Вопросы и ответы о портале Defender

В этой статье приводятся ответы на часто задаваемые вопросы об использовании Microsoft Defender для облака на портале Defender, включая интеграцию, миграцию и совместимость.

Обзор

Кто может протестировать новые возможности MDC на портале Defender?

Расширение MDC в портал Defender доступно для клиентов MDC, у которых включен хотя бы один тарифный план Defender for Cloud. Примечание. После выбора согласия на заполнение данных требуется до 24 часов.

Какие среды поддерживаются с этим расширением на портале Defender?

Да, поддерживаются Azure, AWS, GCP и локальные среды.

Каковы риски, связанные с этим перемещением?

Нет операционного риска при переходе на портал Defender. Интерфейс разработан с параллельными функциями на портале Azure и Defender. Клиенты могут включить новый интерфейс без нарушения работы на портале Azure. Однако существуют известные ограничения, которые клиенты должны учитывать при тестировании новых возможностей. Подробнее см. в официальной документации здесь, Известные ограничения.

Что происходит с MDC на портале Azure? Не рекомендуется ли использовать MDC на портале Azure?

Мы понимаем, что MDC служит нескольким пользователям, включая администраторов безопасности, архитекторов облачной безопасности, владельцев рабочих нагрузок, команд DevOps и многое другое. В этом выпуске MDC на портале Azure остается как есть, и у нас нет планов его отмены. Таким образом, обеспечение безопасности для новых ресурсов по-прежнему осуществляется через портал Azure.
Портал Defender посвящен командам безопасности, которые контролируют облачную безопасность в облачных средах и средах кода. Портал Azure продолжает обслуживать ориентированных на Azure лиц, таких как владельцы рабочих нагрузок и инженеры DevOps. Наша цель состоит в том, чтобы обеспечить специализированные возможности на каждом портале, обеспечивая наличие каждого человека наиболее подходящих инструментов и аналитических сведений о своих потребностях.

Позволит ли эта функция привести к изменениям или новым развертываниям, которые могут повлиять на другие планы Defender для облака, функции или конфигурации в будущем?

Нет.

Существует ли список соответствия функций для всех возможностей, которые интегрируются в портал Defender?

Да, список четности функций доступен в официальной документации Defender для облака в Microsoft Learn здесь: сравнение функций портала Azure и портала Defender.

Что делать, если использовать только портал Azure, а не портал Defender?

Расширение на портал Defender выполняется в дополнение к порталу Azure и параллельно с ним. Клиенты, использующие портал Azure, могут продолжать делать это без каких-либо изменений или влияния.

Влияние на выставление счетов

Есть ли влияние на выставление счетов с этим расширением?

По состоянию на данный момент, нет влияния на выставление счетов. Существующие клиенты смогут включить предварительные версии функций и испытать новые возможности без дополнительной платы.

Влияние и взаимодействие с клиентами

Какие конкретные рабочие процессы клиентов влияют на этот шаг? (например, обнаружение угроз, реагирование на инциденты, отчеты или все)

Расширение Defender для облака на портале Defender улучшает и объединяет существующие рабочие процессы. Например, команды SOC теперь могут получить доступ ко всем необходимым облачным сведениям, чтобы исследовать инциденты, связанные с облаком, от начала до конца. Администраторы управления уязвимостями могут просматривать уязвимости из облачных ресурсов, таких как виртуальные машины и контейнеры параллельно с данными конечной точки. Архитекторы информационной безопасности теперь имеют комплексное представление о состоянии облачной безопасности, наряду с устройствами, приложениями SaaS и данными, что позволяет ускорить исправление рекомендаций по безопасности и полную картину общего положения своей организации.

Существуют ли известные ограничения для этого расширения?

Да, в то время как Defender для облака расширяется на портале Defender для улучшения безопасности, существуют известные ограничения на этапе общедоступной предварительной версии. Эти сведения рассматриваются в специальной статье на платформе Microsoft Learn: известные ограничения.

Техническая интеграция и операции

Доступ и разрешения

Будут ли существующие разрешения на основе ролей Azure MDC автоматически переноситься на новый интерфейс портала Defender, или необходимо переназначать доступ?

Defender для облака в Azure и порталах Defender работает с различными моделями управления доступом на основе ролей: Defender для облака в Azure использует управление доступом на основе ролей Azure, а портал Defender использует сочетание глобальных ролей Entra ID и единого управления доступом на основе ролей. Вот разница между двумя:

• Управление доступом на основе ролей Azure управляет элементами управления доступом на уровне ресурсов Azure, включая подписки и группы ресурсов.

• Унифицированное управление доступом на основе ролей обеспечивает более детализированные разрешения на портале Defender, позволяя назначать роли, относящиеся к задачам безопасности и облачным областям в решениях Defender.

Благодаря расширенному интерфейсу на портале Defender группы безопасности теперь могут получить доступ к критически важным данным системы безопасности, не требуя обширных разрешений на базовые облачные ресурсы. Это устраняет давние проблемы на портале Azure, где широкий доступ к Azure был необходим только для просмотра сведений о безопасности, часто вызывая трение с группами облачных операций. Кроме того, теперь мы можем объединить облачные учетные записи в области и использовать их для предоставления доступа к соответствующим группам безопасности, чтобы соответствующие команды могли просматривать и действовать над результатами безопасности, не требуя полного доступа к платформе. Это также позволяет пользователям, не имеющим доступа к Azure, таким как AWS или GCP, управлять их содержимым безопасности в Defender без прав подписки Azure, что упрощает и более безопасную работу с несколькими облаками.

Defender разработанную специально для задач безопасности, использует собственную модель разрешений, называемую Единым управлением доступом на основе ролей. Это не зависит от ролевой модели контроля доступа Azure. Если пользователям требуется доступ к порталу Azure и порталу Defender, им потребуется два разрешения: существующая роль управления доступом на основе ролей Azure и новая роль управления доступом на основе ролей для Defender. Для организаций, которые хотят выровнять разрешения между системами, общедоступные API доступны для автоматизации назначений ролей. Такой подход обеспечивает минимальный доступ, улучшает управление и упрощает операции безопасности в мультиоблачных средах.

Управление многотенантными средами

Если у меня есть мультитенантная среда MDC с Azure Lighthouse, как эта среда будет отображаться на новом портале Defender?

Microsoft Defender для облака расширяется в портале Defender, чтобы обеспечить обнаружение и реагирование на инциденты для мультитенантных окружений с помощью существующего улучшенного опыта мультитенантных организаций (MTO). На этом этапе функции управления состоянием , такие как рекомендации, пути атаки и инвентаризация облака, пока недоступны для мультитенантных сценариев на портале Defender.

Клиенты могут продолжать использовать Azure Lighthouse для управления и операций с несколькими клиентами параллельно с порталом Defender. Этот подход гарантирует, что организации сохраняют полные возможности управления общей позицией, используя единые функции управления инцидентами и реагирования, доступные на портале Defender.

По мере создания и улучшения возможностей MTO в будущих выпусках клиенты видят расширенную поддержку мультитенантного управления возможностями и дополнительных возможностей непосредственно на портале Defender.

Синхронизация и согласованность данных

После включения режима предварительного просмотра, как быстро клиенты могут начать видеть свои данные?

Начальная синхронизация может занять до 24 часов.

Если я исправляю рекомендации на портале Defender, эти изменения немедленно отражаются на портале Azure или есть задержка? Если есть, сколько времени потребуется для отображения на портале Azure?

В краткосрочной перспективе рекомендации по безопасности, разрешенные на портале Azure, будут отражены как разрешенные на портале Defender в течение 2 часов. Мы работаем над улучшением этого времени, чтобы пользователи не сталкивались с задержкой

Будет ли количество работоспособных и неработоспособных ресурсов оставаться единообразным на порталах Azure и Defender? Если нет, то что объясняет разницу?

Клиенты могут заметить различия при использовании Defender для облака на портале Defender. Благодаря этому расширению мы предоставляем клиентам возможность обнаружения своей полной среды, а значит, количество может различаться. Это относится к оценкам безопасности, рекомендациям по безопасности и количеству обнаруженных ресурсов в среде.

Доступность компонентов и стратегия

Смогу ли я видеть данные Foundational CSPM на новом портале, если использую только Foundational CSPM и включены другие пакеты Defender, например Defender для хранения?

Да, рекомендации по безопасности, предоставляемые планом CSPM Foundational, отображаются для любой подписки по крайней мере с одним платным планом.

Я вижу владение рекомендациями через функцию управления. Будет ли функция управления доступна на портале Defender?

Назначения управления, созданные вручную или автоматически, будут работать, а состояние назначения, включая соответствующего владельца и дату выполнения, появится на портале Defender. Тем не менее операции редактирования, такие как изменения владельца и срока выполнения, по-прежнему будут выполняться через портал Azure. В будущем мы планируем внедрить улучшенные возможности мобилизации, чтобы группы безопасности могли работать и делегировать усилия по исправлению непосредственно на портал Defender.

Operations

Как переход влияет на текущее исследование, оповещения или интеграции?

Теперь, когда данные о состоянии облачной безопасности интегрированы в портал Defender, команды SOC получают унифицированные возможности для изучения и реагирования на облачные оповещения и связанные с ними инциденты. Ранее расследования требовали переключения на портал Azure для сбора сведений о ресурсах, создавая неэффективность и пробелы в видимости. Теперь все сигналы безопасности и метаданные доступны непосредственно в Defender, устраняя необходимость в переключении между инструментами и обеспечивая более быстрый и обоснованный процесс принятия решений. Новая инвентаризация облачных активов обеспечивает полную видимость ресурсов и их состояние, а аналитические сведения об экспозиции , такие как граф экспозиции, предоставляют представление на 360 градусов каждого ресурса. Эта интеграция позволяет командам SOC сопоставлять оповещения с данными о состоянии мгновенно, оптимизировать рабочие процессы и укрепить реагирование на инциденты.

Извлечение идентификаторов для случаев поддержки

При работе с вариантами поддержки Microsoft Defender для облака часто необходимо предоставить определенные идентификаторы для ресурсов, уязвимостей, инициатив и сред. Без соответствующих идентификаторов ресурсов группы поддержки не могут эффективно устранять или эскалировать проблемы клиентов.

Какие идентификаторы требуются для запросов в службу поддержки?

Возможно, потребуется извлечь следующие типы идентификаторов на портале Defender:

• Идентификаторы активов — для конкретных облачных ресурсов
• Идентификаторы уязвимостей — для уязвимостей безопасности (CVEs, идентификаторы уязвимостей Майкрософт)
• Идентификаторы инициатив — для инициатив и стандартов соответствия требованиям
• Идентификаторы среды — для области применения облачных технологий и идентификации среды

Как извлечь идентификаторы активов из рекомендаций?

Метод 1. Из рекомендаций по облачным ресурсам

1. Перейдите на вкладку "Рекомендациипо управлению>воздействиемна > Microsoft Defender> ресурсы".
2. Найдите рекомендацию, содержащую ресурс, который необходимо определить.
3. Выберите подвергнутый актив на панели рекомендаций.
4. В сведениях об активе найдите поле идентификатора ресурса .
5. Скопируйте идентификатор с помощью кнопки копирования.

Метод 2. Из инвентаризации ресурсов облачной инфраструктуры

1. Перейдите к порталу Microsoft Defender>Активы>Облачная инфраструктура.
2. Используйте фильтры для поиска конкретного ресурса (среды, типа рабочей нагрузки или поиска по имени).
3. Выберите имя ресурса, чтобы открыть подробные сведения.
4. На панели сведений о активе найдите и скопируйте идентификатор ресурса.

Как извлечь идентификаторы уязвимостей?

1. Перейдите на портал Microsoft Defender>Управление воздействием>Рекомендации
2. На вкладке "Облачные ресурсы" на панели навигации слева отфильтруйте по категориям уязвимостей .
3. Выберите рекомендацию, связанную с уязвимостью.
4. На боковой панели рекомендаций найдите следующее:
   • Раздел или вкладка связанных CVE
   • Сведения об уязвимостях с определенными идентификаторами
   • Оценки CVSS и классификации уязвимостей
5. Выберите отдельные уязвимости, чтобы получить подробные сведения, включая:
   • Полный идентификатор CVE (например, CVE-2023-1234)
   • Идентификатор уязвимости Майкрософт (если применимо)
   • Идентификаторы уязвимостей для конкретного пакета

Как извлечь идентификаторы инициатив?

1. Перейдите крекомендациям>.
2. Выберите любую рекомендацию.
3. На боковой панели рекомендаций перейдите к связанным инициативам.
4. В этом примере показано, к каким инициативам относится рекомендация.
5. Каждая инициатива отображает свое имя и идентификатор.
6. Скопируйте идентификатор инициативы, связанный с конкретной рекомендацией.

Как найти идентификаторы окружения для облачных областей?

1. Перейдите в портал Microsoft Defender>ресурсы>Облако.
2. Проверьте раскрывающийся список фильтров области — фильтр среды содержит все идентификаторы среды.
3. Выберите область и выберите фильтр среды, чтобы просмотреть подробные сведения, включая все идентификаторы среды в этой области.