Aktivieren der Datensicherheitsstatusverwaltung für Azure-Datenspeicher

In diesem Artikel wird erläutert, wie Sie die Verwaltung von Datensicherheitsstatus in Microsoft Defender for Cloud aktivieren. Die Verwaltung von Datensicherheitsstatus hilft Ihnen, vertrauliche Daten zu ermitteln und zu klassifizieren, Risiken zu identifizieren und Korrekturen zu priorisieren. Bevor Sie beginnen, lesen Sie die Voraussetzungen in diesem Artikel.

Bevor du anfängst

Überprüfen Sie die folgenden Voraussetzungen, bevor Sie die Verwaltung von Datensicherheitsstatus aktivieren:

  • Bevor Sie die Verwaltung von Datensicherheitsstatus aktivieren, überprüfen Sie Support und Voraussetzungen.
  • Wenn Sie Defender CSPM- oder Defender für Speicherpläne aktivieren, wird die Erweiterung für die Ermittlung vertraulicher Daten automatisch aktiviert. Sie können diese Einstellung deaktivieren, wenn Sie die Verwaltung der Datensicherheitsstatus nicht verwenden möchten. Es wird jedoch empfohlen, das Feature zu verwenden, um den größten Nutzen aus Defender für Cloud zu erzielen.
  • Vertrauliche Daten werden basierend auf den Datenschutzeinstellungen in Defender für Cloud identifiziert. Sie können die Datenempfindlichkeitseinstellungen anpassen , um die Daten zu identifizieren, die Ihre Organisation als vertraulich erachtet.
  • Nach dem Aktivieren des Features dauert es bis zu 24 Stunden, bis die Ergebnisse einer ersten Ermittlung angezeigt werden.

Aktivieren in Defender CSPM (Azure)

Führen Sie die folgenden Schritte zum Aktivieren der Datensicherheitsstatusverwaltung aus. Vergessen Sie nicht, die erforderlichen Berechtigungen zu überprüfen, bevor Sie beginnen.

  1. Navigieren Sie zu Microsoft Defender für Cloud>Umgebungseinstellungen.

  2. Wählen Sie das relevante Azure-Abonnement aus.

  3. Wählen Sie für den Defender CSPM-Plan den Status " Ein " aus.

    Wenn Defender CSPM bereits aktiviert ist, wählen Sie "Einstellungen" in der Spalte "Überwachungsabdeckung" des Defender CSPM-Plans aus, und stellen Sie sicher, dass die Komponente für die Ermittlung vertraulicher Daten auf " Ein " festgelegt ist.

  4. Sobald die Ermittlung vertraulicher Daten in Defender CSPM aktiviert ist, enthält sie automatisch Unterstützung für zusätzliche Ressourcentypen, wenn der Bereich der unterstützten Ressourcentypen erweitert wird.

Aktivieren in Defender CSPM (AWS)

Bevor Sie mit AWS beginnen

Führen Sie die folgenden Überprüfungen aus, bevor Sie die Verwaltung von Datensicherheitsstatus für Amazon Web Services (AWS) aktivieren:

  • Vergessen Sie nicht: Überprüfen Sie die Anforderungen für AWS Discovery und erforderliche Berechtigungen.
  • Überprüfen Sie, ob keine Richtlinie vorhanden ist, die die Verbindung zu Ihren Amazon S3-Buckets blockiert.
  • Für Amazon Relational Database Service (RDS)-Instanzen wird die kontoübergreifende AWS Key Management Service (KMS)-Verschlüsselung unterstützt, aber zusätzliche KMS-Zugriffsrichtlinien verhindern möglicherweise den Zugriff.

Aktivieren für AWS-Ressourcen

Konfigurieren von S3-Buckets und RDS-Instanzen

So aktivieren Sie die Suche nach S3-Buckets und RDS-Instanzen:

  1. Wechseln Sie in Defender for Cloud zu Environment-Einstellungen und wählen Sie Ihren AWS-Connector aus.
  2. Aktivieren Sie Defender CSPM mit Sensitive Datenermittlung.
  3. Fahren Sie mit den Anweisungen fort, um die CloudFormation-Vorlage herunterzuladen und sie in AWS auszuführen.

Die automatische Ermittlung von S3-Buckets im AWS-Konto startet automatisch.

Für S3-Buckets wird der Defender for Cloud-Scanner in Ihrem AWS-Konto ausgeführt und stellt eine Verbindung mit Ihren S3-Buckets bereit.

Bei RDS-Instanzen wird die Ermittlung ausgelöst, sobald die Ermittlung vertraulicher Daten aktiviert ist. Der Scanner verwendet die neuesten automatisierten Momentaufnahme für eine Instanz, erstellt eine manuelle Momentaufnahme innerhalb des Quellkontos und kopiert sie in eine isolierte Microsoft-Umgebung in derselben Region.

Die Momentaufnahme wird verwendet, um eine Liveinstanz zu erstellen, die ausgelöst, gescannt und dann sofort zerstört wird (zusammen mit der kopierten Momentaufnahme).

Nur Scanergebnisse werden von der Scanplattform gemeldet.

Diagramm zur Erläuterung der RDS-Scanplattform.

Überprüfung von S3-Sperrrichtlinien

Wenn der Aktivierungsprozess aufgrund einer blockierten Richtlinie nicht funktioniert hat, überprüfen Sie Folgendes:

  • Stellen Sie sicher, dass die S3-Bucketrichtlinie die Verbindung nicht blockiert. Wählen Sie im AWS S3-Bucket die Registerkarte Berechtigungen und dann die Bucketrichtlinie aus. Überprüfen Sie die Richtliniendetails, um sicherzustellen, dass der Microsoft Defender für Cloud-Scannerdienst, der im Microsoft-Konto in AWS ausgeführt wird, nicht blockiert ist.
  • Stellen Sie sicher, dass keine SCP-Richtlinie vorhanden ist, die die Verbindung mit dem S3-Bucket blockiert. Ihre SCP-Richtlinie kann beispielsweise Lese-API-Aufrufe an die AWS-Region blockieren, in der Ihr S3-Bucket gehostet wird.
  • Überprüfen Sie, ob diese erforderlichen API-Aufrufe gemäß Ihrer SCP-Richtlinie zulässig sind: „AssumeRole“, „GetBucketLocation“, „GetObject“, „ListBucket“, „GetBucketPublicAccessBlock“
  • Überprüfen Sie, ob Ihre SCP-Richtlinie Aufrufe an die AWS-Region "us-east-1" zulässt, bei der es sich um die Standardregion für API-Aufrufe handelt.

Aktivieren Sie die datenbewusste Überwachung in Defender for Storage

Die Bedrohungserkennung für vertrauliche Daten ist standardmäßig aktiviert, wenn die Komponente zur Erkennung vertraulicher Daten im Defender for Storage-Plan aktiviert ist. Ausführliche Informationen finden Sie unter Sensitive Datenbedrohungserkennung in Defender für Speicher.

Note

Wenn Sie Defender CSPM deaktivieren, werden nur Azure Storage Ressourcen gescannt.

Nächster Schritt