本文說明如何在適用於雲端的Defender Microsoft中啟用資料安全性狀態管理。
開始之前
- 啟用數據安全性狀態管理之前, 請先檢閱支援和必要條件。
- 當您啟用適用於記憶體的 Defender CSPM 或 Defender 方案時,會自動啟用敏感數據探索延伸模組。 如果您不想使用數據安全性狀態管理,則可以停用此設定,但建議您使用此功能從適用於雲端的 Defender 取得最大價值。
- 敏感數據是根據適用於雲端的 Defender 中的數據敏感度設定來識別。 您可以 自定義數據敏感度設定 ,以識別貴組織認為敏感性的數據。
- 啟用此功能之後,最多需要 24 小時才能看到第一次探索的結果。
在 Defender CSPM 中啟用 (Azure)
請遵循下列步驟來啟用數據安全性狀態管理。 開始之前,別忘了檢閱 必要的許可權 。
瀏覽至 [適用於雲端的 Microsoft Defender]>[環境設定]。
選取相關的 Azure 訂用帳戶。
針對 Defender CSPM 方案,選取 [ 開啟 狀態]。
如果 Defender CSPM 已開啟,請在 Defender CSPM 方案的 [監視涵蓋範圍] 資料行中選取 [ 設定 ],並確定 [敏感數據探索 ] 元件已設定為 [ 開啟 ] 狀態。
在 Defender CSPM 中開啟 敏感數據探索之後,當支援的資源類型範圍展開時,它會自動納入其他資源類型的支援。
在 Defender CSPM 中啟用 (AWS)
在使用 AWS 之前
- 別忘了: 查看 AWS 發現的需求,以及 必要的許可權。
- 確定沒有任何原則會封鎖 Amazon S3 貯體連線。
- 針對 RDS 實例:支援跨帳戶 KMS 加密,但額外的 KMS 存取原則可能會阻止存取。
啟用 AWS 資源
S3 貯體和 RDS 執行個體
- 啟用如上所述的數據安全性狀態
- 按照指示下載 CloudFormation 範本,然後在 AWS 中執行。
自動探索 AWS 帳戶中的 S3 貯體會自動啟動。
針對 S3 儲存桶,Defender for Cloud 掃描器會在您的 AWS 帳戶中執行,並連接到您的 S3 儲存桶。
針對 RDS 實例,開啟 敏感數據探索 後,將會觸發探索。 掃描器將為執行個體拍攝最新的自動快照集、在來源帳戶內建立手動快照集,並將其複製到相同區域內,Microsoft 擁有的隔離環境中。
會快照集使用建立即時執行個體,該執行個體會啟動、掃描,然後立即銷毀 (連同複製的快照集)。
掃描平臺只會報告掃描結果。
檢查 S3 封鎖原則
如果啟用程式因為封鎖的原則而無法運作,請檢查下列各項:
- 請確定 S3 儲存桶的政策不會封鎖連線。 在 AWS S3 貯體中,選取 [權限] 索引標籤 > [貯體原則]。 請檢查原則詳細數據,以確定在 AWS Microsoft 帳戶中執行的適用於雲端掃描器服務的 Microsoft Defender 並未遭到封鎖。
- 確定沒有任何 SCP 原則會封鎖 S3 貯體連線。 例如,您的 SCP 原則可能會封鎖裝載 S3 貯體之 AWS 區域的讀取 API 呼叫。
- 檢查 SCP 原則是否允許這些必要的 API 呼叫:AssumeRole、GetBucketLocation、GetObject、ListBucket、GetBucketPublicAccessBlock
- 檢查您的 SCP 原則是否允許呼叫 us-east-1 AWS 區域,這是 API 呼叫的預設區域。
在適用於記憶體的Defender中啟用資料感知監視
當適用於記憶體的 Defender 方案中啟用敏感數據探索元件時,預設會啟用敏感數據威脅偵測。 深入瞭解。
如果關閉 Defender CSPM 方案,則只會掃描 Azure 記憶體資源。