Документация по Microsoft Defender for Cloud

Чтобы помочь клиентам предотвращать и выявлять угрозы, а также реагировать на них, Microsoft Defender for Cloud собирает и обрабатывает данные о безопасности, в том числе сведения о конфигурации, метаданные, журналы событий и многое другое. Корпорация Майкрософт следует строгим нормативным требованиям и указаниям по безопасности — от создания кода до эксплуатации служб.

В этой статье показано, как осуществляется управление данными и их защита в Microsoft Defender for Cloud.

Источники данных

Для отслеживания состояния безопасности, определения уязвимостей, предоставления рекомендаций по их устранению и обнаружения активных угроз Microsoft Defender for Cloud анализирует данные из следующих источников:

  • Службы Azure. Использует сведения о конфигурации служб Azure, развернутых путем связи с поставщиком ресурсов этой службы.
  • Сетевой трафик: использует примеры метаданных сетевого трафика из инфраструктуры Майкрософт, таких как исходный или целевой IP-адрес/ порт, размер пакета и сетевой протокол.
  • Партнерские решения. Использует оповещения системы безопасности из интегрированных решений партнеров, таких как брандмауэры и решения защиты от вредоносных программ.
  • Компьютеры: использует сведения о конфигурации и сведения о событиях безопасности, таких как журналы событий Windows и журналы аудита, а также сообщения системного журнала с компьютеров.

Общий доступ к данным

При включении проверки вредоносных программ Defender для службы хранилища метаданные, включая метаданные, классифицируемые как клиентские данные (например, хэш SHA-256), с Microsoft Defender для конечной точки.

Microsoft Defender для облака запуска плана управления Defender для облака безопасностью (CSPM) совместно использует данные, интегрированные в рекомендации по управлению безопасностью Майкрософт.

Примечание.

Управление рисками безопасности Майкрософт в настоящее время находится в общедоступной предварительной версии.

Защита данных

Разделение данных

Данные логическим путем отделяются для каждого компонента службы. Все данные отмечаются тегами по организациям. Эти теги существуют в течение всего жизненного цикла данных и используются на каждом уровне службы.

Доступ к данным

Чтобы предоставить рекомендации по безопасности и исследовать потенциальные угрозы безопасности, персонал Майкрософт может получить доступ к информации, собранной или проанализированной службами Azure, включая события создания процессов и другие артефакты, которые могут непреднамеренно включать данные клиента или персональные данные с компьютеров.

Мы придерживаемся надстройки защиты данных Microsoft Online Services, которая утверждает, что корпорация Майкрософт не будет использовать данные клиента или получать от нее информацию для рекламы или аналогичных коммерческих целей. Мы используем данные клиента только в рамках предоставления служб Azure, а также для совместимых с этим целей. Вы сохраняете все права на данные клиента.

Использование данных

Корпорация Майкрософт использует шаблоны и данные анализа угроз, которые наблюдались у нескольких клиентов, чтобы улучшить возможности предотвращения и обнаружения. При этом соблюдаются обязательства по безопасности, описанные в заявлении о конфиденциальности.

Управление сбором данных с компьютеров

При включении Microsoft Defender for Cloud в Azure сбор данных включается для всех подписок Azure. Сбор данных можно также включить для определенных подписок в Microsoft Defender for Cloud. Когда он включен, в Microsoft Defender for Cloud подготавливается агент Log Analytics на всех существующих и создаваемых поддерживаемых виртуальных машинах Azure.

Агент Log Analytics проверяет систему на наличие конфигураций, связанных с безопасностью, и передает их в формате событий в компонент трассировки событий Windows (ETW). Кроме того, операционная система вызывает события журнала событий во время запуска компьютера. Примеры таких данных — тип и версия операционной системы, журналы операционной системы (журналы событий Windows), выполняющиеся процессы, имя компьютера, IP-адреса, имя пользователя, выполнившего вход, и идентификатор клиента. Агент Log Analytics считывает записи журнала событий и данные трассировки ETW, а затем копирует их в рабочую область для анализа. Агент Log Analytics также поддерживает события создания процессов и аудит командной строки.

Если вы не используете расширенные функции безопасности Microsoft Defender for Cloud, вы также можете отключить сбор данных с виртуальных машин в политике безопасности. Сбор данных требуется для подписок, защищенных расширенными функциями безопасности. Функция создания моментальных снимков диска виртуальной машины и сбора артефактов работает даже в том случае, если сбор данных был отключен.

Вы можете указать рабочую область и регион для хранения данных, собираемых с компьютеров. По умолчанию собираемые данные хранятся в ближайшей к вам рабочей области, как показано в следующей таблице.

Геообъект виртуальной машины Геообъект рабочей области
США, Бразилия, ЮАР Соединенные Штаты
Канада Канада
Европа (за исключением Соединенного Королевства) Европа
Соединенное Королевство Соединенное Королевство
Азия (за исключением Индии, Японии, Кореи, Китая) Азиатско-Тихоокеанский регион
Республика Корея Азиатско-Тихоокеанский регион
Индия Индия
Япония Япония
Китай Китай
Австралия Австралия

Примечание.

Microsoft Defender для службы хранилища хранит артефакты в том регионе, где размещен соответствующий ресурс Azure. Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для хранилища.

Потребление данных

Клиенты могут получать данные Microsoft Defender for Cloud из следующих источников:

Stream Типы данных
Журнал действий Azure Все оповещения системы безопасности, утвержденные Defender для облака JIT-запросы на доступ.
Журналы Azure Monitor Все оповещения системы безопасности.
Azure Resource Graph Оповещения системы безопасности, рекомендации по обеспечению безопасности, результаты оценки уязвимостей, данные об оценке безопасности, состояние проверок соответствия и т. д.
REST API в Microsoft Defender for Cloud Оповещения системы безопасности, рекомендации по обеспечению безопасности и т. д.

Примечание.

Если в подписке нет планов Defender, данные будут удалены из Azure Resource Graph через 30 дней бездействия на портале Microsoft Defender для облака. После взаимодействия с артефактами на портале, связанном с подпиской, данные должны отображаться снова в течение 24 часов.

Хранение данных

Когда граф облачной безопасности собирает данные из сред Azure и мультиоблачных сред и других источников данных, он сохраняет данные в течение 14 дней. Через 14 дней данные удаляются.

Вычисляемые данные, такие как пути атаки, могут храниться в течение дополнительных 14 дней. Вычисляемые данные состоят из данных, производных от необработанных данных, собранных из среды. Например, путь атаки является производным от необработанных данных, собранных из среды.

Эти сведения собираются в соответствии с обязательствами о конфиденциальности, описанными в нашем заявлении о конфиденциальности.

интеграция Defender для облака и Microsoft Defender 365 Defender

При включении любого из платных планов Defender для облака вы автоматически получаете все преимущества XDR в Microsoft Defender. Сведения из Defender для облака будут предоставляться xDR в Microsoft Defender. Эти данные могут содержать данные клиента и будут храниться в соответствии с рекомендациями по обработке данных Microsoft 365.