Vanliga frågor – Allmänna frågor

Microsoft Defender för molnet hjälper dig att förhindra, identifiera och svara på hot med ökad insyn i och kontroll över säkerheten för dina resurser. Härifrån kan du övervaka och hantera principer för alla prenumerationer på en gång och upptäcka hot som annars kanske skulle förbli oupptäckta. Azure Security Center fungerar tillsammans med ett vittomfattande ekosystem med säkerhetslösningar.

Defender för molnet använder övervakningskomponenter för att samla in och lagra data. Mer detaljerad information finns i Data-samlingen i Microsoft Defender för molnet.

Microsoft Defender för molnet är aktiverat med din Microsoft Azure-prenumeration och nås från Azure-portalen. För att komma åt den logga in på portalen, välj Bläddra och bläddra till Defender för molnet.

Defender för molnet är gratis under de första 30 dagarna. All användning utöver 30 dagar debiteras automatiskt enligt prissättningsschemat. Läs mer. Observera att genomsökning av skadlig kod i Defender för lagring inte ingår kostnadsfritt under den första 30-dagars utvärderingsversionen och debiteras från och med den första dagen.

Microsoft Defender för molnet övervakar följande Azure resurser:

• Virtuella datorer (vm) (inklusive Cloud Services)
• Virtuella Maskinskalningssatser
• De många Azure PaaS-tjänster som anges i produktöversikten

Defender för molnet skyddar även lokala resurser och multimolnresurser, inklusive Amazon AWS och Google Cloud.

Sidan Defender för molnet Översikt visar den övergripande säkerhetsstatusen för din miljö uppdelad efter Beräkning, Nätverk, Lagring och data och Program. Varje resurstyp har en indikator som visar identifierade säkerhetsrisker. Om du väljer varje panel visas en lista över säkerhetsproblem som identifieras av Defender för molnet, tillsammans med en inventering av resurserna i din prenumeration.

Ett säkerhetsinitiativ definierar den uppsättning kontroller (principer) som rekommenderas för resurser i den angivna prenumerationen. I Microsoft Defender för molnet tilldelar du initiativ för dina Azure-prenumerationer, AWS-konton och GCP-projekt enligt företagets säkerhetskrav och typen av program eller känslighet för data i varje prenumeration.

Säkerhetsprinciperna som är aktiverade i Microsoft Defender för molnet driva säkerhetsrekommendationer och övervakning. Läs mer i Vad är säkerhetsprinciper, initiativ och rekommendationer?.

Om du vill ändra en säkerhetsprincip måste du vara säkerhetsadministratör eller ägare till den prenumerationen.

Information om hur du konfigurerar en säkerhetsprincip finns i Inställningar för säkerhetsprinciper i Microsoft Defender för molnet.

Microsoft Defender för molnet analyserar säkerhetstillståndet för dina Azure, flera molnresurser och lokala resurser. När potentiella säkerhetsrisker identifieras skapas rekommendationer. Rekommendationerna vägleder dig genom processen att konfigurera den kontroll som behövs. Några exempel:

• Tillhandahållande av antivirusprogram för att hjälpa identifiera och ta bort skadlig programvara
• Nätverkssäkerhetsgrupper och regler för att styra trafik till virtuella datorer
• Etablering av en brandvägg för webbprogram för att skydda mot attacker som riktas mot dina webbprogram
• genomföra alla systemuppdateringar som fattas
• Hantera OS-konfigurationer som inte matchar de rekommenderade baslinjerna

Här visas endast rekommendationer som är aktiverade i säkerhetsprinciper.

Microsoft Defender för molnet samlar automatiskt in, analyserar och sammanför loggdata från dina Azure, multimoln och lokala resurser, nätverket och partnerlösningar som antiskadlig programvara och brandväggar. Om hot upptäcks skapas en säkerhetsavisering. Exempel inkluderar upptäckt av:

• angripna virtuella datorer som kommunicerar med IP-adresser som man vet är skadliga
• Avancerad skadlig kod har identifierats med hjälp av Windows felrapportering
• brute force-attacker mot virtuella maskiner
• Säkerhetsaviseringar från integrerade partnersäkerhetslösningar som skydd mot skadlig kod eller brandväggar för webbprogram

Microsoft Security Response Center (MSRC) utför välj säkerhetsövervakning av Azure nätverk och infrastruktur och tar emot klagomål om hotinformation och missbruk från tredje part. När MSRC får kännedom om att kunddata har använts av en olaglig eller obehörig part eller att kundens användning av Azure inte uppfyller villkoren för godtagbar användning meddelar en säkerhetsincidenthanterare kunden. Meddelandet sker vanligtvis genom att skicka ett e-postmeddelande till de säkerhetskontakter som anges i Microsoft Defender för molnet eller Azure prenumerationsägare om en säkerhetskontakt inte har angetts.

Defender för molnet är en Azure tjänst som kontinuerligt övervakar kundens Azure, multimoln och lokala miljö och tillämpar analys för att automatiskt identifiera en mängd potentiellt skadliga aktiviteter. Dessa identifieringar visas som säkerhetsaviseringar på instrumentpanelen för arbetsbelastningsskydd.

Azure Prenumerationer kan ha flera administratörer med behörighet att ändra prisinställningarna. Om du vill ta reda på vilken användare som gjorde en ändring använder du Azure aktivitetsloggen.

Om användarens information inte visas i den händelse som initieras av kolumnen kan du utforska händelsens JSON för relevant information.

Ibland visas en säkerhetsrekommendation i mer än ett policyinitiativ. Om du har flera instanser av samma rekommendation tilldelade till samma prenumeration och du skapar ett undantag för rekommendationen påverkar det alla initiativ som du har behörighet att redigera.

Om du försöker skapa ett undantag för den här rekommendationen visas något av följande två meddelanden:

• Om du har de behörigheter som krävs för att redigera båda initiativen ser du:

  Den här rekommendationen ingår i flera principinitiativ: [initiativnamn avgränsade med kommatecken]. Undantag kommer att skapas för alla.

• Om du inte har tillräcklig behörighet för båda initiativen visas det här meddelandet i stället:

  Du har begränsad behörighet att tillämpa undantaget på alla principinitiativ. Undantagen skapas endast på initiativ med tillräcklig behörighet.

Dessa allmänt tillgängliga rekommendationer stöder inte undantag:

• Alla avancerade hotskyddstyper ska vara aktiverade i avancerade datasäkerhetsinställningar för SQL-hanterade instanser
• Alla typer av avancerat hotskydd bör aktiveras i de avancerade inställningarna för datasäkerhet på SQL-servern
• Granska användningen av anpassade RBAC-roller
• Cpu- och minnesgränser för containrar ska tillämpas
• Containeravbildningar ska endast distribueras från betrodda register
• Container som har behörighetseskalering bör undvikas
• Containrar som delar känsliga värdnamnområden bör undvikas
• Containrar ska endast lyssna på tillåtna portar
• Standardpolicyn för IP-filter ska vara 'Neka'.
• Övervakning av filintegritet ska aktiveras på datorer
• Oföränderligt (skrivskyddat) rotfilsystem ska tillämpas för containrar
• IoT-enheter – Öppna portar på enheten
• IoT-enheter – En tillåtande brandväggspolicy hittades i en av kedjorna
• IoT-enheter – En tillåtande brandväggsregel hittades i indatakedjan
• IoT-enheter – Tillåten brandväggsregel i utdatakedjan hittades
• IP-filterregel stort IP-intervall
• Kubernetes-kluster bör endast vara tillgängliga via HTTPS
• Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter
• Kubernetes-kluster bör inte använda standardnamnområdet
• Kubernetes-kluster bör inte bevilja CAPSYSADMIN-säkerhetsfunktioner
• Minst privilegierade Linux-funktioner ska tillämpas för containrar
• Åsidosättande eller inaktivering av AppArmor-profilen för containrar bör begränsas.
• Privilegierade containrar bör undvikas
• Du bör undvika att köra containrar som rotanvändare
• Tjänster bör endast lyssna på tillåtna portar
• SQL-servrar bör ha en Microsoft Entra administratör konfigurerad
• Användningen av värdnätverk och portar bör begränsas
• Användning av poddens HostPath-volymmonteringar bör begränsas till en känd lista för att förhindra åtkomst till noder från komprometterade containrar
• Azure API Management API:er bör ombordas till Defender för API:er
• Oanvända API-slutpunkter ska inaktiveras och tas bort från Funktionsappar (förhandsversion)
• Oanvända API-slutpunkter ska inaktiveras och tas bort från Logic Apps (förhandsversion)
• Autentisering ska aktiveras på API-slutpunkter som finns i Funktionsappar (förhandsversion)
• Autentisering ska aktiveras på API-slutpunkter som finns i Logic Apps (förhandsversion)

Det finns vissa begränsningar för Defender för molnet identitets- och åtkomstskydd:

• Identitetsrekommendationer är inte tillgängliga för prenumerationer med fler än 6 000 konton. I dessa fall visas dessa typer av prenumerationer under fliken Ej tillämpligt.
• Identitetsrekommendationer är inte tillgängliga för Cloud Solution Provider (CSP)-partnerns administratörsagenter.
• Identitetsrekommendationer utvärderar rolltilldelningar, inklusive PIM-berättigade tilldelningar, men särskiljer för närvarande inte risker baserat på PIM-aktiveringsarbetsflöden eller godkännandekrav. Detta kan resultera i resultat som innehåller PIM-hanterade identiteter.
• Identitetsrekommendationer stöder inte Microsoft Entra villkorsstyrda åtkomstprinciper som inkluderar katalogroller istället för användare och grupper.

En lista över AMIs med SSM-agenten förinstallerad finns på den här sidan i AWS-dokumenten.

För andra operativsystem bör SSM-agenten installeras manuellt med hjälp av följande instruktioner:

• Installera SSM-agent för en hybridmiljö (Windows)
• Installera SSM-agenten för en hybridmiljö (Linux)

Följande IAM-behörigheter krävs för att identifiera AWS-resurser:

Ja. Information om hur du skapar, redigerar eller tar bort Defender för molnet molnkontakter med ett REST-API finns i Connectors API.

Defender för molnet stöder och söker igenom alla tillgängliga regioner i det offentliga GCP-molnet.

När du förbereder din miljö för BCDR-scenarier, där målresursen drabbas av ett avbrott eller en annan katastrof, är det organisationens ansvar att förhindra dataförlust genom att upprätta säkerhetskopior enligt riktlinjerna från Azure Event Hubs, Log Analytics arbetsyta och Logic Apps.

För varje aktiv automatisering rekommenderar vi att du skapar en identisk (inaktiverad) automatisering och lagrar den på en annan plats. När det uppstår ett avbrott kan du aktivera dessa säkerhetsautomatiseringar och upprätthålla normala verksamheter.

Läs mer om Företagskontinuitet och haveriberedskap för Azure Logic Apps.

Det kostar ingenting att aktivera en kontinuerlig export. Kostnader kan uppstå för inmatning och kvarhållning av data i din Log Analytics arbetsyta, beroende på din konfiguration där.

Många aviseringar tillhandahålls bara när du har aktiverat Defender planer för dina resurser. Ett bra sätt att förhandsgranska aviseringarna som du får i dina exporterade data är att se aviseringarna som visas på Defender för molnet sidor i Azure-portalen.

Läs mer om prissättning för Log Analytics arbetsyta.

Läs mer om prissättningen för Azure Event Hubs.

Allmän information om Defender för molnet prissättning finns på sidan prissättning.

Nej. Kontinuerlig exportfunktion är utformad för strömning av händelser:

• Aviseringar som tas emot innan du aktiverade exporten exporteras inte.
• Rekommendationer skickas när en resurss efterlevnadstillstånd ändras. Till exempel när en resurs går från att vara hälsosam till ohälsosam. Som med aviseringar exporteras därför inte rekommendationer för resurser som inte har ändrat tillstånd eftersom du har aktiverat export.
• Säkerhetspoäng per säkerhetskontroll eller prenumeration skickas när en säkerhetskontrolls poäng ändras med 0,01 eller mer.
• Status för regelefterlevnad skickas när statusen för resursens efterlevnad ändras.

Olika rekommendationer har olika intervall för utvärdering av efterlevnad, som kan variera från några minuter till med några dagars mellanrum. Så hur lång tid det tar för rekommendationer att visas i exporten varierar.

Om du vill hämta en exempelfråga för en rekommendation öppnar du rekommendationen i Defender för molnet, väljer Öppna fråga och sedan Fråga som returnerar säkerhetsfynd.

Kontinuerlig export kan vara till hjälp för att förbereda för BCDR-scenarier där målresursen drabbas av ett avbrott eller en annan katastrof. Det är dock organisationens ansvar att förhindra dataförlust genom att upprätta säkerhetskopior enligt riktlinjerna från Azure Event Hubs, Log Analytics arbetsyta och Logikapp.

Läs mer i Azure Event Hubs – Geo-haveriberedskap.

Vi rekommenderar inte programmatiskt uppdatering av flera planer för en enskild prenumeration samtidigt (via REST API, ARM-mallar, skript osv.). När du använder Microsoft. SÄKERHETS-/prissättnings-API eller någon annan programmatisk lösning bör du infoga en fördröjning på 10–15 sekunder mellan varje begäran.

Ändringar av Defender för molnet planer eller deras alternativ, inklusive funktioner i dessa planer, kräver att distributionsmallen körs. Detta gäller oavsett vilken behörighetstyp som valdes när säkerhetsanslutningen skapades. Om regioner har ändrats, som i den här skärmbilden, behöver du inte köra mallen Cloud Formation igen eller Cloud Shell skript.

När du konfigurerar behörighetstyper stöder minst behörighetsåtkomst funktioner som är tillgängliga när mallen eller skriptet kördes. Nya resurstyper kan endast stödjas genom att du kör mallen eller skriptet igen.

Nej, om region- eller genomsökningsintervallet ändras behöver du inte köra CloudFormation-mallen eller Cloud Shell skriptet igen. Ändringarna tillämpas automatiskt.

Omdirigering av en organisation eller ett hanteringskonto till Microsoft Defender för molnet initierar processen med distribution av en StackSet. StackSet innehåller nödvändiga roller och behörigheter. StackSet sprider också de behörigheter som krävs för alla konton i organisationen.

Med de inkluderade behörigheterna kan Microsoft Defender för molnet leverera de valda säkerhetsfunktionerna via den skapade anslutningsappen i Defender för molnet. Behörigheterna gör det också möjligt för Defender för molnet att kontinuerligt övervaka alla konton som kan läggas till med hjälp av tjänsten för automatisk etablering.

Defender för molnet kan identifiera skapandet av nya hanteringskonton och kan utnyttja de beviljade behörigheterna för att automatiskt etablera en motsvarande medlemssäkerhetsanslutning för varje medlemskonto.

Den här funktionen är endast tillgänglig för organisationsregistrering och gör att Defender för molnet kan skapa anslutningsappar för nyligen tillagda konton. Funktionen gör det också möjligt för Defender för molnet att redigera alla medlemsanslutningar när hanteringskontot redigeras, ta bort alla medlemskonton när hanteringskontot tas bort och ta bort ett specifikt medlemskonto om motsvarande konto tas bort.

En separat stack måste distribueras specifikt för hanteringskontot.

Nej. Agentlös genomsökning söker inte igenom avallokerade virtuella datorer.

Ja. Agentlös genomsökning söker igenom både OS-diskar och datadiskar.

Tiden på dagen är dynamisk och kan ändras mellan olika konton och prenumerationer.

I AWS kan åtgärderna på kundkontot spåras via CloudTrail.

Agentlös genomsökning samlar in data som liknar de data som en agent samlar in för att utföra samma analys. Rådata, PII:er eller känsliga affärsdata samlas inte in och endast metadataresultat skickas till Defender för molnet.

Analysen av ögonblicksbilderna sker i säkra miljöer som hanteras av Defender för molnet.

Miljöerna är regionala i flera moln, så att ögonblicksbilder finns kvar i samma molnregion som den virtuella dator som de kommer från (till exempel analyseras en ögonblicksbild av en EC2-instans i USA, västra i samma region, utan att kopieras till en annan region eller ett annat moln).

Genomsökningsmiljön där diskar analyseras är flyktig, isolerad och mycket säker.

Agentlös skanningsplattform granskas och följer Microsoft strikta säkerhets- och sekretessstandarder. Några av de åtgärder som vidtagits är (inte en heltäckande lista):

• Fysisk isolering per region, ytterligare isolering per kund och prenumeration
• E2E-kryptering i vila och överföring
• Diskögonblicksbilder rensas omedelbart efter genomsökning
• Endast metadata (d.s. säkerhetsresultat) lämnar den isolerade genomsökningsmiljön
• Genomsökningsmiljön är autonom
• Alla åtgärder granskas internt

Agentlös genomsökning ingår i Defender Cloud Security Posture Management (CSPM) och Defender för servrar, plan P2. Inga andra kostnader medför Defender för molnet när du aktiverar den.

Diskögonblicksbilder skapas med taggnyckeln CreatedBy och taggvärdet Microsoft Defender för molnet. Taggen CreatedBy spårar vem som skapade resursen. Du måste aktivera taggarna i konsolen Fakturering och Kostnadshantering. Det kan ta upp till 24 timmar innan taggar aktiveras.

Nästa steg

Läs om nyheter i Defender för molnet