Vad är nytt i Microsoft Defender för molnet?
Defender för molnet är under aktiv utveckling och får kontinuerliga förbättringar. För att hålla dig uppdaterad med den senaste utvecklingen ger den här sidan information om nya funktioner, felkorrigeringar och inaktuella funktioner.
Den här sidan uppdateras ofta med de senaste uppdateringarna i Defender för molnet.
Dricks
Få ett meddelande när den här sidan uppdateras genom att kopiera och klistra in följande URL i feedläsaren:
https://aka.ms/mdc/rss
Information om planerade ändringar som snart kommer att Defender för molnet finns i Viktiga kommande ändringar av Microsoft Defender för molnet.
Om du letar efter objekt som är äldre än sex månader kan du hitta dem i Arkiv för nyheter i Microsoft Defender för molnet.
April 2024
Defender for Containers är nu allmänt tillgängligt (GA) för AWS och GCP
15 april 2024
Körningshotidentifiering och agentlös identifiering för AWS och GCP i Defender för containrar är nu allmänt tillgängliga (GA). Mer information finns i Stödmatris för containrar i Defender för molnet.
Dessutom finns det en ny autentiseringsfunktion i AWS som förenklar etableringen. Mer information finns i Konfigurera Komponenter för Microsoft Defender för containrar.
Riskprioritering är nu standardupplevelsen i Defender för molnet
Den 3 april 2024
Riskprioritering är nu standardupplevelsen i Defender för molnet. Den här funktionen hjälper dig att fokusera på de mest kritiska säkerhetsproblemen i din miljö genom att prioritera rekommendationer baserat på riskfaktorerna för varje resurs. Riskfaktorerna inkluderar den potentiella effekten av det säkerhetsproblem som överträds, riskkategorierna och den attackväg som säkerhetsproblemet ingår i.
Läs mer om riskprioritering.
Nya rekommendationer för sårbarhetsbedömning för containrar
Den 3 april 2024
För att stödja den nya riskbaserade prioriteringsupplevelsen för rekommendationer har vi skapat nya rekommendationer för sårbarhetsbedömningar för containrar i Azure, AWS och GCP. De rapporterar om containeravbildningar för register- och containerarbetsbelastningar för körning:
- Containeravbildningar i Azure-registret bör ha sårbarhetsresultat lösta
- Containrar som körs i Azure bör lösa sårbarhetsresultat
- Containeravbildningar i AWS-registret bör ha sårbarhetsresultat lösta
- Containrar som körs i AWS bör ha sårbarhetsresultat lösta
- Containeravbildningar i GCP-registret bör ha sårbarhetsresultat lösta
- Containrar som körs i GCP bör ha sårbarhetsresultat lösta
De tidigare rekommendationerna för sårbarhetsbedömning för containrar finns på en pensionsväg och tas bort när de nya rekommendationerna är allmänt tillgängliga.
- Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker)
- Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker)
- AWS-registercontaineravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker)
- AWS som kör containeravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker)
- GCP-registercontaineravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) – Microsoft Azure
- GCP som kör containeravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) – Microsoft Azure
Kommentar
De nya rekommendationerna är för närvarande i offentlig förhandsversion och kommer inte att användas för beräkning av säker poäng.
Uppdateringar av relationsdatabaser med öppen källkod i Defender
Den 3 april 2024
Uppdateringar efter GA för Defender för PostgreSQL – Uppdateringen gör det möjligt för kunder att framtvinga skydd för befintliga flexibla PostgreSQL-servrar på prenumerationsnivå, vilket ger fullständig flexibilitet för att aktivera skydd per resurs eller för automatiskt skydd av alla resurser på prenumerationsnivå.
Tillgänglighet och GA för Defender for MySQL – Defender för molnet utökat sitt stöd för relationsdatabaser med öppen källkod i Azure genom att införliva flexibla MySQL-servrar.
I den här versionen ingår:
- Aviseringskompatibilitet med befintliga aviseringar för Defender för MySQL – enskild server.
- Aktivera enskilda resurser.
- Aktivering på prenumerationsnivå.
Om du redan skyddar din prenumeration med Defender för relationsdatabaser med öppen källkod aktiveras, skyddas och faktureras dina flexibla serverresurser automatiskt.
Specifika faktureringsmeddelanden har skickats via e-post för berörda prenumerationer.
Läs mer om Microsoft Defender för relationsdatabaser med öppen källkod.
Kommentar
Uppdateringar för flexibla Azure Database for MySQL-servrar lanseras under de närmaste veckorna. Om du ser felmeddelandet The server <servername> is not compatible with Advanced Threat Protectionkan du antingen vänta tills uppdateringen har distribuerats eller öppna ett supportärende för att uppdatera servern tidigare till en version som stöds.
Uppdatera till rekommendationer för att anpassa till Azure AI Services-resurser
2 april 2024
Följande rekommendationer har uppdaterats för att överensstämma med azure AI Services-kategorin (kallades tidigare Cognitive Services och Cognitive Search) för att följa det nya namngivningsformatet för Azure AI Services och anpassa dem till relevanta resurser.
| Gammal rekommendation | Uppdaterad rekommendation |
|---|---|
| Cognitive Services-konton bör begränsa nätverksåtkomsten | Azure AI Services-resurser bör begränsa nätverksåtkomsten |
| Cognitive Services-konton bör ha lokala autentiseringsmetoder inaktiverade | Azure AI Services-resurser bör ha nyckelåtkomst inaktiverad (inaktivera lokal autentisering) |
| Diagnostikloggar i tjänsten Search ska vara aktiverade | Diagnostikloggar i Azure AI-tjänstresurser ska vara aktiverade |
Se listan över säkerhetsrekommendationer.
Utfasning av Cognitive Services-rekommendation
2 april 2024
Rekommendationen Public network access should be disabled for Cognitive Services accounts är inaktuell. Den relaterade principdefinitionen Cognitive Services accounts should disable public network access har tagits bort från instrumentpanelen för regelefterlevnad.
Den här rekommendationen omfattas redan av en annan nätverksrekommendering för Azure AI Services, Cognitive Services accounts should restrict network access.
Se listan över säkerhetsrekommendationer.
Rekommendationer för flera moln i containrar (GA)
2 april 2024
Som en del av den allmänna tillgängligheten för Defender for Containers för flera moln meddelas även följande rekommendationer om allmän tillgänglighet:
- För Azure
| Rekommendation | Beskrivning | Utvärderingsnyckel |
|---|---|---|
| Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Azure som kör containeravbildningar bör ha säkerhetsrisker lösta | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- För GCP
| Rekommendation | Beskrivning | Utvärderingsnyckel |
|---|---|---|
| GCP-registercontaineravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) – Microsoft Azure | Genomsöker dina GCP-register containeravbildningar efter vanliga sårbarheter (CVE) och ger en detaljerad sårbarhetsrapport för varje bild. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | c27441ae-775c-45be-8ffa-655de37362ce |
| GCP som kör containeravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) – Microsoft Azure | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara bilder som för närvarande körs i dina Google Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
- För AWS
| Rekommendation | Beskrivning | Utvärderingsnyckel |
|---|---|---|
| AWS-registercontaineravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Genomsöker dina GCP-register containeravbildningar efter vanliga sårbarheter (CVE) och ger en detaljerad sårbarhetsrapport för varje bild. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. Genomsöker dina AWS-register containeravbildningar efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje bild. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | c27441ae-775c-45be-8ffa-655de37362ce |
| AWS som kör containeravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Elastic Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
Rekommendationerna påverkar beräkningen av säker poäng.
Mars 2024
Genomsökning av Windows-containeravbildningar är nu allmänt tillgänglig (GA)
den 31 mars 2024
Vi meddelar allmän tillgänglighet (GA) för Windows-containeravbildningar för genomsökning av Defender för containrar.
Kontinuerlig export innehåller nu attacksökvägsdata
25 mars 2024
Vi meddelar att kontinuerlig export nu innehåller attacksökvägsdata. Med den här funktionen kan du strömma säkerhetsdata till Log Analytics i Azure Monitor, till Azure Event Hubs eller till en annan lösning för säkerhetsinformation och händelsehantering (SIEM), soar (Security Orchestration Automated Response) eller den klassiska IT-distributionsmodellen.
Läs mer om kontinuerlig export.
Agentlös genomsökning stöder CMK-krypterade virtuella datorer i Azure
den 21 mars 2024
Hittills har agentlös genomsökning täckt CMK-krypterade virtuella datorer i AWS och GCP. Med den här versionen slutför vi även supporten för Azure. Funktionen använder en unik genomsökningsmetod för CMK i Azure:
- Defender för molnet hanterar inte nyckel- eller dekrypteringsprocessen. Nyckelhantering och dekryptering hanteras sömlöst av Azure Compute och är transparent för Defender för molnet agentlösa genomsökningstjänst.
- De okrypterade vm-diskdata kopieras aldrig eller krypteras på nytt med en annan nyckel.
- Den ursprungliga nyckeln replikeras inte under processen. Rensningen tar bort data på både den virtuella produktionsdatorn och Defender för molnet tillfälliga ögonblicksbilden.
Den här funktionen aktiveras inte automatiskt under den offentliga förhandsversionen. Om du använder Defender för servrar P2 eller Defender CSPM och din miljö har virtuella datorer med CMK-krypterade diskar kan du nu låta dem genomsökas efter sårbarheter, hemligheter och skadlig kod enligt dessa aktiveringssteg.
- Läs mer om agentlös genomsökning efter virtuella datorer
- Läs mer om behörigheter för agentlös genomsökning
Nya identifiering och åtgärd på slutpunkt rekommendationer
den 18 mars 2024
Vi presenterar nya identifiering och åtgärd på slutpunkt rekommendationer som identifierar och utvärderar konfigurationen av identifiering och åtgärd på slutpunkt lösningar som stöds. Om problem hittas erbjuder dessa rekommendationer reparationssteg.
Följande nya rekommendationer för agentlöst slutpunktsskydd är nu tillgängliga om du har Defender for Servers Plan 2 eller Defender CSPM-planen aktiverad i din prenumeration med funktionen för agentlös datorgenomsökning aktiverad. Rekommendationerna stöder Azure- och multimolndatorer. Lokala datorer stöds inte.
| Rekommendationsnamn | beskrivning | Allvarlighetsgrad |
|---|---|---|
| Identifiering och åtgärd på slutpunkt lösning bör installeras på virtuella datorer | För att skydda virtuella datorer installerar du en lösning för slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt). Identifiering och åtgärd på slutpunkt hjälper till att förhindra, identifiera, undersöka och svara på avancerade hot. Använd Microsoft Defender för servrar för att distribuera Microsoft Defender för Endpoint. Om resursen klassificeras som "Inte felfri" har den inte någon Identifiering och åtgärd på slutpunkt lösning som stöds installerad [Place Holder-länk – Läs mer]. Om du har en Identifiering och åtgärd på slutpunkt lösning installerad som inte kan identifieras av den här rekommendationen kan du undanta den. | Högt |
| Identifiering och åtgärd på slutpunkt lösning bör installeras på EC2s | Installera en lösning för slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) för att skydda EC2:er. Identifiering och åtgärd på slutpunkt hjälper till att förhindra, identifiera, undersöka och svara på avancerade hot. Använd Microsoft Defender för servrar för att distribuera Microsoft Defender för Endpoint. Om resursen klassificeras som "Inte felfri" har den inte någon Identifiering och åtgärd på slutpunkt lösning som stöds installerad [Place Holder-länk – Läs mer]. Om du har en Identifiering och åtgärd på slutpunkt lösning installerad som inte kan identifieras av den här rekommendationen kan du undanta den. | Högt |
| Identifiering och åtgärd på slutpunkt lösning ska installeras på virtuella GCP-datorer | För att skydda virtuella datorer installerar du en lösning för slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt). Identifiering och åtgärd på slutpunkt hjälper till att förhindra, identifiera, undersöka och svara på avancerade hot. Använd Microsoft Defender för servrar för att distribuera Microsoft Defender för Endpoint. Om resursen klassificeras som "Inte felfri" har den inte någon Identifiering och åtgärd på slutpunkt lösning som stöds installerad [Place Holder-länk – Läs mer]. Om du har en Identifiering och åtgärd på slutpunkt lösning installerad som inte kan identifieras av den här rekommendationen kan du undanta den. | Högt |
| Identifiering och åtgärd på slutpunkt konfigurationsproblem bör lösas på virtuella datorer | Lös alla identifierade konfigurationsproblem med den installerade lösningen Slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) för att skydda virtuella datorer från de senaste hoten och säkerhetsriskerna. Obs! För närvarande gäller den här rekommendationen endast för resurser med Microsoft Defender för Endpoint (MDE) aktiverat. |
Högt |
| Identifiering och åtgärd på slutpunkt konfigurationsproblem bör lösas på EC2s | Lös alla identifierade konfigurationsproblem med den installerade lösningen Slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) för att skydda virtuella datorer från de senaste hoten och säkerhetsriskerna. Obs! För närvarande gäller den här rekommendationen endast för resurser med Microsoft Defender för Endpoint (MDE) aktiverat. |
Högt |
| Identifiering och åtgärd på slutpunkt konfigurationsproblem bör lösas på virtuella GCP-datorer | Lös alla identifierade konfigurationsproblem med den installerade lösningen Slutpunktsidentifiering och svar (Identifiering och åtgärd på slutpunkt) för att skydda virtuella datorer från de senaste hoten och säkerhetsriskerna. Obs! För närvarande gäller den här rekommendationen endast för resurser med Microsoft Defender för Endpoint (MDE) aktiverat. |
Högt |
Lär dig hur du hanterar dessa nya identifiering och åtgärd på slutpunkt rekommendationer (utan agent)
Dessa rekommendationer för offentlig förhandsversion kommer att vara inaktuella i slutet av mars.
| Rekommendation | Handläggare |
|---|---|
| Slutpunktsskydd ska installeras på dina datorer (offentligt) | MMA/AMA |
| Problem med slutpunktsskyddshälsa bör lösas på dina datorer (offentliga) | MMA/AMA |
De nuvarande allmänt tillgängliga rekommendationerna stöds fortfarande och kommer att vara fram till augusti 2024.
Lär dig hur du förbereder dig för den nya rekommendationen för slutpunktsidentifiering.
Anpassade rekommendationer baserade på KQL för Azure är nu offentlig förhandsversion
den 17 mars 2024
Anpassade rekommendationer baserade på KQL för Azure är nu offentlig förhandsversion och stöds för alla moln. Mer information finns i Skapa anpassade säkerhetsstandarder och rekommendationer.
Inkludering av DevOps-rekommendationer i Microsoft Cloud Security Benchmark
13 mars 2024
I dag meddelar vi att du nu kan övervaka din Säkerhets- och efterlevnadsstatus för DevOps i Microsoft Cloud Security Benchmark (MCSB) utöver Azure, AWS och GCP. DevOps-utvärderingar är en del av DevOps-säkerhetskontrollen i MCSB.
MCSB är ett ramverk som definierar grundläggande molnsäkerhetsprinciper baserade på vanliga branschstandarder och efterlevnadsramverk. MCSB innehåller beskrivande information om hur du implementerar sina molnagnostiska säkerhetsrekommendationer.
Läs mer om DevOps-rekommendationerna som kommer att ingå och Microsofts prestandamått för molnsäkerhet.
ServiceNow-integrering är nu allmänt tillgänglig (GA)
12 mars 2024
Vi presenterar allmän tillgänglighet (GA) för ServiceNow-integreringen.
Skydd mot kritiska tillgångar i Microsoft Defender för molnet (förhandsversion)
12 mars 2024
Defender för molnet innehåller nu en funktion för affärskritiskhet som använder Microsoft Security Exposure Managements motor för kritiska tillgångar för att identifiera och skydda viktiga tillgångar genom riskprioritering, analys av attackvägar och molnsäkerhetsutforskaren. Mer information finns i Skydd mot kritiska tillgångar i Microsoft Defender för molnet (förhandsversion).
Förbättrade AWS- och GCP-rekommendationer med automatiserade reparationsskript
12 mars 2024
Vi förbättrar AWS- och GCP-rekommendationerna med automatiserade reparationsskript som gör att du kan åtgärda dem programmatiskt och i stor skala. Läs mer om automatiserade reparationsskript.
(Förhandsversion) Efterlevnadsstandarder har lagts till på instrumentpanelen för efterlevnad
6 mars 2024
Baserat på kundfeedback har vi lagt till efterlevnadsstandarder i förhandsversionen för att Defender för molnet.
Kolla in den fullständiga listan över efterlevnadsstandarder som stöds
Vi arbetar kontinuerligt med att lägga till och uppdatera nya standarder för Azure-, AWS- och GCP-miljöer.
Lär dig hur du tilldelar en säkerhetsstandard.
Utfasning av två rekommendationer relaterade till PCI
5 mars 2024
Följande två rekommendationer som rör PCI (Permission Creep Index) är inaktuella:
- Överetablerade identiteter i konton bör undersökas för att minska PCI (Permission Creep Index)
- Överetablerade identiteter i prenumerationer bör undersökas för att minska PCI (Permission Creep Index)
Se listan över inaktuella säkerhetsrekommendationer.
Defender för molnet Sårbarhetsbedömning för containrar som drivs av Qualys-tillbakadragning
3 mars 2024
Sårbarhetsbedömningen för Defender för molnet containrar som drivs av Qualys dras tillbaka. Tillbakadragningen kommer att slutföras senast den 6 mars, och fram till dess kan partiella resultat fortfarande visas både i Qualys-rekommendationerna och Qualys resulterar i säkerhetsdiagrammet. Kunder som tidigare använde den här utvärderingen bör uppgradera till sårbarhetsbedömningar för Azure med Microsoft Defender – hantering av säkerhetsrisker. Information om hur du övergår till erbjudandet för sårbarhetsbedömning för containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker finns i Övergång från Qualys till Microsoft Defender – hantering av säkerhetsrisker.
Februari 2024
Uppdaterad hantering av säkerhetsprinciper utökar stödet till AWS och GCP
den 28 februari 2024
Den uppdaterade upplevelsen för hantering av säkerhetsprinciper, som ursprungligen släpptes i Förhandsversion för Azure, utökar sitt stöd till miljöer mellan molnmiljöer (AWS och GCP). Den här förhandsversionen innehåller:
- Hantera regelefterlevnadsstandarder i Defender för molnet i Azure-, AWS- och GCP-miljöer.
- Samma gränssnitt mellan moln för att skapa och hantera anpassade rekommendationer för Microsoft Cloud Security Benchmark (MCSB).
- Den uppdaterade upplevelsen tillämpas på AWS och GCP för att skapa anpassade rekommendationer med en KQL-fråga.
Molnstöd för Defender för containrar
den 26 februari 2024
Hotidentifieringsfunktionerna i Azure Kubernetes Service (AKS) i Defender for Containers stöds nu fullt ut i kommersiella moln, Azure Government och Azure China 21Vianet-moln. Granska funktioner som stöds.
Ny version av Defender-sensorn för Defender för containrar
den 20 februari 2024
Det finns en ny version av Defender-sensorn för Defender för containrar . Den innehåller prestanda- och säkerhetsförbättringar, stöd för både AMD64- och ARM64-valvnoder (endast Linux) och använder Inspektor Gadget som processinsamlingsagent i stället för Sysdig. Den nya versionen stöds endast i Linux-kernelversionerna 5.4 och senare, så om du har äldre versioner av Linux-kerneln måste du uppgradera. Stöd för ARM 64 är endast tillgängligt från AKS V1.29 och senare. Mer information finns i Värdoperativsystem som stöds.
Stöd för specifikation för Open Container Initiative (OCI) avbildningsformat
den 18 februari 2024
Specifikationen av avbildningsformatet Open Container Initiative (OCI) stöds nu av sårbarhetsbedömning som drivs av Microsoft Defender – hantering av säkerhetsrisker för AWS- och Azure &GCP-moln.
Sårbarhetsbedömning för AWS-container som drivs av Trivy har dragits tillbaka
den 13 februari 2024
Sårbarhetsbedömningen för containrar som drivs av Trivy har dragits tillbaka. Kunder som tidigare använde den här utvärderingen bör uppgradera till den nya sårbarhetsbedömningen för AWS-containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker. Anvisningar om hur du uppgraderar finns i Hur gör jag för att uppgradera från den tillbakadragna Trivy-sårbarhetsbedömningen till AWS-sårbarhetsbedömningen som drivs av Microsoft Defender – hantering av säkerhetsrisker?
Rekommendationer släppt för förhandsversion: fyra rekommendationer för Azure Stack HCI-resurstyp
den 8 februari 2024
Vi har lagt till fyra nya rekommendationer för Azure Stack HCI som en ny resurstyp som kan hanteras via Microsoft Defender för molnet. Dessa nya rekommendationer är för närvarande i offentlig förhandsversion.
| Rekommendation | beskrivning | Allvarlighetsgrad |
|---|---|---|
| (Förhandsversion) Azure Stack HCI-servrar bör uppfylla kraven för säkra kärnor | Se till att alla Azure Stack HCI-servrar uppfyller kraven för skyddad kärna. (Relaterad princip: Gästkonfigurationstillägget ska installeras på datorer – Microsoft Azure) | Låg |
| (Förhandsversion) Azure Stack HCI-servrar bör ha konsekvent framtvingade principer för programkontroll | Tillämpa minst Microsoft WDAC-basprincipen i framtvingat läge på alla Azure Stack HCI-servrar. Tillämpade WDAC-principer (Windows Defender Application Control) måste vara konsekventa mellan servrar i samma kluster. (Relaterad princip: Gästkonfigurationstillägget ska installeras på datorer – Microsoft Azure) | Högt |
| (Förhandsversion) Azure Stack HCI-system ska ha krypterade volymer | Använd BitLocker för att kryptera operativsystemet och datavolymerna i Azure Stack HCI-system. (Relaterad princip: Gästkonfigurationstillägget ska installeras på datorer – Microsoft Azure) | Högt |
| (Förhandsversion) Värd- och VM-nätverk bör skyddas på Azure Stack HCI-system | Skydda data i Azure Stack HCI-värdens nätverk och på nätverksanslutningar för virtuella datorer. (Relaterad princip: Gästkonfigurationstillägget ska installeras på datorer – Microsoft Azure) | Låg |
Se listan över säkerhetsrekommendationer.
Januari 2024
Ny insikt för aktiva lagringsplatser i Cloud Security Explorer
den 31 januari 2024
En ny insikt för Azure DevOps-lagringsplatser har lagts till i Cloud Security Explorer för att ange om lagringsplatser är aktiva. Den här insikten anger att kodlagringsplatsen inte är arkiverad eller inaktiverad, vilket innebär att skrivåtkomst till kod, versioner och pull-begäranden fortfarande är tillgänglig för användare. Arkiverade och inaktiverade lagringsplatser kan betraktas som lägre prioritet eftersom koden vanligtvis inte används i aktiva distributioner.
Om du vill testa frågan via Cloud Security Explorer använder du den här frågelänken.
Utfasning av säkerhetsaviseringar och uppdatering av säkerhetsaviseringar till allvarlighetsgrad för information
den 25 januari 2024
Det här meddelandet innehåller containersäkerhetsaviseringar som är inaktuella och säkerhetsaviseringar vars allvarlighetsgrad uppdateras till Information.
Följande containersäkerhetsaviseringar är inaktuella:
Anomalous pod deployment (Preview) (K8S_AnomalousPodDeployment)Excessive role permissions assigned in Kubernetes cluster (Preview) (K8S_ServiceAcountPermissionAnomaly)Anomalous access to Kubernetes secret (Preview) (K8S_AnomalousSecretAccess)
Följande säkerhetsaviseringar uppdateras till allvarlighetsgraden för information :
Aviseringar för Windows-datorer:
Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlWindowsViolationAudited)Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlLinuxViolationAudited)
Aviseringar för containrar:
Attempt to create a new Linux namespace from a container detected (K8S.NODE_NamespaceCreation)Attempt to stop apt-daily-upgrade.timer service detected (K8S.NODE_TimerServiceDisabled)Command within a container running with high privileges (K8S.NODE_PrivilegedExecutionInContainer)Container running in privileged mode (K8S.NODE_PrivilegedContainerArtifacts)Container with a sensitive volume mount detected (K8S_SensitiveMount)Creation of admission webhook configuration detected (K8S_AdmissionController)Detected suspicious file download (K8S.NODE_SuspectDownloadArtifacts)Docker build operation detected on a Kubernetes node (K8S.NODE_ImageBuildOnNode)New container in the kube-system namespace detected (K8S_KubeSystemContainer)New high privileges role detected (K8S_HighPrivilegesRole)Privileged container detected (K8S_PrivilegedContainer)Process seen accessing the SSH authorized keys file in an unusual way (K8S.NODE_SshKeyAccess)Role binding to the cluster-admin role detected (K8S_ClusterAdminBinding)SSH server is running inside a container (K8S.NODE_ContainerSSH)
Aviseringar för DNS:
Communication with suspicious algorithmically generated domain (AzureDNS_DomainGenerationAlgorithm)Communication with suspicious algorithmically generated domain (DNS_DomainGenerationAlgorithm)Communication with suspicious random domain name (Preview) (DNS_RandomizedDomain)Communication with suspicious random domain name (AzureDNS_RandomizedDomain)Communication with possible phishing domain (AzureDNS_PhishingDomain)Communication with possible phishing domain (Preview) (DNS_PhishingDomain)
Aviseringar för Azure App Service:
NMap scanning detected (AppServices_Nmap)Suspicious User Agent detected (AppServices_UserAgentInjection)
Aviseringar för Azure-nätverkslager:
Possible incoming SMTP brute force attempts detected (Generic_Incoming_BF_OneToOne)Traffic detected from IP addresses recommended for blocking (Network_TrafficFromUnrecommendedIP)
Aviseringar för Azure Resource Manager:
Privileged custom role created for your subscription in a suspicious way (Preview)(ARM_PrivilegedRoleDefinitionCreation)
Se den fullständiga listan över säkerhetsaviseringar.
Agentlös containerstatus för GCP i Defender för containrar och Defender CSPM (förhandsversion)
den 24 januari 2024
De nya funktionerna för agentlös containerstatus (förhandsversion) är tillgängliga för GCP, inklusive sårbarhetsbedömningar för GCP med Microsoft Defender – hantering av säkerhetsrisker. Mer information om alla funktioner finns i Agentlös containerstatus i Defender CSPM och Agentlösa funktioner i Defender för containrar.
Du kan också läsa om hantering av agentlös containerstatus för flera moln i det här blogginlägget.
Offentlig förhandsversion av agentlös skanning av skadlig kod för servrar
den 16 januari 2024
Vi presenterar lanseringen av Defender för molnet agentlös identifiering av skadlig kod för virtuella Azure-datorer (VM), AWS EC2-instanser och GCP VM-instanser som en ny funktion som ingår i Defender för servrar plan 2.
Identifiering av agentlös skadlig kod för virtuella datorer ingår nu i vår agentlösa skanningsplattform. Genomsökning av agentlös skadlig kod använder Microsoft Defender Antivirus-motorn mot skadlig kod för att söka igenom och identifiera skadliga filer. Eventuella identifierade hot utlöser säkerhetsaviseringar direkt i Defender för molnet och Defender XDR, där de kan undersökas och åtgärdas. Skannern för agentlös skadlig kod kompletterar den agentbaserade täckningen med ett andra lager av hotidentifiering med friktionsfri registrering och har ingen effekt på datorns prestanda.
Läs mer om agentlös skanning av skadlig kod för servrar och agentlös genomsökning efter virtuella datorer.
Allmän tillgänglighet för Defender för molnet integrering med Microsoft Defender XDR
den 15 januari 2024
Vi presenterar allmän tillgänglighet för integreringen mellan Defender för molnet och Microsoft Defender XDR (tidigare Microsoft 365 Defender).
Integreringen ger konkurrenskraftiga molnskyddsfunktioner i SOC (Security Operations Center) dagligen. Med Microsoft Defender för molnet och Defender XDR-integrering kan SOC-team identifiera attacker som kombinerar identifieringar från flera pelare, inklusive moln, slutpunkt, identitet, Office 365 med mera.
Läs mer om aviseringar och incidenter i Microsoft Defender XDR.
DevOps-säkerhetskommentarer för pull-begäran är nu aktiverade som standard för Azure DevOps-anslutningsappar
12 januari 2024
DevOps-säkerhet exponerar säkerhetsresultat som anteckningar i Pull-begäranden (PR) för att hjälpa utvecklare att förhindra och åtgärda potentiella säkerhetsrisker och felkonfigurationer innan de går in i produktion. Från och med den 12 januari 2024 är PR-anteckningar nu aktiverade som standard för alla nya och befintliga Azure DevOps-lagringsplatser som är anslutna till Defender för molnet.
Som standard är PR-anteckningar endast aktiverade för IaC-resultat (Infrastruktur med hög allvarlighetsgrad som kod). Kunderna måste fortfarande konfigurera Microsoft Security for DevOps (MSDO) för att köras i PR-versioner och aktivera build-valideringsprincipen för CI-versioner i Azure DevOps-lagringsplatsinställningar. Kunder kan inaktivera pr-anteckningsfunktionen för specifika lagringsplatser inifrån konfigurationsalternativen för DevOps-säkerhetsbladets lagringsplats.
Läs mer om att aktivera pull-begärandeanteckningar för Azure DevOps.
Rekommendationer släppt för förhandsversion: Nio nya Säkerhetsrekommendationer för Azure
den 4 januari 2024
Vi har lagt till nio nya Säkerhetsrekommendationer för Azure i linje med Microsoft Cloud Security Benchmark. Dessa nya rekommendationer är för närvarande i offentlig förhandsversion.
| Rekommendation | beskrivning | Allvarlighetsgrad |
|---|---|---|
| Cognitive Services-konton bör ha lokala autentiseringsmetoder inaktiverade | Att inaktivera lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa att Cognitive Services-konton kräver Azure Active Directory-identiteter uteslutande för autentisering. Läs mer på: https://aka.ms/cs/auth. (Relaterad princip: Cognitive Services-konton bör ha lokala autentiseringsmetoder inaktiverade). | Låg |
| Cognitive Services bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Cognitive Services minskar du risken för dataläckage. Läs mer om privata länkar. (Relaterad princip: Cognitive Services bör använda privat länk). | Medium |
| Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat | Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe. (Relaterad princip: Virtuella datorer och VM-skalningsuppsättningar bör ha kryptering på värden aktiverat). | Medium |
| Azure Cosmos DB bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att ditt Cosmos DB-konto inte exponeras på det offentliga Internet. Om du skapar privata slutpunkter kan du begränsa exponeringen för ditt Cosmos DB-konto. Läs mer. (Relaterad princip: Azure Cosmos DB bör inaktivera åtkomst till offentligt nätverk). | Medium |
| Cosmos DB-konton bör använda privat länk | Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Cosmos DB-konto minskas risken för dataläckage. Läs mer om privata länkar. (Relaterad princip: Cosmos DB-konton bör använda privat länk). | Medium |
| VPN-gatewayer bör endast använda Azure Active Directory-autentisering (Azure AD) för punkt-till-plats-användare | Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att vpn-gatewayer endast använder Azure Active Directory-identiteter för autentisering. Läs mer om Azure AD-autentisering. (Relaterad princip: VPN-gatewayer bör endast använda Azure Active Directory-autentisering (Azure AD) för punkt-till-plats-användare). | Medium |
| Azure SQL Database ska köra TLS version 1.2 eller senare | Om du anger TLS-version till 1.2 eller senare förbättras säkerheten genom att säkerställa att din Azure SQL Database endast kan nås från klienter med TLS 1.2 eller senare. Att använda versioner av TLS mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsrisker. (Relaterad princip: Azure SQL Database bör köra TLS version 1.2 eller senare). | Medium |
| Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till offentliga nätverk (offentlig slutpunkt) på Azure SQL Managed Instances förbättras säkerheten genom att säkerställa att de endast kan nås inifrån sina virtuella nätverk eller via privata slutpunkter. Läs mer om åtkomst till offentliga nätverk. (Relaterad princip: Azure SQL Managed Instances bör inaktivera åtkomst till offentligt nätverk). | Medium |
| Lagringskonton bör förhindra åtkomst till delad nyckel | Granska krav för Azure Active Directory (Azure AD) för att auktorisera begäranden för ditt lagringskonto. Som standard kan begäranden auktoriseras med antingen Azure Active Directory-autentiseringsuppgifter eller med hjälp av kontoåtkomstnyckeln för auktorisering av delad nyckel. Av dessa två typer av auktorisering ger Azure AD överlägsen säkerhet och användarvänlighet över delad nyckel och rekommenderas av Microsoft. (Relaterad princip: Lagringskonton bör förhindra åtkomst till delad nyckel). | Medium |
Se listan över säkerhetsrekommendationer.
December 2023
Defender för servrar på den resursnivå som är tillgänglig som GA
den 24 december 2023
Nu är det möjligt att hantera Defender för servrar på specifika resurser i din prenumeration, vilket ger dig fullständig kontroll över din skyddsstrategi. Med den här funktionen kan du konfigurera specifika resurser med anpassade konfigurationer som skiljer sig från de inställningar som konfigurerats på prenumerationsnivå.
Läs mer om hur du aktiverar Defender för servrar på resursnivå.
Pensionering av klassiska anslutningsappar för flera moln
den 21 december 2023
Den klassiska anslutningsmiljön för flera moln har dragits tillbaka och data strömmas inte längre till anslutningsappar som skapats via den mekanismen. Dessa klassiska anslutningsappar användes för att ansluta AWS Security Hub och GCP Security Command Center-rekommendationer för att Defender för molnet och registrera AWS EC2s till Defender för servrar.
Det fullständiga värdet för dessa anslutningsappar har ersatts med den inbyggda upplevelsen för multimolnssäkerhetsanslutningar, som har varit allmänt tillgänglig för AWS och GCP sedan mars 2022 utan extra kostnad.
De nya interna anslutningsprogrammen ingår i din plan och erbjuder en automatiserad registrering med alternativ för att registrera enskilda konton, flera konton (med Terraform) och organisationsregistrering med automatisk etablering för följande Defender-planer: kostnadsfria grundläggande CSPM-funktioner, Defender Cloud Security Posture Management (CSPM), Defender för servrar, Defender för SQL och Defender för containrar.
Version av arbetsboken Täckning
den 21 december 2023
Med arbetsboken Täckning kan du hålla reda på vilka Defender för molnet planer är aktiva för vilka delar av dina miljöer. Den här arbetsboken kan hjälpa dig att se till att dina miljöer och prenumerationer är helt skyddade. Genom att ha tillgång till detaljerad täckningsinformation kan du även identifiera alla områden som kan behöva annat skydd och vidta åtgärder för att ta itu med dessa områden.
Läs mer om arbetsboken Täckning.
Allmän tillgänglighet för sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker i Azure Government och Azure som drivs av 21Vianet
den 14 december 2023
Sårbarhetsbedömning (VA) för Linux-containeravbildningar i Azure-containerregister som drivs av Microsoft Defender – hantering av säkerhetsrisker släpps för allmän tillgänglighet (GA) i Azure Government och Azure som drivs av 21Vianet. Den här nya versionen är tillgänglig under abonnemangen Defender för containrar och Defender för containerregister.
Som en del av den här ändringen släpps följande rekommendationer för ga och ingår i beräkningen av säker poäng:
| Rekommendationsnamn | beskrivning | Utvärderingsnyckel |
|---|---|---|
| Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömningar för containeravbildningar söker igenom registret efter vanliga sårbarheter (CVE) och tillhandahåller en detaljerad sårbarhetsrapport för varje avbildning. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Om du kör containeravbildningar bör sårbarhetsresultaten lösas (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker). Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. |
c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Genomsökning av containeravbildningar som drivs av Microsoft Defender – hantering av säkerhetsrisker medför nu även avgifter enligt planens prissättning.
Kommentar
Bilder som skannas både av vårt VA-containererbjudande som drivs av Qualys och Container VA-erbjudandet som drivs av Microsoft Defender – hantering av säkerhetsrisker debiteras bara en gång.
Följande Qualys-rekommendationer för sårbarhetsbedömning för containrar har bytt namn och fortsätter att vara tillgängliga för kunder som har aktiverat Defender för containrar i någon av sina prenumerationer före den här versionen. Nya kunder som registrerar Defender för containrar efter den här versionen ser bara de nya rekommendationerna för utvärdering av sårbarhetsrisker för containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker.
| Aktuellt rekommendationsnamn | Nytt rekommendationsnamn | beskrivning | Utvärderingsnyckel |
|---|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Qualys) | Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Qualys) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Att köra containeravbildningar bör lösa sårbarhetsresultat (drivs av Qualys) | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta – (drivs av Qualys) | Sårbarhetsbedömning av containeravbildningar söker igenom containeravbildningar som körs i dina Kubernetes-kluster efter säkerhetsrisker och visar detaljerade resultat för varje bild. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | 41503391-efa5-47ee-9282-4eff6131462c |
Offentlig förhandsversion av Windows-stöd för sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker
den 14 december 2023
Stöd för Windows-avbildningar släpptes i offentlig förhandsversion som en del av sårbarhetsbedömning (VA) som drivs av Microsoft Defender – hantering av säkerhetsrisker för Azure-containerregister och Azure Kubernetes Services.
Tillbakadragande av sårbarhetsbedömning för AWS-container som drivs av Trivy
den 13 december 2023
Sårbarhetsbedömningen för containrar som drivs av Trivy är nu på en pensionsväg som ska slutföras senast den 13 februari. Den här funktionen är nu inaktuell och kommer att fortsätta att vara tillgänglig för befintliga kunder som använder den här funktionen fram till den 13 februari. Vi uppmuntrar kunder att använda den här funktionen för att uppgradera till den nya sårbarhetsbedömningen för AWS-containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker senast den 13 februari.
Agentlös containerstatus för AWS i Defender för containrar och Defender CSPM (förhandsversion)
den 13 december 2023
De nya funktionerna för agentlös containerstatus (förhandsversion) är tillgängliga för AWS. Mer information finns i Agentless container posture in Defender CSPM and Agentless capabilities in Defender for Containers (Agentlös containerstatus i Defender CSPM och Agentless-funktioner i Defender för containrar).
Allmänt tillgänglighetsstöd för PostgreSQL – flexibel server i Defender för relationsdatabaser med öppen källkod
den 13 december 2023
Vi presenterar den allmänna tillgänglighetsversionen av PostgreSQL–stöd för flexibel server i Microsoft Defender för relationsdatabaser med öppen källkod. Microsoft Defender för relationsdatabaser med öppen källkod ger avancerat skydd mot flexibla PostgreSQL-servrar genom att identifiera avvikande aktiviteter och generera säkerhetsaviseringar.
Lär dig hur du aktiverar Microsoft Defender för relationsdatabaser med öppen källkod.
Sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker stöder nu Google Distroless
den 12 december 2023
Sårbarhetsbedömningar för containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker har utökats med ytterligare täckning för Linux OS-paket, som nu stöder Google Distroless.
En lista över alla operativsystem som stöds finns i Stöd för register och avbildningar för Azure – Sårbarhetsbedömning som drivs av Microsoft Defender – hantering av säkerhetsrisker.
Defender for Storage-avisering släppt för förhandsversion: skadlig blob laddades ned från ett lagringskonto
den 4 december 2023
Följande avisering släpps för förhandsversion:
| Avisering (aviseringstyp) | beskrivning | MITRE-taktik | Allvarlighet |
|---|---|---|---|
| Skadlig blob laddades ned från ett lagringskonto (förhandsversion) Storage.Blob_MalwareDownload |
Aviseringen anger att en skadlig blob laddades ned från ett lagringskonto. Potentiella orsaker kan vara skadlig kod som har laddats upp till lagringskontot och inte tagits bort eller satts i karantän, vilket gör det möjligt för en hotaktör att ladda ned den eller en oavsiktlig nedladdning av skadlig kod av legitima användare eller program. Gäller för: Lagringskonton för Azure Blob (Standard general-purpose v2, Azure Data Lake Storage Gen2 eller Premium Block Blobs) med den nya Defender for Storage-planen med funktionen Genomsökning av skadlig kod aktiverad. |
Sidorörelser | Hög, om Eicar - låg |
Se tilläggsbaserade aviseringar i Defender för lagring.
En fullständig lista över aviseringar finns i referenstabellen för alla säkerhetsaviseringar i Microsoft Defender för molnet.
November 2023
Fyra aviseringar är inaktuella
den 30 november 2023
Som en del av vår kvalitetsförbättringsprocess är följande säkerhetsaviseringar inaktuella:
Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)Suspicious process termination burst (VM_TaskkillBurst)PsExec execution detected (VM_RunByPsExec)
Allmän tillgänglighet för genomsökning av agentlösa hemligheter i Defender för servrar och Defender CSPM
den 27 november 2023
Genomsökning av agentlösa hemligheter förbättrar säkerhetsmolnbaserade virtuella datorer (VM) genom att identifiera klartexthemligheter på virtuella datordiskar. Genomsökning av agentlösa hemligheter ger omfattande information som hjälper dig att prioritera upptäckta resultat och minimera risker för lateral förflyttning innan de inträffar. Den här proaktiva metoden förhindrar obehörig åtkomst, vilket säkerställer att din molnmiljö förblir säker.
Vi presenterar allmän tillgänglighet (GA) för genomsökning av agentlösa hemligheter, som ingår i både Defender för servrar P2 och Defender CSPM-planer .
Genomsökning av agentlösa hemligheter använder moln-API:er för att samla in ögonblicksbilder av dina diskar och utföra out-of-band-analys som säkerställer att det inte påverkar den virtuella datorns prestanda. Genomsökning av agentlösa hemligheter breddar den täckning som erbjuds av Defender för molnet över molntillgångar i Azure-, AWS- och GCP-miljöer för att förbättra molnsäkerheten.
Med den här versionen stöder Defender för molnet identifieringsfunktioner nu andra databastyper, signerade URL:er för datalager, åtkomsttoken med mera.
Lär dig hur du hanterar hemligheter med agentlös genomsökning av hemligheter.
Aktivera behörighetshantering med Defender för molnet (förhandsversion)
den 22 november 2023
Microsoft erbjuder nu både CLOUD-Native Application Protection Platforms (CNAPP) och CIEM-lösningar (Cloud Infrastructure Entitlement Management) med Microsoft Defender för molnet (CNAPP) och Microsoft Entra – behörighetshantering (CIEM).
Säkerhetsadministratörer kan få en centraliserad vy över sina oanvända eller överdrivna åtkomstbehörigheter inom Defender för molnet.
Säkerhetsteam kan köra kontroller med minsta möjliga behörighet för molnresurser och få åtgärdsrekommendationer för att lösa behörighetsrisker i Azure-, AWS- och GCP-molnmiljöer som en del av deras CSPM (Defender Cloud Security Posture Management) utan några extra licenskrav.
Lär dig hur du aktiverar behörighetshantering i Microsoft Defender för molnet (förhandsversion).
Defender för molnet integrering med ServiceNow
den 22 november 2023
ServiceNow är nu integrerat med Microsoft Defender för molnet, vilket gör det möjligt för kunder att ansluta ServiceNow till sin Defender för molnet miljö för att prioritera reparation av rekommendationer som påverkar din verksamhet. Microsoft Defender för molnet integreras med ITSM-modulen (incidenthantering). Som en del av den här anslutningen kan kunder skapa/visa ServiceNow-biljetter (länkade till rekommendationer) från Microsoft Defender för molnet.
Du kan lära dig mer om Defender för molnet integrering med ServiceNow.
Allmän tillgänglighet för autoetableringsprocessen för SQL-servrar på datorplan
den 20 november 2023
Inför utfasningen av Microsoft Monitoring Agent (MMA) i augusti 2024 släppte Defender för molnet en automatisk avetableringsprocess för SQL Server-riktad Azure Monitoring Agent (AMA). Den nya processen aktiveras och konfigureras automatiskt för alla nya kunder och ger även möjlighet till aktivering på resursnivå för virtuella Azure SQL-datorer och Arc-aktiverade SQL-servrar.
Kunder som använder MMA-automatisk konfiguration uppmanas att migrera till den nya Azure Monitoring Agent för SQL-servern på datorernas automatiska etableringsprocess. Migreringsprocessen är sömlös och ger kontinuerligt skydd för alla datorer.
Allmän tillgänglighet för Defender för API:er
15 november 2023
Vi presenterar allmän tillgänglighet (GA) för Microsoft Defender för API:er. Defender för API:er är utformat för att skydda organisationer mot API-säkerhetshot.
Defender för API:er gör det möjligt för organisationer att skydda sina API:er och data från skadliga aktörer. Organisationer kan undersöka och förbättra sin API-säkerhetsstatus, prioritera sårbarhetskorrigeringar och snabbt identifiera och svara på aktiva realtidshot. Organisationer kan också integrera säkerhetsaviseringar direkt i sin SIEM-plattform (Security Incident and Event Management), till exempel Microsoft Sentinel, för att undersöka och sortera problem.
Du kan lära dig hur du skyddar dina API:er med Defender för API:er. Du kan också lära dig mer om Microsoft Defender för API:er.
Du kan också läsa den här bloggen om du vill veta mer om GA-meddelandet.
Defender för molnet är nu integrerat med Microsoft 365 Defender (förhandsversion)
15 november 2023
Företag kan skydda sina molnresurser och enheter med den nya integreringen mellan Microsoft Defender för molnet och Microsoft Defender XDR. Den här integreringen ansluter punkterna mellan molnresurser, enheter och identiteter, vilket tidigare krävde flera upplevelser.
Integreringen ger också konkurrenskraftiga molnskyddsfunktioner i SOC (Security Operations Center) dagligen. Med Microsoft Defender XDR kan SOC-team enkelt identifiera attacker som kombinerar identifieringar från flera pelare, inklusive moln, slutpunkt, identitet, Office 365 med mera.
Några av de viktigaste fördelarna är:
Ett lättanvänt gränssnitt för SOC-team: Med Defender för molnet aviseringar och molnkorrelationer integrerade i M365D kan SOC-team nu komma åt all säkerhetsinformation från ett enda gränssnitt, vilket avsevärt förbättrar drifteffektiviteten.
En attackartikel: Kunderna kan förstå hela angreppshistorien, inklusive deras molnmiljö, med hjälp av fördefinierade korrelationer som kombinerar säkerhetsaviseringar från flera källor.
Nya molnentiteter i Microsoft Defender XDR: Microsoft Defender XDR stöder nu nya molnentiteter som är unika för Microsoft Defender för molnet, till exempel molnresurser. Kunder kan matcha virtuella datorentiteter (VM) med enhetsentiteter, vilket ger en enhetlig vy över all relevant information om en dator, inklusive aviseringar och incidenter som utlöstes på den.
Enhetligt API för Microsoft Security-produkter: Kunder kan nu exportera sina säkerhetsaviseringsdata till valfria system med hjälp av ett enda API, eftersom Microsoft Defender för molnet aviseringar och incidenter nu är en del av Microsoft Defender XDR:s offentliga API.
Integreringen mellan Defender för molnet och Microsoft Defender XDR är tillgänglig för alla nya och befintliga Defender för molnet kunder.
Allmän tillgänglighet för sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker (MDVM) i Defender för containrar och Defender för containerregister
15 november 2023
Sårbarhetsbedömning (VA) för Linux-containeravbildningar i Azure-containerregister som drivs av Microsoft Defender – hantering av säkerhetsrisker (MDVM) släpps för allmän tillgänglighet (GA) i Defender för containrar och Defender för containerregister.
Som en del av den här ändringen släpptes följande rekommendationer för ga och bytte namn och ingår nu i beräkningen av säker poäng:
| Aktuellt rekommendationsnamn | Nytt rekommendationsnamn | beskrivning | Utvärderingsnyckel |
|---|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömningar av containeravbildningar söker igenom registret efter vanliga sårbarheter (CVE) och tillhandahåller en detaljerad sårbarhetsrapport för varje avbildning. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Om du kör containeravbildningar bör sårbarhetsresultaten lösas (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Genomsökning av containeravbildningar som drivs av MDVM medför nu även avgifter enligt planpriser.
Kommentar
Bilder som skannas av både vårt VA-containererbjudande som drivs av Qualys och Container VA-erbjudandet som drivs av MDVM debiteras bara en gång.
Qualys-rekommendationerna nedan för sårbarhetsbedömning för containrar har bytt namn och fortsätter att vara tillgängliga för kunder som har aktiverat Defender för containrar i någon av sina prenumerationer före den 15 november. Nya kunder som registrerar Defender för containrar efter den 15 november ser bara de nya rekommendationerna för utvärdering av sårbarhetsrisker för containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker.
| Aktuellt rekommendationsnamn | Nytt rekommendationsnamn | beskrivning | Utvärderingsnyckel |
|---|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Qualys) | Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Qualys) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Att köra containeravbildningar bör lösa sårbarhetsresultat (drivs av Qualys) | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta – (drivs av Qualys) | Sårbarhetsbedömning av containeravbildningar söker igenom containeravbildningar som körs i dina Kubernetes-kluster efter säkerhetsrisker och visar detaljerade resultat för varje bild. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | 41503391-efa5-47ee-9282-4eff6131462c |
Ändra till rekommendationsnamn för sårbarhetsbedömningar för container
Följande rekommendationer för sårbarhetsbedömningar för containrar har bytt namn:
| Aktuellt rekommendationsnamn | Nytt rekommendationsnamn | beskrivning | Utvärderingsnyckel |
|---|---|---|---|
| Containerregisteravbildningar bör ha sårbarhetsresultat lösta (drivs av Qualys) | Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Qualys) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | dbd0cb49-b563-45e7-9724-889e799fa648 |
| Att köra containeravbildningar bör lösa sårbarhetsresultat (drivs av Qualys) | Azure som kör containeravbildningar bör ha säkerhetsrisker lösta – (drivs av Qualys) | Sårbarhetsbedömning av containeravbildningar söker igenom containeravbildningar som körs i dina Kubernetes-kluster efter säkerhetsrisker och visar detaljerade resultat för varje bild. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | 41503391-efa5-47ee-9282-4eff6131462c |
| Elastiska containerregisteravbildningar bör ha sårbarhetsresultat lösta | AWS-registercontaineravbildningar bör ha säkerhetsrisker lösta – (drivs av Trivy) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Att lösa säkerhetsriskerna kan avsevärt förbättra containrarnas säkerhetsstatus och skydda dem mot attacker. | 03587042-5d4b-44ff-af42-ae99e3c71c87 |
Riskprioritering är nu tillgänglig för rekommendationer
15 november 2023
Nu kan du prioritera dina säkerhetsrekommendationer efter den risknivå de utgör, med hänsyn till både exploaterbarheten och den potentiella affärseffekten för varje underliggande säkerhetsproblem.
Genom att organisera dina rekommendationer baserat på deras risknivå (kritisk, hög, medel, låg) kan du hantera de mest kritiska riskerna i din miljö och effektivt prioritera reparationen av säkerhetsproblem baserat på den faktiska risken, till exempel internetexponering, datakänslighet, möjligheter till lateral förflyttning och potentiella angreppsvägar som kan minimeras genom att lösa rekommendationerna.
Läs mer om riskprioritering.
Analys av attackväg ny motor och omfattande förbättringar
15 november 2023
Vi släpper förbättringar av funktionerna för analys av attackvägar i Defender för molnet.
Ny motor – analys av attackvägar har en ny motor som använder sökvägssökningsalgoritmen för att identifiera alla möjliga angreppsvägar som finns i molnmiljön (baserat på de data vi har i vår graf). Vi kan hitta många fler attackvägar i din miljö och identifiera mer komplexa och avancerade attackmönster som angripare kan använda för att bryta mot din organisation.
Förbättringar – Följande förbättringar släpps:
- Riskprioritering – prioriterad lista över angreppsvägar baserat på risk (exploaterbarhet och påverkan på verksamheten).
- Förbättrad reparation – hitta de specifika rekommendationer som bör lösas för att faktiskt bryta kedjan.
- Attackvägar mellan moln – identifiering av attackvägar som är korsmoln (sökvägar som startar i ett moln och slutar i ett annat).
- MITRE – Mappa alla attackvägar till MITRE-ramverket.
- Uppdaterad användarupplevelse – uppdaterad upplevelse med starkare funktioner: avancerade filter, sökning och gruppering av attackvägar för att möjliggöra enklare sortering.
Lär dig hur du identifierar och åtgärdar attackvägar.
Ändringar i attacksökvägens Azure Resource Graph-tabellschema
15 november 2023
Attacksökvägens ARG-tabellschema (Azure Resource Graph) uppdateras. Egenskapen attackPathType tas bort och andra egenskaper läggs till.
Allmän tillgänglighetsversion av GCP-stöd i Defender CSPM
15 november 2023
Vi presenterar ga-versionen (allmän tillgänglighet) av Defender CSPM kontextuell molnsäkerhetsgraf och analys av attackvägar med stöd för GCP-resurser. Du kan använda kraften i Defender CSPM för omfattande synlighet och intelligent molnsäkerhet för GCP-resurser.
Viktiga funktioner i vårt GCP-stöd är:
- Analys av attackväg – Förstå de potentiella vägar som angripare kan ta.
- Cloud Security Explorer – Identifiera säkerhetsrisker proaktivt genom att köra grafbaserade frågor i säkerhetsdiagrammet.
- Agentlös genomsökning – Skanna servrar och identifiera hemligheter och sårbarheter utan att installera en agent.
- Datamedveten säkerhetsstatus – Identifiera och åtgärda risker för känsliga data i Google Cloud Storage-bucketar.
Läs mer om alternativ för Defender CSPM-abonnemang.
Kommentar
Faktureringen för GA-versionen av GCP-supporten i Defender CSPM börjar den 1 februari 2024.
Allmän tillgänglighetsversion av instrumentpanelen för datasäkerhet
15 november 2023
Instrumentpanelen för datasäkerhet är nu tillgänglig i Allmän tillgänglighet (GA) som en del av Defender CSPM-planen.
Med instrumentpanelen för datasäkerhet kan du visa organisationens dataegendom, risker för känsliga data och insikter om dina dataresurser.
Läs mer om instrumentpanelen för datasäkerhet.
Allmän tillgänglighetsversion av identifiering av känsliga data för databaser
15 november 2023
Identifiering av känsliga data för hanterade databaser, inklusive Azure SQL-databaser och AWS RDS-instanser (alla RDBMS-smaker) är nu allmänt tillgänglig och möjliggör automatisk identifiering av kritiska databaser som innehåller känsliga data.
Om du vill aktivera den här funktionen i alla datalager som stöds i dina miljöer måste du aktivera Sensitive data discovery i Defender CSPM. Lär dig hur du aktiverar identifiering av känsliga data i Defender CSPM.
Du kan också lära dig hur identifiering av känsliga data används i datamedveten säkerhetsstatus.
Meddelande om offentlig förhandsversion: Ny utökad insyn i datasäkerhet i flera moln i Microsoft Defender för molnet.
Ny version av rekommendationen för att hitta saknade systemuppdateringar är nu GA
6 november 2023
En extra agent behövs inte längre på dina virtuella Azure-datorer och Azure Arc-datorer för att säkerställa att datorerna har alla de senaste säkerhetsuppdateringarna eller kritiska systemuppdateringarna.
Den nya rekommendationen System updates should be installed on your machines (powered by Azure Update Manager)Apply system updates för systemuppdateringar i kontrollen baseras på Uppdateringshanteraren och är nu helt allmänt tillgänglig. Rekommendationen förlitar sig på en intern agent som är inbäddad i varje virtuell Azure-dator och Azure Arc-datorer i stället för en installerad agent. Snabbkorrigeringen i den nya rekommendationen navigerar dig till en engångsinstallation av uppdateringarna som saknas i Update Manager-portalen.
De gamla och de nya versionerna av rekommendationerna för att hitta saknade systemuppdateringar kommer båda att vara tillgängliga fram till augusti 2024, vilket är när den äldre versionen är inaktuell. Båda rekommendationerna: System updates should be installed on your machines (powered by Azure Update Manager)och System updates should be installed on your machines är tillgängliga under samma kontroll: Apply system updates och har samma resultat. Det innebär att det inte finns någon duplicering i effekten på säkerhetspoängen.
Vi rekommenderar att du migrerar till den nya rekommendationen och tar bort den gamla genom att inaktivera den från Defender för molnet inbyggda initiativ i Azure-principen.
Rekommendationen [Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c) är också GA och är en förutsättning, vilket kommer att ha en negativ effekt på din säkerhetspoäng. Du kan åtgärda den negativa effekten med den tillgängliga korrigeringen.
Om du vill tillämpa den nya rekommendationen måste du:
- Anslut dina datorer som inte är Azure-datorer till Arc.
- Aktivera den periodiska utvärderingsegenskapen. Du kan använda snabbkorrigeringen i den nya rekommendationen
[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)för att åtgärda rekommendationen.
Kommentar
Om du aktiverar periodiska utvärderingar för Arc-aktiverade datorer som Defender for Servers Plan 2 inte är aktiverat för deras relaterade prenumeration eller Anslut eller, omfattas prissättningen för Azure Update Manager. Arc-aktiverade datorer som Defender for Servers Plan 2 är aktiverat på deras relaterade prenumeration eller Anslut eller, eller någon virtuell Azure-dator, är berättigade till den här funktionen utan extra kostnad.
Oktober 2023
Ändra säkerhetsvarningens allvarlighetsgrad för anpassningsbara programkontroller
Meddelandedatum: 30 oktober 2023
Som en del av kvalitetsförbättringsprocessen för säkerhetsaviseringar i Defender för servrar, och som en del av funktionen för anpassningsbara programkontroller , ändras allvarlighetsgraden för följande säkerhetsvarning till "Informational":
| Avisering [aviseringstyp] | Aviseringsbeskrivning |
|---|---|
| Principöverträdelse för anpassningsbar programkontroll granskades. [VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited] | Nedanstående användare körde program som bryter mot organisationens programkontrollprincip på den här datorn. Det kan eventuellt utsätta datorn för skadlig kod eller programsårbarheter. |
Om du vill fortsätta att visa den här aviseringen på sidan "Säkerhetsaviseringar" i Microsoft Defender för molnet-portalen ändrar du standardvyfiltret Allvarlighetsgrad så att informationsaviseringar inkluderas i rutnätet.
Azure API Management-offlinerevisioner har tagits bort från Defender för API:er
den 25 oktober 2023
Defender for API:er har uppdaterat sitt stöd för Api-revisioner för Azure API Management. Offlinerevisioner visas inte längre i inventeringen av registrerade Defender for API:er och verkar inte längre vara registrerade i Defender för API:er. Offlinerevisioner tillåter inte att någon trafik skickas till dem och utgör ingen risk ur ett säkerhetsperspektiv.
DevOps säkerhetsstatushanteringsrekommendationer som är tillgängliga i offentlig förhandsversion
den 19 oktober 2023
Nya rekommendationer för Hantering av DevOps-hållning är nu tillgängliga i offentlig förhandsversion för alla kunder med en anslutningsapp för Azure DevOps eller GitHub. DevOps-hållningshantering hjälper till att minska attackytan i DevOps-miljöer genom att upptäcka svagheter i säkerhetskonfigurationer och åtkomstkontroller. Läs mer om Hantering av DevOps-hållning.
Släppa CIS Azure Foundations Benchmark v2.0.0 på instrumentpanelen för regelefterlevnad
den 18 oktober 2023
Microsoft Defender för molnet stöder nu den senaste CIS Azure Security Foundations Benchmark – version 2.0.0 på instrumentpanelen för regelefterlevnad och ett inbyggt principinitiativ i Azure Policy. Versionen av version 2.0.0 i Microsoft Defender för molnet är ett gemensamt samarbete mellan Microsoft, Center for Internet Security (CIS) och användargrupperna. Version 2.0.0 utökar utvärderingsomfånget avsevärt, vilket nu innehåller över 90 inbyggda Azure-principer och lyckas med de tidigare versionerna 1.4.0 och 1.3.0 och 1.0 i Microsoft Defender för molnet och Azure Policy. Mer information finns i det här blogginlägget.
Nästa steg
Tidigare ändringar av Defender för molnet finns i Arkivera för vad som är nytt i Defender för molnet?.