Delen via

Ondersteuning en vereisten voor het beheer van de gegevensbeveiligingspostuur

Bekijk de vereisten op deze pagina voordat u het beheer van de gegevensbeveiligingspostuur instelt in Microsoft Defender voor Cloud.

Detectie van gevoelige gegevens inschakelen

Detectie van gevoelige gegevens is beschikbaar in de abonnementen Defender Cloud Security Posture Management (CSPM), Defender for Storage en Defender for Databases.

  • Wanneer u een van de plannen inschakelt, wordt de extensie voor detectie van gevoelige gegevens ingeschakeld als onderdeel van het plan.
  • Als je bestaande abonnementen hebt lopen, is de extensie beschikbaar, maar staat deze standaard uitgeschakeld.
  • De status van een bestaand plan wordt weergegeven als 'Gedeeltelijk' in plaats van 'Volledig' als een of meer extensies niet zijn ingeschakeld.
  • De functie wordt ingeschakeld op abonnementsniveau.
  • Als detectie van gevoelige gegevens is ingeschakeld, maar Defender CSPM niet is ingeschakeld, worden alleen opslagbronnen gescand.
  • Wanneer een abonnement Defender CSPM inschakelt en u dezelfde resources scant met Purview, wordt het scanresultaat van Purview genegeerd. De standaardinstelling is dat de scanresultaten van Microsoft Defender voor Cloud worden weergegeven voor het ondersteunde resourcetype.

Wat wordt er ondersteund

De tabel bevat een overzicht van de beschikbaarheid en ondersteunde scenario's voor detectie van gevoelige gegevens.

Ondersteuning DETAILS
Welke Azure-gegevensbronnen kan ik detecteren? Objectopslag:

Blob Storage-accounts blokkeren in Azure Storage v1/v2

Azure-bestanden in Azure Storage v1/v2. Alleen ondersteund met behulp van het SMB-protocol

Azure Data Lake Storage Gen2

Opslagaccounts achter privénetwerken worden ondersteund.

Opslagaccounts die zijn versleuteld met een door de klant beheerde sleutel aan de serverzijde, worden ondersteund.

Accounts worden niet ondersteund als er een aangepast domein is toegewezen aan een eindpunt van een opslagaccount.

Vereisten en beperkingen:
- Als u bestandsshares wilt scannen, wijst Defender voor Cloud de rol Storage File Data Privileged Reader toe aan StorageDataScanner.


Databanken

Azure SQL Databases

Azure SQL Database versleuteld met Transparante gegevensversleuteling
Welke AWS-gegevensbronnen kan ik detecteren? Objectopslag:

AWS S3-buckets

Defender voor Cloud kan met KMS versleutelde gegevens detecteren, maar geen gegevens die zijn versleuteld met een door de klant beheerde sleutel.

Databanken

- Amazon Aurora
- Amazon RDS voor PostgreSQL
- Amazon RDS voor MySQL
- Amazon RDS for MariaDB
- Amazon RDS voor SQL Server (niet-aangepast)
- Amazon RDS voor Oracle Database (alleen SE2 Edition, niet-aangepast)

Vereisten en beperkingen:
- Automatische back-ups moeten worden ingeschakeld.
- De IAM-rol die is gemaakt voor de scandoeleinden (DefenderForCloud-DataSecurityPostureDB standaard) moet machtigingen hebben voor de KMS-sleutel die wordt gebruikt voor de versleuteling van het RDS-exemplaar.
- U kunt geen DB-momentopname delen die gebruikmaakt van een optiegroep met permanente of persistente opties, met uitzondering van Oracle DB-instances met de optie Tijdzone of OLS (of beide). Meer informatie
Welke GCP-gegevensbronnen kan ik detecteren? GCP-opslagbuckets
Standard-klasse
Geo: regio, dubbele regio, meerdere regio's
Welke machtigingen heb ik nodig voor detectie? Opslagaccount: Abonnementseigenaar
of
Microsoft.Authorization/roleAssignments/* (lezen, schrijven, verwijderen) enMicrosoft.Security/pricings/* (lezen, schrijven, verwijderen) enMicrosoft.Security/pricings/SecurityOperators (lezen, schrijven)

Amazon S3-buckets en RDS-exemplaren: aws-accountmachtiging om CloudFormation uit te voeren (om een rol aan te maken).

GCP-opslagbuckets: Google-accountmachtiging voor het uitvoeren van een script (om een rol te creëren).
Welke bestandstypen worden ondersteund voor detectie van gevoelige gegevens? Ondersteunde bestandstypen (u kunt geen subset selecteren): .doc, .docm, .docx, .dot, .gz, .odp, .ods, .odt, .pdf, .pot, .pps, .ppsx, .ppt, .pptm, .pptx, .xlc, .xls, .xlsb, .xlsm, .xlsx, .xlt, .csv, .json, .psv, .ssv, .tsv, .txt., xml, .parquet, .avro, .orc.
Welke Azure-regio's worden ondersteund? U kunt Azure-opslagaccounts detecteren in:

Europa - west (westeurope), Canada - centraal (canadacentral), VK - zuid (uksouth), Japan - oost (japaneast), VS - oost 2 (eastus2), Australië - oost (australiëeast), Canada - oost (canadaeast), VS - oost (eastus), VS - zuid-centraal (southcentralus), Noord VS - centraal (northcentralus), VS - west 2 (westus2), Azië - zuidoost (zuidoostasia), VS - centraal (centralus), Brazilië - zuid (braziliësouth), Frankrijk - centraal (frankrijkcentral), Europa - noord (noordeurope), Japan - west (japanwest), Australië - zuidoost (australiësoutheast), VS - west (westus), VS - oost 2 EUAP (eastus2euap), Australië - centraal (australiëcentral), Azië - oost (eastasia), VK - west (ukwest), India - centraal (centralindia), Noorwegen - oost (noorwegeneast), Zuid-Afrika - noord (southafricanorth), Zweden - centraal (zwedencentral)), VS - west 3 (westus3), VS - west-centraal (westcentralus), India - zuid (southindia), UAE - noord (uaenorth), Zwitserland - noord (zwitserlandnorth), Duitsland - west-centraal (duitslandwestcentral), Korea - centraal (koreacentral), Korea - zuid (koreasouth), Jio India - west (jioindiawest), Israël - centraal (israëlcentral), Zwitserland - west (zwitserlandwest), Polen - centraal (polencentral), Duitsland - noord (duitslandnorth), Italië - noord (italiënorth), Noorwegen - west (noorwegenwest), Australië - centraal 2 (australiëcentral2), Zuid-Afrika West (southafricawest), Mexico -centraal (mexicocentral), UAE -centraal (uaecentral), Frankrijk - zuid (francesouth), Brazilië - zuidoost (brazilsoutheast), Jio India - centraal (jioindiacentral), Zweden - zuid (zwedensouth), Spanje - centraal (spanjecentral), Nieuw-Zeeland - noord (newzealandnorth)

U kunt Azure SQL Databases detecteren in elke regio waar Defender CSPM en Azure SQL Databases worden ondersteund.
Welke AWS-regio's worden ondersteund? S3:

EU (Stockholm), EU (Londen), EU (Parijs), Azië en Stille Oceaan (Mumbai), Canada (centraal), Zuid-Amerika (São Paulo), US - west (N. Californië), US - west (Oregon), Azië en Stille Oceaan (Tokio), Azië en Stille Oceaan (Singapore), Azië en Stille Oceaan (Sydney), EU (Ierland), US - oost (N. Virginia), EU (Frankfurt), US - oost (Ohio)


RDS:

Afrika (Kaapstad); Azië en Stille Oceaan (Hongkong SAR); Azië en Stille Oceaan (Hyderabad); Azië en Stille Oceaan (Melbourne); Azië en Stille Oceaan (Mumbai); Azië en Stille Oceaan (Osaka); Azië en Stille Oceaan (Seoul); Azië en Stille Oceaan (Singapore); Azië en Stille Oceaan (Sydney); Azië en Stille Oceaan (Tokio); Canada (centraal); Europa (Frankfurt); Europa (Ierland); Europa (Londen); Europa (Parijs); Europa (Stockholm); Europa (Zürich); Midden-Oosten (VAE); Zuid-Amerika (São Paulo); VS - Oost (Ohio); VS - Oost (N. Virginia); VS - west (N. Californië); VS - west (Oregon).

Detectie wordt lokaal uitgevoerd binnen de regio.
Welke GCP-regio's worden ondersteund? Tel Aviv (me-west1), Mumbai (asia-south1), South Carolina (us-east1), Montréal (northamerica-northeast1), Iowa (us-central1), Oregon (us-west1), België (europe-west1), Noord-Virginia (us-east4)
Moet ik een agent installeren? Nee, detectie vereist geen agentinstallatie.
Wat zijn de kosten? De functie is opgenomen in de Defender CSPM- en Defender for Storage-abonnementen en er worden geen extra kosten in rekening gebracht, met uitzondering van de respectieve abonnementskosten.
Overige kosten Detectie van gevoelige gegevens voor Azure Storage-accounts is afhankelijk van andere Azure-services. Deze afhankelijkheid kan leiden tot extra kosten, waaronder Leesbewerkingen van Azure Storage.
Welke machtigingen heb ik nodig om vertrouwelijkheidsinstellingen voor gegevens weer te geven/te bewerken? U hebt een van deze Microsoft Entra-rollen nodig:
  • Beheerder van nalevingsgegevens, nalevingsbeheerder of hoger
  • Beveiligingsoperator, beveiligingsbeheerder of hoger
    		•
    Welke machtigingen heb ik nodig om onboarding uit te voeren? U hebt een van deze azure RBAC-rollen (op rollen gebaseerd toegangsbeheer) nodig: Beveiligingsbeheerder, Inzender, Eigenaar op abonnementsniveau (waar het GCP-project/s zich bevinden). Voor het gebruik van de beveiligingsresultaten: Beveiligingslezer, Beveiligingsbeheerder, Lezer, Inzender, Eigenaar op abonnementsniveau (waar de GCP-projecten zich bevinden).

    Instellingen voor gegevensgevoeligheid configureren

    De belangrijkste stappen voor het configureren van instellingen voor gegevensgevoeligheid zijn:

    Meer informatie over vertrouwelijkheidslabels in Microsoft Purview.

    Ontdekking

    Defender for Cloud begint met het detecteren van gegevens direct nadat u een plan hebt ingeschakeld of nadat u planfuncties hebt ingeschakeld.

    Voor objectopslag:

    • Resultaten zijn binnen 24 uur beschikbaar voor de eerste detectie.
    • Nadat u bestanden in de gedetecteerde resources hebt bijgewerkt, worden gegevens binnen acht dagen vernieuwd.
    • Binnen 24 uur of minder wordt een nieuw Azure-opslagaccount gedetecteerd dat is toegevoegd aan een al gedetecteerd abonnement.
    • Een nieuwe AWS S3-bucket of GCP-opslagbucket die is toegevoegd aan een al gedetecteerd AWS-account of Google-account, wordt binnen 48 uur of minder gedetecteerd.
    • Detectie van gevoelige gegevens voor opslag wordt lokaal uitgevoerd binnen uw regio. Dit zorgt ervoor dat uw gegevens uw regio niet verlaten. Alleen resourcemetagegevens, zoals bestanden, blobs, bucketnamen, gedetecteerde vertrouwelijkheidslabels en de namen van geïdentificeerde typen gevoelige informatie (SIT's), worden overgedragen naar Defender for Cloud.

    Voor databases:

    • Worden wekelijks gescand.
    • Voor nieuw ingeschakelde abonnementen worden de resultaten binnen 24 uur weergegeven.

    Cloud Security Explorer

    Alle opslagtypen, waaronder Azure Storage-accounts, AWS-buckets en GCP-buckets, worden weergegeven, ongeacht de bijbehorende inzichten. Voor Azure Storage-accounts, waaronder BlobContainers en Bestandsshares, zijn de volgende regels van toepassing:

    • Blobcontainers worden weergegeven als ze voldoen aan een van de volgende criteria:

      • Ze hebben het inzicht 'Bevat gevoelige gegevens'.

      • Zij hebben inzicht in Publieke Toegang.

      • Ze hebben een replicatieregel naar of van een andere blob.

    • Gedeelde bestanden worden alleen weergegeven als ze het inzicht 'Bevat gevoelige gegevens' hebben.

    Azure-opslagaccounts detecteren en scannen

    Als u Azure-opslagaccounts wilt scannen, maakt Microsoft Defender voor Cloud een nieuwe storageDataScanner resource en wijst u deze toe aan de rol Opslagblobgegevenslezer. Deze rol verleent de volgende machtigingen:

    • Lijst
    • Lees

    Voor opslagaccounts die zich achter privénetwerken bevinden, nemen we de StorageDataScanner op in de lijst met toegestane resource-exemplaren binnen de netwerkregelsconfiguratie van het opslagaccount.

    AWS S3-buckets detecteren en scannen

    Als u AWS-resources in Defender voor Cloud wilt beveiligen, stelt u een AWS-connector in met behulp van een CloudFormation-sjabloon om het AWS-account te onboarden.

    • Voor het detecteren van AWS-gegevensresources werkt Defender voor Cloud de CloudFormation-sjabloon bij.
    • Met de CloudFormation-sjabloon maakt u een nieuwe rol in AWS IAM, zodat de Defender for Cloud-scanner toegang heeft tot gegevens in de S3-buckets.
    • Als u AWS-accounts wilt verbinden, hebt u beheerdersmachtigingen voor het account nodig.
    • De rol staat deze machtigingen toe: S3 alleen-lezen; KMS ontsleutelen.

    AWS RDS-exemplaren detecteren en scannen

    Als u AWS-resources in Defender voor Cloud wilt beveiligen, stelt u een AWS-connector in met behulp van een CloudFormation-sjabloon om het AWS-account te onboarden.

    • Als u AWS RDS-exemplaren wilt detecteren, werkt Defender voor Cloud de CloudFormation-sjabloon bij.
    • Met de CloudFormation-sjabloon maakt u een nieuwe rol in AWS IAM, zodat de Defender for Cloud-scanner de laatste beschikbare geautomatiseerde momentopname van uw exemplaar kan maken en deze online brengt in een geïsoleerde scanomgeving binnen dezelfde AWS-regio.
    • Als u AWS-accounts wilt verbinden, hebt u beheerdersmachtigingen voor het account nodig.
    • Geautomatiseerde momentopnamen moeten worden ingeschakeld op de relevante RDS-exemplaren/-clusters.
    • De rol staat deze machtigingen toe (bekijk de CloudFormation-sjabloon voor exacte definities):
      • Alle RDS DB's/clusters weergeven
      • Alle momentopnamen van db/cluster kopiëren
      • Database-/clustermomentopname verwijderen/bijwerken met voorvoegsel defenderfordatabases
      • Alle KMS-sleutels weergeven
      • Gebruik alle KMS-sleutels uitsluitend voor RDS op het bronaccount.
      • Volledig beheer maken voor alle KMS-sleutels met tagvoorvoegsel DefenderForDatabases
      • Alias maken voor KMS-sleutels
    • KMS-sleutels worden eenmaal gemaakt voor elke regio die RDS-exemplaren bevat. Het maken van een KMS-sleutel kan minimale extra kosten met zich meebrengen volgens de prijzen van AWS KMS.

    GCP-opslagbuckets detecteren en scannen

    Als u GCP-resources in Defender for Cloud wilt beveiligen, stelt u een Google-connector in met behulp van een scriptsjabloon om het GCP-account te onboarden.

    • Als u GCP-opslagbuckets wilt detecteren, werkt Defender voor Cloud de scriptsjabloon bij.
    • Met de scriptsjabloon maakt u een nieuwe rol in het Google-account, zodat de Defender voor Cloud scanner toegang heeft tot gegevens in de GCP-opslagbuckets.
    • Als u Verbinding wilt maken met Google-accounts, hebt u beheerdersmachtigingen voor het account nodig.

    Beschikbaar gemaakt op internet/openbare toegang toestaat

    Defender CSPM-aanvalspaden en inzichten in cloudbeveiligingsgrafiek bevatten informatie over opslagresources die beschikbaar zijn voor internet en openbare toegang toestaan. De volgende tabel bevat meer informatie.

    Staat/provincie Azure Storage accounts AWS S3-buckets opslagbuckets van GCP
    Beschikbaar gesteld op internet Een Azure-opslagaccount wordt beschouwd als beschikbaar gemaakt op internet als een van deze instellingen is ingeschakeld:

    >Storage_account_nameNetwerken>Openbare netwerktoegang>Ingeschakeld vanuit alle netwerken

    of

    Storage_account_name >Netwerken>Openbare netwerktoegang>Inschakelen vanuit geselecteerde virtuele netwerken en IP-adressen.    		 Een AWS S3-bucket wordt beschouwd als beschikbaar op internet als het AWS-account/AWS S3-bucketbeleid geen voorwaarde heeft ingesteld voor IP-adressen. Alle GCP-opslagbuckets worden standaard blootgesteld aan internet.
    Maakt openbare toegang mogelijk Een Azure Storage-accountcontainer wordt beschouwd als openbare toegang toestaan als deze instellingen zijn ingeschakeld voor het opslagaccount:

    Storage_account_name >Configuratie>Anonieme blobtoegang toestaan>Ingeschakeld.

    en een van deze instellingen:

    > Storage_account_name Containers> container_name> Openbaar toegangsniveau ingesteld op Blob (alleen anonieme leestoegang voor blobs)

    Ofwel, >storage_account_name Containers> container_name> openbaar toegangsniveau ingesteld op Container (anonieme leestoegang voor containers en blobs).    		 Een AWS S3-bucket wordt beschouwd als openbare toegang toestaan als zowel het AWS-account als de AWS S3-bucket de optie Alle openbare toegang blokkeren op Uit hebben staan, en een van deze instellingen is ingesteld:

    In het beleid is RestrictPublicBuckets niet ingeschakeld en de principal-instelling is ingesteld op * en Effect is ingesteld op Toestaan.

    Of in de toegangsbeheerlijst is IgnorePublicAcl niet ingeschakeld en is de machtiging toegestaan voor iedereen of voor geverifieerde gebruikers.    		 Een GCP-opslagbucket wordt beschouwd als openbare toegang toestaan als: deze heeft een IAM-rol (Identiteits- en toegangsbeheer) die aan deze criteria voldoet:

    De rol wordt verleend aan de principal allUsers of allAuthenticatedUsers.

    De rol heeft ten minste één opslagmachtiging die nietstorage.buckets.create of storage.buckets.list is. Openbare toegang in GCP wordt Openbaar tot internet genoemd.

    Databasebronnen staan geen openbare toegang toe, maar kunnen nog steeds worden blootgesteld aan internet.

    Inzichten in internetblootstelling zijn beschikbaar voor de volgende bronnen:

    Azuur:

    • Azure SQL Server
    • Azure Cosmos DB
    • Azure SQL Managed Instance (een beheerde database-instantie van Azure)
    • Azure MySQL Enkele Server
    • Flexibele Azure MySQL-server
    • Azure PostgreSQL Enkele Server
    • Flexibele Azure PostgreSQL-server
    • Azure MariaDB Enkele Server
    • Synapse-werkruimte

    AWS:

    • RDS-instantie

    Notitie

    • Blootstellingsregels met 0.0.0.0/0 worden beschouwd als 'overmatig blootgesteld', wat betekent dat ze toegankelijk zijn vanaf elk openbaar IP-adres.
    • Azure-resources met de blootstellingsregel 0.0.0.0 zijn toegankelijk vanuit elke resource in Azure (ongeacht de tenant of het abonnement).

    Gerelateerde inhoud

    Beheer van gegevensbeveiligingspostuur inschakelen .

    • Last updated on