Allgemeine Fragen
Was ist Microsoft Defender for Cloud?
Microsoft Defender for Cloud hilft Ihnen, Bedrohungen mit erhöhter Sichtbarkeit und Kontrolle über die Sicherheit Ihrer Ressourcen zu verhindern, zu erkennen und darauf zu reagieren. Es bietet integrierte Sicherheitsüberwachung und Richtlinienverwaltung für Ihre Abonnements, hilft bei der Erkennung von Bedrohungen, die andernfalls möglicherweise unbemerkt bleiben, und kann gemeinsam mit einem breiten Sektrum an Sicherheitslösungen verwendet werden.
Defender for Cloud verwendet Überwachungskomponenten zum Sammeln und Speichern von Daten. Ausführliche Informationen finden Sie unter Datenerfassung in Microsoft Defender for Cloud.
Wie erhalte ich Microsoft Defender for Cloud?
Microsoft Defender for Cloud wird mit Ihrem Microsoft Azure-Abonnement aktiviert und über das Azure-Portal aufgerufen. Um darauf zuzugreifen, melden Sie sich am Portal an, wählen Sie Durchsuchen aus, und scrollen Sie zu Defender for Cloud.
Gibt es eine Testversion von Defender for Cloud?
Defender for Cloud ist für die ersten 30 Tage kostenlos. Jede Nutzung über 30 Tage hinaus wird gemäß dem Preisschema automatisch in Rechnung gestellt. Weitere Informationen Beachten Sie, dass die Schadsoftwareüberprüfung in Defender für den Speicher nicht kostenlos in der ersten 30-Tage-Testversion enthalten ist und ab dem ersten Tag in Rechnung gestellt wird.
Welche Azure Ressourcen werden von Microsoft Defender for Cloud überwacht?
Microsoft Defender for Cloud überwacht die folgenden Azure Ressourcen:
- Virtuelle Computer (Virtual Machines, VMs) (auch Clouddienste)
- Virtual Machine Scale Sets (Skalierungsgruppen für virtuelle Maschinen)
- Die vielen Azure PaaS-Dienste, die in der Produktübersicht aufgeführt sind
Defender for Cloud schützt auch on-premises resources und Multicloud-Ressourcen, einschließlich Amazon AWS und Google Cloud.
Wie kann ich den aktuellen Sicherheitsstatus meiner Azure, multicloud und lokalen Ressourcen sehen?
Auf der Seite
Was ist eine Sicherheitsinitiative?
In einer Sicherheitsinitiative werden die Sicherheitsmechanismen (Richtlinien) definiert, die für Ressourcen in dem angegebenen Abonnement zu empfehlen sind. In Microsoft Defender for Cloud weisen Sie Initiativen für Ihre Azure Abonnements, AWS-Konten und GCP-Projekte gemäß den Sicherheitsanforderungen Ihres Unternehmens und der Art der Anwendungen oder Vertraulichkeit der Daten in jedem Abonnement zu.
Die in Microsoft Defender for Cloud aktivierten Sicherheitsrichtlinien fördern Sicherheitsempfehlungen und -überwachungen. Weitere Informationen finden Sie unter Was sind Sicherheitsrichtlinien, -initiativen und -empfehlungen?
Wie kann ich eine Sicherheitsrichtlinie ändern?
Zum Ändern einer Sicherheitsrichtlinie müssen Sie ein Sicherheitsadministrator oder Besitzer des Abonnements sein.
Informationen zum Konfigurieren einer Sicherheitsrichtlinie finden Sie unter Setting security policies in Microsoft Defender for Cloud.
Was ist eine Sicherheitsempfehlung?
Microsoft Defender for Cloud analysiert den Sicherheitsstatus Ihrer Azure, Multicloud und lokalen Ressourcen. Werden mögliche Sicherheitsrisiken festgestellt, werden Empfehlungen erstellt. Entsprechend den Empfehlungen werden Sie durch den Prozess des Konfigurierens des erforderlichen Sicherheitsmechanismus geführt. Beispiele:
- Bereitstellung von Antischadsoftware, um bösartige Software zu erkennen und zu entfernen
- Netzwerksicherheitsgruppen und Regeln, um Datenverkehr zu virtuellen Computern zu steuern
- Bereitstellung einer Web Application Firewall als Schutz vor Angriffen, die auf Ihre Webanwendungen abzielen
- Bereitstellen von fehlenden Systemupdates
- Ansprechen von Betriebssystemkonfigurationen, die nicht den empfohlenen Richtlinien entsprechen
Hier sind nur Empfehlungen aufgeführt, die in den Sicherheitsrichtlinien aktiviert sind.
Wodurch wird eine Sicherheitswarnung ausgelöst?
Microsoft Defender for Cloud erfasst, analysiert und verschmilzt Protokolldaten aus Ihren Azure, Multicloud und lokalen Ressourcen, dem Netzwerk und Partnerlösungen wie Antischadsoftware und Firewalls automatisch. Wurden Bedrohungen erkannt, wird eine Sicherheitswarnung erstellt. Beispiele für eine Erkennung sind:
- Gefährdete virtuelle Computer, die mit bekannten bösartigen IP-Adressen kommunizieren
- Fortschrittliche Schadsoftware, die mithilfe der Windows-Fehlerberichterstattung erkannt wurde
- Brute-Force-Angriffe gegen virtuelle Computer
- Sicherheitswarnungen von integrierten Partnersicherheitslösungen wie Antischadsoftware oder Web Application Firewalls
Was ist der Unterschied zwischen erkannten und alarmierten Bedrohungen durch Microsoft Security Response Center im Vergleich zu Microsoft Defender for Cloud?
Die Microsoft Security Response Center (MSRC) führt eine ausgewählte Sicherheitsüberwachung des Azure Netzwerks und der Infrastruktur durch und empfängt Bedrohungserkennung und Missbrauchsbeschwerden von Dritten. Wenn MSRC erkennt, dass auf Kundendaten von einer rechtswidrigen oder nicht autorisierten Partei zugegriffen wurde oder dass die Nutzung von Azure des Kunden nicht den Bedingungen für die zulässige Nutzung entspricht, benachrichtigt ein Sicherheitsvorfallmanager den Kunden. Die Benachrichtigung erfolgt in der Regel durch Senden einer E-Mail an die in Microsoft Defender for Cloud angegebenen Sicherheitskontakte oder den Azure Abonnementbesitzer, wenn kein Sicherheitskontakt angegeben ist.
Defender for Cloud ist ein Azure Dienst, der die Azure, multicloud und lokale Umgebung des Kunden kontinuierlich überwacht und Analysen anwendet, um automatisch eine vielzahl von potenziell schädlichen Aktivitäten zu erkennen. Diese Erkennungen werden als Sicherheitswarnungen im Dashboard „Workloadschutz“ angezeigt.
Wie kann ich nachverfolgen, wer in meiner Organisation einen Microsoft Defender Plan in Defender for Cloud aktiviert hat?
Azure Abonnements verfügen möglicherweise über mehrere Administratoren mit Berechtigungen zum Ändern der Preiseinstellungen. Um herauszufinden, welcher Benutzer eine Änderung vorgenommen hat, verwenden Sie das Azure Aktivitätsprotokoll.
Wenn die Informationen des Benutzers nicht in der Spalte Ereignis initiiert von aufgeführt sind, sollten Sie sich in den JSON-Daten des Ereignisses die relevanten Details ansehen.
Was geschieht, wenn eine Empfehlung in mehreren Richtlinieninitiativen vorliegt?
Manchmal liegt eine Sicherheitsempfehlung in mehreren Richtlinieninitiativen vor. Wenn mehrere Instanzen derselben Empfehlung demselben Abonnement zugewiesen sind, und Sie eine Ausnahme für die Empfehlung erstellen, wirkt sich dies auf alle Initiativen aus, für die Sie die Berechtigung zum Bearbeiten haben.
Wenn Sie versuchen, eine Ausnahme für diese Empfehlung zu erstellen, wird eine der beiden folgenden Meldungen angezeigt:
Wenn Sie die notwendigen Berechtigungen zur Bearbeitung beider Initiativen haben, sehen Sie das:
Diese Empfehlung ist in mehreren Richtlinieninitiativen enthalten: [durch Kommas getrennte Initiativennamen]. Ausnahmen werden für alle diese erstellt.
Wenn Sie nicht die nötigen Berechtigungen haben, um beide Initiativen zu bearbeiten, sehen Sie stattdessen diese Nachricht:
Sie verfügen über eingeschränkte Berechtigungen zum Anwenden der Ausnahme auf alle Richtlinieninitiativen. Die Ausnahmen werden nur für die Initiativen mit ausreichenden Berechtigungen erstellt.
Gibt es Empfehlungen, die keine Ausnahme unterstützen?
Diese allgemein verfügbaren Empfehlungen unterstützen keine Ausnahme:
- In den Advanced Data Security-Einstellungen in SQL Managed Instance sollten alle Advanced Threat Protection-Typen aktiviert werden.
- In den Erweiterten Datenschutzeinstellungen des SQL Servers sollten alle Typen des Erweiterten Bedrohungsschutzes aktiviert werden.
- Überwachen der Verwendung benutzerdefinierter RBAC-Rollen
- Für Container müssen CPU- und Arbeitsspeicherlimits erzwungen werden
- Containerimages dürfen nur aus vertrauenswürdigen Registrys bereitgestellt werden
- Container mit Rechteausweitung müssen vermieden werden
- Container, die sensible Host-Namespaces gemeinsam nutzen, sollten vermieden werden
- Container dürfen nur an zulässigen Ports lauschen
- Die Standard-IP-Filterrichtlinie muss auf „Verweigern“ festgelegt sein
- Für Computer sollte die Überwachung der Dateiintegrität aktiviert sein
- Unveränderliches (schreibgeschütztes) Stammdateisystem für Container erzwingen
- IoT-Geräte: Offen Ports auf Geräten
- IoT-Geräte - in einer der Ketten wurde eine zu permissive Firewallrichtlinie gefunden
- IoT-Geräte: In der Eingabekette wurde eine erlaubende Firewallregel gefunden
- IoT-Geräte: In der Ausgabekette wurde eine zu permissive Firewallregel gefunden
- IP-Filterregel für großen IP-Adressbereich
- Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können.
- Kubernetes-Cluster sollten das automatische Einhängen von API-Anmeldeinformationen deaktivieren
- Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden
- Kubernetes-Cluster sollten keine CAPSYSADMIN-Sicherheitsfunktionen gewähren
- Linux-Funktionen mit den niedrigsten Berechtigungen für Container erzwingen
- Die Anpassung oder Deaktivierung des AppArmor-Profils von Containern sollte eingeschränkt werden.
- Privilegierte Container müssen vermieden werden
- Das Ausführen von Containern als Root-Benutzer muss vermieden werden
- Dienste dürfen nur an zulässigen Ports lauschen
- SQL-Server sollten über einen Microsoft Entra Administrator verfügen
- Einschränkung der Nutzung von Host-Netzwerken und -Ports
- Verwendung von HostPath-Volumeeinbindungen von Pods sollte auf eine bekannte Liste beschränkt sein, um den Knotenzugriff von kompromittierten Containern zu begrenzen
- Azure API Management-APIs sollten in Defender for APIs eingebunden werden.
- Nicht verwendete API-Endpunkte sollten deaktiviert und aus Funktions-Apps entfernt werden (Vorschau)
- Nicht verwendete API-Endpunkte sollten deaktiviert und aus Logik-Apps entfernt werden (Vorschau)
- Die Authentifizierung sollte auf API-Endpunkten aktiviert werden, die in Funktions-Apps gehostet werden (Vorschau)
- Die Authentifizierung sollte auf API-Endpunkten aktiviert werden, die in Logik-Apps gehostet werden (Vorschau)
Gibt es Einschränkungen für den Identitäts- und Zugriffsschutz Defender for Cloud?
Es gibt einige Einschränkungen für den Identitäts- und Zugriffsschutz Defender for Cloud:
- Identitätsempfehlungen sind für Abonnements mit mehr als 6.000 Konten nicht verfügbar. In diesen Fällen werden diese Arten von Abonnements auf der Registerkarte „Nicht anwendbar“ aufgelistet.
- Identitätsempfehlungen sind für die Administratorenagenten des Cloud-Solution-Provider-(CSP)-Partners nicht verfügbar.
- Identitätsempfehlungen bewerten Rollenzuweisungen, einschließlich PIM-berechtigter Zuordnungen, differenzieren jedoch aktuell kein Risiko basierend auf PIM-Aktivierungsworkflows oder Genehmigungsanforderungen. Dies kann zu Ergebnissen führen, die PIM-verwaltete Identitäten enthalten.
- Empfehlungen zur Identitätsverwaltung unterstützen nicht die bedingten Zugriffsrichtlinien von Microsoft Entra, die anstelle von Benutzern und Gruppen Verzeichnisrollen einbeziehen.
Welche Betriebssysteme werden für meine EC2-Instanzen unterstützt?
Eine Liste der AMIs mit vorinstalliertem SSM-Agent finden Sie auf dieser Seite in der AWS-Dokumentation.
Bei anderen Betriebssystemen sollte der SSM-Agent anhand der folgenden Anweisungen manuell installiert werden:
Welche IAM-Berechtigungen werden für den CSPM-Plan benötigt, um AWS-Ressourcen zu ermitteln?
Zum Ermitteln von AWS-Ressourcen sind die folgenden IAM-Berechtigungen erforderlich:
| Datensammler | AWS-Berechtigungen |
|---|---|
| API-Gateway | apigateway:GET |
| Automatische Anwendungsskalierung | application-autoscaling:Describe* |
| Automatische Skalierung | autoscaling-plans:Describe* autoscaling:Describe* |
| Zertifikat-Manager | acm-pca:Describe* acm-pca:List* acm:Describe* acm:List* |
| CloudFormation | cloudformation:Describe* cloudformation:List* |
| CloudFront | cloudfront:DescribeFunction cloudfront:GetDistribution cloudfront:GetDistributionConfig cloudfront:List* |
| CloudTrail | cloudtrail:Describe* cloudtrail:GetEventSelectors cloudtrail:List* cloudtrail:LookupEvents |
| CloudWatch | cloudwatch:Describe* cloudwatch:List* |
| CloudWatch-Protokolle | logs:DescribeLogGroups logs:DescribeMetricFilters |
| CodeBuild | codebuild:DescribeCodeCoverages codebuild:DescribeTestCases codebuild:List* |
| Konfigurationsdienst | config:Describe* config:List* |
| DMS – Database Migration Service | dms:Describe* dms:List* |
| DAX | dax:Describe* |
| DynamoDB | dynamodb:Describe* dynamodb:List* |
| EC2 | ec2:Describe* ec2:GetEbsEncryptionByDefault |
| ECR | ecr:Describe* ecr:List* |
| ECS | ecs:Describe* ecs:List* |
| EFS | elasticfilesystem:Describe* |
| EKS | eks:Describe* eks:List* |
| Elastic Beanstalk | elasticbeanstalk:Describe* elasticbeanstalk:List* |
| ELB – elastischer Lastenausgleich (v1/2) | elasticloadbalancing:Describe* |
| Elastic Search | es:Describe* es:List* |
| EMR – Elastic MapReduce | elasticmapreduce:Describe* elasticmapreduce:GetBlockPublicAccessConfiguration elasticmapreduce:List* elasticmapreduce:View* |
| GuardDuty | guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:List* |
| IAM (Identity- und Access-Management) | iam:Generate* iam:Get* iam:List* iam:Simulate* |
| KMS | kms:Describe* kms:List* |
| Lambda | lambda:GetPolicy lambda:List* |
| Netzwerkfirewall | network-firewall:DescribeFirewall network-firewall:DescribeFirewallPolicy network-firewall:DescribeLoggingConfiguration network-firewall:DescribeResourcePolicy network-firewall:DescribeRuleGroup network-firewall:DescribeRuleGroupMetadata network-firewall:ListFirewallPolicies network-firewall:ListFirewalls network-firewall:ListRuleGroups network-firewall:ListTagsForResource |
| RDS | rds:Describe* rds:List* |
| RedShift | redshift:Describe* |
| S3 und S3Control | s3:DescribeJob s3:GetEncryptionConfiguration s3:GetBucketPublicAccessBlock s3:GetBucketTagging s3:GetBucketLogging s3:GetBucketAcl s3:GetBucketLocation s3:GetBucketPolicy s3:GetReplicationConfiguration s3:GetAccountPublicAccessBlock s3:GetObjectAcl s3:GetObjectTagging s3:List* |
| SageMaker | sagemaker:Describe* sagemaker:GetSearchSuggestions sagemaker:List* sagemaker:Search |
| Geheimnis-Manager | secretsmanager:Describe* secretsmanager:List* |
| Einfacher Benachrichtigungsdienst (Simple Notification Service, SNS) | sns:Check* sns:List* |
| SSM | ssm:Describe* ssm:List* |
| SQS | sqs:List* sqs:Receive* |
| STS | sts:GetCallerIdentity |
| WAF | waf-regional:Get* waf-regional:List* waf:List* wafv2:CheckCapacity wafv2:Describe* wafv2:List* |
Gibt es eine API zum Verbinden meiner GCP-Ressourcen mit Defender for Cloud?
Ja. Informationen zum Erstellen, Bearbeiten oder Löschen von Defender for Cloud Cloudconnectors mit einer REST-API finden Sie in den Details der API Connectors.
Welche GCP-Regionen werden von Defender for Cloud unterstützt?
Defender for Cloud unterstützt und überprüft alle verfügbaren Regionen in der öffentlichen GCP-Cloud.
Unterstützt die Workflowautomatisierung irgendwelche Szenarien der Geschäftskontinuität oder Notfallwiederherstellung (BCDR)?
Wenn Sie Ihre Umgebung für BCDR-Szenarien vorbereiten, bei denen die Zielressource einen Ausfall oder eine andere Katastrophe erlebt, liegt es in der Verantwortung der Organisation, Datenverluste zu verhindern, indem Sie Sicherungen gemäß den Richtlinien von Azure Event Hubs, Log Analytics Arbeitsbereich und Logik-Apps einrichten.
Wir empfehlen Ihnen, für jede aktive Automatisierung eine identische (deaktivierte) Automatisierung zu erstellen und an einem anderen Ort zu speichern. Bei einem Ausfall können Sie diese Sicherungsautomatisierungen aktivieren und den normalen Betrieb aufrechterhalten.
Erfahren Sie mehr über Business continuity and disaster recovery for Azure Logic Apps.
Welche Kosten sind mit dem Datenexport verbunden?
Für die Ermöglichung eines fortlaufenden Exports fallen keine Kosten an. Je nach Konfiguration können Kosten für die Erfassung und Aufbewahrung von Daten in Ihrem Log Analytics Arbeitsbereich anfallen.
Viele Warnungen werden nur bereitgestellt, wenn Sie Defender Pläne für Ihre Ressourcen aktiviert haben. Eine gute Möglichkeit zum Anzeigen der Warnungen, die Sie in Ihren exportierten Daten erhalten, besteht darin, die warnungen anzuzeigen, die auf den Seiten Defender for Cloud im Azure-Portal angezeigt werden.
Weitere Informationen zu Log Analytics Workspace-Preisen.
Erfahren Sie mehr über Azure Event Hubs Pricing.
Allgemeine Informationen zu Defender for Cloud Preisen finden Sie auf der Preisseite.
Enthält der fortlaufende Export Daten zum aktuellen Status aller Ressourcen?
Nein. Der fortlaufende Export wurde für das Streaming von Ereignissen konzipiert:
- Warnungen, die erhalten wurden, bevor Sie den Export aktivierten, werden nicht exportiert.
- Empfehlungen werden immer dann gesendet, wenn sich der Konformitätszustand einer Ressource ändert. Zum Beispiel, wenn eine Ressource von „gesund“ zu „ungesund“ wechselt. Daher werden, wie bei Warnungen, keine Empfehlungen für Ressourcen exportiert, deren Zustand sich seit der Aktivierung des Exports nicht geändert hat.
- Sicherheitsbewertung pro Sicherheitskontrolle oder Abonnement wird gesendet, wenn sich die Bewertung einer Sicherheitskontrolle um 0,01 oder mehr ändert.
- Der Status der Einhaltung gesetzlicher Bestimmungen wird gesendet, wenn sich der Status der Compliance der Ressource ändert.
Warum werden Empfehlungen in unterschiedlichen Intervallen gesendet?
Unterschiedliche Empfehlungen weisen unterschiedliche Intervalle für die Konformitätsauswertung auf, die von einigen Minuten bis zu einigen Tagen reichen können. Daher schwankt die Zeit, bis Empfehlungen in Ihren Exporten angezeigt werden.
Wie kann ich eine Beispielabfrage für eine Empfehlung abrufen?
Um eine Beispielabfrage für eine Empfehlung zu erhalten, öffnen Sie die Empfehlung in Defender for Cloud, wählen Sie Open-Abfrage aus, und wählen Sie dann Abfrage, die Sicherheitsergebnisse zurückgibt aus.
Unterstützt der fortlaufende Export irgendwelche Szenarien der Geschäftskontinuität oder Notfallwiederherstellung (BCDR)?
Der fortlaufende Export kann hilfreich sein, um BCDR-Szenarien vorzubereiten, in denen für die Zielressource ein Ausfall oder eine andere Katastrophe aufgetreten ist. Es liegt jedoch in der Verantwortung der Organisation, Datenverluste zu verhindern, indem Sicherungen gemäß den Richtlinien von Azure Event Hubs, Log Analytics Arbeitsbereich und Logik-App erstellt werden.
Weitere Informationen finden Sie in Azure Event Hubs – Geo-Notfallwiederherstellung.
Kann ich mehrere Pläne für ein einzelnes Abonnement gleichzeitig programmgesteuert aktualisieren?
Es wird nicht empfohlen, mehrere Pläne für ein einzelnes Abonnement gleichzeitig (über REST-API, ARM-Vorlagen, Skripts usw.) programmgesteuert zu aktualisieren. Bei Verwendung des Microsoft. SICHERHEITS-/Preis-API oder eine andere programmgesteuerte Lösung sollten Sie eine Verzögerung von 10 bis 15 Sekunden zwischen jeder Anforderung einfügen.
Wenn ich den Standardzugriff aktiviert habe, in welchen Situationen muss ich die Vorlage "Cloudformation", Cloud Shell Skript oder "Terraform"-Vorlage erneut ausführen?
Änderungen an Defender for Cloud-Plänen oder deren Optionen, einschließlich Features in diesen Plänen, erfordern die Ausführung der Bereitstellungsvorlage. Das gilt unabhängig vom Berechtigungstyp, der während der Erstellung des Sicherheitsconnectors ausgewählt wird. Wenn Regionen wie in diesem Screenshot geändert wurden, müssen Sie die Vorlage "Cloudformation" oder Cloud Shell Skript nicht erneut ausführen.
Wenn Sie Berechtigungstypen konfigurieren, unterstützt der geringste Berechtigungszugriff Features, die zum Zeitpunkt der Ausführung der Vorlage oder des Skripts verfügbar sind. Neue Ressourcentypen können ausschließlich durch ein erneutes Ausführen der Vorlage oder des Skripts unterstützt werden.
Wenn ich die Region oder das Scanintervall für meinen AWS-Connector ändere, muss ich die CloudFormation-Vorlage oder Cloud Shell Skript erneut ausführen?
Nein, wenn der Bereich oder das Scanintervall geändert wird, müssen die CloudFormation-Vorlage oder das Cloud Shell-Skript nicht neu ausgeführt werden. Die Änderungen werden automatisch angewendet.
Wie funktioniert das Onboarding einer AWS-Organisation oder eines Verwaltungskontos bei Microsoft Defender for Cloud?
Das Onboarding einer Organisation oder eines Verwaltungskontos zum Microsoft Defender for Cloud initiiert den Prozess von Deploying a StackSet. Das StackSet enthält die erforderlichen Rollen und Berechtigungen. Das StackSet verteilt auch die erforderlichen Berechtigungen für alle Konten innerhalb der Organisation.
Mit den enthaltenen Berechtigungen können Microsoft Defender for Cloud die ausgewählten Sicherheitsfeatures über den erstellten Connector in Defender for Cloud bereitstellen. Mit den Berechtigungen können Defender for Cloud auch alle Konten kontinuierlich überwachen, die mit dem automatischen Bereitstellungsdienst hinzugefügt werden können.
Defender for Cloud kann die Erstellung neuer Verwaltungskonten identifizieren und die erteilten Berechtigungen nutzen, um automatisch einen entsprechenden Mitgliedssicherheitsconnector für jedes Mitgliedskonto bereitzustellen.
Dieses Feature ist nur für das Onboarding der Organisation verfügbar und ermöglicht es Defender for Cloud, Connectors für neu hinzugefügte Konten zu erstellen. Mit dieser Funktion kann Defender for Cloud alle Mitgliedsconnectors bearbeiten, wenn das Verwaltungskonto bearbeitet wird, alle Mitgliedskonten löschen, wenn das Verwaltungskonto gelöscht wird, und ein bestimmtes Mitgliedskonto entfernen, wenn das entsprechende Konto entfernt wird.
Ein separater Stapel muss speziell für das Verwaltungskonto bereitgestellt werden.
Ohne Agents
Überprüft das agentenlose Scannen freigegebene VMs?
Nein. Die agentlose Überprüfung überprüft keine verwalteten VMs.
Wird mit "Agentless" das Betriebssystemlaufwerk und die Datenlaufwerke gescannt?
Ja. Agentloses Scannen scannt sowohl Betriebssystemdatenträger als auch Datenträger.
Zu welchem Zeitpunkt wird meine VM gescannt, einschließlich Start- und Endzeit?
Die Tageszeit ist dynamisch und kann sich über verschiedene Konten und Abonnements hinweg ändern.
Gibt es Telemetrie bezüglich der kopierten Momentaufnahme?
In AWS können die Vorgänge auf dem Kundenkonto über CloudTrail nachverfolgt werden.
Welche Daten werden aus Momentaufnahmen gesammelt?
Agentless Scanning sammelt Daten ähnlich wie die Daten, die ein Agent sammelt, um dieselbe Analyse durchzuführen. Rohdaten, PIIs oder vertrauliche Geschäftsdaten werden nicht gesammelt, und nur Metadatenergebnisse werden an Defender for Cloud gesendet.
Wo werden die Sicherungskopien der Datenträger gespeichert?
Die Analyse der Momentaufnahmen erfolgt in sicheren Umgebungen, die von Defender for Cloud verwaltet werden.
Die Umgebungen sind regional über mehrere Clouds hinweg, sodass Momentaufnahmen in derselben Cloudregion verbleiben wie die VM, aus der sie stammen (z. B. eine Momentaufnahme einer EC2-Instanz in DEN USA West werden in derselben Region analysiert, ohne in eine andere Region oder Cloud kopiert zu werden).
Die Scanumgebung, in der Datenträger analysiert werden, ist veränderlich, isoliert und hochsicher.
Wie erfolgt die Behandlung des Datenträgerschnappschusses im Microsoft-Konto? Können Microsoft Sicherheits- und Datenschutzprinzipien der agentlosen Scanplattform teilen?
Die agentenlose Scanplattform wird überwacht und ist konform mit den strengen Sicherheits- und Datenschutzstandards von Microsoft. Einige der getroffenen Maßnahmen sind (keine umfassende Liste):
- Physische Isolation pro Region, zusätzliche Isolation pro Kunde und Abonnement
- E2E-Verschlüsselung im Ruhezustand und während der Übertragung
- Datenträgermomentaufnahmen werden nach dem Scan sofort gelöscht
- Nur Metadaten (d. a. Sicherheitsergebnisse) verlassen die isolierte Scanumgebung.
- Die Scanumgebung ist autonom.
- Alle Vorgänge werden intern überwacht.
Was sind die Kosten für agentenloses Scannen?
Agentenlose Überprüfung ist in den Defender Cloud Security Posture Management (CSPM) und Defender für Server P2 Plänen enthalten. Beim Aktivieren von Defender for Cloud entstehen keine zusätzlichen Kosten.
Hinweis
AWS erhebt Gebühren für die Aufbewahrung von Datenträger-Schnappschüssen. Der Defender for Cloud Scanvorgang versucht aktiv, den Zeitraum zu minimieren, in dem eine Momentaufnahme in Ihrem Konto gespeichert ist (in der Regel bis zu ein paar Minuten). AWS kann eine Gemeinkostenbelastung für die Speicherung von Datenträger-Snapshots berechnen. Wenden Sie sich an AWS, um zu sehen, welche Kosten für Sie anfallen.
Wie kann ich die AWS-Kosten nachverfolgen, die für die von Defender for Cloud Agentless Scanning erstellten Schnappschüsse anfallen?
Datenträger-Snapshots werden mit dem CreatedBy-Tag-Schlüssel und dem Microsoft Defender for Cloud-Tag-Wert erstellt. Das CreatedBy Tag verfolgt, wer die Ressource erstellt hat.
Sie müssen die Tags in der Abrechnungs- und Kostenverwaltungskonsole aktivieren. Es kann bis zu 24 Stunden dauern, bis Tags aktiviert werden.