Defender for Cloud 建议、警报和事件的最近更新

本文汇总了有关 Microsoft Defender for Cloud 中的安全建议、警报和事件的最近更新。 它包括新的、已修改的和已弃用的建议和警报的相关信息。

  • 此页会使用 Defender for Cloud 中的最新建议和警报进行定期更新。

  • Defender for Cloud 功能新增内容中了解新的和更新的 Defender for Cloud 功能的最新相关信息。

提示

通过将以下 URL 复制并粘贴到源阅读器中,可以在页面更新时收到通知:

https://aka.ms/mdc/rss-recommendations-alerts

建议、警报和事件更新

新的和已更新的建议、警报和事件将按日期顺序添加到表中。

日期 类型 State Name
11 月 19 日 弃用 GA MFA 建议已弃用,因为 Azure 现在需要它。
弃用以下建议:
* 对 Azure 资源具有读取权限的帐户应启用
* MFA 对 Azure 资源具有写入权限的帐户应启用
* MFA 对 Azure 资源具有所有者权限的帐户应启用
10 月 30 日 建议 即将弃用 MFA 建议已弃用,因为 Azure 现在需要它。
将弃用以下建议:
* 对 Azure 资源具有读取权限的帐户应启用
* MFA 对 Azure 资源具有写入权限的帐户应启用
* MFA 对 Azure 资源具有所有者权限的帐户应启用
9 月 5 日 建议 GA 应在计算机上安装系统更新(由 Azure 更新管理器提供支持)
9 月 5 日 建议 GA 计算机应配置为定期检查,以确认缺少的系统更新
8 月 15 日 Incident 即将弃用 预计更改日期:2024 年 9 月 15 日

安全事件检测到异常的地理位置活动(预览)
安全事件检测到可疑的应用服务活动(预览)
安全事件检测到可疑的 Key Vault 活动(预览)
安全事件检测到可疑的 Azure 工具包活动(预览版)
在同一资源上检测到安全事件(预览版)
安全事件检测到可疑的 IP 活动(预览)
安全事件检测到可疑的用户活动(预览)
安全事件检测到可疑的服务主体活动(预览)
安全事件检测到可疑的 SAS 活动(预览)
安全事件检测到可疑的帐户活动(预览版)
安全事件检测到可疑的加密挖掘活动(预览)
安全事件检测到可疑的无文件攻击活动(预览)
安全事件检测到可疑的 Kubernetes 群集活动(预览)
安全事件检测到可疑的存储活动(预览)
安全事件检测到可疑的加密挖掘活动(预览)
安全事件检测到可疑的数据外泄活动(预览)
安全事件检测到可疑的 Kubernetes 群集活动(预览)
安全事件检测到可疑 DNS 活动(预览版)
安全事件检测到可疑 SQL 活动(预览版)
安全事件检测到可疑的 DDOS 活动(预览)
8 月 12 日 建议 即将弃用 应在计算机上启用文件完整性监视预计弃用时间:2024 年 8 月
8 月 11 日 建议 即将弃用 应删除 Azure 环境中的超级标识预计弃用时间:2024 年 9 月
8 月 2 日 建议 预览 Azure DevOps 项目应禁用经典管道的创建
8 月 2 日 建议 预览 GitHub 组织应阻止与公共代码匹配的 Copilot 建议
8 月 2 日 建议 预览 GitHub 组织应针对外部协作者强制实施多重身份验证
8 月 2 日 建议 预览 GitHub 存储库要求代码推送至少有两名审阅者审批
7 月 31 日 建议 预览 特权角色不应在订阅和资源组级别拥有永久访问权限
7 月 31 日 建议 预览 不应在订阅和资源组级别为服务主体分配管理角色
7 月 31 日 建议 更新 Azure AI 服务资源应使用 Azure 专用链接
7 月 31 日 建议 GA [应在虚拟机上安装 EDR 解决方案](recommendations-reference-compute.md#edr-solution-should-be-installed-on-virtual-machineshttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey06e3a6db-6c0c-4ad9-943f-31d9d73ecf6c)
7 月 31 日 建议 GA [应在 EC2 上安装 EDR 解决方案](recommendations-reference-compute.md#edr-solution-should-be-installed-on-ec2shttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey77d09952-2bc2-4495-8795-cc8391452f85)
7 月 31 日 建议 GA [应在虚拟机上解决 EDR 配置问题](recommendations-reference-compute.md#edr-configuration-issues-should-be-resolved-on-virtual-machineshttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeydc5357d0-3858-4d17-a1a3-072840bff5be)
7 月 31 日 建议 GA [应在 EC2 上解决 EDR 配置问题](recommendations-reference-compute.md#edr-configuration-issues-should-be-resolved-on-ec2shttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey695abd03-82bd-4d7f-a94c-140e8a17666c)
7 月 31 日 警报 即将弃用 检测到来自建议阻止的 IP 地址的流量
6 月 27 日 Alert 弃用 Security incident detected suspicious source IP activity

严重性:中/高
6 月 27 日 Alert 弃用 Security incident detected on multiple resources

严重性:中/高
6 月 27 日 Alert 弃用 Security incident detected compromised machine

严重性:中/高
6 月 27 日 Alert 弃用 Security incident detected suspicious virtual machines activity

严重性:中/高
5 月 30 日 建议 GA Linux 虚拟机应启用 Azure 磁盘加密 (ADE) 或 EncryptionAtHost。 评估密钥 a40cc620-e72c-fdf4-c554-c6ca2cd705c0
5 月 30 日 建议 GA Windows 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost。 评估密钥 0cb5f317-a94b-6b80-7212-13a9cc8826af
5 月 28 日 建议 GA 应安全配置计算机(由 MDVM 提供支持)
5 月 1 日 建议 即将弃用 应在计算机上安装系统更新

预计弃用时间:2024 年 7 月。
5 月 1 日 建议 即将弃用 应在虚拟机规模集上安装系统更新

预计弃用时间:2024 年 7 月。
5 月 1 日 建议 即将弃用 应在基于 Windows 已启用 Azure Arc 的计算机上安装日志分析代理

预计弃用时间:2024 年 7 月
5 月 1 日 建议 即将弃用 应在虚拟机规模集上安装 Log Analytics 代理

预计弃用时间:2024 年 7 月
5 月 1 日 建议 即将弃用 订阅应启用 Log Analytics 代理自动预配

预计弃用时间:2024 年 7 月
5 月 1 日 建议 即将弃用 应在虚拟机上安装 Log Analytics 代理

预计弃用时间:2024 年 7 月
5 月 1 日 建议 即将弃用 应在计算机中启用自适应应用程序控制以定义安全应用程序

预计弃用时间:2024 年 7 月
4 月 3 日 建议 即将弃用 虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流
4 月 3 日 建议 预览 Azure 注册表中的容器映像应解决漏洞问题(预览)
4 月 3 日 建议 预览 在 Azure 中运行的容器应解决漏洞问题(预览)
4 月 2 日 建议 即将弃用 应将虚拟机迁移到新的 Azure 资源管理器资源

由于这些资源不再存在,因此不起作用。 预计时间:2024 年 7 月 30 日
4 月 2 日 建议 弃用 应为认知服务帐户禁用公用网络访问。
4 月 2 日 建议 GA Azure 注册表容器映像应已解决漏洞问题
4 月 2 日 建议 弃用 应为认知服务帐户禁用公用网络访问
4 月 2 日 建议 GA 运行容器映像的 Azure 应已解决漏洞问题
3 月 28 日 建议 近期 Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost(评估密钥 a40cc620-e72c-fdf4-c554-c6ca2cd705c0)
3 月 28 日 建议 近期 Windows 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost(评估密钥 0cb5f317-a94b-6b80-7212-13a9cc8826af)
3 月 18 日 建议 GA 应在虚拟机上安装 EDR 解决方案
3 月 18 日 建议 GA 应在虚拟机上解决 EDR 配置问题
3 月 18 日 建议 GA 应在 EC2 上解决 EDR 配置问题
3 月 18 日 建议 GA 应在 EC2 上安装 EDR 解决方案
3 月末 建议 弃用 应在计算机上安装 Endpoint Protection
3 月末 建议 弃用 应在计算机上解决 Endpoint Protection 运行状况问题
3 月 5 日 建议 弃用 应调查帐户中的过度预配标识,以减少权限蠕变索引 (PCI)
3 月 5 日 建议 弃用 应调查订阅中的过度预配标识,以减少权限蠕变指数 (PCI)
2 月 20 日 建议 近期 Azure AI 服务资源应限制网络访问
2 月 20 日 建议 近期 Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证)
2 月 12 日 建议 弃用 Public network access should be disabled for Cognitive Services accounts。 预计弃用时间:2024 年 3 月 14 日
2 月 8 日 建议 预览 (预览)Azure Stack HCI 服务器应满足安全核心要求
2 月 8 日 建议 预览 (预览版)Azure Stack HCI 服务器应一致地强制实施应用程序控制策略
2 月 8 日 建议 预览 (预览版)Azure Stack HCI 系统应具有加密卷
2 月 8 日 建议 预览 (预览版)主机和 VM 网络应在 Azure Stack HCI 系统上受保护
1 月 25 日 警报(容器) 弃用 Anomalous pod deployment (Preview) (K8S_AnomalousPodDeployment)
1 月 25 日 警报(容器) 弃用 Excessive role permissions assigned in Kubernetes cluster (Preview) (K8S_ServiceAcountPermissionAnomaly)
1 月 25 日 警报(容器) 弃用 Anomalous access to Kubernetes secret (Preview) (K8S_AnomalousSecretAccess)
1 月 25 日 警报(Windows 计算机) 更新到“信息性” Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlWindowsViolationAudited)
1 月 25 日 警报(Windows 计算机) 更新到“信息性” Adaptive application control policy violation was audited (VM_AdaptiveApplicationControlLinuxViolationAudited)
1 月 25 日 警报(容器) 更新到“信息性” Attempt to create a new Linux namespace from a container detected (K8S.NODE_NamespaceCreation)
1 月 25 日 警报(容器) 更新到“信息性” Attempt to stop apt-daily-upgrade.timer service detected (K8S.NODE_TimerServiceDisabled)
1 月 25 日 警报(容器) 更新到“信息性” Command within a container running with high privileges (K8S.NODE_PrivilegedExecutionInContainer)
1 月 25 日 警报(容器) 更新到“信息性” Container running in privileged mode (K8S.NODE_PrivilegedContainerArtifacts)
1 月 25 日 警报(容器) 更新到“信息性” Container with a sensitive volume mount detected (K8S_SensitiveMount)
1 月 25 日 警报(容器) 更新到“信息性” Creation of admission webhook configuration detected (K8S_AdmissionController)
1 月 25 日 警报(容器) 更新到“信息性” Detected suspicious file download (K8S.NODE_SuspectDownloadArtifacts)
1 月 25 日 警报(容器) 更新到“信息性” Docker build operation detected on a Kubernetes node (K8S.NODE_ImageBuildOnNode)
1 月 25 日 警报(容器) 更新到“信息性” New container in the kube-system namespace detected (K8S_KubeSystemContainer)
1 月 25 日 警报(容器) 更新到“信息性” New high privileges role detected (K8S_HighPrivilegesRole)
1 月 25 日 警报(容器) 更新到“信息性” Privileged container detected (K8S_PrivilegedContainer)
1 月 25 日 警报(容器) 更新到“信息性” Process seen accessing the SSH authorized keys file in an unusual way (K8S.NODE_SshKeyAccess)
1 月 25 日 警报(容器) 更新到“信息性” Role binding to the cluster-admin role detected (K8S_ClusterAdminBinding)
1 月 25 日 警报(容器) 更新到“信息性” SSH server is running inside a container (K8S.NODE_ContainerSSH)
1 月 25 日 警报 (DNS) 更新到“信息性” Communication with suspicious algorithmically generated domain (AzureDNS_DomainGenerationAlgorithm)
1 月 25 日 警报 (DNS) 更新到“信息性” Communication with suspicious algorithmically generated domain (DNS_DomainGenerationAlgorithm)
1 月 25 日 警报 (DNS) 更新到“信息性” Communication with suspicious random domain name (Preview) (DNS_RandomizedDomain)
1 月 25 日 警报 (DNS) 更新到“信息性” Communication with suspicious random domain name (AzureDNS_RandomizedDomain)
1 月 25 日 警报 (DNS) 更新到“信息性” Communication with possible phishing domain (AzureDNS_PhishingDomain)
1 月 25 日 警报 (DNS) 更新到“信息性” Communication with possible phishing domain (Preview) (DNS_PhishingDomain)
1 月 25 日 警报(Azure 应用服务) 更新到“信息性” NMap scanning detected (AppServices_Nmap)
1 月 25 日 警报(Azure 应用服务) 更新到“信息性” Suspicious User Agent detected (AppServices_UserAgentInjection)
1 月 25 日 警报(Azure 网络层) 更新到“信息性” Possible incoming SMTP brute force attempts detected (Generic_Incoming_BF_OneToOne)
1 月 25 日 警报(Azure 网络层) 更新到“信息性” Traffic detected from IP addresses recommended for blocking (Network_TrafficFromUnrecommendedIP)
1 月 25 日 警报(Azure 资源管理器) 更新到“信息性” Privileged custom role created for your subscription in a suspicious way (Preview)(ARM_PrivilegedRoleDefinitionCreation)
1 月 4 日 建议 预览 认知服务帐户应禁用本地身份验证方法
Microsoft 云安全基准
1 月 4 日 建议预览 认知服务应使用专用链接
Microsoft 云安全基准
1 月 4 日 建议 预览 虚拟机和虚拟机规模集应启用主机中加密
Microsoft 云安全基准
1 月 4 日 建议 预览 Azure Cosmos DB 应禁用公用网络访问
Microsoft 云安全基准
1 月 4 日 建议 预览 Cosmos DB 帐户应使用专用链接
Microsoft 云安全基准
1 月 4 日 建议 预览 VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证
Microsoft 云安全基准
1 月 4 日 建议 预览 Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本
Microsoft 云安全基准
1 月 4 日 建议 预览 Azure SQL 托管实例应禁用公用网络访问
Microsoft 云安全基准
1 月 4 日 建议 预览 存储帐户应阻止共享密钥访问
Microsoft 云安全基准
12 月 14 日 建议 预览 Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持)

使用 Microsoft Defender 漏洞管理对 Linux 容器映像进行漏洞评估。
12 月 14 日 建议 GA Azure 运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持)

使用 Microsoft Defender 漏洞管理对 Linux 容器映像进行漏洞评估。
12 月 14 日 建议 重命名 新:Azure 注册表容器映像应该已解决漏洞(由 Qualys 提供支持) 使用 Qualys 对容器映像的进行漏洞评估。
旧:容器注册表映像应已解决漏洞结果(由 Qualys 提供技术支持)
12 月 14 日 建议 重命名 新:Azure 正在运行的容器映像应该已解决漏洞(由 Qualys 提供支持)

使用 Qualys 对容器映像的进行漏洞评估。
旧:运行容器映像应已解决漏洞结果(由 Qualys 提供支持)
12 月 4 日 Alert 预览 Malicious blob was downloaded from a storage account (Preview)

MITRE 策略:横向移动

有关新增功能的信息,请参阅 Defender for Cloud 功能新增内容