你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Defender for Cloud 建议、警报和事件的最近更新
本文汇总了有关 Microsoft Defender for Cloud 中的安全建议、警报和事件的最近更新。 它包括新的、已修改的和已弃用的建议和警报的相关信息。
此页会使用 Defender for Cloud 中的最新建议和警报进行定期更新。
在 Defender for Cloud 功能新增内容中了解新的和更新的 Defender for Cloud 功能的最新相关信息。
在新增功能存档中查找 6 个月之前的内容。
提示
通过将以下 URL 复制并粘贴到源阅读器中,可以在页面更新时收到通知:
https://aka.ms/mdc/rss-recommendations-alerts
建议、警报和事件更新
新的和已更新的建议、警报和事件将按日期顺序添加到表中。
| 日期 | 类型 | State | Name |
|---|---|---|---|
| 10 月 30 日 | 建议 | 即将弃用 | MFA 建议已弃用,因为 Azure 现在需要它。 将弃用以下建议: * 对 Azure 资源具有读取权限的帐户应启用 * MFA 对 Azure 资源具有写入权限的帐户应启用 * MFA 对 Azure 资源具有所有者权限的帐户应启用 |
| 10 月 12 日 | 建议 | GA | Azure Database for PostgreSQL 灵活服务器应启用仅 Microsoft Entra 身份验证 |
| 9 月 10 日 | Alert | 预览 | 损坏的 AI 应用程序\模型\数据将钓鱼企图指向用户 |
| 9 月 10 日 | Alert | 预览 | AI 应用程序中共享的网络钓鱼 URL |
| 9 月 10 日 | Alert | 预览 | AI 应用程序中检测到的网络钓鱼尝试 |
| 9 月 5 日 | 建议 | GA | 应在计算机上安装系统更新(由 Azure 更新管理器提供支持) |
| 9 月 5 日 | 建议 | GA | 计算机应配置为定期检查,以确认缺少的系统更新 |
| 8 月 15 日 | Incident | 即将弃用 | 预计更改日期:2024 年 9 月 15 日 安全事件检测到异常的地理位置活动(预览) 安全事件检测到可疑的应用服务活动(预览) 安全事件检测到可疑的 Key Vault 活动(预览) 安全事件检测到可疑的 Azure 工具包活动(预览版) 在同一资源上检测到安全事件(预览版) 安全事件检测到可疑的 IP 活动(预览) 安全事件检测到可疑的用户活动(预览) 安全事件检测到可疑的服务主体活动(预览) 安全事件检测到可疑的 SAS 活动(预览) 安全事件检测到可疑的帐户活动(预览版) 安全事件检测到可疑的加密挖掘活动(预览) 安全事件检测到可疑的无文件攻击活动(预览) 安全事件检测到可疑的 Kubernetes 群集活动(预览) 安全事件检测到可疑的存储活动(预览) 安全事件检测到可疑的加密挖掘活动(预览) 安全事件检测到可疑的数据外泄活动(预览) 安全事件检测到可疑的 Kubernetes 群集活动(预览) 安全事件检测到可疑 DNS 活动(预览版) 安全事件检测到可疑 SQL 活动(预览版) 安全事件检测到可疑的 DDOS 活动(预览) |
| 9 月 29 日 | 建议 | 更新 | [预览]在 GCP 中运行的容器应解决漏洞问题 |
| 9 月 29 日 | 建议 | 更新 | [预览]在 AWS 中运行的容器应解决漏洞问题 |
| 9 月 29 日 | 建议 | 更新 | [预览]在 Azure 中运行的容器应解决漏洞问题 |
| 8 月 12 日 | 建议 | 即将弃用 | 应在计算机上启用文件完整性监视预计弃用时间:2024 年 8 月 |
| 8 月 11 日 | 建议 | 即将弃用 | 应删除 Azure 环境中的超级标识,应删除 GCP 环境中的超级标识,估计弃用:2024 年 9 月 |
| 8 月 2 日 | 建议 | 预览 | Azure DevOps 项目应禁用经典管道的创建 |
| 8 月 2 日 | 建议 | 预览 | GitHub 组织应阻止与公共代码匹配的 Copilot 建议 |
| 8 月 2 日 | 建议 | 预览 | GitHub 组织应针对外部协作者强制实施多重身份验证 |
| 8 月 2 日 | 建议 | 预览 | GitHub 存储库要求代码推送至少有两名审阅者审批 |
| 7 月 31 日 | 建议 | 预览 | 特权角色不应在订阅和资源组级别拥有永久访问权限 |
| 7 月 31 日 | 建议 | 预览 | 不应在订阅和资源组级别为服务主体分配管理角色 |
| 7 月 31 日 | 建议 | 更新 | Azure AI 服务资源应使用 Azure 专用链接 |
| 7 月 31 日 | 建议 | GA | [应在虚拟机上安装 EDR 解决方案](recommendations-reference-compute.md#edr-solution-should-be-installed-on-virtual-machineshttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey06e3a6db-6c0c-4ad9-943f-31d9d73ecf6c) |
| 7 月 31 日 | 建议 | GA | [应在 EC2 上安装 EDR 解决方案](recommendations-reference-compute.md#edr-solution-should-be-installed-on-ec2shttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey77d09952-2bc2-4495-8795-cc8391452f85) |
| 7 月 31 日 | 建议 | GA | [应在 GCP 虚拟机上安装 EDR 解决方案](recommendations-reference-compute.md#edr-solution-should-be-installed-on-gcp-virtual-machineshttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey68e595c1-a031-4354-b37c-4bdf679732f1) |
| 7 月 31 日 | 建议 | GA | [应在虚拟机上解决 EDR 配置问题](recommendations-reference-compute.md#edr-configuration-issues-should-be-resolved-on-virtual-machineshttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeydc5357d0-3858-4d17-a1a3-072840bff5be) |
| 7 月 31 日 | 建议 | GA | [应在 EC2 上解决 EDR 配置问题](recommendations-reference-compute.md#edr-configuration-issues-should-be-resolved-on-ec2shttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey695abd03-82bd-4d7f-a94c-140e8a17666c) |
| 7 月 31 日 | 建议 | GA | [应在 GCP 虚拟机上解决 EDR 配置问题](recommendations-reference-compute.md#edr-configuration-issues-should-be-resolved-on-gcp-virtual-machineshttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeyf36a15fb-61a6-428c-b719-6319538ecfbc) |
| 7 月 31 日 | 建议 | 即将弃用 | 应在面向 Internet 的虚拟机上应用自适应网络强化建议 |
| 7 月 31 日 | 警报 | 即将弃用 | 检测到来自建议阻止的 IP 地址的流量 |
| 7 月 30 日 | 建议 | 预览 | AWS Bedrock 应使用 AWS PrivateLink |
| 7 月 22 日 | 建议 | 更新 | (需要时启用)Azure AI 服务资源应使用客户管理的密钥 (CMK) 加密静态数据 |
| 6 月 28 日 | 建议 | GA | Azure DevOps 存储库要求代码推送至少有两名审阅者审批 |
| 6 月 28 日 | 建议 | GA | Azure DevOps 存储库不得允许请求者对自己的拉取请求进行审批 |
| 6 月 28 日 | 建议 | GA | GitHub 组织不应让所有存储库都可以访问操作机密 |
| 6 月 27 日 | Alert | 弃用 | Security incident detected suspicious source IP activity严重性:中/高 |
| 6 月 27 日 | Alert | 弃用 | Security incident detected on multiple resources严重性:中/高 |
| 6 月 27 日 | Alert | 弃用 | Security incident detected compromised machine严重性:中/高 |
| 6 月 27 日 | Alert | 弃用 | Security incident detected suspicious virtual machines activity严重性:中/高 |
| 5 月 30 日 | 建议 | GA | Linux 虚拟机应启用 Azure 磁盘加密 (ADE) 或 EncryptionAtHost。 评估密钥 a40cc620-e72c-fdf4-c554-c6ca2cd705c0 |
| 5 月 30 日 | 建议 | GA | Windows 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost。 评估密钥 0cb5f317-a94b-6b80-7212-13a9cc8826af |
| 5 月 28 日 | 建议 | GA | 应安全配置计算机(由 MDVM 提供支持) |
| 5 月 1 日 | 建议 | 即将弃用 | 应在计算机上安装系统更新。 预计弃用时间:2024 年 7 月。 |
| 5 月 1 日 | 建议 | 即将弃用 | 应在虚拟机规模集上安装系统更新。 预计弃用时间:2024 年 7 月。 |
| 5 月 1 日 | 建议 | 即将弃用 | 应在基于 Windows 已启用 Azure Arc 的计算机上安装日志分析代理 预计弃用时间:2024 年 7 月 |
| 5 月 1 日 | 建议 | 即将弃用 | 应在虚拟机规模集上安装 Log Analytics 代理 预计弃用时间:2024 年 7 月 |
| 5 月 1 日 | 建议 | 即将弃用 | 订阅应启用 Log Analytics 代理自动预配 预计弃用时间:2024 年 7 月 |
| 5 月 1 日 | 建议 | 即将弃用 | 应在虚拟机上安装 Log Analytics 代理 预计弃用时间:2024 年 7 月 |
| 5 月 1 日 | 建议 | 即将弃用 | 应在计算机中启用自适应应用程序控制以定义安全应用程序 预计弃用时间:2024 年 7 月 |
| 4 月 18 日 | Alert | 弃用 | Fileless attack toolkit detected (VM_FilelessAttackToolkit.Windows)Fileless attack technique detected (VM_FilelessAttackTechnique.Windows)Fileless attack behavior detected (VM_FilelessAttackBehavior.Windows)Fileless Attack Toolkit Detected (VM_FilelessAttackToolkit.Linux)Fileless Attack Technique Detected (VM_FilelessAttackTechnique.Linux)Fileless Attack Behavior Detected (VM_FilelessAttackBehavior.Linux)Windows 和 Linux VM 的无文件攻击警报将停止。 这些警报转而将由 Defender for Endpoint 生成。 如果已在 Defender for Servers 中启用 Defender for Endpoint 集成,则你无需执行任何操作。 2024 年 5 月,警报量可能会减少,但仍会受到保护。 如果当前未启用集成,请启用它来维护和改进警报覆盖范围。 所有 Defender for Server 客户都可以访问 Defender for Endpoint 集成的完整价值,无需额外付费。 了解详细信息。 |
| 4 月 3 日 | 建议 | 即将弃用 | 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流 |
| 4 月 3 日 | 建议 | 预览 | Azure 注册表中的容器映像应解决漏洞问题(预览) |
| 4 月 3 日 | 建议 | 预览 | 在 Azure 中运行的容器应解决漏洞问题(预览) |
| 4 月 3 日 | 建议 | 预览 | AWS 注册表中的容器映像应解决漏洞问题(预览) |
| 4 月 3 日 | 建议 | 预览 | 在 AWS 中运行的容器应解决漏洞问题(预览) |
| 4 月 3 日 | 建议 | 预览 | GCP 注册表中的容器映像应解决漏洞问题(预览) |
| 4 月 3 日 | 建议 | 预览 | 在 GCP 中运行的容器应解决漏洞问题(预览) |
| 4 月 2 日 | 建议 | 即将弃用 | 应将虚拟机迁移到新的 Azure 资源管理器资源。 由于这些资源不再存在,因此不起作用。 预计时间:2024 年 7 月 30 日 |
| 4 月 2 日 | 建议 | 更新 | Azure AI 服务应限制网络访问。 |
| 4 月 2 日 | 建议 | 更新 | Azure AI Services 应禁用密钥访问权限(禁用本地身份验证)。 |
| 4 月 2 日 | 建议 | 更新 | 应启用 Azure AI 服务中的诊断日志。 |
| 4 月 2 日 | 建议 | 弃用 | 应为认知服务帐户禁用公用网络访问。 |
| 4 月 2 日 | 建议 | GA | Azure 注册表容器映像应已解决漏洞问题 |
| 4 月 2 日 | 建议 | 弃用 | 应为认知服务帐户禁用公用网络访问 |
| 4 月 2 日 | 建议 | GA | 运行容器映像的 Azure 应已解决漏洞问题 |
| 4 月 2 日 | 建议 | GA | AWS 注册表容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) |
| 4 月 2 日 | 建议 | GA | AWS 运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) |
| 4 月 2 日 | 建议 | GA | GCP 注册表容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) |
| 4 月 2 日 | 建议 | GA | GCP 运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) |
| 3 月 28 日 | 建议 | 近期 | Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost(评估密钥 a40cc620-e72c-fdf4-c554-c6ca2cd705c0) |
| 3 月 28 日 | 建议 | 近期 | Windows 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost(评估密钥 0cb5f317-a94b-6b80-7212-13a9cc8826af) 统一磁盘加密建议将于 2024 年 4 月在 Azure 公有云中正式发布,取代“虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流”建议。 |
| 3 月 18 日 | 建议 | GA | 应在虚拟机上安装 EDR 解决方案 |
| 3 月 18 日 | 建议 | GA | 应在虚拟机上解决 EDR 配置问题 |
| 3 月 18 日 | 建议 | GA | 应在 EC2 上解决 EDR 配置问题 |
| 3 月 18 日 | 建议 | GA | 应在 EC2 上安装 EDR 解决方案 |
| 3 月 18 日 | 建议 | GA | 应在 GCP 虚拟机上解决 EDR 配置问题 |
| 3 月 18 日 | 建议 | GA | 应在 GCP 虚拟机上安装 EDR 解决方案 |
| 3 月末 | 建议 | 弃用 | 应在计算机上安装 Endpoint Protection。 |
| 3 月末 | 建议 | 弃用 | 应在计算机上解决 Endpoint Protection 运行状况问题 |
| 3 月 5 日 | 建议 | 弃用 | 应调查帐户中的过度预配标识,以减少权限蠕变索引 (PCI) |
| 3 月 5 日 | 建议 | 弃用 | 应调查订阅中的过度预配标识,以减少权限蠕变指数 (PCI) |
| 2 月 20 日 | 建议 | 近期 | Azure AI 服务资源应限制网络访问 |
| 2 月 20 日 | 建议 | 近期 | Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) |
| 2 月 12 日 | 建议 | 弃用 | Public network access should be disabled for Cognitive Services accounts。 预计弃用时间:2024 年 3 月 14 日 |
| 2 月 8 日 | 建议 | 预览 | (预览)Azure Stack HCI 服务器应满足安全核心要求 |
| 2 月 8 日 | 建议 | 预览 | (预览版)Azure Stack HCI 服务器应一致地强制实施应用程序控制策略 |
| 2 月 8 日 | 建议 | 预览 | (预览版)Azure Stack HCI 系统应具有加密卷 |
| 2 月 8 日 | 建议 | 预览 | (预览版)主机和 VM 网络应在 Azure Stack HCI 系统上受保护 |
| 2 月 1 日 | 建议 | 近期 | 应在虚拟机上安装 EDR 解决方案 应在虚拟机上解决 EDR 配置问题 应在 EC2 上安装 EDR 解决方案 应在 EC2 上解决 EDR 配置问题 应在 GCP 虚拟机上解决 EDR 配置问题 应在 GCP 虚拟机上安装 EDR 解决方案。 |
| 1 月 25 日 | 警报(容器) | 弃用 | Anomalous pod deployment (Preview) (K8S_AnomalousPodDeployment) |
| 1 月 25 日 | 警报(容器) | 弃用 | Excessive role permissions assigned in Kubernetes cluster (Preview) (K8S_ServiceAcountPermissionAnomaly) |
| 1 月 25 日 | 警报(容器) | 弃用 | Anomalous access to Kubernetes secret (Preview) (K8S_AnomalousSecretAccess) |
| 1 月 25 日 | 警报(Windows 计算机) | 更新到“信息性” | Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlWindowsViolationAudited) |
| 1 月 25 日 | 警报(Windows 计算机) | 更新到“信息性” | Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlLinuxViolationAudited) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | Attempt to create a new Linux namespace from a container detected (K8S.NODE_NamespaceCreation) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | Attempt to stop apt-daily-upgrade.timer service detected (K8S.NODE_TimerServiceDisabled) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | Command within a container running with high privileges (K8S.NODE_PrivilegedExecutionInContainer) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | Container running in privileged mode (K8S.NODE_PrivilegedContainerArtifacts) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | Container with a sensitive volume mount detected (K8S_SensitiveMount) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | Creation of admission webhook configuration detected (K8S_AdmissionController) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | Detected suspicious file download (K8S.NODE_SuspectDownloadArtifacts) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | Docker build operation detected on a Kubernetes node (K8S.NODE_ImageBuildOnNode) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | New container in the kube-system namespace detected (K8S_KubeSystemContainer) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | New high privileges role detected (K8S_HighPrivilegesRole) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | Privileged container detected (K8S_PrivilegedContainer) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | Process seen accessing the SSH authorized keys file in an unusual way (K8S.NODE_SshKeyAccess) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | Role binding to the cluster-admin role detected (K8S_ClusterAdminBinding) |
| 1 月 25 日 | 警报(容器) | 更新到“信息性” | SSH server is running inside a container (K8S.NODE_ContainerSSH) |
| 1 月 25 日 | 警报 (DNS) | 更新到“信息性” | Communication with suspicious algorithmically generated domain (AzureDNS_DomainGenerationAlgorithm) |
| 1 月 25 日 | 警报 (DNS) | 更新到“信息性” | Communication with suspicious algorithmically generated domain (DNS_DomainGenerationAlgorithm) |
| 1 月 25 日 | 警报 (DNS) | 更新到“信息性” | Communication with suspicious random domain name (Preview) (DNS_RandomizedDomain) |
| 1 月 25 日 | 警报 (DNS) | 更新到“信息性” | Communication with suspicious random domain name (AzureDNS_RandomizedDomain) |
| 1 月 25 日 | 警报 (DNS) | 更新到“信息性” | Communication with possible phishing domain (AzureDNS_PhishingDomain) |
| 1 月 25 日 | 警报 (DNS) | 更新到“信息性” | Communication with possible phishing domain (Preview) (DNS_PhishingDomain) |
| 1 月 25 日 | 警报(Azure 应用服务) | 更新到“信息性” | NMap scanning detected (AppServices_Nmap) |
| 1 月 25 日 | 警报(Azure 应用服务) | 更新到“信息性” | Suspicious User Agent detected (AppServices_UserAgentInjection) |
| 1 月 25 日 | 警报(Azure 网络层) | 更新到“信息性” | Possible incoming SMTP brute force attempts detected (Generic_Incoming_BF_OneToOne) |
| 1 月 25 日 | 警报(Azure 网络层) | 更新到“信息性” | Traffic detected from IP addresses recommended for blocking (Network_TrafficFromUnrecommendedIP) |
| 1 月 25 日 | 警报(Azure 资源管理器) | 更新到“信息性” | Privileged custom role created for your subscription in a suspicious way (Preview)(ARM_PrivilegedRoleDefinitionCreation) |
| 1 月 4 日 | 建议 | 预览 | 认知服务帐户应禁用本地身份验证方法 Microsoft 云安全基准 |
| 1 月 4 日 | 建议预览 | 认知服务应使用专用链接 Microsoft 云安全基准 |
|
| 1 月 4 日 | 建议 | 预览 | 虚拟机和虚拟机规模集应启用主机中加密 Microsoft 云安全基准 |
| 1 月 4 日 | 建议 | 预览 | Azure Cosmos DB 应禁用公用网络访问 Microsoft 云安全基准 |
| 1 月 4 日 | 建议 | 预览 | Cosmos DB 帐户应使用专用链接 Microsoft 云安全基准 |
| 1 月 4 日 | 建议 | 预览 | VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 Microsoft 云安全基准 |
| 1 月 4 日 | 建议 | 预览 | Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 Microsoft 云安全基准 |
| 1 月 4 日 | 建议 | 预览 | Azure SQL 托管实例应禁用公用网络访问 Microsoft 云安全基准 |
| 1 月 4 日 | 建议 | 预览 | 存储帐户应阻止共享密钥访问 Microsoft 云安全基准 |
| 12 月 14 日 | 建议 | 预览 | Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) 使用 Microsoft Defender 漏洞管理对 Linux 容器映像进行漏洞评估。 |
| 12 月 14 日 | 建议 | GA | Azure 运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) 使用 Microsoft Defender 漏洞管理对 Linux 容器映像进行漏洞评估。 |
| 12 月 14 日 | 建议 | 重命名 | 新:Azure 注册表容器映像应该已解决漏洞(由 Qualys 提供支持)。 使用 Qualys 对容器映像的进行漏洞评估。 旧:容器注册表映像应已解决漏洞结果(由 Qualys 提供技术支持) |
| 12 月 14 日 | 建议 | 重命名 | 新:Azure 正在运行的容器映像应该已解决漏洞(由 Qualys 提供支持) 使用 Qualys 对容器映像的进行漏洞评估。 旧:运行容器映像应已解决漏洞结果(由 Qualys 提供支持) |
| 12 月 4 日 | Alert | 预览 | Malicious blob was downloaded from a storage account (Preview)MITRE 策略:横向移动 |
相关内容
有关新增功能的信息,请参阅 Defender for Cloud 功能新增内容。