Freigeben über

Unterstützung und Voraussetzungen für die Datensicherheitsstatusverwaltung

Überprüfen Sie die Anforderungen auf dieser Seite, bevor Sie die Verwaltung von Datensicherheitsstatus in Microsoft Defender für Cloud einrichten.

Aktivieren der Erkennung von vertraulichen Daten

Die Ermittlung vertraulicher Daten ist in den Plänen Defender Cloud Security Posture Management (CSPM), Defender for Storage und Defender for Databases verfügbar.

  • Wenn Sie einen der Pläne aktivieren, wird die Erweiterung für die Ermittlung vertraulicher Daten im Rahmen des Plans aktiviert.
  • Wenn Pläne bereits ausgeführt werden, ist die Erweiterung zwar verfügbar, deaktiviert sich aber standardmäßig.
  • Der vorhandene Planstatus wird als „Partial“ (Teilweise) und nicht als „Full“ (Vollständig) angezeigt, wenn eine oder mehrere Erweiterungen nicht aktiviert sind.
  • Das Feature wird auf Abonnementebene aktiviert.
  • Wenn die Ermittlung vertraulicher Daten aktiviert ist, aber Defender CSPM nicht aktiviert ist, werden nur Speicherressourcen gescannt.
  • Wenn ein Abonnement Defender CSPM aktiviert und Sie dieselben Ressourcen mit Purview überprüfen, wird das Scanergebnis von Purview ignoriert. Standardmäßig werden die Scanergebnisse von Microsoft Defender für Cloud für den unterstützten Ressourcentyp angezeigt.

Unterstützte Funktionen

In der Tabelle werden die Verfügbarkeit und die unterstützten Szenarien für die Ermittlung vertraulicher Daten zusammengefasst.

Unterstützung Details
Welche Azure-Datenressourcen kann ich ermitteln? Objektspeicher:

Block-BLOB-Speicherkonten in Azure Storage v1/v2

Azure Files in Azure Storage v1/v2. Wird nur mit dem SMB-Protokoll unterstützt.

Azure Data Lake Storage Gen2

Speicherkonten hinter privaten Netzwerken werden unterstützt.

Speicherkonten, die mit einem kundenseitig verwalteten serverseitigen Schlüssel verschlüsselt wurden, werden unterstützt.

Konten werden nicht unterstützt, wenn ein Speicherkontoendpunkt einer benutzerdefinierten Domäne zugeordnet ist.

Voraussetzungen und Einschränkungen:
- Um Dateifreigaben zu scannen, weist Defender for Cloud StorageDataScanner die Rolle Privilegierter Leser von Speicherdateidaten zu.


Datenbanken

Azure SQL-Datenbanken

Azure SQL-Datenbank mit transparenter Datenverschlüsselung verschlüsselt
Welche AWS-Datenressourcen kann ich ermitteln? Objektspeicher:

AWS S3-Buckets

Defender for Cloud kann verschlüsselte KMS-Daten ermitteln, aber keine Daten, die mit einem kundenseitig verwalteten Schlüssel verschlüsselt wurden.

Datenbanken

- Amazon Aurora
- Amazon RDS für PostgreSQL
- Amazon RDS für MySQL
- Amazon RDS für MariaDB
- Amazon RDS für SQL Server (nicht benutzerdefiniert)
- Amazon RDS für Oracle Database (nur nicht-benutzerdefinierte SE2 Edition)

Voraussetzungen und Einschränkungen:
- Automatisierte Sicherungen müssen aktiviert werden.
- Die für die Überprüfungszwecke erstellte IAM-Rolle (DefenderForCloud-DataSecurityPostureDB standardmäßig) muss über Berechtigungen für den KMS-Schlüssel verfügen, der für die Verschlüsselung der RDS-Instanz verwendet wird.
- Sie können keine DB-Momentaufnahme freigeben, die eine Optionsgruppe mit dauerhaften oder persistenten Optionen verwendet, mit Ausnahme von Oracle DB-Instanzen, für die die Option Zeitzone oder OLS (oder beides) festgelegt ist. Weitere Informationen
Welche GCP-Datenressourcen kann ich ermitteln? GCP-Speicherbuckets
Standard-Klasse
Geo: Region, zwei Regionen, mehrere Regionen
Welche Berechtigungen benötige ich für die Ermittlung? Speicherkonto: Abonnementbesitzer
oder
Microsoft.Authorization/roleAssignments/* (Lesen, Schreiben, Löschen) undMicrosoft.Security/pricings/* (Lesen, Schreiben, Löschen) undbMicrosoft.Security/pricings/SecurityOperators (Lesen, Schreiben)

Amazon S3-Buckets und RDS-Instanzen: AWS-Kontoberechtigung zur Ausführung von CloudFormation (zum Erstellen einer Rolle).

GCP-Speicherbuckets: Google-Kontoberechtigung zum Ausführen von Skripts (zum Erstellen von Rollen).
Welche Dateitypen werden für die Ermittlung vertraulicher Daten unterstützt? Unterstützte Dateitypen (Sie können keine Teilmenge auswählen): .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc.
Welche Azure-Regionen werden unterstützt? Sie können Azure Storage-Konten an folgenden Orten ermitteln:

Westeuropa (Westeurope), Kanada Central (kanadacentral), UK South (uksouth), Japan East (japaneast), East US 2 (eastus2), Australia East (australiaeast), Canada East (canadaeast), East US (eastus), South Central US (southcentralus), North Central US (northcentralus), West US 2 (westus2), Südostasien (Südostasien), Central US (centralus), Brasilien Süd (brasiliensouth), Frankreich Central (francecentral), North Europe (Nordeuropa), Japan West (Japanwest), Australien Südost (Australiensoutheast), West-USA (Westus), Ost-US 2 EUAP (Eastus2euap), Australien Central (Australiencentral), Ostasien (Ostasien), UK West (Ukwest), Zentralindien (Zentralindien), Norwegen (Norwegeneast), Südafrika Nord (Südafricanorth), Schweden Zentral (Schwedencentral) ), West-USA 3 (westus3), West Central US (Westcentralus), Südindien (Südindien), VAE Nord (uaenorth), Schweiz Nord (schweiznorth), Deutschland West Central (Deutschlandwestcentral), Korea Central (Koreacentral), Korea South (koreasouth), Jio India West (Jioindiawest), Israel Central (israelcentral), Schweiz West (schweizwest), Polen Central (polencentral), Deutschland Nord (Deutschlandnorth), Italien Nord (italiennorth), Norwegen West (norwegenwest), Australien Central 2 (australiencentral2), Südafrika West (southafricawest), Mexico Central (mexikocentral), UAE Central (uaecentral), France South (francesouth), Brazil Southeast (brasiliensoutheast), Jio India Central (Jioindiacentral), Schweden Süd (schwedensouth), Spanien Central (spaniencentral), Neuseeland Nord (Newzealandnorth)

Sie können Azure SQL-Datenbanken in jeder Region ermitteln, in der Defender CSPM und Azure SQL-Datenbanken unterstützt werden.
Welche AWS-Regionen werden unterstützt? S3:

EU (Stockholm), EU (London), EU (Paris), Asien-Pazifik (Mumbai), Kanada (Zentral), Südamerika (São Paulo), USA West (N. Kalifornien), US-West (Oregon), Asien-Pazifik (Tokio), Asien-Pazifik (Singapur), Asien-Pazifik (Sydney), EU (Irland), USA Ost (N. Virginia), EU (Frankfurt), US-Osten (Ohio)


RDS:

Afrika (Kapstadt); Asien-Pazifik (Hongkong SAR); Asien-Pazifik (Hyderabad); Asien-Pazifik (Melbourne); Asien-Pazifik (Mumbai); Asien-Pazifik (Osaka); Asien-Pazifik (Seoul); Asien-Pazifik (Singapur); Asien-Pazifik (Sydney); Asien-Pazifik (Tokio); Kanada (Mitte); Europa (Frankfurt); Europa (Irland); Europa (London); Europa (Paris); Europa (Stockholm); Europa (Zürich); Naher Osten (VAE); Südamerika (São Paulo); USA, Osten (Ohio); USA, Osten (N. Virginia); USA, Westen (N. Kalifornien): USA, Westen (Oregon).

Die Ermittlung erfolgt lokal in der Region.
Welche GCP-Regionen werden unterstützt? Tel Aviv (me-west1), Mumbai (asia-south1), South Carolina (us-east1), Montréal (northamerica-northeast1), Iowa (us-central1), Oregon (us-west1), Belgien (europe-west1), Northern Virginia (us-east4)
Muss ich einen Agent installieren? Nein, für die Ermittlung ist keine Agentinstallation erforderlich.
Wie hoch sind die Kosten? Das Feature ist in den Defender CSPM- und Defender für Storage-Plänen enthalten und verursacht keine zusätzlichen Kosten außer den jeweiligen Plankosten.
Sonstige Kosten Die Ermittlung vertraulicher Daten für Azure Storage-Konten basiert auf anderen Azure-Diensten. Diese Abhängigkeit kann zu zusätzlichen Kosten führen, einschließlich Azure Storage-Lesevorgängen.
Welche Berechtigungen benötige ich zum Anzeigen/Bearbeiten der Einstellungen für die Vertraulichkeit von Daten? Sie benötigen eine der folgenden Microsoft Entra-Rollen:
  • Compliancedatenadministrator, Complianceadministrator oder höher
  • Sicherheitsoperator, Sicherheitsadministrator oder höher
    		•
    Welche Berechtigungen benötige ich, um ein Onboarding durchführen zu können? Sie benötigen eine der folgenden rollenbasierten Azure-Zugriffssteuerungsrollen (Azure RBAC): Sicherheitsadministrator, Mitwirkender, Besitzer auf Abonnementebene (wo sich das GCP-Projekt/die GCP-Projekte befinden). Für die Nutzung der Sicherheitsergebnisse: Sicherheitsleseberechtigter, Sicherheitsadministrator,Leser, Mitwirkender, Besitzer auf Abonnementebene (wo sich die GCP-Projekte befinden).

    Konfigurieren von Vertraulichkeitseinstellungen für Daten

    Die wichtigsten Schritte zum Konfigurieren der Vertraulichkeitseinstellung für Daten sind die Folgenden:

    Informieren Sie sich ausführlicher über Vertraulichkeitsbezeichnungen in Microsoft Purview.

    Ermittlung

    Defender für Cloud beginnt sofort nach dem Aktivieren eines Plans oder nach dem Aktivieren von Funktionsmerkmalen des Plans mit der Erkennung von Daten.

    Für Objektspeicher:

    • Ergebnisse sind innerhalb von 24 Stunden für die erstmalige Ermittlung verfügbar.
    • Nachdem Sie Dateien in den ermittelten Ressourcen aktualisiert haben, werden Die Daten innerhalb von acht Tagen aktualisiert.
    • Ein neues Azure-Speicherkonto, das einem bereits entdeckten Abonnement hinzugefügt wurde, wird innerhalb von 24 Stunden oder weniger ermittelt.
    • Ein neuer AWS S3-Bucket oder ein GCP-Speicher-Bucket, der einem bereits entdeckten AWS-Konto oder Google-Konto hinzugefügt wurde, wird innerhalb von 48 Stunden oder weniger entdeckt.
    • Die Erkennung vertraulicher Daten für Speicher erfolgt lokal in Ihrer Region. Dadurch wird sichergestellt, dass Ihre Daten Ihre Region nicht verlassen. Nur Ressourcenmetadaten wie Dateien, Blobs, Bucketnamen, erkannte Vertraulichkeitsbezeichnungen und die Namen identifizierter vertraulicher Informationstypen (SITs) werden an Defender for Cloud übertragen.

    Datenbanken:

    • Werden wöchentlich gescannt.
    • Bei neu aktivierten Abonnements werden die Ergebnisse innerhalb von 24 Stunden angezeigt.

    Cloudsicherheits-Explorer

    Wir zeigen alle Speichertypen an, einschließlich Azure Storage-Konten, AWS-Buckets und GCP-Buckets, unabhängig von ihren zugehörigen Erkenntnissen. Für Azure Storage-Konten, die Blobcontainer und Dateifreigaben umfassen, gelten die folgenden Regeln:

    • Blob-Container werden angezeigt, wenn sie einem der folgenden Kriterien entsprechen:

      • Sie haben die Erkenntnis „Enthält vertrauliche Daten“.

      • Sie haben die Erkenntnis „Öffentlicher Zugriff“.

      • Sie verfügen über eine Replikationsregel zu oder von einem anderen Blob.

    • Dateifreigaben werden nur angezeigt, wenn sie über die Erkenntnis „Enthält vertrauliche Daten“ verfügen.

    Erkennen und Überprüfen von Azure-Speicherkonten

    Zum Überprüfen von Azure-Speicherkonten erstellt Microsoft Defender for Cloud eine neue storageDataScanner Ressource und weist sie der Rolle Storage Blob Data Reader zu. Diese Rolle erteilt die folgenden Berechtigungen:

    • Liste
    • Lesen Sie

    Für Speicherkonten hinter privaten Netzwerken fügen wir in der Netzwerkregelkonfiguration des Speicherkontos den StorageDataScanner in die Liste der zulässigen Ressourceninstanzen ein.

    Erkennen und Überprüfen von AWS S3-Buckets

    Zum Schutz von AWS-Ressourcen in Defender for Cloud richten Sie einen AWS-Connector ein, indem Sie das AWS-Konto mithilfe einer CloudFormation-Vorlage integrieren.

    • Zur Ermittlung von AWS-Datenressourcen aktualisiert Defender for Cloud die CloudFormation-Vorlage.
    • Die CloudFormation-Vorlage erstellt eine neue Rolle in AWS IAM, um die Berechtigung für den Defender for Cloud-Scanner für den Zugriff auf Daten in den S3-Buckets zu ermöglichen.
    • Zum Verbinden von AWS-Konten benötigen Sie Administratorberechtigungen für das jeweilige Konto.
    • Die Rolle gewährt die folgenden Berechtigungen: schreibgeschützter S3-Zugriff; KMS entschlüsseln.

    Erkennen und Überprüfen von AWS RDS-Instanzen

    Zum Schutz von AWS-Ressourcen in Defender for Cloud richten Sie einen AWS-Connector ein, indem Sie das AWS-Konto mithilfe einer CloudFormation-Vorlage integrieren.

    • Zur Ermittlung von AWS RDS-Instanzen aktualisiert Defender for Cloud die CloudFormation-Vorlage.
    • Die CloudFormation-Vorlage erstellt eine neue Rolle in AWS IAM, um die Berechtigung für den Defender for Cloud-Scanner zu ermöglichen, die letzte verfügbare automatisierte Momentaufnahme Ihrer Instanz zu erstellen und sie in einer isolierten Scanumgebung in derselben AWS-Region online zu schalten.
    • Zum Verbinden von AWS-Konten benötigen Sie Administratorberechtigungen für das jeweilige Konto.
    • Automatisierte Momentaufnahmen müssen für die relevanten RDS-Instanzen/ -Cluster aktiviert werden.
    • Die Rolle lässt diese Berechtigungen zu (genaue Definitionen finden Sie in der CloudFormation-Vorlage):
      • Auflisten aller RDS-Datenbanken/ -Cluster
      • Kopieren aller Datenbank-/ Cluster-Momentaufnahmen
      • Löschen/ Aktualisieren von Datenbank- /Cluster-Momentaufnahme mit dem Präfix defenderfordatabases
      • Auflisten aller KMS-Schlüssel
      • Verwenden aller KMS-Schlüssel nur für RDS im Quellkonto
      • Erstellen und Vollzugriff auf alle KMS-Schlüssel mit Tagpräfix DefenderForDatabases
      • Erstellen eines Alias für KMS-Schlüssel
    • KMS-Schlüssel werden einmal für jede Region erstellt, die RDS-Instanzen enthält. Die Erstellung eines KMS-Schlüssels könnte gemäß den AWS KMS-Preisen zu minimalen zusätzlichen Kosten führen.

    Erkennen und Überprüfen von GCP-Speicherbuckets

    Um GCP-Ressourcen in Defender für Cloud zu schützen, richten Sie einen Google-Connector mithilfe einer Skriptvorlage ein, um das GCP-Konto zu integrieren.

    • Zum Ermitteln der GCP-Speicherbuckets aktualisiert Defender for Cloud die Skriptvorlage.
    • Die Skriptvorlage erstellt eine neue Rolle im Google-Konto, um dem Defender for Cloud-Scanner die Berechtigung für den Zugriff auf Daten in den GCP-Speicherbuckets zu gewähren.
    • Zum Verbinden von Google-Konten benötigen Sie Administratorberechtigungen für das jeweilige Konto.

    Im Internet verfügbar gemacht/ermöglicht den öffentlichen Zugriff

    Defender CSPM-Angriffspfade und Erkenntnisse zu Cloud-Sicherheitsdiagrammen enthalten Informationen zu Speicherressourcen, die für das Internet verfügbar gemacht werden und den öffentlichen Zugriff ermöglichen. Die folgende Tabelle enthält weitere Einzelheiten.

    Zustand Azure-Speicherkonten AWS S3-Buckets GCP-Speicherbuckets
    Im Internet verfügbar gemacht Ein Azure-Speicherkonto gilt als verfügbar für das Internet, wenn eine der folgenden Einstellungen aktiviert ist:

    Storage_account_name >Netzwerk>Öffentlicher Netzwerkzugriff>Über alle Netzwerk aktiviert

    oder

    Storage_account_name >Netzwerk>Öffentlicher Netzwerkzugriff>Über ausgewählte virtuelle Netzwerke und IP-Adressen aktivieren.    		 Ein AWS S3-Bucket gilt als verfügbar für das Internet, wenn für die AWS-Konto-/AWS S3-Bucket-Richtlinien keine Bedingung für IP-Adressen festgelegt ist. Standardmäßig werden alle GCP-Speicherbuckets für das Internet verfügbar gemacht.
    Ermöglicht den öffentlichen Zugriff Ein Azure-Speicherkontocontainer gilt als öffentlich zugänglich, wenn diese Einstellungen für das Speicherkonto aktiviert sind:

    Speicherkontoname >Konfiguration>Anonymen Zugriff auf Blob zulassen>Aktiviert.

    und eine der folgenden Einstellungen:

    Storage_account_name >Container> container_name >Öffentliche Zugriffsebene ist festgelegt auf BLOB (anonymer Lesezugriff nur für BLOBs)

    Oder storage_account_name >Container> container_name >Öffentliche Zugriffsebene ist festgelegt auf Container (anonymer Lesezugriff für Container und BLOBs).    		 Ein AWS S3-Bucket gilt als öffentlich zugänglich, wenn sowohl für das AWS-Konto als auch für den AWS S3-Bucket Blockieren aller öffentlichen ZugriffeDeaktiviert und eine der folgenden Einstellungen festgelegt ist:

    In der Richtlinie ist RestrictPublicBuckets nicht aktiviert, und die Einstellung Prinzipal ist auf * und Auswirkung auf Zulassen festgelegt.

    Oder in der Zugriffssteuerungsliste ist IgnorePublicAcl nicht aktiviert, und die Berechtigung ist für Alle oder für Authentifizierte Benutzer zulässig.    		 Ein GCP-Speicherbucket gilt als öffentlich zugänglich, wenn Folgends gilt: Er verfügt über eine IAM-Rolle (Identitäts- und Zugriffsverwaltung), die die folgenden Kriterien erfüllt:

    Die Rolle wird dem Prinzipal allUsers oder allAuthenticatedUsers zugewiesen.

    Die Rolle verfügt über mindestens eine Speicherberechtigung, bei der es sich nicht um storage.buckets.create oder storage.buckets.list handelt. Der öffentliche Zugriff in GCP wird als Öffentlich zum Internet bezeichnet.

    Datenbankressourcen erlauben keinen öffentlichen Zugriff, können aber dennoch für das Internet verfügbar sein.

    Erkenntnisse zur Internetexposition sind für die folgenden Ressourcen verfügbar:

    Azure:

    • Azure SQL Server
    • Azure Cosmos DB (ein Microsoft-Datenbankdienst)
    • Verwaltete Azure SQL-Datenbank-Instanz
    • Azure MySQL-Einzelserver
    • Azure MySQL flexibler Server
    • Azure PostgreSQL-Einzelserver
    • PostgreSQL flexibler Server
    • Azure MariaDB-Einzelserver
    • Synapse-Arbeitsbereich

    AWS:

    • RDS-instanz

    Hinweis

    • Expositionsregeln, die 0.0.0.0/0 enthalten, gelten als "übermäßig exponiert", was bedeutet, dass sie von jeder öffentlichen IP aus aufgerufen werden können.
    • Auf Azure-Ressourcen mit der Belichtungsregel "0.0.0.0" kann über jede Ressource in Azure zugegriffen werden (unabhängig vom Mandanten oder Abonnement).

    Zugehöriger Inhalt

    Aktivieren der Sicherheitsstatusverwaltung.

    • Last updated on