Defender для облака-What's new archive

На этой странице представлены сведения о функциях, исправлениях и устаревших функциях, которые старше шести месяцев. Последние обновления см. в статье "Новые возможности" Defender для облака?.

Апрель 2024 г.

Дата Категория Обновить
16 апреля Предстоящее обновление Изменение идентификаторов оценки CIEM.

Предполагаемое обновление: май 2024 г.
Апрель 15 г. Общедоступная версия Защитник для контейнеров теперь доступен для AWS и GCP.
3 апреля Обновить Приоритет риска теперь используется по умолчанию в Defender для облака
3 апреля Обновить Обновления реляционных баз данных с открытым кодом Defender.

Обновление: изменение идентификаторов оценки CIEM

16 апреля 2024 г.

Предполагаемая дата изменения: май 2024 г.

Для перемоделирования запланированы следующие рекомендации, что приведет к изменению идентификаторов оценки:

  • Azure overprovisioned identities should have only the necessary permissions
  • AWS Overprovisioned identities should have only the necessary permissions
  • GCP overprovisioned identities should have only the necessary permissions
  • Super identities in your Azure environment should be removed
  • Unused identities in your Azure environment should be removed

Общедоступная версия: Defender для контейнеров для AWS и GCP

15 апреля 2024 г.

Обнаружение угроз среды выполнения и обнаружение без агента для AWS и GCP в Defender для контейнеров теперь общедоступны. Кроме того, в AWS есть новая возможность проверки подлинности, которая упрощает подготовку.

Дополнительные сведения о матрице поддержки контейнеров в Defender для облака и настройке компонентов Defender для контейнеров.

Обновление: приоритет риска

3 апреля 2024 г.

Приоритет риска теперь используется по умолчанию в Defender для облака. Эта функция помогает сосредоточиться на наиболее важных проблемах безопасности в вашей среде путем приоритета рекомендаций на основе факторов риска каждого ресурса. Факторы риска включают потенциальное влияние проблемы безопасности, категории риска и путь атаки, в который входит проблема безопасности. Дополнительные сведения о приоритете рисков.

Обновление: Defender для реляционных баз данных с открытым исходным кодом

3 апреля 2024 г.

  • Обновление для гибких серверов Defender для PostgreSQL после общедоступной версии. Обновление позволяет клиентам применять защиту существующих гибких серверов PostgreSQL на уровне подписки, что позволяет обеспечить полную гибкость для обеспечения защиты на основе каждого ресурса или автоматической защиты всех ресурсов на уровне подписки.
  • Доступность гибких серверов Defender для MySQL и общедоступной версии Defender для облака расширила свою поддержку реляционных баз данных с открытым исходным кодом Azure, включив гибкие серверы MySQL.

В этот выпуск входят:

  • Совместимость оповещений с существующими оповещениями для отдельных серверов Defender для MySQL.
  • Включение отдельных ресурсов.
  • Включение на уровне подписки.
  • Обновления для База данных Azure для MySQL гибких серверов развертываются в течение следующих нескольких недель. Если вы видите ошибку The server <servername> is not compatible with Advanced Threat Protection, вы можете ждать обновления или открыть запрос в службу поддержки, чтобы обновить сервер до поддерживаемой версии.

Если вы уже защищаете подписку с помощью Defender для реляционных баз данных с открытым кодом, гибкие ресурсы сервера автоматически включены, защищены и выставляются счета. Конкретные уведомления о выставлении счетов были отправлены по электронной почте для затронутых подписок.

Дополнительные сведения о Microsoft Defender для реляционных баз данных с открытым исходным кодом.

Март 2024 г.

Дата Категория Обновить
31 марта Общедоступная версия Сканирование образов контейнеров Windows
25 марта Обновить Непрерывный экспорт теперь включает данные пути атаки
21 марта Предварительный просмотр Проверка без агента поддерживает зашифрованные виртуальные машины CMK в Azure
17 марта Предварительный просмотр Пользовательские рекомендации на основе KQL для Azure.
13 марта Обновить Включение рекомендаций DevOps в microsoft cloud security benchmark
13 марта Общедоступная версия Интеграция ServiceNow.
13 марта Предварительный просмотр Защита критически важных ресурсов в Microsoft Defender для облака.
12 марта Обновить Расширенные рекомендации AWS и GCP с помощью сценариев автоматической исправления
6 марта Предварительный просмотр Стандарты соответствия, добавленные на панель мониторинга соответствия требованиям
6 марта Предстоящее обновление Обновления реляционных баз данных с открытым кодом Defender для реляционных баз данных с открытым кодом

Ожидается: апрель 2024 г.
3 марта Предстоящее обновление Изменения в том, где вы обращаетесь к предложениям соответствия требованиям и действиям Майкрософт

Ожидается: сентябрь 2025 г.
3 марта Устаревание оценка уязвимостей контейнеров Defender для облака, защищенная от выхода на пенсию qualys
3 марта Предстоящее обновление Изменения в том, где вы обращаетесь к предложениям соответствия требованиям и действиям Майкрософт.

Предполагаемое прекращение использования: 30 сентября 2025 г.

Общедоступная версия: сканирование образов контейнеров Windows

31 марта 2024 г.

Мы объявляем общедоступную версию образов контейнеров Windows для сканирования в Defender для контейнеров.

Обновление: непрерывный экспорт теперь включает данные пути атаки

25 марта 2024 г.

Мы объявляем, что непрерывный экспорт теперь включает данные пути атаки. Эта функция позволяет передавать данные безопасности в Log Analytics в Azure Monitor, Центры событий Azure или в другое решение модели автоматизации оркестрации безопасности или классической модели развертывания.

Дополнительные сведения о непрерывном экспорте.

Предварительная версия: сканирование без агента поддерживает зашифрованные виртуальные машины CMK в Azure

21 марта 2024 г.

До сих пор сканирование без агента охватывает зашифрованные виртуальные машины CMK в AWS и GCP. В этом выпуске мы также завершаем поддержку Azure. Эта возможность использует уникальный подход проверки для CMK в Azure:

  • Defender для облака не обрабатывает процесс расшифровки или ключа. Ключи и расшифровка легко обрабатываются вычислением Azure и прозрачны для службы сканирования без агента Defender для облака.
  • Незашифрованные данные диска виртуальной машины никогда не копируются или повторно шифруются с помощью другого ключа.
  • Исходный ключ не реплицируется во время процесса. Очистка позволяет искоренить данные на рабочей виртуальной машине и временном моментальном снимке Defender для облака.

Во время общедоступной предварительной версии эта возможность не включена автоматически. Если вы используете CSPM Defender для серверов P2 или Defender, а среда содержит виртуальные машины с зашифрованными дисками CMK, теперь их можно проверить на наличие уязвимостей, секретов и вредоносных программ после выполнения этих действий.

Предварительная версия: пользовательские рекомендации на основе KQL для Azure

17 марта 2024 г.

Пользовательские рекомендации на основе KQL для Azure теперь доступны в общедоступной предварительной версии и поддерживаются для всех облаков. Дополнительные сведения см. в статье "Создание пользовательских стандартов безопасности и рекомендаций".

Обновление. Включение рекомендаций DevOps в microsoft cloud security benchmark

13 марта 2024 г.

Сегодня мы объявляем, что теперь вы можете отслеживать уровень безопасности и соответствия DevOps в microsoft cloud security benchmark (MCSB) в дополнение к Azure, AWS и GCP. Оценки DevOps являются частью элемента управления DevOps Security в MCSB.

MCSB — это платформа, которая определяет основные принципы облачной безопасности на основе общих отраслевых стандартов и платформ соответствия требованиям. MCSB предоставляет подробные сведения о реализации рекомендаций по безопасности, не зависящих от облака.

Дополнительные сведения о рекомендациях DevOps, которые будут включены и тест безопасности microsoft cloud security.

Общедоступная версия: интеграция ServiceNow теперь общедоступна

12 марта 2024 г.

Мы объявляем о общедоступной доступности интеграции ServiceNow.

Предварительная версия: защита критически важных ресурсов в Microsoft Defender для облака

12 марта 2024 г.

Defender для облака теперь включает функцию критической бизнес-важности, используя обработчик критически важных активов управления безопасностью Майкрософт, чтобы определить и защитить важные ресурсы с помощью определения приоритетов, анализа пути атаки и облачного обозревателя безопасности. Дополнительные сведения см. в разделе "Защита критически важных ресурсов" в Microsoft Defender для облака (предварительная версия).

Обновление: расширенные рекомендации AWS и GCP с помощью сценариев автоматической исправления

12 марта 2024 г.

Мы повышаем рекомендации AWS и GCP с помощью сценариев автоматической исправления, которые позволяют устранять их программными средствами и масштабируемыми сценариями. Узнайте больше о сценариях автоматической исправления.

Предварительная версия: стандарты соответствия, добавленные на панель мониторинга соответствия требованиям

6 марта 2024 г.

На основе отзывов клиентов мы добавили стандарты соответствия в предварительной версии для Defender для облака.

Полный список поддерживаемых стандартов соответствия

Мы постоянно работаем над добавлением и обновлением новых стандартов для сред Azure, AWS и GCP.

Узнайте, как назначить стандарт безопасности.

Обновление: обновления защитника для реляционных баз данных с открытым исходным кодом

6 марта 2024**

Предполагаемая дата изменения: апрель 2024 г.

Обновление для гибких серверов Defender для PostgreSQL после общедоступной версии. Обновление позволяет клиентам применять защиту существующих гибких серверов PostgreSQL на уровне подписки, что позволяет обеспечить полную гибкость для обеспечения защиты на основе каждого ресурса или автоматической защиты всех ресурсов на уровне подписки.

Доступность гибких серверов Defender для MySQL и общедоступная версия— Defender для облака настроена для расширения поддержки реляционных баз данных с открытым исходным кодом Azure, включив гибкие серверы MySQL. В этом выпуске будет содержаться следующее:

  • Совместимость оповещений с существующими оповещениями для отдельных серверов Defender для MySQL.
  • Включение отдельных ресурсов.
  • Включение на уровне подписки.

Если вы уже защищаете подписку с помощью Defender для реляционных баз данных с открытым кодом, гибкие ресурсы сервера автоматически включены, защищены и выставляются счета. Конкретные уведомления о выставлении счетов были отправлены по электронной почте для затронутых подписок.

Дополнительные сведения о Microsoft Defender для реляционных баз данных с открытым исходным кодом.

Обновление: изменения предложений соответствия требованиям и параметров действий Майкрософт

3 марта 2024 г.

Предполагаемая дата изменения: 30 сентября 2025 г.

30 сентября 2025 г. расположения, в которых вы обращаетесь к двум предварительным версиям функций, предложениям соответствия требованиям и действиям Майкрософт, изменится.

Таблица, которая содержит состояние соответствия продуктам Майкрософт (доступ к ней с помощью кнопки "Предложения соответствия требованиям" на панели инструментов панели мониторинга соответствия требованиям Defender). После удаления этой кнопки из Defender для облака вы по-прежнему сможете получить доступ к этой информации с помощью портала управления безопасностью служб.

Для подмножества элементов управления Microsoft Actions был доступен с помощью кнопки "Действия Майкрософт ( предварительная версия) в области сведений об элементах управления. После удаления этой кнопки вы можете просмотреть действия Майкрософт, перейдя на портал управления безопасностью служб Майкрософт для FedRAMP и доступ к документу плана безопасности системы Azure.

Обновление: изменения, в которых вы обращаетесь к предложениям соответствия требованиям и действиям Майкрософт

3 марта 2024**

Предполагаемая дата изменения: сентябрь 2025 г.

30 сентября 2025 г. расположения, в которых вы обращаетесь к двум предварительным версиям функций, предложениям соответствия требованиям и действиям Майкрософт, изменится.

Таблица, которая содержит состояние соответствия продуктам Майкрософт (доступ к ней с помощью кнопки "Предложения соответствия требованиям" на панели инструментов панели мониторинга соответствия требованиям Defender). После удаления этой кнопки из Defender для облака вы по-прежнему сможете получить доступ к этой информации с помощью портала управления безопасностью служб.

Для подмножества элементов управления Microsoft Actions был доступен с помощью кнопки "Действия Майкрософт ( предварительная версия) в области сведений об элементах управления. После удаления этой кнопки вы можете просмотреть действия Майкрософт, перейдя на портал управления безопасностью служб Майкрософт для FedRAMP и доступ к документу плана безопасности системы Azure.

Нерекомендуемое: оценка уязвимостей контейнеров Defender для облака, реализованная при выходе qualys на пенсию

3 марта 2024 г.

Оценка уязвимостей контейнеров Defender для облака на платформе Qualys отменяется. Выход на пенсию будет завершен к 6 марта, и до тех пор, пока это время частичные результаты по-прежнему могут отображаться как в рекомендациях Qualys, так и Qualys приводит к графу безопасности. Все клиенты, которые ранее использовали эту оценку, должны обновиться до оценки уязвимостей для Azure с Управление уязвимостями Microsoft Defender. Сведения о переходе к оценке уязвимостей контейнера, предоставляемой Управление уязвимостями Microsoft Defender, см. в статье "Переход от Qualys к Управление уязвимостями Microsoft Defender".

Февраль 2024 г.

Дата Категория Обновить
28 февраля Устаревание Анализ кода безопасности Майкрософт (MSCA) больше не работает.
28 февраля Обновить Обновленное управление политиками безопасности расширяет поддержку AWS и GCP.
26 февраля Обновить Облачная поддержка Defender для контейнеров
20 февраля Обновить Новая версия датчика Defender для контейнеров Defender
18 февраля Обновить Поддержка спецификации формата изображений Open Container Initiative (OCI)
13 февраля Устаревание Оценка уязвимостей контейнера AWS, размещенная на базе Trivy, прекращена.
5 февраля Предстоящее обновление Отмена эксплуатации поставщика ресурсов Microsoft.SecurityDevOps

Ожидается: 6 марта 2024 г.

Нерекомендуция. Анализ кода безопасности Майкрософт (MSCA) больше не работает

28 февраля 2024 г.

В феврале 2021 года нерекомендуемая задача MSCA была передана всем клиентам и была последней частью жизненной поддержки с марта 2022 года. По состоянию на 26 февраля 2024 года MSCA официально не работает.

Клиенты могут получить последние средства безопасности DevOps из Defender для облака через Microsoft Security DevOps и дополнительные средства безопасности с помощью GitHub Advanced Security для Azure DevOps.

Обновление: управление политиками безопасности расширяет поддержку AWS и GCP

28 февраля 2024 г.

Обновленный интерфейс для управления политиками безопасности, первоначально выпущенными в предварительной версии для Azure, расширяет свою поддержку в облачных средах (AWS и GCP). Этот выпуск предварительной версии включает:

Обновление: облачная поддержка Defender для контейнеров

26 февраля 2024 г.

функции обнаружения угроз Служба Azure Kubernetes (AKS) в Defender для контейнеров теперь полностью поддерживаются в коммерческих, Azure для государственных организаций и облаках Azure 21Vianet. Просмотрите поддерживаемые функции.

Обновление: новая версия датчика Defender для контейнеров Defender

20 февраля 2024 г.

Доступна новая версия датчика Defender для контейнеров Defender. Он включает улучшения производительности и безопасности, поддержку как для узлов архитектуры AMD64, так и Arm64 (только для Linux) и использует Inspektor Gadget в качестве агента сбора процессов вместо Sysdig. Новая версия поддерживается только в ядрах Linux версии 5.4 и выше, поэтому при наличии более старых версий ядра Linux необходимо обновить. Поддержка Arm64 доступна только в AKS версии 1.29 и выше. Дополнительные сведения см. в разделе "Поддерживаемые операционные системы узла".

Обновление: поддержка спецификации формата образа Open Container Initiative (OCI)

18 февраля 2024 г.

Спецификация формата образа Open Container Initiative (OCI) теперь поддерживается оценкой уязвимостей на базе Управление уязвимостями Microsoft Defender для AWS, облаков Azure и GCP.

Нерекомендуция: оценка уязвимостей контейнера AWS, реализованная на базе Trivy, прекращена

13 февраля 2024 г.

Оценка уязвимостей контейнера, на которую работает Trivy, была прекращена. Все клиенты, которые ранее использовали эту оценку, должны обновиться до новой оценки уязвимостей контейнеров AWS, на основе Управление уязвимостями Microsoft Defender. Инструкции по обновлению см. в Разделы справки обновлении от устаревшей оценки уязвимостей Trivy до оценки уязвимостей AWS, созданной на основе Управление уязвимостями Microsoft Defender?

Обновление: прекращение использования поставщика ресурсов Microsoft.SecurityDevOps

5 февраля 2024 г.

Предполагаемая дата изменения: 6 марта 2024 г.

Microsoft Defender для облака удаляет поставщик Microsoft.SecurityDevOps ресурсов, который использовался во время общедоступной предварительной версии системы безопасности DevOps, перенося его в существующий Microsoft.Security поставщик. Причина изменения заключается в улучшении взаимодействия с клиентами путем уменьшения числа поставщиков ресурсов, связанных с соединителями DevOps.

Клиенты, которые по-прежнему используют API версии 2022-09-01-preview Microsoft.SecurityDevOps для запроса Defender для облака данные безопасности DevOps будут затронуты. Чтобы избежать нарушений работы службы, клиенту потребуется обновить до новой версии API 2023-09-01-preview под поставщиком Microsoft.Security .

В настоящее время клиенты, использующие Defender для облака безопасность DevOps из портал Azure, не будут затронуты.

2024 января

Дата Категория Обновить
31 января Обновить Новые аналитические сведения о активных репозиториях в Cloud Security Explorer
30 января Предстоящее обновление Изменение цен на обнаружение угроз в многооблачном контейнере

Ожидается: апрель 2024 г.
29 января Предстоящее обновление Принудительное применение возможностей безопасности CSPM в Defender для Premium DevOps.

Ожидается: март 2024 г.
24 января Предварительный просмотр Состояние контейнера без агента для GCP в Defender для контейнеров и CSPM Defender.
16 января Предварительный просмотр Сканирование бессерверных вредоносных программ на серверах.
15 января Общедоступная версия интеграция Defender для облака с XDR в Microsoft Defender.
14 января Обновить Обновление до проверки виртуальной машины без агента, встроенной роли Azure

Ожидается: март 2024 г.
12 января Обновить Заметки по запросу на вытягивание средств безопасности DevOps теперь включены по умолчанию для соединителей Azure DevOps.
9 января Устаревание Встроенный путь оценки уязвимостей в Defender для серверов (Qualys).

Ожидается: май 2024 г.
3 января Предстоящее обновление Предстоящие изменения для требований к сети многооблачной сети Defender для облака.

Ожидается: май 2024 г.

Обновление: новое представление для активных репозиториев в Cloud Security Explorer

31 января 2024 г.

В Cloud Security Explorer добавлена новая информация о репозиториях Azure DevOps, чтобы указать, активны ли репозитории. Это представление указывает, что репозиторий кода не архивирован или отключен, что означает, что доступ на запись к коду, сборкам и запросам на вытягивание по-прежнему доступен для пользователей. Архивированные и отключенные репозитории могут считаться более низким приоритетом, так как код обычно не используется в активных развертываниях.

Чтобы проверить запрос через Cloud Security Explorer, используйте эту ссылку запроса.

Обновление. Изменение цен на обнаружение угроз в многооблачном контейнере

30 января 2024**

Предполагаемая дата изменения: апрель 2024 г.

Когда обнаружение угроз в мультиоблачном контейнере перемещается в общедоступную доступность, оно больше не будет бесплатно. Подробнее см. в статье о расширенных функциях безопасности Microsoft Defender для облака.

Обновление: принудительное применение CSPM Для Premium DevOps Security Value

29 января 2024**

Предполагаемая дата изменения: 7 марта 2024 г.

Defender для облака начнет применять план CSPM Defender для начала проверки безопасности DevOps уровня "Премиум"7 марта 2024 года. Если вы включили план CSPM Defender в облачной среде (Azure, AWS, GCP) в том же клиенте, в который создаются соединители DevOps, вы будете продолжать получать возможности DevOps класса Premium без дополнительных затрат. Если вы не клиент CSPM в Defender, вы можете включить CSPM Defender до 7 марта 2024 г. перед потерей доступа к этим функциям безопасности. Чтобы включить CSPM Defender в подключенной облачной среде до 7 марта 2024 г., следуйте документации по включению, описанной здесь.

Дополнительные сведения о том, какие функции безопасности DevOps доступны в планах CSPM Foundational и Defender CSPM, см . в нашей документации по обеспечению доступности компонентов.

Дополнительные сведения о DevOps Security в Defender для облака см. в обзорной документации.

Дополнительные сведения о коде возможностей облачной безопасности в CSPM в Defender см . в статье о защите ресурсов с помощью CSPM Defender.

Предварительная версия: состояние контейнера без агента для GCP в Defender для контейнеров и CSPM Defender

24 января 2024 г.

Новые возможности размещения контейнеров без агента (предварительная версия) доступны для GCP, включая оценки уязвимостей для GCP с Управление уязвимостями Microsoft Defender. Дополнительные сведения обо всех возможностях см. в статье о состоянии контейнера без агента в CSPM Defender и возможностях без агента в Defender для контейнеров.

Вы также можете прочитать об управлении состоянием контейнеров без агента для multicloud в этой записи блога.

Предварительная версия: сканирование вредоносных программ без агента для серверов

16 января 2024 г.

Мы объявляем о выпуске обнаружения вредоносных программ без агента Defender для облака для виртуальных машин Azure , экземпляров AWS EC2 и экземпляров виртуальных машин GCP в качестве новой функции, включенной в Defender для серверов плана 2.

Обнаружение вредоносных программ без агента для виртуальных машин теперь входит в нашу платформу сканирования без агента. Сканирование вредоносных программ без агента использует антивирусная программа в Microsoft Defender подсистеме защиты от вредоносных программ для сканирования и обнаружения вредоносных файлов. Все обнаруженные угрозы, активируйте оповещения системы безопасности непосредственно в Defender для облака и XDR Defender, где их можно исследовать и исправлять. Сканер вредоносных программ без агента дополняет покрытие на основе агентов вторым уровнем обнаружения угроз с неявным подключением и не влияет на производительность компьютера.

Дополнительные сведения о проверке вредоносных программ без агента для серверов и без агента для виртуальных машин.

Общая доступность интеграции Defender для облака с XDR в Microsoft Defender

15 января 2024 г.

Мы объявляем о общедоступной доступности интеграции между Defender для облака и XDR в Microsoft Defender (ранее Microsoft 365 Defender).

Интеграция предоставляет конкурентные возможности защиты облака в центр управления безопасностью (SOC) ежедневно. С помощью Microsoft Defender для облака и интеграции XDR Defender команды SOC могут обнаруживать атаки, которые объединяют обнаружения из нескольких основных компонентов, включая облако, конечную точку, удостоверение, Office 365 и многое другое.

Дополнительные сведения о оповещениях и инцидентах в XDR в Microsoft Defender.

Обновление: сканирование встроенных ролей Azure без агента

14 января 2024**

Предполагаемая дата изменения: февраль 2024 г.

В Azure сканирование без агента для виртуальных машин использует встроенную роль (называемый оператором сканера виртуальных машин) с минимальными необходимыми разрешениями, необходимыми для сканирования и оценки проблем безопасности виртуальных машин. Для непрерывной предоставления соответствующих рекомендаций по работоспособности и конфигурации для виртуальных машин с зашифрованными томами планируется обновление разрешений этой роли. Обновление включает добавление Microsoft.Compute/DiskEncryptionSets/read разрешения. Это разрешение обеспечивает исключительно улучшенную идентификацию использования зашифрованного диска на виртуальных машинах. Он не предоставляет Defender для облака больше возможностей расшифровки или доступа к содержимому этих зашифрованных томов за пределами методов шифрования, уже поддерживаемых до этого изменения. Это изменение, как ожидается, будет происходить в феврале 2024 года, и никаких действий в конце не требуется.

Обновление. Заметки запроса на вытягивание безопасности DevOps, включенные по умолчанию для соединителей Azure DevOps

12 января 2024 года

Безопасность DevOps предоставляет результаты безопасности в виде заметок в запросах на вытягивание (PR), чтобы помочь разработчикам предотвращать и устранять потенциальные уязвимости безопасности и неправильные настройки перед вводом в рабочую среду. По состоянию на 12 января 2024 г. заметки pr теперь включены по умолчанию для всех новых и существующих репозиториев Azure DevOps, подключенных к Defender для облака.

По умолчанию заметки pr включены только для выводов с высоким уровнем серьезности инфраструктуры в виде кода (IaC). Клиентам по-прежнему потребуется настроить Microsoft Security для DevOps (MSDO) для запуска в сборках PR и включить политику проверки сборки для сборок CI в параметрах репозитория Azure DevOps. Клиенты могут отключить функцию заметки pr для определенных репозиториев в параметрах конфигурации репозитория колонки безопасности DevOps.

Дополнительные сведения о включении заметок запроса на вытягивание для Azure DevOps.

Нерекомендуемый путь: путь выхода на пенсию в Защитнике для серверов с встроенной оценкой уязвимостей (Qualys)

9 января 2024**

Предполагаемая дата изменения: май 2024 г.

Встроенное решение оценки уязвимостей Defender для серверов, созданное Qualys, находится на пути выхода на пенсию, который, по оценкам, завершится 1 мая 2024 года. Если в настоящее время вы используете решение для оценки уязвимостей на платформе Qualys, необходимо запланировать переход на интегрированное решение «Управление уязвимостями Microsoft Defender»..

Дополнительные сведения о нашем решении об объединению предложения оценки уязвимостей с Управление уязвимостями Microsoft Defender вы можете ознакомиться с этой записью блога.

Вы также можете ознакомиться с общими вопросами о переходе на решение Управление уязвимостями Microsoft Defender.

Обновление: требования к многооблачной сети Defender для облака

3 января 2024**

Предполагаемая дата изменения: май 2024 г.

Начиная с мая 2024 года мы удалим старые IP-адреса, связанные со службами обнаружения нескольких облаков, чтобы обеспечить улучшение и обеспечить более безопасный и эффективный интерфейс для всех пользователей.

Чтобы обеспечить непрерывный доступ к нашим службам, необходимо обновить список разрешений IP-адресов новыми диапазонами, указанными в следующих разделах. Необходимо внести необходимые корректировки в параметры брандмауэра, группы безопасности или любые другие конфигурации, которые могут применяться к вашей среде.

Список применим ко всем планам и достаточно для полной возможности базового (бесплатного) предложения CSPM.

IP-адреса для выхода из эксплуатации:

  • GCP обнаружения: 104.208.29.200, 52.232.56.127
  • AWS обнаружения: 52.165.47.219, 20.107.8.204
  • Подключение: 13.67.139.3

Добавлены новые диапазоны IP-адресов для конкретного региона:

  • Западная Европа: 52.178.17.48/28
  • Северная Европа: 13.69.233.80/28
  • Центральная часть США: 20.44.10.240/28
  • Восточная часть США 2: 20.44.19.128/28

Декабрь 2023 г.

Дата Обновить
30 декабря Консолидация имен уровня обслуживания Defender для облака 2
24 декабря Defender для серверов на уровне ресурсов, доступных как общедоступная версия
21 декабря Прекращение использования классических соединителей для multicloud
21 декабря Выпуск книги покрытия
14 декабря Общая доступность оценки уязвимостей контейнеров на базе Управление уязвимостями Microsoft Defender в Azure для государственных организаций и Azure под управлением 21Vianet
14 декабря Общедоступная предварительная версия поддержки Windows для оценки уязвимостей контейнеров на базе Управление уязвимостями Microsoft Defender
13 декабря Выход на пенсию оценки уязвимостей контейнера AWS на базе Trivy
13 декабря Состояние контейнера без агента для AWS в Defender для контейнеров и CSPM Defender (предварительная версия)
13 декабря Общедоступная поддержка гибкого сервера PostgreSQL в Defender для реляционных баз данных с открытым исходным кодом
12 декабря Оценка уязвимостей контейнеров на Управление уязвимостями Microsoft Defender теперь поддерживает Google Distroless

Консолидация имен уровня обслуживания Defender для облака 2

30 декабря 2023 г.

Мы консолидируем устаревшие имена уровней обслуживания 2 для всех планов Defender для облака в одно новое имя уровня обслуживания 2, Microsoft Defender для облака.

Сегодня существует четыре имена уровня обслуживания: Azure Defender, Расширенная защита от угроз, Расширенная безопасность данных и Центр безопасности. Различные метры для Microsoft Defender для облака группируются между этими отдельными именами уровня обслуживания 2, создавая сложности при использовании управления затратами и выставления счетов, выставления счетов и других средств, связанных с выставлением счетов Azure.

Это изменение упрощает процесс проверки Defender для облака расходов и обеспечивает более четкость в анализе затрат.

Чтобы обеспечить плавный переход, мы приняли меры по поддержанию согласованности идентификаторов продукта или службы, SKU и счетчиков. Затронутые клиенты получат информационное уведомление службы Azure для обмена данными об изменениях.

Организациям, которые получают данные о затратах путем вызова наших API, необходимо обновить значения в своих вызовах для изменения. Например, в этой функции фильтра значения не возвращают сведения:

"filter": {
          "dimensions": {
              "name": "MeterCategory",
              "operator": "In",
              "values": [
                  "Advanced Threat Protection",
                  "Advanced Data Security",
                  "Azure Defender",
                  "Security Center"
                ]
          }
      }
Старое имя уровня обслуживания 2 НОВОЕ имя уровня службы 2 Уровень служб — уровень обслуживания 4 (без изменений)
Расширенная защита данных Microsoft Defender для облака Defender для SQL
Расширенная защита от угроз Microsoft Defender для облака Defender для реестров контейнеров
Расширенная защита от угроз Microsoft Defender для облака Defender для DNS
Расширенная защита от угроз Microsoft Defender для облака Defender для Key Vault
Расширенная защита от угроз Microsoft Defender для облака Defender для Kubernetes
Расширенная защита от угроз Microsoft Defender для облака Defender для MySQL
Расширенная защита от угроз Microsoft Defender для облака Defender для PostgreSQL
Расширенная защита от угроз Microsoft Defender для облака Defender для Resource Manager
Расширенная защита от угроз Microsoft Defender для облака Defender для хранилища
Azure Defender Microsoft Defender для облака Защитник для управления внешними атаками
Azure Defender Microsoft Defender для облака Defender для Azure Cosmos DB
Azure Defender Microsoft Defender для облака Defender для контейнеров
Azure Defender Microsoft Defender для облака Defender для MariaDB
Центр безопасности Microsoft Defender для облака Defender для Службы приложений
Центр безопасности Microsoft Defender для облака Defender для серверов
Центр безопасности Microsoft Defender для облака Defender CSPM

Defender для серверов на уровне ресурсов, доступных как общедоступная версия

24 декабря 2023 г.

Теперь вы можете управлять Defender для серверов на определенных ресурсах в подписке, обеспечивая полный контроль над стратегией защиты. С помощью этой возможности можно настроить определенные ресурсы с настраиваемыми конфигурациями, которые отличаются от параметров, настроенных на уровне подписки.

Дополнительные сведения о включении Defender для серверов на уровне ресурсов.

Прекращение использования классических соединителей для multicloud

21 декабря 2023 г.

Классический интерфейс соединителя с несколькими облаками прекращается, и данные больше не передаются в соединители, созданные с помощью этого механизма. Эти классические соединители использовались для подключения центра безопасности AWS и центра управления безопасностью GCP к Defender для облака и подключению AWS EC2s к Defender для серверов.

Полная стоимость этих соединителей была заменена собственным интерфейсом соединителей безопасности с несколькими облаками, который был общедоступен для AWS и GCP с марта 2022 года без дополнительных затрат.

Новые собственные соединители включены в план и предлагают автоматический интерфейс подключения с параметрами подключения к отдельным учетным записям, нескольким учетным записям (с Terraform) и организационным подключением с автоматической подготовкой для следующих планов Defender: бесплатные базовые возможности CSPM, Defender Cloud Security Posture Management (CSPM), Defender для серверов, Defender для SQL и Defender для контейнеров.

Выпуск книги покрытия

21 декабря 2023 г.

Книга "Покрытие" позволяет отслеживать, какие планы Defender для облака активны, в каких частях сред. Эта книга поможет вам обеспечить полную защиту сред и подписок. Имея доступ к подробным сведениям о охвате, вы также можете определить все области, которые могут нуждаться в другой защите и принять меры для решения этих областей.

Дополнительные сведения о книге "Покрытие".

Общая доступность оценки уязвимостей контейнеров на базе Управление уязвимостями Microsoft Defender в Azure для государственных организаций и Azure под управлением 21Vianet

14 декабря 2023 г.

Оценка уязвимостей (VA) для образов контейнеров Linux в реестрах контейнеров Azure на базе Управление уязвимостями Microsoft Defender выпущена для общедоступной версии (GA) в Azure для государственных организаций и Azure, управляемых 21Vianet. Этот новый выпуск доступен в планах Defender для контейнеров и Defender для реестров контейнеров.

  • В рамках этого изменения новые рекомендации были выпущены для общедоступной версии и включены в расчет оценки безопасности. Ознакомьтесь с новыми и обновленными рекомендациями по безопасности
  • Сканирование образа контейнера на основе Управление уязвимостями Microsoft Defender теперь также взимает плату в соответствии с ценами на план. Обратите внимание, что образы, отсканированные как нашим контейнером VA, так и предложением Qualys и Container VA, которые поддерживаются Управление уязвимостями Microsoft Defender, будут выставляться только один раз.

Рекомендации Qualys для оценки уязвимостей контейнеров были переименованы и по-прежнему доступны для клиентов, которые включили Defender для контейнеров в любой из своих подписок до этого выпуска. Новые клиенты, подключенные к Defender для контейнеров после этого выпуска, увидят только новые рекомендации по оценке уязвимостей контейнеров на основе Управление уязвимостями Microsoft Defender.

Общедоступная предварительная версия поддержки Windows для оценки уязвимостей контейнеров на базе Управление уязвимостями Microsoft Defender

14 декабря 2023 г.

Поддержка образов Windows была выпущена в общедоступной предварительной версии в рамках оценки уязвимостей (VA), созданной Управление уязвимостями Microsoft Defender для реестров контейнеров Azure и Служба Azure Kubernetes.

Выход на пенсию оценки уязвимостей контейнера AWS на базе Trivy

13 декабря 2023 г.

Оценка уязвимостей контейнера, на основе Trivy, теперь находится на пути выхода на пенсию, который будет завершен 13 февраля. Эта возможность теперь устарела и будет доступна существующим клиентам, использующим эту возможность до 13 февраля. Мы рекомендуем клиентам использовать эту возможность для обновления до новой оценки уязвимостей контейнеров AWS, созданной на основе Управление уязвимостями Microsoft Defender к 13 февраля.

Состояние контейнера без агента для AWS в Defender для контейнеров и CSPM Defender (предварительная версия)

13 декабря 2023 г.

Новые возможности размещения контейнеров без агента (предварительная версия) доступны для AWS. Дополнительные сведения см. в разделе о состоянии контейнера без агента в CSPM Defender и бессерверных возможностях в Defender для контейнеров.

Общедоступная поддержка гибкого сервера PostgreSQL в Defender для реляционных баз данных с открытым исходным кодом

13 декабря 2023 г.

Мы объявляем о общедоступной версии выпуска гибкого сервера PostgreSQL в Microsoft Defender для реляционных баз данных с открытым исходным кодом. Microsoft Defender для реляционных баз данных с открытым исходным кодом обеспечивает расширенную защиту от угроз для гибких серверов PostgreSQL, обнаруживая аномальные действия и создавая оповещения системы безопасности.

Узнайте, как включить Microsoft Defender для реляционных баз данных с открытым исходным кодом.

Оценка уязвимостей контейнеров на Управление уязвимостями Microsoft Defender теперь поддерживает Google Distroless

12 декабря 2023 г.

Оценки уязвимостей контейнеров на базе Управление уязвимостями Microsoft Defender были расширены с дополнительным покрытием для пакетов ОС Linux, теперь поддерживая Google Ditroless.

Список всех поддерживаемых операционных систем см. в статье "Реестры и образы" для Azure — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender.

Ноябрь 2023 г.

Дата Обновить
30 ноября Четыре оповещения устарели
27 ноября Общедоступная проверка секретов без агента в Defender для серверов и CSPM Defender
22 ноября Включение управления разрешениями с помощью Defender для облака (предварительная версия)
22 ноября интеграция Defender для облака с ServiceNow
20 ноября Общая доступность процесса автоматической подготовки для SQL Server на компьютерах
15 ноября Общедоступная доступность Api Defender для API
15 ноября Defender для облака теперь интегрирован с Microsoft 365 Defender (предварительная версия)
15 ноября Общая доступность оценки уязвимостей контейнеров на базе Управление уязвимостями Microsoft Defender (MDVM) в Defender для контейнеров и Defender для реестров контейнеров
15 ноября Изменение имен рекомендаций по оценке уязвимостей контейнеров
15 ноября Определение рисков теперь доступно для рекомендаций
15 ноября Анализ путей атаки новый механизм и расширенные улучшения
15 ноября Изменения схемы таблицы Azure Resource Graph пути атаки
15 ноября Выпуск общедоступной поддержки GCP в CSPM Defender
15 ноября Общий выпуск панели мониторинга безопасности данных
15 ноября Выпуск общего выпуска обнаружения конфиденциальных данных для баз данных
6 ноября Новая версия рекомендации по поиску отсутствующих обновлений системы теперь общедоступна

Четыре оповещения устарели

30 ноября 2023 г.

В рамках нашего процесса улучшения качества не рекомендуется использовать следующие оповещения системы безопасности:

  • Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
  • Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
  • Suspicious process termination burst (VM_TaskkillBurst)
  • PsExec execution detected (VM_RunByPsExec)

Общедоступная проверка секретов без агента в Defender для серверов и CSPM Defender

27 ноября 2023 г.

Сканирование секретов без агента повышает Виртуальные машины (виртуальная машина) облака безопасности, определяя секреты открытого текста на дисках виртуальных машин. Сканирование секретов без агента предоставляет исчерпывающую информацию, чтобы помочь определить приоритеты обнаруженных результатов и снизить риски бокового перемещения до их возникновения. Этот упреждающий подход предотвращает несанкционированный доступ, обеспечивая безопасность облачной среды.

Мы объявляем общедоступную версию проверки секретов без агента, которая включена как в Defender для серверов P2, так и в планы CSPM Defender.

Сканирование секретов без агента использует облачные API для записи моментальных снимков дисков, выполняя внеполновый анализ, который гарантирует, что производительность виртуальной машины не влияет. Сканирование секретов без агента расширяет охват, предлагаемый Defender для облака по облачным ресурсам в средах Azure, AWS и GCP для повышения облачной безопасности.

В этом выпуске возможности обнаружения Defender для облака теперь поддерживают другие типы баз данных, подписанные URL-адреса хранилища данных, маркеры доступа и многое другое.

Узнайте, как управлять секретами с помощью сканирования без агента.

Включение управления разрешениями с помощью Defender для облака (предварительная версия)

22 ноября 2023 г.

Корпорация Майкрософт теперь предлагает решения для платформ защиты приложений (CNAPP) и управления правами облачной инфраструктуры (CIEM) с помощью Microsoft Defender для облака (CNAPP) и управления разрешениями Microsoft Entra (CIEM).

Администраторы безопасности могут получить централизованное представление о неиспользуемых или чрезмерных разрешениях доступа в Defender для облака.

Группы безопасности могут управлять наименьшими привилегиями для облачных ресурсов и получать практические рекомендации по устранению рисков разрешений в облачных средах Azure, AWS и GCP в рамках управления облачными службами Cloud Security Cloud Security (CSPM) без дополнительных требований к лицензированию.

Узнайте, как включить управление разрешениями в Microsoft Defender для облака (предварительная версия).

интеграция Defender для облака с ServiceNow

22 ноября 2023 г.

ServiceNow теперь интегрирован с Microsoft Defender для облака, что позволяет клиентам подключать ServiceNow к своей Defender для облака среде для определения приоритетов по исправлению рекомендаций, влияющих на ваш бизнес. Microsoft Defender для облака интегрируется с модулем ITSM (управление инцидентами). В рамках этого подключения клиенты могут создавать и просматривать билеты ServiceNow (связанные с рекомендациями) из Microsoft Defender для облака.

Дополнительные сведения об интеграции Defender для облака с ServiceNow можно узнать.

Общая доступность процесса автоматической подготовки для SQL Server на компьютерах

20 ноября 2023 г.

При подготовке к отмене microsoft Monitoring Agent (MMA) в августе 2024 г. Defender для облака выпустила процесс автоматической подготовки агента мониторинга Azure (AMA). Новый процесс автоматически включен и настроен для всех новых клиентов, а также предоставляет возможность включения уровня ресурсов для виртуальных машин SQL Azure и серверов SQL с поддержкой Arc.

Клиентам, использующим процесс автоматической подготовки MMA, предлагается перейти на новый агент мониторинга Azure для SQL Server на компьютерах, выполняющих автоматическую подготовку. Процесс миграции является простым и обеспечивает непрерывную защиту для всех компьютеров.

Общедоступная доступность Api Defender для API

15 ноября 2023 г.

Мы объявляем общедоступную версию Microsoft Defender для API. Defender для API предназначен для защиты организаций от угроз безопасности API.

Defender для API позволяет организациям защищать свои API и данные от вредоносных субъектов. Организации могут исследовать и улучшать состояние безопасности API, определять приоритеты уязвимостей и быстро обнаруживать и реагировать на активные угрозы в режиме реального времени. Организации также могут интегрировать оповещения системы безопасности непосредственно в платформу управления инцидентами и событиями безопасности (SIEM), например Microsoft Sentinel, для изучения и анализа проблем.

Вы можете узнать , как защитить API с помощью Defender для API. Дополнительные сведения о MICROSOFT Defender для API можно также узнать.

Вы также можете ознакомиться с этим блогом , чтобы узнать больше о объявлении ga.

Defender для облака теперь интегрирован с Microsoft 365 Defender (предварительная версия)

15 ноября 2023 г.

Предприятия могут защитить свои облачные ресурсы и устройства с помощью новой интеграции между Microsoft Defender для облака и XDR в Microsoft Defender. Эта интеграция соединяет точки между облачными ресурсами, устройствами и удостоверениями, которые ранее требовали несколько возможностей.

Интеграция также предоставляет конкурентные возможности защиты облака в центр управления безопасностью (SOC) ежедневно. С помощью XDR в Microsoft Defender команды SOC могут легко обнаруживать атаки, которые объединяют обнаружения из нескольких столпов, включая облако, конечную точку, удостоверение, Office 365 и многое другое.

Ниже приведены некоторые ключевые преимущества.

  • Один простой интерфейс для команд SOC: благодаря оповещениям Defender для облака и облачным корреляциям, интегрированным в M365D, команды SOC теперь могут получать доступ ко всем сведениям о безопасности из одного интерфейса, значительно повышая эффективность работы.

  • Одна из историй атак: клиенты могут понять полную историю атаки, включая их облачную среду, используя предварительно созданные корреляции, которые объединяют оповещения системы безопасности из нескольких источников.

  • Новые облачные сущности в XDR в Microsoft Defender: XDR в Microsoft Defender теперь поддерживают новые облачные сущности, уникальные для Microsoft Defender для облака, например облачные ресурсы. Клиенты могут сопоставлять сущности виртуальной машины с сущностями устройств, предоставляя единое представление всех соответствующих сведений о компьютере, включая оповещения и инциденты, которые были активированы на нем.

  • Унифицированный API для продуктов безопасности Майкрософт: теперь клиенты могут экспортировать данные оповещений системы безопасности в свои системы с помощью одного API, так как Microsoft Defender для облака оповещения и инциденты теперь являются частью общедоступного API XDR в Microsoft Defender.

Интеграция между Defender для облака и XDR в Microsoft Defender доступна всем новым и существующим клиентам Defender для облака.

Общая доступность оценки уязвимостей контейнеров на базе Управление уязвимостями Microsoft Defender (MDVM) в Defender для контейнеров и Defender для реестров контейнеров

15 ноября 2023 г.

Оценка уязвимостей (VA) для образов контейнеров Linux в реестрах контейнеров Azure на базе Управление уязвимостями Microsoft Defender (MDVM) выпущена для общедоступной версии (GA) в Defender для контейнеров и Defender для реестров контейнеров.

В рамках этого изменения были выпущены следующие рекомендации для общедоступной версии и переименованы и теперь включены в расчет оценки безопасности:

Текущее имя рекомендации Новое имя рекомендации Description Ключ оценки
Образы реестра контейнеров должны иметь устраненные результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) Образы контейнеров реестра Azure должны иметь устраненные уязвимости (на базе Управление уязвимостями Microsoft Defender) Оценки уязвимостей образа контейнера сканируют реестр для известных уязвимостей (CVEs) и предоставляют подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
При выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Сканирование образа контейнера с помощью MDVM теперь также взимает плату по тарифам на план.

Примечание.

Образы, отсканированные как нашим контейнером VA, так и предложением Qualys и Container VA, которые предлагают MDVM, будут выставляться только один раз.

Приведенные ниже рекомендации по оценке уязвимостей контейнеров были переименованы и будут доступны клиентам, которые включили Defender для контейнеров до 15 ноября. Новые клиенты, подключенные к Defender для контейнеров после 15 ноября, увидят только новые рекомендации по оценке уязвимостей контейнеров на основе Управление уязвимостями Microsoft Defender.

Текущее имя рекомендации Новое имя рекомендации Description Ключ оценки
Необходимо устранить уязвимости в образах реестра контейнеров (на платформе Qualys) Образы контейнеров реестра Azure должны иметь уязвимости, разрешенные (на базе Qualys) Средство оценки уязвимостей в образах контейнеров проверяет реестр на наличие уязвимостей в каждом образе и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. dbd0cb49-b563-45e7-9724-889e799fa648
При выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Qualys) У запущенных образов контейнеров Azure должны быть устранены уязвимости (на основе Qualys) Средство оценки уязвимостей в образах контейнеров сканирует образы контейнеров, работающие в кластерах Kubernetes, на наличие уязвимостей и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. 41503391-efa5-47ee-9282-4eff6131462c

Изменение имен рекомендаций по оценке уязвимостей контейнеров

Были переименованы следующие рекомендации по оценке уязвимостей контейнеров:

Текущее имя рекомендации Новое имя рекомендации Description Ключ оценки
Необходимо устранить уязвимости в образах реестра контейнеров (на платформе Qualys) Образы контейнеров реестра Azure должны иметь уязвимости, разрешенные (на базе Qualys) Средство оценки уязвимостей в образах контейнеров проверяет реестр на наличие уязвимостей в каждом образе и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. dbd0cb49-b563-45e7-9724-889e799fa648
При выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Qualys) У запущенных образов контейнеров Azure должны быть устранены уязвимости (на основе Qualys) Средство оценки уязвимостей в образах контейнеров сканирует образы контейнеров, работающие в кластерах Kubernetes, на наличие уязвимостей и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. 41503391-efa5-47ee-9282-4eff6131462c
Образы реестра эластичных контейнеров должны иметь устраненные результаты уязвимостей Образы контейнеров реестра AWS должны иметь устраненные уязвимости (на основе Trivy) Средство оценки уязвимостей в образах контейнеров проверяет реестр на наличие уязвимостей в каждом образе и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. 03587042-5d4b-44ff-af42-ae99e3c71c87

Определение рисков теперь доступно для рекомендаций

15 ноября 2023 г.

Теперь вы можете определить приоритеты рекомендаций по безопасности в соответствии с уровнем риска, который они представляют, принимая во внимание как эксплойтируемость, так и потенциальный бизнес-эффект каждой базовой проблемы безопасности.

Организуя рекомендации на основе их уровня риска (критически важный, средний, средний, низкий), вы можете устранить наиболее критически важные риски в вашей среде и эффективно определить приоритеты устранения проблем безопасности на основе фактического риска, такого как воздействие в Интернете, конфиденциальность данных, возможности бокового перемещения и потенциальные пути атаки, которые могут быть устранены путем решения рекомендаций.

Дополнительные сведения о приоритете рисков.

Анализ путей атаки новый механизм и расширенные улучшения

15 ноября 2023 г.

Мы выпускаем улучшения возможностей анализа путей атаки в Defender для облака.

  • Новый модуль — анализ пути атаки имеет новый механизм, который использует алгоритм поиска путей для обнаружения каждого возможного пути атаки, существующего в облачной среде (на основе данных, которые есть в нашем графе). Мы можем найти гораздо больше путей атак в вашей среде и обнаружить более сложные и сложные шаблоны атак, которые злоумышленники могут использовать для нарушения вашей организации.

  • Улучшения — выпущены следующие улучшения:

    • Приоритет риска — приоритетный список путей атак на основе риска (эксплойтируемость и влияние на бизнес).
    • Улучшенная исправление — определение конкретных рекомендаций, которые должны быть разрешены для фактического разрыва цепочки.
    • Пути межоблачной атаки — обнаружение путей атаки, которые являются межоблачные (пути, начинающиеся в одном облаке и заканчивающиеся в другом).
    • MITRE — сопоставление всех путей атак с платформой MITRE.
    • Обновленный пользовательский интерфейс — обновленный интерфейс с более строгими возможностями: расширенными фильтрами, поиском и группировкой путей атаки, чтобы упростить выполнение.

Узнайте , как определить и исправить пути атаки.

Изменения схемы таблицы Azure Resource Graph пути атаки

15 ноября 2023 г.

Схема таблицы Azure Resource Graph пути атаки обновляется. Свойство attackPathType удаляется и добавляются другие свойства.

Выпуск общедоступной поддержки GCP в CSPM Defender

15 ноября 2023 г.

Мы объявляем о выпуске общедоступной версии (общедоступная версия) контекстного графа облачной безопасности Defender и анализа путей атаки с поддержкой ресурсов GCP. Вы можете применить возможности CSPM Defender для комплексной видимости и интеллектуальной облачной безопасности в ресурсах GCP.

К ключевым функциям поддержки GCP относятся:

  • Анализ пути атаки. Сведения о потенциальных маршрутах, которые могут занять злоумышленники.
  • Cloud Security Explorer — упреждающее определение рисков безопасности путем выполнения запросов на основе графа безопасности.
  • Сканирование без агента — сканирование серверов и определение секретов и уязвимостей без установки агента.
  • Защита с учетом данных — обнаружение и устранение рисков для конфиденциальных данных в контейнерах Облачного хранилища Google.

Дополнительные сведения о параметрах плана CSPM в Защитнике.

Примечание.

Выставление счетов за выпуск общедоступной поддержки GCP в CSPM Defender начнется 1 февраля 2024 года.

Общий выпуск панели мониторинга безопасности данных

15 ноября 2023 г.

Панель мониторинга безопасности данных теперь доступна в общедоступной версии (GA) в рамках плана CSPM Defender.

Панель мониторинга безопасности данных позволяет просматривать ресурсы данных вашей организации, риски для конфиденциальных данных и аналитические сведения о ресурсах данных.

Дополнительные сведения о панели мониторинга безопасности данных.

Выпуск общего выпуска обнаружения конфиденциальных данных для баз данных

15 ноября 2023 г.

Обнаружение конфиденциальных данных для управляемых баз данных, включая базы данных SQL Azure и экземпляры AWS RDS (все варианты RDBMS), теперь общедоступен и позволяет автоматически обнаруживать критически важные базы данных, содержащие конфиденциальные данные.

Чтобы включить эту функцию во всех поддерживаемых хранилищах данных в средах, необходимо включить Sensitive data discovery в CSPM Defender. Узнайте , как включить обнаружение конфиденциальных данных в CSPM в Defender.

Вы также можете узнать, как обнаружение конфиденциальных данных используется в режиме безопасности с учетом данных.

Объявление общедоступной предварительной версии: новое расширенное представление о безопасности данных в нескольких облаках в Microsoft Defender для облака.

Новая версия рекомендации по поиску отсутствующих обновлений системы теперь общедоступна

6 ноября 2023 г.

Дополнительный агент больше не нужен на виртуальных машинах Azure и на компьютерах Azure Arc, чтобы обеспечить наличие всех последних обновлений системы безопасности или критически важных систем.

Новая рекомендация по обновлению системы в System updates should be installed on your machines (powered by Azure Update Manager) элементе управления основана на диспетчере Apply system updates обновлений и теперь полностью общедоступна. Эта рекомендация использует собственный агент, внедренный в каждую виртуальную машину Azure и компьютеры Azure Arc вместо установленного агента. Краткое исправление в новой рекомендации позволяет выполнить однократную установку отсутствующих обновлений на портале Update Manager.

Старые и новые версии рекомендаций по поиску отсутствующих обновлений системы будут доступны до августа 2024 года, что происходит, когда устаревшая версия устарела. Обе рекомендации: System updates should be installed on your machines (powered by Azure Update Manager)и System updates should be installed on your machines доступны в одном элементе управления: Apply system updates и имеют одинаковые результаты. Таким образом, нет дублирования в влиянии на оценку безопасности.

Рекомендуется перенести новую рекомендацию и удалить старую, отключив ее от встроенной инициативы Defender для облака в политике Azure.

[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) Рекомендация также является общедоступной и является предварительным условием, который будет иметь негативное влияние на оценку безопасности. Вы можете исправить негативный эффект с помощью доступного исправления.

Чтобы применить новую рекомендацию, необходимо:

  1. Подключите компьютеры, отличные от Azure, к Arc.
  2. Включите периодическое свойство оценки. Чтобы устранить эту рекомендацию, [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) можно использовать быстрое исправление в новой рекомендации.

Примечание.

Включение периодических оценок для компьютеров с поддержкой Arc, которые Defender для серверов плана 2 не включена в связанной подписке или соединителе, распространяется на цены Azure Update Manager. Компьютеры с поддержкой Arc, которые defender for Server Plan 2 включены в связанной подписке или соединителях или любой виртуальной машине Azure, могут быть доступны без дополнительных затрат.

Октябрь 2023

Дата Обновить
30 октября Изменение серьезности оповещения системы безопасности адаптивного элемента управления приложениями
25 октября Автономные версии Azure Управление API удалены из Defender для API
19 октября Рекомендации по управлению безопасностью DevOps, доступные в общедоступной предварительной версии
18 октября Выпуск cis Azure Foundations Benchmark версии 2.0.0 на панели мониторинга соответствия нормативным требованиям

Изменение серьезности оповещения системы безопасности адаптивных элементов управления приложениями

Дата объявления: 30 октября 2023 г.

В рамках процесса улучшения качества оповещений системы безопасности Defender для серверов и в рамках функции адаптивных элементов управления приложениями серьезность следующего оповещения системы безопасности изменяется на "Информационный".

Оповещение [тип оповещения] Описание предупреждения
Нарушение политики адаптивного управления приложениями было проверено. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] Приведенные ниже пользователи запускают приложения, которые нарушают политику управления приложениями вашей организации на этом компьютере. Это может предоставить компьютер уязвимостям вредоносных программ или приложений.

Чтобы просмотреть это оповещение на странице "Оповещения системы безопасности" на портале Microsoft Defender для облака, измените уровень серьезности фильтра представления по умолчанию, чтобы включить информационные оповещения в сетку.

Снимок экрана: место добавления информационной серьезности для оповещений.

Автономные версии Azure Управление API удалены из Defender для API

25 октября 2023 г.

Defender для API обновил поддержку исправлений API Управление API Azure. Автономные редакции больше не отображаются в инвентаризации подключенных защитников API и больше не подключены к Defender для API. Автономные редакции не позволяют отправлять трафик в них и не представляют риска с точки зрения безопасности.

Рекомендации по управлению безопасностью DevOps, доступные в общедоступной предварительной версии

19 октября 2023 г.

Новые рекомендации по управлению состоянием DevOps теперь доступны в общедоступной предварительной версии для всех клиентов с соединителем для Azure DevOps или GitHub. Управление состоянием DevOps помогает уменьшить область атаки сред DevOps, обнаружив слабые места в конфигурациях безопасности и элементах управления доступом. Узнайте больше об управлении позами DevOps.

Выпуск cis Azure Foundations Benchmark версии 2.0.0 на панели мониторинга соответствия нормативным требованиям

18 октября 2023 г.

Microsoft Defender для облака теперь поддерживает последнюю версию CIS Azure Security Foundations Benchmark — версия 2.0.0 на панели мониторинга соответствия нормативным требованиям и встроенная инициатива политики в Политика Azure. Выпуск версии 2.0.0 в Microsoft Defender для облака — это совместная совместная работа между Корпорацией Майкрософт, Центром интернет-безопасности (CIS) и сообществами пользователей. Версия 2.0.0 значительно расширяет область оценки, которая теперь включает 90+ встроенные политики Azure и успешно выполняет предыдущие версии 1.4.0 и 1.3.0 и 1.0 в Microsoft Defender для облака и Политика Azure. Дополнительные сведения см. в этой записи блога.

Сентябрь 2023

Дата Обновить
30 сентября Изменение ежедневной крышки Log Analytics
27 сентября Панель мониторинга безопасности данных доступна в общедоступной предварительной версии
21 сентября Предварительный выпуск: новый процесс автоматической подготовки для SQL Server на компьютерах
20 сентября Оповещения GitHub Advanced Security для Azure DevOps в Defender для облака
11 сентября Выключаемые функции теперь доступны для рекомендаций Defender для API
11 сентября Создание примеров оповещений для обнаружения API Defender
6 сентября Предварительная версия выпуска: оценка уязвимостей контейнеров с помощью Управление уязвимостями Microsoft Defender теперь поддерживает сканирование по запросу
6 сентября Обновленный формат именования стандартов Центра безопасности Интернета (CIS) в соответствии с нормативными требованиями
5 сентября Обнаружение конфиденциальных данных для баз данных PaaS (предварительная версия)
1 сентября Общедоступная версия (GA): сканирование вредоносных программ в Defender для хранилища

Изменение ежедневной крышки Log Analytics

Azure Monitor предлагает возможность задать ежедневное ограничение данных, которые будут приемированы в рабочих областях Log Analytics. Однако события Defenders for Cloud Security в настоящее время не поддерживаются в этих исключениях.

Ежедневное ограничение Log Analytics больше не исключает следующий набор типов данных:

  • WindowsEvent
  • SecurityAlert
  • SecurityBaseline
  • SecurityBaselineSummary
  • SecurityDetection
  • SecurityEvent
  • WindowsFirewall
  • MaliciousIPCommunication
  • LinuxAuditLog
  • SysmonEvent
  • ProtectionStatus
  • Обновить
  • UpdateSummary
  • CommonSecurityLog
  • Системный журнал

Все оплачиваемые типы данных будут ограничены при выполнении ежедневного ограничения. Это изменение повышает способность полностью содержать затраты от приема данных выше, чем ожидалось.

Дополнительные сведения о рабочих областях с помощью Microsoft Defender для облака.

Панель мониторинга безопасности данных доступна в общедоступной предварительной версии

27 сентября 2023 г.

Панель мониторинга безопасности данных теперь доступна в общедоступной предварительной версии в рамках плана CSPM Defender. Панель мониторинга безопасности данных — это интерактивная панель мониторинга, ориентированная на данные, которая освещает значительные риски для конфиденциальных данных, приоритеты оповещений и потенциальных путей атак для данных в гибридных облачных рабочих нагрузках. Дополнительные сведения о панели мониторинга безопасности данных.

Предварительный выпуск: новый процесс автоматической подготовки для SQL Server на компьютерах

21 сентября 2023 г.

Microsoft Monitoring Agent (MMA) устарел в августе 2024 года. Defender для облака обновлена стратегия, заменив MMA выпуском процесса автоматической подготовки агента мониторинга Azure с целевым сервером SQL Server.

Во время предварительной версии клиенты, использующие процесс автоматической подготовки MMA с параметром агента Azure Monitor (предварительная версия), запрашиваются для миграции в новый агент мониторинга Azure для SQL Server на компьютерах (предварительная версия) автоматической подготовки. Процесс миграции является простым и обеспечивает непрерывную защиту для всех компьютеров.

Дополнительные сведения см. в статье "Миграция на сервер SQL Server, предназначенный для агента мониторинга Azure" для автоматической подготовки.

Оповещения GitHub Advanced Security для Azure DevOps в Defender для облака

20 сентября 2023 г.

Теперь вы можете просматривать оповещения GitHub Advanced Security для Azure DevOps (GHAzDO), связанные с CodeQL, секретами и зависимостями в Defender для облака. Результаты отображаются на странице DevOps и в рекомендациях. Чтобы просмотреть эти результаты, добавьте репозитории с поддержкой GHAzDO в Defender для облака.

Дополнительные сведения о расширенной безопасности GitHub для Azure DevOps.

Выключаемые функции теперь доступны для рекомендаций Defender для API

11 сентября 2023 г.

Теперь вы можете исключить рекомендации для следующих рекомендаций по безопасности Defender для API.

Рекомендация Описание и связанная политика Важность
(предварительная версия) Конечные точки API, неиспользуемые, должны быть отключены и удалены из службы azure Управление API В качестве рекомендации по обеспечению безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользуемых и должны быть удалены из службы azure Управление API. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности. Это могут быть API, которые должны были быть устаревшими из службы Azure Управление API, но случайно были оставлены активными. Такие API обычно не получают наиболее актуального покрытия безопасности. Низкая
(предварительная версия) Конечные точки API в Azure Управление API должны проходить проверку подлинности Конечные точки API, опубликованные в Azure Управление API, должны применять проверку подлинности, чтобы свести к минимуму риск безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и получать доступ к данным. Для API, опубликованных в Azure Управление API, эта рекомендация оценивает выполнение проверки подлинности с помощью ключей подписки, JWT и сертификата клиента, настроенного в Управление API Azure. Если ни один из этих механизмов проверки подлинности не выполняется во время вызова API, API получит эту рекомендацию. Высокая

Дополнительные сведения об исключении рекомендаций см. в Defender для облака.

Создание примеров оповещений для обнаружения API Defender

11 сентября 2023 г.

Теперь вы можете создать примеры оповещений для обнаружения безопасности, выпущенных в рамках общедоступной предварительной версии Defender для API. Дополнительные сведения о создании примеров оповещений в Defender для облака.

Предварительная версия выпуска: оценка уязвимостей контейнеров с помощью Управление уязвимостями Microsoft Defender теперь поддерживает сканирование по запросу

6 сентября 2023 г.

Оценка уязвимостей контейнеров на основе Управление уязвимостями Microsoft Defender теперь поддерживает дополнительный триггер для сканирования изображений, полученных из ACR. Этот недавно добавленный триггер обеспечивает дополнительное покрытие для активных образов в дополнение к существующим триггерам сканирования изображений, отправленных в ACR за последние 90 дней и образы, работающие в AKS.

Новый триггер начнет развертываться сегодня и, как ожидается, будет доступен всем клиентам к концу сентября.

Подробнее.

Обновленный формат именования стандартов Центра безопасности Интернета (CIS) в соответствии с нормативными требованиями

6 сентября 2023 г.

Формат именования базовых показателей CIS (Center for Internet Security) в панели мониторинга соответствия требованиям изменяется на [Cloud] CIS [version number] CIS [Cloud] Foundations v[version number]. См. таблицу ниже.

Текущее имя Новое имя
Azure CIS 1.1.0 CIS Azure Foundations версии 1.1.0
Azure CIS 1.3.0 CIS Azure Foundations версии 1.3.0
Azure CIS 1.4.0 CIS Azure Foundations версии 1.4.0
AWS CIS 1.2.0 Основы CIS AWS версии 1.2.0
AWS CIS 1.5.0 Основы CIS AWS версии 1.5.0
GCP CIS 1.1.0 Основы CIS GCP версии 1.1.0
GCP CIS 1.2.0 Cis GCP Foundations версии 1.2.0

Узнайте, как улучшить соответствие нормативным требованиям.

Обнаружение конфиденциальных данных для баз данных PaaS (предварительная версия)

5 сентября 2023 г.

Возможности защиты с учетом данных для обнаружения небезопасных конфиденциальных данных для баз данных PaaS (База данных SQL Azure и экземпляров Amazon RDS любого типа) теперь доступны в общедоступной предварительной версии. Эта общедоступная предварительная версия позволяет создать карту критически важных данных, где бы она ни находились, и тип данных, найденных в этих базах данных.

Обнаружение конфиденциальных данных для баз данных Azure и AWS добавляется в общую таксономию и конфигурацию, которая уже общедоступна для ресурсов облачного хранилища объектов (Хранилище BLOB-объектов Azure, контейнеров AWS S3 и контейнеров хранилища GCP) и предоставляет единую конфигурацию и возможности включения.

Базы данных сканируются еженедельно. При включении sensitive data discoveryобнаружение выполняется в течение 24 часов. Результаты можно просмотреть в Cloud Security Explorer или просмотреть новые пути атаки для управляемых баз данных с конфиденциальными данными.

Состояние безопасности с поддержкой данных для баз данных доступно через план CSPM Defender и автоматически включается в подписках, где sensitive data discovery включен параметр.

Дополнительные сведения о позе безопасности с учетом данных см. в следующих статьях:

Общедоступная версия (GA): сканирование вредоносных программ в Defender для хранилища

1 сентября 2023 г.

Проверка вредоносных программ теперь общедоступна как надстройка в Defender для хранилища. Сканирование вредоносных программ в Defender для хранилища помогает защитить учетные записи хранения от вредоносного содержимого, выполнив полную проверку вредоносных программ при передаче содержимого практически в реальном времени с помощью возможностей антивирусная программа в Microsoft Defender. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого. Возможность сканирования вредоносных программ — это решение SaaS без агента, которое позволяет настраивать в большом масштабе и поддерживает автоматизацию ответа в масштабе.

Дополнительные сведения о проверке вредоносных программ в Defender для хранилища.

Сканирование вредоносных программ имеет цену в соответствии с вашими данными и бюджетом. Выставление счетов начинается 3 сентября 2023 года. Дополнительные сведения см. на странице цен.

Если вы используете предыдущий план, необходимо заранее перенести его в новый план , чтобы включить сканирование вредоносных программ.

Ознакомьтесь с записью блога Microsoft Defender для облака объявлений.

Август 2023 г.

В августе добавлены следующие обновления:

Дата Обновить
30 августа Defender для контейнеров: обнаружение без агента для Kubernetes
22 августа Выпуск рекомендаций. Microsoft Defender для хранилища должен быть включен с сканированием вредоносных программ и обнаружением угроз конфиденциальной данных
17 августа Расширенные свойства в оповещениях системы безопасности Defender для облака маскируются из журналов действий
15 августа Предварительная версия поддержки GCP в CSPM Defender
7 августа Новые оповещения системы безопасности в Defender для серверов плана 2. Обнаружение потенциальных атак, злоупотребляющих расширениями виртуальных машин Azure
1 августа Обновления бизнес-модели и цен для планов Defender для облака

Defender для контейнеров: обнаружение без агента для Kubernetes

30 августа 2023 г.

Мы рады ознакомиться с Defender for Containers: обнаружение без агента для Kubernetes. Этот выпуск знаменует собой значительный шаг вперед в обеспечении безопасности контейнеров, предоставляя расширенные аналитические сведения и комплексные возможности инвентаризации для сред Kubernetes. Новое предложение контейнера работает на Defender для облака контекстном графе безопасности. Вот что можно ожидать от этого последнего обновления:

  • Обнаружение Kubernetes без агента
  • Комплексные возможности инвентаризации
  • Аналитика безопасности, зависят от Kubernetes
  • Улучшенная охота на риски с помощью Cloud Security Explorer

Обнаружение без агента для Kubernetes теперь доступно всем клиентам Defender для контейнеров. Вы можете начать использовать эти расширенные возможности сегодня. Мы рекомендуем обновить подписки, чтобы иметь полный набор расширений и воспользоваться последними дополнениями и функциями. Перейдите в область "Среда" и "Параметры " подписки Defender для контейнеров, чтобы включить расширение.

Примечание.

Включение последних дополнений не приведет к новым затратам на активных клиентов Defender для контейнеров.

Дополнительные сведения см. в разделе "Обзор безопасности контейнеров Microsoft Defender для контейнеров".

Выпуск рекомендаций. Microsoft Defender для хранилища должен быть включен с сканированием вредоносных программ и обнаружением угроз конфиденциальной данных

22 августа 2023 г.

Выпущена новая рекомендация в Defender для хранилища. Эта рекомендация гарантирует, что Defender для хранилища включен на уровне подписки с возможностями сканирования вредоносных программ и обнаружения угроз конфиденциальных данных.

Рекомендация Description
Microsoft Defender для хранилища должен быть включен с помощью сканирования вредоносных программ и обнаружения угроз конфиденциальных данных Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранения включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. При использовании простой настройки без агента при включении на уровне подписки все существующие и только что созданные учетные записи хранения в этой подписке будут автоматически защищены. Вы также можете исключить определенные учетные записи хранения из защищенных подписок.

Эта новая рекомендация заменяет текущую рекомендацию Microsoft Defender for Storage should be enabled (ключ оценки 1be22853-8ed1-4005-9907-ddad64cb1417). Однако эта рекомендация по-прежнему будет доступна в Azure для государственных организаций облаках.

Дополнительные сведения о Microsoft Defender для хранилища.

Расширенные свойства в оповещениях системы безопасности Defender для облака маскируются из журналов действий

17 августа 2023 г.

Недавно мы изменили способ интеграции оповещений системы безопасности и журналов действий. Чтобы лучше защитить конфиденциальную информацию о клиенте, мы больше не добавим эту информацию в журналы действий. Вместо этого мы маскируем его звездочками. Однако эти сведения по-прежнему доступны через API оповещений, непрерывный экспорт и портал Defender для облака.

Клиенты, использующие журналы действий для экспорта оповещений в свои решения SIEM, должны рассмотреть возможность использования другого решения, так как это не рекомендуемый способ экспорта оповещений системы безопасности Defender для облака.

Инструкции по экспорту оповещений системы безопасности Defender для облака в SIEM, SOAR и других сторонних приложений см. в статье "Потоковая передача оповещений" в решение SIEM, SOAR или ИТ-службы управления.

Предварительная версия поддержки GCP в CSPM Defender

15 августа 2023 г.

Мы объявляем предварительную версию предварительной версии контекстного графа облачной безопасности Defender CSPM и анализа путей атаки с поддержкой ресурсов GCP. Вы можете применить возможности CSPM Defender для комплексной видимости и интеллектуальной облачной безопасности в ресурсах GCP.

К ключевым функциям поддержки GCP относятся:

  • Анализ пути атаки. Сведения о потенциальных маршрутах, которые могут занять злоумышленники.
  • Cloud Security Explorer — упреждающее определение рисков безопасности путем выполнения запросов на основе графа безопасности.
  • Сканирование без агента — сканирование серверов и определение секретов и уязвимостей без установки агента.
  • Защита с учетом данных — обнаружение и устранение рисков для конфиденциальных данных в контейнерах Облачного хранилища Google.

Дополнительные сведения о параметрах плана CSPM в Защитнике.

Новые оповещения системы безопасности в Defender для серверов плана 2. Обнаружение потенциальных атак, злоупотребляющих расширениями виртуальных машин Azure

7 августа 2023 г.

Эта новая серия оповещений посвящена обнаружению подозрительных действий расширений виртуальных машин Azure и предоставляет аналитические сведения о попытках злоумышленников компрометировать и выполнять вредоносные действия на виртуальных машинах.

Microsoft Defender для серверов теперь может обнаруживать подозрительные действия расширений виртуальных машин, что позволяет повысить уровень безопасности рабочих нагрузок.

Расширения виртуальных машин Azure — это небольшие приложения, которые выполняют после развертывания на виртуальных машинах и предоставляют такие возможности, как конфигурация, автоматизация, мониторинг, безопасность и многое другое. Хотя расширения являются мощным инструментом, они могут использоваться субъектами угроз для различных вредоносных намерений, например:

  • Для сбора и мониторинга данных.
  • Для выполнения кода и развертывания конфигурации с высокими привилегиями.
  • Для сброса учетных данных и создания административных пользователей.
  • Для шифрования дисков.

Ниже приведена таблица новых оповещений.

Оповещение (тип оповещения) Description Тактика MITRE Важность
Подозрительный сбой при установке расширения GPU в подписке (предварительная версия)
(VM_GPUExtensionSuspiciousFailure)
Подозрительное намерение установки расширения GPU на неподдерживаемых виртуальных машинах. Это расширение должно быть установлено на виртуальных машинах, оснащенных графическим процессором, и в этом случае виртуальные машины не оснащены такими. Эти сбои можно увидеть, когда вредоносные злоумышленники выполняют несколько установок такого расширения в целях шифрования. Воздействие Средняя
Обнаружена подозрительная установка расширения GPU на виртуальной машине (предварительная версия)
(VM_GPUDriverExtensionUnusualExecution)
Это оповещение было выпущено в июле 2023 года.
Обнаружена подозрительная установка расширения GPU на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение драйвера GPU для установки драйверов GPU на виртуальной машине с помощью Azure Resource Manager для выполнения шифрования. Это действие считается подозрительным, так как поведение субъекта уходит от обычных шаблонов. Воздействие Низкая
Команда выполнения с подозрительным скриптом обнаружена на виртуальной машине (предварительная версия)
(VM_RunCommandSuspiciousScript)
Команда запуска с подозрительным скриптом обнаружена на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать команду run для выполнения вредоносного кода с высокими привилегиями на виртуальной машине с помощью Azure Resource Manager. Сценарий считается подозрительным, так как некоторые части были идентифицированы как потенциально вредоносные. Выполнение Высокая
Обнаружено подозрительное несанкционированное использование команды запуска на виртуальной машине (предварительная версия)
(VM_RunCommandSuspiciousFailure)
Сбой подозрительного несанкционированного использования команды run и обнаружен на виртуальной машине путем анализа операций Azure Resource Manager в вашей подписке. Злоумышленники могут попытаться использовать команду run для выполнения вредоносного кода с высокими привилегиями на виртуальных машинах с помощью Azure Resource Manager. Это действие считается подозрительным, так как оно не было часто видно раньше. Выполнение Средняя
Обнаружено подозрительное использование команды запуска на виртуальной машине (предварительная версия)
(VM_RunCommandSuspiciousUsage)
Подозрительное использование команды run было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать команду run для выполнения вредоносного кода с высокими привилегиями на виртуальных машинах с помощью Azure Resource Manager. Это действие считается подозрительным, так как оно не было часто видно раньше. Выполнение Низкая
Обнаружено подозрительное использование нескольких расширений мониторинга или сбора данных на виртуальных машинах (предварительная версия)
(VM_SuspiciousMultiExtensionUsage)
Подозрительное использование нескольких расширений мониторинга или сбора данных было обнаружено на виртуальных машинах путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут злоупотреблять такими расширениями для сбора данных, мониторинга сетевого трафика и многого другого в подписке. Это использование считается подозрительным, так как оно не было часто видно раньше. Рекогносцировка Средняя
Обнаружена подозрительная установка расширений шифрования дисков на виртуальных машинах (предварительная версия)
(VM_DiskEncryptionSuspiciousUsage)
Обнаружена подозрительная установка расширений шифрования дисков на виртуальных машинах путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут злоупотреблять расширением шифрования дисков для развертывания полного шифрования дисков на виртуальных машинах с помощью Azure Resource Manager в попытке выполнить действие программы-шантажистов. Это действие считается подозрительным, так как оно не было часто видно раньше и из-за большого количества установок расширений. Воздействие Средняя
Обнаружено подозрительное использование расширения доступа к виртуальной машине на виртуальных машинах (предварительная версия)
(VM_VMAccessSuspiciousUsage)
На виртуальных машинах обнаружено подозрительное использование расширения доступа к виртуальной машине. Злоумышленники могут злоупотреблять расширением доступа к виртуальной машине, чтобы получить доступ и скомпрометировать виртуальные машины с высокими привилегиями, сбросив доступ или управляя административными пользователями. Это действие считается подозрительным, так как поведение субъекта отошел от обычных шаблонов, и из-за большого количества установок расширения. Сохраняемость Средняя
Расширение требуемой конфигурации состояния (DSC) с подозрительным скриптом обнаружено на виртуальной машине (предварительная версия)
(VM_DSCExtensionSuspiciousScript)
Расширение требуемой конфигурации состояния (DSC) с подозрительным скриптом было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение Требуемой конфигурации состояния (DSC) для развертывания вредоносных конфигураций, таких как механизмы сохраняемости, вредоносные скрипты и многое другое с высокими привилегиями на виртуальных машинах. Сценарий считается подозрительным, так как некоторые части были идентифицированы как потенциально вредоносные. Выполнение Высокая
Обнаружено подозрительное использование расширения требуемой конфигурации состояния (DSC) на виртуальных машинах (предварительная версия)
(VM_DSCExtensionSuspiciousUsage)
Подозрительное использование расширения Требуемой конфигурации состояния (DSC) было обнаружено на виртуальных машинах путем анализа операций Azure Resource Manager в вашей подписке. Злоумышленники могут использовать расширение Требуемой конфигурации состояния (DSC) для развертывания вредоносных конфигураций, таких как механизмы сохраняемости, вредоносные скрипты и многое другое с высокими привилегиями на виртуальных машинах. Это действие считается подозрительным, так как поведение субъекта отошел от обычных шаблонов, и из-за большого количества установок расширения. Воздействие Низкая
Расширение пользовательских скриптов с подозрительным скриптом было обнаружено на виртуальной машине (предварительная версия)
(VM_CustomScriptExtensionSuspiciousCmd)
(Это оповещение уже существует и было улучшено с более расширенными методами логики и обнаружения.)
Расширение пользовательского скрипта с подозрительным скриптом было обнаружено на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение пользовательского скрипта для выполнения вредоносного кода с высокими привилегиями на виртуальной машине с помощью Azure Resource Manager. Сценарий считается подозрительным, так как некоторые части были идентифицированы как потенциально вредоносные. Выполнение Высокая

См. оповещения на основе расширений в Defender для серверов.

Полный список оповещений см. в справочной таблице для всех оповещений системы безопасности в Microsoft Defender для облака.

Обновления бизнес-модели и цен для планов Defender для облака

1 августа 2023 г.

Microsoft Defender для облака имеет три плана, которые предлагают защиту уровня служб:

  • Defender для Key Vault

  • Defender для Resource Manager

  • Defender для DNS

Эти планы перешли на новую бизнес-модель с различными ценами и упаковкой для решения отзывов клиентов о прогнозируемости расходов и упрощении общей структуры затрат.

Сводка по бизнес-модели и изменениям цен:

Существующие клиенты Defender для Key-Vault, Defender для Resource Manager и Defender для DNS сохраняют текущую бизнес-модель и цены, если они активно не выбирают переход на новую бизнес-модель и цену.

  • Defender для Resource Manager: этот план имеет фиксированную цену за подписку в месяц. Клиенты могут переключиться на новую бизнес-модель, выбрав Defender для Resource Manager новую для каждой модели подписки.

Существующие клиенты Defender для Key-Vault, Defender для Resource Manager и Defender для DNS сохраняют текущую бизнес-модель и цены, если они активно не выбирают переход на новую бизнес-модель и цену.

  • Defender для Resource Manager: этот план имеет фиксированную цену за подписку в месяц. Клиенты могут переключиться на новую бизнес-модель, выбрав Defender для Resource Manager новую для каждой модели подписки.
  • Defender для Key Vault: этот план имеет фиксированную цену за хранилище, в месяц без превышения платы. Клиенты могут переключиться на новую бизнес-модель, выбрав Defender для Key Vault новую для каждой модели хранилища.
  • Defender для DNS: Defender для серверов плана 2 клиенты получают доступ к значению Defender для DNS в рамках плана 2 Defender для серверов без дополнительных затрат. Клиенты, у которых есть защитник для плана 2 и Defender для DNS, больше не взимается плата за Defender для DNS. Defender для DNS больше не доступен как автономный план.

Дополнительные сведения о ценах на эти планы см. на странице цен на Defender для облака.

Июль 2023 г.

В июле добавлены следующие обновления:

Дата Обновить
31 июля Предварительная версия выпуска оценки уязвимостей контейнеров с помощью Управление уязвимостями Microsoft Defender в Defender для контейнеров и Defender для реестров контейнеров
30 июля Состояние контейнера без агента в CSPM в Defender теперь общедоступно
20 июля Управление автоматическими обновлениями в Defender для конечной точки для Linux
18 июля Сканирование секретов без агента для виртуальных машин в Defender для серверов P2 и CSPM Defender
12 июля Новое оповещение системы безопасности в Defender для серверов плана 2. Обнаружение потенциальных атак с использованием расширений драйверов GPU виртуальной машины Azure
9 июля Поддержка отключения определенных результатов уязвимостей
1 июля Защита с учетом данных теперь общедоступна

Предварительная версия оценки уязвимостей контейнеров с Управление уязвимостями Microsoft Defender

31 июля 2023 г.

Мы объявим о выпуске образов контейнеров Linux для образов контейнеров Linux на базе Управление уязвимостями Microsoft Defender в Defender для контейнеров и Defender для реестров контейнеров. Новое предложение va для контейнера будет предоставлено вместе с существующим предложением Container VA, предоставляемым Qualys в Defender для контейнеров и Defender для реестров контейнеров, а также включает ежедневные повторное сканирование образов контейнеров, сведения об эксплойтируемости, поддержку языков ОС и программирования (SCA) и многое другое.

Это новое предложение начнется сегодня, и, как ожидается, будет доступно всем клиентам к 7 августа.

Дополнительные сведения об оценке уязвимостей контейнера см. в Управление уязвимостями Microsoft Defender.

Состояние контейнера без агента в CSPM в Defender теперь общедоступно

30 июля 2023 г.

Возможности размещения контейнеров без агента теперь являются общедоступными (GA) в рамках плана CSPM Defender (Cloud Security Posture Management).

Узнайте больше о том, как разместить контейнер без агента в CSPM в Defender.

Управление автоматическими обновлениями в Defender для конечной точки для Linux

20 июля 2023 г.

По умолчанию Defender для облака пытается обновить агенты Defender для конечной точки для Linux, подключенные с расширениемMDE.Linux. В этом выпуске вы можете управлять этим параметром и отказаться от настройки по умолчанию для управления циклами обновления вручную.

Узнайте, как управлять конфигурацией автоматических обновлений для Linux.

Сканирование секретов без агента для виртуальных машин в Defender для серверов P2 и CSPM Defender

18 июля 2023 г.

Сканирование секретов теперь доступно в рамках безагентного сканирования в Defender для серверов P2 и CSPM Defender. Эта возможность помогает обнаруживать неуправляемые и небезопасные секреты, сохраненные на виртуальных машинах в ресурсах Azure или AWS, которые можно использовать для бокового перемещения в сети. Если обнаружены секреты, Defender для облака могут помочь определить приоритеты и предпринять действия по исправлению, чтобы свести к минимуму риск бокового перемещения, все без влияния на производительность компьютера.

Дополнительные сведения о защите секретов с помощью сканирования секретов см. в разделе "Управление секретами с помощью сканирования без агента".

Новое оповещение системы безопасности в Defender для серверов плана 2. Обнаружение потенциальных атак с использованием расширений драйверов GPU виртуальной машины Azure

12 июля 2023 г.

Это оповещение посвящено выявлению подозрительных действий с использованием расширений драйверов GPU виртуальной машины Azure и предоставляет аналитические сведения о попытках злоумышленников скомпрометировать виртуальные машины. Предупреждение предназначено для подозрительных развертываний расширений драйверов GPU; такие расширения часто злоупотребляют субъектами угроз, чтобы использовать полную мощность карты GPU и выполнять шифрование.

Отображаемое имя оповещения
(Тип оповещения)
Description Серьезность Тактика MITRE
Подозрительная установка расширения GPU на виртуальной машине (предварительная версия)
(VM_GPUDriverExtensionUnusualExecution)
Обнаружена подозрительная установка расширения GPU на виртуальной машине путем анализа операций Azure Resource Manager в подписке. Злоумышленники могут использовать расширение драйвера GPU для установки драйверов GPU на виртуальной машине с помощью Azure Resource Manager для выполнения шифрования. Низкая Воздействие

Полный список оповещений см. в справочной таблице для всех оповещений системы безопасности в Microsoft Defender для облака.

Поддержка отключения определенных результатов уязвимостей

9 июля 2023 г.

Выпуск поддержки отключения результатов уязвимостей для образов реестра контейнеров или запуска образов в рамках размещения без агента. Если у вас есть организация, необходимо игнорировать обнаружение уязвимостей в образе реестра контейнеров, а не исправлять его, вы можете при необходимости отключить его. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.

Узнайте, как отключить результаты оценки уязвимостей в образах реестра контейнеров.

Защита с учетом данных теперь общедоступна

1 июля 2023 г.

Состояние безопасности с учетом данных в Microsoft Defender для облака теперь доступно в общедоступном режиме. Это помогает клиентам снизить риск данных и реагировать на нарушения данных. Функция состояния безопасности с учетом данных позволяет:

  • Автоматически обнаруживайте ресурсы конфиденциальных данных в Azure и AWS.
  • Оцените конфиденциальность данных, воздействие данных и способы потоков данных в организации.
  • Упреждающее и непрерывное обнаружение рисков, которые могут привести к нарушениям данных.
  • Обнаружение подозрительных действий, которые могут указывать на текущие угрозы для ресурсов конфиденциальных данных

Дополнительные сведения см. в статье о состоянии безопасности с поддержкой данных в Microsoft Defender для облака.

Июнь 2023 г.

В июне добавлены следующие обновления:

Дата Обновить
26 июня Упрощенная подключение учетной записи с несколькими облаками с расширенными параметрами
25 июня Поддержка частной конечной точки для сканирования вредоносных программ в Defender для хранилища
15 июня Обновления управления были сделаны в стандартах NIST 800-53 в соответствии с нормативными требованиями
11 июня Планирование облачной миграции с помощью бизнес-дела службы "Миграция Azure" теперь включает Defender для облака
7 июня Экспресс-конфигурация для оценки уязвимостей в Defender для SQL теперь общедоступна
6 июня Дополнительные области, добавленные в существующие соединители Azure DevOps
4 июня Замена обнаружения на основе агента с помощью обнаружения без агента для возможностей контейнеров в CSPM в Defender

Упрощенная подключение учетной записи с несколькими облаками с расширенными параметрами

26 июня 2023 г.

Defender для облака улучшил интерфейс подключения, чтобы включить новый упрощенный пользовательский интерфейс и инструкции в дополнение к новым возможностям, которые позволяют подключить среды AWS и GCP при предоставлении доступа к расширенным функциям подключения.

Для организаций, которые приняли Hashicorp Terraform для автоматизации, Defender для облака теперь включает возможность использовать Terraform в качестве метода развертывания вместе с AWS CloudFormation или GCP Cloud Shell. Теперь при создании интеграции можно настроить необходимые имена ролей. Вы также можете выбрать один из вариантов:

  • Доступ по умолчанию— позволяет Defender для облака сканировать ресурсы и автоматически включать будущие возможности.

  • Минимальный привилегированный доступ - предоставляет Defender для облака доступ только к текущим разрешениям, необходимым для выбранных планов.

Если выбрать наименее привилегированные разрешения, вы получите уведомления только о новых ролях и разрешениях, необходимых для получения полной функциональности в работоспособности соединителя.

Defender для облака позволяет различать облачные учетные записи по собственным именам от поставщиков облачных служб. Например, псевдонимы учетных записей AWS и имена проектов GCP.

Поддержка частной конечной точки для сканирования вредоносных программ в Defender для хранилища

25 июня 2023 г.

Поддержка частной конечной точки теперь доступна в рамках общедоступной предварительной версии сканирования вредоносных программ в Defender для хранилища. Эта возможность позволяет включить сканирование вредоносных программ в учетных записях хранения, использующих частные конечные точки. Других настроек не требуется.

Сканирование вредоносных программ (предварительная версия) в Defender для хранилища помогает защитить учетные записи хранения от вредоносного содержимого, выполнив полную проверку вредоносных программ при отправке содержимого практически в режиме реального времени с помощью антивирусная программа в Microsoft Defender возможностей. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого. Это решение SaaS без агента, которое позволяет выполнять простую настройку в масштабе с нулевым обслуживанием и поддерживает автоматизацию ответа в масштабе.

Частные конечные точки обеспечивают безопасное подключение к службам служба хранилища Azure, эффективно устраняя общедоступный интернет-доступ и считаются рекомендациями по обеспечению безопасности.

Для учетных записей хранения с частными конечными точками, у которых уже включена проверка вредоносных программ, необходимо отключить и включить план с проверкой вредоносных программ для работы.

Узнайте больше об использовании частных конечных точек в Defender для хранилища и о том, как защитить службы хранилища дальше.

Рекомендация, выпущенная для предварительной версии: при выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender)

21 июня 2023 г.

Новая рекомендация по контейнеру в CSPM Defender с Управление уязвимостями Microsoft Defender выпущена для предварительной версии:

Рекомендация Description Ключ оценки
При выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender)(предварительная версия) Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Эта новая рекомендация заменяет текущую рекомендацию того же имени, на основе Qualys, только в CSPM Defender (замена ключа оценки 41503391-efa5-47ee-9282-4eff6131462c).

Обновления управления были сделаны в стандартах NIST 800-53 в соответствии с нормативными требованиями

15 июня 2023 г.

Недавно стандарты NIST 800-53 (R4 и R5) были обновлены с изменениями контроля в Microsoft Defender для облака соответствия нормативным требованиям. Управляемые корпорацией Майкрософт элементы управления были удалены из стандарта, а сведения о реализации ответственности Майкрософт (как часть облачной модели общей ответственности) теперь доступны только в области сведений об элементе управления в разделе "Действия Майкрософт".

Эти элементы управления ранее вычислялись как переданные элементы управления, поэтому вы можете увидеть значительный спад в оценке соответствия стандартам NIST в период с апреля 2023 по май 2023 года.

Дополнительные сведения об элементах управления соответствием см. в руководстве по проверке соответствия нормативным требованиям Microsoft Defender для облака.

Планирование облачной миграции с помощью бизнес-дела службы "Миграция Azure" теперь включает Defender для облака

11 июня 2023 г.

Теперь вы можете обнаружить потенциальную экономию средств в безопасности, применяя Defender для облака в контексте бизнес-дела службы "Миграция Azure".

Экспресс-конфигурация для оценки уязвимостей в Defender для SQL теперь общедоступна

7 июня 2023 г.

Экспресс-конфигурация для оценки уязвимостей в Defender для SQL теперь общедоступна. Экспресс-конфигурация обеспечивает упрощенное подключение для оценки уязвимостей SQL с помощью конфигурации один щелчка (или вызова API). В управляемых учетных записях хранения нет дополнительных параметров или зависимостей.

Ознакомьтесь с этим блогом , чтобы узнать больше о экспресс-конфигурации.

Различия между экспресс-и классической конфигурацией можно узнать.

Дополнительные области, добавленные в существующие соединители Azure DevOps

6 июня 2023 г.

Defender для DevOps добавил следующие дополнительные области в приложение Azure DevOps (ADO):

  • Заранее управление безопасностью: vso.advsec_manage. Это необходимо для включения, отключения и управления GitHub Advanced Security для ADO.

  • Сопоставление контейнеров: vso.extension_manage, vso.gallery_manager; Это необходимо для предоставления общего доступа к расширению декоратора организации ADO.

Это изменение влияет только на новых клиентов Defender для DevOps, которые пытаются подключить ресурсы ADO к Microsoft Defender для облака.

Подключение напрямую (без Azure Arc) к Defender для серверов теперь общедоступен

5 июня 2023 г.

Ранее Azure Arc требовалась для подключения серверов, отличных от Azure, к Defender для серверов. Однако с помощью последнего выпуска вы также можете подключить локальные серверы к Defender для серверов, используя только агент Microsoft Defender для конечной точки.

Этот новый метод упрощает процесс подключения для клиентов, ориентированных на защиту основных конечных точек, и позволяет воспользоваться преимуществами выставления счетов на основе потребления Defender для серверов как для облачных, так и для необлачных ресурсов. Теперь доступен вариант прямого подключения через Defender для конечной точки с выставлением счетов за подключенные компьютеры, начиная с 1 июля.

Дополнительные сведения см. в статье Подключение компьютеров, отличных от Azure, к Microsoft Defender для облака с помощью Defender для конечной точки.

Замена обнаружения на основе агента с помощью обнаружения без агента для возможностей контейнеров в CSPM в Defender

4 июня 2023 г.

Благодаря возможностям остановки контейнеров без агента, доступными в CSPM в Defender, возможности обнаружения на основе агента теперь удаляются. Если в настоящее время вы используете возможности контейнеров в CSPM Defender, убедитесь, что соответствующие расширения включены для продолжения получения значения, связанного с контейнером, новых возможностей без агента, таких как пути атак, связанные с контейнером, аналитические сведения и инвентаризация. (Для просмотра последствий включения расширений может потребоваться до 24 часов.

Узнайте больше о позе контейнера без агента.

Май 2023 г.

В мае добавлены следующие обновления:

Новое оповещение в Defender для Key Vault

Оповещение (тип оповещения) Description Тактика MITRE Важность
Необычный доступ к хранилищу ключей из подозрительного IP-адреса (не майкрософт или внешний)
(KV_UnusualAccessSuspiciousIP)
Пользователь или субъект-служба попытались получить аномальный доступ к хранилищам ключей из IP-адреса, отличного от Майкрософт, за последние 24 часа. Этот аномальный шаблон доступа может быть законным действием. Это может быть признаком возможной попытки получить доступ к хранилищу ключей и секретам, содержащимся в нем. Мы рекомендуем провести дополнительное расследование. Доступ к четным данным Средняя

Все доступные оповещения см. в разделе "Оповещения" для Azure Key Vault.

Сканирование без агента теперь поддерживает зашифрованные диски в AWS

Сканирование без агента для виртуальных машин теперь поддерживает обработку экземпляров с зашифрованными дисками в AWS с помощью CMK и PMK.

Эта расширенная поддержка повышает охват и видимость облачных ресурсов, не влияя на выполняемые рабочие нагрузки. Поддержка зашифрованных дисков поддерживает тот же метод нулевого влияния на запущенные экземпляры.

  • Для новых клиентов, включающих сканирование без агента в AWS, покрытие зашифрованных дисков встроено и поддерживается по умолчанию.
  • Для существующих клиентов, у которых уже есть соединитель AWS с включенным сканированием без агента, необходимо повторно применить стек CloudFormation к подключенным учетным записям AWS для обновления и добавления новых разрешений, необходимых для обработки зашифрованных дисков. Обновленный шаблон CloudFormation включает новые назначения, позволяющие Defender для облака обрабатывать зашифрованные диски.

Дополнительные сведения о разрешениях, используемых для сканирования экземпляров AWS.

Чтобы повторно применить стек CloudFormation, выполните указанные действия.

  1. Перейдите к Defender для облака параметрам среды и откройте соединитель AWS.
  2. Перейдите на вкладку "Настройка доступа ".
  3. Щелкните , чтобы скачать шаблон CloudFormation.
  4. Перейдите в среду AWS и примените обновленный шаблон.

Дополнительные сведения об бессерверном сканировании и включении сканирования без агента в AWS.

Измененные соглашения об именовании правил JIT (JIT) в Defender для облака

Мы пересмотрели правила JIT (JIT), чтобы соответствовать Microsoft Defender для облака бренду. Мы изменили соглашения об именовании для правил Брандмауэр Azure и NSG (группа безопасности сети).

Изменения перечислены следующим образом:

Description Старое имя Новое имя
Имена правил JIT (разрешить и запретить) в NSG (группа безопасности сети) SecurityCenter-JITRule MicrosoftDefenderForCloud-JITRule
Описания правил JIT в NSG Правило доступа к сети JIT ASC Правило доступа к сети JIT MDC
Имена коллекций правил брандмауэра JIT ASC-JIT MDC-JIT
Имена правил брандмауэра JIT ASC-JIT MDC-JIT

Узнайте, как защитить порты управления с помощью JIT-доступа.

Подключение выбранных регионов AWS

Чтобы помочь вам управлять затратами и требованиями соответствия AWS CloudTrail, теперь можно выбрать регионы AWS для сканирования при добавлении или изменении облачного соединителя. Теперь вы можете сканировать выбранные регионы AWS или все доступные регионы (по умолчанию) при подключении учетных записей AWS к Defender для облака. Дополнительные сведения см. в разделе "Подключение учетной записи AWS к Microsoft Defender для облака".

Несколько изменений в рекомендациях по идентификации

Следующие рекомендации теперь выпускаются как общедоступная версия и заменяют рекомендации версии 1, которые теперь устарели.

Выпуск общедоступной версии удостоверений

В выпуске рекомендаций по идентификации версии 2 представлены следующие улучшения:

  • Область сканирования была расширена, чтобы включить все ресурсы Azure, а не только подписки. Это позволяет администраторам безопасности просматривать назначения ролей для каждой учетной записи.
  • Теперь определенные учетные записи можно исключить из оценки. Учетные записи, такие как разрывы или учетные записи служб, могут быть исключены администраторами безопасности.
  • Частота сканирования была увеличена с 24 часов до 12 часов, тем самым гарантируя, что рекомендации по идентификации являются более актуальными и точными.

Следующие рекомендации по безопасности доступны в общедоступной версии и заменены рекомендациями версии 1.

Рекомендация Ключ оценки
Для учетных записей с разрешениями владельца для ресурсов Azure должна быть включена многофакторная проверка подлинности 6240402e-f77c-46fa-9060-a7ce53997754
Для учетных записей с разрешениями на запись для ресурсов Azure должна быть включена многофакторная проверка подлинности c0cb17b2-0607-48a7-b0e0-903ed22de39b
Для учетных записей с разрешениями на чтение для ресурсов Azure должна быть включена многофакторная проверка подлинности dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены 20606e75-05c4-48c0-9d97-add6daa2109a
Гостевые учетные записи с разрешениями на запись для ресурсов Azure должны быть удалены 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
Гостевые учетные записи с разрешениями на чтение для ресурсов Azure должны быть удалены fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
Заблокированные учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены 050ac097-3dda-4d24-ab6d-82568e7a50cf
Заблокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Отмена рекомендаций по идентификации версии 1

Теперь не рекомендуется использовать следующие рекомендации по безопасности:

Рекомендация Ключ оценки
MFA должна быть включена в учетных записях с разрешениями владельца для подписок. 94290b00-4d0c-d7b4-7cea-064a9554e681
Многофакторная проверка подлинности должна быть включена в учетных записях с разрешениями на запись для подписок. 57e98606-6b1e-6193-0e3d-fe621387c16b
Многофакторная проверка подлинности должна быть включена в учетных записях с разрешениями на чтение подписок. 151e82c5-5341-a74b-1eb0-bc38d2c84bb5
Внешние учетные записи с разрешениями владельца должны быть удалены из подписок. c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
Внешние учетные записи с разрешениями на запись должны быть удалены из подписок. 04e7147b-0deb-9796-2e5c-0336343ceb3d
Внешние учетные записи с разрешениями на чтение должны быть удалены из подписок. a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписок. e52064aa-6853-e252-a11e-dffc675689c2
Необходимо удалить устаревшие учетные записи из подписок 00c6d40b-e990-6acf-d4f3-471e747a27c4

Мы рекомендуем обновить пользовательские скрипты, рабочие процессы и правила управления, чтобы соответствовать рекомендациям версии 2.

Отмена устаревших стандартов на панели мониторинга соответствия требованиям

Устаревшие версии PCI DSS версии 3.2.1 и устаревшие TSP SOC были полностью устарели на панели мониторинга соответствия требованиям Defender для облака и заменены инициативой SOC 2 типа 2 и стандартами соответствия требованиям pci DSS версии 4. Мы полностью нерекомендуемую поддержку стандарта ИЛИ инициативы PCI DSS в Microsoft Azure, работающей в 21Vianet.

Узнайте, как настроить набор стандартов на панели мониторинга соответствия нормативным требованиям.

Defender для DevOps включает результаты сканирования Azure DevOps

Defender для DevOps Code и IaC расширили охват рекомендаций в Microsoft Defender для облака, чтобы включить результаты безопасности Azure DevOps для следующих двух рекомендаций:

  • Code repositories should have code scanning findings resolved

  • Code repositories should have infrastructure as code scanning findings resolved

Ранее проверка безопасности Azure DevOps включала только рекомендацию по секретам.

Дополнительные сведения о Defender для DevOps.

Новый параметр по умолчанию для решения оценки уязвимостей Defender для серверов

Решения по оценке уязвимостей (VA) важны для защиты компьютеров от кибератак и нарушений данных.

Управление уязвимостями Microsoft Defender теперь включен как встроенное решение по умолчанию для всех подписок, защищенных Defender для серверов, которые еще не выбрали решение VA.

Если подписка включена на любой из своих виртуальных машин, изменения не вносятся и Управление уязвимостями Microsoft Defender по умолчанию не будут включены на оставшихся виртуальных машинах в этой подписке. Вы можете включить решение VA на оставшихся виртуальных машинах в подписках.

Узнайте, как найти уязвимости и собрать инвентаризацию программного обеспечения с помощью проверки без агента (предварительная версия).

Скачивание CSV-отчета результатов запроса cloud security explorer (предварительная версия)

Defender для облака добавил возможность скачать CSV-отчет о результатах запроса cloud security explorer.

После выполнения поиска запроса нажмите кнопку "Скачать csv-отчет (предварительная версия") на странице Cloud Security Explorer в Defender для облака.

Узнайте, как создавать запросы с помощью облачного обозревателя безопасности

Выпуск оценки уязвимостей контейнеров с Управление уязвимостями Microsoft Defender

Мы объявляем о выпуске образов оценки уязвимостей для Linux в реестрах контейнеров Azure на базе Управление уязвимостями Microsoft Defender в CSPM Defender. Этот выпуск включает ежедневное сканирование изображений. Результаты, используемые в обозревателе безопасности и путях атак, зависят от оценки уязвимостей Microsoft Defender, а не сканера Qualys.

Существующая рекомендация Container registry images should have vulnerability findings resolved заменена новой рекомендацией:

Рекомендация Description Ключ оценки
Образы реестра контейнеров должны иметь устраненные результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. dbd0cb49-b563-45e7-9724-889e799fa648 заменяется c0b7cfc6-3172-465a-b378-53c7ff2cc0d5.

Узнайте больше о том, что контейнеры без агента размещены в CSPM Defender.

Дополнительные сведения о Управление уязвимостями Microsoft Defender.

Переименование рекомендаций по контейнерам на основе Qualys

Текущие рекомендации по контейнерам в Defender для контейнеров будут переименованы следующим образом:

Рекомендация Description Ключ оценки
Необходимо устранить уязвимости в образах реестра контейнеров (на платформе Qualys) Средство оценки уязвимостей в образах контейнеров проверяет реестр на наличие уязвимостей в каждом образе и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. dbd0cb49-b563-45e7-9724-889e799fa648
При выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Qualys) Средство оценки уязвимостей в образах контейнеров сканирует образы контейнеров, работающие в кластерах Kubernetes, на наличие уязвимостей и предоставляет подробные результаты для каждого образа. Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. 41503391-efa5-47ee-9282-4eff6131462c

Обновление приложения Defender для DevOps GitHub

Microsoft Defender для DevOps постоянно вносит изменения и обновления, требующие от клиентов Defender для DevOps, которые подключены к средам GitHub в Defender для облака для предоставления разрешений в рамках приложения, развернутого в организации GitHub. Эти разрешения необходимы для обеспечения нормальной работы и без проблем во всех функциях безопасности Defender для DevOps.

Мы рекомендуем обновить разрешения как можно скорее, чтобы обеспечить постоянный доступ ко всем доступным функциям Defender для DevOps.

Разрешения можно предоставить двумя разными способами:

  • В организации выберите GitHub Apps. Найдите вашу организацию и выберите "Проверить запрос".

  • Вы получите автоматизированное сообщение электронной почты из службы поддержки GitHub. В сообщении электронной почты выберите "Проверить запрос на разрешение", чтобы принять или отклонить это изменение.

После того как вы выполнили любой из этих параметров, вы перейдете на экран проверки, где следует просмотреть запрос. Нажмите кнопку "Принять новые разрешения" , чтобы утвердить запрос.

Если вам нужна помощь в обновлении разрешений, можно создать запрос поддержка Azure.

Вы также можете узнать больше о Defender для DevOps. Если подписка включена на любой из своих виртуальных машин, изменения не вносятся и Управление уязвимостями Microsoft Defender по умолчанию не будут включены на оставшихся виртуальных машинах в этой подписке. Вы можете включить решение VA на оставшихся виртуальных машинах в подписках.

Узнайте, как найти уязвимости и собрать инвентаризацию программного обеспечения с помощью проверки без агента (предварительная версия).

Заметки Defender для DevOps Pull Request в репозиториях Azure DevOps теперь включают инфраструктуру в качестве неправильной настройки кода

Defender для DevOps расширил покрытие заметок запроса на вытягивание (PR) в Azure DevOps, чтобы включить неправильно настроенные конфигурации инфраструктуры как кода (IaC), обнаруженные в шаблонах Azure Resource Manager и Bicep.

Теперь разработчики могут просматривать заметки для неправильной настройки IaC непосредственно в своих PR. Разработчики также могут устранить критически важные проблемы безопасности перед подготовкой инфраструктуры в облачные рабочие нагрузки. Чтобы упростить исправление, разработчики предоставляются с уровнем серьезности, описанием неправильной настройки и инструкциями по исправлению в каждой заметке.

Ранее покрытие заметок pr Defender для DevOps в Azure DevOps включало только секреты.

Дополнительные сведения о заметках Defender для DevOps и запросов на вытягивание.

Апрель 2023 г.

В апреле добавлены следующие обновления:

Состояние контейнера без агента в CSPM в Defender (предварительная версия)

Новые возможности размещения контейнеров без агента (предварительная версия) доступны в рамках плана CSPM Defender (Cloud Security Posture Management).

Защита контейнеров без агента позволяет командам безопасности выявлять риски безопасности в контейнерах и областях Kubernetes. Подход без агента позволяет группам безопасности получать представление о своих реестрах Kubernetes и контейнеров в SDLC и среде выполнения, устраняя трения и следы от рабочих нагрузок.

Posture без агента предлагает оценки уязвимостей контейнера, которые в сочетании с анализом пути атаки позволяют группам безопасности определять приоритеты и увеличивать масштабы определенных уязвимостей контейнеров. Вы также можете использовать обозреватель облачной безопасности для выявления рисков и поиска аналитических сведений о положении контейнеров, таких как обнаружение приложений, работающих под уязвимыми изображениями или доступ к Интернету.

Дополнительные сведения см. в публикации без агента (предварительная версия).

Рекомендация по единому шифрованию дисков (предварительная версия)

В предварительной версии существуют новые рекомендации по шифрованию унифицированных дисков.

  • Wndows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
  • Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.

Эти рекомендации заменяютсяVirtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, которые обнаружили Шифрование дисков Azure и политикуVirtual machines and virtual machine scale sets should have encryption at host enabled, которая обнаружила EncryptionAtHost. ADE и EncryptionAtHost обеспечивают сравнимое шифрование при хранении, и мы рекомендуем включить один из них на каждой виртуальной машине. Новые рекомендации определяют, включены ли ADE или EncryptionAtHost, и предупреждают только в том случае, если они не включены. Мы также предупреждаем, включена ли ADE на некоторых дисках виртуальной машины (это условие не применимо к EncryptionAtHost).

Для новых рекомендаций требуется настройка компьютера автоуправляемого управления Azure.

Эти рекомендации основаны на следующих политиках:

Узнайте больше о ADE и EncryptionAtHost и о том, как включить один из них.

Изменения на компьютерах рекомендаций должны быть настроены безопасно

Была обновлена рекомендация Machines should be configured securely . Обновление повышает производительность и стабильность рекомендации и сопоставляет его опыт с универсальным поведением рекомендаций Defender для облака.

В рамках этого обновления идентификатор рекомендации был изменен на 181ac480-f7c4-544b-9865-11b8ffe87f47 c476dc48-8110-4139-91af-c8d940896b98.

Никаких действий на стороне клиента не требуется, и ожидаемое влияние на оценку безопасности не требуется.

Отмена политик мониторинга языка Служба приложений

Следующие Служба приложений политики мониторинга языка устарели из-за их способности создавать ложные отрицательные значения и потому, что они не обеспечивают лучшую безопасность. Всегда следует убедиться, что вы используете языковую версию без известных уязвимостей.

Имя политики ИД политики
Приложения Службы приложений, использующие Java, должны использовать последнюю версию Java 496223c3-ad65-4ecd-878a-bae78737e9ed
Приложения Службы приложений, использующие Python, должны использовать последнюю версию Python 7008174a-fd10-4ef0-817e-fc820a951d73
Приложения-функции, использующие Java, должны использовать последнюю версию Java 9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
Приложения-функции, использующие Python, должны использовать последнюю версию Python 7238174a-fd10-4ef0-817e-fc820a951d73
Приложения Службы приложений, использующие PHP, должны использовать последнюю версию PHP 7261b898-8a84-4db8-9e04-18527132abb3

Клиенты могут использовать альтернативные встроенные политики для мониторинга любой указанной языковой версии для своих Служба приложений.

Эти политики больше не доступны в встроенных рекомендациях Defender для облака. Их можно добавить в качестве пользовательских рекомендаций, чтобы Defender для облака отслеживать их.

Новое оповещение в Defender для Resource Manager

Defender для Resource Manager имеет следующее новое оповещение:

Оповещение (тип оповещения) Description Тактика MITRE Важность
Предварительная версия. Обнаружено подозрительное создание вычислительных ресурсов
(ARM_SuspiciousComputeCreation)
Microsoft Defender для Resource Manager определил подозрительное создание вычислительных ресурсов в подписке с помощью Виртуальные машины или масштабируемого набора Azure. Определяемые операции предназначены для эффективного управления средами администраторами путем развертывания новых ресурсов при необходимости. Хотя это действие может быть законным, субъект угроз может использовать такие операции для проведения крипто-интеллектуального анализа данных.
Действие считается подозрительным, так как масштаб вычислительных ресурсов выше, чем ранее наблюдалось в подписке.
Это может указывать на то, что субъект скомпрометирован и используется с вредоносным намерением.
Воздействие Средняя

Вы можете просмотреть список всех оповещений, доступных для Resource Manager.

Три оповещения в плане Defender для Resource Manager устарели

Следующие три оповещения для плана Defender для Resource Manager устарели:

  • Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
  • Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
  • Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

В сценарии обнаружения действия из подозрительного IP-адреса один из следующих оповещений Azure Resource Manager operation from suspicious IP address о планах Defender для Resource Manager или Azure Resource Manager operation from suspicious proxy IP address будет присутствовать.

Оповещения автоматического экспорта в рабочую область Log Analytics устарели

Оповещения Defenders for Cloud Security автоматически экспортируются в рабочую область Log Analytics по умолчанию на уровне ресурса. Это приводит к детерминированному поведению, поэтому мы не рекомендуем использовать эту функцию.

Вместо этого можно экспортировать оповещения системы безопасности в выделенную рабочую область Log Analytics с помощью непрерывного экспорта.

Если вы уже настроили непрерывный экспорт оповещений в рабочую область Log Analytics, дальнейшие действия не требуются.

Отмена и улучшение выбранных оповещений для серверов Windows и Linux

Процесс улучшения качества оповещений системы безопасности для Defender для серверов включает нерекомендуние некоторых оповещений для серверов Windows и Linux. Устаревшие оповещения теперь создаются из оповещений Defender для конечной точки и охватываются оповещениями об угрозах Defender для конечной точки.

Если у вас уже включена интеграция Defender для конечной точки, дальнейшие действия не требуются. В апреле 2023 г. может возникнуть снижение объема оповещений.

Если у вас нет интеграции Defender для конечной точки в Defender для серверов, необходимо включить интеграцию Defender для конечной точки для поддержания и улучшения охвата оповещений.

Все клиенты Defender для серверов имеют полный доступ к интеграции Defender для конечной точки в рамках плана Defender для серверов.

Дополнительные сведения о параметрах подключения можно узнать о Microsoft Defender для конечной точки.

Вы также можете просмотреть полный список оповещений , которые настроены как устаревшие.

Ознакомьтесь с блогом Microsoft Defender для облака.

Мы добавили четыре новых рекомендаций по проверке подлинности Azure Active Directory для служб данных Azure.

Имя рекомендации Описание рекомендации Политика
Управляемый экземпляр SQL Azure режим проверки подлинности должен иметь только Azure Active Directory Отключение методов локальной проверки подлинности и разрешение только проверки подлинности Azure Active Directory повышает безопасность, обеспечивая доступ к управляемым экземплярам SQL Azure исключительно для удостоверений Azure Active Directory. Для управляемого экземпляра SQL Azure должна быть включена проверка подлинности только Azure Active Directory
Режим проверки подлинности рабочей области Azure Synapse должен иметь только Azure Active Directory Только методы проверки подлинности Azure Active Directory повышают безопасность, гарантируя, что рабочие области Synapse требуют только удостоверения Azure AD для проверки подлинности. Подробнее. Рабочие области Synapse должны использовать только удостоверения Azure Active Directory для проверки подлинности
База данных Azure для MySQL должен быть подготовлен администратор Azure Active Directory Подготовьте администратора Azure AD для База данных Azure для MySQL, чтобы включить проверку подлинности Azure AD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. Администратор Azure Active Directory должен быть подготовлен для серверов MySQL
База данных Azure для PostgreSQL должен быть подготовлен администратор Azure Active Directory Подготовьте администратора Azure AD для База данных Azure для PostgreSQL, чтобы включить проверку подлинности Azure AD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. Администратор Azure Active Directory должен быть подготовлен для серверов PostgreSQL

Рекомендации и Machines should be configured to periodically check for missing system updates выпущены System updates should be installed on your machines (powered by Azure Update Manager) для общедоступной доступности.

Чтобы использовать новую рекомендацию, необходимо:

  • Подключите компьютеры, отличные от Azure, к Arc.
  • Включите свойство периодической оценки. С помощью кнопки "Исправить". в новой рекомендации, чтобы исправить эту рекомендацию Machines should be configured to periodically check for missing system updates .

После выполнения этих действий можно удалить старую рекомендациюSystem updates should be installed on your machines, отключив ее от встроенной инициативы Defender для облака в политике Azure.

Две версии рекомендаций:

Оба будут доступны до тех пор, пока агент Log Analytics не будет нерекомендуем 31 августа 2024 г., то есть когда более старая версия (System updates should be installed on your machines) рекомендации также будет устарела. Обе рекомендации возвращают одинаковые результаты и доступны в одном элементе управления Apply system updates.

Новая рекомендация System updates should be installed on your machines (powered by Azure Update Manager) содержит поток исправления, доступный с помощью кнопки "Исправление", которая может использоваться для исправления любых результатов с помощью диспетчера обновлений (предварительная версия). Этот процесс исправления по-прежнему находится в предварительной версии.

Ожидается, что новая рекомендация System updates should be installed on your machines (powered by Azure Update Manager) не влияет на оценку безопасности, так как она имеет те же результаты, что и старая рекомендация System updates should be installed on your machines.

Рекомендация по предварительным требованиям (включение периодического свойства оценки) негативно влияет на оценку безопасности. Вы можете исправить негативный эффект с помощью доступной кнопки "Исправить".

Defender для API (предварительная версия)

Defender для облака Майкрософт объявляет о том, что новый Defender для API доступен в предварительной версии.

Defender для API обеспечивает полную защиту жизненного цикла, обнаружение и покрытие ответов для API.

Defender для API помогает получить представление о критически важных для бизнеса API. Вы можете исследовать и улучшать состояние безопасности API, определять приоритеты исправлений уязвимостей и быстро обнаруживать активные угрозы в режиме реального времени.

Дополнительные сведения об Defender для API.

Март 2023 г.

В марте добавлены следующие обновления:

Доступен новый план Defender для хранения, включая сканирование вредоносных программ практически в режиме реального времени и обнаружение угроз конфиденциальной данных

Облачное хранилище играет ключевую роль в организации и хранит большие объемы ценных и конфиденциальных данных. Сегодня мы объявляем новый план Defender для хранения. Если вы используете предыдущий план (теперь переименованы в Defender для хранилища (классическая модель)), необходимо заранее перейти к новому плану , чтобы использовать новые функции и преимущества.

Новый план включает расширенные возможности безопасности для защиты от вредоносных отправки файлов, кражи конфиденциальных данных и повреждения данных. Она также обеспечивает более прогнозируемую и гибкую структуру ценообразования для более эффективного контроля над покрытием и затратами.

Новый план теперь имеет новые возможности в общедоступной предварительной версии:

  • Обнаружение событий воздействия конфиденциальных данных и кражи

  • Проверка вредоносных программ в режиме реального времени практически в режиме реального времени для всех типов файлов

  • Обнаружение сущностей без удостоверений с помощью маркеров SAS

Эти возможности повышают существующую возможность мониторинга активности на основе анализа журналов управления и анализа журналов плоскости данных и моделирования поведения для выявления ранних признаков нарушения.

Все эти возможности доступны в новом прогнозируемом и гибком плане ценообразования, который обеспечивает детальный контроль над защитой данных на уровне подписки и ресурсов.

Дополнительные сведения см. в статье "Обзор Microsoft Defender для хранилища".

Состояние безопасности с учетом данных (предварительная версия)

Microsoft Defender для облака помогает командам по обеспечению безопасности работать эффективнее при снижении рисков и реагировании на нарушения данных в облаке. Он позволяет им сократить шум с контекстом данных и определить наиболее важные риски безопасности, предотвращая дорогостоящие нарушения данных.

  • Автоматически обнаруживайте ресурсы данных в облаке и оцените их доступность, конфиденциальность данных и настроенные потоки данных. -Непрерывно обнаруживать риски для нарушений данных конфиденциальных ресурсов данных, воздействия или атак, которые могут привести к ресурсу данных с помощью метода бокового перемещения.
  • Обнаружение подозрительных действий, которые могут указывать на постоянную угрозу для ресурсов конфиденциальных данных.

Узнайте больше о позе безопасности с учетом данных.

Улучшенный интерфейс для управления политиками безопасности Azure по умолчанию

Мы введем улучшенный интерфейс управления политиками безопасности Azure для встроенных рекомендаций, упрощающих настройку требований к безопасности Defender для облака клиентам. Новый интерфейс включает следующие новые возможности:

  • Простой интерфейс позволяет повысить производительность и взаимодействие с политиками безопасности по умолчанию в Defender для облака.
  • Одно представление всех встроенных рекомендаций по безопасности, предлагаемых microsoft cloud security benchmark (прежнее название — тест безопасности Azure). Рекомендации организованы в логические группы, что упрощает понимание типов ресурсов и связь между параметрами и рекомендациями.
  • Добавлены новые функции, такие как фильтры и поиск.

Узнайте, как управлять политиками безопасности.

Ознакомьтесь с блогом Microsoft Defender для облака.

CSPM Defender (Управление облачная безопасность) теперь общедоступен (GA)

Мы объявляем, что CSPM Defender теперь общедоступен (GA). CSPM Defender предлагает все службы, доступные в рамках возможностей CSPM Foundational, и добавляет следующие преимущества:

  • Анализ пути атаки и API ARG — анализ пути атаки использует алгоритм на основе графа, который сканирует граф облачной безопасности для предоставления путей атаки и предлагает рекомендации по устранению проблем, которые нарушают путь атаки и предотвращают успешное нарушение. Вы также можете использовать пути атаки программным способом, запрашивая API Azure Resource Graph (ARG). Узнайте, как использовать анализ пути атаки
  • Cloud Security Explorer — используйте Cloud Security Explorer для выполнения запросов на основе графов в графе облачной безопасности, чтобы заранее определить риски безопасности в средах с несколькими облаками. Дополнительные сведения об облачном обозревателе безопасности.

Дополнительные сведения о CSPM Defender.

Возможность создания пользовательских рекомендаций и стандартов безопасности в Microsoft Defender для облака

Microsoft Defender для облака предоставляет возможность создания пользовательских рекомендаций и стандартов для AWS и GCP с помощью запросов KQL. С помощью редактора запросов можно создавать и тестировать запросы по данным. Эта функция входит в план CSPM Defender (Cloud Security Posture Management). Узнайте, как создавать пользовательские рекомендации и стандарты.

Microsoft Cloud Security Benchmark (MCSB) версии 1.0 теперь общедоступен (GA)

Microsoft Defender для облака объявляется, что microsoft cloud security benchmark (MCSB) версии 1.0 теперь общедоступен (GA).

MCSB версии 1.0 заменяет azure Security Benchmark (ASB) версии 3 как политику безопасности по умолчанию Defender для облака. MCSB версии 1.0 отображается как стандарт соответствия по умолчанию на панели мониторинга соответствия требованиям и включен по умолчанию для всех Defender для облака клиентов.

Вы также можете узнать, как microsoft cloud security benchmark (MCSB) поможет вам добиться успеха в пути облачной безопасности.

Дополнительные сведения о MCSB.

Некоторые стандарты соответствия нормативным требованиям теперь доступны в облаках государственных организаций

Мы обновляем эти стандарты для клиентов в Azure для государственных организаций и Microsoft Azure, управляемых 21Vianet.

Azure для государственных организаций:

Microsoft Azure, управляемый 21Vianet:

Узнайте, как настроить набор стандартов на панели мониторинга соответствия нормативным требованиям.

Новая предварительная версия рекомендации для СЕРВЕРОВ SQL Azure

Мы добавили новую рекомендацию для серверов SQL Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)Azure.

Рекомендация основана на существующей политике Azure SQL Database should have Azure Active Directory Only Authentication enabled

Эта рекомендация отключает локальные методы проверки подлинности и разрешает только проверку подлинности Azure Active Directory, что повышает безопасность, обеспечивая доступ к База данных SQL Azure исключительно удостоверениям Azure Active Directory.

Узнайте, как создавать серверы с включенной проверкой подлинности только azure AD в SQL Azure.

Новое оповещение в Defender для Key Vault

Defender для Key Vault имеет следующее новое оповещение:

Оповещение (тип оповещения) Description Тактика MITRE Важность
Отказ в доступе из подозрительного IP-адреса в хранилище ключей
(KV_SuspiciousIPAccessDenied)
Неудачный доступ к хранилищу ключей был предпринят попыткой IP-адреса, который был идентифицирован Microsoft Threat Intelligence как подозрительный IP-адрес. Хотя эта попытка была неудачной, это означает, что ваша инфраструктура может быть скомпрометирована. Мы рекомендуем провести дополнительное расследование. Доступ к четным данным Низкая

Список всех оповещений, доступных для Key Vault.

2023 февраля

В феврале добавлены следующие изменения:

Расширенный Cloud Security Explorer

Улучшенная версия облачного обозревателя безопасности включает обновленный пользовательский интерфейс, который значительно устраняет трение запросов, добавил возможность выполнять многооблачные и многоресурсные запросы, а также внедренную документацию для каждого варианта запроса.

Cloud Security Explorer теперь позволяет выполнять облачные абстрактные запросы между ресурсами. Вы можете использовать предварительно созданные шаблоны запросов или использовать пользовательский поиск для применения фильтров для создания запроса. Узнайте , как управлять Cloud Security Explorer.

Проверка уязвимостей Defender для контейнеров для запуска образов Linux теперь общедоступная версия

Defender для контейнеров обнаруживает уязвимости в запущенных контейнерах. Поддерживаются контейнеры Windows и Linux.

В августе 2022 г. эта возможность была выпущена в предварительной версии для Windows и Linux. Теперь мы выпускаем его для общедоступной версии (GA) для Linux.

При обнаружении уязвимостей Defender для облака создает следующую рекомендацию по безопасности, в которой перечислены результаты сканирования: при выполнении образов контейнеров должны быть устранены результаты уязвимостей.

Узнайте больше о просмотре уязвимостей для запущенных образов.

Объявление о поддержке стандарта соответствия AWS CIS 1.5.0

Defender для облака теперь поддерживает стандарт соответствия cis Amazon Web Services версии 1.5.0. Стандарт можно добавить на панель мониторинга соответствия нормативным требованиям и использовать существующие предложения MDC для многооблачных рекомендаций и стандартов.

Этот новый стандарт включает как существующие, так и новые рекомендации, которые расширяют охват Defender для облака новыми службами и ресурсами AWS.

Узнайте, как управлять оценками и стандартами AWS.

Microsoft Defender для DevOps (предварительная версия) теперь доступен в других регионах

Microsoft Defender для DevOps расширил свою предварительную версию и теперь доступен в регионах Западной Европы и Восточной Австралии при подключении ресурсов Azure DevOps и GitHub.

Дополнительные сведения о Microsoft Defender для DevOps.

Встроенная политика [предварительная версия]: частная конечная точка должна быть настроена для Key Vault не рекомендуется

Встроенная политика [Preview]: Private endpoint should be configured for Key Vault устарела и заменена политикой [Preview]: Azure Key Vaults should use private link .

Дополнительные сведения об интеграции Azure Key Vault с Политика Azure.

2023 января

Обновления в январе включают следующие:

Компонент Endpoint Protection (Microsoft Defender для конечной точки) теперь доступен на странице "Параметры и мониторинг"

Чтобы получить доступ к Endpoint Protection, перейдите к параметрам планов>Защитника>среды и мониторингу. Здесь можно задать значение Endpoint Protection включено. Вы также можете увидеть другие компоненты, управляемые.

Дополнительные сведения о включении Microsoft Defender для конечной точки на серверах с помощью Defender для серверов.

Новая версия рекомендации по поиску отсутствующих обновлений системы (предварительная версия)

Вам больше не нужен агент на виртуальных машинах Azure и компьютерах Azure Arc, чтобы убедиться, что компьютеры имеют все последние обновления системы безопасности или критически важных систем.

Новая рекомендация System updates should be installed on your machines (powered by Azure Update Manager) по обновлению системы в элементе Apply system updates управления основана на диспетчере обновлений (предварительная версия). Эта рекомендация использует собственный агент, внедренный в каждую виртуальную машину Azure и компьютеры Azure Arc вместо установленного агента. Краткое исправление в новой рекомендации приводит к однократной установке отсутствующих обновлений на портале Диспетчера обновлений.

Чтобы использовать новую рекомендацию, необходимо:

  • Подключение компьютеров, отличных от Azure, к Arc
  • Включите периодическое свойство оценки. Чтобы устранить эту рекомендацию, Machines should be configured to periodically check for missing system updates можно использовать быстрое исправление в новой рекомендации.

Существующая рекомендация "Обновления системы должны быть установлены на компьютерах", которая зависит от агента Log Analytics, по-прежнему доступна под тем же элементом управления.

Очистка удаленных компьютеров Azure Arc в подключенных учетных записях AWS и GCP

Компьютер, подключенный к учетной записи AWS и GCP, охватываемой Defender для серверов или Defender для SQL на компьютерах, представлен в Defender для облака как компьютер Azure Arc. До сих пор этот компьютер не был удален из инвентаризации, когда компьютер был удален из учетной записи AWS или GCP. Что приводит к ненужным ресурсам Azure Arc, оставшимся в Defender для облака, представляющем удаленные компьютеры.

Defender для облака теперь автоматически удаляет компьютеры Azure Arc при удалении этих компьютеров в подключенной учетной записи AWS или GCP.

Разрешить непрерывный экспорт в Центры событий за брандмауэром

Теперь вы можете включить непрерывный экспорт оповещений и рекомендаций в качестве доверенной службы в Центры событий, защищенные брандмауэром Azure.

Вы можете включить непрерывный экспорт в виде создаваемых оповещений или рекомендаций. Можно также определить расписание для отправки периодических моментальных снимков всех новых данных.

Узнайте, как включить непрерывный экспорт в центры событий за брандмауэром Azure.

Имя элемента управления "Защита показателей безопасности" для приложений с помощью расширенных сетевых решений Azure изменяется

Элемент управления Protect your applications with Azure advanced networking solutions оценкой безопасности изменяется на Protect applications against DDoS attacks.

Обновленное имя отражается в Azure Resource Graph (ARG), API элементов управления оценкой безопасности и Download CSV report.

Параметры оценки уязвимостей политики для SQL Server должны содержать адрес электронной почты для получения отчетов проверки не рекомендуется

Политика Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports устарела.

Отчет об оценке уязвимостей Defender для SQL по-прежнему доступен и существующие конфигурации электронной почты не изменились.

Рекомендация по включению журналов диагностики для Масштабируемые наборы виртуальных машин не рекомендуется

Рекомендация Diagnostic logs in Virtual Machine Scale Sets should be enabled устарела.

Определение связанной политики также устарело из любых стандартов, отображаемых на панели мониторинга соответствия нормативным требованиям.

Рекомендация Description Серьезность
В масштабируемых наборах виртуальных машин должны быть включены журналы диагностики. Включите журналы и сохраните их до года, что позволяет повторно создавать тропы действий для расследования при возникновении инцидента безопасности или компрометации сети. Низкая

Декабрь 2022 г.

В декабре добавлены следующие обновления:

Объявление о экспресс-конфигурации для оценки уязвимостей в Defender для SQL

Экспресс-конфигурация для оценки уязвимостей в Microsoft Defender для SQL обеспечивает упрощенную настройку для База данных SQL Azure и выделенных пулов SQL за пределами рабочих областей Synapse.

При использовании экспресс-конфигурации для оценки уязвимостей команды безопасности могут:

  • Выполните настройку оценки уязвимостей в конфигурации безопасности ресурса SQL без каких-либо других параметров или зависимостей от учетных записей хранения, управляемых клиентом.
  • Немедленно добавьте результаты сканирования в базовые показатели, чтобы состояние поиска изменений от неработоспособного к работоспособному без повторного сканирования базы данных.
  • Добавьте несколько правил в базовые показатели одновременно и используйте последние результаты сканирования.
  • Включите оценку уязвимостей для всех серверов SQL Azure при включении Microsoft Defender для баз данных на уровне подписки.

Дополнительные сведения об оценке уязвимостей Defender для SQL.

Ноябрь 2022 г.

В ноябре добавлены следующие обновления:

Защита контейнеров в организации GCP с помощью Defender для контейнеров

Теперь вы можете включить Defender для контейнеров для среды GCP для защиты стандартных кластеров GKE во всей организации GCP. Просто создайте новый соединитель GCP с включенным защитником контейнеров или включите Defender для контейнеров на существующем соединителе GCP уровня организации.

Узнайте больше о подключении проектов и организаций GCP к Defender для облака.

Проверка защиты Defender для контейнеров с помощью примеров оповещений

Теперь можно создать примеры оповещений для плана Defender для контейнеров. Новые примеры оповещений представлены как из AKS, подключенных к Arc кластеров, ресурсов EKS и GKE с различными уровнями серьезности и тактикой MITRE. Примеры оповещений можно использовать для проверки конфигураций оповещений системы безопасности, таких как интеграции SIEM, автоматизация рабочих процессов и Уведомления по электронной почте.

Дополнительные сведения о проверке оповещений.

Правила управления в масштабе (предварительная версия)

Мы рады объявить о новой возможности применения правил управления в масштабе (предварительная версия) в Defender для облака.

Благодаря этому новому интерфейсу команды безопасности могут массово определять правила управления для различных областей (подписок и соединителей). Группы безопасности могут выполнить эту задачу с помощью таких областей управления, как группы управления Azure, учетные записи верхнего уровня AWS или организации GCP.

Кроме того, на странице правил управления (предварительная версия) представлены все доступные правила управления, действующие в средах организации.

Узнайте больше о новых правилах управления в масштабе.

Примечание.

По состоянию на 1 января 2023 г. для получения возможностей, предлагаемых управлением, необходимо включить план CSPM Defender в подписке или соединителе.

Возможность создания пользовательских оценок в AWS и GCP (предварительная версия) не рекомендуется

Возможность создавать пользовательские оценки для учетных записей AWS и проектов GCP, которые являлись функцией предварительной версии, устарела.

Рекомендация по настройке очередей недоставленных букв для Лямбда-функций не рекомендуется

Рекомендация Lambda functions should have a dead-letter queue configured устарела.

Рекомендация Description Серьезность
Для лямбда-функций должна быть настроена очередь недоставленных сообщений Этот элемент управления проверяет, настроена ли для лямбда-функции очередь недоставленных сообщений. Элемент управления завершается ошибкой, если Лямбда-функция не настроена в очереди недоставленных писем. В качестве альтернативы назначению на случай сбоя можно настроить для функции очередь недоставленных сообщений, в которую будут сохраняться отклоненные события для дальнейшей обработки. Очередь недоставленных сообщений действует так же, как и назначение на случай сбоя. Он используется, когда событие завершается сбоем всех попыток обработки или истекает без обработки. Очередь недоставленных сообщений позволяет просматривать ошибки или неудачные запросы к лямбда-функции для отладки или выявления необычного поведения. С точки зрения безопасности важно понять, почему не удалось выполнить функцию, и убедиться, что ваша функция не удаляет данные или не компрометируют безопасность данных в результате. Например, если ваша функция не может взаимодействовать с базовым ресурсом, который может быть симптомом атаки типа "отказ в обслуживании" (DoS) в другом месте сети. Средняя

Октябрь 2022

В октябре добавлены следующие обновления:

Объявление о тесте безопасности в облаке Майкрософт

Microsoft Cloud Security Benchmark (MCSB) — это новая платформа, определяющая основные принципы облачной безопасности на основе общих отраслевых стандартов и платформ соответствия требованиям. Вместе с подробными техническими рекомендациями по реализации этих рекомендаций на облачных платформах. MCSB заменяет Azure Security Benchmark. MCSB предоставляет подробные сведения о реализации рекомендаций по безопасности в облаке, не зависящих от облака, на нескольких платформах облачных служб, первоначально охватывающих Azure и AWS.

Теперь вы можете отслеживать состояние соответствия требованиям облачной безопасности для каждого облака в одной интегрированной панели мониторинга. McSB можно увидеть как стандарт соответствия по умолчанию при переходе на панель мониторинга соответствия нормативным требованиям Defender для облака.

Microsoft Cloud Security Benchmark автоматически назначается подпискам Azure и учетным записям AWS при подключении Defender для облака.

Дополнительные сведения о тесте безопасности в облаке Майкрософт.

Анализ пути атаки и возможности контекстной безопасности в Defender для облака (предварительная версия)

Новый граф облачной безопасности, анализ пути атаки и возможности контекстной облачной безопасности теперь доступны в Defender для облака в предварительной версии.

Одной из самых больших проблем, с которыми сталкиваются команды по безопасности сегодня, является число проблем безопасности, которые они сталкиваются ежедневно. Существует множество проблем безопасности, которые необходимо устранить и никогда не хватает ресурсов, чтобы устранить их все.

новые возможности графа облачной безопасности и анализа путей атак Defender для облака предоставляют группам безопасности возможность оценить риск каждой проблемы безопасности. Группы безопасности также могут определить самые высокие проблемы риска, которые необходимо устранить в ближайшее время. Defender для облака работает с командами по обеспечению безопасности, чтобы снизить риск нарушения их среды наиболее эффективным способом.

Дополнительные сведения о новом графе облачной безопасности, анализе пути атаки и обозревателе облачной безопасности.

Сканирование без агента для компьютеров Azure и AWS (предварительная версия)

До сих пор Defender для облака на основе оценки состояния виртуальных машин на основе агентов. Чтобы помочь клиентам максимально увеличить охват и сократить нагрузку на подключение и управление, мы выпускаем бессерверную проверку для виртуальных машин для предварительной версии.

При проверке без агента для виртуальных машин вы получаете широкую видимость установленных программ и программных CVEs. Вы получаете видимость без проблем установки и обслуживания агента, требований к сетевому подключению и производительности для рабочих нагрузок. Анализ осуществляется на Управление уязвимостями Microsoft Defender.

Сканирование уязвимостей без агента доступно как в Azure Cloud Security Posture Management (CSPM), так и в Defender для серверов P2 с собственной поддержкой AWS и виртуальных машин Azure.

  • Дополнительные сведения о сканировании без агента.
  • Узнайте, как включить оценку уязвимостей без агента.

Defender для DevOps (предварительная версия)

Microsoft Defender для облака обеспечивает полную видимость, управление состоянием и защиту от угроз в гибридных и многооблачных средах, включая Azure, AWS, Google и локальные ресурсы.

Теперь новый план Defender для DevOps интегрирует системы управления исходным кодом, такие как GitHub и Azure DevOps, в Defender для облака. Благодаря этой новой интеграции мы расширим возможности групп безопасности для защиты своих ресурсов от кода в облако.

Defender для DevOps позволяет получить представление о подключенных средах разработчика и ресурсах кода и управлять ими. В настоящее время вы можете подключить системы Azure DevOps и GitHub к Defender для облака и подключить репозитории DevOps к инвентаризации и новой странице DevOps Security. Он предоставляет группам безопасности общий обзор обнаруженных проблем безопасности, которые существуют в них на странице единой системы безопасности DevOps Security.

Вы можете настроить заметки на запросы на вытягивание, чтобы помочь разработчикам обращаться к секретам сканирования результатов в Azure DevOps непосредственно в своих запросах на вытягивание.

Средства Microsoft Security DevOps можно настроить в рабочих процессах Azure Pipelines и GitHub, чтобы включить следующие проверки безопасности:

Имя. Язык Лицензия
Бандит Python Лицензия Apache 2.0
BinSkim Двоичное — Windows, ELF Лицензия MIT
ESlint JavaScript Лицензия MIT
CredScan (только Azure DevOps) Сканер учетных данных (также известный как CredScan) — это средство, разработанное корпорацией Майкрософт для выявления утечки учетных данных, таких как в файлах исходного кода и файлов конфигурации распространенных типов: пароли по умолчанию, sql строка подключения, сертификаты с закрытыми ключами Не открытый исходный код
Анализ шаблона Шаблон ARM, Bicep-файл Лицензия MIT
Terrascan; Terraform (HCL2), Kubernetes (JSON/YAML), Helm v3, Kustomize, Dockerfiles, Cloud Formation Лицензия Apache 2.0
Триви Образы контейнеров, файловые системы, репозитории Git Лицензия Apache 2.0

Теперь для DevOps доступны следующие новые рекомендации:

Рекомендация Description Серьезность
(предварительная версия) Репозитории кода должны иметь разрешенные результаты сканирования кода Defender для DevOps обнаружил уязвимости в репозиториях кода. Чтобы повысить уровень безопасности репозиториев, настоятельно рекомендуется устранить эти уязвимости. (Связанная политика отсутствует) Средняя
(предварительная версия) Репозитории кода должны иметь разрешение на проверку секретов Defender для DevOps обнаружил секрет в репозиториях кода.  Это необходимо исправить немедленно, чтобы предотвратить брешь в системе безопасности.  Секреты, найденные в репозиториях, могут быть раскрыты или обнаружены злоумышленниками, что может привести к компрометации приложения или службы. Для Azure DevOps средство Microsoft Security DevOps CredScan проверяет только сборки, на которых она настроена для запуска. Поэтому результаты могут не отражать полное состояние секретов в репозиториях. (Связанная политика отсутствует) Высокая
(предварительная версия) Репозитории кода должны иметь разрешенные результаты проверки зависимостей Defender для DevOps обнаружил уязвимости в репозиториях кода. Чтобы повысить уровень безопасности репозиториев, настоятельно рекомендуется устранить эти уязвимости. (Связанная политика отсутствует) Средняя
(предварительная версия) Репозитории кода должны иметь инфраструктуру в качестве результата сканирования кода, разрешенных (предварительная версия) Репозитории кода должны иметь инфраструктуру в качестве результата сканирования кода, разрешенных Средняя
(предварительная версия) Репозитории GitHub должны иметь включенную проверку кода GitHub использует проверку кода для анализа кода с целью поиска уязвимостей и ошибок безопасности в коде. Сканирование кода можно использовать для поиска, рассмотрения и определения приоритетов исправлений существующих проблем в коде. Сканирование кода также может защитить от внедрения новых проблем разработчиками. Сканирования могут планироваться на определенные дни и время или активироваться при возникновении определенного события в репозитории, например при отправке. Если при сканировании кода обнаружена потенциальная уязвимость или ошибка в коде, GitHub отображает оповещение в репозитории. Уязвимость — это проблема в коде проекта, которую можно использовать для нарушения конфиденциальности, целостности или доступности проекта. (Связанная политика отсутствует) Средняя
(предварительная версия) Репозитории GitHub должны иметь включенную проверку секретов GitHub сканирует репозитории на наличие известных типов секретов, чтобы предотвратить мошенническое использование секретов, которые были случайно зафиксированы в репозиториях. Сканирование секретов будет охватывать весь журнал на наличие секретов GIT во всех ветвях, присутствующих в репозитории GitHub. Примерами секретов являются маркеры и закрытые ключи, которые поставщик услуг может выдать для проверки подлинности. Если секрет зарегистрирован в репозитории, любой, у кого есть доступ на чтение в репозитории, сможет использовать этот секрет для доступа к внешней службе с теми привилегиями. Секреты должны храниться в выделенном безопасном расположении за пределами репозитория проекта. (Связанная политика отсутствует) Высокая
(предварительная версия) Репозитории GitHub должны иметь включенную проверку зависимостей GitHub отправляет оповещения Dependabot при обнаружении уязвимостей в зависимостях кода, влияющих на репозитории. Уязвимость — это недостаток в коде проекта, который может привести к нарушению конфиденциальности, целостности или доступности проекта или других проектов, использующих его код. Уязвимости зависят от типа, серьезности и метода атаки. Если ваш код зависит от пакета, содержащего уязвимость в системе безопасности, эта уязвимая зависимость может вызвать ряд проблем. (Связанная политика отсутствует) Средняя

Рекомендации Defender для DevOps заменили устаревший сканер уязвимостей для рабочих процессов CI/CD, включенных в Defender для контейнеров.

Дополнительные сведения об Defender для DevOps

Панель мониторинга соответствия нормативным требованиям теперь поддерживает управление вручную и подробные сведения о состоянии соответствия Майкрософт

Панель мониторинга соответствия требованиям в Defender для облака — это ключевое средство для клиентов, которое помогает им определять и отслеживать состояние соответствия требованиям. Клиенты могут постоянно отслеживать среды в соответствии с требованиями различных стандартов и нормативных требований.

Теперь вы можете полностью управлять состоянием соответствия, вручную заверяя работу и другие элементы управления. Теперь вы можете предоставить доказательства соответствия для средств управления, которые не автоматизированы. Вместе с автоматизированными оценками теперь можно создать полный отчет о соответствии в выбранной области, обращаясь ко всему набору средств управления для определенного стандарта.

Кроме того, благодаря более подробной информации об управлении, а также расширенным сведениям и свидетельствам о состоянии соответствия Майкрософт теперь у вас есть вся информация, необходимая для аудита.

Вот некоторые новые преимущества:

  • Действия клиентов вручную предоставляют механизм для проверки соответствия требованиям, неавтомным элементам управления. Включая возможность связывания доказательств, задайте дату соответствия и дату окончания срока действия.

  • Более подробные сведения о элементах управления для поддерживаемых стандартов, демонстрирующих действия Майкрософт и действия клиента вручную, а также уже существующие автоматизированные действия клиента.

  • Действия Майкрософт обеспечивают прозрачность состояния соответствия корпорации Майкрософт, включая процедуры оценки аудита, результаты тестирования и ответы Майкрософт на отклонения.

  • Предложения соответствия требованиям предоставляют централизованное расположение для проверки продуктов Azure, Dynamics 365 и Power Platform и их соответствующих сертификатов соответствия нормативным требованиям.

Узнайте, как оптимизировать соответствие нормативным требованиям с помощью Defender для облака.

Автоматическая подготовка переименована в Параметры и мониторинг и имеет обновленный интерфейс

Мы переименовали страницу автоматической подготовки в параметры и мониторинг.

Автоматическая подготовка предназначена для обеспечения масштабируемого включения необходимых компонентов, необходимых для расширенных функций и возможностей Defender для облака. Чтобы улучшить поддержку расширенных возможностей, мы запускаем новый интерфейс со следующими изменениями:

Теперь страница планов Defender для облака включает:

  • При включении плана Defender, требующего компонентов мониторинга, эти компоненты включены для автоматической подготовки с параметрами по умолчанию. Эти параметры можно изменять в любое время.
  • Вы можете получить доступ к параметрам компонентов мониторинга для каждого плана Defender на странице плана Defender.
  • Страница планов Defender четко указывает, установлены ли все компоненты мониторинга для каждого плана Defender или если покрытие мониторинга не завершено.

Страница "Параметры" и "Мониторинг":

  • Каждый компонент мониторинга указывает планы Defender, к которым он связан.

Дополнительные сведения об управлении параметрами мониторинга.

Управление облачной безопасностью Defender (CSPM)

Одним из основных принципов обеспечения безопасности облака, реализованных в Microsoft Defender для облака, является Управление состоянием безопасности облака (CSPM). CSPM определяет рекомендации по усилению защиты, которые помогают эффективно и результативно повысить уровень безопасности. CSPM также дает представление о текущей ситуации с безопасностью.

Мы объявляем новый план Defender: CsPM Defender. Этот план повышает возможности безопасности Defender для облака и включает следующие новые и расширенные функции:

  • Непрерывная оценка конфигурации безопасности облачных ресурсов
  • Рекомендации по безопасности для устранения ошибок и слабых мест
  • Оценка безопасности
  • Система управления
  • Соблюдение нормативных требований
  • Граф облачной безопасности
  • Анализ пути атаки
  • Сканирование без агента для компьютеров

Дополнительные сведения о плане CSPM Defender.

Сопоставление платформы MITRE ATT&CK теперь доступно для рекомендаций по безопасности AWS и GCP

Для аналитиков безопасности важно определить потенциальные риски, связанные с рекомендациями по безопасности, и понять векторы атак, чтобы они могли эффективно определять приоритеты своих задач.

Defender для облака упрощает приоритет, сопоставляя рекомендации по безопасности Azure, AWS и GCP с платформой MITRE ATT&CK. Платформа MITRE ATT&CK является глобально доступной база знаний тактики и методов злоумышленника на основе реальных наблюдений, что позволяет клиентам укрепить безопасную конфигурацию своих сред.

Платформа MITRE ATT&CK интегрирована тремя способами:

  • Рекомендации сопоставляют тактику и методы MITRE ATT&CK.
  • Запрос тактики и методов MITRE ATT&CK по рекомендациям с помощью Azure Resource Graph.

Снимок экрана, на котором показано, где существует атака MITRE в портал Azure.

Defender для контейнеров теперь поддерживает оценку уязвимостей для реестра эластичных контейнеров (предварительная версия)

Microsoft Defender для контейнеров теперь предоставляет проверку уязвимостей без агента для эластичного реестра контейнеров (ECR) в Amazon AWS. Расширение охвата для мультиоблачных сред, основываясь на выпуске в начале этого года расширенной защиты от угроз и защиты среды Kubernetes для AWS и Google GCP. Модель без агента создает ресурсы AWS в учетных записях, чтобы сканировать изображения, не извлекая изображения из учетных записей AWS и не имея места на рабочей нагрузке.

Проверка уязвимостей без агента для изображений в репозиториях ECR помогает уменьшить область атак контейнеризованного пространства путем непрерывного сканирования образов для выявления уязвимостей контейнеров и управления ими. В этом новом выпуске Defender для облака сканирует образы контейнеров после отправки в репозиторий и постоянно переназначает образы контейнеров ECR в реестре. Результаты доступны в Microsoft Defender для облака в качестве рекомендаций, и вы можете использовать встроенные автоматизированные рабочие процессы Defender для облака для принятия решений, таких как открытие билета на исправление уязвимости высокой серьезности на изображении.

Дополнительные сведения об оценке уязвимостей для образов Amazon ECR.

2022 сентября

В сентябре добавлены следующие обновления:

Подавление оповещений на основе сущностей контейнера и Kubernetes

  • Kubernetes Namespace
  • Kubernetes Pod
  • Kubernetes Secret
  • Kubernetes ServiceAccount
  • Kubernetes ReplicaSet
  • Kubernetes StatefulSet
  • Kubernetes DaemonSet
  • Kubernetes Job
  • Kubernetes CronJob

См. дополнительные сведения о правилах генерации оповещений.

Defender для серверов поддерживает мониторинг целостности файлов с использованием агента Azure Monitor

Мониторинг целостности файлов проверяет файлы и реестры операционной системы на наличие изменений, которые могут указывать на атаку.

Эта функция теперь доступна в новой версии на основе агента Azure Monitor (AMA), который можно развернуть с помощью Defender для облака.

Дополнительные сведения см. в статье Мониторинг целостности файлов с использованием агента Azure Monitor.

Устаревшие API оценки

Следующие API не рекомендуется использовать:

  • Задачи по обеспечению безопасности
  • состояния системы безопасности
  • Сводки по безопасности

Эти три API предоставляют старые форматы оценок и заменяются API оценки и API-интерфейсами subAssessmentsments. Все данные, предоставляемые этими устаревшими API, также доступны в новых API.

Дополнительные рекомендации, добавленные в удостоверение

рекомендации Defender для облака по улучшению управления пользователями и учетными записями.

Новые рекомендации

Новый выпуск содержит следующие возможности:

  • Расширенная область оценки— покрытие улучшается для учетных записей удостоверений без MFA и внешних учетных записей в ресурсах Azure (а не только в подписках), что позволяет администраторам безопасности просматривать назначения ролей для каждой учетной записи.

  • Улучшенный интервал свежести. Рекомендации по идентификации теперь имеют интервал свежести в 12 часов.

  • Возможность исключения для учетной записи.. В Defender для облака доступно множество функций для настройки рабочего процесса и включения в оценку безопасности приоритетов безопасности вашей организации. Например, можно исключить ресурсы и рекомендации из оценки безопасности.

    Это обновление позволяет исключить определенные учетные записи из оценки с помощью шести рекомендаций, перечисленных в следующей таблице.

    Как правило, вы исключили учетные записи аварийного взлома из рекомендаций MFA, так как такие учетные записи часто намеренно исключены из требований MFA организации. Кроме того, у вас могут быть внешние учетные записи, к которым вы хотите разрешить доступ, у которых нет многофакторной проверки подлинности.

    Совет

    Если вы исключите учетную запись, она не будет отображаться как неработоспособная и не станет причиной неработоспособности подписки.

    Рекомендация Ключ оценки
    Для учетных записей с разрешениями владельца для ресурсов Azure должна быть включена многофакторная проверка подлинности 6240402e-f77c-46fa-9060-a7ce53997754
    Для учетных записей с разрешениями на запись для ресурсов Azure должна быть включена многофакторная проверка подлинности c0cb17b2-0607-48a7-b0e0-903ed22de39b
    Для учетных записей с разрешениями на чтение для ресурсов Azure должна быть включена многофакторная проверка подлинности dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
    Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены 20606e75-05c4-48c0-9d97-add6daa2109a
    Гостевые учетные записи с разрешениями на запись для ресурсов Azure должны быть удалены 0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
    Гостевые учетные записи с разрешениями на чтение для ресурсов Azure должны быть удалены fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
    Заблокированные учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены 050ac097-3dda-4d24-ab6d-82568e7a50cf
    Заблокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены 1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Рекомендации, хотя и в предварительной версии, будут отображаться рядом с рекомендациями, которые в настоящее время находятся в общедоступной версии.

Удалены оповещения системы безопасности для компьютеров, которые сообщают о рабочих областях Log Analytics между клиентами

В прошлом Defender для облака позволить выбрать рабочую область, в которую передаются агенты Log Analytics. Когда компьютер принадлежал одному клиенту (клиент A), но его агент Log Analytics сообщил рабочей области в другом клиенте ("Клиент B"), оповещения системы безопасности о компьютере были сообщены первому клиенту (клиент A).

При этом изменении оповещения на компьютерах, подключенных к рабочей области Log Analytics, в другом клиенте больше не отображаются в Defender для облака.

Если вы хотите продолжить получать оповещения в Defender для облака, подключите агент Log Analytics соответствующих компьютеров к рабочей области в том же клиенте, что и компьютер.

Дополнительные сведения о оповещениях системы безопасности.

Август 2022 г.

В августе добавлены следующие обновления:

Уязвимости для запущенных образов теперь можно увидеть с помощью Defender для контейнеров Windows.

Defender для контейнеров теперь отображает уязвимости для запущенных контейнеров Windows.

При обнаружении уязвимостей Defender для облака создает следующую рекомендацию по безопасности, в которой перечислены обнаруженные проблемы: для запущенных образов контейнеров необходимо устранить обнаруженные уязвимости.

Узнайте больше о просмотре уязвимостей для запущенных образов.

Интеграция агента Azure Monitor теперь предоставляется в режиме предварительной версии

Defender для облака теперь поддерживает предварительную версию агента Azure Monitor (AMA). AMA заменит собой устаревший агент Log Analytics (известный как Microsoft Monitoring Agent (MMA)), поддержка которого скоро будет прекращена. AMA предоставляет множество преимуществ по сравнению с устаревшими агентами.

В Defender для облака при включении автоматической подготовки для AMA агент развертывается на существующих и новых виртуальных машинах и компьютерах с поддержкой Azure Arc, обнаруженных в подписках. Если включены планы Defenders для облака, AMA собирает сведения о конфигурации и журналы событий из виртуальных машин Azure и компьютеров Azure Arc. Интеграция AMA доступна в предварительной версии, поэтому мы рекомендуем использовать ее в тестовой среде, а не в рабочих средах.

В следующей таблице перечислены оповещения, которые признаны нерекомендуемыми:

Имя оповещения Description Тактика Важность
Обнаружена операция сборки Docker на узле Kubernetes
(VM_ImageBuildOnNode)
Журналы компьютеров указывают на операцию сборки образа контейнера на узле Kubernetes. Хотя такое поведение может быть допустимым, злоумышленники могут создавать свои вредоносные образы локально, чтобы избежать обнаружения. Уклонение от защиты Низкая
Suspicious request to Kubernetes API (Подозрительный запрос к API Kubernetes)
(VM_KubernetesAPI)
Журналы компьютера указывают на то, что был сделан подозрительный запрос к API Kubernetes. Запрос был отправлен с узла Kubernetes, возможно, из одного из контейнеров, запущенных в узле. Хотя такое поведение может быть допустимым, оно может указывать на то, что в узле выполняется скомпрометированный контейнер. LateralMovement Средняя
SSH server is running inside a container (Сервер SSH работает в контейнере)
(VM_ContainerSSH)
Журналы компьютера указывают, что сервер SSH работает в контейнере Docker. Хотя такое поведение может быть намеренным, оно часто указывает на то, что контейнер неправильно настроен или его безопасность нарушена. Выполнение Средняя

Эти оповещения используются для уведомления пользователя о подозрительной активности, подключенной к кластеру Kubernetes. Оповещения будут заменены соответствующими оповещениями, которые являются частью оповещений Microsoft Defender для облака контейнеров (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI и K8S.NODE_ ContainerSSH), которые обеспечивают улучшенную точность и комплексный контекст для изучения и принятия мер по оповещениям. Узнайте больше об оповещениях для кластеров Kubernetes.

Информация об уязвимостях контейнера теперь содержит подробные сведения о пакете

Оценка уязвимостей в Defender для контейнеров теперь включает подробные сведения о пакете для каждого найденного элемента, включая имя пакета, тип пакета, путь, установленную версию и исправленную версию. Сведения о пакете позволяют найти уязвимые пакеты, чтобы вы могли устранить уязвимость или удалить пакет.

Эти подробные сведения о пакете доступны для новых проверок образов.

Снимок экрана: сведения о пакете, отображаемые для уязвимостей контейнера.

Июль 2022

В июле добавлены следующие обновления:

Общая доступность ориентированного на облако агента безопасности для защиты среды выполнения Kubernetes

Мы рады сообщить о выходе ориентированного на облако агента безопасности для защиты среды выполнения Kubernetes в общую доступность.

Производственные развертывания кластеров Kubernetes продолжают расширяться, поскольку клиенты продолжают контейнеризировать свои приложения. В целях содействия этому расширению команда Defender для контейнеров разработала ориентированный на облако агент безопасности Kubernetes.

Новый агент безопасности — это Kubernetes DaemonSet, основанный на технологии eBPF и полностью интегрированный в кластеры AKS в составе профиля безопасности AKS.

Включение агента безопасности доступно с помощью автоматической подготовки, потока рекомендаций, AKS RP или масштабирования с помощью Политика Azure.

Агент Defender можно развернуть сегодня в кластерах AKS.

После выхода этого объявления также становится общедоступной рабочая нагрузка защиты среды выполнения — обнаружение угроз.

Узнайте больше о доступности функций Defender для контейнера.

Вы также можете просмотреть все доступные оповещения.

Обратите внимание, что если вы используете предварительную версию, флаг компонента AKS-AzureDefender больше не требуется.

VA Defender для контейнеров добавляет поддержку обнаружения языковых пакетов (предварительная версия)

Оценка уязвимостей (VA) в Defender для контейнеров позволяет обнаруживать уязвимости в пакетах ОС, развернутых с помощью диспетчера пакетов ОС. Мы расширили возможности VA — теперь эта функция может обнаруживать уязвимости, включенные в языковые пакеты.

Эта функция доступна в предварительной версии и доступна только для образов Linux.

Просмотреть все добавленные языковые пакеты можно в полном списке функций Defender для контейнеров и их доступности.

Защита от уязвимости инфраструктуры Operations Management CVE-2022-29149

Инфраструктура Operations Management (OMI) — это набор облачных служб для централизованного управления локальными и облачными средами. Все компоненты OMI размещаются в Azure, благодаря чему отсутствует необходимость развертывания и администрирования локальных ресурсов.

Служба Log Analytics, интегрированная с Azure HDInsight под управлением OMI версии 13, требует исправления для устранения CVE-2022-29149. Ознакомьтесь с отчетом об этой уязвимости в руководстве по обновлению системы безопасности Майкрософт, чтобы узнать, как определить ресурсы, затронутые этой уязвимостью, и какие действия по исправлению следует выполнить.

Если Defender для серверов поддерживает оценку уязвимостей, эту книгу можно использовать для выявления затронутых ресурсов.

Интеграция с управлением разрешениями Entra

Defender для облака интегрирован с Управлением разрешениями Microsoft Entra, решением для управления правами облачной инфраструктуры (CIEM), которое обеспечивает комплексную видимость и контроль над разрешениями на доступ к любому удостоверению и любому ресурсу в Azure, AWS и GCP.

В каждой подписке Azure, учетной записи AWS и проекте GCP, который вы подключите, будет отображаться представление индекса смещения разрешений (PCI).

Дополнительные сведения об Управлении разрешениями Entra (прежнее название — Cloudknox).

Статус рекомендаций Key Vault изменен на "аудит"

Эффект для указанных здесь рекомендаций Key Vault был изменен на "аудит".

Имя рекомендации ИД рекомендации
Срок действия сертификатов, хранящихся в Azure Key Vault, не должен превышать 12 месяцев. fc84abc0-eee6-4758-8372-a7681965ca44
Для секретов Key Vault должна быть задана дата окончания срока действия 14257785-9437-97fa-11ae-898cfb24302b
Ключи Key Vault должны иметь дату окончания срока действия 1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

Нерекомендуемые политики приложений API для Службы приложений

Мы прекратили поддержку указанных ниже политик в пользу уже существующих соответствующих политик, в которых включен API приложений.

Будет считаться устаревшей Будет использоваться
Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' App Service apps should have 'Client Certificates (Incoming client certificates)' enabled
Ensure that 'Python version' is the latest, if used as a part of the API app App Service apps that use Python should use the latest Python version'
CORS should not allow every resource to access your API App App Service apps should not have CORS configured to allow every resource to access your apps
Managed identity should be used in your API App App Service apps should use managed identity
Remote debugging should be turned off for API Apps App Service apps should have remote debugging turned off
Ensure that 'PHP version' is the latest, if used as a part of the API app App Service apps that use PHP should use the latest 'PHP version'
FTPS only should be required in your API App App Service apps should require FTPS only
Ensure that 'Java version' is the latest, if used as a part of the API app App Service apps that use Java should use the latest 'Java version'
Latest TLS version should be used in your API App App Service apps should use the latest TLS version

Июнь 2022 г.

В июне добавлены следующие обновления:

Общая доступность (общедоступная версия) Microsoft Defender для Azure Cosmos DB

Microsoft Defender для Azure Cosmos DB теперь предоставляется в общедоступной версии с поддержкой типов учетных записей API SQL (Core).

Этот новый выпуск общедоступной версии является частью пакета защиты баз данных Microsoft Defender для облака, который включает в себя разные типы баз данных SQL и MariaDB. Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает попытки использования баз данных в ваших учетных записях Azure Cosmos DB.

Когда вы включите этот план, вы будете оповещаться о потенциальном внедрении кода SQL, известных злоумышленниках, подозрительных шаблонах доступа и потенциальных исследованиях вашей базы данных через скомпрометированные удостоверения или злоумышленников.

При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения предоставляют подробные сведения о подозрительной активности, а также соответствующие шаги расследования, действия по исправлению и рекомендации по безопасности.

Microsoft Defender для Azure Cosmos DB постоянно анализирует поток телеметрии, созданный службами Azure Cosmos DB, и сопоставляет их с Microsoft Threat Intelligence и поведенческими моделями для обнаружения любых подозрительных действий. Defender для Azure Cosmos DB не обращается к данным учетной записи Azure Cosmos DB и не влияет на производительность базы данных.

См. дополнительные сведения о Microsoft Defender для Azure Cosmos DB.

С добавлением поддержки Azure Cosmos DB Defender для облака теперь предоставляет одно из наиболее полных предложений по защите рабочих нагрузок для облачных баз данных. Команды по обеспечению безопасности и владельцы баз данных теперь могут централизованно управлять безопасностью баз данных в своих средах.

Узнайте, как включить защиту для баз данных.

общедоступная версия Defender для SQL на компьютерах для сред AWS и GCP;

К возможностям защиты баз данных, предоставляемым Microsoft Defender для облака, добавлена поддержка серверов SQL, размещенных в средах AWS или GCP.

Теперь с помощью Defender для SQL предприятия могут защищать свои данные независимо от того, где они размещены: в Azure, AWS, GCP или на локальных компьютерах.

Microsoft Defender для SQL предоставляет унифицированный многооблачный интерфейс для просмотра рекомендаций по безопасности, оповещений системы безопасности и результатов оценки уязвимостей как для сервера SQL Server, так и для базовой ОС Windows.

Используя многооблачный интерфейс подключения, вы можете включить и применить защиту баз данных для серверов SQL, работающих в AWS EC2, RDS Custom для SQL Server и вычислительной подсистемы GCP. При включении любого из этих планов активируется защита для всех поддерживаемых ресурсов, существующих в подписке. Будущие ресурсы, созданные в той же подписке, также будут защищены.

Узнайте, как защитить и подключить свою среду AWS и свою организацию GCP с помощью Microsoft Defender для облака.

Управление реализацией рекомендаций по защите для повышения уровня безопасности

Сегодня появляется все больше угроз для организаций. Защита расширяющихся рабочих нагрузок требует задействования большого числа сотрудников службы безопасности. Перед командами по обеспечению безопасности стоит непростая задача реализации средств защиты, определенных в их политиках безопасности.

Теперь с интерфейсом управления в предварительной версии команды безопасности могут назначать исправления рекомендаций по безопасности владельцам ресурсов и требовать расписание исправления. Специалисты по обеспечению безопасности могут полностью отслеживать ход исправления и получать уведомления о просроченных задачах.

Ознакомьтесь с дополнительными сведениями о возможностях системы управления в статье Налаживание в организации устранения проблем безопасности с помощью системы управления рекомендациями.

фильтрация оповещений системы безопасности по IP-адресу;

Во многих случаях совершения атак необходимо отслеживать оповещения на основе IP-адреса сущности, связанной с атакой. До сих пор IP-адрес отображался только в разделе "Связанные сущности" в одной колонке оповещений. Теперь вы можете отфильтровать оповещения на странице оповещений системы безопасности, чтобы просмотреть оповещения, связанные с IP-адресом, и найти конкретный IP-адрес.

Снимок экрана: фильтр для IP-адреса в оповещениях Defender для облака.

группирование оповещений по группе ресурсов.

Возможность фильтрации, сортировки и группировки по группе ресурсов добавляется на страницу оповещений системы безопасности.

Столбец группы ресурсов добавляется в сетку оповещений.

Снимок экрана: добавленный столбец группы ресурсов.

Добавлен новый фильтр, позволяющий просматривать все оповещения для определенных групп ресурсов.

Снимок экрана: новый фильтр группы ресурсов.

Теперь вы можете группировать оповещения по группе ресурсов, чтобы просмотреть все оповещения для каждой группы ресурсов.

Снимок экрана: просмотр оповещений, сгруппированных по группе ресурсов.

Автоматическая подготовка единого решения Microsoft Defender для конечной точки

До сих пор интеграция с Microsoft Defender для конечной точки (MDE) включала автоматическую установку нового унифицированного решения MDE для компьютеров (подписки Azure и многооблачные соединители) с включенным решением Defender для серверов (план 1) и для многооблачных соединителей с включенным решением Defender для серверов (план 2). План 2 для подписок Azure включает унифицированное решение только для компьютеров Linux и серверов Windows 2019 и 2022. Серверы Windows 2012R2 и 2016 использовали устаревшее решение MDE, зависящее от агента Log Analytics.

Теперь новое унифицированное решение доступно для всех компьютеров в обоих планах, как для подписок Azure, так и для многооблачных соединителей. Для подписок Azure с планами 2 серверов, которые включили интеграцию MDE после 20 июня 2022 г., единое решение по умолчанию включается для всех компьютеров Azure с поддержкой плана 2 Defender для серверов 2 с поддержкой интеграции MDE до 20 июня 2022 г. теперь может включить единую установку решения для серверов Windows Server 2012R2 и 2016 с помощью выделенной кнопки на странице интеграции:

Дополнительные сведения см. в разделе Интеграция MDE с Defender для серверов.

Прекращение использования политики "Приложение API должно быть доступно только по протоколу HTTPS"

Политика API App should only be accessible over HTTPS устарела. Эта политика заменена политикой Web Application should only be accessible over HTTPS , в которую переименовывается App Service apps should only be accessible over HTTPS.

Дополнительные сведения см. в статье Политика Azure встроенных определений для Службы приложений Azure.

Новые оповещения Key Vault

Чтобы расширить защиту от угроз, предоставляемую Microsoft Defender для Key Vault, мы добавили два новых оповещения.

Эти оповещения информируют об аномалии отказа в доступе, обнаруженной для любого из ваших хранилищ ключей.

Оповещение (тип оповещения) Description Тактика MITRE Важность
Запрещен необычный доступ — пользователю запрещен доступ к большому количеству хранилищ ключей
(KV_DeniedAccountVolumeAnomaly)
Пользователь или субъект-служба попытались получить доступ к аномально большому числу хранилищ ключей за последние 24 часа. Этот аномальный шаблон доступа может быть легитимным. Хотя доступ был запрещен, эти действия могут свидетельствовать о возможной попытке доступа к хранилищам ключей и находящимся в них секретам. Мы рекомендуем провести дополнительное расследование. Обнаружение Низкая
Запрещен необычный доступ — пользователю запрещен необычный доступ к хранилищу ключей
(KV_UserAccessDeniedAnomaly)
Пользователь, который обычно не обращается к хранилищу, предпринял попытку доступа к нему. Этот аномальный шаблон доступа может быть легитимным. Хотя доступ был запрещен, эти действия могут свидетельствовать о возможной попытке доступа к хранилищам ключей и находящимся в них секретам. Первоначальный доступ, обнаружение Низкая

Май 2022 г.

В мае добавлены следующие обновления:

Параметры многооблачного плана серверов теперь доступны на уровне соединителя

Теперь в многооблачных средах есть параметры уровня соединителя для Defender для серверов.

Новые параметры уровня соединителя обеспечивают детализацию цен и автоматической подготовки конфигурации для каждого соединителя независимо от подписки.

Все компоненты автоматической подготовки, доступные на уровне соединителя (Azure Arc, MDE и оценки уязвимостей), включены по умолчанию, и новая конфигурация поддерживает как ценовые категории плана 1, так и план 2.

Обновления в пользовательском интерфейсе включают отражение выбранной ценовой категории и настроенные необходимые компоненты.

Снимок экрана: основная страница плана с параметрами многооблачного плана серверов.

Снимок экрана: страница автопроизвидения с включенным соединителем multicloud.

Изменения в оценке уязвимостей

Сейчас Defender для контейнеров не отображает уязвимости со средним и низким уровнем серьезности, которые нельзя исправить.

В результате этого обновления теперь отображаются уязвимости со средним и низким уровнем серьезности независимо от доступности исправлений. Это обновление обеспечивает максимальную видимость, но при этом позволяет отфильтровывать нежелательные уязвимости с помощью указанного правила отключения.

Снимок экрана правила отключения.

Узнать больше об управлении уязвимостями можно здесь.

JIT-доступ для виртуальных машин теперь доступен для экземпляров AWS EC2 (предварительная версия)

При подключении учетных записей AWS JIT автоматически оценивает конфигурацию сети групп безопасности экземпляра и рекомендует, какие экземпляры нуждаются в защите для доступных портов управления. Это похоже на то, как JIT работает с Azure. При подключении незащищенных экземпляров EC2 JIT блокирует общий доступ к портам управления и открывает их только с авторизованными запросами на ограниченный временной интервал.

Узнайте, как JIT защищает экземпляры AWS EC2

Добавление и удаление датчика Defender для кластеров AKS с помощью интерфейса командной строки

Агент Defender требуется для защитника для контейнеров для обеспечения защиты среды выполнения и сбора сигналов от узлов. Теперь можно использовать Azure CLI для добавления и удаления агента Defender для кластера AKS.

Примечание.

Этот параметр включен в Azure CLI 3.7 и более поздних версий.

Апрель 2022 г.

В апреле добавлены следующие обновления:

Новые планы Defender для серверов

Microsoft Defender для серверов теперь предлагается в двух дополнительных планах:

  • Defender для серверов (план 2), ранее — Defender для серверов
  • Defender для серверов (план 1) предоставляет поддержку только Defender для конечной точки

В то время как Defender для серверов (план 2) по-прежнему обеспечивает защиту от угроз и уязвимостей для ваших облачных и локальных рабочих нагрузок, Defender для серверов (план 1) обеспечивает защиту только конечных точек на основе встроенной интеграции с Defender для облака. Подробные сведения см. в статье планы Defender для серверов.

Если вы используете Defender для серверов до сих пор, никаких действий не требуется.

Кроме того, Defender для облака также начинает постепенную поддержку унифицированного агента Defender для конечной точки для Windows Server 2012 R2 и 2016. Defender для серверов (план 1) развертывает новый унифицированный агент для рабочих нагрузок Windows Server 2012 R2 и 2016.

Перемещение пользовательских рекомендаций

Пользовательские рекомендации создаются пользователями и не влияют на оценку безопасности. Пользовательские рекомендации теперь можно найти на вкладке "Все рекомендации".

Используйте новый фильтр "тип рекомендации" для поиска пользовательских рекомендаций.

Узнайте больше в разделе Создание пользовательских инициатив и политик безопасности.

Скрипт PowerShell для потоковой передачи оповещений в Splunk и IBM QRadar

Рекомендуется использовать Центры событий и встроенный соединитель для экспорта оповещений системы безопасности в Splunk и IBM QRadar. Теперь можно использовать скрипт PowerShell для настройки ресурсов Azure, необходимых для экспорта оповещений системы безопасности для подписки или клиента.

Просто скачайте и запустите скрипт PowerShell. После того как вы предоставите несколько сведений о своей среде, скрипт настроит ресурсы для вас. Затем скрипт создает выходные данные, используемые на платформе SIEM для завершения интеграции.

Дополнительные сведения см. в разделе Потоковая передача оповещений в Splunk и QRadar.

Не рекомендуется использовать рекомендацию по кэшу Azure для Redis

Рекомендация Azure Cache for Redis should reside within a virtual network (предварительная версия) устарела. Мы изменили наше руководство по защите Кэш Azure для Redis экземпляров. Рекомендуется использовать частную конечную точку для ограничения доступа к экземпляру кэша Azure для Redis вместо виртуальной сети.

Новый вариант оповещения для Microsoft Defender для хранилища (предварительная версия) для обнаружения уязвимости конфиденциальных данных

Оповещения Microsoft Defender для службы хранилища уведомляют вас, когда злоумышленники пытаются сканировать и выявлять (успешно или нет) неправильно настроенные общедоступные контейнеры хранилища, чтобы попытаться украсть конфиденциальную информацию.

Чтобы обеспечить более быстрое рассмотрение и меньшее время отклика в случае кражи потенциально конфиденциальных данных, был выпущен новый вариант существующего оповещения Publicly accessible storage containers have been exposed.

Новое оповещение Publicly accessible storage containers with potentially sensitive data have been exposedактивируется с High уровнем серьезности, после успешного обнаружения открытых контейнеров хранилища с именами, которые статистически были обнаружены для общедоступного доступа, предполагая, что они могут хранить конфиденциальную информацию.

Оповещение (тип оповещения) Description Тактика MITRE Важность
ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — общедоступные контейнеры хранилища с потенциально конфиденциальными данными были раскрыты
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)
Кто-то просканировал вашу учетную запись хранилища Azure и открытые контейнеры, к которым разрешен общий доступ. Один или несколько доступных контейнеров имеют имена, указывающие на то, что они могут содержать конфиденциальные данные.

Обычно это указывает на рекогносцировку субъектом угрозы, который сканирует неправильно настроенные общедоступные контейнеры хранения, которые могут содержать конфиденциальные данные.

После успешного обнаружения контейнера субъект угрозы может продолжить процесс кражи данных.
✔ Хранилище BLOB-объектов Azure
✖ Файлы Azure
✖ Azure Data Lake Storage 2-го поколения
Коллекция Высокая

Заголовок оповещения проверки контейнера дополнен репутацией IP-адресов

Репутация IP-адреса может указывать на то, исходит ли сканирование от известного субъекта угрозы или от субъекта, который использует сеть Tor, чтобы скрыть свое удостоверение. Оба этих индикатора предполагают наличие вредоносного намерения. Репутация IP-адреса обеспечивается Microsoft Threat Intelligence.

Добавление репутации IP-адреса к заголовку оповещения позволяет быстро оценить намерения субъекта и, следовательно, серьезность угрозы.

Следующие оповещения включают приведенные ниже сведения:

  • Publicly accessible storage containers have been exposed

  • Publicly accessible storage containers with potentially sensitive data have been exposed

  • Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

Например, добавленная информация к заголовку оповещения Publicly accessible storage containers have been exposed будет выглядеть следующим образом:

  • Publicly accessible storage containers have been exposedby a suspicious IP address

  • Publicly accessible storage containers have been exposedby a Tor exit node

Все оповещения для Microsoft Defender для хранилища будут по-прежнему включать сведения об аналитике угроз в сущности IP-адреса в разделе "Связанные объекты" оповещения.

Просмотр журналов действий, связанных с оповещением системы безопасности

В рамках действий, которые можно предпринять для оценки оповещения системы безопасности, можно найти связанные журналы платформы в контексте проверки ресурсов для получения контекста затронутых ресурсов. Microsoft Defender для облака определяет журналы платформы в течение одного дня относительно оповещения.

Журналы платформы помогут оценить угрозу безопасности и определить действия, которые можно предпринять для устранения выявленных рисков.

Март 2022 г.

В марте добавлены следующие обновления:

Глобальная доступность оценки безопасности для сред AWS и GCP

Возможности управления состоянием безопасности облака, предоставляемые Microsoft Defender для облака, теперь добавили поддержку сред AWS и GCP в рамках оценки безопасности.

Теперь предприятия могут просматривать общее состояние безопасности в различных средах, таких как Azure, AWS и GCP.

Страница "Оценка безопасности" заменена панелью мониторинга состояния безопасности. Панель мониторинга состояния безопасности позволяет просматривать общую совокупную оценку для всех сред или разбивку состояния безопасности по любому выбранному сочетанию сред.

Страница "Рекомендации" также была переработана для предоставления новых возможностей, таких как выбор облачной среды, расширенные фильтры на основе содержимого (группа ресурсов, учетная запись AWS, проект GCP и многое другое), улучшенный пользовательский интерфейс при низком разрешении, поддержка открытого запроса в графике ресурсов и многое другое. Вы можете узнать больше об общем состоянии безопасности и рекомендациях по безопасности.

Устарели рекомендации по установке агента сбора данных о трафике

В связи с изменениями в стратегии развития и приоритетах агент сбора данных о трафике больше не требуется. Следующие две рекомендации и связанные с ними политики устарели.

Рекомендация Description Серьезность
На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика. Defender для облака использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и для реализации расширенных функций защиты, таких как визуализация трафика на карте сети, выдача рекомендаций по улучшению безопасности и обработка конкретных сетевых угроз. Средняя
На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика Defender для облака использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и для реализации расширенных функций защиты, таких как визуализация трафика на карте сети, выдача рекомендаций по улучшению безопасности и обработка конкретных сетевых угроз. Средняя

Defender для контейнеров теперь может проверять наличие уязвимостей в Windows образах (предварительная версия)

Проверка образа Defender для контейнера теперь поддерживает образы Windows, размещенные в Реестре контейнеров Azure. Эта функция предоставляется бесплатно в режиме предварительной версии, но когда она станет общедоступной, за нее будет взиматься плата.

Дополнительные сведения см. в статье Использование Microsoft Defender для контейнеров с целью проверки образов на наличие уязвимостей.

Новое оповещение для Microsoft Defender для хранилища (предварительная версия)

Чтобы расширить возможности защиты от угроз, предоставляемой Microsoft Defender для хранилища, мы добавили новое оповещение в предварительной версии.

Субъекты угроз используют приложения и средства для обнаружения учетных записей хранения и доступа к ним. Microsoft Defender для хранилища обнаруживает эти приложения и средства, чтобы их можно было заблокировать и исправить состояние.

Это оповещение в предварительной версии называется Access from a suspicious application. Оповещение относится только к Хранилищу BLOB-объектов и ADLS 2-го поколения.

Оповещение (тип оповещения) Description Тактика MITRE Важность
PREVIEW - Access from a suspicious application (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — доступ из подозрительного приложения)
(Storage.Blob_SuspiciousApp)
Указывает, что подозрительное приложение успешно обращалось к контейнеру учетной записи хранения с проверкой подлинности.
Это может означать, что злоумышленник получил учетные данные, необходимые для доступа к учетной записи, и использует ее. Это также может свидетельствовать о проведении в вашей организации проверки на проникновение.
Применимо к: Хранилище BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения
Первоначальный доступ Средняя

Настройка параметров уведомлений по электронной почте из оповещения

В пользовательский интерфейс генерации оповещений добавлен новый раздел, который позволяет просматривать и изменять, кто получит Уведомления по электронной почте для оповещений, активируемых в текущей подписке.

Снимок экрана: новый пользовательский интерфейс для настройки отправляемых по электронной почте уведомлений.

Узнайте о настройке отправляемых по электронной почте уведомлений для оповещений системы безопасности.

Нерекомендуемые оповещения в предварительной версии: ARM.MCAS_ActivityFromAnonymousIPAddresses

Следующее оповещение предварительной версии устарело:

Имя оповещения Description
ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ — действие, выполняемое с рискованного IP-адреса
(ARM.MCAS_ActivityFromAnonymousIPAddresses)
Была обнаружена активность с IP-адреса, который был идентифицирован как анонимный прокси-IP-адрес.
Эти прокси-серверы используют пользователи, желающие скрыть IP-адреса своих устройств. Иногда их используют злоумышленники. Это обнаружение использует алгоритм машинного обучения, который уменьшает количество "ложных срабатываний" (например, ошибочно помеченных IP-адресов, которые часто используются корпоративными пользователями).
Требуется действующая лицензия Microsoft Defender для облачных приложений.

Было создано новое оповещение, которое предоставляет эти сведения и добавляет в него. Кроме того, для новых предупреждений (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) не требуется лицензия на Microsoft Defender для облачных приложений (ранее Microsoft Cloud App Security).

Другие оповещения см. в разделе Resource Manager.

Перемещение рекомендации "Необходимо устранить уязвимости в конфигурациях безопасности контейнера" из раздела "Оценка безопасности" в раздел "Рекомендации"

Рекомендация Vulnerabilities in container security configurations should be remediated была перемещена из раздела оценки безопасности в раздел рекомендаций.

Текущий пользовательский интерфейс предоставляет оценку только после прохождения всех проверок соответствия. Большинству клиентов трудно выполнить требование о прохождении всех необходимых проверок. Мы работаем над повышением удобства работы с этой рекомендацией. После выпуска она будет возвращена в раздел "Оценка безопасности".

Устарела рекомендация по использованию субъектов-служб для защиты подписок

Поскольку организации отказываются от использования сертификатов управления для управления подписками, а мы недавно объявили о прекращении использования модели развертывания Облачных служб (классической модели), мы не рекомендуем использовать следующую рекомендацию по Defender для облака и связанную с ним политику.

Рекомендация Description Серьезность
Для защиты подписок вместо сертификатов управления следует использовать субъекты-службы Сертификаты управления позволяют всем пользователям, прошедшим проверку подлинности с их помощью, управлять подписками, с которыми связаны эти сертификаты. Для более безопасного управления подписками рекомендуется использовать субъекты-службы с Resource Manager, чтобы минимизировать радиус поражения в случае компрометации сертификата. Также это поможет автоматизировать управление ресурсами.
(Связанная политика: Субъекты-службы должны использоваться для защиты подписок вместо сертификатов управления)
Средняя

Подробнее:

Устаревшая реализация стандарта ISO 27001 заменяется новым стандартом ISO 27001:2013

Устаревшая реализация ISO 27001 была удалена из панели мониторинга соответствия нормативным требованиям Defender для облака. Если вы отслеживаете соответствие стандарту ISO 27001 с помощью Defender для облака, используйте новый стандарт ISO 27001:2013 для всех соответствующих групп управления или подписок.

Панель мониторинга соответствия нормативным требованиям в Defender для облака, на которой отображается сообщение об удалении устаревшей реализации ISO 27001.

Устарели рекомендации относительно Microsoft Defender для устройств IoT

Рекомендации Microsoft Defender для устройства IoT больше не отображаются в Microsoft Defender для облака. Эти рекомендации по-прежнему доступны на странице "Рекомендации Microsoft Defender для IoT".

Следующие рекомендации являются устаревшими:

Ключ оценки Рекомендации
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b: устройства IoT Открытые порты на устройстве
ba975338-f956-41e7-a9f2-7614832d382d: устройства IoT Во входной цепочке найдено разрешительное правило брандмауэра
beb62be3-5e78-49bd-ac5f-099250ef3c7c: устройства IoT В одной из цепочек найдена разрешительная политика брандмауэра
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a: устройства IoT В выходной цепочке обнаружено разрешительное правило брандмауэра
5f65e47f-7a00-4bf3-acae-90ee441ee876: устройства IoT Сбой базовой проверки операционной системы
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879: устройства IoT Агент отправляет недогруженные сообщения
2acc27c6-5fdb-405e-9080-cb66b850c8f5: устройства IoT Требуется обновление комплекта шифров TLS
d74d2738-2485-4103-9919-69c7e63776ec: устройства IoT Auditd процесс остановки отправки событий

Нерекомендуемые оповещения относительно Microsoft Defender для устройств IoT

Ни одно из оповещений Microsoft Defender для устройства IoT больше не отображается в Microsoft Defender для облака. Эти оповещения по-прежнему доступны на странице оповещений Microsoft Defender для IoT и в Microsoft Sentinel.

Управление состоянием и защита от угроз для AWS и GCP, выпущенные для общедоступной версии (GA)

  • Функции CSPM в Defender для облака теперь можно использовать для ресурсов AWS и GCP. Этот безагентный план оценивает многооблачные ресурсы в соответствии со специально разработанными для облака рекомендациями по безопасности, и эти рекомендации учитываются в вашей оценке безопасности. Ресурсы оцениваются на соответствие нормативным требованиям с помощью встроенных стандартов. Страница инвентаризации ресурсов Defender для облака — это функция с поддержкой нескольких облаков, которая позволяет управлять ресурсами AWS вместе с ресурсами Azure.

  • Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты для вычислительных экземпляров в AWS и GCP. План "Microsoft Defender для серверов" включает в себя интегрированную лицензию на Microsoft Defender для конечной точки, проверку оценки уязвимостей и многое другое. Узнайте обо всех поддерживаемых функциях для виртуальных машин и серверов. Возможности автоматической адаптации позволяют легко подключать существующие или новые вычислительные экземпляры, обнаруженные в вашей среде.

Узнайте, как защитить и подключить свою среду AWS и организацию GCP с помощью Microsoft Defender для облака.

Добавлена поддержка национальных облаков в сканирование реестра на наличие образов Windows в ACR

Проверка реестра для образов Windows теперь поддерживается в Azure для государственных организаций и Microsoft Azure под управлением 21Vianet. Это дополнение в настоящее время находится в режиме предварительной версии.

См. дополнительные сведения о доступности нашей функции.

2022 февраля

В феврале добавлены следующие изменения:

Защита рабочих нагрузок Kubernetes для кластеров Kubernetes с поддержкой Arc

Defender для контейнеров ранее защищал только рабочие нагрузки Kubernetes, запущенные в Службе Kubernetes Azure. Теперь мы расширили защитное покрытие, включив кластеры Kubernetes с поддержкой Azure Arc.

Узнайте, как настроить защиту рабочих нагрузок Kubernetes для кластеров Kubernetes с поддержкой AKS и Azure Arc.

Собственный класс CSPM для GCP и защиты от угроз для вычислительных экземпляров GCP

Новая автоматическая адаптация сред GCP позволяет защищать рабочие нагрузки GCP с помощью Microsoft Defender для облака. Defender для облака защищает ресурсы при использовании следующих планов:

  • Функции CSPM в Defender для облака теперь можно использовать для ресурсов GCP. Этот план без агента оценивает ресурсы GCP в соответствии со специальными рекомендациями по обеспечению безопасности GCP, которые предоставляются вместе с Defender для облака. Рекомендации по GCP включены в оценку безопасности, а ресурсы будут оцениваться на соответствие встроенному стандарту CIS для GCP. Страница инвентаризации ресурсов Defender для облака — это функция с поддержкой нескольких облаков, которая позволяет управлять ресурсами в Azure, AWS и GCP.

  • Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты для вычислительных экземпляров GCP. Этот план включает в себя интегрированную лицензию на Microsoft Defender для конечной точки, проверку оценки уязвимостей и многое другое.

    Полный список доступных функций см. в разделе Поддерживаемые функции для виртуальных машин и серверов. Возможности автоматической адаптации позволяют легко подключать существующие и новые вычислительные экземпляры, обнаруженные в вашей среде.

Узнайте, как защитить и подключить ваши проекты GCP с помощью Microsoft Defender для облака.

Выпуск Microsoft Defender для плана Azure Cosmos DB для предварительной версии

Мы расширили охват баз данных Microsoft Defender для облака. Теперь можно включить защиту для баз данных Azure Cosmos DB.

Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает все попытки использования баз данных в учетных записях Azure Cosmos DB. Microsoft Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации.

Это средство непрерывно анализирует поток данных клиента, создаваемый службами Azure Cosmos DB.

При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Microsoft Defender для облака вместе с подробными сведениями о подозрительных действиях, а также о соответствующими шагами расследования, действиями по исправлению и рекомендациями по безопасности.

Включение службы не влияет на производительность базы данных, так как Defender для Azure Cosmos DB не обращается к данным учетной записи Azure Cosmos DB.

Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для Azure Cosmos DB.

Мы также представляем новый интерфейс для обеспечения безопасности базы данных. Теперь вы можете включить защиту Microsoft Defender для облака в своей подписке, чтобы защитить базы данных всех типов, в том числе Azure Cosmos DB, Базу данных SQL Azure, серверы Azure SQL на компьютерах и Microsoft Defender для реляционных баз данных с открытым кодом, в рамках одного процесса обеспечения. Настроив план, можно включать или исключать конкретные типы ресурсов.

Узнайте, как включить безопасность базы данных на уровне подписки.

Защита от угроз для кластеров Google Kubernetes Engine (GKE)

После последнего объявления Собственный класс CSPM для GCP и защиты от угроз для вычислительных экземпляров GCP возможности защиты от угроз в Kubernetes, аналитика поведения и встроенные политики управления допуском в Microsoft Defender для контейнеров были расширены на стандартные кластеры Google Kubernetes Engine (GKE). Вы можете легко подключить существующие или новые стандартные кластеры GKE к своей среде, используя возможности автоматического адаптации. Полный список доступных возможностей см. в разделе Обеспечение безопасности контейнеров с помощью Microsoft Defender для облака.

2022 января

Обновления в январе включают следующие:

Microsoft Defender для Resource Manager обновлен с новыми оповещениями и больше акцента на операциях с высоким риском, сопоставленных с матрицей MITRE ATT&CK®

Уровень управления облаком — это важная служба, подключенная ко всем облачным ресурсам. По этой причине он также является потенциальной целью для злоумышленников. Мы рекомендуем группам по обеспечению безопасности внимательно отслеживать уровень управления ресурсами.

Microsoft Defender для Resource Manager автоматически отслеживает операции управления ресурсами в вашей организации, независимо от того, выполняются ли они с помощью портала Azure, Azure REST API, Azure CLI или других программных клиентов Azure. Defender для облака обеспечивает расширенную аналитику безопасности для обнаружения угроз и предупреждает о подозрительных действиях.

Эти возможности защиты для плана значительно улучшают устойчивость организации к атакам со стороны субъектов угроз и существенно увеличивают число ресурсов Azure, защищенных с помощью Defender для облака.

В декабре 2020 года мы предоставили предварительную версию Defender для Resource Manager, а в мае 2021 года план был выпущен для общедоступной версии.

В этом обновлении мы полностью пересмотрели приоритеты плана Microsoft Defender для Resource Manager. Обновленный план включает много новых оповещений, касающихся выявлению подозрительных вызовов операций с высоким риском. Эти новые оповещения обеспечивают широкий мониторинг атак в полной матрице MITRE ATT&CK® для облачных методов.

Эта таблица охватывает следующий ряд потенциальных намерений субъектов угроз, которые могут нацелиться на ресурсы вашей организации: начальный доступ, выполнение, сохраняемость, повышение привилегий, обход защиты, доступ к учетным данным, обнаружение, боковое смещение, сбор данных, кража данных и влияние.

Как показано в следующей таблице новые оповещения для этого плана Defender охватывают эти намерения.

Совет

Эти оповещения также отображаются на странице справки по оповещениям.

Оповещение (тип оповещения) Description Тактика MITRE (намерения) Важность
Suspicious invocation of a high-risk 'Initial Access' operation detected (Preview) (Обнаружен подозрительный вызов операции первоначального доступа с высоким риском (предварительная версия))
(ARM_AnomalousOperation.InitialAccess)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку доступа к ограниченным ресурсам. Обнаруженные операции обеспечивают администраторам эффективный доступ к их средам. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для получения начального доступа к ресурсам с ограниченным доступом в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. Первоначальный доступ Средняя
Suspicious invocation of a high-risk 'Execution' operation detected (Preview) (Обнаружен подозрительный вызов операции выполнения с высоким риском (предварительная версия))
(ARM_AnomalousOperation.Execution)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском на компьютере, что может означать попытку выполнения кода. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для доступа к учетным данным с ограниченным доступом и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. Выполнение Средняя
Suspicious invocation of a high-risk 'Persistence' operation detected (Preview) (Обнаружен подозрительный вызов операции сохранения состояния с высоким риском (предварительная версия))
(ARM_AnomalousOperation.Persistence)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку обеспечения сохраняемости. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для обеспечения сохраняемости в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. Сохраняемость Средняя
Suspicious invocation of a high-risk 'Privilege Escalation' operation detected (Preview) (Обнаружен подозрительный вызов операции повышения привилегий с высоким риском (предварительная версия))
(ARM_AnomalousOperation.PrivilegeEscalation)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку повысить привилегии. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для повышения привилегий при компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. Повышение привилегий Средняя
Suspicious invocation of a high-risk 'Defense Evasion' operation detected (Preview) (Обнаружен подозрительный вызов операции обхода защиты с высоким риском (предварительная версия))
(ARM_AnomalousOperation.DefenseEvasion)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку обхода защиты. Обнаруженные операции обеспечивают администраторам эффективное управление состоянием безопасности их сред. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для предотвращения обнаружения при компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. Уклонение от защиты Средняя
Suspicious invocation of a high-risk 'Credential Access' operation detected (Preview) (Обнаружен подозрительный вызов операции доступа к учетным данным с высоким риском (предварительная версия))
(ARM_AnomalousOperation.CredentialAccess)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку доступа к учетным данным. Обнаруженные операции обеспечивают администраторам эффективный доступ к их средам. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для доступа к учетным данным с ограниченным доступом и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. Доступ к четным данным Средняя
Suspicious invocation of a high-risk 'Lateral Movement' operation detected (Preview) (Обнаружен подозрительный вызов операции бокового смещения с высоким риском (предварительная версия))
(ARM_AnomalousOperation.LateralMovement)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку бокового смещения. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для компрометации дополнительных ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. Боковое смещение Средняя
Suspicious invocation of a high-risk 'Data Collection' operation detected (Preview) (Обнаружен подозрительный вызов операции сбора данных с высоким риском (предварительная версия))
(ARM_AnomalousOperation.Collection)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку сбора данных. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для сбора конфиденциальных данных о ресурсах в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. Коллекция Средняя
Suspicious invocation of a high-risk 'Impact' operation detected (Preview) (Обнаружен подозрительный вызов операции воздействия с высоким риском (предварительная версия))
(ARM_AnomalousOperation.Impact)
Microsoft Defender для Resource Manager обнаружил в подписке подозрительный вызов операции с высоким риском, что может означать попытку изменения конфигурации. Обнаруженные операции обеспечивают администраторам эффективное управление их средами. Хотя это действие может быть законным, субъект угрозы может использовать такие операции для доступа к учетным данным с ограниченным доступом и компрометации ресурсов в вашей среде. Это может означать, что учетная запись скомпрометирована и используется злонамеренно. Воздействие Средняя

Кроме того, в предварительной версии появились также следующие два оповещения из этого плана:

Оповещение (тип оповещения) Description Тактика MITRE (намерения) Важность
Операция Azure Resource Manager с подозрительного IP-адреса
(ARM_OperationFromSuspiciousIP)
Microsoft Defender для Resource Manager обнаружил операцию с IP-адреса, который был помечен как подозрительный в каналах аналитики угроз. Выполнение Средняя
Операция Azure Resource Manager с подозрительного IP-адреса прокси-сервера
(ARM_OperationFromSuspiciousProxyIP)
Microsoft Defender для Resource Manager обнаружил операцию управления ресурсами с IP-адреса, связанного с прокси-службами, такими как TOR. Хотя подобный алгоритм поведения может быть обоснованным, зачастую он проявляется в злонамеренных действиях, когда злоумышленники пытаются скрыть свой исходный IP-адрес. Уклонение от защиты Средняя

Рекомендации по включению планов Microsoft Defender для рабочих областей (предварительная версия)

Чтобы воспользоваться всеми функциями безопасности, доступными в Microsoft Defender для серверов и Microsoft Defender для SQL на компьютерах, планы должны быть включены одновременно на уровне подписки и рабочей области.

Если на компьютере действует подписка, для которой включен один из этих планов, вам будет выставлен счет за полную защиту. Однако если этот компьютер отправляет отчеты в рабочую область без включенного плана, вы фактически не сможете воспользоваться этими преимуществами.

Мы добавили две рекомендации, посвященные рабочим областям, для которых эти планы не включенных, но в которые, тем не менее, поступают отчеты с компьютеров в рамках подписок, для которых этот план включен.

Ниже приведены две рекомендации, которые предлагают автоматическое исправление (действие "Исправление").

Рекомендация Description Серьезность
Необходимо включить Microsoft Defender для серверов в рабочей области Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты на компьютерах Windows и Linux.
Если этот план Defender включен для ваших подписок, но не включен для ваших рабочих областей, вы оплачиваете все возможности Microsoft Defender для серверов, но не можете воспользоваться некоторыми преимуществами.
После включения Microsoft Defender для серверов в рабочей области для всех компьютеров, отправляющих отчеты в эти рабочие области, будет взиматься плата за использование Microsoft Defender для серверов, даже если они находятся в подписках без включенных планов Defender. Если при этом вы не включите Microsoft Defender для серверов в подписке, на этих компьютерах нельзя будет воспользоваться преимуществами JIT-доступа к виртуальным машинам, адаптивными элементами управления приложениями и обнаружением сети для ресурсов Azure.
Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для серверов.
(Связанная политика отсутствует)
Средняя
Microsoft Defender для SQL на компьютерах должен быть включен в рабочих областях Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты на компьютерах Windows и Linux.
Если этот план Defender включен для ваших подписок, но не включен для ваших рабочих областей, вы оплачиваете все возможности Microsoft Defender для серверов, но не можете воспользоваться некоторыми преимуществами.
После включения Microsoft Defender для серверов в рабочей области для всех компьютеров, отправляющих отчеты в эти рабочие области, будет взиматься плата за использование Microsoft Defender для серверов, даже если они находятся в подписках без включенных планов Defender. Если при этом вы не включите Microsoft Defender для серверов в подписке, на этих компьютерах нельзя будет воспользоваться преимуществами JIT-доступа к виртуальным машинам, адаптивными элементами управления приложениями и обнаружением сети для ресурсов Azure.
Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для серверов.
(Связанная политика отсутствует)
Средняя

Агент Log Analytics с поддержкой Autoprovision на компьютерах с поддержкой Azure Arc (предварительная версия)

Defender для облака использует агент Log Analytics для сбора с компьютеров данных, связанных с безопасностью. Агент считывает различные журналы событий и конфигурации, связанные с безопасностью, а также копирует данные в рабочую область для анализа.

параметры автоматической подготовки Defender для облака имеют переключатель для каждого типа поддерживаемого расширения, включая агент Log Analytics.

В дальнейшем мы добавили возможность автоматической подготовки агента Log Analytics к компьютерам, подключенным к Azure Arc.

Как и в случае с другими параметрами автоматической подготовки, это настраивается на уровне подписки.

При включении этого параметра появится запрос рабочей области.

Примечание.

В этой предварительной версии нельзя выбрать рабочие области по умолчанию, созданные Defender для облака. Чтобы получить полный набор функций безопасности, доступных для серверов с поддержкой Azure Arc, убедитесь, что в выбранной рабочей области установлено соответствующее решение для обеспечения безопасности.

Снимок экрана: автоматическая подготовка агента Log Analytics на компьютерах с поддержкой Azure Arc.

Устарела рекомендация по классификации конфиденциальных данных в базах данных SQL

Мы удалили рекомендацию Конфиденциальные данные в базах данных SQL должны быть засекречены в связи с изменением подхода, используемого Defender для облака для выявления и защиты конфиденциальных данных в облачных ресурсах.

Последние шесть месяцев на странице Важные предстоящие изменения в Microsoft Defender для облака отображалось предварительное уведомление об этом изменении.

Ранее следующее оповещение было доступно только тем организациям, которые включили план Microsoft Defender для DNS.

В этом обновлении это оповещение будет также отображаться для подписок с включенным планом Microsoft Defender для серверов или Defender для Службы приложений.

Кроме того, в Microsoft Threat Intelligence расширен список известных вредоносных доменов, который теперь включает домены, связанные с использованием широко распространенных уязвимостей, имеющих отношение к Log4j.

Оповещение (тип оповещения) Description Тактика MITRE Важность
Связь с подозрительным доменом, обнаруженным посредством аналитики угроз
(AzureDNS_ThreatIntelSuspectDomain)
Обнаружен обмен данными с подозрительным доменом путем анализа транзакций DNS из ресурса и их сравнения с известными вредоносными доменами, идентифицируемыми каналами аналитики угроз. Обмен данными с вредоносными доменами часто осуществляется злоумышленниками и может свидетельствовать о компрометации ресурса. Начальный доступ, сохраняемость, выполнение, управление и контроль, несанкционированное использование Средняя

В область сведений для оповещений системы безопасности добавлена кнопка "Копировать JSON-оповещения"

Чтобы пользователям быстро проще обмениваться сведениями об оповещениях с другими (например, аналитиками SOC, владельцами ресурсов и разработчиками), мы добавили возможность простого извлечения всех сведений о конкретном оповещении с помощью одной кнопки в области сведений об оповещениях системы безопасности.

Новая кнопка "Копировать оповещение JSON " помещает сведения о оповещении в формате JSON в буфер обмена пользователя.

Снимок экрана: кнопка

Переименованы две рекомендации

Для обеспечения согласованности с названиями других рекомендаций мы переименовали следующие две рекомендации:

  • Рекомендация по устранению уязвимостей, обнаруженных в выполняющихся образах контейнеров

    • Предыдущее название. Необходимо устранить уязвимости в запущенных образах контейнеров (на платформе Qualys)
    • Новое название. Необходимо устранить уязвимости в образах работающих контейнеров
  • Рекомендация по включению журналов диагностики для Службы приложений Azure

    • Предыдущее название. В Службе приложений должны быть включены журналы диагностики
    • Новое название. В Службе приложений должны быть включены журналы диагностики

Прекращение поддержки политики "Контейнеры кластера Kubernetes должны прослушивать только разрешенные порты"

Рекомендация Контейнеры кластера Kubernetes должны прослушивать только разрешенные порты устарела.

Имя политики Description Действие Версия
Контейнеры кластера Kubernetes должны ожидать передачи данных только в разрешенных портах Ограничение контейнеров, чтобы они ожидали передачи данных только на разрешенных портах для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS), но для обработчика AKS и Azure Arc с поддержкой Kubernetes она доступна в предварительной версии. Дополнительные сведения см. в статье Основные сведения о Политике Azure для кластеров Kubernetes. Audit, Deny, Disabled 6.1.2

Чтобы ограничить количество портов, открытых в приложение для доступа через Интернет, следует воспользоваться рекомендацией Службы должны ожидать передачи данных только на разрешенных портах.

Добавлена книга "Активные оповещения"

Чтобы нашим пользователям было проще понять, какие активные угрозы существуют в их средах, и определить приоритетность активных оповещений в процессе исправления, мы добавили книгу "Активные оповещения ".

Снимок экрана: добавление книги

Книга активных оповещений позволяет пользователям просматривать единую панель мониторинга объединенных оповещений по серьезности, типу, тегу, тактике MITRE ATT&CK и расположению. Дополнительные сведения см. в разделе Использование книги "Активные оповещения".

В облако для государственных организаций добавлена рекомендация "Обновление системы"

Рекомендация "На ваших компьютерах должны быть установлены обновления системы" теперь доступна во всех облаках для государственных организаций.

Скорее всего, это изменение повлияет на оценку безопасности подписки на облако для государственных организаций. Мы ожидаем, что изменение приведет к уменьшению оценки, но в некоторых случаях добавление рекомендации может обеспечить увеличение оценки.

Декабрь 2021 г.

В декабре добавлены следующие обновления:

Стал общедоступным план "Microsoft Defender для контейнеров"

Более двух лет назад мы внедрили Defender для Kubernetes и Defender для реестров контейнеров в рамках предложения Azure Defender в Microsoft Defender для облака.

С выпуском Microsoft Defender для контейнеров мы объединили эти два имеющихся плана Defender.

Преимущества нового плана:

  • Объединение функций двух имеющихся планов. Обнаружение угроз для кластеров Kubernetes и оценка уязвимостей для образов, хранящихся в реестрах контейнеров.
  • Добавление новых и улучшенных функций. В том числе обеспечение поддержки нескольких облаков, обнаружение угроз на уровне узла с более чем 60 новыми средствами аналитики с поддержкой Kubernetes и оценка уязвимостей для запуска образов
  • Внедрение подключения в большом масштабе собственными средствами Kubernetes. По умолчанию при включении плана все соответствующие компоненты настраиваются для автоматического развертывания.

В этом выпуске доступность и представление Defender для Kubernetes и Defender для реестров контейнеров изменились следующим образом:

  • Новые подписки. Два предыдущих плана контейнеров больше не доступны.
  • Существующие подписки — где бы они ни отображались в портал Azure, планы отображаются как устаревшие с инструкциями по обновлению до более нового плана.Реестры Defender для контейнеров и планы Defender для Kubernetes, отображающие информацию о нерекомендуемых и обновленных версиях.

Новый план предоставляется бесплатно в течение декабря 2021 года. Дополнительные сведения о возможных затратах в связи с выставлением счетов из старых планов в Defender для контейнеров и о преимуществах, появившихся в этом плане, см. в статье Знакомство с Microsoft Defender для контейнеров.

Дополнительные сведения см. в разделе:

Стали общедоступными новые оповещения для плана "Microsoft Defender для контейнеров"

Субъекты угроз используют средства и скрипты для поиска общедоступных открытых контейнеров в попытке найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными.

Microsoft Defender для хранилища обнаруживает эти сканеры, чтобы их можно было заблокировать и исправить состояние.

Оповещение предварительной версии, которое было обнаружено, называется "Анонимное сканирование контейнеров общедоступного хранилища". Чтобы обнаруженные подозрительные события было проще классифицировать, мы разделили это оповещение на два новых. Эти оповещения относятся только к Хранилищу BLOB-объектов Azure.

Мы улучшили логику обнаружения, обновили метаданные оповещений, а также изменили имя и тип оповещения.

Вот новые оповещения:

Оповещение (тип оповещения) Description Тактика MITRE Важность
Успешно обнаружены общедоступные контейнеры хранилища
(Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)
За последний час с помощью скрипта или средства сканирования были успешно обнаружены открытые контейнеры хранилища в учетной записи хранения.

Как правило, это означает атаку с рекогносцировкой, в ходе которой субъект угрозы пытается получить список больших двоичных объектов путем подбора имен контейнеров в надежде найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными.

Для поиска общедоступных открытых контейнеров субъект угрозы может использовать собственный скрипт или известные средства сканирования, например Microburst.

✔ Хранилище BLOB-объектов Azure
✖ Файлы Azure
✖ Azure Data Lake Storage 2-го поколения
Коллекция Средняя
Успешно просканированы общедоступные контейнеры хранилища
(Storage.Blob_OpenContainersScanning.FailedAttempt)
За последний час был предпринят ряд неудачных попыток сканирования общедоступных открытых контейнеров хранилища.

Как правило, это означает атаку с рекогносцировкой, в ходе которой субъект угрозы пытается получить список больших двоичных объектов путем подбора имен контейнеров в надежде найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными.

Для поиска общедоступных открытых контейнеров субъект угрозы может использовать собственный скрипт или известные средства сканирования, например Microburst.

✔ Хранилище BLOB-объектов Azure
✖ Файлы Azure
✖ Azure Data Lake Storage 2-го поколения
Коллекция Низкая

Дополнительные сведения см. в разделе:

Улучшения оповещений для Microsoft Defender для хранилища

Для оповещений о начальном доступе улучшена точность и добавлены дополнительные данные для поддержки расследования.

При начальном доступе субъекты угроз используют различные методы, позволяющие им внедриться в сеть. Два оповещения Microsoft Defender для хранилища, которые используются при обнаружении аномалий на этом этапе, теперь имеют улучшенную логику обнаружения и дополнительные данные для поддержки исследований.

Если вы настроили автоматизацию или определили правила подавления оповещений для этих оповещений в прошлом, обновите их в соответствии с этими изменениями.

Обнаружение доступа из выходного узла Tor

Доступ из выходного узла Tor может указывать на то, что субъект угрозы пытается скрыть свое удостоверение.

Теперь оповещение настроено так, чтобы оно создавалось только при доступе с проверкой подлинности, что обеспечит более высокую точность и уверенность в том, что действие является вредоносным. Это улучшение сокращает частоту неопасных положительных срабатываний.

Нехарактерный шаблон будет иметь высокий уровень серьезности, а менее аномальные шаблоны — среднюю серьезность.

Обновлены имя и описание оповещения. AlertType остается без изменений.

  • Имя оповещения (старое). Доступ из выходного узла Tor к учетной записи хранения
  • Имя оповещения (новое). Доступ с проверкой подлинности из выходного узла Tor
  • Типы оповещений: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
  • Описание. С IP-адреса, известного как активный выходной узел Tor (анонимизирующий прокси-сервер) успешно получен доступ к одному или нескольким контейнерам хранилища либо одной или нескольким общим папкам в вашей учетной записи хранения. Субъекты угроз используют Tor, чтобы усложнить трассировку активности. Доступ с проверкой подлинности с выходного узла TOR, скорее всего, указывает на то, что субъект угрозы пытается скрыть свое удостоверение. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения
  • Тактика MITRE: первоначальный доступ
  • Серьезность: высокая или средняя

Необычный доступ без проверки подлинности

Изменение в шаблонах доступа может означать, что субъекту угрозы удалось воспользоваться открытым доступом на чтение из контейнеров хранилища, воспользовавшись ошибками в конфигурациях доступа или изменив права доступа.

Это оповещение средней серьезности теперь настраивается с использованием улучшенной логики поведения и обеспечением большей точности и уверенности в том, что действие является вредоносным. Это улучшение сокращает частоту неопасных положительных срабатываний.

Обновлены имя и описание оповещения. AlertType остается без изменений.

  • Имя оповещения (старое). Анонимный доступ к учетной записи хранения
  • Имя оповещения (новое). Необычный доступ без проверки подлинности к контейнеру хранилища
  • Типы оповещений: Storage.Blob_AnonymousAccessAnomaly
  • Описание. Доступ к этой учетной записи хранения осуществлялся без проверки подлинности, что указывает на изменение обычного шаблона доступа. Для доступа на чтение в этом контейнере обычно необходимо пройти проверку подлинности. Это может означать, что субъекту угрозы удалось воспользоваться открытым доступом на чтение в контейнерах хранилища в этих учетных записях хранения. Применимо к: Хранилище BLOB-объектов Azure
  • Тактика MITRE: сбор данных
  • Серьезность: средняя

Дополнительные сведения см. в разделе:

Оповещение PortSweeping удалено из списка оповещений сетевого уровня

Следующее оповещение было удалено из списка оповещений сетевого уровня из-за неэффективности:

Оповещение (тип оповещения) Description Тактика MITRE Важность
Possible outgoing port scanning activity detected (Обнаружено возможное действие сканирования исходящего порта)
(PortSweeping)
При анализе сетевого трафика %{скомпрометированный_узел} обнаружена подозрительная сетевая активность. Этот трафик может быть результатом операции сканирования порта. Если скомпрометированный ресурс является подсистемой балансировки нагрузки или шлюзом приложений, то вероятный исходящий трафик поступил от одного или нескольких ресурсов в серверном пуле (подсистемы балансировки нагрузки или шлюза приложений). Если это поведение намеренное, обратите внимание, что сканирование портов выполняется в условиях предоставления услуг Azure. Если такое поведение непреднамеренно, это может означать, что ваш ресурс был скомпрометирован. Обнаружение Средняя

Ноябрь 2021 г.

Наш выпуск Ignite включает в себя следующее:

К другим ноябрьским изменениям относятся:

Microsoft Defender для облака вместо Центра безопасности Azure и Azure Defender

В соответствии с отчетом о состоянии облака за 2021 г. 92 % организаций на данный момент уже имеют стратегию использования нескольких облаков. Наша цель — централизация безопасности в разных средах и более эффективная работа команд безопасности.

Microsoft Defender для облака — это решение cloud Security Posture Management (CSPM) и защита облачных рабочих нагрузок (CWP), которое обнаруживает слабые места в вашей облачной конфигурации, помогает укрепить общую безопасность среды и защитить рабочие нагрузки в многооблачных и гибридных средах.

В Ignite 2019 мы предоставляем нашу концепцию создания наиболее полного подхода к защите своего цифрового пространства и интеграции технологий XDR под торговой маркой Microsoft Defender. Объединение Центр безопасности Azure и Azure Defender с новым именем Microsoft Defender для облака отражает интегрированные возможности нашего предложения безопасности и нашу способность поддерживать любую облачную платформу.

Собственный класс CSPM для AWS и защита от угроз для Amazon EKS и AWS EC2

Новая страница параметров среды обеспечивает большую видимость и контроль над группами управления, подписками и учетными записями AWS. Эта страница предназначена для подключения учетных записей AWS в большом масштабе — просто подключите свою учетную запись управления AWS, и имеющиеся и будущие учетные записи подключаться автоматически.

Использование страницы параметров нового окружения для подключения учетных записей AWS.

После добавления учетных записей AWS Defender для облака будет защищать ресурсы AWS с помощью любого или каждого из следующих планов:

  • Функции CSPM в Defender для облака теперь можно использовать для ресурсов AWS. Этот безагентный план оценивает ресурсы AWS в соответствии со специально разработанными для AWS рекомендациями по безопасности, и эти рекомендации учитываются в вашей оценке безопасности. Ресурсы также будут оцениваться на соответствие встроенным стандартам AWS (AWS CIS, AWS PCI DSS и AWS Foundational Security Best Practices). Страница Инвентаризация ресурсов службы "Defender для облака" — это функция с поддержкой нескольких облаков, которая позволяет управлять ресурсами AWS вместе с ресурсами Azure.
  • Обнаружение угроз для контейнеров и расширенные средства защиты Microsoft Defender для Kubernetes теперь можно использовать в кластерах Amazon EKS под управлением Linux.
  • Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты на экземплярах Windows и Linux EC2. Этот план включает в себя встроенную лицензию на Microsoft Defender для конечной точки, базовые показатели безопасности и оценки уровня ОС, сканирование с оценкой уязвимостей, адаптивные элементы управления приложениями (AAC), мониторинг целостности файлов (FIM) и другие возможности.

Узнайте больше о подключении учетных записей AWS к Microsoft Defender для облака.

Определение приоритета действий системы безопасности с учетом чувствительности данных (на базе Microsoft Purview) (предварительная версия)

Ресурсы данных остаются популярным целевым объектом для субъектов угроз. Поэтому крайне важно, чтобы отделы безопасности выявляли и защищали ресурсы конфиденциальных данных в облачных средах, а также определяли их приоритеты.

Чтобы решить эту проблему, Microsoft Defender для облака теперь интегрирует сведения о конфиденциальности из Microsoft Purview. Microsoft Purview — это единая служба управления данными, которая предоставляет подробные сведения о конфиденциальности данных в нескольких облаках и локальных рабочих нагрузках.

Интеграция с Microsoft Purview расширяет видимость системы безопасности в Defender для облака с уровня инфраструктуры до уровня данных, предоставляя отделам безопасности совершенно новый способ определения приоритетов ресурсов и выполнения связанных с безопасностью действий.

Дополнительные сведения см. в разделе Ранжирование действий по обеспечению безопасности с учетом конфиденциальности данных.

Расширенные оценки управления безопасностью с помощью теста производительности системы безопасности Azure версии 3

Рекомендации по безопасности в Defender для облака поддерживаются Azure Security Benchmark.

Azure Security Benchmark (ASB) — это специально разработанный корпорацией Майкрософт набор руководств по обеспечению безопасности и соответствия нормативным требованиям на основе распространенных платформ обеспечения соответствия. Это широко принятое тестирование основано на стандартах Центра Интернет-безопасности (CIS) и Национального института стандартов и технологий (NIST) с ориентацией на облачную безопасность.

С момента проведения Ignite 2021 тест производительности системы безопасности Azure версии 3 доступен на панели мониторинга соответствия нормативным требованиям Defender для облака и включена в качестве новой инициативы по умолчанию для всех подписок Azure, защищенных с помощью Microsoft Defender для облака.

Среди улучшений в версии 3:

  • Дополнительные сопоставления с отраслевыми платформами PCI-DSS версии 3.2.1 и CIS Controls версии 8.

  • Более детализированные и практичные рекомендации для элементов управления благодаря внедрению следующих возможностей:

    • Принципы безопасности — предоставляют аналитические сведения об общих целях обеспечения безопасности, которые служат основой для наших рекомендаций.
    • Руководство по Azure. Техническое руководство для удовлетворения этих целей.
  • К новым элементам управления относятся средство безопасности DevOps для решения таких проблем, как моделирование угроз и безопасность цепочки поставок программного обеспечения, а также управление ключами и сертификатами для рекомендаций в Azure.

Дополнительные сведения см. в статье Вводные сведения об Azure Security Benchmark.

Общая доступность необязательной двунаправленной синхронизации оповещений соединителя Microsoft Sentinel

В июле мы объявили о предварительной версии функции под названием двунаправленная синхронизация оповещений для встроенного соединителя в Microsoft Sentinel (облачное решение Майкрософт для SIEM и SOAR). Теперь эта функция общедоступна.

При подключении Microsoft Defender для облака к Microsoft Sentinel состояние оповещений системы безопасности синхронизируется между этими двумя службами. Например, если оповещение закрывается в Defender для облака, оно также отображается как закрытое в Microsoft Sentinel. Изменение состояния оповещения в Defender для облака не приведет к изменению состояния содержащих его инцидентов Microsoft Sentinel (меняется только состояние самого синхронизированного оповещения).

При включении двунаправленной синхронизации оповещений вы автоматически синхронизируете состояние исходных оповещений Defender для облака с инцидентами Microsoft Sentinel, содержащими копии этих оповещений. Например, при закрытии инцидента Microsoft Sentinel, содержащего оповещения Defender для облака, соответствующее исходное оповещение будет автоматически закрыто в Microsoft Defender для облака.

Дополнительные сведения см. в статье Подключение оповещений Azure Defender из Центра безопасности Azure и разделе Передача оповещений в Azure Sentinel.

Новая рекомендация по принудительной отправке журналов Azure Kubernetes Service (AKS) в Sentinel

В стремлении повысить совокупную ценность Defender для облака и Microsoft Sentinel мы сейчас активно работает над экземплярами Службы Azure Kubernetes, которые не отправляют данные журнала в Microsoft Sentinel.

Команды SecOps могут выбрать соответствующую рабочую область Microsoft Sentinel непосредственно на странице сведений о рекомендации и сразу же включить потоковую передачу необработанных журналов. Такое прозрачное подключение между двумя продуктами позволяет группам безопасности с легкостью обеспечить полное покрытие процесса ведения журнала в различных рабочих нагрузках для всеобъемлющего контроля над всей средой.

В новой рекомендации "Необходимо включить журналы диагностики в службах Kubernetes" предусмотрен параметр "Исправить" для более быстрого исправления.

Мы также дополнили рекомендацию "Необходимо включить аудит на сервере SQL" аналогичными возможностями потоковой передачи Sentinel.

Рекомендации, сопоставленные с платформой MITRE ATT&CK®, выпущены для общедоступной доступности (GA)

Мы улучшили рекомендации по безопасности Defender для облака, чтобы показать свою позицию на платформе MITRE ATT&CK®. Эта глобально доступная база знаний о тактиках и методиках субъектов угроз, основанная на результатах наблюдения в реальных условиях. Она предоставляет дополнительный контекст, позволяющий понять связанные с рекомендациями риски для вашей среды.

Эти тактики можно просмотреть в любом месте, где доступны рекомендации:

  • Результаты запроса Azure Resource Graph для соответствующих рекомендаций включают тактику и методы MITRE ATT&CK®.

  • На страницах со сведениями о рекомендации отображается сопоставление для всех соответствующих рекомендаций:

  • На странице рекомендаций в Defender для облака появился новый фильтр для выбора рекомендаций в соответствии с тактиками, которые с ними связаны:

Дополнительные сведения см. в статье Проверка рекомендаций по обеспечению безопасности.

В качестве решения для оценки уязвимостей добавлен модуль Майкрософт для управления угрозами и уязвимостями (общедоступная версия)

В октябре мы объявили о расширении интеграции между Microsoft Defender для серверов и Microsoft Defender для конечной точки, чтобы обеспечить поддержку нового поставщика оценки уязвимостей для ваших компьютеров: Управление угрозами и уязвимостями (Майкрософт). Теперь эта функция общедоступна.

Воспользуйтесь управлением угрозами и уязвимостями для обнаружения уязвимостей и неправильных настроек почти в режиме реального времени при включенной интеграции Microsoft Defender для конечной точки без дополнительных агентов или периодических проверок. Управление угрозами и уязвимостями обеспечивает определение приоритетов уязвимостей на основе ландшафта угроз и результатов обнаружения в организации.

Воспользуйтесь рекомендацией по безопасности Необходимо включить решение для оценки уязвимостей на виртуальных машинах, чтобы выявить уязвимости, обнаруженные модулем управления угрозами и уязвимостями, для поддерживаемых компьютеров.

Сведения о том, как автоматически выявлять уязвимости на имеющихся и новых компьютерах без необходимости вручную выполнять исправление по рекомендации, см. в разделе Решения для оценки уязвимостей теперь можно включать автоматически (предварительная версия).

Дополнительные сведения см. в статье Исследование уязвимостей с помощью модуля контроля угроз и уязвимостей Microsoft Defender для конечной точки.

Microsoft Defender для серверов теперь поддерживает Microsoft Defender для конечной точки для Linux (общедоступная версия)

В августе мы объявили о поддержке в предварительной версии развертывания датчика Defender для конечной точки для Linux на поддерживаемых компьютерах с Linux. Теперь эта функция общедоступна.

В Microsoft Defender для серверов интегрирована лицензия на Microsoft Defender для конечной точки. Вместе они обеспечивают широкие возможности обнаружения конечных точек и реагирования.

Когда Defender для конечной точки обнаруживает угрозу, активируется оповещение. Оповещение отображается в Defender для облака. Из Defender для облака вы можете перейти к консоли Defender для конечной точки, отобразить сводные данные и тщательно их изучить для определения области атаки.

Дополнительные сведения см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности Azure: Microsoft Defender для конечной точки.

Экспорт моментальных снимков для получения рекомендаций и сведений о безопасности (предварительная версия)

Defender для облака создает подробные оповещения и рекомендации по безопасности. Их можно просматривать на портале или с помощью программных средств. Кроме того, может потребоваться экспортировать некоторые или все эти сведения для отслеживания с помощью других средств мониторинга в вашем окружении.

Функция Непрерывный экспорт в Defender для облака позволяет полностью настроить экспортируемые объекты и расположение их сохранения. Дополнительные сведения см. в статье Непрерывный экспорт данных Microsoft Defender для облака.

Хотя эта функция называется непрерывной, существует также возможность экспорта еженедельных моментальных снимков. До настоящего момента применение этих моментальных снимков было ограничено оценкой безопасности и нормативными данными о соответствии требованиям. Мы добавили возможность экспортировать рекомендации и результаты анализа безопасности.

Автоматическая подготовка решений для оценки уязвимостей, выпущенных для общедоступной доступности (GA)

В октябре мы объявили о добавлении решений для оценки уязвимостей на страницу автоматической подготовки Defender для облака. Это относится к виртуальным машинам Azure и компьютерам Azure Arc в подписках, защищенных Azure Defender для серверов. Теперь эта функция общедоступна.

Если включена Интеграция с Microsoft Defender для облака, Defender для облака предоставляет возможность выбора решений для оценки уязвимостей:

  • (НОВИНКА) Модуль Майкрософт для управления угрозами и уязвимостями в Microsoft Defender для конечной точки (см. заметки о выпуске).
  • Встроенный агент Qualys

Выбранное решение будет автоматически включено на поддерживаемых компьютерах.

Дополнительные сведения см. в статье Автоматическая настройка оценки уязвимостей для компьютеров.

Фильтры инвентаризации программного обеспечения в системе инвентаризации ресурсов (общедоступная версия)

В октябре мы объявили о новых фильтрах для страницы Инвентаризация ресурсов, позволяющих выбрать компьютеры, на которых выполняется определенное программное обеспечение, и даже указать интересующие версии. Теперь эта функция общедоступна.

вы можете запросить данные инвентаризации программного обеспечения в Обозревателе Azure Resource Graph.

Чтобы использовать эти функции, необходимо включить интеграцию с Microsoft Defender для конечной точки.

Полные сведения, включая примеры запросов Kusto для Azure Resource Graph, см. в разделе Доступ к инвентаризации программного обеспечения.

Новая политика безопасности AKS, добавленная в инициативу по умолчанию

Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, Defender для облака предоставляет политики и рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.

В рамках этого проекта мы добавили политику и рекомендацию (отключены по умолчанию) для развертывания с ограничением в кластерах Kubernetes. Политика находится в инициативе по умолчанию, но относится только к организациям, которые регистрируются для связанной предварительной версии.

Вы можете просто проигнорировать политики и рекомендацию "Кластеры Kubernetes должны ограничивать развертывание уязвимых образов", и это не повлияет на вашу среду.

Если вы хотите принять участие в предварительной версии, вам потребуется быть членом кольца предварительной версии. Если вы еще не являетесь его участником, отправьте запрос здесь. Участники получат уведомление о начале тестирования предварительной версии.

Для экрана инвентаризации на локальных компьютерах для имени ресурса будет применяться другой шаблон

Чтобы улучшить представление ресурсов в разделе Инвентаризация активов, мы удалили элемент source-computer-IP из шаблона для именования локальных компьютеров.

  • Предыдущий формат: machine-name_source-computer-id_VMUUID
  • Из этого обновления: machine-name_VMUUID

2021 октября

В октябре добавлены следующие обновления:

В качестве решения для оценки уязвимостей добавлен модуль Майкрософт для управления угрозами и уязвимостями (предварительная версия)

Мы расширили интеграцию между Azure Defender для серверов и Microsoft Defender для конечной точки, чтобы обеспечить поддержку нового поставщика оценки уязвимостей для ваших компьютеров: Управление угрозами и уязвимостями (Майкрософт).

Воспользуйтесь управлением угрозами и уязвимостями для обнаружения уязвимостей и неправильных настроек почти в режиме реального времени при включенной интеграции Microsoft Defender для конечной точки без дополнительных агентов или периодических проверок. Управление угрозами и уязвимостями обеспечивает определение приоритетов уязвимостей на основе ландшафта угроз и результатов обнаружения в организации.

Воспользуйтесь рекомендацией по безопасности Необходимо включить решение для оценки уязвимостей на виртуальных машинах, чтобы выявить уязвимости, обнаруженные модулем управления угрозами и уязвимостями, для поддерживаемых компьютеров.

Сведения о том, как автоматически выявлять уязвимости на имеющихся и новых компьютерах без необходимости вручную выполнять исправление по рекомендации, см. в разделе Решения для оценки уязвимостей теперь можно включать автоматически (предварительная версия).

Дополнительные сведения см. в статье Исследование уязвимостей с помощью модуля контроля угроз и уязвимостей Microsoft Defender для конечной точки.

Теперь поддерживается автоматическое включение решений по оценке уязвимостей (предварительная версия)

Страница автоматической подготовки Центра безопасности теперь включает возможность автоматического включения решения оценки уязвимостей на виртуальных машинах Azure и компьютерах Azure Arc на подписках, защищенных Azure Defender для серверов.

Если включена Интеграция с Microsoft Defender для облака, Defender для облака предоставляет возможность выбора решений для оценки уязвимостей:

  • (НОВИНКА) Модуль Майкрософт для управления угрозами и уязвимостями в Microsoft Defender для конечной точки (см. заметки о выпуске).
  • Встроенный агент Qualys

Настройте автоматическую подготовку контроль угроз и уязвимостей Корпорации Майкрософт из Центр безопасности Azure.

Выбранное решение будет автоматически включено на поддерживаемых компьютерах.

Дополнительные сведения см. в статье Автоматическая настройка оценки уязвимостей для компьютеров.

В инвентаризацию ресурсов добавлены фильтры инвентаризации программного обеспечения (предварительная версия)

Теперь на странице Инвентаризация ресурсов есть фильтры, позволяющие выбрать компьютеры, на которых выполняется определенное программное обеспечение, и даже указать интересующие версии.

Кроме того, вы можете запросить данные инвентаризации программного обеспечения в Обозревателе Azure Resource Graph.

Чтобы использовать эти новые функции, необходимо включить интеграцию с Microsoft Defender для конечной точки.

Полные сведения, включая примеры запросов Kusto для Azure Resource Graph, см. в разделе Доступ к инвентаризации программного обеспечения.

Если включено решение для предотвращения угроз и уязвимостей, инвентаризация активов Центра безопасности предлагает фильтр для выбора ресурсов по их установленному программному обеспечению.

Изменен префикс некоторых типов оповещений с "ARM_" на "VM_"

В июле 2021 года мы объявили о логической реорганизации Azure Defender для оповещений Resource Manager

Во время реорганизации планов Defender мы переместили оповещения из Azure Defender для Resource Manager в Azure Defender для серверов.

В этом обновлении мы изменили префиксы этих оповещений в соответствии с данным переназначением и заменили "ARM_" на "VM_", как показано в следующей таблице.

Исходное имя В результате этого изменения
ARM_AmBroadFilesExclusion VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution VM_AmDisablementAndCodeExecution
ARM_AmDisablement VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset VM_VMAccessUnusualSSHReset

Узнайте больше о планах Azure Defender для Resource Manager и Azure Defender для серверов.

Изменения в логике рекомендации по безопасности для кластеров Kubernetes

Рекомендация "Кластеры Kubernetes не должны использовать пространство имен по умолчанию" препятствует использованию пространства имен по умолчанию для диапазона типов ресурсов. Удалены два типа ресурсов, включенных в эту рекомендацию: ConfigMap и Secret.

Дополнительные сведения об этой рекомендации и усилении защиты кластеров Kubernetes см. в статье Общие сведения о службе "Политика Azure" для кластеров Kubernetes.

Чтобы уточнить связи между различными рекомендациями, во многих рекомендациях мы добавили область Связанные рекомендации на страницу подробных.

На этих страницах показаны три типа отношений:

  • Предварительные требования — рекомендация, которая должна быть выполнена перед выбранной рекомендацией.
  • Альтернативный вариант — другая рекомендация, которая предоставляет другой способ достижения целей выбранной рекомендации.
  • Зависимый — рекомендация, для которой выбранная рекомендация является необходимым условием.

Для каждой связанной рекомендации в столбце "Затрагиваемые ресурсы" отображается число неработоспособных ресурсов.

Совет

Если связанная рекомендация неактивна, реализация ее зависимости еще не завершена, поэтому она недоступна.

Пример связанных рекомендаций:

  1. Центр безопасности проверяет компьютеры на наличие поддерживаемых решений для оценки уязвимостей:
    Необходимо включить решение для оценки уязвимостей на виртуальных машинах

  2. При обнаружении одного из них вы будете получать уведомления об обнаруженных уязвимостях:
    Должны быть устранены уязвимости на ваших виртуальных машинах.

Очевидно, что Центр безопасности не сможет уведомлять вас об обнаруженных уязвимостях, если он не найдет поддерживаемое решение для оценки уязвимостей.

Таким образом:

  • Рекомендация № 1 является необходимым условием для рекомендаций № 2.
  • Рекомендация № 2 зависит от рекомендации № 1

Снимок экрана: рекомендация по развертыванию решения для оценки уязвимостей.

Снимок экрана: устранение обнаруженных уязвимостей.

Новые оповещения для Azure Defender для Kubernetes (предварительная версия)

Чтобы расширить защиту от угроз, предоставляемую Azure Defender для Kubernetes, мы добавили два оповещения из предварительной версии:

Эти оповещения создаются на основе новой модели машинного обучения и расширенной аналитики Kubernetes, измеряя несколько атрибутов развертывания и назначения ролей по сравнению с предыдущими действиями в кластере и во всех кластерах, отслеживаемых Azure Defender.

Оповещение (тип оповещения) Description Тактика MITRE Важность
Аномальное развертывание модулей pod (предварительная версия)
(K8S_AnomalousPodDeployment)
Анализ журнала аудита Kubernetes обнаружил развертывание pod, которое является аномальным на основе предыдущего действия развертывания pod. Это действие считается аномалией с учетом взаимосвязей между различными признаками операции развертывания. В число отслеживаемых данной аналитикой признаков входят используемый реестр образов контейнеров, учетная запись, выполняющая развертывание, день недели, периодичность развертывания модулей pod в этой учетной записи, агент пользователя, используемый в операции, использование пространства имен, в котором часто выполняется развертывание модулей pod, и другие особенности. Основные причины возникновения этого оповещения об аномальной операции подробно описаны в расширенных свойствах оповещения. Выполнение Средняя
Excessive role permissions assigned in Kubernetes cluster (Preview) (Избыточные разрешения роли, назначенные в кластере Kubernetes (предварительная версия))
(K8S_ServiceAcountPermissionAnomaly)
При анализе журналов аудита Kubernetes обнаружено назначение избыточных разрешений роли для кластера. Результаты изучения назначений ролей свидетельствуют о том, что указанные разрешения не являются общими для конкретной учетной записи службы. Эта проверка учитывает предыдущие назначения ролей для той же учетной записи службы в кластерах, отслеживаемых службой Azure, тома каждого разрешения, а также влияние конкретного разрешения. В модели обнаружения аномалий, используемой в этом оповещении, учитывается, как именно это разрешение используется во всех кластерах, отслеживаемых Azure Defender. Повышение привилегий Низкая

Полный список оповещений Kubernetes см. в разделе "Оповещения для контейнеров — кластеры Kubernetes" статьи "Оповещения системы безопасности — справочное руководство".

Сентябрь 2021 года

В сентябре было выпущено следующее обновление:

Две новые рекомендации по аудиту конфигураций ОС для обеспечения соответствия базовым показателям безопасности Azure (предварительная версия)

Для оценки соответствия ваших компьютеров базовым показателям безопасности Windows и Linux выпущены следующие две рекомендации:

В этих рекомендациях с помощью функции гостевой конфигурации Политики Azure конфигурация ОС компьютера сравнивается с базовыми показателями, определенными в Azure Security Benchmark.

Дополнительные сведения об использовании этих рекомендаций см. в разделе Защита конфигурации ОС компьютера с помощью гостевой конфигурации.

Август 2021 г.

В августе добавлены следующие обновления:

Azure Defender для серверов теперь поддерживает Microsoft Defender для конечной точки для Linux (в предварительной версии)

В Azure Defender для серверов интегрирована лицензия на Microsoft Defender для конечной точки. Вместе они обеспечивают широкие возможности обнаружения конечных точек и реагирования.

Когда Defender для конечной точки обнаруживает угрозу, активируется оповещение. Оповещение отображается в Центре безопасности. Из Центра безопасности вы можете перейти к консоли Defender для конечной точки, отобразить сводные данные и тщательно их изучить для определения области атаки.

В период действия предварительной версии для развертывания Microsoft Defender для конечной точки на компьютерах Linux можно использовать один из двух способов, в зависимости от того, было ли это средство развернуто на ваших компьютерах с ОС Windows:

Дополнительные сведения см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности Azure: Microsoft Defender для конечной точки.

Две новые рекомендации по управлению решениями для защиты конечных точек (предварительные версии)

В предварительной версии мы добавили две рекомендации по развертыванию и обслуживанию решений для защиты конечных точек на ваших компьютерах. Обе рекомендации касаются поддержки виртуальных машин Azure и компьютеров, подключенных к серверам с поддержкой Azure Arc.

Рекомендация Description Серьезность
Необходимо установить Endpoint Protection на ваших компьютерах Чтобы защитить компьютеры от угроз и уязвимостей, установите поддерживаемое решение для защиты конечных точек. Узнайте, как оценивается защита конечных точек для компьютеров.
(Связанная политика: Мониторинг отсутствия Endpoint Protection в Центр безопасности Azure)
Высокая
Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны здесь. Оценка защиты конечных точек документально представлена здесь.
(Связанная политика: Мониторинг отсутствия Endpoint Protection в Центр безопасности Azure)
Средняя

Примечание.

В рекомендациях показан интервал обновления в 8 часов, но в некоторых сценариях он может значительно большим. Например, в случае удаления локального компьютера Центру безопасности Azure для выявления этого события потребуется 24 часа. И потребуется еще 8 часов, чтобы выполнить оценку информации, которую необходимо вернуть. Таким образом, в данном конкретном случае для удаления компьютера из списка затронутых ресурсов может потребоваться 32 часа.

Индикатор интервала обновления для этих двух новых рекомендаций Центра безопасности Azure

Встроенные средства устранения неполадок и руководство по решению распространенных проблем

Новая, выделенная область страниц Центра безопасности на портале Microsoft Azure содержит упорядоченный, постоянно увеличивающийся набор материалов для самостоятельного решения проблем с Центром безопасности и Azure Defender.

Если у вас возникла проблема или вы хотите получить совет от нашей группы поддержки, попробуйте найти решение с помощью инструмента Диагностика и устранение неполадок.

Страница

Отчеты аудита Azure для панели мониторинга соответствия нормативным требованиям, выпущенные для общедоступной версии (GA)

На панели инструментов панели мониторинга соответствия нормативным требованиям доступны отчеты о сертификатах Azure и Dynamics по стандартам, применяемым к подпискам.

Панель инструментов панели мониторинга соответствия нормативным требованиям, в которой отображается кнопка для создания отчетов об аудите.

Можно выбрать вкладку для соответствующих типов отчетов (PCI, SOC, ISO и др.) и использовать фильтры для поиска нужных отчетов.

Дополнительные сведения см. в разделе Создание отчетов о состоянии соответствия и сертификатов.

Списки доступных отчетов аудита Azure с вкладками. Показаны вкладки для отчетов ISO, SOC, PCI и других.

Игнорирование рекомендации "На ваших компьютерах необходимо устранить проблемы работоспособности агента анализа журналов Log Analytics"

Мы обнаружили, что рекомендация На ваших компьютерах должны быть решены проблемы работоспособности агента анализа журналов Log Analytics влияет на оценку безопасности таким образом, что это не согласуется с фокусом Управления состоянием безопасности облака (CPSM) Центра безопасности. Как правило, CSPM относится к выявлению нетипичных конфигураций безопасности. Проблемы работоспособности агентов не попадают в эту категорию.

Кроме того, рекомендация является отклонением при сравнении с другими агентами, связанными с Центром безопасности: это единственный агент с рекомендацией, относящейся к проблемам работоспособности.

Рекомендация не рекомендуется.

В связи с этим мы также внесли незначительные изменения в рекомендации по установке агента Log Analytics ("Агент Log Analytics должен быть установлен на…").

Скорее всего, это изменение повлияет на ваши оценки безопасности. Мы предполагаем, что для большинства подписок оно приведет к повышению оценки, но в определенных обстоятельствах такие изменения в рекомендациях по установке могут привести и к их снижению.

Совет

Это изменение также повлияет на страницу Инвентаризация активов, поскольку на ней отображается статус отслеживания компьютера: отслеживается, не отслеживается, частично отслеживается (состояние, относящееся к агенту с проблемами работоспособности).

В инструмент Azure Defender для реестров контейнеров входит сканер уязвимостей для проверки образов в службе "Реестр контейнеров Azure". Узнайте, как проверить свои реестры и исправить результаты в статье Использование Azure Defender для реестров контейнеров для проверки уязвимости образов.

Чтобы ограничить доступ к реестру, размещенному в реестре контейнеров Azure, присвойте частные IP-адреса виртуальной сети конечным точкам реестра и воспользуйтесь службой "Приватный канал Azure", как описано в разделе Закрытое подключение к реестру контейнеров Azure с помощью приватного канала.

Мы постоянно стремимся обеспечить поддержку дополнительных сред и вариантов использования, поэтому Azure Defender теперь также сканирует реестры контейнеров, защищенные с помощью Приватного канала Azure.

Центр безопасности теперь может автоматически подготовить расширение гостевой конфигурации Политика Azure (в предварительной версии)

Политика Azure может выполнять аудит параметров на компьютере как для компьютеров, работающих в Azure, так и для компьютеров, подключенных к Arc. Проверка выполняется с помощью расширения гостевой конфигурации и клиента. Подробнее см. в статье Общие сведения о гостевой конфигурации службы "Политика Azure"

После этого обновления в Центре безопасности можно настраивать автоматическую подготовку этого расширения на всех поддерживаемых компьютерах.

Включите автоматическое развертывание расширения гостевой конфигурации.

Дополнительные сведения о том, как работает автопроизвидение, см. в разделе "Настройка автоматической подготовки для агентов и расширений".

Рекомендации теперь поддерживают "Принудительное применение"

В Центре безопасности Azure реализованы две возможности для безопасной подготовки создаваемых ресурсов: применить и отклонить. Если в рекомендацию включены такие варианты, то при каждой попытке создать ресурс вы сможете обеспечить соблюдение требований безопасности:

  • Отклонить: прекращает создание неработоспособных ресурсов
  • Применить: автоматическое исправление ресурсов, не соответствующих требованиям, при их создании

В рамках этого обновления вариант "Применить" теперь доступен в рекомендациях по включению планов Azure Defender (например, должны быть включеныAzure Defender для Службы приложений Azure, Azure Defender для Key Vault и Azure Defender для службы хранилища).

Подробнее об этих возможностях см. раздел Предотвращение ошибок конфигурации с помощью рекомендаций о применении и отклонении.

Экспорт данных рекомендаций в CSV-файл теперь ограничен 20 МБ

Мы установили ограничение в 20 МБ для экспорта данных рекомендаций Центра безопасности Azure.

Кнопка

Если необходимо экспортировать большие объемы данных, используйте фильтры перед выбором или выбирайте подмножества подписок и скачивайте данные пакетами.

Фильтрация подписок на портале Microsoft Azure.

Узнайте больше об экспорте рекомендаций по безопасности в формате CSV.

Страница рекомендаций теперь состоит из нескольких представлений

На странице рекомендаций теперь есть две вкладки, которые обеспечивают разные возможности просмотра рекомендаций для ваших ресурсов:

Вкладки для изменения представления списка рекомендаций в Центре безопасности Azure.

Июль 2021

В июле добавлены следующие обновления:

В соединитель Sentinel Azure теперь включена необязательная синхронизация двунаправленных оповещений (в предварительной версии)

Центр безопасности изначально интегрирован с Azure Sentinel, облачным решением SIEM и SOAR от Azure.

В состав Azure Sentinel входят встроенные соединители для Центра безопасности Azure на уровнях подписки и арендатора. Подробнее см. раздел Потоковая передача оповещений в Azure Sentinel.

При подключении Azure Defender к Azure Sentinel состояние оповещений Azure Defender, принимаемых в Azure Sentinel, синхронизируется между этими двумя службами. Например, если оповещение закрывается в Azure Defender, оно также отображается как закрытое в Azure Sentinel. Изменение состояния синхронизированного оповещения в Azure Defender не приведет* к изменению состояния содержащих его инцидентов Azure Sentinel (меняется только состояние самого оповещения).

При включении двухнаправленной синхронизации оповещений предварительной версии автоматически синхронизируется состояние исходных оповещений Azure Defender с инцидентами Azure Sentinel, содержащими копии этих оповещений Azure Defender. Например, если вы закрыли инцидент Azure Sentinel, содержащий оповещение Azure Defender, Azure Defender автоматически закроет соответствующее исходное оповещение.

Дополнительные сведения см. в статье Подключение оповещений Azure Defender из Центра безопасности Azure.

Логическая реорганизация Azure Defender для оповещений Resource Manager

Приведенные ниже оповещения в настоящее время были предоставлены в рамках плана Azure Defender для Resource Manager.

В рамках логической реорганизации части планов Azure Defender мы перенесли некоторые оповещения из плана Azure Defender для Resource Manager в план Azure Defender для серверов.

Оповещения упорядочивают в соответствии с двумя основными принципами:

  • Оповещения, которые обеспечивают защиту на уровне управления (для различных типов ресурсов Azure), входят в план "Azure Defender для Resource Manager".
  • Оповещения, которые обеспечивают защиту определенных рабочих нагрузок, входят в план Azure Defender, связанный с соответствующей рабочей нагрузкой.

Ниже приведены оповещения, которые входили в план "Azure Defender для Resource Manager" и которые в результате этого изменения теперь включены в план "Azure Defender для серверов":

  • ARM_AmBroadFilesExclusion
  • ARM_AmDisablementAndCodeExecution
  • ARM_AmDisablement
  • ARM_AmFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusionAndCodeExecution
  • ARM_AmTempFileExclusion
  • ARM_AmRealtimeProtectionDisabled
  • ARM_AmTempRealtimeProtectionDisablement
  • ARM_AmRealtimeProtectionDisablementAndCodeExec
  • ARM_AmMalwareCampaignRelatedExclusion
  • ARM_AmTemporarilyDisablement
  • ARM_UnusualAmFileExclusion
  • ARM_CustomScriptExtensionSuspiciousCmd
  • ARM_CustomScriptExtensionSuspiciousEntryPoint
  • ARM_CustomScriptExtensionSuspiciousPayload
  • ARM_CustomScriptExtensionSuspiciousFailure
  • ARM_CustomScriptExtensionUnusualDeletion
  • ARM_CustomScriptExtensionUnusualExecution
  • ARM_VMAccessUnusualConfigReset
  • ARM_VMAccessUnusualPasswordReset
  • ARM_VMAccessUnusualSSHReset

Узнайте больше о планах Azure Defender для Resource Manager и Azure Defender для серверов.

Дополнения к рекомендации по включению службы "Шифрование дисков Azure" (ADE)

После получения отзывов пользователей мы переименовали рекомендацию На виртуальных машинах следует применять шифрование дисков.

В новой рекомендации под названием На виртуальных машинах следует шифровать временные диски, кэш и потоки данных между ресурсами службы вычислений и службы хранилища Azure используется тот же идентификатор оценки.

Кроме того, обновлено описание, чтобы лучше разъяснить цель этой рекомендации по усилению защиты:

Рекомендация Description Серьезность
Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища По умолчанию ОС виртуальной машины и диски данных шифруются неактивных с помощью ключей, управляемых платформой; Временные диски и кэши данных не шифруются, а данные не шифруются при потоке между вычислительными ресурсами и ресурсами хранилища. Дополнительные сведения см. в статье о сравнении различных технологий шифрования дисков в Azure.
Используйте службу "Шифрование дисков Azure" для шифрования всех этих данных. Не учитывайте эту рекомендацию, если: (1) вы используете функцию шифрования на узле или (2) шифрование на стороне сервера в Управляемые диски соответствует вашим требованиям безопасности. Дополнительные сведения см. в разделе Шифрование хранилища дисков Azure на стороне сервера.
Высокая

Функция непрерывного экспорта данных об оценке безопасности и соответствии нормативным требованиям, выпущенных для общедоступной версии (GA)

Функция непрерывного экспорта представляет собой механизм для экспорта оповещений системы безопасности и рекомендаций для отслеживания с помощью других средств мониторинга в данной среде.

Для настройки функции непрерывного экспорта укажите, какие элементы необходимо экспортировать, и адресата. Дополнительные сведения см. в обзоре по непрерывному экспорту.

Все это время мы улучшали и расширяли эту функцию:

  • В ноябре 2020 г. мы ввели предварительные версии, чтобы оперативно изменять вашу оценку безопасности.

  • В декабре 2020 г. мы ввели предварительную версию, чтобы оперативно изменять данные оценки соответствия требованиям.

В этом обновлении эти две опции включены в общедоступную версию (GA).

Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (общедоступная версия, GA)

В феврале 2021 г. мы дополнили предварительную версию третьим типом данных для параметров триггера для автоматизации ваших рабочих процессов: изменения в оценке соответствия нормативным требованиям. Дополнительные сведения приведены в разделе Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям.

В этом обновлении этот параметр триггера выпущен для общедоступной версии (GA).

Сведения о том, как использовать средства автоматизации рабочих процессов, см. в статье Автоматизация реагирования на триггеры Центра безопасности.

Активация автоматизации рабочих процессов посредством изменения оценки соответствия нормативным требованиям.

Поля "FirstEvaluationDate" и "StatusChangeDate" программного интерфейса оценки теперь доступны в схемах рабочей области и приложениях логики

В мае 2021 г. мы обновили программный интерфейс оценки, добавив два новых поля: FirstEvaluationDate и StatusChangeDate. Более полная информация приведена в разделе Программный интерфейс оценки дополнен двумя новыми полями.

Эти поля были доступны с помощью интерфейса REST API, Azure Resource Graph, функции непрерывного экспорта и в CSV-файлах экспорта.

После этого изменения данные станут доступны в схеме рабочей области Log Analytics и в приложениях логики.

В марте мы объявили о внедрении книг Azure Monitor в Центр безопасности Azure (см. статью Книги Azure Monitor интегрированы в Центр безопасности Azure и предоставлено три шаблона).

В первоначальный выпуск вошло три шаблона для создания динамических и визуальных отчетов о состоянии безопасности вашей организации.

Теперь мы добавили книгу, предназначенную для отслеживания соответствия подписок действующим нормативным требованиям или отраслевым стандартам.

Сведения об использовании этих отчетов или создании собственных см. в статье Создание интерактивных отчетов на основе данных Центра безопасности Azure.

Книга

Июнь 2021 года

В июне добавлены следующие обновления:

Новое оповещение Azure Defender для Key Vault

Чтобы расширить защиту от угроз, предоставляемую Azure Defender для Key Vault, мы добавили следующее оповещение:

Оповещение (тип оповещения) Description Тактика MITRE Важность
Доступ с подозрительного IP-адреса к хранилищу ключей
(KV_SuspiciousIPAccess)
К хранилищу ключей был успешно осуществлен доступ по IP-адресу, который был идентифицирован Microsoft Threat Intelligence как подозрительный IP-адрес. Это может указывать на то, что ваша инфраструктура была скомпрометирована. Рекомендуем провести дополнительное исследование. Подробнее о возможностях Microsoft Threat Intelligence. Доступ к четным данным Средняя

Дополнительные сведения см. в разделе:

Рекомендации о шифровании данных с использованием ключей, управляемых клиентом (CMK), отключены по умолчанию

В Центре безопасности есть несколько рекомендаций шифровать неактивные данные с помощью управляемых клиентом ключей, например:

  • В реестрах контейнеров должно использоваться шифрование с помощью ключа, управляемого клиентом (CMK)
  • Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных
  • Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом (CMK)

Данные в Azure шифруются автоматически с использованием ключей, управляемых платформой, поэтому применять управляемые клиентом ключи следует только в том случае, если этого требует конкретная политика, соблюдение которой ваша организация решила обеспечивать.

В результате этого изменения рекомендации об использовании ключей CMK отключены по умолчанию. Если они все же уместны для вашей организации, их можно включить, поменяв значение параметра Effect соответствующей политики безопасности на AuditIfNotExists или Enforce. Дополнительные сведения см. в разделе "Включение рекомендации по безопасности".

Это изменение отражено в именах рекомендаций: они предваряются новым префиксом [Включить, если обязательно], как показано в следующих примерах:

  • [Включить, если обязательно] Учетные записи хранения должны использовать для шифрования неактивных данных ключ, управляемый клиентом
  • [Включить, если необходимо] В реестрах контейнеров должно использоваться шифрование с помощью ключа, управляемого клиентом (CMK)
  • [Включить, если необходимо] Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных

Рекомендации Центра безопасности об использовании CMK отключены по умолчанию.

Префикс оповещений Kubernetes поменялся с "AKS_" на "K8S_"

С недавних пор Azure Defender для Kubernetes защищает также кластеры Kubernetes, размещенные локально и в многооблачных средах. Дополнительные сведения см. в разделе Использование Azure Defender для Kubernetes для защиты гибридных и многооблачных развертываний Kubernetes (предварительная версия).

Чтобы отразить тот факт, что оповещения системы безопасности, предоставляемые Azure Defender для Kubernetes, больше не ограничены кластерами в Служба Azure Kubernetes, мы изменили префикс для типов оповещений с "AKS_" на "K8S_". При необходимости имена и описания также были обновлены. Примером может служить следующее предупреждение:

Оповещение (тип оповещения) Description
Обнаружено средство тестирования на проникновение Kubernetes
(AKS_PenTestToolsKubeHunter)
В ходе анализа журнала аудита Kubernetes обнаружено использование средства тестирования на проникновение Kubernetes в кластере AKS. Хотя такое поведение может быть допустимым, злоумышленники могут использовать такие общедоступные средства для вредоносных целей.

Изменено на это оповещение:

Оповещение (тип оповещения) Description
Обнаружено средство тестирования на проникновение Kubernetes
(K8S_PenTestToolsKubeHunter)
В ходе анализа журнала аудита Kubernetes обнаружено использование средства тестирования на проникновение Kubernetes в кластере Kubernetes. Хотя такое поведение может быть допустимым, злоумышленники могут использовать такие общедоступные средства для вредоносных целей.

Все правила подавления, которые ссылаются на предупреждения, начинающиеся с "AKS_", были автоматически преобразованы. Если вы настроили экспорт из SIEM или пользовательские скрипты автоматизации, которые ссылаются на оповещения Kubernetes по типам оповещений, необходимо обновить в них соответствующие типы оповещений.

Полный список оповещений Kubernetes см. в разделе "Оповещения для контейнеров — кластеры Kubernetes" статьи "Оповещения системы безопасности — справочное руководство".

Две рекомендации из элемента управления безопасностью "Применить обновления системы" объявлены устаревшими

Объявлены устаревшими следующие две рекомендации:

  • Необходимо обновить версию ОС для ролей облачной службы. По умолчанию Azure периодически обновляет гостевые ОС до последнего поддерживаемого образа в семействе ОС, который вы указали в конфигурации службы (CSCFG-файл), например Windows Server 2016.
  • Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями. Эти оценки рекомендации применяются не так широко, как хотелось бы. Мы планируем заменить эту рекомендацию улучшенной версией, которая лучше соответствует вашим потребностям в области безопасности.

2021 мая

В мае добавлены следующие обновления:

Вышли общедоступные версии Azure Defender для DNS и Azure Defender для Resource Manager

Эти два ориентированных на облако плана защиты от угроз стали теперь общедоступными.

Эти новые возможности защиты значительно улучшают устойчивость к атакам со стороны субъектов угроз и существенно увеличивают число ресурсов Azure, защищенных с помощью Azure Defender.

Чтобы включить эти планы было проще, учтите следующие рекомендации:

  • Azure Defender для Resource Manager должен быть включен
  • Azure Defender для DNS должен быть включен

Примечание.

Включение планов Azure Defender является платной услугой. Подробно о ценах для каждого региона см. на странице цен Центра безопасности.

Вышла общедоступная версия Azure Defender для реляционных баз данных с открытым кодом

С выходом нового пакета для защиты реляционных баз данных с открытым кодом расширился круг баз данных SQL, защищаемых Центром безопасности Azure:

  • Azure Defender для серверов базы данных SQL Azure — защищает собственные серверы SQL Server Azure
  • Azure Defender для серверов SQL на компьютерах — расширяет действие такой защиты на серверы SQL в гибридных, многооблачных и локальных средах
  • Azure Defender для реляционных баз данных с открытым кодом защищает Базы данных Azure для MySQL, PostgreSQL и MariaDB, размещенные на отдельных серверах

Azure Defender для реляционных баз данных с открытым кодом постоянно отслеживает серверы на предмет угроз безопасности и обнаруживает аномальные действия с базами данных, указывающие на потенциальные угрозы Базам данных Azure для MySQL, PostgreSQL и MariaDB. Некоторые примеры:

  • Детализированное обнаружение атак методом подбора. Azure Defender для реляционных баз данных с открытым кодом предоставляет подробные сведения о попытках атаки и успешных атаках методом подбора. Это позволяет исследовать происходящее и получить более полное представление о характере и состоянии атаки на вашу среду, чтобы затем принять адекватные меры.
  • Обнаружение посредством оповещений о поведении. Azure Defender для реляционных баз данных с открытым кодом выдает оповещения о подозрительном и непредвиденном поведении на серверах — например, изменении обычного характера доступа к базе данных.
  • Обнаружение на основе аналитики угроз. Azure Defender применяет аналитику угроз Майкрософт и огромные база знаний для обнаружения оповещений об угрозах, чтобы вы могли действовать против них.

Подробнее см. в статье "Общие сведения об Azure Defender для реляционных баз данных с открытым кодом".

Новые оповещения Azure Defender для Resource Manager

Чтобы расширить защиту от угроз, предоставляемую Azure Defender для Resource Manager, мы добавили следующие оповещения:

Оповещение (тип оповещения) Description Тактика MITRE Важность
Роли RBAC в вашей среде Azure предоставлены разрешения необычным способом (предварительная версия)
(ARM_AnomalousRBACRoleAssignment)
Служба Azure Defender для Resource Manager обнаружила назначение роли RBAC, которое необычно по сравнению с другими назначениями, выполняемыми тем же назначающим (или для одного и того же уполномоченного) в вашем клиенте из-за следующих аномалий: время назначения, расположение назначающего, назначающий, метод проверки подлинности, назначенные сущности, используемое клиентское программное обеспечение, область назначения. Эта операция могла быть выполнена уполномоченным пользователем в вашей организации. В качестве альтернативы это может указывать на то, что учетная запись в вашей организации была взломана, и что злоумышленник пытается предоставить разрешения дополнительной учетной записи пользователя, которой он владеет. Горизонтальное перемещение, обход защиты Средняя
Привилегированная пользовательская роль, созданная для вашей подписки подозрительным образом (предварительная версия)
(ARM_PrivilegedRoleDefinitionCreation)
Служба Azure Defender Azure для Resource Manager обнаружил подозрительное создание определения привилегированной настраиваемой роли в вашей подписке. Эта операция могла быть выполнена уполномоченным пользователем в вашей организации. В качестве альтернативы это может указывать на то, что учетная запись в вашей организации была взломана, и что злоумышленник пытается создать привилегированную роль для использования в будущем, чтобы избежать обнаружения. Горизонтальное перемещение, обход защиты Низкая
Выполнение операции Azure Resource Manager с подозрительного IP-адреса (предварительная версия)
(ARM_OperationFromSuspiciousIP)
Защитник Azure для Resource Manager обнаружил операцию с IP-адреса, который был помечен как подозрительный в каналах аналитики угроз. Выполнение Средняя
Операция Azure Resource Manager с подозрительного IP-адреса прокси-сервера (предварительная версия)
(ARM_OperationFromSuspiciousProxyIP)
Защитник Azure для Resource Manager обнаружил операцию управления ресурсами с IP-адреса, связанного с прокси-службами, такими как TOR. Хотя подобный алгоритм поведения может быть обоснованным, зачастую он проявляется в злонамеренных действиях, когда злоумышленники пытаются скрыть свой исходный IP-адрес. Уклонение от защиты Средняя

Дополнительные сведения см. в разделе:

Сканирование образов контейнеров на уязвимости в ходе CI/CD с помощью рабочих процессов GitHub и Azure Defender (предварительная версия)

Azure Defender для реестров контейнеров теперь предоставляет командам DevSecOps возможность наблюдения за рабочими процессами выполнения действий GitHub.

Новая функция сканирования уязвимостей для образов контейнеров, использующая Trivy, помогает проверять распространенные уязвимости в образах контейнеров перед отправкой образов в реестры контейнеров.

Краткие отчеты о сканировании контейнеров отображаются в Центре безопасности Azure. Они помогут группам безопасности лучше разобраться в том, откуда — в частности, из каких рабочих процессов и репозиториев — поступают уязвимые образы контейнеров.

Дополнительные сведения см. в статье "Обнаружение уязвимых образов контейнеров в ходе рабочих процессов CI/CD".

Для некоторых рекомендаций доступны дополнительные запросы к Resource Graph

Все рекомендации Центра безопасности позволяют просматривать сведения о состоянии затронутых ресурсов с помощью Azure Resource Graph путем открытия соответствующего запроса. Полные сведения об этой мощной функции см. в статье "Просмотр данных рекомендаций" в обозревателе Azure Resource Graph.

В Центре безопасности имеются встроенные сканеры уязвимостей, позволяющие проверять виртуальные машины, серверы SQL, их узлы и реестры контейнеров на уязвимости в системе безопасности. Результаты проверки возвращаются в виде рекомендаций, в которых собраны в единое представление все результаты по каждому типу ресурсов. Вот эти рекомендации:

  • Должны быть исправлены уязвимости в образах реестра контейнеров Azure (на платформе Qualys)
  • Должны быть устранены уязвимости на ваших виртуальных машинах.
  • Уязвимости, обнаруженные в базах данных SQL, должны быть устранены
  • Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены

После этого изменения кнопка Открыть запрос позволяет также открыть запрос, возвращающий результаты проверки безопасности.

Кнопка

Там, где это уместно, кнопка Открыть запрос обеспечивает доступ к дополнительным вариантам запросов, относящихся к некоторым другим рекомендациям.

Дополнительные сведения о сканерах уязвимостей в Центре безопасности:

Изменена степень серьезности рекомендации по классификации данных SQL

Серьезность рекомендаций, конфиденциальных данных в базах данных SQL, должна быть классифицирована с высокой на низкую.

Это часть текущих изменений в этой рекомендации, о которых мы объявили на странице предстоящих изменений.

Новые рекомендации по включению возможностей доверенного запуска (предварительная версия)

Azure предлагает доверенный запуск как простой способ повышения безопасности виртуальных машин 2-го поколения. Доверенный запуск защищает от сложных и постоянных атак. Доверенный запуск состоит из нескольких скоординированных инфраструктурных технологий, которые можно активировать независимо. Каждая технология обеспечивает следующий уровень защиты от сложных угроз. Дополнительные сведения см. в статье Доверенный запуск виртуальных машин Azure.

Внимание

Для доверенного запуска требуется создание новых виртуальных машин. Доверенный запуск невозможно активировать на существующих виртуальных машинах, которые изначально были созданы без него.

В настоящее время доверенный запуск предлагается в общедоступной предварительной версии. Эта предварительная версия предлагается без соглашения об уровне обслуживания и не рекомендована для использования в рабочей среде. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены.

Рекомендация Центра безопасности "На поддерживаемых виртуальных машинах должен быть включен vTPM" призвана обеспечить использование vTPM с виртуальными машинами Azure. Эта виртуализированная версия аппаратного доверенного платформенного модуля (TPM) предоставляет возможность аттестации путем измерения всей цепочки загрузки виртуальной машины (UEFI, ОС, системы и драйверов).

Когда модуль vTPM включен, расширение аттестации гостей может удаленно проверить безопасную загрузку. Развертывание этого расширения предписывается следующими рекомендациями:

  • На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка
  • На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей
  • Расширение аттестации гостей должно быть установлено в поддерживаемых windows Масштабируемые наборы виртуальных машин
  • На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей
  • Расширение аттестации гостей должно быть установлено в поддерживаемых Масштабируемые наборы виртуальных машин Linux

Дополнительные сведения см. в статье Доверенный запуск виртуальных машин Azure.

Новые рекомендации по усилению защиты кластеров Kubernetes (предварительная версия)

Ниже приведены рекомендации по дополнительной защите кластеров Kubernetes.

  • В кластерах Kubernetes не должно использоваться пространство имен по умолчанию. Запретите использовать пространство имен по умолчанию в кластерах Kubernetes, чтобы защитить ресурсы типов ConfigMap, Pod, Secret, Service и ServiceAccount от несанкционированного доступа.
  • В кластерах Kubernetes должны быть отключены учетные данные API для автоподключения. Чтобы предотвратить выполнение скомпрометированным ресурсом типа Pod команд API, воздействующих на кластеры Kubernetes, отключите учетные данные API для автоподключения.
  • Кластеры Kubernetes не должны предоставлять функции безопасности CAPSYSADMIN

О том, как Центр безопасности может защитить контейнерные среды, см. в статье "Защита контейнеров в Центре безопасности".

В API Оценок появилось два новых поля

В REST API Оценок были добавлены следующие два поля:

  • FirstEvaluationDate — время создания и первой оценки рекомендации. Возвращается как время в формате UTC согласно стандарту ISO 8601.
  • StatusChangeDate — время последнего изменения состояния рекомендации. Возвращается как время в формате UTC согласно стандарту ISO 8601.

Начальное значение этих полей по умолчанию для всех рекомендаций — 2021-03-14T00:00:00+0000000Z.

Для доступа к этим сведениям можно использовать любой из методов, приведенных в таблице ниже.

Средство Сведения
Вызов REST API GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates
Azure Resource Graph securityresources
where type == "microsoft.security/assessments"
Непрерывный экспорт Два выделенных поля будут доступны как данные рабочей области Log Analytics
Экспорт CSV Эти два поля включаются в CSV-файлы

Дополнительные сведения о REST API Оценок см. на этой странице.

На страницу инвентаризации активов добавлен фильтр по облачной среде

На странице инвентаризации активов Центра безопасности имеется множество фильтров для быстрого уточнения отображаемого списка ресурсов. См. сведения об изучении ресурсов и управлении ими с помощью инвентаризации ресурсов.

Новый фильтр позволяет уточнить список в соответствии с облачными учетными записями, которые вы подключили к функциям для многооблачных сред Центра безопасности:

Фильтр по облачной среде на странице инвентаризации

Дополнительные сведения о функциях для многооблачных сред:

Апрель 2021 г.

В апреле добавлены следующие обновления:

Обновлена страница работоспособности ресурса (предварительная версия)

Работоспособность ресурсов была расширена, улучшена и улучшена, чтобы обеспечить представление моментального снимка общего состояния одного ресурса.

Там можно просмотреть подробные сведения о нем и все связанные с ним рекомендации. Кроме того, если вы используете расширенные планы защиты Microsoft Defender, вы также будете видеть текущие оповещения системы безопасности для этого ресурса.

Чтобы открыть страницу работоспособности того или иного ресурса, выберите этот ресурс на странице инвентаризации активов.

На предварительной версии этой страницы в Центре безопасности отображается следующее:

  1. Сведения о ресурсах — группа ресурсов и подписка, к которым она подключена, географическое расположение и многое другое.
  2. Примененная функция безопасности: указывает, включен ли для ресурса Azure Defender.
  3. Количество активных рекомендаций и оповещений: число активных рекомендаций по безопасности и оповещений Azure Defender.
  4. Практические рекомендации и оповещения: на двух вкладках приведены рекомендации и оповещения, относящиеся к данному ресурсу.

Страница работоспособности ресурсов Центра безопасности Azure с информацией о работоспособности виртуальной машины

Дополнительные сведения см. здесь: "Учебник: анализ работоспособности ресурсов".

Недавно извлеченные образы реестра контейнеров теперь повторно сканируются еженедельно (выпущено в общедоступной версии)

Azure Defender для реестров контейнеров содержит встроенный сканер уязвимостей. Этот сканер сразу же проверяет все образы, которые вы отправляете в реестр или извлекали за последние 30 дней.

Новые уязвимости обнаруживаются ежедневно. В этом обновлении образы контейнеров, которые были извлечены из реестра в течение последних 30 дней, будут повторно сканироваться каждую неделю. Это гарантирует, что вновь обнаруженные уязвимости будут обнаружены в ваших образах.

Плата за сканирование взимается по количеству образов, поэтому дополнительная оплата за повторные сканирования отсутствует.

Дополнительные сведения об этом сканере см. в статье Использование Azure Defender для реестров контейнеров с целью проверки образов на наличие уязвимостей.

Использование Azure Defender для Kubernetes для защиты гибридных и многооблачных развертываний Kubernetes (предварительная версия)

Для Azure Defender для Kubernetes расширен функционал защиты кластеров. Это было включено путем интеграции с Kubernetes с поддержкой Azure Arc и ее новыми возможностями расширений.

Если вы включили Azure Arc в кластерах, отличных от Azure Kubernetes, новая рекомендация из Центр безопасности Azure предлагает развернуть агент Azure Defender для них только с несколькими щелчками мыши.

Используйте рекомендацию (В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Azure Defender) и расширение для защиты кластеров Kubernetes, развернутых в других поставщиках облачных служб, хотя и не в управляемых средах Kubernetes.

Эта комбинация возможностей Центра безопасности Azure, Azure Defender и Kubernetes с поддержкой Azure Arc обеспечивает следующее:

  • Простая подготовка агента Azure Defender для незащищенных кластеров Kubernetes с поддержкой Azure Arc (вручную и в масштабе)
  • Мониторинг агента Azure Defender и его состояния подготовки на портале Azure Arc
  • Рекомендации по безопасности от Центра безопасности отображаются на новой странице "Безопасность" на портале Azure Arc
  • Угрозы, обнаруженные Azure Defender, отображаются на новой странице "Безопасность" на портале Azure Arc
  • Кластеры Kubernetes с поддержкой Azure Arc интегрированы в платформу и интерфейс Центра безопасности Azure.

Дополнительные сведения см. в статье Использование Azure Defender для Kubernetes в локальных и многооблачных кластерах Kubernetes.

Центр безопасности Azure рекомендации по развертыванию агента Azure Defender для кластеров Kubernetes с поддержкой Azure Arc.

Интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows 10 (выпущено в общедоступной версии)

Microsoft Defender для конечной точки — целостное облачное решение для обеспечения безопасности конечной точки. Оно предоставляет возможности контроля и оценки уязвимостей на основе рисков, а также возможности обнаружения конечных точек и реагирования. Полный список преимуществ использования Defender для конечной точки вместе с Центром безопасности Azure см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности: Microsoft Defender для конечной точки.

При включении Azure Defender для серверов под управлением Windows Server в этот план включается лицензия на Defender для конечной точки. Если вы уже включили Azure Defender для серверов и в вашей подписке есть серверы под управлением Windows Server 2019, они автоматически получат Defender для конечной точки с этим обновлением. Вам не потребуется выполнять вручную никаких действий.

Теперь добавлена поддержка Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows.

Примечание.

Если вы включаете Azure Defender для конечной точки на сервере под управлением Windows Server 2019, убедитесь, что он соответствует предварительным требованиям, описанным в разделе Активация интеграции Microsoft Defender для конечной точки.

Рекомендации по включению Azure Defender для DNS и Resource Manager (предварительная версия)

С целью упрощения процедуры включения Azure Defender для Resource Manager и Azure Defender для DNS, были добавлены две новые рекомендации:

  • Служба Azure Defender для Resource Manager должен быть включен - служба Defender для Resource Manager автоматически отслеживает операции управления ресурсами в вашей организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях.
  • Azure Defender для DNS должен быть включен - служба Defender для DNS предоставляет дополнительный уровень защиты ваших облачных ресурсов, непрерывно отслеживая все запросы DNS, исходящие с ваших ресурсов Azure. Azure Defender предупреждает вас о подозрительных действиях на уровне DNS.

Включение планов Azure Defender является платной услугой. Подробно о ценах для каждого региона см. на странице цен Центра безопасности.

Совет

Рекомендации предварительной версии не присваивают ресурсу состояние неработоспособного и не включаются в вычисления вашей оценки безопасности. По возможности их все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку. Дополнительные сведения о том, как реагировать на эти рекомендации, см. в статье Рекомендации по исправлению ошибок в Центре безопасности Azure.

Добавлены три нормативных стандарта соответствия требованиям: Azure CIS 1.3.0, CMMC уровня 3 и New Zealand ISM Restricted

Мы добавили три стандарта для использования с Центром безопасности Azure. С помощью панели мониторинга соответствия нормативам вы теперь можете отслеживать соответствие следующим стандартам:

Их можно назначить своим подпискам, как описано в разделе Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.

Три стандарта добавлены для использования с панелью мониторинга соответствия нормативным требованиям Центра безопасности Azure.

См. дополнительные сведения:

Расширение гостевой конфигурации Azure отправляет отчеты в центр безопасности, чтобы обеспечить защиту параметров гостевых виртуальных машин. Расширение не требуется для серверов с поддержкой Arc, так как оно включено в агент Arc Connected Machine. Для расширения требуется управляемое системой удостоверение на компьютере.

Мы добавили в центр безопасности четыре новые рекомендации, чтобы максимально эффективно использовать это расширение.

  • В двух рекомендациях предлагается установить расширение и требуемое системой удостоверение.

    • На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация"
    • Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой
  • После установки и запуска расширение приступит к аудиту компьютеров, и вам будет предложено защитить такие параметры, как конфигурация операционной системы и параметры среды. Эти две рекомендации предложат вам защитить компьютеры Windows и Linux, как описано ниже.

    • На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender
    • При аутентификации на компьютерах Linux должны использоваться ключи SSH

Подробнее см. в статье Общие сведения о гостевой конфигурации службы "Политика Azure"

Рекомендации по использованию CMK перемещены в рекомендации по управлению безопасностью

В любой организации программа безопасности включает требования к шифрованию данных. По умолчанию данные пользователей Azure шифруются при хранении с помощью ключей, управляемых службой. Но для соответствия нормативным требованиям обычно нужно использовать ключи, управляемые клиентом, (CMK). Поддержка CMK позволяет шифровать данные с помощью ключа Azure Key Vault, который вы сами создаете и которым управляете. Вы получаете полный контроль над жизненным циклом ключа, включая его смену и управление им.

Элементы управления безопасностью в Центре безопасности Azure представляют собой логические группы родственных рекомендаций по безопасности, которые отражают уязвимые для атак области. Каждый элемент определяет максимальное количество баллов, которые вы сможете добавить к оценке безопасности, выполнив все рекомендации, перечисленные в этом элементе управления, для всех ресурсов. Элемент управления безопасностью Implement security best practices (Реализация рекомендаций по безопасности) стоит ноль баллов. Это означает, что рекомендации в этом элементе управления не влияют на оценку безопасности.

Перечисленные ниже рекомендации перемещены в элемент управления безопасностью Реализация рекомендаций по безопасности (Реализация рекомендаций по безопасности), чтобы лучше отражать их факультативный характер. Благодаря этому перемещению рекомендации оказались в наиболее подходящем элементе управления в соответствии с целями этих рекомендаций.

  • Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных
  • Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом (CMK)
  • Учетные записи служб искусственного интеллекта Azure должны включать шифрование данных с помощью ключа, управляемого клиентом (CMK)
  • В реестрах контейнеров должно использоваться шифрование с помощью ключа, управляемого клиентом (CMK)
  • Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных
  • Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных
  • Учетные записи хранения должны использовать для шифрования ключ, управляемый клиентом (CMK)

Узнайте, какие рекомендации включает каждый элемент управления безопасностью, из раздела Элементы управления безопасностью и их рекомендации.

11 нерекомендуемых оповещений Azure Defender

11 перечисленных ниже предупреждений Azure Defender являются нерекомендуемыми.

  • Новые оповещения заменят эти два оповещения и обеспечат улучшенное покрытие:

    AlertType AlertDisplayName
    ARM_MicroBurstDomainInfo PREVIEW – MicroBurst toolkit "Get-AzureDomainInfo" function run detected (Предварительная версия — обнаружено выполнение функции Get-AzureDomainInfo набора средств MicroBurst)
    ARM_MicroBurstRunbook PREVIEW – MicroBurst toolkit "Get-AzurePasswords" function run detected (Предварительная версия — обнаружено выполнение функции Get-AzurePasswords набора средств MicroBurst)
  • Эти девять оповещений относятся к соединителю Защиты идентификации Azure Active Directory (IPC), который уже не поддерживается:

    AlertType AlertDisplayName
    UnfamiliarLocation Необычные свойства входа
    AnonymousLogin Анонимный IP-адрес
    InfectedDeviceLogin IP-адрес, связанный с вредоносным ПО
    ImpossibleTravel Необычное перемещение
    MaliciousIP Вредоносный IP-адрес
    LeakedCredentials Утечка учетных данных
    PasswordSpray Распыление пароля
    LeakedCredentials Аналитика угроз Azure AD
    AADAI ИИ Azure AD

    Совет

    Эти девять оповещений IPC никогда не входили в оповещения Центра безопасности. Они входят в соединитель защиты идентификации Azure Active Directory (AAD), который отправляет их в Центр безопасности. За последние два года единственными клиентами, которые видели эти оповещения, являются организации, которые настроили экспорт (из соединителя в ASC) в 2019 или более ранних версиях. AAD IPC продолжал показывать их в своих собственных системах оповещений, и они продолжают быть доступны в Azure Sentinel. Единственное изменение заключается в том, что они больше не отображаются в Центре безопасности.

Две рекомендации из элемента управления безопасностью "Apply system updates" (Применить обновления системы) объявлены нерекомендуемыми

Следующие две рекомендации объявлены нерекомендуемыми, что может незначительно повлиять на вашу оценку безопасности:

  • Необходимо перезагрузить компьютеры для применения обновлений системы
  • Необходимо установить агент наблюдения на ваших компьютерах. Эта рекомендация относится только к локальным компьютерам, а часть ее логики будет перенесена в другую рекомендацию: Проблемы с работоспособностью агента Log Analytics на ваших компьютерах должны быть устранены

Мы рекомендуем проверить конфигурацию непрерывного экспорта и автоматизации рабочих процессов и выяснить, включены ли в нее эти рекомендации. Кроме того, следует соответствующим образом обновить все панели мониторинга и другие средства мониторинга, которые могут использовать эти рекомендации.

Фрагмент Azure Defender для SQL на компьютере удален с панели мониторинга Azure Defender

Область охвата панели мониторинга Azure Defender включает фрагменты для соответствующих планов Azure Defender для вашей среды. С учетом наличия проблемы с отчетом о количестве защищенных и незащищенных ресурсов, мы решили временно удалить статус покрытия ресурсов для Azure Defender для SQL на машинах до тех пор, пока проблема не будет решена.

Рекомендации, перенесенные между элементами управления безопасностью

Следующие рекомендации перемещены в другой элемент управления безопасностью. Элементы управления безопасностью представляют собой логические группы связанных рекомендаций по безопасности, которые отражают уязвимые для атак области. Такое перемещение нужно для того, чтобы каждая из рекомендаций размещалась в наиболее подходящем элементе управления, в соответствии с ее задачами.

Узнайте, какие рекомендации включает каждый элемент управления безопасностью, из раздела Элементы управления безопасностью и их рекомендации.

Рекомендация Изменение и влияние
На серверах SQL Server должна быть включена оценка уязвимости
В управляемых экземплярах SQL должна быть включена оценка уязвимостей
Необходимо устранить уязвимости в базах данных SQL (новое).
Уязвимости в базах данных SQL на виртуальных машинах должны быть устранены
Переход из исправлений уязвимостей (стоит шесть очков)
Для исправления конфигураций безопасности (стоит четыре пункта).
В зависимости от конкретной среды эти рекомендации могут меньше влиять на оценку.
Подписке должно быть назначено несколько владельцев
Необходимо включить шифрование для переменных учетной записи службы автоматизации
Устройства Интернета вещей. Процесс Auditd прекратил отправку событий
Устройства Интернета вещей. Сбой базовой проверки операционной системы
Устройства Центра Интернета вещей. Требуется обновление комплекта шифров TLS
Устройства Интернета вещей. Открытые порты на устройстве
Устройства Интернета вещей. В одной из цепочек найдена нестрогая политика брандмауэра
Устройства Интернета вещей. Во входной цепочке найдено нестрогое правило брандмауэра
Устройства Интернета вещей. В выходной цепочке найдено нестрогое правило брандмауэра
В Центре Интернета вещей должны быть включены журналы диагностики.
Устройства Интернета вещей. Агент отправляет сообщения о недостаточной нагрузке
Устройства Интернета вещей. Политика фильтра IP-адресов по умолчанию должна иметь значение "Запретить"
Устройства Интернета вещей. Правило фильтрации IP-адресов — большой диапазон IP-адресов
Устройства Интернета вещей. Необходимо изменить интервалы и размер сообщений агента
Устройства Интернета вещей. Идентичные учетные данные для проверки подлинности
Устройства Интернета вещей. Процесс Auditd прекратил отправку событий
Устройства Интернета вещей. Базовая конфигурация операционной системы (ОС) должна быть исправлена
Переносится в Реализация рекомендаций по безопасности.
После перемещения в элемент управления "Реализация рекомендаций по безопасности", вес которого составляет ноль пунктов, рекомендация перестает влиять на оценку безопасности.

Март 2021 г.

В марте добавлены следующие обновления:

возможности управления Брандмауэром Azure интегрированы в Центр безопасности;

При входе в Центр безопасности Azure первым делом вы попадаете на страницу обзора.

На этой странице с интерактивной панелью мониторинга представлен комплексный обзор состояния безопасности рабочих нагрузок в гибридном облаке. Кроме того, здесь отображаются оповещения безопасности, сведения о покрытии и многое другое.

Мы интегрировали Диспетчер брандмауэра Azure в эту панель мониторинга, чтобы обеспечить комплексное представление о состоянии безопасности на основной странице. Теперь вы можете проверять состояние области действия Брандмауэра для всех сетей и централизованно управлять политиками брандмауэра Azure в самом Центре безопасности.

Дополнительные сведения об этой панели мониторинга см. в статье Страница обзора в Центре безопасности Azure.

Обзорная панель мониторинга Центра безопасности с плиткой для Брандмауэра Azure

средство оценки уязвимостей SQL теперь включает функцию "Отключить правило" (предварительная версия);

В Центре безопасности предоставляется встроенный сканер уязвимостей, который помогает обнаруживать, отслеживать и устранять потенциальные уязвимости баз данных. Результаты оценочной проверки содержат общие сведения о состоянии безопасности для компьютеров SQL и подробные сведения о результатах проверки безопасности.

Если правила вашей организации требуют игнорировать обнаруженную проблему, а не исправлять ее, вы можете исключить ее из результатов поиска. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.

Дополнительные сведения см. в разделе Отключение определенных результатов.

Книги Azure Monitor интегрированы в Центр безопасности, предоставлены три шаблона

На конференции Ignite Spring 2021 мы объявили об интеграции книг Azure Monitor с Центром безопасности.

Вы можете использовать новую интеграцию, чтобы начать использовать готовые шаблоны из коллекции Центра безопасности. С помощью шаблонов книг можно получить доступ к динамическим и визуальным отчетам, чтобы отслеживать состояние безопасности организации. Кроме того, можно создавать новые книги на основе данных Центра безопасности или любых других данных поддерживаемых типов, а также быстро развертывать книги, предоставляемые сообществом Центра безопасности в GitHub.

Предоставляются три шаблона отчетов:

  • Оценка безопасности за период времени — отслеживание результатов оценки по подпискам и изменений в рекомендациях для ресурсов.
  • Обновления системы — просмотр отсутствующих обновлений для системы по ресурсам, ОС, уровню серьезности и другим параметрам.
  • Результаты оценки уязвимостей — просмотр результатов проверок уязвимостей для ресурсов Azure.

Сведения об использовании этих отчетов или создании собственных см. в статье Создание интерактивных отчетов на основе данных Центра безопасности Azure.

Отчет об оценке безопасности за период.

Панель мониторинга соответствия нормативным требованиям теперь включает отчеты об аудите Azure (предварительная версия)

С помощью панели инструментов на панели мониторинга соответствия нормативным требованиям можно скачать отчеты о сертификации Azure и Dynamics.

Панель инструментов на панели мониторинга соответствия нормативным требованиям

Можно выбрать вкладку для соответствующих типов отчетов (PCI, SOC, ISO и др.) и использовать фильтры для поиска нужных отчетов.

Дополнительные сведения см. в статье Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.

Фильтрация списка доступных отчетов об аудите Azure.

Данные рекомендаций можно просмотреть в Azure Resource Graph с помощью кнопки Explore in ARG (Обзор в ARG)

На панели инструментов страниц со сведениями о рекомендациях теперь есть кнопка Explore in ARG (Обзор в ARG). С помощью этой кнопки можно открыть запрос к Azure Resource Graph, чтобы изучить и экспортировать данные рекомендаций, а также предоставить к ним общий доступ.

Azure Resource Graph (ARG) обеспечивает мгновенный доступ к сведениям о ресурсах в облачных средах с помощью надежных средств фильтрации, группировки и сортировки. Это быстрый и эффективный способ запросить сведения по подпискам Azure программно или с помощью портала Azure.

Дополнительные сведения об Azure Resource Graph

Обзор данных рекомендаций в Azure Resource Graph.

Обновлены политики для развертывания процедур автоматизации рабочих процессов

Автоматизация корпоративных процессов мониторинга и реагирования на инциденты может значительно ускорить процессы изучения и устранения инцидентов безопасности.

Мы предоставляем в службе "Политика Azure" три политики DeployIfNotExist, которые позволяют создать и настроить процедуры автоматизации рабочих процессов для развертывания этих процедур в вашей организации.

Goal Политика ИД политики
Автоматизация рабочих процессов для оповещений системы безопасности Развертывание средств автоматизации рабочих процессов для оповещений Центра безопасности Azure f1525828-9a90-4fcf-be48-268cdd02361e
Автоматизация рабочих процессов для рекомендаций системы безопасности Развертывание средств автоматизации рабочих процессов для рекомендаций Центра безопасности Azure 73d6ab6c-2475-4850-afd6-43795f3492ef
Автоматизация рабочих процессов для изменения правил соответствия нормативным требованиям Развертывание средств автоматизации рабочих процессов для соответствия нормативным требованиям Центра безопасности Azure 509122b9-ddd9-47ba-a5f1-d0dac20be63c

Обновлены две функции этих политик:

  • При назначении политики остаются включенными принудительно.
  • Теперь можно настроить эти политики и обновить любые параметры даже после развертывания политик. Например, можно добавить или изменить ключ оценки.

Начало работы с шаблонами автоматизации рабочих процессов.

Узнайте больше о том, как автоматизировать реагирование на триггеры Центра безопасности.

Данные двух устаревших рекомендаций больше не записываются непосредственно в журнал действий Azure

Центр безопасности передает данные практически для всех рекомендаций по безопасности в Помощник по Azure, который в свою очередь записывает их в журнал действий Azure.

Данные для двух рекомендаций одновременно записываются непосредственно в журнал действий Azure. После этого изменения Центр безопасности прекращает записывать данные для этих устаревших рекомендаций по безопасности непосредственно в журнал действий. Вместо этого мы экспортируем данные в Помощник по Azure, как и в случае с другими рекомендациями.

Две устаревшие рекомендации:

  • Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах
  • Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.

Доступ к сведениям об этих двух рекомендациях в категории рекомендаций типа TaskDiscovery в журнале действий больше не предоставляется.

Улучшения страницы рекомендаций

Мы выпустили улучшенную версию списка рекомендаций, чтобы обеспечить быстрый обзор большего количества информации.

Теперь на странице вы сможете найти:

  1. Максимальная оценка и текущий показатель для каждого элемента управления безопасностью.
  2. Значки заменяют теги, такие как Исправление и Предварительная версия.
  3. Новый столбец, в котором показана инициатива политики, связанная с каждой рекомендацией. Отображается, если параметр Group by controls (Группировать по элементам управления) отключен.

Усовершенствования для страницы рекомендаций Центра безопасности Azure — март 2021 года

Неструктурированный список усовершенствований для страницы рекомендаций Центра безопасности Azure — март 2021 года

Дополнительные сведения см. в статье Рекомендации по безопасности в Центре безопасности Azure.

2021 февраля

В феврале добавлены следующие изменения:

Выпущена общедоступная версия (GA) новой страницы оповещений системы безопасности на портале Azure

Страница оповещений системы безопасности Центр безопасности Azure была изменена для предоставления:

  • Улучшен интерфейс для рассмотрения оповещений. Список включает настраиваемые фильтры и параметры группирования, которые помогают скрыть избыточные оповещения и сосредоточиться на наиболее важных угрозах.
  • В списки оповещений добавлена дополнительная информация, например сведения о тактиках из базы знаний MITRE ATT&ACK.
  • Кнопка для создания примеров оповещений. Чтобы оценить возможности Azure Defender и протестировать конфигурацию оповещений (для интеграции SIEM, уведомлений по электронной почте и автоматизации рабочих процессов), можно создать примеры оповещений практически во всех планах Azure Defender.
  • Согласованность с функциями для инцидентов в Azure Sentinel. Клиентам, использующим оба продукта, стало удобнее переключаться между ними, а также стал проще обмен данными между этими продуктами.
  • Улучшена производительность при работе с большими списками оповещений.
  • Добавлена навигация по списку оповещений с помощью клавиатуры.
  • Оповещения из Azure Resource Graph. Вы можете запросить оповещения из Azure Resource Graph (работающий по принципу Kusto API) для всех ваших ресурсов. Это также удобно, если вы создаете собственные панели мониторинга для оповещений. Узнайте больше об Azure Resource Graph.
  • Функция создания примеров оповещений. Сведения о том, как создать примеры оповещений в новом интерфейсе, см. в разделе Создание примеров оповещений Azure Defender.

Выпущена общедоступная версия (GA) рекомендаций по защите рабочих нагрузок Kubernetes

Мы рады сообщить о выходе общедоступной версии (GA) набора рекомендаций по защите рабочих нагрузок Kubernetes.

Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, в Центр безопасности добавлены рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.

При установке Политика Azure для Kubernetes в кластере Служба Azure Kubernetes (AKS) каждый запрос к серверу API Kubernetes будет отслеживаться с помощью предопределенного набора рекомендаций, отображаемого как 13 рекомендаций по безопасности, прежде чем сохраняться в кластере. Вы можете настроить принудительное применение таких рекомендаций для всех будущих рабочих нагрузок.

Например, можно запретить создание привилегированных контейнеров, и тогда любой запрос такого типа будет блокироваться.

См. сведения о рекомендациях по защите рабочих нагрузок с использованием средств управления доступом в Kubernetes.

Примечание.

Пока рекомендации оставались в предварительной версии, они не влияли на состояние работоспособности ресурса кластера AKS и не учитывались при вычислении оценки безопасности. С момента этого объявления об общедоступной версии они будут учитываться при расчете оценки. Если вы еще не выполнили их, это может оказать небольшое влияние на вашу оценку безопасности. Выполните их при первой возможности, как описано в статье Выполнение рекомендаций в Центре безопасности Azure.

Интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows(в предварительной версии).

Microsoft Defender для конечной точки — целостное облачное решение для обеспечения безопасности конечной точки. Оно предоставляет возможности контроля и оценки уязвимостей на основе рисков, а также возможности обнаружения конечных точек и реагирования. Полный список преимуществ использования Defender для конечной точки вместе с Центром безопасности Azure см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности: Microsoft Defender для конечной точки.

При включении Azure Defender для серверов под управлением Windows Server в этот план включается лицензия на Defender для конечной точки. Если вы уже включили Azure Defender для серверов и в вашей подписке есть серверы под управлением Windows Server 2019, они автоматически получат Defender для конечной точки с этим обновлением. Вам не потребуется выполнять вручную никаких действий.

Теперь добавлена поддержка Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows.

Примечание.

Если вы включаете Azure Defender для конечной точки на сервере под управлением Windows Server 2019, убедитесь, что он соответствует предварительным требованиям, описанным в разделе Активация интеграции Microsoft Defender для конечной точки.

При просмотре сведений о рекомендациях часто бывает полезным просмотреть базовую политику. Для каждой рекомендации, которую поддерживает политика, на странице сведений о рекомендации появилась новая ссылка:

Ссылка на страницу Политики Azure для конкретной политики, которая поддерживает рекомендацию.

Эту ссылку можно использовать для просмотра определения политики и логики оценки.

Рекомендация по классификации данных SQL больше не влияет на оценку безопасности.

Рекомендация Конфиденциальные данные в базах данных SQL должны быть засекречены теперь не влияет на оценку безопасности. Элемент управления безопасностью применяет классификацию данных, содержащую ее теперь, имеет значение 0.

Полный список всех элементов управления безопасностью, а также их оценки и список рекомендаций в каждом из них см. в разделе "Элементы управления безопасностью" и их рекомендации.

Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (в предварительной версии)

Мы добавили третий тип данных в параметры триггера для автоматизации ваших рабочих процессов: изменения в оценке соответствия нормативным требованиям.

Сведения о том, как использовать средства автоматизации рабочих процессов, см. в статье Автоматизация реагирования на триггеры Центра безопасности.

Активация автоматизации рабочих процессов посредством изменения оценки соответствия нормативным требованиям.

усовершенствования страницы "Инвентаризация активов".

Улучшена страница инвентаризации активов Центра безопасности:

  • В сводку в верхней части страницы добавлены сведения о незарегистрированных подписках. Здесь отображается количество подписок, для которых не включен Центр безопасности.

    Число незарегистрированных подписок в сводке в верхней части страницы

  • В фильтры добавлены следующие улучшения:

    • Счетчики. Каждый фильтр представляет количество ресурсов, соответствующих условиям каждой категории.

      Счетчики в фильтрах на странице

    • Добавлен фильтр исключений. При необходимости вы можете ограничить результаты ресурсами, для которых заданы или не заданы исключения. Этот фильтр не отображается по умолчанию, но станет доступным, если нажать кнопку Добавить фильтр.

      Добавление фильтра Contains Exemptions (Содержит исключения) на странице

Узнайте больше о том, как изучать ресурсы и управлять ими путем инвентаризации.

2021 января

Обновления в январе включают следующие:

Azure Security Benchmark теперь является инициативой политики по умолчанию для Центра безопасности Azure.

Azure Security Benchmark (ASB) — это специально разработанный корпорацией Майкрософт набор руководств по обеспечению безопасности и соответствия нормативным требованиям на основе распространенных платформ обеспечения соответствия. Это широко принятое тестирование основано на стандартах Центра Интернет-безопасности (CIS) и Национального института стандартов и технологий (NIST) с ориентацией на облачную безопасность.

За последние месяцы список встроенных рекомендаций по обеспечению безопасности в Центре безопасности значительно увеличился для максимального соблюдения требований этого теста.

В этом выпуске тест является основой рекомендаций Центра безопасности и полностью интегрирован в качестве инициативы политики по умолчанию.

Все службы Azure в своей документации имеют страницу, посвященную базовым средствам безопасности. Эти рекомендации основаны на Azure Security Benchmark.

Если вы используете панель мониторинга соответствия нормативным требованиям Центра безопасности, вам будут отображаться два экземпляра теста в течение периода перехода:

Панель мониторинга соответствия нормативным требованиям Центра безопасности Azure с Azure Security Benchmark

Существующие рекомендации не затрагиваются, и по мере расширения теста изменения будут автоматически отражены в Центре безопасности.

Дополнительные сведения см. на следующих страницах:

Выпущена общедоступная версия (GA) оценки уязвимостей для компьютеров в локальной среде и нескольких облаках

В октябре мы объявили о выпуске предварительной версии для проверки серверов с поддержкой Azure Arc с интегрированным сканером оценки уязвимостей Azure Defender для серверов (на основе Qualys).

Теперь выпущена общедоступная версия (GA) этой функции.

Когда вы включаете Azure Arc на компьютерах, не относящихся к Azure, Центр безопасности предлагает развернуть на них встроенный сканер уязвимостей — вручную и в большом масштабе.

Начиная с этого обновления, вы сможете применять возможности Azure Defender для серверов, чтобы объединить программы управления уязвимостями для всех ресурсов в Azure и других средах.

Основные возможности:

  • мониторинг состояния подготовки средства оценки уязвимостей на компьютерах Azure Arc;
  • подготовка к работе интегрированного агента оценки уязвимостей для незащищенных компьютеров Azure Arc под управлением ОС Windows и Linux (вручную и в большом масштабе);
  • получение и анализ обнаруженных уязвимостей от развернутых агентов (вручную и в большом масштабе);
  • объединенный интерфейс для виртуальных машин Azure и компьютеров Azure Arc.

См. дополнительные сведения о развертывании интегрированного сканера уязвимостей Qualys на гибридных компьютерах.

См. дополнительные сведения о серверах с поддержкой Azure Arc.

Оценка безопасности для групп управления теперь доступна в предварительной версии.

Теперь на странице оценки безопасности отображаются сводные оценки безопасности для групп управления в дополнение к уровню подписки. Теперь вы можете видеть список групп управления в вашей организации и оценку для каждой группы управления.

Просмотр оценок безопасности для групп управления.

См. сведения об оценке безопасности и элементах управления безопасностью в Центре безопасности Azure.

Выпущена общедоступная версия (GA) API Оценки безопасности

Теперь вы можете получить доступ к оценке через API оценки безопасности. Методы этого API позволяют гибко выполнять запросы к данным и создавать собственные механизмы создания отчетов об оценках безопасности за разные периоды. Например:

  • используйте API оценки безопасности, чтобы получить оценку для конкретной подписки;
  • используйте API элементов управления оценкой безопасности, чтобы получить список элементов управления безопасностью и текущие оценки для всех подписок.

Сведения о внешних средствах, которые можно реализовать с помощью API оценки безопасности, см. в разделе оценок безопасности в сообществе GitHub.

См. сведения об оценке безопасности и элементах управления безопасностью в Центре безопасности Azure.

В Azure Defender для Службы приложений добавлена защита от недействительных записей DNS.

Перехват поддоменов — это распространенная угроза высокого уровня серьезности для организаций. Перенаправление поддомена может произойти, если у вас существует запись DNS, указывающая на неработающий веб-сайт. Такие записи DNS называются недействительными. Записи CNAME особенно уязвимы перед этой угрозой.

Переключения поддомена позволяют субъектам угроз перенаправлять трафик, предназначенный для домена организации, на сайт, выполняющий вредоносные действия.

Azure Defender для Службы приложений теперь обнаруживает недействительные записи DNS при прекращении использования веб-сайта Службы приложений. Это момент, когда запись DNS указывает на ресурс, который не существует, и ваш веб-сайт уязвим к переходу поддомена. Защита от появления недействительных записей DNS обеспечивается независимо от того, управляются ли домены с помощью Azure DNS или внешнего регистратора домена, и применяется к Службе приложений в Windows и Linux.

Подробнее:

Выпущена общедоступная версия (GA) соединителей для нескольких облаков

Так как облачные рабочие нагрузки часто распределяются между несколькими облачными платформами, облачные службы безопасности должны охватывать их все.

Центр безопасности Azure может обеспечить защиту рабочих нагрузок, развернутых в Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).

При подключении проектов AWS или GCP их собственные инструменты безопасности, такие как AWS Security Hub и GCP Security Command Center, интегрируются в Центр безопасности Azure.

Это означает, что Центр безопасности обеспечивает видимость и защиту во всех основных облачных средах. Некоторые преимущества этой интеграции:

  • автоматическая подготовка агентов — Центр безопасности использует Azure Arc для развертывания агента Log Analytics в экземплярах AWS;
  • Управление политикой
  • Управление уязвимостями
  • встроенное обнаружение и нейтрализация атак на конечные точки (EDR);
  • определение неправильных настроек системы безопасности;
  • единое представление, содержащее рекомендации по безопасности от всех поставщиков облачных служб;
  • учет всех ресурсов при оценке безопасности в Центре безопасности;
  • оценка соответствия нормативным требованиям для ресурсов AWS и GCP.

В меню Defender для облака выберите Соединители для нескольких облаков, и вы увидите варианты создания новых соединителей:

Кнопка

См. дополнительные сведения:

Исключение полных рекомендаций из оценки безопасности для подписок и групп управления

Мы расширяем возможность исключения рекомендаций полностью, предоставляя дополнительные возможности для точной настройки рекомендаций по обеспечению безопасности, которые доступны в Центре безопасности для подписок, групп управления или ресурсов.

Иногда ресурс будет указан как неработоспособный, когда вы знаете, что проблема устранена сторонним инструментом, который центр безопасности не обнаружил. Или рекомендация будет отображаться в области, которой она не принадлежит. Рекомендации могут быть недопустимыми для конкретной подписки. Или, возможно, ваша организация считает допустимыми риски, связанные с конкретным ресурсом или рекомендацией.

Предварительная версия этой возможности позволяет создать исключение для рекомендации со следующей целью:

  • Исключение ресурса, чтобы он не был включен в неработоспособные ресурсы в будущем и чтобы это не влияло на вашу оценку безопасности. Ресурс будет указан как неприменимый по причине исключения с указанным вами обоснованием.

  • Исключение подписки или группы управления, чтобы рекомендации не влияли на вашу оценку безопасности и не отображались для подписки или группы управления в будущем. Это применимо как существующим ресурсам, так и всем тем, которые вы создадите в будущем. Рекомендации будут дополнены обоснованием, указанным для выбранной области.

Дополнительные сведения см. в статье Исключение ресурсов и рекомендаций из оценки безопасности.

Теперь пользователи могут запрашивать видимость на уровне арендатора у своего глобального администратора

Если у пользователя нет разрешений на просмотр данных Центра безопасности, пользователь увидит ссылку на запрос разрешений от глобального администратора своей организации. Запрос включает желаемую роль и обоснование.

Баннер, уведомляющий пользователя о возможности запроса разрешения на уровне арендатора.

Дополнительные сведения см. в разделе Запрашивание разрешений на уровне арендатора, когда ваших разрешений недостаточно.

Добавлены 35 рекомендаций в предварительной версии, чтобы повысить охват тестов производительности системы безопасности Azure

Azure Security Benchmark - это инициатива политики по умолчанию в Центре безопасности Azure.

Чтобы улучшить соблюдение требований этого теста, в Центр безопасности включены следующие 35 рекомендаций (предварительная версия).

Совет

Рекомендации предварительной версии не присваивают ресурсу состояние неработоспособного и не включаются в вычисления вашей оценки безопасности. По возможности их все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку. Дополнительные сведения о том, как реагировать на эти рекомендации, см. в статье Рекомендации по исправлению ошибок в Центре безопасности Azure.

Элемент управления безопасностью Новые рекомендации
Включение шифрования неактивных данных – Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных.
– Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом (CMK).
– Для серверов MySQL должна быть включена защита данных с созданием собственных ключей.
– Для серверов PostgreSQL должна быть включена защита данных с созданием собственных ключей.
— учетные записи служб искусственного интеллекта Azure должны включать шифрование данных с помощью ключа, управляемого клиентом (CMK)
– Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом.
– Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных.
– Серверы SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных.
– Учетные записи хранения должны использовать для шифрования ключ, управляемый клиентом (CMK).
Реализация рекомендаций по безопасности – Подписки должны содержать адрес электронной почты контактного лица по проблемам безопасности.
— Автоматическая подготовка агента Log Analytics должна быть включена в подписке.
– Для оповещений высокого уровня серьезности должны быть включены уведомления по электронной почте.
– Для оповещений высокого уровня серьезности должно быть включено уведомление владельца подписки по электронной почте.
– В хранилищах ключей должна быть включена защита от очистки.
– В хранилищах ключей должно быть включено обратимое удаление.
Управление доступом и разрешениями – Для приложений-функций должны быть включены сертификаты клиента (входящие сертификаты клиента).
Защита приложений от атак DDoS – Для Шлюза приложений должен быть включен Брандмауэр веб-приложений (WAF).
- Для службы Azure Front Door Service должен быть включен Брандмауэр веб-приложений (WAF).
Ограничить несанкционированный сетевой доступ – Для Key Vault должен быть включен брандмауэр.
– Для Key Vault должна быть настроена частная конечная точка.
– Служба "Конфигурация приложений" должна использовать приватный канал.
– Кэш Azure для Redis должен находиться в виртуальной сети.
– Домены Сетки событий Azure должны использовать приватный канал.
– Разделы Сетки событий Azure должны использовать приватный канал.
– Рабочие области Машинного обучения Azure должны использовать приватный канал.
– Служба Azure SignalR должна использовать приватный канал.
– Служба Azure Spring Cloud должна использовать внедрение в сеть.
– Реестры контейнеров не должны разрешать неограниченный сетевой доступ.
– Реестры контейнеров должны использовать приватный канал.
– Для северов MariaDB должен быть отключен доступ через общедоступную сеть.
– Для северов MySQL должен быть отключен доступ через общедоступную сеть.
– Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть.
– Учетная запись хранения должна использовать подключение через приватный канал.
– Учетные записи хранения должны ограничивать сетевой доступ, используя правила виртуальной сети.
– Шаблоны Конструктора образов для виртуальных машин должны использовать приватный канал.

Связанные ссылки

Экспорт отфильтрованного списка рекомендаций в CSV-файл.

В ноябре 2020 года мы добавили фильтры на страницу рекомендаций.

Объявляем о том, что мы изменяем поведение кнопки Скачать в CSV, чтобы экспорт в CSV-файл включал только те рекомендации, которые сейчас отображаются в отфильтрованном списке.

Например, на рисунке ниже можно увидеть, что список фильтруется до двух рекомендаций. Генерируемый CSV-файл содержит сведения о состоянии для каждого ресурса, которого касаются эти две рекомендации.

Экспорт отфильтрованных рекомендаций в CSV-файл.

Дополнительные сведения см. в статье Рекомендации по безопасности в Центре безопасности Azure.

"Неприменимые" ресурсы теперь отображаются с состоянием "Соответствует" в результатах оценки в Политике Azure.

Ранее ресурсы, которые оценивались для рекомендации и определялись как неприменимые, отображались в Политике Azure с состоянием "Не соответствует". Никакие действия пользователя не могут изменить состояние на "Соответствует". С этим изменением они сообщаются как "Совместимые" для улучшения ясности.

Это повлияет только на то, что в Политике Azure увеличится количество соответствующих ресурсов. Но это никак не отразится на оценке безопасности в Центре безопасности Azure.

Экспорт еженедельных моментальных снимков для оценки безопасности и данных соответствия нормативным требованиям с помощью непрерывного экспорта (предварительная версия).

Мы добавили новую предварительную версию функции в средства непрерывного экспорта для экспорта еженедельных моментальных снимков для оценки безопасности и данных соответствия нормативным требованиям.

При определении непрерывного экспорта задайте периодичность экспорта:

Выбор частоты непрерывного экспорта.

  • Потоковая передача — оценки будут отправляться при обновлении состояния работоспособности ресурса (если обновления не происходят, данные не будут отправлены).
  • Моментальные снимки — моментальный снимок текущего состояния всех оценок соответствия нормативным требованиям будет отправляться еженедельно (это предварительная версия функции для еженедельных моментальных снимок оценок безопасности и данных соответствия нормативным требованиям).

Узнайте больше о всех возможностях этой функции из статьи Непрерывный экспорт данных Центра безопасности.

Декабрь 2020 г.

В декабре добавлены следующие обновления:

Выпущена общедоступная версия службы Azure Defender для серверов SQL на компьютерах

Центр безопасности Azure предлагает два плана Azure Defender для серверов SQL Server:

  • Azure Defender для серверов базы данных SQL Azure — защищает собственные серверы SQL Server Azure
  • Azure Defender для серверов SQL на компьютерах — расширяет действие такой защиты на серверы SQL в гибридных, многооблачных и локальных средах

Это объявление указывает на то, что Azure Defender для SQL теперь будет защищать базы данных и данные таких баз данных, независимо от их расположения.

Azure Defender для SQL содержит возможности оценки уязвимостей. Средство оценки уязвимостей включает в себя следующие усовершенствованные возможности:

  • Базовая конфигурация (Новинка!) для рационального уточнения результатов проверки уязвимостей с целью выявления угроз, которые могут представлять собой реальные проблемы в области безопасности. Если задать базовое состояние безопасности, средство оценки уязвимостей будет сообщать только об отклонениях от этого базового состояния. При следующих проверках результаты, которые соответствуют базовым показателям, будут рассматриваться как прошедшие проверку. Это позволит вам и вашим аналитикам акцентировать внимание на важных моментах.
  • Подробные сведения о тестах производительности, изучив которые вы сможете понять полученные сведения, а также их связь с вашими ресурсами.
  • Сценарии исправления, с помощью которых вы сможете устранить идентифицированные риски.

Узнайте больше про Azure Defender для SQL.

Выпущена общедоступная версия поддержки Azure Defender для SQL для выделенного пула SQL Azure Synapse Analytics

Azure Synapse Analytics (ранее — Хранилище данных SQL) — это служба аналитики, которая объединяет корпоративные хранилища данных и аналитику больших данных. Выделенные пулы SQL — это функции хранения корпоративных данных Azure Synapse. Дополнительные сведения см. в статье Что такое Azure Synapse Analytics (ранее — Хранилище данных SQL)?

Azure Defender для SQL защищает выделенные пулы SQL с помощью:

  • Расширенной защиты от угроз для обнаружения угроз и атак
  • Возможностей оценки уязвимостей для обнаружения и исправления ошибок в конфигурациях системы безопасности

Поддержка Azure Defender для SQL для пулов SQL Azure Synapse Analytics автоматически добавляется в пакет баз данных SQL Azure в Центре безопасности Azure. На странице рабочей области Synapse в портал Azure есть новая вкладка Azure Defender для SQL.

Узнайте больше про Azure Defender для SQL.

Теперь глобальные администраторы могут предоставлять себе разрешения на уровне клиента

У пользователя с ролью Azure Active Directory Глобальный администратор могут быть обязанности на уровне клиента, но отсутствовать разрешения Azure на просмотр сведений в масштабах организации в Центре безопасности Azure.

Чтобы назначить себе разрешения уровня клиента, следуйте инструкциям в разделе Предоставление себе разрешений на уровне клиента .

Два новых плана Azure Defender: Azure Defender для DNS и Azure Defender для Resource Manager (предварительная версия)

Мы добавили две новые ориентированные на облако возможности защиты от угроз для вашей среды Azure.

Эти новые возможности защиты значительно улучшают устойчивость к атакам со стороны субъектов угроз и существенно увеличивают число ресурсов Azure, защищенных с помощью Azure Defender.

Новая страница оповещений системы безопасности на портале Azure (предварительная версия)

Страница оповещений системы безопасности Центр безопасности Azure была изменена для предоставления:

  • Улучшен интерфейс для рассмотрения оповещений. Список включает настраиваемые фильтры и параметры группирования, которые помогают скрыть избыточные оповещения и сосредоточиться на наиболее важных угрозах.
  • В списки оповещений добавлена информация, например сведения о тактиках из базы знаний MITRE ATT&ACK.
  • Кнопка для создания примеров оповещений. Чтобы оценить возможности Azure Defender и протестировать конфигурацию оповещений (для интеграции SIEM, уведомлений по электронной почте и автоматизации рабочих процессов), можно создать примеры оповещений практически во всех планах Azure Defender.
  • Согласованность с функциями для инцидентов в Azure Sentinel. Клиентам, использующим оба продукта, стало удобнее переключаться между ними, а также стал проще обмен данными между этими продуктами.
  • Улучшена производительность при работе с большими списками оповещений.
  • Добавлена навигация по списку оповещений с помощью клавиатуры.
  • Оповещения из Azure Resource Graph. Вы можете запросить оповещения из Azure Resource Graph (работающий по принципу Kusto API) для всех ваших ресурсов. Это также удобно, если вы создаете собственные панели мониторинга для оповещений. Узнайте больше об Azure Resource Graph.

Чтобы получить доступ к новому интерфейсу, используйте ссылку "Попробовать сейчас" в баннере вверху страницы "Оповещения системы безопасности".

Баннер со ссылкой на новый интерфейс для работы с оповещениями (предварительная версия).

Сведения о том, как создать примеры оповещений в новом интерфейсе, см. в разделе Создание примеров оповещений Azure Defender.

Обновленный интерфейс Центра безопасности в Базе данных SQL Azure и Управляемом экземпляре SQL

Интерфейс Центра безопасности в SQL предоставляет доступ к следующим функциям Центра безопасности и Azure Defender для SQL:

  • Рекомендации по обеспечению безопасности — Центр безопасности периодически анализирует состояние безопасности ресурсов Azure, чтобы выявить потенциальные ошибки в конфигурации безопасности. Затем он предоставляет рекомендации по устранению этих уязвимостей и улучшению безопасности организаций.
  • Оповещения безопасности — служба обнаружения, которая постоянно отслеживает действия SQL Azure на наличие таких угроз, как внедрение кода SQL, атаки методом перебора и злоупотребление привилегиями. Эта служба активирует подробные и ориентированные на действия оповещения системы безопасности в Центре безопасности и предоставляет варианты для продолжения исследований с помощью Azure Sentinel, собственного решения SIEM в Microsoft Azure.
  • Результаты — служба оценки уязвимостей, которая постоянно отслеживает конфигурации SQL Azure и помогает устранять уязвимости. Проверки оценки предоставляют общие сведения о состояниях безопасности SQL Azure наряду с подробными результатами проверки безопасности.

Функции безопасности в Центре безопасности Azure для SQL доступны из SQL Azure

Обновление фильтров средств инвентаризации активов

Страница инвентаризации в Центр безопасности Azure обновлена со следующими изменениями:

  • На панель инструментов добавлен элемент Руководства и отзывы. Он открывает область со ссылками на связанные сведения и инструменты.

  • Фильтр подписок добавлен к фильтрам по умолчанию, доступным для ресурсов.

  • Ссылка Открыть запрос для открытия текущих параметров фильтра в виде запроса к Azure Resource Graph (ранее "Просмотреть в проводнике Resource Graph").

  • Параметры оператора для каждого фильтра. Теперь вы можете выбрать один из нескольких логических операторов, а не только равенство ("="). Например, вам может потребоваться найти все ресурсы с активными рекомендациями, заголовки которых содержат строку encrypt.

    Элементы управления для параметра оператора в фильтрах инвентаризации ресурсов

Сведения об инвентаризации см. в статье Изучение ресурсов и управление ими с помощью инвентаризации ресурсов.

Рекомендации по веб-приложениям, запрашивающим SSL-сертификаты, больше не являются частью оценки безопасности

Рекомендация "Веб-приложения должны запрашивать SSL-сертификат для всех входящих запросов", была перемещена из элемента управления безопасностью "Управление доступом и разрешениями (стоимостью не более 4 pts) в реализации рекомендаций по обеспечению безопасности (что не стоит никаких очков).

Требование запроса сертификата в приложении несомненно повышает его безопасность. Но для общедоступных веб-приложений это не имеет значения. Если для доступа к сайту используется протокол HTTP, а не HTTPS, вы не получите сертификат клиента. Поэтому, если ваше приложение требует клиентские сертификаты, не следует разрешать запросы к приложению по протоколу HTTP. Сведения см. в статье Настройка взаимной аутентификации TLS в Службе приложений Azure.

В результате этого изменения рекомендация теперь является рекомендуемой лучшей методикой, которая не влияет на вашу оценку.

Узнайте, какие рекомендации включает каждый элемент управления безопасностью, из раздела Элементы управления безопасностью и их рекомендации.

На странице "Рекомендации" доступны новые фильтры для среды, серьезности и доступных ответов

Центр безопасности Azure отслеживает все подключенные ресурсы и создает рекомендации по обеспечению безопасности. Используйте эти рекомендации для укрепления вашей гибридной облачной системы и отслеживания соответствия политикам и стандартам, соответствующим вашей организации, отрасли и стране или региону.

По мере расширения охвата и функциональности Центра безопасности мы ежемесячно добавляем новые рекомендации по безопасности. Например, ознакомьтесь с рекомендациями двадцать девять предварительных версий, добавленными для повышения охвата Azure Security Benchmark.

Так как их число постоянно растет, есть необходимость фильтровать рекомендации для выбора наиболее важных. В ноябре мы добавили фильтры на страницу рекомендаций (см. раздел Список рекомендаций теперь включает фильтры).

Фильтры, добавленные в этом месяце, предоставляют возможности для отображения рекомендаций по следующему:

  • Среда — отображение рекомендаций по ресурсам AWS, GCP или Azure (в любом сочетании).

  • Серьезность — отображение рекомендаций в соответствии с классификацией серьезности, заданной в Центре безопасности.

  • Действия ответа — отображение рекомендаций в соответствии с доступностью вариантов ответов в Центре безопасности (исправление, запрет и принудительное применение).

    Совет

    Фильтр "Действия ответа" заменяет фильтр Доступно быстрое исправление (да/нет).

    См. сведения о каждом из вариантов ответов:

Рекомендации, сгруппированные по элементам управления безопасностью.

Для непрерывного экспорта добавлены новые типы данных и улучшены политики deployifnotexist

Средства непрерывного экспорта в Центре безопасности Azure позволяют экспортировать рекомендации и оповещения Центра безопасности для использования с другими средствами мониторинга в вашей среде.

Непрерывный экспорт позволяет полностью настроить экспортируемые объекты и расположение их сохранения. Полные сведения см. в статье Непрерывный экспорт данных Центра безопасности.

Эти средства были усовершенствованы и расширены следующим образом:

  • Расширены политики deployifnotexist для экспорта. Политики теперь делают следующее:

    • Проверяют, включена ли конфигурация. Если она не включена, политика будет отображаться как не соответствующая требованиям; также она создаст ресурс соответствия. Дополнительные сведения о предоставляемых шаблонах Политики Azure на вкладке "Развертывание в большом масштабе с помощью Политики Azure" см. в разделе Настройка непрерывного экспорта.

    • Поддерживают экспорт результатов безопасности. При использовании шаблонов Политики Azure можно настроить непрерывный экспорт, который будет включать результаты. Это удобно при экспорте рекомендаций, которые содержат вложенные рекомендации, такие как результаты сканеров оценки уязвимостей или конкретные обновления системы для родительской рекомендации "На вашем компьютере должны быть установлены системные обновления".

    • Поддерживают экспорт данных об оценке безопасности.

  • Добавлены данные об оценке соответствия нормативным требованиям (в предварительной версии). Теперь вы можете выполнять непрерывный экспорт обновлений для оценок соответствия нормативным требованиям (в том числе для любых пользовательских инициатив) в рабочую область Log Analytics или в Центры событий. Эта функция недоступна в национальных облаках.

    Варианты для включения сведений об оценке соответствия нормативным требованиям в данные непрерывного экспорта.

Ноябрь 2020 г.

В ноябре добавлены следующие обновления:

добавлены 29 рекомендаций для предварительной версии, чтобы повысить охват тестов производительности системы безопасности Azure;

Azure Security Benchmark — это руководства с рекомендациями по обеспечению безопасности и соответствия требованиям для Azure, подготовленные корпорацией Майкрософт на основе распространенных платформ соответствия. См. сведения о Тесте производительности системы безопасности Azure.

Следующие 29 новых рекомендаций для предварительной версии добавлены в Центр безопасности, чтобы увеличить охват теста производительности.

Рекомендации предварительной версии не присваивают ресурсу состояние неработоспособного и не включаются в вычисления вашей оценки безопасности. По возможности их все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку. Дополнительные сведения о том, как реагировать на эти рекомендации, см. в статье Рекомендации по исправлению ошибок в Центре безопасности Azure.

Элемент управления безопасностью Новые рекомендации
Шифрование передаваемых данных – Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения
– Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения
– Для вашего приложения API необходимо обновить TLS до последней версии
– Для вашего приложения-функции необходимо обновить TLS до последней версии
– Для вашего веб-приложения необходимо обновить TLS до последней версии
– В вашем приложении API необходимо принудительно использовать FTPS
– В вашем приложении-функции необходимо принудительно использовать FTPS
– В вашем веб-приложении необходимо принудительно использовать FTPS
Управление доступом и разрешениями – Веб-приложения должны запрашивать сертификат SSL для всех входящих запросов
– В приложении API должно использоваться управляемое удостоверение
– В приложении-функции должно использоваться управляемое удостоверение
– В веб-приложении должно использоваться управляемое удостоверение
Ограничить несанкционированный сетевой доступ – Для серверов PostgreSQL необходимо включить частную конечную точку
– Для серверов MariaDB необходимо включить частную конечную точку
– Для серверов MySQL необходимо включить частную конечную точку
Включение аудита и ведения журнала – В Службах приложений должны быть включены журналы диагностики
Реализация рекомендаций по безопасности – Необходимо включить Azure Backup для виртуальных машин
– База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование
– База данных Azure для MySQL должна использовать геоизбыточное резервное копирование
– База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование
– Для вашего приложения API необходимо обновить PHP до последней версии
– Для вашего веб-приложения необходимо обновить PHP до последней версии
– Для вашего приложения API необходимо обновить Java до последней версии
– Для вашего приложения-функции необходимо обновить Java до последней версии
– Для вашего веб-приложения необходимо обновить Java до последней версии
– Для вашего приложения API необходимо обновить Python до последней версии
– Для вашего приложения-функции необходимо обновить Python до последней версии
– Для вашего веб-приложения необходимо обновить Python до последней версии
– Аудит для серверов SQL должен храниться не менее 90 дней

Связанные ссылки

На панель мониторинга соответствия нормативным требованиям в Центре безопасности добавлен стандарт NIST SP 800 171 R2

Стандарт NIST SP 800-171 R2 теперь доступен как встроенная инициатива для использования с панелью мониторинга соответствия нормативным требованиям в Центре безопасности Azure. Сопоставления для элементов управления описаны в статье Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-171 R2.

Чтобы применить стандарт к подпискам и постоянно отслеживать состояние соответствия требованиям, воспользуйтесь инструкциями из статьи Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.

Стандарт NIST SP 800 171 R2 на панели мониторинга соответствия нормативным требованиям в Центре безопасности

Дополнительные сведения об этом стандарте соответствия см. на странице описания NIST SP 800-171 R2 (специальной публикации Национального института стандартов и технологий).

в списке рекомендаций теперь можно применять фильтры;

Теперь можно отфильтровать список рекомендаций по безопасности по ряду критериев. В следующем примере список рекомендаций фильтруется для отображения рекомендаций, которые:

  • общедоступны (т. е. не являются предварительной версией);
  • предназначены для учетных записей хранения;
  • поддерживают быстрое исправление.

Фильтры для списка рекомендаций.

Улучшенный и расширенный интерфейс автоматической подготовки

Функция автоматической подготовки помогает сократить затраты на управление, установив необходимые расширения на новых виртуальных машинах Azure, чтобы они могли воспользоваться защитой Центра безопасности.

По мере развития Центра безопасности Azure разрабатываются дополнительные расширения, и Центр безопасности может отслеживать более широкий список типов ресурсов. Теперь средства автоматической подготовки были расширены для поддержки других расширений и типов ресурсов, используя возможности Политика Azure.

Теперь можно настроить автоматическую подготовку:

  • Агент Log Analytics
  • (Новое) Политика Azure для Kubernetes
  • Microsoft Dependency Agent (новая возможность).

Дополнительные сведения см. в разделе "Агенты автоматической подготовки и расширения" из Центр безопасности Azure.

Оценка безопасности теперь доступна для непрерывного экспорта (предварительная версия)

Благодаря непрерывному экспорту результатов оценки безопасности вы можете в потоковом режиме и в реальном времени передавать изменения оценки в Центры событий Azure или в рабочую область Log Analytics. Эта возможность предназначена для следующих задач:

  • отслеживать оценку безопасности и создавать динамические отчеты;
  • экспортировать данные об оценке безопасности в Azure Sentinel (или другую систему SIEM);
  • интегрировать эти данные с любыми уже используемыми процессами для отслеживания оценки безопасности в организации.

Подробные сведения о непрерывном экспорте данных Центра безопасности см. здесь.

Рекомендация "На компьютерах должны быть установлены обновления системы" теперь включает вложенные рекомендации

Обновления системы должны быть установлены на компьютерах, которые были улучшены . Новая версия содержит вложенные рекомендации для каждого пропущенного обновления и включает следующие улучшения:

  • улучшенный интерфейс на страницах Центра безопасности Azure портала Azure. Страница сведений о рекомендации На компьютерах должны быть установлены обновления системы содержит список результатов, как показано ниже. Если выбрать один результат, откроется область сведений со ссылкой на информацию об исправлении и списком затрагиваемых ресурсов.

    Открытие одной из вложенных рекомендаций в интерфейсе портала с обновленными рекомендациями.

  • Обогащенные данные для рекомендации из Azure Resource Graph (ARG). ARG — это служба Azure, предназначенная для простого изучения ресурсов. Вы можете использовать ARG для выполнения масштабных запросов к заданному набору подписок, чтобы вы могли эффективно управлять своей средой.

    При работе с Центром безопасности Azure вы можете применять ARG с языком запросов Kusto (KQL), чтобы получить расширенный набор данных о состоянии безопасности.

    Ранее при запросе этой рекомендации в ARG вы могли получить только сведения о том, что вам необходимо выполнить рекомендацию на компьютере. Следующий запрос в расширенной версии будет возвращать сведения обо всех отсутствующих на компьютере обновлениях (с группировкой по компьютерам).

    securityresources
    | where type =~ "microsoft.security/assessments/subassessments"
    | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
    | where properties.status.code == "Unhealthy"
    

На странице "Управление политиками" на портале Azure теперь отображается состояние назначений политики по умолчанию

Теперь вы можете просмотреть, назначена ли вашим подпискам политика Центра безопасности по умолчанию, на странице Политика безопасности Центра безопасности на портале Azure.

Страница

2020 октября

В октябре добавлены следующие обновления:

Оценка уязвимостей для компьютеров в локальной среде и нескольких облаках (предварительная версия)

Средство оценки уязвимостей в Azure Defender для серверов (на основе Qualys) теперь проверяет серверы с поддержкой Azure Arc.

Когда вы включаете Azure Arc на компьютерах, не относящихся к Azure, Центр безопасности предлагает развернуть на них встроенный сканер уязвимостей — вручную и в большом масштабе.

Начиная с этого обновления, вы сможете применять возможности Azure Defender для серверов, чтобы объединить программы управления уязвимостями для всех ресурсов в Azure и других средах.

Основные возможности:

  • мониторинг состояния подготовки средства оценки уязвимостей на компьютерах Azure Arc;
  • подготовка к работе интегрированного агента оценки уязвимостей для незащищенных компьютеров Azure Arc под управлением ОС Windows и Linux (вручную и в большом масштабе);
  • получение и анализ обнаруженных уязвимостей от развернутых агентов (вручную и в большом масштабе);
  • объединенный интерфейс для виртуальных машин Azure и компьютеров Azure Arc.

См. дополнительные сведения о развертывании интегрированного сканера уязвимостей Qualys на гибридных компьютерах.

См. дополнительные сведения о серверах с поддержкой Azure Arc.

Добавлена рекомендация Брандмауэра Azure (предварительная версия)

Добавлена новая рекомендация по защите всех виртуальных сетей с помощью Брандмауэр Azure.

Эта рекомендация — Virtual networks should be protected by Azure Firewall (Виртуальные сети должны быть защищены с помощью Брандмауэра Azure) — предлагает ограничить доступ к виртуальным сетям, чтобы избежать потенциальных угроз с помощью Брандмауэра Azure.

Дополнительные сведения о брандмауэре Azure.

Рекомендация "В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов" обновлена с помощью быстрого исправления

Для рекомендации В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов выпущено быстрое исправление.

Рекомендация

На панели мониторинга соответствия нормативным требованиям теперь есть параметр для удаления стандартов

Панель мониторинга соответствия нормативным требованиям в Центре безопасности предоставляет аналитические сведения о состоянии соответствия на основе того, как вы используете определенные средства и соблюдаете определенные требования.

Панель мониторинга включает набор нормативных стандартов по умолчанию. Если какой-либо из предоставляемых стандартов не имеет отношения к вашей организации, теперь достаточно удалить его через пользовательский интерфейс для подписки. Стандарты можно удалять только на уровне подписки. На уровне области группы управления такая возможность не поддерживается.

Дополнительные сведения см. в разделе Удаление стандарта с панели мониторинга.

Таблица Microsoft.Security/securityStatuses удалена из Azure Resource Graph (ARG)

Azure Resource Graph — это служба в Azure, которая обеспечивает эффективную оценку ресурсов с возможностью выполнения запросов к заданному набору подписок в большом масштабе, чтобы вы могли эффективно управлять своей средой.

При работе с Центром безопасности Azure вы можете применять ARG с языком запросов Kusto (KQL), чтобы получить расширенный набор данных о состоянии безопасности. Например:

В ARG существуют таблицы данных, которые вы можете использовать в запросах.

Обозреватель Azure Resource Graph и доступные таблицы.

Совет

В статье Таблица Azure Resource Graph и сведения о типах ресурсов из документации по ARG представлен список всех доступных таблиц.

Из этого обновления была удалена таблица Microsoft.Security/securityStatuses . API securityStatuses остается доступным.

В качестве замены можно использовать таблицу Microsoft.Security/Assessments.

Основное различие между таблицами Microsoft.Security/securityStatuses и Microsoft.Security/Assessments заключается в том, что первая отображала оценки в агрегированном виде, а вторая содержит отдельную запись для каждой оценки.

Например, таблица Microsoft.Security/securityStatuses вернула бы результат с массивом из двух экземпляров policyAssessments:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

В то время как Microsoft.Security/Assessments хранит запись для каждой такой оценки политики следующим образом:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

Пример преобразования существующего запроса ARG с использованием таблицы securityStatuses для использования таблицы Assessments:

Запрос к таблице securityStatuses:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Новый запрос к таблице Assessments:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

Дополнительные сведения см. по следующим ссылкам:

Сентябрь 2020 г.

В сентябре добавлены следующие обновления:

У Центра безопасности новый внешний вид

Мы выпустили обновленный пользовательский интерфейс для страниц портала Центра безопасности. Добавлены новые страницы, в том числе страница обзора, и панели мониторинга для оценки безопасности, инвентаризации ресурсов и Azure Defender.

Обновленная страница обзорных сведений содержит плитку для доступа к панелям мониторинга для оценки безопасности, инвентаризации ресурсов и Azure Defender. Также на ней есть плитка, связанная с панелью мониторинга соответствия нормативным требованиям.

См. сведения о странице обзора.

Выпуск Azure Defender

Azure Defender — это облачная платформа защиты рабочих нагрузок (CWPP), интегрированная в Центр безопасности для расширенной интеллектуальной защиты рабочих нагрузок Azure и гибридных рабочих нагрузок. Это решение заменяет Центр безопасности ценовой категории "Стандартный".

При включении Azure Defender в области Цены и параметры в Центре безопасности Azure все следующие планы Defender активируются одновременно и обеспечивают комплексную защиту для уровней вычислений, данных и служб в вашей среде:

Каждый из этих планов отдельно описан в документации Центра безопасности.

Azure Defender предоставляет на специальной панели мониторинга оповещения системы безопасности и возможности Расширенной защиты от угроз для виртуальных машин, баз данных SQL, контейнеров, веб-приложений, сети и т. д.

См. сведения об Azure Defender.

Выпуск общедоступной версии Azure Defender для Key Vault

Azure Key Vault — это облачная служба, которая обеспечивает защиту ключей шифрования и секретов (например, сертификатов, строк подключения и паролей).

Azure Defender для Key Vault предоставляет реализованные в Azure возможности Расширенной защиты от угроз для Azure Key Vault с дополнительным уровнем аналитики безопасности. Azure Defender для Key Vault также защищает многие другие ресурсы, которые зависят от учетных записей Key Vault.

Выпущена общедоступная версия дополнительного плана. Эта функция была в предварительной версии как "расширенная защита от угроз для Azure Key Vault".

Кроме того, страницы Key Vault на портале Azure теперь содержат специальную страницу Безопасность для рекомендаций и оповещений Центра безопасности.

См. сведения об Azure Defender для Key Vault.

Выпуск общедоступной версии Azure Defender для защиты хранилища файлов и ADLS 2-го поколения

Azure Defender для службы хранилища обнаруживает потенциально опасные действия в учетных записях хранения Azure. Данные можно защитить независимо от того, хранятся ли они в виде контейнеров больших двоичных объектов, общих папок или озер данных.

Поддержка платформ Файлы Azure и Azure Data Lake Storage 2-го поколения стала общедоступной.

С 1 октября 2020 г. мы будем взимать плату за защиту ресурсов в этих службах.

См. сведения об Azure Defender для службы хранилища.

Выпуск общедоступной версии средств инвентаризации ресурсов

Страница инвентаризации ресурсов в Центре безопасности Azure позволяет просматривать состояние безопасности всех ресурсов, подключенных к Центру безопасности.

Центр безопасности периодически анализирует состояние безопасности ресурсов Azure, чтобы выявить потенциальные уязвимости. Затем он предоставляет рекомендации по устранению этих уязвимостей.

Если для каких-то ресурсов есть необработанные рекомендации, они будут отображаться в данных инвентаризации.

См. сведения об изучении ресурсов и управлении ими с помощью инвентаризации ресурсов.

Отключение определенного результата поиска уязвимостей при проверках реестров контейнеров и виртуальных машин

Azure Defender включает средства сканирования для проверки образов в Реестре контейнеров Azure и на виртуальных машинах.

Если правила вашей организации требуют игнорировать обнаруженную проблему, а не исправлять ее, вы можете исключить ее из результатов поиска. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.

Если результат поиска соответствует критерию, заданному в правилах отключения, он не будет отображаться в списке результатов.

Этот параметр доступен на страницах с подробными сведениями для следующих рекомендаций:

  • Должны быть устранены уязвимости в образах Реестра контейнеров Azure
  • Должны быть устранены уязвимости на ваших виртуальных машинах.

См. сведения об отключении определенных результатов поиска для образов контейнеров и виртуальных машин.

Исключение ресурса из рекомендации

Иногда случается так, что согласно определенной рекомендации ресурс получает статус неработоспособного (что снижает оценку безопасности), но вы считаете это неправильным. Например, ресурс мог был исправлен процессом, который не отслеживается Центром безопасности. Или ваша организация решила принять этот риск для определенного ресурса.

В таких случаях вы можете создать правило исключения, чтобы в будущем этот ресурс не попадал в список неработоспособных ресурсов. Такие правила могут содержать документированные обоснования, как описано ниже.

См. сведения об исключении ресурса из рекомендаций и оценки безопасности.

Соединители AWS и GCP в Центре безопасности охватывают несколько облаков

Так как облачные рабочие нагрузки часто распределяются между несколькими облачными платформами, облачные службы безопасности должны охватывать их все.

Центр безопасности Azure теперь защищает рабочие нагрузки, развернутые в Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).

При подключении проектов AWS и GCP в Центр безопасности она интегрирует Центр безопасности AWS, команду безопасности GCP и Центр безопасности Azure.

См. сведения о подключении к Центру безопасности Azure учетных записей AWS и проектов GCP.

Пакет рекомендаций по защите рабочих нагрузок Kubernetes

Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, Центр безопасности предоставляет рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.

Когда вы установили Политика Azure для Kubernetes в кластере AKS, каждый запрос к серверу API Kubernetes будет отслеживаться в отношении предопределенного набора рекомендаций перед сохранением в кластере. Вы можете настроить принудительное применение таких рекомендаций для всех будущих рабочих нагрузок.

Например, можно запретить создание привилегированных контейнеров, и тогда любой запрос такого типа будет блокироваться.

См. сведения о рекомендациях по защите рабочих нагрузок с использованием средств управления доступом в Kubernetes.

Результаты оценки уязвимостей теперь доступны в непрерывном экспорте

Используйте непрерывный экспорт для потоковой передачи оповещений и рекомендаций в Центры событий Azure, рабочие области Log Analytics и Azure Monitor. Отсюда эти данные можно интегрировать с системами SIEM (например, Azure Sentinel, Power BI, Azure Data Explorer и т. д.).

Встроенные средства оценки уязвимостей в Центре безопасности возвращают результаты поиска, связанные с ресурсами, в виде дочерних рекомендаций в родительской рекомендации, предлагая, например, исправить уязвимости на виртуальных машинах.

Результаты проверки безопасности теперь можно экспортировать через механизм непрерывного экспорта, выбрав нужные рекомендации и включив параметр Включить результаты проверки безопасности.

Параметр

Связанные страницы:

Защита от ошибок в конфигурации безопасности благодаря принудительному применению рекомендаций при создании новых ресурсов

Ошибки в конфигурации безопасности являются частой причиной инцидентов безопасности. Центр безопасности теперь помогает предотвращать такие ошибки для новых ресурсов в соответствии с определенными рекомендациями.

Эта возможность помогает поддерживать безопасность рабочих нагрузок и стабилизировать оценку безопасности.

Вы можете применить безопасную конфигурацию на основе определенной рекомендации в двух режимах:

  • С помощью запрещенного режима Политика Azure можно остановить создание неработоспособных ресурсов

  • Используя примененный параметр, вы можете воспользоваться преимуществами эффекта DeployIfNotExist Политика Azure и автоматически устранять несоответствующие ресурсы при создании.

Эта возможность доступна в верхней части страницы сведений о ресурсах, но не для всех рекомендаций системы безопасности.

См. сведения о предотвращении ошибок конфигурации с помощью рекомендаций о применении и отклонении.

Улучшения рекомендаций по группе безопасности сети

Были улучшены следующие рекомендации по безопасности, связанные с группами безопасности сети, чтобы сократить количество некоторых ложноположительных результатов.

  • Требуется ограничить доступ ко всем сетевым портам в связанной с виртуальной машиной группе безопасности сети
  • Порты управления на виртуальных машинах должны быть закрыты.
  • Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети.
  • Подсети должны быть связаны с группой безопасности сети.

Объявлена устаревшей рекомендация по AKS предварительной версии "В службах Kubernetes должны быть определены политики безопасности объекта pod"

Рекомендация предварительной версии "В службах Kubernetes должны быть определены политики безопасности группы pod" теперь является устаревшей, как описано в документации по Службе Azure Kubernetes.

Функция политики безопасности объекта pod (предварительная версия) объявлена устаревшей и станет недоступной после 15 октября 2020 г. Вместо нее будет использоваться Политика Azure для AKS.

После этой даты политику безопасности pod (предварительная версия) нужно будет отключить на всех затронутых существующих кластерах, чтобы сохранить возможность обновления кластеров в будущем и обеспечить поддержку Azure.

Улучшения уведомлений по электронной почте от Центра безопасности Azure

Улучшены следующие аспекты отправки оповещений системы безопасности по электронной почте:

  • включена возможность отправлять по электронной почте уведомления о предупреждениях для всех уровней серьезности;
  • включена возможность уведомлять пользователей с разными ролями Azure в подписке;
  • мы по умолчанию упреждающе уведомляем владельцев подписок об оповещениях высокого уровня серьезности (связанных с высокой вероятностью обнаружения брешей);
  • мы удалили поле для номера телефона на странице настройки уведомлений по электронной почте

См. сведения о настройке отправки по электронной почте уведомлений об оповещениях системы безопасности.

Оценка безопасности не включает рекомендации предварительной версии

Центр безопасности постоянно оценивает ресурсы, подписки и организацию на предмет проблем безопасности. Затем он объединяет все результаты в одну оценку, чтобы вы могли понять текущее состояние системы безопасности: чем выше оценка, тем ниже выявленный уровень риска.

По мере обнаружения новых угроз в Центре безопасности становятся доступными новые рекомендации с советами по обеспечению безопасности. Чтобы вы могли предотвратить неожиданное изменение оценки безопасности и настроить период отсрочки для изучения рекомендаций, прежде чем они начнут влиять на оценки, рекомендации с отметкой Предварительная версия теперь не учитываются в оценке безопасности. При этом их по возможности все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку.

Кроме того, рекомендации предварительной версии не присваивают ресурсу состояние неработоспособного.

Пример рекомендации предварительной версии:

Рекомендация с отметкой предварительной версии.

См. сведения об оценке безопасности.

В рекомендациях добавлены индикатор серьезности и интервал актуальности

На странице сведений для рекомендаций теперь отображаются индикатор актуальности рекомендации (где он применим) и уровень ее серьезности.

Страница рекомендаций, где отображаются актуальность и серьезность.

Август 2020 г.

В августе добавлены следующие обновления:

Инвентаризация ресурсов — новое мощное представление состояния безопасности для ресурсов

Инвентаризация ресурсов Центра безопасности (сейчас доступна в предварительной версии) позволяет просматривать уровень безопасности ресурсов, подключенных к Центру безопасности.

Центр безопасности периодически анализирует состояние безопасности ресурсов Azure, чтобы выявить потенциальные уязвимости. Затем он предоставляет рекомендации по устранению этих уязвимостей. Если для каких-то ресурсов есть необработанные рекомендации, они будут отображаться в данных инвентаризации.

Вы можете использовать это представление и фильтры в нем для изучения данных о состоянии безопасности и выполнения дополнительных действий с учетом полученных результатов.

См. сведения об инвентаризации ресурсов.

Включена поддержка параметров безопасности Azure Active Directory по умолчанию (для многофакторной проверки подлинности)

В Центре безопасности включена полная поддержка параметров безопасности по умолчанию (предоставляется корпорацией Майкрософт бесплатно для защиты удостоверений).

Параметры безопасности по умолчанию — это предварительно настроенная конфигурация безопасности для защиты удостоверений организации от распространенных атак, связанных с удостоверениями. Параметры безопасности по умолчанию уже помогают защитить более 5 000 000 арендаторов во всем мире, а Центр безопасности — 50 000 арендаторов.

Центр безопасности теперь предоставляет рекомендации по безопасности, если он определяет подписку Azure без включенных параметров безопасности по умолчанию. Ранее Центр безопасности рекомендовал включать многофакторную проверку подлинности с использованием условного доступа в рамках лицензии Azure Active Directory (AD) уровня "Премиум". Теперь для клиентов, которые используют бесплатную версию Azure AD, мы рекомендуем включать параметры безопасности по умолчанию.

Мы хотим, чтобы как можно больше клиентов настроили MFA для защиты облачных сред, снизив один из самых высоких рисков, которые влияют на оценку безопасности.

См. сведения о параметрах безопасности по умолчанию.

Добавлены рекомендации для субъектов-служб

Добавлена новая рекомендация, которая рекомендует клиентам Центра безопасности, использующим сертификаты управления для управления подписками, переключаться на субъекты-службы.

Эта рекомендация (Для защиты подписок вместо сертификатов управления следует использовать субъекты-службы) информирует о том, что использование субъектов-служб или Azure Resource Manager позволяет более безопасно управлять подписками.

См. сведения об использовании объектов субъектов-служб и приложений в Azure Active Directory.

Оценка уязвимостей на виртуальных машинах — рекомендации и политики объединены

Центр безопасности проверяет, используют ли виртуальные машины решение для оценки уязвимостей. Если решение для оценки уязвимостей не найдено, Центр безопасности рекомендует упростить развертывание.

При обнаружении уязвимостей Центр безопасности предоставляет рекомендацию с обобщенными результатами поиска, чтобы вы могли при необходимости исследовать и устранить проблемы.

Чтобы обеспечить согласованный интерфейс для всех пользователей независимо от используемого типа средства проверки, мы объединили четыре рекомендации в следующие две:

Единая рекомендация Описание изменения
Необходимо включить решение для оценки уязвимостей на виртуальных машинах Заменяет следующие две рекомендации:
*****Активируйте встроенное решение оценки уязвимостей на виртуальных машинах (на платформе Qualys) (устаревшая; отображается для уровня "Стандартный").
*****Необходимо установить решение "Оценка уязвимостей" на виртуальных машинах (устаревшая; отображается для уровней "Стандартный" и "Бесплатный").
Должны быть устранены уязвимости на ваших виртуальных машинах. Заменяет следующие две рекомендации:
*****Устраните уязвимости, обнаруженные на виртуальных машинах (на платформе Qualys) (устаревшая).
*****Уязвимости должны быть устранены с помощью решения для оценки уязвимостей (устаревшая).

Теперь вы будете использовать ту же рекомендацию для развертывания расширения оценки уязвимостей Центра безопасности или частного лицензированного решения (BYOL) от партнера, такого как Qualys или Rapid 7.

Кроме того, если Центр безопасности получает сведения об обнаружении уязвимостей, одна рекомендация проинформирует вас о результатах поиска независимо от используемого решения для оценки уязвимостей.

Обновление зависимостей

Если у вас есть скрипты, запросы или автоматизации, которые ссылаются на упомянутые рекомендации, ключи или имена политик, обновите эти ссылки в соответствии со следующими таблицами.

До августа 2020 года
Рекомендация Область
Активируйте встроенное решение оценки уязвимостей на виртуальных машинах (на платформе Qualys)
Ключ: 550e890b-e652-4d22-8274-60b3bdb24c63
Встроенный
Устранение уязвимостей, обнаруженных на виртуальных машинах (на платформе Qualys)
Ключ: 1195afff-c881-495e-9bc5-1486211ae03f
Встроенный
Необходимо установить решение "Оценка уязвимостей" на виртуальных машинах
Ключ: 01b1ed4c-b733-4fee-b145-f23236e70cf3
BYOL
Уязвимости должны быть устранены с помощью решения для оценки уязвимостей
Ключ: 71992a2a-d168-42e0-b10e-6b45fa2ecddb
BYOL
Политика Область
На виртуальных машинах должна быть включена оценка уязвимостей
Идентификатор политики: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Встроенный
Уязвимости должны быть устранены с помощью решения для оценки уязвимостей
Идентификатор политики: 760a85ff-6162-42b3-8d70-698e268f648c
BYOL
После августа 2020 года
Рекомендация Область
Необходимо включить решение для оценки уязвимостей на виртуальных машинах
Ключ: ffff0522-1e88-47fc-8382-2a80ba848f5d
Встроено, с использованием собственной лицензии
Должны быть устранены уязвимости на ваших виртуальных машинах.
Ключ: 1195afff-c881-495e-9bc5-1486211ae03f
Встроено, с использованием собственной лицензии
Политика Область
На виртуальных машинах должна быть включена оценка уязвимостей
Идентификатор политики: 501541f7-f7e7-4cd6-868c-4190fdad3ac9
Встроено, с использованием собственной лицензии

Новые политики безопасности AKS, добавленные в инициативу ASC_default

Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, Центр безопасности предоставляет политики и рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.

Ранний этап этого проекта включает предварительную версию и добавление новых (отключенных по умолчанию) политик в инициативу ASC_default.

Вы можете спокойно игнорировать эти политики, так как они не влияют на вашу среду. Если вы захотите включить их, зарегистрируйтесь для использования предварительной версии в закрытом сообществе по безопасности Microsoft Cloud и выберите один из следующих вариантов:

  1. Одна предварительная версия— присоединение только к этой предварительной версии . Явным образом укажите ASC Continuous Scan (Непрерывная проверка ASC) в качестве нужной предварительной версии.
  2. Ongoing Program (Текущая программа) — использование не только этой, но и всех последующих закрытых предварительных версий. Вам будет предложено заполнить профиль и принять соглашение о конфиденциальности.

Июль 2020

В июле добавлены следующие обновления:

Оценка уязвимости виртуальных машин стала доступной для образов, не предназначенных для Marketplace

При развертывании решения для оценки уязвимостей Центр безопасности ранее выполнил проверку перед развертыванием. Эта проверка подтверждала наличие SKU для Marketplace на целевой виртуальной машине.

Из этого обновления проверка удаляется и теперь можно развернуть средства оценки уязвимостей на пользовательских компьютерах Windows и Linux. Пользовательскими считаются те образы, на которых что-то изменено по сравнению с конфигурацией по умолчанию из Marketplace.

Но независимо от возможности развертывать интегрированное расширение для оценки уязвимостей (на платформе Qualys) на большом числе новых компьютеров, поддержка предоставляется только для тех ОС, которые перечислены в разделе Развертывание интегрированного средства проверки уязвимостей на виртуальных машинах.

См. сведения об интегрированном средстве проверки уязвимостей для виртуальных машин (требуется наличие Azure Defender).

Дополнительные сведения об использовании собственного решения для оценки уязвимостей с частной лицензией из Qualys или Rapid7 развертывании решения для сканирования уязвимостей партнера.

Защита от угроз для службы хранилища Azure предоставляется для Файлов Azure и Azure Data Lake Storage 2-го поколения (предварительная версия)

Защита от угроз для службы хранилища обнаруживает потенциально опасные действия в учетных записях хранения Azure. Центр безопасности отображает оповещения об обнаруженных попытках получения доступа или эксплойтов в учетных записях хранения.

Данные можно защитить независимо от того, хранятся ли они в виде контейнеров больших двоичных объектов, общих папок или озер данных.

Восемь новых рекомендаций для включения возможностей защиты от угроз

Добавлены восемь новых рекомендаций, которые позволяют легко включить возможности Центра безопасности Azure для защиты от уязвимостей в ресурсах следующих типов: виртуальные машины, планы службы приложений, серверы Базы данных SQL Azure, серверы SQL на отдельных компьютерах, учетные записи хранения в службе хранилища Azure, кластеры Службы Azure Kubernetes, реестры Реестра контейнеров Azure и хранилища Azure Key Vault.

Вот эти новые рекомендации:

  • На серверах Базы данных SQL Azure должна быть включена Расширенная защита данных
  • Для серверов SQL на компьютерах должна быть включена Расширенная защита данных
  • Для планов Службы приложений Azure должна быть включена Расширенная защита от угроз
  • Для реестров в службе "Реестр контейнеров Azure" должна быть включена Расширенная защита от угроз
  • Для хранилищ в службе Azure Key Vault должна быть включена Расширенная защита от угроз
  • Для кластеров в Службе Azure Kubernetes должна быть включена Расширенная защита от угроз
  • Для учетных записей службы хранилища Azure должна быть включена Расширенная защита от угроз
  • На виртуальных машинах должна быть включена Расширенная защита от угроз

Каждая из них содержит функцию быстрого исправления.

Внимание

Применение любой из этих рекомендаций предусматривает плату за защиту соответствующих ресурсов. Плата будет начислена немедленно, если у вас есть необходимые ресурсы в текущей подписке. Если вы добавите их позже, плата будет начисляться с момента добавления.

Например, если в текущей подписке нет кластеров Azure Kubernetes, при включении защиты от угроз плата не будет взиматься. Если позже вы добавите кластер в эту подписку, к нему будет автоматически применена как защита, за что будет начислена плата.

Дополнительные сведения см. в статье Защита от угроз с помощью Центра безопасности Azure.

Улучшения защиты контейнеров — ускоренная проверка и обновленная документация

Мы рады сообщить о непрерывных улучшениях в области защиты контейнеров, в частности о заметном повышении производительности динамических проверок Центра безопасности, выполняемых для образов контейнеров, хранящихся в Реестре контейнеров Azure. Теперь проверки выполняются примерно за две минуты. Но в некоторых случаях может потребоваться до 15 минут.

Для повышения четкости и качества рекомендаций о возможностях Центра безопасности Azure в отношении защиты контейнеров мы также обновили страницы документации по обеспечению безопасности контейнеров.

Адаптивные элементы управления приложениями включают новые рекомендации и позволяют использовать подстановочные знаки в правилах путей

Адаптивные элементы управления приложениями были существенно обновлены:

  • Новая рекомендация определяет потенциально допустимое поведение, которое ранее было запрещено. Новая рекомендация (Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями) предлагает добавить к существующей политике новые правила, чтобы сократить число ложноположительных результатов в оповещениях о нарушении работы адаптивных элементов управления приложениями.

  • Правила путей теперь позволяют использовать подстановочные знаки. Начиная с этого обновления, вы можете настраивать правила разрешенных путей с использованием подстановочных знаков. Поддерживаются два сценария работы:

    • Используя подстановочный знак в конце пути, чтобы разрешить все исполняемые файлы в этой папке и вложенных папках.

    • Использование подстановочного знака в середине пути, чтобы разрешить исполняемый файл с известным именем в папках с разными именами (например, в сценариях с личными папками пользователей с известным исполняемым файлом, автоматически создаваемыми именами папок и т. д.).

Шесть политик для расширенной безопасности данных SQL объявлены устаревшими

Объявлены устаревшими следующие шесть политик, связанных с расширенной безопасностью данных для компьютеров SQL:

  • Для параметра "Типы Расширенной защиты от угроз" в параметрах Расширенной защиты данных Управляемого экземпляра SQL необходимо установить значение "Все".
  • Для параметра "Типы Расширенной защиты от угроз" в параметрах Расширенной защиты данных SQL Server необходимо установить значение "Все".
  • Параметры расширенной защиты данных для управляемого экземпляра SQL должны содержать адрес электронной почты для получения оповещений системы безопасности
  • Параметры Расширенной защиты данных для сервера SQL должны содержать адрес электронной почты для получения оповещений системы безопасности
  • Уведомления по электронной почте для администраторов и владельцев подписок следует включить в параметрах расширенной защиты данных для управляемого экземпляра SQL
  • Уведомления по электронной почте для администраторов и владельцев подписок следует включить в параметрах расширенной защиты данных для сервера SQL

См. сведения о встроенных политиках.

Июнь 2020 г.

В июне добавлены следующие обновления:

API оценки безопасности (предварительная версия)

Теперь вы можете получить доступ к оценке через API оценки безопасности (предварительная версия). Методы этого API позволяют гибко выполнять запросы к данным и создавать собственные механизмы создания отчетов об оценках безопасности за разные периоды. Например, API оценки безопасности позволяет получить оценку для конкретной подписки. Кроме того, с помощью API элементов управления оценкой безопасности можно составить список элементов управления безопасностью и текущие оценки для всех подписок.

Примеры внешних средств, которые можно реализовать с помощью API оценки безопасности, см. в разделе оценок безопасности в сообществе GitHub.

См. сведения об оценке безопасности и элементах управления безопасностью в Центре безопасности Azure.

Расширенная защита данных для компьютеров SQL (в Azure, других облаках и локальной среде) (предварительная версия)

Расширенная защита данных в Центре безопасности Azure для компьютеров SQL теперь защищает экземпляры SQL Server, размещенные в Azure, других облачных средах и даже на локальных компьютерах. Это позволяет обеспечить в гибридной среде такую же защиту экземпляров SQL Server, как и в Azure.

Расширенная защита данных предоставляет оценку уязвимостей и расширенную защиту от угроз для компьютеров SQL в любом расположении.

Настройка включает два шага:

  1. развертывание агента Log Analytics на компьютере с SQL Server для подключения к учетной записи Azure;

  2. включение дополнительного пакета на странице цен и параметров Центра безопасности.

См. сведения о расширенной защите данных для компьютеров SQL.

Две новые рекомендации по развертыванию агента Log Analytics на компьютерах Azure Arc (предварительная версия)

Добавлены две новые рекомендации, которые помогают развернуть агент Log Analytics на компьютерах Azure Arc и обеспечить их защиту с помощью Центра безопасности Azure:

  • На виртуальных машинах Windows с Azure Arc должен быть установлен агент Log Analytics (предварительная версия)
  • На виртуальных машинах Linux с Azure Arc должен быть установлен агент Log Analytics (предварительная версия)

Эти новые рекомендации будут отображаться в тех же четырех элементах управления безопасностью, что и существующая связанная рекомендация (Необходимо установить агент мониторинга на ваших компьютерах): исправление конфигураций системы безопасности, применение адаптивного элемента управления приложениями, применение системных обновлений и включение защиты конечных точек.

Рекомендации также включают возможность быстрого исправления для ускорения процесса развертывания.

Сведения о том, как Центр безопасности Azure использует агент, см. в разделе Что такое агент Log Analytics?

См. сведения о расширениях для компьютеров Azure Arc.

Новые политики для создания непрерывного экспорта и конфигураций автоматизации рабочих процессов в большом масштабе

Автоматизация корпоративных процессов мониторинга и реагирования на инциденты может значительно ускорить процессы изучения и устранения инцидентов безопасности.

Чтобы развернуть конфигурации автоматизации в масштабе всей организации, примените следующие встроенные политики Azure DeployIfdNotExist для создания и настройки процедур непрерывного экспорта и автоматизации рабочих процессов.

Определения политик можно найти в Политике Azure.

Goal Политика ИД политики
Непрерывный экспорт в центры событий Развертывание экспортированных данных в центры событий для оповещений и рекомендаций Центра безопасности Azure cdfcce10-4578-4ecd-9703-530938e4abcb
Непрерывный экспорт в рабочую область Log Analytics Развертывание экспортированных данных в рабочей области Log Analytics для оповещений и рекомендаций Центра безопасности Azure ffb6f416-7bd2-4488-8828-56585fef2be9
Автоматизация рабочих процессов для оповещений системы безопасности Развертывание средств автоматизации рабочих процессов для оповещений Центра безопасности Azure f1525828-9a90-4fcf-be48-268cdd02361e
Автоматизация рабочих процессов для рекомендаций системы безопасности Развертывание средств автоматизации рабочих процессов для рекомендаций Центра безопасности Azure 73d6ab6c-2475-4850-afd6-43795f3492ef

Начало работы с шаблонами автоматизации рабочих процессов.

Дополнительные сведения об использовании этих двух политик экспорта см. в разделах Настройка автоматизации рабочих процессов в большом масштабе с помощью представленных политик и Настройка непрерывного экспорта.

Новая рекомендация по использованию групп безопасности сети для защиты виртуальных машин, не подключенных к Интернету

Элемент управления безопасностью "Внедрение лучших методик обеспечения безопасности" теперь включает следующие новые рекомендации:

  • Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети

Существующая рекомендация (Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети) ранее не учитывала разницу между виртуальными машинами, подключенными и не подключенными к Интернету. В обоих случаях создавалась рекомендация с высоким уровнем серьезности, если виртуальная машина не была назначена группе безопасности сети. Новая рекомендация исключает компьютеры, не подключенные к Интернету, чтобы сократить число ложноположительных результатов и избежать появления ненужных оповещений с высоким уровнем серьезности.

Новые политики для включения защиты от угроз и расширенной защиты данных

Перечисленные ниже новые определения политик добавлены в инициативу ASC_default, чтобы включить защиту от угроз или расширенную защиту данных для соответствующих типов ресурсов.

Определения политик можно найти в Политике Azure.

Политика ИД политики
На серверах Базы данных SQL Azure должна быть включена Расширенная защита данных 7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
Для серверов SQL на компьютерах должна быть включена Расширенная защита данных 6581d072-105e-4418-827f-bd446d56421b
Для учетных записей службы хранилища Azure должна быть включена Расширенная защита от угроз 308fbb08-4ab8-4e67-9b29-592e93fb94fa
Для хранилищ в службе Azure Key Vault должна быть включена Расширенная защита от угроз 0e6763cc-5078-4e64-889d-ff4d9a839047
Для планов Службы приложений Azure должна быть включена Расширенная защита от угроз 2913021d-f2fd-4f3d-b958-22354e2bdbcb
Для реестров в службе "Реестр контейнеров Azure" должна быть включена Расширенная защита от угроз c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
Для кластеров в Службе Azure Kubernetes должна быть включена Расширенная защита от угроз 523b5cd1-3e23-492f-a539-13118b6d1e3a
На виртуальных машинах должна быть включена Расширенная защита от угроз 4da35fc9-c9e7-4960-aec9-797fe7d9051d

Дополнительные сведения см. в статье Защита от угроз с помощью Центра безопасности Azure.

Май 2020 г.

В мае добавлены следующие обновления:

Правила подавления оповещений (предварительная версия)

Эта новая функция (сейчас доступна в предварительной версии) помогает сократить количество ненужных оповещений. С помощью правил можно автоматически скрывать оповещения, о которых точно известно, что они не связаны с какой-либо опасностью или относятся к обычным действиям в организации. Это позволяет сосредоточиться на наиболее важных оповещениях, связанных с угрозами.

Оповещения, которые соответствуют включенным правилам подавления, по-прежнему будут создаваться, но будут считаться закрытыми. Вы можете увидеть их состояние на портале Azure или воспользоваться любым привычным способом просмотра оповещений безопасности в Центре безопасности.

В правилах подавления определяются условия, в соответствии с которыми оповещения должны автоматически закрываться. Правила подавления обычно используются, чтобы:

  • подавлять оповещения, которые вы идентифицировали как ложные срабатывания;

  • подавлять оповещения, которые активируются слишком часто и потому бесполезны.

См. дополнительные сведения о подавлении оповещений из раздела "Защита от угроз" в Центре безопасности Azure.

Оценка уязвимостей виртуальных машин стала общедоступной

Уровень "Стандартный" Центра безопасности теперь включает в себя интегрированную оценку уязвимостей для виртуальных машин. Дополнительная плата не взимается. Это расширение работает на платформе Qualys, но возвращает результаты непосредственно в Центр безопасности. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Центре безопасности.

Новое решение может постоянно сканировать виртуальные машины, чтобы находить уязвимости и отображать результаты в Центре безопасности.

Чтобы развернуть решение, воспользуйтесь новой рекомендацией по безопасности:

"Включение встроенного решения для оценки уязвимостей на виртуальных машинах (на платформе Qualys)"

См. дополнительные сведения об интегрированной оценке уязвимостей для виртуальных машин в Центре безопасности.

Изменения в JIT-доступе на виртуальных машинах

В Центре безопасности имеется дополнительная функция, которая защищает порты управления виртуальных машин. Это обеспечивает защиту от наиболее распространенной формы атак методом подбора.

В данном обновлении представлены следующие изменения этой функции:

  • Рекомендация, которая рекомендует включить JIT на виртуальной машине, была переименована. Ранее "JIT-управление доступом к сети должно применяться на виртуальных машинах" теперь: "Порты управления виртуальными машинами должны быть защищены с помощью JIT-управления доступом к сети".

  • Эта рекомендация активируется только при наличии открытых портов управления.

См. дополнительные сведения о JIT-доступе.

Настраиваемые рекомендации перемещены в отдельный элемент управления безопасностью

Одним из элементов управления безопасностью, представленным с улучшенной оценкой безопасности, было "Реализация рекомендаций по обеспечению безопасности". Все пользовательские рекомендации, созданные для подписок, автоматически помещаются в этот элемент управления.

Чтобы упростить поиск пользовательских рекомендаций, мы переместили их в выделенный элемент управления безопасностью "Пользовательские рекомендации". Этот элемент управления не влияет на оценку безопасности.

Дополнительные сведения об элементах управления безопасностью см. в статье Улучшенная оценка безопасности (предварительная версия) в Центре безопасности Azure.

Добавлен переключатель для просмотра рекомендаций в элементах управления или в виде простого списка

Элементы управления безопасностью — это группы логически связанных рекомендаций по безопасности. Они соответствуют областям, уязвимым для атак. Средство управления — это набор рекомендаций по безопасности с инструкциями, которые помогут вам реализовать эти рекомендации.

Чтобы мгновенно понять, насколько хорошо ваша организация защищает каждую уязвимую область, просмотрите баллы для каждого элемента управления безопасностью.

По умолчанию рекомендации отображаются в элементах управления безопасностью. С выходом этого обновления их можно также отобразить в виде списка. Чтобы просмотреть их в виде простого списка, отсортированного по состоянию работоспособности затронутых ресурсов, воспользуйтесь новым переключателем "Группировать по элементам управления". Переключатель размещен на портале над списком.

Элементы управления безопасностью и этот переключатель — это составная часть нового интерфейса оценки безопасности. Не забудьте отправить нам свои отзывы через портал.

Дополнительные сведения об элементах управления безопасностью см. в статье Улучшенная оценка безопасности (предварительная версия) в Центре безопасности Azure.

Переключатель группировки рекомендаций по элементам управления.

Расширенный элемент управления безопасностью "Внедрение рекомендаций по обеспечению безопасности"

Одним из элементов управления безопасностью, представленным с расширенной оценкой безопасности, является "Реализация рекомендаций по обеспечению безопасности". Если рекомендация находится в этом элементе управления, она не влияет на оценку безопасности.

В данном обновлении три рекомендации перемещены из исходных элементов управления в этот. Мы сделали это, так как выяснили, что эти три рекомендации связаны с меньшим риском, чем считалось сначала.

Кроме того, появились две новые рекомендации, которые также добавлены в этот элемент управления.

Вот три рекомендации, которые были перемещены:

  • Для учетных записей с разрешениями на чтение в вашей подписке должна быть включена многофакторная проверка подлинности (исходный элемент управления — "Включить MFA");
  • Внешние учетные записи с разрешениями на чтение должны быть удалены из подписки (исходный элемент управления — "Настроить доступ и разрешения");
  • Подписке должно быть назначено не более 3 владельцев (исходный элемент управления — "Настроить доступ и разрешения").

Вот две новые рекомендации, которые были добавлены в элемент управления:

  • На виртуальных машинах Windows должно быть установлено расширение гостевой конфигурации (предварительная версия) — использование гостевой конфигурации Политики Azure обеспечивает видимость виртуальных машин для параметров сервера и приложения (только для Windows).

  • На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender (предварительная версия) — Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows).

Дополнительные сведения об Exploit Guard в Защитнике Windows см. в статье Создание и развертывание политики Exploit Guard.

Сведения об элементах управления безопасностью см. в статье Улучшенная оценка безопасности (предварительная версия).

Настраиваемые политики с пользовательскими метаданными стали общедоступными

Настраиваемые политики теперь присутствуют в разделе рекомендаций Центра безопасности, в оценке безопасности и на панели мониторинга стандартов соответствия нормативным требованиям. Эта возможность стала общедоступной, так что вы можете расширить покрытие оценки безопасности для своей организации в Центре безопасности.

Создайте в Политике Azure пользовательскую инициативу, добавьте в нее политики, подключите ее к Центру безопасности Azure и представьте наглядно в виде рекомендаций.

Также добавлена возможность редактировать пользовательские метаданные рекомендаций. Возможны такие варианты метаданных, как серьезность, шаги для исправления, сведения об угрозах и многое другое.

См. статью об усовершенствовании пользовательских рекомендаций с помощью дополнительных сведений.

Возможности анализа аварийного дампа перенесены в компонент обнаружения бесфайловых атак

Возможности анализа аварийного дампа Windows (CDA) интегрированы в компонент обнаружения бесфайловых атак. Аналитика обнаружения бесфайловых атак обеспечивает улучшенные версии следующих оповещений системы безопасности для компьютеров с Windows: обнаружено внедрение кода, обнаружена маскировка под модуль Windows, обнаружен код оболочки, обнаружен подозрительный сегмент кода.

Вот некоторые из преимуществ этого переноса:

  • Упреждающее и своевременное обнаружение вредоносных программ. При использовании подхода CDA приходилось ожидать аварийного завершения работы и только потом выполнять анализ для поиска вредоносных артефактов. Обнаружение бесфайловых атак обеспечивает упреждающее выявление угроз в памяти во время их работы.

  • Более информативные оповещения. Оповещения системы безопасности, которые создает компонент обнаружения бесфайловых атак, содержат сведения, которых не предоставляет CDA, например информацию об активных сетевых подключениях.

  • Агрегирование оповещений. Когда CDA обнаруживает в одном аварийном дампе несколько шаблонов атак, создаются несколько оповещений системы безопасности. Компонент обнаружения бесфайловых атак объединяет все выявленные шаблоны атак из одного процесса в одно оповещение, тем самым устраняя необходимость соотносить несколько оповещений.

  • Снижение требований к рабочей области Log Analytics. Аварийные дампы, содержащие потенциально конфиденциальные данные, больше не передаются в рабочую область Log Analytics.

Апрель 2020 г.

В апреле добавлены следующие обновления:

Динамические пакеты соответствия стали общедоступными

Панель мониторинга соответствия нормативным требованиям в Центре безопасности Azure теперь включает в себя динамические пакеты соответствия (уже общедоступные), позволяющие отслеживать дополнительные отраслевые и нормативные стандарты.

Пакеты динамического соответствия можно добавить в подписку или группу управления на странице политики безопасности в Центре безопасности. При подключении стандарта или эталона он отобразится на панели мониторинга "Соответствие требованиям" со всеми связанными данными соответствия, сопоставленными в виде оценок. Вы также сможете скачать сводный отчет по всем подключенным стандартам.

В настоящее время можно добавить следующие стандарты:

  • NIST SP 800-53, ред. 4
  • SWIFT CSP-CSCF, версия 2020
  • UK Official и UK NHS
  • Canada Federal PBMM
  • Azure CIS 1.1.0 (новый) (это более полное представление Azure CIS 1.1.0)

Кроме того, недавно мы добавили Тест производительности системы безопасности Azure. Это руководства с рекомендациями по обеспечению безопасности и соответствия требованиям для Azure, подготовленные корпорацией Майкрософт на основе распространенных платформ соответствия. Поддержка дополнительных стандартов будет обеспечена на панели мониторинга по мере их появления.

См. дополнительные сведения о настройке набора стандартов на панели мониторинга соответствия нормативным требованиям.

Рекомендации по идентификации теперь предоставляются на уровне "Бесплатный" Центра безопасности Azure

Рекомендации по безопасности для идентификации и доступа на уровне "Бесплатный" Центра безопасности Azure теперь общедоступны. Это составляющая нашей инициативы по обеспечению бесплатного доступа к управлению состоянием безопасности облака (CSPM). До сегодняшнего дня эти рекомендации были доступны только в ценовой категории "Стандартный".

Примеры рекомендаций по идентификации и доступу:

  • "Необходимо включить многофакторную проверку подлинности для учетных записей с разрешениями владельца для вашей подписки".
  • "Подписке может быть назначено максимум три владельца".
  • "Необходимо удалить устаревшие учетные записи из подписки".

Если у вас есть подписки ценовой категории "Бесплатный", это изменение повлияет на их оценки безопасности, так как эти подписки никогда не оценивались на предмет безопасности идентификации и доступа.

Март 2020 г.

В марте добавлены следующие обновления:

Автоматизация рабочих процессов стала общедоступной

Функция автоматизации рабочих процессов Центра безопасности Azure теперь предоставляется в общедоступной версии. Используйте ее для автоматической активации Logic Apps в оповещениях и рекомендациях системы безопасности. Кроме того, доступны ручные триггеры для активации оповещений и всех рекомендаций с поддержкой быстрого исправления.

Каждая программа обеспечения безопасности включает несколько рабочих процессов для реагирования на инциденты. Эти процессы могут уведомлять соответствующих заинтересованных лиц, запускать операции управления изменениями и выполнять определенные действия для устранения проблем. Специалисты по безопасности рекомендуют автоматизировать максимальное количество этапов. Автоматизация сокращает издержки и может повысить безопасность, обеспечивая быстрое и согласованное выполнение этапов процесса в соответствии с предопределенными требованиями.

Дополнительные сведения о возможностях автоматического и ручного выполнения рабочих процессов в Центре безопасности см. в статье Автоматизация рабочих процессов.

См. дополнительные сведения о создании Logic Apps.

Интеграция Центра безопасности Azure с Windows Admin Center

Теперь можно переместить локальные серверы Windows из Windows Admin Center непосредственно в Центр безопасности Azure. Таким образом, Центр безопасности станет единым интерфейсом для просмотра сведений обо всех ресурсах Windows Admin Center, включая локальные серверы, виртуальные машины и дополнительные рабочие нагрузки PaaS.

После перемещения сервера из Windows Admin Center в Центр безопасности Azure вы сможете:

  • просматривать оповещения и рекомендации, касающиеся безопасности, в расширении Центра безопасности для Windows Admin Center;
  • узнавать состояние безопасности и получать дополнительные подробные сведения об управляемых серверах из Windows Admin Center в Центре безопасности на портале Azure (или через API).

См. дополнительные сведения о том, как интегрировать Центр безопасности Azure с Windows Admin Center.

Защита для Службы Azure Kubernetes

К функциям обеспечения безопасности контейнеров Центра безопасности Azure добавлена защита службы Azure Kubernetes (AKS).

Популярная платформа Kubernetes с открытым исходным кодом используется так широко, что теперь является отраслевым стандартом для оркестрации контейнеров. Несмотря на такую популярность платформы Kubernetes, вопросы ее защиты все еще недостаточно проработаны. Чтобы защитить контейнерное приложение по возможным направлениям атак, требуется обеспечить настройку безопасной конфигурации инфраструктуры и постоянный мониторинг потенциальных угроз.

Защита Центра безопасности включает следующие возможности:

  • Обнаружение и видимость. Это непрерывное обнаружение управляемых экземпляров AKS в подписках, зарегистрированных в Центре безопасности.
  • Рекомендации по безопасности. Это практические рекомендации, которые помогут внедрить лучшие методики обеспечения безопасности для AKS. Они включены в вашу оценку безопасности и поэтому отображаются в сведениях о состоянии безопасности вашей организации. Пример рекомендации, связанной с AKS, — "Управление доступом на основе ролей должно использоваться для ограничения доступа к кластеру служб Kubernetes".
  • Защита от угроз. Благодаря непрерывному анализу развернутой службы AKS Центр безопасности предупреждает об угрозах и вредоносных действиях, обнаруженных на уровне узла и кластера AKS.

См. дополнительные сведения об интеграции Службы Azure Kubernetes с Центром безопасности.

См. дополнительные сведения о возможностях защиты контейнеров в Центре безопасности.

Улучшенный интерфейс для JIT

Возможности, функции и пользовательский интерфейс средств JIT в Центре безопасности Azure, предназначенных для защиты портов управления, усовершенствованы следующим образом.

  • Поле обоснования. При запросе доступа к виртуальной машине через страницу JIT на портале Microsoft Azure предусмотрено новое необязательное поле для ввода обоснования. Сведения, введенные в этом поле, можно отслеживать в журнале действий.
  • Автоматическая очистка избыточных правил JIT. Когда вы обновляете политику JIT, автоматически запускается средство очистки, которое проверяет действительность всего набора правил. Средство ищет несоответствия между правилами в политике и правилами в группе безопасности сети. Если средство очистки обнаруживает несоответствие, оно определяет причину и, когда это можно сделать без угрозы для безопасности, удаляет встроенные правила, которые больше не нужны. Средство очистки никогда не удаляет созданные вами правила.

См. дополнительные сведения о JIT-доступе.

Две рекомендации по безопасности для веб-приложений устарели

Две рекомендации по обеспечению безопасности, связанные с веб-приложениями, объявляются нерекомендуемыми:

  • рекомендация сделать более строгими правила для веб-приложений в группах безопасности сети IaaS (Связанная политика: правила групп безопасности сети для веб-приложений в IaaS должны быть затвердены)

  • рекомендация ограничить доступ к службам приложений (Связанная политика: доступ к Служба приложений должен быть ограничен [предварительная версия])

Эти рекомендации больше не будут отображаться в списке рекомендаций Центра безопасности. Связанные политики больше не будут включаться в инициативу "Центр безопасности — по умолчанию".

Февраль 2020 г.

Обнаружение бесфайловых атак для Linux (предварительная версия)

Злоумышленники все чаще используют более скрытые методы, чтобы избежать обнаружения. Поэтому в Центре безопасности Azure реализована функция обнаружения бесфайловых атак для Linux (в дополнение к Windows). При бесфайловых атаках эксплуатируются уязвимости программного обеспечения и в благоприятные системные процессы вставляются вредоносные полезные данные, которые скрываются в памяти. Эти методы делают следующее:

  • минимизируют или исключают следы вредоносных программ на диске;
  • значительно уменьшают вероятность обнаружения с помощью решений для проверки диска на наличие вредоносных программ.

Чтобы обеспечить противодействие этой угрозе, в октябре 2018 г. в Центре безопасности Azure был представлен компонент обнаружения бесфайловых атак для Windows, а теперь эта возможность добавлена и для Linux.

Январь 2020 г.

Улучшенная оценка безопасности (предварительная версия)

Улучшенная оценка безопасности в Центре безопасности Azure теперь доступна в виде предварительной версии. В этой версии рекомендации группируются в элементы управления безопасностью, которые лучше соответствуют уязвимым направлениям атак (например, ограничивают доступ к портам управления).

Ознакомьтесь с изменениями средств оценки безопасности на этапе предварительной версии и определите другие исправления, которые помогут вам защитить среду.

См. дополнительные сведения об улучшенной оценке безопасности (предварительная версия).

Ноябрь 2019 г.

В ноябре добавлены следующие обновления:

Защита от угроз для Azure Key Vault в регионах Северной Америки (предварительная версия)

Azure Key Vault — это важная служба для защиты данных и улучшения производительности облачных приложений. Она позволяет централизованно управлять ключами, секретами, криптографическими ключами и политиками в облаке. Так как в Azure Key Vault хранятся конфиденциальные и критически важные для бизнеса данные, нужно обеспечить максимальную защиту для хранилищ ключей и содержащихся в них данных.

Поддержка Центром безопасности Azure защиты от угроз для Azure Key Vault обеспечивает дополнительный уровень аналитики безопасности для обнаружения нетипичных и потенциально опасных попыток доступа или использования хранилищ ключей. Этот новый уровень защиты позволяет клиентам устранять угрозы для хранилищ ключей, даже не обладая экспертными знаниями в области безопасности или управления системами мониторинга безопасности. Эта функция предоставляется в общедоступной предварительной версии в регионах Северной Америки.

Защита от угроз для службы хранилища Azure содержит функцию проверки репутации вредоносных программ

Защита от угроз для службы хранилища Azure предусматривает новые возможности обнаружения на базе Microsoft Threat Intelligence. Эти возможности включают обнаружение загрузок вредоносных программ в службу хранилища Azure с помощью анализа репутации хэша и подозрительных попыток доступа с активного выходного узла Tor (прокси-сервер анонимизации). Теперь данные об обнаруженных вредоносных программах в учетных записях хранения можно просматривать в Центре безопасности Azure.

Автоматизация рабочих процессов с помощью Logic Apps (предварительная версия)

Организации, в которых выполняется централизованное управление безопасностью, ИТ-средой и операциями, внедряют внутренние рабочие процессы для выполнения требуемых действий при обнаружении несоответствий в их средах. Во многих случаях эти рабочие процессы являются повторяемыми, и автоматизация может значительно оптимизировать процессы в организации.

Сегодня мы представляем новую возможность в Центре безопасности, которая позволяет клиентам создавать конфигурации для автоматизации с помощью Azure Logic Apps. Клиенты также могут создавать политики, которые будут автоматически запускать эти конфигурации на основе определенных результатов, полученных службой ASC, таких как рекомендации или оповещения. Можно настроить приложение Azure Logic Apps для выполнения любого действия, поддерживаемого обширным сообществом соединителей Logic Apps, или воспользоваться одним из шаблонов Центра безопасности, например для отправки сообщения электронной почты или открытия запроса в ServiceNow™.

Дополнительные сведения о возможностях автоматического и ручного выполнения рабочих процессов в Центре безопасности см. в статье Автоматизация рабочих процессов.

Сведения о создании приложений Logic Apps см. в статье Azure Logic Apps.

Общедоступная функция быстрого исправления множества ресурсов

После Оценки безопасности пользователь получает ряд заданий, что затрудняет эффективное устранение проблем в пределах большого парка ресурсов.

Используйте исправление быстрого исправления для устранения ошибок безопасности, устранения рекомендаций по нескольким ресурсам и повышения оценки безопасности.

Это позволяет выбрать ресурсы, к которым нужно применить исправление, и запустить действие исправления, которое настроит параметр от вашего имени.

В настоящее время функция быстрого исправления является общедоступной для клиентов на странице рекомендаций Центра безопасности.

Сканирование образов контейнеров на наличие уязвимостей (предварительная версия)

Центр безопасности Azure теперь может сканировать образы контейнеров в Реестре контейнеров Azure на уязвимости.

При сканировании образов выполняется анализ файла образа контейнера, который затем проверяется на наличие известных уязвимостей (с помощью решения Qualys).

Само сканирование автоматически запускается при отправке новых образов контейнеров в Реестр контейнеров Azure. Обнаруженные уязвимости отображаются в виде рекомендаций Центра безопасности и добавляются в оценку безопасности вместе со сведениями об их исправлении для сокращения направлений соответствующих атак.

Дополнительные стандарты соответствия нормативным требованиям (предварительная версия)

Панель мониторинга "Соответствие нормативным требованиям" содержит аналитические сведения о вашем соответствии требованиям с учетом оценок, выставленных Центром безопасности. С помощью этой панели мониторинга вы узнаете, насколько ваша среда соответствует механизмам управления и требованиям, обусловленным определенными нормативными и отраслевыми стандартами, а также получите рекомендации по выполнению этих требований.

На сегодняшний день панель мониторинга соответствия нормативным требованиям поддерживает четыре встроенных стандарта: Azure CIS 1.1.0, PCI-DSS, ISO 27001 и SOC-TSP. Теперь мы объявляем общедоступный предварительный выпуск дополнительных поддерживаемых стандартов: NIST SP 800-53 R4, SWIFT CSP CSCF версии 2020, Канада Федеральный PBMM и UK Official вместе с UK NHS. Мы также выпускаем обновленную версию Azure CIS 1.1.0, охватывающую больше средств контроля из стандартной и улучшенной расширяемости.

Дополнительные сведения о настройке набора стандартов на панели мониторинга соответствия нормативным требованиям.

Защита от угроз для Службы Azure Kubernetes

Kubernetes быстро превращается в новый стандарт для развертывания программного обеспечения и управления им в облаке. Немногие могут похвастаться широким опытом работы с Kubernetes, причем пользователи часто фокусируются на общем инжиниринге и администрировании, не уделяя достаточного внимания безопасности. Среду Kubernetes нужно тщательно настроить, чтобы исключить бреши в системе безопасности, которыми могут воспользоваться злоумышленники для своих атак. Поддержка контейнеров с помощью Центра безопасности теперь доступна для одной из наиболее динамично развивающихся служб из семейства Azure: Службы Azure Kubernetes (AKS).

Ниже перечислены новые возможности, доступные в этом выпуске предварительной версии.

  • Обнаружение и видимость. Это непрерывное обнаружение управляемых экземпляров AKS в подписках, зарегистрированных в Центре безопасности.
  • Рекомендации по оценке безопасности. Это действия, которые помогут клиентам обеспечить соответствие рекомендациям по обеспечению безопасности для AKS и повысить оценку безопасности. Пример рекомендации: "Для ограничения доступа к кластеру службы Kubernetes следует использовать управление доступом на основе ролей".
  • Обнаружение угроз. Это аналитика на основе узла и кластера, например "Обнаружен привилегированный контейнер".

Оценка уязвимостей виртуальных машин (предварительная версия)

Приложения, установленные на виртуальных машинах, часто могут иметь уязвимости, что может привести к нарушению безопасности виртуальной машины. Мы объявляем, что уровень "Стандартный" Центра безопасности теперь включает в себя интегрированную оценку виртуальных машин без дополнительной платы. Оценка уязвимостей на платформе Qualys в общедоступной предварительной версии позволяет непрерывно сканировать все установленные приложения на виртуальной машине, чтобы найти уязвимые приложения и представить результаты на портале Центра безопасности. Центр безопасности отвечает за все операции по развертыванию, поэтому пользователю не нужно проделывать лишнюю работу. В дальнейшем мы планируем предоставить варианты оценки уязвимостей, соответствующие уникальным бизнес-потребностям клиентов.

Дополнительные сведения об оценке уязвимостей для виртуальных машин Azure.

Расширенная защита данных для серверов SQL Server на виртуальных машинах Azure (предварительная версия)

Теперь в Центре безопасности Azure доступна предварительная версия механизма поддержки защиты от угроз и оценки уязвимостей для баз данных SQL, запущенных на виртуальных машинах IaaS.

Оценка уязвимостей —это простая в настройке служба, которая может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. Эта служба позволяет получить представление о состоянии безопасности в рамках оценки безопасности и предлагает практические действия для устранения проблем безопасности и усиления защиты базы данных.

Расширенная защита от угроз выявляет подозрительную активность, указывающую на нетипичные и потенциально опасные попытки доступа к серверу SQL Server или его использования. Эта служба непрерывно отслеживает базу данных для выявления подозрительных действий и немедленно создает оповещения системы безопасности об аномальных шаблонах доступа к базам данных. Эти оповещения содержат сведения о подозрительных операциях и рекомендации о том, как исследовать причину угрозы и устранить ее.

Поддержка настраиваемых политик (предварительная версия)

Теперь Центр безопасности Azure поддерживает пользовательские политики (в предварительной версии).

Наши клиенты давно хотели расширить имеющийся диапазон оценок безопасности в Центре безопасности за счет собственных оценок на основе политик, создаваемых в Политике Azure. Это стало возможным благодаря поддержке пользовательских политик.

Эти новые политики станут частью рекомендаций Центра безопасности, Оценки безопасности и панели мониторинга соответствия нормативным требованиям и стандартам. Благодаря поддержке настраиваемых политик теперь можно создать настраиваемую инициативу в Политике Azure, а затем добавить ее как политику в Центре безопасности и визуализировать в качестве рекомендации.

Расширение возможностей Центра безопасности Azure с помощью платформы для членов сообщества и партнеров

Используйте Центр безопасности, чтобы получать рекомендации не только от корпорации Майкрософт, но и из существующих решений партнеров, таких как Check Point, Tenable и CyberArk, а также многих других ожидаемых интеграций. Простой поток подключения Центра безопасности позволяет подключать существующие решения к Центру безопасности, обеспечивая централизованный просмотр рекомендаций по обеспечению безопасности, запуск унифицированных отчетов и использование всех возможностей Центра безопасности в отношении встроенных и партнерских рекомендаций. Кроме того, рекомендации Центра безопасности можно экспортировать в продукты партнеров.

Дополнительные сведения об Ассоциации информационной безопасности Майкрософт.

Расширенные возможности интеграции с экспортом рекомендаций и оповещений (предварительная версия)

Чтобы применять сценарии уровня предприятия вдобавок к Центру безопасности, оповещения и рекомендации Центра безопасности теперь можно использовать в дополнительных местах (за исключением API и портала Azure). Их можно экспортировать непосредственно в рабочие области центра событий и Log Analytics. Например, с помощью этих новых возможностей можно создать такие рабочие процессы:

  • С помощью экспорта в рабочую область Log Analytics можно создавать настраиваемые панели мониторинга в Power BI.
  • С помощью функции экспорта в рабочую область центров событий можно экспортировать оповещения и рекомендации Центра безопасности в сторонние решения SIEM, другое стороннее решение или Azure Data Explorer.

Подключение локальных серверов к Центру безопасности из Windows Admin Center (предварительная версия)

Центра администрирования Windows — это портал управления для серверов с Windows, которые не развернуты в Azure. Он обеспечивает несколько возможностей управления Azure, в частности резервное копирование и обновления системы. Недавно мы добавили возможность подключать эти серверы, которые не относятся к Azure (для их защиты используется служба ASC), непосредственно из Центра администрирования Windows.

Теперь пользователи могут подключить сервер WAC к Центр безопасности Azure и включить просмотр оповещений системы безопасности и рекомендаций непосредственно в интерфейсе Windows Admin Center.

Сентябрь 2019

В сентябре добавлены следующие обновления:

Улучшенное управление правилами с помощью адаптивных элементов управления приложениями

Улучшены возможности управления правилами для виртуальных машин, использующих адаптивные элементы управления приложениями. Адаптивные элементы управления приложениями в Центре безопасности Azure помогают контролировать, какие приложения могут запускаться на виртуальных машинах. Помимо общего улучшения управления правилами, новое преимущество позволяет контролировать, какие типы файлов будут защищены при добавлении нового правила.

Дополнительные сведения об адаптивных элементах управления приложениями.

Управление рекомендациями по безопасности контейнеров с помощью Политики Azure

Рекомендации Центра безопасности Azure по исправлению уязвимостей в безопасности контейнеров теперь можно включить или отключить с помощью Политики Azure.

Чтобы просмотреть включенные политики безопасности, в Центре безопасности откройте страницу "Политика безопасности".

Август 2019

В августе добавлены следующие обновления:

JIT-доступ к виртуальным машинам для Брандмауэра Azure

Теперь JIT-доступ к виртуальным машинам для Брандмауэра Azure является общедоступным. Используйте его для обеспечения безопасности сред, защищенных с помощью Брандмауэра Azure, в дополнение к средам, защищенным с помощью группы безопасности сети.

JIT-доступ к виртуальным машинам снижает вероятность объемных атак на сеть, обеспечивая управляемый доступ к виртуальным машинам, предоставляемый только по необходимости, с помощью правил группы безопасности сети и Брандмауэра Azure.

Чтобы обеспечить JIT-доступ для виртуальной машины, нужно создать политику, которая определяет защищенные порты, указать, в течение какого периода порты остаются открытыми, и задать защищенные IP-адреса для осуществления доступа к портам. Эта политика позволяет контролировать действия пользователей, если они отправили запрос на доступ.

Запросы регистрируются в журнале действий Azure, что упрощает мониторинг и аудит доступа. Страница JIT-доступа также позволяет быстро выявить существующие виртуальные машины, для которых он включен и для которых рекомендуется.

Ознакомьтесь с дополнительными сведениями о Брандмауэре Azure.

Исправление одним щелчком для повышения безопасности (предварительная версия)

Оценка безопасности —это средство, с помощью которого можно оценить состояние безопасности рабочей нагрузки. Оно проверяет ваши рекомендации по безопасности и автоматически назначает для них приоритеты, поэтому вы знаете, какие рекомендации выполнять в первую очередь. Это поможет определить, какие уязвимости в системе безопасности являются наиболее серьезными и приоритетными для анализа.

Чтобы упростить исправление ошибок в конфигурации безопасности и помочь вам быстро повысить оценку безопасности, мы добавили новую возможность, которая позволяет применить рекомендацию к множеству ресурсов одним щелчком мыши.

Это позволяет выбрать ресурсы, к которым нужно применить исправление, и запустить действие исправления, которое настроит параметр от вашего имени.

Управление в нескольких клиентах

Центр безопасности теперь поддерживает сценарии управления несколькими клиентами в рамках Azure Lighthouse. Это обеспечивает визуальный контроль и позволяет управлять уровнем безопасности нескольких клиентов в Центре безопасности.

Дополнительные сведения об интерфейсах межклиентского управления.

Июль 2019 г.

Обновления рекомендаций для сети

В Центре безопасности Azure добавлены новые рекомендации по работе с сетью и усовершенствованы существующие. Теперь использование Центра безопасности обеспечивает еще более высокий уровень сетевой защиты для ваших ресурсов.

2019 июня

Адаптивная защита сети — общедоступная версия

Одно из наиболее распространенных направлений атак для рабочих нагрузок в общедоступном облаке — входящее и исходящее подключения к общедоступному Интернету. Нашим клиентам не всегда понятно, какие правила группы безопасности сети (NSG) нужно применять, чтобы рабочие нагрузки Azure были доступны только для необходимых исходных диапазонов. С помощью этой функции Центр безопасности изучает сетевой трафик и шаблоны подключений рабочих нагрузок Azure и предоставляет рекомендации правил NSG для подключенных к Интернету виртуальных машин. Благодаря этому клиенты могут применять более эффективные политики доступа к сети и снижать вероятность атак.