Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы помочь клиентам предотвращать и выявлять угрозы, а также реагировать на них, Microsoft Defender for Cloud собирает и обрабатывает данные о безопасности, в том числе сведения о конфигурации, метаданные, журналы событий и многое другое. Корпорация Майкрософт следует строгим нормативным требованиям и указаниям по безопасности — от создания кода до эксплуатации служб.
В этой статье показано, как осуществляется управление данными и их защита в Microsoft Defender for Cloud.
Источники данных
Для отслеживания состояния безопасности, определения уязвимостей, предоставления рекомендаций по их устранению и обнаружения активных угроз Microsoft Defender for Cloud анализирует данные из следующих источников:
Службы Azure. Использует сведения о конфигурации служб Azure, развернутых путем связи с поставщиком ресурсов этой службы. Для ресурсов ИИ Azure это включает запросы ИИ и ответы.
Сетевой трафик: использует примеры метаданных сетевого трафика из инфраструктуры Майкрософт, таких как исходный или целевой IP-адрес/ порт, размер пакета и сетевой протокол.
Партнерские решения. Использует оповещения системы безопасности из интегрированных решений партнеров, таких как брандмауэры и решения защиты от вредоносных программ.
Компьютеры: использует сведения о конфигурации и сведения о событиях безопасности, таких как журналы событий Windows и журналы аудита, а также сообщения системного журнала с компьютеров.
Общий доступ к данным
При включении сканирования вредоносных программ Defender для хранилища, возможно, будут передаваться метаданные, включая метаданные, классифицируемые как клиентские данные (например, хэш SHA-256), в Microsoft Defender для конечной точки.
Microsoft Defender для облака, работающий по плану управления положением безопасности (CSPM), совместно использует данные, интегрированные в рекомендации по управлению воздействием на безопасность Майкрософт.
Примечание.
Управление рисками безопасности Майкрософт в настоящее время находится в общедоступной предварительной версии.
Защита данных
Разделение данных
Данные логическим путем отделяются для каждого компонента службы. Все данные помечаются тегами для каждой организации. Эти теги существуют в течение всего жизненного цикла данных и используются на каждом уровне службы.
Доступ к данным
Чтобы предоставить рекомендации по безопасности и исследовать потенциальные угрозы безопасности, персонал Майкрософт может получить доступ к информации, собранной или проанализированной службами Azure, включая события создания процессов, запросы ИИ и другие артефакты, которые могут непреднамеренно включать данные клиента или персональные данные с компьютеров.
Мы придерживаемся надстройки защиты данных Microsoft Online Services, которая утверждает, что корпорация Майкрософт не будет использовать данные клиента или получать от нее информацию для рекламы или аналогичных коммерческих целей. Мы используем данные клиента только в рамках предоставления служб Azure, а также для совместимых с этим целей. Вы сохраняете все права на данные клиента.
Использование данных
Корпорация Майкрософт использует шаблоны и данные анализа угроз, которые наблюдались у нескольких клиентов, чтобы улучшить возможности предотвращения и обнаружения. При этом соблюдаются обязательства по безопасности, описанные в заявлении о конфиденциальности.
Microsoft Defender для облака не использует данные клиента для обучения моделей ИИ без согласия пользователя. В соответствии с условиями продукта Майкрософт: Microsoft Defender для облака или Microsoft Generative AI Services не используют данные клиента для обучения любой модели создания ИИ, если только в соответствии с документируемыми инструкциями клиента.
Управление сбором данных с компьютеров
При включении Microsoft Defender for Cloud в Azure сбор данных включается для всех подписок Azure. Вы также можете включить сбор данных для своих подписок в Defender for Cloud. Когда он включен, в Microsoft Defender for Cloud подготавливается агент Log Analytics на всех существующих и создаваемых поддерживаемых виртуальных машинах Azure.
Агент Log Analytics проверяет систему на наличие конфигураций, связанных с безопасностью, и передает их в формате событий в компонент трассировки событий Windows (ETW). Кроме того, операционная система вызывает события журнала событий во время запуска компьютера. Примеры таких данных — тип и версия операционной системы, журналы операционной системы (журналы событий Windows), выполняющиеся процессы, имя компьютера, IP-адреса, имя пользователя, выполнившего вход, и идентификатор клиента. Агент Log Analytics считывает записи журналов событий и данные трассировки ETW, а затем копирует их в вашу рабочую область (или области) для анализа. Агент Log Analytics также поддерживает события создания процессов и аудит командной строки.
Если вы не используете расширенные функции безопасности Microsoft Defender for Cloud, вы также можете отключить сбор данных с виртуальных машин в политике безопасности. Сбор данных требуется для подписок, защищенных расширенными функциями безопасности. Функция создания моментальных снимков диска виртуальной машины и сбора артефактов работает даже в том случае, если сбор данных был отключен.
Вы можете указать рабочую область и регион для хранения данных, собираемых с компьютеров. По умолчанию собираемые данные хранятся в ближайшей к вам рабочей области, как показано в следующей таблице.
| Геолокация виртуальной машины | Гео рабочей области |
|---|---|
| США, Бразилия, ЮАР | Соединенные Штаты |
| Канада | Канада |
| Европа (за исключением Соединенного Королевства) | Европа |
| Соединенное Королевство | Соединенное Королевство |
| Азия (за исключением Индии, Японии, Кореи, Китая) | Азиатско-Тихоокеанский регион |
| Республика Корея | Азиатско-Тихоокеанский регион |
| Индия | Индия |
| Япония | Япония |
| Китай | Китай |
| Австралия | Австралия |
Примечание.
Microsoft Defender для службы хранилища хранит артефакты в том регионе, где размещен соответствующий ресурс Azure. Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для хранилища.
Потребление данных
Клиенты могут получать данные Microsoft Defender for Cloud из следующих источников:
| поток | Типы данных |
|---|---|
| Журнал действий Azure | Все оповещения системы безопасности и утвержденные Defender для облака запросы на доступ в режиме 'только по необходимости' (JIT-запросы). |
| Журналы Azure Monitor | Все оповещения системы безопасности. |
| Azure Resource Graph | Оповещения системы безопасности, рекомендации по обеспечению безопасности, результаты оценки уязвимостей, данные об оценке безопасности, состояние проверок соответствия и т. д. |
| REST API в Microsoft Defender for Cloud | Оповещения системы безопасности, рекомендации по обеспечению безопасности и т. д. |
Примечание.
Если в подписке нет планов Defender, данные будут удалены из Azure Resource Graph через 30 дней бездействия на портале Microsoft Defender для облака. После взаимодействия с артефактами на портале, связанном с подпиской, данные должны отображаться снова в течение 24 часов.
Хранение данных
Когда граф облачной безопасности собирает данные из сред Azure и мультиоблачных сред и других источников данных, он сохраняет данные в течение 14 дней. Через 14 дней данные удаляются.
Вычисляемые данные, такие как пути атаки, могут храниться в течение дополнительных 14 дней. Вычисляемые данные состоят из данных, производных от необработанных данных, собранных из среды. Например, путь атаки является производным от необработанных данных, собранных из среды.
Эти сведения собираются в соответствии с обязательствами о конфиденциальности, описанными в нашем заявлении о конфиденциальности.
План защиты от угроз Defender for Cloud AI включает хранение подсказок и ответов модели защищенных подписок. Данные хранятся безопасно и сохраняются в целях распознавания шаблонов и обнаружения аномалий и хранятся в течение 30 дней.
интеграция Defender для облака и Microsoft 365 Defender
При включении любого из платных планов Defender для облака вы автоматически получаете все преимущества XDR в Microsoft Defender. Сведения из Defender for Cloud будут предоставляться Microsoft Defender XDR. Эти данные могут содержать данные клиента и будут храниться в соответствии с рекомендациями по обработке данных Microsoft 365.