重要
注意:所有Microsoft Defender for Cloud功能将在
本文总结了Microsoft Defender for Cloud中安全建议、警报和事件的新增功能。 它包括新的、已修改的和已弃用的建议和警报的相关信息。
此页会使用 Defender for Cloud 中的最新建议和警报进行定期更新。
对于 6 个月以前的建议,请参见相关建议参考列表。
在 Defender for Cloud 功能新增内容中了解新的和更新的 Defender for Cloud 功能的最新相关信息。
提示
在通过将以下 URL 复制粘贴到源阅读器中更新此页面时获得通知:https://aka.ms/mdc/rss-recommendations-alerts
建议、警报和事件更新
新的和已更新的建议、警报和事件将按日期顺序添加到表中。
| 宣布的日期 | 类型 | 州 | 名称 |
|---|---|---|---|
| 2026 年 2 月 24 日 | 建议 | GA | 以下数据建议已正式发布: - 存储帐户应使用虚拟网络规则限制网络访问。 - 存储帐户应使用专用链接连接。 - 存储帐户应阻止共享密钥访问。 |
| 2026 年 2 月 16 日 | 建议 | 即将弃用 (2026年3月19日) |
已决定弃用适用于 Windows 计算机的预览推荐 Machines should be configured securely (powered by MDVM)。 此建议计划由以下针对特定操作系统的建议取代,其中包括通过使用来宾配置实现的 Linux 支持:- 应修复 Linux 计算机上安全配置中的漏洞(由 Guest Configuration 提供支持) Windows计算机上的安全配置中的- 漏洞应修正(由来宾配置支持)。 这些替换建议已在 Defender for Cloud 中提供。 如果有引用已弃用建议的任何治理规则、报表或工作流,请更新这些规则以使用替换建议。 若要确保新建议可以评估计算机,请验证所需的先决条件是否已到位: - Azure计算机应安装 Azure 计算机配置扩展。 - Non-Azure 计算机应通过默认包含计算机配置扩展的 Azure Arc 加入。 |
| 2026 年 2 月 10 日 | 建议 | 预览 | 以下建议在预览版中发布: * 应该撤销所有用户对 SQL Server 的 xp_cmdshell 执行权限(除 dbo 之外) * 应为 SQL Server 安装最新更新 * 数据库用户 GUEST 不应是 SQL 数据库中任何角色的成员 * 应禁用 SQL Server 的即席分布式查询 * 应为 SQL Server 禁用 CLR * 应删除 SQL Server 中未跟踪的受信任程序集 * 对于 SQL Server 上除“master”、“msdb”和“tempdb”之外的所有数据库,应禁用数据库所有权链接 * 主要的 GUEST 不应访问任何用户 SQL 数据库 * 除非 SQL 数据库特别需要,否则应禁用远程管理员连接 * 应为 SQL Server 启用默认跟踪 * 应为 SQL Server 的所有 SQL 登录名启用 CHECK_POLICY * 应在 SQL 服务器上启用 SQL 登录名的密码过期检查 * 不应将数据库主体映射到 SQL 数据库中的 sa 帐户 * 应为 SQL 数据库禁用 AUTO_CLOSE * 应删除 BUILTIN\Administrators 作为 SQL Server 的服务器登录名 * 应在 SQL Server 上重命名和禁用默认名称为“sa”的帐户 * 不应向公共角色授予对 SQL 数据库中的对象或列的过度权限 * 应禁用 SQL Server 的“sa”登录名 * 应为 SQL Server 禁用 xp_cmdshell * 应该删除 SQL Server 未使用的 Service Broker 端点 * 在 SQL Server 上未使用 XP 时,应禁用Database Mail XP * 不应直接对主用户授予 SQL Server 的服务器权限 * 数据库用户不应与 Model SQL 数据库的服务器登录名共享同名 * 应禁用 SQL Servers 的“扫描启动存储过程”选项 * 身份验证模式应为SQL Server的Windows身份验证 * 当设置“登录审核”以跟踪 SQL Server 的登录时,应启用对成功和失败登录尝试的审核(默认跟踪) * SQL Server Browser 服务不应播发 SQL Server 实例 * SQL Server 的错误日志的最大数目应为 12 或更多 * 不应直接向主体授予 SQL Server 的数据库权限 * 不应向 SQL 数据库中的 PUBLIC 角色授予过多权限 * 不应在 SQL 数据库中授予主体 GUEST 权限 * 不应向主体 GUEST 授予对 SQL 数据库中的对象或列的权限 在 SQL 数据库中,任何现有的镜像或 SSB 终结点都必须使用 AES 加密。 * 不应向 GUEST 用户授予对 SQL 数据库安全对象的权限 * 应在除 SQL 数据库的 MSDB 以外的所有数据库上禁用可信位 * "dbo" 用户不应在 SQL 数据库中用于正常的服务操作 * 只有“dbo”才有权访问 Model SQL 数据库 * 应为 SQL 数据库启用透明数据加密 * 应通过 SQL Server 的 TLS 保护使用 TDS 的数据库通信 * 数据库加密对称密钥应在 SQL 数据库中使用 AES 算法 * Cell-Level 加密密钥应在 SQL 数据库中使用 AES 算法 用于 SQL 数据库的证书密钥应至少使用 2048 位 * 非对称密钥的长度应在 SQL 数据库中至少为 2048 位 * 应为 SQL Server 禁用文件流 * 应为 SQL Server 禁用服务器配置“复制扩展存储过程” * 应从 SQL Server 数据库中删除孤立用户 * 数据库中的数据库所有者信息应与 SQL 数据库的 master 数据库中相应的数据库所有者信息匹配 * 不应在 SQL 数据库中使用应用程序角色 * 不应将 SP 标记为 SQL Server 自动启动 * 用户定义的数据库角色不应是 SQL 数据库中固定角色的成员 * 不应在 SQL 数据库中定义用户 CLR 程序集 * SQL数据库的所有者应符合预期 * 应为 SQL Server 启用成功和失败登录尝试的审计 * 应为 SQL 数据库启用对包含数据库身份验证的成功和失败登录尝试的审核 * 包含的用户应在SQL Server数据库中使用Windows身份验证 * 应为 SQL 数据库启用 Polybase 网络加密 * 为 SQL Server 创建外部密钥管理提供程序的基线 * 应为 SQL Server 的 TDS 启用强制性加密 * 应最大程度地减少为 SQL 服务器向公共授予的服务器权限 * 用户定义角色的所有成员资格都应面向 SQL 数据库进行设计 * 应从 SQL 数据库中删除孤立数据库角色 * SQL Server 系统中至少应有 1 个活动的审核 * 应向 SQL 数据库中的最小主体集授予 ALTER 或 ALTER ANY USER 数据库范围内的权限 * 应向最小主体集授予对 SQL 数据库中的对象或列的 EXECUTE 权限 * 应在 SQL Server 级别启用 SQL 威胁检测 * 应在 SQL Server 的服务器级别启用审核 * 数据库级防火墙规则不应为 SQL Server 授予过度访问权限 * 服务器级防火墙规则不应为 SQL Server 授予过多的访问权限 * 应至少跟踪和维护 SQL Server 的数据库级防火墙规则 * 应在 SQL Server 上至少跟踪和维护服务器级防火墙规则 * 应撤消 SQL Server 对扩充的存储过程不必要的执行权限 * 最小主体集应是固定的 Azure SQL Database 主数据库角色的成员 * 最小主体集应该是 SQL 数据库中固定高影响数据库角色的成员 * 最低限度的主体集应是 SQL 数据库中预定低影响数据库角色的成员 * 应限制 SQL Server 对注册表执行权限的访问 * 应删除 SQL Server 的示例数据库 * 仅应向 MSDB SQL 数据库中的 SSIS 角色授予数据转换服务 (DTS) 权限 * 应为最少数量的主体授予 SQL Server 的固定服务器角色成员身份 * 应为 SQL Server 禁用可能影响安全性的功能 * 应为 SQL Server 禁用“OLE 自动化过程”功能 * 应为 SQL Server 禁用“用户选项”功能 * 如果 SQL Server 不需要,应禁用可能影响安全性的扩展性功能 * 仅在 SQL Server 2012 及更高版本上配置漏洞评估 * 对已签名模块的更改应获得 SQL 数据库的授权 * 跟踪有权访问 SQL 数据库的所有用户 * 应为 SQL Server 禁用具有常用名称的 SQL 登录名 * 请参阅完整的 规则和建议映射 |
| 2025 年 12 月 11 日 | 警报 | Deprecated | 现在已弃用以下警报。 • AppServices_AnomalousPageAccess * AppServices_CurlToDisk * AppServices_WpThemeInjection * AppServices_SmartScreen * AppServices_ScanSensitivePage (应用程序服务_扫描敏感页面) * AppServices_CommandlineSuspectDomain (命令行可疑域) * AzureDNS_ThreatIntelSuspectDomain(Azure DNS 威胁情报可疑域) * AppServices_FilelessAttackBehaviorDetection(应用服务_无文件攻击行为检测) * AppServices_无文件攻击技术检测 * AppServices_无文件攻击工具包检测 * AppServices_PhishingContent (钓鱼内容服务应用) * 应用服务_处理已知可疑扩展 这些警报将作为质量改进过程的一部分停用,并被较新的、更高级的警报所取代,这些警报提供更高的准确性和改进的威胁检测功能。 此更新可确保增强的安全覆盖范围和降低噪音。 |
| 2025 年 12 月 3 日 | 建议 | 即将弃用(通知期限为 30 天) | 以下建议将在 30 天后弃用:适用于机器上的 SQL Server 的 Defender 计划Microsoft Defender for SQL status should be protected for Arc-enabled SQL Servers。 |
| 2025 年 6 月 1 日 | 警报 | 即将弃用 | 由于 PowerZure 中不再支持该方法,因此将弃用以下警报: * 使用 PowerZure 函数在Azure环境中保持持久性 |
| 2025 年 5 月 15 日 | 警报 | 即将弃用 | 以下 警报 将弃用,并且无法通过 XDR 集成提供: * 检测到公共 IP 的 DDoS 攻击 * 针对公共 IP 的 DDoS 攻击得到缓解 注意:Defender for Cloud 门户上将提供警报。 |
| 2025 年 2 月 5 日 | 建议 | 即将弃用 | 以下建议将会弃用: * 配置 Microsoft Defender for Storage(经典版)为启用状态 * 配置基本的 Microsoft 存储防护以启用(仅进行活动监视) |
| 2025 年 1 月 29 日 | 建议 | GA | 我们进一步强化了应避免以根用户身份运行容器建议。 有什么变化? 现在至少需要为“以组规则运行”指定一个范围。 需要此更改以确保容器无法访问由root用户拥有的文件,以及那些具备访问root组权限的组。 |
| 2024 年 11 月 19 日 | 弃用 | GA |
MFA 推荐已弃用,因为 Azure 现在要求使用 MFA。。 以下建议已弃用: * 对Azure资源具有读取权限的帐户应启用 MFA * 对Azure资源具有写入权限的帐户应启用 MFA * 对Azure资源具有所有者权限的帐户应启用 MFA |
| 2024 年 10 月 30 日 | 建议 | 即将弃用 |
多重身份验证建议已弃用,因为 Azure 现在需要它。 以下建议将弃用: * 对Azure资源具有读取权限的帐户应启用 MFA * 对Azure资源具有写入权限的帐户应启用 MFA * 对Azure资源具有所有者权限的帐户应启用 MFA |
| 2024 年 9 月 5 日 | 建议 | GA | |
| 2024 年 9 月 5 日 | 建议 | GA | 计算机应配置为定期检查缺少的系统更新 |
相关内容
有关新增功能的信息,请参阅 Defender for Cloud 功能新增内容。