Datensicherheit in Microsoft Defender für Cloud

Microsoft Defender für Cloud erfasst und verarbeitet sicherheitsbezogene Daten (einschließlich Konfigurationsinformationen, Metadaten, Ereignisprotokolle und Ähnliches), um Kunden bei der Vermeidung, Erkennung und Behandlung von Bedrohungen zu unterstützen. Microsoft hält strenge Compliance- und Sicherheitsrichtlinien ein – angefangen bei der Codierung bis hin zum Betreiben von Diensten.

In diesem Artikel erfahren Sie, wie Daten in Defender für Cloud verwaltet und geschützt werden.

Datenquellen

Defender für Cloud analysiert Daten aus den folgenden Quellen, um über den Sicherheitsstatus zu informieren, Sicherheitslücken zu identifizieren, Gegenmaßnahmen zu empfehlen und aktive Bedrohungen zu erkennen:

  • Azure-Dienste: Verwendet Informationen zur Konfiguration von Azure-Diensten, die Sie bereitgestellt haben. Hierzu wird mit dem Ressourcenanbieter des Diensts kommuniziert.
  • Netzwerkdatenverkehr: Verwendet Metadatenstichproben des Netzwerkdatenverkehrs aus der Infrastruktur von Microsoft wie etwa Quelle/Ziel, IP/Port, Paketgröße und Netzwerkprotokoll.
  • Partnerlösungen: Verwendet Sicherheitswarnungen von integrierten Partnerlösungen (beispielsweise Firewalls und Antischadsoftwarelösungen).
  • Ihre Computer: Verwendet Konfigurationsdetails und Informationen zu sicherheitsrelevanten Ereignissen, beispielsweise Ereignis- und -Überwachungsprotokolle unter Windows und Syslog-Nachrichten von Ihren Computern.

Datenfreigabe

Wenn Sie die Malwareüberprüfung von Defender for Storage aktivieren, werden möglicherweise Metadaten, einschließlich als Kundendaten (z. B. SHA-256-Hash) klassifiziere Metadaten, für Microsoft Defender for Endpoint freigegeben.

Microsoft Defender for Cloud mit dem Plan Defender for Cloud Security Posture Management (CSPM) teilt Daten, die in Microsoft Security Exposure Management-Empfehlungen integriert sind.

Hinweis

Microsoft Security Exposure Management befindet sich derzeit in der öffentlichen Vorschau.

Datenschutz

Trennung von Daten

Daten werden für jede Komponente des Diensts logisch getrennt verwaltet. Sämtliche Daten werden nach Organisation gekennzeichnet. Dieser Kennzeichnung wird während des gesamten Datenlebenszyklus beibehalten und auf jeder Ebene des Diensts erzwungen.

Datenzugriff

Zur Bereitstellung von Sicherheitsempfehlungen sowie bei der Untersuchung potenzieller Sicherheitsrisiken greifen Mitarbeiter*innen von Microsoft unter Umständen auf Informationen zu, die von Azure-Diensten erfasst oder analysiert wurden. Hierzu zählen etwa Prozesserstellungsereignisse und andere Artefakte. Diese können ggf. Kundendaten oder personenbezogene Daten von Ihren Computern enthalten.

Wir halten uns an den Microsoft Online Services-Nachtrag zum Schutz von Daten, welcher besagt, dass Microsoft keine Kundendaten verwenden oder aus ihnen Informationen für Werbung oder ähnliche kommerzielle Zwecke ableiten wird. Wir verwenden Kundendaten nur, wenn dies für die Bereitstellung Ihrer Azure-Dienste erforderlich ist. Dies gilt auch für Zwecke, die mit der Bereitstellung dieser Dienste kompatibel sind. Alle Rechte an den Kundendaten verbleiben bei Ihnen.

Datennutzung

Microsoft nutzt mandantenübergreifende Muster und Informationen zu Bedrohungen (Threat Intelligence), um die Funktionen für Prävention und Erkennung zu verbessern. Dies erfolgt in Übereinstimmung mit den in unserer Datenschutzerklärung beschriebenen Datenschutzzusagen.

Verwalten der Datensammlung von Computern

Wenn Sie Defender für Cloud in Azure aktivieren, wird die Datensammlung für alle Ihre Azure-Abonnements aktiviert. Sie können die Datensammlung für Ihre Abonnements auch in Defender für Cloud aktivieren. Wenn die Datensammlung aktiviert ist, stellt Defender für Cloud den Log Analytics-Agent auf allen vorhandenen unterstützten virtuellen Azure-Computern sowie auf allen neuen virtuellen Computern bereit, die erstellt werden.

Der Log Analytics-Agent sucht in ETW-Ablaufverfolgungen (Event Tracing for Windows, Ereignisablaufverfolgung für Windows) nach verschiedenen sicherheitsbezogenen Konfigurationen und Ereignissen. Darüber hinaus löst das Betriebssystem während der Ausführung des Computers Ereignisprotokollereignisse aus. Beispiele für Daten dieser Art: Betriebssystemtyp und -version, Betriebssystemprotokolle (Windows-Ereignisprotokolle), ausgeführte Prozesse, Computername, IP-Adressen, angemeldeter Benutzer und Mandanten-ID. Der Log Analytics-Agent liest Ereignisprotokolleinträge und ETW-Ablaufverfolgungen und kopiert diese zur Analyse in Ihren Arbeitsbereich bzw. in Ihre Arbeitsbereiche. Der Log Analytics-Agent ermöglicht auch Prozesserstellungsereignisse und die Befehlszeilenüberwachung.

Wenn Sie die erweiterten Sicherheitsfeatures von Microsoft Defender für Cloud nicht verwenden, können Sie die Datensammlung von virtuellen Computern auch in der Sicherheitsrichtlinie deaktivieren. Die Datensammlung ist für Abonnements erforderlich, die durch die erweiterten Sicherheitsfeatures geschützt werden. Momentaufnahmen von VM-Datenträgern sowie die Artefaktsammlung sind auch bei deaktivierter Datensammlung aktiviert.

Sie können den Arbeitsbereich und die Region angeben, in dem bzw. der die von Ihren Computern gesammelten Daten gespeichert werden. Standardmäßig werden auf Ihren Computern gesammelte Daten im nächstgelegenen Arbeitsbereich gespeichert, wie in der folgenden Tabelle gezeigt:

Geografischer Raum VM Geografischer Raum Arbeitsbereich
USA, Brasilien, Südafrika USA
Canada Canada
Europa (außer Vereinigtes Königreich) Europa
United Kingdom United Kingdom
Asien (außer Indien, Japan, Südkorea, China) Asien-Pazifik
Korea Asien-Pazifik
Indien Indien
Japan Japan
China China
Australien Australien

Hinweis

Microsoft Defender für Storage speichert Artefakte entsprechend dem Standort der verknüpften Azure-Ressource regional. Weitere Informationen erhalten Sie unter Übersicht über Microsoft Defender für Storage.

Nutzung der Daten

Kunden können auf Daten im Zusammenhang mit Defender für Cloud über die folgenden Datenströme zugreifen:

STREAM Datentypen
Azure-Aktivitätsprotokoll Alle Sicherheitswarnhinweise, genehmigte Defender for Cloud Just-in-Time-Zugriffsanfragen.
Azure Monitor-Protokolle Alle Sicherheitswarnungen
Azure Resource Graph Sicherheitswarnungen, Sicherheitsempfehlungen, Ergebnisse der Sicherheitsrisikobewertung, sichere Bewertungsinformationen, Status von Konformitätsprüfungen und mehr
Microsoft Defender für Cloud-REST-API Sicherheitswarnungen, Sicherheitsempfehlungen und vieles mehr

Hinweis

Wenn keine Defender-Pläne für das Abonnement aktiviert sind, werden Daten nach 30 Tagen Inaktivität im Microsoft Defender for Cloud-Portal aus Azure Resource Graph entfernt. Nach der Interaktion mit Artefakten im Portal für das Abonnement sollten die Daten innerhalb von 24 Stunden wieder sichtbar sein.

Beibehaltung von Daten

Wenn der Cloudsicherheitsgraph Daten aus Azure- und Multi-Cloud-Umgebungen und anderen Datenquellen sammelt, werden die Daten für einen Zeitraum von 14 Tagen aufbewahrt. Nach 14 Tagen werden die Daten gelöscht.

Berechnete Daten, z. B. Angriffspfade, können für weitere 14 Tage aufbewahrt werden. Berechnete Daten bestehen aus Daten, die aus den in der Umgebung gesammelten Rohdaten abgeleitet werden. Beispielsweise wird der Angriffspfad von den Rohdaten abgeleitet, die in der Umgebung gesammelt werden.

Diese Informationen werden gemäß den in unserer Datenschutzerklärungbeschriebenen Datenschutzverpflichtungen gesammelt.

Defender for Cloud- und Microsoft Defender 365 Defender-Integration

Wenn Sie einen der kostenpflichtigen Pläne von Defender for Cloud aktivieren, erhalten Sie automatisch alle Vorteile von Microsoft Defender XDR. Informationen aus Defender for Cloud werden mit Microsoft Defender XDR geteilt. Diese Daten könnten Kundendaten enthalten und werden gemäß den Microsoft 365-Richtlinien zur Datenverarbeitung gespeichert.