共用方式為

資料安全性態勢管理的支援和必要條件

在 Microsoft Defender for Cloud 中設定 資料安全性狀態管理 之前,請先檢閱此頁面上的需求。

啟用敏感數據探索

敏感數據探索可在 Defender 雲端安全性狀態管理 (CSPM)、適用於記憶體的 Defender 和適用於資料庫的 Defender 方案中取得。

  • 當您啟用其中一個方案時,敏感數據探索延伸模組會開啟作為計劃的一部分。
  • 如果您有正在執行的現有計劃,延伸功能可供使用,但預設為關閉狀態。
  • 若有一或多個延伸模組未開啟,現有的計劃狀態會顯示為「部分」,而不是「完整」。
  • 此功能會在訂用帳戶層級開啟。
  • 如果敏感數據探索開啟,但未啟用 Defender CSPM,只會掃描記憶體資源。
  • 當訂用帳戶啟用 Defender CSPM,且您使用 Purview 掃描相同的資源時,會忽略 Purview 的掃描結果。 它預設會顯示 Microsoft Defender for Cloud 的掃描結果,適用於支援的資源類型。

提供哪些支援

下表摘要說明敏感性資料探索的可用性和支援案例。

支援 詳細資料
我可以探索哪些 Azure 資料資源? 物件儲存體:

Azure 儲存體 v1/v2 中的區塊 Blob 儲存體帳戶

Azure 儲存體 v1/v2 中的 Azure 檔案。僅支援使用SMB通訊協定

Azure Data Lake Storage Gen2

支援私人網路內的儲存體帳戶。

支援使用客戶管理伺服器端金鑰加密的儲存體帳戶。

如果儲存體帳戶端點具有對應的自訂網域,則不支援帳戶。

必要條件和限制:
- 為了掃描檔案共享,適用於雲端的 Defender 將記憶體檔案數據特殊許可權讀取者角色指派給 StorageDataScanner


資料庫

Azure SQL 資料庫

使用透明資料加密的 Azure SQL Database
我可以探索哪些 AWS 資料資源? 物件儲存體:

AWS S3 貯體

適用於雲端的 Defender 可以探索 KMS 加密的資料,但無法探索使用客戶管理金鑰加密的資料。

資料庫

- 亞馬遜奧羅拉
- 適用於 PostgreSQL 的 Amazon RDS
- 適用於 MySQL 的 Amazon RDS
- 適用於 MariaDB 的 Amazon RDS
- Amazon RDS for SQL Server (非自訂)
- Amazon RDS for Oracle Database (僅限非自訂 SE2 版本)

必要條件和限制:
- 必須啟用自動備份。
- 根據預設,為掃描而建立的 IAM 角色 (DefenderForCloud-DataSecurityPostureDB) 必須具有 RDS 執行個體加密所使用 KMS 密鑰的權限。
- 如果資料庫快照集採用包含永久或持續性選項的選項群組,則您無法共享該快照集,但具有 [時區] 或 [OLS] 選項 (或兩者皆有) 的 Oracle DB 執行個體不在此限。 深入了解
我可以探索哪些 GCP 資料資源? GCP 儲存體貯體
標準類別
地區:區域、雙重區域、多區域
探索需要哪些權限? 儲存體帳戶:訂用帳戶擁有者

Microsoft.Authorization/roleAssignments/* (讀取、寫入、刪除) Microsoft.Security/pricings/* (讀取、寫入、刪除) Microsoft.Security/pricings/SecurityOperators (讀取、寫入)

Amazon S3 貯體和 RDS 執行個體:AWS 帳戶執行 Cloud Formation 的權限 (以建立角色)。

GCP 儲存體貯體:執行指令碼的 Google 帳戶權限 (以建立角色)。
敏感資料探索支援哪些文件類型? 支援的文件類型 (您無法選取子集):doc、.docm、.docx、.dot、.gz、.odp、.ods、.odt、.pdf、.pot、.pps、.ppsx、.ppt、.pptm、.pptx、.xlc、.xls、.xlsb、.xlsm、.xlsx、.xlt、.csv、.json、.psv、.ssv、.tsv、.txt.、xml、.parquet、.avro、.orc。
支援哪些 Azure 區域? 您可以在下列區域中探索 Azure 儲存體帳戶:

西歐 (westeurope)、加拿大中部 (canadacentral)、英國南部 (uksouth)、日本東部 (japaneast)、美國東部 2 (eastus2)、澳洲東部 (australiaeast)、加拿大東部 (canadaeast)、美國東部 (eastus)、美國中南部 (southcentralus)、美國中北部 (northcentralus)、美國西部 2 (westus2)、東南亞 (southeastasia)、美國中部 (centralus)、巴西南部 (brazilsouth)、法國中部 (francecentral)、北歐 (northeurope)、日本西部 (japanwest)、澳洲東南部 (australiasoutheast)、 美國西部 (westus)、美國東部 2 EUAP (eastus2euap)、澳洲中部 (australiacentral)、東亞 (eastasia)、英國西部 (ukwest)、印度中部 (centralindia)、挪威東部 (norwayeast)、南非北部 (southafricanorth)、瑞典中部 (swedencentral)、美國西部 3 (westus3)、美國中西部 (westcentralus)、印度南部 (southindia)、阿聯酋北部 (uaenorth)、瑞士北部 (switzerlandnorth)、德國中西部 (germanywestcentral)、韓國中部 (koreacentral)、韓國南部 (koreasouth)、 Jio 印度西部 (jioindiawest)、以色列中部 (以色列中部)、瑞士西部 (switzerlandwest)、波蘭中部 (polandcentral)、德國北部 (germanynorth)、義大利北部 (italynorth)、挪威西部 (norwaywest)、澳洲中部 2 (australiacentral2)、南非西部 (southafricawest)、墨西哥中部 (mexicocentral)、阿聯酋中部 (uaecentral)、法國南部 (francesouth)、巴西東南部 (brazilsoutheast)、Jio 印度中部 (jioindiacentral)、瑞典南部 (swedensouth)、西班牙中部 (Spain Central(西班牙中部)、新西蘭北部(newzealandnorth)

您可以在支援 Defender CSPM 和 Azure SQL Database 的任何區域中探索 Azure SQL Database。
支援哪些 AWS 區域? S3:

歐洲 (斯德哥爾摩)、歐洲 (倫敦)、歐洲 (巴黎)、亞太地區 (孟買)、加拿大 (中部)、南美洲 (聖保羅)、美國西部 (加利福尼亞北部)、美國西部 (奧勒岡)、亞太地區 (東京)、亞太地區 (新加坡)、亞太地區 (雪梨)、歐洲 (愛爾蘭)、美國東部 (維吉尼亞北部)、歐洲 (法蘭克福)、美國東部 (俄亥俄)


RDS:

非洲 (開普敦);亞太地區 (香港特別行政區);亞太地區 (海德拉巴);亞太地區 (墨爾本);亞太地區 (孟買);亞太地區 (大阪);亞太地區 (首爾);亞太地區 (新加坡);亞太地區 (雪梨);亞太地區 (東京);加拿大 (中部);歐洲 (法蘭克福);歐洲 (愛爾蘭);歐洲 (倫敦);歐洲 (巴黎);歐洲 (斯德哥爾摩);歐洲 (蘇黎世);中東 (阿聯酋);南美洲 (聖保羅);美國東部 (俄亥俄州);美國東部 (北維吉尼亞州);美國西部 (北加州);美國西部 (俄勒岡州)。

探索會在區域內本地完成。
支援哪些 GCP 區域? 特拉維夫(me-west1)、孟買(亞洲-南部1)、南卡羅來納州(us-east1)、蒙特利亞爾(北部-東北1)、愛荷華州(us-central1)、俄勒岡州(us-west1)、比利時(歐洲-西1)、北弗吉尼亞州(us-east4)
我需要安裝代理程式嗎? 否,探索不需要安裝代理程式。
成本為何? 此功能隨附於 Defender CSPM 和適用於儲存體的 Defender 方案,除了個別方案費用之外,不會產生額外的成本。
其他成本 Azure 記憶體帳戶的敏感數據探索依賴其他 Azure 服務。 這種依賴可能會導致額外的成本,包括 Azure 記憶體讀取作業。
我需要哪些權限才能檢視/編輯資料敏感度設定? 您需要下列其中一個 Microsoft Entra 角色:
  • 合規性資料管理員、合規性系統管理員或更高版本
  • 安全性操作員、安全性系統管理員或更高版本
    		•
    我需要哪些權限才能執行上線? 您需要下列其中一個 Azure 角色型存取控制 (Azure RBAC) 角色:訂用帳戶層級的安全性管理員、參與者、擁有者 (GCP 專案所在的位置)。 若要取用安全性結果:訂用帳戶層級的安全性讀取者、安全性管理員、讀取者、參與者、擁有者 (GCP 專案所在的位置)。

    設定數據敏感度設定

    設定資料敏感度的主要步驟包括:

    深入了解 Microsoft Purview 中的敏感度標籤。

    探索

    適用於雲端的 Defender 會在您啟用方案或開啟方案功能之後立即開始探索數據。

    針對物件儲存體:

    • 結果可在24小時內首次查詢。
    • 在探索到的資源中更新檔案之後,數據會在八天內重新整理。
    • 新增到已探索訂用帳戶中的新的 Azure 儲存體帳戶會在 24 小時內被探索。
    • 新增至已探索的 AWS 帳戶或 Google 帳戶的新 AWS S3 儲存桶或 GCP 儲存桶會在 48 小時內被監測到。
    • 敏感數據探索會在您的區域內本地執行儲存作業。 這可確保您的資料不會離開您的區域。 只有資源元數據,例如檔案、Blob、貯體名稱、偵測到的敏感度標籤,以及識別的敏感性資訊類型名稱(SIT),會傳送至 Defender for Cloud。

    如果是資料庫:

    • 每周掃描一次。
    • 針對新啟用的訂用帳戶,結果會在 24 小時內顯示。

    雲端安全性總管

    我們會顯示所有記憶體類型,包括 Azure 儲存體 帳戶、AWS 貯體和 GCP 貯體,不論其相關聯的見解為何。 針對包含 Blob 容器和檔案共用的 Azure 儲存體 帳戶,適用下列規則:

    • Blob 容器符合下列任何準則時會顯示:

      • 他們具有包含敏感資料的分析。

      • 他們掌握公用存取的洞察力。

      • 它們有另一個 Blob 的複寫規則。

    • 檔案共用只有在具有「包含敏感數據」深入解析時才會顯示。

    探索及掃描 Azure 記憶體帳戶

    如果要掃描 Azure 儲存體帳戶,適用於雲端的 Microsoft Defender 會建立新的 storageDataScanner 資源並為其指派儲存體 Blob 資料讀者角色。 此角色授與下列權限:

    • 清單​​
    • 參閱

    針對私人網路內的儲存體帳戶,我們會在儲存體帳戶的網路規則設定中允許的資源執行個體清單中包含 StorageDataScanner

    探索和掃描 AWS S3 貯體

    若要保護適用於雲端的 Defender 中的 AWS 資源,請使用 CloudFormation 範本設定 AWS 連接器以將 AWS 帳戶上線。

    • 為探索 AWS 資料資源,適用於雲端的 Defender 會更新 CloudFormation 範本。
    • CloudFormation 範本會在 AWS IAM 中建立新角色,以允許 Defender for Cloud 掃描器存取 S3 存儲桶中的數據。
    • 若要連線 AWS 帳戶,您需要帳戶的系統管理員權限。
    • 該角色具備以下權限:S3 唯讀;KMS 解密。

    探索和掃描 AWS RDS 實例

    若要保護適用於雲端的 Defender 中的 AWS 資源,請使用 CloudFormation 範本設定 AWS 連接器以將 AWS 帳戶上線。

    • 若要探索 AWS RDS 執行個體,適用於雲端的 Defender 會更新 CloudFormation 範本。
    • CloudFormation 範本會在 AWS IAM 中建立新的角色,以允許 Defender for Cloud 掃描器取得您的實例的最後一個可用自動化快照集的許可權,並將其移至相同 AWS 區域內的隔離掃描環境中進行線上作業。
    • 若要連線 AWS 帳戶,您需要帳戶的系統管理員權限。
    • 在相關的 RDS 執行個體/叢集上必須啟用自動化快照集。
    • 該角色具備下列權限 (請檢閱 CloudFormation 範本以取得確切定義):
      • 列出所有 RDS DB/叢集
      • 複製所有 DB/叢集快照集
      • 使用 defenderfordatabases 前置詞以刪除/更新 DB/叢集快照集
      • 列出所有 KMS 金鑰
      • 僅針對來源帳戶上的 RDS 使用所有 KMS 金鑰
      • 在所有具有標籤前置詞 DefenderForDatabases 的 KMS 金鑰上建立完整控制
      • 建立 KMS 金鑰的別名
    • 包含 RDS 執行個體的每個區域都會建立一次 KMS 金鑰。 建立 KMS 金鑰可能會產生最低程度的額外成本,取決於 AWS KMS 定價。

    探索及掃描 GCP 記憶體貯體

    若要保護適用於雲端的 Defender 中的 GCP 資源,請使用腳本範本樣本設定 Google 連接器以將 GCP 帳戶上線。

    • 為探索 GCP 儲存體貯體,適用於雲端的 Defender 會更新指令碼範本。
    • 指令碼範本會在 Google 帳戶中建立新的角色,以授權適用於雲端的 Defender 掃描器存取 GCP 儲存體貯體中的資料。
    • 若要連線 Google 帳戶,您需要帳戶的系統管理員權限。

    公開至網際網路/允許公用存取

    Defender CSPM 攻擊路徑和雲端安全性圖表深入解析會包含向網際網路公開,以及允許公用存取的儲存體資源相關資訊。 下表提供更多詳細資料。

    州 (縣/市) Azure 儲存體帳戶 AWS S3 貯體 GCP 儲存體貯體
    在網際網路中公開 如果啟用下列任一設定,Azure 儲存體帳戶就會視為對網際網路公開:

    Storage_account_name >[網路功能]>[公用網路存取]>[已從所有網路啟用]



    Storage_account_name >[網路功能]>[公用網路存取]>[已從選取的虛擬網路和 IP 位址啟用]    		 如果 AWS 帳戶/AWS S3 貯體原則沒有為 IP 位址設定條件,則 AWS S3 貯體會視為對網際網路公開。 根據預設,所有 GCP 儲存體貯體都會對網際網路公開。
    允許公用存取 如果儲存體帳戶上啟用下列設定,Azure 儲存體帳戶容器會視為允許公用存取:

    Storage_account_name >組態>允許 Blob 匿名存取>啟用

    和下列任一設定:

    Storage_account_name >[容器]> container_name >[公用存取層級] 設為 [Blob (僅限 blob 的匿名讀取存取)]

    或者,storage_account_name >[容器]> container_name >[公用存取層級] 設為 [容器 (容器和 blob 的匿名讀取存取)]    		 如果 AWS 帳戶和 AWS S3 貯體都將 [封鎖所有公用存取] 設為 [關閉],且已設定下列任一設定,則 AWS S3 貯體會視為允許公用存取:

    在原則中,未啟用 RestrictPublicBuckets,且 [主體] 設定會設定為 *,且 [效果] 設定為 [允許]

    或者,在存取控制清單中,未啟用 IgnorePublicAcl,且授權給 [所有人] 或 [驗證的使用者]    		 如果 GCP 儲存體貯體具有符合下列準則的 IAM (身分識別和存取管理) 角色,則會視為允許公用存取:

    角色會授與主體 allUsersallAuthenticatedUsers

    角色至少有一個儲存體權限「不是」storage.buckets.createstorage.buckets.list。 GCP 中的公用存取稱為公用至網際網路

    資料庫資源不允許公用存取,但仍可公開至網際網路。

    網際網路公開深入解析適用於下列資源:

    Azure:

    • Azure SQL Server
    • Azure Cosmos DB
    • Azure SQL 受控執行個體
    • Azure MySQL 單一伺服器
    • Azure MySQL 彈性伺服器
    • Azure PostgreSQL 單一伺服器
    • Azure PostgreSQL 彈性伺服器
    • Azure MariaDB 單一伺服器
    • Synapse 工作區

    AWS:

    • RDS 執行個體

    注意

    • 包含 0.0.0.0/0 的曝光規則會被視為「過度公開」,這表示可以從任何公用 IP 存取它們。
    • 公開規則為 「0.0.0.0」 的 Azure 資源可從 Azure 中的任何資源存取(不論租使用者或訂用帳戶為何)。

    相關內容

    啟用資料安全性態勢管理。

    • Last updated on