安全性的新擴充可見度。
尋找遺漏系統更新的新版本建議現已正式推出
2023 年 11 月 6 日
Azure VM 和 Azure Arc 機器上不再需要額外的代理程式,以確保機器具有所有最新的安全性或重大系統更新。
控件中的Apply system updates新系統更新建議System updates should be installed on your machines (powered by Azure Update Manager)是以更新管理員為基礎,現在已完全正式運作。 建議依賴內嵌在每個 Azure VM 和 Azure Arc 機器中的原生代理程式,而不是已安裝的代理程式。 新建議中的快速修正會巡覽至更新管理員入口網站中遺漏更新的一次性安裝。
在 2024 年 8 月之前,尋找遺漏系統更新的舊版和新版本都可供使用,也就是舊版已被取代。 這兩個建議: System updates should be installed on your machines (powered by Azure Update Manager)和 System updates should be installed on your machines 都位於相同的控件下: Apply system updates 且具有相同的結果。 因此,安全分數的影響不會重複。
建議您移轉至新的建議,並移除舊的建議,方法是將它從 Azure 原則中的內建方案 適用於雲端的 Defender 停用。
建議 [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) 也是 GA,而且是必要條件,這會對您的安全分數產生負面影響。 您可以使用可用的修正來補救負面影響。
若要套用新的建議,您需要:
- 將非 Azure 機器 連線 至 Arc。
- 開啟 定期評定屬性。 您可以在新的建議中使用快速修正,
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)以修正建議。
注意
在其相關的訂用帳戶或 連線 或 Azure Update Manager 定價上,啟用已啟用 Arc 的已啟用 Arc 機器的定期評量。 已啟用適用於伺服器之 Defender 方案 2 的 Arc 機器在其相關的訂用帳戶或 連線 者或任何 Azure VM 上啟用,並不需要額外費用。
2023 年 10 月
| Date | 更新 |
|---|---|
| 10 月 30 日 | 變更自適性應用程控的安全性警示嚴重性 |
| 10 月 25 日 | 已從適用於 API 的 Defender 中移除離線 Azure API 管理 修訂 |
| 10 月 19 日 | 公開預覽版中提供的DevOps安全性狀態管理建議 |
| 10 月 18 日 | 在法規合規性儀錶板中發行 CIS Azure Foundations Benchmark v2.0.0 |
變更調適型應用程式控制安全性警示的嚴重性
公告日期:2023 年 10 月 30 日
作為適用於伺服器的 Defender 安全性警示品質改進程式的一部分,以及作為調適型應用程控功能的一部分,下列安全性警示的嚴重性會變更為「資訊」:
| 警示 [警示類型] | 警示描述 |
|---|---|
| 已稽核自適性應用程控原則違規。[VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | 下列使用者在此計算機上執行了違反組織應用程控原則的應用程式。 它可能會向惡意代碼或應用程式弱點公開計算機。 |
若要在 適用於雲端的 Microsoft Defender 入口網站的 [安全性警示] 頁面中繼續檢視此警示,請變更預設檢視篩選 [嚴重性] 以在方格中包含資訊警示。
從適用於 API 的 Defender 移除的離線 Azure API 管理 修訂
2023年10月25日
適用於 API 的 Defender 已更新對 Azure API 管理 API 修訂的支援。 離線修訂不再出現在已上線的適用於 API 的 Defender 清查中,而且不再顯示為已上線至適用於 API 的 Defender。 離線修訂不允許傳送任何流量給它們,而且從安全性觀點來看不會造成任何風險。
公開預覽版中提供的DevOps安全性狀態管理建議
2023年10月19日
新的 DevOps 狀態管理建議現在可供所有具有 Azure DevOps 或 GitHub 連接器的客戶公開預覽。 DevOps 狀態管理藉由找出安全性設定和訪問控制的弱點,協助減少DevOps環境的受攻擊面。 深入瞭解 DevOps狀態管理。
在法規合規性儀錶板中發行 CIS Azure Foundations Benchmark v2.0.0
2023 年 10 月 18 日
適用於雲端的 Microsoft Defender 現在支援最新的CIS Azure Security Foundations Benchmark - 法規合規性儀錶板中的 2.0.0 版,以及 Azure 原則 中的內建原則方案。 適用於雲端的 Microsoft Defender 2.0.0 版是 Microsoft、因特網安全性中心與使用者社群之間的共同合作努力。 2.0.0 版大幅擴充了評估範圍,現在包含90個以上的內建 Azure 原則,並在 適用於雲端的 Microsoft Defender和 Azure 原則 中成功執行舊版 1.4.0 和 1.3.0 和 1.0。 如需詳細資訊,您可以參閱此 部落格文章。
下一步
如需 適用於雲端的 Defender 的過去變更,請參閱封存 適用於雲端的 Defender 的新功能?。