即将推出的对 Microsoft Defender for Cloud 的重要更改
重要
此页上的信息与预发行的产品或功能相关,这些产品或功能在正式发布之前可能会进行重大修改(如果有的话)。 对于此处提供的信息,Microsoft 不做任何承诺或者明示或暗示的保证。
在此页上,你可了解针对 Defender for Cloud 计划的更改。 此页介绍对产品所做的计划性修改,这些修改可能会影响安全分数或工作流之类的内容。
计划的更改
| 计划的更改 | 公告日期 | 预计更改日期 |
|---|---|---|
| Defender for Cloud 服务级别 2 名称汇总 | 2023 年 11 月 1 日 | 2023 年 12 月 |
| Microsoft 成本管理中对 Microsoft Defender for Cloud 成本的呈现方式的变更 | 2023 年 10 月 25 日 | 2023 年 11 月 |
| 将“Key Vault 应启用清除保护”建议替换为合并建议“Key Vault 应启用删除保护” | 2023 年 6 月 | |
| Log Analytics 每日上限变更 | 2023 年 9 月 | |
| 弃用两个安全事件 | 2023 年 11 月 | |
| 面向 Log Analytics 代理弃用的 Defender for Cloud 计划和策略 | 2024 年 8 月 |
Defender for Cloud 服务级别 2 名称汇总
公告日期:2023 年 11 月 1 日
预计更改日期:2023 年 12 月
我们正在将所有 Defender for Cloud 计划的旧服务级别 2 名称合并为一个新的服务级别 2 名称 - Microsoft Defender for Cloud。
如今,有 4 个服务级别 2 名称:Azure Defender、高级威胁防护、高级数据安全和安全中心。 Microsoft Defender for Cloud 的各种计量按照这些单独的服务级别 2 名称进行分组,这在使用成本管理 + 计费、开具发票和其他 Azure 计费相关工具时造成了复杂性。
这项更改将简化查看 Defender for Cloud 费用的过程,并让你更清楚地了解成本分析。
为了确保平稳过渡,我们采取了措施来保持产品/服务名称、SKU 和计量 ID 的一致性。 受影响的客户将收到包含信息的 Azure 服务通知,其中就更改进行了说明。
通过调用 API 检索成本数据的组织需要更新其调用中的值以适应更改。 例如,在此筛选器函数中,值将不返回任何信息:
"filter": {
"dimensions": {
"name": "MeterCategory",
"operator": "In",
"values": [
"Advanced Threat Protection",
"Advanced Data Security",
"Azure Defender",
"Security Center"
]
}
}
此更改计划于 2023 年 12 月 1 日生效。
| 旧服务级别 2 名称 | 新服务级别 2 名称 | 服务层级 - 服务级别 4(无更改) |
|---|---|---|
| 高级数据安全 | Microsoft Defender for Cloud | Defender for SQL |
| 高级威胁防护 | Microsoft Defender for Cloud | 适用于容器注册表的 Defender |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for DNS |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for Key Vault |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for Kubernetes |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for MySQL |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for PostgreSQL |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for Resource Manager |
| 高级威胁防护 | Microsoft Defender for Cloud | Defender for Storage |
| Azure Defender | Microsoft Defender for Cloud | 适用于外部攻击面管理的 Defender |
| Azure Defender | Microsoft Defender for Cloud | Defender for Azure Cosmos DB |
| Azure Defender | Microsoft Defender for Cloud | Defender for Containers |
| Azure Defender | Microsoft Defender for Cloud | Defender for MariaDB |
| 安全中心 | Microsoft Defender for Cloud | Defender for App Service |
| 安全中心 | Microsoft Defender for Cloud | 适用于服务器的 Defender |
| 安全中心 | Microsoft Defender for Cloud | Defender CSPM |
Microsoft 成本管理中对 Microsoft Defender for Cloud 成本的呈现方式的更改
公告日期:2023 年 10 月 26 日
预计更改日期:2023 年 11 月
在 11 月,Microsoft Defender for Cloud 成本在成本管理和订阅发票中的呈现方式将发生更改。
将列示每个受保护的资源的成本,而不是订阅的所有资源的总成本。
如果资源已应用标记(组织通常使用标记来执行财务退款流程),则会将其添加到相应的计费行。
将“密钥保管库应启用清除保护”建议替换为“密钥保管库应启用删除保护”这一组合建议
预计更改日期:2023 年 6 月
Key Vaults should have purge protection enabled 建议已在监管合规性仪表板/Azure 安全基准计划中弃用,并替换为新的合并建议 Key Vaults should have deletion protection enabled。
| 建议名称 | 说明 | 效果 | 版本 |
|---|---|---|---|
| Key Vault 应启用删除保护 | 你组织中的恶意内部人员可能会删除和清除密钥保管库。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 | 审核、拒绝、已禁用 | 2.0.0 |
请参阅 Key Vault 的 Azure Policy 内置策略定义的完整索引。
预览要弃用的 DNS 服务器警报
预计更改日期:2023 年 8 月
根据质量改进过程,DNS 服务器的安全警报将在 8 月弃用。 对于云资源,请使用 Azure DNS 接收相同的安全值。
下表列出了要弃用的警报:
| AlertDisplayName | AlertType |
|---|---|
| 与可疑的随机域名通信(预览) | DNS_RandomizedDomain |
| 与威胁情报识别的可疑域通信(预览版) | DNS_ThreatIntelSuspectDomain |
| 数字货币挖掘活动(预览) | DNS_CurrencyMining |
| 网络入侵检测签名激活(预览) | DNS_SuspiciousDomain |
| 尝试与可疑的经 Sinkhole 处理的域通信(预览) | DNS_SinkholedDomain |
| 与可能的网络钓鱼域通信(预览) | DNS_PhishingDomain |
| 可能的经由 DNS 隧道的数据传输(预览) | DNS_DataObfuscation |
| 可能的经由 DNS 隧道的数据外泄(预览) | DNS_DataExfiltration |
| 与可疑的算法生成的域通信(预览) | DNS_DomainGenerationAlgorithm |
| 可能的经由 DNS 隧道的数据下载(预览) | DNS_DataInfiltration |
| 匿名网络活动(预览) | DNS_DarkWeb |
| 使用 Web 代理的匿名网络活动(预览) | DNS_DarkWebProxy |
Log Analytics 每日上限变更
Azure Monitor 提供对 Log Analytics 工作区上引入的数据设置每日上限的功能。 但是,这些排除项目前不支持 Defender for Cloud 安全事件。
从 2023 年 9 月 18 日开始,Log Analytics 每日上限将不再排除以下一组数据类型:
- WindowsEvent
- SecurityAlert
- SecurityBaseline
- SecurityBaselineSummary
- SecurityDetection
- SecurityEvent
- WindowsFirewall
- MaliciousIPCommunication
- LinuxAuditLog
- SysmonEvent
- ProtectionStatus
- 更新
- UpdateSummary
- CommonSecurityLog
- Syslog
届时,如果满足每日上限,将会为所有计费数据类型设置上限。 此更改可提高你完全控制高于预期的数据引入成本的能力。
详细了解使用 Microsoft Defender for Cloud 的工作区。
关键策略点
- Azure Monitor 代理 (AMA) 不是 Defender for Servers 产品/服务的要求,但作为 Defender for SQL 的一部分仍是必需的。
- Defender for Servers 基于 MMA 的特性和功能将于 2024 年 8 月在其 Log Analytics 版本中弃用,并在 MMA 弃用日期之前通过替代基础结构提供。
- 此外,将会相应调整提供两个代理 (MMA/AMA) 安装和配置的当前共享自动预配过程。
适用于服务器的 Defender
下表说明了 Log Analytics 代理停用后如何提供每项功能:
| 功能 | 弃用计划 | 替代项 |
|---|---|---|
| 适用于下层计算机的 Defender for Endpoint/Defender for Cloud 集成(Windows Server 2012 R2、2016) | 2024 年 8 月之后,将不会支持使用旧版 Defender for Endpoint 传感器的 Defender for Endpoint 传感器和 Log Analytics 代理 (适用于 Windows Server 2016 和 Windows Server 2012 R2 计算机)的 Defender for Endpoint 集成。 | 启用 GA 统一代理集成以保持对计算机的支持,并接收完整的扩展功能集。 |
| 操作系统级威胁检测(基于代理) | 基于 Log Analytics 代理的 OS 级威胁检测在 2024 年 8 月之后将不可用。 即将提供已弃用检测的完整列表。 | OS 级检测由 Defender for Endpoint 集成提供,并已正式发布。 |
| 自适应应用程序控制 | 基于 Log Analytics 代理的当前 GA 版本与基于 Azure 监视代理的预览版本将于 2024 年 8 月弃用。 | 目前的自适应应用程序控制功能将停用,应用程序控制领域中的新功能(基于目前 Defender for Endpoint 和 Windows Defender 应用程序控制提供的功能)将被视为未来 Defender for Servers 路线图的一部分。 |
| 缺少操作系统补丁(系统更新) | 2024 年 8 月之后,将不会提供基于 Log Analytics 代理应用系统更新的建议。 当通过 Microsoft Defender 漏洞管理高级功能提供替代项时,现在通过来宾配置代理提供的预览版将弃用。 Docker 中心和 VMMS 对此功能的支持将于 2024 年 8 月弃用,并且将被视为未来 Defender for Servers 路线图的一部分。 | 基于与更新管理器的集成,新建议已正式发布,且没有代理依赖项。 |
| OS 配置错误(Azure 安全基准建议) | 基于 Log Analytics 代理的当前 GA 版本在 2024 年 8 月后将不可用。 随着 Microsoft Defender 漏洞管理集成的推出,将会弃用使用来宾配置代理的当前预览版本。 | 2024 年初,基于与高级 Microsoft Defender 漏洞管理集成的新版本将会作为 Defender for Servers 计划 2 的一部分推出。 |
| 文件完整性监视 | 基于 Log Analytics 代理的当前 GA 版本在 2024 年 8 月后将不可用。 | 此功能的新版本将在 2024 年 4 月前基于 Microsoft Defender for Endpoint 集成提供。 |
| 适用于数据引入的 500 MB 权益 | 对于 Defender for Servers P2 涵盖的订阅下的计算机,仍将通过 AMA 代理支持通过定义的表进行数据引入的 500 MB 权益。 每台计算机仅有资格享受一次权益,即使计算机上同时安装了 Log Analytics 代理和 Azure Monitor 代理也是如此。 |
计算机上的 Defender for SQL Server
计算机上的 Defender for SQL Server 计划依赖于 Log Analytics 代理 (MMA) / Azure 监视代理 (AMA),可为 IaaS SQL Server 实例提供漏洞评估和高级威胁防护。 该计划支持处于正式发布状态的 Log Analytics 代理自动预配,以及处于公共预览状态的 Azure 监视代理自动预配。
以下部分介绍了计划引入面向 SQL Server 的新 Azure 监视代理 (AMA) 自动预配过程,以及 Log Analytics 代理 (MMA) 的弃用过程。 由于 AMA 要求,使用 MMA 的本地 SQL 服务器在迁移到新进程时需要使用 Azure Arc 代理。 使用新自动预配过程的客户将受益于简单无缝的代理配置,从而减少载入错误并提供更广泛的保护范围。
| 里程碑 | Date | 详细信息 |
|---|---|---|
| 面向 SQL 的 AMA 自动预配公共预览版本 | 2023 年 10 月 | 新的自动预配过程将仅面向已注册 Azure 的 SQL 服务器(Azure VM 上的 SQL Server /已启用 Arc 的 SQL Server)。 当前 AMA 自动预配过程及其相关策略计划将被弃用。 它仍可供客户使用,但他们不符合获得支持的条件。 |
| 面向 SQL 的 AMA 自动预配 GA 版本 | 2023 年 12 月 | 面向 SQL 的 AMA 自动预配进程的正式发布版本。 发布后,它将定义为所有新客户的默认选项。 |
| MMA 弃用 | 2024 年 8 月 | 当前 MMA 自动预配过程及其相关策略计划将被弃用。 它仍可供客户使用,但他们不符合获得支持的条件。 |
弃用两个安全事件
预计更改日期:2023 年 11 月
在质量改进过程后,以下安全事件设置为弃用:Security incident detected suspicious virtual machines activity 和 Security incident detected on multiple machines。