Algemene vragen
Wat is Microsoft Defender voor Cloud?
Microsoft Defender voor Cloud helpt u bedreigingen te voorkomen, te detecteren en erop te reageren met meer inzicht in en controle over de beveiliging van uw resources. Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw abonnementen, helpt bedreigingen te detecteren die anders onopgemerkt zouden blijven, en werkt met een uitgebreid ecosysteem van beveiligingsoplossingen.
Defender voor Cloud maakt gebruik van bewakingsonderdelen om gegevens te verzamelen en op te slaan. Zie Gegevensverzameling in Microsoft Defender voor Cloud voor uitgebreide informatie.
Hoe krijg ik Microsoft Defender voor Cloud?
Microsoft Defender voor Cloud is ingeschakeld met uw Microsoft Azure-abonnement en toegankelijk vanuit de Azure-portal. Als u deze wilt openen, meldt u zich aan bij de portal, selecteert u Browse en schuift u naar Defender voor Cloud.
Is er een proefversie van Defender voor Cloud?
Defender voor Cloud is de eerste 30 dagen gratis. Elk gebruik dat langer is dan 30 dagen, wordt automatisch in rekening gebracht volgens het prijsschema. Meer informatie. Houd er rekening mee dat malwarescans in Defender voor Opslag niet gratis zijn inbegrepen in de eerste proefversie van 30 dagen en dat er vanaf de eerste dag kosten in rekening worden gebracht.
Welke Azure resources worden bewaakt door Microsoft Defender voor Cloud?
Microsoft Defender voor Cloud controleert de volgende Azure resources:
- Virtuele machines (VM's) (inclusief Cloud Services)
- Virtual Machine Scale Sets
- De vele Azure PaaS-services die worden vermeld in het productoverzicht
Defender voor Cloud beschermt ook on-premises resources en multicloudresources, waaronder Amazon AWS en Google Cloud.
Hoe zie ik de huidige beveiligingsstatus van mijn Azure-, multicloud- en on-premises resources?
Op de pagina Defender voor Cloud Overview ziet u de algehele beveiligingspostuur van uw omgeving, onderverdeeld in compute, netwerken, opslag en toepassingen. Elk resourcetype heeft een indicator met geïdentificeerde beveiligingsproblemen. Als u elke tegel selecteert, wordt een lijst weergegeven met beveiligingsproblemen die worden geïdentificeerd door Defender voor Cloud, samen met een inventaris van de resources in uw abonnement.
Wat is een beveiligingsinitiatief?
Een beveiligingsinitiatief definieert de set besturingselementen (beleidsregels) die worden aanbevolen voor resources binnen het opgegeven abonnement. In Microsoft Defender voor Cloud wijst u initiatieven toe voor uw Azure-abonnementen, AWS-accounts en GCP-projecten op basis van de beveiligingsvereisten van uw bedrijf en het type toepassingen of gevoeligheid van de gegevens in elk abonnement.
Het beveiligingsbeleid dat is ingeschakeld in Microsoft Defender voor Cloud bepaalt aanbevelingen en bewaking van beveiliging. Meer informatie in Wat zijn beveiligingsbeleid, initiatieven en aanbevelingen?
Wie kan een beveiligingsbeleid wijzigen?
Als u een beveiligingsbeleid wilt wijzigen, moet u een beveiligingsbeheerder of een eigenaar van dat abonnement zijn.
Zie Beveiligingsbeleid instellen in Microsoft Defender voor Cloud voor meer informatie over het configureren van een beveiligingsbeleid.
Wat is een beveiligingsaanaanveling?
Microsoft Defender voor Cloud analyseert de beveiligingsstatus van uw Azure-, multicloud- en on-premises resources. Wanneer mogelijke beveiligingsproblemen worden geïdentificeerd, worden aanbevelingen gemaakt. De aanbevelingen begeleiden u bij het configureren van het benodigde besturingselement. Een aantal voorbeelden:
- Inrichting van antimalware om schadelijke software te identificeren en te verwijderen
- Netwerkbeveiligingsgroepen en -regels voor het beheren van verkeer naar virtuele machines
- Inrichten van een webtoepassingsfirewall ter bescherming tegen aanvallen die gericht zijn op uw webtoepassingen
- Implementatie van ontbrekende systeemupdates
- Configuraties van het besturingssysteem aanpakken die niet overeenkomen met de aanbevolen basislijnen
Hier worden alleen aanbevelingen weergegeven die zijn ingeschakeld in het beveiligingsbeleid.
Wat activeert een beveiligingswaarschuwing?
Microsoft Defender voor Cloud verzamelt, analyseert en fuseert logboekgegevens van uw Azure, multicloud en on-premises resources, het netwerk en partneroplossingen, zoals antimalware en firewalls. Wanneer er dreigingen worden gedetecteerd, wordt een beveiligingswaarschuwing gemaakt. Voorbeelden zijn detectie van:
- Geïnfecteerde virtuele machines die communiceren met bekende schadelijke IP-adressen
- Geavanceerde malware gedetecteerd met behulp van Windows foutrapportage
- Brute-force aanvallen op virtuele machines
- Beveiligingswaarschuwingen van geïntegreerde partnerbeveiligingsoplossingen zoals Antimalware of Web Application Firewalls
Wat is het verschil tussen bedreigingen gedetecteerd en gewaarschuwd door Microsoft Security Response Center versus Microsoft Defender voor Cloud?
De Microsoft Security Response Center (MSRC) selecteert beveiligingsbewaking van het Azure netwerk en infrastructuur en ontvangt bedreigingsinformatie en misbruikklachten van derden. Wanneer MSRC zich ervan bewust wordt dat klantgegevens zijn geopend door een onrechtmatige of niet-geautoriseerde partij of dat het gebruik van Azure niet voldoet aan de voorwaarden voor acceptabel gebruik, meldt een beveiligingsincidentmanager de klant. De melding vindt meestal plaats door een e-mailbericht te verzenden naar de beveiligingscontactpersonen die zijn opgegeven in Microsoft Defender voor Cloud of de eigenaar van het Azure abonnement als er geen beveiligingscontactpersoon is opgegeven.
Defender voor Cloud is een Azure-service die continu de Azure, multicloud en on-premises omgeving van de klant bewaakt en analyses toepast om automatisch een breed scala aan mogelijk schadelijke activiteiten te detecteren. Deze detecties worden weergegeven als beveiligingswaarschuwingen in het dashboard voor workload bescherming.
Hoe kan ik bijhouden wie in mijn organisatie een Microsoft Defender plan heeft ingeschakeld in Defender voor Cloud?
Azure Abonnementen hebben mogelijk meerdere beheerders met machtigingen om de prijsinstellingen te wijzigen. Als u wilt achterhalen welke gebruiker een wijziging heeft aangebracht, gebruikt u het Azure activiteitenlogboek.
Als de gegevens van de gebruiker niet worden weergegeven in de kolom Gebeurtenis gestart door, zoekt u de relevante gegevens in de JSON van de gebeurtenis.
Wat gebeurt er wanneer één aanbeveling zich in meerdere beleidsinitiatieven bevindt?
Soms wordt er een beveiligingsaanaanveling weergegeven in meer dan één beleidsinitiatief. Als u meerdere exemplaren van dezelfde aanbeveling hebt toegewezen aan hetzelfde abonnement en u een uitzondering voor de aanbeveling maakt, is dit van invloed op alle initiatieven die u gemachtigd hebt om te bewerken.
Als u een uitzondering voor deze aanbeveling probeert te maken, ziet u een van de twee volgende berichten:
Als u over de benodigde machtigingen beschikt om beide initiatieven te bewerken, ziet u:
Deze aanbeveling is opgenomen in verschillende beleidsinitiatieven: [initiatiefnamen gescheiden door komma]. Er zullen uitzonderingen voor allemaal worden gemaakt.
Als u niet over voldoende machtigingen voor beide initiatieven beschikt , ziet u in plaats daarvan dit bericht:
U hebt beperkte machtigingen om de uitzondering toe te passen op alle beleidsinitiatieven. De uitzonderingen worden alleen gemaakt voor de initiatieven met voldoende machtigingen.
Zijn er aanbevelingen die geen ondersteuning bieden voor uitzonderingen?
Deze algemeen beschikbare aanbevelingen bieden geen ondersteuning voor uitzondering:
- Alle Advanced Threat Protection-typen moeten zijn ingeschakeld bij de geavanceerde instellingen voor gegevensbeveiliging van het beheerde SQL-exemplaar
- Alle Advanced Threat Protection-typen moeten zijn ingeschakeld bij de geavanceerde instellingen voor gegevensbeveiliging van SQL-servers
- Gebruik van aangepaste RBAC-rollen controleren
- De CPU- en geheugenlimieten van containers moeten worden afgedwongen
- Containerafbeeldingen mogen alleen worden geïmplementeerd vanuit vertrouwde registers
- Container met privilege-escalatie moet worden vermeden
- Containers die gevoelige hostnaamruimten delen, moeten worden vermeden
- Containers mogen alleen op toegestane poorten luisteren
- Standaard-IP-filterbeleid moet worden geweigerd
- Bewaking van bestandsintegriteit moet zijn ingeschakeld op computers
- Onveranderbaar (alleen-lezen) hoofdbestandssysteem moet worden afgedwongen voor containers
- IoT-apparaten - Poorten op apparaat openen
- IoT-apparaten: het permissieve firewallbeleid in een van de ketens werd aangetroffen
- IoT-apparaten: een missieve firewallregel in de invoerketen is gevonden
- IoT-apparaten: er is een permissieve firewallregel in de uitvoerketen gevonden
- IP-filterregel groot IP-bereik
- Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS
- Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen
- Kubernetes-clusters mogen de standaard naamruimte niet gebruiken
- Kubernetes-clusters mogen geen CAPSYSADMIN-beveiligingsmogelijkheden verlenen
- Minimaal bevoegde Linux-functies moeten worden afgedwongen voor containers
- Het overschrijven of uitschakelen van het AppArmor-profiel voor containers moet worden beperkt
- Geprivilegieerde containers moeten worden vermeden
- Het uitvoeren van containers als root gebruiker moet worden vermeden
- Services mogen alleen op toegestane poorten luisteren
- SQL-servers moeten een Entra-beheerder van Microsoft toegewezen hebben.
- Het gebruik van hostnetwerken en -poorten moet worden beperkt
- Het gebruik van HostPath-volumekoppelingen voor pods moet worden beperkt tot een bekende lijst om de toegang tot knooppunten te beperken voor de containers die zijn gecompromitteerd
- Azure API Management API's moeten worden toegevoegd aan Defender voor API's
- Ongebruikte API-eindpunten moeten worden uitgeschakeld en verwijderd uit functie-apps (preview)
- Ongebruikte API-eindpunten moeten worden uitgeschakeld en verwijderd uit Logic Apps (preview)
- Verificatie moet zijn ingeschakeld voor API-eindpunten die worden gehost in Functie Apps (Preview)
- Verificatie moet zijn ingeschakeld op API-eindpunten die worden gehost in Logic Apps (preview)
Zijn er beperkingen voor de identiteits- en toegangsbeveiliging van Defender voor Cloud?
Er gelden enkele beperkingen voor de identiteits- en toegangsbeveiligingen van Defender voor Cloud:
- Identiteitsaanbevelingen zijn niet beschikbaar voor abonnementen met meer dan 6.000 accounts. In deze gevallen worden deze typen abonnementen weergegeven op het tabblad Niet van toepassing.
- Identiteitsaanbevelingen zijn niet beschikbaar voor de admin-agenten van een Cloud Solution Provider (CSP) partner.
- Identiteitsaanbevelingen evalueren roltoewijzingen, waaronder PIM-in aanmerking komende toewijzingen, maar maken momenteel geen onderscheid tussen risico's op basis van PIM-activeringswerkstromen of goedkeuringsvereisten. Dit kan leiden tot resultaten die door PIM beheerde identiteiten bevatten.
- Identiteitsaanbevelingen bieden geen ondersteuning voor het Microsoft Entra-beleid voor voorwaardelijke toegang met directoryrollen in plaats van gebruikers en groepen.
Welke besturingssystemen voor mijn EC2-instanties worden ondersteund?
Zie deze pagina in de AWS-documenten voor een lijst met de URI's waarop de SSM-agent vooraf is geïnstalleerd.
Voor andere besturingssystemen moet de SSM-agent handmatig worden geïnstalleerd met behulp van de volgende instructies:
Voor het CSPM-plan zijn welke IAM-machtigingen nodig om AWS-resources te detecteren?
De volgende IAM-machtigingen zijn nodig om AWS-resources te detecteren:
| Gegevensverzamelaar | AWS-machtigingen |
|---|---|
| API-gateway | apigateway:GET |
| Automatisch schalen van toepassingen | application-autoscaling:Describe* |
| Automatisch schalen | autoscaling-plans:Describe* autoscaling:Describe* |
| Certificaatbeheerder | acm-pca:Describe* acm-pca:List* acm:Describe* acm:List* |
| CloudFormation | cloudformation:Describe* cloudformation:List* |
| CloudFront | cloudfront:DescribeFunction cloudfront:GetDistribution cloudfront:GetDistributionConfig cloudfront:List* |
| CloudTrail | cloudtrail:Describe* cloudtrail:GetEventSelectors cloudtrail:List* cloudtrail:LookupEvents |
| CloudWatch | cloudwatch:Describe* cloudwatch:List* |
| CloudWatch-logboeken | logs:DescribeLogGroups logs:DescribeMetricFilters |
| CodeBuild | codebuild:DescribeCodeCoverages codebuild:DescribeTestCases codebuild:List* |
| Configuratieservice | config:Describe* config:List* |
| DMS - databasemigratieservice | dms:Describe* dms:List* |
| DAX | dax:Describe* |
| DynamoDB | dynamodb:Describe* dynamodb:List* |
| Ec2 | ec2:Describe* ec2:GetEbsEncryptionByDefault |
| ECR | ecr:Describe* ecr:List* |
| ECS | ecs:Describe* ecs:List* |
| EFS | elasticfilesystem:Describe* |
| EKS | eks:Describe* eks:List* |
| Elastic Beanstalk | elasticbeanstalk:Describe* elasticbeanstalk:List* |
| ELB - elastische taakverdeling (v1/2) | elasticloadbalancing:Describe* |
| Elastisch zoeken | es:Describe* es:List* |
| EMR - vermindering van elastische kaarten | elasticmapreduce:Describe* elasticmapreduce:GetBlockPublicAccessConfiguration elasticmapreduce:List* elasticmapreduce:View* |
| GuardDuty | guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:List* |
| IAM | iam:Generate* iam:Get* iam:List* iam:Simulate* |
| KMS | kms:Describe* kms:List* |
| Lambda | lambda:GetPolicy lambda:List* |
| Netwerk-firewall | network-firewall:DescribeFirewall network-firewall:DescribeFirewallPolicy network-firewall:DescribeLoggingConfiguration network-firewall:DescribeResourcePolicy network-firewall:DescribeRuleGroup network-firewall:DescribeRuleGroupMetadata network-firewall:ListFirewallPolicies network-firewall:ListFirewalls network-firewall:ListRuleGroups network-firewall:ListTagsForResource |
| RDS | rds:Describe* rds:List* |
| RedShift | redshift:Describe* |
| S3 en S3Control | s3:DescribeJob s3:GetEncryptionConfiguration s3:GetBucketPublicAccessBlock s3:GetBucketTagging s3:GetBucketLogging s3:GetBucketAcl s3:GetBucketLocation s3:GetBucketPolicy s3:GetReplicationConfiguration s3:GetAccountPublicAccessBlock s3:GetObjectAcl s3:GetObjectTagging s3:List* |
| SageMaker | sagemaker:Describe* sagemaker:GetSearchSuggestions sagemaker:List* sagemaker:Search |
| Geheimenbeheerder | secretsmanager:Describe* secretsmanager:List* |
| Eenvoudige SNS-meldingsservice | sns:Check* sns:List* |
| SSM | ssm:Describe* ssm:List* |
| SQS | sqs:List* sqs:Receive* |
| STS | sts:GetCallerIdentity |
| WAF | waf-regional:Get* waf-regional:List* waf:List* wafv2:CheckCapacity wafv2:Describe* wafv2:List* |
Is er een API voor het verbinden van mijn GCP-resources met Defender voor Cloud?
Ja. Zie de details van de Connectors-API om Defender voor Cloud cloudconnectors te maken, bewerken of verwijderen met een REST API.
Welke GCP-regio's worden ondersteund door Defender voor Cloud?
Defender voor Cloud ondersteunt en scant alle beschikbare regio's in de openbare GCP-cloud.
Ondersteunt werkstroomautomatisering scenario's voor bedrijfscontinuïteit of herstel na noodgevallen (BCDR)?
Wanneer u uw omgeving voorbereidt op BCDR-scenario's, waarbij de doelresource een storing of een ander noodgeval ondervindt, is het de verantwoordelijkheid van de organisatie om gegevensverlies te voorkomen door back-ups te maken op basis van de richtlijnen van Azure Event Hubs, Log Analytics werkruimte en Logic Apps.
Voor elke actieve automatisering raden we u aan een identieke (uitgeschakelde) automatisering te maken en op een andere locatie op te slaan. Wanneer er een storing optreedt, kunt u deze back-upautomatiseringen inschakelen en normale bewerkingen onderhouden.
Meer informatie over businesscontinuïteit en herstel na noodgevallen voor Azure Logic Apps.
Wat zijn de kosten voor het exporteren van gegevens?
Er zijn geen kosten verbonden aan het inschakelen van een continue export. Er kunnen kosten worden gemaakt voor opname en retentie van gegevens in uw Log Analytics werkruimte, afhankelijk van uw configuratie daar.
Er worden alleen veel waarschuwingen gegeven wanneer u Defender abonnementen voor uw resources hebt ingeschakeld. Een goede manier om een voorbeeld te bekijken van de waarschuwingen die u in uw geëxporteerde gegevens krijgt, is door de waarschuwingen te bekijken die worden weergegeven op de pagina's van Defender voor Cloud in de Azure-portal.
Meer informatie over Log Analytics prijzen voor werkruimten.
Meer informatie over Azure Event Hubs prijzen.
Zie de pagina prijs voor algemene informatie over prijzen voor Defender voor Cloud.
Bevat de continue export gegevens over de huidige status van alle resources?
Nee Doorlopende export is gebouwd voor het streamen van gebeurtenissen:
- Waarschuwingen die zijn ontvangen voordat u export hebt ingeschakeld, worden niet geëxporteerd.
- Aanbevelingen worden verzonden wanneer de nalevingsstatus van een resource wordt gewijzigd. Als een resource bijvoorbeeld van gezond naar beschadigd verandert. Aanbevelingen voor resources die de status niet hebben gewijzigd, omdat u export hebt ingeschakeld, worden daarom, net als bij waarschuwingen, niet geëxporteerd.
- Beveiligingsscore per beveiligingsbeheer of abonnement wordt verzonden wanneer de score van een beveiligingsbeheer wordt gewijzigd met 0,01 of meer.
- De nalevingsstatus van regelgeving wordt verzonden wanneer de status van de naleving van de resource verandert.
Waarom worden aanbevelingen met verschillende intervallen verzonden?
Verschillende aanbevelingen hebben verschillende nalevingsevaluatie-intervallen, die kunnen variëren van om de paar minuten tot elke paar dagen. Dus de tijd die het kost voor aanbevelingen om zichtbaar te worden in uw exports varieert.
Hoe krijg ik een voorbeeldquery voor een aanbeveling?
Als u een voorbeeldquery voor een aanbeveling wilt ophalen, opent u de aanbeveling in Defender voor Cloud, selecteert u Query en selecteert u vervolgens Query die beveiligingsresultaten retourneert.
Ondersteunt continue export scenario's voor bedrijfscontinuïteit of herstel na noodgevallen (BCDR)?
Continue export kan nuttig zijn bij het voorbereiden van BCDR-scenario's waarbij de doelresource een storing of een ander noodgeval ondervindt. Het is echter de verantwoordelijkheid van de organisatie om gegevensverlies te voorkomen door back-ups te maken volgens de richtlijnen van Azure Event Hubs, Log Analytics werkruimte en logische app.
Meer informatie vindt u in Azure Event Hubs - Herstel na geo-noodgeval.
Kan ik programmatisch meerdere abonnementen op één abonnement tegelijk bijwerken?
Het is niet raadzaam om meerdere abonnementen op één abonnement tegelijkertijd programmatisch bij te werken (via REST API, ARM-sjablonen, scripts, enzovoort). Wanneer u de Microsoft gebruikt. De API voor beveiliging/prijzen of een andere programmatische oplossing moet u tussen elke aanvraag een vertraging van 10-15 seconden invoegen.
Wanneer ik standaardtoegang inschakelen, in welke situaties moet ik de Cloud Formation-sjabloon, Cloud Shell script of Terraform-sjabloon opnieuw uitvoeren?
Wijzigingen in Defender voor Cloud plannen of hun opties, inclusief functies in die plannen, vereisen het uitvoeren van de implementatiesjabloon. Dit geldt ongeacht het machtigingstype dat is geselecteerd tijdens het maken van de beveiligingsconnector. Als er regio's zijn gewijzigd, zoals in deze schermopname, hoeft u de Cloud Formation-sjabloon of Cloud Shell script niet opnieuw uit te voeren.
Wanneer u machtigingstypen configureert, ondersteunt minimale bevoegdheidstoegang functies die beschikbaar zijn op het moment dat de sjabloon of het script werd uitgevoerd. Nieuwe resourcetypen kunnen alleen worden ondersteund door de sjabloon of het script opnieuw uit te voeren.
Als ik de regio of het scaninterval voor mijn AWS-connector wijzig, moet ik de CloudFormation-sjabloon of Cloud Shell script opnieuw uitvoeren?
Nee, als het regio- of scaninterval wordt gewijzigd, hoeft u de CloudFormation-sjabloon of Cloud Shell script niet opnieuw uit te voeren. De wijzigingen worden automatisch toegepast.
Hoe werkt het onboarden van een AWS-organisatie of -beheeraccount voor Microsoft Defender voor Cloud?
Het onboarden van een organisatie of een beheeraccount voor Microsoft Defender voor Cloud initieert het proces van het implementeren van een StackSet. De StackSet bevat de benodigde rollen en machtigingen. De StackSet geeft ook de vereiste machtigingen door aan alle accounts binnen de organisatie.
Met de opgenomen machtigingen kunnen Microsoft Defender voor Cloud de geselecteerde beveiligingsfuncties leveren via de gemaakte connector in Defender voor Cloud. Met de machtigingen kan Defender voor Cloud ook continu toezicht houden op alle accounts die misschien worden toegevoegd met behulp van de automatische inrichtingsservice.
Defender voor Cloud kan het maken van nieuwe beheeraccounts identificeren en kan gebruikmaken van de verleende machtigingen om automatisch een equivalente lidbeveiligingsconnector in te richten voor elk lidaccount.
Deze functie is alleen beschikbaar voor onboarding van organisaties en staat Defender voor Cloud toe om connectors te maken voor nieuw toegevoegde accounts. Met de functie kan Defender voor Cloud ook alle lidconnectors bewerken wanneer het beheeraccount wordt bewerkt, alle lidaccounts verwijderen wanneer het beheeraccount wordt verwijderd en een specifiek lidaccount verwijderen als het bijbehorende account wordt verwijderd.
Een afzonderlijke stack moet specifiek worden geïmplementeerd voor het beheeraccount.
Zonder agent
Scant scannen zonder agent de toewijzing van VM's ongedaan?
Nee Agentloze scanning scant geen niet-toegewezen vm's.
Wordt de besturingssysteemschijf en de gegevensschijven gescand met agentloze scanning?
Ja. Scannen zonder agent scant zowel besturingssysteemschijf als gegevensschijven.
Op welk tijdstip wordt mijn VM gescand, inclusief de begin- en eindtijd?
Het tijdstip van de dag is dynamisch en kan worden gewijzigd in verschillende accounts en abonnementen.
Is er telemetrie met betrekking tot de gekopieerde momentopname?
In AWS zijn de bewerkingen op het klantaccount traceerbaar via CloudTrail.
Welke gegevens worden verzameld uit momentopnamen?
Scannen zonder agent verzamelt gegevens die vergelijkbaar zijn met de gegevens die een agent verzamelt om dezelfde analyse uit te voeren. Onbewerkte gegevens, PI's of gevoelige bedrijfsgegevens worden niet verzameld en alleen metagegevensresultaten worden verzonden naar Defender voor Cloud.
Waar worden de momentopnamen van de schijf gekopieerd?
De analyse van de momentopnamen vindt plaats in beveiligde omgevingen die worden beheerd door Defender voor Cloud.
De omgevingen zijn regionaal in meerdere clouds, zodat momentopnamen zich in dezelfde cloudregio bevinden als de VM waarvan ze afkomstig zijn (bijvoorbeeld: een momentopname van een EC2-exemplaar in US - west wordt geanalyseerd in dezelfde regio, zonder te worden gekopieerd naar een andere regio of cloud).
De scanomgeving waar schijven worden geanalyseerd, is vluchtig, geïsoleerd en zeer veilig.
Hoe wordt de momentopname van de schijf verwerkt in Microsoft-account? Kunnen Microsoft de beveiligings- en privacyprincipes van het scanplatform zonder agent delen?
Scanplatform zonder agent wordt gecontroleerd & voldoet aan de strenge beveiligings- en privacystandaarden van Microsoft. Sommige van de genomen maatregelen zijn (geen uitgebreide lijst):
- Fysieke isolatie per regio, extra isolatie per klant en abonnement
- End-to-end-versleuteling bij rust en tijdens verzending
- Momentopnamen van schijven onmiddellijk verwijderd na scan
- Alleen metagegevens (dat wil gezegd, beveiligingsresultaten) verlaten de geïsoleerde scanomgeving
- De scanomgeving is autonoom
- Alle bewerkingen worden intern gecontroleerd
Wat zijn de kosten met betrekking tot scannen zonder agent?
Scannen zonder agent is opgenomen in Defender CsPM (Cloud Security Posture Management) en Defender voor Servers P2-abonnementen. Er worden geen andere kosten in rekening gebracht voor Defender voor Cloud wanneer u deze inschakelt.
Opmerking
AWS rekent kosten voor het bewaren van snapshots van schijven. Het Defender voor Cloud scanproces probeert de periode waarin een momentopname wordt opgeslagen in uw account actief te minimaliseren (meestal tot een paar minuten). AWS kan overheadkosten in rekening brengen voor de opslag van schijf-snapshots. Neem contact op met AWS om te zien welke kosten voor u van toepassing zijn.
Hoe kan ik de AWS-kosten bijhouden die voortkomen uit schijfmomentopnamen, gecreëerd door agentloze scanning van Defender voor Cloud?
Momentopnamen van schijven worden gemaakt met de tagsleutel CreatedBy en de tagwaarde Microsoft Defender voor Cloud. Met CreatedBy de tag wordt bijgehouden wie de resource heeft gemaakt.
U moet de tags activeren in de Facturering en Kostbeheerconsole. Het kan tot 24 uur duren voordat tags zijn geactiveerd.