Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается, как включить управление безопасностью данных в Microsoft Defender для Облака.
Перед началом работы
- Прежде чем включить управление состоянием безопасности данных, просмотрите поддержку и предварительные требования.
- Если вы включаете планы CSPM или Defender для хранилища, расширение обнаружения конфиденциальных данных автоматически включается. Этот параметр можно отключить, если вы не хотите использовать управление состоянием безопасности данных, но мы рекомендуем использовать эту функцию, чтобы получить наибольшее значение от Defender для облака.
- Конфиденциальные данные определяются на основе параметров конфиденциальности данных в Defender для облака. Вы можете настроить параметры конфиденциальности данных , чтобы определить данные, которые ваша организация считает конфиденциальными.
- После включения функции необходимо до 24 часов, чтобы увидеть результаты первого обнаружения.
Включение в CSPM для Defender (Azure)
Выполните следующие действия, чтобы включить управление состоянием безопасности данных. Перед началом работы не забудьте просмотреть необходимые разрешения .
Перейдите к параметрам Microsoft Defender для облачной>среды.
Выберите соответствующую подписку Azure.
Для плана CSPM Defender выберите состояние "Вкл .".
Если CSPM Defender уже включен, выберите "Параметры " в столбце покрытия мониторинга плана CSPM Defender и убедитесь, что компонент обнаружения конфиденциальных данных установлен в состояние On .
После включения обнаружения конфиденциальных данных в CSPM в Defender автоматически будет включена поддержка дополнительных типов ресурсов, так как расширяется диапазон поддерживаемых типов ресурсов.
Включение в Defender CSPM (AWS)
Перед началом работы в AWS
- Не забудьте: ознакомьтесь с требованиями для обнаружения AWS и ознакомьтесь с необходимыми разрешениями.
- Убедитесь, что политика не блокирует подключение к контейнерам Amazon S3.
- Для экземпляров RDS поддерживается шифрование KMS между учетными записями, но дополнительные политики управления доступом KMS могут препятствовать доступу.
Включение ресурсов AWS
Контейнеры S3 и экземпляры RDS
- Включение положения безопасности данных, как это было описано выше
- Следуйте инструкциям, чтобы скачать шаблон CloudFormation и запустить его в AWS.
Автоматическое обнаружение контейнеров S3 в учетной записи AWS запускается автоматически.
Для контейнеров S3 сканер Defender для облака выполняется в учетной записи AWS и подключается к контейнерам S3.
Для экземпляров RDS процесс обнаружения начнётся после включения функции обнаружения конфиденциальных данных. Сканер возьмет последний автоматический моментальный снимок экземпляра, создаст ручной моментальный снимок в исходной учетной записи и скопирует его в изолированную среду, принадлежащую корпорации Microsoft, в том же регионе.
Моментальный снимок используется для создания динамического экземпляра, который копируется, сканируется, а затем немедленно уничтожается (вместе с скопированным моментальным снимком).
Сообщается только о результатах сканирования платформой сканирования.
Проверка политик блокировки S3
Если процесс включения не работал из-за заблокированной политики, проверьте следующее:
- Убедитесь, что политика корзины S3 не блокирует соединение. В сегменте AWS S3 выберите вкладку Разрешения, затем Политика сегмента >. Проверьте сведения о политике, чтобы убедиться, что служба сканера Microsoft Defender для облака, запущенная в учетной записи Майкрософт в AWS, не заблокирована.
- Убедитесь, что политика SCP не блокирует подключение к контейнеру S3. Например, политика SCP может блокировать вызовы API чтения в регион AWS, где размещается контейнер S3.
- Убедитесь, что эти необходимые вызовы API разрешены политикой SCP: AssumeRole, GetBucketLocation, GetObject, ListBucket, GetBucketPublicAccessBlock
- Убедитесь, что политика SCP позволяет вызывать регион AWS us-east-1, который является регионом по умолчанию для вызовов API.
Включение мониторинга, учитывающего данные, в Defender для хранилища.
Обнаружение угроз конфиденциальных данных включено по умолчанию, если компонент обнаружения конфиденциальных данных включен в плане Защитника для хранения. Подробнее.
Если план CSPM Defender отключен, будут проверяться только ресурсы службы хранилища Azure.