即将推出的对 Microsoft Defender for Cloud 的重要更改
重要
此页上的信息与预发行的产品或功能相关,这些产品或功能在正式发布之前可能会进行重大修改(如果有的话)。 对于此处提供的信息,Microsoft 不做任何承诺或者明示或暗示的保证。
在此页上,你可了解针对 Defender for Cloud 计划的更改。 此页介绍对产品所做的计划性修改,这些修改可能会影响安全分数或工作流之类的内容。
计划的更改
| 计划的更改 | 公告日期 | 预计更改日期 |
|---|---|---|
| 在未配置的服务器上使用快速配置自动启用 SQL 漏洞评估 | 2024 年 6 月 10 日 | 2024 年 7 月 10 日 |
| 针对标识建议进行了更改 | 2024 年 6 月 3 日 | 2024 年 7 月 |
| 弃用系统更新建议 | 2024 年 5 月 1 日 | 2024 年 7 月 |
| 弃用 MMA 相关建议 | 2024 年 5 月 1 日 | 2024 年 7 月 |
| CIEM 评估 ID 的更改 | 2024 年 4 月 16 日 | 2024 年 5 月 |
| 弃用虚拟机建议 | 2024 年 4 月 2 日 | 2024 年 7 月 |
| 用于访问合规性产品/服务和 Microsoft Actions 的位置的变更 | 2024 年 3 月 3 日 | 2025 年 9 月 30 日 |
| Microsoft 成本管理中对 Microsoft Defender for Cloud 成本的呈现方式的变更 | 2023 年 10 月 25 日 | 2023 年 11 月 |
| 将“Key Vault 应启用清除保护”建议替换为合并建议“Key Vault 应启用删除保护” | 2023 年 6 月 | |
| 弃用两个安全事件 | 2023 年 11 月 | |
| 面向 Log Analytics 代理弃用的 Defender for Cloud 计划和策略 | 2024 年 8 月 |
在未配置的服务器上使用快速配置自动启用 SQL 漏洞评估
公告日期:2024 年 6 月 10 日
预计更改日期:2024 年 7 月 10 日
最初,具有快速配置的 SQL 漏洞评估 (VA) 仅在 2022 年 12 月引入快速配置后激活了 Microsoft Defender for SQL 的服务器上自动启用。
我们将更新在 2022 年 12 月之前激活 Microsoft Defender for SQL 且现有 SQL VA 策略未设置好的所有 Azure SQL Server,以便使用快速配置自动启用 SQL 漏洞评估 (SQL VA)。
此更改的实现将逐步完成,跨越数周,无需用户方执行任何操作。
注意
此更改适用于在 Azure 订阅级别或单个服务器级别激活 Microsoft Defender for SQL 的 Azure SQL Server。
具有现有经典配置(无论有效还是无效)的服务器不会受到此更改的影响。
激活后,可能会出现“SQL 数据库应已解决漏洞结果”建议,并且可能会影响你的安全功能分数。
针对标识建议进行了更改
公告日期:2024 年 6 月 3 日
预计更改日期:2024 年 7 月
更改如下:
- 评估的资源将成为标识而不是订阅
- 建议不再具有“子建议”
- API 中“assessmentKey”字段的值将针对这些建议进行更改
将适用于以下建议:
- 对 Azure 资源拥有所有者权限的帐户应启用 MFA
- 对 Azure 资源拥有写入权限的帐户应启用 MFA
- 对 Azure 资源拥有读取权限的帐户应启用 MFA
- 应删除对 Azure 资源拥有所有者权限的来宾帐户
- 应删除对 Azure 资源拥有写入权限的来宾帐户
- 应删除对 Azure 资源拥有读取权限的来宾帐户
- 应删除对 Azure 资源拥有所有者权限的已封锁帐户
- 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户
- 只多只为订阅指定 3 个所有者
- 应该为你的订阅分配了多个所有者
弃用系统更新建议
公告日期:2024 年 5 月 1 日
预计更改日期:2024 年 7 月
由于 Azure Monitor 代理 (AMA) 和 Log Analytics 代理(也称为 Microsoft Monitoring Agent (MMA))将在 Defender for Servers 中逐步淘汰,因此,依赖于这些代理的以下建议会被弃用:
弃用 MMA 相关建议
公告日期:2024 年 5 月 1 日
预计更改日期:2024 年 7 月
所有 Defender for Servers 安全功能都将通过单一代理 (MDE) 或无代理扫描功能提供,而不依赖于 Log Analytics 代理 (MMA) 或 Azure Monitor 代理 (AMA),这是 MMA 弃用策略和 Defender for Servers 的已更新部署策略的一部分。
根据该策略,为了降低复杂性,以下建议会被弃用:
| 显示名称 | 相关功能 |
|---|---|
| 应在基于 Windows 已启用 Azure Arc 的计算机上安装日志分析代理 | MMA 启用 |
| 应在虚拟机规模集上安装 Log Analytics 代理 | MMA 启用 |
| 订阅应启用 Log Analytics 代理自动预配 | MMA 启用 |
| 应在虚拟机上安装 Log Analytics 代理 | MMA 启用 |
| 应在基于 Linux 已启用 Azure Arc 的计算机上安装日志分析代理 | MMA 启用 |
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | AAC |
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | AAC |
CIEM 评估 ID 的更改
公告日期:2024 年 4 月 16 日
预计更改日期:2024 年 5 月
以下建议计划进行重新建模,这将导致其评估 ID 发生更改:
Azure overprovisioned identities should have only the necessary permissionsAWS Overprovisioned identities should have only the necessary permissionsGCP overprovisioned identities should have only the necessary permissionsSuper identities in your Azure environment should be removedUnused identities in your Azure environment should be removed
弃用虚拟机建议
公告日期:2024 年 4 月 2 日
预计更改日期:2024 年 7 月 30 日
建议应将虚拟机迁移到新的 Azure 资源管理器资源设置为已弃用。 应不会对客户产生影响,因为这些资源不再存在。
用于访问合规性产品/服务和 Microsoft Actions 的位置的变更
公告日期:2024 年 3 月 3 日
预计更改日期:2025 年 9 月 30 日
在 2025 年 9 月 30 日,用于访问两个预览版功能(合规性产品和 Microsoft Actions)的位置将发生变更。
列出了 Microsoft 产品的合规性状态的表(从 Defender 的法规合规性仪表板工具栏中的“合规性产品/服务”按钮访问)。 从 Defender for Cloud 中移除此按钮后,仍可使用服务信任门户访问此信息。
对于控件的子集,可从控件详细信息窗格中的“Microsoft Actions(预览版)”按钮访问 Microsoft Actions。 移除此按钮后,可以通过访问 Microsoft 的 FedRAMP 服务信任门户并访问 Azure 系统安全计划文档来查看 Microsoft Actions。
Microsoft 成本管理中对 Microsoft Defender for Cloud 成本的呈现方式的更改
公告日期:2023 年 10 月 26 日
预计更改日期:2023 年 11 月
在 11 月,Microsoft Defender for Cloud 成本在成本管理和订阅发票中的呈现方式将发生更改。
将列示每个受保护的资源的成本,而不是订阅的所有资源的总成本。
如果资源已应用标记(组织通常使用标记来执行财务退款流程),则会将其添加到相应的计费行。
将“密钥保管库应启用清除保护”建议替换为“密钥保管库应启用删除保护”这一组合建议
预计更改日期:2023 年 6 月
Key Vaults should have purge protection enabled 建议已在监管合规性仪表板/Azure 安全基准计划中弃用,并替换为新的合并建议 Key Vaults should have deletion protection enabled。
| 建议名称 | 说明 | 效果 | 版本 |
|---|---|---|---|
| Key Vault 应启用删除保护 | 你组织中的恶意内部人员可能会删除和清除密钥保管库。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 | 审核、拒绝、已禁用 | 2.0.0 |
请参阅 Key Vault 的 Azure Policy 内置策略定义的完整索引。
面向 Log Analytics 代理弃用的 Defender for Cloud 计划和策略
预计更改日期:2024 年 8 月
Azure Log Analytics 代理(也称为 Microsoft Monitoring Agent [MMA])将于 2024 年 8 月停用。因此,依赖于 Log Analytics 代理的两个 Defender for Cloud 计划的功能将会受到影响,并且它们更新了策略:Defender for Servers 和计算机上的 Defender for SQL Server。
关键策略点
- Azure Monitor 代理 (AMA) 不是 Defender for Servers 产品/服务的要求,但作为 Defender for SQL 的一部分仍是必需的。
- Defender for Servers 基于 MMA 的特性和功能将于 2024 年 8 月在其 Log Analytics 版本中弃用,并在 MMA 弃用日期之前通过替代基础结构提供。
- 此外,将会相应调整提供两个代理 (MMA/AMA) 安装和配置的当前共享自动预配过程。
适用于服务器的 Defender
下表说明了 Log Analytics 代理停用后如何提供每项功能:
| 功能 | 弃用计划 | 替代项 |
|---|---|---|
| 适用于下层计算机的 Defender for Endpoint/Defender for Cloud 集成(Windows Server 2012 R2、2016) | 2024 年 8 月之后,将不会支持使用旧版 Defender for Endpoint 传感器的 Defender for Endpoint 传感器和 Log Analytics 代理 (适用于 Windows Server 2016 和 Windows Server 2012 R2 计算机)的 Defender for Endpoint 集成。 | 启用 GA 统一代理集成以保持对计算机的支持,并接收完整的扩展功能集。 |
| 操作系统级威胁检测(基于代理) | 基于 Log Analytics 代理的 OS 级威胁检测在 2024 年 8 月之后将不可用。 即将提供已弃用检测的完整列表。 | OS 级检测由 Defender for Endpoint 集成提供,并已正式发布。 |
| 自适应应用程序控制 | 基于 Log Analytics 代理的当前 GA 版本与基于 Azure 监视代理的预览版本将于 2024 年 8 月弃用。 | 目前的自适应应用程序控制功能将停用,应用程序控制领域中的新功能(基于目前 Defender for Endpoint 和 Windows Defender 应用程序控制提供的功能)将被视为未来 Defender for Servers 路线图的一部分。 |
| 缺少操作系统补丁(系统更新) | 2024 年 8 月之后,将不会提供基于 Log Analytics 代理应用系统更新的建议。 当通过 Microsoft Defender 漏洞管理高级功能提供替代项时,现在通过来宾配置代理提供的预览版将弃用。 Docker 中心和 VMMS 对此功能的支持将于 2024 年 8 月弃用,并且将被视为未来 Defender for Servers 路线图的一部分。 | 基于与更新管理器的集成,新建议已正式发布,且没有代理依赖项。 |
| OS 配置错误(Azure 安全基准建议) | 基于 Log Analytics 代理的当前 GA 版本在 2024 年 8 月后将不可用。 随着 Microsoft Defender 漏洞管理集成的推出,将会弃用使用来宾配置代理的当前预览版本。 | 2024 年初,基于与高级 Microsoft Defender 漏洞管理集成的新版本将会作为 Defender for Servers 计划 2 的一部分推出。 |
| 文件完整性监视 | 基于 Log Analytics 代理的当前 GA 版本在 2024 年 8 月后将不可用。 | 此功能的新版本将在 2024 年 4 月前基于 Microsoft Defender for Endpoint 集成提供。 |
| 适用于数据引入的 500 MB 权益 | 对于 Defender for Servers P2 涵盖的订阅下的计算机,仍将通过 AMA 代理支持通过定义的表进行数据引入的 500 MB 权益。 每台计算机仅有资格享受一次权益,即使计算机上同时安装了 Log Analytics 代理和 Azure Monitor 代理也是如此。 |
计算机上的 Defender for SQL Server
计算机上的 Defender for SQL Server 计划依赖于 Log Analytics 代理 (MMA) / Azure 监视代理 (AMA),可为 IaaS SQL Server 实例提供漏洞评估和高级威胁防护。 该计划支持处于正式发布状态的 Log Analytics 代理自动预配,以及处于公共预览状态的 Azure 监视代理自动预配。
以下部分介绍了计划引入面向 SQL Server 的新 Azure 监视代理 (AMA) 自动预配过程,以及 Log Analytics 代理 (MMA) 的弃用过程。 由于 AMA 要求,使用 MMA 的本地 SQL 服务器在迁移到新进程时需要使用 Azure Arc 代理。 使用新自动预配过程的客户将受益于简单无缝的代理配置,从而减少载入错误并提供更广泛的保护范围。
| 里程碑 | Date | 详细信息 |
|---|---|---|
| 面向 SQL 的 AMA 自动预配公共预览版本 | 2023 年 10 月 | 新的自动预配过程将仅面向已注册 Azure 的 SQL 服务器(Azure VM 上的 SQL Server /已启用 Arc 的 SQL Server)。 当前 AMA 自动预配过程及其相关策略计划将被弃用。 它仍可供客户使用,但他们不符合获得支持的条件。 |
| 面向 SQL 的 AMA 自动预配 GA 版本 | 2023 年 12 月 | 面向 SQL 的 AMA 自动预配进程的正式发布版本。 发布后,它将定义为所有新客户的默认选项。 |
| MMA 弃用 | 2024 年 8 月 | 当前 MMA 自动预配过程及其相关策略计划将被弃用。 它仍可供客户使用,但他们不符合获得支持的条件。 |
弃用两个安全事件
预计更改日期:2023 年 11 月
在质量改进过程后,以下安全事件设置为弃用:Security incident detected suspicious virtual machines activity 和 Security incident detected on multiple machines。