Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie die Verwaltung von Datensicherheitsstatus in Microsoft Defender für Cloud aktivieren.
Bevor du anfängst
- Bevor Sie die Verwaltung von Datensicherheitsstatus aktivieren, überprüfen Sie Support und Voraussetzungen.
- Wenn Sie Defender CSPM- oder Defender für Speicherpläne aktivieren, wird die Erweiterung für die Ermittlung vertraulicher Daten automatisch aktiviert. Sie können diese Einstellung deaktivieren, wenn Sie die Verwaltung der Datensicherheitsstatus nicht verwenden möchten. Es wird jedoch empfohlen, das Feature zu verwenden, um den größten Nutzen aus Defender für Cloud zu erzielen.
- Vertrauliche Daten werden basierend auf den Datenschutzeinstellungen in Defender für Cloud identifiziert. Sie können die Datenempfindlichkeitseinstellungen anpassen , um die Daten zu identifizieren, die Ihre Organisation als vertraulich erachtet.
- Nach dem Aktivieren des Features dauert es bis zu 24 Stunden, bis die Ergebnisse einer ersten Ermittlung angezeigt werden.
Aktivieren in Defender CSPM (Azure)
Führen Sie die folgenden Schritte zum Aktivieren der Datensicherheitsstatusverwaltung aus. Vergessen Sie nicht, die erforderlichen Berechtigungen zu überprüfen, bevor Sie beginnen.
Navigieren Sie zu Microsoft Defender für Cloud>Umgebungseinstellungen.
Wählen Sie das relevante Azure-Abonnement aus.
Wählen Sie für den Defender CSPM-Plan den Status " Ein " aus.
Wenn Defender CSPM bereits aktiviert ist, wählen Sie "Einstellungen" in der Spalte "Überwachungsabdeckung" des Defender CSPM-Plans aus, und stellen Sie sicher, dass die Komponente für die Ermittlung vertraulicher Daten auf " Ein " festgelegt ist.
Sobald die Ermittlung vertraulicher Daten in Defender CSPM aktiviert ist, enthält sie automatisch Unterstützung für zusätzliche Ressourcentypen, wenn der Bereich der unterstützten Ressourcentypen erweitert wird.
Aktivieren in Defender CSPM (AWS)
Bevor Sie mit AWS beginnen
- Vergessen Sie nicht: Überprüfen Sie die Anforderungen für AWS Discovery und erforderliche Berechtigungen.
- Überprüfen Sie, ob keine Richtlinie vorhanden ist, die die Verbindung zu Ihren Amazon S3-Buckets blockiert.
- Für RDS-Instanzen: Die kontoübergreifende KMS-Verschlüsselung wird unterstützt, aber zusätzliche Richtlinien für den KMS-Zugriff können den Zugriff verhindern.
Aktivieren für AWS-Ressourcen
S3-Buckets und RDS-Instanzen
- Aktivieren des Datenschutzstatus wie oben beschrieben
- Fahren Sie mit den Anweisungen fort, um die CloudFormation-Vorlage herunterzuladen und sie in AWS auszuführen.
Die automatische Ermittlung von S3-Buckets im AWS-Konto startet automatisch.
Für S3-Buckets wird der Defender for Cloud-Scanner in Ihrem AWS-Konto ausgeführt und stellt eine Verbindung mit Ihren S3-Buckets bereit.
Bei RDS-Instanzen wird die Ermittlung ausgelöst, sobald die Ermittlung vertraulicher Daten aktiviert ist. Der Scanner verwendet die neuesten automatisierten Momentaufnahme für eine Instanz, erstellt eine manuelle Momentaufnahme innerhalb des Quellkontos und kopiert sie in eine isolierte Microsoft-Umgebung in derselben Region.
Die Momentaufnahme wird verwendet, um eine Liveinstanz zu erstellen, die ausgelöst, gescannt und dann sofort zerstört wird (zusammen mit der kopierten Momentaufnahme).
Nur Scanergebnisse werden von der Scanplattform gemeldet.
Überprüfung von S3-Sperrrichtlinien
Wenn der Aktivierungsprozess aufgrund einer blockierten Richtlinie nicht funktioniert hat, überprüfen Sie Folgendes:
- Stellen Sie sicher, dass die S3-Bucketrichtlinie die Verbindung nicht blockiert. Wählen Sie im AWS S3-Bucket die Registerkarte Berechtigungen und dann die Bucketrichtlinie aus. Überprüfen Sie die Richtliniendetails, um sicherzustellen, dass der Microsoft Defender für Cloud-Scannerdienst, der im Microsoft-Konto in AWS ausgeführt wird, nicht blockiert ist.
- Stellen Sie sicher, dass keine SCP-Richtlinie vorhanden ist, die die Verbindung mit dem S3-Bucket blockiert. Ihre SCP-Richtlinie kann beispielsweise Lese-API-Aufrufe an die AWS-Region blockieren, in der Ihr S3-Bucket gehostet wird.
- Überprüfen Sie, ob diese erforderlichen API-Aufrufe gemäß Ihrer SCP-Richtlinie zulässig sind: „AssumeRole“, „GetBucketLocation“, „GetObject“, „ListBucket“, „GetBucketPublicAccessBlock“
- Überprüfen Sie, ob Ihre SCP-Richtlinie Aufrufe an die AWS-Region "us-east-1" zulässt, bei der es sich um die Standardregion für API-Aufrufe handelt.
Aktivieren Sie die datenbewusste Überwachung in Defender for Storage
Die Bedrohungserkennung für vertrauliche Daten ist standardmäßig aktiviert, wenn die Komponente zur Erkennung vertraulicher Daten im Defender for Storage-Plan aktiviert ist. Erfahren Sie mehr.
Nur Azure Storage-Ressourcen werden überprüft, wenn der Defender CSPM-Plan deaktiviert ist.