Что такое Microsoft Defender для облака?
Microsoft Defender для облака помогает предотвращать и обнаруживать угрозы, а также реагировать на них, одновременно повышая отслеживаемость и безопасность ресурсов. Он включает встроенные функции мониторинга безопасности и управления политиками для подписок, помогает выявлять угрозы, которые в противном случае могли бы оказаться незамеченными, и взаимодействует с широким комплексом решений по обеспечению безопасности.
Defender для облака использует компоненты мониторинга для сбора и хранения данных. Подробные сведения см. в разделе Сбор данных в Microsoft Defender для облака.
Как получить Microsoft Defender для облака?
Microsoft Defender для облака включается в составе подписки Microsoft Azure и доступен на портале Azure. Чтобы получить к нему доступ, войдите на портал, выберите Обзор и прокрутите экран до пункта Defender для облака.
Существует ли пробная версия Defender для облака?
Defender для облака бесплатно в течение первых 30 дней. Плата за использование за 30 дней автоматически взимается в рамках схемы ценообразования. Подробнее. Обратите внимание, что сканирование вредоносных программ в Defender для хранилища не входит бесплатно в первую 30-дневную пробную версию и будет взиматься с первого дня.
Какие ресурсы Azure отслеживает Microsoft Defender для облака?
Microsoft Defender для облака наблюдает за следующими ресурсами Azure:
- виртуальные машины (в том числе облачные службы);
- Масштабируемые наборы виртуальных машин
- многие службы PaaS Azure, перечисленные в обзоре продукта.
Defender для облака также защищает локальные ресурсы и многооблачные ресурсы, включая Amazon AWS и Google Cloud.
Как просмотреть текущее состояние безопасности ресурсов Azure, multicloud и локальных ресурсов?
На странице Defender для облака Обзор показан общий уровень безопасности вашей среды, разбитый по вычислениям, сетям, хранилищу и данным и приложениям. Каждый тип ресурсов имеет индикатор, указывающий на обнаруженные уязвимости. При выборе каждой плитки отображается список проблем безопасности, определенных Defender для облака, а также инвентаризация ресурсов в подписке.
Что такое инициатива безопасности?
Инициатива по безопасности определяет набор элементов управления (политик), которые рекомендуются для ресурсов в указанной подписке. В Microsoft Defender для облака вы назначаете инициативы для подписок Azure, учетных записей AWS и проектов GCP в соответствии с требованиями к безопасности вашей компании и типом приложений или конфиденциальности данных в каждой подписке.
Политики безопасности, включенные в Microsoft Defender для облака, позволяют получать рекомендации по обеспечению безопасности и осуществлять мониторинг. Дополнительные сведения см. в разделе Что такое политики безопасности, инициативы и рекомендации?.
Кто может изменять политику безопасности?
Изменить политику безопасности может пользователь с правами администратора безопасности или владельца этой подписки.
Дополнительные сведения о настройке политики безопасности см. в статье Настройка политик безопасности в Microsoft Defender для облака.
Что такое рекомендация по безопасности?
Microsoft Defender для облака анализирует состояние безопасности ресурсов Azure, multicloud и локальных ресурсов. При обнаружении потенциальной уязвимости системы безопасности создаются рекомендации. Рекомендации помогают выполнить процедуру настройки необходимого средства контроля. Примеры:
- Подготовка антивредоносного ПО помогает обнаруживать и устранять вредоносные программы.
- Группы безопасности сети и правила для управления трафиком виртуальных машин.
- Подготовка брандмауэра веб-приложения для защиты от атак на веб-приложения
- Развертывание отсутствующих обновлений системы
- Адресация конфигураций ОС, которые не соответствуют рекомендуемых базовых показателей
Здесь отображаются только рекомендации, включенные в политиках безопасности.
Что инициирует оповещение системы безопасности?
Microsoft Defender для облака автоматически собирает, анализирует и сопоставляет данные журналов из Azure, мультиоблачных и локальных ресурсов, сети и партнерских решений, таких как антивредоносные программы и брандмауэры. При обнаружении угроз создается оповещение системы безопасности. Например, определяется следующее.
- Обращение взломанных виртуальных машин к опасному IP-адресу
- Обнаружение сложных вредоносных программ с использованием отчетов об ошибках Windows
- Грубые атаки на виртуальные машины
- Оповещения системы безопасности, отправленные встроенными партнерскими решениями обеспечения безопасности, такими как защита от вредоносных программ или брандмауэры веб-приложений
Какова разница между угрозами, которые обнаруживаются и о которых сообщают Microsoft Security Response Center и Microsoft Defender для облака?
Microsoft Security Response Center (MSRC) проводит выборочный мониторинг безопасности сети и инфраструктуры Azure и получает аналитические данные об угрозах и жалобы о нарушениях от третьих лиц. Когда MSRC узнает, что данные клиента были доступны незаконной или несанкционированной стороной или что использование Azure не соответствует условиям допустимого использования, диспетчер инцидентов безопасности уведомляет клиента. Обычно уведомление происходит путем отправки сообщения электронной почты контактам безопасности, указанным в Microsoft Defender для облака или владельцем подписки Azure, если контакт безопасности не указан.
Defender для облака — это служба Azure, которая постоянно отслеживает Azure, многооблачную и локальную среду клиента и применяет аналитику для автоматического обнаружения широкого спектра потенциально вредоносных действий. Такие обнаружения регистрируются как оповещения системы безопасности на панели мониторинга защиты рабочих нагрузок.
Как узнать, кто из моей организации включил план Microsoft Defender в Defender для облака?
У подписок Azure может быть несколько администраторов с разрешениями на изменение параметров ценообразования. Чтобы узнать, какой именно пользователь внес изменения, используйте журнал действий Azure.
Если информация о пользователе не указана в столбце Кем инициировано событие, ознакомьтесь с соответствующими сведениями в JSON события.
Что произойдет, если одна из рекомендаций относится к нескольким инициативам политики?
Иногда рекомендация по безопасности входит в несколько инициатив политики. Если у вас несколько экземпляров одной и той же рекомендации, назначенных одной подписке, и вы создаете исключение для рекомендации, это влияет на все инициативы, которые у вас есть разрешение на изменение.
При попытке создать исключение для этой рекомендации вы увидите одно из двух следующих сообщений.
Если у вас есть необходимые разрешения на изменение обеих инициатив, вы увидите следующее.
Эта рекомендация включена в несколько инициатив политики: [имена инициатив, разделенные запятыми]. Исключения будут созданы для всех из них.
Если у вас нет достаточных разрешений для обеих инициатив, вы увидите следующее сообщение.
You have limited permissions to apply the exemption on all the policy initiatives, the exemptions will be created only on the initiatives with sufficient permissions. (У вас есть ограниченные разрешения на применение исключения для всех инициатив политики. Исключения будут созданы только для инициатив с достаточными разрешениями).
Существуют ли рекомендации, которые не поддерживают исключения?
Перечисленные ниже общедоступные рекомендации не поддерживают исключения.
- Все типы расширенной защиты от угроз должны быть включены в расширенных параметрах безопасности данных управляемого экземпляра SQL.
- На серверах SQL в параметрах расширенной защиты данных должны быть включены все типы расширенной защиты от угроз.
- Для контейнеров должны соблюдаться ограничения по числу ЦП и объему оперативной памяти.
- Образы контейнеров должны развертываться только из доверенных реестров
- Контейнеры с повышением привилегий должны по возможности исключаться
- Контейнеры с общим доступом к важным пространствам имен узлов должны по возможности исключаться
- Контейнеры должны ожидать передачи данных только на разрешенных портах
- Политика фильтрации IP-адресов по умолчанию должна запрещать
- Мониторинг целостности файлов должен быть включен на компьютерах
- Для контейнеров должна применяться неизменяемая (доступная только для чтения) корневая файловая система
- Устройства Интернета вещей. Открытые порты на устройстве
- Устройства Интернета вещей. В одной из цепочек найдена нестрогая политика брандмауэра
- Устройства Интернета вещей. Во входной цепочке найдено нестрогое правило брандмауэра
- Устройства Интернета вещей. В выходной цепочке найдено нестрогое правило брандмауэра
- Правило фильтра IP-адресов: большой диапазон IP-адресов
- Для контейнеров должны применяться возможности Linux с минимальными правами
- Возможности переопределения или отключения профиля AppArmor для контейнеров должны быть ограничены
- Требуется избегать привилегированных контейнеров
- Работа контейнеров от имени привилегированного пользователя должна по возможности исключаться
- Службы должны ожидать передачи данных только на разрешенных портах
- Серверы SQL должны быть подготовлены администратором Microsoft Entra
- Использование сети и портов узлов должно быть ограничено
- Использование подключений томов HostPath для групп pod должно быть ограничено списком известных узлов для предотвращения доступа из скомпрометированных контейнеров.
Мы уже используем политику условного доступа (ЦС) для принудительного применения MFA. Почему мы по-прежнему получаем рекомендации Defender для облака?
Чтобы понять, почему по-прежнему появляются рекомендации, проверьте следующие параметры конфигурации в политике условного доступа MFA.
- Вы включили учетные записи в раздел "Пользователи " политики ЦС MFA (или одну из групп в разделе "Группы ")
- Идентификатор приложения управления Azure Management (797f4846-ba00-4fd7-ba43-dac1f8f63013) или все приложения включаются в раздел Приложения вашей политики условного доступа MFA
- Идентификатор приложения управления MFA не исключается из раздела Приложения вашей политики условного доступа MFA
- Условие OR используется только с MFA или условием AND используется с MFA
- Политика условного доступа, применяющая многофакторную проверку подлинности, в настоящее время не поддерживается в нашей оценке.
Мы используем сторонний инструмент MFA для принудительного применения MFA. Почему мы по-прежнему получаем рекомендации Defender для облака?
рекомендации по MFA Defender для облака не поддерживают сторонние средства MFA (например, DUO).
Если рекомендации не подходят для вашей организации, попробуйте пометить их как "Устранено", как описано в разделе Исключение ресурсов и рекомендаций из оценки безопасности. Также можно отключить рекомендацию.
Почему Defender для облака отображает учетные записи пользователей без разрешений в подписке с пометкой "требуется MFA"?
Рекомендации по MFA Defender для облака относятся к Роли Azure RBAC и роль администраторов классической подписки Azure. Убедитесь, что ни одна из учетных записей не имеет таких ролей.
Мы принудительно используем MFA с PIM. Почему учетные записи PIM отображаются как несоответствующие требованиям?
Рекомендации по MFA Defender для облака в настоящее время не поддерживают учетные записи PIM. Эти учетные записи можно добавить в политику условного доступа в раздел пользователей или группы.
Можно ли исключить или закрыть некоторые учетные записи?
Возможность исключения некоторых учетных записей, которые не используют MFA, доступна в новых рекомендациях в предварительной версии:
- Для учетных записей с разрешениями владельца для ресурсов Azure должна быть включена многофакторная проверка подлинности
- Для учетных записей с разрешениями на запись для ресурсов Azure должна быть включена многофакторная проверка подлинности
- Для учетных записей с разрешениями на чтение для ресурсов Azure должна быть включена многофакторная проверка подлинности
Чтобы исключить учетные записи, выполните следующие действия.
- Выберите рекомендацию MFA, связанную с неработоспособной учетной записью.
- На вкладке "Учетные записи" выберите учетную запись для исключения.
- Нажмите кнопку с тремя точками, а затем выберите "Исключить учетную запись".
- Выберите область и причину исключения.
Если вы хотите узнать, какие учетные записи исключены, перейдите к исключенным учетным записям для каждой рекомендации.
Совет
При исключении учетной записи она не будет отображаться как неработоспособная и не приведет к неработоспособности подписки.
Существуют ли ограничения по защите идентификации и доступа в Defender для облака?
Есть ряд ограничений по защите идентификации и доступа в Defender для облака.
- Рекомендации по идентификации недоступны для подписок, которые содержат более 6000 учетных записей. В таких случаях эти типы подписок перечислены на вкладке "Неприменимо".
- Рекомендации по идентификации недоступны для агентов администрирования партнера-поставщика облачных решений (CSP).
- Рекомендации по идентификации не определяют учетные записи, управляемые системой управления привилегированными удостоверениями (PIM). Если вы используете инструмент PIM, в элементе управления Управление доступом и разрешениями могут отображаться недостоверные результаты.
- Рекомендации по идентификации не поддерживают политики условного доступа Microsoft Entra с включенными ролями каталогов вместо пользователей и групп.
Какие операционные системы поддерживают экземпляры EC2?
Список интерфейсов УПРАВЛЕНИЯ с предварительно установленным агентом SSM см . на этой странице в документации AWS.
Для других операционных систем агент SSM нужно установить вручную с помощью следующих инструкций:
Какие разрешения IAM необходимы при использовании плана CSPM для обнаружения ресурсов AWS?
Для обнаружения ресурсов AWS требуются следующие разрешения IAM:
DataCollector | Разрешения AWS |
---|---|
API Gateway | apigateway:GET |
Автоматическое масштабирование приложения | application-autoscaling:Describe* |
Автомасштабирование | autoscaling-plans:Describe* autoscaling:Describe* |
Диспетчер сертификатов | acm-pca:Describe* acm-pca:List* acm:Describe* acm:List* |
CloudFormation | cloudformation:Describe* cloudformation:List* |
CloudFront | cloudfront:DescribeFunction cloudfront:GetDistribution cloudfront:GetDistributionConfig cloudfront:List* |
CloudTrail | cloudtrail:Describe* cloudtrail:GetEventSelectors cloudtrail:List* cloudtrail:LookupEvents |
CloudWatch | cloudwatch:Describe* cloudwatch:List* |
Журналы CloudWatch | logs:DescribeLogGroups logs:DescribeMetricFilters |
CodeBuild | codebuild:DescribeCodeCoverages codebuild:DescribeTestCases codebuild:List* |
Служба настройки | config:Describe* config:List* |
DMS — служба миграции базы данных | dms:Describe* dms:List* |
DAX | dax:Describe* |
DynamoDB | dynamodb:Describe* dynamodb:List* |
EC2 | ec2:Describe* ec2:GetEbsEncryptionByDefault |
ECR | ecr:Describe* ecr:List* |
ECS | ecs:Describe* ecs:List* |
EFS | elasticfilesystem:Describe* |
EKS | eks:Describe* eks:List* |
Elastic Beanstalk | elasticbeanstalk:Describe* elasticbeanstalk:List* |
ELB — эластичная балансировка нагрузки (версия 1/2) | elasticloadbalancing:Describe* |
Эластичный поиск | es:Describe* es:List* |
EMR — уменьшение эластичной карты | elasticmapreduce:Describe* elasticmapreduce:GetBlockPublicAccessConfiguration elasticmapreduce:List* elasticmapreduce:View* |
GuardDuty | guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:List* |
IAM | iam:Generate* iam:Get* iam:List* iam:Simulate* |
Сервер управления ключами | kms:Describe* kms:List* |
Lambda | lambda:GetPolicy lambda:List* |
Сетевой брандмауэр | network-firewall:DescribeFirewall network-firewall:DescribeFirewallPolicy network-firewall:DescribeLoggingConfiguration network-firewall:DescribeResourcePolicy network-firewall:DescribeRuleGroup network-firewall:DescribeRuleGroupMetadata network-firewall:ListFirewallPolicies network-firewall:ListFirewalls network-firewall:ListRuleGroups network-firewall:ListTagsForResource |
RDS | rds:Describe* rds:List* |
RedShift | redshift:Describe* |
S3 и S3Control | s3:DescribeJob s3:GetEncryptionConfiguration s3:GetBucketPublicAccessBlock s3:GetBucketTagging s3:GetBucketLogging s3:GetBucketAcl s3:GetBucketLocation s3:GetBucketPolicy s3:GetReplicationConfiguration s3:GetAccountPublicAccessBlock s3:GetObjectAcl s3:GetObjectTagging s3:List* |
SageMaker | sagemaker:Describe* sagemaker:GetSearchSuggestions sagemaker:List* sagemaker:Search |
Диспетчер секретов | secretsmanager:Describe* secretsmanager:List* |
Простая служба уведомлений SNS | sns:Check* sns:List* |
SSM | ssm:Describe* ssm:List* |
SQS | sqs:List* sqs:Receive* |
STS | sts:GetCallerIdentity |
WAF | waf-regional:Get* waf-regional:List* waf:List* wafv2:CheckCapacity wafv2:Describe* wafv2:List* |
Существует ли API для подключения ресурсов GCP к Defender для облака?
Да. Сведения о создании, изменении или удалении облачных соединителей Defender для облака с помощью REST API см. в статье API соединителей.
Какие регионы GCP поддерживаются Defender для облака?
Defender для облака поддерживает и сканирует все доступные регионы в общедоступном облаке GCP.
Поддерживает ли автоматизация рабочих процессов какие-либо сценарии непрерывности бизнес-процессов и аварийного восстановления (BCDR)?
При подготовке среды к сценариям BCDR, где целевой ресурс испытывает сбой или другие аварии, организация несет ответственность за предотвращение потери данных путем создания резервных копий в соответствии с рекомендациями из Центры событий Azure, рабочей области Log Analytics и Logic Apps.
Для каждой активной автоматизации рекомендуется создать идентичную (отключенную) автоматизацию и сохранить ее в другом месте. В случае сбоя вы можете включить резервные автоматизации для поддержания работы в обычном режиме.
Дополнительные сведения см. в статье Непрерывность бизнес-процессов и аварийное восстановление в Azure Logic Apps.
Каковы затраты, связанные с экспортом данных?
Включение непрерывного экспорта не приводит к каким-либо затратам. Затраты могут возникнуть при приеме и хранении данных в рабочей области Log Analytics в зависимости от конфигурации.
Многие оповещения предоставляются только в том случае, если вы включили планы Defender для ресурсов. Хорошим способом предварительного просмотра оповещений, которые вы получаете в экспортированных данных, является просмотр оповещений, отображаемых на страницах Defender для облака в портал Azure.
Ознакомьтесь с дополнительными сведениями о ценах на рабочую область Log Analytics
Ознакомьтесь с дополнительными сведениями о ценах на Центры событий Azure.
Общие сведения о ценах на Defender для облака см. на странице цен.
Включает ли непрерывный экспорт данные о текущем состоянии всех ресурсов?
№ Непрерывный экспорт создан для потоковой передачи событий.
- Оповещения, полученные до включения экспорта, не экспортируются.
- Рекомендации отправляются при каждом изменении состояния соответствия требованиям ресурса. Например, при переходе ресурса из работоспособного в неработоспособное состояние. Поэтому, как и в случае с оповещениями, рекомендации для ресурсов, состояние которых не изменялось после включения экспорта, не будут экспортированы.
- Оценка безопасности для элемента управления безопасностью или подписки отправляется, когда оценка элемента изменяется на 0,01 или более.
- Состояние соответствия нормативным требованиям отправляется, когда изменяется состояние соответствия ресурсов.
Почему рекомендации отправляются с разными интервалами?
Разные рекомендации имеют разные интервалы оценки соответствия, которые варьируются от нескольких минут до нескольких дней. Таким образом, время, необходимое для отображения рекомендаций в экспорте, варьируется.
Как получить пример запроса для рекомендации?
Чтобы получить пример запроса для рекомендации, откройте рекомендацию в Defender для облака, выберите "Открыть запрос", а затем выберите запрос, возвращающий результаты безопасности.
Поддерживает ли непрерывный экспорт какие-либо сценарии непрерывности бизнес-процессов и аварийного восстановления (BCDR)?
Непрерывный экспорт может быть полезен для подготовки к сценариям BCDR, в которых на целевом ресурсе происходит сбой или другая авария. Однако именно организация несет ответственность за предотвращение потери данных путем создания резервных копий в соответствии с рекомендациями концентраторов событий Azure, рабочей области Log Analytics и Logic App.
Дополнительные сведения см. в статье Геоизбыточное аварийное восстановление в службе "Центры событий Azure".
Можно ли программно обновить несколько планов в одной подписке одновременно?
Мы не рекомендуем программно обновлять несколько планов в одной подписке одновременно (с помощью REST API, шаблонов ARM, сценариев и т. д.). При использовании API Microsoft.Security/ценообразования или любого другого программного решения следует вставить задержку в 10–15 секунд между каждым запросом.
При включении доступа по умолчанию, в каких ситуациях необходимо повторно запустить шаблон формирования облака, скрипт Cloud Shell или шаблон Terraform?
Изменения в Defender для облака планах или их вариантах, включая функции в этих планах, требуют запуска шаблона развертывания. Это применяется независимо от типа разрешений, выбранного во время создания соединителя безопасности. Если регионы были изменены, как на этом снимке экрана, вам не нужно повторно запустить шаблон формирования облака или скрипт Cloud Shell.
При настройке типов разрешений доступ по крайней мере привилегий поддерживает функции, доступные во время запуска шаблона или скрипта. Новые типы ресурсов можно поддерживать только путем повторного запуска шаблона или скрипта.
Если изменить регион или интервал сканирования для соединителя AWS, необходимо повторно запустить шаблон CloudFormation или скрипт Cloud Shell?
Нет, если регион или интервал сканирования изменен, не нужно повторно запускать шаблон CloudFormation или скрипт Cloud Shell. Изменения будут применены автоматически.
Как подключить организацию ИЛИ учетную запись управления AWS для Microsoft Defender для облака работы?
Подключение организации или учетной записи управления к Microsoft Defender для облака инициирует процесс развертывания StackSet. StackSet включает необходимые роли и разрешения. StackSet также распространяет необходимые разрешения во всех учетных записях организации.
Включенные разрешения позволяют Microsoft Defender для облака доставлять выбранные функции безопасности через созданный соединитель в Defender для облака. Разрешения также позволяют Defender для облака непрерывно отслеживать все учетные записи, которые могут быть добавлены с помощью службы автоматической подготовки.
Defender для облака может определять создание новых учетных записей управления и использовать предоставленные разрешения для автоматической подготовки эквивалентного соединителя безопасности членов для каждой учетной записи участника.
Эта функция доступна только для подключения организации и позволяет Defender для облака создавать соединители для новых добавленных учетных записей. Эта функция также позволяет Defender для облака изменять все соединители членов при изменении учетной записи управления, удалять все учетные записи участников при удалении учетной записи управления и удалять определенную учетную запись участника, если соответствующая учетная запись удалена.
Для учетной записи управления необходимо развернуть отдельный стек.