Defender для облака-What's new archive

На этой странице представлены сведения о функциях, исправлениях и устаревших функциях, которые старше шести месяцев. Последние обновления см. в статье "Новые возможности" Defender для облака?.

Июнь 2025 г.

Защитник для обнаружения DNS контейнеров на основе Helm (предварительная версия)

Включено:

• Поддержка развертывания на основе Helm

  Инструкции по настройке и дополнительные сведения см. в разделе "Установка датчика Defender для контейнеров" с помощью Helm.

• Обнаружение угроз DNS

  Повышает эффективность памяти и снижает потребление ЦП для развертываний больших кластеров.

Дополнительные сведения см. в разделе "Датчик для защитника для контейнеров" в журнале изменений.

Необязательные теги индекса для хранения результатов сканирования вредоносных программ (предварительная версия)

25 июня 2025 г.

Защитник для хранилища с проверкой на наличие вредоносных программ вводит необязательные индексы тегов для сканирования как при загрузке, так и по запросу. С помощью этой новой возможности пользователи могут выбрать, следует ли публиковать результаты в тегах индекса большого двоичного объекта при сканировании большого двоичного объекта (по умолчанию) или не использовать теги индекса. Теги индекса можно включить или отключить на уровне подписки и учетной записи хранения на портале Azure или через API.

Обнаружение и безопасность API для API, размещенных в приложениях-функциях и Logic Apps (предварительная версия)

25 июня 2025 г.

Defender для облака теперь расширяет возможности обнаружения и защиты API для включения API, размещенных в приложениях-функциях Azure и Logic Apps, в дополнение к существующей поддержке API, опубликованных в службе "Управление API Azure".

Это улучшение позволяет группам безопасности предоставлять комплексное и непрерывно обновленное представление о области атак API своей организации. Ключевые возможности:

• Централизованная инвентаризация API: автоматически обнаруживайте и каталоги API в поддерживаемых службах Azure.
• Оценки рисков безопасности. Определение и приоритет рисков, включая идентификацию неактивных API, которые могут гарантировать удаление, а также незашифрованные API, которые могут предоставлять конфиденциальные данные.

Эти возможности автоматически доступны всем клиентам Defender для управления состоянием безопасности в облаке (DCSPM), которые включили расширение управления позицией безопасности API.

Временная шкала развертывания: развертывание этих обновлений начнется 25 июня 2025 г. и, как ожидается, достигнет всех поддерживаемых регионов в течение одной недели.

Мониторинг целостности файлов без агента (предварительная версия)

25 июня 2025 г.

Мониторинг целостности файлов без агента (FIM) теперь доступен в предварительной версии. Эта возможность дополняет общедоступное решение FIM на основе агента Microsoft Defender для конечной точки и предоставляет поддержку пользовательского мониторинга файлов и реестра.

Без агента FIM позволяет организациям отслеживать изменения файлов и реестра в своей среде без развертывания других агентов. Он предоставляет упрощенную масштабируемую альтернативу при сохранении совместимости с существующим решением на основе агента.

Ключевые возможности:

• Пользовательский мониторинг: соблюдение конкретных требований к соответствию и безопасности путем определения и мониторинга пользовательских путей к файлам и разделов реестра.
• Унифицированный интерфейс: события из FIM без агента и на основе MDE хранятся в одной таблице рабочей области с четкими исходными индикаторами.

Узнайте больше о мониторинге целостности файлов и о включении мониторинга целостности файлов.

Сканирование кода без использования агентов — поддержка GitHub и настраиваемое покрытие теперь доступны (предварительный просмотр)

18 июня 2025 г.

Мы обновили функцию сканирования кода без агента, чтобы включить ключевые возможности, которые расширяют охват и контроль. К этим обновлениям относятся:

• Поддержка репозиториев GitHub в дополнение к Azure DevOps
• Настраиваемый выбор сканера — выберите инструменты (например, Bandit, Checkov, ESLint) для запуска
• Подробная настройка области применения — включить или исключить определённые организации, проекты или репозитории

Безагентное сканирование обеспечивает масштабируемое обеспечение безопасности кодов и инфраструктуры как кода (IaC), не требуя изменений в процессах CI/CD. Она помогает командам безопасности обнаруживать уязвимости и неправильно настроенные конфигурации без прерывания рабочих процессов разработчиков.

Дополнительные сведения о настройке сканирования кода без агента в Azure DevOps или GitHub.

Май 2025 г.

Общая доступность для настраиваемых фильтров сканирования вредоносных программ, которые активируются при загрузке, в Defender для хранилища

28 мая 2025 г.

Сканирование вредоносных программ при отправке теперь поддерживает настраиваемые фильтры. Пользователи могут задавать правила исключения для сканирования на вирусы при загрузке, основанные на префиксах путей и суффиксах BLOB-объектов, а также на их размере. Исключив определенные пути и типы блобов, такие как журналы или временные файлы, можно избежать ненужных проверок и тем самым снизить затраты.

Узнайте, как настроить настраиваемые фильтры сканирования вредоносных программ при отправке.

Активный пользователь (общедоступная предварительная версия)

Функция "Активный пользователь" помогает администраторам безопасности быстро определять и назначать рекомендации наиболее соответствующим пользователям на основе недавнего действия уровня управления. Для каждой рекомендации предлагается до трех потенциальных активных пользователей на уровне ресурса, группы ресурсов или подписки. Администраторы могут выбрать пользователя из списка, назначить рекомендацию и задать дату выполнения— активацию уведомления назначенному пользователю. Это упрощает рабочие процессы исправления, сокращает время исследования и повышает общую позицию безопасности.

Общая доступность Defender для AI-сервисов

1 мая 2025 г.

Defender для облака теперь поддерживает защиту среды выполнения для служб ИИ Azure (ранее называемых защитой от угроз для рабочих нагрузок ИИ).

Защита службы Azure AI охватывает угрозы, специфичные для служб и приложений ИИ, такие как взлом, злоупотребление ресурсами, утечка данных, подозрительный доступ и многое другое. В обнаружениях используются сигналы от Microsoft Threat Intelligence и защитные меры ИИ Azure, и применяют машинное обучение и ИИ для обеспечения безопасности ваших служб ИИ.

Узнайте больше о Defender для служб ИИ.

Microsoft Security Copilot теперь общедоступен в Defender для облака

1 мая 2025 г.

Microsoft Security Copilot теперь общедоступен в Defender для облака.

Security Copilot ускоряет устранение рисков для команд по безопасности, делая работу администраторов с облачными рисками быстрее и проще. Он предоставляет ИИ-сгенерированные сводки, корректирующие действия и письма по делегированию, которые направляют пользователей на каждом этапе процесса снижения риска.

Администраторы безопасности могут быстро суммировать рекомендации, создавать скрипты исправления и делегировать задачи с помощью электронной почты владельцам ресурсов. Эти возможности сокращают время исследования, помогают командам безопасности понимать риски в контексте и определять ресурсы для быстрого исправления.

Дополнительные сведения о Microsoft Security Copilot см. в Defender для облака.

Панель мониторинга безопасности для общедоступных данных и искусственного интеллекта

1 мая 2025 г.

Defender для облака улучшает панель мониторинга безопасности данных, включая безопасность ИИ в новой панели мониторинга безопасности данных и ИИ, доступной в стадии общего доступа. Панель мониторинга предоставляет централизованную платформу для мониторинга данных и ресурсов искусственного интеллекта и управления ими, а также связанных с ними рисков и состояния защиты.

Ключевыми преимуществами панели мониторинга безопасности данных и ИИ являются следующие:

• Единое представление: получение комплексного представления всех организационных данных и ресурсов искусственного интеллекта.
• Аналитика данных. Сведения о том, где хранятся данные, и типы ресурсов, содержащих их.
• Покрытие защиты: оцените покрытие защиты ваших данных и ресурсов искусственного интеллекта.
• Критические проблемы: выделение ресурсов, требующих немедленного внимания на основе рекомендаций высокого уровня серьезности, оповещений и путей атак.
• Обнаружение конфиденциальных данных: поиск и сводка ресурсов конфиденциальных данных в облачных и искусственных интеллектах.
• Рабочие нагрузки ИИ: обнаружение следов приложений ИИ, включая службы, контейнеры, наборы данных и модели.

Дополнительные сведения о панели мониторинга безопасности данных и искусственного интеллекта.

CsPM Defender начинает выставление счетов для гибкого сервера Базы данных Azure для MySQL и ресурсов гибкого сервера Базы данных Azure для PostgreSQL

1 мая 2025 г.

Предполагаемая дата изменения: Июнь 2025 г.

Начиная с 1 июня 2025 г. Microsoft Defender CSPM начнет взимать плату за ресурсы гибкого сервера Azure Database для MySQL и гибкого сервера Azure Database для PostgreSQL в вашей подписке, в которой включен Defender CSPM. Эти ресурсы уже защищены CSPM Defender, и никаких действий пользователя не требуется. После начала выставления счетов счет может увеличиться.

Дополнительные сведения см. в разделе о ценах на план CSPM

Апрель 2025 г.

Управление состоянием ИИ в GCP Vertex AI (предварительная версия)

29 апреля 2025 г.

Функции управления безопасностью ИИ в Defender для облака теперь поддерживают рабочие нагрузки ИИ в Google Cloud Platform (GCP) Vertex AI (предварительная версия).

К ключевым функциям этого выпуска относятся:

• Обнаружение современных приложений ИИ: автоматическое обнаружение и каталог компонентов приложений ИИ, данных и артефактов ИИ, развернутых в GCP Vertex AI.
• Укрепление системы безопасности: обнаружение неправильных конфигураций и получение встроенных рекомендаций и действий по исправлению для повышения уровня безопасности приложений ИИ.
• Анализ пути атаки. Определение и устранение рисков с помощью расширенного анализа пути атаки для защиты рабочих нагрузок ИИ от потенциальных угроз.

Эти функции предназначены для обеспечения комплексной видимости, обнаружения неправильной настройки и защиты ресурсов ИИ, обеспечивая снижение рисков для рабочих нагрузок ИИ, разработанных на платформе GCP Vertex AI.

Узнайте больше об управлении безопасностью ИИ.

Интеграция Defender для облака с Mend.io (предварительная версия)

29 апреля 2025 г.

Defender для облака теперь интегрирован с Mend.io в предварительной версии. Эта интеграция повышает безопасность приложений программного обеспечения путем выявления и устранения уязвимостей в зависимостях партнеров. Эта интеграция упрощает процессы обнаружения и исправления, повышая общую безопасность.

Дополнительные сведения об интеграции Mend.io.

Обновление разрешений приложения GitHub

29 апреля 2025 г.

Соединители GitHub в Defender для облака будут обновлены, чтобы включить разрешения администратора для [настраиваемых свойств]. Это разрешение используется для предоставления новых возможностей контекстуализации и ограничивается управлением схемой настраиваемых свойств. Разрешения можно предоставить двумя разными способами:

1. В организации GitHub перейдите к приложениям Microsoft Security DevOps в разделе "Параметры > GitHub Apps" и примите запрос на разрешения.

2. В автоматическом сообщении электронной почты из службы поддержки GitHub выберите "Проверить запрос на разрешение", чтобы принять или отклонить это изменение.

Примечание. Существующие соединители продолжают работать без новых функциональных возможностей, если указанные выше действия не выполняются.

Обновление Defender для серверов SQL на устройствах

28 апреля 2025 г.

План Defender для SQL Server на компьютерах в Microsoft Defender для Облака защищает экземпляры SQL Server, размещенные в Azure, AWS, GCP и локальных компьютерах.

Начиная с сегодняшнего дня, мы постепенно выпускаем улучшенное решение для агентов в рамках плана. Решение на основе агента устраняет необходимость развертывания агента Azure Monitor (AMA) и вместо этого использует существующую инфраструктуру SQL. Решение предназначено для упрощения процесса подключения и улучшения покрытия защиты.

Обязательные действия клиента:

1. Обновление Defender для SQL Server на компьютерах: Клиенты, которые активировали Defender для SQL Server на компьютерах до текущего дня, должны выполнить следующие инструкции по обновлению конфигурации после обновления агента.

2. Проверьте состояние защиты экземпляров SQL Server: с предполагаемой датой начала мая 2025 года клиенты должны проверить состояние защиты экземпляров SQL Server в их средах. Узнайте, как устранять любые проблемы с развертыванием и конфигурацией Defender для SQL на компьютерах.

Новый порог по умолчанию для проверки вредоносных программ в Microsoft Defender для хранилища

27 апреля 2025 г.

Значение ограничения по умолчанию для сканирования вредоносных программ обновлено с 5000 ГБ до 10 000 ГБ. Это новое ограничение применяется к следующим сценариям:

• Новые подписки: Подписки, в которых Защитник для хранилища включен в первый раз.

• Повторно включенные подписки: Подписки, в которых Защитник для хранилища ранее отключен и теперь снова включен.

Если для этих подписок включена проверка вредоносных программ Defender для хранилища, ограничение по умолчанию для сканирования вредоносных программ при загрузке будет установлено на 10 000 ГБ. Эта крышка настраивается в соответствии с конкретными потребностями.

Дополнительные сведения см. в разделе " Сканирование вредоносных программ" — выставление счетов за ГБ, ежемесячное ограничение и настройка

Полная доступность встроенной интеграции управления безопасностью API в рамках плана Defender CSPM

24 апреля 2025 г.

Управление безопасностью API теперь общедоступно в составе плана Defender CSPM. В этом выпуске представлен единый список ваших API вместе с аналитическими сведениями о состоянии, что помогает выявлять и приоритизировать риски API более эффективно непосредственно в вашем плане Defender CSPM. Эту возможность можно включить на странице "Параметры среды", включив расширение "Безопасность API".

В этом обновлении добавлены новые факторы риска, в том числе факторы риска для неавторентированных API (AllowsAnonymousAccess) и API без шифрования (UnencryptedAccess). Кроме того, API, опубликованные через службу «Управление API Azure», теперь позволяют сопоставлять с любыми подключёнными системами Ingress Kubernetes и виртуальными машинами, обеспечивая сквозную видимость экспозиции API и поддержку устранения рисков посредством анализа пути атаки.

Усовершенствования оповещений Defender для службы приложений

7 апреля 2025 г.

30 апреля 2025 г. возможности оповещения Defender для службы приложений будут улучшены. Мы добавим оповещения о подозрительных выполнении кода и доступе к внутренним или удаленным конечным точкам. Кроме того, мы улучшили охват и сократили шум от соответствующих оповещений, расширив логику и удалив оповещения, которые вызвали ненужный шум. В рамках этого процесса оповещение "Обнаружен вызов подозрительной темы WordPress" будет нерекомендуемым.

Март 2025 г.

Расширенная защита контейнеров с помощью оценки уязвимостей и обнаружения вредоносных программ для узлов AKS теперь является общедоступной

30 марта 2025 г.

Defender для облака теперь предоставляет оценку уязвимостей и обнаружение вредоносных программ для узлов в службе Azure Kubernetes (AKS) в качестве общедоступной версии. Обеспечение защиты безопасности для этих узлов Kubernetes позволяет клиентам поддерживать безопасность и соответствие в управляемой службе Kubernetes и понимать свою часть в общей ответственности за безопасность, которая у них есть с управляемым поставщиком облачных служб. Чтобы получить новые возможности, необходимо включить проверку без агента для компьютеров" в рамках CSPM Defender, Defender для контейнеров или плана Defender для серверов P2 в подписке.

Оценка уязвимости

Доступна новая рекомендация на портале Azure: уязвимости на узлах AKS должны быть устранены. С этой рекомендацией теперь можно просмотреть и устранить уязвимости и CVE, найденные на узлах Azure Kubernetes Service (AKS).

Обнаружение вредоносных программ

Новые оповещения системы безопасности активируются, когда возможность обнаружения вредоносных программ без агента обнаруживает вредоносные программы на узлах AKS. Обнаружение вредоносных программ без агента использует антивирусный модуль Microsoft Defender для сканирования и обнаружения вредоносных файлов. При обнаружении угроз оповещения системы безопасности направляются в Defender for Cloud и Defender XDR, где их можно исследовать и устранять.

Заметка: Обнаружение вредоносных программ для узлов AKS доступно только для сред с поддержкой Defender для контейнеров или Defender для серверов P2.

Развертывание Kubernetes с ограничениями (предварительный просмотр)

27 марта 2025 г.

Мы представляем функцию контролируемого развертывания Kubernetes (предварительная версия) в план Defender для контейнеров. Управляемое развертывание Kubernetes — это механизм повышения безопасности Kubernetes путем управления развертыванием контейнерных образов, которые нарушают политики безопасности организации.

Эта возможность основана на двух новых функциях:

• Артефакт результатов уязвимостей: создание выводов для каждого образа контейнера, сканированного для оценки уязвимостей.
• Правила безопасности: добавление правил безопасности для оповещения или предотвращения развертывания уязвимых образов контейнеров в кластерах Kubernetes.

Настраиваемые правила безопасности: клиенты могут настраивать правила безопасности для различных сред, для кластеров Kubernetes в своей организации или для пространств имен, чтобы включить элементы управления безопасностью, адаптированные к конкретным потребностям и требованиям соответствия.

Настраиваемые действия для правила безопасности:

• Аудит. Попытка развернуть уязвимый образ контейнера активирует действие "Аудит", создав рекомендацию с подробными сведениями о нарушении образа контейнера.

• Запрет. Попытка развернуть уязвимый образ контейнера активирует действие "Запретить", чтобы предотвратить развертывание образа контейнера, обеспечивая развертывание только безопасных и совместимых образов.

Сквозная безопасность: Определяя защиту от развертывания уязвимых образов контейнеров в качестве первого правила безопасности, мы представляем комплексный механизм безопасности Kubernetes, обеспечивающий, что уязвимые контейнеры не попадают в среду Kubernetes клиента.

Дополнительные сведения об этой функции см. в обзоре решения для развертывания шлюзов.

Настраиваемые фильтры сканирования вредоносных программ при загрузке в Defender для хранилища (предварительная версия)

27 марта 2025 г.

Сканирование вредоносных программ при отправке теперь поддерживает настраиваемые фильтры. Пользователи могут задавать правила исключения для сканирования на вирусы при загрузке, основанные на префиксах путей и суффиксах BLOB-объектов, а также на их размере. Исключив определенные пути и типы блобов, такие как журналы или временные файлы, можно избежать ненужных проверок и тем самым снизить затраты.

Узнайте, как настроить настраиваемые фильтры сканирования вредоносных программ при отправке.

Общедоступная версия поддержки сканирования виртуальных машин без агента с использованием CMK в Azure.

26 марта 2025 г.

Безагентное сканирование для виртуальных машин Azure с CMK зашифрованными дисками теперь общедоступно. План CSPM Defender и Defender для Серверов P2 обеспечивают поддержку безагентного сканирования для ВМ, теперь с поддержкой функций CMK во всех облаках.

Узнайте, как включить проверку без агента для виртуальных машин Azure с зашифрованными дисками CMK.

Предстоящее изменение уровня серьезности рекомендаций

11 марта 2025 г.

Мы повышаем уровень серьезности рекомендаций для улучшения оценки рисков и приоритета. В рамках этого обновления мы переоценим все классификации серьезности и ввели новый уровень — критически важный. Ранее рекомендации были разделены на три уровня: низкий, средний и высокий. В этом обновлении теперь существует четыре различных уровня: низкий, средний, высокий и критически важный, обеспечивая более детализированную оценку риска, чтобы помочь клиентам сосредоточиться на наиболее срочных проблемах безопасности.

В результате клиенты могут заметить изменения в серьезности существующих рекомендаций. Кроме того, оценка уровня риска, доступная только для клиентов Microsoft Defender CSPM, также может быть затронута, так как принимаются во внимание как серьезность рекомендаций, так и контекст ресурсов. Эти корректировки могут повлиять на общий уровень риска.

Проецируемые изменения состоятся 25 марта 2025 года.

Общая доступность мониторинга целостности файлов (FIM) на основе Microsoft Defender для Endpoint в Azure Government

03 марта 2025 г.

Мониторинг целостности файлов на основе Microsoft Defender Endpoint теперь общедоступен в Azure Government (GCCH) в составе плана 2 Microsoft Defender для серверов.

• Соблюдайте требования соответствия, отслеживая критически важные файлы и реестры в режиме реального времени и проверяя изменения.
• Определите потенциальные проблемы безопасности, обнаруживая подозрительные изменения содержимого файла.

Этот улучшенный интерфейс FIM заменяет существующий интерфейс, который планируется вывести из эксплуатации в связи с прекращением использования агента Log Analytics (MMA). Взаимодействие FIM с MMA будет поддерживаться в Azure для государственных организаций до конца марта 2023 года.

В этом выпуске будет предоставлен встроенный в продукт интерфейс, позволяющий сконфигурировать вашу конфигурацию FIM с помощью MMA на новую версию FIM через Defender для конечных точек.

Сведения о том, как включить FIM через Defender для конечной точки, см. в разделе "Мониторинг целостности файлов" с помощью Microsoft Defender для конечной точки. Сведения об отключении предыдущих версий и использовании средства миграции см. в разделе "Мониторинг целостности файлов миграции" из предыдущих версий.

Февраль 2025 г.

Улучшено отображение имени ресурса AWS EC2

27 февраля 2025 г.

Предполагаемая дата изменения: Март 2025 г.

Мы улучшаем, как отображаются имена ресурсов для экземпляров AWS EC2 на нашей платформе. Если в экземпляре EC2 определен тег "имя", поле "Имя ресурса " будет отображать значение этого тега. Если тег "name" отсутствует, поле "Имя ресурса " продолжит отображать идентификатор экземпляра , как и раньше. Идентификатор ресурса по-прежнему будет доступен в поле идентификатора ресурса для справки.

С помощью тега EC2 "name" можно легко идентифицировать ресурсы с пользовательскими понятными именами вместо идентификаторов. Это упрощает поиск и управление конкретными экземплярами, уменьшая время и усилия, затраченные на поиск или сопоставление деталей экземпляров.

Сканирование вредоносных программ по запросу в Microsoft Defender для хранилища

27 февраля 2025 г.

Сканирование вредоносных программ по запросу в Microsoft Defender для Хранилища, теперь в общедоступной версии, позволяет проверять существующие объекты в учетных записях Azure Storage по мере необходимости. Сканирование можно инициировать из пользовательского интерфейса портал Azure или с помощью REST API, поддерживая автоматизацию с помощью Logic Apps, сборников схем автоматизации и сценариев PowerShell. Эта функция использует антивирус Microsoft Defender с последними определениями вредоносных программ для каждой проверки и предоставляет предварительную оценку затрат на портале Azure перед сканированием.

Варианты использования:

• Ответ на инциденты: сканирование определенных учетных записей хранения после обнаружения подозрительной активности.
• Базовые показатели безопасности: сканируйте все сохраненные данные при первом включении Defender для хранилища.
• Соответствие требованиям. Настройте автоматизацию для планирования проверок, которые помогают соответствовать нормативным и стандартам защиты данных.

Дополнительные сведения см. в разделе "Сканирование вредоносных программ по запросу".

Сканирование на наличие вредоносного ПО с помощью Defender для хранилища для объектов BLOB размером до 50 ГБ

27 февраля 2025 г.

Сканирование вредоносных программ в Defender for Storage теперь поддерживает объекты BLOB размером до 50 ГБ (ранее было ограничено 2 ГБ).

Обратите внимание, что для учетных записей хранения, в которых загружаются крупные блобы, увеличение предела размера блоба приведет к увеличению ежемесячной платы.

Чтобы избежать непредвиденных высоких расходов, вам может потребоваться установить соответствующее ограничение на общее количество отсканированных ГБ в месяц. Дополнительные сведения см. в разделе «Контроль расходов на проверку на наличие вредоносных программ при отправке».

Оценка уязвимостей реестра контейнеров без агента для контейнеров среды выполнения AKS (предварительная версия)

23 февраля 2025 г.

Планы Defender для контейнеров и Defender для управления позицией безопасности в облаке (CSPM) теперь включают безагентную оценку уязвимостей для контейнеров, выполняемых в среде AKS. Это улучшение расширяет охват оценки уязвимостей, включая запуск контейнеров с образами из любого реестра (не ограничено поддерживаемыми реестрами), помимо сканирования надстроек Kubernetes и сторонних средств, работающих в кластерах AKS. Чтобы включить эту функцию, убедитесь, что проверка машин без агентов включена в параметрах среды Defender для облака вашей подписки.

Панель мониторинга безопасности данных и ИИ (предварительная версия)

23 февраля 2025 г.

Defender for Cloud улучшает панель мониторинга безопасности данных, добавляя безопасность ИИ в новой панели мониторинга безопасности данных и ИИ, находящейся в предварительной версии. Панель мониторинга предоставляет централизованную платформу для мониторинга данных и ресурсов искусственного интеллекта и управления ими, а также связанных с ними рисков и состояния защиты.

К ключевым преимуществам панели мониторинга безопасности данных и ИИ относятся:

• Единое представление: получение комплексного представления всех организационных данных и ресурсов искусственного интеллекта.
• Аналитика данных. Сведения о том, где хранятся данные, и типы ресурсов, содержащих их.
• Покрытие защиты: оцените покрытие защиты ваших данных и ресурсов искусственного интеллекта.
• Критические проблемы: выделение ресурсов, требующих немедленного внимания на основе рекомендаций высокого уровня серьезности, оповещений и путей атак.
• Обнаружение конфиденциальных данных: поиск и сводка ресурсов конфиденциальных данных в облачных и искусственных интеллектах.
• Рабочие нагрузки ИИ: обнаружение следов приложений ИИ, включая службы, контейнеры, наборы данных и модели.

Дополнительные сведения о панели мониторинга безопасности данных и искусственного интеллекта.

Калькулятор затрат MDC (предварительная версия)

19 февраля 2025 г.

Мы рады представить наш новый калькулятор затрат MDC, чтобы помочь вам легко оценить затраты, связанные с защитой облачных сред. Это средство предназначено для того, чтобы обеспечить четкое и точное понимание ваших расходов, обеспечивая возможность эффективного планирования и бюджета.

Зачем использовать калькулятор затрат?

Наш калькулятор затрат упрощает процесс оценки затрат, позволяя определить область потребностей в защите. Вы выбираете среды и планы, которые вы хотите включить, и калькулятор автоматически заполняет оплачиваемые ресурсы для каждого плана, включая все применимые скидки. Вы предоставляете полное представление о потенциальных затратах без каких-либо сюрпризов.

Ключевые функции:

Определение области: Выберите интересующие вас планы и среды. Калькулятор выполняет процесс обнаружения для автоматического заполнения числа оплачиваемых единиц для каждого плана в каждой среде.

Автоматическая и ручная корректировка. Это средство позволяет автоматически собирать данные и ручной корректировки. Вы можете изменить количество единиц и уровни скидки, чтобы узнать, как изменения влияют на общую стоимость.

Комплексная оценка затрат: калькулятор предоставляет оценку для каждого плана и общий отчет о затратах. Вы предоставляете подробный анализ затрат, что упрощает понимание расходов и управление ими.

Поддержка multicloud: Наше решение работает для всех поддерживаемых облаков, обеспечивая точные оценки затрат независимо от поставщика облачных служб.

Экспорт и общий доступ. После оценки затрат вы можете легко экспортировать и поделиться им для планирования бюджета и утверждений.

31 новых и усовершенствованных нормативных стандартов для многооблачной среды

19 февраля 2025 г.

Мы рады объявить об улучшенной и расширенной поддержке более 31 системы безопасности и нормативных стандартов в Defender для облака на платформах Azure, AWS и GCP. Это улучшение упрощает путь к достижению и поддержанию соответствия требованиям, снижает риск нарушений данных и помогает избежать штрафов и репутационного ущерба.

Новые и расширенные платформы:

Это дополняет недавние выпуски службы CIS Azure Kubernetes Service версии 1.5, CIS Google Kubernetes Engine (GKE) версии 1.6 и CIS Amazon Elastic Kubernetes Service (EKS) версии 15, выпущенные несколько месяцев назад.

Дополнительные сведения о предложении службы Defender для облака в части соответствия нормативным требованиям см. здесь>.

Январь 2025 г.

Обновление условий проверки для реестров контейнеров

30 января 2025 г.

Мы обновляем один из критериев проверки образов реестра в предварительной версии для образов реестра во всех облаках и внешних реестрах (Azure, AWS, GCP, Docker, JFrog).

Что меняется?

В настоящее время мы пересканируем образы в течение 90 дней после того, как они были отправлены в реестр. Теперь это будет изменено, чтобы просмотреть данные за последние 30 дней.

Усовершенствования проверки уязвимостей контейнеров с помощью MDVM

29 января 2025 г.

Мы рады сообщить об улучшениях в охвате сканирования для оценки уязвимостей контейнеров с помощью следующих обновлений:

• Дополнительные языки программирования: теперь поддерживает PHP, Ruby и Rust.

• Расширенная поддержка языка Java: включает сканирование на наличие взрывных JAR.

• Улучшено использование памяти: оптимизированная производительность при чтении больших файлов образа контейнера.

Разрешения, добавленные в соединитель GCP для поддержки платформ ИИ

27 января 2025 г.

Соединитель GCP теперь имеет дополнительные разрешения на поддержку платформы GCP AI (Vertex AI):

• aiplatform.batchPredictionJobs.list
• aiplatform.customJobs.list
• aiplatform.datasets.list
• aiplatform.datasets.get
• aiplatform.endpoints.getIamPolicy
• aiplatform.endpoints.list
• aiplatform.indexEndpoints.list
• aiplatform.indexes.list
• aiplatform.models.list
• aiplatform.models.get
• aiplatform.pipelineJobs.list
• aiplatform.schedules.list
• aiplatform.tuningJobs.list
• discoveryengine.dataStores.list
• discoveryengine.documents.list
• discoveryengine.engines.list
• notebooks.instances.list

Усовершенствования рекомендаций по базовым планам Linux на основе GC

20 января 2025 г.

Мы улучшаем функцию Baselines Linux (основанную на GC), чтобы повысить её точность и охват. В феврале вы можете заметить такие изменения, как обновленные имена правил и дополнительные правила. Эти улучшения предназначены для повышения точности и актуальности оценки базовых показателей. Дополнительные сведения об изменениях см. в соответствующем блоге

Некоторые изменения могут включать дополнительные изменения общедоступной предварительной версии. Это обновление полезно для вас, и мы хотим держать вас в курсе. Если вы предпочитаете, вы можете отказаться от этой рекомендации, убрав её из вашего ресурса или отключив расширение GC.

Декабрь 2024 г.

Изменения интервала сканирования существующих облачных соединителей

31 декабря 2024 г.

Ранее в этом месяце было опубликовано обновление относительно измененных параметров интервалов сканирования в Defender для облака. Параметр интервала сканирования определяет, как часто службы обнаружения Defender для облака сканируют облачные ресурсы. Это изменение обеспечивает более сбалансированный процесс сканирования, оптимизацию производительности и минимизацию риска достижения ограничений API.

Параметры интервала сканирования для существующих облачных соединителей AWS и GCP будут обновлены, чтобы обеспечить возможность Defender for Cloud сканировать ваши облачные среды.

Будут выполнены следующие корректировки:

• Интервалы, которые в настоящее время задаются в диапазоне от 1 до 3 часов, будут обновлены до 4 часов.
• Интервалы, равные 5 часам, будут обновлены до 6 часов.
• Интервалы, заданные в диапазоне от 7 до 11 часов, обновляются до 12 часов.
• Интервалы в 13 часов или более будут обновлены до 24 часов.

Если вы предпочитаете другой интервал сканирования, можно настроить облачные соединители с помощью страницы параметров среды. Эти изменения будут применены автоматически ко всем клиентам в начале февраля 2025 года, и никаких дальнейших действий не требуется.

Теперь возможности сканирования для выявления конфиденциальной информации включают общие папки Azure.

17 декабря 2024 г.

Возможности сканирования чувствительности в управлении безопасностью (CSPM) Defender для облака теперь включают общие папки Azure в общей доступности, в дополнение к BLOB-контейнерам.

Перед этим обновлением включение плана CSPM Defender в подписке автоматически сканировало контейнеры BLOB в учетных записях хранения для поиска конфиденциальных данных. В этом обновлении функция проверки конфиденциальности Defender для CSPM теперь включает общие папки в этих учетных записях хранения. Это улучшение улучшает оценку рисков и защиту конфиденциальных учетных записей хранения, обеспечивая более полный анализ потенциальных рисков.

Дополнительные сведения о сканировании конфиденциальности.

Интеграция интерфейса командной строки Defender для облака с популярными средствами CI/CD

Интеграция сканирования Defender для облака через интерфейс командной строки с популярными средствами CI/CD в Microsoft Defender для облака теперь доступна для предварительной общедоступной версии. Теперь интерфейс командной строки можно включить в конвейеры CI/CD для проверки и выявления уязвимостей безопасности в контейнеризованном исходном коде. Эта функция помогает группам разработчиков обнаруживать уязвимости кода и устранять уязвимости кода во время выполнения конвейера. Для этого требуется аутентификация в Microsoft Defender для облака и внесение изменений в скрипт конвейера. Результаты сканирования будут отправлены в Microsoft Defender для облака, позволяя командам безопасности просматривать и сопоставлять их с контейнерами в реестре контейнеров. Это решение обеспечивает непрерывную и автоматизированную аналитику для ускорения обнаружения рисков и реагирования, обеспечивая безопасность без нарушения рабочих процессов.

Варианты использования:

• Сканирование конвейеров в средствах CI/CD: безопасно отслеживайте все конвейеры, использующие интерфейс командной строки.
• Раннее обнаружение уязвимостей: результаты публикуются в процессе и отправляются в Microsoft Defender for Cloud.
• Непрерывная аналитика безопасности. Обеспечение видимости и быстрой реакции на них во всех циклах разработки, не препятствуя повышению производительности.

Для получения дополнительной информации см. статью Интеграция CLI Defender для облака с популярными CI/CD инструментами.

Процесс настройки Defender для облака

10 декабря 2024 г.

Интерфейс установки позволяет начать начальные шаги с Microsoft Defender для облака путем подключения облачных сред, таких как облачная инфраструктура, репозитории кода и внешние реестры контейнеров.

Вы узнаете, как настроить облачную среду, защитить ресурсы с помощью расширенных планов безопасности, без усилий выполнять быстрые действия для увеличения охвата безопасности в масштабе, учитывать проблемы с подключением и получать уведомления о новых возможностях безопасности. Вы можете перейти к новому интерфейсу из меню Defender для облака, нажав кнопку "Настройка".

Измененные параметры интервала для сканирования облачной среды с помощью Defender для облака

10 декабря 2024 г.

Параметры интервала сканирования для облачных соединителей, связанных с AWS, GCP, Jfrog и DockerHub, были изменены. Функция интервала сканирования позволяет управлять частотой, с которой Defender для облака инициирует сканирование облачной среды. Интервал сканирования можно задать в 4, 6, 12 или 24 часа при добавлении или редактировании облачного соединителя. Интервал сканирования по умолчанию для новых соединителей продолжает составлять 12 часов.

Для получения возможности использования мониторинга целостности файлов (FIM) требуется обновление версии клиента Microsoft Defender для конечной точки.

Июнь 2025 г.

Начиная с июня 2025 года для мониторинга целостности файлов (FIM) требуется минимальная версия клиента Defender для конечной точки (MDE). Убедитесь, что вы находитесь в минимальных следующих версиях клиента, чтобы продолжить использовать возможности FIM в Microsoft Defender для облака: для Windows: 10.8760, для Linux: 30.124082. Подробнее

Ноябрь 2024 г.

Возможности проверки чувствительности теперь включают файловые ресурсы Azure (предварительный просмотр)

28 ноября 2024 г.

Функции сканирования чувствительности в области управления безопасностью (CSPM) программы Defender для облака теперь включают общие папки Azure (на этапе предварительного просмотра) в дополнение к контейнерам BLOB.

Перед этим обновлением включение плана CSPM Defender в подписке автоматически сканировало контейнеры BLOB в учетных записях хранения для поиска конфиденциальных данных. В этом обновлении функция проверки конфиденциальности Defender для CSPM теперь включает общие папки в этих учетных записях хранения. Это улучшение улучшает оценку рисков и защиту конфиденциальных учетных записей хранения, обеспечивая более полный анализ потенциальных рисков.

Дополнительные сведения о сканировании конфиденциальности.

Изменения согласия на использование меток чувствительности

26 ноября 2024 г.

Вы больше не должны выбрать выделенную кнопку согласия в разделе "Information Protection" на странице "Метки", чтобы воспользоваться пользовательскими типами информации и метками конфиденциальности, настроенными на портале Microsoft 365 Defender или на портале Microsoft Purview.

При этом изменении все пользовательские типы данных и метки конфиденциальности автоматически импортируются на портал Microsoft Defender для облака.

Дополнительные сведения о параметрах конфиденциальности данных.

Изменения меток чувствительности

26 ноября 2024 г.

До недавнего времени Defender для облака импортировал все метки конфиденциальности из портала Microsoft 365 Defender, которые соответствовали следующим двум условиям:

• Метки конфиденциальности, для которых задано значение "Items -> Files" или "Items -> Emails", в разделе "Определить область действия метки" в разделе "Защита информации".
• Метка конфиденциальности имеет настроенное правило автоматической маркировки.

По состоянию на 26 ноября 2024 г. имена областей меток конфиденциальности в пользовательском интерфейсе были обновлены как на портале Microsoft 365 Defender, так и на портале Microsoft Purview. Defender для облака теперь будет импортировать только метки конфиденциальности с областью "Файлы и другие ресурсы данных", примененной к ним. Defender для облака больше не импортирует метки с областью "Электронная почта", примененной к ним.

Узнайте больше о настройке меток чувствительности.

Проверка вредоносных программ с помощью Defender для проверки хранилища BLOB объемом до 50 ГБ (предварительная версия)

25 ноября 2024 г.

Предполагаемая дата изменения: 1 декабря 2024 г.

Начиная с 1 декабря 2024 г., Defender для хранилищ при сканировании на наличие вредоносных программ будет поддерживать блобы размером до 50 ГБ (ранее ограничено 2 ГБ).

Обратите внимание, что для учетных записей хранения, в которых загружаются крупные блобы, увеличение предела размера блоба приведет к увеличению ежемесячной платы.

Чтобы избежать непредвиденных высоких расходов, может потребоваться установить соответствующее ограничение на общее количество отсканированных ГБ в месяц. Дополнительные сведения см. в разделе «Контроль расходов на проверку на наличие вредоносных программ при отправке».

Обновленные версии стандартов CIS для управляемых сред Kubernetes и новых рекомендаций

19 ноября 2024 г.

панель мониторинга соответствия нормативным требованиям Defender для облака теперь предлагает обновленные версии стандартов Центра интернет-безопасности (CIS) для оценки состояния безопасности управляемых сред Kubernetes.

На панели мониторинга можно назначить следующие стандарты ресурсам AWS/EKS/GKE Kubernetes:

• CIS Служба Azure Kubernetes (AKS) версии 1.5.0
• CIS Google Kubernetes Engine (GKE) версии 1.6.0
• CIS Amazon Elastic Kubernetes Service (EKS) версия 1.5.0

Чтобы обеспечить оптимальную глубину охвата этих стандартов, мы обогатили наш охват, также выпуская 79 новых рекомендаций, ориентированных на Kubernetes.

Чтобы использовать эти новые рекомендации, назначьте приведенные выше стандарты или создайте настраиваемый стандарт и включите в него одну или несколько новых оценок.

Общедоступная предварительная версия событий процессов в облаке Kubernetes в возможностях расширенного поиска угроз

Мы объявляем предварительную версию событий облачного процесса Kubernetes для расширенного поиска. Эта мощная интеграция предоставляет подробные сведения о событиях процесса Kubernetes, происходящих в средах с несколькими облаками. Его можно использовать для обнаружения угроз, которые можно наблюдать с помощью сведений о процессе, таких как вредоносные процессы, вызываемые в облачной инфраструктуре. Дополнительные сведения см. в разделе CloudProcessEvents.

Устаревание функции использования собственной лицензии (BYOL) в управлении уязвимостями

19 ноября 2024 г.

Предполагаемая дата изменения:

• 3 февраля 2025 г. Функция больше не будет доступна для подключения новых компьютеров и подписок.

• 1 мая 2025 г.: функция будет полностью устарела и больше недоступна.

В рамках наших усилий по улучшению Defender для облака опыта безопасности мы оптимизируем наши решения по оценке уязвимостей. Мы удаляем функцию "Принести собственную лицензию" в Defender для облака. Теперь вы будете использовать соединители управления рисками Майкрософт для более простого, интегрированного и полного решения.

Рекомендуется перейти к новому решению соединителя в рамках управления подверженностью безопасности Microsoft. Наша команда здесь, чтобы поддержать вас через этот переход.

Дополнительные сведения об использовании соединителей см. в статье "Обзор подключения источников данных в Microsoft Security Exposure Management" — Управление воздействием безопасности Майкрософт.

Сканирование кода без агента в Microsoft Defender для облака (предварительная версия)

19 ноября 2024 г.

Сканирование кода без агента в Microsoft Defender для облака теперь доступно для общественного предварительного тестирования. Она обеспечивает быструю и масштабируемую безопасность для всех репозиториев в организациях Azure DevOps с одним соединителем. Это решение помогает командам безопасности находить и устранять уязвимости в конфигурациях кода и инфраструктуры в виде кода (IaC) в средах Azure DevOps. Для этого не требуются агенты, изменения конвейеров или прерывания рабочих процессов разработчиков, что упрощает настройку и обслуживание. Он работает независимо от конвейеров непрерывной интеграции и непрерывного развертывания (CI/CD). Решение предоставляет непрерывную и автоматизированную аналитику для ускорения обнаружения рисков и реагирования, обеспечивая безопасность без прерывания рабочих процессов.

Варианты использования:

• Сканирование на уровне организации: Вы можете безопасно отслеживать все репозитории в организациях Azure DevOps с одним соединителем.
• Раннее обнаружение уязвимостей: быстро найти код и риски IaC для упреждающего управления рисками.
• Непрерывная информация о безопасности: Поддерживайте видимость и быстро реагируйте на всех этапах разработки, не снижая производительность.

Дополнительные сведения см. в разделе "Сканирование без агента" в Microsoft Defender для облака.

Сканирование вредоносных программ по запросу в Microsoft Defender для хранилища (предварительная версия)

19 ноября 2024 г.

Сканирование на наличие вредоносных программ по запросу в Microsoft Defender для Хранилища, теперь доступно в общедоступной предварительной версии, позволяет при необходимости проверять существующие объекты BLOB в учетных записях хранилища Azure. Сканирование можно инициировать из пользовательского интерфейса портал Azure или с помощью REST API, поддерживая автоматизацию с помощью Logic Apps, сборников схем автоматизации и сценариев PowerShell. Эта функция использует антивирус Microsoft Defender с последними определениями вредоносных программ для каждой проверки и предоставляет предварительную оценку затрат на портале Azure перед сканированием.

Варианты использования:

• Ответ на инциденты: сканирование определенных учетных записей хранения после обнаружения подозрительной активности.
• Базовые показатели безопасности: сканируйте все сохраненные данные при первом включении Defender для хранилища.
• Соответствие требованиям. Настройте автоматизацию для планирования проверок, которые помогают соответствовать нормативным и стандартам защиты данных.

Дополнительные сведения см. в разделе "Сканирование вредоносных программ по запросу".

Поддержка реестра контейнеров JFrog Artifactory в Defender для контейнеров (предварительная версия)

18 ноября 2024 г.

Эта функция расширяет охват внешних реестров с помощью Microsoft Defender для контейнеров, включая JFrog Artifactory. Контейнерные образы JFrog Artifactory сканируются с использованием Microsoft Defender для управления уязвимостями, чтобы выявить угрозы безопасности и уменьшить потенциальные риски безопасности.

Система управления безопасностью искусственного интеллекта теперь находится в стадии общедоступности (GA).

18 ноября 2024 г.

Функции управления безопасностью с использованием ИИ в Defender для Облака теперь доступны всем (GA).

Defender для облака снижает риски для рабочих нагрузок искусственного интеллекта в разных облачных средах следующими способами:

• Обнаружение перечня материалов для генеративного ИИ (AI BOM), включающего компоненты приложений, данные и артефакты ИИ от кода до облака.

• Укрепление положения безопасности приложений генеративного ИИ с помощью встроенных рекомендаций, а также изучения и устранения рисков безопасности.

• Использование анализа пути атаки для выявления и устранения рисков.

Узнайте больше об управлении безопасностью ИИ.

Защита критически важных ресурсов в Microsoft Defender для облака

18 ноября 2024 г.

Сегодня мы рады объявить общедоступную защиту критически важных активов в Microsoft Defender для облака. Эта функция позволяет администраторам безопасности отмечать "ключевые" ресурсы, наиболее важные для их организаций, что позволяет Defender for Cloud обеспечить для них наивысший уровень защиты и приоритизировать вопросы безопасности на этих ресурсах выше всех остальных. Узнайте больше о защите критически важных ресурсов.

Наряду с выпуском общедоступной доступности мы также расширяем поддержку тегов Kubernetes и нечеловеческих ресурсов удостоверений.

Расширенная защита критически важных активов для контейнеров

18 ноября 2024 г.

Защита критически важных ресурсов расширена для поддержки дополнительных вариантов использования контейнеров.

Теперь пользователи могут создавать настраиваемые правила, которые помечают ресурсы, управляемые Kubernetes (рабочие нагрузки, контейнеры и т. д.), как критически важные на основе пространства имен ресурса Kubernetes и (или) метки Kubernetes ресурса.

Как и в других случаях использования критически важных ресурсов, Defender для облака учитывает критические значения активов для определения приоритетов, анализа пути атаки и обозревателя безопасности.

Усовершенствования для обнаружения и реагирования на угрозы контейнера

18 ноября 2024 г.

Defender для облака предоставляет набор новых функций, позволяющих командам SOC решать угрозы контейнеров в облачных средах с большей скоростью и точностью. К этим улучшениям относятся функции Аналитики угроз, функции GoHunt, управляемый ответ Microsoft Security Copilot и облачные действия реагирования для контейнеров Kubernetes.

Знакомство с действиями ответа на основе облака для модулей pod Kubernetes (предварительная версия)

Defender для облака теперь предлагает многооблачные меры реагирования для подов Kubernetes, доступные исключительно через портал Defender XDR. Эти возможности повышают реагирование на инциденты для кластеров AKS, EKS и GKE.

Ниже приведены новые действия ответа:

Сетевая изоляция — мгновенно блокирует весь трафик в модуль pod, предотвращая боковое перемещение и кражу данных. Требуется настройка политики сети в кластере Kubernetes.

Завершение pod . Быстрое завершение подозрительных модулей pod, остановка вредоносных действий без нарушения более широкого приложения.

Эти действия позволяют командам SOC эффективно сдерживать угрозы в облачных средах.

Отчет аналитики угроз для контейнеров

Мы представляем выделенный отчет Аналитики угроз, предназначенный для обеспечения комплексной видимости угроз, предназначенных для контейнерных сред. Этот отчет предоставляет командам SOC аналитические сведения для обнаружения и реагирования на последние шаблоны атак в кластерах AKS, EKS и GKE.

Основные моменты:

• Подробный анализ основных угроз и связанных методов атак в средах Kubernetes.
• Практические рекомендации по укреплению состояния безопасности в облаке и устранению возникающих рисков.

GoHunt для подов Kubernetes и ресурсов Azure

GoHunt теперь расширяет возможности поиска, чтобы включить поды Kubernetes и ресурсы Azure в портале Defender XDR. Эта функция повышает упреждающий поиск угроз, что позволяет аналитикам SOC проводить подробные исследования в облачных средах.

Ключевые функции:

• Расширенные возможности запросов для обнаружения аномалий в модулях pod Kubernetes и ресурсах Azure, предлагая более широкий контекст для анализа угроз.
• Простая интеграция с сущностями Kubernetes для эффективного поиска угроз и исследования.

Руководимый ответ безопасности для модулей Kubernetes.

Представляем функцию интерактивного ответа для подов в Kubernetes, поддерживаемую Security Copilot. Эта новая возможность предоставляет пошаговые инструкции в режиме реального времени, помогая командам SOC реагировать на угрозы контейнера быстро и эффективно.

Ключевые преимущества:

• Сборники схем контекстного ответа, адаптированные для распространенных сценариев атак Kubernetes.
• Экспертная поддержка в режиме реального времени от Security Copilot, устранение пробелов в знаниях и ускорение разрешения проблем.

Интеграция управления состоянием безопасности API на уровне платформы в рамках плана CSPM для Defender теперь доступна в открытой предварительной версии.

15 ноября 2024 г.

Возможности управления состоянием безопасности API (предварительная версия) теперь включены в план CSPM Defender и могут быть активированы через расширения в разделе параметров среды плана. Дополнительные сведения см. в разделе "Улучшение состояния безопасности API " (предварительная версия)".

Расширенная защита контейнеров с помощью оценки уязвимостей и обнаружения вредоносных программ для узлов AKS (предварительная версия)

13 ноября 2024 г.

Defender for Cloud теперь предоставляет оценку уязвимостей и обнаружение вредоносных программ для узлов в Службе Azure Kubernetes (AKS) и объясняет клиентам их роль в общей ответственности за безопасность, которую они разделяют с управляемым облачным провайдером.

Обеспечение защиты безопасности для этих узлов Kubernetes позволяет клиентам поддерживать безопасность и соответствие в управляемой службе Kubernetes.

Чтобы получить новые возможности, необходимо включить функцию проверки без агента для компьютеров в рамках плана "Защитник CSPM", "Defender для контейнеров" или "Защитник для серверов P2" в подписке.

Оценка уязвимости

Теперь новая рекомендация доступна в портале Azure: AKS nodes should have vulnerability findings resolved. Теперь с помощью этой рекомендации можно проверить и устранить уязвимости и CVE, найденные на узлах службы Azure Kubernetes (AKS).

Обнаружение вредоносных программ

Новые оповещения системы безопасности активируются, когда возможность обнаружения вредоносных программ без агента обнаруживает вредоносные программы на узлах AKS.

Обнаружение вредоносных программ без агента использует антивирусный модуль Microsoft Defender для сканирования и обнаружения вредоносных файлов. При обнаружении угроз оповещения системы безопасности направляются в Defender for Cloud и Defender XDR, где их можно исследовать и устранять.

Расширенная документация по оповещениям Kubernetes (K8s) и инструмент для моделирования.

7 ноября 2024 г.

Ключевые особенности

• Документация по оповещениям на основе сценариев: оповещения K8s теперь документируются на основе реальных сценариев, предоставляя более четкое руководство по потенциальным угрозам и рекомендуемых действий.
• интеграция Microsoft Defender для конечной точки (MDE): оповещения обогащены дополнительным контекстом и разведывательной информацией об угрозах из MDE, что повышает вашу способность эффективно реагировать.
• Новое средство моделирования: мощный инструмент имитации доступен для проверки состояния безопасности путем имитации различных сценариев атаки и создания соответствующих оповещений.

Benefits

• Улучшенное понимание оповещений. Документация на основе сценариев обеспечивает более интуитивно понятное представление о оповещениях K8s.
• Расширенный ответ на угрозы: оповещения обогащены ценным контекстом, обеспечивая более быстрые и точные ответы.
• Упреждающее тестирование безопасности. Новое средство моделирования позволяет тестировать защиту безопасности и выявлять потенциальные уязвимости перед их использованием.

Расширенная поддержка классификации конфиденциальных данных API

6 ноября 2024 г.

Microsoft Defender для облака расширяет возможности для классификации конфиденциальных данных API, охватывая путь URL-адреса API и параметры запроса, а также запросы и ответы API, включая источник конфиденциальной информации, найденной в свойствах API. Эти сведения будут доступны на странице "Анализ путей атаки", на странице дополнительных сведений Cloud Security Explorer при выборе операций управления API с конфиденциальными данными, а также на панели мониторинга безопасности API на странице сведений о защите рабочих нагрузок в области сведений о сборе API с новым контекстным меню, которое предоставляет подробные сведения о обнаруженных конфиденциальных данных. позволяет группам безопасности эффективно находить и устранять риски воздействия данных.

Новая поддержка сопоставления конечных точек API в Azure API Management с серверной вычислительной инфраструктурой

6 ноября 2024 г.

Система безопасности API в Defender для облака теперь поддерживает сопоставление конечных точек API, опубликованных через шлюз управления API Azure, с внутренними вычислительными ресурсами, такими как виртуальные машины, в обозревателе Cloud Security Explorer в Cloud Security Posture Management Defender (Defender CSPM). Эта видимость помогает определить маршрутизацию трафика API в целевые облачные вычислительные ресурсы, что позволяет обнаруживать и устранять риски воздействия, связанные с конечными точками API и подключенными внутренними ресурсами.

Расширенная поддержка безопасности API для развертываний службы управления API Azure в нескольких регионах и управления ревизиями API.

6 ноября 2024 г.

Поддержка безопасности API в Azure Defender для облака теперь будет иметь полную поддержку развертываний Azure Управления API в нескольких регионах, включая полную поддержку безопасности и обнаружения угроз как для основных регионов, так и для вторичных.

Подключение и отключение API в Defender for APIs теперь будет управляться в рамках управления API Azure. Все связанные версии Azure API Management будут автоматически включены в процесс, устраняя необходимость управления подключением и отключением для каждой версии API по отдельности.

Это изменение включает разовое развертывание для существующих клиентов Defender for APIs.

Сведения о выпуске:

• Развертывание будет происходить в течение недели 6 ноября для существующих клиентов Defender для API.
• Если текущая редакция API в Управлении Azure API уже подключена к Defender для API, все связанные редакции этого API также будут автоматически подключены к Defender для API.
• Если "текущая" редакция Azure API Management API не подключена к Defender для API, любые связанные редакции API, которые были подключены к Defender для API, будут отключены от него.

Октябрь 2024 г.

Теперь доступен опыт миграции MMA

28 октября 2024 г.

Теперь вы можете убедиться, что все ваши среды полностью подготовлены к прекращению использования агента Log Analytics (MMA), которое ожидается в конце ноября 2024 года.

В Defender для облака добавлена новая функция, позволяющая выполнять масштабные действия во всех затронутых средах.

• Отсутствуют предварительные требования, необходимые для получения полного уровня безопасности, предлагаемого Defender для Servers Plan 2.
• Это подключено к Плану 2 Defender для серверов через устаревший способ подключения с использованием рабочей области Log Analytics.
• Те, кто использует старую версию мониторинга целостности файлов (FIM) с агентом Log Analytics (MMA), должны перейти на новую, улучшенную версию FIM с помощью Defender для Endpoint (MDE).

Узнайте, как использовать новый опыт миграции MMA.

Отчёты о безопасности для репозиториев GitHub без функции расширенной безопасности GitHub теперь стали общедоступными.

21 октября 2024 г.

Возможность получать отчеты о безопасности для неправильной настройки инфраструктуры как кода (IaC), уязвимостей контейнеров и слабых сторон кода для репозиториев GitHub без GitHub Advanced Security теперь доступна для всех.

Обратите внимание, что для сканирования секретов, сканирования кода с помощью GitHub CodeQL и проверки зависимостей по-прежнему требуется расширенное сканирование GitHub.

Дополнительные сведения о необходимых лицензиях см. на странице поддержки DevOps. Чтобы узнать, как подключить среду GitHub к Defender для облака, следуйте руководству по подключению GitHub. Чтобы узнать, как настроить действие GitHub в Microsoft Security DevOps, ознакомьтесь с нашей документацией по GitHub Action.

Отмена трех стандартов соответствия

14 октября 2024 г.

Предполагаемая дата изменения: 17 ноября 2024 г.

Из продукта удаляются три стандарта соответствия:

• SWIFT CSP-CSCF версии 2020 (для Azure) — это было заменено версией версии 2022
• CIS Microsoft Azure Foundations Benchmark версии 1.1.0 и версии 1.3.0 . У нас есть две более новые версии (версии 1.4.0 и версии 2.0.0).

Узнайте больше о доступных в Defender для облака стандартах соответствия в разделе Доступные стандарты соответствия.

Отмена трех стандартов Defender для облака

8 октября 2024 г.

Предполагаемая дата изменения: 17 ноября 2024 г.

Чтобы упростить управление Defender для облака с помощью учетных записей AWS и проектов GCP, мы удаляем следующие три стандарта Defender для облака:

• Для AWS — AWS CSPM
• Для GCP — GCP CSPM и GCP по умолчанию

Стандарт по умолчанию Microsoft Cloud Security Benchmark (MCSB) теперь содержит все оценки, которые были уникальными для этих стандартов.

Обнаружение двоичного дрейфа выпущено в общедоступной версии

9 октября 2024 г.

Обнаружение двоичного смещения теперь выпущено как общедоступная версия в плане Defender для контейнеров. Обратите внимание, что обнаружение двоичного смещения теперь работает на всех версиях AKS.

Обновленные рекомендации по среде выполнения контейнеров (предварительная версия)

6 октября 2024 г.

Обновлены рекомендации по предварительной версии для "Контейнеры, запущенные в AWS/Azure/GCP, должны иметь устраненные уязвимости": теперь все контейнеры, входящие в один и тот же рабочий процесс, собираются в одной рекомендации. Это уменьшает дублирование и позволяет избежать колебаний из-за добавления или удаления контейнеров.

С 6 октября 2024 года для этих рекомендаций заменены следующие идентификаторы оценки:

Если вы в настоящее время извлекаете отчеты об уязвимостях из этих рекомендаций через API, убедитесь, что вы обновляете вызов API с новым идентификатором оценки.

Сведения об удостоверении и доступе Kubernetes в графе безопасности (предварительная версия)

6 октября 2024 г.

Сведения об удостоверениях и доступе Kubernetes добавляются в граф безопасности, включая узлы, представляющие все сущности, связанные с ролевым контролем доступа Kubernetes (RBAC) (учетные записи службы, роли, привязки ролей и т. д.), а также рёбра, представляющие разрешения между объектами Kubernetes. Теперь клиенты могут выполнять запросы к графику безопасности для своих RBAC Kubernetes и связанных взаимосвязей между сущностями Kubernetes (может проверять подлинность как, может выдавать себя за, предоставляет роль, доступ определенный как, предоставляет доступ, имеет разрешение и т. д.).

Пути атак на основе информации об удостоверениях и доступе в Kubernetes (предварительная версия)

6 октября 2024 г.

Используя данные RBAC Kubernetes в графе безопасности, Defender для облака теперь выявляет перемещения внутри Kubernetes, между Kubernetes и облаком, а также внутри облака. Он также сообщает о других путях атаки, где злоумышленники могут злоупотреблять авторизацией Kubernetes и облака для бокового перемещения между и внутри кластеров Kubernetes.

Улучшен анализ пути атаки для контейнеров

6 октября 2024 г.

Новый модуль анализа путей атаки, выпущенный в ноябре прошлого года, теперь поддерживает варианты использования контейнеров, а также динамически обнаруживая новые типы путей атаки в облачных средах на основе данных, добавленных в граф. Теперь мы можем найти больше путей атак для контейнеров и обнаружить более сложные и сложные шаблоны атак, используемые злоумышленниками для инфильтрации облачных и сред Kubernetes.

Полное обнаружение образов контейнеров в поддерживаемых реестрах

6 октября 2024 г.

Defender для облака теперь собирает данные инвентаризации для всех образов контейнеров в поддерживаемых реестрах, обеспечивая полную видимость в графе безопасности для всех образов в облачных средах, включая образы, которые в настоящее время не имеют рекомендаций по настройке.

Возможности запросов через Cloud Security Explorer улучшены, чтобы пользователи могли искать образы контейнеров на основе их метаданных (дайджест, репозиторий, ОС, тег и т. д.).

Инвентаризация программного обеспечения контейнеров с помощью Cloud Security Explorer

6 октября 2024 г.

Теперь клиенты могут получить список программного обеспечения, установленного в своих контейнерах и образах контейнеров, через Cloud Security Explorer. Этот список также можно использовать для быстрого получения других аналитических сведений о клиентской среде, таких как поиск всех контейнеров и образов контейнеров с программным обеспечением, затронутым уязвимостью нулевого дня, даже до публикации CVE.

Сентябрь 2024 г.

Улучшения возможностей Cloud Security Explorer

22 сентября 2024 г.

Предполагаемая дата изменения: октябрь 2024 г.

Cloud Security Explorer настроен для повышения производительности и функциональности сетки, предоставления большего обогащения данных для каждого облачного ресурса, улучшения категорий поиска и улучшения отчета о экспорте CSV с дополнительными сведениями о экспортируемых облачных ресурсах.

Общая доступность мониторинга целостности файлов на основе Microsoft Defender для конечной точки

18 сентября 2024 г.

Новая версия мониторинга целостности файлов на базе Microsoft Defender для конечной точки теперь доступна в рамках плана 2 для защиты серверов. FIM позволяет выполнять следующие действия:

• Соблюдайте требования соответствия, отслеживая критически важные файлы и реестры в режиме реального времени и проверяя изменения.
• Определите потенциальные проблемы безопасности, обнаруживая подозрительные изменения содержимого файла.

Этот улучшенный интерфейс FIM заменяет существующий интерфейс, который планируется вывести из эксплуатации в связи с прекращением использования агента Log Analytics (MMA). Опыт FIM по MMA будет поддерживаться до конца ноября 2024 года.

При этом выпуске представляется новая возможность внутри продукта, позволяющая перенести конфигурацию FIM с использованием MMA в новую версию FIM с использованием Defender для конечной точки.

Сведения о том, как включить FIM через Defender для конечной точки, см. в разделе "Мониторинг целостности файлов" с помощью Microsoft Defender для конечной точки. Для получения информации о том, как отключить предыдущие версии, см. раздел Миграция мониторинга целостности файлов из предыдущих версий.

Опыт миграции FIM доступен в Defender для облака

18 сентября 2024 г.

В продукте выпущена функция, позволяющая перенести конфигурацию FIM через MMA в новую версию FIM с использованием Defender для конечной точки. С помощью этого интерфейса вы можете:

• Просмотрите затронутую среду с предыдущей версией FIM по протоколу MMA с включенной и требуемой миграцией.
• Экспорт текущих правил FIM из интерфейса на основе MMA и их расположение в рабочих областях
• Мигрируйте на подписки с включенной поддержкой P2 с новым FIM через MDE.

Чтобы использовать интерфейс миграции, перейдите в область параметров среды и нажмите кнопку миграции MMA в верхней строке.

Устаревание возможности автоматической настройки MMA

18 сентября 2024 г. В рамках вывода из эксплуатации агента MMA возможность автоматического развертывания, которая обеспечивает установку и настройку агента для клиентов MDC, также будет выводиться из эксплуатации на двух этапах.

1. К концу сентября 2024 г. автоматическая подготовка MMA будет отключена для клиентов, которые больше не используют эту функцию, а также для недавно созданных подписок. После окончания сентября возможность больше не сможет быть включена повторно в этих подписках.

2. В конце ноября 2024 г. автоматическое предоставление MMA будет отключено в тех подписках, которые еще не отключили его. С этого момента больше нельзя активировать эту функцию в существующих подписках.

Интеграция с Power BI

15 сентября 2024 г.

Defender для облака теперь может интегрироваться с Power BI. Эта интеграция позволяет создавать пользовательские отчеты и панели мониторинга с помощью данных из Defender для облака. Вы можете использовать Power BI для визуализации и анализа состояния безопасности, соответствия требованиям и рекомендаций по безопасности.

Дополнительные сведения о новой интеграции с Power BI.

Обновление до требований к сети с несколькими облаками CSPM

11 сентября 2024 г.

Предполагаемая дата изменения: октябрь 2024 г.

Начиная с октября 2024 года мы добавляем дополнительные IP-адреса в наши службы многооблачного обнаружения для улучшения и обеспечения более эффективного взаимодействия для всех пользователей.

Чтобы обеспечить непрерывный доступ из наших служб, необходимо обновить список разрешений IP-адресов новыми диапазонами, указанными здесь. Необходимо внести необходимые корректировки в параметры брандмауэра, группы безопасности или любые другие конфигурации, которые могут применяться к вашей среде. Списка достаточно для полной функциональности базового (бесплатного) предложения CSPM.

Устаревание функции Defender для серверов

9 сентября 2024 г.

Адаптивные элементы управления приложениями и адаптивная защита сети теперь устарели.

Испанская платформа национальной безопасности (Esquema Nacional de Seguridad (ENS)) добавлена на панель мониторинга соответствия нормативным требованиям для Azure

9 сентября 2024 г.

Организации, которые хотят проверить свои среды Azure на соответствие стандарту ENS, теперь могут сделать это с помощью Defender для облака.

Стандарт ENS применяется ко всему государственному сектору Испании, а также к поставщикам, сотрудничающим с администрацией. Он устанавливает основные принципы, требования и меры безопасности для защиты информации и служб, обрабатываемых в электронном виде. Цель заключается в обеспечении доступа, конфиденциальности, целостности, трассировки, подлинности, доступности и сохранения данных.

Ознакомьтесь с полным списком поддерживаемых стандартов соответствия.

Выполните рекомендации по обновлению системы и применению исправлений на ваших компьютерах.

8 сентября 2024 г.

Теперь вы можете исправлять рекомендации по исправлениям и обновлениям системы на виртуальных машинах Azure и машинах с поддержкой Azure Arc. Обновления системы и исправления важны для обеспечения безопасности и работоспособности компьютеров. Обновления часто содержат исправления безопасности для уязвимостей, которые, если они остаются без исправления, являются эксплуатируемыми злоумышленниками.

Сведения о отсутствующих обновлениях компьютера теперь собираются с помощью Диспетчера обновлений Azure.

Чтобы обеспечить безопасность ваших компьютеров во время обновлений системы и установки исправлений, необходимо включить настройки периодической оценки на компьютерах.

Узнайте, как устранять проблемы с обновлениями системы и исправлять рекомендации по установке патчей на ваших компьютерах.

Интеграция ServiceNow теперь включает модуль соответствия конфигурации

4 сентября 2024 г.

интеграция плана CSPM Defender для облака с ServiceNow теперь включает модуль соответствия конфигурации ServiceNow. Эта функция позволяет выявлять, определять и устранять проблемы конфигурации в облачных ресурсах, уменьшая риски безопасности и повышая общий уровень соответствия с помощью автоматизированных рабочих процессов и аналитических сведений в режиме реального времени.

Узнайте больше об интеграции ServiceNow с Defender для облака.

План защиты хранилища Defender for Storage (classic) для каждой транзакции недоступен для новых подписок

4 сентября 2024 г.

Предполагаемая дата изменения: 5 февраля 2025 г.

После 5 февраля 2025 года вы не сможете активировать устаревший план защиты Defender для хранилища (классический) по каждой транзакции, если он уже не включен в вашей подписке. Дополнительные сведения см. в разделе "Переход на новый план Defender для хранилища".

Гостевая конфигурация Azure Policy теперь доступна всем (общедоступная версия)

1 сентября 2024 г.

Гостевая конфигурация Azure Policy в Defender для серверов теперь доступна в общем доступе для всех клиентов Defender для серверов плана 2 в условиях многоклаудной среды. Гостевая конфигурация предоставляет унифицированный интерфейс для управления базовыми показателями безопасности в вашей среде. Она позволяет оценивать и применять конфигурации безопасности на серверах, включая компьютеры Windows и Linux, виртуальные машины Azure, AWS EC2 и экземпляры GCP.

Узнайте, как включить конфигурацию компьютера с помощью Azure Policy в вашей среде.

Предварительная версия поддержки реестра контейнеров Docker Hub в Defender для контейнеров.

1 сентября 2024 г.

Мы представляем общедоступную предварительную версию расширения покрытия Microsoft Defender для контейнеров, чтобы включить внешние реестры, начиная с реестров контейнеров Docker Hub. В рамках управления Microsoft Cloud Security Posture в вашей организации расширение охвата реестров контейнеров Docker Hub предоставляет возможность сканирования образов контейнеров Docker Hub с использованием Microsoft Defender Vulnerability Management для выявления угроз безопасности и снижения потенциальных рисков.

Дополнительные сведения об этой функции см. в разделе "Оценка уязвимостей" для Docker Hub

Август 2024 г.

Новая версия мониторинга целостности файлов на основе Microsoft Defender для конечной точки

28 августа 2024 г.

Новая версия мониторинга целостности файлов на основе Microsoft Defender для конечной точки теперь доступна в общедоступной предварительной версии. Это часть Плана 2 Defender для серверов. Он позволяет:

• Соблюдайте требования соответствия, отслеживая критически важные файлы и реестры в режиме реального времени и проверяя изменения.
• Определите потенциальные проблемы безопасности, обнаруживая подозрительные изменения содержимого файла.

В рамках этого выпуска интерфейс FIM через AMA больше не будет доступен на портале Defender для облака. Опыт FIM по MMA будет поддерживаться до конца ноября 2024 года. В начале сентября будет выпущен интерфейс в продукте, который позволяет перенести конфигурацию FIM через MMA в новую версию FIM через Defender для конечной точки.

Сведения о том, как включить FIM через Defender для конечной точки, см. в разделе "Мониторинг целостности файлов" с помощью Microsoft Defender для конечной точки. Сведения о том, как выполнить миграцию из предыдущих версий, см. в разделе "Миграция мониторинга целостности файлов" из предыдущих версий.

Прекращение интеграции оповещений Defender для облака с оповещениями Azure WAF

22 августа 2024 г.

Предполагаемая дата изменения: 25 сентября 2024 г.

Интеграция оповещений Defender для облака с оповещениями Azure WAF будет прекращена 25 сентября 2024 г. В конце действия не требуется. Для клиентов Microsoft Sentinel можно настроить соединитель брандмауэра веб-приложений Azure.

Включение Microsoft Defender для серверов SQL на компьютерах в большом масштабе

1 августа 2024 г.

Теперь вы можете включить Microsoft Defender для СЕРВЕРОВ SQL на компьютерах в большом масштабе в облаках государственных организаций. Эта функция позволяет включить Microsoft Defender для SQL на нескольких серверах одновременно, сэкономить время и усилия.

Узнайте, как включить Microsoft Defender для серверов SQL на компьютерах в масштабе.

Июль 2024 г.

Общая доступность расширенных рекомендаций по обнаружению и настройке для защиты конечных точек

31 июля 2024 г.

Улучшенные функции обнаружения решений для защиты конечных точек и улучшенная идентификация проблем конфигурации теперь доступны для многооблачных серверов. Эти обновления включены в план 2 Защитника для серверов и управление состоянием безопасности Cloud Security (CSPM).

Функция расширенных рекомендаций использует сканирование без агента, что обеспечивает комплексное обнаружение и оценку конфигурации поддерживаемых решений обнаружение и нейтрализация атак на конечные точки. При обнаружении проблем с конфигурацией предоставляются шаги по исправлению.

В этом выпуске общедоступной доступности список поддерживаемых решений расширяется, чтобы включить еще два средства обнаружения конечных точек и ответов:

• Платформа Сингулярности от SentinelOne
• Cortex XDR

Нерекомендуемая защита сети

31 июля 2024 г.

Предполагаемая дата изменения: 31 августа 2024 г.

Защита адаптивной сети в Защитнике сервера устарела.

Нерекомендуемая функция включает следующие возможности:

• Рекомендация. Рекомендации по адаптивной защиты сети должны применяться на виртуальных машинах, подключенных к Интернету [ключ оценки: f9f0eed0-f143-47bf-b856-671ea2eeed62]
• Оповещение: трафик, обнаруженный из IP-адресов, рекомендуемых для блокировки

Предварительная версия. Оценки безопасности для GitHub больше не требуют дополнительного лицензирования

22 июля 2024 г.

Пользователям GitHub в Defender для облака больше не нужна лицензия GitHub Advanced Security для просмотра результатов безопасности. Это относится к оценкам безопасности для уязвимостей кода, неправильной настройки инфраструктуры как кода (IaC) и уязвимостей в образах контейнеров, обнаруженных на этапе сборки.

Клиенты с GitHub Advanced Security будут продолжать получать дополнительные оценки безопасности в Defender для облака для предоставленных учетных данных, уязвимостей в открытый код зависимостей и выводов CodeQL.

Дополнительные сведения о безопасности DevOps в Defender для облака см. в разделе "Обзор безопасности DevOps". Чтобы узнать, как подключить среду GitHub к Defender для облака, следуйте руководству по подключению GitHub. Чтобы узнать, как настроить действие GitHub в Microsoft Security DevOps, ознакомьтесь с нашей документацией по GitHub Action .

Обновлена временная шкала по отношению к нерекомендуемым MMA в Defender для серверов плана 2

18 июля 2024 г.

Предполагаемая дата изменения: август 2024 г.

С предстоящим прекращением использования агента Log Analytics в августе все значения безопасности для защиты сервера в Defender для облака будут полагаться на интеграцию с Microsoft Defender для конечной точки (MDE) в качестве одного агента и на возможности без агента, предоставляемые облачной платформой и сканированием без агента.

Следующие возможности обновили временную шкалу и планы, поэтому поддержка этих возможностей по сравнению с MMA будет расширена для Defender для облака клиентов до конца ноября 2024 г.

• Мониторинг целостности файлов (FIM): общедоступный предварительный выпуск для FIM новой версии по MDE планируется в августе 2024 года. Общедоступная версия FIM, поддерживаемая агентом Log Analytics, будет поддерживаться для существующих клиентов до конца ноября 2024 года.

• Базовые показатели безопасности: в качестве альтернативы версии на основе MMA текущая предварительная версия на основе гостевой конфигурации будет выпущена в общедоступной версии в сентябре 2024 года. Базовые показатели безопасности ОС, созданные агентом Log Analytics, будут поддерживаться для существующих клиентов до конца ноября 2024 года.

Дополнительные сведения см. в разделе "Подготовка к выходу" агента Log Analytics.

Нерекомендуемые функции, связанные с MMA, как часть выхода агента на пенсию

18 июля 2024 г.

Предполагаемая дата изменения: август 2024 г.

В рамках нерекомендуемого агента Microsoft Monitoring Agent (MMA) и обновленной стратегии развертывания Defender для серверов все функции безопасности для Defender для серверов теперь будут предоставляться через один агент (Defender для конечной точки) или через возможности сканирования без агента. Для этого не требуется зависимость от MMA или агента мониторинга Azure (AMA).

По мере выхода агента на пенсию в августе 2024 г. на портале Defender для облака будут удалены следующие функции, связанные с MMA:

• Отображение состояния установки MMA в колонках "Инвентаризация и работоспособность ресурсов ".
• Возможность подключения новых серверов, отличных от Azure, в Defender для серверов с помощью рабочих областей Log Analytics, будет удалена из колонки "Инвентаризация " и " Начало работы ".

Чтобы обеспечить непрерывность безопасности, мы советуем клиентам с помощью Плана 2 Defender для серверов включить сканирование и интеграцию без агента с Microsoft Defender для конечной точки в подписках.

Эту настраиваемую книгу можно использовать для отслеживания свойств агента Log Analytics (MMA) и отслеживания состояния развертывания Defender для серверов на виртуальных машинах Azure и компьютерах Azure Arc.

Дополнительные сведения см. в разделе "Подготовка к выходу" агента Log Analytics.

Общедоступная предварительная версия Binary Drift теперь доступна в Defender для контейнеров

Мы представляем общедоступную предварительную версию двоичного смещения для контейнеров Defender. Эта функция помогает выявлять и уменьшать потенциальные риски безопасности, связанные с несанкционированными двоичными файлами в контейнерах. Binary Drift автономно идентифицирует и отправляет оповещения о потенциально опасных двоичных процессах в контейнерах. Кроме того, она позволяет реализовать новую политику двоичного смещения для управления предпочтениями оповещений, предлагая возможность адаптировать уведомления в соответствии с конкретными потребностями безопасности. Дополнительные сведения об этой функции см. в разделе "Обнаружение двоичного смещения"

Скрипты автоматической исправления для AWS и GCP теперь являются общедоступной

14 июля 2024 г.

В марте мы выпустили скрипты автоматической исправления для AWS и GCP в общедоступную предварительную версию, что позволяет устранять рекомендации по AWS и GCP программным способом.

Сегодня мы выпускаем эту функцию для общедоступной версии. Узнайте, как использовать скрипты автоматической исправления.

Обновление разрешений приложения GitHub

11 июля 2024 г.

Предполагаемая дата изменения: 18 июля 2024 г.

Безопасность DevOps в Defender для облака постоянно делает обновления, требующие от клиентов с соединителями GitHub в Defender для облака обновить разрешения для приложения Microsoft Security DevOps на сайте GitHub.

В рамках этого обновления приложению GitHub потребуется разрешение на чтение GitHub Copilot Business. Это разрешение будет использоваться для повышения безопасности развертываний GitHub Copilot. Мы рекомендуем обновить приложение как можно скорее.

Разрешения можно предоставить двумя разными способами:

1. В организации GitHub перейдите к приложению Microsoft Security DevOps в разделе "Параметры > GitHub Apps " и примите запрос на разрешения.

2. В автоматическом сообщении электронной почты из службы поддержки GitHub выберите "Проверить запрос на разрешение", чтобы принять или отклонить это изменение.

Стандарты соответствия теперь общедоступны

10 июля 2024 г.

В марте мы добавили предварительные версии многих новых стандартов соответствия для клиентов, чтобы проверить свои ресурсы AWS и GCP.

Эти стандарты включали в себя тесты тестирования ЯДРА GOOGLE Kubernetes (GKE), ISO/IEC 27001 и ISO/IEC 27002, CRI Profile, CSA Cloud Controls Matrix (CCM), Бразильский закон о защите персональных данных (LGPD), Закон о конфиденциальности потребителей Калифорнии (CCPA) и многое другое.

Эти стандартные предварительные версии теперь общедоступны (GA).

Ознакомьтесь с полным списком поддерживаемых стандартов соответствия.

Улучшение опыта инвентаризации

9 июля 2024 г.

Предполагаемая дата изменения: 11 июля 2024 г.

Возможности инвентаризации будут обновлены для повышения производительности, включая улучшения логики запросов "Открыть запрос" в Azure Resource Graph. Обновления логики вычисления ресурсов Azure могут привести к подсчету и представлению других ресурсов.

Средство сопоставления контейнеров для запуска по умолчанию в GitHub

08 июля 2024 г.

Предполагаемая дата изменения: 12 августа 2024 г.

С помощью возможностей безопасности DevOps в Управление состоянием безопасности облака Microsoft Defender (CSPM) вы можете сопоставить облачные приложения из кода в облако, чтобы легко запустить рабочие процессы исправления разработчиков и сократить время на исправление уязвимостей в образах контейнеров. В настоящее время необходимо вручную настроить средство сопоставления образов контейнеров для запуска в действии Microsoft Security DevOps в GitHub. При этом изменении сопоставление контейнеров будет выполняться по умолчанию в рамках действия Microsoft Security DevOps. Дополнительные сведения о действии Microsoft Security DevOps.

Июнь 2024 г.

GA: Проверка IaC Checkov в Defender для облака

27 июня 2024 г.

Мы объявляем о общедоступной доступности интеграции Checkov для проверки инфраструктуры как кода (IaC) через Microsoft Security DevOps (MSDO). В рамках этого выпуска Checkov заменит TerraScan в качестве анализатора IaC по умолчанию, работающего в составе интерфейса командной строки MSDO (CLI). TerraScan может быть настроен вручную с помощью переменных среды MSDO, но не будет выполняться по умолчанию.

Результаты безопасности checkov представлены в качестве рекомендаций для репозиториев Azure DevOps и GitHub в соответствии с оценками репозиториев Azure DevOps должны иметь инфраструктуру в качестве выводов кода, разрешенных, и репозитории GitHub должны иметь инфраструктуру в качестве выводов кода, разрешенных.

Дополнительные сведения о безопасности DevOps в Defender для облака см. в разделе "Обзор безопасности DevOps". Сведения о настройке ИНТЕРФЕЙСА командной строки MSDO см. в документации по Azure DevOps или GitHub .

Обновление: изменение цен на Defender для контейнеров в мультиоблачном режиме

24 июня 2024 г.

Так как Defender для контейнеров в мультиоблачном режиме теперь общедоступен, он больше не является бесплатным. Подробнее см. в статье о расширенных функциях безопасности Microsoft Defender для облака.

Нерекомендуция: напоминание о нерекомендуемых для адаптивных рекомендаций

20 июня 2024 г.

Предполагаемая дата изменения: август 2024 г.

В рамках устаревшей стратегии MMA и обновленной стратегии развертывания Defender для серверов функции безопасности Defender для серверов будут предоставлены через агент Microsoft Defender для конечной точки (MDE) или с помощью возможностей сканирования без агента. Оба этих параметра не зависят от MMA или агента мониторинга Azure (AMA).

Рекомендации по адаптивной безопасности, известные как адаптивные элементы управления приложениями и адаптивная защита сети, будут прекращены. Текущая версия общедоступной версии на основе MMA и предварительной версии на основе AMA будет устарела в августе 2024 года.

Предварительная версия: Copilot в Defender для облака

10 июня 2024 г.

Мы объявляем об интеграции Microsoft Security Copilot с Defender для облака в общедоступной предварительной версии. Встроенный интерфейс Copilot в Defender для облака предоставляет пользователям возможность задавать вопросы и получать ответы на естественном языке. Copilot поможет вам понять контекст рекомендации, эффект реализации рекомендации, шаги, необходимые для реализации рекомендации, оказания помощи делегированию рекомендаций и помощи в исправлении неправильной конфигурации в коде.

Дополнительные сведения о Microsoft Security Copilot см. в Defender для облака.

Обновление: автоматическая включение оценки уязвимостей SQL

10 июня 2024 г.

Предполагаемая дата изменения: 10 июля 2024 г.

Первоначально оценка уязвимостей SQL (VA) с экспресс-конфигурацией была включена только на серверах, где Microsoft Defender для SQL был активирован после внедрения Express Configuration в декабре 2022 года.

Мы обновим все серверы SQL Azure, которые активировали Microsoft Defender для SQL до декабря 2022 года и не имели существующей политики виртуальной записи SQL, чтобы автоматически включить оценку уязвимостей SQL (SQL VA) с помощью Express Configuration.

• Реализация этого изменения будет постепенной, охватывая несколько недель, и не требует каких-либо действий для части пользователя.
• Это изменение относится к серверам SQL Azure, где Microsoft Defender для SQL активирован на уровне подписки Azure.
• Серверы с существующей классической конфигурацией (допустимая или недопустимая) не будут затронуты этим изменением.
• После активации может появиться рекомендация "Базы данных SQL должны иметь обнаруженные уязвимости" и может повлиять на оценку безопасности.

Обновление: изменения в поведении рекомендаций по идентификации

3 июня 2024 г.

Предполагаемая дата изменения: июль 2024 г.

Эти изменения:

• Оцененный ресурс станет удостоверением вместо подписки
• Рекомендации больше не будут содержать "вложенные серверы"
• Значение поля assessmentKey в API будет изменено для этих рекомендаций.

Будет применяться к следующим рекомендациям:

• Для учетных записей с разрешениями владельца для ресурсов Azure должна быть включена многофакторная проверка подлинности
• Для учетных записей с разрешениями на запись для ресурсов Azure должна быть включена многофакторная проверка подлинности
• Для учетных записей с разрешениями на чтение для ресурсов Azure должна быть включена многофакторная проверка подлинности
• Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены
• Гостевые учетные записи с разрешениями на запись для ресурсов Azure должны быть удалены
• Гостевые учетные записи с разрешениями на чтение для ресурсов Azure должны быть удалены
• Заблокированные учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены
• Заблокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены
• Для подписки должно быть назначено не более трех владельцев.
• Подписке должно быть назначено несколько владельцев

май 2024

GA: обнаружение вредоносных программ без агента в Defender для серверов плана 2

30 мая 2024 г.

обнаружение вредоносных программ без агента Defender для облака для виртуальных машин Azure, экземпляров AWS EC2 и экземпляров виртуальных машин GCP теперь общедоступен в качестве новой функции.Defender для серверов плана 2.

Обнаружение вредоносных программ без агента использует подсистему защиты от вредоносных программ антивирусная программа в Microsoft Defender для сканирования и обнаружения вредоносных файлов. Обнаруженные угрозы активируют оповещения системы безопасности непосредственно в Defender для облака и XDR Defender, где их можно исследовать и устранять. Дополнительные сведения о проверке вредоносных программ без агента для серверов и без агента для виртуальных машин.

Обновление: настройка Уведомления по электронной почте для путей атаки

22 мая 2024 г.

Теперь можно настроить Уведомления по электронной почте при обнаружении пути атаки с указанным уровнем риска или выше. Узнайте, как настроить Уведомления по электронной почте.

Обновление: расширенная охота в XDR в Microsoft Defender включает Defender для облака оповещения и инциденты

21 мая 2024 г.

оповещения и инциденты Defender для облака теперь интегрированы с XDR в Microsoft Defender и доступны на портале Microsoft Defender. Эта интеграция обеспечивает более широкий контекст для исследований, охватывающих облачные ресурсы, устройства и удостоверения. Узнайте о расширенной охоте в интеграции XDR.

Предварительная версия: интеграция Checkov для сканирования IaC в Defender для облака

9 мая 2024 г.

Интеграция Checkov для безопасности DevOps в Defender для облака теперь доступна в предварительной версии. Эта интеграция улучшает качество и общее количество проверок инфраструктуры как кода, выполняемых интерфейсом командной строки MSDO при сканировании шаблонов IaC.

Хотя в предварительной версии checkov должен быть явно вызван с помощью входного параметра tools для ИНТЕРФЕЙСА командной строки MSDO.

Узнайте больше о безопасности DevOps в Defender для облака и настройке ИНТЕРФЕЙСА командной строки MSDO для Azure DevOps и GitHub.

GA: управление разрешениями в Defender для облака

7 мая 2024 г.

Управление разрешениями теперь доступно в Defender для облака.

Предварительная версия: управление безопасностью с несколькими облаками ИИ

6 мая 2024 г.

Управление безопасностью искусственного интеллекта доступно в предварительной версии Defender для облака. Она предоставляет возможности управления безопасностью ИИ для Azure и AWS, чтобы повысить безопасность конвейеров и служб ИИ.

Узнайте больше об управлении безопасностью ИИ.

Ограниченная предварительная версия: защита от угроз для рабочих нагрузок ИИ в Azure

6 мая 2024 г.

Защита от угроз для рабочих нагрузок ИИ в Defender для облака доступна в ограниченной предварительной версии. Этот план помогает отслеживать приложения Azure OpenAI в среде выполнения для вредоносных действий, выявлять и устранять риски безопасности. Он предоставляет контекстную информацию о защите от угроз рабочей нагрузки ИИ, интеграции с ответственным ИИ и Microsoft Threat Intelligence. Соответствующие оповещения системы безопасности интегрируются на портал Defender.

Дополнительные сведения о защите от угроз для рабочих нагрузок ИИ.

Общедоступная версия: управление политиками безопасности

2 мая 2024 г.

Теперь общедоступен управление политиками безопасности в облаках (Azure, AWS, GCP). Это позволяет группам безопасности управлять своими политиками безопасности согласованно и с новыми функциями.

Дополнительные сведения о политиках безопасности см. в Microsoft Defender для облака.

Предварительная версия: Defender для баз данных с открытым кодом, доступных в AWS

1 мая 2024 г.

Защитник для баз данных с открытым кодом в AWS теперь доступен в предварительной версии. Он добавляет поддержку различных типов экземпляров Amazon Relational Database Service (RDS).

Дополнительные сведения об Defender для баз данных с открытым исходным кодом и о включении Defender для баз данных с открытым исходным кодом в AWS.

Нерекомендуция: удаление FIM (с AMA)

1 мая 2024 г.

Предполагаемая дата изменения: август 2024 г.

В рамках устаревшей стратегии MMA и обновленной стратегии развертывания Defender для серверов все функции безопасности Defender для серверов будут предоставлены через один агент (MDE) или через возможности сканирования без агента и без зависимости от MMA или AMA.

Новая версия мониторинга целостности файлов (FIM) на Microsoft Defender для конечной точки (MDE) позволяет выполнять требования соответствия требованиям, отслеживая критически важные файлы и реестры в режиме реального времени, проверяя изменения и обнаруживая подозрительные изменения содержимого файла.

В рамках этого выпуска интерфейс FIM через AMA больше не будет доступен через портал Defender для облака начиная с августа 2024 года. Дополнительные сведения см. в разделе "Мониторинг целостности файлов" — рекомендации по изменению и миграции.

Дополнительные сведения о новой версии API см. в Microsoft Defender для облака REST API.

Апрель 2024 г.

Обновление: изменение идентификаторов оценки CIEM

16 апреля 2024 г.

Предполагаемая дата изменения: май 2024 г.

Для перемоделирования запланированы следующие рекомендации, что приведет к изменению идентификаторов оценки:

• Azure overprovisioned identities should have only the necessary permissions
• AWS Overprovisioned identities should have only the necessary permissions
• GCP overprovisioned identities should have only the necessary permissions
• Super identities in your Azure environment should be removed
• Unused identities in your Azure environment should be removed

Общедоступная версия: Defender для контейнеров для AWS и GCP

15 апреля 2024 г.

Обнаружение угроз среды выполнения и обнаружение без агента для AWS и GCP в Defender для контейнеров теперь общедоступны. Кроме того, в AWS есть новая возможность проверки подлинности, которая упрощает подготовку.

Дополнительные сведения о матрице поддержки контейнеров в Defender для облака и настройке компонентов Defender для контейнеров.

Обновление: приоритет риска

3 апреля 2024 г.

Приоритет риска теперь используется по умолчанию в Defender для облака. Эта функция помогает сосредоточиться на наиболее важных проблемах безопасности в вашей среде путем приоритета рекомендаций на основе факторов риска каждого ресурса. Факторы риска включают потенциальное влияние проблемы безопасности, категории риска и путь атаки, в который входит проблема безопасности. Дополнительные сведения о приоритете рисков.

Обновление: Defender для реляционных баз данных с открытым исходным кодом

3 апреля 2024 г.

• Обновление для гибких серверов Defender для PostgreSQL после общедоступной версии. Обновление позволяет клиентам применять защиту существующих гибких серверов PostgreSQL на уровне подписки, что позволяет обеспечить полную гибкость для обеспечения защиты на основе каждого ресурса или автоматической защиты всех ресурсов на уровне подписки.
• Доступность гибких серверов Defender для MySQL и общедоступной версии Defender для облака расширила свою поддержку реляционных баз данных с открытым исходным кодом Azure, включив гибкие серверы MySQL.

В этот выпуск входят:

• Совместимость оповещений с существующими оповещениями для отдельных серверов Defender для MySQL.
• Включение отдельных ресурсов.
• Включение на уровне подписки.
• Обновления для База данных Azure для MySQL гибких серверов развертываются в течение следующих нескольких недель. Если вы видите ошибку The server <servername> is not compatible with Advanced Threat Protection, вы можете ждать обновления или открыть запрос в службу поддержки, чтобы обновить сервер до поддерживаемой версии.

Если вы уже защищаете подписку с помощью Defender для реляционных баз данных с открытым кодом, гибкие ресурсы сервера автоматически включены, защищены и выставляются счета. Конкретные уведомления о выставлении счетов были отправлены по электронной почте для затронутых подписок.

Дополнительные сведения о Microsoft Defender для реляционных баз данных с открытым исходным кодом.

март 2024

Общедоступная версия: сканирование образов контейнеров Windows

31 марта 2024 г.

Мы объявляем общедоступную версию образов контейнеров Windows для сканирования в Defender для контейнеров.

Обновление: непрерывный экспорт теперь включает данные пути атаки

25 марта 2024 г.

Мы объявляем, что непрерывный экспорт теперь включает данные пути атаки. Эта функция позволяет передавать данные безопасности в Log Analytics в Azure Monitor, Центры событий Azure или в другое решение модели автоматизации оркестрации безопасности или классической модели развертывания.

Дополнительные сведения о непрерывном экспорте.

Предварительная версия: сканирование без агента поддерживает зашифрованные виртуальные машины CMK в Azure

21 марта 2024 г.

До сих пор сканирование без агента охватывает зашифрованные виртуальные машины CMK в AWS и GCP. В этом выпуске мы также завершаем поддержку Azure. Эта возможность использует уникальный подход проверки для CMK в Azure:

• Defender для облака не обрабатывает процесс расшифровки или ключа. Ключи и расшифровка легко обрабатываются вычислением Azure и прозрачны для службы сканирования без агента Defender для облака.
• Незашифрованные данные диска виртуальной машины никогда не копируются или повторно шифруются с помощью другого ключа.
• Исходный ключ не реплицируется во время процесса. Очистка позволяет искоренить данные на рабочей виртуальной машине и временном моментальном снимке Defender для облака.

Во время общедоступной предварительной версии эта возможность не включена автоматически. Если вы используете CSPM Defender для серверов P2 или Defender, а среда содержит виртуальные машины с зашифрованными дисками CMK, теперь их можно проверить на наличие уязвимостей, секретов и вредоносных программ после выполнения этих действий.

Предварительная версия: пользовательские рекомендации на основе KQL для Azure

17 марта 2024 г.

Пользовательские рекомендации на основе KQL для Azure теперь доступны в общедоступной предварительной версии и поддерживаются для всех облаков. Дополнительные сведения см. в статье "Создание пользовательских стандартов безопасности и рекомендаций".

Обновление. Включение рекомендаций DevOps в microsoft cloud security benchmark

13 марта 2024 г.

Сегодня мы объявляем, что теперь вы можете отслеживать состояние безопасности и соответствия DevOps в microsoft cloud security benchmark (MCSB) в дополнение к Azure, AWS и GCP. Оценки DevOps являются частью элемента управления DevOps Security в MCSB.

MCSB — это платформа, которая определяет основные принципы облачной безопасности на основе общих отраслевых стандартов и платформ соответствия требованиям. MCSB предоставляет подробные сведения о реализации рекомендаций по безопасности, не зависящих от облака.

Дополнительные сведения о рекомендациях DevOps , которые будут включены и тест безопасности microsoft cloud security.

Общедоступная версия: интеграция ServiceNow теперь общедоступна

12 марта 2024 г.

Мы объявляем о общедоступной доступности интеграции ServiceNow.

Предварительная версия: защита критически важных ресурсов в Microsoft Defender для облака

12 марта 2024 г.

Defender для облака теперь включает функцию критической бизнес-важности, используя обработчик критически важных активов управления безопасностью Майкрософт, чтобы определить и защитить важные ресурсы с помощью определения приоритетов, анализа пути атаки и облачного обозревателя безопасности. Дополнительные сведения см. в разделе "Защита критически важных ресурсов" в Microsoft Defender для облака (предварительная версия).

Обновление: расширенные рекомендации AWS и GCP с помощью сценариев автоматической исправления

12 марта 2024 г.

Мы повышаем рекомендации AWS и GCP с помощью сценариев автоматической исправления, которые позволяют устранять их программными средствами и масштабируемыми сценариями. Узнайте больше о сценариях автоматической исправления.

Предварительная версия: стандарты соответствия, добавленные на панель мониторинга соответствия требованиям

6 марта 2024 г.

На основе отзывов клиентов мы добавили стандарты соответствия в предварительной версии для Defender для облака.

Полный список поддерживаемых стандартов соответствия

Мы постоянно работаем над добавлением и обновлением новых стандартов для сред Azure, AWS и GCP.

Узнайте, как назначить стандарт безопасности.

Обновление: обновления защитника для реляционных баз данных с открытым исходным кодом

6 марта 2024**

Предполагаемая дата изменения: апрель 2024 г.

Обновление для гибких серверов Defender для PostgreSQL после общедоступной версии. Обновление позволяет клиентам применять защиту существующих гибких серверов PostgreSQL на уровне подписки, что позволяет обеспечить полную гибкость для обеспечения защиты на основе каждого ресурса или автоматической защиты всех ресурсов на уровне подписки.

Доступность гибких серверов Defender для MySQL и общедоступная версия— Defender для облака настроена для расширения поддержки реляционных баз данных с открытым исходным кодом Azure, включив гибкие серверы MySQL. В этом выпуске будет содержаться следующее:

• Совместимость оповещений с существующими оповещениями для отдельных серверов Defender для MySQL.
• Включение отдельных ресурсов.
• Включение на уровне подписки.

Если вы уже защищаете подписку с помощью Defender для реляционных баз данных с открытым кодом, гибкие ресурсы сервера автоматически включены, защищены и выставляются счета. Конкретные уведомления о выставлении счетов были отправлены по электронной почте для затронутых подписок.

Дополнительные сведения о Microsoft Defender для реляционных баз данных с открытым исходным кодом.

Обновление: изменения предложений соответствия требованиям и параметров действий Майкрософт

3 марта 2024 г.

Предполагаемая дата изменения: 30 сентября 2025 г.

30 сентября 2025 г. расположения, в которых вы обращаетесь к двум предварительным версиям функций, предложениям соответствия требованиям и действиям Майкрософт, изменится.

Таблица, которая содержит состояние соответствия продуктам Майкрософт (доступ к ней с помощью кнопки "Предложения соответствия требованиям" на панели инструментов панели мониторинга соответствия требованиям Defender). После удаления этой кнопки из Defender для облака вы по-прежнему сможете получить доступ к этой информации с помощью портала управления безопасностью служб.

Для подмножества элементов управления Microsoft Actions был доступен с помощью кнопки "Действия Майкрософт ( предварительная версия) в области сведений об элементах управления. После удаления этой кнопки вы можете просмотреть действия Майкрософт, перейдя на портал управления безопасностью служб Майкрософт для FedRAMP и доступ к документу плана безопасности системы Azure.

Обновление: изменения, в которых вы обращаетесь к предложениям соответствия требованиям и действиям Майкрософт

3 марта 2024**

Предполагаемая дата изменения: сентябрь 2025 г.

30 сентября 2025 г. расположения, в которых вы обращаетесь к двум предварительным версиям функций, предложениям соответствия требованиям и действиям Майкрософт, изменится.

Таблица, которая содержит состояние соответствия продуктам Майкрософт (доступ к ней с помощью кнопки "Предложения соответствия требованиям" на панели инструментов панели мониторинга соответствия требованиям Defender). После удаления этой кнопки из Defender для облака вы по-прежнему сможете получить доступ к этой информации с помощью портала управления безопасностью служб.

Для подмножества элементов управления Microsoft Actions был доступен с помощью кнопки "Действия Майкрософт ( предварительная версия) в области сведений об элементах управления. После удаления этой кнопки вы можете просмотреть действия Майкрософт, перейдя на портал управления безопасностью служб Майкрософт для FedRAMP и доступ к документу плана безопасности системы Azure.

Нерекомендуемое: оценка уязвимостей контейнеров Defender для облака, реализованная при выходе qualys на пенсию

3 марта 2024 г.

Оценка уязвимостей контейнеров Defender для облака на платформе Qualys отменяется. Выход на пенсию будет завершен 6 марта, и до тех пор, пока это время частичные результаты по-прежнему могут отображаться как в рекомендациях Qualys, так и Qualys приводит к графу безопасности. Все клиенты, которые ранее использовали эту оценку, должны обновиться до оценки уязвимостей для Azure с Управление уязвимостями Microsoft Defender. Сведения о переходе к оценке уязвимостей контейнера, предоставляемой Управление уязвимостями Microsoft Defender, см. в статье "Переход от Qualys к Управление уязвимостями Microsoft Defender".

Февраль 2024 г.

Нерекомендуция. Анализ кода безопасности Майкрософт (MSCA) больше не работает

28 февраля 2024 г.

В феврале 2021 года нерекомендуемая задача MSCA была передана всем клиентам и была последней частью жизненной поддержки с марта 2022 года. По состоянию на 26 февраля 2024 года MSCA официально не работает.

Клиенты могут получить последние средства безопасности DevOps из Defender для облака через Microsoft Security DevOps и дополнительные средства безопасности с помощью GitHub Advanced Security для Azure DevOps.

Обновление: управление политиками безопасности расширяет поддержку AWS и GCP

28 февраля 2024 г.

Обновленный интерфейс для управления политиками безопасности, первоначально выпущенными в предварительной версии для Azure, расширяет свою поддержку в облачных средах (AWS и GCP). Этот выпуск предварительной версии включает:

• Управление стандартами соответствия нормативным требованиям в Defender для облака в средах Azure, AWS и GCP.
• Один и тот же интерфейс между облачными интерфейсами для создания пользовательских рекомендаций Microsoft Cloud Security Benchmark (MCSB) и управления ими.
• Обновленный интерфейс применяется к AWS и GCP для создания пользовательских рекомендаций с помощью запроса KQL.

Обновление: облачная поддержка Defender для контейнеров

26 февраля 2024 г.

функции обнаружения угроз Служба Azure Kubernetes (AKS) в Defender для контейнеров теперь полностью поддерживаются в коммерческих, Azure для государственных организаций и облаках Azure 21Vianet. Просмотрите поддерживаемые функции.

Обновление: новая версия датчика Defender для контейнеров Defender

20 февраля 2024 г.

Доступна новая версия датчика Defender для контейнеров Defender. Он включает улучшения производительности и безопасности, поддержку как для узлов архитектуры AMD64, так и Arm64 (только для Linux) и использует Inspektor Gadget в качестве агента сбора процессов вместо Sysdig. Новая версия поддерживается только в ядрах Linux версии 5.4 и выше, поэтому при наличии более старых версий ядра Linux необходимо обновить. Поддержка Arm64 доступна только в AKS версии 1.29 и выше. Дополнительные сведения см. в разделе "Поддерживаемые операционные системы узла".

Обновление: поддержка спецификации формата образа Open Container Initiative (OCI)

18 февраля 2024 г.

Спецификация формата образа Open Container Initiative (OCI) теперь поддерживается оценкой уязвимостей на базе Управление уязвимостями Microsoft Defender для AWS, облаков Azure и GCP.

Нерекомендуция: оценка уязвимостей контейнера AWS, реализованная на базе Trivy, прекращена

13 февраля 2024 г.

Оценка уязвимостей контейнера, на которую работает Trivy, была прекращена. Все клиенты, которые ранее использовали эту оценку, должны обновиться до новой оценки уязвимостей контейнеров AWS, на основе Управление уязвимостями Microsoft Defender. Инструкции по обновлению см. в Разделы справки обновлении от устаревшей оценки уязвимостей Trivy до оценки уязвимостей AWS, созданной на основе Управление уязвимостями Microsoft Defender?

Обновление: прекращение использования поставщика ресурсов Microsoft.SecurityDevOps

5 февраля 2024 г.

Предполагаемая дата изменения: 6 марта 2024 г.

Microsoft Defender для облака удаляет поставщик Microsoft.SecurityDevOps ресурсов, который использовался во время общедоступной предварительной версии системы безопасности DevOps, перенося его в существующий Microsoft.Security поставщик. Причина изменения заключается в улучшении взаимодействия с клиентами путем уменьшения числа поставщиков ресурсов, связанных с соединителями DevOps.

Клиенты, которые по-прежнему используют API версии 2022-09-01-preview для Microsoft.SecurityDevOps запроса данных безопасности Defender для Cloud DevOps, будут затронуты. Чтобы избежать нарушений работы службы, клиенту потребуется обновить до новой версии API 2023-09-01-preview под поставщиком Microsoft.Security .

В настоящее время клиенты, использующие Defender для облака безопасность DevOps из портал Azure, не будут затронуты.

Январь 2024 г.

Обновление: новое представление для активных репозиториев в Cloud Security Explorer

31 января 2024 г.

В Cloud Security Explorer добавлена новая информация о репозиториях Azure DevOps, чтобы указать, активны ли репозитории. Это представление указывает, что репозиторий кода не архивирован или отключен, что означает, что доступ на запись к коду, сборкам и запросам на вытягивание по-прежнему доступен для пользователей. Архивированные и отключенные репозитории могут считаться более низким приоритетом, так как код обычно не используется в активных развертываниях.

Чтобы проверить запрос через Cloud Security Explorer, используйте эту ссылку запроса.

Обновление. Изменение цен на обнаружение угроз в многооблачном контейнере

30 января 2024**

Предполагаемая дата изменения: апрель 2024 г.

Когда обнаружение угроз в мультиоблачном контейнере перемещается в общедоступную доступность, оно больше не будет бесплатно. Подробнее см. в статье о расширенных функциях безопасности Microsoft Defender для облака.

Обновление: принудительное применение CSPM Для Premium DevOps Security Value

29 января 2024**

Предполагаемая дата изменения: 7 марта 2024 г.

Defender для облака начнет применять план CSPM Defender для начала проверки безопасности DevOps уровня "Премиум"7 марта 2024 года. Если вы включили план CSPM Defender в облачной среде (Azure, AWS, GCP) в том же клиенте, в который создаются соединители DevOps, вы будете продолжать получать возможности DevOps класса Premium без дополнительных затрат. Если вы не клиент CSPM в Defender, вы можете включить CSPM Defender до 7 марта 2024 г. перед потерей доступа к этим функциям безопасности. Чтобы включить CSPM Defender в подключенной облачной среде до 7 марта 2024 г., следуйте документации по включению, описанной здесь.

Дополнительные сведения о том, какие функции безопасности DevOps доступны в планах CSPM Foundational и Defender CSPM, см . в нашей документации по обеспечению доступности компонентов.

Дополнительные сведения о DevOps Security в Defender для Облака см. в обзорной документации.

Дополнительные сведения о коде возможностей облачной безопасности в CSPM в Defender см . в статье о защите ресурсов с помощью CSPM Defender.

Предварительная версия: состояние контейнера без агента для GCP в Defender для контейнеров и CSPM Defender

24 января 2024 г.

Новые возможности размещения контейнеров без агента (предварительная версия) доступны для GCP, включая оценки уязвимостей для GCP с Управление уязвимостями Microsoft Defender. Дополнительные сведения обо всех возможностях см. в статье о состоянии контейнера без агента в CSPM Defender и возможностях без агента в Defender для контейнеров.

Вы также можете прочитать об управлении состоянием контейнеров без агента для multicloud в этой записи блога.

Предварительная версия: сканирование вредоносных программ без агента для серверов

16 января 2024 г.

Мы объявляем о выпуске обнаружения вредоносных программ без агента Defender для облака для виртуальных машин Azure , экземпляров AWS EC2 и экземпляров виртуальных машин GCP в качестве новой функции, включенной в Defender для серверов плана 2.

Обнаружение вредоносных программ без агента для виртуальных машин теперь входит в нашу платформу сканирования без агента. Сканирование вредоносных программ без агента использует антивирусная программа в Microsoft Defender подсистеме защиты от вредоносных программ для сканирования и обнаружения вредоносных файлов. Все обнаруженные угрозы, активируйте оповещения системы безопасности непосредственно в Defender для облака и XDR Defender, где их можно исследовать и исправлять. Сканер вредоносных программ без агента дополняет покрытие на основе агентов вторым уровнем обнаружения угроз с неявным подключением и не влияет на производительность компьютера.

Дополнительные сведения о проверке вредоносных программ без агента для серверов и без агента для виртуальных машин.

Общая доступность интеграции Defender для облака с XDR в Microsoft Defender

15 января 2024 г.

Мы объявляем о общедоступной доступности интеграции между Defender для облака и XDR в Microsoft Defender (ранее Microsoft 365 Defender).

Интеграция предоставляет конкурентные возможности защиты облака в центр управления безопасностью (SOC) ежедневно. С помощью Microsoft Defender для облака и интеграции XDR Defender команды SOC могут обнаруживать атаки, которые объединяют обнаружения из нескольких основных компонентов, включая облако, конечную точку, удостоверение, Office 365 и многое другое.

Дополнительные сведения о оповещениях и инцидентах в XDR в Microsoft Defender.

Обновление: сканирование встроенных ролей Azure без агента

14 января 2024**

Предполагаемая дата изменения: февраль 2024 г.

В Azure сканирование без агента для виртуальных машин использует встроенную роль (называемый оператором сканера виртуальных машин) с минимальными необходимыми разрешениями, необходимыми для сканирования и оценки проблем безопасности виртуальных машин. Для непрерывной предоставления соответствующих рекомендаций по работоспособности и конфигурации для виртуальных машин с зашифрованными томами планируется обновление разрешений этой роли. Обновление включает добавление Microsoft.Compute/DiskEncryptionSets/read разрешения. Это разрешение обеспечивает исключительно улучшенную идентификацию использования зашифрованного диска на виртуальных машинах. Он больше не предоставляет возможность расшифровки или доступа к содержимому этих зашифрованных томов за пределами методов шифрования , уже поддерживаемых до этого изменения. Это изменение, как ожидается, будет происходить в феврале 2024 года, и никаких действий в конце не требуется.

Обновление. Заметки запроса на вытягивание безопасности DevOps, включенные по умолчанию для соединителей Azure DevOps

12 января 2024 года

Безопасность DevOps предоставляет результаты безопасности в виде заметок в запросах на вытягивание (PR), чтобы помочь разработчикам предотвращать и устранять потенциальные уязвимости безопасности и неправильные настройки перед вводом в рабочую среду. По состоянию на 12 января 2024 г. заметки pr теперь включены по умолчанию для всех новых и существующих репозиториев Azure DevOps, подключенных к Defender для облака.

По умолчанию заметки pr включены только для выводов с высоким уровнем серьезности инфраструктуры в виде кода (IaC). Клиентам по-прежнему потребуется настроить Microsoft Security для DevOps (MSDO) для запуска в сборках PR и включить политику проверки сборки для сборок CI в параметрах репозитория Azure DevOps. Клиенты могут отключить функцию заметки pr для определенных репозиториев в параметрах конфигурации репозитория области безопасности DevOps.

Дополнительные сведения о включении заметок запроса на вытягивание для Azure DevOps.

Нерекомендуемый путь: путь выхода на пенсию в Защитнике для серверов с встроенной оценкой уязвимостей (Qualys)

9 января 2024**

Предполагаемая дата изменения: май 2024 г.

Встроенное решение оценки уязвимостей Defender для серверов, созданное Qualys, находится на пути выхода на пенсию, который, по оценкам, завершится 1 мая 2024 года. Если в настоящее время вы используете решение для оценки уязвимостей на платформе Qualys, необходимо запланировать переход на интегрированное решение «Управление уязвимостями Microsoft Defender»..

Дополнительные сведения о нашем решении об объединению предложения оценки уязвимостей с Управление уязвимостями Microsoft Defender вы можете ознакомиться с этой записью блога.

Вы также можете ознакомиться с общими вопросами о переходе на решение Управление уязвимостями Microsoft Defender.

Обновление: требования к многооблачной сети Defender для облака

3 января 2024**

Предполагаемая дата изменения: май 2024 г.

Начиная с мая 2024 года мы удалим старые IP-адреса, связанные со службами обнаружения нескольких облаков, чтобы обеспечить улучшение и обеспечить более безопасный и эффективный интерфейс для всех пользователей.

Чтобы обеспечить непрерывный доступ к нашим службам, необходимо обновить список разрешений IP-адресов новыми диапазонами, указанными в следующих разделах. Необходимо внести необходимые корректировки в параметры брандмауэра, группы безопасности или любые другие конфигурации, которые могут применяться к вашей среде.

Список применим ко всем планам и достаточно для полной возможности базового (бесплатного) предложения CSPM.

IP-адреса для выхода из эксплуатации:

• GCP обнаружения: 104.208.29.200, 52.232.56.127
• AWS обнаружения: 52.165.47.219, 20.107.8.204
• Подключение: 13.67.139.3

Добавлены новые диапазоны IP-адресов для конкретного региона:

• Западная Европа: 52.178.17.48/28
• Северная Европа: 13.69.233.80/28
• Центральная часть США: 20.44.10.240/28
• Восточная часть США 2: 20.44.19.128/28

Декабрь 2023 г.

Консолидация имен уровня обслуживания Defender для облака 2

30 декабря 2023 г.

Мы консолидируем устаревшие имена уровней обслуживания 2 для всех планов Defender для облака в одно новое имя уровня обслуживания 2, Microsoft Defender для облака.

Сегодня существует четыре имена уровня обслуживания: Azure Defender, Расширенная защита от угроз, Расширенная безопасность данных и Центр безопасности. Различные метры для Microsoft Defender для облака группируются между этими отдельными именами уровня обслуживания 2, создавая сложности при использовании управления затратами и выставления счетов, выставления счетов и других средств, связанных с выставлением счетов Azure.

Это изменение упрощает процесс проверки Defender для облака расходов и обеспечивает более четкость в анализе затрат.

Чтобы обеспечить плавный переход, мы приняли меры по поддержанию согласованности идентификаторов продукта или службы, SKU и счетчиков. Затронутые клиенты получат информационное уведомление службы Azure для обмена данными об изменениях.

Организациям, которые получают данные о затратах путем вызова наших API, необходимо обновить значения в своих вызовах для изменения. Например, в этой функции фильтра значения не возвращают сведения:

"filter": {
          "dimensions": {
              "name": "MeterCategory",
              "operator": "In",
              "values": [
                  "Advanced Threat Protection",
                  "Advanced Data Security",
                  "Azure Defender",
                  "Security Center"
                ]
          }
      }

Defender для серверов на уровне ресурсов, доступных как общедоступная версия

24 декабря 2023 г.

Теперь вы можете управлять Defender для серверов на определенных ресурсах в подписке, обеспечивая полный контроль над стратегией защиты. С помощью этой возможности можно настроить определенные ресурсы с настраиваемыми конфигурациями, которые отличаются от параметров, настроенных на уровне подписки.

Дополнительные сведения о включении Defender для серверов на уровне ресурсов.

Прекращение использования классических соединителей для multicloud

21 декабря 2023 г.

Классический интерфейс соединителя с несколькими облаками прекращается, и данные больше не передаются в соединители, созданные с помощью этого механизма. Эти классические соединители использовались для подключения центра безопасности AWS и центра управления безопасностью GCP к Defender для облака и подключению AWS EC2s к Defender для серверов.

Полная стоимость этих соединителей была заменена собственным интерфейсом соединителей безопасности с несколькими облаками, который был общедоступен для AWS и GCP с марта 2022 года без дополнительных затрат.

Новые собственные соединители включены в план и предлагают автоматический интерфейс подключения с параметрами подключения к отдельным учетным записям, нескольким учетным записям (с Terraform) и организационным подключением с автоматической подготовкой для следующих планов Defender: бесплатные базовые возможности CSPM, Defender Cloud Security Posture Management (CSPM), Defender для серверов, Defender для SQL и Defender для контейнеров.

Выпуск книги покрытия

21 декабря 2023 г.

Книга "Покрытие" позволяет отслеживать, какие планы Defender для облака активны, в каких частях сред. Эта книга поможет вам обеспечить полную защиту сред и подписок. Имея доступ к подробным сведениям о охвате, вы также можете определить все области, которые могут нуждаться в другой защите и принять меры для решения этих областей.

Дополнительные сведения о книге "Покрытие".

Общая доступность оценки уязвимостей контейнеров на базе Управление уязвимостями Microsoft Defender в Azure для государственных организаций и Azure под управлением 21Vianet

14 декабря 2023 г.

Оценка уязвимостей (VA) для образов контейнеров Linux в реестрах контейнеров Azure на базе Управление уязвимостями Microsoft Defender выпущена для общедоступной версии (GA) в Azure для государственных организаций и Azure, управляемых 21Vianet. Этот новый выпуск доступен в планах Defender для контейнеров и Defender для реестров контейнеров.

• В рамках этого изменения новые рекомендации были выпущены для общедоступной версии и включены в расчет оценки безопасности. Ознакомьтесь с новыми и обновленными рекомендациями по безопасности
• Проверка образа контейнера, на основе управления уязвимостями Microsoft Defender, теперь также взимает плату в соответствии с ценами на план. Изображения, отсканированные как нашим контейнером VA, так и предложением Qualys и Container VA, которые поддерживаются Управление уязвимостями Microsoft Defender, будут выставляться только один раз.

Рекомендации Qualys для оценки уязвимостей контейнеров были переименованы и по-прежнему доступны для клиентов, которые включили Defender для контейнеров в любой из своих подписок до этого выпуска. Новые клиенты, подключенные к Defender для контейнеров после этого выпуска, увидят только новые рекомендации по оценке уязвимостей контейнеров на основе Управление уязвимостями Microsoft Defender.

Общедоступная предварительная версия поддержки Windows для оценки уязвимостей контейнеров на базе Управление уязвимостями Microsoft Defender

14 декабря 2023 г.

Поддержка образов Windows была выпущена в общедоступной предварительной версии в рамках оценки уязвимостей (VA), созданной Управление уязвимостями Microsoft Defender для реестров контейнеров Azure и Служба Azure Kubernetes.

Выход на пенсию оценки уязвимостей контейнера AWS на базе Trivy

13 декабря 2023 г.

Оценка уязвимостей контейнера, на основе Trivy, теперь находится на пути выхода на пенсию, который будет завершен 13 февраля. Эта возможность теперь устарела и будет доступна существующим клиентам, использующим эту возможность до 13 февраля. Мы рекомендуем клиентам использовать эту возможность для обновления до новой оценки уязвимостей контейнеров AWS, созданной на основе Управление уязвимостями Microsoft Defender к 13 февраля.

Состояние контейнера без агента для AWS в Defender для контейнеров и CSPM Defender (предварительная версия)

13 декабря 2023 г.

Новые возможности размещения контейнеров без агента (предварительная версия) доступны для AWS. Дополнительные сведения см. в разделе о состоянии контейнера без агента в CSPM Defender и бессерверных возможностях в Defender для контейнеров.

Общедоступная поддержка гибкого сервера PostgreSQL в Defender для реляционных баз данных с открытым исходным кодом

13 декабря 2023 г.

Мы объявляем о общедоступной версии выпуска гибкого сервера PostgreSQL в Microsoft Defender для реляционных баз данных с открытым исходным кодом. Microsoft Defender для реляционных баз данных с открытым исходным кодом обеспечивает расширенную защиту от угроз для гибких серверов PostgreSQL, обнаруживая аномальные действия и создавая оповещения системы безопасности.

Узнайте, как включить Microsoft Defender для реляционных баз данных с открытым исходным кодом.

Оценка уязвимостей контейнеров на Управление уязвимостями Microsoft Defender теперь поддерживает Google Distroless

12 декабря 2023 г.

Оценки уязвимостей контейнеров, созданные на базе Управление уязвимостями Microsoft Defender, были расширены с дополнительным охватом пакетов ОС Linux, теперь поддерживая Google Distroless.

Список всех поддерживаемых операционных систем см. в статье "Реестры и образы" для Azure — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender.

Ноябрь 2023 г.

Четыре оповещения устарели

30 ноября 2023 г.

В рамках нашего процесса улучшения качества не рекомендуется использовать следующие оповещения системы безопасности:

• Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
• Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
• Suspicious process termination burst (VM_TaskkillBurst)
• PsExec execution detected (VM_RunByPsExec)

Общедоступная проверка секретов без агента в Defender для серверов и CSPM Defender

27 ноября 2023 г.

Сканирование секретов без агента повышает Виртуальные машины (виртуальная машина) облака безопасности, определяя секреты открытого текста на дисках виртуальных машин. Сканирование секретов без агента предоставляет исчерпывающую информацию, чтобы помочь определить приоритеты обнаруженных результатов и снизить риски бокового перемещения до их возникновения. Этот упреждающий подход предотвращает несанкционированный доступ, обеспечивая безопасность облачной среды.

Мы объявляем общедоступную версию проверки секретов без агента, которая включена как в Defender для серверов P2, так и в планы CSPM Defender.

Сканирование секретов без агента использует облачные API для записи моментальных снимков дисков, выполняя внеполновый анализ, который гарантирует, что производительность виртуальной машины не влияет. Сканирование секретов без агента расширяет охват, предлагаемый Defender для облака по облачным ресурсам в средах Azure, AWS и GCP для повышения облачной безопасности.

В этом выпуске возможности обнаружения Defender для облака теперь поддерживают другие типы баз данных, подписанные URL-адреса хранилища данных, маркеры доступа и многое другое.

Узнайте, как управлять секретами с помощью сканирования без агента.

Включение управления разрешениями с помощью Defender для облака (предварительная версия)

22 ноября 2023 г.

Корпорация Майкрософт теперь предлагает решения для платформ защиты приложений (CNAPP) и управления правами облачной инфраструктуры (CIEM) с помощью Microsoft Defender для облака (CNAPP) и управления разрешениями Microsoft Entra (CIEM).

Администраторы безопасности могут получить централизованное представление о неиспользуемых или чрезмерных разрешениях доступа в Defender для облака.

Группы безопасности могут управлять наименьшими привилегиями для облачных ресурсов и получать практические рекомендации по устранению рисков разрешений в облачных средах Azure, AWS и GCP в рамках управления облачными службами Cloud Security Cloud Security (CSPM) без дополнительных требований к лицензированию.

Узнайте, как включить управление разрешениями в Microsoft Defender для облака (предварительная версия).

интеграция Defender для облака с ServiceNow

22 ноября 2023 г.

ServiceNow теперь интегрирован с Microsoft Defender для облака, что позволяет клиентам подключать ServiceNow к своей Defender для облака среде для определения приоритетов по исправлению рекомендаций, влияющих на ваш бизнес. Microsoft Defender для облака интегрируется с модулем ITSM (управление инцидентами). В рамках этого подключения клиенты могут создавать и просматривать билеты ServiceNow (связанные с рекомендациями) из Microsoft Defender для облака.

Дополнительные сведения об интеграции Defender для облака с ServiceNow можно узнать.

Общая доступность процесса автоматической подготовки для SQL Server на компьютерах

20 ноября 2023 г.

При подготовке к отмене microsoft Monitoring Agent (MMA) в августе 2024 г. Defender для облака выпустила процесс автоматической подготовки агента мониторинга Azure (AMA). Новый процесс автоматически включен и настроен для всех новых клиентов, а также предоставляет возможность включения уровня ресурсов для виртуальных машин SQL Azure и серверов SQL с поддержкой Arc.

Клиентам, использующим процесс автоматической подготовки MMA, предлагается перейти на новый агент мониторинга Azure для SQL Server на компьютерах, выполняющих автоматическую подготовку. Процесс обеспечивает непрерывность защиты для всех компьютеров.

Общедоступная доступность Api Defender для API

15 ноября 2023 г.

Мы объявляем общедоступную версию Microsoft Defender для API. Defender для API предназначен для защиты организаций от угроз безопасности API.

Defender для API позволяет организациям защищать свои API и данные от вредоносных субъектов. Организации могут исследовать и улучшать состояние безопасности API, определять приоритеты уязвимостей и быстро обнаруживать и реагировать на активные угрозы в режиме реального времени. Организации также могут интегрировать оповещения системы безопасности непосредственно в платформу управления инцидентами и событиями безопасности (SIEM), например Microsoft Sentinel, для изучения и анализа проблем.

Вы можете узнать , как защитить API с помощью Defender для API. Дополнительные сведения о MICROSOFT Defender для API можно также узнать.

Вы также можете ознакомиться с этим блогом , чтобы узнать больше о объявлении ga.

Defender для облака теперь интегрирован с Microsoft 365 Defender (предварительная версия)

15 ноября 2023 г.

Предприятия могут защитить свои облачные ресурсы и устройства с помощью новой интеграции между Microsoft Defender для облака и XDR в Microsoft Defender. Эта интеграция соединяет точки между облачными ресурсами, устройствами и удостоверениями, которые ранее требовали несколько возможностей.

Интеграция также предоставляет конкурентные возможности защиты облака в центр управления безопасностью (SOC) ежедневно. С помощью XDR в Microsoft Defender команды SOC могут легко обнаруживать атаки, которые объединяют обнаружения из нескольких столпов, включая облако, конечную точку, удостоверение, Office 365 и многое другое.

Ниже приведены некоторые ключевые преимущества.

• Один простой интерфейс для команд SOC: благодаря оповещениям Defender для облака и облачным корреляциям, интегрированным в M365D, команды SOC теперь могут получать доступ ко всем сведениям о безопасности из одного интерфейса, значительно повышая эффективность работы.

• Одна из историй атак: клиенты могут понять полную историю атаки, включая их облачную среду, используя предварительно созданные корреляции, которые объединяют оповещения системы безопасности из нескольких источников.

• Новые облачные сущности в XDR в Microsoft Defender: XDR в Microsoft Defender теперь поддерживают новые облачные сущности, уникальные для Microsoft Defender для облака, например облачные ресурсы. Клиенты могут сопоставлять сущности виртуальной машины с сущностями устройств, предоставляя единое представление всех соответствующих сведений о компьютере, включая оповещения и инциденты, которые были активированы на нем.

• Унифицированный API для продуктов безопасности Майкрософт: теперь клиенты могут экспортировать данные оповещений системы безопасности в свои системы с помощью одного API, так как Microsoft Defender для облака оповещения и инциденты теперь являются частью общедоступного API XDR в Microsoft Defender.

Интеграция между Defender для облака и XDR в Microsoft Defender доступна всем новым и существующим клиентам Defender для облака.

Общая доступность оценки уязвимостей контейнеров на базе Управление уязвимостями Microsoft Defender (MDVM) в Defender для контейнеров и Defender для реестров контейнеров

15 ноября 2023 г.

Оценка уязвимостей (VA) для образов контейнеров Linux в реестрах контейнеров Azure на базе Управление уязвимостями Microsoft Defender (MDVM) выпущена для общедоступной версии (GA) в Defender для контейнеров и Defender для реестров контейнеров.

В рамках этого изменения были выпущены следующие рекомендации для общедоступной версии и переименованы и теперь включены в расчет оценки безопасности:

Сканирование образа контейнера с помощью MDVM теперь также взимает плату по тарифам на план.

Приведенные ниже рекомендации по оценке уязвимостей контейнеров были переименованы и будут доступны клиентам, которые включили Defender для контейнеров до 15 ноября. Новые клиенты, подключенные к Defender для контейнеров после 15 ноября, увидят только новые рекомендации по оценке уязвимостей контейнеров на основе Управление уязвимостями Microsoft Defender.

Изменение имен рекомендаций по оценке уязвимостей контейнеров

Были переименованы следующие рекомендации по оценке уязвимостей контейнеров:

Определение рисков теперь доступно для рекомендаций

15 ноября 2023 г.

Теперь вы можете определить приоритеты рекомендаций по безопасности в соответствии с уровнем риска, который они представляют, принимая во внимание как эксплойтируемость, так и потенциальный бизнес-эффект каждой базовой проблемы безопасности.

Организуя рекомендации на основе их уровня риска (критически важный, средний, средний, низкий), вы можете устранить наиболее критически важные риски в вашей среде и эффективно определить приоритеты устранения проблем безопасности на основе фактического риска, такого как воздействие в Интернете, конфиденциальность данных, возможности бокового перемещения и потенциальные пути атаки, которые могут быть устранены путем решения рекомендаций.

Дополнительные сведения о приоритете рисков.

Анализ путей атаки новый механизм и расширенные улучшения

15 ноября 2023 г.

Мы выпускаем улучшения возможностей анализа путей атаки в Defender для облака.

• Новый модуль — анализ пути атаки имеет новый механизм, который использует алгоритм поиска путей для обнаружения каждого возможного пути атаки, существующего в облачной среде (на основе данных, которые есть в нашем графе). Мы можем найти гораздо больше путей атак в вашей среде и обнаружить более сложные и сложные шаблоны атак, которые злоумышленники могут использовать для нарушения вашей организации.

• Улучшения — выпущены следующие улучшения:

  • Приоритет риска — приоритетный список путей атак на основе риска (эксплойтируемость и влияние на бизнес).
  • Улучшенная исправление — определение конкретных рекомендаций, которые должны быть разрешены для фактического разрыва цепочки.
  • Пути межоблачной атаки — обнаружение путей атаки, которые являются межоблачные (пути, начинающиеся в одном облаке и заканчивающиеся в другом).
  • MITRE — сопоставление всех путей атак с платформой MITRE.
  • Обновленный пользовательский интерфейс — обновленный интерфейс с более строгими возможностями: расширенными фильтрами, поиском и группировкой путей атаки, чтобы упростить выполнение.

Узнайте , как определить и исправить пути атаки.

Изменения схемы таблицы Azure Resource Graph пути атаки

15 ноября 2023 г.

Схема таблицы Azure Resource Graph пути атаки обновляется. Свойство attackPathType удаляется и добавляются другие свойства.

Выпуск общедоступной поддержки GCP в CSPM Defender

15 ноября 2023 г.

Мы объявляем о выпуске общедоступной версии (общедоступная версия) контекстного графа облачной безопасности Defender и анализа путей атаки с поддержкой ресурсов GCP. Вы можете применить возможности CSPM Defender для комплексной видимости и интеллектуальной облачной безопасности в ресурсах GCP.

К ключевым функциям поддержки GCP относятся:

• Анализ пути атаки. Сведения о потенциальных маршрутах, которые могут занять злоумышленники.
• Cloud Security Explorer — упреждающее определение рисков безопасности путем выполнения запросов на основе графа безопасности.
• Сканирование без агента — сканирование серверов и определение секретов и уязвимостей без установки агента.
• Защита с учетом данных — обнаружение и устранение рисков для конфиденциальных данных в контейнерах Облачного хранилища Google.

Дополнительные сведения о параметрах плана CSPM в Защитнике.

Общий выпуск панели мониторинга безопасности данных

15 ноября 2023 г.

Панель мониторинга безопасности данных теперь доступна в общедоступной версии (GA) в рамках плана CSPM Defender.

Панель мониторинга безопасности данных позволяет просматривать ресурсы данных вашей организации, риски для конфиденциальных данных и аналитические сведения о ресурсах данных.

Дополнительные сведения о панели мониторинга безопасности данных.

Выпуск общего выпуска обнаружения конфиденциальных данных для баз данных

15 ноября 2023 г.

Обнаружение конфиденциальных данных для управляемых баз данных, включая базы данных SQL Azure и экземпляры AWS RDS (все варианты RDBMS), теперь общедоступен и позволяет автоматически обнаруживать критически важные базы данных, содержащие конфиденциальные данные.

Чтобы включить эту функцию во всех поддерживаемых хранилищах данных в средах, необходимо включить Sensitive data discovery в CSPM Defender. Узнайте , как включить обнаружение конфиденциальных данных в CSPM в Defender.

Вы также можете узнать, как обнаружение конфиденциальных данных используется в режиме безопасности с учетом данных.

Объявление общедоступной предварительной версии: новое расширенное представление о безопасности данных в нескольких облаках в Microsoft Defender для облака.

Новая версия рекомендации по поиску отсутствующих обновлений системы теперь общедоступна

6 ноября 2023 г.

Дополнительный агент больше не нужен на виртуальных машинах Azure и на компьютерах Azure Arc, чтобы обеспечить наличие всех последних обновлений системы безопасности или критически важных систем.

Новая рекомендация по обновлению системы в System updates should be installed on your machines (powered by Azure Update Manager) элементе управления основана на Apply system updates обновлений и теперь полностью общедоступна. Эта рекомендация использует собственный агент, внедренный в каждую виртуальную машину Azure и компьютеры Azure Arc вместо установленного агента. Краткое исправление в новой рекомендации позволяет выполнить однократную установку отсутствующих обновлений на портале Update Manager.

Старые и новые версии рекомендаций по поиску отсутствующих обновлений системы будут доступны до августа 2024 года, что происходит, когда устаревшая версия устарела. Обе рекомендации: System updates should be installed on your machines (powered by Azure Update Manager)и System updates should be installed on your machines доступны в одном элементе управления: Apply system updates и имеют одинаковые результаты. Таким образом, нет дублирования в влиянии на оценку безопасности.

Рекомендуется перенести новую рекомендацию и удалить старую, отключив ее от встроенной инициативы Defender для облака в политике Azure.

[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) Рекомендация также является общедоступной и является предварительным условием, который будет иметь негативное влияние на оценку безопасности. Вы можете исправить негативный эффект с помощью доступного исправления.

Чтобы применить новую рекомендацию, необходимо:

1. Подключите компьютеры, отличные от Azure, к Arc.
2. Включите периодическое свойство оценки. Чтобы устранить эту рекомендацию, [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) можно использовать быстрое исправление в новой рекомендации.

Октябрь 2023

Изменение серьезности оповещения системы безопасности адаптивных элементов управления приложениями

Дата объявления: 30 октября 2023 г.

В рамках процесса улучшения качества оповещений системы безопасности Defender для серверов и в рамках функции адаптивных элементов управления приложениями серьезность следующего оповещения системы безопасности изменяется на "Информационный".

Чтобы просмотреть это оповещение на странице "Оповещения системы безопасности" на портале Microsoft Defender для облака, измените уровень серьезности фильтра представления по умолчанию, чтобы включить информационные оповещения в сетку.

Автономные версии Azure Управление API удалены из Defender для API

25 октября 2023 г.

Defender для API обновил поддержку исправлений API Управление API Azure. Автономные редакции больше не отображаются в инвентаризации подключенных защитников API и больше не подключены к Defender для API. Автономные редакции не позволяют отправлять трафик в них и не представляют риска с точки зрения безопасности.

Рекомендации по управлению безопасностью DevOps, доступные в общедоступной предварительной версии

19 октября 2023 г.

Новые рекомендации по управлению состоянием DevOps теперь доступны в общедоступной предварительной версии для всех клиентов с соединителем для Azure DevOps или GitHub. Управление состоянием DevOps помогает уменьшить область атаки сред DevOps, обнаружив слабые места в конфигурациях безопасности и элементах управления доступом. Узнайте больше об управлении позами DevOps.

Выпуск cis Azure Foundations Benchmark версии 2.0.0 на панели мониторинга соответствия нормативным требованиям

18 октября 2023 г.

Microsoft Defender для облака теперь поддерживает последнюю версию CIS Azure Security Foundations Benchmark — версия 2.0.0 на панели мониторинга соответствия нормативным требованиям и встроенная инициатива политики в Политика Azure. Выпуск версии 2.0.0 в Microsoft Defender для облака — это совместная совместная работа между Корпорацией Майкрософт, Центром интернет-безопасности (CIS) и сообществами пользователей. Версия 2.0.0 значительно расширяет область оценки, которая теперь включает 90+ встроенные политики Azure и успешно выполняет предыдущие версии 1.4.0 и 1.3.0 и 1.0 в Microsoft Defender для облака и Политика Azure. Дополнительные сведения см. в этой записи блога.

Сентябрь 2023 г.

Изменение ежедневной крышки Log Analytics

Azure Monitor предлагает возможность задать ежедневное ограничение данных, которые будут приемированы в рабочих областях Log Analytics. Однако события Defenders for Cloud Security в настоящее время не поддерживаются в этих исключениях.

Ежедневное ограничение Log Analytics больше не исключает следующий набор типов данных:

• WindowsEvent
• SecurityAlert
• SecurityBaseline
• SecurityBaselineSummary
• SecurityDetection
• SecurityEvent
• WindowsFirewall
• MaliciousIPCommunication
• LinuxAuditLog
• SysmonEvent
• ProtectionStatus
• Update
• UpdateSummary
• CommonSecurityLog
• Syslog

Все оплачиваемые типы данных будут ограничены при выполнении ежедневного ограничения. Это изменение повышает способность полностью содержать затраты от приема данных выше, чем ожидалось.

Дополнительные сведения о рабочих областях с помощью Microsoft Defender для облака.

Панель мониторинга безопасности данных доступна в общедоступной предварительной версии

27 сентября 2023 г.

Панель мониторинга безопасности данных теперь доступна в общедоступной предварительной версии в рамках плана CSPM Defender. Панель мониторинга безопасности данных — это интерактивная панель мониторинга, ориентированная на данные, которая освещает значительные риски для конфиденциальных данных, приоритеты оповещений и потенциальных путей атак для данных в гибридных облачных рабочих нагрузках. Дополнительные сведения о панели мониторинга безопасности данных.

Предварительный выпуск: новый процесс автоматической подготовки для SQL Server на компьютерах

21 сентября 2023 г.

Microsoft Monitoring Agent (MMA) устарел в августе 2024 года. Defender для облака обновлена стратегия, заменив MMA выпуском процесса автоматической подготовки агента мониторинга Azure с целевым сервером SQL Server.

Во время предварительной версии клиенты, использующие процесс автоматической подготовки MMA с параметром агента Azure Monitor (предварительная версия), запрашиваются для миграции в новый агент мониторинга Azure для SQL Server на компьютерах (предварительная версия) автоматической подготовки. Процесс обеспечивает непрерывность защиты для всех компьютеров.

Дополнительные сведения см. в статье "Миграция на сервер SQL Server, предназначенный для агента мониторинга Azure" для автоматической подготовки.

Оповещения GitHub Advanced Security для Azure DevOps в Defender для облака

20 сентября 2023 г.

Теперь вы можете просматривать оповещения GitHub Advanced Security для Azure DevOps (GHAzDO), связанные с CodeQL, секретами и зависимостями в Defender для облака. Результаты отображаются на странице DevOps и в рекомендациях. Чтобы просмотреть эти результаты, добавьте репозитории с поддержкой GHAzDO в Defender для облака.

Дополнительные сведения о расширенной безопасности GitHub для Azure DevOps.

Выключаемые функции теперь доступны для рекомендаций Defender для API

11 сентября 2023 г.

Теперь вы можете исключить рекомендации для следующих рекомендаций по безопасности Defender для API.

Дополнительные сведения об исключении рекомендаций см. в Defender для облака.

Создание примеров оповещений для обнаружения API Defender

11 сентября 2023 г.

Теперь вы можете создать примеры оповещений для обнаружения безопасности, выпущенных в рамках общедоступной предварительной версии Defender для API. Дополнительные сведения о создании примеров оповещений в Defender для облака.

Предварительная версия выпуска: оценка уязвимостей контейнеров с помощью Управление уязвимостями Microsoft Defender теперь поддерживает сканирование по запросу

6 сентября 2023 г.

Оценка уязвимостей контейнеров на основе Управление уязвимостями Microsoft Defender теперь поддерживает дополнительный триггер для сканирования изображений, полученных из ACR. Этот недавно добавленный триггер обеспечивает дополнительное покрытие для активных образов в дополнение к существующим триггерам сканирования изображений, отправленных в ACR за последние 90 дней и образы, работающие в AKS.

Новый триггер начнет развертываться сегодня и, как ожидается, будет доступен всем клиентам к концу сентября.

Подробнее.

Обновленный формат именования стандартов Центра безопасности Интернета (CIS) в соответствии с нормативными требованиями

6 сентября 2023 г.

Формат именования базовых показателей CIS (Center for Internet Security) в панели мониторинга соответствия требованиям изменяется на [Cloud] CIS [version number]CIS [Cloud] Foundations v[version number]. См. таблицу ниже.

Узнайте, как улучшить соответствие нормативным требованиям.

Обнаружение конфиденциальных данных для баз данных PaaS (предварительная версия)

5 сентября 2023 г.

Возможности защиты с учетом данных для обнаружения небезопасных конфиденциальных данных для баз данных PaaS (База данных SQL Azure и экземпляров Amazon RDS любого типа) теперь доступны в общедоступной предварительной версии. Эта общедоступная предварительная версия позволяет создать карту критически важных данных, где бы она ни находились, и тип данных, найденных в этих базах данных.

Обнаружение конфиденциальных данных для баз данных Azure и AWS добавляется в общую таксономию и конфигурацию, которая уже общедоступна для ресурсов облачного хранилища объектов (Хранилище BLOB-объектов Azure, контейнеров AWS S3 и контейнеров хранилища GCP) и предоставляет единую конфигурацию и возможности включения.

Базы данных сканируются еженедельно. При включении sensitive data discoveryобнаружение выполняется в течение 24 часов. Результаты можно просмотреть в Cloud Security Explorer или просмотреть новые пути атаки для управляемых баз данных с конфиденциальными данными.

Состояние безопасности с поддержкой данных для баз данных доступно через план CSPM Defender и автоматически включается в подписках, где sensitive data discovery включен параметр.

Дополнительные сведения о позе безопасности с учетом данных см. в следующих статьях:

• Поддержка и предварительные требования для обеспечения безопасности с учетом данных
• Включение защиты с учетом данных
• Изучение рисков для конфиденциальных данных

Общедоступная версия (GA): сканирование вредоносных программ в Defender для хранилища

1 сентября 2023 г.

Проверка вредоносных программ теперь общедоступна как надстройка в Defender для хранилища. Сканирование вредоносных программ в Defender для хранилища помогает защитить учетные записи хранения от вредоносного содержимого, выполнив полную проверку вредоносных программ при передаче содержимого практически в реальном времени с помощью возможностей антивирусная программа в Microsoft Defender. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого. Возможность сканирования вредоносных программ — это решение SaaS без агента, которое позволяет настраивать в большом масштабе и поддерживает автоматизацию ответа в масштабе.

Дополнительные сведения о проверке вредоносных программ в Defender для хранилища.

Сканирование вредоносных программ имеет цену в соответствии с вашими данными и бюджетом. Выставление счетов начинается 3 сентября 2023 года. Дополнительные сведения см. на странице цен .

Если вы используете предыдущий план, необходимо заранее перенести его в новый план , чтобы включить сканирование вредоносных программ.

Ознакомьтесь с записью блога Microsoft Defender для облака объявлений.

Август 2023 г.

В августе добавлены следующие обновления:

Defender для контейнеров: обнаружение без агента для Kubernetes

30 августа 2023 г.

Мы рады ознакомиться с Defender for Containers: обнаружение без агента для Kubernetes. Этот выпуск знаменует собой значительный шаг вперед в обеспечении безопасности контейнеров, предоставляя расширенные аналитические сведения и комплексные возможности инвентаризации для сред Kubernetes. Новое предложение контейнера работает на Defender для облака контекстном графе безопасности. Вот что можно ожидать от этого последнего обновления:

• Обнаружение Kubernetes без агента
• Комплексные возможности инвентаризации
• Аналитика безопасности, зависят от Kubernetes
• Улучшенная охота на риски с помощью Cloud Security Explorer

Обнаружение без агента для Kubernetes теперь доступно всем клиентам Defender для контейнеров. Вы можете начать использовать эти расширенные возможности сегодня. Мы рекомендуем обновить подписки, чтобы иметь полный набор расширений и воспользоваться последними дополнениями и функциями. Перейдите в область "Среда" и "Параметры " подписки Defender для контейнеров, чтобы включить расширение.

Дополнительные сведения см. в разделе "Обзор безопасности контейнеров Microsoft Defender для контейнеров".

Выпуск рекомендаций. Microsoft Defender для хранилища должен быть включен с сканированием вредоносных программ и обнаружением угроз конфиденциальной данных

22 августа 2023 г.

Выпущена новая рекомендация в Defender для хранилища. Эта рекомендация гарантирует, что Defender для хранилища включен на уровне подписки с возможностями сканирования вредоносных программ и обнаружения угроз конфиденциальных данных.

Эта новая рекомендация заменяет текущую рекомендацию Microsoft Defender for Storage should be enabled (ключ оценки 1be22853-8ed1-4005-9907-ddad64cb1417). Однако эта рекомендация по-прежнему будет доступна в Azure для государственных организаций облаках.

Дополнительные сведения о Microsoft Defender для хранилища.

Расширенные свойства в оповещениях системы безопасности Defender для облака маскируются из журналов действий

17 августа 2023 г.

Недавно мы изменили способ интеграции оповещений системы безопасности и журналов действий. Чтобы лучше защитить конфиденциальную информацию о клиенте, мы больше не добавим эту информацию в журналы действий. Вместо этого мы маскируем его звездочками. Однако эти сведения по-прежнему доступны через API оповещений, непрерывный экспорт и портал Defender для облака.

Клиенты, использующие журналы действий для экспорта оповещений в свои решения SIEM, должны рассмотреть возможность использования другого решения, так как это не рекомендуемый способ экспорта оповещений системы безопасности Defender для облака.

Инструкции по экспорту оповещений системы безопасности Defender для облака в SIEM, SOAR и других сторонних приложений см. в статье "Потоковая передача оповещений" в решение SIEM, SOAR или ИТ-службы управления.

Предварительная версия поддержки GCP в CSPM Defender

15 августа 2023 г.

Мы объявляем предварительную версию предварительной версии контекстного графа облачной безопасности Defender CSPM и анализа путей атаки с поддержкой ресурсов GCP. Вы можете применить возможности CSPM Defender для комплексной видимости и интеллектуальной облачной безопасности в ресурсах GCP.

К ключевым функциям поддержки GCP относятся:

• Анализ пути атаки. Сведения о потенциальных маршрутах, которые могут занять злоумышленники.
• Cloud Security Explorer — упреждающее определение рисков безопасности путем выполнения запросов на основе графа безопасности.
• Сканирование без агента — сканирование серверов и определение секретов и уязвимостей без установки агента.
• Защита с учетом данных — обнаружение и устранение рисков для конфиденциальных данных в контейнерах Облачного хранилища Google.

Дополнительные сведения о параметрах плана CSPM в Защитнике.

Новые оповещения системы безопасности в Defender для серверов плана 2. Обнаружение потенциальных атак, злоупотребляющих расширениями виртуальных машин Azure

7 августа 2023 г.

Эта новая серия оповещений посвящена обнаружению подозрительных действий расширений виртуальных машин Azure и предоставляет аналитические сведения о попытках злоумышленников компрометировать и выполнять вредоносные действия на виртуальных машинах.

Microsoft Defender для серверов теперь может обнаруживать подозрительные действия расширений виртуальных машин, что позволяет повысить уровень безопасности рабочих нагрузок.

Расширения виртуальных машин Azure — это небольшие приложения, которые выполняют после развертывания на виртуальных машинах и предоставляют такие возможности, как конфигурация, автоматизация, мониторинг, безопасность и многое другое. Хотя расширения являются мощным инструментом, они могут использоваться субъектами угроз для различных вредоносных намерений, например:

• Для сбора и мониторинга данных.
• Для выполнения кода и развертывания конфигурации с высокими привилегиями.
• Для сброса учетных данных и создания административных пользователей.
• Для шифрования дисков.

Ниже приведена таблица новых оповещений.

См. оповещения на основе расширений в Defender для серверов.

Полный список оповещений см. в справочной таблице для всех оповещений системы безопасности в Microsoft Defender для облака.

Обновления бизнес-модели и цен для планов Defender для облака

1 августа 2023 г.

Microsoft Defender для облака имеет три плана, которые предлагают защиту уровня служб:

• Defender для Key Vault

• Defender для Resource Manager

• Defender для DNS

Эти планы перешли на новую бизнес-модель с различными ценами и упаковкой для решения отзывов клиентов о прогнозируемости расходов и упрощении общей структуры затрат.

Сводка по бизнес-модели и изменениям цен:

Существующие клиенты Defender для Key-Vault, Defender для Resource Manager и Defender для DNS сохраняют текущую бизнес-модель и цены, если они активно не выбирают переход на новую бизнес-модель и цену.

• Defender для Resource Manager: этот план имеет фиксированную цену за подписку в месяц. Клиенты могут переключиться на новую бизнес-модель, выбрав Defender для Resource Manager новую для каждой модели подписки.

Существующие клиенты Defender для Key-Vault, Defender для Resource Manager и Defender для DNS сохраняют текущую бизнес-модель и цены, если они активно не выбирают переход на новую бизнес-модель и цену.

• Defender для Resource Manager: этот план имеет фиксированную цену за подписку в месяц. Клиенты могут переключиться на новую бизнес-модель, выбрав Defender для Resource Manager новую для каждой модели подписки.
• Defender для Key Vault: этот план имеет фиксированную цену за хранилище, в месяц без превышения платы. Клиенты могут переключиться на новую бизнес-модель, выбрав Defender для Key Vault новую для каждой модели хранилища.
• Defender для DNS: Defender для серверов плана 2 клиенты получают доступ к значению Defender для DNS в рамках плана 2 Defender для серверов без дополнительных затрат. Клиенты, у которых есть защитник для плана 2 и Defender для DNS, больше не взимается плата за Defender для DNS. Defender для DNS больше не доступен как автономный план.

Дополнительные сведения о ценах на эти планы см. на странице цен на Defender для облака.

Июль 2023 г.

В июле добавлены следующие обновления:

Предварительная версия оценки уязвимостей контейнеров с Управление уязвимостями Microsoft Defender

31 июля 2023 г.

Мы объявим о выпуске образов контейнеров Linux для образов контейнеров Linux на базе Управление уязвимостями Microsoft Defender в Defender для контейнеров и Defender для реестров контейнеров. Новое предложение va для контейнера будет предоставлено вместе с существующим предложением Container VA, предоставляемым Qualys в Defender для контейнеров и Defender для реестров контейнеров, а также включает ежедневные повторное сканирование образов контейнеров, сведения об эксплойтируемости, поддержку языков ОС и программирования (SCA) и многое другое.

Это новое предложение начнется сегодня, и, как ожидается, будет доступно всем клиентам к 7 августа.

Дополнительные сведения об оценке уязвимостей контейнера см. в Управление уязвимостями Microsoft Defender.

Состояние контейнера без агента в CSPM в Defender теперь общедоступно

30 июля 2023 г.

Возможности размещения контейнеров без агента теперь являются общедоступными (GA) в рамках плана CSPM Defender (Cloud Security Posture Management).

Узнайте больше о том, как разместить контейнер без агента в CSPM в Defender.

Управление автоматическими обновлениями в Defender для конечной точки для Linux

20 июля 2023 г.

По умолчанию Defender для облака пытается обновить агенты Defender для конечной точки для Linux, подключенные с расширениемMDE.Linux. В этом выпуске вы можете управлять этим параметром и отказаться от настройки по умолчанию для управления циклами обновления вручную.

Сканирование секретов без агента для виртуальных машин в Defender для серверов P2 и CSPM Defender

18 июля 2023 г.

Сканирование секретов теперь доступно в рамках безагентного сканирования в Defender для серверов P2 и CSPM Defender. Эта возможность помогает обнаруживать неуправляемые и небезопасные секреты, сохраненные на виртуальных машинах в ресурсах Azure или AWS, которые можно использовать для бокового перемещения в сети. Если обнаружены секреты, Defender для облака могут помочь определить приоритеты и предпринять действия по исправлению, чтобы свести к минимуму риск бокового перемещения, все без влияния на производительность компьютера.

Дополнительные сведения о защите секретов с помощью сканирования секретов см. в разделе "Управление секретами с помощью сканирования без агента".

Новое оповещение системы безопасности в Defender для серверов плана 2. Обнаружение потенциальных атак с использованием расширений драйверов GPU виртуальной машины Azure

12 июля 2023 г.

Это оповещение посвящено выявлению подозрительных действий с использованием расширений драйверов GPU виртуальной машины Azure и предоставляет аналитические сведения о попытках злоумышленников скомпрометировать виртуальные машины. Предупреждение предназначено для подозрительных развертываний расширений драйверов GPU; такие расширения часто злоупотребляют субъектами угроз, чтобы использовать полную мощность карты GPU и выполнять шифрование.

Полный список оповещений см. в справочной таблице для всех оповещений системы безопасности в Microsoft Defender для облака.

Поддержка отключения определенных результатов уязвимостей

9 июля 2023 г.

Выпуск поддержки отключения результатов уязвимостей для образов реестра контейнеров или запуска образов в рамках размещения без агента. Если у вас есть организация, необходимо игнорировать обнаружение уязвимостей в образе реестра контейнеров, а не исправлять его, вы можете при необходимости отключить его. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.

Узнайте, как отключить результаты оценки уязвимостей в образах реестра контейнеров.

Защита с учетом данных теперь общедоступна

1 июля 2023 г.

Состояние безопасности с учетом данных в Microsoft Defender для облака теперь доступно в общедоступном режиме. Это помогает клиентам снизить риск данных и реагировать на нарушения данных. Функция состояния безопасности с учетом данных позволяет:

• Автоматически обнаруживайте ресурсы конфиденциальных данных в Azure и AWS.
• Оцените конфиденциальность данных, воздействие данных и способы потоков данных в организации.
• Упреждающее и непрерывное обнаружение рисков, которые могут привести к нарушениям данных.
• Обнаружение подозрительных действий, которые могут указывать на текущие угрозы для ресурсов конфиденциальных данных

Дополнительные сведения см. в статье о состоянии безопасности с поддержкой данных в Microsoft Defender для облака.

Июнь 2023 г.

В июне добавлены следующие обновления:

Упрощенная подключение учетной записи с несколькими облаками с расширенными параметрами

26 июня 2023 г.

Defender для облака улучшил интерфейс подключения, чтобы включить новый упрощенный пользовательский интерфейс и инструкции в дополнение к новым возможностям, которые позволяют подключить среды AWS и GCP при предоставлении доступа к расширенным функциям подключения.

Для организаций, которые приняли Hashicorp Terraform для автоматизации, Defender для облака теперь включает возможность использовать Terraform в качестве метода развертывания вместе с AWS CloudFormation или GCP Cloud Shell. Теперь при создании интеграции можно настроить необходимые имена ролей. Вы также можете выбрать один из вариантов:

• Доступ по умолчанию — позволяет Defender для облака сканировать ресурсы и автоматически включать будущие возможности.

• Минимальный привилегированный доступ - предоставляет Defender для облака доступ только к текущим разрешениям, необходимым для выбранных планов.

Если выбрать наименее привилегированные разрешения, вы получите уведомления только о новых ролях и разрешениях, необходимых для получения полной функциональности в работоспособности соединителя.

Defender для облака позволяет различать облачные учетные записи по собственным именам от поставщиков облачных служб. Например, псевдонимы учетных записей AWS и имена проектов GCP.

Поддержка частной конечной точки для сканирования вредоносных программ в Defender для хранилища

25 июня 2023 г.

Поддержка частной конечной точки теперь доступна в рамках проверки общедоступной предварительной версии вредоносных программ в Defender для хранилища. Эта возможность позволяет включить сканирование вредоносных программ в учетных записях хранения, использующих частные конечные точки. Других настроек не требуется.

Сканирование вредоносных программ (предварительная версия) в Defender для хранилища помогает защитить учетные записи хранения от вредоносного содержимого путем выполнения полного сканирования вредоносных программ при отправке содержимого практически в режиме реального времени с помощью антивирусная программа в Microsoft Defender возможностей. Он предназначен для выполнения требований безопасности и соответствия требованиям для обработки ненадежного содержимого. Это решение SaaS без агента, которое позволяет выполнять простую настройку в масштабе с нулевым обслуживанием и поддерживает автоматизацию ответа в масштабе.

Частные конечные точки обеспечивают безопасное подключение к службам служба хранилища Azure, эффективно устраняя общедоступный интернет-доступ и считаются рекомендациями по обеспечению безопасности.

Для учетных записей хранения с частными конечными точками, в которых уже включена проверка вредоносных программ, необходимо отключить и включить план с проверкой вредоносных программ для работы.

Узнайте больше об использовании частных конечных точек в Defender для хранилища и о том, как защитить службы хранилища дальше.

Рекомендация, выпущенная для предварительной версии: при выполнении образов контейнеров должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender)

21 июня 2023 г.

Новая рекомендация по контейнеру в CSPM Defender с Управление уязвимостями Microsoft Defender выпущена для предварительной версии:

Эта новая рекомендация заменяет текущую рекомендацию того же имени, на основе Qualys, только в CSPM Defender (замена ключа оценки 41503391-efa5-47ee-9282-4eff6131462c).

Обновления управления были сделаны в стандартах NIST 800-53 в соответствии с нормативными требованиями

15 июня 2023 г.

Недавно стандарты NIST 800-53 (R4 и R5) были обновлены с изменениями контроля в Microsoft Defender для облака соответствия нормативным требованиям. Управляемые корпорацией Майкрософт элементы управления были удалены из стандарта, а сведения о реализации ответственности Майкрософт (как часть облачной модели общей ответственности) теперь доступны только в области сведений об элементе управления в разделе "Действия Майкрософт".

Эти элементы управления ранее вычислялись как переданные элементы управления, поэтому вы можете увидеть значительный спад в оценке соответствия стандартам NIST в период с апреля 2023 по май 2023 года.

Дополнительные сведения об элементах управления соответствием см. в руководстве по проверке соответствия нормативным требованиям Microsoft Defender для облака.

Планирование облачной миграции с помощью бизнес-дела службы "Миграция Azure" теперь включает Defender для облака

11 июня 2023 г.

Теперь вы можете обнаружить потенциальную экономию средств в безопасности, применяя Defender для облака в контексте бизнес-дела службы "Миграция Azure".

Экспресс-конфигурация для оценки уязвимостей в Defender для SQL теперь общедоступна

7 июня 2023 г.

Экспресс-конфигурация для оценки уязвимостей в Defender для SQL теперь общедоступна. Экспресс-конфигурация обеспечивает упрощенное подключение для оценки уязвимостей SQL с помощью конфигурации один щелчка (или вызова API). В управляемых учетных записях хранения нет дополнительных параметров или зависимостей.

Ознакомьтесь с этим блогом , чтобы узнать больше о экспресс-конфигурации.

Различия между экспресс-и классической конфигурацией можно узнать.

Дополнительные области, добавленные в существующие соединители Azure DevOps

6 июня 2023 г.

Defender для DevOps добавил следующие дополнительные области в приложение Azure DevOps (ADO):

• Заранее управление безопасностью: vso.advsec_manage. Это необходимо для включения, отключения и управления GitHub Advanced Security для ADO.

• Сопоставление контейнеров: vso.extension_manage, vso.gallery_manager; Это необходимо для предоставления общего доступа к расширению декоратора организации ADO.

Это изменение влияет только на новых клиентов Defender для DevOps, которые пытаются подключить ресурсы ADO к Microsoft Defender для облака.

Подключение напрямую (без Azure Arc) к Defender для серверов теперь общедоступен

5 июня 2023 г.

Ранее Azure Arc требовалась для подключения серверов, отличных от Azure, к Defender для серверов. Однако с помощью последнего выпуска вы также можете подключить локальные серверы к Defender для серверов, используя только агент Microsoft Defender для конечной точки.

Этот новый метод упрощает процесс подключения для клиентов, ориентированных на защиту основных конечных точек, и позволяет воспользоваться преимуществами выставления счетов на основе потребления Defender для серверов как для облачных, так и для необлачных ресурсов. Теперь доступен вариант прямого подключения через Defender для конечной точки с выставлением счетов за подключенные компьютеры, начиная с 1 июля.

Дополнительные сведения см. в статье Подключение компьютеров, отличных от Azure, к Microsoft Defender для облака с помощью Defender для конечной точки.

Замена обнаружения на основе агента с помощью обнаружения без агента для возможностей контейнеров в CSPM в Defender

4 июня 2023 г.

Благодаря возможностям остановки контейнеров без агента, доступными в CSPM в Defender, возможности обнаружения на основе агента теперь удаляются. Если в настоящее время вы используете возможности контейнеров в CSPM Defender, убедитесь, что соответствующие расширения включены для продолжения получения значения, связанного с контейнером, новых возможностей без агента, таких как пути атак, связанные с контейнером, аналитические сведения и инвентаризация. (Для просмотра последствий включения расширений может потребоваться до 24 часов.

Узнайте больше о позе контейнера без агента.

Май 2023 г.

В мае добавлены следующие обновления:

• Новое оповещение в Defender для Key Vault.
• Поддержка бессерверного сканирования зашифрованных дисков в AWS.
• Изменения соглашений об именовании JIT (JIT) в Defender для облака.
• Подключение выбранных регионов AWS.
• Изменения рекомендаций по идентификации.
• Отмена устаревших стандартов на панели мониторинга соответствия требованиям.
• Обновление двух рекомендаций Defender для DevOps для включения результатов проверки Azure DevOps
• Новый параметр по умолчанию для решения оценки уязвимостей Defender для серверов.
• Возможность скачать CSV-отчет о результатах запроса Cloud Security Explorer (предварительная версия).
• Выпуск оценки уязвимостей контейнеров с Управление уязвимостями Microsoft Defender.
• Переименование рекомендаций по контейнерам на основе Qualys.
• Обновление приложения Defender для DevOps GitHub.
• Перейдите на заметки Defender для DevOps Pull Request в репозиториях Azure DevOps, которые теперь включают инфраструктуру в качестве неправильной настройки кода.

Новое оповещение в Defender для Key Vault

Все доступные оповещения см. в разделе "Оповещения" для Azure Key Vault.

Сканирование без агента теперь поддерживает зашифрованные диски в AWS

Сканирование без агента для виртуальных машин теперь поддерживает обработку экземпляров с зашифрованными дисками в AWS с помощью CMK и PMK.

Эта расширенная поддержка повышает охват и видимость облачных ресурсов, не влияя на выполняемые рабочие нагрузки. Поддержка зашифрованных дисков поддерживает тот же метод нулевого влияния на запущенные экземпляры.

• Для новых клиентов, включающих сканирование без агента в AWS, покрытие зашифрованных дисков встроено и поддерживается по умолчанию.
• Для существующих клиентов, у которых уже есть соединитель AWS с включенным сканированием без агента, необходимо повторно применить стек CloudFormation к подключенным учетным записям AWS для обновления и добавления новых разрешений, необходимых для обработки зашифрованных дисков. Обновленный шаблон CloudFormation включает новые назначения, позволяющие Defender для облака обрабатывать зашифрованные диски.

Дополнительные сведения о разрешениях, используемых для сканирования экземпляров AWS.

Чтобы повторно применить стек CloudFormation, выполните указанные действия.

1. Перейдите к Defender для облака параметрам среды и откройте соединитель AWS.
2. Перейдите на вкладку "Настройка доступа ".
3. Щелкните , чтобы скачать шаблон CloudFormation.
4. Перейдите в среду AWS и примените обновленный шаблон.

Дополнительные сведения об бессерверном сканировании и включении сканирования без агента в AWS.

Измененные соглашения об именовании правил JIT (JIT) в Defender для облака

Мы пересмотрели правила JIT (JIT), чтобы соответствовать Microsoft Defender для облака бренду. Мы изменили соглашения об именовании для правил Брандмауэр Azure и NSG (группа безопасности сети).

Изменения перечислены следующим образом:

Узнайте, как защитить порты управления с помощью JIT-доступа.

Подключение выбранных регионов AWS

Чтобы помочь вам управлять затратами и требованиями соответствия AWS CloudTrail, теперь можно выбрать регионы AWS для сканирования при добавлении или изменении облачного соединителя. Теперь вы можете сканировать выбранные регионы AWS или все доступные регионы (по умолчанию) при подключении учетных записей AWS к Defender для облака. Дополнительные сведения см. в разделе "Подключение учетной записи AWS к Microsoft Defender для облака".

Несколько изменений в рекомендациях по идентификации

Следующие рекомендации теперь выпускаются как общедоступная версия и заменяют рекомендации версии 1, которые теперь устарели.

Выпуск общедоступной версии удостоверений

В выпуске рекомендаций по идентификации версии 2 представлены следующие улучшения:

• Область сканирования была расширена, чтобы включить все ресурсы Azure, а не только подписки. Это позволяет администраторам безопасности просматривать назначения ролей для каждой учетной записи.
• Теперь определенные учетные записи можно исключить из оценки. Учетные записи, такие как разрывы или учетные записи служб, могут быть исключены администраторами безопасности.
• Частота сканирования была увеличена с 24 часов до 12 часов, тем самым гарантируя, что рекомендации по идентификации являются более актуальными и точными.

Следующие рекомендации по безопасности доступны в общедоступной версии и заменены рекомендациями версии 1.

Отмена рекомендаций по идентификации версии 1

Теперь не рекомендуется использовать следующие рекомендации по безопасности:

Мы рекомендуем обновить пользовательские скрипты, рабочие процессы и правила управления, чтобы соответствовать рекомендациям версии 2.

Отмена устаревших стандартов на панели мониторинга соответствия требованиям

Устаревшие версии PCI DSS версии 3.2.1 и устаревшие TSP SOC были полностью устарели на панели мониторинга соответствия требованиям Defender для облака и заменены инициативой SOC 2 типа 2 и стандартами соответствия требованиям pci DSS версии 4. Мы полностью нерекомендуемую поддержку стандарта ИЛИ инициативы PCI DSS в Microsoft Azure, работающей в 21Vianet.

Узнайте, как настроить набор стандартов на панели мониторинга соответствия нормативным требованиям.

Defender для DevOps включает результаты сканирования Azure DevOps

Defender для DevOps Code и IaC расширили охват рекомендаций в Microsoft Defender для облака, чтобы включить результаты безопасности Azure DevOps для следующих двух рекомендаций:

• Code repositories should have code scanning findings resolved

• Code repositories should have infrastructure as code scanning findings resolved

Ранее проверка безопасности Azure DevOps включала только рекомендацию по секретам.

Дополнительные сведения о Defender для DevOps.

Новый параметр по умолчанию для решения оценки уязвимостей Defender для серверов

Решения по оценке уязвимостей (VA) важны для защиты компьютеров от кибератак и нарушений данных.

Управление уязвимостями Microsoft Defender теперь включен как встроенное решение по умолчанию для всех подписок, защищенных Defender для серверов, которые еще не выбрали решение VA.

Если подписка включена на любой из своих виртуальных машин, изменения не вносятся и Управление уязвимостями Microsoft Defender по умолчанию не будут включены на оставшихся виртуальных машинах в этой подписке. Вы можете включить решение VA на оставшихся виртуальных машинах в подписках.

Узнайте, как найти уязвимости и собрать инвентаризацию программного обеспечения с помощью проверки без агента (предварительная версия).

Скачивание CSV-отчета результатов запроса cloud security explorer (предварительная версия)

Defender для облака добавил возможность скачать CSV-отчет о результатах запроса cloud security explorer.

После выполнения поиска запроса нажмите кнопку "Скачать csv-отчет (предварительная версия") на странице Cloud Security Explorer в Defender для облака.

Узнайте, как создавать запросы с помощью облачного обозревателя безопасности

Выпуск оценки уязвимостей контейнеров с Управление уязвимостями Microsoft Defender

Мы объявляем о выпуске образов оценки уязвимостей для Linux в реестрах контейнеров Azure на базе Управление уязвимостями Microsoft Defender в CSPM Defender. Этот выпуск включает ежедневное сканирование изображений. Результаты, используемые в обозревателе безопасности и путях атак, зависят от оценки уязвимостей Microsoft Defender, а не сканера Qualys.

Существующая рекомендация Container registry images should have vulnerability findings resolved заменена новой рекомендацией:

Узнайте больше о том, что контейнеры без агента размещены в CSPM Defender.

Дополнительные сведения о Управление уязвимостями Microsoft Defender.

Переименование рекомендаций по контейнерам на основе Qualys

Текущие рекомендации по контейнерам в Defender для контейнеров будут переименованы следующим образом:

Обновление приложения Defender для DevOps GitHub

Microsoft Defender для DevOps постоянно вносит изменения и обновления, требующие от клиентов Defender для DevOps, которые подключены к средам GitHub в Defender для облака для предоставления разрешений в рамках приложения, развернутого в организации GitHub. Эти разрешения необходимы для обеспечения нормальной работы и без проблем во всех функциях безопасности Defender для DevOps.

Мы рекомендуем обновить разрешения как можно скорее, чтобы обеспечить постоянный доступ ко всем доступным функциям Defender для DevOps.

Разрешения можно предоставить двумя разными способами:

• В организации выберите GitHub Apps. Найдите вашу организацию и выберите "Проверить запрос".

• Вы получите автоматизированное сообщение электронной почты из службы поддержки GitHub. В сообщении электронной почты выберите "Проверить запрос на разрешение", чтобы принять или отклонить это изменение.

После того как вы выполнили любой из этих параметров, вы перейдете на экран проверки, где следует просмотреть запрос. Нажмите кнопку "Принять новые разрешения" , чтобы утвердить запрос.

Если вам нужна помощь в обновлении разрешений, можно создать запрос поддержка Azure.

Вы также можете узнать больше о Defender для DevOps. Если подписка включена на любой из своих виртуальных машин, изменения не вносятся и Управление уязвимостями Microsoft Defender по умолчанию не будут включены на оставшихся виртуальных машинах в этой подписке. Вы можете включить решение VA на оставшихся виртуальных машинах в подписках.

Узнайте, как найти уязвимости и собрать инвентаризацию программного обеспечения с помощью проверки без агента (предварительная версия).

Заметки Defender для DevOps Pull Request в репозиториях Azure DevOps теперь включают инфраструктуру в качестве неправильной настройки кода

Defender для DevOps расширил покрытие заметок запроса на вытягивание (PR) в Azure DevOps, чтобы включить неправильно настроенные конфигурации инфраструктуры как кода (IaC), обнаруженные в шаблонах Azure Resource Manager и Bicep.

Теперь разработчики могут просматривать заметки для неправильной настройки IaC непосредственно в своих PR. Разработчики также могут устранить критически важные проблемы безопасности перед подготовкой инфраструктуры в облачные рабочие нагрузки. Чтобы упростить исправление, разработчики предоставляются с уровнем серьезности, описанием неправильной настройки и инструкциями по исправлению в каждой заметке.

Ранее покрытие заметок pr Defender для DevOps в Azure DevOps включало только секреты.

Дополнительные сведения о заметках Defender для DevOps и запросов на вытягивание.

Апрель 2023 г.

В апреле добавлены следующие обновления:

• Состояние контейнера без агента в CSPM в Defender (предварительная версия)
• Рекомендация по использованию единого шифрования дисков предварительной версии
• Изменения на компьютерах рекомендаций должны быть настроены безопасно
• Отмена политик мониторинга языка Служба приложений
• Новое оповещение в Defender для Resource Manager
• Три оповещения в плане Defender для Resource Manager устарели
• Оповещения автоматического экспорта в рабочую область Log Analytics устарели
• Отмена и улучшение выбранных оповещений для серверов Windows и Linux
• Новые рекомендации по проверке подлинности Azure Active Directory для служб данных Azure
• Две рекомендации, связанные с отсутствием обновлений операционной системы (ОС), были выпущены в общедоступной версии
• Defender для API (предварительная версия)

Состояние контейнера без агента в CSPM в Defender (предварительная версия)

Новые возможности размещения контейнеров без агента (предварительная версия) доступны в рамках плана CSPM Defender (Cloud Security Posture Management).

Защита контейнеров без агента позволяет командам безопасности выявлять риски безопасности в контейнерах и областях Kubernetes. Подход без агента позволяет группам безопасности получать представление о своих реестрах Kubernetes и контейнеров в SDLC и среде выполнения, устраняя трения и следы от рабочих нагрузок.

Posture без агента предлагает оценки уязвимостей контейнера, которые в сочетании с анализом пути атаки позволяют группам безопасности определять приоритеты и увеличивать масштабы определенных уязвимостей контейнеров. Вы также можете использовать обозреватель облачной безопасности для выявления рисков и поиска аналитических сведений о положении контейнеров, таких как обнаружение приложений, работающих под уязвимыми изображениями или доступ к Интернету.

Дополнительные сведения см. в публикации без агента (предварительная версия).

Рекомендация по единому шифрованию дисков (предварительная версия)

В предварительной версии существуют новые рекомендации по шифрованию унифицированных дисков.

• Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
• Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost.

Эти рекомендации заменяютсяVirtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources, которые обнаружили Шифрование дисков Azure и политикуVirtual machines and virtual machine scale sets should have encryption at host enabled, которая обнаружила EncryptionAtHost. ADE и EncryptionAtHost обеспечивают сравнимое шифрование при хранении, и мы рекомендуем включить один из них на каждой виртуальной машине. Новые рекомендации определяют, включены ли ADE или EncryptionAtHost, и предупреждают только в том случае, если они не включены. Мы также предупреждаем, включена ли ADE на некоторых дисках виртуальной машины (это условие не применимо к EncryptionAtHost).

Для новых рекомендаций требуется настройка компьютера автоуправляемого управления Azure.

Эти рекомендации основаны на следующих политиках:

• (предварительная версия) Виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost
• (предварительная версия) Виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost

Узнайте больше о ADE и EncryptionAtHost и о том, как включить один из них.

Изменения на компьютерах рекомендаций должны быть настроены безопасно

Была обновлена рекомендация Machines should be configured securely . Обновление повышает производительность и стабильность рекомендации и сопоставляет его опыт с универсальным поведением рекомендаций Defender для облака.

В рамках этого обновления идентификатор рекомендации был изменен на 181ac480-f7c4-544b-9865-11b8ffe87f47c476dc48-8110-4139-91af-c8d940896b98.

Никаких действий на стороне клиента не требуется, и ожидаемое влияние на оценку безопасности не требуется.

Отмена политик мониторинга языка Служба приложений

Следующие Служба приложений политики мониторинга языка устарели из-за их способности создавать ложные отрицательные значения и потому, что они не обеспечивают лучшую безопасность. Всегда следует убедиться, что вы используете языковую версию без известных уязвимостей.

Клиенты могут использовать альтернативные встроенные политики для мониторинга любой указанной языковой версии для своих Служба приложений.

Эти политики больше не доступны в встроенных рекомендациях Defender для облака. Их можно добавить в качестве пользовательских рекомендаций, чтобы Defender для облака отслеживать их.

Новое оповещение в Defender для Resource Manager

Defender для Resource Manager имеет следующее новое оповещение:

Вы можете просмотреть список всех оповещений, доступных для Resource Manager.

Три оповещения в плане Defender для Resource Manager устарели

Следующие три оповещения для плана Defender для Resource Manager устарели:

• Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
• Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
• Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

В сценарии обнаружения действия из подозрительного IP-адреса один из следующих оповещений Azure Resource Manager operation from suspicious IP address о планах Defender для Resource Manager или Azure Resource Manager operation from suspicious proxy IP address будет присутствовать.

Оповещения автоматического экспорта в рабочую область Log Analytics устарели

Оповещения Defenders for Cloud Security автоматически экспортируются в рабочую область Log Analytics по умолчанию на уровне ресурса. Это приводит к детерминированному поведению, поэтому мы не рекомендуем использовать эту функцию.

Вместо этого можно экспортировать оповещения системы безопасности в выделенную рабочую область Log Analytics с помощью непрерывного экспорта.

Если вы уже настроили непрерывный экспорт оповещений в рабочую область Log Analytics, дальнейшие действия не требуются.

Отмена и улучшение выбранных оповещений для серверов Windows и Linux

Процесс улучшения качества оповещений системы безопасности для Defender для серверов включает нерекомендуние некоторых оповещений для серверов Windows и Linux. Устаревшие оповещения теперь создаются из оповещений Defender для конечной точки и охватываются оповещениями об угрозах Defender для конечной точки.

Если у вас уже включена интеграция Defender для конечной точки, дальнейшие действия не требуются. В апреле 2023 г. может возникнуть снижение объема оповещений.

Если у вас нет интеграции Defender для конечной точки в Defender для серверов, необходимо включить интеграцию Defender для конечной точки для поддержания и улучшения охвата оповещений.

Все клиенты Defender для серверов имеют полный доступ к интеграции Defender для конечной точки в рамках плана Defender для серверов.

Дополнительные сведения о параметрах подключения можно узнать о Microsoft Defender для конечной точки.

Вы также можете просмотреть полный список оповещений , которые настроены как устаревшие.

Ознакомьтесь с блогом Microsoft Defender для облака.

Новые рекомендации по проверке подлинности Azure Active Directory для служб данных Azure

Мы добавили четыре новых рекомендаций по проверке подлинности Azure Active Directory для служб данных Azure.

Две рекомендации, связанные с отсутствием обновлений операционной системы (ОС), были выпущены в общедоступной версии

Рекомендации и System updates should be installed on your machines (powered by Azure Update Manager) выпущены Machines should be configured to periodically check for missing system updates для общедоступной доступности.

Чтобы использовать новую рекомендацию, необходимо:

• Подключите компьютеры, отличные от Azure, к Arc.
• Включите свойство периодической оценки. С помощью кнопки "Исправить". в новой рекомендации, чтобы исправить эту рекомендацию Machines should be configured to periodically check for missing system updates .

После выполнения этих действий можно удалить старую рекомендациюSystem updates should be installed on your machines, отключив ее от встроенной инициативы Defender для облака в политике Azure.

Две версии рекомендаций:

• System updates should be installed on your machines
• System updates should be installed on your machines (powered by Azure Update Manager)

Оба будут доступны до тех пор, пока агент Log Analytics не будет нерекомендуем 31 августа 2024 г., то есть когда более старая версия (System updates should be installed on your machines) рекомендации также будет устарела. Обе рекомендации возвращают одинаковые результаты и доступны в одном элементе управления Apply system updates.

Новая рекомендация System updates should be installed on your machines (powered by Azure Update Manager) содержит поток исправления, доступный с помощью кнопки "Исправление", которая может использоваться для исправления любых результатов с помощью диспетчера обновлений (предварительная версия). Этот процесс исправления по-прежнему находится в предварительной версии.

Ожидается, что новая рекомендация System updates should be installed on your machines (powered by Azure Update Manager) не влияет на оценку безопасности, так как она имеет те же результаты, что и старая рекомендация System updates should be installed on your machines.

Рекомендация по предварительным требованиям (включение периодического свойства оценки) негативно влияет на оценку безопасности. Вы можете исправить негативный эффект с помощью доступной кнопки "Исправить".

Defender для API (предварительная версия)

Defender для облака Майкрософт объявляет о том, что новый Defender для API доступен в предварительной версии.

Defender для API обеспечивает полную защиту жизненного цикла, обнаружение и покрытие ответов для API.

Defender для API помогает получить представление о критически важных для бизнеса API. Вы можете исследовать и улучшать состояние безопасности API, определять приоритеты исправлений уязвимостей и быстро обнаруживать активные угрозы в режиме реального времени.

Дополнительные сведения об Defender для API.

Март 2023 г.

В марте добавлены следующие обновления:

• Доступен новый план Defender для хранения, включая сканирование вредоносных программ практически в режиме реального времени и обнаружение угроз конфиденциальной данных
• Состояние безопасности с учетом данных (предварительная версия)
• Улучшенный интерфейс для управления политиками безопасности Azure по умолчанию
• CSPM Defender (Управление облачная безопасность) теперь общедоступен (GA)
• Возможность создания пользовательских рекомендаций и стандартов безопасности в Microsoft Defender для облака
• Microsoft Cloud Security Benchmark (MCSB) версии 1.0 теперь общедоступен (GA)
• Некоторые стандарты соответствия нормативным требованиям теперь доступны в облаках государственных организаций
• Новая предварительная версия рекомендации для СЕРВЕРОВ SQL Azure
• Новое оповещение в Defender для Key Vault

Доступен новый план Defender для хранения, включая сканирование вредоносных программ практически в режиме реального времени и обнаружение угроз конфиденциальной данных

Облачное хранилище играет ключевую роль в организации и хранит большие объемы ценных и конфиденциальных данных. Сегодня мы объявляем новый план Defender для хранения. Если вы используете предыдущий план (теперь переименованы в Defender для хранилища (классическая модель)), необходимо заранее перейти к новому плану , чтобы использовать новые функции и преимущества.

Новый план включает расширенные возможности безопасности для защиты от вредоносных отправки файлов, кражи конфиденциальных данных и повреждения данных. Она также обеспечивает более прогнозируемую и гибкую структуру ценообразования для более эффективного контроля над покрытием и затратами.

Новый план теперь имеет новые возможности в общедоступной предварительной версии:

• Обнаружение событий воздействия конфиденциальных данных и кражи

• Проверка вредоносных программ в режиме реального времени практически в режиме реального времени для всех типов файлов

• Обнаружение сущностей без удостоверений с помощью маркеров SAS

Эти возможности повышают существующую возможность мониторинга активности на основе анализа журналов управления и анализа журналов плоскости данных и моделирования поведения для выявления ранних признаков нарушения.

Все эти возможности доступны в новом прогнозируемом и гибком плане ценообразования, который обеспечивает детальный контроль над защитой данных на уровне подписки и ресурсов.

Дополнительные сведения см. в статье "Обзор Microsoft Defender для хранилища".

Состояние безопасности с учетом данных (предварительная версия)

Microsoft Defender для облака помогает командам по обеспечению безопасности работать эффективнее при снижении рисков и реагировании на нарушения данных в облаке. Он позволяет им сократить шум с контекстом данных и определить наиболее важные риски безопасности, предотвращая дорогостоящие нарушения данных.

• Автоматически обнаруживайте ресурсы данных в облаке и оцените их доступность, конфиденциальность данных и настроенные потоки данных. -Непрерывно обнаруживать риски для нарушений данных конфиденциальных ресурсов данных, воздействия или атак, которые могут привести к ресурсу данных с помощью метода бокового перемещения.
• Обнаружение подозрительных действий, которые могут указывать на постоянную угрозу для ресурсов конфиденциальных данных.

Узнайте больше о позе безопасности с учетом данных.

Улучшенный интерфейс для управления политиками безопасности Azure по умолчанию

Мы введем улучшенный интерфейс управления политиками безопасности Azure для встроенных рекомендаций, упрощающих настройку требований к безопасности Defender для облака клиентам. Новый интерфейс включает следующие новые возможности:

• Простой интерфейс позволяет повысить производительность и взаимодействие с политиками безопасности по умолчанию в Defender для облака.
• Одно представление всех встроенных рекомендаций по безопасности, предлагаемых microsoft cloud security benchmark (прежнее название — тест безопасности Azure). Рекомендации организованы в логические группы, что упрощает понимание типов ресурсов и связь между параметрами и рекомендациями.
• Добавлены новые функции, такие как фильтры и поиск.

Узнайте, как управлять политиками безопасности.

Ознакомьтесь с блогом Microsoft Defender для облака.

CSPM Defender (Управление облачная безопасность) теперь общедоступен (GA)

Мы объявляем, что CSPM Defender теперь общедоступен (GA). CSPM Defender предлагает все службы, доступные в рамках возможностей CSPM Foundational, и добавляет следующие преимущества:

• Анализ пути атаки и API ARG — анализ пути атаки использует алгоритм на основе графа, который сканирует граф облачной безопасности для предоставления путей атаки и предлагает рекомендации по устранению проблем, которые нарушают путь атаки и предотвращают успешное нарушение. Вы также можете использовать пути атаки программным способом, запрашивая API Azure Resource Graph (ARG). Узнайте, как использовать анализ пути атаки
• Cloud Security Explorer — используйте Cloud Security Explorer для выполнения запросов на основе графов в графе облачной безопасности, чтобы заранее определить риски безопасности в средах с несколькими облаками. Дополнительные сведения об облачном обозревателе безопасности.

Дополнительные сведения о CSPM Defender.

Возможность создания пользовательских рекомендаций и стандартов безопасности в Microsoft Defender для облака

Microsoft Defender для облака предоставляет возможность создания пользовательских рекомендаций и стандартов для AWS и GCP с помощью запросов KQL. С помощью редактора запросов можно создавать и тестировать запросы по данным. Эта функция входит в план CSPM Defender (Cloud Security Posture Management). Узнайте, как создавать пользовательские рекомендации и стандарты.

Microsoft Cloud Security Benchmark (MCSB) версии 1.0 теперь общедоступен (GA)

Microsoft Defender для облака объявляется, что microsoft cloud security benchmark (MCSB) версии 1.0 теперь общедоступен (GA).

MCSB версии 1.0 заменяет azure Security Benchmark (ASB) версии 3 как политику безопасности по умолчанию Defender для облака. MCSB версии 1.0 отображается как стандарт соответствия по умолчанию на панели мониторинга соответствия требованиям и включен по умолчанию для всех Defender для облака клиентов.

Вы также можете узнать, как microsoft cloud security benchmark (MCSB) поможет вам добиться успеха в пути облачной безопасности.

Дополнительные сведения о MCSB.

Некоторые стандарты соответствия нормативным требованиям теперь доступны в облаках государственных организаций

Мы обновляем эти стандарты для клиентов в Azure для государственных организаций и Microsoft Azure, управляемых 21Vianet.

Azure для государственных организаций:

• PCI DSS версии 4
• SOC 2, тип 2
• ISO 27001:2013

Microsoft Azure, управляемый 21Vianet:

• SOC 2, тип 2
• ISO 27001:2013

Узнайте, как настроить набор стандартов на панели мониторинга соответствия нормативным требованиям.

Новая предварительная версия рекомендации для СЕРВЕРОВ SQL Azure

Мы добавили новую рекомендацию для серверов SQL Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)Azure.

Рекомендация основана на существующей политике Azure SQL Database should have Azure Active Directory Only Authentication enabled

Эта рекомендация отключает локальные методы проверки подлинности и разрешает только проверку подлинности Azure Active Directory, что повышает безопасность, обеспечивая доступ к База данных SQL Azure исключительно удостоверениям Azure Active Directory.

Узнайте, как создавать серверы с включенной проверкой подлинности только azure AD в SQL Azure.

Новое оповещение в Defender для Key Vault

Defender для Key Vault имеет следующее новое оповещение:

Список всех оповещений, доступных для Key Vault.

Февраль 2023

В феврале добавлены следующие изменения:

• Расширенный Cloud Security Explorer
• Проверка уязвимостей Defender для контейнеров для запуска образов Linux теперь общедоступная версия
• Объявление о поддержке стандарта соответствия AWS CIS 1.5.0
• Microsoft Defender для DevOps (предварительная версия) теперь доступен в других регионах
• Встроенная политика [предварительная версия]: частная конечная точка должна быть настроена для Key Vault не рекомендуется

Расширенный Cloud Security Explorer

Улучшенная версия облачного обозревателя безопасности включает обновленный пользовательский интерфейс, который значительно устраняет трение запросов, добавил возможность выполнять многооблачные и многоресурсные запросы, а также внедренную документацию для каждого варианта запроса.

Cloud Security Explorer теперь позволяет выполнять облачные абстрактные запросы между ресурсами. Вы можете использовать предварительно созданные шаблоны запросов или использовать пользовательский поиск для применения фильтров для создания запроса. Узнайте , как управлять Cloud Security Explorer.

Проверка уязвимостей Defender для контейнеров для запуска образов Linux теперь общедоступная версия

Defender для контейнеров обнаруживает уязвимости в запущенных контейнерах. Поддерживаются контейнеры Windows и Linux.

В августе 2022 г. эта возможность была выпущена в предварительной версии для Windows и Linux. Теперь мы выпускаем его для общедоступной версии (GA) для Linux.

При обнаружении уязвимостей Defender для облака создает следующую рекомендацию по безопасности, в которой перечислены результаты сканирования: при выполнении образов контейнеров должны быть устранены результаты уязвимостей.

Узнайте больше о просмотре уязвимостей для запущенных образов.

Объявление о поддержке стандарта соответствия AWS CIS 1.5.0

Defender для облака теперь поддерживает стандарт соответствия cis Amazon Web Services версии 1.5.0. Стандарт можно добавить на панель мониторинга соответствия нормативным требованиям и использовать существующие предложения MDC для многооблачных рекомендаций и стандартов.

Этот новый стандарт включает как существующие, так и новые рекомендации, которые расширяют охват Defender для облака новыми службами и ресурсами AWS.

Узнайте, как управлять оценками и стандартами AWS.

Microsoft Defender для DevOps (предварительная версия) теперь доступен в других регионах

Microsoft Defender для DevOps расширил свою предварительную версию и теперь доступен в регионах Западной Европы и Восточной Австралии при подключении ресурсов Azure DevOps и GitHub.

Дополнительные сведения о Microsoft Defender для DevOps.

Встроенная политика [предварительная версия]: частная конечная точка должна быть настроена для Key Vault не рекомендуется

Встроенная политика [Preview]: Private endpoint should be configured for Key Vault устарела и заменена политикой [Preview]: Azure Key Vaults should use private link .

Дополнительные сведения об интеграции Azure Key Vault с Политика Azure.

Январь 2023 г.

Обновления в январе включают следующие:

• Компонент Endpoint Protection (Microsoft Defender для конечной точки) теперь доступен на странице "Параметры и мониторинг"
• Новая версия рекомендации по поиску отсутствующих обновлений системы (предварительная версия)
• Очистка удаленных компьютеров Azure Arc в подключенных учетных записях AWS и GCP
• Разрешить непрерывный экспорт в Центры событий за брандмауэром
• Имя элемента управления "Защита оценки безопасности" для приложений с помощью расширенных сетевых решений Azure изменилось
• Параметры оценки уязвимостей политики для SQL Server должны содержать адрес электронной почты для получения отчетов проверки не рекомендуется
• Рекомендация по включению журналов диагностики для Масштабируемые наборы виртуальных машин не рекомендуется

Компонент Endpoint Protection (Microsoft Defender для конечной точки) теперь доступен на странице "Параметры и мониторинг"

Чтобы получить доступ к Endpoint Protection, перейдите кпараметрам планов>Защитника> средыи мониторингу. Здесь можно задать значение Endpoint Protection включено. Вы также можете увидеть другие компоненты, управляемые.

Дополнительные сведения о включении Microsoft Defender для конечной точки на серверах с помощью Defender для серверов.

Новая версия рекомендации по поиску отсутствующих обновлений системы (предварительная версия)

Вам больше не нужен агент на виртуальных машинах Azure и компьютерах Azure Arc, чтобы убедиться, что компьютеры имеют все последние обновления системы безопасности или критически важных систем.

Новая рекомендация System updates should be installed on your machines (powered by Azure Update Manager) по обновлению системы в элементе Apply system updates управления основана на диспетчере обновлений (предварительная версия). Эта рекомендация использует собственный агент, внедренный в каждую виртуальную машину Azure и компьютеры Azure Arc вместо установленного агента. Краткое исправление в новой рекомендации приводит к однократной установке отсутствующих обновлений на портале Диспетчера обновлений.

Чтобы использовать новую рекомендацию, необходимо:

• Подключение компьютеров, отличных от Azure, к Arc
• Включите периодическое свойство оценки. Чтобы устранить эту рекомендацию, Machines should be configured to periodically check for missing system updates можно использовать быстрое исправление в новой рекомендации.

Существующая рекомендация "Обновления системы должны быть установлены на компьютерах", которая зависит от агента Log Analytics, по-прежнему доступна под тем же элементом управления.

Очистка удаленных компьютеров Azure Arc в подключенных учетных записях AWS и GCP

Компьютер, подключенный к учетной записи AWS и GCP, охватываемой Defender для серверов или Defender для SQL на компьютерах, представлен в Defender для облака как компьютер Azure Arc. До сих пор этот компьютер не был удален из инвентаризации, когда компьютер был удален из учетной записи AWS или GCP. Что приводит к ненужным ресурсам Azure Arc, оставшимся в Defender для облака, представляющем удаленные компьютеры.

Defender для облака теперь автоматически удаляет компьютеры Azure Arc при удалении этих компьютеров в подключенной учетной записи AWS или GCP.

Разрешить непрерывный экспорт в Центры событий за брандмауэром

Теперь вы можете включить непрерывный экспорт оповещений и рекомендаций в качестве доверенной службы в Центры событий, защищенные брандмауэром Azure.

Вы можете включить непрерывный экспорт в виде создаваемых оповещений или рекомендаций. Можно также определить расписание для отправки периодических моментальных снимков всех новых данных.

Узнайте, как включить непрерывный экспорт в центры событий за брандмауэром Azure.

Имя элемента управления "Защита показателей безопасности" для приложений с помощью расширенных сетевых решений Azure изменяется

Элемент управления Protect your applications with Azure advanced networking solutions оценкой безопасности изменяется на Protect applications against DDoS attacks.

Обновленное имя отражается в Azure Resource Graph (ARG), API элементов управления оценкой безопасности и Download CSV report.

Параметры оценки уязвимостей политики для SQL Server должны содержать адрес электронной почты для получения отчетов проверки не рекомендуется

Политика Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports устарела.

Отчет об оценке уязвимостей Defender для SQL по-прежнему доступен и существующие конфигурации электронной почты не изменились.

Рекомендация по включению журналов диагностики для Масштабируемые наборы виртуальных машин не рекомендуется

Рекомендация Diagnostic logs in Virtual Machine Scale Sets should be enabled устарела.

Определение связанной политики также устарело из любых стандартов, отображаемых на панели мониторинга соответствия нормативным требованиям.

Декабрь 2022 г.

В декабре добавлены следующие обновления:

• Объявление о экспресс-конфигурации для оценки уязвимостей в Defender для SQL

Объявление о экспресс-конфигурации для оценки уязвимостей в Defender для SQL

Экспресс-конфигурация для оценки уязвимостей в Microsoft Defender для SQL обеспечивает упрощенную настройку для База данных SQL Azure и выделенных пулов SQL за пределами рабочих областей Synapse.

При использовании экспресс-конфигурации для оценки уязвимостей команды безопасности могут:

• Выполните настройку оценки уязвимостей в конфигурации безопасности ресурса SQL без каких-либо других параметров или зависимостей от учетных записей хранения, управляемых клиентом.
• Немедленно добавьте результаты сканирования в базовые показатели, чтобы состояние поиска изменений от неработоспособного к работоспособному без повторного сканирования базы данных.
• Добавьте несколько правил в базовые показатели одновременно и используйте последние результаты сканирования.
• Включите оценку уязвимостей для всех серверов SQL Azure при включении Microsoft Defender для баз данных на уровне подписки.

Дополнительные сведения об оценке уязвимостей Defender для SQL.

Ноябрь 2022 г.

В ноябре добавлены следующие обновления:

• Защита контейнеров в организации GCP с помощью Defender для контейнеров
• Проверка защиты Defender для контейнеров с помощью примеров оповещений
• Правила управления в масштабе (предварительная версия)
• Возможность создания пользовательских оценок в AWS и GCP (предварительная версия) не рекомендуется
• Рекомендация по настройке очередей недоставленных букв для Лямбда-функций не рекомендуется

Защита контейнеров в организации GCP с помощью Defender для контейнеров

Теперь вы можете включить Defender для контейнеров для среды GCP для защиты стандартных кластеров GKE во всей организации GCP. Просто создайте новый соединитель GCP с включенным защитником контейнеров или включите Defender для контейнеров на существующем соединителе GCP уровня организации.

Узнайте больше о подключении проектов и организаций GCP к Defender для облака.

Проверка защиты Defender для контейнеров с помощью примеров оповещений

Теперь можно создать примеры оповещений для плана Defender для контейнеров. Новые примеры оповещений представлены как из AKS, подключенных к Arc кластеров, ресурсов EKS и GKE с различными уровнями серьезности и тактикой MITRE. Примеры оповещений можно использовать для проверки конфигураций оповещений системы безопасности, таких как интеграции SIEM, автоматизация рабочих процессов и Уведомления по электронной почте.

Дополнительные сведения о проверке оповещений.

Правила управления в масштабе (предварительная версия)

Мы рады объявить о новой возможности применения правил управления в масштабе (предварительная версия) в Defender для облака.

Благодаря этому новому интерфейсу команды безопасности могут массово определять правила управления для различных областей (подписок и соединителей). Группы безопасности могут выполнить эту задачу с помощью таких областей управления, как группы управления Azure, учетные записи верхнего уровня AWS или организации GCP.

Кроме того, на странице правил управления (предварительная версия) представлены все доступные правила управления, действующие в средах организации.

Узнайте больше о новых правилах управления в масштабе.

Возможность создания пользовательских оценок в AWS и GCP (предварительная версия) не рекомендуется

Возможность создавать пользовательские оценки для учетных записей AWS и проектов GCP, которые являлись функцией предварительной версии, устарела.

Рекомендация по настройке очередей недоставленных букв для Лямбда-функций не рекомендуется

Рекомендация Lambda functions should have a dead-letter queue configured устарела.

Октябрь 2022

В октябре добавлены следующие обновления:

• Объявление о тесте безопасности в облаке Майкрософт
• Анализ пути атаки и возможности контекстной безопасности в Defender для облака (предварительная версия)
• Сканирование без агента для компьютеров Azure и AWS (предварительная версия)
• Defender для DevOps (предварительная версия)
• Панель мониторинга соответствия нормативным требованиям теперь поддерживает ручное управление и подробные сведения о состоянии соответствия Майкрософт
• Автоматическая подготовка переименована в Параметры и мониторинг и имеет обновленный интерфейс
• Управление облачной безопасностью Defender (CSPM) (предварительная версия)
• Сопоставление платформы MITRE ATT&CK теперь доступно для рекомендаций по безопасности AWS и GCP
• Defender для контейнеров теперь поддерживает оценку уязвимостей для реестра эластичных контейнеров (предварительная версия)

Объявление о тесте безопасности в облаке Майкрософт

Microsoft Cloud Security Benchmark (MCSB) — это новая платформа, определяющая основные принципы облачной безопасности на основе общих отраслевых стандартов и платформ соответствия требованиям. Вместе с подробными техническими рекомендациями по реализации этих рекомендаций на облачных платформах. MCSB заменяет Azure Security Benchmark. MCSB предоставляет подробные сведения о реализации рекомендаций по безопасности в облаке, не зависящих от облака, на нескольких платформах облачных служб, первоначально охватывающих Azure и AWS.

Теперь вы можете отслеживать состояние соответствия требованиям облачной безопасности для каждого облака в одной интегрированной панели мониторинга. McSB можно увидеть как стандарт соответствия по умолчанию при переходе на панель мониторинга соответствия нормативным требованиям Defender для облака.

Microsoft Cloud Security Benchmark автоматически назначается подпискам Azure и учетным записям AWS при подключении Defender для облака.

Дополнительные сведения о тесте безопасности в облаке Майкрософт.

Анализ пути атаки и возможности контекстной безопасности в Defender для облака (предварительная версия)

Новый граф облачной безопасности, анализ пути атаки и возможности контекстной облачной безопасности теперь доступны в Defender для облака в предварительной версии.

Одной из самых больших проблем, с которыми сталкиваются команды по безопасности сегодня, является число проблем безопасности, которые они сталкиваются ежедневно. Существует множество проблем безопасности, которые необходимо устранить и никогда не хватает ресурсов, чтобы устранить их все.

новые возможности графа облачной безопасности и анализа путей атак Defender для облака предоставляют группам безопасности возможность оценить риск каждой проблемы безопасности. Группы безопасности также могут определить самые высокие проблемы риска, которые необходимо устранить в ближайшее время. Defender для облака работает с командами по обеспечению безопасности, чтобы снизить риск нарушения их среды наиболее эффективным способом.

Дополнительные сведения о новом графе облачной безопасности, анализе пути атаки и обозревателе облачной безопасности.

Сканирование без агента для компьютеров Azure и AWS (предварительная версия)

До сих пор Defender для облака на основе оценки состояния виртуальных машин на основе агентов. Чтобы помочь клиентам максимально увеличить охват и сократить нагрузку на подключение и управление, мы выпускаем бессерверную проверку для виртуальных машин для предварительной версии.

При проверке без агента для виртуальных машин вы получаете широкую видимость установленных программ и программных CVEs. Вы получаете видимость без проблем установки и обслуживания агента, требований к сетевому подключению и производительности для рабочих нагрузок. Анализ осуществляется на Управление уязвимостями Microsoft Defender.

Сканирование уязвимостей без агента доступно как в Azure Cloud Security Posture Management (CSPM), так и в Defender для серверов P2 с собственной поддержкой AWS и виртуальных машин Azure.

• Дополнительные сведения о сканировании без агента.
• Узнайте, как включить оценку уязвимостей без агента.

Defender для DevOps (предварительная версия)

Microsoft Defender для облака обеспечивает полную видимость, управление состоянием и защиту от угроз в гибридных и многооблачных средах, включая Azure, AWS, Google и локальные ресурсы.

Теперь новый план Defender для DevOps интегрирует системы управления исходным кодом, такие как GitHub и Azure DevOps, в Defender для облака. Благодаря этой новой интеграции мы расширим возможности групп безопасности для защиты своих ресурсов от кода в облако.

Defender для DevOps позволяет получить представление о подключенных средах разработчика и ресурсах кода и управлять ими. В настоящее время можно подключить системы Azure DevOps и GitHub к Defender для облака и подключить репозитории DevOps к инвентаризации и новой странице DevOps Security. Он предоставляет группам безопасности общий обзор обнаруженных проблем безопасности, которые существуют в них на странице единой системы безопасности DevOps Security.

Вы можете настроить заметки на запросы на вытягивание, чтобы помочь разработчикам обращаться к секретам сканирования результатов в Azure DevOps непосредственно в своих запросах на вытягивание.

Средства Microsoft Security DevOps можно настроить в рабочих процессах Azure Pipelines и GitHub, чтобы включить следующие проверки безопасности:

Теперь для DevOps доступны следующие новые рекомендации:

Рекомендации Defender для DevOps заменили устаревший сканер уязвимостей для рабочих процессов CI/CD, включенных в Defender для контейнеров.

Дополнительные сведения об Defender для DevOps

Панель мониторинга соответствия нормативным требованиям теперь поддерживает управление вручную и подробные сведения о состоянии соответствия Майкрософт

Панель мониторинга соответствия требованиям в Defender для облака — это ключевое средство для клиентов, которое помогает им определять и отслеживать состояние соответствия требованиям. Клиенты могут постоянно отслеживать среды в соответствии с требованиями различных стандартов и нормативных требований.

Теперь вы можете полностью управлять состоянием соответствия, вручную заверяя работу и другие элементы управления. Теперь вы можете предоставить доказательства соответствия для средств управления, которые не автоматизированы. Вместе с автоматизированными оценками теперь можно создать полный отчет о соответствии в выбранной области, обращаясь ко всему набору средств управления для определенного стандарта.

Кроме того, благодаря более подробной информации об управлении, а также расширенным сведениям и свидетельствам о состоянии соответствия Майкрософт теперь у вас есть вся информация, необходимая для аудита.

Вот некоторые новые преимущества:

• Действия клиентов вручную предоставляют механизм для проверки соответствия требованиям, неавтомным элементам управления. Включая возможность связывания доказательств, задайте дату соответствия и дату окончания срока действия.

• Более подробные сведения о элементах управления для поддерживаемых стандартов, демонстрирующих действия Майкрософт и действия клиента вручную , а также уже существующие автоматизированные действия клиента.

• Действия Майкрософт обеспечивают прозрачность состояния соответствия корпорации Майкрософт, включая процедуры оценки аудита, результаты тестирования и ответы Майкрософт на отклонения.

• Предложения соответствия требованиям предоставляют централизованное расположение для проверки продуктов Azure, Dynamics 365 и Power Platform и их соответствующих сертификатов соответствия нормативным требованиям.

Узнайте, как оптимизировать соответствие нормативным требованиям с помощью Defender для облака.

Автоматическая подготовка переименована в Параметры и мониторинг и имеет обновленный интерфейс

Мы переименовали страницу автоматической подготовки в параметры и мониторинг.

Автоматическая подготовка предназначена для обеспечения масштабируемого включения необходимых компонентов, необходимых для расширенных функций и возможностей Defender для облака. Чтобы улучшить поддержку расширенных возможностей, мы запускаем новый интерфейс со следующими изменениями:

Теперь страница планов Defender для облака включает:

• При включении плана Defender, требующего компонентов мониторинга, эти компоненты включены для автоматической подготовки с параметрами по умолчанию. Эти параметры можно изменять в любое время.
• Вы можете получить доступ к параметрам компонентов мониторинга для каждого плана Defender на странице плана Defender.
• Страница планов Defender четко указывает, установлены ли все компоненты мониторинга для каждого плана Defender или если покрытие мониторинга не завершено.

Страница "Параметры" и "Мониторинг":

• Каждый компонент мониторинга указывает планы Defender, к которым он связан.

Дополнительные сведения об управлении параметрами мониторинга.

Управление облачной безопасностью Defender (CSPM)

Одним из основных принципов обеспечения безопасности облака, реализованных в Microsoft Defender для облака, является Управление состоянием безопасности облака (CSPM). CSPM определяет рекомендации по усилению защиты, которые помогают эффективно и результативно повысить уровень безопасности. CSPM также дает представление о текущей ситуации с безопасностью.

Мы объявляем новый план Defender: CsPM Defender. Этот план повышает возможности безопасности Defender для облака и включает следующие новые и расширенные функции:

• Непрерывная оценка конфигурации безопасности облачных ресурсов
• Рекомендации по безопасности для устранения ошибок и слабых мест
• Рейтинг безопасности
• Governance
• Соответствие нормативным требованиям
• Граф облачной безопасности
• Анализ пути атаки
• Сканирование без агента для компьютеров

Дополнительные сведения о плане CSPM Defender.

Сопоставление платформы MITRE ATT&CK теперь доступно для рекомендаций по безопасности AWS и GCP

Для аналитиков безопасности важно определить потенциальные риски, связанные с рекомендациями по безопасности, и понять векторы атак, чтобы они могли эффективно определять приоритеты своих задач.

Defender для облака упрощает приоритет, сопоставляя рекомендации по безопасности Azure, AWS и GCP с платформой MITRE ATT&CK. Платформа MITRE ATT&CK является глобально доступной база знаний тактики и методов злоумышленника на основе реальных наблюдений, что позволяет клиентам укрепить безопасную конфигурацию своих сред.

Платформа MITRE ATT&CK интегрирована тремя способами:

• Рекомендации сопоставляют тактику и методы MITRE ATT&CK.
• Запрос тактики и методов MITRE ATT&CK по рекомендациям с помощью Azure Resource Graph.

Defender для контейнеров теперь поддерживает оценку уязвимостей для реестра эластичных контейнеров (предварительная версия)

Microsoft Defender для контейнеров теперь предоставляет проверку уязвимостей без агента для эластичного реестра контейнеров (ECR) в Amazon AWS. Расширение охвата для мультиоблачных сред, основываясь на выпуске в начале этого года расширенной защиты от угроз и защиты среды Kubernetes для AWS и Google GCP. Модель без агента создает ресурсы AWS в учетных записях, чтобы сканировать изображения, не извлекая изображения из учетных записей AWS и не имея места на рабочей нагрузке.

Проверка уязвимостей без агента для изображений в репозиториях ECR помогает уменьшить область атак контейнеризованного пространства путем непрерывного сканирования образов для выявления уязвимостей контейнеров и управления ими. В этом новом выпуске Defender для облака сканирует образы контейнеров после отправки в репозиторий и постоянно переназначает образы контейнеров ECR в реестре. Результаты доступны в Microsoft Defender для облака в качестве рекомендаций, и вы можете использовать встроенные автоматизированные рабочие процессы Defender для облака для принятия решений, таких как открытие билета на исправление уязвимости высокой серьезности на изображении.

Дополнительные сведения об оценке уязвимостей для образов Amazon ECR.

Сентябрь 2022 года

В сентябре добавлены следующие обновления:

• Подавление оповещений на основе сущностей контейнера и Kubernetes
• Defender для серверов поддерживает мониторинг целостности файлов с использованием агента Azure Monitor
• Устаревшие API оценки
• Дополнительные рекомендации, добавленные в удостоверение
• Удалены оповещения системы безопасности для компьютеров, которые сообщают о рабочих областях Log Analytics между клиентами

Подавление оповещений на основе сущностей контейнера и Kubernetes

• Пространство имен Kubernetes
• Kubernetes Pod
• Секрет Kubernetes
• Kubernetes ServiceAccount
• Kubernetes ReplicaSet
• Kubernetes StatefulSet
• Kubernetes DaemonSet
• Задание Kubernetes
• Kubernetes CronJob

См. дополнительные сведения о правилах генерации оповещений.

Defender для серверов поддерживает мониторинг целостности файлов с использованием агента Azure Monitor

Мониторинг целостности файлов проверяет файлы и реестры операционной системы на наличие изменений, которые могут указывать на атаку.

Эта функция теперь доступна в новой версии на основе агента Azure Monitor (AMA), который можно развернуть с помощью Defender для облака.

Устаревшие API оценки

Следующие API не рекомендуется использовать:

• Задачи безопасности
• Состояния безопасности
• Сводки по безопасности

Эти три API предоставляют старые форматы оценок и заменяются API оценки и API-интерфейсами subAssessmentsments. Все данные, предоставляемые этими устаревшими API, также доступны в новых API.

Дополнительные рекомендации, добавленные в удостоверение

рекомендации Defender для облака по улучшению управления пользователями и учетными записями.

Новые рекомендации

Новый выпуск содержит следующие возможности:

• Расширенная область оценки— покрытие улучшается для учетных записей удостоверений без MFA и внешних учетных записей в ресурсах Azure (а не только в подписках), что позволяет администраторам безопасности просматривать назначения ролей для каждой учетной записи.

• Улучшенный интервал свежести. Рекомендации по идентификации теперь имеют интервал свежести в 12 часов.

• Возможность исключения для учетной записи.. В Defender для облака доступно множество функций для настройки рабочего процесса и включения в оценку безопасности приоритетов безопасности вашей организации. Например, можно исключить ресурсы и рекомендации из оценки безопасности.

  Это обновление позволяет исключить определенные учетные записи из оценки с помощью шести рекомендаций, перечисленных в следующей таблице.

  Как правило, вы исключили учетные записи аварийного взлома из рекомендаций MFA, так как такие учетные записи часто намеренно исключены из требований MFA организации. Кроме того, у вас могут быть внешние учетные записи, к которым вы хотите разрешить доступ, у которых нет многофакторной проверки подлинности.

  Tip

  Если вы исключите учетную запись, она не будет отображаться как неработоспособная и не станет причиной неработоспособности подписки.

  Recommendation	Ключ оценки
  Для учетных записей с разрешениями владельца для ресурсов Azure должна быть включена многофакторная проверка подлинности	6240402e-f77c-46fa-9060-a7ce53997754
  Для учетных записей с разрешениями на запись для ресурсов Azure должна быть включена многофакторная проверка подлинности	c0cb17b2-0607-48a7-b0e0-903ed22de39b
  Для учетных записей с разрешениями на чтение для ресурсов Azure должна быть включена многофакторная проверка подлинности	dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
  Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены	20606e75-05c4-48c0-9d97-add6daa2109a
  Гостевые учетные записи с разрешениями на запись для ресурсов Azure должны быть удалены	0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
  Гостевые учетные записи с разрешениями на чтение для ресурсов Azure должны быть удалены	fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
  Заблокированные учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены	050ac097-3dda-4d24-ab6d-82568e7a50cf
  Заблокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены	1ff0b4c9-ed56-4de6-be9c-d7ab39645926

Рекомендации, хотя и в предварительной версии, будут отображаться рядом с рекомендациями, которые в настоящее время находятся в общедоступной версии.

Удалены оповещения системы безопасности для компьютеров, которые сообщают о рабочих областях Log Analytics между клиентами

В прошлом Defender для облака позволить выбрать рабочую область, в которую передаются агенты Log Analytics. Когда компьютер принадлежал одному клиенту (клиент A), но его агент Log Analytics сообщил рабочей области в другом клиенте ("Клиент B"), оповещения системы безопасности о компьютере были сообщены первому клиенту (клиент A).

При этом изменении оповещения на компьютерах, подключенных к рабочей области Log Analytics, в другом клиенте больше не отображаются в Defender для облака.

Если вы хотите продолжить получать оповещения в Defender для облака, подключите агент Log Analytics соответствующих компьютеров к рабочей области в том же клиенте, что и компьютер.

Дополнительные сведения о оповещениях системы безопасности.

Август 2022 г.

В августе добавлены следующие обновления:

• Уязвимости для запущенных образов теперь можно увидеть с помощью Defender для контейнеров Windows
• Интеграция агента Azure Monitor теперь предоставляется в режиме предварительной версии
• Нерекомендуемые оповещения виртуальной машины о подозрительных действиях, связанных с кластером Kubernetes

Уязвимости для запущенных образов теперь можно увидеть с помощью Defender для контейнеров Windows.

Defender для контейнеров теперь отображает уязвимости для запущенных контейнеров Windows.

При обнаружении уязвимостей Defender для облака создает следующую рекомендацию по безопасности, в которой перечислены обнаруженные проблемы: для запущенных образов контейнеров необходимо устранить обнаруженные уязвимости.

Узнайте больше о просмотре уязвимостей для запущенных образов.

Интеграция агента Azure Monitor теперь предоставляется в режиме предварительной версии

Defender для облака теперь поддерживает предварительную версию агента Azure Monitor (AMA). AMA заменит собой устаревший агент Log Analytics (известный как Microsoft Monitoring Agent (MMA)), поддержка которого скоро будет прекращена. AMA предоставляет множество преимуществ по сравнению с устаревшими агентами.

В Defender для облака при включении автоматической подготовки для AMA агент развертывается на существующих и новых виртуальных машинах и компьютерах с поддержкой Azure Arc, обнаруженных в подписках. Если включены планы Defenders для облака, AMA собирает сведения о конфигурации и журналы событий из виртуальных машин Azure и компьютеров Azure Arc. Интеграция AMA доступна в предварительной версии, поэтому мы рекомендуем использовать ее в тестовой среде, а не в рабочих средах.

Нерекомендуемые оповещения виртуальной машины о подозрительных действиях, связанных с кластером Kubernetes

В следующей таблице перечислены оповещения, которые признаны нерекомендуемыми:

Эти оповещения используются для уведомления пользователя о подозрительной активности, подключенной к кластеру Kubernetes. Оповещения будут заменены соответствующими оповещениями, которые являются частью оповещений Microsoft Defender для облака контейнеров (K8S.NODE_ImageBuildOnNode, K8S.NODE_ KubernetesAPI и K8S.NODE_ ContainerSSH), которые обеспечивают улучшенную точность и комплексный контекст для изучения и принятия мер по оповещениям. Дополнительные сведения о оповещениях для кластеров Kubernetes.

Информация об уязвимостях контейнера теперь содержит подробные сведения о пакете

Оценка уязвимостей в Defender для контейнеров теперь включает подробные сведения о пакете для каждого найденного элемента, включая имя пакета, тип пакета, путь, установленную версию и исправленную версию. Сведения о пакете позволяют найти уязвимые пакеты, чтобы вы могли устранить уязвимость или удалить пакет.

Эти подробные сведения о пакете доступны для новых проверок образов.

Июль 2022 г.

В июле добавлены следующие обновления:

• Общая доступность ориентированного на облако агента безопасности для защиты среды выполнения Kubernetes
• VA Defender для контейнеров добавляет поддержку обнаружения языковых пакетов (предварительная версия)
• Защита от уязвимости инфраструктуры Operations Management CVE-2022-29149
• Интеграция с управлением разрешениями Entra
• Статус рекомендаций Key Vault изменен на "аудит"
• Нерекомендуемые политики приложений API для Службы приложений

Общая доступность ориентированного на облако агента безопасности для защиты среды выполнения Kubernetes

Мы рады сообщить о выходе ориентированного на облако агента безопасности для защиты среды выполнения Kubernetes в общую доступность.

Производственные развертывания кластеров Kubernetes продолжают расширяться, поскольку клиенты продолжают контейнеризировать свои приложения. В целях содействия этому расширению команда Defender для контейнеров разработала ориентированный на облако агент безопасности Kubernetes.

Новый агент безопасности — это Kubernetes DaemonSet, основанный на технологии eBPF и полностью интегрированный в кластеры AKS в составе профиля безопасности AKS.

Включение агента безопасности доступно с помощью автоматической подготовки, потока рекомендаций, AKS RP или масштабирования с помощью Политика Azure.

Агент Defender можно развернуть сегодня в кластерах AKS.

После выхода этого объявления также становится общедоступной рабочая нагрузка защиты среды выполнения — обнаружение угроз.

Дополнительные сведения о доступности функций Defender для контейнера.

Вы также можете просмотреть все доступные оповещения.

Обратите внимание, что если вы используете предварительную версию, флаг компонента AKS-AzureDefender больше не требуется.

VA Defender для контейнеров добавляет поддержку обнаружения языковых пакетов (предварительная версия)

Оценка уязвимостей (VA) в Defender для контейнеров позволяет обнаруживать уязвимости в пакетах ОС, развернутых с помощью диспетчера пакетов ОС. Мы расширили возможности VA — теперь эта функция может обнаруживать уязвимости, включенные в языковые пакеты.

Эта функция доступна в предварительной версии и доступна только для образов Linux.

Просмотреть все добавленные языковые пакеты можно в полном списке функций Defender для контейнеров и их доступности.

Защита от уязвимости инфраструктуры Operations Management CVE-2022-29149

Инфраструктура Operations Management (OMI) — это набор облачных служб для централизованного управления локальными и облачными средами. Все компоненты OMI размещаются в Azure, благодаря чему отсутствует необходимость развертывания и администрирования локальных ресурсов.

Для исправления CVE-2022-29149, интегрированной с Azure HDInsight под управлением OMI версии 13, требуется исправление. Ознакомьтесь с отчетом об этой уязвимости в руководстве по обновлению системы безопасности Майкрософт, чтобы узнать, как определить ресурсы, затронутые этой уязвимостью, и какие действия по исправлению следует выполнить.

Если у вас есть Защитник для серверов с поддержкой оценки уязвимостей, вы можете использовать эту книгу для выявления затронутых ресурсов.

Интеграция с управлением разрешениями Entra

Defender для облака интегрирован с Управлением разрешениями Microsoft Entra, решением для управления правами облачной инфраструктуры (CIEM), которое обеспечивает комплексную видимость и контроль над разрешениями на доступ к любому удостоверению и любому ресурсу в Azure, AWS и GCP.

В каждой подписке Azure, учетной записи AWS и проекте GCP, который вы подключите, будет отображаться представление индекса смещения разрешений (PCI).

Дополнительные сведения об Управлении разрешениями Entra (прежнее название — Cloudknox).

Статус рекомендаций Key Vault изменен на "аудит"

Эффект для указанных здесь рекомендаций Key Vault был изменен на "аудит".

Нерекомендуемые политики приложений API для Службы приложений

Мы прекратили поддержку указанных ниже политик в пользу уже существующих соответствующих политик, в которых включен API приложений.

Июнь 2022 г.

В июне добавлены следующие обновления:

• Общая доступность (общедоступная версия) Microsoft Defender для Azure Cosmos DB
• общедоступная версия Defender для SQL на компьютерах для сред AWS и GCP;
• управление реализацией рекомендаций по защите для повышения уровня безопасности;
• фильтрация оповещений системы безопасности по IP-адресу;
• группирование оповещений по группе ресурсов.
• Автоматическая подготовка единого решения Microsoft Defender для конечной точки
• Прекращение использования политики "Приложение API должно быть доступно только по протоколу HTTPS"
• Новые оповещения Key Vault

Общая доступность (общедоступная версия) Microsoft Defender для Azure Cosmos DB

Microsoft Defender для Azure Cosmos DB теперь предоставляется в общедоступной версии с поддержкой типов учетных записей API SQL (Core).

Этот новый выпуск общедоступной версии является частью пакета защиты баз данных Microsoft Defender для облака, который включает в себя разные типы баз данных SQL и MariaDB. Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает попытки использования баз данных в ваших учетных записях Azure Cosmos DB.

Когда вы включите этот план, вы будете оповещаться о потенциальном внедрении кода SQL, известных злоумышленниках, подозрительных шаблонах доступа и потенциальных исследованиях вашей базы данных через скомпрометированные удостоверения или злоумышленников.

При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения предоставляют подробные сведения о подозрительной активности, а также соответствующие шаги расследования, действия по исправлению и рекомендации по безопасности.

Microsoft Defender для Azure Cosmos DB постоянно анализирует поток телеметрии, созданный службами Azure Cosmos DB, и сопоставляет их с Microsoft Threat Intelligence и поведенческими моделями для обнаружения любых подозрительных действий. Defender для Azure Cosmos DB не обращается к данным учетной записи Azure Cosmos DB и не влияет на производительность базы данных.

См. дополнительные сведения о Microsoft Defender для Azure Cosmos DB.

С добавлением поддержки Azure Cosmos DB Defender для облака теперь предоставляет одно из наиболее полных предложений по защите рабочих нагрузок для облачных баз данных. Команды по обеспечению безопасности и владельцы баз данных теперь могут централизованно управлять безопасностью баз данных в своих средах.

Узнайте, как включить защиту для баз данных.

общедоступная версия Defender для SQL на компьютерах для сред AWS и GCP;

К возможностям защиты баз данных, предоставляемым Microsoft Defender для облака, добавлена поддержка серверов SQL, размещенных в средах AWS или GCP.

Теперь с помощью Defender для SQL предприятия могут защищать свои данные независимо от того, где они размещены: в Azure, AWS, GCP или на локальных компьютерах.

Microsoft Defender для SQL предоставляет унифицированный многооблачный интерфейс для просмотра рекомендаций по безопасности, оповещений системы безопасности и результатов оценки уязвимостей как для сервера SQL Server, так и для базовой ОС Windows.

Используя многооблачный интерфейс подключения, вы можете включить и применить защиту баз данных для серверов SQL, работающих в AWS EC2, RDS Custom для SQL Server и вычислительной подсистемы GCP. При включении любого из этих планов активируется защита для всех поддерживаемых ресурсов, существующих в подписке. Будущие ресурсы, созданные в той же подписке, также будут защищены.

Узнайте, как защитить и подключить среду AWS и организацию GCP с помощью Microsoft Defender для Облака.

Управление реализацией рекомендаций по защите для повышения уровня безопасности

Сегодня появляется все больше угроз для организаций. Защита расширяющихся рабочих нагрузок требует задействования большого числа сотрудников службы безопасности. Перед командами по обеспечению безопасности стоит непростая задача реализации средств защиты, определенных в их политиках безопасности.

Теперь с интерфейсом управления в предварительной версии команды безопасности могут назначать исправления рекомендаций по безопасности владельцам ресурсов и требовать расписание исправления. Специалисты по обеспечению безопасности могут полностью отслеживать ход исправления и получать уведомления о просроченных задачах.

Ознакомьтесь с дополнительными сведениями о возможностях системы управления в статье Налаживание в организации устранения проблем безопасности с помощью системы управления рекомендациями.

фильтрация оповещений системы безопасности по IP-адресу;

Во многих случаях совершения атак необходимо отслеживать оповещения на основе IP-адреса сущности, связанной с атакой. До сих пор IP-адрес отображался только в разделе "Связанные сущности" в одной колонке оповещений. Теперь вы можете отфильтровать оповещения на странице оповещений системы безопасности, чтобы просмотреть оповещения, связанные с IP-адресом, и найти конкретный IP-адрес.

группирование оповещений по группе ресурсов.

Возможность фильтрации, сортировки и группировки по группе ресурсов добавляется на страницу оповещений системы безопасности.

Столбец группы ресурсов добавляется в сетку оповещений.

Добавлен новый фильтр, позволяющий просматривать все оповещения для определенных групп ресурсов.

Теперь вы можете группировать оповещения по группе ресурсов, чтобы просмотреть все оповещения для каждой группы ресурсов.

Автоматическая подготовка единого решения Microsoft Defender для конечной точки

До сих пор интеграция с Microsoft Defender для конечной точки (MDE) включала автоматическую установку нового унифицированного решения MDE для компьютеров (подписки Azure и многооблачные соединители) с включенным решением Defender для серверов (план 1) и для многооблачных соединителей с включенным решением Defender для серверов (план 2). План 2 для подписок Azure включает унифицированное решение только для компьютеров Linux и серверов Windows 2019 и 2022. Серверы Windows 2012R2 и 2016 использовали устаревшее решение MDE, зависящее от агента Log Analytics.

Теперь новое унифицированное решение доступно для всех компьютеров в обоих планах, как для подписок Azure, так и для многооблачных соединителей. Для подписок Azure с планами 2 серверов, которые включили интеграцию MDE после 20 июня 2022 г., единое решение по умолчанию включается для всех компьютеров Azure с поддержкой плана 2 Defender для серверов 2 с поддержкой интеграции MDE до 20 июня 2022 г. теперь может включить единую установку решения для серверов Windows Server 2012R2 и 2016 с помощью выделенной кнопки на странице интеграции:

Дополнительные сведения см. в разделе Интеграция MDE с Defender для серверов.

Прекращение использования политики "Приложение API должно быть доступно только по протоколу HTTPS"

Политика API App should only be accessible over HTTPS устарела. Эта политика заменена политикой Web Application should only be accessible over HTTPS , в которую переименовывается App Service apps should only be accessible over HTTPS.

Дополнительные сведения см. в статье Политика Azure встроенных определений для Службы приложений Azure.

Новые оповещения Key Vault

Чтобы расширить защиту от угроз, предоставляемую Microsoft Defender для Key Vault, мы добавили два новых оповещения.

Эти оповещения информируют об аномалии отказа в доступе, обнаруженной для любого из ваших хранилищ ключей.

Май 2022 г.

В мае добавлены следующие обновления:

• Параметры многооблачного плана серверов теперь доступны на уровне соединителя
• JIT-доступ для виртуальных машин теперь доступен для экземпляров AWS EC2 (предварительная версия)
• Добавление и удаление датчика Defender для кластеров AKS с помощью интерфейса командной строки

Параметры многооблачного плана серверов теперь доступны на уровне соединителя

Теперь в многооблачных средах есть параметры уровня соединителя для Defender для серверов.

Новые параметры уровня соединителя обеспечивают детализацию цен и автоматической подготовки конфигурации для каждого соединителя независимо от подписки.

Все компоненты автоматической подготовки, доступные на уровне соединителя (Azure Arc, MDE и оценки уязвимостей), включены по умолчанию, и новая конфигурация поддерживает как ценовые категории плана 1, так и план 2.

Обновления в пользовательском интерфейсе включают отражение выбранной ценовой категории и настроенные необходимые компоненты.

Изменения в оценке уязвимостей

Сейчас Defender для контейнеров не отображает уязвимости со средним и низким уровнем серьезности, которые нельзя исправить.

В результате этого обновления теперь отображаются уязвимости со средним и низким уровнем серьезности независимо от доступности исправлений. Это обновление обеспечивает максимальную видимость, но при этом позволяет отфильтровывать нежелательные уязвимости с помощью указанного правила отключения.

Дополнительные сведения об управлении уязвимостями

JIT-доступ для виртуальных машин теперь доступен для экземпляров AWS EC2 (предварительная версия)

При подключении учетных записей AWS JIT автоматически оценивает конфигурацию сети групп безопасности экземпляра и рекомендует, какие экземпляры нуждаются в защите для доступных портов управления. Это похоже на то, как JIT работает с Azure. При подключении незащищенных экземпляров EC2 JIT блокирует общий доступ к портам управления и открывает их только с авторизованными запросами на ограниченный временной интервал.

Узнайте, как JIT защищает экземпляры AWS EC2

Добавление и удаление датчика Defender для кластеров AKS с помощью интерфейса командной строки

Агент Defender требуется для защитника для контейнеров для обеспечения защиты среды выполнения и сбора сигналов от узлов. Теперь можно использовать Azure CLI для добавления и удаления агента Defender для кластера AKS.

Апрель 2022 г.

В апреле добавлены следующие обновления:

• Новые планы Defender для серверов
• Перемещение пользовательских рекомендаций
• Скрипт PowerShell для потоковой передачи оповещений в Splunk и QRadar
• Не рекомендуется использовать рекомендацию по Кэш Azure для Redis
• Новый вариант оповещения для Microsoft Defender для хранилища (предварительная версия) для обнаружения уязвимости конфиденциальных данных
• Заголовок оповещения проверки контейнера дополнен репутацией IP-адресов
• Просмотр журналов действий, связанных с оповещением системы безопасности

Новые планы Defender для серверов

Microsoft Defender для серверов теперь предлагается в двух дополнительных планах:

• Defender для серверов (план 2), ранее — Defender для серверов
• Defender для серверов (план 1) предоставляет поддержку только Defender для конечной точки

В то время как Defender для серверов (план 2) по-прежнему обеспечивает защиту от угроз и уязвимостей для ваших облачных и локальных рабочих нагрузок, Defender для серверов (план 1) обеспечивает защиту только конечных точек на основе встроенной интеграции с Defender для облака. Подробные сведения см. в статье планы Defender для серверов.

Если вы используете Defender для серверов до сих пор, никаких действий не требуется.

Кроме того, Defender для облака также начинает постепенную поддержку унифицированного агента Defender для конечной точки для Windows Server 2012 R2 и 2016. Defender для серверов (план 1) развертывает новый унифицированный агент для рабочих нагрузок Windows Server 2012 R2 и 2016.

Перемещение пользовательских рекомендаций

Пользовательские рекомендации создаются пользователями и не влияют на оценку безопасности. Пользовательские рекомендации теперь можно найти на вкладке "Все рекомендации".

Используйте новый фильтр "тип рекомендации" для поиска пользовательских рекомендаций.

Узнайте больше в разделе Создание пользовательских инициатив и политик безопасности.

Скрипт PowerShell для потоковой передачи оповещений в Splunk и IBM QRadar

Рекомендуется использовать Центры событий и встроенный соединитель для экспорта оповещений системы безопасности в Splunk и IBM QRadar. Теперь можно использовать скрипт PowerShell для настройки ресурсов Azure, необходимых для экспорта оповещений системы безопасности для подписки или клиента.

Просто скачайте и запустите скрипт PowerShell. После того как вы предоставите несколько сведений о своей среде, скрипт настроит ресурсы для вас. Затем скрипт создает выходные данные, используемые на платформе SIEM для завершения интеграции.

Дополнительные сведения см. в разделе Потоковая передача оповещений в Splunk и QRadar.

Не рекомендуется использовать рекомендацию по кэшу Azure для Redis

Рекомендация Azure Cache for Redis should reside within a virtual network (предварительная версия) устарела. Мы изменили наше руководство по защите Кэш Azure для Redis экземпляров. Рекомендуется использовать частную конечную точку для ограничения доступа к экземпляру кэша Azure для Redis вместо виртуальной сети.

Новый вариант оповещения для Microsoft Defender для хранилища (предварительная версия) для обнаружения уязвимости конфиденциальных данных

Оповещения Microsoft Defender для службы хранилища уведомляют вас, когда злоумышленники пытаются сканировать и выявлять (успешно или нет) неправильно настроенные общедоступные контейнеры хранилища, чтобы попытаться украсть конфиденциальную информацию.

Чтобы обеспечить более быстрое тридирование и время отклика, при краже потенциально конфиденциальных данных, возможно, произошло, мы выпустили новый вариант для существующего Publicly accessible storage containers have been exposed оповещения.

Новое оповещение Publicly accessible storage containers with potentially sensitive data have been exposedактивируется с High уровнем серьезности, после успешного обнаружения открытых контейнеров хранилища с именами, которые статистически были обнаружены для общедоступного доступа, предполагая, что они могут хранить конфиденциальную информацию.

Заголовок оповещения проверки контейнера дополнен репутацией IP-адресов

Репутация IP-адреса может указывать на то, исходит ли сканирование от известного субъекта угрозы или от субъекта, который использует сеть Tor, чтобы скрыть свое удостоверение. Оба этих индикатора предполагают наличие вредоносного намерения. Репутация IP-адреса обеспечивается Microsoft Threat Intelligence.

Добавление репутации IP-адреса к заголовку оповещения позволяет быстро оценить намерения субъекта и, следовательно, серьезность угрозы.

Следующие оповещения включают приведенные ниже сведения:

• Publicly accessible storage containers have been exposed

• Publicly accessible storage containers with potentially sensitive data have been exposed

• Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

Например, добавленная информация к заголовку оповещения Publicly accessible storage containers have been exposed будет выглядеть следующим образом:

• Publicly accessible storage containers have been exposedby a suspicious IP address

• Publicly accessible storage containers have been exposedby a Tor exit node

Все оповещения для Microsoft Defender для хранилища будут по-прежнему включать сведения об аналитике угроз в сущности IP-адреса в разделе "Связанные объекты" оповещения.

Просмотр журналов действий, связанных с оповещением системы безопасности

В рамках действий, которые можно предпринять для оценки оповещения системы безопасности, можно найти связанные журналы платформы в контексте проверки ресурсов для получения контекста затронутых ресурсов. Microsoft Defender для облака определяет журналы платформы в течение одного дня относительно оповещения.

Журналы платформы помогут оценить угрозу безопасности и определить действия, которые можно предпринять для устранения выявленных рисков.

Март 2022 г.

В марте добавлены следующие обновления:

• Глобальная доступность оценки безопасности для сред AWS и GCP
• Устарели рекомендации по установке агента сбора данных о трафике
• Defender для контейнеров теперь может проверять наличие уязвимостей в Windows образах (предварительная версия)
• Новое оповещение для Microsoft Defender для хранилища (предварительная версия)
• Настройка параметров уведомлений по электронной почте из оповещения
• Нерекомендуемые оповещения в предварительной версии: ARM.MCAS_ActivityFromAnonymousIPAddresses
• Перемещение рекомендации "Необходимо устранить уязвимости в конфигурациях безопасности контейнера" из раздела "Оценка безопасности" в раздел "Рекомендации"
• Устарела рекомендация по использованию субъектов-служб для защиты подписок
• Устаревшая реализация стандарта ISO 27001 заменяется новым стандартом ISO 27001:2013
• Устарели рекомендации относительно Microsoft Defender для устройств IoT
• Нерекомендуемые оповещения относительно Microsoft Defender для устройств IoT
• Управление состоянием и защита от угроз для AWS и GCP, выпущенные для общедоступной версии (GA)
• Добавлена поддержка национальных облаков в сканирование реестра на наличие образов Windows в ACR

Глобальная доступность оценки безопасности для сред AWS и GCP

Возможности управления состоянием безопасности облака, предоставляемые Microsoft Defender для облака, теперь добавили поддержку сред AWS и GCP в рамках оценки безопасности.

Теперь предприятия могут просматривать общее состояние безопасности в различных средах, таких как Azure, AWS и GCP.

Страница "Оценка безопасности" заменена панелью мониторинга состояния безопасности. Панель мониторинга состояния безопасности позволяет просматривать общую совокупную оценку для всех сред или разбивку состояния безопасности по любому выбранному сочетанию сред.

Страница "Рекомендации" также была переработана для предоставления новых возможностей, таких как выбор облачной среды, расширенные фильтры на основе содержимого (группа ресурсов, учетная запись AWS, проект GCP и многое другое), улучшенный пользовательский интерфейс при низком разрешении, поддержка открытого запроса в графике ресурсов и многое другое. Вы можете узнать больше о общих рекомендацияхпо безопасности и безопасности.

Устарели рекомендации по установке агента сбора данных о трафике

В связи с изменениями в стратегии развития и приоритетах агент сбора данных о трафике больше не требуется. Следующие две рекомендации и связанные с ними политики устарели.

Defender для контейнеров теперь может проверять наличие уязвимостей в Windows образах (предварительная версия)

Проверка образа Defender для контейнера теперь поддерживает образы Windows, размещенные в Реестре контейнеров Azure. Эта функция предоставляется бесплатно в режиме предварительной версии, но когда она станет общедоступной, за нее будет взиматься плата.

Дополнительные сведения см. в статье Использование Microsoft Defender для контейнеров с целью проверки образов на наличие уязвимостей.

Новое оповещение для Microsoft Defender для хранилища (предварительная версия)

Чтобы расширить возможности защиты от угроз, предоставляемой Microsoft Defender для хранилища, мы добавили новое оповещение в предварительной версии.

Субъекты угроз используют приложения и средства для обнаружения учетных записей хранения и доступа к ним. Microsoft Defender для хранилища обнаруживает эти приложения и средства, чтобы их можно было заблокировать и исправить состояние.

Это оповещение в предварительной версии называется Access from a suspicious application. Оповещение относится только к Хранилищу BLOB-объектов и ADLS 2-го поколения.

Настройка параметров уведомлений по электронной почте из оповещения

В пользовательский интерфейс генерации оповещений добавлен новый раздел, который позволяет просматривать и изменять, кто получит Уведомления по электронной почте для оповещений, активируемых в текущей подписке.

Узнайте о настройке отправляемых по электронной почте уведомлений для оповещений системы безопасности.

Нерекомендуемые оповещения в предварительной версии: ARM.MCAS_ActivityFromAnonymousIPAddresses

Следующее оповещение предварительной версии устарело:

Было создано новое оповещение, которое предоставляет эти сведения и добавляет в него. Кроме того, для новых предупреждений (ARM_OperationFromSuspiciousIP, ARM_OperationFromSuspiciousProxyIP) не требуется лицензия на Microsoft Defender для облачных приложений (ранее Microsoft Cloud App Security).

Дополнительные оповещения для Resource Manager.

Перемещение рекомендации "Необходимо устранить уязвимости в конфигурациях безопасности контейнера" из раздела "Оценка безопасности" в раздел "Рекомендации"

Рекомендация Vulnerabilities in container security configurations should be remediated была перемещена из раздела оценки безопасности в раздел рекомендаций.

Текущий пользовательский интерфейс предоставляет оценку только после прохождения всех проверок соответствия. Большинству клиентов трудно выполнить требование о прохождении всех необходимых проверок. Мы работаем над повышением удобства работы с этой рекомендацией. После выпуска она будет возвращена в раздел "Оценка безопасности".

Устарела рекомендация по использованию субъектов-служб для защиты подписок

Поскольку организации отказываются от использования сертификатов управления для управления подписками, а мы недавно объявили о прекращении использования модели развертывания Облачных служб (классической модели), мы не рекомендуем использовать следующую рекомендацию по Defender для облака и связанную с ним политику.

Подробнее:

• Прекращение использования модели развертывания Облачных служб (классической модели) с 31 августа 2024 г.
• Обзор Azure Облачные службы (классическая версия)
• Рабочий процесс классической архитектуры виртуальной машины Microsoft Azure (включая основные сведения о рабочем процессе RDFE)

Устаревшая реализация стандарта ISO 27001 заменяется новым стандартом ISO 27001:2013

Устаревшая реализация ISO 27001 была удалена из панели мониторинга соответствия нормативным требованиям Defender для облака. Если вы отслеживаете соответствие стандарту ISO 27001 с помощью Defender для облака, используйте новый стандарт ISO 27001:2013 для всех соответствующих групп управления или подписок.

Устарели рекомендации относительно Microsoft Defender для устройств IoT

Рекомендации Microsoft Defender для устройства IoT больше не отображаются в Microsoft Defender для облака. Эти рекомендации по-прежнему доступны на странице "Рекомендации Microsoft Defender для IoT".

Следующие рекомендации являются устаревшими:

Нерекомендуемые оповещения относительно Microsoft Defender для устройств IoT

Ни одно из оповещений Microsoft Defender для устройства IoT больше не отображается в Microsoft Defender для облака. Эти оповещения по-прежнему доступны на странице оповещений Microsoft Defender для IoT и в Microsoft Sentinel.

Управление состоянием и защита от угроз для AWS и GCP, выпущенные для общедоступной версии (GA)

• Функции CSPM в Defender для облака теперь можно использовать для ресурсов AWS и GCP. Этот безагентный план оценивает многооблачные ресурсы в соответствии со специально разработанными для облака рекомендациями по безопасности, и эти рекомендации учитываются в вашей оценке безопасности. Ресурсы оцениваются на соответствие нормативным требованиям с помощью встроенных стандартов. Страница инвентаризации ресурсов Defender для облака — это функция с поддержкой нескольких облаков, которая позволяет управлять ресурсами AWS вместе с ресурсами Azure.

• Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты для вычислительных экземпляров в AWS и GCP. План "Microsoft Defender для серверов" включает в себя интегрированную лицензию на Microsoft Defender для конечной точки, проверку оценки уязвимостей и многое другое. Узнайте обо всех поддерживаемых функциях для виртуальных машин и серверов. Возможности автоматической адаптации позволяют легко подключать существующие или новые вычислительные экземпляры, обнаруженные в вашей среде.

Узнайте, как защитить и подключить среду AWS и организацию GCP с помощью Microsoft Defender для Облака.

Добавлена поддержка национальных облаков в сканирование реестра на наличие образов Windows в ACR

Проверка реестра для образов Windows теперь поддерживается в Azure для государственных организаций и Microsoft Azure под управлением 21Vianet. Это дополнение в настоящее время находится в режиме предварительной версии.

Узнайте больше о доступности нашей функции.

Февраль 2022 года

В феврале добавлены следующие изменения:

• Защита рабочих нагрузок Kubernetes для кластеров Kubernetes с поддержкой Arc
• Собственный класс CSPM для GCP и защиты от угроз для вычислительных экземпляров GCP
• Выпуск Microsoft Defender для плана Azure Cosmos DB для предварительной версии
• Защита от угроз для кластеров Google Kubernetes Engine (GKE)

Защита рабочих нагрузок Kubernetes для кластеров Kubernetes с поддержкой Arc

Defender для контейнеров ранее защищал только рабочие нагрузки Kubernetes, запущенные в Службе Kubernetes Azure. Теперь мы расширили защитное покрытие, включив кластеры Kubernetes с поддержкой Azure Arc.

Узнайте, как настроить защиту рабочих нагрузок Kubernetes для кластеров Kubernetes с поддержкой AKS и Azure Arc.

Собственный класс CSPM для GCP и защиты от угроз для вычислительных экземпляров GCP

Новая автоматическая адаптация сред GCP позволяет защищать рабочие нагрузки GCP с помощью Microsoft Defender для облака. Defender для облака защищает ресурсы при использовании следующих планов:

• Функции CSPM в Defender для облака теперь можно использовать для ресурсов GCP. Этот план без агента оценивает ресурсы GCP в соответствии со специальными рекомендациями по обеспечению безопасности GCP, которые предоставляются вместе с Defender для облака. Рекомендации по GCP включены в оценку безопасности, а ресурсы будут оцениваться на соответствие встроенному стандарту CIS для GCP. Страница инвентаризации ресурсов Defender для облака — это функция с поддержкой нескольких облаков, которая позволяет управлять ресурсами в Azure, AWS и GCP.

• Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты для вычислительных экземпляров GCP. Этот план включает в себя интегрированную лицензию на Microsoft Defender для конечной точки, проверку оценки уязвимостей и многое другое.

  Полный список доступных функций см. в разделе Поддерживаемые функции для виртуальных машин и серверов. Возможности автоматической адаптации позволяют легко подключать существующие и новые вычислительные экземпляры, обнаруженные в вашей среде.

Узнайте, как защитить и подключить ваши проекты GCP с помощью Microsoft Defender для облака.

Выпуск Microsoft Defender для плана Azure Cosmos DB для предварительной версии

Мы расширили охват баз данных Microsoft Defender для облака. Теперь можно включить защиту для баз данных Azure Cosmos DB.

Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает все попытки использования баз данных в учетных записях Azure Cosmos DB. Microsoft Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации.

Это средство непрерывно анализирует поток данных клиента, создаваемый службами Azure Cosmos DB.

При обнаружении потенциально вредоносных действий создаются оповещения системы безопасности. Эти оповещения отображаются в Microsoft Defender для облака вместе с подробными сведениями о подозрительных действиях, а также о соответствующими шагами расследования, действиями по исправлению и рекомендациями по безопасности.

Включение службы не влияет на производительность базы данных, так как Defender для Azure Cosmos DB не обращается к данным учетной записи Azure Cosmos DB.

Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для Azure Cosmos DB.

Мы также представляем новый интерфейс для обеспечения безопасности базы данных. Теперь вы можете включить защиту Microsoft Defender для облака в своей подписке, чтобы защитить базы данных всех типов, в том числе Azure Cosmos DB, Базу данных SQL Azure, серверы Azure SQL на компьютерах и Microsoft Defender для реляционных баз данных с открытым кодом, в рамках одного процесса обеспечения. Настроив план, можно включать или исключать конкретные типы ресурсов.

Узнайте, как включить безопасность базы данных на уровне подписки.

Защита от угроз для кластеров Google Kubernetes Engine (GKE)

После последнего объявления Собственный класс CSPM для GCP и защиты от угроз для вычислительных экземпляров GCP возможности защиты от угроз в Kubernetes, аналитика поведения и встроенные политики управления допуском в Microsoft Defender для контейнеров были расширены на стандартные кластеры Google Kubernetes Engine (GKE). Вы можете легко подключить существующие или новые стандартные кластеры GKE к своей среде, используя возможности автоматического адаптации. Полный список доступных возможностей см. в разделе Обеспечение безопасности контейнеров с помощью Microsoft Defender для облака.

январь 2022 года

Обновления в январе включают следующие:

• Microsoft Defender для Resource Manager обновлен с новыми оповещениями и больше акцента на операциях с высоким риском, сопоставленных с матрицей MITRE ATT&CK®
• Рекомендации по включению планов в Microsoft Defender в рабочих областях (в предварительной версии)
• Агент Log Analytics с поддержкой Autoprovision на компьютерах с поддержкой Azure Arc (предварительная версия)
• Устарела рекомендация по классификации конфиденциальных данных в базах данных SQL
• Теперь оповещение о связи с подозрительным доменом отображается также для известных доменов, связанных с Log4Shell
• В область сведений для оповещений системы безопасности добавлена кнопка "Копировать JSON-оповещения"
• Переименованы две рекомендации
• Прекращение поддержки политики "Контейнеры кластера Kubernetes должны прослушивать только разрешенные порты"
• Добавлена книга "Активные оповещения"
• В облако для государственных организаций добавлена рекомендация "Обновление системы"

Microsoft Defender для Resource Manager обновлен с новыми оповещениями и больше акцента на операциях с высоким риском, сопоставленных с матрицей MITRE ATT&CK®

Уровень управления облаком — это важная служба, подключенная ко всем облачным ресурсам. По этой причине он также является потенциальной целью для злоумышленников. Мы рекомендуем группам по обеспечению безопасности внимательно отслеживать уровень управления ресурсами.

Microsoft Defender для Resource Manager автоматически отслеживает операции управления ресурсами в вашей организации, независимо от того, выполняются ли они с помощью портала Azure, Azure REST API, Azure CLI или других программных клиентов Azure. Defender для облака обеспечивает расширенную аналитику безопасности для обнаружения угроз и предупреждает о подозрительных действиях.

Эти возможности защиты для плана значительно улучшают устойчивость организации к атакам со стороны субъектов угроз и существенно увеличивают число ресурсов Azure, защищенных с помощью Defender для облака.

В декабре 2020 года мы предоставили предварительную версию Defender для Resource Manager, а в мае 2021 года план был выпущен для общедоступной версии.

В этом обновлении мы полностью пересмотрели приоритеты плана Microsoft Defender для Resource Manager. Обновленный план включает много новых оповещений, касающихся выявлению подозрительных вызовов операций с высоким риском. Эти новые оповещения обеспечивают широкий мониторинг атак в полнойматрице MITRE ATT&CK® для облачных методов.

Эта матрица охватывает следующий диапазон потенциальных намерений субъектов угроз, которые могут быть нацелены на ресурсы вашей организации: начальный доступ, выполнение, сохраняемость, эскалация привилегий, защита Evasion, доступ к учетным данным, обнаружение, боковое перемещение, сбор, эксфильтрация и влияние.

Как показано в следующей таблице новые оповещения для этого плана Defender охватывают эти намерения.

Кроме того, в предварительной версии появились также следующие два оповещения из этого плана:

Рекомендации по включению планов Microsoft Defender для рабочих областей (предварительная версия)

Чтобы воспользоваться всеми функциями безопасности, доступными в Microsoft Defender для серверов и Microsoft Defender для SQL на компьютерах, планы должны быть включены одновременно на уровне подписки и рабочей области.

Если на компьютере действует подписка, для которой включен один из этих планов, вам будет выставлен счет за полную защиту. Однако если этот компьютер сообщает рабочей области без включения плана, вы на самом деле не получите эти преимущества.

Мы добавили две рекомендации по выделению рабочих областей без включения этих планов, которые, тем не менее, имеют компьютеры , сообщающие о них из подписок, имеющих включенный план.

Ниже приведены две рекомендации, которые предлагают автоматическое исправление (действие "Исправление").

Агент Log Analytics с поддержкой Autoprovision на компьютерах с поддержкой Azure Arc (предварительная версия)

Defender для облака использует агент Log Analytics для сбора с компьютеров данных, связанных с безопасностью. Агент считывает различные журналы событий и конфигурации, связанные с безопасностью, а также копирует данные в рабочую область для анализа.

параметры автоматической подготовки Defender для облака имеют переключатель для каждого типа поддерживаемого расширения, включая агент Log Analytics.

В дальнейшем мы добавили возможность автоматической подготовки агента Log Analytics к компьютерам, подключенным к Azure Arc.

Как и в случае с другими параметрами автоматической подготовки, это настраивается на уровне подписки.

При включении этого параметра появится запрос рабочей области.

Устарела рекомендация по классификации конфиденциальных данных в базах данных SQL

Мы удалили рекомендацию Конфиденциальные данные в базах данных SQL должны быть засекречены в связи с изменением подхода, используемого Defender для облака для выявления и защиты конфиденциальных данных в облачных ресурсах.

Последние шесть месяцев на странице Важные предстоящие изменения в Microsoft Defender для облака отображалось предварительное уведомление об этом изменении.

Теперь оповещение о связи с подозрительным доменом отображается также для известных доменов, связанных с Log4Shell

Ранее следующее оповещение было доступно только тем организациям, которые включили план Microsoft Defender для DNS.

В этом обновлении это оповещение будет также отображаться для подписок с включенным планом Microsoft Defender для серверов или Defender для Службы приложений.

Кроме того, в Microsoft Threat Intelligence расширен список известных вредоносных доменов, который теперь включает домены, связанные с использованием широко распространенных уязвимостей, имеющих отношение к Log4j.

В область сведений для оповещений системы безопасности добавлена кнопка "Копировать JSON-оповещения"

Чтобы пользователям быстро проще обмениваться сведениями об оповещениях с другими (например, аналитиками SOC, владельцами ресурсов и разработчиками), мы добавили возможность простого извлечения всех сведений о конкретном оповещении с помощью одной кнопки в области сведений об оповещениях системы безопасности.

Новая кнопка "Копировать оповещение JSON " помещает сведения о оповещении в формате JSON в буфер обмена пользователя.

Переименованы две рекомендации

Для обеспечения согласованности с названиями других рекомендаций мы переименовали следующие две рекомендации:

• Рекомендация по устранению уязвимостей, обнаруженных в выполняющихся образах контейнеров

  • Предыдущее название. Необходимо устранить уязвимости в запущенных образах контейнеров (на платформе Qualys)
  • Новое название. Необходимо устранить уязвимости в образах работающих контейнеров

• Рекомендация по включению журналов диагностики для Службы приложений Azure

  • Предыдущее название. В Службе приложений должны быть включены журналы диагностики
  • Новое название. В Службе приложений должны быть включены журналы диагностики

Прекращение поддержки политики "Контейнеры кластера Kubernetes должны прослушивать только разрешенные порты"

Рекомендация Контейнеры кластера Kubernetes должны прослушивать только разрешенные порты устарела.

Чтобы ограничить количество портов, открытых в приложение для доступа через Интернет, следует воспользоваться рекомендацией Службы должны ожидать передачи данных только на разрешенных портах.

Добавлена книга "Активные оповещения"

Чтобы нашим пользователям было проще понять, какие активные угрозы существуют в их средах, и определить приоритетность активных оповещений в процессе исправления, мы добавили книгу "Активные оповещения ".

Книга активных оповещений позволяет пользователям просматривать единую панель мониторинга объединенных оповещений по серьезности, типу, тегу, тактике MITRE ATT&CK и расположению. Дополнительные сведения см. в разделе Использование книги "Активные оповещения".

В облако для государственных организаций добавлена рекомендация "Обновление системы"

Рекомендация "На ваших компьютерах должны быть установлены обновления системы" теперь доступна во всех облаках для государственных организаций.

Скорее всего, это изменение повлияет на оценку безопасности подписки на облако для государственных организаций. Мы ожидаем, что изменение приведет к уменьшению оценки, но в некоторых случаях добавление рекомендации может обеспечить увеличение оценки.

Декабрь 2021 г.

В декабре добавлены следующие обновления:

• Стал общедоступным план "Microsoft Defender для контейнеров"
• Стали общедоступными новые оповещения для плана "Microsoft Defender для контейнеров"
• Улучшения оповещений для Microsoft Defender для хранилища
• Оповещение PortSweeping удалено из списка оповещений сетевого уровня

Стал общедоступным план "Microsoft Defender для контейнеров"

Более двух лет назад мы внедрили Defender для Kubernetes и Defender для реестров контейнеров в рамках предложения Azure Defender в Microsoft Defender для облака.

С выпуском Microsoft Defender для контейнеров мы объединили эти два имеющихся плана Defender.

Преимущества нового плана:

• Объединение функций двух имеющихся планов. Обнаружение угроз для кластеров Kubernetes и оценка уязвимостей для образов, хранящихся в реестрах контейнеров.
• Добавление новых и улучшенных функций. В том числе обеспечение поддержки нескольких облаков, обнаружение угроз на уровне узла с более чем 60 новыми средствами аналитики с поддержкой Kubernetes и оценка уязвимостей для запуска образов
• Внедрение подключения в большом масштабе собственными средствами Kubernetes. По умолчанию при включении плана все соответствующие компоненты настраиваются для автоматического развертывания.

В этом выпуске доступность и представление Defender для Kubernetes и Defender для реестров контейнеров изменились следующим образом:

• Новые подписки. Два предыдущих плана контейнеров больше не доступны.
• Существующие подписки . Где бы они ни отображались на портале Azure, планы отображаются как устаревшие с инструкциями по обновлению до более нового плана

Новый план предоставляется бесплатно в течение декабря 2021 года. Дополнительные сведения о возможных затратах в связи с выставлением счетов из старых планов в Defender для контейнеров и о преимуществах, появившихся в этом плане, см. в статье Знакомство с Microsoft Defender для контейнеров.

Дополнительные сведения см. в разделе:

• Общие сведения о Microsoft Defender для контейнеров
• Включение Microsoft Defender для контейнеров
• Знакомство с Microsoft Defender для контейнеров — Microsoft Tech Community
• Microsoft Defender для контейнеров | Defender для облака в поле № 3 — YouTube

Стали общедоступными новые оповещения для плана "Microsoft Defender для контейнеров"

Субъекты угроз используют средства и скрипты для поиска общедоступных открытых контейнеров в попытке найти неправильно настроенные открытые контейнеры хранилища с конфиденциальными данными.

Microsoft Defender для хранилища обнаруживает эти сканеры, чтобы их можно было заблокировать и исправить состояние.

Оповещение предварительной версии, которое было обнаружено, называется "Анонимное сканирование контейнеров общедоступного хранилища". Чтобы обеспечить большую ясность о обнаруженных подозрительных событиях, мы разделили это на два новых оповещения. Эти оповещения относятся только к Хранилищу BLOB-объектов Azure.

Мы улучшили логику обнаружения, обновили метаданные оповещений, а также изменили имя и тип оповещения.

Вот новые оповещения:

Дополнительные сведения см. в разделе:

• Таблица угроз для служб хранилища
• Общие сведения о Microsoft Defender для хранилища
• Список оповещений, предоставленных Microsoft Defender для хранилища

Улучшения оповещений для Microsoft Defender для хранилища

Для оповещений о начальном доступе улучшена точность и добавлены дополнительные данные для поддержки расследования.

При начальном доступе субъекты угроз используют различные методы, позволяющие им внедриться в сеть. Два оповещения Microsoft Defender для хранилища, которые используются при обнаружении аномалий на этом этапе, теперь имеют улучшенную логику обнаружения и дополнительные данные для поддержки исследований.

Если вы настроили автоматизацию или определили правила подавления оповещений для этих оповещений в прошлом, обновите их в соответствии с этими изменениями.

Обнаружение доступа из выходного узла Tor

Доступ из выходного узла Tor может указывать на то, что субъект угрозы пытается скрыть свое удостоверение.

Теперь оповещение настроено так, чтобы оно создавалось только при доступе с проверкой подлинности, что обеспечит более высокую точность и уверенность в том, что действие является вредоносным. Это улучшение сокращает частоту неопасных положительных срабатываний.

Нехарактерный шаблон будет иметь высокий уровень серьезности, а менее аномальные шаблоны — среднюю серьезность.

Обновлены имя и описание оповещения. AlertType остается без изменений.

• Имя оповещения (старое). Доступ из выходного узла Tor к учетной записи хранения
• Имя оповещения (новое). Доступ с проверкой подлинности из выходного узла Tor
• Типы оповещений: Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
• Описание. С IP-адреса, известного как активный выходной узел Tor (анонимизирующий прокси-сервер) успешно получен доступ к одному или нескольким контейнерам хранилища либо одной или нескольким общим папкам в вашей учетной записи хранения. Субъекты угроз используют Tor, чтобы усложнить трассировку активности. Доступ с проверкой подлинности с выходного узла TOR, скорее всего, указывает на то, что субъект угрозы пытается скрыть свое удостоверение. Применимо к: Хранилище BLOB-объектов Azure, Файлы Azure, Azure Data Lake Storage 2-го поколения
• Тактика MITRE: первоначальный доступ
• Серьезность: высокий или средний

Необычный доступ без проверки подлинности

Изменение шаблонов доступа может указывать на то, что субъект угроз мог использовать общедоступный доступ на чтение к контейнерам хранилища, используя ошибку в конфигурациях доступа или изменив разрешения доступа.

Это оповещение средней серьезности теперь настраивается с использованием улучшенной логики поведения и обеспечением большей точности и уверенности в том, что действие является вредоносным. Это улучшение сокращает частоту неопасных положительных срабатываний.

Обновлены имя и описание оповещения. AlertType остается без изменений.

• Имя оповещения (старое). Анонимный доступ к учетной записи хранения
• Имя оповещения (новое). Необычный доступ без проверки подлинности к контейнеру хранилища
• Типы оповещений: Storage.Blob_AnonymousAccessAnomaly
• Описание. Доступ к этой учетной записи хранения осуществлялся без проверки подлинности, что указывает на изменение обычного шаблона доступа. Для доступа на чтение в этом контейнере обычно необходимо пройти проверку подлинности. Это может означать, что субъекту угрозы удалось воспользоваться открытым доступом на чтение в контейнерах хранилища в этих учетных записях хранения. Применимо к: Хранилище BLOB-объектов Azure
• Тактика MITRE: сбор данных
• Серьезность: средний

Дополнительные сведения см. в разделе:

• Таблица угроз для служб хранилища
• Общие сведения о Microsoft Defender для хранилища
• Список оповещений, предоставленных Microsoft Defender для хранилища

Оповещение PortSweeping удалено из списка оповещений сетевого уровня

Следующее оповещение было удалено из списка оповещений сетевого уровня из-за неэффективности:

Ноябрь 2021 г.

Наш выпуск Ignite включает в себя следующее:

• Microsoft Defender для облака вместо Центра безопасности Azure и Azure Defender
• Собственный класс CSPM для AWS и защита от угроз для Amazon EKS и AWS EC2
• Определение приоритета действий системы безопасности с учетом чувствительности данных (на базе Microsoft Purview) (предварительная версия)
• Расширенные оценки управления безопасностью с помощью теста производительности системы безопасности Azure версии 3
• Общая доступность необязательной двунаправленной синхронизации оповещений соединителя Microsoft Sentinel
• Новая рекомендация для отправки журналов Служба Azure Kubernetes (AKS) в Microsoft Sentinel
• Рекомендации, сопоставленные с платформой MITRE ATT&CK®, выпущены для общедоступной доступности (GA)

К другим ноябрьским изменениям относятся:

• В качестве решения для оценки уязвимостей добавлен модуль Майкрософт для управления угрозами и уязвимостями (общедоступная версия)
• Microsoft Defender для серверов теперь поддерживает Microsoft Defender для конечной точки для Linux (общедоступная версия)
• Экспорт моментальных снимков для получения рекомендаций и сведений о безопасности (предварительная версия)
• Автоматическая подготовка решений для оценки уязвимостей, выпущенных для общедоступной доступности (GA)
• Фильтры инвентаризации программного обеспечения в системе инвентаризации ресурсов (общедоступная версия)
• Новая политика безопасности AKS, добавленная в инициативу по умолчанию — предварительная версия
• Для экрана инвентаризации на локальных компьютерах для имени ресурса будет применяться другой шаблон

Microsoft Defender для облака вместо Центра безопасности Azure и Azure Defender

В соответствии с отчетом о состоянии облака за 2021 г. 92 % организаций на данный момент уже имеют стратегию использования нескольких облаков. Наша цель — централизация безопасности в разных средах и более эффективная работа команд безопасности.

Microsoft Defender для облака — это решение Cloud Security Posture Management (CSPM) и Cloud Workload Protection Platform (CWPP), которое обнаруживает слабые места в вашей облачной конфигурации, помогает укрепить общую позицию безопасности вашей среды и защитить рабочие нагрузки в многооблачных и гибридных средах.

В Ignite 2019 мы предоставляем нашу концепцию создания наиболее полного подхода к защите своего цифрового пространства и интеграции технологий XDR под торговой маркой Microsoft Defender. Объединение Центр безопасности Azure и Azure Defender с новым именем Microsoft Defender для облака отражает интегрированные возможности нашего предложения безопасности и нашу способность поддерживать любую облачную платформу.

Собственный класс CSPM для AWS и защита от угроз для Amazon EKS и AWS EC2

Новая страница параметров среды обеспечивает большую видимость и контроль над группами управления, подписками и учетными записями AWS. Эта страница предназначена для подключения учетных записей AWS в масштабе: подключение учетной записи управления AWS и автоматическое подключение существующих и будущих учетных записей.

После добавления учетных записей AWS Defender для облака будет защищать ресурсы AWS с помощью любого или каждого из следующих планов:

• Функции CSPM в Defender для облака теперь можно использовать для ресурсов AWS. Этот безагентный план оценивает ресурсы AWS в соответствии со специально разработанными для AWS рекомендациями по безопасности, и эти рекомендации учитываются в вашей оценке безопасности. Ресурсы также будут оцениваться на соответствие встроенным стандартам AWS (AWS CIS, AWS PCI DSS и AWS Foundational Security Best Practices). Страница Инвентаризация ресурсов службы "Defender для облака" — это функция с поддержкой нескольких облаков, которая позволяет управлять ресурсами AWS вместе с ресурсами Azure.
• Обнаружение угроз для контейнеров и расширенные средства защиты Microsoft Defender для Kubernetes теперь можно использовать в кластерах Amazon EKS под управлением Linux.
• Microsoft Defender для серверов предоставляет функции обнаружения угроз и расширенной защиты на экземплярах Windows и Linux EC2. Этот план включает в себя встроенную лицензию на Microsoft Defender для конечной точки, базовые показатели безопасности и оценки уровня ОС, сканирование с оценкой уязвимостей, адаптивные элементы управления приложениями (AAC), мониторинг целостности файлов (FIM) и другие возможности.

Узнайте больше о подключении учетных записей AWS к Microsoft Defender для облака.

Определение приоритета действий системы безопасности с учетом чувствительности данных (на базе Microsoft Purview) (предварительная версия)

Ресурсы данных остаются популярным целевым объектом для субъектов угроз. Поэтому крайне важно, чтобы отделы безопасности выявляли и защищали ресурсы конфиденциальных данных в облачных средах, а также определяли их приоритеты.

Для решения этой проблемы Microsoft Defender для Облака теперь интегрирует сведения о конфиденциальности из Microsoft Purview. Microsoft Purview — это единая служба управления данными, которая предоставляет подробные сведения о конфиденциальности данных в нескольких облаках и локальных рабочих нагрузках.

Интеграция с Microsoft Purview расширяет видимость системы безопасности в Defender для облака с уровня инфраструктуры до уровня данных, предоставляя отделам безопасности совершенно новый способ определения приоритетов ресурсов и выполнения связанных с безопасностью действий.

Дополнительные сведения см. в разделе Ранжирование действий по обеспечению безопасности с учетом конфиденциальности данных.

Расширенные оценки управления безопасностью с помощью теста производительности системы безопасности Azure версии 3

Рекомендации по безопасности в Defender для облака поддерживаются Azure Security Benchmark.

Azure Security Benchmark (ASB) — это специально разработанный корпорацией Майкрософт набор руководств по обеспечению безопасности и соответствия нормативным требованиям на основе распространенных платформ обеспечения соответствия. Это широко принятое тестирование основано на стандартах Центра Интернет-безопасности (CIS) и Национального института стандартов и технологий (NIST) с ориентацией на облачную безопасность.

Начиная с Ignite 2021, Azure Security Benchmark версии 3 доступна на панели мониторинга соответствия нормативным требованиям Defender для облака и включена в качестве новой инициативы по умолчанию для всех подписок Azure, защищенных с помощью Microsoft Defender для облака.

Среди улучшений в версии 3:

• Дополнительные сопоставления с отраслевыми платформами PCI-DSS версии 3.2.1 и CIS Controls версии 8.

• Более детализированные и практичные рекомендации для элементов управления благодаря внедрению следующих возможностей:

  • Принципы безопасности . Предоставление сведений о общих целях безопасности, которые создают основу для наших рекомендаций.
  • Руководство по Azure . Техническое руководство для удовлетворения этих целей.

• К новым элементам управления относятся средство безопасности DevOps для решения таких проблем, как моделирование угроз и безопасность цепочки поставок программного обеспечения, а также управление ключами и сертификатами для рекомендаций в Azure.

Дополнительные сведения см. в статье Вводные сведения об Azure Security Benchmark.

Общая доступность необязательной двунаправленной синхронизации оповещений соединителя Microsoft Sentinel

В июле мы объявили о предварительной версии функции двухнаправленной синхронизации оповещений для встроенного соединителя в Microsoft Sentinel (облачное решение SIEM и SOAR Майкрософт). Теперь эта функция общедоступна.

При подключении Microsoft Defender для облака к Microsoft Sentinel состояние оповещений системы безопасности синхронизируется между этими двумя службами. Например, если оповещение закрывается в Defender для облака, оно также отображается как закрытое в Microsoft Sentinel. Изменение состояния оповещения в Defender для Облака не повлияет на состояние любых инцидентов Microsoft Sentinel, содержащих синхронизированное оповещение Microsoft Sentinel, только то, что самого синхронизированного оповещения.

При включении двунаправленной синхронизации оповещений вы автоматически синхронизируете состояние исходных оповещений Defender для облака с инцидентами Microsoft Sentinel, содержащими копии этих оповещений. Например, при закрытии инцидента Microsoft Sentinel, содержащего оповещения Defender для облака, соответствующее исходное оповещение будет автоматически закрыто в Microsoft Defender для облака.

Дополнительные сведения см. в разделе "Подключение оповещений Azure Defender" из Центр безопасности Azure и потоковой передачи оповещений в Microsoft Sentinel.

Новая рекомендация для отправки журналов Служба Azure Kubernetes (AKS) в Microsoft Sentinel

В стремлении повысить совокупную ценность Defender для облака и Microsoft Sentinel мы сейчас активно работает над экземплярами Службы Azure Kubernetes, которые не отправляют данные журнала в Microsoft Sentinel.

Команды SecOps могут выбрать соответствующую рабочую область Microsoft Sentinel непосредственно на странице сведений о рекомендации и сразу же включить потоковую передачу необработанных журналов. Такое прозрачное подключение между двумя продуктами позволяет группам безопасности с легкостью обеспечить полное покрытие процесса ведения журнала в различных рабочих нагрузках для всеобъемлющего контроля над всей средой.

В новой рекомендации "Необходимо включить журналы диагностики в службах Kubernetes" предусмотрен параметр "Исправить" для более быстрого исправления.

Мы также улучшили рекомендацию "Аудит на сервере SQL Server должна быть включена" с теми же возможностями потоковой передачи Microsoft Sentinel.

Рекомендации, сопоставленные с платформой MITRE ATT&CK®, выпущены для общедоступной доступности (GA)

Мы улучшили рекомендации по безопасности Defender для облака, чтобы показать свою позицию на платформе MITRE ATT&CK®. Эта глобально доступная база знаний о тактиках и методиках субъектов угроз, основанная на результатах наблюдения в реальных условиях. Она предоставляет дополнительный контекст, позволяющий понять связанные с рекомендациями риски для вашей среды.

Эти тактики можно просмотреть в любом месте, где доступны рекомендации:

• Результаты запроса Azure Resource Graph для соответствующих рекомендаций включают тактику и методы MITRE ATT&CK®.

• На страницах со сведениями о рекомендации отображается сопоставление для всех соответствующих рекомендаций:

• На странице рекомендаций в Defender для облака появился новый фильтр для выбора рекомендаций в соответствии с тактиками, которые с ними связаны:

Дополнительные сведения см. в статье Проверка рекомендаций по обеспечению безопасности.

В качестве решения для оценки уязвимостей добавлен модуль Майкрософт для управления угрозами и уязвимостями (общедоступная версия)

В октябре мы объявили о расширении интеграции между Microsoft Defender для серверов и Microsoft Defender для конечной точки для поддержки нового поставщика оценки уязвимостей для компьютеров: управление угрозами и уязвимостями Майкрософт. Теперь эта функция общедоступна.

Воспользуйтесь управлением угрозами и уязвимостями для обнаружения уязвимостей и неправильных настроек почти в режиме реального времени при включенной интеграции Microsoft Defender для конечной точки без дополнительных агентов или периодических проверок. Управление угрозами и уязвимостями обеспечивает определение приоритетов уязвимостей на основе ландшафта угроз и результатов обнаружения в организации.

Воспользуйтесь рекомендацией по безопасности Необходимо включить решение для оценки уязвимостей на виртуальных машинах, чтобы выявить уязвимости, обнаруженные модулем управления угрозами и уязвимостями, для поддерживаемых компьютеров.

Сведения о том, как автоматически выявлять уязвимости на имеющихся и новых компьютерах без необходимости вручную выполнять исправление по рекомендации, см. в разделе Решения для оценки уязвимостей теперь можно включать автоматически (предварительная версия).

Дополнительные сведения см. в статье Исследование уязвимостей с помощью модуля контроля угроз и уязвимостей Microsoft Defender для конечной точки.

Microsoft Defender для серверов теперь поддерживает Microsoft Defender для конечной точки для Linux (общедоступная версия)

В августе мы объявили о предварительной версии поддержки развертывания датчика Defender для конечной точки для Linux на поддерживаемых компьютерах Linux. Теперь эта функция общедоступна.

В Microsoft Defender для серверов интегрирована лицензия на Microsoft Defender для конечной точки. Вместе они обеспечивают широкие возможности обнаружения конечных точек и реагирования.

Когда Defender для конечной точки обнаруживает угрозу, активируется оповещение. Оповещение отображается в Defender для облака. Из Defender для облака вы можете перейти к консоли Defender для конечной точки, отобразить сводные данные и тщательно их изучить для определения области атаки.

Дополнительные сведения см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности Azure: Microsoft Defender для конечной точки.

Экспорт моментальных снимков для получения рекомендаций и сведений о безопасности (предварительная версия)

Defender для облака создает подробные оповещения и рекомендации по безопасности. Их можно просматривать на портале или с помощью программных средств. Кроме того, может потребоваться экспортировать некоторые или все эти сведения для отслеживания с помощью других средств мониторинга в вашем окружении.

Функция непрерывного экспорта Defender для Облака позволяет полностью настроить экспортируемых объектов и их расположение . Дополнительные сведения см. в статье Непрерывный экспорт данных Microsoft Defender для облака.

Несмотря на то, что функция называется непрерывной, существует также возможность экспортировать еженедельные моментальные снимки. До настоящего момента применение этих моментальных снимков было ограничено оценкой безопасности и нормативными данными о соответствии требованиям. Мы добавили возможность экспортировать рекомендации и результаты анализа безопасности.

Автоматическая подготовка решений для оценки уязвимостей, выпущенных для общедоступной доступности (GA)

В октябре мы объявили о добавлении решений для оценки уязвимостей на страницу автоматической подготовки Defender для Облака. Это относится к виртуальным машинам Azure и компьютерам Azure Arc в подписках, защищенных Azure Defender для серверов. Теперь эта функция общедоступна.

Если включена Интеграция с Microsoft Defender для облака, Defender для облака предоставляет возможность выбора решений для оценки уязвимостей:

• (NEW) Модуль управления угрозами и уязвимостями Microsoft Defender для конечной точки (см. примечание о выпуске)
• Встроенный агент Qualys

Выбранное решение будет автоматически включено на поддерживаемых компьютерах.

Дополнительные сведения см. в статье Автоматическая настройка оценки уязвимостей для компьютеров.

Фильтры инвентаризации программного обеспечения в системе инвентаризации ресурсов (общедоступная версия)

В октябре мы объявили о новых фильтрах для страницы инвентаризации активов , чтобы выбрать компьютеры под управлением определенного программного обеспечения и даже указать интересующие версии. Теперь эта функция общедоступна.

вы можете запросить данные инвентаризации программного обеспечения в Обозревателе Azure Resource Graph.

Чтобы использовать эти функции, необходимо включить интеграцию с Microsoft Defender для конечной точки.

Полные сведения, включая примеры запросов Kusto для Azure Resource Graph, см. в разделе Доступ к инвентаризации программного обеспечения.

Новая политика безопасности AKS, добавленная в инициативу по умолчанию

Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, Defender для облака предоставляет политики и рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.

В рамках этого проекта мы добавили политику и рекомендацию (отключены по умолчанию) для развертывания с ограничением в кластерах Kubernetes. Политика находится в инициативе по умолчанию, но относится только к организациям, которые регистрируются для связанной предварительной версии.

Вы можете просто проигнорировать политики и рекомендацию "Кластеры Kubernetes должны ограничивать развертывание уязвимых образов", и это не повлияет на вашу среду.

Если вы хотите принять участие в предварительной версии, вам потребуется быть членом кольца предварительной версии. Если вы еще не являетесь членом, отправьте запрос здесь. Участники получат уведомление о начале тестирования предварительной версии.

Для экрана инвентаризации на локальных компьютерах для имени ресурса будет применяться другой шаблон

Чтобы улучшить представление ресурсов в инвентаризации активов, мы удалили элемент source-computer-IP из шаблона для именования локальных компьютеров.

• Предыдущий формат:machine-name_source-computer-id_VMUUID
• Из этого обновления:machine-name_VMUUID

Октябрь 2021 года

В октябре добавлены следующие обновления:

• В качестве решения для оценки уязвимостей добавлен модуль Майкрософт для управления угрозами и уязвимостями (предварительная версия)
• Теперь поддерживается автоматическое включение решений по оценке уязвимостей (предварительная версия)
• В инвентаризацию ресурсов добавлены фильтры инвентаризации программного обеспечения (предварительная версия)
• Изменен префикс некоторых типов оповещений с "ARM_" на "VM_"
• Изменения в логике рекомендации по безопасности для кластеров Kubernetes
• Страницы сведений о рекомендациях теперь содержат связанные рекомендации
• Новые оповещения для Azure Defender для Kubernetes (предварительная версия)

В качестве решения для оценки уязвимостей добавлен модуль Майкрософт для управления угрозами и уязвимостями (предварительная версия)

Мы расширили интеграцию между Azure Defender для серверов и Microsoft Defender для конечной точки, чтобы обеспечить поддержку нового поставщика оценки уязвимостей для ваших компьютеров: Управление угрозами и уязвимостями (Майкрософт).

Воспользуйтесь управлением угрозами и уязвимостями для обнаружения уязвимостей и неправильных настроек почти в режиме реального времени при включенной интеграции Microsoft Defender для конечной точки без дополнительных агентов или периодических проверок. Управление угрозами и уязвимостями обеспечивает определение приоритетов уязвимостей на основе ландшафта угроз и результатов обнаружения в организации.

Воспользуйтесь рекомендацией по безопасности Необходимо включить решение для оценки уязвимостей на виртуальных машинах, чтобы выявить уязвимости, обнаруженные модулем управления угрозами и уязвимостями, для поддерживаемых компьютеров.

Сведения о том, как автоматически выявлять уязвимости на имеющихся и новых компьютерах без необходимости вручную выполнять исправление по рекомендации, см. в разделе Решения для оценки уязвимостей теперь можно включать автоматически (предварительная версия).

Дополнительные сведения см. в статье Исследование уязвимостей с помощью модуля контроля угроз и уязвимостей Microsoft Defender для конечной точки.

Теперь поддерживается автоматическое включение решений по оценке уязвимостей (предварительная версия)

Страница автоматической подготовки Центра безопасности теперь включает возможность автоматического включения решения оценки уязвимостей на виртуальных машинах Azure и компьютерах Azure Arc на подписках, защищенных Azure Defender для серверов.

Если включена Интеграция с Microsoft Defender для облака, Defender для облака предоставляет возможность выбора решений для оценки уязвимостей:

• (NEW) Модуль управления угрозами и уязвимостями Microsoft Defender для конечной точки (см. примечание о выпуске)
• Встроенный агент Qualys

Выбранное решение будет автоматически включено на поддерживаемых компьютерах.

Дополнительные сведения см. в статье Автоматическая настройка оценки уязвимостей для компьютеров.

В инвентаризацию ресурсов добавлены фильтры инвентаризации программного обеспечения (предварительная версия)

Теперь страница инвентаризации активов включает фильтр для выбора компьютеров, на которых выполняется определенное программное обеспечение, и даже указать интересующие версии.

Кроме того, вы можете запросить данные инвентаризации программного обеспечения в Обозревателе Azure Resource Graph.

Чтобы использовать эти новые функции, необходимо включить интеграцию с Microsoft Defender для конечной точки.

Полные сведения, включая примеры запросов Kusto для Azure Resource Graph, см. в разделе Доступ к инвентаризации программного обеспечения.

Изменен префикс некоторых типов оповещений с "ARM_" на "VM_"

В июле 2021 года мы объявили о логической реорганизации Azure Defender для оповещений Resource Manager

Во время реорганизации планов Defender мы переместили оповещения из Azure Defender для Resource Manager в Azure Defender для серверов.

В этом обновлении мы изменили префиксы этих оповещений в соответствии с данным переназначением и заменили "ARM_" на "VM_", как показано в следующей таблице.

Узнайте больше о планах Azure Defender для Resource Manager и Azure Defender для серверов.

Изменения в логике рекомендации по безопасности для кластеров Kubernetes

Рекомендация "Кластеры Kubernetes не должны использовать пространство имен по умолчанию" препятствует использованию пространства имен по умолчанию для диапазона типов ресурсов. Удалены два типа ресурсов, включенных в эту рекомендацию: ConfigMap и Secret.

Дополнительные сведения об этой рекомендации и усилении защиты кластеров Kubernetes см. в статье Общие сведения о службе "Политика Azure" для кластеров Kubernetes.

Страницы сведений о рекомендациях теперь содержат связанные рекомендации

Чтобы уточнить связи между различными рекомендациями, мы добавили область связанных рекомендаций на страницы сведений многих рекомендаций.

На этих страницах показаны три типа отношений:

• Предварительное условие — рекомендация, которая должна быть завершена до выбранной рекомендации
• Альтернатива — другая рекомендация, которая предоставляет другой способ достижения целей выбранной рекомендации.
• Зависимость — рекомендация, для которой выбранная рекомендация является предварительным условием

Для каждой связанной рекомендации в столбце "Затрагиваемые ресурсы" отображается число неработоспособных ресурсов.

Пример связанных рекомендаций:

1. Центр безопасности проверяет компьютеры на наличие поддерживаемых решений для оценки уязвимостей:
   Необходимо включить решение для оценки уязвимостей на виртуальных машинах

2. При обнаружении одного из них вы будете получать уведомления об обнаруженных уязвимостях:
   Должны быть устранены уязвимости на ваших виртуальных машинах.

Очевидно, что Центр безопасности не сможет уведомлять вас об обнаруженных уязвимостях, если он не найдет поддерживаемое решение для оценки уязвимостей.

Therefore:

• Рекомендация № 1 является необходимым условием для рекомендаций № 2.
• Рекомендация № 2 зависит от рекомендации № 1

Новые оповещения для Azure Defender для Kubernetes (предварительная версия)

Чтобы расширить защиту от угроз, предоставляемую Azure Defender для Kubernetes, мы добавили два оповещения из предварительной версии:

Эти оповещения создаются на основе новой модели машинного обучения и расширенной аналитики Kubernetes, измеряя несколько атрибутов развертывания и назначения ролей по сравнению с предыдущими действиями в кластере и во всех кластерах, отслеживаемых Azure Defender.

Полный список оповещений Kubernetes см. в разделе "Оповещения для контейнеров — кластеры Kubernetes" статьи "Оповещения системы безопасности — справочное руководство".

Сентябрь 2021 года

В сентябре было выпущено следующее обновление:

Две новые рекомендации по аудиту конфигураций ОС для обеспечения соответствия базовым показателям безопасности Azure (предварительная версия)

Для оценки соответствия ваших компьютеров базовым показателям безопасности Windows и Linux выпущены следующие две рекомендации:

• Для компьютеров с Windows: Необходимо устранить уязвимости в конфигурации безопасности на ваших компьютерах Windows (на базе гостевой конфигурации).
• Для компьютеров с Linux: Необходимо устранить уязвимости в конфигурации безопасности на ваших компьютерах Linux (на базе гостевой конфигурации).

В этих рекомендациях с помощью функции гостевой конфигурации Политики Azure конфигурация ОС компьютера сравнивается с базовыми показателями, определенными в Azure Security Benchmark.

Дополнительные сведения об использовании этих рекомендаций см. в разделе Защита конфигурации ОС компьютера с помощью гостевой конфигурации.

Август 2021 г.

В августе добавлены следующие обновления:

• Azure Defender для серверов теперь поддерживает Microsoft Defender для конечной точки для Linux (в предварительной версии)
• Две новые рекомендации по управлению решениями для защиты конечных точек (предварительные версии)
• Встроенные средства устранения неполадок и руководство по решению распространенных проблем
• Отчеты аудита Azure для панели мониторинга соответствия нормативным требованиям, выпущенные для общедоступной версии (GA)
• Игнорирование рекомендации "На ваших компьютерах необходимо устранить проблемы работоспособности агента анализа журналов Log Analytics"
• Azure Defender для реестров контейнеров проверяет наличие уязвимостей в реестре, защищенных с помощью службы "Приватный канал Azure"
• Центр безопасности теперь может автоматически подготовить расширение гостевой конфигурации Политика Azure (в предварительной версии)
• Теперь рекомендации поддерживают "Принудительное применение".
• Экспорт в CSV данных рекомендаций теперь ограничен 20 МБ
• Страница рекомендаций теперь состоит из нескольких представлений

Azure Defender для серверов теперь поддерживает Microsoft Defender для конечной точки для Linux (в предварительной версии)

В Azure Defender для серверов интегрирована лицензия на Microsoft Defender для конечной точки. Вместе они обеспечивают широкие возможности обнаружения конечных точек и реагирования.

Когда Defender для конечной точки обнаруживает угрозу, активируется оповещение. Оповещение отображается в Центре безопасности. Из Центра безопасности вы можете перейти к консоли Defender для конечной точки, отобразить сводные данные и тщательно их изучить для определения области атаки.

В период действия предварительной версии для развертывания Microsoft Defender для конечной точки на компьютерах Linux можно использовать один из двух способов, в зависимости от того, было ли это средство развернуто на ваших компьютерах с ОС Windows:

• для существующих пользователей, у которых включены функции усиленной безопасности Defender для облака и служба "Microsoft Defender для конечной точки" для Windows;
• для новых пользователей, которые еще не выполняли интеграцию с Microsoft Defender для конечной точки для Windows.

Дополнительные сведения см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности Azure: Microsoft Defender для конечной точки.

Две новые рекомендации по управлению решениями для защиты конечных точек (предварительные версии)

Мы добавили две рекомендации по предварительной версии для развертывания и обслуживания решений защиты конечных точек на компьютерах. Обе рекомендации касаются поддержки виртуальных машин Azure и компьютеров, подключенных к серверам с поддержкой Azure Arc.

Встроенные средства устранения неполадок и руководство по решению распространенных проблем

Новая, выделенная область страниц Центра безопасности на портале Microsoft Azure содержит упорядоченный, постоянно увеличивающийся набор материалов для самостоятельного решения проблем с Центром безопасности и Azure Defender.

Если у вас возникла проблема или вы хотите получить совет от нашей группы поддержки, попробуйте найти решение с помощью инструмента Диагностика и устранение неполадок.

Отчеты аудита Azure для панели мониторинга соответствия нормативным требованиям, выпущенные для общедоступной версии (GA)

На панели инструментов панели мониторинга соответствия нормативным требованиям доступны отчеты о сертификатах Azure и Dynamics по стандартам, применяемым к подпискам.

Можно выбрать вкладку для соответствующих типов отчетов (PCI, SOC, ISO и др.) и использовать фильтры для поиска нужных отчетов.

Дополнительные сведения см. в разделе Создание отчетов о состоянии соответствия и сертификатов.

Игнорирование рекомендации "На ваших компьютерах необходимо устранить проблемы работоспособности агента анализа журналов Log Analytics"

Мы обнаружили, что рекомендация На ваших компьютерах должны быть решены проблемы работоспособности агента анализа журналов Log Analytics влияет на оценку безопасности таким образом, что это не согласуется с фокусом Управления состоянием безопасности облака (CPSM) Центра безопасности. Как правило, CSPM относится к выявлению нетипичных конфигураций безопасности. Проблемы работоспособности агентов не попадают в эту категорию.

Кроме того, рекомендация является отклонением при сравнении с другими агентами, связанными с Центром безопасности: это единственный агент с рекомендацией, относящейся к проблемам работоспособности.

Рекомендация не рекомендуется.

В связи с этим мы также внесли незначительные изменения в рекомендации по установке агента Log Analytics ("Агент Log Analytics должен быть установлен на…").

Скорее всего, это изменение повлияет на ваши оценки безопасности. Мы предполагаем, что для большинства подписок оно приведет к повышению оценки, но в определенных обстоятельствах такие изменения в рекомендациях по установке могут привести и к их снижению.

Azure Defender для реестров контейнеров проверяет наличие уязвимостей в реестре, защищенных с помощью службы "Приватный канал Azure"

В инструмент Azure Defender для реестров контейнеров входит сканер уязвимостей для проверки образов в службе "Реестр контейнеров Azure". Узнайте, как проверить свои реестры и исправить результаты в статье Использование Azure Defender для реестров контейнеров для проверки уязвимости образов.

Чтобы ограничить доступ к реестру, размещенному в реестре контейнеров Azure, присвойте частные IP-адреса виртуальной сети конечным точкам реестра и воспользуйтесь службой "Приватный канал Azure", как описано в разделе Закрытое подключение к реестру контейнеров Azure с помощью приватного канала.

Мы постоянно стремимся обеспечить поддержку дополнительных сред и вариантов использования, поэтому Azure Defender теперь также сканирует реестры контейнеров, защищенные с помощью Приватного канала Azure.

Центр безопасности теперь может автоматически подготовить расширение гостевой конфигурации Политика Azure (в предварительной версии)

Политика Azure может выполнять аудит параметров на компьютере как для компьютеров, работающих в Azure, так и для компьютеров, подключенных к Arc. Проверка выполняется с помощью расширения гостевой конфигурации и клиента. Подробнее см. в статье Общие сведения о гостевой конфигурации службы "Политика Azure"

После этого обновления в Центре безопасности можно настраивать автоматическую подготовку этого расширения на всех поддерживаемых компьютерах.

Дополнительные сведения о том, как работает автопроизвидение, см. в разделе "Настройка автоматической подготовки для агентов и расширений".

Рекомендации теперь поддерживают "Принудительное применение"

Центр безопасности включает две функции, которые помогают обеспечить безопасную подготовку новых ресурсов: принудительное применение и запрет. Если в рекомендацию включены такие варианты, то при каждой попытке создать ресурс вы сможете обеспечить соблюдение требований безопасности:

• Запрет останавливает создание неработоспособных ресурсов
• Принудительное автоматическое исправление несоответствующих ресурсов при создании

В рамках этого обновления вариант "Применить" теперь доступен в рекомендациях по включению планов Azure Defender (например, должны быть включеныAzure Defender для Службы приложений Azure, Azure Defender для Key Vault и Azure Defender для службы хранилища).

Подробнее об этих возможностях см. раздел Предотвращение ошибок конфигурации с помощью рекомендаций о применении и отклонении.

Экспорт данных рекомендаций в CSV-файл теперь ограничен 20 МБ

Мы установили ограничение в 20 МБ для экспорта данных рекомендаций Центра безопасности Azure.

Если необходимо экспортировать большие объемы данных, используйте фильтры перед выбором или выбирайте подмножества подписок и скачивайте данные пакетами.

Узнайте больше об экспорте рекомендаций по безопасности в формате CSV.

Страница рекомендаций теперь состоит из нескольких представлений

На странице рекомендаций теперь есть две вкладки, которые обеспечивают разные возможности просмотра рекомендаций для ваших ресурсов:

• Рекомендации по безопасной оценке. Используйте эту вкладку для просмотра списка рекомендаций, сгруппированных по элементам управления безопасностью. Подробнее об этих элементах управления см. в разделе Элементы управления безопасностью и рекомендации по ним.
• Все рекомендации . Используйте эту вкладку для просмотра списка рекомендаций в виде неструктурированного списка. На этой вкладке также можно четко определить, что является основанием для создания рекомендации (в том числе стандарты нормативного соответствия). Подробнее об инициативах и том, как они связаны с рекомендациями, см. в разделе Что собой представляют политики безопасности, а также инициативы и рекомендации по ее обеспечению?

Июль 2021 г.

В июле добавлены следующие обновления:

• Соединитель Microsoft Sentinel теперь включает необязательную двунаправленную синхронизацию оповещений (в предварительной версии)
• Логическая реорганизация Azure Defender для оповещений Resource Manager
• Дополнения к рекомендации по включению службы "Шифрование дисков Azure" (ADE)
• Функция непрерывного экспорта данных об оценке безопасности и соответствии нормативным требованиям, выпущенных для общедоступной версии (GA)
• Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (общедоступная версия, GA)
• Поля "FirstEvaluationDate" и "StatusChangeDate" программного интерфейса оценки теперь доступны в схемах рабочей области и приложениях логики
• В коллекцию книг Azure Monitor добавлен шаблон книги "Соответствие требованиям в долгосрочной перспективе"

Соединитель Microsoft Sentinel теперь включает необязательную двунаправленную синхронизацию оповещений (в предварительной версии)

Центр безопасности изначально интегрируется с microsoft Sentinel, облачным решением SIEM Azure и SOAR.

Microsoft Sentinel включает встроенные соединители для Центр безопасности Azure на уровне подписки и клиента. Дополнительные сведения см. в разделе "Потоковая передача оповещений" в Microsoft Sentinel.

При подключении Azure Defender к Microsoft Sentinel состояние оповещений Azure Defender, которые получают прием в Microsoft Sentinel, синхронизируются между двумя службами. Например, если оповещение закрыто в Azure Defender, это оповещение будет отображаться как закрытое в Microsoft Sentinel. Изменение состояния оповещения в Azure Defender "не будет"* влиять на состояние любых инцидентов Microsoft Sentinel, содержащих синхронизированное оповещение Microsoft Sentinel, только то, что самого синхронизированного оповещения.

При включении двухнаправленной синхронизации оповещений предварительной версии автоматически синхронизируется состояние исходных оповещений Azure Defender с инцидентами Microsoft Sentinel, содержащими копии этих оповещений Azure Defender. Например, при закрытии инцидента Microsoft Sentinel, содержащего оповещение Azure Defender, Azure Defender автоматически закроет соответствующее исходное оповещение.

Дополнительные сведения см. в статье Подключение оповещений Azure Defender из Центра безопасности Azure.

Логическая реорганизация Azure Defender для оповещений Resource Manager

Приведенные ниже оповещения в настоящее время были предоставлены в рамках плана Azure Defender для Resource Manager.

В рамках логической реорганизации части планов Azure Defender мы перенесли некоторые оповещения из плана Azure Defender для Resource Manager в план Azure Defender для серверов.

Оповещения упорядочивают в соответствии с двумя основными принципами:

• Оповещения, которые обеспечивают защиту на уровне управления (для различных типов ресурсов Azure), входят в план "Azure Defender для Resource Manager".
• Оповещения, которые обеспечивают защиту определенных рабочих нагрузок, входят в план Azure Defender, связанный с соответствующей рабочей нагрузкой.

Ниже приведены оповещения, которые входили в план "Azure Defender для Resource Manager" и которые в результате этого изменения теперь включены в план "Azure Defender для серверов":

• ARM_AmBroadFilesExclusion
• ARM_AmDisablementAndCodeExecution
• ARM_AmDisablement
• ARM_AmFileExclusionAndCodeExecution
• ARM_AmTempFileExclusionAndCodeExecution
• ARM_AmTempFileExclusion
• ARM_AmRealtimeProtectionDisabled
• ARM_AmTempRealtimeProtectionDisablement
• ARM_AmRealtimeProtectionDisablementAndCodeExec
• ARM_AmMalwareCampaignRelatedExclusion
• ARM_AmTemporarilyDisablement
• ARM_UnusualAmFileExclusion
• ARM_CustomScriptExtensionSuspiciousCmd
• ARM_CustomScriptExtensionSuspiciousEntryPoint
• ARM_CustomScriptExtensionSuspiciousPayload
• ARM_CustomScriptExtensionSuspiciousFailure
• ARM_CustomScriptExtensionUnusualDeletion
• ARM_CustomScriptExtensionUnusualExecution
• ARM_VMAccessUnusualConfigReset
• ARM_VMAccessUnusualPasswordReset
• ARM_VMAccessUnusualSSHReset

Узнайте больше о планах Azure Defender для Resource Manager и Azure Defender для серверов.

Дополнения к рекомендации по включению службы "Шифрование дисков Azure" (ADE)

После получения отзывов пользователей мы переименовали рекомендацию На виртуальных машинах следует применять шифрование дисков.

В новой рекомендации под названием На виртуальных машинах следует шифровать временные диски, кэш и потоки данных между ресурсами службы вычислений и службы хранилища Azure используется тот же идентификатор оценки.

Кроме того, обновлено описание, чтобы лучше разъяснить цель этой рекомендации по усилению защиты:

Функция непрерывного экспорта данных об оценке безопасности и соответствии нормативным требованиям, выпущенных для общедоступной версии (GA)

Непрерывный экспорт предоставляет механизм экспорта оповещений системы безопасности и рекомендаций для отслеживания с помощью других средств мониторинга в вашей среде.

Для настройки функции непрерывного экспорта укажите, какие элементы необходимо экспортировать, и адресата. Дополнительные сведения см. в обзоре по непрерывному экспорту.

Все это время мы улучшали и расширяли эту функцию:

• В ноябре 2020 года мы добавили параметр предварительной версии для потоковой передачи изменений в оценку безопасности.

• В декабре 2020 года мы добавили вариант предварительной версии для потоковой передачи изменений в данные оценки соответствия нормативным требованиям.

В этом обновлении эти две опции включены в общедоступную версию (GA).

Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (общедоступная версия, GA)

В феврале 2021 года мы добавили третий тип данных предварительной версии в параметры триггера для автоматизации рабочих процессов: изменения в оценках соответствия нормативным требованиям. Дополнительные сведения приведены в разделе Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям.

В этом обновлении этот параметр триггера выпущен для общедоступной версии (GA).

Сведения о том, как использовать средства автоматизации рабочих процессов, см. в статье Автоматизация реагирования на триггеры Центра безопасности.

Поля "FirstEvaluationDate" и "StatusChangeDate" программного интерфейса оценки теперь доступны в схемах рабочей области и приложениях логики

В мае 2021 года мы обновили API оценки с двумя новыми полями FirstEvaluationDate и StatusChangeDate. Более полная информация приведена в разделе Программный интерфейс оценки дополнен двумя новыми полями.

Эти поля были доступны с помощью интерфейса REST API, Azure Resource Graph, функции непрерывного экспорта и в CSV-файлах экспорта.

После этого изменения данные станут доступны в схеме рабочей области Log Analytics и в приложениях логики.

В коллекцию книг Azure Monitor добавлен шаблон книги "Соответствие требованиям в долгосрочной перспективе"

В марте мы объявили о внедрении книг Azure Monitor в Центр безопасности Azure (см. статью Книги Azure Monitor интегрированы в Центр безопасности Azure и предоставлено три шаблона).

В первоначальный выпуск вошло три шаблона для создания динамических и визуальных отчетов о состоянии безопасности вашей организации.

Теперь мы добавили книгу, предназначенную для отслеживания соответствия подписок действующим нормативным требованиям или отраслевым стандартам.

Сведения об использовании этих отчетов или создании собственных см. в статье Создание интерактивных отчетов на основе данных Центра безопасности Azure.

Июнь 2021 года

В июне добавлены следующие обновления:

• Новое оповещение Azure Defender для Key Vault
• Рекомендации о шифровании данных с использованием ключей, управляемых клиентом (CMK), отключены по умолчанию
• Префикс оповещений Kubernetes поменялся с "AKS_" на "K8S_"
• Две рекомендации из элемента управления безопасностью "Применить обновления системы" объявлены устаревшими

Новое оповещение Azure Defender для Key Vault

Чтобы расширить защиту от угроз, предоставляемую Azure Defender для Key Vault, мы добавили следующее оповещение:

Дополнительные сведения см. в разделе:

• Общие сведения о Azure Defender для Key Vault
• Реагирование на оповещения Azure Defender для Key Vault
• Список оповещений, предоставляемых Azure Defender для Key Vault

Рекомендации о шифровании данных с использованием ключей, управляемых клиентом (CMK), отключены по умолчанию

В Центре безопасности есть несколько рекомендаций шифровать неактивные данные с помощью управляемых клиентом ключей, например:

• В реестрах контейнеров должно использоваться шифрование с помощью ключа, управляемого клиентом (CMK)
• Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных
• Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом (CMK)

Данные в Azure шифруются автоматически с использованием ключей, управляемых платформой, поэтому применять управляемые клиентом ключи следует только в том случае, если этого требует конкретная политика, соблюдение которой ваша организация решила обеспечивать.

В результате этого изменения рекомендации об использовании ключей CMK отключены по умолчанию. Если это актуально для вашей организации, их можно включить, изменив параметр Effect для соответствующей политики безопасности на AuditIfNotExists или Enforce. Дополнительные сведения см. в разделе "Включение рекомендации по безопасности".

Это изменение отражено в именах рекомендаций: они предваряются новым префиксом [Включить, если обязательно], как показано в следующих примерах:

• [Включить, если обязательно] Учетные записи хранения должны использовать для шифрования неактивных данных ключ, управляемый клиентом
• [Включить, если необходимо] В реестрах контейнеров должно использоваться шифрование с помощью ключа, управляемого клиентом (CMK)
• [Включить, если необходимо] Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных

Префикс оповещений Kubernetes поменялся с "AKS_" на "K8S_"

С недавних пор Azure Defender для Kubernetes защищает также кластеры Kubernetes, размещенные локально и в многооблачных средах. Дополнительные сведения см. в разделе Использование Azure Defender для Kubernetes для защиты гибридных и многооблачных развертываний Kubernetes (предварительная версия).

Чтобы отразить тот факт, что оповещения системы безопасности, предоставляемые Azure Defender для Kubernetes, больше не ограничены кластерами в Служба Azure Kubernetes, мы изменили префикс для типов оповещений с "AKS_" на "K8S_". При необходимости имена и описания также были обновлены. Примером может служить следующее предупреждение:

Изменено на это оповещение:

Все правила подавления, которые ссылаются на предупреждения, начинающиеся с "AKS_", были автоматически преобразованы. Если вы настроили экспорт из SIEM или пользовательские скрипты автоматизации, которые ссылаются на оповещения Kubernetes по типам оповещений, необходимо обновить в них соответствующие типы оповещений.

Полный список оповещений Kubernetes см. в разделе "Оповещения для контейнеров — кластеры Kubernetes" статьи "Оповещения системы безопасности — справочное руководство".

Две рекомендации из элемента управления безопасностью "Применить обновления системы" объявлены устаревшими

Объявлены устаревшими следующие две рекомендации:

• Необходимо обновить версию ОС для ролей облачной службы. По умолчанию Azure периодически обновляет гостевые ОС до последнего поддерживаемого образа в семействе ОС, который вы указали в конфигурации службы (CSCFG-файл), например Windows Server 2016.
• Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями. Эти оценки рекомендации применяются не так широко, как хотелось бы. Мы планируем заменить эту рекомендацию улучшенной версией, которая лучше соответствует вашим потребностям в области безопасности.

май 2021 года

В мае добавлены следующие обновления:

• Вышли общедоступные версии Azure Defender для DNS и Azure Defender для Resource Manager
• Вышла общедоступная версия Azure Defender для реляционных баз данных с открытым кодом
• Новые оповещения Azure Defender для Resource Manager
• Сканирование образов контейнеров на уязвимости в ходе CI/CD с помощью рабочих процессов GitHub и Azure Defender (предварительная версия)
• Для некоторых рекомендаций доступны дополнительные запросы к Resource Graph
• Изменена степень серьезности рекомендации по классификации данных SQL
• Новые рекомендации по включению возможностей доверенного запуска (предварительная версия)
• Новые рекомендации по усилению защиты кластеров Kubernetes (предварительная версия)
• В API Оценок появилось два новых поля
• На страницу инвентаризации активов добавлен фильтр по облачной среде

Вышли общедоступные версии Azure Defender для DNS и Azure Defender для Resource Manager

Эти два ориентированных на облако плана защиты от угроз стали теперь общедоступными.

Эти новые возможности защиты значительно улучшают устойчивость к атакам со стороны субъектов угроз и существенно увеличивают число ресурсов Azure, защищенных с помощью Azure Defender.

• Azure Defender для Resource Manager автоматически отслеживает все операции управления ресурсами, выполняемые в организации. Дополнительные сведения см. в разделе:

  • Общие сведения об Azure Defender для Resource Manager
  • Реагирование на оповещения Azure Defender для Resource Manager
  • Список оповещений Azure Defender для Resource Manager

• Azure Defender для DNS постоянно отслеживает все запросы DNS из ресурсов Azure. Дополнительные сведения см. в разделе:

  • Общие сведения об Azure Defender для DNS
  • Реагирование на оповещения Azure Defender для DNS
  • Список оповещений Azure Defender для DNS

Чтобы включить эти планы было проще, учтите следующие рекомендации:

• Azure Defender для Resource Manager должен быть включен
• Azure Defender для DNS должен быть включен

Вышла общедоступная версия Azure Defender для реляционных баз данных с открытым кодом

С выходом нового пакета для защиты реляционных баз данных с открытым кодом расширился круг баз данных SQL, защищаемых Центром безопасности Azure:

• Azure Defender для серверов базы данных SQL Azure — защищает собственные серверы SQL Server Azure
• Azure Defender для серверов SQL на компьютерах — расширяет действие такой защиты на серверы SQL в гибридных, многооблачных и локальных средах
• Azure Defender для реляционных баз данных с открытым кодом защищает Базы данных Azure для MySQL, PostgreSQL и MariaDB, размещенные на отдельных серверах

Azure Defender для реляционных баз данных с открытым кодом постоянно отслеживает серверы на предмет угроз безопасности и обнаруживает аномальные действия с базами данных, указывающие на потенциальные угрозы Базам данных Azure для MySQL, PostgreSQL и MariaDB. Некоторые примеры:

• Детализированное обнаружение атак методом подбора. Azure Defender для реляционных баз данных с открытым кодом предоставляет подробные сведения о попытках атаки и успешных атаках методом подбора. Это позволяет исследовать происходящее и получить более полное представление о характере и состоянии атаки на вашу среду, чтобы затем принять адекватные меры.
• Обнаружение посредством оповещений о поведении. Azure Defender для реляционных баз данных с открытым кодом выдает оповещения о подозрительном и непредвиденном поведении на серверах — например, изменении обычного характера доступа к базе данных.
• Обнаружение на основе аналитики угроз. Azure Defender применяет аналитику угроз Майкрософт и огромные база знаний для обнаружения оповещений об угрозах, чтобы вы могли действовать против них.

Подробнее см. в статье "Общие сведения об Azure Defender для реляционных баз данных с открытым кодом".

Новые оповещения Azure Defender для Resource Manager

Чтобы расширить защиту от угроз, предоставляемую Azure Defender для Resource Manager, мы добавили следующие оповещения:

Дополнительные сведения см. в разделе:

• Общие сведения об Azure Defender для Resource Manager
• Реагирование на оповещения Azure Defender для Resource Manager
• Список оповещений Azure Defender для Resource Manager

Сканирование образов контейнеров на уязвимости в ходе CI/CD с помощью рабочих процессов GitHub и Azure Defender (предварительная версия)

Azure Defender для реестров контейнеров теперь предоставляет командам DevSecOps возможность наблюдения за рабочими процессами выполнения действий GitHub.

Новая функция сканирования уязвимостей для образов контейнеров, использующая Trivy, помогает проверять распространенные уязвимости в образах контейнеров перед отправкой образов в реестры контейнеров.

Краткие отчеты о сканировании контейнеров отображаются в Центре безопасности Azure. Они помогут группам безопасности лучше разобраться в том, откуда — в частности, из каких рабочих процессов и репозиториев — поступают уязвимые образы контейнеров.

Дополнительные сведения см. в статье "Обнаружение уязвимых образов контейнеров в ходе рабочих процессов CI/CD".

Для некоторых рекомендаций доступны дополнительные запросы к Resource Graph

Все рекомендации Центра безопасности могут просматривать сведения о состоянии затронутых ресурсов с помощью Azure Resource Graph из открытого запроса. Полные сведения об этой мощной функции см. в статье "Просмотр данных рекомендаций" в обозревателе Azure Resource Graph.

В Центре безопасности имеются встроенные сканеры уязвимостей, позволяющие проверять виртуальные машины, серверы SQL, их узлы и реестры контейнеров на уязвимости в системе безопасности. Результаты проверки возвращаются в виде рекомендаций, в которых собраны в единое представление все результаты по каждому типу ресурсов. Вот эти рекомендации:

• Должны быть исправлены уязвимости в образах реестра контейнеров Azure (на платформе Qualys)
• Должны быть устранены уязвимости на ваших виртуальных машинах.
• Уязвимости, обнаруженные в базах данных SQL, должны быть устранены
• Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены

При этом изменении можно использовать кнопку "Открыть запрос ", чтобы также открыть запрос, показывающий результаты безопасности.

Кнопка "Открыть запрос" предлагает дополнительные параметры для некоторых других рекомендаций, где это необходимо.

Дополнительные сведения о сканерах уязвимостей в Центре безопасности:

• Интегрированный в Azure Defender сканер уязвимостей Qualys для компьютеров Azure и гибридных компьютеров
• Сканирование серверов SQL на уязвимости
• Сканирование хранящихся в реестре образов контейнеров на уязвимости с помощью Azure Defender

Изменена степень серьезности рекомендации по классификации данных SQL

Серьезность рекомендаций, конфиденциальных данных в базах данных SQL, должна быть классифицирована с высокой на низкую.

Это часть текущих изменений в этой рекомендации, о которых мы объявили на странице предстоящих изменений.

Новые рекомендации по включению возможностей доверенного запуска (предварительная версия)

Azure предлагает надежный запуск как простой способ повышения безопасности виртуальных машин поколения 2 . Доверенный запуск защищает от сложных и постоянных атак. Доверенный запуск состоит из нескольких скоординированных инфраструктурных технологий, которые можно активировать независимо. Каждая технология обеспечивает следующий уровень защиты от сложных угроз. Дополнительные сведения см. в статье Доверенный запуск виртуальных машин Azure.

Рекомендация Центра безопасности "На поддерживаемых виртуальных машинах должен быть включен vTPM" призвана обеспечить использование vTPM с виртуальными машинами Azure. Эта виртуализированная версия аппаратного доверенного платформенного модуля (TPM) предоставляет возможность аттестации путем измерения всей цепочки загрузки виртуальной машины (UEFI, ОС, системы и драйверов).

Когда модуль vTPM включен, расширение аттестации гостей может удаленно проверить безопасную загрузку. Развертывание этого расширения предписывается следующими рекомендациями:

• На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка
• На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей
• Расширение аттестации гостей должно быть установлено в поддерживаемых windows Масштабируемые наборы виртуальных машин
• На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей
• Расширение аттестации гостей должно быть установлено в поддерживаемых Масштабируемые наборы виртуальных машин Linux

Дополнительные сведения см. в статье Доверенный запуск виртуальных машин Azure.

Новые рекомендации по усилению защиты кластеров Kubernetes (предварительная версия)

Ниже приведены рекомендации по дополнительной защите кластеров Kubernetes.

• В кластерах Kubernetes не должно использоваться пространство имен по умолчанию. Запретите использовать пространство имен по умолчанию в кластерах Kubernetes, чтобы защитить ресурсы типов ConfigMap, Pod, Secret, Service и ServiceAccount от несанкционированного доступа.
• В кластерах Kubernetes должны быть отключены учетные данные API для автоподключения. Чтобы предотвратить выполнение скомпрометированным ресурсом типа Pod команд API, воздействующих на кластеры Kubernetes, отключите учетные данные API для автоподключения.
• Кластеры Kubernetes не должны предоставлять функции безопасности CAPSYSADMIN

О том, как Центр безопасности может защитить контейнерные среды, см. в статье "Защита контейнеров в Центре безопасности".

В API Оценок появилось два новых поля

В REST API Оценок были добавлены следующие два поля:

• FirstEvaluationDate — время создания и первого вычисления рекомендации. Возвращается как время в формате UTC согласно стандарту ISO 8601.
• StatusChangeDate — время последнего изменения состояния рекомендации. Возвращается как время в формате UTC согласно стандарту ISO 8601.

Начальное значение этих полей по умолчанию для всех рекомендаций — 2021-03-14T00:00:00+0000000Z.

Для доступа к этим сведениям можно использовать любой из методов, приведенных в таблице ниже.

Дополнительные сведения о REST API Оценок см. на этой странице.

На страницу инвентаризации активов добавлен фильтр по облачной среде

На странице инвентаризации активов Центра безопасности имеется множество фильтров для быстрого уточнения отображаемого списка ресурсов. См. сведения об изучении ресурсов и управлении ими с помощью инвентаризации ресурсов.

Новый фильтр предлагает возможность уточнения списка в соответствии с облачными учетными записями, подключенными к мультиоблачной функции Центра безопасности.

Дополнительные сведения о функциях для многооблачных сред:

• Подключение учетных записей AWS к Центру безопасности Azure
• Подключение проектов GCP к Центру безопасности Azure

Апрель 2021 г.

В апреле добавлены следующие обновления:

• Обновлена страница работоспособности ресурса (предварительная версия)
• Недавно извлеченные образы реестра контейнеров теперь повторно сканируются еженедельно (выпущено в общедоступной версии, GA)
• Использование Azure Defender для Kubernetes для защиты гибридных и многооблачных развертываний Kubernetes (предварительная версия)
• Интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows 10 (выпущено в общедоступной версии)
• Рекомендации по включению Azure Defender для DNS и Resource Manager (предварительная версия)
• Добавлены три нормативных стандарта соответствия требованиям: Azure CIS 1.3.0, CMMC уровня 3 и New Zealand ISM Restricted
• Четыре новые рекомендации, связанные с гостевой конфигурацией (предварительная версия)
• Рекомендации по использованию CMK перемещены в рекомендации по управлению безопасностью
• Одиннадцать оповещений Azure Defender устарели
• Две рекомендации из элемента управления безопасностью "Apply system updates" (Применить обновления системы) объявлены нерекомендуемыми
• Фрагмент Azure Defender для SQL на компьютере удален с панели мониторинга Azure Defender
• Рекомендации были перемещены между элементами управления безопасностью

Обновлена страница работоспособности ресурса (предварительная версия)

Работоспособность ресурсов была расширена, улучшена и улучшена, чтобы обеспечить представление моментального снимка общего состояния одного ресурса.

Там можно просмотреть подробные сведения о нем и все связанные с ним рекомендации. Кроме того, если вы используете расширенные планы защиты Microsoft Defender, вы также будете видеть текущие оповещения системы безопасности для этого ресурса.

Чтобы открыть страницу работоспособности того или иного ресурса, выберите этот ресурс на странице инвентаризации активов.

На предварительной версии этой страницы в Центре безопасности отображается следующее:

1. Сведения о ресурсах — группа ресурсов и подписка, к ней подключены, к географическому расположению и т. д.
2. Примененная функция безопасности: указывает, включен ли для ресурса Azure Defender.
3. Количество активных рекомендаций и оповещений: число активных рекомендаций по безопасности и оповещений Azure Defender.
4. Практические рекомендации и оповещения: на двух вкладках приведены рекомендации и оповещения, относящиеся к данному ресурсу.

Дополнительные сведения см. здесь: "Учебник: анализ работоспособности ресурсов".

Недавно извлеченные образы реестра контейнеров теперь повторно сканируются еженедельно (выпущено в общедоступной версии)

Azure Defender для реестров контейнеров содержит встроенный сканер уязвимостей. Этот сканер сразу же проверяет все образы, которые вы отправляете в реестр или извлекали за последние 30 дней.

Новые уязвимости обнаруживаются ежедневно. При этом обновлении образы контейнеров, которые были извлечены из реестров за последние 30 дней, будут пересканированы каждую неделю. Это гарантирует, что вновь обнаруженные уязвимости будут обнаружены в ваших образах.

Плата за сканирование взимается по количеству образов, поэтому дополнительная оплата за повторные сканирования отсутствует.

Дополнительные сведения об этом сканере см. в статье Использование Azure Defender для реестров контейнеров с целью проверки образов на наличие уязвимостей.

Использование Azure Defender для Kubernetes для защиты гибридных и многооблачных развертываний Kubernetes (предварительная версия)

Для Azure Defender для Kubernetes расширен функционал защиты кластеров. Это было включено путем интеграции с Kubernetes с поддержкой Azure Arc и ее новыми возможностями расширений.

Если вы включили Azure Arc в кластерах, отличных от Azure Kubernetes, новая рекомендация из Центр безопасности Azure предлагает развернуть агент Azure Defender для них только с несколькими щелчками мыши.

Используйте рекомендацию (В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Azure Defender) и расширение для защиты кластеров Kubernetes, развернутых в других поставщиках облачных служб, хотя и не в управляемых средах Kubernetes.

Эта комбинация возможностей Центра безопасности Azure, Azure Defender и Kubernetes с поддержкой Azure Arc обеспечивает следующее:

• Простая подготовка агента Azure Defender для незащищенных кластеров Kubernetes с поддержкой Azure Arc (вручную и в масштабе)
• Мониторинг агента Azure Defender и его состояния подготовки на портале Azure Arc
• Рекомендации по безопасности от Центра безопасности отображаются на новой странице "Безопасность" на портале Azure Arc
• Угрозы, обнаруженные Azure Defender, отображаются на новой странице "Безопасность" на портале Azure Arc
• Кластеры Kubernetes с поддержкой Azure Arc интегрированы в платформу и интерфейс Центра безопасности Azure.

Дополнительные сведения см. в статье Использование Azure Defender для Kubernetes в локальных и многооблачных кластерах Kubernetes.

Интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows 10 (выпущено в общедоступной версии)

Microsoft Defender для конечной точки — целостное облачное решение для обеспечения безопасности конечной точки. Оно предоставляет возможности контроля и оценки уязвимостей на основе рисков, а также возможности обнаружения конечных точек и реагирования. Полный список преимуществ использования Defender для конечной точки вместе с Центром безопасности Azure см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности: Microsoft Defender для конечной точки.

При включении Azure Defender для серверов под управлением Windows Server в этот план включается лицензия на Defender для конечной точки. Если вы уже включили Azure Defender для серверов и в вашей подписке есть серверы под управлением Windows Server 2019, они автоматически получат Defender для конечной точки с этим обновлением. Вам не потребуется выполнять вручную никаких действий.

Теперь добавлена поддержка Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows.

Рекомендации по включению Azure Defender для DNS и Resource Manager (предварительная версия)

С целью упрощения процедуры включения Azure Defender для Resource Manager и Azure Defender для DNS, были добавлены две новые рекомендации:

• Служба Azure Defender для Resource Manager должен быть включен - служба Defender для Resource Manager автоматически отслеживает операции управления ресурсами в вашей организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях.
• Azure Defender для DNS должен быть включен - служба Defender для DNS предоставляет дополнительный уровень защиты ваших облачных ресурсов, непрерывно отслеживая все запросы DNS, исходящие с ваших ресурсов Azure. Azure Defender предупреждает вас о подозрительных действиях на уровне DNS.

Включение планов Azure Defender является платной услугой. Сведения о ценах на регион на странице цен Центра безопасности.

Добавлены три нормативных стандарта соответствия требованиям: Azure CIS 1.3.0, CMMC уровня 3 и New Zealand ISM Restricted

Мы добавили три стандарта для использования с Центром безопасности Azure. С помощью панели мониторинга соответствия нормативам вы теперь можете отслеживать соответствие следующим стандартам:

• CIS Microsoft Azure Foundations Benchmark 1.3.0
• CMMC уровня 3
• ISM Restricted (Новая Зеландия)

Их можно назначить своим подпискам, как описано в разделе Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.

См. дополнительные сведения:

• Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям
• Руководство. Улучшение соответствия нормативным требованиям
• Часто задаваемые вопросы. Панель мониторинга соответствия нормативным требованиям

Четыре новые рекомендации, связанные с гостевой конфигурацией (предварительная версия)

Расширение гостевой конфигурации Azure отправляет отчеты в центр безопасности, чтобы обеспечить защиту параметров гостевых виртуальных машин. Расширение не требуется для серверов с поддержкой Arc, так как оно включено в агент Arc Connected Machine. Для расширения требуется управляемое системой удостоверение на компьютере.

Мы добавили в центр безопасности четыре новые рекомендации, чтобы максимально эффективно использовать это расширение.

• В двух рекомендациях предлагается установить расширение и требуемое системой удостоверение.

  • На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация"
  • Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой

• После установки и запуска расширение приступит к аудиту компьютеров, и вам будет предложено защитить такие параметры, как конфигурация операционной системы и параметры среды. Эти две рекомендации предложат вам защитить компьютеры Windows и Linux, как описано ниже.

  • На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender
  • При аутентификации на компьютерах Linux должны использоваться ключи SSH

Подробнее см. в статье Общие сведения о гостевой конфигурации службы "Политика Azure"

Рекомендации по использованию CMK перемещены в рекомендации по управлению безопасностью

В любой организации программа безопасности включает требования к шифрованию данных. По умолчанию данные пользователей Azure шифруются при хранении с помощью ключей, управляемых службой. Но для соответствия нормативным требованиям обычно нужно использовать ключи, управляемые клиентом, (CMK). Поддержка CMK позволяет шифровать данные с помощью ключа Azure Key Vault, который вы сами создаете и которым управляете. Вы получаете полный контроль над жизненным циклом ключа, включая его смену и управление им.

Элементы управления безопасностью в Центре безопасности Azure представляют собой логические группы родственных рекомендаций по безопасности, которые отражают уязвимые для атак области. Каждый элемент определяет максимальное количество баллов, которые вы сможете добавить к оценке безопасности, выполнив все рекомендации, перечисленные в этом элементе управления, для всех ресурсов. Элемент управления безопасностью Implement security best practices (Реализация рекомендаций по безопасности) стоит ноль баллов. Это означает, что рекомендации в этом элементе управления не влияют на оценку безопасности.

Перечисленные ниже рекомендации перемещены в элемент управления безопасностью Реализация рекомендаций по безопасности (Реализация рекомендаций по безопасности), чтобы лучше отражать их факультативный характер. Благодаря этому перемещению рекомендации оказались в наиболее подходящем элементе управления в соответствии с целями этих рекомендаций.

• Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных
• Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом (CMK)
• Учетные записи служб искусственного интеллекта Azure должны включать шифрование данных с помощью ключа, управляемого клиентом (CMK)
• В реестрах контейнеров должно использоваться шифрование с помощью ключа, управляемого клиентом (CMK)
• Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных
• Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных
• Учетные записи хранения должны использовать для шифрования ключ, управляемый клиентом (CMK)

Узнайте, какие рекомендации включает каждый элемент управления безопасностью, из раздела Элементы управления безопасностью и их рекомендации.

11 нерекомендуемых оповещений Azure Defender

11 перечисленных ниже предупреждений Azure Defender являются нерекомендуемыми.

• Новые оповещения заменят эти два оповещения и обеспечат улучшенное покрытие:

  AlertType	AlertDisplayName
  ARM_MicroBurstDomainInfo	PREVIEW – MicroBurst toolkit "Get-AzureDomainInfo" function run detected (Предварительная версия — обнаружено выполнение функции Get-AzureDomainInfo набора средств MicroBurst)
  ARM_MicroBurstRunbook	PREVIEW – MicroBurst toolkit "Get-AzurePasswords" function run detected (Предварительная версия — обнаружено выполнение функции Get-AzurePasswords набора средств MicroBurst)

• Эти девять оповещений относятся к соединителю Защиты идентификации Azure Active Directory (IPC), который уже не поддерживается:

  AlertType	AlertDisplayName
  UnfamiliarLocation	Необычные свойства входа
  AnonymousLogin	Анонимный IP-адрес
  InfectedDeviceLogin	IP-адрес, связанный с вредоносным ПО
  ImpossibleTravel	Atypical travel
  MaliciousIP	Вредоносный IP-адрес
  LeakedCredentials	Leaked credentials
  PasswordSpray	Распыление паролей
  LeakedCredentials	Аналитика угроз Azure AD
  AADAI	ИИ Azure AD

  Tip

  Эти девять оповещений IPC никогда не входили в оповещения Центра безопасности. Они входят в соединитель защиты идентификации Azure Active Directory (IPC), который отправляет их в Центр безопасности. За последние два года единственными клиентами, которые видели эти оповещения, являются организации, которые настроили экспорт (из соединителя в ASC) в 2019 или более ранних версиях. IPC Azure Active Directory продолжал отображать их в собственных системах оповещений, и они продолжают быть доступны в Microsoft Sentinel. Единственное изменение заключается в том, что они больше не отображаются в Центре безопасности.

Две рекомендации из элемента управления безопасностью "Apply system updates" (Применить обновления системы) объявлены нерекомендуемыми

Следующие две рекомендации объявлены нерекомендуемыми, что может незначительно повлиять на вашу оценку безопасности:

• Необходимо перезагрузить компьютеры для применения обновлений системы
• Необходимо установить агент наблюдения на ваших компьютерах. Эта рекомендация относится только к локальным компьютерам, а часть ее логики будет перенесена в другую рекомендацию: Проблемы с работоспособностью агента Log Analytics на ваших компьютерах должны быть устранены

Мы рекомендуем проверить конфигурацию непрерывного экспорта и автоматизации рабочих процессов и выяснить, включены ли в нее эти рекомендации. Кроме того, следует соответствующим образом обновить все панели мониторинга и другие средства мониторинга, которые могут использовать эти рекомендации.

Фрагмент Azure Defender для SQL на компьютере удален с панели мониторинга Azure Defender

Область охвата панели мониторинга Azure Defender включает фрагменты для соответствующих планов Azure Defender для вашей среды. С учетом наличия проблемы с отчетом о количестве защищенных и незащищенных ресурсов, мы решили временно удалить статус покрытия ресурсов для Azure Defender для SQL на машинах до тех пор, пока проблема не будет решена.

Рекомендации, перенесенные между элементами управления безопасностью

Следующие рекомендации перемещены в другой элемент управления безопасностью. Элементы управления безопасностью представляют собой логические группы связанных рекомендаций по безопасности, которые отражают уязвимые для атак области. Такое перемещение нужно для того, чтобы каждая из рекомендаций размещалась в наиболее подходящем элементе управления, в соответствии с ее задачами.

Узнайте, какие рекомендации включает каждый элемент управления безопасностью, из раздела Элементы управления безопасностью и их рекомендации.

Март 2021 г.

В марте добавлены следующие обновления:

• возможности управления Брандмауэром Azure интегрированы в Центр безопасности;
• средство оценки уязвимостей SQL теперь включает функцию "Отключить правило" (предварительная версия);
• книги Azure Monitor интегрированы в Центр безопасности, предоставлены три шаблона;
• панель мониторинга соответствия нормативным требованиям теперь включает отчеты об аудите Azure (предварительная версия);
• Данные рекомендаций можно просмотреть в Azure Resource Graph с помощью кнопки Explore in ARG (Обзор в ARG)
• обновлены политики для развертывания процедур автоматизации рабочих процессов.
• Данные двух устаревших рекомендаций больше не записываются непосредственно в журнал действий Azure
• Улучшения страницы рекомендаций

возможности управления Брандмауэром Azure интегрированы в Центр безопасности;

При входе в Центр безопасности Azure первым делом вы попадаете на страницу обзора.

На этой странице с интерактивной панелью мониторинга представлен комплексный обзор состояния безопасности рабочих нагрузок в гибридном облаке. Кроме того, здесь отображаются оповещения безопасности, сведения о покрытии и многое другое.

Мы интегрировали Диспетчер брандмауэра Azure в эту панель мониторинга, чтобы обеспечить комплексное представление о состоянии безопасности на основной странице. Теперь вы можете проверять состояние области действия Брандмауэра для всех сетей и централизованно управлять политиками брандмауэра Azure в самом Центре безопасности.

Дополнительные сведения об этой панели мониторинга см. в статье Страница обзора в Центре безопасности Azure.

средство оценки уязвимостей SQL теперь включает функцию "Отключить правило" (предварительная версия);

В Центре безопасности предоставляется встроенный сканер уязвимостей, который помогает обнаруживать, отслеживать и устранять потенциальные уязвимости баз данных. Результаты оценочной проверки содержат общие сведения о состоянии безопасности для компьютеров SQL и подробные сведения о результатах проверки безопасности.

Если правила вашей организации требуют игнорировать обнаруженную проблему, а не исправлять ее, вы можете исключить ее из результатов поиска. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.

Дополнительные сведения см. в разделе Отключение определенных результатов.

Книги Azure Monitor интегрированы в Центр безопасности, предоставлены три шаблона

На конференции Ignite Spring 2021 мы объявили об интеграции книг Azure Monitor с Центром безопасности.

Вы можете использовать новую интеграцию, чтобы начать использовать готовые шаблоны из коллекции Центра безопасности. С помощью шаблонов книг можно получить доступ к динамическим и визуальным отчетам, чтобы отслеживать состояние безопасности организации. Кроме того, можно создавать новые книги на основе данных Центра безопасности или любых других данных поддерживаемых типов, а также быстро развертывать книги, предоставляемые сообществом Центра безопасности в GitHub.

Предоставляются три шаблона отчетов:

• Оценка безопасности за период времени — отслеживание результатов оценки по подпискам и изменений в рекомендациях для ресурсов.
• Обновления системы — просмотр отсутствующих обновлений системы по ресурсам, ОС, серьезности и т. д.
• Результаты оценки уязвимостей — просмотр результатов проверок уязвимостей для ресурсов Azure.

Сведения об использовании этих отчетов или создании собственных см. в статье Создание интерактивных отчетов на основе данных Центра безопасности Azure.

Панель мониторинга соответствия нормативным требованиям теперь включает отчеты об аудите Azure (предварительная версия)

С помощью панели инструментов на панели мониторинга соответствия нормативным требованиям можно скачать отчеты о сертификации Azure и Dynamics.

Можно выбрать вкладку для соответствующих типов отчетов (PCI, SOC, ISO и др.) и использовать фильтры для поиска нужных отчетов.

Дополнительные сведения см. в статье Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.

Данные рекомендаций можно просмотреть в Azure Resource Graph с помощью кнопки Explore in ARG (Обзор в ARG)

На панели инструментов страниц со сведениями о рекомендациях теперь есть кнопка Explore in ARG (Обзор в ARG). С помощью этой кнопки можно открыть запрос к Azure Resource Graph, чтобы изучить и экспортировать данные рекомендаций, а также предоставить к ним общий доступ.

Azure Resource Graph (ARG) обеспечивает мгновенный доступ к сведениям о ресурсах в облачных средах с помощью надежных средств фильтрации, группировки и сортировки. Это быстрый и эффективный способ запросить сведения по подпискам Azure программно или с помощью портала Azure.

Дополнительные сведения об Azure Resource Graph

Обновлены политики для развертывания процедур автоматизации рабочих процессов

Автоматизация корпоративных процессов мониторинга и реагирования на инциденты может значительно ускорить процессы изучения и устранения инцидентов безопасности.

Мы предоставляем в службе "Политика Azure" три политики DeployIfNotExist, которые позволяют создать и настроить процедуры автоматизации рабочих процессов для развертывания этих процедур в вашей организации.

Обновлены две функции этих политик:

• При назначении политики остаются включенными принудительно.
• Теперь можно настроить эти политики и обновить любые параметры даже после развертывания политик. Например, можно добавить или изменить ключ оценки.

Начало работы с шаблонами автоматизации рабочих процессов.

Узнайте больше о том, как автоматизировать реагирование на триггеры Центра безопасности.

Данные двух устаревших рекомендаций больше не записываются непосредственно в журнал действий Azure

Центр безопасности передает данные практически для всех рекомендаций по безопасности в Помощник по Azure, который в свою очередь записывает их в журнал действий Azure.

Данные для двух рекомендаций одновременно записываются непосредственно в журнал действий Azure. После этого изменения Центр безопасности прекращает записывать данные для этих устаревших рекомендаций по безопасности непосредственно в журнал действий. Вместо этого мы экспортируем данные в Помощник по Azure, как и в случае с другими рекомендациями.

Две устаревшие рекомендации:

• Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах
• Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.

Доступ к сведениям об этих двух рекомендациях в категории рекомендаций типа TaskDiscovery в журнале действий больше не предоставляется.

Улучшения страницы рекомендаций

Мы выпустили улучшенную версию списка рекомендаций, чтобы обеспечить быстрый обзор большего количества информации.

Теперь на странице вы сможете найти:

1. Максимальная оценка и текущий показатель для каждого элемента управления безопасностью.
2. Значки, заменяющие теги, такие как Исправление и предварительная версия.
3. Новый столбец, показывающий инициативу политики , связанную с каждой рекомендацией, видимым при отключении группы по элементам управления.

Дополнительные сведения см. в статье Рекомендации по безопасности в Центре безопасности Azure.

2021 февраля

В феврале добавлены следующие изменения:

• Выпущена общедоступная версия (GA) новой страницы оповещений системы безопасности на портале Azure
• Выпущена общедоступная версия (GA) рекомендаций по защите рабочих нагрузок Kubernetes
• Интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows(в предварительной версии)
• прямая ссылка на политику на странице сведений о рекомендации;
• Рекомендация по классификации данных SQL больше не влияет на оценку безопасности.
• автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (в предварительной версии);
• усовершенствования страницы "Инвентаризация активов".

Выпущена общедоступная версия (GA) новой страницы оповещений системы безопасности на портале Azure

Страница оповещений системы безопасности Центр безопасности Azure была изменена для предоставления:

• Улучшен интерфейс для рассмотрения оповещений. Список включает настраиваемые фильтры и параметры группирования, которые помогают скрыть избыточные оповещения и сосредоточиться на наиболее важных угрозах.
• В списки оповещений добавлена дополнительная информация, например сведения о тактиках из базы знаний MITRE ATT&ACK.
• Кнопка для создания примеров оповещений. Чтобы оценить возможности Azure Defender и протестировать конфигурацию оповещений (для интеграции SIEM, уведомлений по электронной почте и автоматизации рабочих процессов), можно создать примеры оповещений практически во всех планах Azure Defender.
• Согласованность с функциями для инцидентов в Azure Sentinel. Клиентам, использующим оба продукта, стало удобнее переключаться между ними, а также стал проще обмен данными между этими продуктами.
• Улучшена производительность для больших списков оповещений.
• Навигация по клавиатуре по списку оповещений.
• Оповещения из Azure Resource Graph. Вы можете запросить оповещения из Azure Resource Graph (работающий по принципу Kusto API) для всех ваших ресурсов. Это также удобно, если вы создаете собственные панели мониторинга для оповещений. Узнайте больше об Azure Resource Graph.
• Функция создания примеров оповещений. Сведения о том, как создать примеры оповещений в новом интерфейсе, см. в разделе Создание примеров оповещений Azure Defender.

Выпущена общедоступная версия (GA) рекомендаций по защите рабочих нагрузок Kubernetes

Мы рады сообщить о выходе общедоступной версии (GA) набора рекомендаций по защите рабочих нагрузок Kubernetes.

Чтобы по умолчанию поддерживать безопасность рабочих нагрузок Kubernetes, в Центр безопасности добавлены рекомендации по усилению защиты на уровне Kubernetes, включая возможности усиления безопасности с помощью средств управления допуском Kubernetes.

При установке Политика Azure для Kubernetes в кластере Служба Azure Kubernetes (AKS) каждый запрос к серверу API Kubernetes будет отслеживаться с помощью предопределенного набора рекомендаций, отображаемого как 13 рекомендаций по безопасности, прежде чем сохраняться в кластере. Вы можете настроить принудительное применение таких рекомендаций для всех будущих рабочих нагрузок.

Например, можно запретить создание привилегированных контейнеров, и тогда любой запрос такого типа будет блокироваться.

См. сведения о рекомендациях по защите рабочих нагрузок с использованием средств управления доступом в Kubernetes.

Интеграция Microsoft Defender для конечной точки с Azure Defender теперь поддерживает Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows(в предварительной версии).

Microsoft Defender для конечной точки — целостное облачное решение для обеспечения безопасности конечной точки. Оно предоставляет возможности контроля и оценки уязвимостей на основе рисков, а также возможности обнаружения конечных точек и реагирования. Полный список преимуществ использования Defender для конечной точки вместе с Центром безопасности Azure см. в статье Защита конечных точек с помощью интегрированного решения EDR Центра безопасности: Microsoft Defender для конечной точки.

При включении Azure Defender для серверов под управлением Windows Server в этот план включается лицензия на Defender для конечной точки. Если вы уже включили Azure Defender для серверов и в вашей подписке есть серверы под управлением Windows Server 2019, они автоматически получат Defender для конечной точки с этим обновлением. Вам не потребуется выполнять вручную никаких действий.

Теперь добавлена поддержка Windows Server 2019 и Windows 10 на Виртуальном рабочем столе Windows.

прямая ссылка на политику на странице сведений о рекомендации;

При просмотре сведений о рекомендациях часто бывает полезным просмотреть базовую политику. Для каждой рекомендации, которую поддерживает политика, на странице сведений о рекомендации появилась новая ссылка:

Эту ссылку можно использовать для просмотра определения политики и логики оценки.

Рекомендация по классификации данных SQL больше не влияет на оценку безопасности.

Рекомендация Конфиденциальные данные в базах данных SQL должны быть засекречены теперь не влияет на оценку безопасности. Элемент управления безопасностью применяет классификацию данных, содержащую ее теперь, имеет значение 0.

Полный список всех элементов управления безопасностью, а также их оценки и список рекомендаций в каждом из них см. в разделе "Элементы управления безопасностью" и их рекомендации.

Автоматизацию рабочих процессов можно активировать путем изменения оценок соответствия нормативным требованиям (в предварительной версии)

Мы добавили третий тип данных в параметры триггера для автоматизации ваших рабочих процессов: изменения в оценке соответствия нормативным требованиям.

Сведения о том, как использовать средства автоматизации рабочих процессов, см. в статье Автоматизация реагирования на триггеры Центра безопасности.

усовершенствования страницы "Инвентаризация активов".

Улучшена страница инвентаризации активов Центра безопасности:

• Сводки в верхней части страницы теперь включают незарегистрированные подписки, показывающие количество подписок без включения Центра безопасности.

  

• В фильтры добавлены следующие улучшения:

  • Счетчики . Каждый фильтр представляет количество ресурсов, удовлетворяющих критериям каждой категории.

    

  • Добавлен фильтр исключений. При необходимости вы можете ограничить результаты ресурсами, для которых заданы или не заданы исключения. Этот фильтр по умолчанию не отображается, но доступен с помощью кнопки "Добавить фильтр ".

    

Узнайте больше о том, как изучать ресурсы и управлять ими путем инвентаризации.

Январь 2021 года

Обновления в январе включают следующие:

• Azure Security Benchmark теперь является инициативой политики по умолчанию для Центра безопасности Azure.
• Выпущена общедоступная версия (GA) оценки уязвимостей для компьютеров в локальной среде и нескольких облаках
• Оценка безопасности для групп управления теперь доступна в предварительной версии.
• Выпущена общедоступная версия (GA) API Оценки безопасности
• В Azure Defender для Службы приложений добавлена защита от недействительных записей DNS.
• Выпущена общедоступная версия (GA) соединителей для нескольких облаков
• Исключение полных рекомендаций из оценки безопасности для подписок и групп управления
• Теперь пользователи могут запрашивать видимость на уровне арендатора у своего глобального администратора
• Добавлены 35 рекомендаций в предварительной версии, чтобы повысить охват тестов производительности системы безопасности Azure
• Экспорт отфильтрованного списка рекомендаций в CSV-файл.
• "Неприменимые" ресурсы теперь отображаются с состоянием "Соответствует" в результатах оценки в Политике Azure.
• Экспорт еженедельных моментальных снимков для оценки безопасности и данных соответствия нормативным требованиям с помощью непрерывного экспорта (предварительная версия).

Azure Security Benchmark теперь является инициативой политики по умолчанию для Центра безопасности Azure.

Azure Security Benchmark (ASB) — это специально разработанный корпорацией Майкрософт набор руководств по обеспечению безопасности и соответствия нормативным требованиям на основе распространенных платформ обеспечения соответствия. Это широко принятое тестирование основано на стандартах Центра Интернет-безопасности (CIS) и Национального института стандартов и технологий (NIST) с ориентацией на облачную безопасность.

За последние месяцы список встроенных рекомендаций по обеспечению безопасности в Центре безопасности значительно увеличился для максимального соблюдения требований этого теста.

В этом выпуске тест является основой рекомендаций Центра безопасности и полностью интегрирован в качестве инициативы политики по умолчанию.

Все службы Azure в своей документации имеют страницу, посвященную базовым средствам безопасности. Эти рекомендации основаны на Azure Security Benchmark.

Если вы используете панель мониторинга соответствия нормативным требованиям Центра безопасности, вам будут отображаться два экземпляра теста в течение периода перехода:

Существующие рекомендации не затрагиваются, и по мере расширения теста изменения будут автоматически отражены в Центре безопасности.

Дополнительные сведения см. на следующих страницах:

• Общие сведения о тесте производительности системы безопасности Azure.
• Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям

Выпущена общедоступная версия (GA) оценки уязвимостей для компьютеров в локальной среде и нескольких облаках

В октябре мы объявили о выпуске предварительной версии для проверки серверов с поддержкой Azure Arc с интегрированным сканером оценки уязвимостей Azure Defender для серверов (на основе Qualys).

Теперь выпущена общедоступная версия (GA) этой функции.

Когда вы включаете Azure Arc на компьютерах, не относящихся к Azure, Центр безопасности предлагает развернуть на них встроенный сканер уязвимостей — вручную и в большом масштабе.

Начиная с этого обновления, вы сможете применять возможности Azure Defender для серверов, чтобы объединить программы управления уязвимостями для всех ресурсов в Azure и других средах.

Основные возможности:

• мониторинг состояния подготовки средства оценки уязвимостей на компьютерах Azure Arc;
• подготовка к работе интегрированного агента оценки уязвимостей для незащищенных компьютеров Azure Arc под управлением ОС Windows и Linux (вручную и в большом масштабе);
• получение и анализ обнаруженных уязвимостей от развернутых агентов (вручную и в большом масштабе);
• объединенный интерфейс для виртуальных машин Azure и компьютеров Azure Arc.

См. дополнительные сведения о развертывании интегрированного сканера уязвимостей Qualys на гибридных компьютерах.

См. дополнительные сведения о серверах с поддержкой Azure Arc.

Оценка безопасности для групп управления теперь доступна в предварительной версии.

Теперь на странице оценки безопасности отображаются сводные оценки безопасности для групп управления в дополнение к уровню подписки. Теперь вы можете видеть список групп управления в вашей организации и оценку для каждой группы управления.

См. сведения об оценке безопасности и элементах управления безопасностью в Центре безопасности Azure.

Выпущена общедоступная версия (GA) API Оценки безопасности

Теперь вы можете получить доступ к оценке через API оценки безопасности. Методы этого API позволяют гибко выполнять запросы к данным и создавать собственные механизмы создания отчетов об оценках безопасности за разные периоды. Рассмотрим пример.

• Использование API оценки безопасности для получения оценки для определенной подписки
• используйте API элементов управления оценкой безопасности, чтобы получить список элементов управления безопасностью и текущие оценки для всех подписок.

Сведения о внешних средствах, которые можно реализовать с помощью API оценки безопасности, см. в разделе оценок безопасности в сообществе GitHub.

См. сведения об оценке безопасности и элементах управления безопасностью в Центре безопасности Azure.

В Azure Defender для Службы приложений добавлена защита от недействительных записей DNS.

Перехват поддоменов — это распространенная угроза высокого уровня серьезности для организаций. Перенаправление поддомена может произойти, если у вас существует запись DNS, указывающая на неработающий веб-сайт. Такие записи DNS называются недействительными. Записи CNAME особенно уязвимы перед этой угрозой.

Переключения поддомена позволяют субъектам угроз перенаправлять трафик, предназначенный для домена организации, на сайт, выполняющий вредоносные действия.

Azure Defender для Службы приложений теперь обнаруживает недействительные записи DNS при прекращении использования веб-сайта Службы приложений. Это момент, когда запись DNS указывает на ресурс, который не существует, и ваш веб-сайт уязвим к переходу поддомена. Защита от появления недействительных записей DNS обеспечивается независимо от того, управляются ли домены с помощью Azure DNS или внешнего регистратора домена, и применяется к Службе приложений в Windows и Linux.

Подробнее:

• Справочная таблица с оповещениями Службы приложений — включает два новых оповещения Azure Defender, которые инициируются при обнаружении недействительных записей DNS.
• Предотвращение появления недействительных записей DNS и перенаправления поддомена — узнайте об угрозе перенаправления поддомена и недействительных записях DNS.
• Общие сведения о Azure Defender для Служба приложений

Выпущена общедоступная версия (GA) соединителей для нескольких облаков

Так как облачные рабочие нагрузки часто распределяются между несколькими облачными платформами, облачные службы безопасности должны охватывать их все.

Центр безопасности Azure может обеспечить защиту рабочих нагрузок, развернутых в Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).

При подключении проектов AWS или GCP их собственные инструменты безопасности, такие как AWS Security Hub и GCP Security Command Center, интегрируются в Центр безопасности Azure.

Это означает, что Центр безопасности обеспечивает видимость и защиту во всех основных облачных средах. Некоторые преимущества этой интеграции:

• автоматическая подготовка агентов — Центр безопасности использует Azure Arc для развертывания агента Log Analytics в экземплярах AWS;
• Управление политикой
• Управление уязвимостями
• встроенное обнаружение и нейтрализация атак на конечные точки (EDR);
• определение неправильных настроек системы безопасности;
• единое представление, содержащее рекомендации по безопасности от всех поставщиков облачных служб;
• учет всех ресурсов при оценке безопасности в Центре безопасности;
• оценка соответствия нормативным требованиям для ресурсов AWS и GCP.

В меню Defender для облака выберите соединители Multicloud и вы увидите параметры создания новых соединителей:

См. дополнительные сведения:

• Подключение учетных записей AWS к Центру безопасности Azure
• Подключение проектов GCP к Центру безопасности Azure

Исключение полных рекомендаций из оценки безопасности для подписок и групп управления

Мы расширяем возможность исключения рекомендаций полностью, предоставляя дополнительные возможности для точной настройки рекомендаций по обеспечению безопасности, которые доступны в Центре безопасности для подписок, групп управления или ресурсов.

Иногда ресурс будет указан как неработоспособный, когда вы знаете, что проблема устранена сторонним инструментом, который центр безопасности не обнаружил. Или рекомендация будет отображаться в области, которой она не принадлежит. Рекомендации могут быть недопустимыми для конкретной подписки. Или, возможно, ваша организация считает допустимыми риски, связанные с конкретным ресурсом или рекомендацией.

Предварительная версия этой возможности позволяет создать исключение для рекомендации со следующей целью:

• Исключение ресурса, чтобы он не был включен в неработоспособные ресурсы в будущем и чтобы это не влияло на вашу оценку безопасности. Ресурс будет указан как неприменимый по причине исключения с указанным вами обоснованием.

• Исключение подписки или группы управления, чтобы рекомендации не влияли на вашу оценку безопасности и не отображались для подписки или группы управления в будущем. Это применимо как существующим ресурсам, так и всем тем, которые вы создадите в будущем. Рекомендации будут дополнены обоснованием, указанным для выбранной области.

Дополнительные сведения см. в статье Исключение ресурсов и рекомендаций из оценки безопасности.

Теперь пользователи могут запрашивать видимость на уровне арендатора у своего глобального администратора

Если у пользователя нет разрешений на просмотр данных Центра безопасности, пользователь увидит ссылку на запрос разрешений от глобального администратора своей организации. Запрос включает желаемую роль и обоснование.

Дополнительные сведения см. в разделе Запрашивание разрешений на уровне арендатора, когда ваших разрешений недостаточно.

Добавлены 35 рекомендаций в предварительной версии, чтобы повысить охват тестов производительности системы безопасности Azure

Azure Security Benchmark - это инициатива политики по умолчанию в Центре безопасности Azure.

Чтобы улучшить соблюдение требований этого теста, в Центр безопасности включены следующие 35 рекомендаций (предварительная версия).

Связанные ссылки:

• Общие сведения о тесте производительности системы безопасности Azure.
• Дополнительные сведения о Базе данных Azure для MariaDB.
• Дополнительные сведения о Базе данных Azure для MySQL.
• Дополнительные сведения о Базе данных Azure для PostgreSQL.

Экспорт отфильтрованного списка рекомендаций в CSV-файл.

В ноябре 2020 года мы добавили фильтры на страницу рекомендаций.

Объявляем о том, что мы изменяем поведение кнопки Скачать в CSV, чтобы экспорт в CSV-файл включал только те рекомендации, которые сейчас отображаются в отфильтрованном списке.

Например, на рисунке ниже можно увидеть, что список фильтруется до двух рекомендаций. Генерируемый CSV-файл содержит сведения о состоянии для каждого ресурса, которого касаются эти две рекомендации.

Дополнительные сведения см. в статье Рекомендации по безопасности в Центре безопасности Azure.

"Неприменимые" ресурсы теперь отображаются с состоянием "Соответствует" в результатах оценки в Политике Azure.

Ранее ресурсы, которые были оценены для рекомендации и оказались неприменимыми , появились в политике Azure как "несоответствующие". Никакие действия пользователя не могут изменить состояние на "Соответствует". С этим изменением они сообщаются как "Совместимые" для улучшения ясности.

Это повлияет только на то, что в Политике Azure увеличится количество соответствующих ресурсов. Но это никак не отразится на оценке безопасности в Центре безопасности Azure.

Экспорт еженедельных моментальных снимков для оценки безопасности и данных соответствия нормативным требованиям с помощью непрерывного экспорта (предварительная версия).

Мы добавили новую функцию предварительной версии в средства непрерывного экспорта для экспорта еженедельных моментальных снимков оценки безопасности и данных соответствия нормативным требованиям.

При определении непрерывного экспорта задайте периодичность экспорта:

• Потоковая передача — оценки будут отправляться при обновлении состояния работоспособности ресурса (если обновления не происходят, данные не будут отправлены).
• Моментальные снимки — моментальный снимок текущего состояния всех оценок соответствия нормативным требованиям будет отправляться каждую неделю (это предварительная версия для еженедельных моментальных снимков показателей безопасности и данных соответствия нормативным требованиям).

Узнайте больше о всех возможностях этой функции из статьи Непрерывный экспорт данных Центра безопасности.

Декабрь 2020 г.

В декабре добавлены следующие обновления:

• Выпущена общедоступная версия службы Azure Defender для серверов SQL на компьютерах
• Выпущена общедоступная версия поддержки Azure Defender для SQL для выделенного пула SQL Azure Synapse Analytics
• Теперь глобальные администраторы могут предоставлять себе разрешения на уровне клиента
• Два новых плана Azure Defender: Azure Defender для DNS и Azure Defender для Resource Manager (предварительная версия)
• Новая страница оповещений системы безопасности на портале Azure (предварительная версия)
• Обновленный интерфейс Центра безопасности в Базе данных SQL Azure и Управляемом экземпляре SQL
• Обновление фильтров средств инвентаризации активов
• Рекомендации по веб-приложениям, запрашивающим SSL-сертификаты, больше не являются частью оценки безопасности
• На странице "Рекомендации" доступны новые фильтры для среды, серьезности и доступных ответов
• Для непрерывного экспорта добавлены новые типы данных и улучшены политики deployifnotexist

Выпущена общедоступная версия службы Azure Defender для серверов SQL на компьютерах

Центр безопасности Azure предлагает два плана Azure Defender для серверов SQL Server:

• Azure Defender для серверов базы данных SQL Azure — защищает собственные серверы SQL Server Azure
• Azure Defender для серверов SQL на компьютерах — расширяет действие такой защиты на серверы SQL в гибридных, многооблачных и локальных средах

Это объявление указывает на то, что Azure Defender для SQL теперь будет защищать базы данных и данные таких баз данных, независимо от их расположения.

Azure Defender для SQL содержит возможности оценки уязвимостей. Средство оценки уязвимостей включает в себя следующие усовершенствованные возможности:

• Базовая конфигурация (New!) для интеллектуального уточнения результатов сканирования уязвимостей для тех, которые могут представлять реальные проблемы безопасности. Если задать базовое состояние безопасности, средство оценки уязвимостей будет сообщать только об отклонениях от этого базового состояния. При следующих проверках результаты, которые соответствуют базовым показателям, будут рассматриваться как прошедшие проверку. Это позволит вам и вашим аналитикам акцентировать внимание на важных моментах.
• Подробные сведения о тестах производительности, изучив которые вы сможете понять полученные сведения, а также их связь с вашими ресурсами.
• Скрипты исправления , помогающие устранить выявленные риски.

Узнайте больше про Azure Defender для SQL.

Выпущена общедоступная версия поддержки Azure Defender для SQL для выделенного пула SQL Azure Synapse Analytics

Azure Synapse Analytics (ранее — Хранилище данных SQL) — это служба аналитики, которая объединяет корпоративные хранилища данных и аналитику больших данных. Выделенные пулы SQL — это функции хранения корпоративных данных Azure Synapse. Дополнительные сведения см. в статье Что такое Azure Synapse Analytics (ранее — Хранилище данных SQL)?

Azure Defender для SQL защищает выделенные пулы SQL с помощью:

• Расширенной защиты от угроз для обнаружения угроз и атак
• Возможностей оценки уязвимостей для обнаружения и исправления ошибок в конфигурациях системы безопасности

Поддержка Azure Defender для SQL для пулов SQL Azure Synapse Analytics автоматически добавляется в пакет баз данных SQL Azure в Центре безопасности Azure. На странице рабочей области Synapse в портал Azure есть новая вкладка Azure Defender для SQL.

Узнайте больше про Azure Defender для SQL.

Теперь глобальные администраторы могут предоставлять себе разрешения на уровне клиента

Пользователь с ролью глобального администратора Azure Active Directory может иметь обязанности на уровне клиента, но не имеет разрешений Azure для просмотра сведений на уровне организации в Центре безопасности Azure.

Чтобы назначить себе разрешения уровня клиента, следуйте инструкциям в разделе Предоставление себе разрешений на уровне клиента .

Два новых плана Azure Defender: Azure Defender для DNS и Azure Defender для Resource Manager (предварительная версия)

Мы добавили две новые ориентированные на облако возможности защиты от угроз для вашей среды Azure.

Эти новые возможности защиты значительно улучшают устойчивость к атакам со стороны субъектов угроз и существенно увеличивают число ресурсов Azure, защищенных с помощью Azure Defender.

• Azure Defender для Resource Manager автоматически отслеживает все операции управления ресурсами, выполняемые в организации. Дополнительные сведения см. в разделе:

  • Общие сведения об Azure Defender для Resource Manager
  • Реагирование на оповещения Azure Defender для Resource Manager
  • Список оповещений Azure Defender для Resource Manager

• Azure Defender для DNS постоянно отслеживает все запросы DNS из ресурсов Azure. Дополнительные сведения см. в разделе:

  • Общие сведения об Azure Defender для DNS
  • Реагирование на оповещения Azure Defender для DNS
  • Список оповещений Azure Defender для DNS

Новая страница оповещений системы безопасности на портале Azure (предварительная версия)

Страница оповещений системы безопасности Центр безопасности Azure была изменена для предоставления:

• Улучшен интерфейс для рассмотрения оповещений. Список включает настраиваемые фильтры и параметры группирования, которые помогают скрыть избыточные оповещения и сосредоточиться на наиболее важных угрозах.
• В списки оповещений добавлена информация, например сведения о тактиках из базы знаний MITRE ATT&ACK.
• Кнопка для создания примеров оповещений. Чтобы оценить возможности Azure Defender и протестировать конфигурацию оповещений (для интеграции SIEM, уведомлений по электронной почте и автоматизации рабочих процессов), можно создать примеры оповещений практически во всех планах Azure Defender.
• Согласованность с функциями для инцидентов в Azure Sentinel. Клиентам, использующим оба продукта, стало удобнее переключаться между ними, а также стал проще обмен данными между этими продуктами.
• Повышение производительности для больших списков оповещений
• Навигация по клавиатуре по списку оповещений
• Оповещения из Azure Resource Graph. Вы можете запросить оповещения из Azure Resource Graph (работающий по принципу Kusto API) для всех ваших ресурсов. Это также удобно, если вы создаете собственные панели мониторинга для оповещений. Узнайте больше об Azure Resource Graph.

Чтобы получить доступ к новому интерфейсу, используйте ссылку "Попробовать сейчас" в баннере вверху страницы "Оповещения системы безопасности".

Сведения о том, как создать примеры оповещений в новом интерфейсе, см. в разделе Создание примеров оповещений Azure Defender.

Обновленный интерфейс Центра безопасности в Базе данных SQL Azure и Управляемом экземпляре SQL

Интерфейс Центра безопасности в SQL предоставляет доступ к следующим функциям Центра безопасности и Azure Defender для SQL:

• Рекомендации по безопасности . Центр безопасности периодически анализирует состояние безопасности всех подключенных ресурсов Azure для выявления потенциальных ошибок конфигурации безопасности. Затем он предоставляет рекомендации по устранению этих уязвимостей и улучшению безопасности организаций.
• Оповещения системы безопасности — служба обнаружения, которая постоянно отслеживает действия SQL Azure для угроз, таких как внедрение SQL, атаки подбора и злоупотребление привилегиями. Эта служба активирует подробные и ориентированные на действия оповещения системы безопасности в Центре безопасности и предоставляет варианты для продолжения исследований с помощью Microsoft Sentinel, собственного решения SIEM в Microsoft Azure.
• Результаты — служба оценки уязвимостей, которая постоянно отслеживает конфигурации SQL Azure и помогает устранить уязвимости. Проверки оценки предоставляют общие сведения о состояниях безопасности SQL Azure наряду с подробными результатами проверки безопасности.

Обновление фильтров средств инвентаризации активов

Страница инвентаризации в Центр безопасности Azure обновлена со следующими изменениями:

• На панель инструментов добавлен элемент Руководства и отзывы. Он открывает область со ссылками на связанные сведения и инструменты.

• Фильтры подписок , добавленные в фильтры по умолчанию, доступные для ваших ресурсов.

• Откройте ссылку запроса для открытия текущих параметров фильтра в виде запроса Azure Resource Graph (ранее называемого "Просмотр в обозревателе графов ресурсов").

• Параметры оператора для каждого фильтра. Теперь вы можете выбрать один из нескольких логических операторов, а не только равенство ("="). Например, вам может потребоваться найти все ресурсы с активными рекомендациями, заголовки которых содержат строку encrypt.

  

Сведения об инвентаризации см. в статье Изучение ресурсов и управление ими с помощью инвентаризации ресурсов.

Рекомендации по веб-приложениям, запрашивающим SSL-сертификаты, больше не являются частью оценки безопасности

Рекомендация "Веб-приложения должны запрашивать SSL-сертификат для всех входящих запросов", была перемещена из элемента управления безопасностью "Управление доступом и разрешениями (стоимостью не более 4 pts) в реализации рекомендаций по обеспечению безопасности (что не стоит никаких очков).

Требование запроса сертификата в приложении несомненно повышает его безопасность. Но для общедоступных веб-приложений это не имеет значения. Если для доступа к сайту используется протокол HTTP, а не HTTPS, вы не получите сертификат клиента. Поэтому, если ваше приложение требует клиентские сертификаты, не следует разрешать запросы к приложению по протоколу HTTP. Сведения см. в статье Настройка взаимной аутентификации TLS в Службе приложений Azure.

В результате этого изменения рекомендация теперь является рекомендуемой лучшей методикой, которая не влияет на вашу оценку.

Узнайте, какие рекомендации включает каждый элемент управления безопасностью, из раздела Элементы управления безопасностью и их рекомендации.

На странице "Рекомендации" доступны новые фильтры для среды, серьезности и доступных ответов

Центр безопасности Azure отслеживает все подключенные ресурсы и создает рекомендации по обеспечению безопасности. Используйте эти рекомендации для укрепления вашей гибридной облачной системы и отслеживания соответствия политикам и стандартам, соответствующим вашей организации, отрасли и стране или региону.

По мере расширения охвата и функциональности Центра безопасности мы ежемесячно добавляем новые рекомендации по безопасности. Например, ознакомьтесь с рекомендациями двадцать девять предварительных версий, добавленными для повышения охвата Azure Security Benchmark.

Так как их число постоянно растет, есть необходимость фильтровать рекомендации для выбора наиболее важных. В ноябре мы добавили фильтры на страницу рекомендаций (см. раздел Список рекомендаций теперь включает фильтры).

Фильтры, добавленные в этом месяце, предоставляют возможности для отображения рекомендаций по следующему:

• Среда . Просмотр рекомендаций для ресурсов AWS, GCP или Azure (или любой комбинации)

• Серьезность . Просмотр рекомендаций в соответствии с классификацией серьезности, заданной Центром безопасности

• Действия ответа . Просмотр рекомендаций в соответствии с доступностью параметров ответа Центра безопасности: исправление, запрет и принудительное применение

  Tip

  Фильтр "Действия ответа" заменяет фильтр Доступно быстрое исправление (да/нет).

  См. сведения о каждом из вариантов ответов:

  • Кнопка "Исправить"
  • Предотвращение ошибок конфигурации с помощью рекомендаций о применении и отклонении

Для непрерывного экспорта добавлены новые типы данных и улучшены политики deployifnotexist

Средства непрерывного экспорта в Центре безопасности Azure позволяют экспортировать рекомендации и оповещения Центра безопасности для использования с другими средствами мониторинга в вашей среде.

Непрерывный экспорт позволяет полностью настроить экспортируемые объекты и расположение их сохранения. Полные сведения см. в статье Непрерывный экспорт данных Центра безопасности.

Эти средства были усовершенствованы и расширены следующим образом:

• Расширены политики deployifnotexist для экспорта. Политики теперь делают следующее:

  • Проверяют, включена ли конфигурация. Если она не включена, политика будет отображаться как не соответствующая требованиям; также она создаст ресурс соответствия. Дополнительные сведения о предоставляемых шаблонах Политики Azure на вкладке "Развертывание в большом масштабе с помощью Политики Azure" см. в разделе Настройка непрерывного экспорта.

  • Поддерживают экспорт результатов безопасности. При использовании шаблонов Политики Azure можно настроить непрерывный экспорт, который будет включать результаты. Это удобно при экспорте рекомендаций, которые содержат вложенные рекомендации, такие как результаты сканеров оценки уязвимостей или конкретные обновления системы для родительской рекомендации "На вашем компьютере должны быть установлены системные обновления".

  • Поддерживают экспорт данных об оценке безопасности.

• Добавлены данные об оценке соответствия нормативным требованиям (в предварительной версии). Теперь вы можете выполнять непрерывный экспорт обновлений для оценок соответствия нормативным требованиям (в том числе для любых пользовательских инициатив) в рабочую область Log Analytics или в Центры событий. Эта функция недоступна в национальных облаках.

  

Ноябрь 2020 г.

В ноябре добавлены следующие обновления:

• добавлены 29 рекомендаций для предварительной версии, чтобы повысить охват тестов производительности системы безопасности Azure;
• на панель мониторинга соответствия нормативным требованиям в Центре безопасности добавлен стандарт NIST SP 800 171 R2.
• в списке рекомендаций теперь можно применять фильтры;
• Улучшенный и расширенный интерфейс автоматической подготовки
• оценка безопасности теперь доступна для непрерывного экспорта (предварительная версия);
• Рекомендация "На компьютерах должны быть установлены обновления системы" теперь включает вложенные рекомендации
• на странице "Управление политиками" на портале Azure теперь отображается состояние назначений политики по умолчанию.

добавлены 29 рекомендаций для предварительной версии, чтобы повысить охват тестов производительности системы безопасности Azure;

Azure Security Benchmark — это руководства с рекомендациями по обеспечению безопасности и соответствия требованиям для Azure, подготовленные корпорацией Майкрософт на основе распространенных платформ соответствия. См. сведения о Тесте производительности системы безопасности Azure.

Следующие 29 новых рекомендаций для предварительной версии добавлены в Центр безопасности, чтобы увеличить охват теста производительности.

Рекомендации предварительной версии не присваивают ресурсу состояние неработоспособного и не включаются в вычисления вашей оценки безопасности. По возможности их все равно нужно разрешить, так как по окончанию периода предварительной версии они повлияют на оценку. Дополнительные сведения о том, как реагировать на эти рекомендации, см. в статье Рекомендации по исправлению ошибок в Центре безопасности Azure.

Связанные ссылки:

• Общие сведения о тесте производительности системы безопасности Azure.
• Дополнительные сведения о приложениях API.
• Дополнительные сведения о приложениях-функциях Azure.
• Дополнительные сведения о веб-приложениях Azure.
• Дополнительные сведения о Базе данных Azure для MariaDB.
• Дополнительные сведения о Базе данных Azure для MySQL.
• Дополнительные сведения о Базе данных Azure для PostgreSQL.

На панель мониторинга соответствия нормативным требованиям в Центре безопасности добавлен стандарт NIST SP 800 171 R2

Стандарт NIST SP 800-171 R2 теперь доступен как встроенная инициатива для использования с панелью мониторинга соответствия нормативным требованиям в Центре безопасности Azure. Сопоставления для элементов управления описаны в статье Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-171 R2.

Чтобы применить стандарт к подпискам и постоянно отслеживать состояние соответствия требованиям, воспользуйтесь инструкциями из статьи Настройка набора стандартов на панели мониторинга соответствия нормативным требованиям.

Дополнительные сведения об этом стандарте соответствия см. на странице описания NIST SP 800-171 R2 (специальной публикации Национального института стандартов и технологий).

в списке рекомендаций теперь можно применять фильтры;

Теперь можно отфильтровать список рекомендаций по безопасности по ряду критериев. В следующем примере список рекомендаций фильтруется для отображения рекомендаций, которые:

• общедоступен (т. е. не предварительная версия)
• для учетных записей хранения
• поддержка быстрого исправления

Улучшенный и расширенный интерфейс автоматической подготовки

Функция автоматической подготовки помогает сократить затраты на управление, установив необходимые расширения на новых виртуальных машинах Azure, чтобы они могли воспользоваться защитой Центра безопасности.

По мере развития Центра безопасности Azure разрабатываются дополнительные расширения, и Центр безопасности может отслеживать более широкий список типов ресурсов. Теперь средства автоматической подготовки были расширены для поддержки других расширений и типов ресурсов, используя возможности Политика Azure.

Теперь можно настроить автоматическую подготовку:

• Агент Log Analytics
• (Новое) Политика Azure для Kubernetes
• Microsoft Dependency Agent (новая возможность).

Дополнительные сведения см. в разделе "Агенты автоматической подготовки и расширения" из Центр безопасности Azure.

Оценка безопасности теперь доступна для непрерывного экспорта (предварительная версия)

Благодаря непрерывному экспорту результатов оценки безопасности вы можете в потоковом режиме и в реальном времени передавать изменения оценки в Центры событий Azure или в рабочую область Log Analytics. Эта возможность предназначена для следующих задач:

• отслеживать оценку безопасности и создавать динамические отчеты;
• экспортируйте данные оценки безопасности в Microsoft Sentinel (или любой другой SIEM)
• интегрировать эти данные с любыми уже используемыми процессами для отслеживания оценки безопасности в организации.

Подробные сведения о непрерывном экспорте данных Центра безопасности см. здесь.

Рекомендация "На компьютерах должны быть установлены обновления системы" теперь включает вложенные рекомендации

Обновления системы должны быть установлены на компьютерах, которые были улучшены . Новая версия содержит вложенные рекомендации для каждого пропущенного обновления и включает следующие улучшения:

• улучшенный интерфейс на страницах Центра безопасности Azure портала Azure. Страница сведений о рекомендации На компьютерах должны быть установлены обновления системы содержит список результатов, как показано ниже. Если выбрать один результат, откроется область сведений со ссылкой на информацию об исправлении и списком затрагиваемых ресурсов.

  

• Обогащенные данные для рекомендации из Azure Resource Graph (ARG). ARG — это служба Azure, предназначенная для простого изучения ресурсов. Вы можете использовать ARG для выполнения масштабных запросов к заданному набору подписок, чтобы вы могли эффективно управлять своей средой.

  При работе с Центром безопасности Azure вы можете применять ARG с языком запросов Kusto (KQL), чтобы получить расширенный набор данных о состоянии безопасности.

  Ранее при запросе этой рекомендации в ARG вы могли получить только сведения о том, что вам необходимо выполнить рекомендацию на компьютере. Следующий запрос в расширенной версии будет возвращать сведения обо всех отсутствующих на компьютере обновлениях (с группировкой по компьютерам).

  securityresources
  | where type =~ "microsoft.security/assessments/subassessments"
  | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
  | where properties.status.code == "Unhealthy"
  

На странице "Управление политиками" на портале Azure теперь отображается состояние назначений политики по умолчанию

Теперь вы можете узнать, назначена ли подписка политике центра безопасности по умолчанию, на странице политики безопасности Центра безопасности портала Azure.

Октябрь 2020 года

В октябре добавлены следующие обновления:

• Оценка уязвимостей для компьютеров в локальной среде и нескольких облаках (предварительная версия)
• Добавлена рекомендация Брандмауэра Azure (предварительная версия)
• Рекомендация "В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов" обновлена с помощью быстрого исправления
• На панели мониторинга соответствия нормативным требованиям теперь есть параметр для удаления стандартов
• Таблица Microsoft.Security/securityStatuses удалена из Azure Resource Graph

Оценка уязвимостей для компьютеров в локальной среде и нескольких облаках (предварительная версия)

Средство оценки уязвимостей в Azure Defender для серверов (на основе Qualys) теперь проверяет серверы с поддержкой Azure Arc.

Когда вы включаете Azure Arc на компьютерах, не относящихся к Azure, Центр безопасности предлагает развернуть на них встроенный сканер уязвимостей — вручную и в большом масштабе.

Начиная с этого обновления, вы сможете применять возможности Azure Defender для серверов, чтобы объединить программы управления уязвимостями для всех ресурсов в Azure и других средах.

Основные возможности:

• мониторинг состояния подготовки средства оценки уязвимостей на компьютерах Azure Arc;
• подготовка к работе интегрированного агента оценки уязвимостей для незащищенных компьютеров Azure Arc под управлением ОС Windows и Linux (вручную и в большом масштабе);
• получение и анализ обнаруженных уязвимостей от развернутых агентов (вручную и в большом масштабе);
• объединенный интерфейс для виртуальных машин Azure и компьютеров Azure Arc.

См. дополнительные сведения о развертывании интегрированного сканера уязвимостей Qualys на гибридных компьютерах.

См. дополнительные сведения о серверах с поддержкой Azure Arc.

Добавлена рекомендация Брандмауэра Azure (предварительная версия)

Добавлена новая рекомендация по защите всех виртуальных сетей с помощью Брандмауэр Azure.

Эта рекомендация — Virtual networks should be protected by Azure Firewall (Виртуальные сети должны быть защищены с помощью Брандмауэра Azure) — предлагает ограничить доступ к виртуальным сетям, чтобы избежать потенциальных угроз с помощью Брандмауэра Azure.

Дополнительные сведения о брандмауэре Azure.

Рекомендация "В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов" обновлена с помощью быстрого исправления

Для рекомендации В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов выпущено быстрое исправление.

На панели мониторинга соответствия нормативным требованиям теперь есть параметр для удаления стандартов

Панель мониторинга соответствия нормативным требованиям в Центре безопасности предоставляет аналитические сведения о состоянии соответствия на основе того, как вы используете определенные средства и соблюдаете определенные требования.

Панель мониторинга включает набор нормативных стандартов по умолчанию. Если какой-либо из предоставляемых стандартов не имеет отношения к вашей организации, теперь достаточно удалить его через пользовательский интерфейс для подписки. Стандарты можно удалить только на уровне подписки ; не область группы управления.

Дополнительные сведения см. в разделе Удаление стандарта с панели мониторинга.

Таблица Microsoft.Security/securityStatuses удалена из Azure Resource Graph (ARG)

Azure Resource Graph — это служба в Azure, которая обеспечивает эффективную оценку ресурсов с возможностью выполнения запросов к заданному набору подписок в большом масштабе, чтобы вы могли эффективно управлять своей средой.

При работе с Центром безопасности Azure вы можете применять ARG с языком запросов Kusto (KQL), чтобы получить расширенный набор данных о состоянии безопасности. Рассмотрим пример.

• Инвентаризация активов использует ARG
• Мы описали простой запрос ARG для идентификации учетных записей, для которых не включена многофакторная проверка подлинности (MFA).

В ARG существуют таблицы данных, которые вы можете использовать в запросах.

Из этого обновления была удалена таблица Microsoft.Security/securityStatuses . API securityStatuses остается доступным.

В качестве замены можно использовать таблицу Microsoft.Security/Assessments.

Основное различие между таблицами Microsoft.Security/securityStatuses и Microsoft.Security/Assessments заключается в том, что первая отображала оценки в агрегированном виде, а вторая содержит отдельную запись для каждой оценки.

Например, таблица Microsoft.Security/securityStatuses вернула бы результат с массивом из двух экземпляров policyAssessments:

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

В то время как Microsoft.Security/Assessments хранит запись для каждой такой оценки политики следующим образом:

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

Пример преобразования существующего запроса ARG с использованием таблицы securityStatuses для использования таблицы Assessments:

Запрос к таблице securityStatuses:

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Новый запрос к таблице Assessments:

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

Дополнительные сведения см. по следующим ссылкам:

• Как создавать запросы с помощью обозревателя Azure Resource Graph
• язык запросов Kusto (KQL)

Сентябрь 2020 г.

В сентябре добавлены следующие обновления:

• Новый внешний вид Центра безопасности
• Выпуск Azure Defender
• Выпуск общедоступной версии Azure Defender для Key Vault
• Выпуск общедоступной версии Azure Defender для защиты хранилища файлов и ADLS 2-го поколения
• Выпуск общедоступной версии средств инвентаризации ресурсов
• Отключение определенного результата поиска уязвимостей при проверках реестров контейнеров и виртуальных машин
• Исключение ресурса из рекомендации
• Соединители AWS и GCP в Центре безопасности охватывают несколько облаков
• Пакет рекомендаций по защите рабочих нагрузок Kubernetes
• Результаты оценки уязвимостей теперь доступны в непрерывном экспорте
• Защита от ошибок в конфигурации безопасности благодаря принудительному применению рекомендаций при создании новых ресурсов
• Улучшения рекомендаций по группе безопасности сети
• Объявлена устаревшей рекомендация по AKS предварительной версии "В службах Kubernetes должны быть определены политики безопасности объекта pod"
• Улучшения уведомлений по электронной почте от Центра безопасности Azure
• Оценка безопасности не включает рекомендации предварительной версии
• В рекомендациях добавлены индикатор серьезности и интервал актуальности