你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Defender for Cloud-What's new archive

本页提供有关超过 6 个月的功能、修补程序和弃用的信息。有关最新更新，请阅读 Defender for Cloud 中的新增功能？。

2025 年 6 月

Date	Category	Update
6 月 30 日	Preview	基于 Helm 的 Defender 用于容器 DNS 检测（预览版）
6 月 25 日	Preview	用于存储恶意软件扫描结果的可选索引标记（预览版）
6 月 25 日	Preview	用于函数应用和逻辑应用中的 API 的 API 发现与安全态势（预览版）
6 月 25 日	Preview	无代理文件完整性监视（预览版）
6 月 18 日	Preview	无代理代码扫描 - GitHub 支持和可自定义的覆盖范围现已推出（预览版）

基于 Helm 的用于容器 DNS 检测的 Defender （预览版）

包括的内容：

基于 Helm 的部署支持

有关安装说明和更多详细信息，请参阅使用 Helm 安装 Defender for Containers 传感器。
DNS 威胁检测

提高内存效率并减少大型群集部署的 CPU 消耗。

有关详细信息，请参阅：Defender for Containers 传感器更改日志。

用于存储恶意软件扫描结果的可选索引标记（预览版）

2025 年 6 月 25 日

Defender for Storage 恶意软件扫描为上传和按需扫描引入了可选的索引标记。借助这项新功能，用户可以选择在扫描 Blob 时将结果发布到 Blob 的索引标记（默认选项），或者不使用索引标记。可以通过 Azure 门户或 API 在订阅和存储帐户级别启用或禁用索引标记。

函数应用和逻辑应用中托管的 API 的 API 发现和安全状况（预览版）

2025 年 6 月 25 日

除了对 Azure API 管理中发布的 API 的现有支持外，Defender for Cloud 现在还扩展了其 API 发现和安全态势功能，包括托管在 Azure Function Apps 和 逻辑应用中的 API。

此增强功能使安全团队能够全面且持续更新其组织的 API 攻击面视图。关键功能包括：

集中式 API 清单：跨受支持的 Azure 服务自动发现和编录 API。
安全风险评估：识别和确定风险的优先级，包括识别可能要求删除的休眠 API，以及可能公开敏感数据的未加密 API。

这些功能会自动提供给所有已启用API安全状况管理扩展的Defender for Cloud Security Posture Management（DCSPM）客户。

推出时间线：这些更新的推出将于 2025 年 6 月 25 日开始，预计将在一周内到达所有受支持的区域。

无代理文件完整性监视（预览版）

2025 年 6 月 25 日

无代理文件完整性监视（FIM）现在以预览版提供。此功能补充了基于 Microsoft Defender for Endpoint 代理的正式版（GA） FIM 解决方案，并引入了对自定义文件和注册表监视的支持。

无代理 FIM 使组织能够在环境中监视文件和注册表更改，而无需部署其他代理。它提供轻型、可缩放的替代方案，同时保持与基于代理的现有解决方案的兼容性。

关键功能包括：

自定义监视：通过定义和监视自定义文件路径和注册表项来满足特定的符合性和安全性要求。
统一体验：来自无代理和基于 MDE 的 FIM 的事件存储在同一工作区表中，其中包含明确的源指示器。

详细了解文件完整性监视以及如何启用文件完整性监视。

无代理代码扫描 - GitHub 支持和可自定义的覆盖范围现已推出（预览版）

2025 年 6 月 18 日

我们更新了无代理代码扫描功能，包括扩展覆盖范围和控制的关键功能。这些更新包括：

除了 Azure DevOps 之外，还支持 GitHub 存储库
可自定义扫描程序选择 – 选择要运行的工具（例如，Bandit、Checkov、ESLint）
精细范围配置 - 包括或排除特定组织、项目或存储库

无代理代码扫描提供可扩展的安全扫描解决方案，用于代码和基础设施即代码（IaC），无需更改 CI/CD 管道。它可帮助安全团队检测漏洞和配置错误，而不会中断开发人员工作流。

详细了解如何在 Azure DevOps 或 GitHub 中配置无代理代码扫描。

2025年5月

Date	Category	Update
5 月 28 日	GA	Defender for Storage 中的可自定义上传时恶意软件扫描筛选器已正式发布
5 月 5 日	Preview	活动用户（公共预览版）
5 月 1 日	GA	适用于 AI 服务的 Defender 正式发布
5 月 1 日	GA	智能 Microsoft Security Copilot 副驾驶® 现已在 Defender for Cloud 中正式发布
5 月 1 日	GA	正式发布数据和 AI 安全仪表板
5 月 1 日	即将发生的更改	Defender CSPM 开始为 Azure Database for MySQL 灵活服务器和 Azure Database for PostgreSQL 灵活服务器资源计费

Defender for Storage 中的可自定义上传时恶意软件扫描筛选器已正式发布

2025 年 5 月 28 日

上传恶意软件扫描现在支持可自定义的筛选器。用户可以根据 blob 路径前缀、后缀和 Blob 大小设置上传恶意软件扫描的排除规则。通过排除特定的 Blob 路径和类型（例如日志或临时文件），可以避免不必要的扫描并降低成本。

了解如何配置可自定义的上传恶意软件扫描筛选器。

活动用户（公共预览版）

活动用户功能可帮助安全管理员根据最近的控制平面活动快速识别并分配建议给最相关的用户。对于每个建议，资源、资源组或订阅级别最多建议三个潜在活动用户。管理员可以从列表中选择一个用户，分配建议，并设置截止日期，从而触发分配给分配的用户的通知。这样可简化修正工作流，缩短调查时间，并增强整体安全态势。

Defender for AI Services 正式发布

2025 年 5 月 1 日

Defender for Cloud 现在支持 Azure AI 服务的运行时保护（以前称为 AI 工作负载的威胁防护）。

Azure AI 服务的保护涵盖特定于 AI 服务和应用程序的威胁，例如越狱、钱包滥用、数据泄露、可疑访问模式等。检测使用来自Microsoft威胁智能和 Azure AI 提示防护盾的信号，并应用机器学习和 AI 来保护您的 AI 服务。

详细了解 Defender for AI Services。

智能 Microsoft Security Copilot 副驾驶® 现已在 Defender for Cloud 中正式发布

2025 年 5 月 1 日

Microsoft Security Copilot 现已在 Defender for Cloud 中正式发布。

安全 Copilot 加快了安全团队的风险修正速度，使管理员能够更快、更轻松地应对云风险。它提供 AI 生成的摘要、修正作和委派电子邮件，指导用户完成风险降低过程的每个步骤。

安全管理员可以通过电子邮件向资源所有者快速汇总建议、生成修正脚本和委托任务。这些功能可减少调查时间，帮助安全团队了解上下文中的风险，并识别资源以快速修正。

详细了解 Defender for Cloud 中的 Microsoft Security Copilot。

数据与 AI 的安全仪表板正式发布

2025 年 5 月 1 日

Defender for Cloud 正在增强“数据安全”仪表板，以便在正式发布的新“数据和 AI 安全”仪表板中包含 AI 安全性。该仪表板提供一个集中的平台来监视和管理数据和 AI 资源，以及它们相关的风险和保护状态。

数据和 AI 安全仪表板的主要优势包括：

统一视图：全面了解所有组织数据和 AI 资源。
数据见解：了解数据存储的位置以及保存数据的资源类型。
保护覆盖范围：评估数据和 AI 资源的保护覆盖范围。
关键问题：根据高严重性建议、警报和攻击路径突出显示需要立即关注的资源。
敏感数据发现：查找和汇总云和 AI 数据资产中的敏感数据资源。
AI 工作负载：发现 AI 应用程序占用内容，包括服务、容器、数据集和模型。

详细了解“数据和 AI 安全”仪表板。

Defender CSPM 开始为 Azure Database for MySQL 灵活服务器和 Azure Database for PostgreSQL 灵活服务器资源计费

2025 年 5 月 1 日

更改的估计日期： 2025 年 6 月

从 2025 年 6 月 1 日开始，Microsoft Defender CSPM 将在启用了 Defender CSPM 的订阅中开始为 Azure Database for MySQL 灵活服务器 和 Azure Database for PostgreSQL 灵活服务器 资源计费。这些资源已受 Defender CSPM 保护，无需用户作。计费开始后，帐单可能会增加。

有关详细信息，请参阅 CSPM 计划定价

2025 年 4 月

Date	Category	Update
4 月 29 日	Preview	GCP Vertex AI 中的 AI 姿态管理（预览版）
4 月 29 日	Preview	Defender for Cloud 与 Mend.io 集成（预览版）
4 月 29 日	Change	更新了 GitHub 应用程序权限
4 月 28 日	Change	更新到计算机计划上的 Defender for SQL Server
4 月 27 日	GA	Microsoft Defender for Storage 中上传恶意软件扫描的新默认上限
4 月 24 日	GA	Defender CSPM 计划中 API 安全状况管理本机集成正式发布
4 月 7 日	即将进行的更改	Defender for App Service 警报的增强功能

GCP Vertex AI 中的 AI 姿势管理（预览版）

2025 年 4 月 29 日

Defender for Cloud 的 AI 安全状况管理功能现在支持 Google Cloud Platform （GCP）顶点 AI（预览版）中的 AI 工作负载。

此版本的主要功能包括：

现代 AI 应用探索：自动探索并编录部署在 GCP Vertex AI 中的 AI 应用组件、数据和 AI 工件。
安全态势增强：检测配置错误，并接收内置建议和修正作，以增强 AI 应用程序的安全态势。
攻击路径分析：使用高级攻击路径分析识别和修正风险，以保护 AI 工作负载免受潜在威胁。

这些功能旨在为 AI 资源提供全面的可见性、配置错误检测和加固，确保降低在 GCP Vertex AI 平台上开发的 AI 工作负载的风险。

详细了解AI 安全态势管理。

Defender for Cloud 与 Mend.io 集成（预览版）

2025 年 4 月 29 日

Defender for Cloud 现已与预览版中的 Mend.io 集成。此集成通过识别和缓解合作伙伴依赖项中的漏洞来增强软件应用程序安全性。此集成简化了发现和修正过程，提高了整体安全性。

详细了解 Mend.io 集成。

GitHub 应用程序权限更新

2025 年 4 月 29 日

Defender for Cloud 中的 GitHub 连接器将更新为包含 [自定义属性] 的管理员权限。此权限用于提供新的上下文化功能，并限定为管理自定义属性架构。可通过两种不同的方式授予权限：

在 GitHub 组织中，转到设置中的 GitHub 应用>，找到 Microsoft 安全 DevOps 应用程序，并接受权限请求。
在 GitHub 支持发送的自动电子邮件中，选择审核权限请求以接受或拒绝此更改。

注意：如果未执行上述作，现有连接器将继续工作，而不使用新功能。

更新到计算机计划上的 Defender for SQL Server

2025 年 4 月 28 日

Microsoft Defender for Cloud 中规划的 Defender for SQL Server 可保护 Azure、AWS、GCP 和本地计算机上托管的 SQL Server 实例。

从今天开始，我们将逐步推出针对该计划的代理解决方案的增强版。基于代理的解决方案无需部署 Azure Monitor 代理（AMA），而是使用现有的 SQL 基础结构。该解决方案旨在简化载入过程并提高保护覆盖范围。

所需的客户操作

更新计算机上 SQL 服务器防御者计划的配置：在今天之前启用了 SQL 服务器防御者服务计划的客户必须依据发布的增强代理版本，按照以下说明更新其配置。
验证 SQL Server 实例保护状态：预计开始日期为 2025 年 5 月，客户必须在其环境中验证其 SQL Server 实例的保护状态。了解如何排查计算机配置上 Defender for SQL 的任何部署问题。

Note

智能体升级后，如果其他 SQL Server 实例受到计算机计划上已启用的 Defender for SQL Server 的保护，则可能会遇到计费增加的情况。有关计费信息，请查看 Defender for Cloud 定价页。

Microsoft Defender for Storage 中上传恶意软件扫描的新默认上限

2025 年 4 月 27 日

上传恶意软件扫描的默认上限值已从 5,000 GB 更新为 10,000 GB。此新上限适用于以下方案：

新订阅： 首次启用 Defender for Storage 的订阅。
重新启用的订阅： 以前禁用 Defender for Storage 且现已重新启用的订阅。

为这些订阅启用 Defender for Storage Malware 扫描后，上传恶意软件扫描的默认上限将设置为 10,000GB。此上限是可调整的，以满足你的特定需求。

如需更多详细信息，请参阅有关恶意软件扫描 - 按 GB 计费、每月上限和配置的部分

Defender CSPM 计划中 API 安全状况管理本机集成正式发布

2025 年 4 月 24 日

API 安全状况管理现已正式发布，作为 Defender CSPM 计划的一部分。此版本引入了 API 的统一库存清单以及安全状况洞察，帮助你直接从 Defender CSPM 计划中更有效地识别和确定 API 风险的优先级。可以通过“环境设置”页启用此功能，方法是启用 API 安全状况扩展。

通过此更新，添加了新的风险因素，包括未经身份验证的 API（AllowsAnonymousAccess）的风险因素，以及缺少加密的 API（UnencryptedAccess）。此外，通过 Azure API 管理发布的 API 现在允许映射回任何连接的 Kubernetes 入口和 VM，从而提供对 API 暴露的端到端可见性，并通过攻击路径分析支持风险修正。

Defender for App Service 警报的增强功能

2025 年 4 月 7 日

2025 年 4 月 30 日，将增强 Defender for App Service 警报功能。我们将针对可疑的代码执行行为以及对内部或远程端点的访问添加警报。此外，通过扩展逻辑并删除导致不必要的干扰的警报，改进了相关警报的覆盖范围和降低干扰。在此过程中，将弃用警报“检测到可疑的 WordPress 主题调用”。

2025 年 3 月

Date	Category	Update
3 月 30 日	GA	通过针对 AKS 节点的漏洞评估和恶意软件检测增强的容器保护现已正式发布
3 月 27 日	Preview	Kubernetes 封闭部署（预览版）
3 月 27 日	Preview	可在 Defender for Storage 中自定义上传恶意软件扫描筛选器（预览版）
3 月 26 日	GA	Azure 中对 CMK 的无代理 VM 扫描支持正式发布
3 月 11 日	即将进行的更改	建议严重性级别的即将变更
3 月 3 日	GA	基于 Azure 政府中 Microsoft Defender for Endpoint 的文件完整性监视 (FIM) 正式发布

通过针对 AKS 节点的漏洞评估和恶意软件检测增强的容器保护现已正式发布

2025 年 3 月 30 日

Defender for Cloud 现在为 Azure Kubernetes 服务 (AKS) 中的节点提供正式发布的漏洞评估和恶意软件检测。为这些 Kubernetes 节点提供安全保护，使客户能够在整个托管 Kubernetes 服务中维护安全性和合规性，并了解他们与托管云提供商共同承担的安全责任。要接收新的功能，您必须在订阅中启用对计算机进行无代理扫描，作为 Defender CSPM、Defender for Containers 或 Defender for Servers P2 计划的组成部分。

漏洞评估

Azure 门户中现在提供了新的建议： AKS 节点应已解决漏洞发现。 使用此建议，现在可以查看和修正在 Azure Kubernetes 服务（AKS）节点上发现的漏洞和 CVE。

恶意软件检测

当无代理恶意软件检测功能在 AKS 节点中检测到恶意软件时，将触发新的安全警报。无代理恶意软件检测利用 Microsoft Defender 防病毒反恶意软件引擎来扫描和检测恶意文件。若检测到任何威胁，系统会将安全警报定向到 Defender for Cloud 和 Defender XDR 中，用户可在其中进行调查和修正。

注意： AKS 节点的恶意软件检测仅适用于 Defender for Containers 或 Defender for Servers P2 启用的环境。

Kubernetes 封闭部署（预览版）

2025 年 3 月 27 日

我们将 Kubernetes 封闭部署（预览版）功能引入 Defender for Containers 计划。 Kubernetes 封闭部署是一种机制，通过控制违反组织安全策略的容器映像的部署来增强 Kubernetes 安全性。

此功能基于两项新功能：

漏洞查找项目：为扫描漏洞评估的每个容器映像生成发现。
安全规则：添加安全规则来提醒或阻止将易受攻击的容器映像部署到 Kubernetes 群集。

自定义安全规则：客户可以自定义各种环境的安全规则、组织内的 Kubernetes 群集或命名空间的安全规则，以实现根据特定需求和符合性要求定制的安全控制。

安全规则的可配置操作

审核：尝试部署易受攻击的容器映像会触发“审核”作，生成包含容器映像冲突详细信息的建议。
拒绝：尝试部署易受攻击的容器映像会触发“拒绝”作，以防止部署容器映像，确保仅部署安全且合规的映像。

端到端安全性：将易受攻击的容器映像部署保护定义为第一个安全规则，我们将引入端到端 Kubernetes 安全防护机制，确保易受攻击的容器不会进入客户的 Kubernetes 环境。

有关此功能的详细信息，请参阅封闭式部署解决方案概述。

可在 Defender for Storage 中自定义上传恶意软件扫描筛选器（预览版）

2025 年 3 月 27 日

了解如何配置可自定义的上传恶意软件扫描筛选器。

Azure 中对 CMK 的无代理 VM 扫描支持正式发布

2025 年 3 月 26 日

使用 CMK 加密磁盘的 Azure VM 的无代理扫描功能现已正式发布。 Defender CSPM 计划和 Defender for Servers P2 都支持 VM 的无代理扫描，现在所有云都支持 CMK

了解如何使用 CMK 加密磁盘为 Azure VM 启用无代理扫描。

即将对建议严重性级别的更改

2025 年 3 月 11 日

我们正在增强建议的严重性级别，以提高风险评估和优先级。作为此更新的一部分，我们重新评估了所有严重性分类，并引入了新的级别 - 关键级别。以前，建议分为三个级别：低、中和高。通过此更新，现在有四个不同的级别：低、中、高和关键，提供更精细的风险评估，帮助客户专注于最紧迫的安全问题。

因此，客户可能会注意到现有建议的严重性发生更改。此外，仅面向 Defender CSPM 客户的风险级别评估也可能受到影响，因为考虑了建议严重性和资产上下文。这些调整可能会影响总体风险级别。

预计的更改将于 2025 年 3 月 25 日进行。

基于 Azure 政府中 Microsoft Defender for Endpoint 的文件完整性监视 (FIM) 正式发布

2025 年 3 月 3 日

基于 Microsoft Defender for Endpoint 的文件完整性监视现已在 Azure 政府版（GCCH）中正式发布，作为 Defender for Servers 计划 2 的一部分。

通过实时监视关键文件和注册表并审核更改，满足合规要求。
通过检测可疑文件内容更改来识别潜在的安全问题。

这种改进的 FIM 体验用 Log Analytics 代理 (MMA) 停用取代了现有的弃用体验。 Azure 政府将继续支持基于 MMA 的 FIM 体验，直到 2023 年 3 月底。

在此版本中发布了一个产品内体验，你可将基于 MMA 的 FIM 配置迁移到基于 Defender for Endpoint 的新 FIM。

有关如何通过 Defender for Endpoint 启用 FIM 的信息，请参阅使用 Microsoft Defender for Endpoint 进行文件完整性监视。有关如何禁用早期版本并使用迁移工具的信息，请参阅从以前的版本迁移文件完整性监视。

Important

目前没有计划在世纪互联运营的 Azure 和 GCCM 云中支持文件完整性监视的可用性。

2025 年 2 月

Date	Category	Update
2 月 27 日	Change	改进了 AWS EC2 资源名称显示
2 月 27 日	GA	Microsoft Defender for Storage 中的按需恶意软件扫描
2 月 27 日	GA	Defender for Storage 恶意软件扫描支持最高 50GB 的 Blob
2 月 23 日	Preview	针对 AKS 运行时容器的容器注册表无关无代理漏洞评估（预览版）
2 月 23 日	Preview	“数据和 AI 安全”仪表板（预览版）
2 月 19 日	Preview	MDC 成本计算器（预览版）
2 月 19 日	Preview	31 个新的和增强的多云监管标准覆盖范围

改进了 AWS EC2 资源名称显示

2025 年 2 月 27 日

更改的估计日期： 2025 年 3 月

我们正在增强如何在平台中显示 AWS EC2 实例的资源名称。如果 EC2 实例定义了“name”标记，则 “资源名称 ”字段现在将显示该标记的值。如果没有“name”标记， “资源名称 ”字段将继续像以前一样显示 实例 ID 。资源 ID 仍将在 “资源 ID ”字段中提供供参考。

使用 EC2“name”标记，可以轻松使用自定义有意义的名称而不是 ID 来标识资源。这使得查找和管理特定实例更快，减少了搜索或交叉引用实例详细信息所花费的时间和精力。

Microsoft Defender for Storage 中的按需恶意软件扫描

2025 年 2 月 27 日

Microsoft Defender for Storage 中的按需恶意软件扫描（现已正式发布）支持在需要时扫描 Azure 存储帐户中的现有 Blob。可以从 Azure 门户 UI 或通过 REST API 启动扫描，支持通过逻辑应用、自动化 playbook 和 PowerShell 脚本实现自动化。此功能将 Microsoft Defender 防病毒与最新的恶意软件定义配合用于每次扫描，并在扫描之前在 Azure 门户中提供前期成本估计。

用例：

事件响应：检测可疑活动后扫描特定存储帐户。
安全基线：首次启用 Defender for Storage 时扫描所有存储的数据。
符合性：将自动化设置为计划有助于满足法规和数据保护标准的扫描。

有关详细信息，请参阅按需恶意软件扫描。

Defender for Storage 恶意软件扫描支持最高 50 GB 的 Blob

2025 年 2 月 27 日

Defender for Storage 恶意软件扫描现在支持大小高达 50GB 的 Blob（以前限制为 2GB）。

请注意，对于上传大型 Blob 的存储帐户，增加的 Blob 大小限制将导致每月费用增加。

若要避免意外的高费用，可能需要对每月扫描的总 GB 设置适当的上限。有关详细信息，请参阅上传时恶意软件扫描的成本控制。

针对 AKS 运行时容器的容器注册表无关无代理漏洞评估（预览版）

2025 年 2 月 23 日

Defender for Containers 和 Defender for Cloud Security Posture Management（CSPM）计划现在包括针对 AKS 运行时容器的无需依赖特定容器注册表的无代理漏洞评估。除了扫描 AKS 群集中运行的 Kubernetes 加载项和第三方工具外，此增强功能还扩展了漏洞评估范围，包括包含来自任何注册表（不限于受支持注册表）的映像正在运行的容器。若要启用此功能，请确保在 Defender for Cloud 环境设置中为订阅启用了 无代理计算机扫描 。

“数据和 AI 安全”仪表板（预览版）

2025 年 2 月 23 日

Defender for Cloud 正在增强“数据安全”仪表板，以便在新的“数据和 AI 安全”仪表板（预览版）中包含 AI 安全性。该仪表板提供一个集中的平台来监视和管理数据和 AI 资源，以及它们相关的风险和保护状态。

“数据和 AI 安全”仪表板的主要优势包括：

统一视图：全面了解所有组织数据和 AI 资源。
数据见解：了解数据存储的位置以及保存数据的资源类型。
保护覆盖范围：评估数据和 AI 资源的保护覆盖范围。
关键问题：根据高严重性建议、警报和攻击路径突出显示需要立即关注的资源。
敏感数据发现：查找和汇总云和 AI 数据资产中的敏感数据资源。
AI 工作负载：发现 AI 应用程序占用内容，包括服务、容器、数据集和模型。

详细了解“数据和 AI 安全”仪表板。

MDC 成本计算器（预览版）

2025 年 2 月 19 日

我们很高兴推出新的 MDC 成本计算器，帮助你轻松估算与保护云环境相关的成本。此工具量身定制，便于你清晰、准确地了解你的支出，从而确保你能够有效地进行规划和预算。

为何要使用成本计算器？

我们的成本计算器可用于定义保护需求的范围，从而简化了估算成本的过程。选择要启用的环境和计划，然后计算器会自动填充每个计划的可计费资源，包括任何适用的折扣。你将毫无意外地全面了解你的潜在成本。

主要功能：

范围定义： 选择感兴趣的计划和环境。计算器会执行发现过程，自动填充每个环境中每个计划的计费单位数。

自动调整和手动调整：该工具支持自动收集数据和手动调整。可修改单位数量和折扣级别，以查看更改如何影响总体成本。

综合成本估算：计算器为每个计划提供估算值并提供总成本报告。你会获得详细的成本明细，更轻松地理解和管理支出。

多云支持： 我们的解决方案适用于所有受支持的云，确保无论云提供商如何，都能获得准确的成本估算。

导出和共享：获得成本估算后，可以轻松导出和共享该值进行预算规划和审批。

31 个新的和增强的多云监管标准覆盖范围

2025 年 2 月 19 日

我们很高兴地宣布，在 Azure、AWS 和 GCP 的 Defender for Cloud 中增强和扩展了对超过 31 个安全和监管框架的支持。这种增强简化了实现和维护合规性的路径，降低了数据泄露的风险，并帮助避免罚款和声誉损害。

新的和增强的框架包括：

Standards	Clouds
EU 2022 2555 (NIS2) 2022	Azure、AWS、GCP
欧盟一般数据保护条例 (GDPR) 2016 679	Azure、AWS、GCP
NIST CSF v2.0	Azure、AWS、GCP
NIST 800 171 Rev3	Azure、AWS、GCP
NIST SP 800 53 R5.1.1	Azure、AWS、GCP
PCI DSS v4.0.1	Azure、AWS、GCP
CIS AWS 基金会 v3.0.0	AWS
CIS Azure 基础 v2.1.0	Azure
CIS Controls v8.1	Azure、AWS、GCP
CIS GCP 基础 v3.0	GCP
HITRUST CSF v11.3.0	Azure、AWS、GCP
SOC 2023	Azure、AWS、GCP
SWIFT客户安全控制框架2024	Azure、AWS、GCP
ISO IEC 27001:2022	Azure、AWS、GCP
ISO IEC 27002:2022	Azure、AWS、GCP
ISO IEC 27017:2015	Azure、AWS、GCP
网络安全成熟度模型认证 (CMMC) Level 2 v2.0	Azure、AWS、GCP
AWS 架构良好的框架 2024	AWS
加拿大联邦 PBMM 3.2020	Azure、AWS、GCP
APRA CPS 234 2019	Azure、AWS
CSA 云控制矩阵 v4.0.12	Azure、AWS、GCP
Cyber Essentials v3.1	Azure、AWS、GCP
刑事司法信息系统安全政策 v5.9.5	Azure、AWS、GCP
FFIEC CAT 2017	Azure、AWS、GCP
巴西通用数据保护法 (LGPD) 2018	Azure
NZISM v3.7	Azure、AWS、GCP
萨班斯•奥克斯利法案 2022 (SOX)	Azure、AWS
NCSC Cyber Assurance Framework (CAF) v3.2	Azure、AWS、GCP

这紧随几个月前最近发布的 CIS Azure Kubernetes 服务 (AKS) v1.5、CIS Google Kubernetes 引擎 (GKE) v1.6 和 CIS Amazon Elastic Kubernetes 服务 (EKS) v.15。

有关 Defender for Cloud 法规合规性产品/服务的详细信息，请了解详细信息>

2025 年 1 月

Date	Category	Update
1 月 30 日	GA	更新容器注册表的扫描条件
1 月 29 日	Change	基于 MDVM 技术支持的容器漏洞评估扫描的功能增强
1 月 27 日	GA	为 GCP 连接器添加了权限以支持 AI 平台
1 月 20 日	Change	由 GC 提供技术支持的 Linux 基线建议的增强功能

更新容器注册表的扫描标准

2025 年 1 月 30 日

我们正在更新所有云和外部注册表（Azure、 AWS、 GCP、 Docker、 JFrog）的注册表映像预览建议中的注册表映像扫描条件之一。

有什么变化？

目前，在映像被推送到注册表后，我们将映像重新扫描 90 天。现在将改回扫描 30 天。

Note

注册表映像上的容器漏洞评估 (VA) 的相关 GA 建议没有更改。

针对由 MDVM 提供技术支持的容器漏洞评估扫描的增强功能

2025 年 1 月 29 日

我们很高兴宣布通过以下更新增强了对容器漏洞评估扫描的覆盖范围：

其他编程语言：现在支持 PHP、Ruby 和 Rust。
扩展 Java 语言支持：包括扫描分离型 JAR。
改进了内存使用：读取大型容器映像文件时优化了性能。

为 GCP 连接器添加了权限以支持 AI 平台

2025 年 1 月 27 日

GCP 连接器现在具有了其他权限，可支持 GCP AI 平台 (Vertex AI)：

aiplatform.batchPredictionJobs.list
aiplatform.customJobs.list
aiplatform.datasets.list
aiplatform.datasets.get
aiplatform.endpoints.getIamPolicy
aiplatform.endpoints.list
aiplatform.indexEndpoints.list
aiplatform.indexes.list
aiplatform.models.list
aiplatform.models.get
aiplatform.pipelineJobs.list
aiplatform.schedules.list
aiplatform.tuningJobs.list
discoveryengine.dataStores.list
discoveryengine.documents.list
discoveryengine.engines.list
notebooks.instances.list

由 GC 提供技术支持的 Linux 基线建议的增强功能

2025 年 1 月 20 日

我们正在增强基线 Linux（由 GC 提供技术支持）功能，以提高其准确度和覆盖范围。在 2 月，你可能会注意到一些更改，例如更新后的规则名称和其他规则。这些改进旨在使基线评估更准确和保持最新状态。有关更改的详细信息，请参阅相关博客

某些变更可能包括其他对“公共预览版”的更改。此更新对你有所助益，我们希望让你随时了解情况。如果你愿意，可以从资源中免除建议或删除 GC 扩展来退出此建议。

2024 年 12 月

Date	Category	Update
12 月 31 日	GA	对现有云连接器扫描间隔的更改
12 月 22 日	GA	需要进行 Microsoft Defender for Endpoint 客户端版本更新才能使用文件完整性监视 (FIM) 体验
12 月 17 日	Preview	将 Defender for Cloud CLI 与常用 CI/CD 工具集成
12 月 10 日	GA	Defender for Cloud 设置体验
12 月 10 日	GA	适用于云环境的 Defender for Cloud 扫描的修订间隔选项
12 月 17 日	GA	敏感度扫描功能现在包括 Azure 文件共享

对现有云连接器扫描间隔的更改

2024 年 12 月 31 日

本月早些时候，发布了一项更新，内容涉及修订后的 Defender for Cloud 用于扫描云环境的时间间隔选项。扫描间隔设置确定 Defender for Cloud 发现服务扫描云资源的频率。此更改可确保扫描流程更加均衡，从而优化性能，并最大程度地降低达到 API 限制的风险。

现有 AWS 和 GCP 云连接器的扫描间隔设置将会更新，以确保 Defender for Cloud 具备扫描云环境的能力。

将进行以下调整：

当前设置为 1-3 小时的间隔将更新为 4 小时。
当前设置为 5 小时的间隔将更新为 6 小时。
当前设置为 7-11 小时的间隔将更新为 12 小时。
间隔为13小时或更长的时间将更新为24小时。

如果你希望采用不同的扫描间隔，可以使用环境设置页面来调整云连接器。这些更改将于 2025 年 2 月初自动应用于所有客户，无需执行进一步操作。

敏感度扫描功能现在包括 Azure 文件共享

2024 年 12 月 17 日

除了 Blob 容器之外，Defender for Cloud 的云安全态势管理 (CSPM) 敏感度扫描功能现在还包括 Azure 文件共享正式发布版。

在此更新之前，在订阅上启用 Defender CSPM 计划会自动扫描存储帐户中的 Blob 容器以获取敏感数据。通过此更新，Defender for CSPM 的敏感度扫描功能现在包括这些存储帐户中的文件共享。此增强功能改进了敏感存储帐户的风险评估和保护，从而可对潜在风险进行更全面的分析。

详细了解敏感度扫描。

将 Defender for Cloud CLI 与常用 CI/CD 工具集成

Microsoft Defender for Cloud 中的 Defender for Cloud CLI 扫描功能与常用 CI/CD 工具的集成现已提供公共预览版。现可将 CLI 用于 CI/CD 管道，以扫描和识别容器化源代码中的安全漏洞。此功能可协助开发团队在管道执行期间检测和解决代码漏洞。它要求针对 Microsoft Defender for Cloud 进行身份验证，并要求修改管道脚本。扫描结果会上传到 Microsoft Defender for Cloud，便于安全团队查看并将结果与容器注册表中的容器相关联。此解决方案自动且持续提供见解，加快风险检测和响应速度，确保安全的同时不会中断工作流。

用例：

在 CI/CD 工具中扫描管道：安全地监视调用 CLI 的所有管道。
早期漏洞检测：在管道中发布结果，并将结果发送到 Microsoft Defender for Cloud。
持续安全见解：在开发周期内随时掌握安全情况并快速响应，而不会影响工作效率。

有关详细信息，请参阅将 Defender for Cloud CLI 与常用 CI/CD 工具集成。

Defender for Cloud 设置体验

2024 年 12 月 10 日

设置体验允许你通过连接云基础设施、代码存储库和外部容器注册表等云环境，迈出使用 Microsoft Defender for Cloud 的第一步。

在设置云环境的过程中，你将得到指导，以便使用先进的安全性计划来保护你的资产，轻松执行快速操作以大规模提高安全覆盖范围，了解连接问题，并接收新安全功能的通知。可以通过在 Defender for Cloud 菜单中选择“设置”来访问新的体验。

适用于云环境的 Defender for Cloud 扫描的修订间隔选项

2024 年 12 月 10 日

与 AWS、GCP、Jfrog 和 DockerHub 相关联的云连接器的扫描间隔选项已得到修订。扫描间隔功能允许你控制 Defender for Cloud 发起云环境扫描的频率。在添加或编辑云连接器时，可以将扫描间隔设置为 4 小时、6 小时、12 小时或 24 小时。新连接器的默认扫描间隔为 12 小时。

需要进行 Microsoft Defender for Endpoint 客户端版本更新才能使用文件完整性监视 (FIM) 体验

2025 年 6 月

从 2025 年 6 月开始，文件完整性监视（FIM）需要最低 Defender for Endpoint（MDE）客户端版本。请确保使用的客户端版本不低于以下版本，以便能够继续在 Microsoft Defender for Cloud 中享受 FIM 带来的益处：Windows 系统需达到 10.8760 版本，Linux 系统需达到 30.124082 版本。了解详细信息

2024 年 11 月

Date	Category	Update
11 月 28 日	Preview	敏感度扫描功能现在包括 Azure 文件共享（预览版）
11 月 26 日	Change	敏感度标签同意更改
11 月 26 日	Change	敏感度标签更改
11 月 25 日	Preview	Defender for Storage 恶意软件扫描支持最高 50GB 的 Blob
11 月 19 日	Preview	针对托管 Kubernetes 环境的 CIS 标准的更新版本及新的建议
11 月 19 日	Preview	高级搜寻中的 Kubernetes 云进程事件的公共预览版
11 月 19 日	Deprecation	弃用漏洞管理中的自带许可 (BYOL) 功能
11 月 19 日	Preview	Microsoft Defender for Cloud 中的无代理代码扫描
11 月 19 日	Preview	Microsoft Defender for Storage 中的按需恶意软件扫描（预览版）
11 月 18 日	Preview	Defender for Containers 的 JFrog Artifactory 容器注册表支持
11 月 18 日	GA	AI 安全状况管理现已正式发布 (GA)
11 月 18 日	GA	Microsoft Defender for Cloud 中的关键资产保护
11 月 18 日	GA	增强容器的关键资产保护
11 月 18 日	GA	检测和响应容器威胁的增强功能
11 月 15 日	Preview	Defender CSPM 计划中的 API 安全态势管理原生集成现已开放公共预览
11 月 13 日	Preview	通过针对 AKS 节点的漏洞评估和恶意软件检测增强了容器保护
11 月 7 日	GA	增强的 Kubernetes (K8s) 警报文档和模拟工具
11 月 6 日	GA	增强了对 API 敏感数据分类的支持
11 月 6 日	公共预览版	新增支持将 Azure API 管理 API 终结点映射到后端计算
11 月 6 日	GA	增强的 API 安全支持，用于多区域 Azure API 管理部署和管理 API 修订版

敏感度扫描功能现在包括 Azure 文件共享（预览版）

2024 年 11 月 28 日

除了 Blob 容器之外，Defender for Cloud 的云安全态势管理 (CSPM) 敏感度扫描功能现在还包括 Azure 文件共享（预览版）。

详细了解敏感度扫描。

2024 年 11 月 26 日

不再需要在“标签”页的“信息保护”部分下选择专用同意按钮，以便受益于在 Microsoft 365 Defender 门户或 Microsoft Purview 门户中配置的自定义信息类型和敏感度标签。

通过此更改，所有自定义信息类型和敏感度标签都会自动导入到 Microsoft Defender for Cloud 门户中。

详细了解数据敏感度设置。

敏感度标签更改

2024 年 11 月 26 日

直到最近，Defender for Cloud 从 Microsoft 365 Defender 门户导入了满足以下两个条件的所有敏感度标签：

范围设置为“Items -> Files”或“Items -> Emails”的敏感度标签，位于“信息保护”部分中的“定义标签范围”部分下。
敏感度标签已配置自动标记规则。

截至 2024 年 11 月 26 日，用户界面（UI）中的敏感度标签范围的名称已在 Microsoft 365 Defender 门户和 Microsoft Purview 门户中更新。 Defender for Cloud 现在只会导入应用了“文件和其他数据资产”范围的敏感度标签。 Defender for Cloud 不再导入应用了“电子邮件”范围的标签。

Note

此更改发生前配置为“Items -> Files”的标签会自动迁移到新的“文件和其他数据资产”范围。

详细了解如何配置敏感度标签。

Defender for Storage 对最高 50GB 的 Blob 进行恶意软件扫描（预览版）

2024 年 11 月 25 日

预计更改日期：2024 年 12 月 1 日

从 2024 年 12 月 1 日开始，Defender for Storage 恶意软件扫描将支持最高 50GB 大小的 Blob（之前限制为 2GB）。

请注意，对于上传大型 Blob 的存储帐户，增加的 Blob 大小限制将导致每月费用增加。

为了避免意外的高额费用，可能需要对每月扫描的总 GB 设置适当的上限。有关详细信息，请参阅上传时恶意软件扫描的成本控制。

更新了针对托管 Kubernetes 环境的 CIS 标准版本，并新增建议。

2024 年 11 月 19 日

Defender for Cloud 的法规合规性仪表板现在提供更新版本的 Center for Internet Security (CIS) 标准，用于评估托管 Kubernetes 环境的安全状况。

在该仪表板中，可以将以下标准分配给 AWS/EKS/GKE Kubernetes 资源：

CIS Azure Kubernetes 服务 (AKS) v1.5.0
CIS Google Kubernetes 引擎（GKE） v1.6.0
CIS Amazon Elastic Kubernetes 服务（EKS） v1.5.0

为了确保这些标准的覆盖深度达到最佳水平，我们还发布了 79 个新的以 Kubernetes 为中心的建议，从而丰富了我们的覆盖范围。

若要使用这些新建议，请分配上面列出的标准或创建自定义标准，并在其中添加一个或多个新评估。

高级搜寻中的 Kubernetes 云进程事件的公共预览版

我们宣布在高级搜寻中发布了 Kubernetes 云进程事件的预览版。此功能强大的集成提供有关跨多云环境发生的 Kubernetes 进程事件的详细信息。可以使用它来发现可通过进程详细信息观察到的威胁，例如在云基础结构中调用的恶意进程。有关详细信息，请参阅 CloudProcessEvents。

弃用漏洞管理中的 Bring your own License (BYOL) 功能

2024 年 11 月 19 日

预计更改日期：

2025 年 2 月 3 日：该功能将不再可用于加入新计算机和订阅。
2025 年 5 月 1 日：该功能将完全弃用，且不再可用。

作为我们改进 Defender for Cloud 安全体验工作的一部分，我们正在简化漏洞评估解决方案。我们正在删除 Defender for Cloud 中的“自带许可”功能。现在，你将使用 Microsoft 安全风险管理连接器实现更无缝、集成和完整的解决方案。

建议过渡到 Microsoft 安全风险管理中新的连接器解决方案。我们的团队将提供支持，帮你完成这一转换。

有关使用连接器的详细信息，请参阅在 Microsoft 安全风险管理中连接数据源的概述 - Microsoft 安全风险管理。

Microsoft Defender for Cloud 中的无代理代码扫描（预览版）

2024 年 11 月 19 日

Microsoft Defender for Cloud 中的无代理代码扫描现已提供公共预览版。它通过一个连接器为 Azure DevOps 组织中的所有存储库提供快速且可缩放的安全性。此解决方案可帮助安全团队在 Azure DevOps 环境中查找和修复代码和基础结构即代码 (IaC) 配置中的漏洞。它不需要代理、管道更改或开发人员工作流的中断，使设置和维护变得简单。它独立于持续集成和持续部署 (CI/CD) 管道运行。该解决方案提供持续和自动化的见解，以加快风险检测和响应速度，确保安全且不会中断工作流。

用例：

组织范围的扫描： 可以使用一个连接器安全地监视 Azure DevOps 组织中的所有存储库。
早期漏洞检测：快速查找代码和 IaC 风险，以便进行主动风险管理。
持续安全见解：在不影响工作效率的情况下，跨开发周期保持可见性并快速响应。

有关详细信息，请参阅 Microsoft Defender for Cloud 中的无代理代码扫描。

Microsoft Defender for Storage 中的按需恶意软件扫描（预览版）

2024 年 11 月 19 日

Microsoft Defender for Storage 中的按需恶意软件扫描（现在以公共预览版提供）支持在需要时扫描 Azure 存储帐户中的现有 Blob。可以从 Azure 门户 UI 或通过 REST API 启动扫描，支持通过逻辑应用、自动化 playbook 和 PowerShell 脚本实现自动化。此功能将 Microsoft Defender 防病毒与最新的恶意软件定义配合用于每次扫描，并在扫描之前在 Azure 门户中提供前期成本估计。

用例：

事件响应：检测可疑活动后扫描特定存储帐户。
安全基线：首次启用 Defender for Storage 时扫描所有存储的数据。
符合性：将自动化设置为计划有助于满足法规和数据保护标准的扫描。

有关详细信息，请参阅按需恶意软件扫描。

Defender for Containers 的 JFrog Artifactory 容器注册表支持（预览版）

2024 年 11 月 18 日

此功能扩展了 Microsoft Defender for Containers 对外部注册表的覆盖，以包含 JFrog Artifactory。你的 JFrog Artifactory 容器映像使用 Microsoft Defender 漏洞管理进行扫描，以识别安全威胁并缓解潜在的安全风险。

AI 安全状况管理现已正式发布 (GA)

2024 年 11 月 18 日

Defender for Cloud 的 AI 安全状况管理功能现已正式发布 (GA)。

Defender for Cloud 通过以下方式降低跨云 AI 工作负载中的风险：

发现生成式 AI 物料清单 (AI BOM)，其中包括从代码到云的应用程序组件、数据和 AI 工件。
通过内置建议以及探查并修正安全风险，改进生成式 AI 应用程序的安全态势。
使用攻击路径分析来识别并修正风险。

详细了解AI 安全态势管理。

Microsoft Defender for Cloud 中的关键资产保护

2024 年 11 月 18 日

今天，我们很高兴地宣布在 Microsoft Defender for Cloud 中正式发布关键资产保护。该功能使安全管理员能够标记对其组织至关重要的“皇冠珠宝”资源，使 Defender for Cloud 能够为这些资产提供最高级别的保护，并优先处理这些资产上的安全问题。详细了解关键资产保护。

除了正式发布版本外，我们还将扩展对标记 Kubernetes 和非人类标识资源的支持。

增强容器重要资产的保护措施

2024 年 11 月 18 日

已扩展关键资产保护，以支持容器的其他用例。

用户现在可以根据资产 Kubernetes 命名空间和/或资产 Kubernetes 标签创建自定义规则，将 Kubernetes 管理的资产（工作负载、容器等）标记为关键资产。

与其他关键资产保护用例一样，Defender for Cloud 会考虑风险优先级、攻击路径分析和安全资源管理器的资产关键性。

检测和响应容器威胁的增强功能

2024 年 11 月 18 日

Defender for Cloud 提供了一套新功能，使 SOC 团队能够以更高的速度和精度处理云原生环境中的容器威胁。这些增强功能包括威胁分析、GoHunt 功能、Microsoft Security Copilot 引导式响应，以及 Kubernetes Pod 的云原生响应操作。

介绍适用于 Kubernetes Pod 的云原生响应操作（预览版）

Defender for Cloud 现在为 Kubernetes Pod 提供多云响应操作，只能从 Defender XDR 门户进行访问。这些功能增强了 AKS、EKS 和 GKE 群集的事件响应。

下面是新的响应操作：

网络隔离 - 立即阻止发送到 Pod 的所有流量，防止横向移动和数据外泄。需要在 kubernetes 群集上配置网络策略。

Pod 终止 - 快速终止可疑 Pod，停止恶意活动，而不会中断更广泛的应用程序。

这些操作使 SOC 团队能够在各个云环境中有效地遏制威胁。

容器的威胁分析报告

我们引入了专用威胁分析报告，旨在借此全面了解针对容器化环境的威胁。此报告为 SOC 团队提供见解，以检测和应对 AKS、EKS 和 GKE 群集上的最新攻击模式。

关键亮点：

详细分析 Kubernetes 环境中的主要威胁和相关攻击技术。
提供可操作的建议，以加强云原生安全状况并缓解新出现的风险。

GoHunt for Kubernetes Pod 和 Azure 资源

GoHunt 现在扩展了其搜寻功能，以在 Defender XDR 门户中包括 Kubernetes Pod 和 Azure 资源。此功能增强了主动威胁搜寻能力，使 SOC 分析师能够跨云原生工作负载进行深入调查。

主要功能：

用于在 Kubernetes Pod 和 Azure 资源中检测异常的高级查询功能，为威胁分析提供更丰富的上下文。
与 Kubernetes 实体无缝集成，以高效搜寻并调查威胁。

Kubernetes Pod 的 Security Copilot 引导式响应

介绍Kubernetes Pod的引导响应功能，该功能由Security Copilot提供支持。这一新功能提供实时的分步指导，帮助 SOC 团队快速有效地应对容器威胁。

主要优势：

针对常见 Kubernetes 攻击场景定制的上下文响应剧本。
Security Copilot 的实时专业支持，弥合知识缺口，更快解决问题。

Defender CSPM 计划中的 API 安全态势管理本地集成现已提供公开预览版本

2024 年 11 月 15 日

API 安全态势管理（预览版）功能现已包含在 Defender CSPM 计划中，并且可以通过环境设置页面下的计划内的扩展来启用。有关详细信息，请参阅改进 API 安全态势（预览版）。

通过针对 AKS 节点的漏洞评估和恶意软件检测增强了容器保护（预览版）

2024 年 11 月 13 日

Defender for Cloud 现在为 Azure Kubernetes 服务 (AKS) 中的节点提供漏洞评估和恶意软件检测，并明确了客户在其与托管云提供商共同承担的安全责任中要负责的事项。

为这些 Kubernetes 节点提供安全保护让客户能够在整个托管 Kubernetes 服务中保持安全与合规。

若要接收新功能，需要在订阅中为 Defender CSPM、Defender for Containers 或 Defender for Servers P2 计划中启用“计算机无代理扫描“选项。

漏洞评估

现在 Azure 门户中提供了一项新建议：AKS nodes should have vulnerability findings resolved。通过此建议，现在可以查看和修正在 Azure Kubernetes 服务 (AKS) 节点上发现的漏洞和 CVE。

恶意软件检测

当无代理恶意软件检测功能在 AKS 节点中检测到恶意软件时，将触发新的安全警报。

无代理恶意软件检测利用 Microsoft Defender 防病毒反恶意软件引擎来扫描和检测恶意文件。若检测到任何威胁，系统会将安全警报定向到 Defender for Cloud 和 Defender XDR 中，用户可在其中进行调查和修正。

Important

AKS 节点的恶意软件检测仅适用于启用了 Defender for Containers 或 Defender for Servers P2 的环境。

升级版 Kubernetes (K8s) 警报文档和仿真工具

2024 年 11 月 7 日

主要功能

基于场景的警报文档：K8s 警报现在根据实际场景记录在案，提供更清晰的指导来应对潜在威胁和建议操作。
Microsoft Defender for Endpoint (MDE) 集成：通过 MDE 提供的额外上下文信息和威胁情报扩充警报内容，从而增强你有效响应的能力。
新的模拟工具：强大的模拟工具可通过模拟各种攻击方案和生成相应的警报来测试安全状况。

Benefits

警报理解的改进：方案化文档提供了对 K8s 警报的更直观理解。
增强的威胁响应：通过有价值的上下文扩充警报内容，可实现更快、更准确的响应。
主动安全测试：新的模拟工具允许你测试安全防御，并提前识别可能被利用的漏洞。

增强了对 API 敏感数据分类的支持

2024 年 11 月 6 日

Microsoft Defender for Cloud 将 API 安全性敏感数据分类功能扩展到 API URL 路径和查询参数以及 API 请求和响应，包括 API 属性中找到的敏感信息源。选择具有敏感数据的 API 管理作时，“攻击路径分析”体验、云安全资源管理器的 “其他详细信息 ”页以及“API 集合详细信息”页下的“API 安全仪表板”中提供了此信息，并提供了对找到的敏感数据的详细见解的新侧上下文菜单。使安全团队能够有效地定位和缓解数据泄露风险。

Note

此更改将包括向现有 Defender for API 和 Defender CSPM 客户进行一次性推出。

新增支持将 Azure API 管理 API 终结点映射到后端计算

2024 年 11 月 6 日

Defender for Cloud 的 API 安全状况现在支持将通过 Azure API 管理网关发布的 API 终结点映射到 Defender 云安全态势管理 (Defender CSPM) 云安全资源管理器中的后端计算资源（例如虚拟机）。此可见性有助于识别路由到后端云计算目标的 API 流量，使你能够检测和解决与 API 终结点及其连接的后端资源相关的风险。

针对多区域 Azure API 管理部署和管理 API 修订版的增强型 API 安全支持

2024 年 11 月 6 日

Defender for Cloud 中的 API 安全覆盖现在将完全支持 Azure API 管理多区域部署，包括对主要区域和次要区域的全面安全态势和威胁检测支持

现在，将在 Azure API 管理 API 级别管理 Defender for API 的加入和登出 API。所有关联的 Azure API 管理修订版都将自动纳入此流程，无需单独管理每个 API 修订的加入和登出。

此更改包括向现有 Defender for API 客户进行一次性推出。

推出详细信息：

该服务将于 11 月 6 日当周面向现有的 Defender for API 客户推出。
如果 Azure API 管理 API 的“当前”修订版已加入 Defender for API，则该 API 的所有相关修订版也将自动加入 Defender for API。
如果 Azure API 管理 API 的“当前”修订版未加入 Defender for API，则任何已加入 Defender for API 的相关 API 修订版都将登出。

2024 年 10 月

Date	Category	Update
10 月 31 日	即将发生的更改	增强的 API 安全支持，用于多区域 Azure API 管理部署和管理 API 修订版
10 月 28 日	GA	MMA 迁移体验现已推出
10 月 21 日	GA	未采用 GitHub Advanced Security 的 GitHub 存储库的安全检测结果现已正式发布
10 月 14 日	即将发生的更改	已弃用三项合规标准
10 月 14 日	即将发生的更改	已弃用三项 Defender for Cloud 标准
10 月 9 日	GA	二进制偏移检测已正式发布
10 月 6 日	Preview	更新了容器运行时建议
10 月 6 日	Preview	安全图中的 Kubernetes 身份验证和访问控制信息
10 月 6 日	Preview	基于 Kubernetes 身份验证和访问控制信息的攻击路径
10 月 6 日	GA	改进了容器的攻击路径分析
10 月 6 日	GA	获取支持的注册表中容器映像的全部信息
10 月 6 日	GA	云安全资源管理器支持的容器软件清单

MMA 迁移体验现已推出

2024 年 10 月 28 日

现在，你可以确保自己的环境都已为预计于 2024 年 11 月底进行的日志分析代理 (MMA) 弃用做好充分准备。

Defender for Cloud 添加了一项新体验，使你能够针对所有存在以下情况的受影响环境大规模执行操作：

缺少获得 Defender for Servers 计划 2 提供的完整安全覆盖范围所需的先决条件。
通过 Log Analytics 工作区使用旧版加入方法连接到 Defender for Servers 计划 2。
使用具有 Log Analytics 代理 (MMA) 的旧文件完整性监视 (FIM) 版本的用户需要迁移到经过改进且具有 Defender for Endpoint (MDE) 的新 FIM 版本。

了解如何使用新的 MMA 迁移流程。

未采用 GitHub Advanced Security 的 GitHub 存储库的安全检测结果现已正式发布

2024 年 10 月 21 日

对于未采用 GitHub Advanced Security 的 GitHub 存储库，用于接收其基础结构即代码 (IaC) 错误配置、容器漏洞和代码弱点的安全检测结果的功能现已正式发布。

请注意，机密扫描、使用 GitHub CodeQL 的代码扫描和依赖项扫描仍需要 GitHub 高级扫描。

若要详细了解所需的许可证，请参阅 DevOps 支持页面。若要了解如何将 GitHub 环境载入 Defender for Cloud，请按照 GitHub 载入指南进行操作。若要了解如何配置 Microsoft 安全 DevOps GitHub 操作，请参阅 GitHub 操作文档。

已弃用三项合规标准

2024 年 10 月 14 日

预计更改日期：2024 年 11 月 17 日

即将从产品中移除三项合规标准：

SWIFT CSP-CSCF v2020（适用于 Azure）- 已由 v2022 版本取代
CIS Microsoft Azure 基础基准 v1.1.0 和 v1.3.0 - 有两个更新的版本可用（v1.4.0 和 v2.0.0）

请参阅可用合规标准，详细了解 Defender for Cloud 中可用的合规标准。

Defender for Cloud 中的三项标准已被弃用

2024 年 10 月 8 日

预计更改日期：2024 年 11 月 17 日

为了方便使用 AWS 帐户和 GCP 项目进行 Defender for Cloud 管理，我们将移除以下三项 Defender for Cloud 标准：

对于 AWS - AWS CSPM
对于 GCP - GCP CSPM 和 GCP 默认值

默认标准 Microsoft 云安全基准 (MCSB) 现在包含这些标准独有的所有评估。

二进制偏移检测已正式发布

2024 年 10 月 9 日

二进制偏移检测现已在 Defender for Container 计划中正式发布。请注意，二进制偏移检测现在适用于所有 AKS 版本。

更新的容器运行时建议（预览版）

2024 年 10 月 6 日

针对“在 AWS/Azure/GCP 中运行的容器应已解决漏洞结果”的预览建议已更新，将属于同一工作负载的所有容器分组到单个建议中，减少重复并避免因新建和终止容器而导致的波动。

自 2024 年 10 月 6 日起，以下评估 ID 将取代这些建议：

Recommendation	以前的评估 ID	新评估 ID
--	--	--
在 Azure 中运行的容器应解决漏洞问题	e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0	c5045ea3-afc6-4006-ab8f-86c8574dbf3d
在 AWS 中运行的容器应解决漏洞问题	d5d1e526-363a-4223-b860-f4b6e710859f	8749bb43-cd24-4cf9-848c-2a50f632043c
在 GCP 中运行的容器应解决漏洞问题	c7c1d31d-a604-4b86-96df-63448618e165	1b3abfa4-9e53-46f1-9627-51f2957f8bba

如果你当前正在通过 API 从这些建议中检索漏洞报告，请确保使用新的评估 ID 更新 API 调用。

安全图中的 Kubernetes 身份验证和访问控制信息（预览版）

2024 年 10 月 6 日

将 Kubernetes 身份验证和访问控制信息添加到安全图中，包括代表所有 Kubernetes 基于角色的访问控制 (RBAC) 相关实体（服务帐户、角色、角色绑定等）的节点，以及代表 Kubernetes 对象之间权限的边缘。客户现在可以查询其 Kubernetes RBAC 的安全图表，以及 Kubernetes 实体之间的相关关系（可凭此身份进行身份验证、可以模拟为、授予角色、访问权限定义者、授予访问权限、有权访问等）

基于 Kubernetes 身份验证和访问控制信息的攻击路径（预览版）

2024 年 10 月 6 日

通过使用安全图中的 Kubernetes RBAC 数据，Defender for Cloud 现在可以检测 Kubernetes、Kubernetes 到云以及 Kubernetes 内部的横向移动，并报告其他攻击路径，攻击者可以在这些攻击路径上滥用 Kubernetes 和云授权，在 Kubernetes 群集之间、从 Kubernetes 集群内部进行横向移动。

改进了容器的攻击路径分析

2024 年 10 月 6 日

去年 11 月发布的新攻击路径分析引擎现在也支持容器用例，可以根据添加到图中的任何数据动态检测云环境中的新型攻击路径。我们现在可以找到更多针对容器的攻击路径，并检测攻击者用来渗透云和 Kubernetes 环境的更复杂、更精密的攻击模式。

在支持的注册表中全面发现容器映像

2024 年 10 月 6 日

Defender for Cloud 现在收集支持的注册表中所有容器映像的清单数据，从而在安全图表中为您的云环境中的所有映像提供完全可见性，包括当前没有任何安全态势建议的映像。

云安全资源管理器提供的查询功能得到了改进，因此用户现在可以根据元数据（摘要、存储库、操作系统、标签等）搜索容器映像。

云安全资源管理器支持的容器软件清单

2024 年 10 月 6 日

客户现在可以通过云安全资源管理器获取其容器和容器映像中安装的软件列表。此列表还可用于快速了解客户环境的其他情况，例如，在 CVE 发布之前，找到受 0 时差漏洞影响的软件的所有容器和容器映像。

2024 年 9 月

Date	Category	Update
9 月 22 日	即将发生的更改	云安全资源管理器体验改进
9 月 18 日	GA	基于 Microsoft Defender for Endpoint 的文件完整性监视正式发布
9 月 18 日	GA	Defender for Cloud 中提供 FIM 迁移体验
9 月 18 日	Deprecation	弃用 MMA 自动预配功能
9 月 15 日	GA	与 Power BI 集成
9 月 11 日	即将发生的更改	更新 CSPM 多云网络要求
9 月 9 日	Deprecation	Defender for Servers 功能弃用
9 月 9 日	GA	西班牙国家安全框架 (Esquema Nacional de Seguridad (ENS)) 已添加到 Azure 的监管合规仪表板
9 月 8 日	GA	修正计算机上的系统更新和修补程序建议
9 月 4 日	GA	ServiceNow 的集成现在包括配置合规性模块
9 月 4 日	即将发生的更改	Defender for Storage（经典）按事务存储保护计划不适用于新订阅
9 月 1 日	GA	Azure Policy 来宾配置现已正式发布 (GA)
9 月 1 日	Preview	Defender for Containers 支持的 Docker Hub 容器注册表公共预览版

云安全浏览器体验改进

2024 年 9 月 22 日

预计更改日期：2024 年 10 月

云安全资源管理器旨在提高性能和网格功能，为每个云资产提供更多数据扩充功能，改进搜索类别，并完善 CSV 导出报告，为导出的云资产提供更多见解。

基于 Microsoft Defender for Endpoint 的文件完整性监视正式发布

2024 年 9 月 18 日

作为 Defender for Servers 计划 2 的一部分，基于 Microsoft Defender for Endpoint 的新版本文件完整性监视现已正式发布。 FIM 使你可以：

通过实时监视关键文件和注册表并审核更改，满足合规要求。
通过检测可疑文件内容更改来识别潜在的安全问题。

这种改进的 FIM 体验用 Log Analytics 代理 (MMA) 停用取代了现有的弃用体验。基于 MMA 的 FIM 体验将一直受支持，直到 2024 年 11 月底。

在此版本中发布了一个产品内体验，你可将基于 MMA 的 FIM 配置迁移到基于 Defender for Endpoint 的新 FIM。

有关如何通过 Defender for Endpoint 启用 FIM 的信息，请参阅使用 Microsoft Defender for Endpoint 进行文件完整性监视。有关如何禁用以前版本的信息，请参阅从以前的版本迁移文件完整性监视。

Defender for Cloud 中提供 FIM 迁移体验

2024 年 9 月 18 日

发布了一个产品内体验，你可将基于 MMA 的 FIM 配置迁移到基于 Defender for Endpoint 的新 FIM。通过此体验，可以：

使用启用 MMA 的以前 FIM 版本检查受影响的环境，并进行必要的迁移。
从基于 MMA 的体验导出当前的 FIM 规则，并驻留在工作区中
通过新的基于 MDE 的 FIM 迁移到启用 P2 的订阅。

若要使用迁移体验，请导航到 “环境设置 ”窗格，然后选择上一行中的 MMA 迁移 按钮。

MMA 自动预配功能弃用

2024 年 9 月 18 日作为 MMA 代理停用的一部分，也将分 2 个阶段弃用为 MDC 客户提供代理安装和配置的自动预配功能：

到 2024 年 9 月底 - 对于不再使用该功能的客户以及新创建的订阅，将禁用 MMA 自动预配。在 9 月底之后，将无法再在这些订阅上重新启用该功能。
2024 年 11 月底 - 将在尚未关闭 MMA 自动预配的订阅上禁用该功能。从该时刻开始，无法再在现有订阅上启用该功能。

与 Power BI 集成

2024 年 9 月 15 日

Defender for Cloud 现在可以与 Power BI 集成。通过此集成，你可以使用 Defender for Cloud 中的数据创建自定义报表和仪表板。你可以使用 Power BI 可视化和分析安全状况、合规性和安全建议。

详细了解全新的 Power BI 集成。

更新 CSPM 多云网络要求

2024 年 9 月 11 日

预计更改日期：2024 年 10 月

从 2024 年 10 月开始，我们将向多云发现服务添加额外的 IP 地址，以适应改进并确保所有用户获得更高效的体验。

若要确保从我们的服务不间断访问，应使用此处提供的新范围更新 IP 允许列表。应对防火墙设置、安全组或可能适用于你的环境的任何其他配置进行必要的调整。该列表足以发挥 CSPM 基础（免费）产品的全部功能。

Defender for Servers 功能弃用

2024 年 9 月 9 日

自适应应用程序控制和自适应网络强化现已弃用。

西班牙国家安全框架 (Esquema Nacional de Seguridad (ENS)) 已添加到 Azure 的监管合规仪表板

2024 年 9 月 9 日

组织现在可以使用 Defender for Cloud 检查其 Azure 环境是否符合 ENS 标准。

ENS 标准适用于西班牙整个公共部门，以及与行政部门合作的供应商。它确立了保护以电子方式处理的信息和服务的基本原则、要求和安全措施。目标是确保访问、机密性、完整性、可跟踪性、真实性、可用性和数据保留。

查看受支持的合规性标准的完整列表。

修正计算机上的系统更新和修补程序建议

2024 年 9 月 8 日

现在可以修正已启用 Azure Arc 的计算机和 Azure VM 上的系统更新和修补程序建议。系统更新和修补程序对于确保计算机安全且正常运行至关重要。更新通常包含漏洞的安全修补程序，如果未修复，攻击者会利用这些漏洞。

现在使用 Azure 更新管理器收集有关缺少的计算机更新的信息。

为了维护计算机系统更新和修补程序的安全性，需要在计算机上启用定期评估更新设置。

了解如何修正计算机上的系统更新和修补程序建议。

ServiceNow 的集成现在包括配置合规性模块

2024 年 9 月 4 日

Defender for Cloud 的 CSPM 计划与 ServiceNow 的集成现在包括 ServiceNow 的配置合规性模块。借助此功能，你可以识别、确定和修正云资产中的配置问题，同时通过自动化工作流程和实时洞察降低安全风险并改善整体合规状况。

详细了解 ServiceNow 与 Defender for Cloud 的集成。

Defender for Storage（经典）按事务存储保护计划不适用于新订阅

2024 年 9 月 4 日

预计更改日期：2025 年 2 月 5 日

2025 年 2 月 5 日之后，你将无法激活传统的 Defender for Storage（经典）按交易存储保护计划，除非你的订阅中已启用该计划。有关详细信息，请参阅迁移到新的 Defender for Storage 计划。

Azure Policy 来宾配置现已正式发布 (GA)

2024 年 9 月 1 日

Defender for Server 的 Azure Policy 来宾配置现已面向所有多云 Defender for Servers 计划 2 客户正式发布 (GA)。来宾配置提供统一的体验，用于管理整个环境的安全基线。它使你能够在服务器上评估并强制实施安全配置，包括 Windows 和 Linux 计算机、Azure VM、AWS EC2 和 GCP 实例。

了解如何在你的环境中启用 Azure Policy 机器配置。

Defender for Containers 支持的 Docker Hub 容器注册表预览版

2024 年 9 月 1 日

我们将推出 Microsoft Defender for Containers 扩展的公开预览版，以包括外部注册表，从 Docker Hub 容器注册表开始。作为组织的 Microsoft 云安全状况管理的一部分，将覆盖范围扩展到 Docker Hub 容器注册表提供了使用 Microsoft Defender 漏洞管理扫描 Docker Hub 容器映像的好处，以识别安全威胁并减轻潜在的安全风险。

有关此功能的更多信息，请参阅 Docker Hub 漏洞评估

2024 年 8 月

Date	Category	Update
8 月 28 日	Preview	基于 Microsoft Defender for Endpoint 的文件完整性监视的新版本
8 月 22 日	即将弃用	停用 Defender for Cloud 警报与 Azure WAF 警报的集成
8 月 1 日	GA	在计算机上大规模启用 Microsoft Defender for SQL 服务器

基于 Microsoft Defender for Endpoint 的文件完整性监视的新版本

2024 年 8 月 28 日

基于 Microsoft Defender for Endpoint 的文件完整性监视的新版本现为公共预览版。它是 Defender for Servers 计划 2 的一部分。这使您能够：

通过实时监视关键文件和注册表并审核更改，满足合规要求。
通过检测可疑文件内容更改来识别潜在的安全问题。

作为此版本的一部分，Defender for Cloud 门户中将不再提供基于 AMA 的 FIM 体验。基于 MMA 的 FIM 体验将一直受支持，直到 2024 年 11 月底。 9 月初将发布产品内体验，你可将基于 MMA 的 FIM 配置迁移到基于 Defender for Endpoint 的新 FIM。

有关如何通过 Defender for Endpoint 启用 FIM 的信息，请参阅使用 Microsoft Defender for Endpoint 进行文件完整性监视。有关如何从以前的版本迁移的信息，请参阅从以前的版本迁移文件完整性监视。

停用 Defender for Cloud 警报与 Azure WAF 警报的集成

2024 年 8 月 22 日

预计更改日期：2024 年 9 月 25 日

Defender for Cloud 警报与 Azure WAF 警报的集成将于 2024 年 9 月 25 日停用。你无需采取任何措施。对于 Microsoft Sentinel 客户，可以配置 Azure Web 应用程序防火墙连接器。

在计算机上大规模启用 Microsoft Defender for SQL 服务器

2024 年 8 月 1 日

现在可以在政府云上大规模启用 Microsoft Defender for SQL Server。使用此功能可以一次性在多台服务器上启用 Microsoft Defender for SQL，从而节省时间和精力。

了解如何在计算机上大规模启用 Microsoft Defender for SQL 服务器。

2024 年 7 月

Date	Category	Update
7 月 31 日	GA	用于终结点保护的增强型发现和配置建议已推出正式版
7 月 31 日	即将更新	弃用自适应网络强化
7 月 22 日	Preview	GitHub 的安全评估不再需要其他许可
7 月 18 日	即将更新	更新了 Defender for Servers 计划 2 中 MMA 弃用的时间线
7 月 18 日	即将更新	弃用与 MMA 相关的功能，作为代理停用的一部分
7 月 15 日	Preview	Defender for Containers 的二进制偏移公共预览版
7 月 14 日	GA	AWS 和 GCP 的自动修正脚本现已正式发布
7 月 11 日	即将更新	GitHub 应用程序权限更新
7 月 10 日	GA	合规标准现已正式发布
7 月 9 日	即将更新	清单体验改进
7 月 8 日	即将更新	在 GitHub 中默认运行的容器映射工具

用于终结点保护的增强型发现和配置建议已推出正式版

2024 年 7 月 31 日

用于终结点保护解决方案的改进发现功能和增强的配置问题识别功能现已推出正式版，并可用于多云服务器。这些更新包含在 Defender for Servers 计划 2 和 Defender 云安全态势管理 (CSPM) 中。

增强的建议功能使用无代理计算机扫描，能够全面发现和评估支持的终结点检测和响应解决方案的配置。当识别到配置问题时，它会提供修正步骤。

通过此正式发布版，将扩展受支持的解决方案列表，包括另外两个终结点检测和响应工具：

SentinelOne 的单一性平台
Cortex XDR

弃用自适应网络强化

2024 年 7 月 31 日

预计更改日期：2024 年 8 月 31 日

将弃用 Defender for Server 的自适应网络强化。

此功能弃用包括以下体验：

建议：应对面向 Internet 的虚拟机应用自适应网络强化建议 [评估密钥： f9f0eed0-f143-47bf-b856-671ea2eeed62]
警报：从建议阻止的 IP 地址检测到的流量

预览版：GitHub 的安全评估不再需要其他许可

2024 年 7 月 22 日

Defender for Cloud 中的 GitHub 用户不再需要 GitHub Advanced Security 许可证即可查看安全调查结果。这适用于生成阶段在容器映像中检测到的代码缺陷、基础结构即代码 (IaC) 配置错误以及漏洞。

使用 GitHub Advanced Security 的客户将继续在 Defender for Cloud 中接收其他安全评估，以获取公开的凭据、开源依赖项中的漏洞和 CodeQL 发现结果。

若要详细了解 Defender for Cloud 中的 DevOps 安全性，请参阅 DevOps 安全性概述。若要了解如何将 GitHub 环境载入 Defender for Cloud，请按照 GitHub 载入指南进行操作。若要了解如何配置Microsoft安全 DevOps GitHub作，请参阅我们的 GitHub作文档。

更新了 Defender for Servers 计划 2 中 MMA 弃用的时间线

2024 年 7 月 18 日

预计更改日期：2024 年 8 月

随着 Log Analytics 代理即将在 8 月弃用，Defender for Cloud 中服务器保护的所有安全价值都将依赖于与 Microsoft Defender for Endpoint (MDE) 集成为单一代理、云平台提供的无代理功能和无代理计算机扫描。

以下功能更新了时间线和计划，因此，通过 MMA 向 Defender for Cloud 客户提供的对这些功能的支持将延长至 2024 年 11 月底：

文件完整性监视 (FIM)：计划于 2024 年 8 月在 MDE 发布 FIM 新版本的公共预览版。 Log Analytics 代理支持的 FIM 正式版将继续支持现有客户，直到 2024 年 11 月底。
安全基线： 作为基于 MMA 的版本的替代方法，基于来宾配置的当前预览版本将于 2024 年 9 月 正式发布。Log Analytics 代理支持的 OS 安全基线将继续支持现有客户，直到 2024 年 11 月底。

有关详细信息，请参阅为停用 Log Analytics 代理做好准备。

2024 年 7 月 18 日

预计更改日期：2024 年 8 月

作为弃用 Microsoft Monitoring Agent (MMA) 和更新的 Defender for Servers 部署策略的一部分，Defender for Servers 的所有安全功能现在都将通过单个代理 (Defender for Endpoint) 或无代理扫描功能提供。这不需要依赖于 MMA 或 Azure Monitoring Agent (AMA)。

随着代理将于 2024 年 8 月停用，以下与 MMA 相关的功能将从 Defender for Cloud 门户中删除：

在 “清单 和资源 运行状况 ”边栏选项卡上显示 MMA 安装状态。
通过 Log Analytics 工作区将新的非 Azure 服务器加入 Defender for Servers 的功能将从 “清单 ”和“ 入门 ”边栏选项卡中删除。

Note

建议使用旧方法载入本地服务器的当前客户现在应通过已启用 Azure Arc 的服务器连接这些计算机。还建议在连接到这些服务器的 Azure 订阅上启用 Defender for Servers 计划 2。

如果已通过旧方法在特定的 Azure VM 上选择性地启用 Defender for Servers 计划 2，请在这些计算机的 Azure 订阅上启用 Defender for Servers 计划 2。使用 Defender for Servers 按资源配置从 Defender for Servers 覆盖范围中排除单个计算机。

这些步骤将确保不会因 Log Analytics 代理停用而丢失安全覆盖范围。

为了保持安全连续性，建议使用 Defender for Servers 计划 2 的客户在订阅上启用无代理计算机扫描以及与 Microsoft Defender for Endpoint集成。

可以使用此自定义工作簿跟踪 Log Analytics 代理 (MMA) 资产，并跨 Azure VM 和 Azure Arc 计算机监视 Defender for Servers 的部署状态。

有关详细信息，请参阅为停用 Log Analytics 代理做好准备。

Defender for Containers 的二进制偏移公共预览版现已发布

我们将介绍 Defender for Containers 的二进制偏移的公共预览版。此功能有助于识别和缓解与容器中未经授权的二进制文件相关的潜在安全风险。二进制偏移可自主识别并发送有关容器内潜在有害二进制进程的警报。此外，二进制偏移允许实施新的二进制偏移策略来控制警报偏好，支持根据特定安全需求定制通知。有关此功能的详细信息，请参阅二进制偏移检测

AWS 和 GCP 的自动修正脚本现已正式发布

2024 年 7 月 14 日

3 月，我们发布了 AWS 和 GCP 到公共预览版的自动修正脚本，该脚本允许你以编程方式大规模修复针对 AWS 和 GCP 的建议。

今天，我们正式发布此功能（推出 GA 版）。了解如何使用自动修正脚本。

GitHub 应用程序权限更新

2024 年 7 月 11 日

预计更改日期：2024 年 7 月 18 日

Defender for Cloud 中的 DevOps 安全性不断进行更新，要求 Defender for Cloud 中具有 GitHub 连接器的客户更新 GitHub 中 Microsoft 安全 DevOps 应用程序的权限。

作为此更新的一部分，GitHub 应用程序需要 GitHub Copilot Business 读取权限。此权限将用于帮助客户更好地保护其 GitHub Copilot 部署。建议尽快更新应用程序。

可通过两种不同的方式授予权限：

在 GitHub 组织中，导航到设置 > GitHub 应用程序内的 Microsoft 安全 DevOps 应用程序并接受权限请求。
在 GitHub 支持发送的自动电子邮件中，选择审核权限请求以接受或拒绝此更改。

合规标准现已正式发布

2024 年 7 月 10 日

3 月份，我们添加了许多新合规标准的预览版，供客户验证他们的 AWS 和 GCP 资源。

这些标准包括 CIS Google Kubernetes Engine (GKE) 基准、ISO/IEC 27001 和 ISO/IEC 27002、CRI 配置文件、CSA 云控制矩阵 (CCM)、巴西通用个人数据保护法 (LGPD)、加州消费者隐私法案 (CCPA) 等。

这些预览版标准现已正式发布 (GA)。

查看受支持的合规性标准的完整列表。

清单体验改进

2024 年 7 月 9 日

预计更改日期：2024 年 7 月 11 日

为提高性能，清单体验将进行更新，包括改进 Azure Resource Graph 中窗格的“打开查询”查询逻辑。 Azure 资源计算背后的逻辑更新可能会导致计算和显示额外的资源。

在 GitHub 中默认运行的容器映射工具

2024 年 7 月 8 日

预计更改日期：2024 年 8 月 12 日

借助 Microsoft Defender 云安全态势管理 (CSPM) 中的 DevOps 安全功能，可以将云原生应用程序从代码映射到云，以便轻松启动开发者修正工作流，并减少修正容器映像中漏洞所需的时间。目前，必须手动配置容器映像映射工具，以在 GitHub 中的 Microsoft Secuity DevOps 操作中运行。通过此更改，容器映射默认作为 Microsoft 安全 DevOps 操作的一部分运行。详细了解 Microsoft Security DevOps 操作。

2024 年 6 月

Date	Category	Update
6 月 27 日	GA	Defender for Cloud 中的 Checkov IaC 扫描。
6 月 24 日	Update	多云 Defender for Containers 的定价变化
6 月 20 日	即将弃用	在 Microsoft Monitoring Agent (MMA) 弃用时弃用自适应建议的提醒。预计将于 2024 年 8 月弃用。
6 月 10 日	Preview	Defender for Cloud 中的 Copilot
6 月 10 日	即将更新	在未配置的服务器上使用快速配置自动启用 SQL 漏洞评估。预计更新时间：2024 年 7 月 10 日。
6 月 3 日	即将更新	对标识建议行为进行了更改预计更新时间：2024 年 7 月 10 日。

GA：Defender for Cloud 中的 IaC 扫描

2024 年 6 月 27 日

我们宣布正式发布 Checkov 集成，以便通过 Microsoft 安全 DevOps（MSDO）扫描基础结构即代码（IaC）。作为此版本的一部分，Checkov 将替换 TerraScan 成为默认 IaC 分析器，该分析器作为 MSDO 命令行接口 (CLI) 的一部分运行。 TerraScan 可能仍可以通过 MSDO 的环境变量手动配置，但默认情况下不会运行。

来自 Checkov 的安全发现将在评估下以建议的形式呈现给 Azure DevOps 和 GitHub 存储库：Azure DevOps 存储库应该已解决基础结构即代码发现和GitHub 存储库应该已解决基础结构即代码发现。

若要详细了解 Defender for Cloud 中的 DevOps 安全性，请参阅 DevOps 安全性概述。若要了解如何配置 MSDO CLI，请参阅 Azure DevOps 或 GitHub 文档。

更新：多云环境中 Defender for Containers 的定价变化

2024 年 6 月 24 日

由于多云环境中的 Defender for Containers 现已正式发布，因此不再免费。有关详细信息，请参阅 Microsoft Defender for Cloud 定价。

弃用：提醒弃用自适应建议

2024 年 6 月 20 日

预计更改日期：2024 年 8 月

作为 MMA 弃用和 Defender for Servers 更新部署策略的一部分，Defender for Servers 安全功能将通过 Microsoft Defender for Endpoint (MDE) 代理提供，或通过无代理扫描功能提供。这两个选项都不依赖于 MMA 或 Azure Monitor 代理 (AMA)。

自适应安全建议（称为自适应应用程序控制和自适应网络强化）将停用。基于 MMA 的当前 GA 版本和基于 AMA 的预览版将于 2024 年 8 月弃用。

预览版：Defender for Cloud 中的 Copilot

2024 年 6 月 10 日

我们宣布以公共预览版提供 Microsoft Security Copilot 与 Defender for Cloud 的集成。 Copilot 在 Defender for Cloud 中的嵌入式体验为用户提供了以自然语言提问和获取答案的能力。 Copilot 可帮助了解建议的上下文、实施建议的效果、实施建议所需的步骤、协助委派建议以及协助修正代码中的错误配置。

详细了解 Defender for Cloud 中的 Microsoft Security Copilot。

更新：SQL 漏洞评估自动启用

2024 年 6 月 10 日

预计更改日期：2024 年 7 月 10 日

最初，具有快速配置的 SQL 漏洞评估 (VA) 仅在 2022 年 12 月引入快速配置后激活了 Microsoft Defender for SQL 的服务器上自动启用。

我们将更新在 2022 年 12 月之前激活 Microsoft Defender for SQL 且现有 SQL VA 策略未设置好的所有 Azure SQL Server，以便使用快速配置自动启用 SQL 漏洞评估 (SQL VA)。

此更改的实现将逐步完成，跨越数周，无需用户方执行任何操作。
此更改适用于在 Azure 订阅级别激活 Microsoft Defender for SQL 的 Azure SQL Server。
具有现有经典配置（无论有效还是无效）的服务器不会受到此更改的影响。
激活后，可能会出现“SQL 数据库应已解决漏洞结果”建议，并且可能会影响你的安全功能分数。

更新：对标识建议行为进行了更改

2024 年 6 月 3 日

预计更改日期：2024 年 7 月

这些更改：

评估的资源将成为标识而不是订阅
建议不再具有“子建议”
API 中“assessmentKey”字段的值将针对这些建议进行更改

将适用于以下建议：

对 Azure 资源拥有所有者权限的帐户应启用 MFA
对 Azure 资源拥有写入权限的帐户应启用 MFA
对 Azure 资源拥有读取权限的帐户应启用 MFA
应删除对 Azure 资源拥有所有者权限的来宾帐户
应删除对 Azure 资源拥有写入权限的来宾帐户
应删除对 Azure 资源拥有读取权限的来宾帐户
应删除对 Azure 资源拥有所有者权限的已封锁帐户
应删除对 Azure 资源拥有读取和写入权限的已封锁帐户
最多只能为订阅指定 3 个所有者
应该为你的订阅分配了多个所有者

2024 年 5 月

Date	Category	Update
5 月 30 日	GA	Defender for Servers 计划 2 中的无代理恶意软件检测
5 月 22 日	Update	配置攻击路径的电子邮件通知
5 月 21 日	Update	Microsoft Defender XDR 的高级搜寻功能包括 Defender for Cloud 警报和事件
5 月 9 日	Preview	Defender for Cloud 中用于 IaC 扫描的 Checkov 集成
5 月 7 日	GA	Defender for Cloud 中的权限管理
5 月 6 日	Preview	AI 多云安全状况管理已提供给 Azure 和 AWS。
5 月 6 日	受限预览版	对 Azure 中 AI 工作负载的威胁防护。
5 月 2 日	Update	安全策略管理。
5 月 1 日	Preview	适用于开源数据库的 Defender 现在可在 AWS 上用于 Amazon 实例。
5 月 1 日	即将弃用	移除基于 AMA 的 FIM，并发布基于 Defender for Endpoint 的新版本。预计将于 2024 年 8 月弃用。

GA：Defender for Servers 计划 2 中无代理恶意软件检测

2024 年 5 月 30 日

Defender for Cloud 针对 Azure VM、AWS EC2 实例和 GCP VM 实例的无代理恶意软件检测现已作为 Defender for Servers 计划 2 中的新功能正式发布。

无代理恶意软件检测利用 Microsoft Defender 防病毒反恶意软件引擎来扫描和检测恶意文件。检测到的任何威胁会直接在 Defender for Cloud 和 Defender XDR 中触发安全警报，并在其中进行调查和修正。详细了解针对服务器的无代理恶意软件扫描和针对 VM 的无代理扫描。

更新：配置攻击路径的电子邮件通知

2024 年 5 月 22 日

你可以配置在检测到具有指定风险级别或更高级别的攻击路径时接收的电子邮件通知。了解如何配置电子邮件通知。

更新：Microsoft Defender XDR 的高级搜寻功能包括 Defender for Cloud 警报和事件

2024 年 5 月 21 日

Defender for Cloud 的警报和事件功能现已与 Microsoft Defender XDR 集成，可在 Microsoft Defender 门户中访问。该集成为涉及云资源、设备和身份的调查提供了更丰富的上下文。了解 XDR 集成中的高级搜寻。

预览版：Defender for Cloud 中用于 IaC 扫描的 Checkov 集成

2024 年 5 月 9 日

Defender for Cloud 中 DevOps 安全性的 Checkov 集成现已推出预览版。此集成提高了 MSDO CLI 在扫描 IaC 模板时运行的基础结构即代码检查的质量和总数。

在预览版中，必须通过 MSDO CLI 的“tools”输入参数显式调用 Checkov。

详细了解 Defender for Cloud 中的 DevOps 安全性以及如何为 Azure DevOps 和 GitHub 配置 MSDO CLI。

GA：Defender for Cloud 中的权限管理

2024 年 5 月 7 日

权限管理现已在 Defender for Cloud 中正式发布。

预览版：AI 多云安全状况管理

2024 年 5 月 6 日

AI 安全状况管理在 Defender for Cloud 中以预览版提供。它为 Azure 和 AWS 提供 AI 安全状况管理功能，可增强 AI 管道和服务的安全性。

详细了解AI 安全态势管理。

受限预览版：Azure 中 AI 工作负载的威胁防护

2024 年 5 月 6 日

Defender for Cloud 中 AI 工作负载的威胁防护在受限预览版中提供。此计划可帮助监视运行时中 Azure OpenAI 支持的应用程序的恶意活动，识别并修正安全风险。它提供 AI 工作负载威胁防护的上下文见解，并与负责任的 AI 集成并Microsoft威胁智能。相关安全警报已集成到 Defender 门户中。

详细了解AI 工作负载的威胁防护。

GA：安全策略管理

2024 年 5 月 2 日

跨云（Azure、AWS、GCP）的安全策略管理现已正式发布。这使安全团队能够以一致的方式通过新功能管理其安全策略

详细了解 Microsoft Defender for Cloud 中的安全策略。

预览版：适用于 AWS 中提供的开源数据库的 Defender

2024 年 5 月 1 日

AWS 上的适用于开放源代码数据库的 Defender 现在以预览版提供。它增加了对各种 Amazon 关系数据库服务 (RDS) 实例类型的支持。

详细了解“适用于开源数据库的 Defender”以及如何“在 AWS 上为开源数据库启用 Defender”。

弃用：移除 FIM（使用 AMA）

2024 年 5 月 1 日

预计更改日期：2024 年 8 月

所有 Defender for Servers 安全功能都将通过单一代理 (MDE) 或无代理扫描功能提供，而不依赖于 MMA 或 AMA，这是 MMA 弃用策略和 Defender for Servers 的已更新部署策略的一部分。

借助基于 Microsoft Defender for Endpoint (MDE) 的新版文件完整性监视 (FIM)，可以通过实时监视关键文件和注册表、审核更改以及检测可疑文件内容更改来满足合规性要求。

此版本从 2024 年 8 月开始将不再通过 Defender for Cloud 门户提供基于 AMA 的 FIM 体验。有关详细信息，请参阅文件完整性监视体验 - 更改和迁移指南。

有关新 API 版本的详细信息，请参阅 Microsoft Defender for Cloud REST API。

2024 年 4 月

Date	Category	Update
4 月 16 日	即将更新	CIEM 评估 ID 的更改。预计更新时间：2024 年 5 月。
4 月 15 日	GA	Defender for Containers 现已可用于 AWS 和 GCP。
4 月 3 日	Update	风险优先级现在是 Defender for Cloud 中的默认体验
4 月 3 日	Update	适用于开源关系数据库的 Defender 更新。

更新：CIEM 评估 ID 的更改

2024 年 4 月 16 日

预计更改日期：2024 年 5 月

以下建议计划进行重新建模，这将导致其评估 ID 发生更改：

Azure overprovisioned identities should have only the necessary permissions
AWS Overprovisioned identities should have only the necessary permissions
GCP overprovisioned identities should have only the necessary permissions
Super identities in your Azure environment should be removed
Unused identities in your Azure environment should be removed

GA：适用于 AWS 和 GCP 的 Defender for Containers

2024 年 4 月 15 日

Defender for Containers 中针对 AWS 和 GCP 的运行时威胁检测和无代理发现功能现已正式发布。此外，AWS 中还有一项新的身份验证功能，可简化预配。

详细了解 Defender for Cloud 中的容器支持矩阵以及如何配置 Defender for Containers 组件。

更新：风险优先级

2024 年 4 月 3 日

风险优先级现在是 Defender for Cloud 中的默认体验。此功能根据每个资源的风险因素对建议进行优先级排序，帮助你专注于环境中最关键的安全问题。风险因素包括安全违规问题的潜在影响、风险类别以及安全问题所属的攻击路径。详细了解确定风险优先级。

更新：适用于开源关系数据库的 Defender

2024 年 4 月 3 日

Defender for PostgreSQL 灵活服务器正式发布后更新 - 更新后，客户能够在订阅级别对现有 PostgreSQL 灵活服务器强制实施保护，从而实现完全灵活地按资源启用保护或自动保护订阅级别的所有资源。
Defender for MySQL 灵活服务器可用性和正式发布 - Defender for Cloud 将通过合并 MySQL 灵活服务器来扩展对 Azure 开源关系数据库的支持。

此版本包括：

与 Defender for MySQL 单一服务器的现有警报的警报兼容性。
支持单个资源。
在订阅级别受支持。
Azure Database for MySQL 灵活服务器的更新将在未来几周内推出。如果看到错误 The server <servername> is not compatible with Advanced Threat Protection，可以等待更新推出，或打开支持工单以更快地将服务器更新到受支持的版本。

如果已使用适用于开源关系数据库的 Defender 保护订阅，则将自动启用和保护灵活服务器资源并进行计费。已通过电子邮件向受影响的订阅发送具体的账单通知。

有关详细信息，请参阅适用于开源关系数据库的 Microsoft Defender。

2024 年 3 月

Date	Category	Update
3 月 31 日	GA	Windows 容器映像扫描
3 月 25 日	Update	连续导出现在包括攻击路径数据
3 月 21 日	Preview	无代理扫描支持 Azure 中的 CMK 加密 VM
3 月 17 日	Preview	基于适用于 Azure 的 KQL 的自定义建议。
3 月 13 日	Update	在 Microsoft 云安全基准中包含 DevOps 建议
3 月 13 日	GA	ServiceNow 集成。
3 月 13 日	Preview	Microsoft Defender for Cloud 中的关键资产保护。
3 月 12 日	Update	使用自动修正脚本增强 AWS 和 GCP 建议
3 月 6 日	Preview	合规性标准已添加到合规性仪表板
3 月 6 日	即将更新	适用于开源关系数据库的 Defender 更新预计发布时间：2024 年 4 月
3 月 3 日	即将更新	用于访问合规性产品/服务和 Microsoft Actions 的位置的变更预计发布时间：2025 年 9 月
3 月 3 日	Deprecation	停用由 Qualys 提供支持的 Defender for Cloud 容器漏洞评估
3 月 3 日	即将更新	用于访问合规性产品/服务和 Microsoft Actions 的位置的变更。预计弃用时间：2025 年 9 月 30 日。

GA：Windows 容器映像扫描

2024 年 3 月 31 日

我们宣布 Windows 容器映像的正式发布版 (GA) 支持通过 Defender for Containers 进行扫描。

更新：连续导出现在包括攻击路径数据

2024 年 3 月 25 日

我们宣布连续导出现在包括攻击路径数据。此功能使你可将安全数据流式传输到 Azure Monitor 中的 Log Analytics、Azure 事件中心或其他安全信息和事件管理 (SIEM)、安全业务流程自动响应 (SOAR) 或 IT 经典部署模型解决方案。

了解有关连续导出的详细信息。

预览版：无代理扫描支持 Azure 中的 CMK 加密 VM

2024 年 3 月 21 日

到目前为止，无代理扫描涵盖了 AWS 和 GCP 中的 CMK 加密 VM。在此版本中，我们还将完成对 Azure 的支持。此功能对 Azure 中的 CMK 采用独特的扫描方法：

Defender for Cloud 不处理密钥或解密过程。密钥和解密由 Azure 计算无缝处理，对 Defender for Cloud 的无代理扫描服务是透明的。
未加密的 VM 磁盘数据永远不会被复制或使用其他密钥重新加密。
在此过程中，不会复制原始密钥。清除原始密钥将清除生产 VM 和 Defender for Cloud 临时快照上的数据。

在公共预览期间，此功能不会自动启用。如果使用 Defender for Servers P2 或 Defender CSPM，并且你的环境具有具有 CMK 加密磁盘的 VM，则现在可以按照这些启用步骤扫描这些 VM 来查找漏洞、机密和恶意软件。

预览版：基于适用于 Azure 的 KQL 的自定义建议

2024 年 3 月 17 日

Azure 基于 KQL 的自定义建议现在提供公共预览版，并且支持所有云。有关详细信息，请参阅创建自定义安全标准和建议。

更新：在 Microsoft 云安全基准中包含 DevOps 建议

2024 年 3 月 13 日

今天，我们宣布，除了 Azure、AWS 和 GCP 之外，还可以在Microsoft云安全基准（MCSB）中监视 DevOps 安全性和合规性状况。 DevOps 评估是 MCSB 中的 DevOps 安全性控件的一部分。

MCSB 是基于通用行业标准和合规性框架定义基本的云安全原则的框架。 MCSB 提供有关如何实施与云无关的安全建议的规范性详细信息。

详细了解将包含的 DevOps 建议以及 Microsoft云安全基准。

GA：ServiceNow 集成现已正式发布

2024 年 3 月 12 日

我们宣布 ServiceNow 集成正式发布（正式发布）。

预览版：Microsoft Defender for Cloud 中的关键资产保护

2024 年 3 月 12 日

Defender for Cloud 现在包括业务关键性功能，即使用 Microsoft 安全暴露管理的关键资产引擎，通过风险优先级、攻击路径分析和云安全资源管理器来识别和保护重要资产。有关详细信息，请参阅 Microsoft Defender for Cloud 中的关键资产保护（预览版）。

更新：使用自动修正脚本增强 AWS 和 GCP 建议

2024 年 3 月 12 日

我们正在使用自动修正脚本增强 AWS 和 GCP 建议，使你能够以编程方式大规模修正这些建议。详细了解自动修正脚本。

预览版：合规性标准已添加到合规性仪表板

2024 年 3 月 6 日

根据客户的反馈，我们在 Defender for Cloud 中添加了合规性标准预览版。

查看受支持的合规性标准的完整列表

我们不断致力于为 Azure、AWS 和 GCP 环境添加和更新新标准。

了解如何分配安全标准。

更新：适用于开源关系数据库的 Defender 更新

2024 年 3 月 6 日**

预计更改日期：2024 年 4 月

Defender for PostgreSQL 灵活服务器正式发布后更新 - 更新后，客户能够在订阅级别对现有 PostgreSQL 灵活服务器强制实施保护，从而实现完全灵活地按资源启用保护或自动保护订阅级别的所有资源。

Defender for MySQL 灵活服务器可用性和正式发布 - Defender for Cloud 将通过合并 MySQL 灵活服务器来扩展对 Azure 开源关系数据库的支持。此版本将包括：

与 Defender for MySQL 单一服务器的现有警报的警报兼容性。
支持单个资源。
在订阅级别受支持。

有关详细信息，请参阅适用于开源关系数据库的 Microsoft Defender。

更新：对合规性产品/服务和 Microsoft 操作设置的变更

2024 年 3 月 3 日

预计更改日期：2025 年 9 月 30 日

在 2025 年 9 月 30 日，用于访问两个预览版功能（合规性产品和 Microsoft Actions）的位置将发生变更。

列出Microsoft产品的合规性状态的表（从 Defender 法规合规性仪表板工具栏中的“合规性产品”按钮访问）。从 Defender for Cloud 中移除此按钮后，仍可使用服务信任门户访问此信息。

对于控件的子集，可从控件详细信息窗格中的“Microsoft Actions(预览版)”按钮访问 Microsoft Actions。移除此按钮后，可以通过访问 Microsoft 的 FedRAMP 服务信任门户并访问 Azure 系统安全性计划文档来查看 Microsoft Actions。

更新：用于访问合规性产品/服务和 Microsoft Actions 的位置的变更

2024 年 3 月 3 日**

预计变更日期：2025 年 9 月

在 2025 年 9 月 30 日，用于访问两个预览版功能（合规性产品和 Microsoft Actions）的位置将发生变更。

弃用：由 Qualys 提供支持的 Defender for Cloud Containers 漏洞评估停用

2024 年 3 月 3 日

由 Qualys 提供支持的 Defender for Cloud 容器漏洞评估即将停用。停用将于 3 月 6 日前完成，在该时间之前，部分结果可能仍会出现在 Qualys 建议和安全图的 Qualys 结果中。以前使用此评估的任何客户都应升级到使用 Microsoft Defender 漏洞管理的 Azure 漏洞评估。要了解如何转换到由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估产品/服务，请参阅从 Qualys 转换到 Microsoft Defender 漏洞管理。

2024 年 2 月

Date	Category	Update
2 月 28 日	Deprecation	Microsoft Security Code Analysis (MSCA) 不再运行。
2 月 28 日	Update	更新的安全策略管理扩展了对 AWS 和 GCP 的支持。
2 月 26 日	Update	Defender for Containers 的云支持
2 月 20 日	Update	适用于 Defender for Containers 的 Defender 传感器的新版本
2 月 18 日	Update	开放容器计划 (OCI) 映像格式规范支持
2 月 13 日	Deprecation	由 Trivy 提供支持的 AWS 容器漏洞评估已停用。
2 月 5 日	即将更新	停用 Microsoft.SecurityDevOps 资源提供程序预计发布时间：2024 年 3 月 6 日

弃用：Microsoft Security Code Analysis (MSCA) 不再运行

2024 年 2 月 28 日

2021 年 2 月，MSCA 任务的弃用已传达给所有客户，自 2022 年 3 月以来一直已结束生命周期支持。自 2024 年 2 月 26 日起，MSCA 正式不再运营。

客户可以通过 Microsoft Security DevOps 从 Defender for Cloud 获得最新 DevOps 安全工具，并通过 GitHub Advanced Security for Azure DevOps 获得更多安全工具。

更新：安全策略管理扩展了对 AWS 和 GCP 的支持

2024 年 2 月 28 日

更新后的安全策略管理体验最初是在 Azure 预览版中发布的，它正在将其支持扩展到跨云（AWS 和 GCP）环境。此预览版包括：

跨 Azure、AWS 和 GCP 环境管理 Defender for Cloud 中的法规合规性标准。
相同的跨云接口体验用来创建和管理 Microsoft 云安全基准 (MCSB) 自定义建议。
更新后的体验适用于 AWS 和 GCP，以便使用 KQL 查询创建自定义建议。

更新：Defender for Containers 的云支持

2024 年 2 月 26 日

现在商业云、Azure 政府云和 Azure 中国世纪互联云中提供对 Defender for Containers 中 Azure Kubernetes 服务 (AKS) 威胁检测功能的完全支持。查看支持的功能。

更新：适用于 Defender for Containers 的 Defender 传感器的新版本

2024 年 2 月 20 日

适用于 Defender for Containers 的 Defender 传感器已推出新版本。它包括性能和安全性改进、对 AMD64 和 Arm64 原型节点（仅限 Linux）的支持，并使用 Inspektor Gadget 作为进程收集代理而不是 Sysdig。新版本仅在 Linux 内核版本 5.4 及更高版本上受支持，因此如果你有旧版本的 Linux 内核，则需要进行升级。仅 AKS V1.29 及更高版本提供对 Arm64 的支持。有关详细信息，请参阅支持的主机操作系统。

更新：开放容器计划 (OCI) 映像格式规范支持

2024 年 2 月 18 日

开放容器计划 (OCI) 映像格式规范现在支持由适用于 AWS、Azure 和 GCP 云的 Microsoft Defender 漏洞管理提供支持的漏洞评估。

弃用：由 Trivy 提供支持的 AWS 容器漏洞评估已停用

2024 年 2 月 13 日

由 Trivy 提供支持的容器漏洞评估已停用。以前使用此评估的任何客户都应升级到由 Microsoft Defender 漏洞管理提供支持的新 AWS 容器漏洞评估。有关如何升级的说明，请参阅如何从已停用的 Trivy 漏洞评估升级到由 Microsoft Defender 漏洞管理提供支持的 AWS 漏洞评估？

更新：停用 Microsoft.SecurityDevOps 资源提供程序

2024 年 2 月 5 日

预计更改日期：2024 年 3 月 6 日

Microsoft Defender for Cloud 正在停用在 DevOps 安全性的公共预览版期间使用的资源提供程序 Microsoft.SecurityDevOps，现已迁移到现有的 Microsoft.Security 提供程序。此更改的原因是通过减少与 DevOps 连接器关联的资源提供程序数量来提高客户体验。

仍在使用 API 版本 2022-09-01-previewMicrosoft.SecurityDevOps 查询 Defender for Cloud DevOps 安全数据的客户将受到影响。为了避免服务中断，客户需要在提供程序下更新到新的 API 版本 Microsoft.Security。

当前通过 Azure 门户使用 Defender for Cloud DevOps 安全性的客户不会受到影响。

2024 年 1 月

Date	Category	Update
1 月 31 日	Update	云安全资源管理器中活动存储库的新见解
1 月 30 日	即将更新	多云容器威胁检测的定价更改预计发布时间：2024 年 4 月
1 月 29 日	即将更新	针对高级 DevOps 安全功能强制实施 Defender CSPM。预计发布时间：2024 年 3 月
1 月 24 日	Preview	Defender for Containers 和 Defender CSPM 中 GCP 的无代理容器状况。
1 月 16 日	Preview	针对服务器进行无代理恶意软件扫描。
1 月 15 日	GA	Defender for Cloud 与 Microsoft Defender XDR 的集成。
1 月 14 日	Update	更新到无代理 VM 扫描内置 Azure 角色预计发布时间：2024 年 3 月
1 月 12 日	Update	DevOps 安全拉取请求注释现在默认为 Azure DevOps 连接器启用。
1 月 9 日	Deprecation	Defender for Servers 内置漏洞评估 (Qualys) 即将停用。预计发布时间：2024 年 5 月
1 月 3 日	即将更新	即将对 Defender for Cloud 的多云网络要求进行更改。预计发布时间：2024 年 5 月。

更新：云安全资源管理器中活动存储库的新见解

2024 年 1 月 31 日

Azure DevOps 存储库的新见解已添加到云安全资源管理器，以指示存储库是否处于活动状态。此见解指示代码存储库未存档或禁用，这意味着对代码、生成和拉取请求的写入访问权限仍可供用户使用。已存档和禁用的存储库可能被视为较低优先级，因为代码通常不用于活动部署。

若要通过云安全资源管理器测试查询，请使用此查询链接。

更新：多云容器威胁检测的定价更改

2024 年 1 月 30 日**

预计更改日期：2024 年 4 月

当多云容器威胁检测迁移到正式发布版时，它将不再免费。有关详细信息，请参阅 Microsoft Defender for Cloud 定价。

更新：针对高级 DevOps 安全值强制实施 Defender CSPM

2024 年 1 月 29 日**

预计更改日期：2024 年 3 月 7 日

Defender for Cloud 将从 2024 年 3 月 7 日开始针对高级 DevOps 安全值强制实施 Defender CSPM 计划检查。如果在创建 DevOps 连接器的同一租户内的云环境（Azure、AWS、GCP）中启用了 Defender CSPM 计划，你将继续获得高级 DevOps 功能，且无需支付额外费用。如果你不是 Defender CSPM 客户，则必须在 2024 年 3 月 7 日之前启用 Defender CSPM，否则会失去对这些安全功能的访问权限。若要在 2024 年 3 月 7 日之前在连接的云环境中启用 Defender CSPM，请按照此处概述的启用文档进行作。

有关基础 CSPM 和 Defender CSPM 计划中可用 DevOps 安全功能的详细信息，请参阅有关功能可用性的文档。

有关 Defender for Cloud 中的 DevOps Security 的详细信息，请参阅概述文档。

有关 Defender CSPM 中云安全功能的代码的详细信息，请参阅如何使用 Defender CSPM 保护资源。

预览版：Defender for Containers 和 Defender CSPM 中 GCP 的无代理容器状况

2024 年 1 月 24 日

新的无代理容器状况（预览版）功能可用于 GCP，包括使用 Microsoft Defender 漏洞管理对 GCP 进行漏洞评估。有关所有功能的详细信息，请参阅 Defender CSPM 中的无代理容器状况和 Defender for Containers 中的无代理功能。

还可以阅读此博客文章，了解有关多云的无代理容器状况管理的信息。

预览版：针对服务器进行无代理恶意软件扫描

2024 年 1 月 16 日

我们宣布发布了 Defender for Cloud 针对 Azure 虚拟机（VM）、AWS EC2 实例和 GCP VM 实例的无代理恶意软件检测，这是 Defender for Servers 计划 2 中包含的新功能。

VM 的无代理恶意软件检测现在包含在无代理扫描平台中。无代理恶意软件扫描利用 Microsoft Defender 防病毒反恶意软件引擎来扫描和检测恶意文件。若检测到任何威胁，系统会直接在 Defender for Cloud 和 Defender XDR 中触发安全警报，并在其中进行调查和修正。无代理恶意软件扫描程序通过无摩擦载入的第二层威胁检测补充了基于代理的安全保障，并且不会影响计算机的性能。

详细了解针对服务器的无代理恶意软件扫描和针对 VM 的无代理扫描。

Defender for Cloud 与 Microsoft Defender XDR 的集成正式发布

2024 年 1 月 15 日

我们宣布 Defender for Cloud 与 Microsoft Defender XDR（以前为 Microsoft 365 Defender）之间的集成正式发布 (GA)。

该集成为安全运营中心 (SOC) 的日常工作带来了具有竞争力的云保护功能。借助 Microsoft Defender for Cloud 和 Defender XDR 集成，SOC 团队可以发现结合多个支柱（包括云、终结点、标识、Office 365 等）检测的攻击。

详细了解 Microsoft Defender XDR 中的警报和事件。

更新：无代理 VM 扫描内置 Azure 角色

2024 年 1 月 14 日**

预计更改日期：2024 年 2 月

在 Azure 中，VM 的无代理扫描使用内置角色（称为 VM 扫描程序操作员），该角色具有扫描和评估 VM 是否存在安全问题所需的最低必要权限。若要为具有加密卷的 VM 持续提供相关的扫描运行状况和配置建议，计划对此角色的权限进行更新。此更新包括增加 Microsoft.Compute/DiskEncryptionSets/read 权限。此权限仅允许改进 VM 中加密磁盘使用情况的标识。它不提供 Defender for Cloud 任何其他功能来解密或访问这些加密卷的内容，这些加密卷的内容超出了此更改之前已支持的加密方法。此更改预计将在 2024 年 2 月进行，你无需采取任何操作。

更新：DevOps 安全拉取请求注释默认为 Azure DevOps 连接器启用

2024 年 1 月 12 日

DevOps 安全团队在拉取请求 (PR) 中以注释的形式公开安全发现，以帮助开发人员在进入生产环境之前防止和修复潜在的安全漏洞和配置错误。自 2024 年 1 月 12 日起，默认情况下，所有连接到 Defender for Cloud 的新 Azure DevOps 存储库和现有的 Azure DevOps 存储库都会默认启用 PR 注释。

默认情况下，系统仅针对高严重性基础结构即代码 (IaC) 发现启用 PR 注释。客户仍需要将 Microsoft Security for DevOps (MSDO) 配置为在 PR 生成中运行，并在 Azure DevOps 存储库设置中为 CI 生成启用生成验证策略。客户可以从 DevOps 安全窗格存储库配置选项中为特定存储库禁用 PR 批注功能。

详细了解为 Azure DevOps 启用拉取请求注释。

停用：Defender for Servers 内置漏洞评估 (Qualys) 即将停用

2024 年 1 月 9 日**

预计更改日期：2024 年 5 月

由 Qualys 提供支持的 Defender for Servers 内置漏洞评估解决方案即将停用，预计将于 2024 年 5 月 1 日完成。如果你当前正在使用由 Qualys 提供支持的漏洞评估解决方案，则应计划过渡到集成的 Microsoft Defender 漏洞管理解决方案。

有关我们决定将漏洞评估产品与 Microsoft Defender 漏洞管理统一的更多信息，你可以阅读这篇博客文章。

你还可以查看有关过渡到 Microsoft Defender 漏洞管理解决方案的常见问题。

更新：Defender for Cloud 的多云网络要求

2024 年 1 月 3 日**

预计更改日期：2024 年 5 月

从 2024 年 5 月开始，我们将停用与多云发现服务关联的旧 IP 地址，以适应改进，并确保为所有用户提供更安全、更高效的体验。

为了确保我们的服务访问不会中断，应使用以下部分中提供的新范围更新你的 IP 允许列表。应对防火墙设置、安全组或可能适用于你的环境的任何其他配置进行必要的调整。

此列表适用于所有计划，并且足以实现 CSPM 基础（免费）产品/服务的完整功能。

要停用的 IP 地址：

发现 GCP：104.208.29.200、52.232.56.127
发现 AWS：52.165.47.219、20.107.8.204
载入：13.67.139.3

要添加的新区域特定的 IP 范围：

西欧：52.178.17.48/28
北欧：13.69.233.80/28
美国中部：20.44.10.240/28
美国东部 2：20.44.19.128/28

2023 年 12 月

Date	Update
12 月 30 日	Defender for Cloud 服务级别 2 名称汇总
12 月 24 日	作为正式版提供的资源级别的 Defender for Servers
12 月 21 日	停用多云经典连接器
12 月 21 日	发布覆盖范围工作簿
12 月 14 日	由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估在 Azure 政府中以及由世纪互联运营的 Azure 中正式发布
12 月 14 日	Windows 对由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估的支持的公共预览版
12 月 13 日	停用由 Trivy 提供支持的 AWS 容器漏洞评估
12 月 13 日	Defender for Containers 和 Defender CSPM（预览版）中 AWS 的无代理容器状态
12 月 13 日	用于开放源代码关系数据库计划的 Defender 中对 PostgreSQL 灵活服务器的正式发布 (GA) 支持
12 月 12 日	由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估现在支持 Google Distroless

Defender for Cloud 服务级别 2 名称汇总

2023 年 12 月 30 日

我们正在将所有 Defender for Cloud 计划的旧服务级别 2 名称合并为一个新的服务级别 2 名称 - Microsoft Defender for Cloud。

如今，有 4 个服务级别 2 名称：Azure Defender、高级威胁防护、高级数据安全和安全中心。 Microsoft Defender for Cloud 的各种计量按照这些单独的服务级别 2 名称进行分组，这在使用成本管理 + 计费、开具发票和其他 Azure 计费相关工具时造成了复杂性。

这项更改将简化查看 Defender for Cloud 费用的过程，并让你更清楚地了解成本分析。

为了确保平稳过渡，我们采取了措施来保持产品/服务名称、SKU 和计量 ID 的一致性。受影响的客户将收到包含信息的 Azure 服务通知，其中就更改进行了说明。

通过调用 API 检索成本数据的组织需要更新其调用中的值以适应更改。例如，在此筛选器函数中，值将不返回任何信息：

"filter": {
          "dimensions": {
              "name": "MeterCategory",
              "operator": "In",
              "values": [
                  "Advanced Threat Protection",
                  "Advanced Data Security",
                  "Azure Defender",
                  "Security Center"
                ]
          }
      }

旧服务级别 2 名称	新服务级别 2 名称	服务层级 - 服务级别 4（无更改）
高级数据安全	Microsoft Defender for Cloud	Defender for SQL（SQL 安全防护工具）
高级威胁防护	Microsoft Defender for Cloud	适用于容器注册表的 Defender
高级威胁防护	Microsoft Defender for Cloud	DNS 防护者
高级威胁防护	Microsoft Defender for Cloud	密钥保管库保护程序
高级威胁防护	Microsoft Defender for Cloud	Defender for Kubernetes
高级威胁防护	Microsoft Defender for Cloud	Defender for MySQL
高级威胁防护	Microsoft Defender for Cloud	Defender for PostgreSQL
高级威胁防护	Microsoft Defender for Cloud	资源管理器防护软件
高级威胁防护	Microsoft Defender for Cloud	存储防护 (Defender for Storage)
Azure Defender	Microsoft Defender for Cloud	适用于外部攻击面管理的 Defender
Azure Defender	Microsoft Defender for Cloud	Defender for Azure Cosmos DB
Azure Defender	Microsoft Defender for Cloud	Defender for Containers
Azure Defender	Microsoft Defender for Cloud	Defender for MariaDB
安全中心	Microsoft Defender for Cloud	应用服务专用防护器
安全中心	Microsoft Defender for Cloud	Defender for Servers
安全中心	Microsoft Defender for Cloud	Defender 云安全态势管理

作为正式版提供的资源级别的 Defender for Servers

2023 年 12 月 24 日

现在可以在订阅中的特定资源上管理 Defender for Servers，从而完全控制保护策略。借助此功能，可以使用与订阅级别配置的设置不同的自定义配置来配置特定资源。

详细了解如何在资源级别启用 Defender for Servers。

停用多云经典连接器

2023 年 12 月 21 日

经典多云连接器体验已停用，数据不再流式传输到通过该机制创建的连接器。这些经典连接器用于将 AWS 安全中心和 GCP 安全命令中心建议连接到 Defender for Cloud，并将 AWS EC2 加入 Defender for Servers。

这些连接器的全部价值已被替换为本机多云安全连接器体验，自 2022 年 3 月以来，该体验已正式适用于 AWS 和 GCP，无需额外付费。

新的本机连接器已包含在你的计划中，并提供自动加入体验，包括加入单个帐户、多个帐户（通过 Terraform）的选项，以及在以下 Defender 计划中通过自动预配进行组织加入：免费基础 CSPM 功能、Defender 云安全态势管理 (CSPM)、Defender for Servers、Defender for SQL、Defender for Containers。

发布覆盖范围工作簿

2023 年 12 月 21 日

使用覆盖范围工作簿，你可以跟踪哪些 Defender for Cloud 计划在环境的哪些部分处于活动状态。此工作簿有助于确保环境和订阅受到充分保护。通过访问详细的覆盖范围信息，你还可以识别可能需要其他保护的任何区域，并采取措施解决这些区域的问题。

了解有关 “覆盖”工作簿的详细信息。

由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估在 Azure 政府中以及由世纪互联运营的 Azure 中正式发布

2023 年 12 月 14 日

已在 Azure 政府中以及由世纪互联运营的 Azure 中正式发布 (GA) 适用于 Azure 容器注册表中 Linux 容器映像的漏洞评估 (VA)，其由 Microsoft Defender 漏洞管理提供支持。此新版本可在 Defender for Containers 和 Defender for Container Registries 计划下使用。

作为此更改的一部分，针对 GA 发布了新建议，并包含在安全功能分数计算中。查看新的和更新的安全建议
由 Microsoft Defender 漏洞管理提供支持的容器映像扫描现在也会根据计划定价产生费用。 Qualys 支持的容器 VA 产品/服务和 Microsoft Defender 漏洞管理支持的容器 VA 产品/服务都扫描的映像将仅计费一次。

容器漏洞评估的 Qualys 建议已重命名，并继续可供在此版本之前在其任何订阅上启用 Defender for Containers 的客户使用。此版本之后加入 Defender for Containers 的新客户将仅看到由 Microsoft Defender 漏洞管理提供支持的新的容器漏洞评估建议。

Windows 对由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估的支持的公共预览版

2023 年 12 月 14 日

对 Windows 映像的支持已在公共预览版中发布，作为漏洞评估 (VA) 的一部分，该漏洞评估由适用于 Azure 容器注册表和 Azure Kubernetes 服务的 Microsoft Defender 漏洞管理提供支持。

停用由 Trivy 提供支持的 AWS 容器漏洞评估

2023 年 12 月 13 日

由 Trivy 提供支持的容器漏洞评估将于 2 月 13 日之前停用。此功能现已弃用，但会在 2 月 13 日之前继续向使用此功能的现有客户提供。我们鼓励使用此功能的客户在 2 月 13 日之前升级到新的由 Microsoft Defender 漏洞管理提供支持的 AWS 容器漏洞评估。

Defender for Containers 和 Defender CSPM（预览版）中 AWS 的无代理容器状态

2023 年 12 月 13 日

新的无代理容器状态（预览版）功能可用于 AWS。有关详细信息，请参阅 Defender CSPM 中的无代理容器状态和 Defender for Containers 中的无代理功能。

用于开放源代码关系数据库计划的 Defender 中对 PostgreSQL 灵活服务器的正式发布支持

2023 年 12 月 13 日

我们宣布在适用于开放源代码关系数据库的 Microsoft Defender 计划中正式发布 (GA) PostgreSQL 灵活服务器支持。 Microsoft Defender for 开源关系数据库通过检测异常活动和生成安全警报，为 PostgreSQL 灵活服务器提供高级威胁防护。

了解如何启用适用于开放源代码关系数据库的 Microsoft Defender。

由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估现在支持 Google Distroless

2023 年 12 月 12 日

由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估已经扩展到 Linux OS 包的更多覆盖范围，现在支持 Google Distroless。

有关所有支持的操作系统的列表，请参阅 Azure 的注册表和映像支持 - 由 Microsoft Defender 漏洞管理提供支持的漏洞评估。

2023 年 11 月

Date	Update
11 月 30 日	已弃用四个警报
11 月 27 日	在 Defender for Servers 和 Defender CSPM 中正式发布无代理机密扫描功能
11 月 22 日	使用 Defender for Cloud 启用权限管理（预览版）
11 月 22 日	Defender for Cloud 与 ServiceNow 的集成
11 月 20 日	计算机上 SQL Server 的自动预配过程的正式发布
11 月 15 日	正式发布 Defender for API
11 月 15 日	Defender for Cloud 现已与 Microsoft 365 Defender 集成（预览版）
11 月 15 日	在 Defender for Containers 和 Defender for Container Registries 中正式发布 Microsoft Defender 漏洞管理 (MDVM) 支持的容器漏洞评估
11 月 15 日	对容器漏洞评估建议名称的更改
11 月 15 日	现在可以为建议确定风险优先级
11 月 15 日	攻击路径分析新引擎和广泛的增强功能
11 月 15 日	对攻击路径的 Azure Resource Graph 表方案的更改
11 月 15 日	Defender CSPM 中 GCP 支持的正式发布版本
11 月 15 日	数据安全仪表板的正式发布版本
11 月 15 日	数据库敏感数据发现的正式发布版本
11 月 6 日	有关查找缺失的系统更新的新版建议现已正式发布

已弃用四个警报

2023 年 11 月 30 日

作为质量改进过程的一部分，以下安全警报已弃用：

Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
Suspicious process termination burst (VM_TaskkillBurst)
PsExec execution detected (VM_RunByPsExec)

在 Defender for Servers 和 Defender CSPM 中正式发布无代理机密扫描功能

2023 年 11 月 27 日

无代理机密扫描通过识别 VM 磁盘上的明文机密来增强基于云的虚拟机 (VM) 的安全性。无代理机密扫描提供全面的信息，有助于确定检测到的结果的优先级，并在横向移动风险发生之前减轻风险。这种主动方法可防止未经授权的访问，确保云环境的安全。

我们宣布正式发布 (GA) 无代理机密扫描，该功能包含在 Defender for Servers P2 和 Defender CSPM 计划中。

无代理机密扫描利用云 API 捕获磁盘快照，进行带外分析，确保不会影响 VM 的性能。无代理机密扫描扩大了 Defender for Cloud 对 Azure、AWS 和 GCP 环境中的云资产的覆盖范围，从而增强云安全。

在此版本中，Defender for Cloud 的检测功能现在支持其他数据库类型、数据存储签名 URL、访问令牌等。

了解如何使用无代理机密扫描管理机密。

使用 Defender for Cloud 启用权限管理（预览版）

2023 年 11 月 22 日

Microsoft 现在通过Microsoft Defender for Cloud (CNAPP)和Microsoft Entra 权限管理 (CIEM) 提供云原生应用程序保护平台 (CNAPP) 和云基础结构权利管理 (CIEM) 解决方案。

安全管理员可以在 Defender for Cloud 中集中查看其未使用或过度的访问权限。

安全团队可以在其 Defender 云安全态势管理 (CSPM) 中推动实现对云资源的最低特权访问控制，并接收有关解决 Azure、AWS 和 GCP 云环境中的权限风险的建议，而无需满足任何额外的许可要求。

了解如何在 Microsoft Defender for Cloud 中启用权限管理（预览版）。

Defender for Cloud 与 ServiceNow 的集成

2023 年 11 月 22 日

ServiceNow 现已与 Microsoft Defender for Cloud 集成，这使客户能够将 ServiceNow 连接到其 Defender for Cloud 环境，从而优先修正影响业务的建议。 Microsoft Defender for Cloud 与 ITSM 模块（事件管理）集成。作为这种连接的一部分，客户将能够从 Microsoft Defender for Cloud 创建/查看 ServiceNow 票证（与建议相关联）。

你可以详细了解 Defender for Cloud 与 ServiceNow 的集成。

计算机计划上 SQL Server 的自动预配过程的正式发布

2023 年 11 月 20 日

为准备 2024 年 8 月对 Microsoft Monitoring Agent (MMA) 的弃用，Defender for Cloud 发布了针对 SQL Server 的 Azure Monitoring Agent (AMA) 自动预配过程。该新过程会自动为所有新客户启用和配置，并为 Azure SQL VM 和已启用 Arc 的 SQL Server 提供在资源级别启用的能力。

使用 MMA 自动预配过程的客户请迁移到计算机上适用于 SQL Server 的新 Azure Monitoring Agent 自动预配过程。迁移过程是无缝的，会为所有计算机提供持续保护。

正式发布 Defender for API

2023 年 11 月 15 日

我们宣布 Microsoft Defender for API 已正式发布 (GA)。 Defender for API 旨在保护组织免受 API 安全威胁。

Defender for API 使组织能够保护其 API 和数据免受恶意行动者的侵害。组织可以调查和改善 API 安全态势、确定漏洞修复的优先顺序，快速检测并响应活动实时威胁。组织还可以将安全警报直接集成到其安全信息和事件管理 (SIEM) 平台（例如 Microsoft Sentinel）中，以调查和会审问题。

你可以了解如何使用 Defender for API 来保护 API。你还可以详细了解 Microsoft Defender for API。

还可以阅读此博客，了解有关 GA 公告的详细信息。

Defender for Cloud 现已与 Microsoft 365 Defender 集成（预览版）

2023 年 11 月 15 日

企业可以使用 Microsoft Defender for Cloud 与 Microsoft Defender XDR 之间的新集成来保护其云资源和设备。这种集成将云资源、设备和身份之间的点连接起来，而这以前需要多种体验。

该集成还为安全运营中心 (SOC) 的日常工作带来了具有竞争力的云保护功能。利用 Microsoft Defender XDR，SOC 团队可以轻松发现结合多个支柱（包括云、终结点、标识、Office 365 等）检测的攻击。

一些主要优点包括：

为 SOC 团队提供一个易于使用的界面：通过将 Defender for Cloud 的警报和云关联集成到 M365D 中，SOC 团队现在可以从单个界面访问所有安全信息，从而显著提高运营效率。
一个攻击故事：通过使用结合了多个来源的安全警报的预构建关联，客户能够了解完整的攻击故事，包括其云环境。
Microsoft Defender XDR 中的新云实体：Microsoft Defender XDR 现在支持 Microsoft Defender for Cloud 独有的新云实体，例如云资源。客户可以将虚拟机 (VM) 实体与设备实体进行匹配，从而提供有关计算机的所有相关信息的统一视图，包括在该计算机上触发的警报和事件。
适用于 Microsoft 安全产品的 Unified API：客户现在可以使用单个 API 将安全警报数据导出到他们选择的系统中，因为 Microsoft Defender for Cloud 警报和事件现在是 Microsoft Defender XDR 公共 API 的一部分。

Defender for Cloud 和 Microsoft Defender XDR 之间的集成可供所有新的和现有的 Defender for Cloud 客户使用。

在 Defender for Containers 和 Defender for Container Registries 中正式发布 Microsoft Defender 漏洞管理 (MDVM) 支持的容器漏洞评估

2023 年 11 月 15 日

已在 Defender for Containers 和 Defender for Container Registries 中正式发布 (GA) 适用于 Azure 容器注册表中 Linux 容器映像的漏洞评估 (VA)，其由 Microsoft Defender 漏洞管理 (MDVM) 提供支持。

作为此更改的一部分，已针对 GA 发布以下建议并重命名，这些建议现在包含在安全功能分数计算中：

当前建议名称	新建议名称	Description	评估密钥
容器注册表映像应已解决漏洞结果（由 Microsoft Defender 漏洞管理提供支持）	Azure 注册表容器映像应已解决漏洞（由 Microsoft Defender 漏洞管理提供支持）	容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE)，并为每个映像提供详细的漏洞报告。解决漏洞可以极大地改善安全状况，确保在部署之前可以安全地使用映像。	c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
运行容器映像应已解决漏洞结果（由 Microsoft Defender 漏洞管理提供支持）	Azure 运行容器映像应已解决漏洞（由 Microsoft Defender 漏洞管理提供支持）	容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE)，并为每个映像提供详细的漏洞报告。此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。修正当前正在运行的容器映像中的漏洞是改善安全状况的关键，可显著减少容器化工作负载的攻击面。	c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

MDVM 支持的容器映像扫描现在还会根据计划定价产生费用。

Note

Qualys 支持的容器 VA 产品/服务和 MDVM 支持的容器 VA 产品/服务都扫描的映像将仅计费一次。

以下针对容器漏洞评估的 Qualys 建议已重命名，并将继续适用于在 11 月 15 日之前在其任何订阅上启用 Defender for Containers 的客户。 11 月 15 日之后加入 Defender for Containers 的新客户将仅看到由 Microsoft Defender 漏洞管理提供支持的新的容器漏洞评估建议。

当前建议名称	新建议名称	Description	评估密钥
容器注册表映像应已解决漏洞结果（由 Qualys 提供技术支持）	Azure 注册表容器映像应该已解决漏洞（由 Qualys 提供支持）	容器映像漏洞评估功能会扫描注册表中的安全漏洞，并公开每个映像的详细发现结果。修复这些漏洞可以极大改善容器的安全状况，并保护其不受攻击影响。	dbd0cb49-b563-45e7-9724-889e799fa648
运行容器映像应已解决漏洞结果（由 Qualys 提供支持）	Azure 正在运行的容器映像应该已解决漏洞（由 Qualys 提供支持）	容器映像漏洞评估会扫描 Kubernetes 群集上运行的容器映像，以查找安全漏洞，并公开每个映像的详细发现结果。修复这些漏洞可以极大改善容器的安全状况，并保护其不受攻击影响。	41503391-efa5-47ee-9282-4eff6131462c

对容器漏洞评估建议名称的更改

以下容器漏洞评估建议已重命名：

当前建议名称	新建议名称	Description	评估密钥
容器注册表映像应已解决漏洞结果（由 Qualys 提供技术支持）	Azure 注册表容器映像应该已解决漏洞（由 Qualys 提供支持）	容器映像漏洞评估功能会扫描注册表中的安全漏洞，并公开每个映像的详细发现结果。修复这些漏洞可以极大改善容器的安全状况，并保护其不受攻击影响。	dbd0cb49-b563-45e7-9724-889e799fa648
运行容器映像应已解决漏洞结果（由 Qualys 提供支持）	Azure 正在运行的容器映像应该已解决漏洞（由 Qualys 提供支持）	容器映像漏洞评估会扫描 Kubernetes 群集上运行的容器映像，以查找安全漏洞，并公开每个映像的详细发现结果。修复这些漏洞可以极大改善容器的安全状况，并保护其不受攻击影响。	41503391-efa5-47ee-9282-4eff6131462c
弹性容器注册表映像应已解决漏洞发现	AWS 注册表容器映像应该已解决漏洞（由 Trivy 提供支持）	容器映像漏洞评估功能会扫描注册表中的安全漏洞，并公开每个映像的详细发现结果。修复这些漏洞可以极大改善容器的安全状况，并保护其不受攻击影响。	03587042-5d4b-44ff-af42-ae99e3c71c87

现在可以为建议确定风险优先级

2023 年 11 月 15 日

现在可以根据安全建议构成的风险级别确定安全建议的优先级，同时考虑每个潜在安全问题的可利用性和潜在业务影响。

通过根据风险级别（严重、高、中、低）组织建议，能够解决环境中最严重的风险，并根据实际风险（例如互联网暴露、数据敏感性、横向移动可能性以及可以通过解决建议来缓解的潜在攻击路径）有效确定安全问题的修正优先级。

详细了解确定风险优先级。

攻击路径分析新引擎和广泛的增强功能

2023 年 11 月 15 日

我们正在发布 Defender for Cloud 中攻击路径分析功能的增强功能。

新引擎 - 攻击路径分析具有新的引擎，该引擎使用路径查找算法来检测云环境中存在的每个可能的攻击路径（基于我们在图形中的数据）。我们可以在环境中找到更多的攻击路径，并检测攻击者可用来破坏组织的更复杂的攻击模式。
改进 - 发布了以下改进：
- 风险优先级 - 基于风险的优先攻击路径列表（可利用性和业务影响）。
- 增强修正 - 查明应解决的具体建议，以实际中断链。
- 跨云攻击路径 – 检测跨云攻击路径（从一个云开始并在另一个云结束的路径）。
- MITRE – 将所有攻击路径映射到 MITRE 框架。
- 全新的用户体验 – 通过便于会审的更强大功能（高级筛选器、搜索和攻击路径分组）带来全新体验。

了解如何识别和修正攻击路径。

对攻击路径的 Azure Resource Graph 表方案的更改

2023 年 11 月 15 日

攻击路径的 Azure Resource Graph 表方案已更新。已删除 attackPathType 属性，并添加其他属性。

Defender CSPM 中 GCP 支持的正式发布版本

2023 年 11 月 15 日

我们宣布推出支持 GCP 资源的 Defender CSPM 上下文云安全图和攻击路径分析的正式发布版本 (GA)。你可以应用 Defender CSPM 的强大功能，实现跨 GCP 资源的全面可见性和智能云安全性。

我们的 GCP 支持的主要功能包括：

攻击路径分析 - 了解攻击者可能采用的潜在路线。
云安全资源管理器 - 通过在安全图上运行基于图形的查询，主动识别安全风险。
无代理扫描 - 扫描服务器并识别机密和漏洞，而无需安装代理。
数据感知安全态势 - 发现并修正 Google Cloud Storage 存储桶中敏感数据的风险。

详细了解 Defender CSPM 计划选项。

Note

Defender CSPM 中 GCP 支持的 GA 版本将于 2024 年 2 月 1 日开始计费。

数据安全仪表板的正式发布版本

2023 年 11 月 15 日

数据安全仪表板现已推出正式发布版本 (GA)，作为 Defender CSPM 计划的一部分。

你可以通过数据安全仪表板查看组织的数据资产、敏感数据的风险以及有关数据资源的见解。

详细了解数据安全仪表板。

数据库敏感数据发现的正式发布版本

2023 年 11 月 15 日

适用于托管数据库（包括 Azure SQL 数据库以及各种 RDBMS 风格的 AWS RDS 实例）的敏感数据发现现已正式发布，并且能够自动发现包含敏感数据的关键数据库。

若要在环境中启用此功能，需要在 Defender CSPM 中启用 Sensitive data discovery。了解如何在 Defender CSPM 中启用敏感数据发现。

还可以了解如何将敏感数据发现用于数据感知安全状况。

公共预览版公告：对 Microsoft Defender for Cloud 中多云数据安全性的全新扩展可见性。

有关查找缺失的系统更新的新版建议现已正式发布

2023 年 11 月 6 日

Azure VM 和 Azure Arc 计算机上不再需要其他代理以确保计算机具有所有最新安全更新或关键系统更新。

控件中的System updates should be installed on your machines (powered by Azure Update Manager)新系统更新建议Apply system updates基于更新管理器，现已完全正式发布。该建议依赖于嵌入到每个 Azure VM 和 Azure Arc 计算机中的本机代理，而不是已安装的代理。新建议中的快速修复可引导你在更新管理器门户中完成缺失的更新的一次性安装。

查找缺少的系统更新的旧版本和新版本在 2024 年 8 月之前都可用，届时较旧的版本将弃用。 System updates should be installed on your machines (powered by Azure Update Manager)和System updates should be installed on your machines这两个建议在相同的控制措施Apply system updates下可用，并具有相同的结果。因此，对安全分数的影响不会重复。

建议迁移到新建议并删除旧建议，方法是在 Azure 策略中的 Defender for Cloud 内置计划中禁用它。

建议[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)也已正式发布，且是先决条件，这将对安全功能分数产生负面影响。可以使用提供的修复修正负面影响。

要应用新建议，需要：

将非 Azure 计算机连接到 Arc。
打开定期评估属性。可使用“[Machines should be configured to periodically check for missing system updates](https://ms.portal.azure.com/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)”这一新建议中的快速修复来修复建议。

Note

为已启用 Arc 的计算机（在其相关订阅或连接器上未启用 Defender for Servers 计划 2）启用定期评估，需遵守Azure 更新管理器定价。已启用 Arc 的计算机（在其相关订阅或连接器或任何 Azure VM 上已启用Defender for Servers 计划 2）有资格享受此功能，无需额外付费。

2023 年 10 月

Date	Update
10 月 30 日	更改自适应应用程序控制的安全警报的严重性
10 月 25 日	Defender for API 中删除了脱机 Azure API 管理修订版
10 月 19 日	公共预览版中提供了 DevOps 安全态势管理建议
10 月 18 日	合规性仪表板中发布了 CIS Azure 基础基准检验 v2.0.0

更改自适应应用程序控制安全警报的严重性

公告日期：2023 年 10 月 30 日

作为 Defender for Servers 的安全警报质量改进过程的一部分，作为自适应应用程序控制功能的一部分，以下安全警报的严重性将更改为“信息” ：

警报 [警报类型]	警报说明
自适应应用程序控制策略冲突已审核。[VM_AdaptiveApplicationControlWindowsViolationAudited, VM_AdaptiveApplicationControlWindowsViolationAudited]	以下用户在此计算机上运行了违反你的组织的应用程序控制策略的应用程序。它可能会使计算机面临恶意软件或应用程序漏洞的威胁。

若要在 Microsoft Defender for Cloud 门户的“安全警报”页中继续查看此警报，请更改默认视图筛选器 “严重性 ”以在网格中包含 信息性 警报。

Defender for API 中删除了脱机 Azure API 管理修订版

2023 年 10 月 25 日

Defender for API 已更新其对 Azure API 管理 API 修订版的支持。脱机修订版不再显示在已载入的 Defender for API 清单中，也不再显示为待载入 Defender for API。脱机修订版不允许向其发送任何流量，也不会构成任何安全风险。

公共预览版中提供了 DevOps 安全态势管理建议

2023 年 10 月 19 日

现在，所有具有 Azure DevOps 或 GitHub 连接器的客户都可以使用公共预览版中新增的 DevOps 态势管理建议。 DevOps 态势管理能够发现安全配置和访问控制中的弱点，从而帮助减少 DevOps 环境的攻击面。详细了解 DevOps 态势管理。

合规性仪表板中发布了 CIS Azure 基础基准检验 v2.0.0

2023 年 10 月 18 日

现在，Microsoft Defender for Cloud 的合规性仪表板支持最新的 CIS Azure 安全基础基准检验 - 版本 2.0.0，以及 Azure Policy 中的内置策略计划。 Microsoft Defender for Cloud 版本 2.0.0 是 Microsoft、Center for Internet Security (CIS) 与用户社区共同协作发布的。版本 2.0.0 大幅扩展了评估范围，现在包括 90 多个内置 Azure 策略，并继承了 Microsoft Defender for Cloud 和 Azure Policy 中的先前版本 1.4.0、1.3.0 和 1.0。有关详细信息，可以查看此博客文章。

2023年9月

Date	Update
9 月 30 日	Log Analytics 每日上限变更
9 月 27 日	公共预览版中提供的数据安全仪表板
9 月 21 日	预览版：计算机上 SQL Server 的新自动预配过程
9 月 20 日	Defender for Cloud 中的 Azure DevOps 警报的 GitHub Advanced Security
9 月 11 日	Defender for API 建议现在可使用豁免功能
9 月 11 日	为 Defender for API 检测创建示例警报
9 月 6 日	预览版：由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估现在支持拉取扫描
9 月 6 日	在合规性中更新了 Azure Center for Internet Security (CIS) 标准的命名格式
9 月 5 日	PaaS 数据库的敏感数据发现（预览版）
9 月 1 日	正式发布 (GA)：Defender for Storage 中的恶意软件扫描

Log Analytics 每日上限变更

Azure Monitor 提供对 Log Analytics 工作区上引入的数据设置每日上限的功能。但是，这些排除项目前不支持 Defender for Cloud 安全事件。

Log Analytics 每日上限不再排除以下一组数据类型：

WindowsEvent
SecurityAlert
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent
WindowsFirewall
MaliciousIPCommunication
LinuxAuditLog
SysmonEvent
ProtectionStatus
Update
UpdateSummary
CommonSecurityLog
Syslog

如果满足每日上限，则会限制所有计费数据类型。此更改可提高你完全控制高于预期的数据引入成本的能力。

详细了解使用 Microsoft Defender for Cloud 的工作区。

公共预览版中提供的数据安全仪表板

2023 年 9 月 27 日

数据安全仪表板现已在公共预览版中作为 Defender CSPM 计划的一部分提供。数据安全仪表板是一种以数据为中心的交互式仪表板，可揭示敏感数据的重大风险，确定跨混合云工作负载的数据的警报和潜在攻击路径的优先级。详细了解数据安全仪表板。

预览版：计算机计划上 SQL Server 的新自动预配过程

2023 年 9 月 21 日

Microsoft Monitoring Agent (MMA) 将于 2024 年 8 月弃用。 Defender for Cloud 更新了其策略，将 MMA 替换为发布面向 SQL Server 的 Azure Monitoring Agent 自动预配过程。

在预览期间，将 MMA 自动预配过程与 Azure Monitor 代理（预览版）选项配合使用的客户需要迁移到计算机上用于 SQL Server 的新 Azure Monitoring Agent（预览版）自动预配过程。迁移过程是无缝的，会为所有计算机提供持续保护。

有关详细信息，请参阅迁移到面向 SQL Server 的 Azure Monitoring Agent 自动预配过程。

Defender for Cloud 中的 Azure DevOps 警报的 GitHub Advanced Security

2023 年 9 月 20 日

现在可以在 Defender for Cloud 中查看与 CodeQL、机密和依赖项相关的 GitHub Advanced Security for Azure DevOps (GHAzDO) 警报。结果显示在“DevOps”页和“建议”中。若要查看这些结果，请将已启用 GHAzDO 的存储库加入 Defender for Cloud。

要了解详细信息，请参阅适用于 Azure DevOps 的 GitHub Advanced Security。

Defender for API 建议现在可使用豁免功能

2023 年 9 月 11 日

现在可以豁免针对以下 Defender for API 安全建议的建议。

Recommendation	说明及相关策略	Severity
（预览版）应禁用未使用的 API 终结点并将其从 Azure API Management 服务中移除	作为安全最佳做法，30 天内未收到流量的 API 终结点被视为未使用，并应从 Azure API 管理服务中移除。保留未使用的 API 终结点可能会带来安全风险。这些 API 可能是本应从 Azure API 管理服务中弃用，但意外保持活动状态的 API。此类 API 通常不会受到最新的安全保护。	Low
（预览版）应对 Azure API 管理中的 API 终结点进行身份验证	Azure API 管理中发布的 API 终结点应强制实施身份验证，以帮助最大程度地降低安全风险。有时，身份验证机制的实现会不正确或缺失。这会允许攻击者利用实现缺陷并访问数据。对于 Azure API 管理中发布的 API，此建议通过在 Azure API 管理中配置的订阅密钥、JWT 和客户端证书评估身份验证的执行情况。如果在 API 调用期间未执行这些身份验证机制，则 API 将收到此建议。	High

详细了解在 Defender for Cloud 中豁免建议。

为 Defender for API 检测创建示例警报

2023 年 9 月 11 日

现在可以为已作为 Defender for API 公共预览版的一部分发布的安全检测生成示例警报。详细了解如何在 Defender for Cloud 中生成示例警报。

预览版：由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估现在支持拉取扫描

2023 年 9 月 6 日

由Microsoft Defender 漏洞管理提供支持的容器漏洞评估现在支持用于扫描从 ACR 拉取的图像的其他触发器。除了现有触发器（用于扫描过去 90 天内推送到 ACR 的图像以及当前在 AKS 中运行的图像），此新添加的触发器还额外覆盖了可用图像。

新触发器将于今天开始推出，预计将于 9 月底向所有客户提供。

了解详细信息。

在合规性中更新了 Azure Center for Internet Security (CIS) 标准的命名格式

2023 年 9 月 6 日

合规性仪表板中 CIS (Center for Internet Security) 基础基准的命名格式将从 [Cloud] CIS [version number] 更改为 CIS [Cloud] Foundations v[version number]。请参阅以下表：

当前名称	新名称
Azure CIS 1.1.0	CIS Azure 基础 v1.1.0
Azure CIS 1.3.0	CIS Azure 基础 v1.3.0
Azure CIS 1.4.0	CIS Azure 基础 v1.4.0
AWS CIS 1.2.0	CIS AWS 基础 v1.2.0
AWS CIS 1.5.0	CIS AWS 基础 v1.5.0
GCP CIS 1.1.0	CIS GCP 基础 v1.1.0
GCP CIS 1.2.0	CIS GCP 基础 v1.2.0

了解如何改进法规合规性。

PaaS 数据库的敏感数据发现（预览版）

2023 年 9 月 5 日

数据感知安全态势功能现为公共预览状态，可为 PaaS 数据库（Azure SQL 数据库和任何类型的 Amazon RDS 实例）实现顺畅的敏感数据发现。借助此公共预览版，你可以创建关键数据的映射，无论它位于何处，以及这些数据库中的数据类型是什么。

Azure 和 AWS 数据库的敏感数据发现，增加了已对云对象存储资源公开的共享分类和配置（Azure Blob 存储、AWS S3 Bucket 和 GCP Bucket），并提供精简的配置和启用体验。

数据库每周扫描一次。启用 sensitive data discovery 后，发现功能将在 24 小时内运行。可以在云安全资源管理器中查看结果，也可以通过查看包含敏感数据的托管数据库的新攻击路径来查看结果。

数据库的数据感知安全态势可通过Defender CSPM 计划使用，并且会在启用了sensitive data discovery选项的订阅上自动启用。

可以通过以下文章进一步了解数据感知安全态势：

正式发布 (GA)：Defender for Storage 中的恶意软件扫描

2023 年 9 月 1 日

恶意软件扫描现已作为 Defender for Storage 的附加产品正式发布 (GA)。 Defender for Storage 中的恶意软件扫描通过使用 Microsoft Defender 防病毒功能对上传的内容进行近实时的完整恶意软件扫描，帮助保护存储帐户免受恶意内容的攻击。它旨在帮助满足处理不受信任内容的安全性和合规性要求。恶意软件扫描功能是一种无代理 SaaS 解决方案，允许大规模设置，并支持大规模自动响应。

详细了解 Defender for Storage 中的恶意软件扫描。

恶意软件扫描根据数据使用情况和预算进行定价。计费从 2023 年 9 月 3 日开始。有关详细信息，请访问定价页。

如果使用以前的计划，则需要主动迁移到新计划才能启用恶意软件扫描。

阅读 Microsoft Defender for Cloud 公告博客文章。

2023 年 8 月

8 月的更新包括：

Date	Update
8 月 30 日	Defender for Containers：适用于 Kubernetes 的无代理发现
8 月 22 日	建议发布：应当为 Microsoft Defender for Storage 启用恶意软件扫描和敏感数据威胁检测功能
8 月 17 日	Defender for Cloud 安全警报中的扩展属性从活动日志中屏蔽
8 月 15 日	Defender CSPM 中 GCP 支持的预览版
8 月 7 日	Defender for Servers 计划 2 中的新安全警报：检测滥用 Azure 虚拟机扩展的潜在攻击
8 月 1 日	Defender for Cloud 计划的业务模型和定价更新

Defender for Containers：适用于 Kubernetes 的无代理发现

2023 年 8 月 30 日

我们很高兴地介绍 Defender for Containers：适用于 Kubernetes 的无代理发现。此版本标志着容器安全性向前迈出了重要一步，为 Kubernetes 环境提供了高级见解和全面的清单功能。新的容器服务由 Defender for Cloud 上下文安全图提供支持。以下是你在此最新更新中可以期待的内容：

无代理 Kubernetes 发现
全面的清单功能
特定于 Kubernetes 的安全见解
使用云安全资源管理器的增强风险搜寻

适用于 Kubernetes 的无代理发现现在可供所有 Defender for Containers 客户使用。你可以立即开始使用这些高级功能。我们鼓励你更新订阅，以启用完整的扩展集，并受益于最新的扩充和功能。访问你的 Defender for Containers 订阅的“环境和设置”窗格以启用该扩展。

Note

启用最新的扩充功能不会给活动的 Defender for Containers 客户带来新的费用。

有关详细信息，请参阅容器安全性 Microsoft Defender for Containers 概述。

建议发布：应当为 Microsoft Defender for Storage 启用恶意软件扫描和敏感数据威胁检测功能

2023 年 8 月 22 日

Defender for Storage 中的一个新建议已发布。此建议确保使用恶意软件扫描和敏感数据威胁检测功能在订阅级别启用 Defender for Storage。

Recommendation	Description
应当为 Microsoft Defender for Storage 启用恶意软件扫描和敏感数据威胁检测功能	Microsoft Defender for Storage 检测存储帐户的潜在威胁。它有助于避免威胁对数据和工作负载产生三个重大影响：恶意文件上传、敏感数据外泄和数据损坏。新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测功能。此计划还提供了可预测的定价结构（按存储帐户），以便更好地控制覆盖范围和成本。使用简单的规模化无代理设置时，在订阅级别启用后，该订阅下的全部现有和新创建的存储帐户都将自动受到保护。另外，也可以从受保护的订阅中排除特定的存储帐户。

Recommendation

Description

应当为 Microsoft Defender for Storage 启用恶意软件扫描和敏感数据威胁检测功能

Microsoft Defender for Storage 检测存储帐户的潜在威胁。它有助于避免威胁对数据和工作负载产生三个重大影响：恶意文件上传、敏感数据外泄和数据损坏。新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测功能。此计划还提供了可预测的定价结构（按存储帐户），以便更好地控制覆盖范围和成本。使用简单的规模化无代理设置时，在订阅级别启用后，该订阅下的全部现有和新创建的存储帐户都将自动受到保护。另外，也可以从受保护的订阅中排除特定的存储帐户。

此新建议将替换当前建议 Microsoft Defender for Storage should be enabled（评估密钥 1be22853-8ed1-4005-9907-ddad64cb1417）。但是，此建议在 Azure 政府云中仍然可用。

详细了解 Microsoft Defender for Storage。

Defender for Cloud 安全警报中的扩展属性从活动日志中屏蔽

2023 年 8 月 17 日

我们最近更改了安全警报和活动日志的集成方式。为了更好地保护敏感客户信息，我们不再在活动日志中包含此信息。而是用星号屏蔽它。但是，仍可通过警报 API、连续导出和 Defender for Cloud 门户获取此信息。

依赖活动日志将警报导出到其 SIEM 解决方案的客户应考虑使用其他解决方案，因为不建议使用此方法导出 Defender for Cloud 安全警报。

有关如何将 Defender for Cloud 安全警报导出到 SIEM、SOAR 和其他第三方应用程序的说明，请参阅 SIEM、SOAR 或 IT 服务管理解决方案的流警报。

Defender CSPM 中 GCP 支持的预览版

2023 年 8 月 15 日

我们宣布推出支持 GCP 资源的 Defender CSPM 上下文云安全图和攻击路径分析的预览版。你可以应用 Defender CSPM 的强大功能，实现跨 GCP 资源的全面可见性和智能云安全性。

我们的 GCP 支持的主要功能包括：

攻击路径分析 - 了解攻击者可能采用的潜在路线。
云安全资源管理器 - 通过在安全图上运行基于图形的查询，主动识别安全风险。
无代理扫描 - 扫描服务器并识别机密和漏洞，而无需安装代理。
数据感知安全态势 - 发现并修正 Google Cloud Storage 存储桶中敏感数据的风险。

详细了解 Defender CSPM 计划选项。

Defender for Servers 计划 2 中的新安全警报：检测滥用 Azure 虚拟机扩展的潜在攻击

2023 年 8 月 7 日

这一新系列的警报侧重于检测 Azure 虚拟机扩展的可疑活动，并提供有关攻击者试图在虚拟机上进行破坏和执行恶意活动的见解。

Microsoft Defender 服务器现在可以检测虚拟机扩展的可疑活动，从而更好地覆盖工作负载安全性。

Azure 虚拟机扩展是在虚拟机上部署后运行的小型应用程序，提供配置、自动化、监视、安全性等功能。虽然扩展是一种功能强大的工具，但威胁参与者可以使用它们来实现各种恶意意图，例如：

用于数据收集和监视。
对于具有高特权的代码执行和配置部署。
用于重置凭据和创建管理用户。
用于加密磁盘。

下面是新警报表格。

警报（警报类型）	Description	MITRE 策略	Severity
在订阅中安装 GPU 扩展时出现可疑故障（预览） (VM_GPUExtensionSuspiciousFailure)	在不支持的 VM 上安装 GPU 扩展的可疑意图。此扩展应安装在配备了图形处理器的虚拟机上，而在此例中，虚拟机没有配备图形处理器。当恶意攻击者出于加密挖矿目的多次安装此类扩展时，可以看到这些故障。	Impact	Medium
在虚拟机上检测到可疑的 GPU 扩展安装活动（预览） (VM_GPUDriverExtensionUnusualExecution) 此警报于 2023 年 7 月发布。	通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到可疑的 GPU 扩展安装活动。攻击者可能会使用 GPU 驱动程序扩展通过 Azure 资源管理器在虚拟机上安装 GPU 驱动程序，以执行加密劫持。此活动被视为可疑，因为主体的行为偏离了其通常模式。	Impact	Low
在虚拟机上检测到具有可疑脚本的运行命令（预览） (VM_RunCommandSuspiciousScript)	通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到具有可疑脚本的运行命令。攻击者可能会使用运行命令，通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。该脚本被视为可疑，因为其中某些部分被标识为潜在的恶意内容。	Execution	High
在虚拟机上检测到未经授权使用运行命令的可疑行为（预览） (VM_RunCommandSuspiciousFailure)	未经授权使用运行命令的可疑行为失败，并通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到了该行为。攻击者可能会尝试使用运行命令，通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。此活动被视为可疑活动，因为以前并不常见。	Execution	Medium
在虚拟机上检测到使用运行命令的可疑行为（预览） (VM_RunCommandSuspiciousUsage)	通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到使用运行命令的可以行为。攻击者可能会使用运行命令，通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。此活动被视为可疑活动，因为以前并不常见。	Execution	Low
在虚拟机上检测到使用多个监视或数据收集扩展的可疑行为（预览） (VM_SuspiciousMultiExtensionUsage)	通过分析订阅中的 Azure 资源管理器操作，在虚拟机上检测到使用多个监视或数据收集扩展的可疑行为。攻击者可能会在订阅中滥用此类扩展来进行数据收集和网络流量监视等。此使用行为被视为可疑行为，因为以前并不常见。	Reconnaissance	Medium
在虚拟机上检测到可疑的磁盘加密扩展安装活动（预览） (VM_DiskEncryptionSuspiciousUsage)	通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到可疑的磁盘加密扩展安装活动。攻击者可能会滥用磁盘加密扩展，通过 Azure 资源管理器在虚拟机上部署完整磁盘加密，以尝试执行勒索软件活动。此活动被视为可疑活动，因为它以前并不常见，并且扩展安装次数较多。	Impact	Medium
在虚拟机上检测到使用 VMAccess 扩展的可疑行为（预览版） (VM_VMAccessSuspiciousUsage)	在虚拟机上检测到使用 VMAccess 扩展的可疑行为。攻击者可能会滥用 VMAccess 扩展来获取访问权限，并通过重置访问权限或管理管理用户来攻击具有高特权的虚拟机。此活动被视为可疑活动，因为主体的行为偏离了其通常的模式，并且扩展安装次数较多。	Persistence	Medium
在虚拟机上检测到具有可疑脚本的 Desired State Configuration (DSC) 扩展（预览） (VM_DSCExtensionSuspiciousScript)	通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到具有可疑脚本的 Desired State Configuration (DSC) 扩展。攻击者可能会使用 Desired State Configuration (DSC) 扩展在虚拟机上部署具有高权限的恶意配置，例如持久性机制、恶意脚本等。该脚本被视为可疑，因为其中某些部分被标识为潜在的恶意内容。	Execution	High
在虚拟机上检测到使用 Desired State Configuration (DSC) 扩展的可疑行为（预览） (VM_DSCExtensionSuspiciousUsage)	通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到使用 Desired State Configuration (DSC) 扩展的可疑行为。攻击者可能会使用 Desired State Configuration (DSC) 扩展在虚拟机上部署具有高权限的恶意配置，例如持久性机制、恶意脚本等。此活动被视为可疑活动，因为主体的行为偏离了其通常的模式，并且扩展安装次数较多。	Impact	Low
在虚拟机上检测到具有可疑脚本的自定义脚本扩展（预览） (VM_CustomScriptExtensionSuspiciousCmd) （此警报已存在，并且已通过增强的逻辑和检测方法进行了改进。）	通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到具有可疑脚本的自定义脚本扩展。攻击者可能会使用自定义脚本扩展，通过 Azure 资源管理器在虚拟机上执行具有高权限的恶意代码。该脚本被视为可疑，因为其中某些部分被标识为潜在的恶意内容。	Execution	High

请参阅 Defender for Servers 中基于扩展的警报。

有关警报的完整列表，请参阅 Microsoft Defender for Cloud 中所有安全警报的参考表。

Defender for Cloud 计划的业务模型和定价更新

2023 年 8 月 1 日

Microsoft Defender for Cloud 具有三个提供服务层保护的计划：

密钥保管库保护程序
资源管理器防护软件
DNS 防护者

这些计划已转换到具有不同定价和包装的新业务模型，以解决客户关于支出可预测性和简化总体成本结构的反馈。

业务模型和定价更改摘要：

Defender for Key-Vault、Defender for Resource Manager 和 Defender for DNS 的现有客户将保留其当前的业务模型和定价，除非他们主动选择切换到新的业务模型和价格。

Defender for Resource Manager：此计划实行每月每个订阅的固定价格。客户可以切换到新的业务模型，方法是选择 Defender for Resource Manager 的新的每订阅模型。

Defender for Key-Vault、Defender for Resource Manager 和 Defender for DNS 的现有客户将保留其当前的业务模型和定价，除非他们主动选择切换到新的业务模型和价格。

Defender for Resource Manager：此计划实行每月每个订阅的固定价格。客户可以切换到新的业务模型，方法是选择 Defender for Resource Manager 的新的每订阅模型。
Defender for Key Vault：此计划实行每月每保管库的固定价格，且无超额费用。客户可以通过选择 Defender for Key Vault 新每保管库模型来切换到新的业务模型
Defender for DNS：Defener for Servers 计划 2 客户有权访问属于该计划一部分的 Defender for DNS，而无需额外付费。同时拥有 Defender for Server 计划 2 和 Defender for DNS 的客户不再支付 Defender for DNS 的费用。 Defender for DNS 不再作为独立计划提供。

请在 Defender for Cloud 定价页中详细了解这些计划的定价。

2023 年 7 月

7 月的更新包括：

Date	Update
7 月 31 日	由 Defender for Containers 和 Defender for Container Registries 中的 Microsoft Defender 漏洞管理提供支持的容器漏洞评估预览版
7 月 30 日	Defender CSPM 中的无代理容器状况现已正式发布
7 月 20 日	适用于 Linux 的 Defender for Endpoint 的自动更新管理
7 月 18 日	Defender 中针对服务器 P2 和 Defender CSPM 中的虚拟机进行无代理机密扫描
7 月 12 日	Defender for Servers 计划 2 中的新安全警报：检测利用 Azure VM GPU 驱动程序扩展发起的潜在攻击
7 月 9 日	支持禁用特定漏洞发现
7 月 1 日	数据感知安全态势现已正式发布

使用 Microsoft Defender 漏洞管理预览版容器漏洞评估

2023 年 7 月 31 日

我们宣布发布 Azure 容器注册表中由 Defender for Containers 和 Defender for Container Registries 中的 Microsoft Defender 漏洞管理提供支持的 Linux 容器映像的漏洞评估（VA）。新的容器 VA 产品/服务将与 Defender for Containers 和 Defender for Container Registries 中由 Qualys 提供支持的现有 Container VA 产品/服务一起提供，并包括容器映像的每日重新扫描、可利用性信息、对 OS 和编程语言的支持 (SCA) 等。

此新产品/服务将于今天开始推出，并预计将在 8 月 7 日之前向所有客户提供。

详细了解使用 Microsoft Defender 漏洞管理进行容器漏洞评估。

Defender CSPM 中的无代理容器状况现已正式发布

2023 年 7 月 30 日

无代理容器状况功能现已正式发布，作为 Defender CSPM（云安全态势管理）计划的一部分提供。

详细了解 Defender CSPM 中的无代理容器状况。

适用于 Linux 的 Defender for Endpoint 的自动更新管理

2023 年 7 月 20 日

默认情况下，Defender for Cloud 会使用 MDE.Linux 扩展尝试更新已加入的适用于 Linux 的 Defender for Endpoint 代理。使用此版本，可以管理此设置，并选择退出默认配置以手动管理更新周期。

Defender 中针对服务器 P2 和 Defender CSPM 中的虚拟机进行无代理机密扫描

2023 年 7 月 18 日

机密扫描现在可以在 Defender for Servers P2 和 Defender CSPM 的无代理扫描过程中进行。此功能有助于检测保存在 Azure 或 AWS 资源中的虚拟机上的非托管和不安全机密，这些机密可用于在网络中横向移动。如果检测到此类机密，Defender for Cloud 可以帮助确定优先级并采取切实可行的修正步骤，最大限度降低横向移动的风险，整个过程完全不会影响到计算机的性能。

有关如何使用机密扫描保护机密的详细信息，请参阅使用无代理机密扫描管理机密。

Defender for Servers 计划 2 中的新安全警报：检测利用 Azure VM GPU 驱动程序扩展发起的潜在攻击

2023 年 7 月 12 日

此警报重点识别利用 Azure 虚拟机 GPU 驱动程序扩展进行的可疑活动，并深入了解攻击者尝试危害虚拟机的行为。该警报针对 GPU 驱动程序扩展的可疑部署；此类扩展经常被威胁参与者滥用，以利用 GPU 卡的全部功能并执行加密劫持。

警报显示名称（警报类型）	Description	Severity	MITRE 策略
虚拟机中 GPU 扩展的可疑安装（预览版） (VM_GPUDriverExtensionUnusualExecution)	通过分析订阅中的 Azure 资源管理器操作，在虚拟机中检测到 GPU 扩展的可疑安装。攻击者可能会使用 GPU 驱动程序扩展通过 Azure 资源管理器在虚拟机上安装 GPU 驱动程序，以执行加密劫持。	Low	Impact

有关警报的完整列表，请参阅 Microsoft Defender for Cloud 中所有安全警报的参考表。

支持禁用特定漏洞发现

2023 年 7 月 9 日

作为无代理容器状况的一部分，发布了对禁用容器注册表映像或运行映像的漏洞发现的支持。如果组织需要忽略在容器注册表映像上发现的漏洞，而不是修复它，则可以选择禁用它。禁用发现结果不会影响安全分数，也不会产生有害的噪音。

了解如何禁用容器注册表映像上的漏洞评估结果。

数据感知安全态势现已正式发布

2023 年 7 月 1 日

Microsoft Defender for Cloud 中的数据感知安全态势现已正式发布。它可帮助客户减少数据风险并响应数据违规。使用数据感知安全态势，你可以：

跨 Azure 和 AWS 自动发现敏感数据资源。
评估数据敏感度、数据泄露以及数据在整个组织中的流动方式。
主动并持续发现可能导致数据泄露的风险。
检测可能指示对敏感数据资源构成持续威胁的可疑活动

有关详细信息，请参阅 Microsoft Defender for Cloud 中的数据感知安全态势。

2023 年 6 月

6 月的更新包括以下内容：

Date	Update
6 月 26 日	通过增强的设置简化多云帐户加入
6 月 25 日	Defender for Storage 中恶意软件扫描的专用终结点支持
6 月 15 日	更新了 NIST 800-53 标准的合规性控制
6 月 11 日	使用 Azure Migrate 业务案例规划云迁移现在包括 Defender for Cloud
6 月 7 日	Defender for SQL 中的漏洞评估快速配置现已正式发布
6 月 6 日	向现有 Azure DevOps 连接器添加了更多范围
6 月 4 日	针对 Defender CSPM 中的容器功能，将基于代理的发现替换为无代理发现

通过增强的设置简化多云帐户加入

2023 年 6 月 26 日

Defender for Cloud 改进了载入体验，以包括新的简化用户界面和说明，以及允许你加入 AWS 和 GCP 环境的新功能，同时提供对高级载入功能的访问权限。

对于已采用 Hashicorp Terraform 实现自动化的组织，Defender for Cloud 现在包含将 Terraform 用作部署方法以及 AWS CloudFormation 或 GCP Cloud Shell 的功能。现在，你可以在创建集成时自定义所需的角色名称。也可以在以下两个选项中进行选择：

默认访问 - 允许 Defender for Cloud 扫描资源，并自动包括将来的功能。
最低特权访问权限 - 仅向 Defender for Cloud 授予当前访问所选计划需要具有的权限。

如果选择最低特权权限，则只会收到有关获取连接器运行状况完整功能所需的任何新角色和权限的通知。

使用 Defender for Cloud，可以根据云供应商的本机名称来区分云帐户。例如，AWS 帐户别名和 GCP 项目名称。

Defender for Storage 中恶意软件扫描的专用终结点支持

2023 年 6 月 25 日

专用终结点支持现已作为 Defender for Storage 中恶意软件扫描公共预览版的一部分提供。此功能允许在使用专用终结点的存储帐户上启用恶意软件扫描。无需其他配置。

Defender for Storage 中的恶意软件扫描（预览版）通过使用Microsoft Defender 防病毒功能对上传的内容执行完全恶意软件扫描，帮助保护存储帐户免受恶意内容的攻击。它旨在帮助满足处理不受信任内容的安全性和合规性要求。它是一种无代理 SaaS 解决方案，允许进行大规模简单设置，无需维护，并支持大规模自动响应。

专用终结点提供到 Azure 存储服务的安全连接，可有效消除公共 Internet 暴露风险，因此被视为安全性最佳做法。

对于启用了恶意软件扫描的专用终结点的存储帐户，需要禁用并启用具有恶意软件扫描的计划才能正常工作。

详细了解如何在 Defender for Storage 中使用专用终结点以及如何进一步保护存储服务。

为预览版发布的建议：运行容器映像应已解决漏洞结果（由 Microsoft Defender 漏洞管理提供支持）

2023 年 6 月 21 日

由 Microsoft Defender 漏洞管理提供支持的 Defender CSPM 中的新容器建议已发布预览版：

Recommendation	Description	评估密钥
运行容器映像应已解决漏洞结果（由 Microsoft Defender 漏洞管理提供支持）（预览版）	容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE)，并为每个映像提供详细的漏洞报告。此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。修正当前正在运行的容器映像中的漏洞是改善安全状况的关键，可显著减少容器化工作负载的攻击面。	c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

这一新建议仅在 Defender CSPM 中替换当前由 Qualys 提供支持的同名建议（替换评估密钥 41503391-efa5-47ee-9282-4eff6131462c）。

更新了 NIST 800-53 标准的合规性控制

2023 年 6 月 15 日

NIST 800-53 标准（R4 和 R5）最近已更新，Microsoft Defender for Cloud 的合规性控制发生了更改。 Microsoft管理的控件已从标准中删除，Microsoft责任实现（作为云共享责任模型的一部分）的信息现在仅在 “Microsoft作”下的“控制详细信息”窗格中提供。

这些控制以前按合格控制来计算，因此在 2023 年 4 月和 2023 年 5 月之间，NIST 标准的合规性分数可能会大幅下降。

有关合规性控制的详细信息，请参阅教程：合规性检查 - Microsoft Defender for Cloud。

使用 Azure Migrate 业务案例规划云迁移现在包括 Defender for Cloud

2023 年 6 月 11 日

现在，可以通过在 Azure Migrate 业务案例的上下文中应用 Defender for Cloud 来发现在安全方面的潜在成本节省空间。

Defender for SQL 中的漏洞评估快速配置现已正式发布

2023 年 6 月 7 日

Defender for SQL 中的漏洞评估快速配置现已正式发布。快速配置通过使用一键式配置（或 API 调用），为 SQL 漏洞评估提供了简化的加入体验。托管存储帐户无需额外的设置或依赖项。

请查看此博客，了解有关快速配置的详细信息。

可以了解快速配置和经典配置之间的差异。

向现有 Azure DevOps 连接器添加了更多范围

2023 年 6 月 6 日

Defender for DevOps 向 Azure DevOps (ADO) 应用程序添加了以下额外范围：

高级安全性管理：vso.advsec_manage。需要哪一个来为 ADO 启用、禁用和管理 GitHub Advanced Security。
容器映射： vso.extension_manage， vso.gallery_manager;这是必需的，以便与 ADO 组织共享修饰器扩展。

此更改只会影响尝试将 ADO 资源加入到 Microsoft Defender for Cloud 的新 Defender for DevOps 客户。

直接加入（无 Azure Arc) Defender for Servers 的功能现已正式发布

2023 年 6 月 5 日

以前，需要 Azure Arc 才能将非 Azure 服务器加入 Defender for Servers。但是，在最新版本中，你也可以仅使用 Microsoft Defender for Endpoint 代理就将本地服务器加入 Defender for Servers。

这种新方法简化了专注于核心终结点保护的客户的载入过程，并允许你利用 Defender for Servers 针对云和非云资产的基于消耗的计费。通过 Defender for Endpoint 直接加入的选项现已推出，从 7 月 1 日开始对加入的计算机计费。

有关详细信息，请参阅使用 Defender for Endpoint 将非 Azure 计算机连接到 Microsoft Defender for Cloud。

针对 Defender CSPM 中的容器功能，将基于代理的发现替换为无代理发现

2023 年 6 月 4 日

随着无代理容器状况功能在 Defender CSPM 中推出，基于代理的发现功能现已停用。如果当前在 Defender CSPM 中使用容器功能，请确保启用相关扩展以继续接收与容器相关的新无代理功能的值，例如容器相关的攻击路径、见解和清单。（最长可能需要 24 小时才能看到启用扩展的效果）。

详细了解无代理容器状况。

2023 年 5 月

5 月的更新包括以下内容：

Defender for 密钥库中的新警报。
支持在 AWS 中对加密磁盘进行无代理扫描。
Defender for Cloud 中 JIT（实时）命名约定的更改。
加入所选 AWS 区域。
对标识建议的更改。
在合规性仪表板中弃用旧标准。
更新两个 Defender for DevOps 建议，以包括 Azure DevOps 扫描发现
Defender for Servers 漏洞评估解决方案的新默认设置。
能够下载云安全资源管理器查询结果的 CSV 报表（预览版）。
使用 Microsoft Defender 漏洞管理发布容器漏洞评估。
由 Qualys 提供支持的容器建议的重命名。
Defender for DevOps GitHub 应用程序的更新。
更改为 Azure DevOps 存储库中的 Defender for DevOps 拉取请求注释，这些注释现在包含基础结构即代码配置错误。

密钥保管库的 Defender 新警报

警报（警报类型）	Description	MITRE 策略	Severity
从可疑 IP（非 Microsoft 或外部 IP）异常访问密钥保管库 (KV_UnusualAccessSuspiciousIP)	用户或服务主体在过去 24 小时内尝试从非 Microsoft IP 异常访问密钥保管库。此异常访问模式可能是合法的活动。它可能表明：用户或主体可能在尝试访问密钥保管库及其中包含的机密。建议进一步调查。	凭据访问	Medium

有关所有可用警报，请参阅 Azure 密钥保管库警报。

无代理扫描现在支持 AWS 中的加密磁盘

VM 的无代理扫描现在支持使用 CMK 和 PMK 在 AWS 中使用加密磁盘处理实例。

此扩展支持可增加云资产的覆盖范围和可见性，而不会影响正在运行的工作负载。对加密磁盘的支持对正在运行的实例保持了相同的零影响方法。

对于在 AWS 中启用无代理扫描的新客户，加密磁盘覆盖范围是内置的，并且默认受支持。
对于具有已启用无代理扫描的 AWS 连接器的现有客户，需要将 CloudFormation 堆栈重新应用到载入的 AWS 帐户，以更新和添加处理加密磁盘所需的新权限。更新后的 CloudFormation 模板包括允许 Defender for Cloud 处理加密磁盘的新分配。

可以详细了解用于扫描 AWS 实例的权限。

要重新应用 CloudFormation 堆栈，请：

转到 Defender for Cloud 环境设置并打开 AWS 连接器。
导航到“ 配置访问 ”选项卡。
选择“单击以下载 CloudFormation 模板”。
导航到 AWS 环境并应用更新后的模板。

详细了解如何在 AWS 中启用无代理扫描和启用无代理扫描。

修订了 Defender for Cloud 中的 JIT（即时）规则命名约定

我们修订了 JIT（即时）规则，以便与 Microsoft Defender for Cloud 品牌保持一致。我们更改了 Azure 防火墙和 NSG（网络安全组）规则的命名约定。

这些更改按如下所示列出：

Description	旧名称	新名称
NSG（网络安全组）中的 JIT 规则名称	SecurityCenter-JITRule	MicrosoftDefenderForCloud-JITRule
NSG 中的 JIT 规则说明	ASC JIT 网络访问规则	MDC JIT 网络访问规则
JIT 防火墙规则集合名称	ASC-JIT	MDC-JIT
JIT 防火墙规则名称	ASC-JIT	MDC-JIT

了解如何使用即时访问保护管理端口。

加入所选 AWS 区域

为了帮助你管理 AWS CloudTrail 成本和合规性需求，现在可以选择在添加或编辑云连接器时要扫描的 AWS 区域。现在，将 AWS 帐户加入 Defender for Cloud 时，可以扫描所选的特定 AWS 区域或所有可用区域（默认）。要了解详细信息，请参阅将 AWS 帐户连接到 Microsoft Defender for Cloud。

针对标识建议进行了多项更改

以下建议现已作为正式发布 (GA) 发布，并将替换现已弃用的 V1 建议。

标识建议 V2 的正式发布 (GA) 版本

标识建议的 V2 版本引入了以下增强功能：

扫描范围已扩展为包括所有 Azure 资源，而不仅是订阅。这会支持安全管理员查看每个帐户的角色分配。
现在可以免除特定帐户的评估。安全管理员可以排除某些帐户，例如 breakglass 帐户或服务帐户。
扫描频率已从 24 小时增加到 12 小时，从而确保标识建议更加及时和准确。

以下安全建议将以 GA 形式提供，并替换 V1 建议：

Recommendation	评估密钥
对 Azure 资源拥有所有者权限的帐户应启用 MFA	6240402e-f77c-46fa-9060-a7ce53997754
对 Azure 资源拥有写入权限的帐户应启用 MFA	c0cb17b2-0607-48a7-b0e0-903ed22de39b
对 Azure 资源拥有读取权限的帐户应启用 MFA	dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
应删除对 Azure 资源拥有所有者权限的来宾帐户	20606e75-05c4-48c0-9d97-add6daa2109a
应删除对 Azure 资源拥有写入权限的来宾帐户	0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
应删除对 Azure 资源拥有读取权限的来宾帐户	fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
应删除对 Azure 资源拥有所有者权限的已封锁帐户	050ac097-3dda-4d24-ab6d-82568e7a50cf
应删除对 Azure 资源拥有读取和写入权限的已封锁帐户	1ff0b4c9-ed56-4de6-be9c-d7ab39645926

弃用标识建议 V1

以下安全建议现已弃用：

Recommendation	评估密钥
应在对订阅具有所有者权限的帐户上启用 MFA。	94290b00-4d0c-d7b4-7cea-064a9554e681
应在对订阅具有写入权限的帐户上启用 MFA。	57e98606-6b1e-6193-0e3d-fe621387c16b
应在对订阅具有读取权限的帐户上启用 MFA。	151e82c5-5341-a74b-1eb0-bc38d2c84bb5
应从订阅中删除具有所有者权限的外部帐户。	c3b6ae71-f1f0-31b4-e6c1-d5951285d03d
应从订阅中删除具有写入权限的外部帐户。	04e7147b-0deb-9796-2e5c-0336343ceb3d
应从订阅中删除具有读取权限的外部帐户。	a8c6a4ad-d51e-88fe-2979-d3ee3c864f8b
应从订阅中删除具有所有者权限的已弃用帐户。	e52064aa-6853-e252-a11e-dffc675689c2
应从订阅中删除已弃用的帐户	00c6d40b-e990-6acf-d4f3-471e747a27c4

建议更新自定义脚本、工作流和治理规则，以符合 V2 建议。

弃用合规性仪表板中的旧版标准

旧版 PCI DSS v3.2.1 和旧版 SOC TSP 已在 Defender for Cloud 合规性仪表板中完全弃用，代之以 SOC 2 类型 2 计划和基于 PCI DSS v4 计划的合规性标准。我们完全弃用了对由世纪互联运营的 Azure Microsoft PCI DSS 标准/计划的支持。

了解如何在监管合规性仪表板中自定义标准集。

Defender for DevOps 包括 Azure DevOps 扫描发现

Defender for DevOps 代码和 IaC 在 Microsoft Defender for Cloud 中扩展了其建议范围，以包括以下两项建议的 Azure DevOps 安全发现：

Code repositories should have code scanning findings resolved
Code repositories should have infrastructure as code scanning findings resolved

以前，Azure DevOps 安全扫描的覆盖范围仅包括机密建议。

详细了解 Defender for DevOps。

Defender for Servers 漏洞评估解决方案的新默认设置

漏洞评估 (VA) 解决方案对于保护计算机免受网络攻击和数据泄露至关重要。

Microsoft Defender 漏洞管理现已启用为默认的内置解决方案，适用于尚未选择 VA 解决方案的 Defender for Servers 保护的所有订阅。

如果订阅在其任何 VM 上启用了 VA 解决方案，则不会进行任何更改，并且默认情况下不会在该订阅的剩余 VM 上启用Microsoft Defender 漏洞管理。可以选择在订阅上的剩余 VM 上启用 VA 解决方案。

了解如何使用无代理扫描查找漏洞和收集软件清单（预览版）。

下载云安全资源管理器查询结果的 CSV 报表（预览版）

Defender for Cloud 新增了下载云安全资源管理器查询结果 CSV 报表的功能。

运行查询搜索后，可以从 Defender for Cloud 中的“云安全资源管理器”页中选择“下载 CSV 报表(预览版)”按钮。

了解如何使用云安全资源管理器生成查询

使用 Microsoft Defender 漏洞管理发布容器漏洞评估

我们宣布在 Defender CSPM 中由 Microsoft Defender 漏洞管理提供支持的 Azure 容器注册表中发布 Linux 映像的漏洞评估。此次发布包括每日扫描映像。安全资源管理器和攻击路径中使用的发现依赖于 Microsoft Defender 漏洞评估，而不是 Qualys 扫描程序。

现有建议 Container registry images should have vulnerability findings resolved 将替换为新建议：

Recommendation	Description	评估密钥
容器注册表映像应已解决漏洞结果（由 Microsoft Defender 漏洞管理提供支持）	容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE)，并为每个映像提供详细的漏洞报告。此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。修正当前正在运行的容器映像中的漏洞是改善安全状况的关键，可显著减少容器化工作负载的攻击面。	dbd0cb49-b563-45e7-9724-889e799fa648 替换为 c0b7cfc6-3172-465a-b378-53c7ff2cc0d5。

详细了解 Defender CSPM 中的无代理容器状况。

详细了解Microsoft Defender 漏洞管理。

重命名由 Qualys 提供支持的容器建议

Defender for Containers 中的当前容器建议将重命名为：

Recommendation	Description	评估密钥
容器注册表映像应已解决漏洞结果（由 Qualys 提供技术支持）	容器映像漏洞评估功能会扫描注册表中的安全漏洞，并公开每个映像的详细发现结果。修复这些漏洞可以极大改善容器的安全状况，并保护其不受攻击影响。	dbd0cb49-b563-45e7-9724-889e799fa648
运行容器映像应已解决漏洞结果（由 Qualys 提供支持）	容器映像漏洞评估会扫描 Kubernetes 群集上运行的容器映像，以查找安全漏洞，并公开每个映像的详细发现结果。修复这些漏洞可以极大改善容器的安全状况，并保护其不受攻击影响。	41503391-efa5-47ee-9282-4eff6131462c

Defender for DevOps GitHub 应用程序更新

Microsoft Defender for DevOps 在不断更改和更新，这需要在 Defender for Cloud 中加入其 GitHub 环境的 Defender for DevOps 客户在他们的 GitHub 组织中部署应用程序时提供权限。这些权限是确保 Defender for DevOps 的所有安全功能正常运行且不出现问题所必需的。

建议尽快更新权限，以确保能够继续访问 Defender for DevOps 的所有可用功能。

可通过两种不同的方式授予权限：

在组织中，选择 “GitHub 应用”。找到你的组织，然后选择“ 审阅请求”。
你将收到一封来自 GitHub 支持的自动电子邮件。在该电子邮件中，选择“评审权限请求以接受或拒绝此更改”。

遵循上述任一选项后，系统会将你导航到评审屏幕，应在其中评审请求。选择“接受新权限”以批准请求。

如需有关更新权限的任何帮助，可以创建 Azure 支持请求。

也可以详细了解 Defender for DevOps。如果订阅在其任何 VM 上启用了 VA 解决方案，则不会进行任何更改，并且默认情况下不会在该订阅的剩余 VM 上启用Microsoft Defender 漏洞管理。可以选择在订阅上的剩余 VM 上启用 VA 解决方案。

了解如何使用无代理扫描查找漏洞和收集软件清单（预览版）。

Azure DevOps 存储库中的 Defender for DevOps 拉取请求注释现在包括基础结构即代码错误配置情况

Defender for DevOps 扩展了 Azure DevOps 中的拉取请求 (PR) 注释范围，以包括在 Azure 资源管理器和 Bicep 模板中检测到的基础结构即代码 (IaC) 错误配置情况。

现在，开发人员可直接在其 PR 中查看 IaC 错误配置情况的注释。在将基础结构预配到云工作负载之前，开发人员还可以修正关键安全问题。为了简化修正，在每个注释中向开发人员提供了严重性级别、错误配置说明和修正说明。

以前，Azure DevOps 中 Defender for DevOps PR 注释的覆盖范围仅包括机密。

详细了解 Defender for DevOps 和拉取请求注释。

2023 年 4 月

4 月的更新包括：

Defender CSPM 中的无代理容器状况（预览版）
统一磁盘加密建议全新预览
“应安全配置计算机”建议中的更改
弃用应用服务语言监视策略
Defender 中适用于资源管理器的新警报
Defender for Resource Manager 计划中的三个警报已停用
警报自动导出到 Log Analytics 工作区已停用
弃用和改进 Windows 和 Linux 服务器的所选警报
针对 Azure 数据服务的新 Azure Active Directory 身份验证相关建议
与缺少操作系统 (OS) 更新相关的两个建议已正式发布
Defender for API（预览版）

Defender CSPM 中的无代理容器状况（预览版）

新的无代理容器状况（预览版）功能作为 Defender CSPM（云安全态势管理）计划的一部分提供。

无代理容器状况允许安全团队识别容器和 Kubernetes 领域的安全风险。无代理方法允许安全团队跨 SDLC 和运行时查看其 Kubernetes 和容器注册表，从而消除工作负载的摩擦和占用空间。

无代理容器状况提供容器漏洞评估，结合攻击路径分析，使安全团队能够优先考虑并放大特定的容器漏洞。还可以使用云安全资源管理器来发现风险并搜寻容器状况见解，例如发现运行易受攻击的映像或向 Internet 公开的应用程序。

详细了解无代理容器状况（预览版）。

统一磁盘加密建议（预览）

预览版中新增了统一磁盘加密建议。

Windows virtual machines should enable Azure Disk Encryption or EncryptionAtHost
Linux virtual machines should enable Azure Disk Encryption or EncryptionAtHost。

这些建议将替换检测 Azure 磁盘加密的 Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources 和检测 EncryptionAtHost 的策略 Virtual machines and virtual machine scale sets should have encryption at host enabled。 ADE 和 EncryptionAtHost 提供了可比较的静态加密覆盖率，建议在每个虚拟机上启用其中一个。新的建议会检测是否已启用 ADE 或 EncryptionAtHost，并且仅在两者均未启用时发出警告。我们还会在 VM 的部分（但并非所有）磁盘上启用 ADE 时发出警告（此条件不适用于 EncryptionAtHost）。

新建议需要 Azure Automanage 机器配置。

这些建议基于以下策略：

详细了解 ADE 和 EncryptionAtHost 以及如何启用其中一个。

“应安全配置计算机”建议中的更改

建议 Machines should be configured securely 已更新。此更新可提高建议的性能和稳定性，并将其体验与 Defender for Cloud 建议的一般行为保持一致。

作为此更新的一部分，建议的 ID 已从 181ac480-f7c4-544b-9865-11b8ffe87f47 更改为 c476dc48-8110-4139-91af-c8d940896b98。

客户方面无需执行任何操作，并且预期不会对安全分数产生影响。

弃用应用服务语言监视策略

以下应用服务语言监视策略已弃用，因为它们能够生成漏报，并且不能提供更好的安全性。应始终确保所使用的语言版本不存在任何已知漏洞。

策略名称	策略 ID
使用 Java 的应用服务应用应使用最新“Java 版本”	496223c3-ad65-4ecd-878a-bae78737e9ed
使用 Python 的应用服务应用应使用最新“Python 版本”	7008174a-fd10-4ef0-817e-fc820a951d73
使用 Java 的函数应用应使用最新“Java 版本”	9d0b6ea4-93e2-4578-bf2f-6bb17d22b4bc
使用 Python 的函数应用应使用最新“Python 版本”	7238174a-fd10-4ef0-817e-fc820a951d73
使用 PHP 的应用服务应用应使用最新“PHP 版本”	7261b898-8a84-4db8-9e04-18527132abb3

客户可以使用备用内置策略来监视其应用服务的任何指定语言版本。

这些策略在 Defender for Cloud 的内置建议中不再可用。可以将它们添加为自定义建议，以便 Defender for Cloud 对其进行监视。

Defender 中适用于资源管理器的新警报

适用于资源管理器的 Deferder 具有如下警报：

警报（警报类型）	Description	MITRE 策略	Severity
预览 - 检测到可疑的计算资源创建 (ARM_SuspiciousComputeCreation)	适用于资源管理器的 Microsoft Defender 使用虚拟机/Azure 规模集在订阅中发现了可以的计算资源创建。所识别的操作旨在允许管理员在需要时可通过部署新资源来有效管理其环境。虽然此活动可能是合法的，但威胁行动者可能会利用此类操作进行加密挖掘。活动被视为可疑，因为计算资源规模高于之前在订阅中观察到的规模。这可能指示主体被盗用并且正在被恶意使用。	Impact	Medium

可以看到可用于资源管理器的所有警报的列表。

Defender for Resource Manager 计划中的三个警报已停用

已弃用 Defender for Resource Manager 计划的以下三个警报：

Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

如果检测到来自可疑 IP 地址的活动，将显示以下 Defender for Resource Manager 计划警报 Azure Resource Manager operation from suspicious IP address 或 Azure Resource Manager operation from suspicious proxy IP address。

警报自动导出到 Log Analytics 工作区已停用

Defender for Cloud 安全警报自动导出到资源级别的默认 Log Analytics 工作区。这会导致不确定的行为，因此我们已弃用此功能。

相反，可以将安全警报导出到具有连续导出的专用 Log Analytics 工作区。

如果你已将警报的连续导出配置为 Log Analytics 工作区，则无需进一步操作。

弃用和改进 Windows 和 Linux 服务器的所选警报

Defender for Servers 的安全警报质量改进过程包括弃用 Windows 和 Linux 服务器的某些警报。现在，已弃用的警报将源自 Defender for Endpoint 威胁警报，并涵盖在这些警报的范围内。

如果已启用 Defender for Endpoint 集成，则无需执行进一步操作。 2023 年 4 月，警报量可能会减少。

如果未在 Defender for Servers 中启用 Defender for Endpoint 集成，则需要启用 Defender for Endpoint 集成来维护和改进警报覆盖范围。

作为 Defender for Servers 计划的一部分，所有 Defender for Servers 客户都可以完全访问 Defender for Endpoint 的集成。

可以详细了解 Microsoft Defender for Endpoint 加入选项。

还可以查看设置为要弃用的完整警报列表。

请阅读 Microsoft Defender for Cloud 博客。

我们已为 Azure 数据服务添加了四项新的 Azure Active Directory 身份验证建议。

建议名称	建议说明	Policy
Azure SQL 托管实例身份验证模式应已为仅 Azure Active Directory	通过禁用本地身份验证方法并仅允许 Azure Active Directory 身份验证，可确保 Azure SQL 托管实例只能由 Azure Active Directory 标识访问，从而提高安全性。	Azure SQL 托管实例应已启用仅 Azure Active Directory 身份验证
Azure Synapse 工作区身份验证模式应已为仅 Azure Active Directory	仅限 Azure Active Directory 身份验证方法通过确保 Synapse 工作区专门要求使用 Azure AD 标识进行身份验证来提高安全性。了解详细信息。	Synapse 工作区应仅使用 Azure Active Directory 标识进行身份验证
Azure Database for MySQL 应预配 Azure Active Directory 管理员	预配 Azure Database for MySQL 的 Azure AD 管理员以启用 Azure AD 身份验证。使用 Azure AD 身份验证可以简化权限管理，以及集中化数据库用户和其他 Microsoft 服务的标识管理	应为 MySQL 服务器预配 Azure Active Directory 管理员
Azure Database for PostgreSQL 应预配 Azure Active Directory 管理员	预配 Azure Database for PostgreSQL 的 Azure AD 管理员以启用 Azure AD 身份验证。使用 Azure AD 身份验证可以简化权限管理，以及集中化数据库用户和其他 Microsoft 服务的标识管理	应为 PostgreSQL 服务器预配 Azure Active Directory 管理员

建议 System updates should be installed on your machines (powered by Azure Update Manager) 和 Machines should be configured to periodically check for missing system updates 已正式发布。

若要使用新建议，需要：

将非 Azure 计算机连接到 Arc。
启用定期评估属性。可以使用 “修复”按钮。该按钮位于 Machines should be configured to periodically check for missing system updates 这一新建议中。

完成上述步骤后，可以删除旧建议 System updates should be installed on your machines，方法是在 Azure 策略中的 Defender for Cloud 内置计划中禁用它。

建议有两个版本：

在 2024 年 8 月 31 日弃用 Log Analytics 代理之前，这两者都将可用，即建议的旧版本（System updates should be installed on your machines）也将弃用。两个建议返回相同的结果，并位于同一控件 Apply system updates 下。

新建议 System updates should be installed on your machines (powered by Azure Update Manager) 可通过“修复”按钮提供修正流程，该流程可用于通过更新管理器（预览版）修正结果。此修正过程仍处于预览状态。

新建议 System updates should be installed on your machines (powered by Azure Update Manager) 预计不会影响安全功能分数，因为它的结果与旧建议 System updates should be installed on your machines 相同。

先决条件建议（启用定期评估属性）将对安全功能分数产生负面影响。可以使用“可用修复”按钮修正负面影响。

Defender for API（预览版）

Microsoft 的 Defender for Cloud 宣布推出新的 Defender for API 预览版。

Defender for APIs 为 API 提供完整生命周期的保护、检测和响应覆盖。

Defender for API 可帮助你了解业务关键型 API。可以调查和改善 API 安全状况、确定漏洞修复的优先顺序，并快速检测活动实时威胁。

详细了解 Defender for API。

2023 年 3 月

3 月的更新包括：

新的 Defender for Storage 计划可用，包括近实时恶意软件扫描和敏感数据威胁检测
数据感知安全态势（预览版）
改进了管理默认 Azure 安全策略的体验
Defender CSPM（云安全态势管理）现已正式发布 (GA)
在 Microsoft Defender for Cloud 中创建自定义建议和安全标准的选项
Microsoft 云安全基准 (MCSB) 版本 1.0 现已正式发布 (GA)
一些法规合规性标准现已在政府云中可用
Azure SQL 服务器的新预览版建议
密钥保管库的 Defender 新警报

新的 Defender for Storage 计划可用，包括近实时恶意软件扫描和敏感数据威胁检测

云存储在组织中起着关键作用，存储大量有价值的敏感数据。今天，我们将宣布新的 Defender for Storage 计划。如果使用的是以前的计划（现已重命名为“Defender for Storage（经典版），则需要主动迁移到新计划，才能使用新功能和优势。

新计划包括高级安全功能，可帮助防止恶意文件上传、敏感数据外泄和数据损坏。该计划的定价结构也更具可预测性和更灵活，以便更好地控制覆盖范围和成本。

新计划现在以公共预览版提供新功能：

检测敏感数据泄露和外泄事件
跨所有文件类型的近实时 Blob 上传恶意软件扫描
使用 SAS 令牌检测无标识的实体

这些功能将基于控制和数据平面日志分析和行为建模来增强现有的活动监视功能，从而识别早期违规迹象。

所有这些功能都在新的可预测和灵活的定价计划中提供，该计划在订阅和资源级别提供对数据保护的精细控制。

有关详细信息，请参阅适用于存储的 Microsoft Defender 概述。

数据感知安全态势 (预览版)

Microsoft Defender for Cloud 可帮助安全团队在降低风险和应对云中的数据泄露方面提高工作效率。它允许他们通过数据上下文来消除干扰，并确定最关键安全风险的优先级，从而防止代价高昂的数据泄露。

跨云资产自动发现数据资源，并评估其可访问性、数据敏感度和配置的数据流。 -持续发现敏感数据资源的数据泄露风险、暴露或攻击路径，这些路径可能会指向使用横向移动技术的数据资源。
检测可能指示对敏感数据资源的持续威胁的可疑活动。

详细了解数据感知安全状况。

改进了管理默认 Azure 安全策略的体验

我们为内置建议引入了改进的 Azure 安全策略管理体验，简化了 Defender for Cloud 客户微调其安全要求的方式。新体验包括以下新功能：

在 Defender for Cloud 中管理默认安全策略时，简单的界面可以提供更好的性能和体验。
Microsoft 云安全基准提供的所有内置安全建议的单一视图 (以前的 Azure 安全基准) 。建议会整理成逻辑组，以便更轻松地了解涵盖的资源类型，以及参数与建议之间的关系。
添加了筛选器和搜索等新功能。

了解如何管理安全策略。

请阅读 Microsoft Defender for Cloud 博客。

Defender CSPM（云安全态势管理）现已正式发布 (GA)

我们宣布 Defender CSPM 现已正式发布 (GA)。 Defender CSPM 提供基础 CSPM 功能提供的所有服务，并增加了以下优势：

攻击路径分析和 ARG API - 攻击路径分析使用基于图的算法，这种算法可扫描云安全图表，发现攻击路径并提出建议。这些建议旨在破坏攻击路径，防止攻击者成功破坏环境。可以通过查询 Azure Resource Graph (ARG) API 以编程方式化解攻击路径。了解如何使用攻击路径分析
云安全资源管理器 - 通过使用云安全资源管理器对云安全图运行基于图的查询，你可以主动识别多云环境中的安全风险。详细了解云安全资源管理器。

详细了解 Defender CSPM。

在 Microsoft Defender for Cloud 中创建自定义建议和安全标准的选项

Microsoft Defender for Cloud 提供了使用 KQL 查询为 AWS 和 GCP 创建自定义建议和标准的选项。可以使用查询编辑器生成和测试数据查询。此功能是 Defender CSPM (云安全态势管理) 计划的一部分。了解如何创建自定义建议和安全标准。

Microsoft 云安全基准 (MCSB) 版本 1.0 现已正式发布 (GA)

Microsoft Defender for Cloud 宣布 Microsoft 云安全基准 (MCSB) 版本 1.0 现已正式发布 (GA)。

MCSB 版本 1.0 取代了 Azure 安全基准 (ASB) 版本 3，作为 Defender for Cloud 的默认安全策略。 MCSB 版本 1.0 在合规性仪表板中显示为默认合规性标准，并且默认为所有 Defender for Cloud 客户启用。

还可以了解 Microsoft 云安全基准 (MCSB) 如何帮助你在云安全旅程中取得成功。

详细了解 MCSB。

一些法规合规性标准现已在政府云中可用

我们正在为世纪互联运营的 Azure 政府和 Microsoft Azure 客户更新这些标准。

Azure 政府版：

由世纪互联运营的 Microsoft Azure：

了解如何在法规合规性仪表板中自定义标准集。

Azure SQL 服务器的新预览版建议

我们为 Azure SQL 服务器添加了新建议，Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)。

建议基于现有策略 Azure SQL Database should have Azure Active Directory Only Authentication enabled

此建议禁用本地身份验证方法并仅允许 Azure Active Directory 身份验证，可确保 Azure SQL 数据库只能由 Azure Active Directory 标识访问，从而提高安全性。

了解如何在 Azure SQL 中创建启用了仅限 Azure AD 的身份验证的服务器。

密钥保管库的 Defender 新警报

密钥保管库的 Deferder 新警报如下：

警报（警报类型）	Description	MITRE 策略	Severity
已拒绝从可疑 IP 访问密钥保管库 (KV_SuspiciousIPAccessDenied)	已被 Microsoft 威胁情报标识为可疑 IP 地址的 IP 尝试访问密钥保管库失败。尽管此次尝试失败，但这表明你的基础结构可能已遭入侵。建议进一步调查。	凭据访问	Low

可以看到可用于密钥保管库的所有警报的列表。

2023 年 2 月

2 月的更新包括：

增强型云安全资源管理器
Defender for Containers 对正在运行的 Linux 映像的漏洞扫描现已正式发布
宣布支持 AWS CIS 1.5.0 合规性标准
Microsoft Defender for DevOps（预览版）现已在其他区域提供
内置策略[预览]：应配置专用终结点，因为密钥保管库已停用

增强型云安全资源管理器

云安全资源管理器的改进版本包括全新的用户体验，可显著消除查询摩擦，增加了运行多云和多资源查询的功能，以及针对每个查询选项的嵌入式文档。

云安全资源管理器现在允许跨资源运行云抽象查询。可以使用预构建的查询模板或自定义搜索来应用筛选器以构建查询。了解如何管理云安全资源管理器。

Defender for Containers 对正在运行的 Linux 映像的漏洞扫描现已正式发布

Defender for Containers 检测正在运行的容器中的漏洞。 Windows 和 Linux 容器均受支持。

2022 年 8 月，此功能在 Windows 和 Linux 预览版中发布。我们现在正在发布适用于 Linux 的正式发布版 (GA)。

检测到漏洞时，Defender for Cloud 会生成以下安全建议，其中列出了扫描的调查结果：运行容器映像应已解决漏洞发现。

详细了解如何查看运行映像的漏洞。

宣布支持 AWS CIS 1.5.0 合规性标准

Defender for Cloud 现在支持 CIS Amazon Web Services Foundations v1.5.0 合规性标准。该标准可添加到法规合规性仪表板，并以 MDC 的现有多云建议和标准产品/服务为基础。

此新标准包括现有建议和新建议，这些建议将 Defender for Cloud 的覆盖范围扩展到新的 AWS 服务和资源。

了解如何管理 AWS 评估和标准。

Microsoft Defender for DevOps（预览版）现已在其他区域提供

Microsoft Defender for DevOps 扩大了其预览版使用范围，现已在欧洲西部和澳大利亚东部区域提供，当你加入 Azure DevOps 和 GitHub 资源时即可使用。

详细了解 Microsoft Defender for DevOps。

内置策略[预览]：应配置专用终结点，因为密钥保管库已停用

内置策略 [Preview]: Private endpoint should be configured for Key Vault 已停用，并将替换为 [Preview]: Azure Key Vaults should use private link 策略。

详细了解如何将 Azure Key Vault 与 Azure Policy 集成。

2023 年 1 月

一月的更新包括：

现可在“设置和监视”页中访问 Endpoint Protection (Microsoft Defender for Endpoint) 组件
有关查找缺失的系统更新的新版建议（预览版）
在连接的 AWS 和 GCP 帐户中清理已删除的 Azure Arc 计算机
允许连续导出到防火墙后的事件中心
名为“通过 Azure 高级网络解决方案保护应用程序”的安全分数控制措施的名称已更改
“SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址”策略已弃用
为虚拟机规模集启用诊断日志的建议已弃用

现可在“设置和监视”页中访问 Endpoint Protection (Microsoft Defender for Endpoint) 组件

若要访问 Endpoint Protection，请导航到 环境设置>Defender 计划>设置和监视。可在此处将 Endpoint Protection 设置为 On。还可以查看托管的其他组件。

详细了解如何在具有 Defender for Servers 的服务器上启用 Microsoft Defender for Endpoint。

有关查找缺失的系统更新的新版建议（预览版）

不再需要在 Azure VM 和 Azure Arc 计算机上安装代理即可确保计算机具有所有最新安全更新或关键系统更新。

“System updates should be installed on your machines (powered by Azure Update Manager)”控制措施中新的系统更新建议“Apply system updates”基于更新管理器（预览版）。该建议依赖于嵌入到每个 Azure VM 和 Azure Arc 计算机中的本机代理，而不是已安装的代理。新建议中的“快速修复”可引导你在更新管理器门户中完成缺失的更新的一次性安装。

若要使用新建议，需要：

将非 Azure 计算机连接到 Arc
打开定期评估属性。可使用“Machines should be configured to periodically check for missing system updates”这一新建议中的快速修复来修复建议。

依赖于 Log Analytics 代理的现有“应在计算机上安装系统更新”建议仍在同一控制措施下提供。

在连接的 AWS 和 GCP 帐户中清理已删除的 Azure Arc 计算机

连接到 AWS 和 GCP 帐户并由计算机上的 Defender for Servers 或 Defender for SQL 涵盖的计算机在 Defender for Cloud 中表示为 Azure Arc 计算机。到目前为止，从 AWS 或 GCP 帐户中删除计算机时，该计算机并未从库存中删除。这会导致 Defender for Cloud 中留下不必要的 Azure Arc 资源，这些资源代表已删除的计算机。

现在，当连接的 AWS 或 GCP 帐户中的 Azure Arc 计算机被删除时，Defender for Cloud 将自动删除这些计算机。

允许连续导出到防火墙后的事件中心

现可启用警报和建议的连续导出，此功能作为到受 Azure 防火墙保护的事件中心的受信任服务提供。

可以在生成警报或建议时启用连续导出。也可制定计划来定期发送所有新数据的快照。

了解如何启用连续导出到 Azure 防火墙后的事件中心。

名为“通过 Azure 高级网络解决方案保护应用程序”的安全分数控制措施的名称已更改

安全分数控制措施 Protect your applications with Azure advanced networking solutions 已更改为 Protect applications against DDoS attacks。

更新后的名称将反映在 Azure Resource Graph (ARG)、安全分数控制 API 和“Download CSV report”上。

“SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址”策略已弃用

策略 Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports 已弃用。

Defender for SQL 漏洞评估电子邮件报告仍然可用，现有电子邮件配置也未更改。

为虚拟机规模集启用诊断日志的建议已弃用

建议 Diagnostic logs in Virtual Machine Scale Sets should be enabled 已弃用。

相关策略定义也已从法规合规性仪表板中显示的任何标准中弃用。

Recommendation	Description	Severity
应启用虚拟机规模集中的诊断日志	启用日志并将其保留长达一年。这使你能够在发生安全事件或网络遭到入侵时重新创建活动线索以供调查。	Low

2022 年 12 月

12 月的更新包括：

宣布在 Defender for SQL 中推出漏洞评估的快速配置

宣布在 Defender for SQL 中推出漏洞评估的快速配置

Microsoft Defender for SQL 中用于漏洞评估的快速配置为安全团队简化了 Synapse 工作区外部的 Azure SQL 数据库和专用 SQL 池上的配置体验。

借助漏洞评估的快速配置体验，安全团队可以：

在 SQL 资源的安全配置中完成漏洞评估配置，无需对客户管理的存储帐户进行任何其他设置，也不需要在此类帐户上具备任何依赖项。
立即将扫描结果添加到基线，以便查找结果的状态从 “不正常 ”更改为“ 正常 ”，而无需重新扫描数据库。
一次向基线添加多个规则，并使用最新的扫描结果。
在订阅级别为数据库启用 Microsoft Defender 时，为所有 Azure SQL 服务器启用漏洞评估。

详细了解 Defender for SQL 漏洞评估。

2022 年 11 月

11 月的更新包括：

使用 Defender for Containers 保护整个 GCP 组织的容器
使用示例警报验证 Defender for Containers 保护功能
大规模治理规则（预览版）
在 AWS 和 GCP（预览版）中创建自定义评估的功能已弃用
为 Lambda 函数配置死信队列的建议已弃用

使用 Defender for Containers 保护整个 GCP 组织的容器

现在可以为 GCP 环境启用 Defender for Containers，以保护整个 GCP 组织中的标准 GKE 群集。只需创建一个新的 GCP 连接器，并启用 Defender for Containers，或者在现有组织级 GCP 连接器上启用 Defender for Containers。

详细了解如何连接 GCP 项目和组织到 Defender for Cloud。

使用示例警报验证 Defender for Containers 保护功能

现在还可以为 Defender for Containers 计划创建示例警报。新的示例警报显示为来自 AKS、连接 Arc 的群集、EKS 和 GKE 资源，具有不同的严重性和 MITRE 策略。可以使用示例警报验证安全警报配置，例如 SIEM 集成、工作流自动化和电子邮件通知。

详细了解警报验证。

大规模治理规则（预览版）

我们很高兴宣布，在 Defender for Cloud 中应用大规模治理规则（预览版）这项新功能。

借助这一新体验，安全团队能够针对各种范围（订阅和连接器）批量定义治理规则。安全团队可以使用管理范围（例如 Azure 管理组、AWS 顶层帐户或 GCP 组织）来完成此任务。

此外，“治理规则”（预览版）页显示组织环境中有效的所有可用治理规则。

详细了解新的大规模治理规则体验。

Note

自 2023 年 1 月 1 日起，若要体验治理提供的功能，必须在订阅或连接器上启用 Defender CSPM 计划。

在 AWS 和 GCP（预览版）中创建自定义评估的功能已弃用

已弃用 AWS 帐户和 GCP 项目的自定义评估（即预览版功能）。

为 Lambda 函数配置死信队列的建议已弃用

建议 Lambda functions should have a dead-letter queue configured 已弃用。

Recommendation	Description	Severity
Lambda 函数应配置有死信队列	此控件检查 Lambda 函数是否配置了死信队列。如果没有为 Lambda 函数配置死信队列，则此控件将失败。作为故障目标的替代方法，可以使用死信队列来配置函数，以便保存放弃的事件以供进一步处理。死信队列的作用与故障目标相同。当某个事件的所有处理尝试失败或未进行处理而过期，将使用死信队列。使用死信队列可以回顾错误或对 Lambda 函数的失败请求，以便调试或识别异常行为。从安全角度来看，务必了解函数失败的原因，并确保函数不会因此导致数据损坏或破坏数据安全。例如，如果函数无法与基础资源通信，这可能表示网络中的其他位置出现拒绝服务 (DoS) 攻击。	Medium

2022 年 10 月

10月更新包括：

宣布推出 Microsoft 云安全基准
Defender for Cloud 中的攻击路径分析和上下文安全功能（预览版）
Azure 和 AWS 计算机的无代理扫描（预览版）
Defender for DevOps（预览版）
法规合规性仪表板现在支持手动控制管理以及有关 Microsoft 合规性状态的详细信息
自动预配已重命名为“设置”和“监视”，并具有更新的体验
Defender 云安全态势管理 (CSPM)（预览版）
MITRE ATT&CK 框架映射现在也可用于 AWS 和 GCP 安全建议
Defender for Containers 现在支持弹性容器注册表漏洞评估（预览版）

宣布推出 Microsoft 云安全基准

Microsoft 云安全基准 (MCSB) 是一个新的框架，基于通用行业标准和合规性框架定义基本的云安全原则，再结合用于跨云平台实施这些最佳做法的详细技术指南。 MCSB 将取代 Azure 安全基准。 MCSB 提供有关如何在多个云服务平台上实施与云无关的安全建议的规范性详细信息，最初涵盖 Azure 和 AWS。

现在可在单个集成仪表板中监视每个云的云安全合规性状况。导航到 Defender for Cloud 的法规合规性仪表板时，可看到 MCSB 是默认合规性标准。

加入 Defender for Cloud 时，Microsoft 云安全基准会自动分配给 Azure 订阅和 AWS 帐户。

详细了解 Microsoft 云安全基准。

Defender for Cloud 中的攻击路径分析和上下文安全功能（预览版）

新的云安全图、攻击路径分析和上下文云安全功能现已在 Defender for Cloud 中以预览版形式提供。

安全团队今天面临的最大挑战之一是他们每天面临的安全问题的数量。有许多安全问题需要解决，但从未有足够的资源来解决所有这些问题。

Defender for Cloud 的新云安全图和攻击路径分析功能使安全团队能够评估每个安全问题背后的风险。安全团队还可以确定需要尽快解决的风险性最高的问题。 Defender for Cloud 可帮助安全团队以最有效的方式降低对其环境造成影响的入侵风险。

详细了解新的云安全图、攻击路径分析和云安全资源管理器。

Azure 和 AWS 计算机的无代理扫描（预览版）

到目前为止，Defender for Cloud 根据基于代理的解决方案对 VM 进行状况评估。为帮助客户最大限度地提高覆盖范围并减少加入和管理问题，我们将发布预览版 VM 无代理扫描。

使用 VM 无代理扫描，可以广泛了解已安装的软件和软件 CVE。无需面对代理安装和维护、网络连接要求以及对工作负载的性能影响等挑战便能了解。分析由Microsoft Defender 漏洞管理提供支持。

无代理漏洞扫描可在 Defender 云安全态势管理 (CSPM) 和 Defender for Servers P2 中使用，同时原生支持 AWS 和 Azure VM。

详细了解无代理扫描。
了解如何启用无代理漏洞评估。

Defender for DevOps（预览版）

Microsoft Defender for Cloud 可实现跨混合和多云环境（包括 Azure、AWS、Google 和本地资源）的全面可见性、态势管理和威胁防护。

现在，全新 Defender for DevOps 计划将源代码管理系统（如 GitHub 和 Azure DevOps）集成到 Defender for Cloud 中。通过这种新的集成，我们使安全团队能够保护他们从代码到云的各项资源。

借助 Defender for DevOps，可以了解和管理已连接的开发人员环境和代码资源。目前，可以将 Azure DevOps 和 GitHub 系统连接到 Defender for Cloud，并将 DevOps 存储库加入清单和新的 DevOps 安全页。它在统一的 DevOps 安全页中为安全团队提供了发现其存在的安全问题的简要概述。

可以在拉取请求上配置批注，以帮助开发人员直接在其拉取请求上解决 Azure DevOps 中查找的机密问题。

可以在 Azure Pipelines 和 GitHub 工作流中配置 Microsoft 安全 DevOps 工具，用于启用以下安全扫描：

Name	语言	License
Bandit	Python	Apache 许可证 2.0
BinSkim	二进制 - Windows、ELF	MIT 许可证
ESlint	JavaScript	MIT 许可证
CredScan （仅限 Azure DevOps）	凭据扫描程序（也称为 CredScan）是由 Microsoft 开发和维护的工具，用于识别凭据泄漏，例如源代码和配置文件中的凭据泄漏。常见类型：默认密码、SQL 连接字符串、带私钥的证书	非开放源代码
模板分析	ARM 模板、Bicep 文件	MIT 许可证
Terrascan	Terraform (HCL2)、Kubernetes (JSON/YAML)、Helm v3、Kustomize、Dockerfiles、Cloud Formation	Apache 许可证 2.0
Trivy	容器映像、文件系统、Git 存储库	Apache 许可证 2.0

现在针对 DevOps 提供了以下新建议：

Recommendation	Description	Severity
（预览）代码存储库应处理代码扫描结果	Defender for DevOps 在代码存储库中发现漏洞。为了改善存储库的安全状况，强烈建议修复这些漏洞。（无相关策略）	Medium
（预览）代码存储库应处理机密扫描结果	Defender for DevOps 在代码存储库中发现了机密。  应立即修正此问题以防止安全漏洞。  在存储库中发现的机密可能会被泄露或被攻击者发现，导致应用程序或服务遭到入侵。对于 Azure DevOps，Microsoft Security DevOps CredScan 工具仅扫描它配置为运行的生成。因此，结果可能无法反映存储库中机密的完整状态。（无相关策略）	High
（预览）代码存储库应处理 Dependabot 扫描结果	Defender for DevOps 在代码存储库中发现漏洞。为了改善存储库的安全状况，强烈建议修复这些漏洞。（无相关策略）	Medium
（预览）代码存储库应处理基础结构即代码扫描结果	（预览）代码存储库应处理基础结构即代码扫描结果	Medium
（预览）GitHub 存储库应启用代码扫描	GitHub 使用代码扫描分析代码，以查找代码中的安全性漏洞和错误。代码扫描可用于查找、会审和优先排列代码中现有问题的修复。代码扫描还可防止开发人员引入新问题。扫描可安排在特定的日期和时间，也可以在存储库中发生特定事件（例如推送）时触发。如果代码扫描发现代码中的潜在漏洞或错误，GitHub 会在存储库中显示警报。漏洞是项目代码中的问题，可能被人利用来损害项目的机密性、完整性或可用性。（无相关策略）	Medium
（预览）GitHub 存储库应启用机密扫描	GitHub 扫描存储库以查找已知类型的机密，防止欺诈性使用意外提交到存储库中的机密。机密扫描将扫描 GitHub 存储库中存在的所有分支上的整个 Git 历史记录，以查找任何机密。机密的示例包括服务提供程序为进行身份验证而颁发的令牌和私钥。如果将机密签入存储库，任何对存储库具有读取权限的人都可以使用该机密和这些权限访问外部服务。机密应存储在项目存储库外部的专用、安全位置。（无相关策略）	High
（预览）GitHub 存储库应启用 Dependabot 扫描	当 GitHub 检测到影响存储库的代码依赖项中的漏洞时，它会发送 Dependabot 警报。漏洞是项目代码中的问题，可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。漏洞的类型、严重性和攻击方法各不相同。代码依赖于具有安全性漏洞的包时，这种易受攻击的依赖项会导致一系列问题。（无相关策略）	Medium

Defender for DevOps 建议取代了 Defender for Containers 中已弃用的 CI/CD 工作流漏洞扫描程序。

详细了解 Defender for DevOps

法规合规性仪表板现在支持手动控制管理以及有关 Microsoft 合规性状态的详细信息

Defender for Cloud 中的合规性仪表板是帮助客户了解和跟踪其合规性状态的关键工具。客户可按照许多不同标准和法规的要求持续监视环境。

现在可通过手动证明操作和其他控制措施来完全管理合规性状况。现在可为非自动化控制提供合规性证据。与自动评估配合使用，现在可以在选定的范围内生成完整的合规性报告，从而解决给定标准的整个控制集。

此外，有了更丰富的控制信息和 Microsoft 合规性状态的深入详细信息和证据，你现在可以轻松掌握审核所需的所有信息。

一些新优势如下：

手动客户操作提供一种手动证明非自动化控制合规性的机制。这包括链接证据、设置合规性日期和到期日期的能力。
更丰富的受支持标准控制详细信息，除了现有的自动化客户作外，还展示了 Microsoft作 和 手动客户 作。
Microsoft操作提供了Microsoft合规性状态的透明度，其中包括审核评估过程、测试结果和对偏差的Microsoft响应。
合规性产品/服务 提供一个中心位置，用于检查 Azure、Dynamics 365 和 Power Platform 产品及其各自的法规合规性认证。

详细了解如何通过 Defender for Cloud 提高法规合规性。

自动预配已重命名为“设置”和“监视”，并具有更新的体验

我们已将“自动预配”页重命名为 “设置”和“监视”。

自动预配旨在允许大规模启用 Defender for Cloud 的高级特性和功能所需的先决条件。为了更好地支持扩展功能，我们将推出包含以下更改的新体验：

Defender for Cloud 的计划页现在包括：

启用需要监视组件的 Defender 计划时，会启用这些组件以使用默认设置进行自动预配。可选择随时编辑这些设置。
可从 Defender 计划页访问每个 Defender 计划的监视组件设置。
Defender 计划页明确指示每个 Defender 计划的所有监视组件是否都已到位，或者监视覆盖范围是否不完整。

“设置和监视”页：

每个监视组件都指示与之相关的 Defender 计划。

详细了解如何管理监视设置。

Defender 云安全态势管理 (CSPM)

Microsoft Defender for Cloud 的云安全主要支柱之一是云安全态势管理 (CSPM)。 CSPM 为你提供强化指南，帮助你高效且有效地提高安全性。 CSPM 还可以让你了解当前的安全情况。

我们宣布推出一个新的 Defender 计划：Defender CSPM。此计划增强了 Defender for Cloud 的安全功能，并包含以下新功能和扩展功能：

持续评估云资源的安全配置
用于修复配置错误和漏洞的安全建议
安全功能分数
Governance
法规符合性
云安全图
攻击路径分析
计算机的无代理扫描

详细了解 Defender CSPM 计划。

MITRE ATT&CK 框架映射现在也可用于 AWS 和 GCP 安全建议

对于安全分析师，必须确定与安全建议相关的潜在风险并了解攻击途径，以便他们能够有效地确定任务优先级。

Defender for Cloud 通过根据 MITRE ATT&CK 框架映射 Azure、AWS 和 GCP 安全建议，使优先级更轻松。 MITRE ATT&CK 框架是一种基于真实观察的全球可访问的攻击者策略和技术知识库，使客户能够加强环境的安全配置。

MITRE ATT&CK 框架以三种方式集成：

建议映射到 MITRE ATT&CK 策略和技术。
使用 Azure Resource Graph 查询 MITRE ATT&CK 策略和技术，了解建议。

显示 MITRE 攻击在 Azure 门户中的位置的屏幕截图。

Defender for Containers 现在支持弹性容器注册表漏洞评估（预览版）

Microsoft Defender for Containers 现在为 Amazon AWS 中的弹性容器注册表 (ECR) 提供无代理漏洞评估扫描。这在今年早些时候为 AWS 和 Google GCP 发布的高级威胁防护和 Kubernetes 环境强化的基础上，扩大了对多云环境的覆盖范围。无代理模型在帐户中创建 AWS 资源以扫描映像，而无需从 AWS 帐户中提取映像，也不会占用工作负载。

针对 ECR 存储库中映像的无代理漏洞评估扫描通过持续扫描映像来识别和管理容器漏洞，从而帮助减少容器化资产的攻击面。在这个新版本中，Defender for Cloud 会在容器映像推送到存储库后扫描这些容器映像，并不断重新评估注册表中的 ECR 容器映像。这些结果在 Microsoft Defender for Cloud 中以建议的形式提供，你可使用 Defender for Cloud 的内置自动化工作流根据结果采取措施，例如打开用于修复映像中严重性较高的漏洞的工单。

详细了解 Amazon ECR 映像的漏洞评估。

2022 年 9 月

9 月的更新包括：

抑制基于容器和 Kubernetes 实体的警报
Defender for Servers 支持使用 Azure Monitor 代理进行文件完整性监视
旧版评估 API 弃用
针对标识添加的额外建议
删除向跨租户 Log Analytics 工作区报告的计算机安全警报

抑制基于容器和 Kubernetes 实体的警报

Kubernetes 命名空间
Kubernetes Pod
Kubernetes 机密
Kubernetes ServiceAccount
Kubernetes ReplicaSet
Kubernetes StatefulSet
Kubernetes DaemonSet
Kubernetes 作业
Kubernetes CronJob

详细了解警报抑制规则。

Defender for Servers 支持使用 Azure Monitor 代理进行文件完整性监视

文件完整性监视 (FIM) 检查操作系统文件和注册表，从而发现能表示遭到攻击的更改。

FIM 现已在基于 Azure Monitor 代理 (AMA) 的新版本中提供，可以通过 Defender for Cloud 进行部署。

旧版评估 API 弃用

以下 API 已弃用：

安全任务
安全状态
安全摘要

这三个 API 公开了旧格式的评估，并被评估 API 和 SubAssessments API 取代。这些旧 API 公开的所有数据也在新 API 中可用。

针对标识添加的额外建议

Defender for Cloud 关于改进用户和帐户管理的建议。

新建议

新版本将包含以下功能：

扩展评估范围 - 没有 MFA 的标识账户和 Azure 资源上的外部帐户（而不仅是订阅）的覆盖范围已得到改进，这使安全管理员能够查看每个帐户的角色分配。
改进刷新间隔 - 标识建议的刷新间隔现为 12 小时。

帐户豁免功能 - Defender for Cloud 具有许多功能，可用于进行体验自定义并确保安全功能分数反映组织的安全优先级。例如，可以从安全评分中免除资源和建议。

通过此更新，你将能够豁免下表中列出的六项建议对特定帐户的评估。

通常，你可以免除 MFA 建议中的紧急“破玻璃”帐户，因为此类帐户通常被故意排除在组织的 MFA 要求之外。或者，你可能拥有想要允许其访问 MFA 但未为其启用 MFA 的外部帐户。

Tip

豁免某个帐户时，它不会显示为运行不正常，也不会导致订阅看起来不正常。

Recommendation	评估密钥
对 Azure 资源拥有所有者权限的帐户应启用 MFA	6240402e-f77c-46fa-9060-a7ce53997754
对 Azure 资源拥有写入权限的帐户应启用 MFA	c0cb17b2-0607-48a7-b0e0-903ed22de39b
对 Azure 资源拥有读取权限的帐户应启用 MFA	dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
应删除对 Azure 资源拥有所有者权限的来宾帐户	20606e75-05c4-48c0-9d97-add6daa2109a
应删除对 Azure 资源拥有写入权限的来宾帐户	0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
应删除对 Azure 资源拥有读取权限的来宾帐户	fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
应删除对 Azure 资源拥有所有者权限的已封锁帐户	050ac097-3dda-4d24-ab6d-82568e7a50cf
应删除对 Azure 资源拥有读取和写入权限的已封锁帐户	1ff0b4c9-ed56-4de6-be9c-d7ab39645926

这些建议虽然处于预览阶段，但将显示在当前正式发布的建议旁边。

删除向跨租户 Log Analytics 工作区报告的计算机安全警报

过去，Defender for Cloud 可让你选择 Log Analytics 代理向其报告的工作区。当计算机属于一个租户（租户 A），但其 Log Analytics 代理向另一租户（“租户 B”）中的工作区报告时，有关该计算机的安全警报将报告给第一个租户（租户 A）。

进行此更改后，连接到不同租户中 Log Analytics 工作区的计算机上的警报将不再显示在 Defender for Cloud 中。

如果要继续在 Defender for Cloud 中接收警报，请将相关计算机的 Log Analytics 代理连接到计算机所在的同一租户中的工作区。

详细了解安全警报。

2022 年 8 月

8 月的更新包括：

现在可在 Windows 容器上的 Defender for Containers 中查看运行映像的漏洞
Azure Monitor 代理集成现在处于预览阶段
已弃用关于与 Kubernetes 群集相关的可疑活动的 VM 警报

现在可在 Windows 容器上的 Defender for Containers 中查看运行映像的漏洞

Defender for Containers 现在显示运行 Windows 容器的漏洞。

检测到漏洞时，Defender for Cloud 会生成以下安全建议，其中列出了检测到的问题：运行容器映像应已解决漏洞发现。

详细了解如何查看运行映像的漏洞。

Azure Monitor 代理集成现在处于预览阶段

Defender for Cloud 现包括对 Azure Monitor 代理 (AMA) 的预览支持。 AMA 用于替换位于弃用路径上的旧版 Log Analytics 代理，也称为 Microsoft Monitoring Agent (MMA)。与旧版代理相比，AMA 具有许多优点。

在 Defender for Cloud 中，启用 AMA 自动预配时，代理将部署在订阅中检测到的现有 VM 和新 VM 以及已启用 Azure Arc 的计算机上。如果启用了 Defender for Cloud 计划，AMA 将从 Azure VM 和 Azure Arc 计算机收集配置信息和事件日志。 AMA 集成处于预览阶段，因此我们建议在测试环境中使用它，而不是在生产环境中使用。

下表列出了已弃用的警报：

警报名称	Description	Tactics	Severity
在 Kubernetes 节点上检测到 Docker 生成操作 (VM_ImageBuildOnNode)	计算机日志指示 Kubernetes 节点上发生了容器映像的生成操作。此行为可能是合法的，不过，攻击者可能会在本地生成恶意映像以避开检测。	防御逃避	Low
对 Kubernetes API 的可疑请求 (VM_KubernetesAPI)	计算机日志指示有人对 Kubernetes API 发出了可疑的请求。该请求发送自 Kubernetes 节点，可能来自节点中运行的某个容器。尽管此行为可能是故意的，但它可能指示节点运行的某个容器遭到入侵。	LateralMovement	Medium
SSH 服务器在容器中运行 (VM_ContainerSSH)	计算机日志指示有 SSH 服务器在 Docker 容器中运行。尽管此行为可能是故意的，但它通常指示容器配置不正确或者遭到破坏。	Execution	Medium

这些警报用于通知用户有关连接到 Kubernetes 群集的可疑活动。警报将替换为 Microsoft Defender for Cloud 容器警报（K8S.NODE_ImageBuildOnNode、K8S.NODE_ KubernetesAPI 和 K8S.NODE_ ContainerSSH）中的匹配警报，这将提供更高的保真度和全面的上下文来调查和处理警报。详细了解 Kubernetes 群集的警报。

容器漏洞现在包括详细的包信息

Defender for Container 的漏洞评估 (VA) 现在包括每个发现的详细包信息，包括包名称、包类型、路径、已安装版本和不可编辑的版本。利用包信息，可以查找易受攻击的包，以便修复漏洞或删除包。

此详细的包信息可用于新的图像扫描。

2022 年 7 月

7 月的更新包括：

用于 Kubernetes 运行时保护的云原生安全代理正式版 (GA)
Defender for Container 的 VA 增加了对检测语言特定包的支持（预览版）
防范 Operations Management Infrastructure 漏洞 CVE-2022-29149
与 Entra 权限管理集成
密钥保管库建议已更改为“审核”
弃用应用服务的 API 应用策略

用于 Kubernetes 运行时保护的云原生安全代理正式版 (GA)

我们很高兴地宣布，用于 Kubernetes 运行时保护的云原生安全代理现已推出正式版 (GA)！

随着客户不断地容器化其应用程序，Kubernetes 群集的生产部署也在持续扩建。为了协助这种发展局面，Defender for Containers 团队开发了面向云原生 Kubernetes 的安全代理。

新的安全代理是基于 eBPF 技术的 Kubernetes DaemonSet，它将作为 AKS 安全配置文件的一部分完全集成到 AKS 群集中。

可以通过自动预配、建议流、AKS RP 启用该安全代理，或使用 Azure Policy 大规模启用。

现在你可以在 AKS 群集上部署 Defender 代理。

在发布本通告时，运行时保护 - 威胁检测（工作负载）也已推出正式版。

详细了解 Defender for Container 的功能可用性。

还可以查看所有提供的警报。

请注意，如果你使用的是预览版，则不再需要 AKS-AzureDefender 功能标志。

Defender for Container 的 VA 增加了对检测语言特定包的支持（预览版）

Defender for Container 的漏洞评估 (VA) 能够检测通过 OS 包管理器部署的 OS 包中的漏洞。我们现在扩展了 VA 检测语言特定包中包含的漏洞的能力。

此功能目前为预览版，仅适用于 Linux 映像。

若要查看已增加的所有包含的语言特定包，请查看 Defender for Container 功能及其可用性的完整列表。

防范 Operations Management Infrastructure 漏洞 CVE-2022-29149

Operations Management Infrastructure (OMI) 是一组基于云的服务，用于从一个位置管理本地和云环境。 OMI 组件完全在 Azure 中托管，而不是在本地资源上部署和管理。

与运行 OMI 版本 13 的 Azure HDInsight 集成的 Log Analytics 需要修补程序来修正 CVE-2022-29149。请查看 Microsoft 安全更新指南中有关此漏洞的报告，了解如何识别受此漏洞影响的资源和补救步骤。

如果已启用具有漏洞评估的 Defender for Servers，则可以使用此工作簿来标识受影响的资源。

与 Entra 权限管理集成

Defender for Cloud 已与 Microsoft Entra 权限管理集成，这是一种云基础结构权利管理 (CIEM) 解决方案，可为 Azure、AWS 和 GCP 中的任何标识和任何资源提供全面的可见性和权限控制。

你加入的每个 Azure 订阅、AWS 帐户和 GCP 项目现在都将显示权限蠕变索引 (PCI) 视图。

详细了解 Entra 权限管理（以前称为 Cloudknox）

密钥保管库建议已更改为“审核”

此处列出的密钥保管库建议的效果已更改为“审核”：

建议名称	建议 ID
存储在 Azure Key Vault 中的证书的有效期不得超过 12 个月	fc84abc0-eee6-4758-8372-a7681965ca44
Key Vault 机密应具有到期日期	14257785-9437-97fa-11ae-898cfb24302b
Key Vault 密钥应具有到期日期	1aabfa0d-7585-f9f5-1d92-ecb40291d9f2

弃用应用服务的 API 应用策略

我们弃用了以下策略，并改用已存在的对应策略以包括 API 应用：

即将弃用	更改为
`Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On'`	`App Service apps should have 'Client Certificates (Incoming client certificates)' enabled`
`Ensure that 'Python version' is the latest, if used as a part of the API app`	`App Service apps that use Python should use the latest Python version'`
`CORS should not allow every resource to access your API App`	`App Service apps should not have CORS configured to allow every resource to access your apps`
`Managed identity should be used in your API App`	`App Service apps should use managed identity`
`Remote debugging should be turned off for API Apps`	`App Service apps should have remote debugging turned off`
`Ensure that 'PHP version' is the latest, if used as a part of the API app`	`App Service apps that use PHP should use the latest 'PHP version'`
`FTPS only should be required in your API App`	`App Service apps should require FTPS only`
`Ensure that 'Java version' is the latest, if used as a part of the API app`	`App Service apps that use Java should use the latest 'Java version'`
`Latest TLS version should be used in your API App`	`App Service apps should use the latest TLS version`

2022 年 6 月

6 月的更新包括以下内容：

正式发布 Microsoft Defender for Azure Cosmos DB
在计算机上正式提供适用于 AWS 和 GCP 环境的 Defender for SQL
推动实现安全建议，以增强安全状况
按 IP 地址筛选安全警报
按资源组列出警报
自动预配 Microsoft Defender for Endpoint 统一解决方案
弃用“只能通过 HTTPS 访问 API 应用”策略
新 Key Vault 警报

正式发布 Microsoft Defender for Azure Cosmos DB

Microsoft Defender for Azure Cosmos DB 现已正式发布 (GA)，并且支持 SQL（核心）API 帐户类型。

此新正式发布版本是 Microsoft Defender for Cloud 数据库保护套件的一部分，后者包括不同类型的 SQL 数据库和 MariaDB。 Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层，可检测企图利用 Azure Cosmos DB 帐户中的数据库的行为。

通过启用此计划，你将收到以下方面的警报：潜在的 SQL 注入、已知恶意参与者、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。

当检测到潜在的恶意活动时，将生成安全警报。这些警报提供可疑活动的详细信息以及相关的调查步骤、修正操作和安全建议。

Microsoft Defender for Azure Cosmos DB 持续分析 Azure Cosmos DB 服务生成的遥测流，并将其与 Microsoft 威胁情报和行为模型交叉以检测任何可疑活动。 Defender for Azure Cosmos DB 不会访问 Azure Cosmos DB 帐户数据，也不会对数据库的性能产生任何影响。

详细了解 Microsoft Defender for Azure Cosmos DB。

添加了对 Azure Cosmos DB 的支持后，Defender for Cloud 现在为基于云的数据库提供了最全面的工作负载保护产品/服务之一。安全团队和数据库所有者现在可以集中管理其环境的数据库安全性。

了解如何为数据库启用保护。

在计算机上正式提供适用于 AWS 和 GCP 环境的 Defender for SQL

Microsoft Defender for Cloud 提供的数据库保护功能增加了对托管在 AWS 或 GCP 环境中的 SQL Server 的支持。

借助 Defender for SQL，企业现在可以保护其托管在 Azure、AWS、GCP 和本地计算机上的整个数据库资产。

Microsoft Defender for SQL 提供了统一的多云体验，用于查看 SQL Server 和底层 Windows 操作系统的安全建议、安全警报和漏洞评估结果。

使用多云加入体验，可以为 AWS EC2、RDS Custom for SQL Server 和 GCP 计算引擎上运行的 SQL Server 启用和强制实施数据库保护。启用这些计划中的任一计划后，订阅中存在的所有受支持的资源都将受到保护。以后在同一订阅中创建的资源也会受到保护。

了解如何使用 Microsoft Defender for Cloud 保护和连接 AWS 环境和 GCP 组织。

推动实现安全建议，以增强安全状况

如今，组织面临的威胁日益增加，使得安全人员发挥其一切才能保护其不断扩展的工作负载。安全团队面临着与实施其安全策略中定义的保护相关的挑战。

现在，通过预览版治理体验，安全团队可以向资源所有者分配安全建议修正，并要求制定修正计划。他们可以完全透明地了解修正的进度，并在任务过期时得到通知。

有关治理体验的详细信息，请参阅推动组织通过建议治理修正安全问题。

按 IP 地址筛选安全警报

在许多攻击情况下，你希望根据攻击所涉及的实体的 IP 地址来跟踪警报。到目前为止，IP 仅出现在单个警报窗格中的“相关实体”部分。现在，你可以在安全警报页中筛选警报，以查看与 IP 地址相关的警报，并且可以搜索特定的 IP 地址。

按资源组列出警报

“安全警报”页面添加了按资源组进行筛选、排序和分组的功能。

警报网格添加了资源组列。

添加了一个新筛选器，可用于查看特定资源组的所有警报。

现在，还可以按资源组对警报进行分组，以查看每个资源组的所有警报。

自动预配 Microsoft Defender for Endpoint 统一解决方案

到目前为止，与 Microsoft Defender for Endpoint (MDE) 的集成包括自动安装新的 MDE 统一解决方案，该解决方案适用于已启用 Defender for Servers 计划 1 的计算机（Azure 订阅和多云连接器）以及已启用 Defender for Servers 计划 2 的多云连接器。适用于 Azure 订阅的计划 2 仅为 Linux 计算机和 Windows 2019 和 2022 服务器启用了统一解决方案。 Windows Server 2012R2 和 2016 使用了依赖于 Log Analytics 代理的 MDE 旧解决方案。

现在，新的统一解决方案适用于这两个计划中的所有计算机，适用于 Azure 订阅和多云连接器。对于在 2022 年 6 月 20 日之后启用 MDE 集成的服务器计划 2 的 Azure 订阅，默认情况下，对于在 2022 年 6 月 20 日之前启用了 MDE 集成的 Defender for Servers 计划 2 的所有计算机，统一解决方案默认启用，可通过集成页中的专用按钮为 Windows Server 2012R2 和 2016 启用统一解决方案安装：

详细了解 MDE 与 Defender for Servers 的集成。

弃用“只能通过 HTTPS 访问 API 应用”策略

策略 API App should only be accessible over HTTPS 已弃用。此策略替换为 Web Application should only be accessible over HTTPS 策略，后者已重命名为 App Service apps should only be accessible over HTTPS。

若要详细了解 Azure 应用服务的策略定义，请参阅 Azure 应用服务的 Azure Policy 内置定义。

新 Key Vault 警报

为了扩展 Microsoft Defender for Key Vault 提供的威胁防护，我们添加了两个新警报。

这些警报会将为任何密钥保管库检测到的访问被异常拒绝的情况通知你。

警报（警报类型）	Description	MITRE 策略	Severity
异常访问被拒绝 - 对大量密钥保管库的用户访问被拒绝 (KV_DeniedAccountVolumeAnomaly)	用户或服务主体在过去 24 小时内尝试访问了异常多的密钥保管库。此异常访问模式可能是合法的活动。尽管此尝试失败，但它可能表明：用户或主体可能在尝试访问密钥保管库及其中包含的机密。建议进一步调查。	Discovery	Low
异常访问被拒绝 - 对密钥保管库的异常用户访问被拒绝 (KV_UserAccessDeniedAnomaly)	尝试访问密钥保管库的用户并未以正常方式访问密钥保管库，此异常访问模式可能是合法的活动。尽管此尝试失败，但它可能表明：用户或主体可能在尝试访问密钥保管库及其中包含的机密。	初始访问、发现	Low

2022 年 5 月

5 月的更新包括以下内容：

服务器计划的多云设置现已可在连接器级别使用
适用于 VM 的 JIT（实时）访问现已可用于 AWS EC2 实例（预览版）
使用 CLI 为 AKS 群集添加和删除 Defender 传感器

服务器计划的多云设置现已可在连接器级别使用

现在已有连接器级别的设置可用于多云中的 Defender for Servers。

新的连接器级别设置为每个连接器的定价和自动预配配置提供了独立于订阅的粒度选择。

默认情况下，连接器级别（Azure Arc、MDE 和漏洞评估）中可用的所有自动预配组件都已启用，且新配置同时支持计划 1 和计划 2 定价层。

UI 中的更新包括对所选定价层和所需配置的组件的反射。

启用了多云连接器的自动预配页的屏幕截图。

对漏洞评估的更改

Defender for Containers 现在显示了无法修补的中、低严重级别的漏洞。

此更新现在会显示中低严重级别的漏洞，无论是否有可用的修补程序。此更新提供了最大程度的可见性，但仍支持使用提供的禁用规则筛选掉无需考虑的漏洞。

禁用规则屏幕的屏幕截图。

详细了解漏洞管理

适用于 VM 的 JIT（实时）访问现已可用于 AWS EC2 实例（预览版）

连接 AWS 帐户时，JIT 会自动评估实例安全组的网络配置，并建议哪些实例需要保护其公开的管理端口。这类似于 JIT 与 Azure 配合工作的方式。加入不受保护的 EC2 实例时，JIT 将阻止对管理端口的公共访问，并仅在有限时间内通过授权请求来开启这些端口。

了解 JIT 如何保护 AWS EC2 实例

使用 CLI 为 AKS 群集添加和删除 Defender 传感器

Defender for Containers 需要 Defender 代理才能提供运行时保护并从节点收集信号。现在可以使用 Azure CLI 为 AKS 群集添加和删除 Defender 代理。

Note

此选项包含在 Azure CLI 3.7 及更高版本中。

2022 年 4 月

4 月的更新包括：

新的 Defender for Servers 计划
自定义建议重定位
将警报流式传输到 Splunk 和 QRadar 的 PowerShell 脚本
已弃用了 Azure Cache for Redis 建议
Microsoft Defender for Storage（预览版）的新警报变体，用于检测敏感数据是否泄露
使用 IP 地址信誉扩充的容器扫描警报标题
查看与安全警报相关的活动日志

新的 Defender for Servers 计划

Microsoft Defender for Servers 现在分两种增量计划提供：

Defender for Servers 计划 2，以前是 Defender for Servers
Defender for Servers 计划 1，仅支持 Defender for Endpoint

虽然 Defender for Servers 计划 2 为云和本地工作负载继续提供保护来防范威胁和漏洞，但 Defender for Servers 计划 1 仅提供终结点保护，由本地集成的 Defender for Endpoint 提供支持。详细了解 Defender for Servers 计划。

如果到现在你一直都在使用 Defender for Servers，则无需执行任何操作。

此外，Defender for Cloud 还开始逐步支持适用于 Windows Server 2012 R2 和 2016 的 Defender for Endpoint 统一代理。 Defender for Servers 计划 1 将新的统一代理部署到 Windows Server 2012 R2 和 2016 工作负载。

自定义建议重定位

自定义建议是由用户创建的，对安全功能分数没有任何影响。现可在“所有建议”选项卡下找到自定义建议。

使用新的“建议类型”筛选器查找自定义建议。

在创建自定义安全计划和策略中了解详细信息。

用于将警报流式传输到 Splunk 和 IBM QRadar 的 PowerShell 脚本

建议使用事件中心和内置连接器将安全警报导出到 Splunk 和 IBM QRadar。现在，你可以使用 PowerShell 脚本来设置为你的订阅或租户导出安全警报所需的 Azure 资源。

只需下载并运行 PowerShell 脚本。提供环境的一些详细信息后，脚本会为你配置资源。然后，该脚本会生成你在 SIEM 平台中用于完成集成的输出。

若要了解详细信息，请参阅将警报流式传输到 Splunk 和 QRadar。

已弃用了 Azure Cache for Redis 建议

建议 Azure Cache for Redis should reside within a virtual network（预览版）已弃用。我们更改了保护 Azure Redis 缓存实例的指导。我们建议使用专用终结点来限制对 Azure Cache for Redis 实例的访问，而不是使用虚拟网络。

Microsoft Defender for Storage（预览版）的新警报变体，用于检测敏感数据是否泄露

在威胁参与者尝试扫描和公开错误配置、公开开放存储容器以试图泄露敏感信息时（无论成功与否），Microsoft Defender for Storage 的警报会通知你。

为了更快地进行会审和响应时间，当可能发生潜在敏感数据外泄时，我们发布了现有 Publicly accessible storage containers have been exposed 警报的新变体。

如果成功发现一个或多个公开开放的存储容器，而且容器的名称在统计上很少被公开，这表明容器可能包含敏感信息，则此时将以 Publicly accessible storage containers with potentially sensitive data have been exposed 严重性级别触发新警报 High。

警报（警报类型）	Description	MITRE 策略	Severity
预览版 - 公开了潜在敏感数据的可公开存储容器 (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery.Sensitive)	有人扫描了你的 Azure 存储帐户并公开了允许公共访问的容器。一个或多个公开的容器具有指示它们可能包含敏感数据的名称。这通常表示威胁参与者正在扫描可能包含敏感数据的未配置公共可访问的存储容器的侦查。在威胁执行组件成功发现容器后，它们可能会通过泄露数据来继续。 ✔ Azure Blob 存储 ✖ Azure 文件存储 ✖ Azure Data Lake Storage Gen2	Collection	High

使用 IP 地址信誉扩充的容器扫描警报标题

IP 地址的信誉可以表明扫描活动是来自已知的威胁参与者，还是来自使用 Tor 网络隐藏其身份的参与者。这两个指标都表明存在恶意意图。 IP 地址的信誉由 Microsoft 威胁情报提供。

通过将 IP 地址的信誉添加到警报标题，可以快速评估参与者意图的方法，从而评估威胁的严重性。

以下警报将包括此信息：

Publicly accessible storage containers have been exposed
Publicly accessible storage containers with potentially sensitive data have been exposed
Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

例如，添加到 Publicly accessible storage containers have been exposed 警报标题的信息将如下所示：

Publicly accessible storage containers have been exposedby a suspicious IP address
Publicly accessible storage containers have been exposedby a Tor exit node

Microsoft Defender 的所有警报将继续在警报的“相关实体”部分下的 IP 实体中包含威胁情报信息。

查看与安全警报相关的活动日志

作为评估安全警报所要执行的操作的一部分，可以在检查资源上下文中找到相关的平台日志，以获取有关受影响资源的上下文。 Microsoft Defender for Cloud 标识警报一天内的平台日志。

平台日志可帮助你评估安全威胁，并确定可以采取的步骤来缓解已识别的风险。

2022 年 3 月

3 月的更新包括：

适用于 AWS 和 GCP 环境的安全评分的全球可用性
已弃用安装网络流量数据收集代理的建议
Defender for Containers 现在可以扫描 Windows 映像中的漏洞（预览版）
Microsoft Defender for Storage 的新警报（预览版）
通过警报配置电子邮件通知设置
已弃用预览版警报：ARM.MCAS_ActivityFromAnonymousIPAddresses
已将“应修正容器安全配置中的漏洞”建议从安全分数移到最佳做法
已弃用使用服务主体来保护订阅的建议
已将 ISO 27001 的旧版实现替换为新的 ISO 27001:2013 计划
已弃用 Microsoft Defender for IoT 设备建议
已弃用 Microsoft Defender for IoT 设备警报
面向 AWS 和 GCP 的态势管理和威胁防护已发布，现已正式发布 (GA)
ACR 中 Windows 映像的注册表扫描添加了对国家/地区云的支持

适用于 AWS 和 GCP 环境的安全评分的全球可用性

Microsoft Defender for Cloud 提供的云安全状况管理功能现已在安全评分中添加了对 AWS 和 GCP 环境的支持。

企业现在可以跨各种环境（如 Azure、AWS 和 GCP）查看其整体安全状况。

“安全评分”页已替换为“安全状况”仪表板。通过“安全状况”仪表板，可以查看所有环境的总体综合分数，或查看基于所选环境的任意组合的安全状况明细。

“建议”页面也经过重新设计，以提供新功能，例如：云环境选择、基于内容（资源组、AWS 账户、GCP 项目等）的高级筛选器、改进的低分辨率用户界面、支持资源图中的打开查询等。可以了解有关总体安全状况和安全建议的详细信息。

已弃用安装网络流量数据收集代理的建议

路线图和优先级的变更消除了对网络流量数据收集代理的需要。已弃用以下两项建议及其相关策略。

Recommendation	Description	Severity
应在 Linux 虚拟机上安装网络流量数据收集代理	Defender for Cloud 使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	Medium
应在 Windows 虚拟机上安装网络流量数据收集代理	Defender for Cloud 使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据，以启用高级网络保护功能，如网络映射上的流量可视化、网络强化建议和特定网络威胁。	Medium

Defender for Containers 现在可以扫描 Windows 映像中的漏洞（预览版）

Defender for Containers 映像扫描现在支持托管在 Azure 容器注册表中的 Windows 映像。此功能在预览阶段是免费的，在正式发布时会产生费用。

在使用 Microsoft Defender for Containers 扫描映像中的漏洞中了解详细信息。

Microsoft Defender for Storage 的新警报（预览版）

为了扩展 Microsoft Defender for Storage 提供的威胁防护，我们添加了新的预览警报。

威胁参与者使用应用程序和工具来发现和访问存储帐户。 Microsoft Defender for Storage 检测这些应用程序和工具，以便你可以阻止它们并修正你的状况。

此预览警报称为 Access from a suspicious application。此警报仅与 Azure Blob 存储和 ADLS Gen2 相关。

警报（警报类型）	Description	MITRE 策略	Severity
预览 - 来自可疑应用程序的访问 (Storage.Blob_SuspiciousApp)	指示可疑应用程序已通过身份验证成功访问存储帐户的容器。这可能表示攻击者获取了访问该帐户所必要的凭据，并在利用该帐户。这也可能是在你的组织中进行渗透测试的一个迹象。适用于：Azure Blob 存储、Azure Data Lake Storage Gen2	初始访问	Medium

通过警报配置电子邮件通知设置

警报用户界面 (UI) 中添加了一个新部分，可让你查看和编辑谁将接收针对当前订阅触发的警报的电子邮件通知。

新 UI 的屏幕截图，其中显示了如何配置电子邮件通知。

了解如何针对安全警报配置电子邮件通知。

已弃用预览版警报：ARM.MCAS_ActivityFromAnonymousIPAddresses

以下预览版警报已弃用：

警报名称	Description
预览 - 来自有风险的 IP 地址的活动 (ARM.MCAS_ActivityFromAnonymousIPAddresses)	检测到来自已被标识为匿名代理 IP 地址的 IP 地址的用户活动。这些代理被想要隐藏其设备 IP 地址的用户使用，并可能用于恶意目的。此项检测使用可以减少误报的机器学习算法，例如在组织中被用户广泛使用的错误标记的 IP 地址。需要有效的 Microsoft Defender for Cloud 应用许可证。

创建了一个新警报，该警报提供此信息并将它添加到其中。此外，较新的警报（ARM_OperationFromSuspiciousIP、ARM_OperationFromSuspiciousProxyIP）不需要 Microsoft Defender for Cloud Apps（以前称为 Microsoft Cloud App Security）的许可证。

查看资源管理器的更多警报。

已将“应修正容器安全配置中的漏洞”建议从安全分数移到最佳做法

建议 Vulnerabilities in container security configurations should be remediated 已从“安全分数”部分移到“最佳做法”部分。

在当前用户体验中，仅当所有符合性检查都通过时才提供分数。大多数客户都难以满足所有必需的检查要求。我们正在努力改进此建议的体验，一旦发布后，建议将被移回安全分数。

已弃用使用服务主体来保护订阅的建议

随着组织不再使用管理证书来管理其订阅，以及我们最近宣布将停用云服务（经典）部署模型，我们已弃用以下 Defender for Cloud 建议及其相关策略：

Recommendation	Description	Severity
应使用服务主体（而不是管理证书）来保护你的订阅	通过管理证书，任何使用它们进行身份验证的人员都可管理与它们关联的订阅。为了更安全地管理订阅，建议将服务主体和资源管理器结合使用来限制证书泄露所造成的影响范围。这也可以使资源管理自动进行。（相关策略：应使用服务主体（而不是管理证书）来保护你的订阅）	Medium

了解详细信息：

已将 ISO 27001 的旧版实现替换为新的 ISO 27001:2013 计划

从 Defender for Cloud 的法规合规性仪表板中删除了 ISO 27001 的旧版实施。如果要跟踪 ISO 27001 与 Defender for Cloud 的合规性，请针对所有相关管理组或订阅加入新的 ISO 27001:2013 标准。

已弃用 Microsoft Defender for IoT 设备建议

Microsoft Defender for IoT 设备建议在 Microsoft Defender for Cloud 中不再可见。这些建议在 Microsoft Defender for IoT 的“建议”页中仍然提供。

以下建议已弃用：

评估密钥	Recommendations
1a36f14a-8bd8-45f5-abe5-eef88d76ab5b：IoT 设备	设备上有开放端口
ba975338-f956-41e7-a9f2-7614832d382d：IoT 设备	在输入链中发现了宽松的防火墙规则
beb62be3-5e78-49bd-ac5f-099250ef3c7c：IoT 设备	在其中一个链中找到了宽容防火墙策略
d5a8d84a-9ad0-42e2-80e0-d38e3d46028a：IoT 设备	在输出链中发现了宽松的防火墙规则
5f65e47f-7a00-4bf3-acae-90ee441ee876：IoT 设备	操作系统基线验证失败
a9a59ebb-5d6f-42f5-92a1-036fd0fd1879：IoT 设备	代理正在发送未充分利用的消息
2acc27c6-5fdb-405e-9080-cb66b850c8f5：IoT 设备	需要进行 TLS 加密套件升级
d74d2738-2485-4103-9919-69c7e63776ec：IoT 设备	`Auditd` 进程停止发送事件

已弃用 Microsoft Defender for IoT 设备警报

所有 Microsoft Defender for IoT 设备警报在 Microsoft Defender for Cloud 中不再可见。这些警报在 Microsoft Defender for IoT 的“警报”页和 Microsoft Sentinel 中仍然提供。

面向 AWS 和 GCP 的态势管理和威胁防护已发布，现已正式发布 (GA)

Defender for Cloud 的 CSPM 功能扩展到 AWS 和 GCP 资源。该无代理计划根据安全评分中包含的特定于云的安全建议评估多云资源。将使用内置标准评估资源的合规性。 Defender for Cloud 的资产清单页是一个支持多云的功能，可以同时管理 AWS 资源和 Azure 资源。
Microsoft Defender for Servers 为 AWS 和 GCP 中的计算实例提供威胁检测和高级防护功能。 Defender for Servers 计划包括 Microsoft Defender for Endpoint、漏洞评估扫描等功能的集成许可证。了解虚拟机和服务器支持的所有功能。利用自动加入功能，可以轻松连接在你的环境中发现的任何现有的或新的计算实例。

了解如何使用 Microsoft Defender for Cloud 保护和连接 AWS 环境和 GCP 组织。

ACR 中 Windows 映像的注册表扫描添加了对国家/地区云的支持

Azure 政府和由世纪互联运营的 Microsoft Azure 现在支持 Windows 映像的注册表扫描。此新增功能目前处于预览状态。

详细了解功能的可用性。

2022 年 2 月

2 月的更新包括：

已启用 Arc 的 Kubernetes 群集的 Kubernetes 工作负载保护
用于 GCP 计算实例的本机 CSPM for GCP 和威胁防护
Microsoft Defender for Azure Cosmos DB 计划已发布预览版
针对 Google Kubernetes Engine (GKE) 群集的威胁防护

已启用 Arc 的 Kubernetes 群集的 Kubernetes 工作负载保护

Defender for Containers 以前只保护在 Azure Kubernetes 服务中运行的 Kubernetes 工作负载。我们现在扩展了保护范围，将已启用 Azure Arc 的 Kubernetes 群集包括在内。

了解如何为 AKS 和启用了 Azure Arc 的 Kubernetes 群集设置 Kubernetes 工作负载保护。

用于 GCP 计算实例的本机 CSPM for GCP 和威胁防护

使用 GCP 环境的新自动加入功能，可以通过 Microsoft Defender for Cloud 保护 GCP 工作负载。 Defender for Cloud 可通过以下计划保护资源：

Defender for Cloud 的 CSPM 功能扩展到 GCP 资源。此无代理计划根据与 Defender for Cloud 一起提供的特定于 GCP 的安全建议来评估你的 GCP 资源。 GCP 建议包含在你的安全分数中，并将评估资源是否符合内置 GCP CIS 标准。 Defender for Cloud 的资产清单页是一个支持多云的功能，有助于同时管理 Azure、AWS 和 GCP 资源。
Microsoft Defender for Servers 为 GCP 计算实例提供威胁检测和高级防护功能。此计划包括 Microsoft Defender for Endpoint 的集成许可证、漏洞评估扫描等。

有关可用功能的完整列表，请参阅虚拟机和服务器支持的功能。利用自动加入功能，可以轻松连接在你的环境中发现的任何现有的和新的计算实例。

了解如何使用 Microsoft Defender for Cloud 保护和连接 GCP 项目。

Microsoft Defender for Azure Cosmos DB 计划已发布预览版

我们已扩展 Microsoft Defender for Cloud 的数据库覆盖范围。现在，可以为 Azure Cosmos DB 数据库启用保护。

Microsoft Defender for Azure Cosmos DB 是 Azure 本机安全层，可检测任何企图利用 Azure Cosmos DB 帐户中的数据库的行为。 Microsoft Defender for Azure Cosmos DB 检测潜在的 SQL 注入、已知恶意参与者（基于 Microsoft 威胁智能）、可疑访问模式以及通过泄露的标识或由恶意预览体验成员对数据库的潜在利用。

它持续分析 Azure Cosmos DB 服务生成的客户数据流。

当检测到潜在的恶意活动时，将生成安全警报。这些警报与可疑活动的详细信息以及相关的调查步骤、修补操作和安全建议一起显示在“Microsoft Defender for Cloud”中。

启用该服务时不会影响数据库性能，因为 Defender for Azure Cosmos DB 不会访问 Azure Cosmos DB 帐户数据。

有关详细信息，请参阅 Microsoft Defender for Azure Cosmos DB 概述。

我们还将引入新的数据库安全性启用体验。现在，你可以在订阅上启用 Microsoft Defender for Cloud 保护，以通过一个启用过程保护所有数据库类型，例如 Azure Cosmos DB、Azure SQL 数据库、计算机上的 Azure SQL 服务器和用于开源关系数据库的 Microsoft Defender。可以通过配置计划来包括或排除特定资源类型。

了解如何在订阅级别启用数据库安全性。

针对 Google Kubernetes Engine (GKE) 群集的威胁防护

继最近宣布的 GCP 的本机 CSPM 和用于 GCP 计算实例的威胁防护之后，Microsoft Defender for Containers 已将其 Kubernetes 威胁防护、行为分析和内置准入控制策略扩展到 Google 的 Kubernetes Engine (GKE) 标准群集。通过我们的自动加入功能，可轻松将任何现有或新的 GKE 标准群集加入环境。查看 Microsoft Defender for Cloud 的容器安全性，了解可用功能的完整列表。

2022 年 1 月

一月的更新包括：

Microsoft Defender for 资源管理器更新了新的警报，并更强调映射到 MITRE ATT&CK® 矩阵的高风险操作
有关在工作区上启用 Microsoft Defender 中的计划的建议（预览版）
将 Log Analytics 代理自动预配到已启用 Azure Arc 的计算机（预览版）
已弃用有关对 SQL 数据库中的敏感数据进行分类的建议
与可疑域通信警报已扩展为包括已知的 Log4Shell 相关域
已将“复制警报 JSON”按钮添加到安全警报详细信息窗格
已重命名两条建议
已弃用“Kubernetes 群集容器应只侦听允许的端口”策略
添加了“活动警报”工作簿
已将“系统更新”建议添加到政府云

Microsoft Defender for 资源管理器更新了新的警报，并更强调映射到 MITRE ATT&CK® 矩阵的高风险操作

云管理层是连接到所有云资源的关键服务。因此，它也是攻击者的潜在目标。建议安全运营团队密切监视资源管理层。

无论操作是通过 Azure 门户、Azure REST API、Azure CLI 还是其他 Azure 编程客户端执行的，适用于资源管理器的 Microsoft Defender 都会自动监视组织中的资源管理操作。 Defender for Cloud 运行高级安全分析来检测威胁并向你发出有关可疑活动的警报。

该计划提供的保护极大增强了组织在遭到威胁行动者攻击后的复原能力，还大大增加了受 Defender for Cloud 保护的 Azure 资源数量。

2020 年 12 月，我们推出了适用于资源管理器的 Defender 预览版，并计划于 2021 年 5 月发布正式版。

凭借此项更新，我们全面修订了适用于资源管理器的 Microsoft Defender 计划的重点。更新后的计划包括许多注重于识别以可疑方式调用高风险操作的新警报。这些新警报针对基于云的技术的完整 MITRE ATT&CK® 矩阵中的攻击提供广泛的监视。

此矩阵涵盖可能面向组织资源的威胁参与者的潜在意图范围： 初始访问、执行、持久性、特权升级、防御逃避、凭据访问、发现、横向移动、集合、外泄和影响。

此 Defender 计划的新警报涵盖了下表中所示的意图。

Tip

这些警报也会显示在警报参考页中。

警报（警报类型）	Description	MITRE 策略（意图）	Severity
检测到对高风险“初始访问”操作的可疑调用（预览版） (ARM_AnomalousOperation.InitialAccess)	适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用，这可能表示尝试访问受限资源。所发现操作的设计意图是为了让管理员能够有效地访问其环境。虽然此活动可能是合法的，但威胁行动者可能会利用此类操作来获取对你的环境中的受限资源的初始访问。这可能表示该帐户已泄露并且正在被恶意使用。	初始访问	Medium
检测到对高风险“执行”操作的可疑调用（预览版） (ARM_AnomalousOperation.Execution)	适用于资源管理器的 Microsoft Defender 在你的订阅中的某个计算机上发现了对高风险操作的可疑调用，这可能表示尝试执行代码。所发现操作的设计意图是为了让管理员能够有效地管理其环境。虽然此活动可能是合法的，但威胁行动者可能会利用此类操作来访问受限凭据并泄露你的环境中的资源。这可能表示该帐户已泄露并且正在被恶意使用。	Execution	Medium
检测到对高风险“持久保留”操作的可疑调用（预览版） (ARM_AnomalousOperation.Persistence)	适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用，这可能表示尝试建立持久化。所发现操作的设计意图是为了让管理员能够有效地管理其环境。虽然此活动可能是合法的，但威胁行动者可能会利用此类操作在你的环境中建立持久性。这可能表示该帐户已泄露并且正在被恶意使用。	Persistence	Medium
检测到对高风险“特权提升”操作的可疑调用（预览版） (ARM_AnomalousOperation.PrivilegeEscalation)	适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用，这可能表示尝试提升特权。所发现操作的设计意图是为了让管理员能够有效地管理其环境。虽然此活动可能是合法的，但威胁行动者可能会利用此类操作在泄露你的环境中的资源时提升特权。这可能表示该帐户已泄露并且正在被恶意使用。	特权提升	Medium
检测到对高风险“防御规避”操作的可疑调用（预览版） (ARM_AnomalousOperation.DefenseEvasion)	适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用，这可能表示尝试规避防御。所发现操作的设计意图是为了让管理员能够有效地管理其环境的安全状况。虽然此活动可能是合法的，但威胁行动者可能会利用此类操作来避免在泄露你的环境中的资源时被检测到。这可能表示该帐户已泄露并且正在被恶意使用。	防御逃避	Medium
检测到对高风险“凭据访问”操作的可疑调用（预览版） (ARM_AnomalousOperation.CredentialAccess)	适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用，这可能表示尝试访问凭据。所发现操作的设计意图是为了让管理员能够有效地访问其环境。虽然此活动可能是合法的，但威胁行动者可能会利用此类操作来访问受限凭据并泄露你的环境中的资源。这可能表示该帐户已泄露并且正在被恶意使用。	凭据访问	Medium
检测到对高风险“横向移动”操作的可疑调用（预览版） (ARM_AnomalousOperation.LateralMovement)	适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用，这可能表示尝试执行横向移动。所发现操作的设计意图是为了让管理员能够有效地管理其环境。虽然此活动可能是合法的，但威胁参与者可能会利用此类操作来损害环境中的其他资源。这可能表示该帐户已泄露并且正在被恶意使用。	横向移动	Medium
检测到对高风险“数据收集”操作的可疑调用（预览版） (ARM_AnomalousOperation.Collection)	适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用，这可能表示尝试收集数据。所发现操作的设计意图是为了让管理员能够有效地管理其环境。虽然此活动可能是合法的，但威胁行动者可能会利用此类操作来收集有关你的环境中的资源的敏感数据。这可能表示该帐户已泄露并且正在被恶意使用。	Collection	Medium
检测到对高风险“造成影响”操作的可疑调用（预览版） (ARM_AnomalousOperation.Impact)	适用于资源管理器的 Microsoft Defender 在你的订阅中发现了对高风险操作的可疑调用，这可能表示尝试更改配置。所发现操作的设计意图是为了让管理员能够有效地管理其环境。虽然此活动可能是合法的，但威胁行动者可能会利用此类操作来访问受限凭据并泄露你的环境中的资源。这可能表示该帐户已泄露并且正在被恶意使用。	Impact	Medium

此外，此计划中的以下两个警报已推出预览版：

警报（警报类型）	Description	MITRE 策略（意图）	Severity
来自可疑 IP 地址的 Azure 资源管理器操作 (ARM_OperationFromSuspiciousIP)	Microsoft Defender for Resource Manager 检测到来自某个 IP 地址的操作，这个 IP 地址在威胁情报源中被标记为可疑。	Execution	Medium
来自可疑代理 IP 地址的 Azure 资源管理器操作 (ARM_OperationFromSuspiciousProxyIP)	Microsoft Defender for Resource Manager 检测到来自某个 IP 地址的资源管理操作，而这个 IP 地址与代理服务（如 TOR）相关联。虽然这种行为可能是合法的，但经常出现在恶意活动中，在这些恶意活动中，攻击者会试图隐藏其源 IP。	防御逃避	Medium

有关在工作区中启用 Microsoft Defender 计划的建议（预览版）

若要从 Microsoft Defender for Servers 和计算机上的 Microsoft Defender for SQL 提供的所有安全功能中受益，必须在订阅级别和工作区级别启用计划。

当计算机位于启用了这些计划之一的订阅中时，你需要为完整保护付费。但是，如果该计算机在未启用计划 的情况下 向工作区报告，则实际上不会获得这些权益。

我们添加了两项建议，其中突出显示了未启用这些计划的工作区，但有计算机从启用了该计划的订阅向它们报告。

这两条建议都提供自动修正（“修复”操作），它们是：

Recommendation	Description	Severity
应在工作区上启用 Microsoft Defender for Servers	Microsoft Defender for Servers 提供适用于 Windows 和 Linux 计算机的威胁检测和高级防护功能。如果订阅上启用了此 Defender 计划，但工作区上未启用，则需要为 Microsoft Defender for Servers 的全部功能付费，但会错过某些权益。在工作区上启用了 Microsoft Defender for Servers 时，向该工作区报告的所有计算机都将为 Microsoft Defender for Servers 付费，即使它们位于未启用 Defender 计划的订阅中。除非还在订阅上启用了 Microsoft Defender for Servers，否则这些计算机将无法利用实时 VM 访问、自适应应用程序控制和 Azure 资源的网络检测。有关详细信息，请参阅 Microsoft Defender for Servers 概述。（无相关策略）	Medium
应在工作区中的计算机上启用 Microsoft Defender for SQL	Microsoft Defender for Servers 提供适用于 Windows 和 Linux 计算机的威胁检测和高级防护功能。如果订阅上启用了此 Defender 计划，但工作区上未启用，则需要为 Microsoft Defender for Servers 的全部功能付费，但会错过某些权益。在工作区上启用了 Microsoft Defender for Servers 时，向该工作区报告的所有计算机都将为 Microsoft Defender for Servers 付费，即使它们位于未启用 Defender 计划的订阅中。除非还在订阅上启用了 Microsoft Defender for Servers，否则这些计算机将无法利用实时 VM 访问、自适应应用程序控制和 Azure 资源的网络检测。有关详细信息，请参阅 Microsoft Defender for Servers 概述。（无相关策略）	Medium

将 Log Analytics 代理自动预配到已启用 Azure Arc 的计算机（预览版）

Defender for Cloud 使用 Log Analytics 代理从计算机收集安全相关的数据。该代理读取各种与安全相关的配置和事件日志，并将数据复制到工作区进行分析。

对于每种支持的扩展类型（包括 Log Analytics 代理），Defender for Cloud 的自动预配设置都有相应的切换开关。

在进一步扩展我们的混合云功能后，我们添加了一个选项，用于将 Log Analytics 代理自动预配到与 Azure Arc 连接的计算机。

与其他自动预配选项一样，此选项也是在订阅级别配置的。

启用此选项后，系统会提示你指定工作区。

Note

对于此预览版，不能选择 Defender for Cloud 创建的默认工作区。为确保获得已启用 Azure Arc 的服务器可用的整套安全功能，请确认已在所选工作区中安装了相关的安全解决方案。

已弃用有关对 SQL 数据库中的敏感数据进行分类的建议

我们删除了“应该对 SQL 数据库中的敏感数据进行分类”建议，这是我们在大幅修改 Defender for Cloud 识别和保护云资源中敏感数据的方式期间做出的决定。

在过去六个月，即将推出的对 Microsoft Defender for Cloud 的重要更改页中已发布了有关此项更改的提前通知。

以下警报以前仅适用于启用了 Microsoft Defender for DNS 计划的组织。

应用此项更新后，还将针对启用了 Microsoft Defender for Servers 或适用于应用服务的 Defender 计划的订阅显示该警报。

此外，Microsoft 威胁情报扩展了已知恶意域的列表，该列表现在包括与恶意利用广泛公布的、与 Log4j 相关的漏洞关联的域。

警报（警报类型）	Description	MITRE 策略	Severity
与威胁情报识别的可疑域通信 (AzureDNS_ThreatIntelSuspectDomain)	已通过分析资源中的 DNS 事务并与威胁情报源识别的已知恶意域进行比较，检测到了与可疑域之间的通信。攻击者会频繁执行与恶意域的通信，这样的通信可能意味着你的资源已遭受入侵。	初始访问/持久保留/执行/指挥和控制/恶意利用	Medium

已将“复制警报 JSON”按钮添加到安全警报详细信息窗格

为了帮助我们的用户快速与其他人（例如，SOC 分析师、资源所有者和开发人员）共享警报详细信息，我们添加了一项功能，以便通过安全警报详细信息窗格中的一个按钮轻松提取特定警报的所有详细信息。

新的 “复制警报 JSON ”按钮将警报的详细信息（JSON 格式）放入用户的剪贴板。

已重命名两条建议

为了与其他建议名称保持一致，我们重命名了以下两条建议：

有关解决在运行的容器映像中发现的漏洞的建议
- 以前的名称：应修正正在运行的容器映像中的漏洞（由 Qualys 提供支持）
- 新名称：应解决在运行的容器映像中发现的漏洞
有关为 Azure 应用服务启用诊断日志的建议
- 以前的名称：应在应用服务中启用诊断日志
- 新名称：应启用应用服务中的诊断日志

已弃用“Kubernetes 群集容器应只侦听允许的端口”策略

我们已弃用“Kubernetes 群集容器应只侦听允许的端口”建议。

策略名称	Description	Effect(s)	Version
Kubernetes 群集容器应只侦听允许的端口	将容器限制为只侦听允许的端口，以确保对 Kubernetes 群集进行的访问安全。此策略通常适用于 Kubernetes 服务 (AKS) 以及 AKS 引擎和已启用 Azure Arc 的 Kubernetes 的预览版。有关详细信息，请参阅了解适用于 Kubernetes 群集的 Azure Policy。	审核、拒绝、已禁用	6.1.2

“服务应只侦听允许的端口”建议应该用于限制应用程序向 Internet 公开的端口。

添加了“活动警报”工作簿

为了帮助我们的用户了解其环境受到的活动威胁，并在修正过程中确定活动警报的优先级，我们添加了“活动警报”工作簿。

一个屏幕截图，其中显示了“活动警报”工作簿的添加。

活动警报工作簿允许用户按严重性、类型、标记、MITRE ATT&CK 策略和位置查看其聚合警报的统一仪表板。在使用“活动警报”工作簿中了解详细信息。

已将“系统更新”建议添加到政府云

现在会在所有政府云上提供“应在计算机上安装系统更新”建议。

此项更改可能会影响政府云订阅的安全评分。我们预计此项更改会导致评分降低，但在某些情况下，包含该建议也可能会提高评分。

2021 年 12 月

12 月的更新包括：

适用于容器的 Microsoft Defender 计划正式发布 (GA)
适用于存储的 Microsoft Defender 的新警报正式发布 (GA)
适用于存储的 Microsoft Defender 的警报改进
从网络层警报中删除了“PortSweeping”警报

适用于容器的 Microsoft Defender 计划正式发布 (GA)

两年多前，我们引入了 Defender for Kubernetes 和适用于容器注册表的 Defender，作为 Microsoft Defender for Cloud 中 Azure Defender 产品/服务的一部分。

随着适用于容器的 Microsoft Defender 的发布，我们合并了这两个现有的 Defender 计划。

新计划：

合并两个现有计划的功能 - Kubernetes 群集的威胁检测和存储在容器注册表中的映像的漏洞评估
引入新的和改进的功能 - 包括多云支持、通过 60 多种新的 Kubernetes 感知分析进行主机级威胁检测以及用于运行映像的漏洞评估
引入 Kubernetes 本机大规模加入 - 默认情况下，当你启用计划时，所有相关组件将被配置为自动部署

在此版本中，Defender for Kubernetes 和适用于容器注册表的 Defender 的可用性和表示形式已更改，如下所示：

新订阅 - 之前的两个容器计划不再可用
现有订阅 - 无论它们出现在 Azure 门户中，计划都显示为 “已弃用 ”，并说明如何升级到适用于

新计划在 2021 年 12 月可免费使用。有关从旧计划对适用于容器的 Defender 进行计费的潜在更改，以及有关此计划中引入的优势的详细信息，请参阅适用于容器的 Microsoft Defender 简介。

有关详细信息，请参阅：

适用于存储的 Microsoft Defender 的新警报正式发布 (GA)

威胁参与者使用工具和脚本来扫描公开打开的容器，以便找到带有敏感数据的错误配置的已打开存储容器。

适用于存储的 Microsoft Defender 检测到这些扫描程序，以便你可以阻止它们并修正你的状况。

检测到此情况的预览警报称为“公共存储容器的匿名扫描”。 为了更清楚地了解发现的可疑事件，我们已将这分为两个新警报。这些警报仅与 Azure Blob 存储相关。

我们改进了检测逻辑，更新了警报元数据，并更改了警报名称和警报类型。

以下是新警报：

警报（警报类型）	Description	MITRE 策略	Severity
成功发现可公开访问的存储容器 (Storage.Blob_OpenContainersScanning.SuccessfulDiscovery)	在过去一小时内，通过扫描脚本或工具成功发现了存储帐户中公开打开的存储容器。这通常表示存在侦查攻击，其中威胁参与者尝试通过猜测容器名称来列出 blob，以便找到其中包含敏感数据的配置错误的已打开存储容器。威胁参与者可能使用自己的脚本或使用 Microburst 等已知扫描工具扫描公开打开的容器。 ✔ Azure Blob 存储 ✖ Azure 文件存储 ✖ Azure Data Lake Storage Gen2	Collection	Medium
未成功扫描可公开访问的存储容器 (Storage.Blob_OpenContainersScanning.FailedAttempt)	在过去一小时内，进行了一系列扫描公开打开的存储容器的失败尝试。这通常表示存在侦查攻击，其中威胁参与者尝试通过猜测容器名称来列出 blob，以便找到其中包含敏感数据的配置错误的已打开存储容器。威胁参与者可能使用自己的脚本或使用 Microburst 等已知扫描工具扫描公开打开的容器。 ✔ Azure Blob 存储 ✖ Azure 文件存储 ✖ Azure Data Lake Storage Gen2	Collection	Low

有关详细信息，请参阅：

适用于存储的 Microsoft Defender 的警报改进

初始访问警报现在提高了准确性并提供了更多数据来支持调查。

威胁参与者在初始访问中使用各种技术来获取网络中的据点。在此阶段检测行为异常的两个适用于存储的 Microsoft Defender 警报现已改进了检测逻辑，具有额外的数据来支持调查。

如果过去为这些警报配置了自动化或定义了警报抑制规则，请根据这些更改更新它们。

检测来自 Tor 退出节点的访问

来自 Tor 退出节点的访问可能表明威胁参与者试图隐藏其身份。

该警报现在调整为仅针对经过身份验证的访问生成，从而提高了准确度和恶意活动的置信度。此增强功能降低了良性检出率。

异常模式将具有高严重性，而不太异常的模式将具有中等严重性。

已更新警报名称和说明。警报类型保持不变。

警报名称（旧）：从 Tor 退出节点访问存储帐户
警报名称（新）：来自 Tor 退出节点的经过身份验证的访问
警报类型：Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
说明：存储帐户中的一个或多个存储容器/文件共享已从已知为 Tor 的活动退出节点（匿名代理）的 IP 地址成功访问。威胁参与者使用 Tor 来使用户难以追踪到他们的活动。来自 Tor 退出节点的经过身份验证的访问可能表明威胁参与者正试图隐藏他们的身份。适用于：Azure Blob 存储、Azure 文件存储、Azure Data Lake Storage Gen2
MITRE 战术：初始访问
严重性：高/中

未经身份验证的异常访问

访问模式的更改可能表明威胁参与者能够利用对存储容器的公共读取访问权限，要么利用访问配置中的错误，要么更改访问权限。

此中等严重性警报现已通过改进的行为逻辑、更高的准确度以及恶意活动的置信度进行了调整。此增强功能降低了良性检出率。

已更新警报名称和说明。警报类型保持不变。

警报名称（旧）：对存储帐户的匿名访问
警报名称（新）：对存储容器的未经身份验证的异常访问
警报类型：Storage.Blob_AnonymousAccessAnomaly
说明：访问此存储帐户时没有身份验证，这是常见访问模式的更改。对此容器的读取访问通常是经过身份验证的。这可能表明威胁参与者能够利用对此存储帐户中存储容器的公共读取访问。适用于：Azure Blob 存储
MITRE 战术：集合
严重性：中等

有关详细信息，请参阅：

从网络层警报中删除了“PortSweeping”警报

由于效率低下，以下警报已从我们的网络层警报中删除：

警报（警报类型）	Description	MITRE 策略	Severity
检测到可能的传出端口扫描活动 (PortSweeping)	网络流量分析检测到源自 %{Compromised Host} 的可疑传出流量。此流量可能是端口扫描活动的结果。如果遭到入侵的资源是负载均衡器或应用程序网关，则表示可疑的传出流量源自（负载均衡器或应用程序网关）后端池中的一个或多个资源。如果此行为是有意的，请注意执行端口扫描活动违反 Azure 服务条款。如果此行为无意中，则可能意味着资源已泄露。	Discovery	Medium

2021 年 11 月

我们的 Ignite 版本包括：

Azure 安全中心和 Azure Defender 现在改称为 Microsoft Defender For Cloud
适用于 Amazon EKS 和 AWS EC2 的本机 CSPM for AWS 和威胁防护
按数据敏感性确定安全操作的优先级（由 Microsoft Purview 提供支持）（预览版）
使用 Azure 安全基准 v3 扩展了安全控制评估
Microsoft Sentinel 连接器的可选双向警报同步已正式发布 (GA)
将 Azure Kubernetes 服务（AKS）日志推送到 Microsoft Sentinel 的新建议
建议映射到 MITRE ATT&CK® 框架 - 已正式发布 (GA)

11 月的其他更改包括：

Microsoft 威胁和漏洞管理新增了漏洞评估解决方案 - 已正式发布 (GA)
Microsoft Defender for Endpoint for Linux 现在受 Microsoft Defender for Servers 的支持 - 已正式发布 (GA)
建议和安全检测结果的快照导出（预览版）
漏洞评估解决方案的自动预配已正式发布 (GA)
资产清单中的软件清单筛选器已正式发布 (GA)
添加到默认计划的新 AKS 安全策略 – 预览版
清单中显示本地计算机时应用不同的资源名称模板

Azure 安全中心和 Azure Defender 现在改称为 Microsoft Defender For Cloud

根据 2021 年云状态报告，92% 的组织现已采用多云策略。 Microsoft 的目标是集中管理环境的安全性，并帮助安全团队提高工作效率。

Microsoft Defender for Cloud 是一种云安全状况管理（CSPM）和云工作负载保护平台（CWPP）解决方案，可发现云配置中的弱点，有助于增强环境的整体安全态势，并跨多云和混合环境保护工作负荷。

在 Ignite 2019 中，我们分享了我们的愿景，那就是创建最完整的方案来保护数字资产，并在 Microsoft Defender 品牌中集成 XDR 技术。将 Azure 安全中心和 Azure Defender 统一为新名称 Microsoft Defender for Cloud 反映了我们安全产品/服务的集成功能，以及我们支持任何云平台的能力。

适用于 Amazon EKS 和 AWS EC2 的本机 CSPM for AWS 和威胁防护

新的 环境设置 页提供对管理组、订阅和 AWS 帐户的更可见性和控制。该页面旨在大规模载入 AWS 帐户：连接 AWS 管理帐户，并自动载入现有帐户和将来的帐户。

使用新的“环境设置”页连接 AWS 帐户。

添加 AWS 帐户后，Defender for Cloud 会通过以下任何或所有计划保护你的 AWS 资源：

Defender for Cloud 的 CSPM 功能扩展到 AWS 资源。此无代理计划根据特定于 AWS 的安全建议来评估 AWS 资源，这些建议包含在安全功能分数中。还将评估这些资源是否符合特定于 AWS 的内置标准（AWS CIS、AWS PCI DSS 和 AWS 基础安全最佳做法）。 Defender for Cloud 的资产清单页是一个支持多云的功能，有助于同时管理 AWS 资源和 Azure 资源。
Microsoft Defender For Kubernetes 将其容器威胁检测和高级防护功能扩展到 Amazon EKS Linux 群集。
Microsoft Defender for Servers 向 Windows 和 Linux EC2 实例提供威胁检测和高级防护功能。此计划包括用于 Microsoft Defender for Endpoint、安全基线和 OS 级别评估、漏洞评估扫描、自适应应用程序控制 (AAC)、文件完整性监视 (FIM) 等的集成许可证。

详细了解如何将 AWS 帐户连接到 Microsoft Defender for Cloud。

按数据敏感性确定安全操作的优先级（由 Microsoft Purview 提供支持）（预览版）

数据资源仍旧是威胁行动者的热门目标。因此，安全团队在其云环境中识别、保护敏感数据资源并确定优先级至关重要。

为了应对这一挑战，Microsoft Defender for Cloud 现在集成来自 Microsoft Purview 的敏感度信息。 Microsoft Purview 是统一的数据治理服务，针对多云和本地工作负载中数据的敏感性提供丰富见解。

与 Microsoft Purview 的集成将 Defender for Cloud 中的安全可见性从基础结构级别向下扩展到了数据级别，使安全团队能够以全新的方式确定资源和安全活动的优先级。

在按数据敏感性确定安全操作的优先级中了解详细信息。

使用 Azure 安全基准 v3 扩展了安全控制评估

Azure 安全基准支持 Defender for Cloud 中的安全建议。

Azure 安全基准是 Microsoft 制定的一组 Azure 专属准则，适合基于常见合规框架的安全性与合规性最佳做法。这一公认的基准建立在 Internet 安全中心 (CIS) 和国家标准与技术研究院 (NIST) 的控制基础上，重点关注以云为中心的安全性。

从 Ignite 2021 开始，Azure 安全基准 v3 在 Defender for Cloud 的法规合规性仪表板中提供，并作为受 Microsoft Defender for Cloud 保护的所有 Azure 订阅的新默认计划启用。

v3 的增强功能包括：

v3.2.1 和 CIS 控件 v8PCI-DSS 行业框架的其他映射。
以下内容的更细化且可操作的控制指导和简介：
- 安全原则 - 提供有关构建建议基础的总体安全目标的见解。
- Azure 指南 - 满足这些目标的技术“作方法”。
新的控制包括用于解决威胁建模和软件供应链安全性等问题的 DevOps 安全性，以及在 Azure 中根据最佳做法进行密钥和证书管理。

有关详细信息，请参阅 Azure 安全基准简介。

Microsoft Sentinel 连接器的可选双向警报同步已正式发布 (GA)

今年7月，我们针对sentinel（Microsoft Microsoft的云原生 SIEM 和 SOAR 解决方案）中的内置连接器发布了一项预览功能、双向警报同步。此功能现已正式发布 (GA)。

当你将 Microsoft Defender for Cloud 连接到 Microsoft Sentinel 时，安全警报的状态会在两个服务之间同步。例如，当某个警报在 Defender for Cloud 中处于已关闭状态时，该警报在 Microsoft Sentinel 中也会显示为已关闭。更改 Defender for Cloud 中警报的状态不会影响包含已同步Microsoft Sentinel 警报的任何Microsoft Sentinel 事件的状态，仅影响已同步警报本身的状态。

启用双向警报同步后，会自动将原始 Defender for Cloud 警报的状态与包含这些警报副本的 Microsoft Sentinel 事件的状态同步。例如，当关闭包含 Defender for Cloud 警报的 Microsoft Sentinel 事件时，Defender for Cloud 将自动关闭相应的原始警报。

在将 Azure Defender 警报从Azure 安全中心和流式传输警报连接到 Microsoft Sentinel 中了解详细信息。

将 Azure Kubernetes 服务（AKS）日志推送到 Microsoft Sentinel 的新建议

为了进一步增强 Defender for Cloud 和 Microsoft Sentinel 的组合价值，我们现在会注重不向 Microsoft Sentinel 发送日志数据的 Azure Kubernetes 服务实例。

SecOps 团队可以直接从建议详细信息页中选择相关的 Microsoft Sentinel 工作区，并立即启用原始日志的流式传输。两个产品之间的这种无缝连接使得安全团队可以轻松确保日志记录全面覆盖其各个工作负载，以随时掌控其整个环境。

新建议“应启用 Kubernetes 服务中的诊断日志”提供“修复”选项以加快修正速度。

我们还增强了“应启用 SQL 服务器上的审核”建议，并使用相同的Microsoft Sentinel 流式处理功能。

建议映射到 MITRE ATT&CK® 框架 - 已正式发布 (GA)

我们增强了 Defender for Cloud 的安全建议，使其在 MITRE ATT&CK® 框架上发挥作用。这是全球都可访问的知识库，它基于真实观察结果显示威胁行动者使用的战术和技术，提供更多背景信息来了解对你的环境提出的建议所对应的风险。

无论你在哪里访问建议信息，都将找到这些战术：

针对相关建议的 Azure Resource Graph 查询结果显示了 MITRE ATT&CK® 战术和技术。
建议详细信息页面显示了所有相关建议的对应信息：
Defender for Cloud 中的建议页面上有一个新的筛选器，它用于根据与建议关联的战术来选择建议：

若要了解详细信息，请参阅查看安全建议。

Microsoft 威胁和漏洞管理新增了漏洞评估解决方案 - 已正式发布 (GA)

10 月，我们宣布扩展了 Microsoft Defender for Servers 与 Microsoft Defender for Endpoint 之间的集成，以支持计算机的新漏洞评估提供程序： Microsoft威胁和漏洞管理。此功能现已正式发布 (GA)。

在集成了 Microsoft Defender for Endpoint 的情况下使用威胁和漏洞管理，可以近乎实时地发现漏洞和错误配置，而无需额外的代理或定期扫描。威胁和漏洞管理会根据组织中的威胁形势和检测情况对漏洞进行优先级排序。

使用安全建议“应在虚拟机上启用漏洞评估解决方案”来手动发现威胁和漏洞管理针对支持的计算机检测到的漏洞。

若要在现有和新计算机上自动发现漏洞，而无需手动修正建议，请参阅现在可以自动启用漏洞评估解决方案（预览版）。

若要了解详细信息，请参阅通过 Microsoft Defender for Endpoint 威胁和漏洞管理调查弱点。

Microsoft Defender for Endpoint for Linux 现在受 Microsoft Defender for Servers 的支持 - 已正式发布 (GA)

今年8月，我们宣布了将 Defender for Endpoint for Linux 传感器部署到支持的 Linux 计算机的预览版支持。此功能现已正式发布 (GA)。

Microsoft Defender for servers 包含 Microsoft Defender for Endpoint 的集成许可证。两者共同提供全面的终结点检测和响应 (EDR) 功能。

用于终结点的 Defender 在检测到威胁时会触发警报。该警报显示在 Defender for Cloud 中。在 Defender for Cloud 中，还可以透视 Defender for Endpoint 控制台，并执行详细调查来发现攻击范围。

若要了解详细信息，请参阅通过安全中心的集成式 EDR 解决方案保护终结点：Microsoft Defender for Endpoint。

建议和安全检测结果的快照导出（预览版）

Defender for Cloud 生成详细的安全警报和建议。可以通过门户或编程工具查看它们。你可能还需要部分或全部导出此信息，以使用环境中的其他监视工具进行跟踪。

Defender for Cloud 的 连续导出 功能允许你完全自定义将导出 的内容 以及导出位置。有关详细信息，请参阅连续导出 Microsoft Defender for Cloud 数据。

尽管该功能称为连续，但还可以选择导出每周快照。到目前为止，这些每周快照仅限用于保护评分与合规性数据。我们添加了导出建议和安全检测结果的功能。

漏洞评估解决方案的自动预配已正式发布 (GA)

10 月，我们宣布将漏洞评估解决方案添加到 Defender for Cloud 的自动预配页面。这与 Azure Defender for Servers 保护的订阅上的 Azure 虚拟机和 Azure Arc 计算机相关。此功能现已正式发布 (GA)。

如果启用了与 Microsoft Defender for Endpoint 的集成，Defender for Cloud 会提供漏洞评估解决方案供用户选择：

（新）Microsoft Defender for Endpoint 的Microsoft威胁和漏洞管理模块（请参阅发行说明）
集成 Qualys 代理

所选解决方案将在受支持的计算机上自动启用。

请参阅为计算机自动配置漏洞评估以了解详细信息。

资产清单中的软件清单筛选器已正式发布 (GA)

10 月，我们宣布了资产清单页的新筛选器，以选择运行特定软件的计算机，甚至指定感兴趣的版本。此功能现已正式发布 (GA)。

可以在 Azure Resource Graph Explorer 中查询软件清单数据。

若要使用这些功能，需要启用与 Microsoft Defender for Endpoint 的集成。

有关完整的详细信息，包括 Azure Resource Graph 的示例 Kusto 查询，请参阅访问软件清单。

添加到默认计划的新 AKS 安全策略

为了确保 Kubernetes 工作负载在默认情况下是安全的，Defender for Cloud 包含了 Kubernetes 级别策略和强化建议，其中包括具有 Kubernetes 准入控制的强制执行选项。

作为此项目的一部分，我们添加了一个策略和建议（默认已禁用），用于在 Kubernetes 群集上进行门控部署。该策略处于默认计划中，但仅适用于注册相关预览版的组织。

你可以放心地忽略这些策略和建议（“Kubernetes 群集应限制易受攻击映像的部署”），并且不会对环境造成任何影响。

如果想要参与预览版，则需要是预览圈的成员。如果还没有成员，请在此处提交请求。预览开始时，我们会通知成员。

清单中显示本地计算机时应用不同的资源名称模板

为了改进资产清单中资源的呈现，我们已从模板中删除了用于命名本地计算机的“source-computer-IP”元素。

以前的格式：machine-name_source-computer-id_VMUUID
从此更新中：machine-name_VMUUID

2021 年 10 月

10月更新包括：

添加了 Microsoft 威胁和漏洞管理作为漏洞评估解决方案（预览版）
现在可以自动启用漏洞评估解决方案（预览版）
资产清单中新增的软件清单过滤器（预览版）
将某些警报类型的前缀从“ARM_”更改为“VM_”
对 Kubernetes 群集安全建议逻辑的更改
建议详细信息页现在显示相关建议
Azure Defender for Kubernetes 的新警报（预览版）

添加了 Microsoft 威胁和漏洞管理作为漏洞评估解决方案（预览版）

我们扩展了 Azure Defender for Servers 和 Microsoft Defender for Endpoint 之间的集成，以支持为你的计算机提供的新漏洞评估提供程序：Microsoft 威胁和漏洞管理。

使用安全建议“应在虚拟机上启用漏洞评估解决方案”来手动发现威胁和漏洞管理针对支持的计算机检测到的漏洞。

若要在现有和新计算机上自动发现漏洞，而无需手动修正建议，请参阅现在可以自动启用漏洞评估解决方案（预览版）。

若要了解详细信息，请参阅通过 Microsoft Defender for Endpoint 威胁和漏洞管理调查弱点。

现在可以自动启用漏洞评估解决方案（预览版）

安全中心的自动预配页面现在包括一个选项，可用于在受 Azure Defender for Servers 保护的订阅上自动为 Azure 虚拟机和 Azure Arc 计算机启用漏洞评估解决方案。

如果启用了与 Microsoft Defender for Endpoint 的集成，Defender for Cloud 会提供漏洞评估解决方案供用户选择：

（新）Microsoft Defender for Endpoint 的Microsoft威胁和漏洞管理模块（请参阅发行说明）
集成 Qualys 代理

从Azure 安全中心配置Microsoft危险和漏洞管理的自动预配。

所选解决方案将在受支持的计算机上自动启用。

请参阅为计算机自动配置漏洞评估以了解详细信息。

资产清单中新增的软件清单过滤器（预览版）

资产清单页现在包含一个筛选器，用于选择运行特定软件的计算机，甚至指定感兴趣的版本。

此外，还可以在 Azure Resource Graph Explorer 中查询软件清单数据。

若要使用这些新功能，需要启用与 Microsoft Defender for Endpoint 的集成。

有关完整的详细信息，包括 Azure Resource Graph 的示例 Kusto 查询，请参阅访问软件清单。

如果已启用威胁和漏洞解决方案，安全中心的资产清单会提供一个筛选器，用于按已安装的软件选择资源。

将某些警报类型的前缀从“ARM_”更改为“VM_”

2021 年 7 月，我们发布了适用于资源管理器的 Azure Defender 的警报的逻辑重组

在对 Defender 计划进行重组的过程中，我们已将警报从适用于资源管理器的 Azure Defender 移至 Azure Defender for Servers。

通过此更新，我们更改了这些警报的前缀以匹配此重新分配，将“ARM_”替换为“VM_”，如下表所示：

原始名称	从此更改中
ARM_AmBroadFilesExclusion	VM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution	VM_AmDisablementAndCodeExecution
ARM_AmDisablement	VM_AmDisablement
ARM_AmFileExclusionAndCodeExecution	VM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution	VM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion	VM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled	VM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement	VM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec	VM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion	VM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement	VM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion	VM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd	VM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint	VM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload	VM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure	VM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion	VM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution	VM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset	VM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset	VM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset	VM_VMAccessUnusualSSHReset

详细了解适用于资源管理器的 Azure Defender 和 Azure Defender for Servers 计划。

对 Kubernetes 群集安全建议逻辑的更改

建议“Kubernetes 群集不应使用默认命名空间”防止对一系列资源类型使用默认命名空间。已删除此建议中包含的两种资源类型：ConfigMap 和 Secret。

若要详细了解此建议并强化 Kubernetes 群集，请参阅了解适用于 Kubernetes 群集的 Azure Policy。

为了阐明不同建议之间的关系，我们向许多建议的详细信息页添加了 “相关建议 ”区域。

这些页面上显示的三种关系类型如下：

先决条件 - 在所选建议之前必须完成的建议
替代方法 - 提供另一种实现所选建议目标的方法的另一种建议
从属 - 所选建议是先决条件的建议

对于每条相关建议，“受影响的资源”列中会显示不正常资源的数量。

Tip

如果相关建议为灰显，则其依赖项尚未完成，因此不可用。

Azure Defender for Kubernetes 的新警报（预览版）

为了扩展 Azure Defender for Kubernetes 提供的威胁保护，我们添加了两个预览版警报。

这些警报是基于新的机器学习模型和 Kubernetes 高级分析生成的，根据群集中以前的活动以及 Azure Defender 监视的所有群集度量多个部署和角色分配属性。

警报（警报类型）	Description	MITRE 策略	Severity
异常 Pod 部署（预览版） (K8S_AnomalousPodDeployment)	Kubernetes 审核日志分析根据以前的部署活动检测到异常 Pod 部署。在检查部署作中不同功能如何相互关联时，此活动被视为异常。受监视的功能包括使用的容器映像注册表、部署帐户、星期几、此帐户的部署频率、所使用的用户代理、命名空间部署模式和其他特征。警报的扩展属性详细说明了将此标识为异常活动的主要原因。	Execution	Medium
Kubernetes 群集中分配的角色权限过多（预览版） (K8S_ServiceAcountPermissionAnomaly)	Kubernetes 审核日志分析检测到群集中分配了过多的角色权限。检查角色分配时，列出的权限不是特定服务帐户常用的权限。此检测会考虑先前向 Azure 所监视群集中的同一服务帐户分配的角色、每个权限的分配量以及特定权限的影响。此警报使用的异常情况检测模型会考虑在 Azure Defender 所监视的所有群集中使用权限的方式。	特权提升	Low

有关 Kubernetes 警报的完整列表，请参阅适用于 Kubernetes 群集的警报。

2021 年 9 月

9 月发布了以下更新：

用于审核 Azure 安全基线符合性的 OS 配置的两个新建议（预览版）

发布了以下两个建议来评估计算机是否符合 Windows 安全基线和 Linux 安全基线：

对于 Windows 计算机，应修正 Windows 计算机上的安全配置漏洞（由来宾配置提供支持）
对于 Linux 计算机，应修正 Linux 计算机上的安全配置漏洞（由来宾配置提供支持）

这些建议使用 Azure Policy 的来宾配置功能，将计算机的 OS 配置与 Azure 安全基准中定义的基线进行比较。

若要详细了解如何使用这些建议，请参阅使用来宾配置强化计算机的 OS 配置。

2021 年 8 月

8 月的更新包括：

适用于 Linux 的 Microsoft Defender for Endpoint 现在由适用于服务器的 Azure Defender 提供支持（预览版）
关于管理 Endpoint Protection 解决方案的两项新建议（预览版）
用于解决常见问题的内置故障排除和指南
法规合规性仪表板的 Azure 审核报告正式发布 (GA)
已弃用建议“应在计算机上解决 Log Analytics 代理运行状况问题”
适用于容器注册表的 Azure Defender 现在扫描受 Azure 专用链接保护的注册表中的漏洞
安全中心现在可以自动预配 Azure Policy 的来宾配置扩展（预览版）
建议现在支持“强制实施”。
建议数据的 CSV 导出现在限制为 20 MB
建议页面现在包含多个视图

适用于 Linux 的 Microsoft Defender for Endpoint 现在由适用于服务器的 Azure Defender 提供支持（预览版）

适用于服务器的 Azure Defender 包含 Microsoft Defender for Endpoint 的集成许可证。两者共同提供全面的终结点检测和响应 (EDR) 功能。

用于终结点的 Defender 在检测到威胁时会触发警报。警报在安全中心显示。在安全中心，还可以透视用于终结点的 Defender 控制台，并执行详细调查来发现攻击范围。

在预览期间，你将通过以下两种方式之一将适用于 Linux 的 Defender for Endpoint 传感器部署到受支持的 Linux 计算机上，具体取决于你是否已将其部署到 Windows 计算机上：

已启用 Defender for Cloud 增强安全功能并使用适用于 Windows 的 Microsoft Defender for Endpoint 的现有用户
从未与适用于 Windows 的 Microsoft Defender for Endpoint 集成的新用户

若要了解详细信息，请参阅通过安全中心的集成式 EDR 解决方案保护终结点：Microsoft Defender for Endpoint。

关于管理 Endpoint Protection 解决方案的两项新建议（预览版）

我们添加了两个预览版建议，用于部署和维护计算机上的 Endpoint Protection 解决方案。这两项建议均包括对 Azure 虚拟机和连接到已启用 Azure Arc 的服务器的计算机的支持。

Recommendation	Description	Severity
应在计算机上安装 Endpoint Protection	若要保护计算机免受威胁和漏洞的侵害，请安装受支持的 Endpoint Protection 解决方案。详细了解如何评估计算机的 Endpoint Protection。（相关策略：监视 Azure 安全中心 Endpoint Protection 的缺失情况）	High
应在计算机上解决 Endpoint Protection 运行状况问题	解决虚拟机上的 Endpoint Protection 运行状况问题，以保护其免受最新威胁和漏洞的侵害。此处介绍了 Azure 安全中心支持的终结点保护解决方案。此处介绍了终结点保护评估。（相关策略：监视 Azure 安全中心 Endpoint Protection 的缺失情况）	Medium

Note

建议显示其刷新间隔为 8 小时，但在某些情况下，这可能需要更长的时间。例如，当本地计算机被删除时，安全中心需要 24 小时来识别删除。之后，评估最多需要 8 小时才能返回信息。因此，在这种情况下，计算机可能需要 32 小时才能从受影响的资源列表中删除。

这两项新安全中心建议的刷新间隔指示器

用于解决常见问题的内置故障排除和指南

Azure 门户中安全中心页面的一个新专用区域提供了一套经过整理的、不断扩充的自助材料，用于解决安全中心和 Azure Defender 面临的常见挑战。

当你遇到问题，或向我们的支持团队寻求建议时，“诊断并解决问题”是另一种帮助你找到解决方案的工具：

安全中心的“诊断并解决问题”页面

法规合规性仪表板的 Azure 审核报告正式发布 (GA)

法规合规性仪表板的工具栏提供适用于订阅的标准的 Azure 和 Dynamics 认证报告。

法规合规性仪表板的工具栏，显示用于生成审核报告的按钮。

可以选择用于相关报告类型（PCI、SOC 和 ISO 等）的选项卡，然后使用筛选器来查找所需的特定报告。

有关详细信息，请参阅生成合规性状态报告和证书。

可用 Azure 审核报告的选项卡式列表。显示了 ISO 报告、SOC 报告、PCI 等选项卡。

已弃用建议“应在计算机上解决 Log Analytics 代理运行状况问题”

我们发现，建议“应在计算机上解决 Log Analytics 代理运行状况问题”会因与安全中心的云安全态势管理 (CSPM) 不一致而影响安全分数。通常，CSPM 与识别安全错误配置有关。代理运行状况问题不适用于此类问题。

此外，和与安全中心相关的其他代理相比时，该建议也是异常的：这是唯一一个具有与运行状况问题相关的建议的代理。

建议已弃用。

由于此弃用，我们还对安装 Log Analytics 代理的建议进行了少许更改（Log Analytics 代理应安装在...）。

此更改可能会影响安全分数。对于大多数订阅，此更改应会导致分数增加，但在某些情况下，对安装建议的更新可能会导致分数降低。

Tip

资产清单页也受到此更改的影响，因为它显示计算机（受监视、未监视或部分监视）的受监视状态 -表示有运行状况问题的代理的状态。

适用于容器注册表的 Azure Defender 现在扫描受 Azure 专用链接保护的注册表中的漏洞

适用于容器注册表的 Azure Defender 包含漏洞扫描程序，用于扫描 Azure 容器注册表中的映像。若要了解如何扫描注册表并修复发现的漏洞，请参阅使用适用于容器注册表的 Azure Defender 来扫描映像是否存在漏洞。

若要限制对 Azure 容器注册表中托管的注册表的访问，请将虚拟网络专用 IP 地址分配给注册表终结点并使用 Azure 专用链接，如使用 Azure 专用链接以私密方式连接到 Azure 容器注册表中所述。

在我们为更多环境和用例提供支持的不懈努力下，Azure Defender 现在还扫描受 Azure 专用链接保护的容器注册表。

安全中心现在可以自动预配 Azure Policy 的来宾配置扩展（预览版）

Azure Policy 可以审核计算机内部的设置，包括在 Azure 中运行的计算机和 Arc 连接的计算机。验证由来宾配置扩展和客户端执行。详细了解 Azure Policy 的来宾配置。

通过此更新，你现在可以将安全中心设置为自动将此扩展预配到所有受支持的计算机。

启用来宾配置扩展的自动部署。

若要详细了解自动预配的工作原理，请参阅为代理和扩展配置自动预配。

建议现在支持“强制实施”

安全中心包括两项功能，可帮助确保以安全方式预配新创建的资源：强制和拒绝。当某项建议提供这些选项时，你可以确保每当有人试图创建资源时，你的安全要求都能得到满足：

拒绝阻止创建不正常的资源
创建资源时，强制自动修正不合规的资源

通过此更新，关于启用 Azure Defender 计划的建议中现在提供强制执行选项（例如“应启用适用于应用服务的 Azure Defender”、“应启用适用于 Key Vault 的 Azure Defender”、“应启用适用于存储的 Azure Defender”）。

若要详细了解这些选项，请参阅使用“强制执行/拒绝”建议防止错误配置。

建议数据的 CSV 导出现在限制为 20 MB

导出安全中心建议数据时，我们规定了 20 MB 的限制。

安全中心的“下载 CSV 报表”按钮，用于导出建议数据。

如果需要导出大量数据，请在选择数据前使用可用的筛选器，或选择订阅的子集并批量下载数据。

在 Azure 门户中筛选“订阅”。

详细了解如何执行安全建议的 CSV 导出。

建议页面现在包含多个视图

建议页面现在包含两个选项卡，可提供替代方法来查看与资源相关的建议：

安全功能分数建议 - 使用此选项卡查看按安全控制分组的建议列表。若要详细了解这些控制，请参阅安全控制及其建议。
所有建议 - 使用此选项卡可将建议列表作为平面列表查看。此选项卡还有助于了解是哪个计划（包括法规合规性标准）生成了建议。若要详细了解计划及其与建议的关系，请参阅什么是安全策略、计划和建议？

用于更改 Azure 安全中心的建议列表视图的选项卡。

2021 年 7 月

7 月的更新包括：

Microsoft Sentinel 连接器现在包括可选的双向警报同步（预览版）
资源管理器警报的 Azure Defender 的逻辑重组
增强了关于启用 Azure 磁盘加密 (ADE) 的建议
安全功能分数和法规合规性数据的连续导出功能正式发布 (GA)
对法规合规性评估的更改可以触发工作流自动化 (GA)
评估 API 字段“FirstEvaluationDate”和“StatusChangeDate”现在可用于工作区架构和逻辑应用
向 Azure Monitor 工作簿库添加了“一段时间内的合规性”工作簿模板

Microsoft Sentinel 连接器现在包括可选的双向警报同步（预览版）

安全中心原生与 Microsoft Sentinel（Azure 的云原生 SIEM 和 SOAR 解决方案）集成。

Microsoft Sentinel 包括用于订阅和租户级别的Azure 安全中心的内置连接器。在流警报中详细了解如何Microsoft Sentinel。

将 Azure Defender 连接到 Microsoft Sentinel 时，引入到 Microsoft Sentinel 中的 Azure Defender 警报的状态将在两个服务之间同步。因此，例如，当警报在 Azure Defender 中关闭时，该警报也会在 Microsoft Sentinel 中显示为已关闭。更改 Azure Defender 中警报的状态“不会”* 影响包含已同步Microsoft Sentinel 警报的任何Microsoft Sentinel 事件的状态，仅影响已同步警报本身的状态。

启用预览功能 双向警报同步时，它会自动将原始 Azure Defender 警报的状态与包含这些 Azure Defender 警报副本Microsoft Sentinel 事件同步。例如，当包含 Azure Defender 警报的 Microsoft Sentinel 事件关闭时，Azure Defender 将自动关闭相应的原始警报。

若要了解详细信息，请参阅从 Azure 安全中心连接 Azure Defender 警报。

资源管理器警报的 Azure Defender 的逻辑重组

适用于资源管理器的 Azure Defender 计划中提供了下列警报。

在对某些 Azure Defender 计划进行逻辑重组的过程中，我们已将一些警报从适用于资源管理器的 Azure Defender 移至适用于服务器的 Azure Defender。

警报根据如下两个主要原则进行组织：

跨许多 Azure 资源类型提供控制平面保护的警报属于适用于资源管理器的 Azure Defender
保护特定工作负载的警报位于与相应工作负载相关的 Azure Defender 计划中

以下警报以前属于适用于资源管理器的 Azure Defender，经过本次更改后，现在属于适用于服务器的 Azure Defender：

ARM_AmBroadFilesExclusion
ARM_AmDisablementAndCodeExecution
ARM_AmDisablement
ARM_AmFileExclusionAndCodeExecution
ARM_AmTempFileExclusionAndCodeExecution
ARM_AmTempFileExclusion
ARM_AmRealtimeProtectionDisabled
ARM_AmTempRealtimeProtectionDisablement
ARM_AmRealtimeProtectionDisablementAndCodeExec
ARM_AmMalwareCampaignRelatedExclusion
ARM_AmTemporarilyDisablement
ARM_UnusualAmFileExclusion
ARM_CustomScriptExtensionSuspiciousCmd
ARM_CustomScriptExtensionSuspiciousEntryPoint
ARM_CustomScriptExtensionSuspiciousPayload
ARM_CustomScriptExtensionSuspiciousFailure
ARM_CustomScriptExtensionUnusualDeletion
ARM_CustomScriptExtensionUnusualExecution
ARM_VMAccessUnusualConfigReset
ARM_VMAccessUnusualPasswordReset
ARM_VMAccessUnusualSSHReset

详细了解适用于资源管理器的 Azure Defender 和 Azure Defender for Servers 计划。

增强了关于启用 Azure 磁盘加密 (ADE) 的建议

根据用户反馈，我们已重命名建议“应对虚拟机应用磁盘加密”。

新建议使用相同的评估 ID，名为“虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流”。

说明也已更新，以更好地解释此强化建议的目的：

Recommendation	Description	Severity
虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流	默认情况下，虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密；临时磁盘和数据缓存不加密，数据在计算和存储资源之间流动时也不加密。有关详细信息，请参阅 Azure 中不同磁盘加密技术的比较。使用 Azure 磁盘加密来加密所有这些数据。如果使用主机加密功能（1）或（2）服务器端托管磁盘加密满足安全要求，则忽略此建议。若要了解详细信息，请参阅“Azure 磁盘存储的服务器端加密”。	High

安全功能分数和法规合规性数据的连续导出功能正式发布 (GA)

连续导出提供了导出安全警报的机制，以及用于跟踪环境中其他监视工具的建议。

设置连续导出时，可以配置导出的内容以及导出的位置。若要了解详细信息，请参阅连续导出概述。

随着时间的推移，我们对此功能进行了增强和扩展：

2020 年 11 月，我们添加了预览选项，用于将更改流式传输到 安全分数。
2020 年 12 月，我们添加了预览选项，用于流式传输 对法规合规性评估数据的更改。

在此更新中，这两个选项正式发布 (GA)。

对法规合规性评估的更改可以触发工作流自动化 (GA)

2021 年 2 月，我们在工作流自动化的触发器选项中添加了预览版第三种数据类型：对法规合规性评估的更改。若要了解详细信息，请参阅对法规合规性评估的更改可以触发工作流自动化。

在此更新中，此触发器选项正式发布 (GA)。

了解如何使用自动响应安全中心触发器中的工作流自动化工具。

评估 API 字段“FirstEvaluationDate”和“StatusChangeDate”现在可用于工作区架构和逻辑应用

2021 年 5 月，我们使用两个新字段 （FirstEvaluationDate 和 StatusChangeDate）更新了评估 API。有关完整的详细信息，请参阅评估 API 扩充了两个新字段。

这些字段可通过 REST API、Azure Resource Graph、连续导出和 CSV 导出访问。

通过此次更改，我们现在在 Log Analytics 工作区架构和逻辑应用中提供这些信息。

向 Azure Monitor 工作簿库添加了“一段时间内的合规性”工作簿模板

3 月，我们在安全中心发布了集成式 Azure Monitor 工作簿体验（请参阅集成到安全中心的 Azure Monitor 工作簿以及提供的三个模板）。

初始版本包括三个模板，用于生成有关组织安全状况的动态和视觉报告。

我们现在添加了一个工作簿，专门用于跟踪订阅是否符合适用的法规或行业标准。

如需了解如何使用这些报告或生成自己的报告，请参阅创建丰富的交互式安全中心数据报表。

Azure 安全中心的“一段时间内的合规性”工作簿

2021 年 6 月

6 月的更新包括以下内容：

适用于 Key Vault 的 Azure Defender 的新警报
默认禁用使用客户管理的密钥 (CMK) 进行加密的建议
Kubernetes 警报的前缀已从“AKS_”更改为“K8S_”
弃用了“应用系统更新”安全控制中的两个建议

适用于 Key Vault 的 Azure Defender 的新警报

为了扩展 Azure Defender 为 Key Vault 提供的威胁保护，我们添加了以下警报：

警报（警报类型）	Description	MITRE 策略	Severity
可疑 IP 地址对 Key Vault 的访问 (KV_SuspiciousIPAccess)	被 Microsoft 威胁情报标识为可疑 IP 地址的 IP 已经成功访问了 key vault。这可能表示基础结构已遭入侵。建议进一步调查。	凭据访问	Medium

有关详细信息，请参阅：

默认禁用使用客户管理的密钥 (CMK) 进行加密的建议

安全中心包含多个建议，它们建议使用客户管理的密钥对静态数据进行加密，例如：

容器注册表应使用客户管理的密钥 (CMK) 进行加密
Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据
Azure 机器学习工作区应使用客户管理的密钥 (CMK) 进行加密

使用平台管理的密钥自动对 Azure 中的数据进行加密，因此，只有在要求符合组织选择执行的特定政策时，才使用客户管理的密钥。

如此更改后，现已默认禁用使用 CMK 的建议。与组织相关时，可以通过将相应安全策略 的 Effect 参数更改为 AuditIfNotExists 或 Enforce 来启用它们。有关详细信息，请参阅启用安全建议。

此更改将反映在包含新前缀的建议名称中， [Enable if required] ，如以下示例所示：

[Enable if required] 存储帐户应使用客户管理的密钥来加密静态数据
[Enable if required] 应使用客户管理的密钥 (CMK) 来加密容器寄存器
[Enable if required] Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据

Kubernetes 警报的前缀已从“AKS_”更改为“K8S_”

Azure Defender for Kubernetes 最近已扩展，可保护托管在本地和多云环境中的 Kubernetes 群集。参阅使用 Azure Defender for Kubernetes 保护混合和多云 Kubernetes 部署（预览版），了解更多信息。

为了反映 Azure Defender for Kubernetes 提供的安全警报不再限于 Azure Kubernetes 服务上的群集，我们已将警报类型的前缀从“AKS_”更改为“K8S_”。必要时，还会更新名称和说明。例如，以下警报：

警报（警报类型）	Description
检测到 Kubernetes 渗透测试工具 (AKS_PenTestToolsKubeHunter)	Kubernetes 审核日志分析检测到 AKS 群集中 Kubernetes 渗透测试工具的使用情况。此行为可能是合法的，不过，攻击者可能会出于恶意使用此类公用工具。

已更改为此警报：

警报（警报类型）	Description
检测到 Kubernetes 渗透测试工具 (K8S_PenTestToolsKubeHunter)	Kubernetes 审核日志分析检测到 Kubernetes 渗透测试工具在 Kubernetes 群集中的使用情况。此行为可能是合法的，不过，攻击者可能会出于恶意使用此类公用工具。

将自动转换提到以“AKS_”开始的警报的所有抑制规则。如果已设置 SIEM 导出或按警报类型引用 Kubernetes 警报的自定义自动化脚本，则需要使用新的警报类型对其进行更新。

有关 Kubernetes 警报的完整列表，请参阅适用于 Kubernetes 群集的警报。

弃用了“应用系统更新”安全控制中的两个建议

以下两项建议已被弃用：

应为你的云服务角色更新 OS 版本 - 默认情况下，Azure 会定期将来宾 OS 更新为 OS 系列（在服务配置 (.cscfg) 中指定）中支持的最新映像，例如 Windows Server 2016。
Kubernetes Services 应升级到不容易受到攻击的 Kubernetes 版本 - 这项建议的评估覆盖面并不像我们所希望的那样广泛。我们计划使用增强版本替换建议，以更好地满足你的安全需求。

2021 年 5 月

5 月的更新包括以下内容：

适用于 DNS 的 Azure Defender 和适用于资源管理器的 Azure Defender 正式发布 (GA)
适用于开放源代码关系数据库的 Azure Defender 正式发布 (GA)
适用于资源管理器的 Azure Defender 的新警报
通过 GitHub 工作流和 Azure Defender (预览版）扫描容器映像的 CI/CD 漏洞
可用于某些建议的更多 Resource Graph 查询
更改了 SQL 数据分类建议严重性
用于启用受信任启动功能（预览版）的新建议
用于强化 Kubernetes 群集（预览版）的新建议
评估 API 扩充了两个新字段
资产盘存增加了云环境筛选器

适用于 DNS 的 Azure Defender 和适用于资源管理器的 Azure Defender 正式发布 (GA)

这两个云原生广度的威胁保护计划现已正式发布。

这些新的防护极大增强了你在遭到威胁行为体攻击后的复原能力，还大大增加了受 Azure Defender 保护的 Azure 资源数量。

适用于资源管理器的 Azure Defender - 自动监视在你的组织中执行的所有资源管理操作。有关详细信息，请参阅：
适用于 DNS 的 Azure Defender - 持续监视来自你的 Azure 资源的所有 DNS 查询。有关详细信息，请参阅：

若要简化启用这些计划的过程，请使用建议：

应启用 Azure Defender for Resource Manager
应启用 Azure Defender for DNS

Note

启用 Azure Defender 计划会产生费用。了解安全中心定价页上每个区域的定价详细信息。

适用于开放源代码关系数据库的 Azure Defender 正式发布 (GA)

Azure 安全中心使用新的捆绑包扩展其 SQL 保护产品/服务，以涵盖开放源代码关系数据库：

适用于 Azure SQL 数据库服务器的 Azure Defender - 保护 Azure 原生 SQL 服务器
适用于计算机上的 SQL 服务器的 Azure Defender - 将相同的保护扩展到混合、多云和本地环境中的 SQL 服务器
适用于开放源代码关系数据库的 Azure Defender - 保护你的Azure Database for MySQL、PostgreSQL 和 MariaDB 单一服务器

适用于开放源代码关系数据库的 Azure Defender 持续监视服务器是否受到安全威胁，并检测异常的数据库活动，指出对 Azure Database for MySQL、PostgreSQL 和 MariaDB 的潜在威胁。下面是一些示例：

精确检测暴力攻击 - 适用于开放源代码关系数据库的 Azure Defender 提供有关尝试的和成功的暴力攻击的详细信息。让你可以更全面地了解你的环境中的攻击的性质和状态，据此展开调查和进行响应。
行为警报检测 - 适用于开放源代码关系数据库的 Azure Defender 会提醒你服务器上存在的可疑和意外行为，例如对数据库的访问模式的更改。
基于威胁情报的检测 - Azure Defender 应用Microsoft的威胁情报和庞大的知识库来显示威胁警报，以便可以针对它们采取行动。

阅读适用于开放源代码关系数据库的 Azure Defender 的简介，了解更多信息。

适用于资源管理器的 Azure Defender 的新警报

为了扩展适用于资源管理器的 Azure Defender 提供的威胁保护，我们添加以下提醒：

警报（警报类型）	Description	MITRE 策略	Severity
针对你的 Azure 环境（预览版），以异常方式授予 RBAC 角色的权限 (ARM_AnomalousRBACRoleAssignment)	比较同一个分配者执行的其他分配、同一分配者为相同被分派人执行的其他分配以及在租户中执行的其他分配时，适用于资源管理器的 Azure Defender 检测到异常的 RBAC 角色分配，原因是存在以下异常：分配时间、分配者的地点、分配者、身份验证方法、分配的实体、使用的客户端软件、分配范围。此操作可能是由你的组织中的合法用户执行的。或者，这可能表示组织中的某个帐户被入侵，威胁方正在尝试向其拥有的其他用户帐户授予权限。	横向移动，防御规避	Medium
以可疑方式为订阅创建的特权自定义角色（预览） (ARM_PrivilegedRoleDefinitionCreation)	适用于资源管理器的 Azure Defender 检测到你的订阅中发生了可疑的特权自定义角色定义创建行为。此操作可能是由你的组织中的合法用户执行的。或者，这可能表明你的组织中的帐户被入侵，并且威胁方正在尝试创建特权角色，以在将来用于规避检测。	横向移动，防御规避	Low
来自可疑 IP 地址的 Azure 资源管理器操作（预览版） (ARM_OperationFromSuspiciousIP)	适用于资源管理器的 Azure Defender 检测到来自某个 IP 地址的操作，这个 IP 地址在威胁情报源中被标记为可疑。	Execution	Medium
Azure 资源管理器对可疑代理 IP 地址的操作（预览） (ARM_OperationFromSuspiciousProxyIP)	适用于资源管理器的 Azure Defender 检测到来自某个 IP 地址的资源管理操作，而这个 IP 地址与代理服务（如 TOR）相关联。虽然这种行为可能是合法的，但经常出现在恶意活动中，在这些恶意活动中，攻击者会试图隐藏其源 IP。	防御逃避	Medium

有关详细信息，请参阅：

通过 GitHub 工作流和 Azure Defender (预览版）扫描容器映像的 CI/CD 漏洞

适用于容器注册表的 Azure Defender 现在让 DevSecOps 团队可以观察 GitHub 操作工作流。

使用 Trivy 的容器映像的新漏洞扫描功能有助于在将映像推送到容器注册表之前扫描容器映像中的常见漏洞。

容器扫描报告在 Azure 安全中心中进行汇总，使安全团队能够更好地理解和了解易受攻击的容器映像来源，以及是从哪里生成工作流和存储库。

有关详细信息，请参阅识别 CI/CD 工作流中有漏洞的容器映像。

可用于某些建议的更多资源图查询

所有安全中心的建议都可选择使用 Open 查询中的 Azure Resource Graph 查看受影响资源的状态信息。有关此功能的完整详细信息，请参阅 Azure Resource Graph 资源管理器中的“查看建议数据”。

安全中心包含内置的漏洞扫描程序，用于扫描 VM、SQL 服务器及其主机，以及容器注册表，以发现安全漏洞。这些结果将作为建议返回，其中关于每个资源类型的所有单个发现都将集中到一个视图中。这三个建议是：

应修正 Azure 容器注册表映像中的漏洞（由 Qualys 提供技术支持）
应修正虚拟机中的漏洞
SQL 数据库应已解决漏洞结果
计算机上的 SQL 服务器应已解决漏洞结果

通过此更改，可以使用 “打开查询 ”按钮打开显示安全发现结果的查询。

“ 打开查询 ”按钮为相关其他建议提供了其他选项。

了解关于安全中心漏洞扫描程序的更多信息：

更改了 SQL 数据分类建议严重性

已将“应对 SQL 数据库中的敏感数据进行分类”建议的严重性从“高”更改为“低”。

这是我们即将发布的更改页面中宣布的此建议的持续更改的一部分。

用于启用受信任启动功能（预览版）的新建议

Azure 以无缝方式提供受信任的启动，以提高第 2 代 VM 的安全性。受信任启动能够防范具有持续性的高级攻击手法。受信任启动由多种可单独启用的协调式基础结构技术组成。每种技术都针对错综复杂的威胁提供另一层防御。在 Azure 虚拟机的受信任启动中了解详细信息。

Important

受信任启动要求创建新的虚拟机。如果现有的虚拟机在最初创建时未配置受信任启动，则无法在其上启用受信任启动。

受信任启动目前为公共预览版。此预览版在提供时没有附带服务级别协议，不建议将其用于生产工作负荷。某些功能可能不受支持或者受限。

安全中心的建议应在受支持的虚拟机上启用 vTPM 确保你的 Azure VM 会使用 vTPM。硬件受信任的平台模块的这个虚拟化版本通过测量 VM（UEFI、OS、系统和驱动程序）的整个启动链来实现证明。

启用 vTPM 后， 来宾证明扩展名可以远程验证安全启动。以下建议可确保部署此扩展名：

应在受支持的 Windows 虚拟机上启用安全启动
应在受支持的 Windows 虚拟机上安装来宾证明扩展名
应在受支持的 Windows 虚拟机规模集上安装来宾证明扩展
应在受支持的 Linux 虚拟机上安装来宾证明扩展名
应在受支持的 Linux 虚拟机规模集上安装来宾证明扩展

在 Azure 虚拟机的受信任启动中了解详细信息。

用于强化 Kubernetes 群集（预览版）的新建议

以下建议可用于进一步强化 Kubernetes 群集

Kubernetes 群集不得使用默认命名空间 - 防止在 Kubernetes 群集中使用默认命名空间，以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行未经授权的访问。
Kubernetes 群集应禁用自动装载 API 凭据 - 若要防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令，请禁用自动装载 API 凭据。
Kubernetes 群集不应授予 CAPSYSADMIN 安全功能

如需了解安全中心如何保护容器化环境，请查阅安全中心的容器安全性。

评估扩充了两个新字段的 API

我们已将以下两个字段添加到评估 REST API中：

FirstEvaluationDate – 创建建议并首次评估的时间。返回为 ISO 8601 格式的 UTC 时间。
StatusChangeDate – 建议状态上次更改的时间。返回为 ISO 8601 格式的 UTC 时间。

这些字段的初始默认值（对于所有建议）为 2021-03-14T00:00:00+0000000Z。

若要访问此信息，可以使用下表中的任意方法。

Tool	Details
REST API 调用	`GET https://management.azure.com/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Security/assessments?api-version=2019-01-01-preview&$expand=statusEvaluationDates`
Azure Resource Graph	`securityresources` `where type == "microsoft.security/assessments"`
连续导出	这两个专用字段将可用于 Log Analytics 工作区数据
CSV 导出	CSV 文件中包含这两个字段

详细了解评估 REST API。

资产盘存增加了云环境筛选器

安全中心的资产清单页提供多个筛选器，可快速优化显示的资源列表。有关详细信息，请参阅利用资产清单浏览和管理资源。

新的筛选器提供了根据已连接到安全中心多云功能的云帐户优化列表的选项。

详细了解多云功能：

2021 年 4 月

4 月的更新包括：

刷新了资源运行状况页（预览版）
现在会每周重新扫描最近拉取的容器注册表映像（正式发布 (GA)）
使用 Azure Defender for Kubernetes 保护混合和多云 Kubernetes 部署（预览版）
Microsoft Defender for Endpoint 与 Azure Defender 的集成现在支持 Windows 虚拟桌面（正式发布版 (GA)）上的 Windows Server 2019 和 Windows 10
关于启用适用于 DNS 和资源管理器的 Azure Defender 的建议（预览版）
添加了三个监管合规性标准：Azure CIS 1.3.0、CMMC 级别 3 和限制性的新西兰 ISM
与来宾配置相关的四个新建议（预览版）
CMK 建议移动到最佳做法安全控制
11 项 Azure Defender 警报已弃用
“应用系统更新”安全控制中的两个建议已弃用
从 Azure Defender 仪表板中删除了适用于计算机上的 SQL 的 Azure Defender 磁贴
建议在不同安全控件之间进行了调动

刷新了资源运行状况页（预览版）

资源健康状况已展开、增强和改进，提供单个资源总体健康状况的快照视图。

可以查看有关该资源的详细信息以及适用于该资源的所有建议。另外，如果使用的是 Microsoft Defender 的高级保护计划，还可查看该特定资源的未解决安全警报。

若要打开资源的资源运行状况页，请从资产清单页中选择任何资源。

安全中心门户页面中的此预览页显示：

资源信息：资源组及其附加到的订阅，以及地理位置等。
应用的安全功能：是否为资源启用 Azure Defender。
未完成的建议和警报数：未完成的安全建议和 Azure Defender 警报的数量。
可操作的建议和警报：两个选项卡列出适用于资源的建议和警报。

显示虚拟机运行状况信息的 Azure 安全中心的资源运行状况页

参阅教程：调查资源的运行状况，了解更多信息。

现在会每周重新扫描最近拉取的容器注册表映像（正式发布 (GA)）

适用于容器注册表的 Azure Defender 包含内置漏洞扫描程序。此扫描程序会立即扫描推送到注册表中的任何映像以及在过去 30 天内拉取的任何映像。

每天都会发现新漏洞。通过此更新，过去 30 天内从注册表提取的容器映像将每周 重新扫描 。这可确保在映像中识别新发现的漏洞。

扫描按映像收费，因此重新扫描不产生额外费用。

可在使用适用于容器注册表的 Azure Defender 来扫描映像是否存在漏洞中详细了解此扫描程序。

使用 Azure Defender for Kubernetes 保护混合和多云 Kubernetes 部署（预览版）

Azure Defender for Kubernetes 正在扩展其威胁防护功能，以便在部署时保护其群集。这已通过集成已启用 Azure Arc 的 Kubernetes 及其新的扩展功能来实现。

在非 Azure Kubernetes 群集上启用 Azure Arc 后，根据 Azure 安全中心提供的新建议，仅需单击几下，即可将 Azure Defender 代理部署到其中。

使用建议（已启用 Azure Arc 的 Kubernetes 群集应已安装 Azure Defender 的扩展）和扩展保护在其他云提供程序中部署的 Kubernetes 群集，但不支持其托管的 Kubernetes 服务。

Azure 安全中心、Azure Defender 和已启用 Azure Arc 的 Kubernetes 之间的集成将带来以下影响：

轻松地将 Azure Defender 代理预配到未受保护的、已启用 Azure Arc 的 Kubernetes 群集（手动和大规模）
从 Azure Arc 门户监视 Azure Defender 代理及其预配状态
请转到 Azure Arc 门户的新“安全性”页中，查看所报告的安全中心安全建议
请转到 Azure Arc 门户的新“安全性”页中，查看所报告的 Azure Defender 标识安全威胁
已启用 Azure Arc 的 Kubernetes 群集可以集成到 Azure 安全中心平台和体验

有关详细信息，请参阅在本地和多云 Kubernetes 群集中使用 Azure Defender for Kubernetes。

Microsoft Defender for Endpoint 与 Azure Defender 的集成现在支持 Windows 虚拟桌面（正式发布版 (GA)）上的 Windows Server 2019 和 Windows 10

Microsoft Defender for Endpoint 是一种整体的、云交付的终结点安全解决方案。它提供基于风险的漏洞管理和评估以及终结点检测和响应 (EDR)。有关将 Defender for Endpoint 与 Azure 安全中心一起使用的好处的完整列表，请参阅使用安全中心的集成式 EDR 解决方案 (Microsoft Defender for Endpoint) 保护终结点。

为运行 Windows Server 的服务器启用 Azure Defender 时，Defender for Endpoint 的许可证会包含在计划中。如果已为服务器启用 Azure Defender 并且订阅中有 Windows Server 2019 服务器，则它们会自动接收包含此更新的 Defender for Endpoint。无需手动操作。

支持现在已扩展为包括 Windows 虚拟桌面上的 Windows Server 2019 和 Windows 10。

Note

如果要在 Windows Server 2019 服务器上启用 Defender for Endpoint，请确保它满足启用 Microsoft Defender for Endpoint 集成中所述的先决条件。

关于启用适用于 DNS 和资源管理器的 Azure Defender 的建议（预览版）

添加了两项新建议，以简化启用适用于资源管理器的 Azure Defender 和适用于 DNS 的 Azure Defender：

应启用适用于资源管理器的 Azure Defender - 适用于资源管理器的 Defender 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁，并向你发出有关可疑活动的警报。
应启用适用于 DNS 的 Azure Defender - 适用于 DNS 的 Defender 通过持续监视所有来自 Azure 资源的 DNS 查询为云资源额外提供保护层。 Azure Defender 会在 DNS 层向你发出有关可疑活动的警报。

启用 Azure Defender 计划会产生费用。了解安全中心定价页上每个区域的定价详细信息。

Tip

预览版建议不会显示资源运行不正常，并且在计算安全功能分数时不会包含这些建议。请尽量修正这些建议，以便在预览期结束之后，借助这些建议提高安全功能分数。如需详细了解如何响应这些建议，请参阅修正 Azure 安全中心的建议。

添加了三个监管合规性标准：Azure CIS 1.3.0、CMMC 级别 3 和限制性的新西兰 ISM

我们添加了适用于 Azure 安全中心的三个标准。使用监管合规性仪表板，现在可以根据以下标准来跟踪合规性：

可以按照在监管合规性仪表板中自定义标准集中所述，将这些标准分配给订阅。

了解详细信息，请参阅：

Azure 的来宾配置扩展向安全中心报告，以帮助确保强化虚拟机的来宾内设置。已启用 Arc 的服务器不需要该扩展，因为已连接 Arc 的计算机代理中包含该扩展。扩展需要计算机上系统托管标识。

我们已将四个新建议添加到安全中心，以便充分利用此扩展。

这两个建议会提示安装该扩展及其所需的系统托管标识：
- 应在计算机上安装来宾配置扩展
- 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展
当扩展已安装并正在运行时，它将开始审核你的计算机，此时系统将提示你强化设置，例如配置操作系统和环境设置。这两个建议将提示你按如下所述强化 Windows 和 Linux 计算机：
- 应在计算机上启用 Windows Defender 攻击防护
- 对 Linux 虚拟机进行身份验证需要 SSH 密钥

详细了解 Azure Policy 的来宾配置。

CMK 建议移动到最佳做法安全控制

每个组织的安全计划都包含数据加密要求。默认情况下，通过服务托管密钥对 Azure 客户的数据进行静态加密。但是，客户管理的密钥 (CMK) 通常需要满足法规符合性标准。通过 CMK 能够使用自己创建并拥有的 Azure Key Vault 密钥对数据进行加密。你可以完全控制并负责关键生命周期，包括轮换和管理。

Azure 安全中心的安全控制是相关安全建议的逻辑组，反映了你易受攻击的攻击面。对于每个控制，可以看到为所有资源修正该控制中列出的所有建议后，安全评分可以增加的最高分数。 “实现安全最佳做法”这一安全控制得分为零。因此，此控制中的建议不会影响安全评分。

下面列出的建议将移到“实现安全最佳做法”这一安全控制，以更好地反应它们的可选性质。这一移动确保了这些建议都处于最适当的控制之下，以满足其目标。

Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据
Azure 机器学习工作区应使用客户管理的密钥 (CMK) 进行加密
Azure AI 服务帐户应启用使用客户管理的密钥 (CMK) 进行数据加密
容器注册表应使用客户管理的密钥 (CMK) 进行加密
SQL 托管实例应使用客户管理的密钥进行静态数据加密
SQL Server 应使用客户管理的密钥进行静态数据加密
存储帐户应使用客户管理的密钥 (CMK) 进行加密

请在安全控件及其建议中了解每个安全控件中的建议。

11 Azure Defender 警报已弃用

下面列出的 11 个 Azure Defender 警报已弃用。

新警报将取代下面两种警报并扩大覆盖范围：

AlertType	AlertDisplayName
ARM_MicroBurstDomainInfo	预览版 - 检测到 MicroBurst 工具包“Get-AzureDomainInfo”函数运行
ARM_MicroBurstRunbook	预览版 - 检测到 MicroBurst 工具包“Get-AzurePasswords”函数运行

下面 9 种警报与已弃用的 Azure Active Directory 标识保护连接器 (IPC) 相关：

AlertType	AlertDisplayName
UnfamiliarLocation	不熟悉的登录属性
AnonymousLogin	匿名 IP 地址
InfectedDeviceLogin	受恶意软件感染的 IP 地址
ImpossibleTravel	异常位置登录
MaliciousIP	恶意 IP 地址
LeakedCredentials	凭据泄露
PasswordSpray	密码喷射
LeakedCredentials	Azure AD 威胁智能
AADAI	Azure AD AI

Tip

这 9 种 IPC 警报绝不是安全中心警报。它们是发送到安全中心的 Azure Active Directory 标识保护连接器（IPC）的一部分。在过去两年中，唯一看到这些警报的客户是 2019 年或更早版本中配置导出（从连接器到 ASC）的组织。 Azure Active Directory IPC 继续在其自己的警报系统中显示它们，并且它们将继续在 Microsoft Sentinel 中提供。唯一的更改是它们不再出现在安全中心。

“应用系统更新”安全控制中的两项建议已弃用

下面这两个建议已弃用，这些更改可能会对安全分数产生轻微影响：

应重启计算机来应用系统更新
应在计算机上安装监视代理。此建议仅与本地计算机相关，其中某些逻辑将转移到另一条建议，即“应在计算机上解决 Log Analytics 代理运行状况问题”

建议检查连续导出和工作流自动化配置，以查看这些建议是否包括在其中。此外，任何仪表板或其他可能使用它们的监视工具都应该相应地进行更新。

从 Azure Defender 仪表板中删除了适用于计算机上的 SQL 的 Azure Defender 磁贴

Azure Defender 仪表板的覆盖区包括对应于环境相关 Azure Defender 计划的磁贴。由于报告受保护和未受保护资源数量时出现问题，我们决定在解决此问题前暂时删除适用于计算机上的 SQL 的 Azure Defender 的资源覆盖状态。

在安全控制之间移动的建议

以下建议已移动到其他的安全控件。安全控件是相关安全建议的逻辑组，反映了你易受攻击的攻击面。这一调动确保了每个建议都处于最适当的控制之下，以满足其目标。

请在安全控件及其建议中了解每个安全控件中的建议。

Recommendation

更改和影响

应对 SQL Server 启用漏洞评估
应对 SQL 托管实例启用漏洞评估
应立即修正 SQL 数据库的漏洞
应修正 VM 中的 SQL 数据库漏洞

从“修正漏洞”（得 6 分）
变为“修正安全配置“（得 4 分）。
根据你的环境，这些建议会减少对评分的影响。

应该为你的订阅分配了多个所有者
自动化帐户变量应进行加密
IoT 设备 - 经审核的进程已停止发送事件
IoT 设备 - 操作系统基线验证失败
IoT 设备 - 需要进行 TLS 加密套件升级
IoT 设备 - 打开设备上的端口
IoT 设备 - 在其中一个链中找到了宽容防火墙策略
IoT 设备 - 在输入链中找到了宽容防火墙规则
IoT 设备 - 在输出链中找到了宽容防火墙规则
应启用 IoT 中心的诊断日志
IoT 设备 - 代理正在发送未充分利用的消息
IoT 设备 - 默认 IP 筛选策略应为“拒绝”
IoT 设备 - IP 筛选器规则为“大范围 IP”
IoT 设备 - 应调整代理消息间隔和大小
IoT 设备 - 完全相同的身份验证凭据
IoT 设备 - 经审核的进程停止发送事件
IoT 设备 - 应修复操作系统 (OS) 基线配置

移到实施安全最佳做法。
如果某条建议移到“实施安全最佳做法”控制（不得分），则这条建议不再影响安全分数。

2021 年 3 月

3 月的更新包括：

集成到安全中心的 Azure 防火墙管理
SQL 漏洞评估现在包含“禁用规则”体验（预览）
集成到安全中心的 Azure Monitor 工作簿以及提供的三个模板
法规合规性仪表板现在包含 Azure 审核报告（预览）
可以在 Azure Resource Graph 中通过“在 ARG 中浏览”查看建议数据
更新部署工作流自动化的的策略
两条旧版建议不再将数据直接写入 Azure 活动日志
建议页面功能增强

集成到安全中心的 Azure 防火墙管理

打开 Azure 安全中心时，首先显示的是概述页面。

此交互式仪表板提供了混合云工作负载安全状况的统一视图。此外，它还显示安全警报、覆盖范围信息等等。

在帮助你通过中心体验查看安全状态的过程中，我们已将 Azure 防火墙管理器集成到此仪表板中。你现在可以检查所有网络的防火墙覆盖状态，并从安全中心开始集中管理 Azure 防火墙策略。

有关此仪表板的详细信息，请参阅 Azure 安全中心的概述页面。

安全中心的概述仪表板，其中包含 Azure 防火墙的磁贴

SQL 漏洞评估现在包含“禁用规则”体验（预览）

安全中心包含内置漏洞扫描仪，有助于发现、跟踪和修正潜在的数据库漏洞。评估扫描结果概述了 SQL 计算机的安全状态以及任何安全发现结果的详细信息。

如果组织需要忽略发现结果，而不是修正漏洞，则可以选择禁用发现结果。禁用发现结果不会影响安全分数，也不会产生有害的噪音。

有关详细信息，请参阅禁用特定发现结果。

集成到安全中心的 Azure Monitor 工作簿以及提供的三个模板

在 Ignite Spring 2021 召开过程中，我们宣布在安全中心中推出集成式 Azure Monitor 工作簿。

可以使用新集成开始使用安全中心库中的现用模板。通过使用工作簿模板，可以访问和生成动态和可视化报表来跟踪组织的安全状况。此外，还可以根据安全中心数据或任何其他受支持的数据类型创建新的工作簿，并且快速部署来自安全中心 GitHub 社区的社区工作簿。

提供了三个模板报告：

一段时间内的安全功能分数 - 跟踪订阅的分数以及对资源建议的更改
系统更新 - 按资源、OS、严重性等查看缺少的系统更新
漏洞评估发现结果 - 查看对 Azure 资源进行漏洞扫描的发现结果

如需了解如何使用这些报告或生成自己的报告，请参阅创建丰富的交互式安全中心数据报表。

一段时间内的安全功能分数报告。

法规合规性仪表板现在包含 Azure 审核报告（预览）

现在可以从法规合规性仪表板的工具栏中下载 Azure 和 Dynamics 认证报告。

法规合规性仪表板的工具栏

可以选择用于相关报告类型（PCI、SOC 和 ISO 等）的选项卡，然后使用筛选器来查找所需的特定报告。

有关详细信息，请参阅管理法规合规性仪表板中的标准。

筛选可用 Azure 审核报告的列表。

可以在 Azure Resource Graph 中通过“在 ARG 中浏览”查看建议数据

建议详细信息页现在包含“在 ARG 中浏览”工具栏按钮。请使用此按钮来打开 Azure Resource Graph 查询，并浏览、导出和共享建议的数据。

使用 Azure Resource Graph (ARG)，可以通过可靠的筛选、分组和排序功能，快速访问你的云环境中的资源信息。这是以编程方式或从 Azure 门户中查询 Azure 订阅中的信息的一种快速且有效的方式。

详细了解 Azure Resource Graph。

在 Azure Resource Graph 中浏览建议数据。

对部署工作流自动化的的策略的更新

自动执行组织的监视和事件响应流程可以显著缩短调查和缓解安全事件所需的时间。

我们提供三个 Azure Policy“DeployIfNotExist”策略，这些策略可以创建并配置工作流自动化过程，以便你可以在组织内部署自动化：

Goal	Policy	策略 ID
安全警报的工作流自动化	为 Azure 安全中心警报部署工作流自动化	f1525828-9a90-4fcf-be48-268cdd02361e
安全建议的工作流自动化	为 Azure 安全中心建议部署工作流自动化	73d6ab6c-2475-4850-afd6-43795f3492ef
用于法规合规性的工作流自动化发生更改	部署 Azure 安全中心合规工作流自动化	509122b9-ddd9-47ba-a5f1-d0dac20be63c

以下是对这些策略的功能进行的两项更新：

分配后，它们将通过强制执行保持启用状态。
现在可以自定义这些策略，并更新任意参数，即使它们已部署，也是如此。例如，可以添加或编辑评估密钥。

开始使用工作流自动化模板。

了解如何自动响应安全中心触发器。

两条旧版建议不再将数据直接写入 Azure 活动日志

安全中心会将几乎所有安全建议的数据都传递到 Azure 顾问，而后者又会将这些数据写入 Azure 活动日志。

对于其中两条建议，数据将同时直接写入 Azure 活动日志。通过这项更改，安全中心会停止将这些旧版安全建议的数据直接写入活动日志。而我们要将数据导出到 Azure 顾问，就像我们针对所有其他建议所做的那样。

这两条旧版建议为：

应在计算机上解决 Endpoint Protection 运行状况问题
应该修复计算机上安全配置中的漏洞

如果你一直是在活动日志的“TaskDiscovery 类型的建议”类别中访问这两条建议的信息，现在不再可以这样操作。

建议页面功能增强

我们发布了改进版本的建议列表，以便直观地显示更多信息。

此页面现在显示：

每个安全控制措施的最高分数和当前分数。
替换标记（如修复和预览）的图标。
显示与每个建议相关的策略计划的新列 - 禁用“按控件分组”时可见。

可在 Azure 安全中心内的安全建议中了解详细信息。

2021 年 2 月

2 月的更新包括：

Azure 门户中的“新建安全警报”页面已正式发布 (GA)
Kubernetes 工作负载保护建议已正式发布 (GA)
Microsoft Defender for Endpoint 与 Azure Defender 的集成现在支持 Windows 虚拟桌面（预览版）上的 Windows Server 2019 和 Windows 10
直接链接到建议详细信息页中的策略
SQL 数据分类建议不再影响安全功能分数
工作流自动化可以由对法规合规性评估的更改触发（预览）
资产清单页增强功能

Azure 门户中的“新建安全警报”页面已正式发布 (GA)

Azure 安全中心的安全警报页经过重新设计，可提供以下内容：

更好的警报会审体验 - 列表包含可自定义的筛选器和分组选项，有助于减少警报疲劳，让你能够更轻松地专注于相关度最高的威胁。
警报列表中包含更多信息 - 例如 MITRE ATT&ACK 策略。
用于创建示例警报的按钮 - 要评估 Azure Defender 功能并测试警报配置（对于 SIEM 集成、电子邮件通知和工作流自动化），可以从所有 Azure Defender 计划创建示例警报。
与 Azure Sentinel 事件体验的一致性 - 对于同时使用这两种产品的客户，现在可以更直接地在它们之间进行切换。
大型警报列表的性能更佳。
通过警报列表导航键盘。
来自 Azure Resource Graph 的警报 - 可以在 Azure Resource Graph 中查询警报，它是适用于所有资源的类 Kusto API。如果要构建自己的警报仪表板，这也很有用。详细了解 Azure Resource Graph。
创建示例警报功能 - 若要通过新的警报体验创建示例警报，请参阅生成 Azure Defender 示例警报。

Kubernetes 工作负载保护建议已正式发布 (GA)

我们很高兴地宣布，已正式发布一组针对 Kubernetes 工作负载保护的建议。

为了确保 Kubernetes 工作负载在默认情况下是安全的，安全中心添加了 Kubernetes 级别的强化建议，其中包括具有 Kubernetes 准入控制的执行选项。

在 Azure Kubernetes 服务 (AKS) 群集上安装适用于 Kubernetes 的 Azure Policy 后，将按照预先定义的一组最佳做法（显示为 13 条安全建议）监视对 Kubernetes API 服务器的每个请求，然后再将其保存到群集。然后，可以配置为强制实施最佳做法，并规定将其用于未来的工作负载。

例如，可以规定不应创建特权容器，并且阻止以后的任何请求。

有关详细信息，请参阅使用 Kubernetes 准入控制实现工作负载保护最佳做法。

Note

虽然建议之前为预览版，但它们当时未显示 AKS 群集资源运行不正常，而且在计算安全功能分数时没有纳入这些建议。在此 GA 公告中，这些内容将包含在分数计算中。如果尚未对其进行修正，则可能会对安全功能分数造成轻微影响。请尽量进行修正，具体请参阅修正 Azure 安全中心内的建议。

Microsoft Defender for Endpoint 与 Azure Defender 的集成现在支持 Windows 虚拟桌面（预览版）上的 Windows Server 2019 和 Windows 10

支持现在已扩展为包括 Windows 虚拟桌面上的 Windows Server 2019 和 Windows 10。

Note

如果要在 Windows Server 2019 服务器上启用 Defender for Endpoint，请确保它满足启用 Microsoft Defender for Endpoint 集成中所述的先决条件。

直接链接到建议详细信息页中的策略

查看建议的详细信息时，能够查看基础策略通常会很有帮助。对于策略支持的每条建议，建议详细信息页面上都有一个新链接：

链接到 Azure Policy 页面，了解支持建议的具体策略。

使用此链接可查看策略定义和计算逻辑。

SQL 数据分类建议不再影响安全功能分数

“应对 SQL 数据库中的敏感数据进行分类”建议不再影响安全功能分数。安全控制 应用包含它的数据分类 现在的安全功能分数值为 0。

有关所有安全控件的完整列表，以及每个控件中的分数和建议的列表，请参阅安全控件及其建议。

工作流自动化可以由对法规合规性评估的更改触发（预览）

我们向工作流自动化的触发器选项添加了第三种数据类型：对监管合规性评估的更改。

了解如何使用自动响应安全中心触发器中的工作流自动化工具。

资产清单页增强功能

Azure 安全中心的资产库存页已经过改进：

页面顶部的摘要现在包括 “未注册的订阅”，其中显示了未启用安全中心的订阅数。
筛选器进行了扩展和增强，包括：
- 计数 - 每个筛选器显示满足每个类别条件的资源数
- 包含豁免筛选器（可选）- 将结果范围缩小为有/没有豁免的资源。默认情况下不显示此筛选器，但可从 “添加筛选器 ”按钮访问。

详细了解如何利用资产清单浏览和管理资源。

2021 年 1 月

一月的更新包括：

Azure 安全基准现在是 Azure 安全中心的默认策略计划
本地和多云计算机的漏洞评估已正式发布 (GA)
预览版中现可提供管理组的安全分数
安全功能分数 API 已正式发布 (GA)
用于应用服务的 Azure Defender 添加了无关联的 DNS 保护
多云连接器已正式发布 (GA)
从订阅和管理组的安全分数中免除所有建议
用户现在可以向其全局管理员请求租户范围内的可见性
添加了 35 条预览建议，以扩大 Azure 安全基准的覆盖范围
将经筛选的建议列表导出为 CSV
在 Azure Policy 评估中，“不适用”资源现报告为“合规”
通过连续导出（预览版）导出安全分数和法规合规性数据的每周快照

Azure 安全基准现在是 Azure 安全中心的默认策略计划

Azure 安全基准是由 Microsoft 创作的特定于 Azure 的一组准则，适用于基于常见合规框架的安全与合规最佳做法。这一公认的基准建立在 Internet 安全中心 (CIS) 和国家标准与技术研究院 (NIST) 的控制基础上，重点关注以云为中心的安全性。

最近几个月，安全中心的内置安全建议列表已显著增加，从而扩大了此基准的覆盖范围。

在此版本中，基准测试是安全中心建议的基础，并完全集成为默认策略计划。

所有 Azure 服务文档中都有一个安全基线页面。这些基线均基于 Azure 安全基准。

如果使用的是安全中心的法规符合性仪表板，则你在过渡期间会看到两个基准实例：

Azure 安全中心的法规符合性仪表板显示 Azure 安全基准

现有建议不受影响，并且随着基准的增加，安全中心内将自动反映出这些更改。

若要了解详细信息，请参阅以下页面：

本地和多云计算机的漏洞评估已正式发布 (GA)

10 月，我们随适用于服务器的 Azure Defender 的集成式漏洞评估扫描程序（由 Qualys 提供支持）提供了扫描已启用 Azure Arc 的服务器的预览版。

现已正式发布 (GA)。

当你在非 Azure 计算机上启用了 Azure Arc 后，安全中心将提供两种向计算机部署集成式漏洞扫描器的选项（手动和大规模）。

此次更新后，你便可以发掘 Azure Defender 的强大功能，合并所有 Azure 和非 Azure 资产的漏洞管理计划。

主要功能：

监视 Azure Arc 计算机上的 VA（漏洞评估）扫描器预配状态
将集成式 VA 代理预配到未受保护的 Windows 和 Linux Azure Arc 计算机（手动或大规模）
从部署的代理接收和分析检测到的漏洞（手动和大规模）
统一的 Azure VM 和 Azure Arc 计算机体验

详细了解如何将集成式 Qualys 漏洞扫描程序部署到混合计算机。

详细了解已启用 Azure Arc 的服务器。

预览版中现可提供管理组的安全分数

除了订阅级别外，“安全分数”页面现在还会显示管理组的汇总安全分数。因此，现在可以查看组织中管理组的列表以及每个管理组的分数。

正在查看管理组的安全分数。

详细了解 Azure 安全中心的安全分数和安全控件。

安全功能分数 API 已正式发布 (GA)

现在可以通过安全分数 API 访问分数。通过 API 方法，可灵活地查询数据，久而久之构建自己的安全功能分数报告机制。例如：

使用 安全功能分数 API 获取特定订阅的分数
使用安全功能分数控件 API 列出安全控件和订阅的当前分数

若要了解可通过安全功能分数 API 实现的外部工具，请参阅 GitHub 社区的安全功能分数区域。

详细了解 Azure 安全中心的安全分数和安全控件。

用于应用服务的 Azure Defender 添加了无关联的 DNS 保护

子域接管是组织常见的严重威胁。当拥有指向已撤销的网站的 DNS 记录时，可能会发生子域接管。这类 DNS 记录也称为“无关联的 DNS”项。 CNAME 记录特别容易受到此威胁的攻击。

子域接管使威胁参与者能够将针对组织域的流量重定向到执行恶意活动的站点。

现在，当对应用服务网站解除授权时，用于应用服务的 Azure Defender 会检测到无关联的 DNS 条目。当时，DNS 条目指向不存在的资源，并且网站容易受到子域接管攻击。无论你的域是由 Azure DNS 托管还是由外部域注册器托管，都可使用这些保护；这些保护既适用于 Windows 上的应用服务，也适用于 Linux 上的应用服务。

了解详细信息：

应用服务警报引用表 - 包括两个新的 Azure Defender 警报，它们在检测到无关联的 DNS 条目时触发
防止无关联的 DNS 条目并避免子域接管 - 了解子域接管威胁和无关联的 DNS 方面
用于应用服务的 Azure Defender 简介

多云连接器已正式发布 (GA)

由于云工作负载通常跨多个云平台分布，因此云安全服务也需要如此。

Azure 安全中心可保护 Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中的工作负载。

连接 AWS 或 GCP 项目会将其本机安全工具（如 AWS 安全中心和 GCP 安全命令中心）集成到 Azure 安全中心。

此功能意味着安全中心可以在所有主要的云环境中提供可见性和保护。此集成的一些优势如下：

自动代理预配 - 安全中心使用 Azure Arc 将 Log Analytics 代理部署到 AWS 实例
策略管理
漏洞管理
嵌入的终结点检测和响应 (EDR)
检测安全配置错误
显示所有云提供商提供的安全建议的单一视图
将所有资源整合到安全中心的安全分数计算中
AWS 和 GCP 资源的法规符合性评估

在 Defender for Cloud 的菜单中，选择 “多云连接器 ”，你将看到用于创建新连接器的选项：

安全中心“多云连接器”页上的“添加 AWS 帐户”按钮

了解详细信息，请参阅：

从订阅和管理组的安全分数中免除所有建议

我们正在扩展免除功能，以免除所有建议。提供其他选项来微调安全中心针对订阅、管理组或资源提出的安全建议。

有时，当你知道问题已被第三方工具解决，而安全中心未检测到时，资源将被列为运行不正常。或者，建议会在你认为它不属于的范围内显示。该建议可能不适用于特定的订阅。或者，组织可能决定接受与特定资源或建议相关的风险。

使用此预览功能，现在可以针对建议创建免除，以执行以下操作：

免除某资源，以确保其将来不会被列入运行不正常的资源，并且不会影响安全分数。该资源将被列为不适用，原因将显示“已免除”以及你选择的特定理由。
免除某订阅或管理组，以确保建议不会影响安全分数，并且将来不会针对该订阅或管理组显示。这与现有资源以及将来创建的任何资源相关。建议将标记有你针对所选范围选择的特定理由。

了解详细信息，请参阅从安全评分中免除资源和建议。

用户现在可以向其全局管理员请求租户范围内的可见性

如果用户不具有查看安全中心数据的权限，他们现在将会看到一个链接，用于向其组织的全局管理员请求权限。该请求包括他们想要的角色以及需要这样做的理由。

横幅通知用户他们可以请求租户范围内的权限。

了解详细信息，请参阅当你的权限不足时请求租户范围内的权限。

添加了 35 条预览建议，以扩大 Azure 安全基准的覆盖范围

Azure 安全基准是 Azure 安全中心的默认策略计划。

为扩大此基准的覆盖范围，安全中心已添加下列 35 条预览建议。

Tip

安全控制	新建议
启用静态加密	- Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据 - Azure 机器学习工作区应使用客户管理的密钥 (CMK) 进行加密 - 应为 MySQL 服务器启用“创建自己的密钥”数据保护 - 应为 PostgreSQL 服务器启用“创建自己的密钥”数据保护 - Azure AI 服务帐户应启用使用客户管理的密钥 (CMK) 进行数据加密 - 容器注册表应使用客户管理的密钥 (CMK) 进行加密 - SQL 托管实例应使用客户管理的密钥进行静态数据加密 - SQL Server 应使用客户管理的密钥进行静态数据加密 - 存储帐户应使用客户管理的密钥 (CMK) 进行加密
实现安全最佳实践	- 订阅应有一个联系人电子邮件地址，用于接收安全问题通知你的订阅应启用 Log Analytics 代理自动预配 - 应启用高严重性警报的电子邮件通知 - 应启用向订阅所有者发送高严重性警报的电子邮件通知 - 密钥保管库应启用清除保护 - 密钥保管库应启用软删除
管理访问和权限	- 确保函数应用已启用“客户端证书(传入客户端证书)”
保护应用程序免受 DDoS 攻击	- 应为应用程序网关启用 Web 应用程序防火墙 (WAF) - 应为 Azure Front Door 服务启用 Web 应用程序防火墙 (WAF)
限制未经授权的网络访问	- 应在 Key Vault 上启用防火墙 - 应为 Key Vault 配置专用终结点 - 应用程序配置应使用专用链接 - Azure Cache for Redis 应驻留在虚拟网络中 - Azure 事件网格域应使用专用链接 - Azure 事件网格主题应使用专用链接 - Azure 机器学习工作区应使用专用链接 - Azure SignalR 服务应使用专用链接 - Azure Spring Cloud 应使用网络注入 - 容器注册表不得允许无限制的网络访问 - 容器注册表应使用专用链接 - 应为 MariaDB 服务器禁用公用网络访问 - 应为 MySQL 服务器禁用公用网络访问 - 应为 PostgreSQL 服务器禁用公用网络访问 - 存储帐户应使用专用链接连接 - 存储帐户应使用虚拟网络规则来限制网络访问 - VM 映像生成器模板应使用专用链接

将经筛选的建议列表导出为 CSV

2020 年 11 月，我们向建议页添加了筛选器。

随着此次公告的发布，我们将更改为“下载到 CSV”按钮的行为，使 CSV 导出仅包含经筛选的列表中当前显示的建议。

例如，在下图中，可以看到列表已筛选为显示两个建议。生成的 CSV 文件包括受这两个建议影响的每项资源的状态详细信息。

将经筛选的建议导出到 CSV 文件。

可在 Azure 安全中心内的安全建议中了解详细信息。

在 Azure Policy 评估中，“不适用”资源现报告为“合规”

以前，针对建议进行评估且发现 不适用 的资源会显示在 Azure Policy 中显示为“不合规”。任何用户操作都不能将资源状态更改为“合规”。进行此更改后，为了显得更加清楚，将资源报告为“合规”。

唯一的影响是 Azure Policy 中合规资源的数量将增加。 Azure 安全中心的安全评分不受影响。

通过连续导出（预览版）导出安全分数和法规合规性数据的每周快照

我们向连续导出工具添加了新的预览功能，用于导出安全评分和法规合规性数据的每周快照。

定义连续导出时，请设置导出频率：

选择连续导出的频率。

流式处理 – 更新资源运行状况时将发送评估（如果未发生更新，则不会发送任何数据）。
快照 - 将每周发送所有法规符合性评估的当前状态的快照（这是安全分数和法规合规性数据的每周快照的预览功能）。

请在持续导出安全中心数据中详细了解此功能的所有性能。

2020 年 12 月

12 月的更新包括：

适用于计算机上的 SQL 服务器的 Azure Defender 现已正式发布
针对 Azure Synapse Analytics 专用 SQL 池的 Azure Defender for SQL 支持现已正式发布
全局管理员现在可以授予自己的租户级别权限
两项新的 Azure Defender 计划：适用于 DNS 的 Azure Defender 和适用于资源管理器的 Azure Defender（预览版）
Azure 门户中的新安全警报页（预览版）
在 Azure SQL 数据库和 SQL 托管实例中更新了安全中心体验
更新了资产清单工具和筛选器
有关请求 SSL 证书的 Web 应用的建议不再属于安全功能分数
建议页面包含用于环境、严重性和可用响应的新筛选器
连续导出获得新的数据类型和改进的 deployifnotexist 策略

适用于计算机上的 SQL 服务器的 Azure Defender 现已正式发布

Azure 安全中心为 SQL 服务器提供两个 Azure Defender 计划：

适用于 Azure SQL 数据库服务器的 Azure Defender - 保护 Azure 原生 SQL 服务器
适用于计算机上的 SQL 服务器的 Azure Defender - 将相同的保护扩展到混合、多云和本地环境中的 SQL 服务器

根据此公告，适用于 SQL 的 Azure Defender 现在可以保护位于任何位置的数据库及其数据。

适用于 SQL 的 Azure Defender 包括漏洞评估功能。漏洞评估工具包括以下高级功能：

基线配置 （新增！）可智能地将漏洞扫描结果优化为可能表示实际安全问题的漏洞扫描结果。建立基线安全状态后，漏洞评估工具仅报告与该基线状态的偏差。与基线匹配的结果被视为通过后续扫描。这样，你和你的分析师就可以将注意力集中在重要的方面。
详细的基准信息有助于了解已发现的结果，以及这些结果为何与资源相关。
修正脚本 ，帮助你缓解已识别的风险。

详细了解 Azure Defender for SQL。

针对 Azure Synapse Analytics 专用 SQL 池的 Azure Defender for SQL 支持现已正式发布

Azure Synapse Analytics（以前称为 SQL DW）是一种分析服务，它将企业数据仓库和大数据分析合并在一起。专用 SQL 池是 Azure Synapse 的企业数据仓库功能。有关详细信息，请参阅什么是 Azure Synapse Analytics（以前称为 SQL DW）？。

适用于 SQL 的 Azure Defender 可通过以下方式保护专用 SQL 池：

用于检测威胁和攻击的高级威胁防护
用于识别和修正安全错误配置的漏洞评估功能

针对 Azure Synapse Analytics SQL 池的 Azure Defender for SQL 支持会自动添加到 Azure 安全中心中的 Azure SQL 数据库捆绑中。 Azure 门户的 Synapse 工作区页中有一个新的 Azure Defender for SQL 选项卡。

详细了解 Azure Defender for SQL。

全局管理员现在可以授予自己的租户级别权限

具有 全局管理员 的 Azure Active Directory 角色的用户可能负责租户范围，但缺少 Azure 权限来查看 Azure 安全中心内的组织范围信息。

若要向你自己分配租户级别的权限，请按照授予自己租户范围的权限中的说明操作。

两项新的 Azure Defender 计划：适用于 DNS 的 Azure Defender 和适用于资源管理器的 Azure Defender（预览版）

我们为你的 Azure 环境添加了两项新的云原生广度威胁防护功能。

这些新的防护极大增强了你在遭到威胁行为体攻击后的复原能力，还大大增加了受 Azure Defender 保护的 Azure 资源数量。

适用于资源管理器的 Azure Defender - 自动监视在你的组织中执行的所有资源管理操作。有关详细信息，请参阅：
适用于 DNS 的 Azure Defender - 持续监视来自你的 Azure 资源的所有 DNS 查询。有关详细信息，请参阅：

Azure 门户中的新安全警报页（预览版）

Azure 安全中心的安全警报页经过重新设计，可提供以下内容：

更好的警报会审体验 - 帮助减少警报疲劳，让你能够专注于相关度最高的威胁，列表包含可自定义的筛选器和分组选项
警报列表中的更多信息 - 例如 MITRE ATT&ACK 策略
用于创建示例警报的按钮 - 要评估 Azure Defender 功能并测试警报配置（对于 SIEM 集成、电子邮件通知和工作流自动化），可以从所有 Azure Defender 计划创建示例警报
与 Azure Sentinel 事件体验的一致性 - 对于同时使用这两种产品的客户，现在可以更直接地在它们之间进行切换
大型警报列表的性能更佳
通过警报列表导航键盘
来自 Azure Resource Graph 的警报 - 可以在 Azure Resource Graph 中查询警报，它是适用于所有资源的类 Kusto API。如果要构建自己的警报仪表板，这也很有用。详细了解 Azure Resource Graph。

若要访问新体验，请使用安全警报页顶部横幅中的“立即试用”链接。

若要通过新的警报体验创建示例警报，请参阅生成 Azure Defender 示例警报。

在 Azure SQL 数据库和 SQL 托管实例中更新了安全中心体验

通过 SQL 中的安全中心体验，可访问安全中心和 Azure Defender for SQL 的下列功能：

安全建议 – 安全中心定期分析所有连接的 Azure 资源的安全状态，以确定潜在的安全配置错误。然后，它提供有关如何修正这些漏洞和改进组织安全状况的建议。
安全警报 – 一种检测服务，用于持续监视 Azure SQL 活动是否存在 SQL 注入、暴力攻击和特权滥用等威胁。此服务在安全中心触发面向操作的详细安全警报，并提供用于继续调查Microsoft Sentinel（Microsoft的 Azure 原生 SIEM 解决方案）的选项。
发现 - 一种漏洞评估服务，用于持续监视 Azure SQL 配置并帮助修正漏洞。评估扫描会提供 Azure SQL 安全状态的概述以及详细的安全扫描结果。

Azure 安全中心适用于 SQL 的安全功能在 Azure SQL 中可用

更新了资产清单工具和筛选器

Azure 安全中心的“清单”页面已刷新，并进行了以下更改：

工具栏上添加了“指南和反馈”。该操作会打开一个窗格，其中有指向相关信息和工具的链接。
已添加到资源可用的默认筛选器的订阅筛选器。
打开查询 链接，以打开当前筛选器选项作为 Azure Resource Graph 查询（以前称为“在资源图资源管理器中查看”）。
每个筛选器的运算符选项。现在，可从“=”之外的其他逻辑运算符中进行选择。例如，你可能想要查找所有具有活动建议且标题包含“encrypt”字符串的资源。

有关清单的详细信息，请参阅利用资产清单浏览和管理资源。

有关请求 SSL 证书的 Web 应用的建议不再属于安全功能分数

“Web 应用应请求一个 SSL 证书用于所有传入请求”这一建议已从“管理访问和权限”安全控制（分值最多为 4）移至“实施安全最佳做法”（分值为 0）。

确保 Web 应用请求的是肯定会增强其安全性的证书。但是，对于面向公众的 Web 应用，这是不相关的。如果通过 HTTP 而不是 HTTPS 访问站点，不会收到任何客户端证书。因此，如果应用程序需要客户端证书，则你不应允许通过 HTTP 对应用程序发出请求。有关详细信息，请参阅为 Azure 应用服务配置 TLS 相互身份验证。

在此更改后，此建议现在已是推荐的最佳做法，不会影响你的分数。

请在安全控件及其建议中了解每个安全控件中的建议。

建议页面包含用于环境、严重性和可用响应的新筛选器

Azure 安全中心会监视所有已连接的资源并生成安全建议。使用这些建议来强化你的混合云状况，并跟踪与组织、行业和国家/地区相关的策略和标准的合规性。

随着安全中心不断扩展其覆盖范围和功能，安全建议的列表每月都在扩充。例如，请参阅添加了 29 条预览建议，以扩大 Azure 安全基准的覆盖范围。

随着列表的扩充，需要筛选建议来找出最感兴趣的建议。 11 月，我们在“建议”页面中添加了筛选器（请参阅建议列表现包含筛选器）。

本月添加的筛选器提供了一些选项，可根据以下条件优化建议列表：

环境 - 查看 AWS、GCP 或 Azure 资源的建议（或任何组合）
严重性 - 根据安全中心设置的严重性分类查看建议
响应作 - 根据安全中心响应选项的可用性查看建议：修复、拒绝和强制实施
Tip

“响应操作”筛选器替代了“可用的快速修复(是/否)”筛选器。

请详细了解每个响应选项：
- “修复”按钮
- 使用“强制执行/拒绝”建议防止错误配置

连续导出获得新的数据类型和改进的 deployifnotexist 策略

借助 Azure 安全中心的连续导出工具，可导出安全中心的建议和警报，以便与环境中的其他监视工具一起使用。

“连续导出”使你可以完全自定义将要导出的内容，以及要导出到的位置。有关完整详细信息，请参阅连续导出安全中心数据。

这些工具已通过以下方式进行了增强和扩展：

连续导出的 deployifnotexist 策略已得到增强。策略目前执行以下操作：
- 检查配置是否已启用。 如果未启用，策略将显示为不合规，并将创建合规的资源。若要详细了解所提供的 Azure Policy 模板，请参阅设置连续导出的“使用 Azure Policy 选项卡大规模部署”。
- 支持导出安全结果。 使用 Azure 策略模板时，可配置连续导出，使其包含结果。这在导出具有子建议的建议时非常重要，例如漏洞评估扫描程序的结果或针对“应在计算机上安装系统更新”这一父建议的特定系统更新。
- 支持导出安全功能分数数据。
已添加合规性评估数据（预览）。 现在，你可将对法规合规性评估的更新（包括针对任何自定义计划的更新）连续导出到 Log Analytics 工作区或事件中心。此功能在国家云上不可用。

2020 年 11 月

11 月的更新包括：

添加了 29 条预览建议，以扩大 Azure 安全基准的覆盖范围
向安全中心的法规合规性仪表板添加了 NIST SP 800 171 R2
建议列表现包含筛选器
自动预配体验得到改进和扩展
现可在连续导出中使用安全功能分数（预览）
“应在计算机上安装系统更新”建议现包含子建议
Azure 门户中的“策略管理”页现在显示默认策略分配的状态

添加了 29 条预览建议，以扩大 Azure 安全基准的覆盖范围

Azure 安全基准是 Microsoft 制定的一组 Azure 专属准则，适合基于常见合规框架的安全性与合规性最佳做法。详细了解 Azure 安全基准。

已在安全中心添加下列 29 条预览建议，以扩大此基准的覆盖范围。

安全控制	新建议
加密传输中的数据	- 应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” - 应为 MySQL 数据库服务器启用“强制 SSL 连接” - 应将 TLS 更新为 API 应用的最新版本 - 应将 TLS 更新为函数应用的最新版本 - 应将 TLS 更新为 Web 应用的最新版本 - 应在 API 应用中要求使用 FTPS - 应在函数应用中要求使用 FTPS - 应在 Web 应用中要求使用 FTPS
管理访问和权限	- Web 应用应请求一个用于所有传入请求的 SSL 证书 - 应在 API 应用中使用托管标识 - 应在函数应用中使用托管标识 - 应在 Web 应用中使用托管标识
限制未经授权的网络访问	- 应为 PostgreSQL 服务器启用专用终结点 - 应为 MariaDB 服务器启用专用终结点 - 应为 MySQL 服务器启用专用终结点
启用审核和日志记录	- 应启用应用服务中的诊断日志
实现安全最佳实践	- 应为虚拟机启用 Azure 备份 - 应为 Azure Database for MariaDB 启用异地冗余备份 - 应为 Azure Database for MySQL 启用异地冗余备份 - 应为 Azure Database for PostgreSQL 启用异地冗余备份 - 应将 PHP 更新为 API 应用的最新版本 - 应将 PHP 更新为 Web 应用的最新版本 - 应将 Java 更新为 API 应用的最新版本 - 应将 Java 更新为函数应用的最新版本 - 应将 Java 更新为 Web 应用的最新版本 - 应将 Python 更新为 API 应用的最新版本 - 应将 Python 更新为函数应用的最新版本 - 应将 Python 更新为 Web 应用的最新版本 - 应将 SQL Server 的审核保留设置为至少 90 天

向安全中心的法规合规性仪表板添加了 NIST SP 800 171 R2

NIST SP 800-171 R2 标准现可以内置计划的形式提供，用于安全中心的法规合规性仪表板。有关控制措施的映射，可参阅 NIST SP 800-171 R2 法规合规性内置计划的详细信息。

若要将该标准用于订阅并持续监视合规性状态，请按照自定义法规合规性仪表板中的标准集中的说明操作。

安全中心法规合规性仪表板中的 NIST SP 800 171 R2 标准

有关此符合性标准的详细信息，请参阅 NIST SP 800-171 R2。

建议列表现包含筛选器

现在，你可以根据一系列条件筛选安全建议列表。在以下示例中，建议列表经过筛选，以显示满足以下条件的建议：

已正式发布（即不是预览版）
适用于 存储帐户
支持 快速修复 修正

建议列表的筛选器。

自动预配体验得到改进和扩展

通过在新的和现有的 Azure VM 上安装所需的扩展，使 VM 能够受益于安全中心的保护，自动预配功能有助于降低管理开销。

随着 Azure 安全中心的发展，更多的扩展得到了开发，安全中心可以监视更大的资源类型列表。自动预配工具已经过扩展，现支持通过 Azure Policy 的功能使用其他扩展和资源类型。

现在可以配置以下项的自动预配：

Log Analytics 代理
（新）适用于 Kubernetes 的 Azure Policy
（新）Microsoft Dependency Agent

有关详细信息，请参阅从 Azure 安全中心自动预配代理和扩展。

现可在连续导出中使用安全功能分数（预览）

借助安全功能分数的连续导出，你可将对分数的更改实时地流式传输到 Azure 事件中心或 Log Analytics 工作区。此功能可用于：

通过动态报表跟踪一段时间内的安全功能分数
将安全评分数据导出到 sentinel Microsoft（或任何其他 SIEM）
将此数据与你可能已在使用的任何进程集成来监视你组织中的安全功能分数

详细了解如何连续导出安全中心数据。

“应在计算机上安装系统更新”建议现包含子建议

“应在计算机上安装系统更新”建议已得到增强。新版本包括针对每个缺失的更新的子建议，其中还引入了以下改进：

重新设计了 Azure 门户的 Azure 安全中心页面的体验。 “应在计算机上安装系统更新”的建议详细信息页包括发现结果列表，如下所示。选择单个发现结果时，结果窗格将打开，并提供指向修正信息和受影响资源列表的链接。
丰富了 Azure Resource Graph (ARG) 的建议数据。 ARG 是一项 Azure 服务，专用于提供高效的资源探索。可以使用 ARG 在一组给定的订阅中进行大规模查询，以便有效地控制环境。

对于 Azure 安全中心，你可以使用 ARG 和 Kusto 查询语言 (KQL) 来查询各种安全状态数据。

以前，如果你在 ARG 中查询此建议，唯一提供的信息就是“需要在计算机上修正建议”。以下查询的增强版本将返回按计算机分组的每个缺失的系统更新。
```
securityresources
| where type =~ "microsoft.security/assessments/subassessments"
| where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
| where properties.status.code == "Unhealthy"
```

Azure 门户中的“策略管理”页现在显示默认策略分配的状态

现在可以在 Azure 门户的安全中心 安全策略 页中查看订阅是否分配了默认安全中心策略。

Azure 安全中心的“策略管理”页面，其中显示了默认策略分配。

2020 年 10 月

10月更新包括：

本地和多云计算机的漏洞评估（预览版）
添加了 Azure 防火墙建议（预览版）
“应在 Kubernetes 服务上定义已授权的 IP 范围”建议更新了快速修复
法规合规性仪表板现在包含用于删除标准的选项
Microsoft.Security/securityStatuses 表已从 Azure Resource Graph 中删除

本地和多云计算机的漏洞评估（预览版）

适用于服务器的 Azure Defender 的集成式漏洞评估扫描程序（由 Qualys 提供支持）现可扫描已启用 Azure Arc 的服务器。

当你在非 Azure 计算机上启用了 Azure Arc 后，安全中心将提供两种向计算机部署集成式漏洞扫描器的选项（手动和大规模）。

此次更新后，你便可以发掘 Azure Defender 的强大功能，合并所有 Azure 和非 Azure 资产的漏洞管理计划。

主要功能：

监视 Azure Arc 计算机上的 VA（漏洞评估）扫描器预配状态
将集成式 VA 代理预配到未受保护的 Windows 和 Linux Azure Arc 计算机（手动或大规模）
从部署的代理接收和分析检测到的漏洞（手动和大规模）
统一的 Azure VM 和 Azure Arc 计算机体验

详细了解如何将集成式 Qualys 漏洞扫描程序部署到混合计算机。

详细了解已启用 Azure Arc 的服务器。

添加了 Azure 防火墙建议（预览版）

添加了新的建议，即使用 Azure 防火墙保护所有虚拟网络。

“虚拟网络应受 Azure 防火墙保护”建议使用 Azure 防火墙限制虚拟网络的访问权限和防止潜在威胁。

详细了解 Azure 防火墙。

“应在 Kubernetes 服务上定义已授权的 IP 范围”建议更新了快速修复

“应在 Kubernetes 服务上定义已授权的 IP 范围”建议现提供一个快速修复选项。

具有快速修复选项的“应在 Kubernetes 服务上定义授权 IP 范围”建议。

法规合规性仪表板现在包含用于删除标准的选项

安全中心的法规合规性仪表板基于你满足特定合规控制和要求的情况来提供合规态势的见解。

该仪表板包含一组默认的法规标准。如果提供的任何标准都与你的组织不相关，那么现在简单操作一下就可在订阅的 UI 中将它们删除。只能在订阅级别删除标准;不是管理组范围。

有关详细信息，请参阅从仪表板中删除标准。

从 Azure Resource Graph (ARG) 中删除了 Microsoft.Security/securityStatuses 表

Azure Resource Graph 是 Azure 中的一项服务，旨在提供高效的资源浏览功能，它能够在一组给定的订阅中进行大规模查询，使你能够有效地管理环境。

对于 Azure 安全中心，你可以使用 ARG 和 Kusto 查询语言 (KQL) 来查询各种安全状态数据。例如：

资产清单利用 ARG
我们提供了一个示例 ARG 查询，说明如何在未启用多重身份验证 (MFA) 的情况下标识帐户

ARG 中提供了可以在查询中使用的数据表。

Azure Resource Graph 浏览器和可用的表。

Tip

ARG 文档列出了 Azure Resource Graph 表和资源类型参考中所有可用的表。

从此更新中删除 了 Microsoft.Security/securityStatuses 表。 securityStatuses API 仍可用。

Microsoft.Security/Assessments 表可以使用数据替换。

Microsoft.Security/securityStatuses 和 Microsoft.Security/Assessments 的主要区别在于，前者显示评估聚合，而后者会为每项评估保留一条记录。

例如，Microsoft.Security/securityStatuses 将返回包含两个 policyAssessments 数组的结果：

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

而 Microsoft.Security/Assessments 会为此类策略评估各保留一条记录，如下所示：

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

将使用 securityStatuses 的现有 ARG 查询转换为现在使用 Assessments 表的示例：

引用 SecurityStatuses 的查询：

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Assessments 表的替换查询：

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

若要了解详细信息，请参阅下列链接：

2020 年 9 月

9 月的更新包括：

安全中心获得新的外观！
Azure Defender 已发布
适用于 Key Vault 的 Azure Defender 已正式发布
适用于存储的 Azure Defender 针对文件存储和 ADLS Gen2 的保护已正式发布
资产清单工具现已正式发布
对容器注册表和虚拟机的扫描禁用特定漏洞发现结果
从建议中免除资源
安全中心的 AWS 和 GCP 连接器引入了多云体验
Kubernetes 工作负载保护建议捆绑
漏洞评估发现结果现已可以连续导出
在创建新资源时通过强制执行建议来防止安全性配置错误
改进了网络安全组建议
弃用了预览 AKS 建议“应在 Kubernetes 服务上定义 Pod 安全策略”
优化了 Azure 安全中心内的电子邮件通知
安全功能分数不包括预览建议
建议现在包含严重性指标和新鲜度间隔

安全中心获得新的外观

我们已发布安全中心门户页面的更新 UI。新页面中有一个新的概述页面，还有安全功能分数、资产清单和 Azure Defender 的面板。

重新设计的概述页面现在包含一个磁贴，用于访问安全分数、资产清单和 Azure Defender 的面板。它还包含一个可以链接到合规性面板的磁贴。

了解有关概述页的详细信息。

Azure Defender 已发布

Azure Defender 是安全中心内集成的云工作负荷保护平台（CWPP），用于高级、智能、保护 Azure 和混合工作负载。它取代了安全中心的标准定价层选项。

从 Azure 安全中心的“定价和设置”区域启用 Azure Defender 时，将同时启用以下 Defender 计划，并为环境的计算、数据和服务层提供全面防护：

安全中心的文档对其中每个计划单独进行了介绍。

借助其专用面板，Azure Defender 为虚拟机、SQL 数据库、容器、Web 应用程序、网络等提供安全警报和高级威胁防护。

详细了解 Azure Defender

适用于 Key Vault 的 Azure Defender 已正式发布

Azure 密钥保管库是一种云服务，用于保护加密密钥和机密（例如证书、连接字符串和密码）。

适用于 Key Vault 的 Azure Defender 提供针对 Azure Key Vault 的 Azure 原生高级威胁防护，从而提供额外的安全情报层。因此，适用于 Key Vault 的 Azure Defender 可保护依赖于 Key Vault 帐户的多个资源。

可选计划现已正式发布。此功能在预览版中为“Azure 密钥保管库的高级威胁防护”。

此外，Azure 门户中的 Key Vault 页面现在包含一个专用安全页，用于 安全中心 建议和警报。

有关详细信息，请参阅适用于 Key Vault 的 Azure Defender。

适用于存储的 Azure Defender 针对文件存储和 ADLS Gen2 的保护已正式发布

适用于存储的 Azure Defender 会检测 Azure 存储帐户上可能存在的有害活动。无论数据是存储为 blob 容器、文件共享还是数据湖，都可以为其提供保护。

现已正式发布对 Azure 文件和 Azure Data Lake Storage Gen2 的支持。

从 2020 年 10 月 1 日起，我们将开始有偿保护这些服务上的资源。

有关详细信息，请参阅适用于存储的 Azure Defender。

资产清单工具现已正式发布

Azure 安全中心的资产清单页提供了一个页面，用于查看已连接到安全中心的资源的安全状况。

安全中心会定期分析 Azure 资源的安全状态，以识别潜在的安全漏洞。然后会提供有关如何消除这些安全漏洞的建议。

当任何资源具有未完成的建议时，它们将显示在清单中。

有关详细信息，请参阅利用资产清单浏览和管理资源。

对容器注册表和虚拟机的扫描禁用特定漏洞发现结果

Azure Defender 包含漏洞扫描程序，用于扫描 Azure 容器注册表和虚拟机中的映像。

如果组织需要忽略发现结果，而不是修正漏洞，则可以选择禁用发现结果。禁用发现结果不会影响安全分数，也不会产生有害的噪音。

当发现结果与在禁用规则中定义的条件相匹配时，它不会显示在发现结果列表中。

此选项在建议详细信息页中提供，用于：

应修正 Azure 容器注册表映像中的漏洞
应修正虚拟机中的漏洞

从建议中免除资源

有时，某个资源就某个特定建议而言会被列为不正常（因而会降低安全分数），尽管你认为不应是这样。它可能已被安全中心未跟踪的进程修正。或者，你的组织可能已决定接受该特定资源的风险。

在这种情况下，可以创建免除规则，确保将来不会将该资源列为不正常资源。这些规则可以包括下文所述的书面理由。

有关详细信息，请参阅从建议和安全分数中免除资源。

安全中心的 AWS 和 GCP 连接器引入了多云体验

由于云工作负载通常跨多个云平台分布，因此云安全服务也需要如此。

Azure 安全中心现在可保护 Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中的工作负载。

将 AWS 和 GCP 项目加入安全中心时，它会将 AWS 安全中心、GCP 安全命令和 Azure 安全中心相集成。

有关详细信息，请参阅将 AWS 帐户连接到 Azure 安全中心和将 GCP 项目连接到 Azure 安全中心。

Kubernetes 工作负载保护建议捆绑

为了确保 Kubernetes 工作负载在默认情况下是安全的，安全中心将添加 Kubernetes 级别强化建议，其中包括具有 Kubernetes 准入控制的执行选项。

在 AKS 群集上安装了适用于 Kubernetes 的 Azure Policy 后，将按照预先定义的一组最佳做法监视对 Kubernetes API 服务器的每个请求，然后再将其保存到群集。然后，可以配置为强制实施最佳做法，并规定将其用于未来的工作负载。

例如，可以规定不应创建特权容器，并且阻止以后的任何请求。

有关详细信息，请参阅使用 Kubernetes 准入控制实现工作负载保护最佳做法。

漏洞评估发现结果现已可以连续导出

使用连续导出将警报和建议流式传输到 Azure 事件中心、Log Analytics 工作区或 Azure Monitor。在此处，可以将此数据与 SIEM 集成，例如 Microsoft Sentinel、Power BI、Azure 数据资源管理器等。

安全中心的集成漏洞评估工具在“父”建议中将有关资源的发现结果作为可操作性建议返回，例如“应修正虚拟机中的漏洞”。

现在选择建议并启用“包括安全性结果”选项时，可以通过连续导出来导出安全性结果。

在连续导出配置中包含安全检测结果切换开关。

在创建新资源时通过强制执行建议来防止安全性配置错误

安全性配置错误是造成安全事件的主要原因。安全中心现在可以帮助防止有关特定建议的新资源配置错误。

此功能可帮助保护工作负载的安全和稳定安全分数。

可以在两种模式下根据特定建议强制实施安全配置：

使用 Azure Policy 的拒绝模式，可以停止创建不正常的资源
使用强制选项，可以利用 Azure Policy 的 DeployIfNotExist 效果，并在创建时自动修正不合规的资源

这适用于所选的安全建议，位于资源详细信息页的顶部。

有关详细信息，请参阅使用“强制执行/拒绝”建议防止错误配置。

改进了网络安全组建议

以下与网络安全组相关的安全建议已得到优化，可减少误报。

应在与 VM 关联的 NSG 上限制所有网络端口
应关闭虚拟机上的管理端口
面向 Internet 的虚拟机应使用网络安全组进行保护
子网应与网络安全组关联

弃用了预览 AKS 建议“应在 Kubernetes 服务上定义 Pod 安全策略”

如 Azure Kubernetes 服务文档中所述，弃用了预览建议“应在 Kubernetes Services 上定义 Pod 安全策略”。

Pod 安全策略（预览版）功能已设置为弃用，并且在 2020 年 10 月 15 日之后将不再提供，以支持 AKS 的 Azure Policy。

弃用 Pod 安全策略（预览版）之后，必须在使用已弃用功能的任何现有群集上禁用该功能，以执行将来的群集升级并保留在 Azure 支持范围内。

优化了 Azure 安全中心内的电子邮件通知

电子邮件中与安全警报相关的以下部分已得到优化：

添加了发送针对所有严重性级别的电子邮件警报通知的功能
添加了在订阅上通知具有不同 Azure 角色的用户的功能
默认情况下，我们会主动向订阅所有者通知高严重性警报（这些警报很可能表示真正的漏洞）
我们已从电子邮件通知配置页面中删除了电话号码字段

有关详细信息，请参阅设置安全警报的电子邮件通知。

安全功能分数不包括预览建议

安全中心会持续评估资源、订阅和组织的安全问题。然后，它将所有调查结果汇总成一个分数，让你可以一目了然地了解当前的安全状况：分数越高，识别出的风险级别就越低。

发现新的威胁后，安全中心会通过提出新的建议来提供新的安全建议。为避免意外更改安全分数，并提供宽限期，可以在新建议影响分数之前浏览新建议，标记为预览的建议不再包含在安全功能分数的计算中。但仍应尽可能按这些建议进行修正，这样在预览期结束时，它们会有助于提升分数。

此外，预览建议不会呈现资源“不正常”。

预览建议示例如下：

带有预览标志的建议。

详细了解安全功能分数。

建议现包含严重性指示器和刷新时间间隔

现在，建议的详细信息页面包括一个刷新时间间隔指示器（如相关），并且清楚显示了建议的严重性。

显示新鲜度和严重性的建议页面。

2020 年 8 月

8 月的更新包括：

资产清单 - 功能强大的资产安全状况新视图
添加了对 Azure Active Directory 安全默认值的支持（用于多重身份验证）
添加了服务主体建议
VM 上的漏洞评估 - 已合并建议和策略
添加到ASC_default计划的新 AKS 安全策略

资产清单 - 功能强大的资产安全状况新视图

安全中心的资产清单页（当前为预览版）提供了一种方法，用于查看已连接到安全中心的资源的安全状况。

安全中心会定期分析 Azure 资源的安全状态，以识别潜在的安全漏洞。然后会提供有关如何消除这些安全漏洞的建议。当任何资源具有未完成的建议时，它们将显示在清单中。

你可以使用该视图及其筛选器来浏览安全状况数据，并根据发现结果采取更多操作。

详细了解资产清单。

添加了对 Azure Active Directory 安全默认值的支持（用于多重身份验证）

安全中心添加了对安全默认值的完全支持，Microsoft的免费标识安全保护。

安全默认值提供了预配置的标识安全设置，以保护组织免受与标识相关的常见攻击。安全默认值总计已保护了逾 500 万名租户；50,000 名租户也受安全中心的保护。

现在，安全中心在识别出未启用安全默认值的 Azure 订阅时将提供安全建议。到目前，安全中心仍建议使用 Azure Active Directory (AD) 高级许可证中的条件访问启用多重身份验证。对于使用 Azure AD Free 的客户，我们现在建议启用安全默认值。

我们的目标是鼓励更多客户使用 MFA 保护其云环境，并缓解也是安全评分影响最大的风险之一。

详细了解安全默认值。

添加了服务主体建议

添加了新的建议，建议使用管理证书管理订阅的安全中心客户切换到服务主体。

“应使用服务主体而不是管理证书来保护订阅”这一建议推荐使用服务主体或 Azure 资源管理器，以更安全地管理订阅。

详细了解 Azure Active Directory 中的应用程序对象和服务主体对象。

VM 漏洞评估 - 合并了建议和策略

安全中心检查 VM，以检测其是否正在运行漏洞评估解决方案。如果未找到漏洞评估解决方案，安全中心将建议简化部署。

如果发现漏洞，安全中心将建议总结结果，以便必要时进行调查和修正。

无论用户使用哪些类型的扫描仪，为确保所有用户享受一致的体验，我们已将四条建议统一为以下两条：

统一建议	更改描述
应在虚拟机上启用漏洞评估解决方案	替换以下两条建议： *** 在虚拟机上启用内置漏洞评估解决方案（由 Qualys 提供支持）（现已弃用）（仅标准层显示此建议） *** 漏洞评估解决方案应安装在虚拟机上（现已弃用）（标准和免费层显示此建议）
应修正虚拟机中的漏洞	替换以下两条建议： *** 修正虚拟机上发现的漏洞（由 Qualys 提供支持）（现已弃用） *** 应通过漏洞评估解决方案修正漏洞（现已弃用）

现在，你将使用相同的建议部署安全中心的漏洞评估扩展或合作伙伴（例如 Qualys 或 Rapid7）的私下许可解决方案（“BYOL”）。

此外，发现漏洞并报告到安全中心时，无论哪个漏洞评估解决方案标识了结果，都会有一条建议提醒你注意这些结果。

更新依赖项

如果脚本、查询或自动化引用了先前的建议或策略密钥/名称，请使用下表更新引用：

2020 年 8 月之前

Recommendation	Scope
在虚拟机上启用内置漏洞评估解决方案（由 Qualys 提供支持）密钥：550e890b-e652-4d22-8274-60b3bdb24c63	Built-in
修正虚拟机上发现的漏洞（由 Qualys 提供支持）密钥：1195afff-c881-495e-9bc5-1486211ae03f	Built-in
应在虚拟机上安装漏洞评估解决方案密钥：01b1ed4c-b733-4fee-b145-f23236e70cf3	BYOL
应通过漏洞评估解决方案修复漏洞密钥：71992a2a-d168-42e0-b10e-6b45fa2ecddb	BYOL

Policy	Scope
应对虚拟机启用漏洞评估策略 ID：501541f7-f7e7-4cd6-868c-4190fdad3ac9	Built-in
应通过漏洞评估解决方案修正漏洞策略 ID：760a85ff-6162-42b3-8d70-698e268f648c	BYOL

2020 年 8 月之后

Recommendation	Scope
应在虚拟机上启用漏洞评估解决方案密钥：ffff0522-1e88-47fc-8382-2a80ba848f5d	内置 + BYOL
应修正虚拟机中的漏洞密钥：1195afff-c881-495e-9bc5-1486211ae03f	内置 + BYOL

Policy	Scope
应对虚拟机启用漏洞评估策略 ID：501541f7-f7e7-4cd6-868c-4190fdad3ac9	内置 + BYOL

添加到ASC_default计划的新 AKS 安全策略

为了确保 Kubernetes 工作负载在默认情况下是安全的，安全中心将添加 Kubernetes 级别策略和强化建议，其中包括具有 Kubernetes 准入控制的执行选项。

此项目的早期阶段包括预览版，以及向ASC_default计划添加新（已禁用）策略。

可以放心地忽略这些策略，这些策略不会对环境造成影响。如果想启用它们，请通过 Microsoft 云安全专用社区注册预览版并从以下选项中进行选择：

单个预览 版 – 仅加入此预览版。明确提及将“ASC 连续扫描”作为要加入的预览版。
正在进行的计划 - 要添加到此预览版和将来的预览版。你需要完成个人资料和隐私协议。

2020 年 7 月

7 月的更新包括：

虚拟机的漏洞评估现在适用于非市场映像
Azure 存储的威胁防护已扩展为包括 Azure 文件存储和 Azure Data Lake Storage Gen2（预览版）
启用威胁防护功能的八条新建议
容器安全性优化 - 注册表扫描和刷新文档速度更快
更新了自适应应用程序控制，添加了新建议以及对路径规则中的通配符的支持
已弃用六个 SQL 高级数据安全策略

虚拟机的漏洞评估现在适用于非市场映像

部署漏洞评估解决方案时，安全中心以前会在部署之前执行验证检查。检查的目的是确认目标虚拟机的市场 SKU。

从本次更新起，该项检查已被删除，你现在可以将漏洞评估工具部署到“自定义”Windows 和 Linux 计算机。自定义映像是你根据市场默认值修改的映像。

虽然现在可以在更多台计算机上部署集成的漏洞评估扩展（由 Qualys 提供支持），但只有在使用将集成漏洞扫描程序部署到标准层 VM列出的操作系统时，才可以使用支持

详细了解虚拟机的集成漏洞扫描程序（需要 Azure Defender）。

详细了解如何从 Qualys 或Rapid7部署合作伙伴漏洞扫描解决方案中使用你自己的专用许可漏洞评估解决方案。

Azure 存储的威胁防护已扩展为包括 Azure 文件存储和 Azure Data Lake Storage Gen2（预览版）

Azure 存储的威胁防护可检测 Azure 存储帐户上的潜在有害活动。安全中心在检测到对存储帐户的访问或攻击尝试时会显示警报。

无论数据是存储为 blob 容器、文件共享还是数据湖，都可以为其提供保护。

启用威胁防护功能的八条新建议

添加了八条新建议，简化了为以下资源类型启用 Azure 安全中心的威胁防护功能的过程：虚拟机、应用服务计划、Azure SQL 数据库服务器、计算机上的 SQL 服务器、Azure 存储帐户、Azure Kubernetes 服务群集、Azure 容器注册表注册表和 Azure Key Vault 保管库。

新建议如下所示：

应在 Azure SQL 数据库服务器上启用高级数据安全
应在计算机的 SQL 服务器上启用高级数据安全
应在 Azure 应用服务计划上启用高级威胁防护
应对 Azure 容器注册表的注册表启用高级威胁防护
应对 Azure Key Vault 的保管库启用高级威胁防护
应对 Azure Kubernetes 服务的群集启用高级威胁防护
应对 Azure 存储帐户启用高级威胁防护
应对虚拟机启用高级威胁防护

建议还包括快速修复功能。

Important

修正任一建议都将产生相关资源的保护费用。如果当前订阅中有相关资源，则立即开始计费。或者以后在你添加资源时，开始计费。

例如，如果订阅中没有任何 Azure Kubernetes 服务群集，并且启用了威胁防护，则不会产生任何费用。如果以后在同一订阅中添加了群集，它将自动受到保护，并从该时间点开始计费。

详细了解 Azure 安全中心的威胁防护。

容器安全性优化 - 注册表扫描和刷新文档速度更快

作为容器安全域中持续投资的一部分，我们很高兴在安全中心动态扫描存储在Azure 容器注册表中的容器映像方面分享显著的性能改进。目前，扫描通常会在大约两分钟内完成。在某些情况下，可能最多需要 15 分钟。

为更好地说明和指导 Azure 安全中心的容器安全功能，我们还更新了容器安全文档页面。

更新了自适应应用程序控制，添加了新建议以及对路径规则中的通配符的支持

自适应应用程序控制功能已收到两个重要更新：

一项新的建议指出以前不允许的可能合法的行为。 “应更新自适应应用程序控制策略中的允许列表规则”这一新建议提示向现有策略添加新规则，以减少自适应应用程序控制违规警报的误报数。
路径规则现支持通配符。在此更新中，可以使用通配符配置允许的路径规则。支持以下两种方案：
- 在路径末尾使用通配符可允许此文件夹和子文件夹中的所有可执行文件。
- 如果在路径中间使用通配符，则可在变化的文件夹名称中具有已知的可执行文件名称（例如，使用已知可执行文件的个人用户文件夹、自动生成的文件夹名称等）。

已弃用六个 SQL 高级数据安全性策略

即将弃用与 SQL 计算机的高级数据安全性相关的六个策略：

应在 SQL 托管实例的“高级数据安全”设置中将“高级威胁保护类型”设置为“全部”
应在 SQL Server 的高级数据安全设置中将“高级威胁防护类型”设置为“全部”
SQL 托管实例的“高级数据安全性”设置应包含用于接收安全警报的电子邮件地址
SQL 服务器的“高级数据安全性”设置应包含用于接收安全警报的电子邮件地址
应在 SQL 托管实例高级数据安全设置中启用“向管理员和订阅所有者发送电子邮件通知”
应在 SQL 服务器高级数据安全设置中为管理员和订阅所有者启用电子邮件通知

详细了解内置策略。

2020 年 6 月

6 月的更新包括以下内容：

安全分数 API（预览）
SQL 计算机（Azure、其他云和本地）的高级数据安全（预览）
将 Log Analytics 代理部署到 Azure Arc 计算机的两条新建议（预览）
大规模创建连续导出和工作流自动化配置的新策略
使用 NSG 保护非面向 Internet 的虚拟机的新建议
启用威胁防护和高级数据安全性的新策略

安全功能分数 API（预览）

可以通过安全功能分数 API（当前处于预览阶段）立即访问分数。通过 API 方法，可灵活地查询数据，久而久之构建自己的安全功能分数报告机制。例如，可以使用 安全功能分数 API 获取特定订阅的分数。此外，还可以使用安全功能分数控件 API 列出安全控件和订阅的当前分数。

有关使用安全功能分数 API 实现的外部工具的示例，请参阅 GitHub 社区的安全功能分数区域。

详细了解 Azure 安全中心的安全分数和安全控件。

SQL 计算机（Azure、其他云和本地）的高级数据安全（预览）

Azure 安全中心的 SQL 计算机高级数据安全现在保护托管在 Azure 中、其他云环境，甚至本地计算机上的 SQL Server。这会扩展 Azure 原生 SQL Server 的保护，以完全支持混合环境。

高级数据安全可为任何位置的 SQL 计算机提供漏洞评估和高级威胁防护。

设置包含两个步骤：

将 Log Analytics 代理部署到 SQL Server 的主机计算机，以提供与 Azure 帐户的连接。
在安全中心的“定价和设置”页中启用可选捆绑。

详细了解 SQL 计算机的高级数据安全。

将 Log Analytics 代理部署到 Azure Arc 计算机的两条新建议（预览）

添加了两条新建议，以帮助将 Log Analytics 代理部署到 Azure Arc 计算机，并确保其受 Azure 安全中心的保护：

Log Analytics 代理应安装在基于 Windows 的 Azure Arc 计算机上(预览)
Log Analytics 代理应安装在基于 Linux 的 Azure Arc 计算机上(预览)

这些新建议将出现在“应在计算机上安装监视代理”这一现有（相关）建议所在的四个安全控制中：修正安全配置、应用自适应应用程序控制、应用系统更新，以及启用 Endpoint Protection。

建议还包括快速修复功能，可加速部署进程。

若要详细了解 Azure 安全中心如何使用代理，请参阅什么是 Log Analytics 代理？

详细了解 Azure Arc 计算机的扩展。

大规模创建连续导出和工作流自动化配置的新策略

自动执行组织的监视和事件响应流程可以显著缩短调查和缓解安全事件所需的时间。

若要在整个组织中部署自动化配置，请使用这些内置的“DeployIfdNotExist”Azure 策略来创建和配置连续导出和工作流自动化过程：

可以在 Azure Policy 中找到策略定义：

Goal	Policy	策略 ID
连续导出到事件中心	为 Azure 安全中心警报和建议部署“导出到事件中心”配置	cdfcce10-4578-4ecd-9703-530938e4abcb
将内容连续导出到 Log Analytics 工作区	为 Azure 安全中心警报和建议配置“导出到 Log Analytics 工作区”配置	ffb6f416-7bd2-4488-8828-56585fef2be9
安全警报的工作流自动化	为 Azure 安全中心警报部署工作流自动化	f1525828-9a90-4fcf-be48-268cdd02361e
安全建议的工作流自动化	为 Azure 安全中心建议部署工作流自动化	73d6ab6c-2475-4850-afd6-43795f3492ef

开始使用工作流自动化模板。

请参阅使用提供的策略大规模地配置工作流自动化以及设置连续导出，了解关于如何使用两种导出策略的详细信息。

使用 NSG 保护非面向 Internet 的虚拟机的新建议

“实现安全最佳做法”安全控制现包括以下新建议：

应使用网络安全组来保护非面向 Internet 的虚拟机

“应使用网络安全组保护面向 Internet 的虚拟机”这一现有建议不区分面向 Internet 的虚拟机和面向非 Internet 的虚拟机。对于这两种情况，如果未将 VM 分配给网络安全组，则会生成高严重性建议。这一新建议将区分面向非 Internet 的计算机，以减少误报并避免出现不必要的高严重性警报。

启用威胁防护和高级数据安全性的新策略

下面的新策略定义已添加到 ASC 默认计划中，旨在协助为相关资源类型启用威胁防护或高级数据安全。

可以在 Azure Policy 中找到策略定义：

Policy	策略 ID
应在 Azure SQL 数据库服务器上启用高级数据安全	7fe3b40f-802b-4cdd-8bd4-fd799c948cc2
应在计算机的 SQL 服务器上启用高级数据安全	6581d072-105e-4418-827f-bd446d56421b
应对 Azure 存储帐户启用高级威胁防护	308fbb08-4ab8-4e67-9b29-592e93fb94fa
应对 Azure Key Vault 的保管库启用高级威胁防护	0e6763cc-5078-4e64-889d-ff4d9a839047
应在 Azure 应用服务计划上启用高级威胁防护	2913021d-f2fd-4f3d-b958-22354e2bdbcb
应对 Azure 容器注册表的注册表启用高级威胁防护	c25d9a16-bc35-4e15-a7e5-9db606bf9ed4
应对 Azure Kubernetes 服务的群集启用高级威胁防护	523b5cd1-3e23-492f-a539-13118b6d1e3a
应在虚拟机上启用高级威胁防护	4da35fc9-c9e7-4960-aec9-797fe7d9051d

详细了解 Azure 安全中心的威胁防护。

2020 年 5 月

5 月的更新包括以下内容：

警报抑制规则（预览版）
虚拟机漏洞评估现已正式发布
对实时 (JIT) 虚拟机 (VM) 访问权限的更改
自定义建议已移至单独的安全控件
已添加开关，可在控件中显示建议或以简单列表的形式显示
扩展了“实现安全最佳做法”这一安全控件
具有自定义元数据的自定义策略现已正式发布
故障转储分析功能正在迁至无文件攻击检测中

警报抑制规则（预览版）

这项新功能目前为预览版，它可帮助缓解警报疲劳。可使用规则来自动隐藏已知无害或已知与你组织中的正常活动相关的警报。这可让你专注于最相关的威胁。

仍将生成与你启用的抑制规则相匹配的警报，但它们的状态将设置为“已取消”。你可在 Azure 门户中查看状态，也可在安全中心查看安全警报。

抑制规则定义了自动取消警报所应遵循的条件。通常，使用抑制规则来：

取消已标识为“误报”的警报
取消限制过于频繁地触发而失去作用的警报

详细了解如何取消来自 Azure 安全中心威胁防护服务的警报。

虚拟机漏洞评估现已正式发布

安全中心的标准层现包含集成的虚拟机漏洞评估，该扩展免费提供。该扩展由 Qualys 提供支持，但将检测结果直接报告回安全中心。你无需具备 Qualys 许可证，甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。

这一新的解决方案可持续扫描你的虚拟机来找出漏洞，并在安全中心显示检测结果。

若要部署该解决方案，请使用新的安全建议：

“在虚拟机上启用内置漏洞评估解决方案（由 Qualys 提供支持）”

详细了解安全中心集成的虚拟机漏洞评估。

对实时 (JIT) 虚拟机 (VM) 访问权限的更改

安全中心包含一项可选功能，可保护 VM 的管理端口。这可抵御最常见形式的暴力攻击。

本次更新就此功能进行了以下更改：

重命名了推荐你在 VM 上启用 JIT 的建议。以前的名称为“应对虚拟机应用实时网络访问控制”，现在改为“应通过即时网络访问控制来保护虚拟机的管理端口”。
建议仅在有管理端口打开时才触发。

详细了解 JIT 访问功能。

自定义建议已移至单独的安全控件

安全分数增强版引入的一个安全控件是“实施安全最佳做法”。为订阅创建的所有自定义建议已自动放入该控件中。

为便于查找自定义建议，我们已将这些建议移到一个名为“自定义建议”的专用安全控件中。此控件不会影响你的安全功能分数。

要详细了解安全控件，请参阅 Azure 安全中心的安全功能分数增强版（预览版）。

已添加开关，可在控件中显示建议或以简单列表的形式显示

安全控件是相关安全建议的逻辑组。它们反映了易受攻击的攻击面。控件是一组安全建议，附有帮助你实施这些建议的说明。

若要立即查看组织对每个攻击面的保护情况，请查看每个安全控件的分数。

默认情况下，你的建议显示在安全控件中。通过本次更新，你还可以采用列表形式显示它们。若要以简单列表的形式查看它们，且列表按受影响的资源的运行状况排序，请使用新的“按控件分组”开关。开关位于门户中列表的上面。

安全控件及其开关是新的安全功能分数体验的一部分。请记得在门户中提供反馈。

要详细了解安全控件，请参阅 Azure 安全中心的安全功能分数增强版（预览版）。

建议的“按控件分组”开关。

扩展了“实现安全最佳做法”这一安全控件

安全分数增强版引入的一个安全控件是“实施安全最佳做法”。如果建议在此控件中显示，则不影响安全功能分数。

通过本次更新，已将三项建议从它们原先所在的控件移动到这个最佳做法控件中。我们采取此步骤的原因是我们判定这三项建议的风险比最初设想的要低。

此外，还引入了两项新建议，它们也添加到了此控件中。

移动的三项建议如下：

应在对订阅拥有读取权限的帐户上启用 MFA（原先位于“启用 MFA”控件中）
应从订阅中删除具有读取权限的外部帐户（原先位于“管理访问和权限”控件中）
只多只为订阅指定 3 个所有者（原先位于“管理访问和权限”控件中）

添加到控件中的两项新建议如下：

应在 Windows 虚拟机上安装来宾配置扩展（预览版） - 如果使用 Azure Policy 来宾配置，则可在虚拟机中查看服务器和应用程序设置（仅限 Windows）。
应在计算机上启用 Windows Defender 攻击防护（预览版） - Windows Defender 攻击防护采用 Azure Policy 来宾配置代理。攻击防护服务具有 4 个组件，旨在锁定设备来阻隔各种攻击途径，并阻止恶意软件攻击中常用的行为，同时让企业能够平衡其安全风险和生产力要求（仅限 Windows）。

要详细了解 Windows Defender 攻击防护，可参阅创建和部署攻击防护策略。

要详细了解安全控件，请参阅安全功能分数增强版（预览版）。

具有自定义元数据的自定义策略现已正式发布

自定义策略现显示在安全中心的建议体验、安全功能分数和法规符合性标准仪表板中。此功能现已正式发布，可用于在安全中心扩大你组织的安全评估范围。

在 Azure Policy 中创建自定义计划，向该计划添加策略并将它加入 Azure 安全中心，然后将它作为建议直观呈现。

现在，我们还添加了可编辑自定义建议元数据的选项。元数据选项中有严重级别、修正步骤和威胁信息等。

详细了解利用详细信息增强自定义建议。

故障转储分析功能正在迁至无文件攻击检测中

我们将 Windows 故障转储分析（CDA）检测功能集成到无文件攻击检测中。无文件攻击检测分析改进了 Windows 计算机的以下安全警报：“发现代码注入”、“检测到伪装 Windows 模块”、“发现 Shell 代码”和“检测到可疑代码段”。

该转换的一些优势如下：

主动及时检测恶意软件 - 使用 CDA 方法时，会等到故障发生后再运行分析来查找恶意项目。使用无文件攻击检测后，可在内存中威胁正在运行时主动识别它们。
扩充的警报 - 来自无文件攻击检测的安全警报包括 CDA 中不可用的扩充，例如活动网络连接信息。
警报聚合 - 当 CDA 检测到单个故障转储中的多个攻击模式时，会触发多个安全警报。而无文件攻击检测将从同一进程中确定的所有攻击模式组合到一个警报中，免去了关联多个警报的必要性。
降低了对 Log Analytics 工作区的要求 - 包含潜在敏感数据的故障转储将无法上传到 Log Analytics 工作区。

2020 年 4 月

4 月的更新包括：

动态符合性包现已正式发布
标识建议现包含在 Azure 安全中心的免费层中

动态符合性包现已正式发布

Azure 安全中心的法规符合性仪表板现包含动态符合性包（现已正式发布），可跟踪更多行业和法规标准。

可通过安全中心的安全策略页面将动态符合性包添加到订阅或管理组中。加入标准或基准后，该标准会出现在法规符合性仪表板中，所有关联的符合性数据都映射为评估。还将提供已加入的所有标准的摘要报表供下载。

现在，你可添加如下标准：

NIST SP 800-53 R4
SWIFT CSP CSCF-v2020
UK Official 和 UK NHS
加拿大联邦 PBMM
Azure CIS 1.1.0（新版） ，它是 Azure CIS 1.1.0 的完整表示形式

此外，我们还添加了 Azure 安全基准，它是 Microsoft 创作的特定于 Azure 的准则，适合基于常见符合性框架的安全与合规最佳做法。其他标准一经提供就将在仪表板中受到支持。

详细了解如何在法规符合性仪表板中自定义一组标准。

标识建议现包含在 Azure 安全中心的免费层中

Azure 安全中心免费层中针对标识和访问的安全建议现已正式发布。这是我们努力使云安全状态管理 (CSPM) 功能免费而取得的成果之一。截至目前，这些建议仅在标准定价层中提供。

标识和访问建议的示例包括：

“应在对订阅拥有所有者权限的帐户上启用多重身份验证。”
“最多只能为订阅指定 3 个所有者。”
“应从订阅中删除弃用的帐户。”

如果你有订阅在免费定价层，则此更改将影响它们的安全功能分数，因为它们之前从未接受过标识和访问安全性评估。

2020 年 3 月

3 月的更新包括：

工作流自动化现已正式发布
Azure 安全中心与 Windows Admin Center 的集成
Azure Kubernetes 服务保护
改进了实时体验
弃用了两项针对 Web 应用的安全建议

工作流自动化现已正式发布

Azure 安全中心现已正式发布工作流自动化功能。它可用于在安全警报和建议上自动触发逻辑应用。此外，也可对提供了快速修复选项的警报和所有建议执行手动触发。

每个安全计划都包含事件响应的多个工作流。这些流程可能包含通知相关利益干系人、启动更改管理进程，以及应用特定的修正步骤。安全专家建议你尽可能多地将这些流程自动化。自动化可减少开销，还可确保根据你预定义的要求快速、一致地执行处理步骤，从而增强安全性。

有关运行工作流的自动和手动安全中心功能的详细信息，请参阅工作流自动化。

详细了解如何创建逻辑应用。

Azure 安全中心与 Windows Admin Center 的集成

现可将本地 Windows 服务器从 Windows Admin Center 直接移动到 Azure 安全中心。安全中心然后变成你的单一管理界面，可在这里查看 Windows Admin Center 各项资源（包括本地服务器、虚拟机和其他 PaaS 工作负载）的安全信息。

在将服务器从 Windows Admin Center 直接移动到 Azure 安全中心后，你将能够：

在 Windows Admin Center 的安全中心扩展中查看安全警报和建议。
在 Azure 门户的安全中心内（或通过 API）查看安全状态和检索 Windows Admin Center 托管服务器的其他详细信息。

详细了解如何将 Azure 安全中心与 Windows Admin Center 集成。

Azure Kubernetes 服务保护

Azure 安全中心正在扩展其容器安全功能，现可保护 Azure Kubernetes 服务 (AKS)。

常见的开源平台 Kubernetes 被广泛采用，现在已成为容器业务流程方面的行业标准。尽管得到了广泛实施，但在如何保护 Kubernetes 环境方面，人们仍然缺少了解。要抵御容器化应用程序的攻击面，需要具备专业知识来确保基础结构已安全配置且受到持续监视，防范潜在威胁。

安全中心的防范包括：

发现和可见性 - 在安全中心内注册的订阅中持续发现托管的 AKS 实例。
安全建议 - 可作建议，可帮助你遵守 AKS 的安全最佳做法。这些建议包含在安全功能分数中，确保被视为组织的安全状态的一部分。你可能会看到的一个与 AKS 相关的建议示例是，“应使用基于角色的访问控制来限制对 Kubernetes 服务群集的访问”。
威胁防护 - 通过持续分析 AKS 部署，安全中心会提醒你在主机和 AKS 群集级别检测到的威胁和恶意活动。

详细了解 Azure Kubernetes 服务与安全中心的集成。

详细了解安全中心内的容器安全功能。

改进了实时体验

增强了 Azure 安全中心内保护管理端口的实时工具的功能、操作和 UI，如下所示：

理由字段 - 通过 Azure 门户的实时页面请求访问虚拟机（VM）时，可以使用新的可选字段输入请求的理由。可在活动日志中跟踪在此字段中输入的信息。
自动清除冗余实时 (JIT) 规则 - 无论何时更新 JIT 策略，都会自动运行清理工具来检查整个规则集的有效性。该工具还将查看你策略中的规则与 NSG 中的规则之间是否存在不匹配的情况。如果清理工具发现不匹配的情况，它将确定原因，并在确定可安全操作的情况下，删除不再需要的内置规则。清理工具绝不会删除你创建的规则。

详细了解 JIT 访问功能。

弃用了两项针对 Web 应用的安全建议

即将弃用下面两项与 Web 应用相关的安全建议：

应加强 IaaS NSG 上 Web 应用的规则。（相关策略：应该强化 IaaS 上 Web 应用程序的 NSG 规则）
应限制对应用服务的访问。（相关策略：应限制对应用服务的访问 [预览版]）

这些建议将不再在安全中心的建议列表中显示。相关策略将不再包含在名为“安全中心默认设置”的计划中。

2020 年 2 月

面向 Linux 的无文件攻击检测（预览版）

随着攻击者越来越多地采用更隐蔽的方法来避免被发现，除了 Windows 之外，Azure 安全中心还扩大了无文件攻击检测范围，现涵盖 Linux。无文件攻击利用软件漏洞、将恶意有效负载注入良性系统进程，并隐藏在内存中。这些技术：

最大程度地减少或消除了磁盘上恶意软件的痕迹
大大降低了基于磁盘的恶意软件扫描解决方案的检测机会

为了应对这种威胁，Azure 安全中心于 2018 年 10 月发布了面向 Windows 的无文件攻击检测，现在还将该检测扩展到了 Linux 上。

2020 年 1 月

安全功能分数增强版（预览版）

Azure 安全中心的安全功能分数增强版现提供预览版。在此版本中，多个建议被组合到安全控件中，可更好地反映出你易受攻击的攻击面（例如限制对管理端口的访问）。

请在预览阶段熟悉安全功能分数的更改之处，确定可帮助你进一步保护环境的其他修正措施。

详细了解安全功能分数增强版（预览版）。

2019 年 11 月

11 月的更新包括：

针对北美区域 Azure Key Vault 的威胁防护（预览版）
针对 Azure 存储的威胁防护包括恶意软件信誉屏蔽
使用逻辑应用实现工作流自动化（预览版）
批量资源快速修复功能已推出正式版
扫描容器映像的漏洞（预览版）
其他监管合规标准（预览版）
针对 Azure Kubernetes 服务的威胁防护（预览版）
虚拟机漏洞评估（预览版）
Azure 虚拟机上的 SQL 服务器的高级数据安全性（预览版）
支持自定义策略（预览版）
在面向社区和合作伙伴的平台中扩大 Azure 安全中心的涵盖范围
支持导出建议和警报的高级集成（预览版）
从 Windows 管理中心将本地服务器加入安全中心（预览版）

针对北美区域 Azure Key Vault 的威胁防护（预览版）

Azure Key Vault 是一个基本服务，它通过提供集中管理云中密钥、机密、加密密钥和策略的功能，来保护数据和提高云应用程序的性能。由于 Azure Key Vault 存储敏感数据和业务关键数据，因此必须保证密钥保管库及其存储的数据的最高安全性。

Azure 安全中心对 Azure Key Vault 的威胁防护的支持提供额外的安全情报层，用于检测以非寻常和可能有害的方式访问或恶意利用密钥保管库的企图。此新保护层使得客户无需成为安全专家或管理安全监视系统，就能应对其密钥保管库受到的威胁。此功能在北美区域推出了公共预览版。

针对 Azure 存储的威胁防护包括恶意软件信誉屏蔽

针对 Azure 存储的威胁防护提供由 Microsoft 威胁情报支持的新检测，可以使用哈希信誉分析来检测将恶意软件上传到 Azure 存储的行为，并可以检测从活动的 Tor 出口节点（一个匿名代理）进行的可疑访问。现在，你可以使用 Azure 安全中心查看在各个存储帐户中检测到的恶意软件。

使用逻辑应用实现工作流自动化（预览版）

在集中管理安全性和 IT/运营的组织的环境中发现差异时，这些组织可以实施内部工作流程来驱动所需的操作。在许多情况下，这些工作流是可重复的流程，而自动化可以在组织内部大幅简化流程。

今天，我们在安全中心引入了一项新功能，使客户能够利用Azure 逻辑应用创建自动化配置，并创建策略，以便根据特定的 ASC 发现（如建议或警报）自动触发这些配置。可将 Azure 逻辑应用配置为执行逻辑应用连接器大型社区所支持的任何自定义操作，或使用安全中心提供的某个模板，例如，发送电子邮件或开具 ServiceNow™ 票证。

有关运行工作流的自动和手动安全中心功能的详细信息，请参阅工作流自动化。

若要了解如何创建逻辑应用，请参阅 Azure 逻辑应用。

批量资源快速修复功能已推出正式版

由于用户在安全评分中要执行许多任务，有效修正大型机群中的问题可能会变得困难。

使用“快速修复”修正功能来修复安全配置错误、修正对多个资源的建议并提高安全分数。

此操作允许你选择要对其应用修正的资源，并启动一个将代表你对设置进行配置的修正操作。

现在，安全中心建议页上已向客户推出了快速修复正式版。

扫描容器映像的漏洞（预览版）

Azure 安全中心现在可以扫描 Azure 容器注册表中容器映像的漏洞。

映像扫描的工作原理是分析容器映像文件，然后查看是否存在任何已知漏洞（由 Qualys 提供支持）。

将新容器映像推送到 Azure 容器注册表时，会自动触发扫描本身。发现的漏洞将以安全中心建议的形式显示，其中包括安全评分，以及有关如何修补这些漏洞以减小允许的受攻击面的信息。

其他监管合规标准（预览版）

“监管合规”仪表板基于安全中心评估结果提供合规态势的见解。该仪表板会显示你的环境是否符合特定法规标准和行业基准指定的控制措施与要求，并提供有关如何符合这些要求的规范性建议。

目前，监管合规仪表板支持四项内置标准：Azure CIS 1.1.0、PCI-DSS、ISO 27001 和 SOC-TSP。我们现在宣布公开发布其他受支持的标准：NIST SP 800-53 R4、SWIFT CSP CSCF v2020、加拿大联邦 PBMM 和英国官方以及英国 NHS。我们还发布了 Azure CIS 1.1.0 的更新版本，涵盖标准中的更多控件并提高可扩展性。

详细了解如何在监管合规仪表板中自定义标准集。

针对 Azure Kubernetes 服务的威胁防护（预览版）

Kubernetes 很快就成了在云中部署和管理软件的新标准。只有少量的用户对 Kubernetes 拥有丰富的经验；很多用户只是注重一般的工程和管理，而忽略了安全方面。需要精心配置 Kubernetes 环境以使其保持安全，确保不会公开任何以容器为中心的受攻击面，避免为攻击者打开后门。安全中心正在将其在容器领域的支持扩展到 Azure 中发展速度最快的服务之一 - Azure Kubernetes 服务 (AKS)。

此公共预览版中的新功能包括：

发现和可见性 - 在安全中心的已注册订阅中持续发现 AKS 托管实例。
安全功能分数建议 - 可操作的项目，用于帮助客户遵守 AKS 的安全最佳做法，并提高其安全功能分数。建议包括诸如“应使用基于角色的访问控制来限制对 Kubernetes 服务群集的访问”之类的项目。
威胁检测 - 主机和基于群集的分析，例如“检测到特权容器”。

虚拟机漏洞评估（预览版）

安装在虚拟机中的应用程序可能经常出现漏洞，导致虚拟机遭到入侵。我们宣布安全中心标准层包括针对虚拟机的内置漏洞评估，无需额外付费。由 Qualys 提供支持的漏洞评估公共预览版可让你持续扫描虚拟机上安装的所有应用程序以找出有漏洞的应用程序，并在安全中心门户体验中显示扫描结果。安全中心负责处理所有部署操作，不需要用户额外付出精力。今后，我们计划提供漏洞评估选项，以支持客户独特的业务需求。

详细了解针对 Azure 虚拟机的漏洞评估。

Azure 虚拟机上的 SQL 服务器的高级数据安全性（预览版）

Azure 安全中心对 IaaS VM 上运行的 SQL 数据库的威胁防护和漏洞评估支持现已推出预览版。

漏洞评估是一种易于配置的服务，可发现、跟踪和帮助你修正潜在的数据库漏洞。此服务可让你查看以安全评分提供的安全态势，并包含用于解决安全问题和增强数据库防御能力的步骤。

高级威胁防护检测异常活动，这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用你的 SQL 服务器。它会持续监视数据库中的可疑活动，并针对异常的数据库访问模式提供操作导向的安全警报。这些警报提供可疑活动的详细信息，以及有助于调查和缓解威胁的建议操作。

支持自定义策略（预览版）

Azure 安全中心现在支持自定义策略（预览版）。

我们的客户一直希望在安全中心内扩大其当前安全评估的涵盖范围，以便能够基于他们在 Azure Policy 中创建的策略执行自己的安全评估。由于支持自定义策略，这种愿望已得到实现。

安全中心建议体验、安全评分和监管合规标准仪表板中将会包含这些新策略。由于支持自定义策略，现在可以在 Azure Policy 中创建一个自定义计划，然后将其作为策略添加到安全中心，并将其作为建议可视化。

在面向社区和合作伙伴的平台中扩大 Azure 安全中心的涵盖范围

使用安全中心不仅可以接收来自 Microsoft 的建议，还可以接收来自合作伙伴（例如 Check Point、Tenable 和 CyberArk）的现有解决方案中的建议，它们以后会提供更多的集成。安全中心的简单加入流可以将你现有的解决方案连接到安全中心，使你能够在一个地方查看安全状况建议、运行统一的报告，以及根据内置的建议和合作伙伴的建议利用安全中心的所有功能。你还可以将安全中心建议导出到合作伙伴产品。

详细了解 Microsoft 智能安全关联。

支持导出建议和警报的高级集成（预览版）

若要在安全中心的顶层实现企业级方案，现在可以在除 Azure 门户或 API 以外的其他位置使用安全中心警报和建议。可直接将这些警报和建议导出到事件中心与 Log Analytics 工作区。下面是可以围绕这些新功能创建的一些工作流：

由于可以导出到 Log Analytics 工作区，因此你可以使用 Power BI 创建自定义仪表板。
借助导出到事件中心的功能，可将安全中心警报和建议导出到第三方 SIEM、导出到第三方解决方案，或导出到 Azure 数据资源管理器。

从 Windows 管理中心将本地服务器加入安全中心（预览版）

Windows 管理中心是一个管理门户，适用于未在 Azure 中部署的 Windows Server，为它们提供多项 Azure 管理功能（例如备份和系统更新）。我们最近添加了一项功能，允许直接从 Windows 管理中心体验加入这些非 Azure 服务器，使其受 ASC 保护。

用户现在可以将 WAC 服务器加入Azure 安全中心，并直接在 Windows Admin Center 体验中查看其安全警报和建议。

2019 年 9 月

9 月的更新包括：

使用自适应应用程序控制管理规则的功能已改进
使用 Azure Policy 控制容器安全建议

使用自适应应用程序控制管理规则的功能已改进

使用自适应应用程序控制管理虚拟机规则的体验已得到改进。 Azure 安全中心的自适应应用程序控制可帮助你控制哪些应用程序能够在你的虚拟机上运行。除了对规则管理做出了一般性的改进外，在添加新规则时，你还可以通过一个新功能来控制要保护哪些文件类型。

详细了解自适应应用程序控制。

使用 Azure Policy 控制容器安全建议

现在可以通过 Azure Policy 启用或禁用 Azure 安全中心提供的用于修复容器安全相关漏洞的建议。

若要查看已启用的安全策略，请在安全中心内打开“安全策略”页。

2019 年 8 月

8 月的更新包括：

Azure 防火墙的实时 (JIT) VM 访问
提升安全态势的一键式修正（预览版）
跨租户管理

Azure 防火墙的实时 (JIT) VM 访问

Azure 防火墙的实时 (JIT) VM 访问现已推出正式版。使用此功能可以确保 Azure 防火墙保护的环境以及 NSG 保护的环境的安全。

JIT VM 访问使用 NSG 和 Azure 防火墙规则，仅在需要时才提供对 VM 的受控访问，以此减少受到网络容量耗尽攻击的风险。

为 VM 启用 JIT 时，可创建一个策略来确定要保护的端口、端口保持打开状态的时间，以及可从哪些已批准的 IP 地址访问这些端口。此策略可帮助你控制用户在请求访问权限时可执行哪些操作。

请求将记录在 Azure 活动日志中，因此你可以轻松监视和审核访问。此实时页面还可帮助你快速识别已启用 JIT 的现有 VM，以及建议启用 JIT 的 VM。

详细了解 Azure 防火墙。

提升安全态势的一键式修正（预览版）

安全评分是一个可帮助你评估工作负荷安全状况的工具。它会评审你的安全建议并确定其优先级，以便你知道要首先执行哪些建议。这可帮助你找到最严重的安全漏洞，以确定调查优先级。

为了简化对安全错误配置的修正并帮助你快速提高安全评分，我们添加了一项新功能，允许你通过一次单击执行对大量资源的修正建议。

此操作允许你选择要对其应用修正的资源，并启动一个将代表你对设置进行配置的修正操作。

跨租户管理

安全中心现在可通过 Azure Lighthouse 支持跨租户管理方案。此功能使你能够在安全中心查看和管理多个租户的安全态势。

详细了解跨租户管理体验。

2019 年 7 月

网络建议的更新

Azure 安全中心 (ASC) 已推出新的网络建议，并改进了一些现有的建议。现在，使用安全中心可以确保进一步为资源提供更好的网络保护。

2019 年 6 月

自适应网络强化 - 正式发布

公有云中运行的工作负荷面对的最大受攻击面之一是与公共 Internet 之间的连接。我们的客户发现，他们很难知道要部署哪些网络安全组 (NSG) 规则来确保仅在所需的源范围内提供 Azure 工作负荷。使用此功能，安全中心可以了解 Azure 工作负荷的网络流量和连接模式，并为面向 Internet 的虚拟机提供 NSG 规则建议。这有助于我们的客户更好地配置其网络访问策略，并限制受到攻击的风险。

反馈

此页面是否有帮助？

Last updated on 2025-12-08

通过

Defender for Cloud-What's new archive

2025 年 6 月

基于 Helm 的用于容器 DNS 检测的 Defender （预览版）

用于存储恶意软件扫描结果的可选索引标记（预览版）

函数应用和逻辑应用中托管的 API 的 API 发现和安全状况（预览版）

无代理文件完整性监视 （预览版）

无代理代码扫描 - GitHub 支持和可自定义的覆盖范围现已推出（预览版）

2025年5月

Defender for Storage 中的可自定义上传时恶意软件扫描筛选器已正式发布

活动用户（公共预览版）

Defender for AI Services 正式发布

智能 Microsoft Security Copilot 副驾驶® 现已在 Defender for Cloud 中正式发布

数据与 AI 的安全仪表板正式发布

Defender CSPM 开始为 Azure Database for MySQL 灵活服务器和 Azure Database for PostgreSQL 灵活服务器资源计费

2025 年 4 月

GCP Vertex AI 中的 AI 姿势管理（预览版）

Defender for Cloud 与 Mend.io 集成（预览版）

GitHub 应用程序权限更新

更新到计算机计划上的 Defender for SQL Server

Microsoft Defender for Storage 中上传恶意软件扫描的新默认上限

Defender CSPM 计划中 API 安全状况管理本机集成正式发布

Defender for App Service 警报的增强功能

2025 年 3 月

通过针对 AKS 节点的漏洞评估和恶意软件检测增强的容器保护现已正式发布

漏洞评估

恶意软件检测

Kubernetes 封闭部署（预览版）

可在 Defender for Storage 中自定义上传恶意软件扫描筛选器（预览版）

Azure 中对 CMK 的无代理 VM 扫描支持正式发布

即将对建议严重性级别的更改

基于 Azure 政府中 Microsoft Defender for Endpoint 的文件完整性监视 (FIM) 正式发布

2025 年 2 月

改进了 AWS EC2 资源名称显示

Microsoft Defender for Storage 中的按需恶意软件扫描

Defender for Storage 恶意软件扫描支持最高 50 GB 的 Blob

针对 AKS 运行时容器的容器注册表无关无代理漏洞评估（预览版）

“数据和 AI 安全”仪表板（预览版）

MDC 成本计算器（预览版）

31 个新的和增强的多云监管标准覆盖范围

2025 年 1 月

更新容器注册表的扫描标准

针对由 MDVM 提供技术支持的容器漏洞评估扫描的增强功能

为 GCP 连接器添加了权限以支持 AI 平台

由 GC 提供技术支持的 Linux 基线建议的增强功能

2024 年 12 月

对现有云连接器扫描间隔的更改

敏感度扫描功能现在包括 Azure 文件共享

将 Defender for Cloud CLI 与常用 CI/CD 工具集成

Defender for Cloud 设置体验

适用于云环境的 Defender for Cloud 扫描的修订间隔选项

需要进行 Microsoft Defender for Endpoint 客户端版本更新才能使用文件完整性监视 (FIM) 体验

2024 年 11 月

敏感度扫描功能现在包括 Azure 文件共享（预览版）

敏感度标签同意更改

敏感度标签更改

Defender for Storage 对最高 50GB 的 Blob 进行恶意软件扫描（预览版）

更新了针对托管 Kubernetes 环境的 CIS 标准版本，并新增建议。

高级搜寻中的 Kubernetes 云进程事件的公共预览版

弃用漏洞管理中的 Bring your own License (BYOL) 功能

Microsoft Defender for Cloud 中的无代理代码扫描（预览版）

Microsoft Defender for Storage 中的按需恶意软件扫描（预览版）

Defender for Containers 的 JFrog Artifactory 容器注册表支持（预览版）

AI 安全状况管理现已正式发布 (GA)

Microsoft Defender for Cloud 中的关键资产保护

增强容器重要资产的保护措施

检测和响应容器威胁的增强功能

介绍适用于 Kubernetes Pod 的云原生响应操作（预览版）

容器的威胁分析报告

GoHunt for Kubernetes Pod 和 Azure 资源

Kubernetes Pod 的 Security Copilot 引导式响应

Defender CSPM 计划中的 API 安全态势管理本地集成现已提供公开预览版本

通过针对 AKS 节点的漏洞评估和恶意软件检测增强了容器保护（预览版）

漏洞评估

恶意软件检测

升级版 Kubernetes (K8s) 警报文档和仿真工具

主要功能

Benefits

增强了对 API 敏感数据分类的支持

新增支持将 Azure API 管理 API 终结点映射到后端计算

无代理文件完整性监视（预览版）