Defender for Cloud-新增功能存档

本页提供有关超过 6 个月的功能、修补程序和弃用的信息。 有关最新更新，请阅读 Defender for Cloud？。

2025 年 6 月

用于存储恶意软件扫描结果的可选索引标记（预览版）

2025 年 6 月 25 日

存储恶意软件扫描的Defender为上传和按需扫描引入了可选的索引标记。 借助这项新功能，用户可以选择在扫描 Blob 时将结果发布到 Blob 的索引标记（默认选项），或者不使用索引标记。 可以通过Azure门户或 API 在订阅和存储帐户级别启用或禁用索引标记。

无代理代码扫描 - 现已提供GitHub支持和可自定义覆盖范围（预览版）

2025 年 6 月 18 日

我们更新了无代理代码扫描功能，包括扩展覆盖范围和控制的关键功能。 这些更新包括：

• 除了Azure DevOps之外，还支持GitHub存储库
• 可自定义扫描程序选择 - 选择要运行的工具（例如，Bandit、Checkov、ESLint）
• 精细范围配置 - 包括或排除特定组织、项目或存储库

无代理代码扫描提供可扩展的安全扫描解决方案，用于代码和基础设施即代码（IaC），无需更改 CI/CD 管道。 它可帮助安全团队检测漏洞和配置错误，而不会中断开发人员工作流。

详细了解如何在 Azure DevOps 或 GitHub。

2025 年 5 月

活动用户（公共预览版）

活动用户功能可帮助安全管理员根据最近的控制平面活动快速识别并分配建议给最相关的用户。 对于每个建议，资源、资源组或订阅级别最多建议三个潜在活动用户。 管理员可以从列表中选择一个用户，分配建议，并设置截止日期，从而触发分配给分配的用户的通知。 这样可简化修正工作流，缩短调查时间，并增强整体安全态势。

2025 年 4 月

GitHub应用程序权限更新

2025 年 4 月 29 日

Defender for Cloud中的GitHub连接器将更新为包含 [自定义属性]的管理员权限。 此权限用于提供新的上下文化功能，并限定为管理自定义属性架构。 可通过两种不同的方式授予权限：

1. 在 GitHub 组织中，导航到 Settings GitHub Apps并接受权限请求。

2. 在GitHub支持的自动电子邮件中，选择Review 权限请求接受或拒绝此更改。

注意：如果未执行上述作，现有连接器将继续工作，而不使用新功能。

更新为计算机计划上的 SQL Server Defender

2025 年 4 月 28 日

Microsoft Defender for Cloud中SQL Server Defender可保护托管在Azure和本地计算机上的SQL Server实例。

从今天开始，我们将逐步推出针对该计划的代理解决方案的增强版。 基于代理的解决方案无需部署Azure Monitor代理（AMA），而是使用现有的 SQL 基础结构。 该解决方案旨在简化载入过程并提高保护覆盖范围。

所需的客户操作

1. 更新计算机计划配置上的 SQL Server Defender：在今天之前为计算机计划中SQL Server启用Defender的客户需要按照以下说明更新其配置，遵循增强的代理版本。

2. Verify SQL Server 实例保护状态：预计开始日期为 2025 年 5 月，客户必须在环境中验证其SQL Server实例的保护状态。 了解如何在计算机配置上Defender sql troubleshoot 任何部署问题。

应用服务警报Defender增强功能

2025 年 4 月 7 日

2025 年 4 月 30 日，将增强应用服务警报功能的Defender。 我们将针对可疑的代码执行行为以及对内部或远程端点的访问添加警报。 此外，通过扩展逻辑并删除导致不必要的干扰的警报，改进了相关警报的覆盖范围和降低干扰。 在此过程中，将弃用警报“检测到可疑的 WordPress 主题调用”。

2025 年 3 月

通过针对 AKS 节点的漏洞评估和恶意软件检测增强的容器保护现已正式发布

2025 年 3 月 30 日

Defender for Cloud现在为Azure Kubernetes Service (AKS)中的节点提供漏洞评估和恶意软件检测作为正式版。 为这些 Kubernetes 节点提供安全保护，使客户能够在整个托管 Kubernetes 服务中维护安全性和合规性，并了解他们与托管云提供商共同承担的安全责任。

漏洞评估

现在，Azure门户中提供了新建议：AKS 节点应具有已解决的漏洞发现。使用此建议，现在可以查看和修正在Azure Kubernetes Service (AKS)节点上发现的漏洞和 CVE。

恶意软件检测

当无代理恶意软件检测功能在 AKS 节点中检测到恶意软件时，将触发新的安全警报。 无代理恶意软件检测使用Microsoft Defender防病毒反恶意软件引擎扫描和检测恶意文件。 检测到威胁时，安全警报将定向到Defender for Cloud和Defender XDR，可在其中进行调查和修正。

Note： AKS 节点的恶意软件检测仅适用于容器的Defender，或适用于启用了服务器 P2 环境的Defender。

可在存储Defender中自定义上传恶意软件扫描筛选器（预览版）

2025 年 3 月 27 日

上传恶意软件扫描现在支持可自定义的筛选器。 用户可以根据 blob 路径前缀、后缀和 Blob 大小设置上传恶意软件扫描的排除规则。 通过排除特定的 Blob 路径和类型（例如日志或临时文件），可以避免不必要的扫描并降低成本。

即将对建议严重性级别的更改

2025 年 3 月 11 日

我们正在增强建议的严重性级别，以提高风险评估和优先级。 作为此更新的一部分，我们重新评估了所有严重性分类，并引入了新的级别 - 关键级别。 以前，建议分为三个级别：低、中和高。 通过此更新，现在有四个不同的级别：低、中、高和关键，提供更精细的风险评估，帮助客户专注于最紧迫的安全问题。

因此，客户可能会注意到现有建议的严重性发生更改。 此外，风险级别评估仅适用于Defender CSPM客户，也可能受到影响，因为考虑了建议严重性和资产上下文。 这些调整可能会影响总体风险级别。

预计的更改将于 2025 年 3 月 25 日进行。

2025 年 2 月

Defender存储恶意软件扫描 blob，最大为 50 GB

2025 年 2 月 27 日

Defender存储恶意软件扫描现在支持大小高达 50GB 的 blob（以前限制为 2GB）。

请注意，对于上传大型 Blob 的存储帐户，增加的 Blob 大小限制将导致每月费用增加。

针对 AKS 运行时容器的容器注册表无关无代理漏洞评估（预览版）

2025 年 2 月 23 日

对于容器和Defender for Cloud安全状况管理（CSPM）计划，Defender现在包括 AKS 运行时容器的容器注册表不可知的无代理漏洞评估。 除了扫描 AKS 群集中运行的 Kubernetes 加载项和第三方工具外，此增强功能还扩展了漏洞评估范围，包括包含来自任何注册表（不限于受支持注册表）的映像正在运行的容器。 若要启用此功能，请确保在 Defender for Cloud 环境设置中为订阅启用了 Agentless 计算机扫描。

MDC 成本计算器（预览版）

2025 年 2 月 19 日

我们很高兴推出新的 MDC 成本计算器，帮助你轻松估算与保护云环境相关的成本。 此工具量身定制，便于你清晰、准确地了解你的支出，从而确保你能够有效地进行规划和预算。

为何要使用成本计算器？

我们的成本计算器可用于定义保护需求的范围，从而简化了估算成本的过程。 选择要启用的环境和计划，然后计算器会自动填充每个计划的可计费资源，包括任何适用的折扣。 你将毫无意外地全面了解你的潜在成本。

主要功能：

范围定义： 选择感兴趣的计划和环境。 计算器会执行发现过程，自动填充每个环境中每个计划的计费单位数。

自动调整和手动调整：该工具支持自动收集数据和手动调整。 可修改单位数量和折扣级别，以查看更改如何影响总体成本。

综合成本估算：计算器为每个计划提供估算值并提供总成本报告。 你会获得详细的成本明细，更轻松地理解和管理支出。

多云支持： 我们的解决方案适用于所有受支持的云，确保无论云提供商如何，都能获得准确的成本估算。

导出和共享：获得成本估算后，可以轻松导出和共享该值进行预算规划和审批。

2025 年 1 月

更新容器注册表的扫描标准

2025 年 1 月 30 日

我们正在更新所有云和外部注册表（Azure、Docker、JFrog）的注册表映像预览建议中的注册表映像扫描条件之一。

有什么变化？

目前，在映像被推送到注册表后，我们将映像重新扫描 90 天。 现在将改回扫描 30 天。

针对由 MDVM 提供技术支持的容器漏洞评估扫描的增强功能

2025 年 1 月 29 日

我们很高兴宣布通过以下更新增强了对容器漏洞评估扫描的覆盖范围：

• 其他编程语言：现在支持 PHP、Ruby 和 Rust。

• Extended Java 语言支持：包括扫描爆炸的 JAR。

• 改进了内存使用：读取大型容器映像文件时优化了性能。

2024 年 12 月

Defender for Cloud设置体验

2024 年 12 月 10 日

通过安装体验，可以通过连接云基础结构、代码存储库和外部容器注册表等云环境，通过Microsoft Defender for Cloud启动初始步骤。

在设置云环境的过程中，你将得到指导，以便使用先进的安全性计划来保护你的资产，轻松执行快速操作以大规模提高安全覆盖范围，了解连接问题，并接收新安全功能的通知。 可以通过选择 Setup 导航到Defender for Cloud菜单中的新体验。

2024 年 11 月

Defender存储恶意软件扫描 blob 高达 50 GB （预览版）

2024 年 11 月 25 日

预计更改日期：2024 年 12 月 1 日

从 2024 年 12 月 1 日开始，存储恶意软件扫描Defender将支持最大大小为 50GB 的 blob（以前限制为 2GB）。

请注意，对于上传大型 Blob 的存储帐户，增加的 Blob 大小限制将导致每月费用增加。

更新了针对托管 Kubernetes 环境的 CIS 标准版本，并新增建议。

2024 年 11 月 19 日

Defender for Cloud的法规合规性仪表板现在提供更新版本的 Internet 安全中心（CIS）标准，用于评估托管 Kubernetes 环境的安全状况。

为了确保这些标准的覆盖深度达到最佳水平，我们还发布了 79 个新的以 Kubernetes 为中心的建议，从而丰富了我们的覆盖范围。

若要使用这些新建议，请分配上面列出的标准或创建自定义标准，并在其中添加一个或多个新评估。

Defender for Containers 支持 JFrog Artifactory 容器注册表（预览版）

2024 年 11 月 18 日

此功能扩展了外部注册表容器覆盖范围的Microsoft Defender，以包括 JFrog Artifactory。 使用Microsoft Defender Vulnerability Management扫描 JFrog Artifactory 容器映像，以识别安全威胁并缓解潜在的安全风险。

介绍适用于 Kubernetes Pod 的云原生响应操作（预览版）

Defender for Cloud现在为 Kubernetes Pod 提供多云响应操作，可通过 Defender XDR 门户进行独占访问。 这些功能增强了 AKS、EKS 和 GKE 群集的事件响应。

下面是新的响应操作：

网络隔离 - 立即阻止发送到 Pod 的所有流量，防止横向移动和数据外泄。 需要在 kubernetes 群集上配置网络策略。

Pod 终止 - 快速终止可疑 Pod，停止恶意活动，而不会中断更广泛的应用程序。

这些操作使 SOC 团队能够在各个云环境中有效地遏制威胁。

容器的威胁分析报告

我们引入了专用威胁分析报告，旨在借此全面了解针对容器化环境的威胁。 此报告为 SOC 团队提供见解，以检测和应对 AKS、EKS 和 GKE 群集上的最新攻击模式。

关键亮点：

• 详细分析 Kubernetes 环境中的主要威胁和相关攻击技术。
• 提供可操作的建议，以加强云原生安全状况并缓解新出现的风险。

GoHunt for Kubernetes Pod &Azure资源

GoHunt 现在扩展了其搜寻功能，以在 Defender XDR 门户中包括 Kubernetes Pod 和Azure资源。 此功能增强了主动威胁搜寻能力，使 SOC 分析师能够跨云原生工作负载进行深入调查。

主要功能：

• 用于检测 Kubernetes Pod 和Azure资源中的异常的高级查询功能，提供更丰富的威胁分析上下文。
• 与 Kubernetes 实体无缝集成，以高效搜寻并调查威胁。

Security Copilot Kubernetes Pod 的引导式响应

介绍 Kubernetes Pod 的引导式响应，这是由Security Copilot提供支持的功能。 这一新功能提供实时的分步指导，帮助 SOC 团队快速有效地应对容器威胁。

主要优势：

• 针对常见 Kubernetes 攻击场景定制的上下文响应剧本。
• 专家、来自Security Copilot的实时支持，弥合知识差距，实现更快的解决。

通过针对 AKS 节点的漏洞评估和恶意软件检测增强了容器保护（预览版）

2024 年 11 月 13 日

Defender for Cloud现在为Azure Kubernetes Service (AKS)中的节点提供漏洞评估和恶意软件检测，并明确客户对其与托管云提供商共同承担的安全责任。

为这些 Kubernetes 节点提供安全保护让客户能够在整个托管 Kubernetes 服务中保持安全与合规。

若要接收新功能，必须在订阅中为Defender CSPM、容器Defender Defender或订阅中的 Server P2 计划启用无代理扫描选项。

漏洞评估

现在，Azure门户中提供了新建议：AKS nodes should have vulnerability findings resolved。 通过此建议，现在可以查看和修正在Azure Kubernetes Service (AKS)节点上发现的漏洞和 CVE。

恶意软件检测

当无代理恶意软件检测功能在 AKS 节点中检测到恶意软件时，将触发新的安全警报。

无代理恶意软件检测使用Microsoft Defender防病毒反恶意软件引擎扫描和检测恶意文件。 检测到威胁时，安全警报将定向到Defender for Cloud和Defender XDR，可在其中进行调查和修正。

升级版 Kubernetes (K8s) 警报文档和仿真工具

2024 年 11 月 7 日

主要功能

• 基于场景的警报文档：K8s 警报现在根据实际场景记录在案，提供更清晰的指导来应对潜在威胁和建议操作。
• Microsoft Defender for Endpoint（MDE）集成：警报通过 MDE 的其他上下文和威胁情报丰富，从而提高了有效响应的能力。
• 新的模拟工具：强大的模拟工具可通过模拟各种攻击方案和生成相应的警报来测试安全状况。

优点

• 警报理解的改进：方案化文档提供了对 K8s 警报的更直观理解。
• 增强的威胁响应：通过有价值的上下文扩充警报内容，可实现更快、更准确的响应。
• 主动安全测试：新的模拟工具允许你测试安全防御，并提前识别可能被利用的漏洞。

增强了对 API 敏感数据分类的支持

2024 年 11 月 6 日

Microsoft Defender for Cloud将 API 安全敏感数据分类功能扩展到 API URL 路径和查询参数以及 API 请求和响应，包括 API 属性中找到的敏感信息源。 选择具有敏感数据的 API 管理作时，“攻击路径分析”体验、云安全资源管理器的 “其他详细信息 ”页以及“API 集合详细信息”页下的“API 安全仪表板”中提供了此信息，并提供了对找到的敏感数据的详细见解的新侧上下文菜单。 使安全团队能够有效地定位和缓解数据泄露风险。

新的支持将 Azure API Management API 终结点映射到后端计算

2024 年 11 月 6 日

Defender for Cloud的 API 安全状况现在支持将通过Azure API Management网关发布的 API 终结点映射到Defender云安全状况管理（Defender CSPM）云安全资源管理器中的后端计算资源（例如虚拟机）。 此可见性有助于识别路由到后端云计算目标的 API 流量，使你能够检测和解决与 API 终结点及其连接的后端资源相关的风险。

针对多区域Azure API Management部署和管理 API 修订的增强 API 安全支持

2024 年 11 月 6 日

Defender for Cloud中的 API 安全覆盖范围现在将完全支持Azure API Management多区域部署，包括对主要区域和次要区域的完整安全状况和威胁检测支持

现在，Azure API Management API 级别管理将载入和卸载 API 到 Defender。 所有关联的Azure API Management修订将自动包含在进程中，无需单独管理每个 API 修订的载入和卸载。

此更改包括针对 API 客户的现有Defender的一次性推出。

推出详细信息：

• 11 月 6 日，现有 API 客户的Defender将在 11 月 6 日推出。
• 如果Azure API Management API 的“当前”修订版已载入到 API Defender，该 API 的所有关联修订也将自动载入到 API Defender。
• 如果Azure API Management API 的“当前”修订未载入到 API Defender，则载入到 API Defender 的任何关联 API 修订都将卸载。

2024 年 10 月

MMA 迁移体验现已推出

2024 年 10 月 28 日

现在，你可以确保所有环境都已为 2024 年 11 月底预期的Log Analytics代理（MMA）弃用做好了充分的准备。

已弃用三项合规标准

2024 年 10 月 14 日

预计更改日期：2024 年 11 月 17 日

即将从产品中移除三项合规标准：

• SWIFT CSP-CSCF v2020 （for Azure） - 此版本已被 v2022 版本取代
• CIS Microsoft Azure Foundations Benchmark v1.1.0 和 v1.3.0 - 我们提供了两个较新版本（v1.4.0 和 v2.0.0）

在 Available 合规性标准0 中详细了解 Defender for Cloud 中提供的符合性标准。

二进制偏移检测已正式发布

2024 年 10 月 9 日

二进制偏移检测现已在容器计划的Defender中发布为正式发布。 请注意，二进制偏移检测现在适用于所有 AKS 版本。

更新的容器运行时建议（预览版）

2024 年 10 月 6 日

针对“AWS/Azure/GCP 中运行的容器应已解决漏洞发现”的预览建议已更新为将所有属于同一工作负荷的容器分组为单个建议，减少重复，并避免因新的和终止的容器而导致的波动。

自 2024 年 10 月 6 日起，以下评估 ID 将取代这些建议：

如果你当前正在通过 API 从这些建议中检索漏洞报告，请确保使用新的评估 ID 更新 API 调用。

安全图中的 Kubernetes 身份验证和访问控制信息（预览版）

2024 年 10 月 6 日

Kubernetes 标识和访问信息将添加到安全图中，包括表示所有 Kubernetes 基于角色Access Control（RBAC）相关实体（服务帐户、角色、角色绑定等）的节点，以及表示 Kubernetes 对象之间权限的边缘。 客户现在可以查询其 Kubernetes RBAC 的安全图表，以及 Kubernetes 实体之间的相关关系（可凭此身份进行身份验证、可以模拟为、授予角色、访问权限定义者、授予访问权限、有权访问等）

在支持的注册表中全面发现容器映像

2024 年 10 月 6 日

Defender for Cloud现在收集受支持注册表中所有容器映像的清单数据，从而为云环境中的所有映像提供安全图中的完整可见性，包括当前没有任何姿态建议的映像。

云安全资源管理器提供的查询功能得到了改进，因此用户现在可以根据元数据（摘要、存储库、操作系统、标签等）搜索容器映像。

2024 年 9 月

云安全浏览器体验改进

2024 年 9 月 22 日

预计更改日期：2024 年 10 月

云安全资源管理器旨在提高性能和网格功能，为每个云资产提供更多数据扩充功能，改进搜索类别，并完善 CSV 导出报告，为导出的云资产提供更多见解。

DEFENDER FOR CLOUD中提供了 FIM 迁移体验

2024 年 9 月 18 日

已发布产品内体验，允许通过 MMA 将 FIM 配置迁移到新的 FIM（通过终结点版本Defender）。 通过此体验，可以：

• 使用启用 MMA 的以前 FIM 版本检查受影响的环境，并进行必要的迁移。
• 从基于 MMA 的体验导出当前的 FIM 规则，并驻留在工作区中
• 通过新的基于 MDE 的 FIM 迁移到启用 P2 的订阅。

若要使用迁移体验，请导航到 “环境设置 ”窗格，然后选择上一行中的 MMA 迁移 按钮。

MMA 自动预配功能弃用

2024 年 9 月 18 日 作为 MMA 代理停用的一部分，也将分 2 个阶段弃用为 MDC 客户提供代理安装和配置的自动预配功能：

1. 到 2024 年 9 月底 - 对于不再使用该功能的客户以及新创建的订阅，将禁用 MMA 自动预配。 在 9 月底之后，将无法再在这些订阅上重新启用该功能。

2. 2024 年 11 月底 - 将在尚未关闭 MMA 自动预配的订阅上禁用该功能。 从该时刻开始，无法再在现有订阅上启用该功能。

与 Power BI 集成

2024 年 9 月 15 日

Defender for Cloud现在可以与Power BI集成。 通过此集成，可以使用来自Defender for Cloud的数据创建自定义报表和仪表板。 可以使用Power BI可视化和分析安全状况、合规性和安全建议。

详细了解新的 与 Power BI。

更新 CSPM 多云网络要求

2024 年 9 月 11 日

预计更改日期：2024 年 10 月

从 2024 年 10 月开始，我们将向多云发现服务添加额外的 IP 地址，以适应改进并确保所有用户获得更高效的体验。

若要确保从我们的服务不间断访问，应使用 此处提供的新范围更新 IP 允许列表。 应对防火墙设置、安全组或可能适用于你的环境的任何其他配置进行必要的调整。 该列表足以发挥 CSPM 基础（免费）产品的全部功能。

服务器功能弃用的Defender

2024 年 9 月 9 日

自适应应用程序控制和自适应网络强化现已弃用。

西班牙国家安全框架（Esquema Nacional de Seguridad （ENS）已添加到Azure的法规合规性仪表板

2024 年 9 月 9 日

希望检查其Azure环境是否符合 ENS 标准的组织现在可以使用Defender for Cloud执行此操作。

ENS 标准适用于西班牙整个公共部门，以及与行政部门合作的供应商。 它确立了保护以电子方式处理的信息和服务的基本原则、要求和安全措施。 目标是确保访问、机密性、完整性、可跟踪性、真实性、可用性和数据保留。

查看受支持的合规性标准的完整列表。

2024 年 8 月

停用Defender for Cloud警报与 Azure WAF 警报的集成

2024 年 8 月 22 日

预计更改日期：2024 年 9 月 25 日

Defender for Cloud警报与 Azure WAF 警报的集成将于 2024 年 9 月 25 日停用。 你无需采取任何措施。 对于Microsoft Sentinel客户，可以配置 Azure Web Application Firewall connector。

大规模为计算机上的 SQL Server 启用Microsoft Defender

2024 年 8 月 1 日

现在可以在政府云上大规模为计算机上的 SQL 服务器启用Microsoft Defender。 使用此功能，可以一次性为多个服务器上的 SQL 启用Microsoft Defender，从而节省时间和精力。

了解如何大规模为计算机上的 SQL Server 启用Microsoft Defender。

2024 年 7 月

弃用自适应网络强化

2024 年 7 月 31 日

预计更改日期：2024 年 8 月 31 日

服务器自适应网络强化Defender即将弃用。

此功能弃用包括以下体验：

• 建议： 应对面向 Internet 的虚拟机应用自适应网络强化建议 [评估密钥： f9f0eed0-f143-47bf-b856-671ea2eeed62]
• 警报： 从建议阻止的 IP 地址检测到的流量

弃用与 MMA 相关的功能，作为代理停用的一部分

2024 年 7 月 18 日

预计更改日期：2024 年 8 月

作为弃用Microsoft监视代理（MMA）和服务器部署策略更新的Defender，服务器Defender的所有安全功能现在将通过单个代理（Defender for Endpoint）或通过无代理扫描功能提供。 这不需要依赖于 MMA 或 Azure Monitoring Agent （AMA）。

当我们在 2024 年 8 月停用代理时，将从 Defender for Cloud 门户中删除以下与 MMA 相关的功能：

• 在 Inventory 和 Resource Health 边栏选项卡上显示 MMA 安装状态。
• 通过 Log Analytics 工作区将新的非Azure服务器载入Defender的功能将从 Inventory 和 Getting Started 边栏选项卡中删除。

可以使用 此自定义工作簿跟踪Log Analytics代理（MMA）资产，并监视跨 Azure VM 和 Azure Arc 计算机的服务器Defender部署状态。

GitHub应用程序权限更新

2024 年 7 月 11 日

预计更改日期：2024 年 7 月 18 日

Defender for Cloud中的 DevOps 安全性不断进行更新，这些更新要求具有GitHub连接器的客户Defender for Cloud更新 GitHub 中 Microsoft Security DevOps 应用程序的权限。

作为此更新的一部分，GitHub应用程序将需要GitHub Copilot Business 读取权限。 此权限将用于帮助客户更好地保护其GitHub Copilot部署。 建议尽快更新应用程序。

可通过两种不同的方式授予权限：

1. 在GitHub组织中，导航到 Settings > GitHub Apps 中的 Microsoft Security DevOps 应用程序并接受权限请求。

2. 在GitHub支持的自动电子邮件中，选择Review 权限请求接受或拒绝此更改。

清单体验改进

2024 年 7 月 9 日

预计更改日期：2024 年 7 月 11 日

清单体验将更新，以提高性能，包括对Azure Resource Graph窗格中的“打开查询”查询逻辑的改进。 对Azure资源计算背后的逻辑的更新可能会导致其他资源计数和显示。

在GitHub中默认运行的容器映射工具

2024 年 7 月 8 日

预计更改日期：2024 年 8 月 12 日

借助 Microsoft Defender Cloud Security Posture Management （CSPM）中的 DevOps 安全功能，可以将云原生应用程序从代码映射到云，以便轻松启动开发人员修正工作流，并减少修正容器映像中漏洞的时间。 目前，必须手动配置容器映像映射工具，以在 GitHub 中的 Microsoft Security DevOps 操作中运行。 进行此更改后，容器映射将默认作为 Microsoft Security DevOps 操作的一部分运行。 Learn 详细了解 Microsoft Security DevOps 操作。

2024 年 6 月

更新：SQL 漏洞评估自动启用

2024 年 6 月 10 日

预计更改日期：2024 年 7 月 10 日

最初，在 2022 年 12 月 Express Configuration 引入后激活 SQL Microsoft Defender的服务器上，才自动启用具有 Express Configuration 的 SQL 漏洞评估（VA）。

我们将更新在 2022 年 12 月之前为 SQL 激活Microsoft Defender的所有Azure SQL服务器，并且没有现有的 SQL VA 策略，以便使用 Express Configuration 自动启用 SQL 漏洞评估（SQL VA）。

• 此更改的实现将逐步完成，跨越数周，无需用户方执行任何操作。
• 此更改适用于在Azure订阅级别激活 SQL Microsoft Defender的Azure SQL服务器。
• 具有现有经典配置（无论有效还是无效）的服务器不会受到此更改的影响。
• 激活后，可能会出现“SQL 数据库应已解决漏洞结果”建议，并且可能会影响你的安全功能分数。

更新：对标识建议行为进行了更改

2024 年 6 月 3 日

预计更改日期：2024 年 7 月

这些更改：

• 评估的资源将成为标识而不是订阅
• 建议不再具有“子建议”
• API 中“assessmentKey”字段的值将针对这些建议进行更改

将适用于以下建议：

• 应启用对Azure资源具有所有者权限的帐户
• 应启用对Azure资源具有写入权限的帐户
• 应启用对Azure资源具有读取权限的帐户
• 应删除对Azure资源具有所有者权限的来宾帐户
• 应删除对Azure资源具有写入权限的来宾帐户
• 应删除对Azure资源具有读取权限的来宾帐户
• 应删除对Azure资源具有所有者权限的阻止帐户
• 应删除对Azure资源具有读取和写入权限的阻止帐户
• 最多只能为订阅指定 3 个所有者
• 应该为你的订阅分配了多个所有者

2024 年 5 月

更新：Microsoft Defender XDR中的高级搜寻包括Defender for Cloud警报和事件

2024 年 5 月 21 日

Defender for Cloud的警报和事件现已与Microsoft Defender XDR集成，可在Microsoft Defender门户中访问。 该整合为跨云资源、设备和身份的调查提供了更丰富的上下文。 了解 XDR 集成中的高级搜寻。

GA：安全策略管理

2024 年 5 月 2 日

云（Azure）的安全策略管理现已正式发布。 这使安全团队能够以一致的方式通过新功能管理其安全策略

详细了解 Microsoft Defender for Cloud 中的 安全策略。

弃用：移除 FIM（使用 AMA）

2024 年 5 月 1 日

预计更改日期：2024 年 8 月

作为 MMA 弃用和服务器更新部署策略的Defender的一部分，服务器安全功能的所有Defender将通过单个代理（MDE）或无代理扫描功能提供，并且不依赖于 MMA 或 AMA。

通过 Microsoft Defender for Endpoint （MDE） 的新版本文件完整性监视（FIM），可以通过实时监视关键文件和注册表、审核更改和检测可疑文件内容更改来满足合规性要求。

有关新 API 版本的详细信息，请参阅 Microsoft Defender for Cloud REST API。

2024 年 4 月

更新：CIEM 评估 ID 的更改

2024 年 4 月 16 日

预计更改日期：2024 年 5 月

以下建议计划进行重新建模，这将导致其评估 ID 发生更改：

• Azure overprovisioned identities should have only the necessary permissions
• Super identities in your Azure environment should be removed
• Unused identities in your Azure environment should be removed

更新：Open-Source 关系数据库的Defender

2024 年 4 月 3 日

• Defender PostgreSQL 灵活服务器后 GA 更新 - 更新使客户能够在订阅级别对现有 PostgreSQL 灵活服务器强制实施保护，从而完全灵活地按资源启用保护或订阅级别的所有资源的自动保护。
• Defender for MySQL 灵活服务器可用性和 GA - Defender for Cloud通过合并 MySQL 灵活服务器扩展了对Azure开源关系数据库的支持。

此版本包括：

• 与 MySQL 单一服务器Defender的现有警报的警报兼容性。
• 支持单个资源。
• 在订阅级别受支持。
• Azure Database for MySQL灵活服务器的更新将在未来几周内推出。 如果看到错误The server <servername> is not compatible with Advanced Threat Protection，可以等待更新，或打开支持票证以更快地将服务器更新到受支持的版本。

如果已使用开放源代码关系数据库的Defender保护订阅，则会自动启用、保护和计费灵活服务器资源。 已通过电子邮件向受影响的订阅发送具体的账单通知。

详细了解适用于开源关系数据库的 Microsoft Defender。

2024 年 3 月

正式发布：Windows容器映像扫描

2024 年 3 月 31 日

我们宣布了Windows容器映像的正式发布（正式版），支持Defender进行容器扫描。

更新：连续导出现在包括攻击路径数据

2024 年 3 月 25 日

我们宣布连续导出现在包括攻击路径数据。 此功能允许将安全数据流式传输到Log Analytics in Azure Monitor、Azure Event Hubs或其他安全信息和事件管理（SIEM）、安全业务流程自动响应（SOAR）或 IT 经典部署模型解决方案。

了解有关 连续导出的详细信息。

预览：基于 Azure KQL 的自定义建议

2024 年 3 月 17 日

基于 Azure 的 KQL 的自定义建议现在以公共预览版提供，并支持所有云。 有关详细信息，请参阅创建自定义安全标准和建议。

预览版：合规性标准已添加到合规性仪表板

2024 年 3 月 6 日

根据客户反馈，我们在预览版中添加了符合性标准，以Defender for Cloud。

查看受支持的合规性标准的完整列表

我们不断致力于为Azure环境添加和更新新标准。

了解如何分配安全标准。

更新：开放源代码关系数据库更新Defender

2024 年 3 月 6 日**

预计更改日期：2024 年 4 月

Defender PostgreSQL 灵活服务器后 GA 更新 - 更新使客户能够在订阅级别对现有 PostgreSQL 灵活服务器强制实施保护，从而完全灵活地按资源启用保护或订阅级别的所有资源的自动保护。

Defender for MySQL 灵活服务器可用性和 GA - Defender for Cloud设置为通过合并 MySQL 灵活服务器扩展对Azure开源关系数据库的支持。 此版本将包括：

• 与 MySQL 单一服务器Defender的现有警报的警报兼容性。
• 支持单个资源。
• 在订阅级别受支持。

如果已使用开放源代码关系数据库的Defender保护订阅，则会自动启用、保护和计费灵活服务器资源。 已通过电子邮件向受影响的订阅发送具体的账单通知。

详细了解适用于开源关系数据库的 Microsoft Defender。

更新：对合规性产品/服务的更改和Microsoft操作设置

2024 年 3 月 3 日

预计更改日期：2025 年 9 月 30 日

2025 年 9 月 30 日，访问两个预览功能的位置（合规性产品/服务和Microsoft操作）将发生更改。

列出Microsoft产品符合性状态的表（从 Compliance 产品/服务按钮访问Defender规范合规性仪表板）。 从 Defender for Cloud 中删除此按钮后，仍可使用 Service Trust Portal 访问此信息。

对于控件的子集，可从控件详细信息窗格中的“Microsoft操作（预览）按钮访问操作Microsoft操作。 删除此按钮后，可以通过访问 Microsoft 的 Service Trust Portal for FedRAMP 并访问Azure系统安全计划文档来查看Microsoft操作。

更新：访问合规性产品/服务和Microsoft操作的位置更改

2024 年 3 月 3 日**

预计变更日期：2025 年 9 月

2025 年 9 月 30 日，访问两个预览功能的位置（合规性产品/服务和Microsoft操作）将发生更改。

列出Microsoft产品符合性状态的表（从 Compliance 产品/服务按钮访问Defender规范合规性仪表板）。 从 Defender for Cloud 中删除此按钮后，仍可使用 Service Trust Portal 访问此信息。

对于控件的子集，可从控件详细信息窗格中的“Microsoft操作（预览）按钮访问操作Microsoft操作。 删除此按钮后，可以通过访问 Microsoft 的 Service Trust Portal for FedRAMP 并访问Azure系统安全计划文档来查看Microsoft操作。

2024 年 2 月

更新：容器Defender的云支持

2024 年 2 月 26 日

Azure Kubernetes Service (AKS)容器Defender中的威胁检测功能现在完全支持商业云、Azure Government云和Azure China 21Vianet云。 查看 支持的功能。

更新：适用于容器Defender的 Defender 传感器的新版本

2024 年 2 月 20 日

适用于容器Defender的 Defender 传感器的新版本 c0可用。 它包括性能和安全性改进、对 AMD64 和 Arm64 原型节点（仅限 Linux）的支持，并使用 Inspektor Gadget 作为进程收集代理而不是 Sysdig。 新版本仅在 Linux 内核版本 5.4 及更高版本上受支持，因此如果你有旧版本的 Linux 内核，则需要进行升级。 仅 AKS V1.29 及更高版本提供对 Arm64 的支持。 有关详细信息，请参阅支持的主机操作系统。

更新：开放容器计划 (OCI) 映像格式规范支持

2024 年 2 月 18 日

Open 容器计划（OCI）映像格式规范现在受漏洞评估支持，由 AWS Microsoft Defender Vulnerability Management 提供支持，Azure和;GCP 云。

更新：停用Microsoft。SecurityDevOps 资源提供程序

2024 年 2 月 5 日

预计更改日期：2024 年 3 月 6 日

Microsoft Defender for Cloud停用在 DevOps 安全性公共预览版期间使用的资源提供程序 Microsoft.SecurityDevOps，该提供程序已迁移到现有的 Microsoft.Security 提供程序。 此更改的原因是通过减少与 DevOps 连接器关联的资源提供程序数量来提高客户体验。

在 下仍在使用 API 版本 Microsoft.SecurityDevOps 的客户将受到影响，以查询 devOps 安全数据Defender for Cloud。 为了避免服务中断，客户需要更新到 提供程序下的新 API 版本 Microsoft.Security。

当前从 Azure 门户使用 Defender for Cloud DevOps 安全性的客户不会受到影响。

2024 年 1 月

更新：云安全资源管理器中活动存储库的新见解

2024 年 1 月 31 日

Azure DevOps存储库的新见解已添加到 Cloud Security Explorer，用于指示存储库是否处于活动状态。 此见解指示代码存储库未存档或禁用，这意味着对代码、生成和拉取请求的写入访问权限仍可供用户使用。 已存档和禁用的存储库可能被视为较低优先级，因为代码通常不用于活动部署。

若要通过云安全资源管理器测试查询，请使用此查询链接。

Defender for Cloud与Microsoft Defender XDR的集成正式发布

2024 年 1 月 15 日

我们宣布Defender for Cloud与Microsoft Defender XDR（前Office 365 Defender）之间的集成正式发布（正式版）。

该集成为安全运营中心 (SOC) 的日常工作带来了具有竞争力的云保护功能。 借助Microsoft Defender for Cloud和Defender XDR集成，SOC 团队可以发现从多个支柱（包括云、终结点、标识、Microsoft 365等）组合检测的攻击。

详细了解 Microsoft Defender XDR 中的 ert 和事件。

2023 年 12 月

合并Defender for Cloud的服务级别 2 名称

2023 年 12 月 30 日

我们将所有Defender for Cloud计划的旧服务级别 2 名称合并为单个新的服务级别 2 名称，Microsoft Defender for Cloud。

目前，有四个服务级别 2 名称：Azure Defender、Advanced Threat Protection、高级数据安全和安全中心。 Microsoft Defender for Cloud的各种计量按这些单独的服务级别 2 名称分组，在使用成本管理 + 计费、开票和其他Azure计费相关工具时创建复杂性。

此更改简化了审查Defender for Cloud费用的过程，并在成本分析中提供了更好的清晰度。

为了确保平稳过渡，我们采取了措施来保持产品/服务名称、SKU 和计量 ID 的一致性。 受影响的客户将收到信息性Azure服务通知来传达更改。

通过调用 API 检索成本数据的组织需要更新其调用中的值以适应更改。 例如，在此筛选器函数中，值将不返回任何信息：

"filter": {
          "dimensions": {
              "name": "MeterCategory",
              "operator": "In",
              "values": [
                  "Advanced Threat Protection",
                  "Advanced Data Security",
                  "Azure Defender",
                  "Security Center"
                ]
          }
      }

发布覆盖范围工作簿

2023 年 12 月 21 日

通过“覆盖”工作簿，可以跟踪哪些Defender for Cloud计划在你的环境哪些部分处于活动状态。 此工作簿有助于确保环境和订阅受到充分保护。 通过访问详细的覆盖范围信息，你还可以识别可能需要其他保护的任何区域，并采取措施解决这些区域的问题。

了解有关 “覆盖”工作簿的详细信息。

由世纪互联运营的Azure Government和由世纪互联运营的Azure Microsoft Defender Vulnerability Management支持的容器漏洞评估正式发布

2023 年 12 月 14 日

Microsoft Defender Vulnerability Management支持的Azure容器注册表中 Linux 容器映像的漏洞评估（VA）在世纪互联运营的Azure Government中正式发布（正式版），Azure由世纪互联运营。 此新版本在容器Defender下提供，适用于容器注册表计划的Defender。

• 作为此更改的一部分，针对 GA 发布了新建议，并包含在安全功能分数计算中。 查看新的和更新的安全建议
• 由Microsoft Defender Vulnerability Management提供支持的容器映像扫描现在也根据 计划定价产生费用。 由 Qualys 提供支持的容器 VA 产品/服务扫描的映像和由 Microsoft Defender Vulnerability Management 提供支持的容器 VA 产品/服务将仅计费一次。

容器漏洞评估的 Qualys 建议已重命名，并继续可供在此版本之前在其任何订阅上为容器启用Defender的客户使用。 在此版本之后载入容器Defender的新客户将仅看到由Microsoft Defender Vulnerability Management提供支持的新容器漏洞评估建议。

Windows支持由 Microsoft Defender Vulnerability Management 提供支持的容器漏洞评估的公共预览版

2023 年 12 月 14 日

在公共预览版中发布了对Windows映像的支持，这是由Azure容器注册表和 Azure Kubernetes 服务Microsoft Defender Vulnerability Management支持的漏洞评估（VA）的一部分。

2023 年 11 月

已弃用四个警报

2023 年 11 月 30 日

作为质量改进过程的一部分，以下安全警报已弃用：

• Possible data exfiltration detected (K8S.NODE_DataEgressArtifacts)
• Executable found running from a suspicious location (K8S.NODE_SuspectExecutablePath)
• Suspicious process termination burst (VM_TaskkillBurst)
• PsExec execution detected (VM_RunByPsExec)

计算机计划上 SQL Server 的自动预配过程的正式发布

2023 年 11 月 20 日

为准备 2024 年 8 月弃用Microsoft监视代理（MMA），Defender for Cloud发布了SQL Server目标Azure监视代理（AMA）自动预配过程。 新进程会自动为所有新客户启用和配置，并为Azure SQL VM 和已启用 Arc 的 SQL Server 提供资源级别启用功能。

要求使用 MMA 自动预配过程的客户在计算机自动预配过程migrate 到适用于 SQL Server 的新Azure监视代理。 迁移过程是无缝的，会为所有计算机提供持续保护。

Defender for Cloud现已与Microsoft 365 Defender集成（预览版）

2023 年 11 月 15 日

企业可以通过Microsoft Defender for Cloud与Microsoft Defender XDR之间的新集成来保护其云资源和设备。 这种集成将云资源、设备和身份之间的点连接起来，而这以前需要多种体验。

该集成还为安全运营中心 (SOC) 的日常工作带来了具有竞争力的云保护功能。 借助Microsoft Defender XDR，SOC 团队可以轻松发现攻击，这些攻击结合了来自多个支柱的攻击，包括云、终结点、标识、Microsoft 365等。

一些主要优点包括：

• SOC 团队的易于使用的界面：借助集成到 M365D 中的Defender for Cloud警报和云相关性，SOC 团队现在可以从单个界面访问所有安全信息，显著提高了运营效率。

• 一个攻击故事：通过使用结合了多个来源的安全警报的预构建关联，客户能够了解完整的攻击故事，包括其云环境。

• Microsoft Defender XDR0 中的新云实体：Microsoft Defender XDR现在支持特定于Microsoft Defender for Cloud的新云实体，例如云资源。 客户可以将虚拟机 (VM) 实体与设备实体进行匹配，从而提供有关计算机的所有相关信息的统一视图，包括在该计算机上触发的警报和事件。

• 适用于Microsoft Security产品的统一 API：客户现在可以使用单个 API 将其安全警报数据导出到所选系统中，因为Microsoft Defender for Cloud警报和事件现在是Microsoft Defender XDR公共 API 的一部分。

Defender for Cloud与Microsoft Defender XDR之间的集成适用于所有新客户和现有Defender for Cloud客户。

容器漏洞评估正式发布，该评估由容器Defender中的Microsoft Defender Vulnerability Management（MDVM）和容器注册表的Defender提供支持

2023 年 11 月 15 日

Azure容器注册表中由 Microsoft Defender Vulnerability Management （MDVM） 提供支持的容器注册表中 Linux 容器映像的漏洞评估（VA）在适用于容器的Defender中发布，适用于容器注册表的Defender发布。

作为此更改的一部分，已针对 GA 发布以下建议并重命名，这些建议现在包含在安全功能分数计算中：

MDVM 支持的容器映像扫描现在还会根据 计划定价产生费用。

以下 Qualys 针对容器漏洞评估的建议已重命名，并且将继续适用于在 11 月 15 日之前为其任何订阅启用容器Defender的客户。 在 11 月 15 日之后加入容器Defender的新客户将仅看到由Microsoft Defender Vulnerability Management提供支持的新容器漏洞评估建议。

对容器漏洞评估建议名称的更改

以下容器漏洞评估建议已重命名：

现在可以为建议确定风险优先级

2023 年 11 月 15 日

现在可以根据安全建议构成的风险级别确定安全建议的优先级，同时考虑每个潜在安全问题的可利用性和潜在业务影响。

通过根据风险级别（严重、高、中、低）组织建议，能够解决环境中最严重的风险，并根据实际风险（例如互联网暴露、数据敏感性、横向移动可能性以及可以通过解决建议来缓解的潜在攻击路径）有效确定安全问题的修正优先级。

详细了解确定风险优先级。

对攻击路径的Azure Resource Graph表方案的更改

2023 年 11 月 15 日

攻击路径的Azure Resource Graph表方案已更新。 已删除 attackPathType 属性，并添加其他属性。

有关查找缺失的系统更新的新版建议现已正式发布

2023 年 11 月 6 日

Azure VM 和Azure Arc计算机上不再需要额外的代理，以确保计算机具有所有最新的安全或关键系统更新。

新的系统更新建议（System updates should be installed on your machines (powered by Azure Update Manager) 控件中的 Apply system updates）基于 Update Manager，现已完全正式发布。 该建议依赖于嵌入在每个Azure VM 和Azure Arc计算机而不是已安装的代理中的本机代理。 新建议中的快速修复可引导你在更新管理器门户中完成缺失的更新的一次性安装。

查找缺少的系统更新的旧版本和新版本在 2024 年 8 月之前都可用，届时较旧的版本将弃用。 这两项建议：System updates should be installed on your machines (powered by Azure Update Manager) 和 System updates should be installed on your machines位于同一控件下：Apply system updates，结果相同。 因此，对安全分数的影响不会重复。

建议迁移到新建议并删除旧建议，方法是在Azure策略中将其从Defender for Cloud的内置计划中禁用。

建议[Machines should be configured to periodically check for missing system updates](https://portal.azure.cn/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)也已正式发布，且是先决条件，这将对安全功能分数产生负面影响。 可以使用提供的修复修正负面影响。

要应用新建议，需要：

1. 将非Azure计算机连接到 Arc。
2. 打开定期评估属性。 可使用“[Machines should be configured to periodically check for missing system updates](https://portal.azure.cn/#view/Microsoft_Azure_Security/GenericRecommendationDetailsBlade/assessmentKey/90386950-71ca-4357-a12e-486d1679427c)”这一新建议中的快速修复来修复建议。

2023 年 10 月

从 API Defender中删除的脱机Azure API Management修订

2023 年 10 月 25 日

Defender API 更新了对 Azure API Management API 修订的支持。 脱机修订不再显示在 API 清单的载入Defender中，不再显示为已载入到 API Defender。 脱机修订版不允许向其发送任何流量，也不会构成任何安全风险。

在法规合规性仪表板中发布 CIS Azure基础基准 v2.0.0

2023 年 10 月 18 日

Microsoft Defender for Cloud现在支持最新的 CIS Azure Security Foundations Benchmark - 2.0.0 法规合规性dashboard和 Azure Policy 中的内置策略计划。 Microsoft Defender for Cloud中版本 2.0.0 的发布是Microsoft、Internet 安全中心与用户社区之间的共同努力。 版本 2.0.0 显著扩展了评估范围，现在包括 90 多个内置Azure策略，并在 Microsoft Defender for Cloud 和 Azure Policy 中成功运行以前的版本 1.4.0 和 1.3.0 和 1.0。 有关详细信息，可以查看此 博客文章。

2023 年 9 月

更改为每日上限Log Analytics

Azure监视器提供对 Log Analytics 工作区上引入的数据设置每日上限的功能。 但是，这些排除项目前不支持 Defender for Cloud 安全事件。

Log Analytics每日上限不再排除以下一组数据类型：

• WindowsEvent
• SecurityAlert
• SecurityBaseline
• SecurityBaselineSummary
• SecurityDetection
• SecurityEvent
• WindowsFirewall
• MaliciousIPCommunication
• LinuxAuditLog
• SysmonEvent
• ProtectionStatus
• 更新
• UpdateSummary
• CommonSecurityLog
• Syslog

如果满足每日上限，则会限制所有计费数据类型。 此更改可提高你完全控制高于预期的数据引入成本的能力。

详细了解 workspaces with Microsoft Defender for Cloud。

预览版：计算机计划中SQL Server的新自动预配过程

2023 年 9 月 21 日

Microsoft监视代理（MMA）将于 2024 年 8 月弃用。 Defender for Cloud 更新了其策略，方法是将 MMA 替换为SQL Server目标Azure监视代理自动预配过程。

在预览期间，使用 MMA 自动预配过程和Azure Monitor代理（预览版）选项的客户会请求migrate到计算机（预览版）自动预配过程的新 Azure Monitoring Agent for SQL Server（预览版）自动预配过程。 迁移过程是无缝的，会为所有计算机提供持续保护。

有关详细信息，请参阅 SQL Server 目标Azure监视代理自动预配过程。

Defender for Cloud中用于Azure DevOps警报的GitHub高级安全性

2023 年 9 月 20 日

现在可以查看与 Defender for Cloud 中的 CodeQL、机密和依赖项相关的Azure DevOps（GHAzDO）警报GitHub高级安全性。 结果显示在“DevOps”页和“建议”中。 若要查看这些结果，请将已启用 GHAzDO 的存储库载入到Defender for Cloud。

详细了解 GitHub advanced Security for Azure DevOps。

为 API 检测创建Defender示例警报

2023 年 9 月 11 日

现在可以为作为 API 公共预览版Defender一部分发布的安全检测生成示例警报。 详细了解 在 Defender for Cloud 中创建示例警报。

预览版：由Microsoft Defender Vulnerability Management提供支持的容器漏洞评估现在支持在拉取时进行扫描

2023 年 9 月 6 日

由Microsoft Defender Vulnerability Management提供支持的容器漏洞评估现在支持用于扫描从 ACR 拉取的图像的其他触发器。 除了现有触发器（用于扫描过去 90 天内推送到 ACR 的图像以及当前在 AKS 中运行的图像），此新添加的触发器还额外覆盖了可用图像。

新触发器将于今天开始推出，预计将于 9 月底向所有客户提供。

了解详细信息。

在合规性中更新了 Azure Center for Internet Security (CIS) 标准的命名格式

2023 年 9 月 6 日

合规性仪表板中 CIS (Center for Internet Security) 基础基准的命名格式将从 [Cloud] CIS [version number] 更改为 CIS [Cloud] Foundations v[version number]。 请参阅以下表：

了解如何改进法规合规性。

2023 年 8 月

8 月的更新包括：

适用于容器的Defender：Kubernetes 的无代理发现

2023 年 8 月 30 日

我们很高兴介绍适用于容器的Defender：Kubernetes 的无代理发现。 此版本标志着容器安全性向前迈出了重要一步，为 Kubernetes 环境提供了高级见解和全面的清单功能。 新的容器产品/服务由Defender for Cloud上下文安全图提供支持。 以下是你在此最新更新中可以期待的内容：

• 无代理 Kubernetes 发现
• 全面的清单功能
• 特定于 Kubernetes 的安全见解
• 使用云安全资源管理器的增强风险搜寻

Kubernetes 的无代理发现现在可供所有用于容器客户的Defender使用。 你可以立即开始使用这些高级功能。 我们鼓励你更新订阅，以启用完整的扩展集，并受益于最新的扩充和功能。 访问容器订阅Defender的 Environment 和 settings 窗格以启用扩展。

有关详细信息，请参阅容器安全Microsoft Defender的Overview。

Defender for Cloud安全警报中的扩展属性从活动日志中屏蔽

2023 年 8 月 17 日

我们最近更改了安全警报和活动日志的集成方式。 为了更好地保护敏感客户信息，我们不再在活动日志中包含此信息。 而是用星号屏蔽它。 但是，此信息仍可通过警报 API、连续导出和Defender for Cloud门户获得。

依赖活动日志将警报导出到 SIEM 解决方案的客户应考虑使用不同的解决方案，因为不建议使用Defender for Cloud安全警报导出方法。

有关如何将Defender for Cloud安全警报导出到 SIEM、SOAR 和其他第三方应用程序的说明，请参阅流警报到 SIEM、SOAR 或 IT Service Management 解决方案。

Defender for Cloud计划的业务模型和定价更新

2023 年 8 月 1 日

Microsoft Defender for Cloud有三个提供服务层保护的计划：

• Key Vault的Defender

• Resource Manager的Defender

• DNS 的Defender

这些计划已转换到具有不同定价和包装的新业务模型，以解决客户关于支出可预测性和简化总体成本结构的反馈。

业务模型和定价更改摘要：

密钥保管库Defender的现有客户、Resource Manager Defender，DNS Defender保留其当前的业务模式和定价，除非他们主动选择切换到新的业务模式和价格。

• Defender Resource Manager：此计划每月按订阅固定价格。 客户可以通过为每个订阅模型选择新Resource Manager Defender来切换到新的业务模型。

密钥保管库Defender的现有客户、Resource Manager Defender，DNS Defender保留其当前的业务模式和定价，除非他们主动选择切换到新的业务模式和价格。

• Defender Resource Manager：此计划每月按订阅固定价格。 客户可以通过为每个订阅模型选择新Resource Manager Defender来切换到新的业务模型。
• Defender Key Vault：此计划按保管库提供固定价格，每月不收取超额费用。 客户可以通过为每个保管库模型选择Key Vault新的Defender来切换到新的业务模型

在 Defender for Cloud 定价页中详细了解这些计划的定价。

2023 年 7 月

7 月的更新包括：

使用 Microsoft Defender Vulnerability Management 预览版容器漏洞评估

2023 年 7 月 31 日

我们宣布发布适用于 Linux 容器 Azure映像的漏洞评估（VA），该映像由容器注册表Defender中的Microsoft Defender Vulnerability Management提供支持，以及容器注册表的Defender。 新的容器 VA 产品/服务将与现有容器 VA 产品/服务一起提供，由 Qualys 提供支持，适用于容器注册表的Defender和容器注册表的Defender，并包括容器映像的每日重新扫描、可利用性信息、OS 和编程语言（SCA）支持等。

此新产品/服务将于今天开始推出，并预计将在 8 月 7 日之前向所有客户提供。

详细了解 使用 Microsoft Defender Vulnerability Management。

管理适用于 Linux 的 Endpoint 的Defender自动更新

2023 年 7 月 20 日

默认情况下，Defender for Cloud尝试使用 MDE.Linux 扩展载入的适用于 Linux 代理的终结点更新Defender。 使用此版本，可以管理此设置，并选择退出默认配置以手动管理更新周期。

2023 年 6 月

6 月的更新包括以下内容：

针对预览版发布的建议：正在运行的容器映像应已解决漏洞发现（由Microsoft Defender Vulnerability Management提供支持）

2023 年 6 月 21 日

Defender CSPM中由 Microsoft Defender Vulnerability Management 提供支持的新容器建议已发布预览版：

此新建议仅替换由 Qualys 提供支持的同名当前建议（Defender CSPM 替换评估密钥 41503391-efa5-47ee-9282-4eff6131462c）。

更新了 NIST 800-53 标准的合规性控制

2023 年 6 月 15 日

NIST 800-53 标准（R4 和 R5）最近更新了Microsoft Defender for Cloud法规合规性的控制更改。 Azure管理的控件已从标准中删除，Microsoft责任实现（作为云共享责任模型的一部分）的信息现在仅在Microsoft操作下的控件详细信息窗格中提供。

这些控制以前按合格控制来计算，因此在 2023 年 4 月和 2023 年 5 月之间，NIST 标准的合规性分数可能会大幅下降。

有关合规性控制的详细信息，请参阅 Tutorial：法规合规性检查 - Microsoft Defender for Cloud。

SQL Defender中漏洞评估的快速配置现已正式发布

2023 年 6 月 7 日

SQL Defender中漏洞评估的快速配置现已正式发布。 快速配置通过使用一键式配置（或 API 调用），为 SQL 漏洞评估提供了简化的加入体验。 托管存储帐户无需额外的设置或依赖项。

请查看此 博客 ，了解有关快速配置的详细信息。

可以了解快速配置和经典配置之间的差异。

添加到现有Azure DevOps连接器的更多范围

2023 年 6 月 6 日

Defender for DevOps向 Azure DevOps （ADO） 应用程序添加了以下额外范围：

• 高级安全性管理：vso.advsec_manage。 若要允许启用、禁用和管理 ADO GitHub高级安全性，需要用到它。

• 容器映射： vso.extension_manage， vso.gallery_manager;这是必需的，以便与 ADO 组织共享修饰器扩展。

只有尝试将 ADO 资源载入Microsoft Defender for Cloud的新Defender for DevOps客户才会受到此更改的影响。

2023 年 5 月

5 月的更新包括以下内容：

• Defender 中Key Vault的新警报。
• 对标识建议的更改。
• 在合规性仪表板中弃用旧标准。
• 能够下载云安全资源管理器查询结果的 CSV 报表（预览版）。
• 由 Qualys 提供支持的容器建议的重命名。

针对标识建议进行了多项更改

以下建议现已作为正式发布 (GA) 发布，并将替换现已弃用的 V1 建议。

标识建议 V2 的正式发布 (GA) 版本

标识建议的 V2 版本引入了以下增强功能：

• 扫描范围已扩展，包括所有Azure资源，而不仅仅是订阅。 这会支持安全管理员查看每个帐户的角色分配。
• 现在可以免除特定帐户的评估。 安全管理员可以排除某些帐户，例如 breakglass 帐户或服务帐户。
• 扫描频率已从 24 小时增加到 12 小时，从而确保标识建议更加及时和准确。

以下安全建议将以 GA 形式提供，并替换 V1 建议：

弃用标识建议 V1

以下安全建议现已弃用：

建议更新自定义脚本、工作流和治理规则，以符合 V2 建议。

弃用合规性仪表板中的旧版标准

我们完全弃用了对世纪互联运营的 Microsoft Azure PCI DSS 标准/计划的支持。

了解如何在监管合规性仪表板中自定义标准集。

下载云安全资源管理器查询结果的 CSV 报表（预览版）

Defender for Cloud添加了下载云安全资源管理器查询结果的 CSV 报表的功能。

运行查询搜索后，可以从 Defender for Cloud 的 Cloud Security Explorer 页面选择 Download CSV 报表（预览版）按钮。

重命名由 Qualys 提供支持的容器建议

容器Defender中的当前容器建议将重命名为如下所示：

2023 年 4 月

4 月的更新包括：

• “应安全配置计算机”建议中的更改
• 弃用应用服务语言监视策略
• Defender 中为 Resource Manager
• 已弃用Resource Manager计划的Defender中的>警报
• Alerts 自动导出到Log Analytics工作区已弃用
• 针对 Windows 和 Linux Server 的所选警报的弃用和改进
• 针对 Azure Data Services 的新Microsoft Entra身份验证相关建议

“应安全配置计算机”建议中的更改

建议 Machines should be configured securely 已更新。 更新可提高建议的性能和稳定性，使其体验与Defender for Cloud建议的通用行为保持一致。

作为此更新的一部分，建议的 ID 已从 181ac480-f7c4-544b-9865-11b8ffe87f47 更改为 c476dc48-8110-4139-91af-c8d940896b98。

客户方面无需执行任何操作，并且预期不会对安全分数产生影响。

弃用应用服务语言监视策略

以下应用服务语言监视策略已弃用，因为它们能够生成漏报，并且不能提供更好的安全性。 应始终确保所使用的语言版本不存在任何已知漏洞。

客户可以使用备用内置策略来监视其应用服务的任何指定语言版本。

这些策略在Defender for Cloud的内置建议中不再可用。 可以将它们添加为自定义建议，使其Defender for Cloud监视它们。

Resource Manager Defender中的新警报

Resource Manager的Defender具有以下新警报：

可以看到可用于 Resource Manager 的所有 alert 列表。

已弃用Resource Manager计划的Defender中的三个警报

已弃用Resource Manager计划的Defender的以下三个警报：

• Activity from a risky IP address (ARM.MCAS_ActivityFromAnonymousIPAddresses)
• Activity from infrequent country (ARM.MCAS_ActivityFromInfrequentCountry)
• Impossible travel activity (ARM.MCAS_ImpossibleTravelActivity)

在检测到来自可疑 IP 地址的活动的情况下，以下 defenders for Resource Manager 计划警报之一Azure Resource Manager operation from suspicious IP address或 Azure Resource Manager operation from suspicious proxy IP address将存在。

已弃用自动导出到Log Analytics工作区的警报

Defenders for Cloud 安全警报会自动导出到资源级别的默认Log Analytics工作区。 这会导致不确定的行为，因此我们已弃用此功能。

相反，可以使用 连续导出将安全警报导出到专用Log Analytics工作区。

如果已将警报连续导出到Log Analytics工作区，则无需执行进一步操作。

弃用和改进Windows和 Linux 服务器的所选警报

服务器Defender的安全警报质量改进过程包括弃用Windows和 Linux 服务器的某些警报。 弃用的警报现在源自终结点威胁警报Defender并涵盖这些警报。

如果已启用 Endpoint 集成Defender，则无需执行进一步操作。 2023 年 4 月，警报量可能会减少。

如果在 server Defender中未启用 Endpoint 集成Defender，则需要为 Endpoint 集成启用Defender，以便维护和改进警报覆盖范围。

还可以查看设置为要弃用的完整警报列表。

阅读 Microsoft Defender for Cloud 博客。

针对 Azure Data Services 的新Microsoft Entra身份验证相关建议

我们为 Azure Data Services 添加了四个新的Microsoft Entra身份验证建议。

2023 年 3 月

3 月的更新包括：

• 数据感知安全态势（预览版）
• 管理默认Azure安全策略的体验
• 一些法规合规性标准现已在政府云中可用
• Azure SQL Server 的新预览版建议
• Key Vault

改进了管理默认Azure安全策略的体验

我们为内置建议引入了改进Azure安全策略管理体验，从而简化了Defender for Cloud客户微调其安全要求的方式。 新体验包括以下新功能：

• 在管理Defender for Cloud内的默认安全策略时，简单的界面可以提供更好的性能和体验。
• Azure云安全基准（以前是Azure安全基准）提供的所有内置安全建议的单个视图。 建议会整理成逻辑组，以便更轻松地了解涵盖的资源类型，以及参数与建议之间的关系。
• 添加了筛选器和搜索等新功能。

了解如何管理安全策略。

阅读 Microsoft Defender for Cloud 博客。

Azure云安全基准（MCSB）版本 1.0 现已正式发布（正式版）

Microsoft Defender for Cloud宣布，Azure云安全基准（MCSB）版本 1.0 现已正式发布（正式版）。

MCSB 版本 1.0 将Azure安全基准 （ASB） 版本 3 替换为Defender for Cloud的默认安全策略。 MCSB 版本 1.0 在合规性仪表板中显示为默认符合性标准，默认情况下为所有Defender for Cloud客户启用。

还可以了解 云安全基准（MCSB）Azure 如何帮助你在云安全旅程中取得成功。

详细了解 MCSB。

一些法规合规性标准现已在政府云中可用

我们正在更新世纪互联运营的Microsoft Azure客户的这些标准。

由世纪互联运营的 Microsoft Azure：

• SOC 2 第 2 类
• ISO 27001：2013

了解如何在法规合规性仪表板中自定义标准集。

Azure SQL服务器的新预览版建议

我们添加了Azure SQL服务器（Azure SQL Server authentication mode should be Azure Active Directory Only (Preview)）的新建议。

建议基于现有策略 Azure SQL Database should have Azure Active Directory Only Authentication enabled

此建议禁用本地身份验证方法，仅允许Microsoft Entra身份验证，这通过确保Microsoft Entra ID标识可以独占访问Azure SQL数据库来提高安全性。

了解如何在 Azure Azure SQL 中启用仅限 AD 的身份验证创建服务器。

Key Vault Defender中的新警报

Key Vault的Defender具有以下新警报：

可以看到可用于 Key Vault0 的所有 alert 的列表。

2023 年 2 月

2 月的更新包括：

• Defender容器对正在运行的 Linux 映像的漏洞扫描现已正式发布
• 内置策略 [预览]：应为Key Vault配置专用终结点

Defender容器对正在运行的 Linux 映像的漏洞扫描现已正式发布

容器Defender可检测正在运行的容器中的漏洞。 支持Windows和 Linux 容器。

2022 年 8 月，此功能以 Windows 和 Linux 预览版发布。 我们现在正在发布适用于 Linux 的正式发布版 (GA)。

检测到漏洞时，Defender for Cloud生成以下安全建议，其中列出了扫描结果：运行容器映像应已解决漏洞发现。

详细了解如何查看运行映像的漏洞。

内置策略 [预览版]：应为Key Vault配置专用终结点已弃用

内置策略[Preview]: Private endpoint should be configured for Key Vault已弃用，并替换为 [Preview]: Azure Key Vaults should use private link 策略。

详细了解 将Azure Key Vault与 Azure Policy。

2023 年 1 月

一月的更新包括：

• 允许连续导出到防火墙后的事件中心
• 安全评分控制的名称使用Azure高级网络解决方案保护应用程序已更改
• “SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址”策略已弃用
• 为Virtual Machine Scale Sets启用诊断日志的命令已弃用

允许连续导出到防火墙后的事件中心

现在可以将警报和建议作为受信任的服务持续导出到受Azure防火墙保护的事件中心。

可以在生成警报或建议时启用连续导出。 也可制定计划来定期发送所有新数据的快照。

了解如何启用连续导出到Azure防火墙后面的事件中心。

“安全功能分数控制保护应用程序”的名称已更改Azure高级网络解决方案

安全功能分数控制，Protect your applications with Azure advanced networking solutions更改为 Protect applications against DDoS attacks。

更新的名称反映在 Azure Resource Graph （ARG）、安全功能分数控制 API 和 Download CSV report。

“SQL Server 的漏洞评估设置应包含用来接收扫描报告的电子邮件地址”策略已弃用

策略 Vulnerability Assessment settings for SQL server should contain an email address to receive scan reports 已弃用。

SQL 漏洞评估电子邮件报告的Defender仍然可用，并且现有电子邮件配置尚未更改。

建议弃用为Virtual Machine Scale Sets启用诊断日志

建议Diagnostic logs in Virtual Machine Scale Sets should be enabled已弃用。

相关 策略定义 也已从法规合规性仪表板中显示的任何标准中弃用。

2022 年 12 月

12 月的更新包括：

• SQL Defender中用于漏洞评估的快速配置

宣布在 sql Defender 中发布漏洞评估的快速配置

SQL Microsoft Defender中漏洞评估的快速配置为安全团队提供了在 Synapse 工作区外部Azure SQL数据库和专用 SQL 池的简化配置体验。

借助漏洞评估的快速配置体验，安全团队可以：

• 在 SQL 资源的安全配置中完成漏洞评估配置，无需对客户管理的存储帐户进行任何其他设置，也不需要在此类帐户上具备任何依赖项。
• 立即将扫描结果添加到基线，以便查找结果的状态从 “不正常 ”更改为“ 正常 ”，而无需重新扫描数据库。
• 一次向基线添加多个规则，并使用最新的扫描结果。
• 为订阅级别的数据库启用Microsoft Defender时，为所有Azure SQL服务器启用漏洞评估。

详细了解 sql 漏洞评估Defender。

2022 年 11 月

11 月的更新包括：

• 用于容器保护的Validate Defender，其中包含示例警报
• 为 Lambda 函数配置死信队列的建议已弃用

使用示例警报验证容器保护Defender

现在可以为容器计划的Defender创建示例警报。 新的示例警报显示为来自 AKS、连接 Arc 的群集、EKS 和 GKE 资源，具有不同的严重性和 MITRE 策略。 可以使用示例警报验证安全警报配置，例如 SIEM 集成、工作流自动化和电子邮件通知。

详细了解 警报验证。

为 Lambda 函数配置死信队列的建议已弃用

建议Lambda functions should have a dead-letter queue configured已弃用。

2022 年 10 月

10月更新包括：

• 规范合规性仪表板现在支持手动控制管理和有关Microsoft符合性状态的详细信息
• 自动预配已重命名为“设置”和“监视”，并具有更新的体验

宣布推出Azure云安全基准

Azure云安全基准（MCSB）是基于常见行业标准和合规性框架定义基本云安全原则的新框架。 再结合用于跨云平台实施这些最佳做法的详细技术指南。 MCSB 正在取代Azure安全基准。 MCSB 提供有关如何在多个云服务平台上实施与云无关的安全建议的规范性详细信息，最初涵盖Azure。

现在可在单个集成仪表板中监视每个云的云安全合规性状况。 导航到Defender for Cloud的法规合规性仪表板时，可以将 MCSB 视为默认符合性标准。

载入Defender for Cloud时，Azure云安全基准会自动分配给Azure订阅。

详细了解 Azure 云安全基准。

法规合规性仪表板现在支持手动控制管理和有关Microsoft合规性状态的详细信息

Defender for Cloud中的合规性仪表板是客户帮助了解和跟踪其合规性状态的关键工具。 客户可按照许多不同标准和法规的要求持续监视环境。

现在可通过手动证明操作和其他控制措施来完全管理合规性状况。 现在可为非自动化控制提供合规性证据。 与自动评估配合使用，现在可以在选定的范围内生成完整的合规性报告，从而解决给定标准的整个控制集。

此外，借助更丰富的控制信息和Microsoft符合性状态的深入详细信息和证据，现在只需指尖即可获得审核所需的所有信息。

一些新优势如下：

• 手动客户操作提供一种手动证明非自动化控制合规性的机制。 这包括链接证据、设置合规性日期和到期日期的能力。

• 展示Microsoft操作和 manual 客户操作的受支持标准的更丰富的控制详细信息，以及现有的自动化客户操作。

• Microsoft操作提供了Microsoft合规性状态的透明度，其中包括审核评估过程、测试结果和对偏差的Microsoft响应。

• 合规性产品/服务提供了一个中心位置，用于检查Azure、Dynamics 365和 Power Platform 产品及其各自的法规合规性认证。

详细了解如何使用 Defender for Cloud 实施法规合规性。

自动预配已重命名为“设置”和“监视”，并具有更新的体验

我们已将“自动预配”页重命名为 “设置”和“监视”。

自动预配旨在允许大规模启用Defender for Cloud的高级特性和功能所需的先决条件。 为了更好地支持扩展功能，我们将推出包含以下更改的新体验：

Defender for Cloud的计划页现在包括：

• 启用需要监视组件的Defender计划时，会启用这些组件以使用默认设置进行自动预配。 可选择随时编辑这些设置。
• 可以从Defender计划页访问每个Defender计划的监视组件设置。
• Defender计划页清楚地指示每个Defender计划的所有监视组件是否已到位，或者监视覆盖范围是否不完整。

“设置和监视”页：

• 每个监视组件都指示与其相关的Defender计划。

详细了解如何管理监视设置。

2022 年 9 月

9 月的更新包括：

• 抑制基于容器和 Kubernetes 实体的警报
• Defender for Servers 支持使用 Azure Monitor 代理进行文件完整性监视
• 旧版评估 API 弃用
• 针对标识添加的额外建议
• 针对向跨租户Log Analytics工作区报告的计算机的已移动安全警报

抑制基于容器和 Kubernetes 实体的警报

• Kubernetes 命名空间
• Kubernetes Pod
• Kubernetes 机密
• Kubernetes ServiceAccount
• Kubernetes ReplicaSet
• Kubernetes StatefulSet
• Kubernetes DaemonSet
• Kubernetes 作业
• Kubernetes CronJob

详细了解警报抑制规则。

Defender for Servers 支持使用 Azure Monitor 代理监视文件完整性

文件完整性监视 (FIM) 检查操作系统文件和注册表，从而发现能表示遭到攻击的更改。

旧版评估 API 弃用

以下 API 已弃用：

• 安全任务
• 安全状态
• 安全摘要

这三个 API 公开了旧格式的评估，并被 评估 API 和 SubAssessments API 取代。 这些旧 API 公开的所有数据也在新 API 中可用。

针对标识添加的额外建议

Defender for Cloud改进用户和帐户管理的建议。

新建议

新版本将包含以下功能：

• Extended 评估范围 - 没有 MFA 的标识帐户和Azure资源（而不是仅订阅）上的标识帐户的覆盖范围得到了改进，这允许安全管理员查看每个帐户的角色分配。

• 改进刷新间隔 - 标识建议的刷新间隔现为 12 小时。

• Account 豁免功能 - Defender for Cloud有许多可用于自定义体验的功能，并确保安全功能分数反映组织的安全优先级。

  通过此更新，你将能够豁免下表中列出的六项建议对特定帐户的评估。

  通常，你可以免除 MFA 建议中的紧急“破玻璃”帐户，因为此类帐户通常被故意排除在组织的 MFA 要求之外。 或者，你可能拥有想要允许其访问 MFA 但未为其启用 MFA 的外部帐户。

  小窍门

  豁免某个帐户时，它不会显示为运行不正常，也不会导致订阅看起来不正常。

  建议	评估密钥
  应启用对Azure资源具有所有者权限的帐户	6240402e-f77c-46fa-9060-a7ce53997754
  应启用对Azure资源具有写入权限的帐户	c0cb17b2-0607-48a7-b0e0-903ed22de39b
  应启用对Azure资源具有读取权限的帐户	dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c
  应删除对Azure资源具有所有者权限的来宾帐户	20606e75-05c4-48c0-9d97-add6daa2109a
  应删除对Azure资源具有写入权限的来宾帐户	0354476c-a12a-4fcc-a79d-f0ab7ffffdbb
  应删除对Azure资源具有读取权限的来宾帐户	fde1c0c9-0fd2-4ecc-87b5-98956cbc1095
  应删除对Azure资源具有所有者权限的阻止帐户	050ac097-3dda-4d24-ab6d-82568e7a50cf
  应删除对Azure资源具有读取和写入权限的阻止帐户	1ff0b4c9-ed56-4de6-be9c-d7ab39645926

这些建议虽然处于预览阶段，但将显示在当前正式发布的建议旁边。

删除了向跨租户Log Analytics工作区报告的计算机的安全警报

过去，Defender for Cloud允许选择Log Analytics代理报告的工作区。 当计算机属于一个租户（租户 A），但其Log Analytics代理向另一租户（“租户 B”）中的工作区报告时，有关计算机的安全警报将报告给第一个租户（租户 A）。

通过此更改，连接到不同租户Log Analytics工作区的计算机上的警报不再显示在Defender for Cloud中。

若要继续接收Defender for Cloud中的警报，请将相关计算机的Log Analytics代理连接到计算机所在的同一租户中的工作区。

详细了解 安全警报。

2022 年 8 月

8 月的更新包括：

• 运行映像的Vulnerabilities现在可见，Windows容器上的容器Defender
• Azure Monitor代理集成现在以预览版提供
• 已弃用关于与 Kubernetes 群集相关的可疑活动的 VM 警报

运行映像的漏洞现在可见，Windows容器上的容器Defender

容器的Defender现在显示运行Windows容器的漏洞。

检测到漏洞时，Defender for Cloud生成以下安全建议，其中列出了检测到的问题：运行容器映像应已解决漏洞发现。

详细了解如何查看运行映像的漏洞。

Azure Monitor代理集成现在以预览版提供

Defender for Cloud现在包括对 Azure Monitor Agent（AMA）的预览支持。 AMA 旨在替换旧版Log Analytics代理（也称为Microsoft监视代理 （MMA），该代理正在弃用的路径。 与旧版代理相比，AMA 具有许多优点。

已弃用关于与 Kubernetes 群集相关的可疑活动的 VM 警报

下表列出了已弃用的警报：

这些警报用于通知用户有关连接到 Kubernetes 群集的可疑活动。 警报将替换为匹配的警报，这些警报是Microsoft Defender for Cloud容器警报（K8S.NODE_ImageBuildOnNode、K8S.NODE_ KubernetesAPI和 K8S.NODE_ ContainerSSH）的一部分，这将提供改进的保真度和全面的上下文来调查和处理警报。 详细了解 Kubernetes 群集的警报。

容器漏洞现在包括详细的包信息

容器漏洞评估（VA）的Defender现在包括每个发现的详细包信息，包括：包名称、包类型、路径、已安装版本和固定版本。 利用包信息，可以查找易受攻击的包，以便修复漏洞或删除包。

此详细的包信息可用于新的图像扫描。

2022 年 7 月

7 月的更新包括：

• 用于 Kubernetes 运行时保护的云原生安全代理正式版 (GA)
• Defender容器的 VA 增加了对检测语言特定包（预览版）
• 防范 Operations Management Infrastructure 漏洞 CVE-2022-29149
• Key Vault建议更改为“audit”
• 弃用应用服务的 API 应用策略

用于 Kubernetes 运行时保护的云原生安全代理正式版 (GA)

我们很高兴地宣布，用于 Kubernetes 运行时保护的云原生安全代理现已推出正式版 (GA)！

随着客户不断地容器化其应用程序，Kubernetes 群集的生产部署也在持续扩建。 为了帮助实现这种增长，容器团队Defender开发了面向云的 Kubernetes 安全代理。

新的安全代理是基于 eBPF 技术的 Kubernetes DaemonSet，它将作为 AKS 安全配置文件的一部分完全集成到 AKS 群集中。

可以通过自动预配、建议流、AKS RP 或使用Azure Policy大规模启用安全代理。

现在可以在 AKS 群集上部署Defender代理。

在发布本通告时，运行时保护 - 威胁检测（工作负载）也已推出正式版。

详细了解容器可用性 的Defender。

还可以查看所有提供的警报。

请注意，如果你使用的是预览版，则不再需要 AKS-AzureDefender 功能标志。

Defender容器的 VA 添加了对检测语言特定包的支持（预览版）

容器漏洞评估（VA）的Defender能够检测通过 OS 包管理器部署的 OS 包中的漏洞。 我们现在扩展了 VA 检测语言特定包中包含的漏洞的能力。

此功能目前为预览版，仅适用于 Linux 映像。

若要查看已添加的所有包含的语言特定包，请查看容器的完整功能及其可用性Defender。

防范 Operations Management Infrastructure 漏洞 CVE-2022-29149

Operations Management Infrastructure (OMI) 是一组基于云的服务，用于从一个位置管理本地和云环境。 OMI 组件完全托管在Azure中，而不是部署和管理本地资源。

与运行 OMI 版本 13 的Azure HDInsight集成Log Analytics需要修补程序来修正 CVE-2022-29149。 有关如何识别受此漏洞和修正步骤影响的资源的信息，请查看 Microsoft Security 更新指南中有关此漏洞的报告。

如果已为启用了漏洞评估的服务器Defender，则可以使用 此工作簿来标识受影响的资源。

Key Vault建议更改为“审核”

此处列出的Key Vault建议的效果更改为“审核”：

弃用应用服务的 API 应用策略

我们弃用了以下策略，并改用已存在的对应策略以包括 API 应用：

2022 年 6 月

6 月的更新包括以下内容：

• 按 IP 地址筛选安全警报
• 按资源组列出警报
• 弃用“只能通过 HTTPS 访问 API 应用”策略
• 新的Key Vault警报

按 IP 地址筛选安全警报

在许多攻击情况下，你希望根据攻击所涉及的实体的 IP 地址来跟踪警报。 到目前为止，IP 仅出现在单个警报窗格中的“相关实体”部分。 现在，你可以在安全警报页中筛选警报，以查看与 IP 地址相关的警报，并且可以搜索特定的 IP 地址。

Defender for Cloud alerts.

按资源组列出警报

“安全警报”页面添加了按资源组进行筛选、排序和分组的功能。

警报网格添加了资源组列。

添加了一个新筛选器，可用于查看特定资源组的所有警报。

现在，还可以按资源组对警报进行分组，以查看每个资源组的所有警报。

弃用“只能通过 HTTPS 访问 API 应用”策略

策略 API App should only be accessible over HTTPS 已弃用。 此策略替换为 Web Application should only be accessible over HTTPS 策略，后者已重命名为 App Service apps should only be accessible over HTTPS。

若要详细了解 Azure App Service 的策略定义，请参阅 Azure Policy Azure App Service。

新的Key Vault警报

为了扩展Key Vault Microsoft Defender提供的威胁防护，我们添加了两个新警报。

这些警报会将为任何密钥保管库检测到的访问被异常拒绝的情况通知你。

2022 年 5 月

5 月的更新包括以下内容：

• 使用 CLI 添加和删除 AKS 群集的 Defender 传感器

使用 CLI 为 AKS 群集添加和删除Defender传感器

容器Defender需要 Defender 代理来提供运行时保护并从节点收集信号。 现在可以使用Azure CLI添加并删除 AKS 群集的 Defender 代理。

2022 年 4 月

4 月的更新包括：

• 自定义建议重定位
• 将警报流式传输到 Splunk 和 QRadar 的 PowerShell 脚本
• 已弃用Azure Cache for Redis建议
• 存储Microsoft Defender的新警报变体（预览版）用于检测敏感数据的泄露
• 使用 IP 地址信誉扩充的容器扫描警报标题
• 查看与安全警报相关的活动日志

自定义建议重定位

自定义建议是由用户创建的，对安全功能分数没有任何影响。 现可在“所有建议”选项卡下找到自定义建议。

使用新的“建议类型”筛选器查找自定义建议。

在创建自定义安全计划和策略中了解详细信息。

用于将警报流式传输到 Splunk 和 IBM QRadar 的 PowerShell 脚本

建议使用事件中心和内置连接器将安全警报导出到 Splunk 和 IBM QRadar。 现在，可以使用 PowerShell 脚本设置导出订阅或租户的安全警报所需的Azure资源。

只需下载并运行 PowerShell 脚本。 提供环境的一些详细信息后，脚本会为你配置资源。 然后，该脚本会生成你在 SIEM 平台中用于完成集成的输出。

若要了解详细信息，请参阅将警报流式传输到 Splunk 和 QRadar。

弃用了Azure Cache for Redis建议

建议Azure Cache for Redis should reside within a virtual network （预览版）已弃用。 我们更改了保护Azure Cache for Redis实例的指导。 建议使用专用终结点来限制对Azure Cache for Redis实例（而不是虚拟网络）的访问。

用于存储Microsoft Defender的新警报变体（预览版）用于检测敏感数据的泄露

当威胁参与者尝试扫描和公开、成功或不配置错误、公开打开的存储容器以尝试泄露敏感信息时，Microsoft Defender会通知你。

为了更快地进行会审和响应时间，当可能发生潜在敏感数据外泄时，我们发布了现有 Publicly accessible storage containers have been exposed 警报的新变体。

如果成功发现一个或多个公开开放的存储容器，而且容器的名称在统计上很少被公开，这表明容器可能包含敏感信息，则此时将以 Publicly accessible storage containers with potentially sensitive data have been exposed 严重性级别触发新警报 High。

使用 IP 地址信誉扩充的容器扫描警报标题

IP 地址的信誉可以表明扫描活动是来自已知的威胁参与者，还是来自使用 Tor 网络隐藏其身份的参与者。 这两个指标都表明存在恶意意图。 IP 地址的信誉由Microsoft威胁情报提供。

通过将 IP 地址的信誉添加到警报标题，可以快速评估参与者意图的方法，从而评估威胁的严重性。

以下警报将包括此信息：

• Publicly accessible storage containers have been exposed

• Publicly accessible storage containers with potentially sensitive data have been exposed

• Publicly accessible storage containers have been scanned. No publicly accessible data was discovered

例如，添加到 Publicly accessible storage containers have been exposed 警报标题的信息将如下所示：

• Publicly accessible storage containers have been exposedby a suspicious IP address

• Publicly accessible storage containers have been exposedby a Tor exit node

存储Microsoft Defender的所有警报将继续在警报的“相关实体”部分下的 IP 实体中包含威胁情报信息。

查看与安全警报相关的活动日志

作为评估安全警报所要执行的操作的一部分，可以在检查资源上下文中找到相关的平台日志，以获取有关受影响资源的上下文。 Microsoft Defender for Cloud标识警报后一天内的平台日志。

平台日志可帮助你评估安全威胁，并确定可以采取的步骤来缓解已识别的风险。

2022 年 3 月

3 月的更新包括：

• 已弃用安装网络流量数据收集代理的建议
• 容器Defender现在可以扫描Windows映像（预览版）
• 存储Microsoft Defender（预览版）
• 通过警报配置电子邮件通知设置
• 已弃用预览版警报：ARM.MCAS_ActivityFromAnonymousIPAddresses
• 已将“应修正容器安全配置中的漏洞”建议从安全分数移到最佳做法
• 已弃用使用服务主体来保护订阅的建议
• 已将 ISO 27001 的旧版实现替换为新的 ISO 27001:2013 计划
• 已弃用Microsoft Defender for IoT设备建议
• 已弃用Microsoft Defender for IoT设备警报
• ACR 中Windows图像的Registry 扫描增加了对国家云的支持

已弃用安装网络流量数据收集代理的建议

路线图和优先级的变更消除了对网络流量数据收集代理的需要。 已弃用以下两项建议及其相关策略。

容器Defender现在可以扫描Windows映像中的漏洞（预览版）

容器映像扫描Defender现在支持托管在Azure Container Registry中的Windows映像。 此功能在预览阶段是免费的，在正式发布时会产生费用。

在 使用容器Microsoft Defender来扫描映像是否存在漏洞的详细信息。

存储Microsoft Defender的新警报（预览版）

为了扩展存储Microsoft Defender提供的威胁防护，我们添加了新的预览警报。

威胁参与者使用应用程序和工具来发现和访问存储帐户。 Microsoft Defender存储会检测这些应用程序和工具，以便阻止它们并修正姿势。

此预览警报称为 Access from a suspicious application。 警报仅与Azure Blob Storage和 ADLS Gen2 相关。

通过警报配置电子邮件通知设置

警报用户界面 (UI) 中添加了一个新部分，可让你查看和编辑谁将接收针对当前订阅触发的警报的电子邮件通知。

了解如何针对安全警报配置电子邮件通知。

已弃用预览版警报：ARM.MCAS_ActivityFromAnonymousIPAddresses

以下预览版警报已弃用：

创建了一个新警报，该警报提供此信息并将它添加到其中。 此外，较新的警报（ARM_OperationFromSuspiciousIP，ARM_OperationFromSuspiciousProxyIP）不需要Microsoft Defender for Cloud Apps许可证（以前称为Microsoft Cloud应用安全）。

请参阅有关 Resource Manager 的更多警报。

已将“应修正容器安全配置中的漏洞”建议从安全分数移到最佳做法

建议 Vulnerabilities in container security configurations should be remediated 已从“安全分数”部分移到“最佳做法”部分。

在当前用户体验中，仅当所有符合性检查都通过时才提供分数。 大多数客户都难以满足所有必需的检查要求。 我们正在努力改进此建议的体验，一旦发布后，建议将被移回安全分数。

已弃用使用服务主体来保护订阅的建议

随着组织不再使用管理证书来管理其订阅，我们最近宣布停用云服务（经典）部署模型，我们弃用了以下Defender for Cloud建议及其相关策略：

了解详细信息：

• 云服务（经典）部署模型将于 2024 年 8 月 31 日停用
• Azure Cloud Services （经典）
• 经典 VM 体系结构 Microsoft Azure的Workflow - 包括 RDFE 工作流基础知识

已将 ISO 27001 的旧版实现替换为新的 ISO 27001:2013 计划

ISO 27001 的旧实现已从Defender for Cloud的法规合规性仪表板中删除。 如果要跟踪 ISO 27001 符合Defender for Cloud，请为所有相关管理组或订阅加入新的 ISO 27001：2013 标准。

Defender for Cloud的法规合规性仪表板显示有关删除 ISO 27001.

弃用Microsoft Defender for IoT设备建议

Microsoft Defender for IoT设备建议在Microsoft Defender for Cloud中不再可见。 这些建议仍可在Microsoft Defender for IoT的建议页上使用。

以下建议已弃用：

已弃用Microsoft Defender for IoT设备警报

ioT 设备警报的所有Microsoft Defender在Microsoft Defender for Cloud中不再可见。 这些警报仍可在Microsoft Defender for IoT的“警报”页和Microsoft Sentinel中使用。

ACR 中Windows映像的注册表扫描添加了对国家云的支持

世纪互联运营的Azure Government和Microsoft Azure现在支持Windows映像的注册表扫描。 此新增功能目前处于预览状态。

详细了解 功能的可用性。

2022 年 2 月

2 月的更新包括：

• 已启用 Arc 的 Kubernetes 群集的 Kubernetes 工作负载保护

已启用 Arc 的 Kubernetes 群集的 Kubernetes 工作负载保护

对于以前仅在 Azure Kubernetes Service 中运行的受保护的 Kubernetes 工作负荷的容器，Defender。 我们现在扩展了保护范围，包括启用了Azure Arc的 Kubernetes 群集。

了解如何为已启用 AKS 和Azure Arc的 Kubernetes 群集设置 Kubernetes 工作负载保护。

Microsoft Defender，Resource Manager更新了新的警报，并更强调映射到 MITRE ATT 和的高风险操作CK® 矩阵

云管理层是连接到所有云资源的关键服务。 因此，它也是攻击者的潜在目标。 建议安全运营团队密切监视资源管理层。

Microsoft Defender，Resource Manager会自动监视组织中的资源管理操作，无论是通过 Azure 门户、Azure REST API、Azure CLI或其他Azure编程客户端来执行的。 Defender for Cloud运行高级安全分析来检测有关可疑活动的威胁和警报。

该计划的保护极大地增强了组织对威胁参与者攻击的复原能力，并显著增加了受Defender for Cloud保护的Azure资源的数量。

2020年12月，我们推出了Resource Manager Defender预览版，2021年5月计划正式发布。

通过此更新，我们全面修改了Resource Manager计划Microsoft Defender的重点。 更新后的计划包括许多注重于识别以可疑方式调用高风险操作的新警报。 这些新警报针对基于云的技术的完整 MITRE ATT&CK® 矩阵中的攻击提供广泛的监视。

此矩阵涵盖可能面向组织资源的威胁参与者的潜在意图范围： 初始访问、执行、持久性、特权升级、防御逃避、凭据访问、发现、横向移动、集合、外泄和影响。

此Defender计划的新警报涵盖这些意图，如下表所示。

此外，此计划中的以下两个警报已推出预览版：

将Log Analytics代理自动预配到启用Azure Arc的计算机（预览版）

Defender for Cloud使用 Log Analytics 代理从计算机收集与安全相关的数据。 该代理读取各种与安全相关的配置和事件日志，并将数据复制到工作区进行分析。

Defender for Cloud的自动预配设置具有每种受支持的扩展类型的切换，包括Log Analytics代理。

在进一步扩展混合云功能时，我们添加了一个选项，用于将Log Analytics代理自动预配到连接到Azure Arc的计算机。

与其他自动预配选项一样，此选项也是在订阅级别配置的。

启用此选项后，系统会提示你指定工作区。

已弃用有关对 SQL 数据库中的敏感数据进行分类的建议

我们已删除建议应对 SQL 数据库中的敏感数据进行分类，这是Defender for Cloud如何识别和保护云资源中敏感日期的一部分。

即将对 Microsoft Defender for Cloud 页面进行的更改中出现有关此更改的提前通知。

与可疑域通信警报已扩展为包括已知的 Log4Shell 相关域

以下警报以前仅适用于启用了 DNS 的 Microsoft Defender 计划的组织。

通过此更新，还会针对启用了服务器Microsoft Defender或应用服务Defender的订阅显示警报计划。

此外，Microsoft威胁情报扩展了已知恶意域的列表，包括与利用与 Log4j 关联的广泛公开漏洞的域。

已将“复制警报 JSON”按钮添加到安全警报详细信息窗格

为了帮助我们的用户快速与其他人（例如，SOC 分析师、资源所有者和开发人员）共享警报详细信息，我们添加了一项功能，以便通过安全警报详细信息窗格中的一个按钮轻松提取特定警报的所有详细信息。

新的 “复制警报 JSON ”按钮将警报的详细信息（JSON 格式）放入用户的剪贴板。

已重命名两条建议

为了与其他建议名称保持一致，我们重命名了以下两条建议：

• 有关解决在运行的容器映像中发现的漏洞的建议

  • 以前的名称：应修正正在运行的容器映像中的漏洞（由 Qualys 提供支持）
  • 新名称：应解决在运行的容器映像中发现的漏洞

• 为Azure App Service启用诊断日志的建议

  • 以前的名称：应在应用服务中启用诊断日志
  • 新名称：应启用应用服务中的诊断日志

已弃用“Kubernetes 群集容器应只侦听允许的端口”策略

我们已弃用“Kubernetes 群集容器应只侦听允许的端口”建议。

“服务应只侦听允许的端口”建议应该用于限制应用程序向 Internet 公开的端口。

添加了“活动警报”工作簿

为了帮助我们的用户了解其环境受到的活动威胁，并在修正过程中确定活动警报的优先级，我们添加了“活动警报”工作簿。

活动警报工作簿允许用户按严重性、类型、标记、MITRE ATT&CK 策略和位置查看其聚合警报的统一仪表板。 在使用“活动警报”工作簿中了解详细信息。

已将“系统更新”建议添加到政府云

现在会在所有政府云上提供“应在计算机上安装系统更新”建议。

此项更改可能会影响政府云订阅的安全评分。 我们预计此项更改会导致评分降低，但在某些情况下，包含该建议也可能会提高评分。

2021 年 12 月

12 月的更新包括：

• Microsoft Defender正式发布容器计划（正式发布）
• 正式发布存储Microsoft Defender的新警报（正式发布）
• 从网络层警报中删除了“PortSweeping”警报

发布正式版容器计划的Microsoft Defender（正式版）

两年前，我们引入了容器注册表Defender作为Microsoft Defender for Cloud内Azure Defender产品/服务的一部分。

随着容器的 Microsoft Defender 发布，我们已合并了这两个现有的Defender计划。

新计划：

• 合并两个现有计划的功能 - Kubernetes 群集的威胁检测和存储在容器注册表中的映像的漏洞评估
• 引入 Kubernetes 本机大规模加入 - 默认情况下，当你启用计划时，所有相关组件将被配置为自动部署

在此版本中，Kubernetes 的 Defender的可用性和呈现以及容器注册表Defender已发生更改，如下所示：

• 新订阅 - 之前的两个容器计划不再可用
• 现有订阅 - 无论它们出现在Azure门户中的位置， 计划显示为 Deprecated，并说明如何升级到较新的计划 < 容器注册表和 Kubernetes 计划的Defender sb1>Defender显示“已弃用”和升级信息。

新计划在 2021 年 12 月可免费使用。 有关从旧计划到容器Defender计费的潜在更改，以及有关此计划引入的好处的详细信息，请参阅 容器的简介Microsoft Defender。

有关详细信息，请参见:

• 容器Microsoft Defender的Overview
• 用于容器的 Enable Microsoft Defender
• 适用于容器的引入Microsoft Defender - Microsoft技术社区

针对正式版发布的存储Microsoft Defender的新警报（正式发布）

威胁参与者使用工具和脚本来扫描公开打开的容器，以便找到带有敏感数据的错误配置的已打开存储容器。

Microsoft Defender存储会检测这些扫描程序，以便阻止扫描程序并修正姿势。

检测到此情况的预览警报称为“公共存储容器的匿名扫描”。 为了更清楚地了解发现的可疑事件，我们已将这分为 两 个新警报。 这些警报仅与Azure Blob Storage相关。

我们改进了检测逻辑，更新了警报元数据，并更改了警报名称和警报类型。

以下是新警报：

有关详细信息，请参见:

• 存储服务的威胁矩阵

检测来自 Tor 退出节点的访问

来自 Tor 退出节点的访问可能表明威胁参与者试图隐藏其身份。

该警报现在调整为仅针对经过身份验证的访问生成，从而提高了准确度和恶意活动的置信度。 此增强功能降低了良性检出率。

异常模式将具有高严重性，而不太异常的模式将具有中等严重性。

已更新警报名称和说明。 警报类型保持不变。

• 警报名称（旧）：从 Tor 退出节点访问存储帐户
• 警报名称（新）：来自 Tor 退出节点的经过身份验证的访问
• 警报类型：Storage.Blob_TorAnomaly / Storage.Files_TorAnomaly
• 说明：存储帐户中的一个或多个存储容器/文件共享已从已知为 Tor 的活动退出节点（匿名代理）的 IP 地址成功访问。 威胁参与者使用 Tor 来使用户难以追踪到他们的活动。 来自 Tor 退出节点的经过身份验证的访问可能表明威胁参与者正试图隐藏他们的身份。 适用于：Azure Blob Storage、Azure Files、Azure Data Lake Storage Gen2
• MITRE 战术：初始访问
• 严重性：高/中

未经身份验证的异常访问

访问模式的更改可能表明威胁参与者能够利用对存储容器的公共读取访问权限，要么利用访问配置中的错误，要么更改访问权限。

此中等严重性警报现已通过改进的行为逻辑、更高的准确度以及恶意活动的置信度进行了调整。 此增强功能降低了良性检出率。

已更新警报名称和说明。 警报类型保持不变。

• 警报名称（旧）：对存储帐户的匿名访问
• 警报名称（新）：对存储容器的未经身份验证的异常访问
• 警报类型：Storage.Blob_AnonymousAccessAnomaly
• 说明：访问此存储帐户时没有身份验证，这是常见访问模式的更改。 对此容器的读取访问通常是经过身份验证的。 这可能表明威胁参与者能够利用对此存储帐户中存储容器的公共读取访问。 适用于：Azure Blob Storage
• MITRE 战术：集合
• 严重性：中等

有关详细信息，请参见:

• 存储服务的威胁矩阵

从网络层警报中删除了“PortSweeping”警报

由于效率低下，以下警报已从我们的网络层警报中删除：

2021 年 11 月

我们的 Ignite 版本包括：

• Azure Security Center和Azure Defender变为Microsoft Defender for Cloud
• 使用Azure安全基准 v3 进行安全控制评估
• 将Azure Kubernetes Service (AKS)日志推送到 Microsoft Sentinel
• 建议映射到 MITRE ATT&CK® 框架 - 已正式发布 (GA)

11 月的其他更改包括：

• 建议和安全检测结果的快照导出（预览版）
• 添加到默认计划的新 AKS 安全策略 - 预览版
• 清单中显示本地计算机时应用不同的资源名称模板

Azure Security Center和Azure Defender成为Microsoft Defender for Cloud

根据 2021 年云状态报告，92% 的组织现已采用多云策略。 在Microsoft，我们的目标是跨环境集中安全性，并帮助安全团队更有效地工作。

Microsoft Defender for Cloud是一种云安全状况管理（CSPM）和云工作负荷保护平台（CWPP）解决方案，可发现云配置中的弱点，有助于增强环境的整体安全态势，并跨多云和混合环境保护工作负荷。

在 Ignite 2019，我们分享了我们的愿景，以创建最完整的方法来保护数字资产，并将 XDR 技术集成到Microsoft Defender品牌下。 将Azure Security Center Azure Security Center和Azure Defender统一到新名称Microsoft Defender for Cloud反映了安全产品/服务的综合功能以及支持任何云平台的能力。

使用Azure安全基准 v3 扩展了安全控制评估

Azure安全基准支持Defender for Cloud中的安全建议。

Azure安全基准是Microsoft创作 Azure的、基于常见合规性框架的特定于安全性和合规性最佳做法的一组指南。 这一广受人尊敬的基准基于 互联网安全中心（CIS） 和 国家标准与技术研究所（NIST） 的控制，专注于以云为中心的安全。

从 Ignite 2021 开始，Azure安全基准v3在 Defender for Cloud 的法规合规性仪表板中可用并作为受Microsoft Defender for Cloud保护的所有Azure订阅的新默认计划。

v3 的增强功能包括：

• v3.2.1 和 CIS 控件 v8PCI-DSS 行业框架的其他映射。

• 以下内容的更细化且可操作的控制指导和简介：

  • 安全原则 - 提供有关构建建议基础的总体安全目标的见解。
  • Azure指导 - 满足这些目标的技术“操作方法”。

• 新的控制措施包括 DevOps 安全性，例如威胁建模和软件供应链安全性，以及用于Azure最佳做法的密钥和证书管理。

在 安全基准 Azure中了解详细信息。

将Azure Kubernetes Service (AKS)日志推送到Microsoft Sentinel的新建议

为了进一步增强Defender for Cloud和Microsoft Sentinel的组合值，我们现在将突出显示Azure Kubernetes Service实例，这些实例不会将日志数据发送到Microsoft Sentinel。

SecOps 团队可以直接从建议详细信息页中选择相关的Microsoft Sentinel工作区，并立即启用原始日志流式传输。 两个产品之间的这种无缝连接使得安全团队可以轻松确保日志记录全面覆盖其各个工作负载，以随时掌控其整个环境。

新建议“应启用 Kubernetes 服务中的诊断日志”提供“修复”选项以加快修正速度。

我们还增强了“应启用 SQL 服务器上的审核”建议，并使用相同的Microsoft Sentinel流式处理功能。

建议映射到 MITRE ATT&CK® 框架 - 已正式发布 (GA)

我们增强了Defender for Cloud的安全建议，以显示他们在 MITRE ATT 和CK® 框架。 这是全球都可访问的知识库，它基于真实观察结果显示威胁行动者使用的战术和技术，提供更多背景信息来了解对你的环境提出的建议所对应的风险。

无论你在哪里访问建议信息，都将找到这些战术：

• Azure Resource Graph查询结果相关建议包括 MITRE ATT&CK® 战术和技术。

• 建议详细信息页面显示了所有相关建议的对应信息：

• 0> Defender for Cloud 筛选器，根据相关策略选择建议：

若要了解详细信息，请参阅查看安全建议。

建议和安全检测结果的快照导出（预览版）

Defender for Cloud生成详细的安全警报和建议。 可以通过门户或编程工具查看它们。 你可能还需要部分或全部导出此信息，以使用环境中的其他监视工具进行跟踪。

Defender for Cloud的连续导出功能允许完全自定义将导出，where将导出。 有关详细信息，连续导出Microsoft Defender for Cloud数据。

尽管该功能称为 连续，但还可以选择导出每周快照。 到目前为止，这些每周快照仅限用于保护评分与合规性数据。 我们添加了导出建议和安全检测结果的功能。

添加到默认计划的新 AKS 安全策略

为了确保 Kubernetes 工作负载默认安全，Defender for Cloud包括 Kubernetes 级别策略和强化建议，包括使用 Kubernetes 允许控制的强制选项。

作为此项目的一部分，我们添加了一个策略和建议（默认已禁用），用于在 Kubernetes 群集上进行门控部署。 该策略处于默认计划中，但仅适用于注册相关预览版的组织。

你可以放心地忽略这些策略和建议（“Kubernetes 群集应限制易受攻击映像的部署”），并且不会对环境造成任何影响。

如果想要参与预览版，则需要是预览圈的成员。 如果还没有成员， 请在此处提交请求。 预览开始时，我们会通知成员。

清单中显示本地计算机时应用不同的资源名称模板

为了改进 资产清单中资源的呈现，我们已从模板中删除了用于命名本地计算机的“source-computer-IP”元素。

• 以前的格式：machine-name_source-computer-id_VMUUID
• 从此更新中：machine-name_VMUUID

2021 年 10 月

10月更新包括：

• Microsoft威胁和漏洞管理已添加为漏洞评估解决方案（预览版）
• 将某些警报类型的前缀从“ARM_”更改为“VM_”
• 对 Kubernetes 群集安全建议逻辑的更改
• 建议详细信息页现在显示相关建议
• Kubernetes Azure Defender（预览版）

Microsoft威胁和漏洞管理添加为漏洞评估解决方案（预览版）

我们扩展了服务器Azure Defender与Microsoft Defender for Endpoint之间的集成，以支持计算机的新漏洞评估提供程序：Microsoft威胁和漏洞管理。

使用安全建议“应在虚拟机上启用漏洞评估解决方案”来手动发现威胁和漏洞管理针对支持的计算机检测到的漏洞。

将某些警报类型的前缀从“ARM_”更改为“VM_”

2021年7月，我们宣布对Resource Manager警报Azure Defender进行重组

在重组Defender计划期间，我们已将Azure Defender警报从 Resource Manager 移到服务器Azure Defender。

通过此更新，我们更改了这些警报的前缀以匹配此重新分配，将“ARM_”替换为“VM_”，如下表所示：

详细了解 Resource Manager 计划的 Azure Defender。

对 Kubernetes 群集安全建议逻辑的更改

建议“Kubernetes 群集不应使用默认命名空间”防止对一系列资源类型使用默认命名空间。 已删除此建议中包含的两种资源类型：ConfigMap 和 Secret。

在 Kubernetes 群集中详细了解此建议并强化 Kubernetes 群集Azure Policy。

建议详细信息页现在显示相关建议

为了阐明不同建议之间的关系，我们向许多建议的详细信息页添加了 “相关建议 ”区域。

这些页面上显示的三种关系类型如下：

• 先决条件 - 在所选建议之前必须完成的建议
• 替代 方法 - 提供另一种实现所选建议目标的方法的另一种建议
• 依赖项 - 选定建议是其必备项的建议

对于每条相关建议，“受影响的资源”列中会显示不正常资源的数量。

相关建议的示例：

1. 安全中心会检查计算机是否具有受支持的漏洞评估解决方案：
   应在虚拟机上启用漏洞评估解决方案

2. 如果找到解决方案，你将收到有关已发现漏洞的通知：
   应修正虚拟机中的漏洞

显然，除非安全中心找到受支持的漏洞评估解决方案，否则无法通知你已发现的漏洞。

因此：

• 建议 1 是建议 2 的必备项
• 建议 2 取决于建议 1

适用于 Kubernetes 的 Azure Defender 的新警报（预览版）

为了扩展 Kubernetes Azure Defender提供的威胁防护，我们添加了两个预览警报。

这些警报基于新的机器学习模型和 Kubernetes 高级分析生成，根据群集中以前的活动以及Azure Defender监视的所有群集测量多个部署和角色分配属性。

有关 Kubernetes 警报的完整列表，请参阅适用于 Kubernetes 群集的警报。

2021 年 9 月

9 月发布了以下更新：

2021 年 8 月

8 月的更新包括：

• 用于解决常见问题的内置故障排除和指南
• 法规遵从性合规性仪表板发布的正式发布（GA）
• 建议“Log Analytics计算机上应解决代理运行状况问题”
• Azure Defender容器注册表现在扫描受 Azure Private Link
• 建议现在支持“强制实施”。
• 建议数据的 CSV 导出现在限制为 20 MB
• 建议页面现在包含多个视图

用于解决常见问题的内置故障排除和指南

Azure门户中安全中心页面的一个新的专用区域提供了一组整理的、不断发展的自助材料，用于解决安全中心和Azure Defender共同挑战。

当你遇到问题，或向我们的支持团队寻求建议时，“诊断并解决问题”是另一种帮助你找到解决方案的工具：

法规合规性仪表板发布的Azure审核报告正式发布（正式版）

法规合规性仪表板的工具栏为应用于订阅的标准提供Azure和Dynamics认证报告。

可以选择用于相关报告类型（PCI、SOC 和 ISO 等）的选项卡，然后使用筛选器来查找所需的特定报告。

有关详细信息，请参阅生成合规性状态报告和证书。

弃用的建议“应在计算机上解决Log Analytics代理运行状况问题”

我们发现，应在计算机上解决代理运行状况问题Log Analytics建议影响安全分数的方式与安全中心云安全状况管理（CSPM）焦点不一致。 通常，CSPM 与识别安全错误配置有关。 代理运行状况问题不适用于此类问题。

此外，和与安全中心相关的其他代理相比时，该建议也是异常的：这是唯一一个具有与运行状况问题相关的建议的代理。

建议已弃用。

由于此弃用，我们还对安装 Log Analytics 代理（Log Analytics代理）的建议进行了细微更改...）。

此更改可能会影响安全分数。 对于大多数订阅，此更改应会导致分数增加，但在某些情况下，对安装建议的更新可能会导致分数降低。

容器注册表的Azure Defender现在扫描受Azure Private Link保护的注册表中的漏洞

容器注册表的Azure Defender包括用于扫描Azure Container Registry注册表中的映像的漏洞扫描程序。 了解如何在 使用容器注册表Azure Defender扫描映像中的漏洞。

若要限制对托管在 Azure Container Registry 中的注册表的访问，请将虚拟网络专用 IP 地址分配给注册表终结点，并使用 Azure Private Link，如 使用 Azure Private Link 私下连接到Azure container registry。

作为我们持续为支持其他环境和用例而努力的一部分，Azure Defender现在还会扫描受 Azure Private Link 保护的容器注册表。

建议现在支持“强制实施”

安全中心包括两项功能，可帮助确保以安全方式预配新创建的资源： 强制 和 拒绝。 当某项建议提供这些选项时，你可以确保每当有人试图创建资源时，你的安全要求都能得到满足：

• 拒绝 阻止创建不正常的资源
• 创建资源时，强制自动修正不合规的资源

通过此更新，现在可针对启用Azure Defender计划（如应用服务的 Azure Defender）启用强制选项，应启用Key VaultAzure Defender应为存储启用Azure Defender）。

建议数据的 CSV 导出现在限制为 20 MB

导出安全中心建议数据时，我们规定了 20 MB 的限制。

如果需要导出大量数据，请在选择数据前使用可用的筛选器，或选择订阅的子集并批量下载数据。

Azure portal.

详细了解如何执行安全建议的 CSV 导出。

建议页面现在包含多个视图

建议页面现在包含两个选项卡，可提供替代方法来查看与资源相关的建议：

• 安全功能分数建议 - 使用此选项卡查看按安全控制分组的建议列表。 若要详细了解这些控制，请参阅安全控制及其建议。
• 所有建议 - 使用此选项卡可将建议列表作为平面列表查看。 此选项卡还有助于了解是哪个计划（包括法规合规性标准）生成了建议。 若要详细了解计划及其与建议的关系，请参阅什么是安全策略、计划和建议？

Tabs 以更改 Azure Security Center.

2021 年 7 月

7 月的更新包括：

• Resource Manager警报Azure Defender的逻辑重组
• 建议启用 Azure Disk Encryption （ADE）
• 安全功能分数和法规合规性数据的连续导出功能正式发布 (GA)
• 对法规合规性评估的更改可以触发工作流自动化 (GA)
• 评估 API 字段“FirstEvaluationDate”和“StatusChangeDate”现在可用于工作区架构和逻辑应用
• 添加到Azure Monitor工作簿库的“合规性”工作簿模板

Resource Manager警报Azure Defender的逻辑重组

下面列出的警报作为 Resource Manager 计划的 Azure Defender 的一部分提供。

作为某些Azure Defender计划的逻辑重组的一部分，我们已将 Resource ManagerAzure Defender 0>Azure Defender < 中的一些警报移到 server>Azure Defender c1>Azure Defender。

警报根据如下两个主要原则进行组织：

• 提供控制平面保护的警报（跨许多Azure资源类型）是Resource Manager Azure Defender的一部分
• 保护特定工作负荷的警报位于与相应工作负荷相关的Azure Defender计划中

这些警报是Resource Manager Azure Defender的一部分，由于此更改，这些警报现在是服务器Azure Defender的一部分：

• ARM_AmBroadFilesExclusion
• ARM_AmDisablementAndCodeExecution
• ARM_AmDisablement
• ARM_AmFileExclusionAndCodeExecution
• ARM_AmTempFileExclusionAndCodeExecution
• ARM_AmTempFileExclusion
• ARM_AmRealtimeProtectionDisabled
• ARM_AmTempRealtimeProtectionDisablement
• ARM_AmRealtimeProtectionDisablementAndCodeExec
• ARM_AmMalwareCampaignRelatedExclusion
• ARM_AmTemporarilyDisablement
• ARM_UnusualAmFileExclusion
• ARM_CustomScriptExtensionSuspiciousCmd
• ARM_CustomScriptExtensionSuspiciousEntryPoint
• ARM_CustomScriptExtensionSuspiciousPayload
• ARM_CustomScriptExtensionSuspiciousFailure
• ARM_CustomScriptExtensionUnusualDeletion
• ARM_CustomScriptExtensionUnusualExecution
• ARM_VMAccessUnusualConfigReset
• ARM_VMAccessUnusualPasswordReset
• ARM_VMAccessUnusualSSHReset

详细了解 Resource Manager 计划的 Azure Defender。

启用Azure Disk Encryption的建议增强功能（ADE）

根据用户反馈，我们已重命名建议“应对虚拟机应用磁盘加密”。

新建议使用相同的评估 ID，名为“虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流”。

说明也已更新，以更好地解释此强化建议的目的：

安全功能分数和法规合规性数据的连续导出功能正式发布 (GA)

连续导出 提供了导出安全警报的机制，以及用于跟踪环境中其他监视工具的建议。

设置连续导出时，可以配置导出的内容以及导出的位置。 若要了解详细信息，请参阅连续导出概述。

随着时间的推移，我们对此功能进行了增强和扩展：

• 2020 年 11 月，我们添加了 预览 选项，用于将更改流式传输到 安全分数。

• 2020 年 12 月，我们添加了 预览 选项，用于流式传输 对法规合规性评估数据的更改。

在此更新中，这两个选项正式发布 (GA)。

对法规合规性评估的更改可以触发工作流自动化 (GA)

2021 年 2 月，我们在工作流自动化的触发器选项中添加了 预览 版第三种数据类型：对法规合规性评估的更改。 若要了解详细信息，请参阅对法规合规性评估的更改可以触发工作流自动化。

在此更新中，此触发器选项正式发布 (GA)。

了解如何使用自动响应安全中心触发器中的工作流自动化工具。

评估 API 字段“FirstEvaluationDate”和“StatusChangeDate”现在可用于工作区架构和逻辑应用

2021 年 5 月，我们使用两个新字段 （FirstEvaluationDate 和 StatusChangeDate）更新了评估 API。 有关完整的详细信息，请参阅评估 API 扩充了两个新字段。

可通过 REST API、Azure Resource Graph、连续导出和 CSV 导出访问这些字段。

通过此更改，我们将提供Log Analytics工作区架构和逻辑应用中的信息。

添加到Azure Monitor工作簿库的“一段时间内符合性”工作簿模板

今年3月，我们宣布了安全中心集成Azure Monitor工作簿体验（请参阅Azure Monitor工作簿集成到安全中心，并提供三个模板）。

初始版本包括三个模板，用于生成有关组织安全状况的动态和视觉报告。

我们现在添加了一个工作簿，专门用于跟踪订阅是否符合适用的法规或行业标准。

如需了解如何使用这些报告或生成自己的报告，请参阅创建丰富的交互式安全中心数据报表。

2021 年 6 月

6 月的更新包括以下内容：

• Azure Defender Key Vault
• 默认禁用使用客户管理的密钥 (CMK) 进行加密的建议
• Kubernetes 警报的前缀已从“AKS_”更改为“K8S_”
• 弃用了“应用系统更新”安全控制中的两个建议

Key Vault Azure Defender的新警报

为了扩展Azure Defender为Key Vault提供的威胁防护，我们添加了以下警报：

有关详细信息，请参见:

• 为 Key Vault

默认禁用使用客户管理的密钥 (CMK) 进行加密的建议

安全中心包含多个建议，它们建议使用客户管理的密钥对静态数据进行加密，例如：

• 容器注册表应使用客户管理的密钥 (CMK) 进行加密
• Azure Cosmos DB帐户应使用客户管理的密钥来加密静态数据
• 应使用客户管理的密钥（CMK）加密Azure Machine Learning工作区

Azure中的数据是使用平台管理的密钥自动加密的，因此，仅当组织选择强制实施的特定策略时，才应应用客户管理的密钥的使用。

如此更改后，现已默认禁用使用 CMK 的建议。 与组织相关时，可以通过将相应安全策略 的 Effect 参数更改为 AuditIfNotExists 或 Enforce 来启用它们。 有关详细信息，请参阅启用安全建议。

此更改将反映在包含新前缀的建议名称中， [Enable if required] ，如以下示例所示：

• [Enable if required] 存储帐户应使用客户管理的密钥来加密静态数据
• [Enable if required] 应使用客户管理的密钥 (CMK) 来加密容器寄存器
• [如果需要，请启用]Azure Cosmos DB帐户应使用客户管理的密钥来加密静态数据

Kubernetes 警报的前缀已从“AKS_”更改为“K8S_”

Azure Defender，Kubernetes 最近进行了扩展，以保护本地和多云环境中托管的 Kubernetes 群集。 有关详细信息，使用适用于 Kubernetes 的 Azure Defender 来保护混合和多云 Kubernetes 部署（预览版）。

为了反映 Kubernetes Azure Defender提供的安全警报不再局限于 Azure Kubernetes Service 上的群集，我们已将警报类型的前缀从“AKS_”更改为“K8S_”。如有必要，名称和说明也会更新。 例如，以下警报：

已更改为此警报：

将自动转换提到以“AKS_”开始的警报的所有抑制规则。 如果已设置 SIEM 导出或按警报类型引用 Kubernetes 警报的自定义自动化脚本，则需要使用新的警报类型对其进行更新。

有关 Kubernetes 警报的完整列表，请参阅适用于 Kubernetes 群集的警报。

弃用了“应用系统更新”安全控制中的两个建议

以下两项建议已被弃用：

• 应为云服务角色更新 OS 版本 - 默认情况下，Azure定期将来宾 OS 更新为服务配置（.cscfg）中指定的操作系统系列中的最新受支持的映像，例如Windows Server 2016。
• Kubernetes Services 应升级到不容易受到攻击的 Kubernetes 版本 - 这项建议的评估覆盖面并不像我们所希望的那样广泛。 我们计划使用增强版本替换建议，以更好地满足你的安全需求。

2021 年 5 月

5 月的更新包括以下内容：

• 适用于 DNS 的 Azure Defender，适用于正式发布（正式版）
• Azure Defender正式发布开放源代码关系数据库（GA）
• Resource Manager
• 可用于某些建议的更多 Resource Graph 查询
• 更改了 SQL 数据分类建议严重性
• 用于启用受信任启动功能（预览版）的新建议
• 用于强化 Kubernetes 群集（预览版）的新建议
• 评估 API 扩充了两个新字段

适用于 DNS 的Azure Defender和正式版发布的Resource Manager Azure Defender（正式版）

这两个云原生广度的威胁保护计划现已正式发布。

这些新保护极大地增强了针对威胁参与者攻击的复原能力，并显著增加了受Azure Defender保护的Azure资源的数量。

• Azure Defender for Resource Manager - 自动监视组织中执行的所有资源管理操作。 有关详细信息，请参见:

  • 引入到 Resource Manager
  • Resource Manager警报的Azure Defender
  • Azure Defender为 Resource Manager

• 针对 DNS 的 Azure Defender - 持续监视来自Azure资源的所有 DNS 查询。 有关详细信息，请参见:

  • DNS 的Azure Defender简介
  • DNS 警报的Azure Defender

若要简化启用这些计划的过程，请使用建议：

• 应启用Resource Manager的 Azure Defender
• 应为 DNS 启用 Azure Defender

面向正式版发布的开源关系数据库的Azure Defender （正式版）

Azure Security Center使用新的捆绑包扩展了 SQL 保护产品/服务，以涵盖开源关系数据库：

• Azure SQL数据库服务器的 Azure Defender - 保护Azure本机 SQL Server
• Azure Defender适用于计算机上的 SQL 服务器 - 将相同的保护扩展到混合、多云和本地环境中的 SQL 服务器
• 适用于开源关系数据库的 Azure Defender - 为 mySQL、PostgreSQL 和 MariaDB 单一服务器保护 Azure Databases for MySQL、PostgreSQL 和 MariaDB 单一服务器

开放源代码关系数据库的Azure Defender会不断监视服务器的安全威胁，并检测异常数据库活动，指示Azure Database for MySQL、PostgreSQL 和 MariaDB 的潜在威胁。 一些示例包括：

• 暴力攻击 - 开源关系数据库的Azure Defender提供了有关尝试和成功的暴力攻击的详细信息。 让你可以更全面地了解你的环境中的攻击的性质和状态，据此展开调查和进行响应。
• Behavioral 警报检测 - Azure Defender用于开放源代码关系数据库警报，提醒你在服务器上出现可疑和意外行为，例如数据库的访问模式更改。
• 基于智能的检测 - Azure Defender应用Microsoft的威胁情报和庞大的知识库来显示威胁警报，以便你可以应对它们。

在 对开源关系数据库的Azure Defender进行简介了解详细信息。

Resource Manager Azure Defender的新警报

为了扩展Azure Defender为Resource Manager提供的威胁防护，我们添加了以下警报：

有关详细信息，请参见:

• 引入到 Resource Manager
• Resource Manager警报的Azure Defender
• Azure Defender为 Resource Manager

可用于某些建议的更多资源图查询

所有安全中心的建议都可以选择使用 Open 查询0 Azure Resource Graph查看受影响资源的状态的相关信息。 有关此功能的完整详细信息，请参阅 Azure Resource Graph Explorer 中的 Review 建议数据。

安全中心包含内置的漏洞扫描程序，用于扫描 VM、SQL 服务器及其主机，以及容器注册表，以发现安全漏洞。 这些结果将作为建议返回，其中关于每个资源类型的所有单个发现都将集中到一个视图中。 这三个建议是：

• 应修正Azure Container Registry图像中的漏洞（由 Qualys 提供支持）
• 应修正虚拟机中的漏洞
• SQL 数据库应已解决漏洞结果
• 计算机上的 SQL Server 应解决发现的漏洞

通过此更改，可以使用 “打开查询 ”按钮打开显示安全发现结果的查询。

“ 打开查询 ”按钮为相关其他建议提供了其他选项。

了解关于安全中心漏洞扫描程序的更多信息：

• Azure Defender SQL Server 的集成漏洞评估扫描程序
• Azure Defender容器注册表的集成漏洞评估扫描程序

更改了 SQL 数据分类建议严重性

已将“应对 SQL 数据库中的敏感数据进行分类”建议的严重性从“高”更改为“低”。

这是我们即将发布的更改页面中宣布的此建议的持续更改的一部分。

用于启用受信任启动功能（预览版）的新建议

Azure以无缝方式提供受信任的启动，以提高 generation 2 VM 的安全性。 受信任启动能够防范具有持续性的高级攻击手法。 受信任启动由多种可单独启用的协调式基础结构技术组成。 每种技术都针对错综复杂的威胁提供另一层防御。 在 虚拟机的受信任 Azure启动中了解详细信息。

安全中心的建议是，vTPM 应在受支持的虚拟机上启用，确保Azure VM 正在使用 vTPM。 硬件受信任的平台模块的这个虚拟化版本通过测量 VM（UEFI、OS、系统和驱动程序）的整个启动链来实现证明。

启用 vTPM 后， 来宾证明扩展名可以远程验证安全启动。 以下建议可确保部署此扩展名：

• 应在受支持的Windows虚拟机上启用Secure Boot
• 应在受支持的Windows虚拟机上安装 Guest 证明扩展
• 应在受支持的 Windows Virtual Machine Scale SetsGuest 证明扩展>
• 应在受支持的 Linux 虚拟机上安装来宾证明扩展名
• 应在受支持的 Linux Virtual Machine Scale SetsGuest 证明扩展>

在 虚拟机的受信任 Azure启动中了解详细信息。

用于强化 Kubernetes 群集（预览版）的新建议

以下建议可用于进一步强化 Kubernetes 群集

• Kubernetes 群集不得使用默认命名空间 - 防止在 Kubernetes 群集中使用默认命名空间，以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行未经授权的访问。
• Kubernetes 群集应禁用自动装载 API 凭据 - 若要防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令，请禁用自动装载 API 凭据。
• Kubernetes 群集不应授予 CAPSYSADMIN 安全功能

如需了解安全中心如何保护容器化环境，请查阅安全中心的容器安全性。

评估扩充了两个新字段的 API

我们已将以下两个字段添加到评估 REST API中：

• FirstEvaluationDate - 创建建议并首次评估的时间。 返回为 ISO 8601 格式的 UTC 时间。
• StatusChangeDate - 建议状态上次更改的时间。 返回为 ISO 8601 格式的 UTC 时间。

这些字段的初始默认值（对于所有建议）为 2021-03-14T00:00:00+0000000Z。

若要访问此信息，可以使用下表中的任意方法。

详细了解评估 REST API。

2021 年 4 月

4 月的更新包括：

• 刷新了资源运行状况页（预览版）
• 现在会每周重新扫描最近拉取的容器注册表映像（正式发布 (GA)）
• 为 Kubernetes 使用 Azure Defender 来保护混合和多云 Kubernetes 部署（预览版）
• 为 DNS 和Resource Manager（预览版）启用Azure Defender
• CMK 建议移动到最佳做法安全控制
• Eleven Azure Defender警报已弃用
• “应用系统更新”安全控制中的两个建议已弃用
• Azure Defender从Azure Defender仪表板中删除的计算机磁贴上的 SQL
• 建议在不同安全控件之间进行了调动

刷新了资源运行状况页（预览版）

资源健康状况已展开、增强和改进，提供单个资源总体健康状况的快照视图。

可以查看有关该资源的详细信息以及适用于该资源的所有建议。 此外，如果使用 Microsoft Defender，也可以看到该特定资源的未完成安全警报。

若要打开资源的资源运行状况页，请从资产清单页中选择任何资源。

安全中心门户页面中的此预览页显示：

1. 资源信息：资源组及其附加到的订阅，以及地理位置等。
2. 应用安全功能 - 是否为资源启用Azure Defender。
3. 未完成的建议和警报的计数 - 未完成的安全建议和Azure Defender警报的数量。
4. 可操作的建议和警报：两个选项卡列出适用于资源的建议和警报。

参阅教程：调查资源的运行状况，了解更多信息。

现在会每周重新扫描最近拉取的容器注册表映像（正式发布 (GA)）

容器注册表的Azure Defender包括内置漏洞扫描程序。 此扫描程序会立即扫描推送到注册表中的任何映像以及在过去 30 天内拉取的任何映像。

每天都会发现新漏洞。 通过此更新，过去 30 天内从注册表提取的容器映像将每周 重新扫描 。 这可确保在映像中识别新发现的漏洞。

扫描按映像收费，因此重新扫描不产生额外费用。

在 使用容器注册表Azure Defender扫描映像是否存在漏洞。

使用适用于 Kubernetes 的Azure Defender来保护混合和多云 Kubernetes 部署（预览版）

适用于 Kubernetes 的Azure Defender正在扩展其威胁防护功能，以便在部署群集时保护群集。 这通过与已启用 Azure Arc 的 Kubernetes 及其新的 extensions 功能集成来实现。

在非Azure Kubernetes 群集上启用Azure Arc后，Azure Security Center提供的新建议，只需单击几下鼠标即可将Azure Defender代理部署到它们。

使用建议（Azure Arc启用的 Kubernetes 群集应已安装Azure Defender的扩展）和扩展来保护在其他云提供程序中部署的 Kubernetes 群集，尽管不是在其托管 Kubernetes 服务上。

Azure Security Center、Azure Defender和已启用Azure Arc的 Kubernetes 之间的这种集成带来了：

• 轻松将Azure Defender代理预配到已启用Azure Arc保护的 Kubernetes 群集（手动和大规模）
• 从 Azure Arc 门户监视Azure Defender代理及其预配状态
• 安全中心的安全建议在 Azure Arc 门户的新“安全”页中报告
• Azure Arc门户的新“安全”页中报告Azure Defender中识别的安全威胁
• 已启用Azure Arc的 Kubernetes 群集集成到Azure Security Center平台和体验中

有关详细信息，使用本地和多云 Kubernetes 群集为 Kubernetes Azure Defender。

Azure Security Center建议为已启用Azure Arc的 Kubernetes clusters.

为 DNS 和Resource Manager启用Azure Defender的建议（预览版）

添加了两项新建议，用于简化为 dns 启用 < Resource ManagerAzure Defender c>0>Azure Defender 和 Azure Defender的过程：

• 应启用Resource Manager的 Azure Defender - Resource Manager的Defender会自动监视组织中的资源管理操作。 Azure Defender检测到有关可疑活动的威胁和警报。
• 应启用 DNS 的 Azure Defender - Defender为云资源提供额外的保护层，方法是持续监视来自Azure资源的所有 DNS 查询。 Azure Defender在 DNS 层发出可疑活动的警报。

启用Azure Defender计划会产生费用。 了解安全中心 定价页上每个区域的定价详细信息。

CMK 建议移动到最佳做法安全控制

每个组织的安全计划都包含数据加密要求。 默认情况下，Azure客户的数据使用服务管理的密钥进行静态加密。 但是，客户管理的密钥 (CMK) 通常需要满足法规符合性标准。 使用 CMK，可以使用由你创建和拥有的 Azure Key Vault 密钥来加密数据。 你可以完全控制并负责关键生命周期，包括轮换和管理。

Azure Security Center的安全控制是相关安全建议的逻辑组，反映易受攻击的攻击面。 对于每个控制，可以看到为所有资源修正该控制中列出的所有建议后，安全评分可以增加的最高分数。 “实现安全最佳做法”这一安全控制得分为零。 因此，此控制中的建议不会影响安全评分。

下面列出的建议将移到“实现安全最佳做法”这一安全控制，以更好地反应它们的可选性质。 这一移动确保了这些建议都处于最适当的控制之下，以满足其目标。

• Azure Cosmos DB帐户应使用客户管理的密钥来加密静态数据
• 应使用客户管理的密钥（CMK）加密Azure Machine Learning工作区
• Azure AI services帐户应使用客户管理的密钥（CMK）启用数据加密
• 容器注册表应使用客户管理的密钥 (CMK) 进行加密
• SQL 托管实例应使用客户管理的密钥进行静态数据加密
• SQL Server 应使用客户管理的密钥进行静态数据加密
• 存储帐户应使用客户管理的密钥 (CMK) 进行加密

请在安全控件及其建议中了解每个安全控件中的建议。

11 个Azure Defender警报已弃用

下面列出的 11 个Azure Defender警报已弃用。

• 新警报将取代下面两种警报并扩大覆盖范围：

  AlertType	AlertDisplayName
  ARM_MicroBurstDomainInfo	预览版 - 检测到 MicroBurst 工具包“Get-AzureDomainInfo”函数运行
  ARM_MicroBurstRunbook	预览版 - 检测到 MicroBurst 工具包“Get-AzurePasswords”函数运行

• 这九个警报与已弃用的Microsoft Entra标识保护连接器（IPC）相关：

  AlertType	AlertDisplayName
  UnfamiliarLocation	不熟悉的登录属性
  AnonymousLogin	匿名 IP 地址
  InfectedDeviceLogin	受恶意软件感染的 IP 地址
  ImpossibleTravel	异常位置登录
  恶意IP地址	恶意 IP 地址
  LeakedCredentials	凭据泄露
  PasswordSpray	密码喷射
  LeakedCredentials	Microsoft Entra ID威胁情报
  AADAI	Microsoft Entra ID AI

  小窍门

  这 9 种 IPC 警报绝不是安全中心警报。 它们是发送到安全中心的Microsoft Entra标识保护连接器（IPC）的一部分。 在过去两年中，唯一看到这些警报的客户是 2019 年或更早版本中配置导出（从连接器到 ASC）的组织。 Microsoft Entra ID IPC 继续在其自己的警报系统中显示它们，并且它们将继续在Microsoft Sentinel中提供。 唯一的更改是它们不再出现在安全中心。

“应用系统更新”安全控制中的两项建议已弃用

下面这两个建议已弃用，这些更改可能会对安全分数产生轻微影响：

• 应重启计算机来应用系统更新
• 应在计算机上安装监视代理。 此建议仅与本地计算机相关，其某些逻辑将传输到另一个建议，Log Analytics代理运行状况问题应在计算机上得到解决

建议检查连续导出和工作流自动化配置，以查看这些建议是否包括在其中。 此外，任何仪表板或其他可能使用它们的监视工具都应该相应地进行更新。

从Azure Defender仪表板中删除的计算机磁贴上的 SQL Azure Defender

Azure Defender仪表板的覆盖范围区域包括环境相关Azure Defender计划的磁贴。 由于报告受保护和未受保护的资源的数量存在问题，我们决定暂时删除计算机上 SQL Azure Defender的资源覆盖率状态，直到问题得到解决。

在安全控制之间移动的建议

以下建议已移动到其他的安全控件。 安全控件是相关安全建议的逻辑组，反映了你易受攻击的攻击面。 这一调动确保了每个建议都处于最适当的控制之下，以满足其目标。

请在安全控件及其建议中了解每个安全控件中的建议。

2021 年 3 月

3 月的更新包括：

• 集成到安全中心Azure Firewall管理
• SQL 漏洞评估现在包含“禁用规则”体验（预览）
• Azure Monitor集成到安全中心的工作簿和提供的三个模板
• 监管合规性仪表板现在包括Azure审核报告（预览版）
• < 可以使用“在 ARG 中浏览”c0>命令数据>
• 更新部署工作流自动化的的策略
• 两个旧建议不再将数据直接写入Azure活动日志
• 建议页面功能增强

集成到安全中心的Azure Firewall管理

打开Azure Security Center时，显示的第一个页面是概述页。

此交互式仪表板提供了混合云工作负载安全状况的统一视图。 此外，它还显示安全警报、覆盖范围信息等等。

作为从中心体验查看安全状态的一部分，我们已将Azure Firewall Manager集成到此仪表板中。 现在可以检查所有网络的防火墙覆盖范围状态，并从安全中心开始集中管理Azure Firewall策略。

有关此仪表板的详细信息，请参阅 Azure Security Center 概述页。

Security Center 的概述仪表板，其中包含用于 Azure Firewall

SQL 漏洞评估现在包含“禁用规则”体验（预览）

安全中心包含内置漏洞扫描仪，有助于发现、跟踪和修正潜在的数据库漏洞。 评估扫描结果概述了 SQL 计算机的安全状态以及任何安全发现结果的详细信息。

如果您的组织不想修正某个发现，而是选择忽略它，可以选择禁用它。 禁用发现结果不会影响安全功能分数，也不会产生有害的噪音。

有关详细信息，请参阅禁用特定发现结果。

Azure Monitor集成到安全中心并提供三个模板的工作簿

作为 Ignite Spring 2021 的一部分，我们宣布了安全中心的集成Azure Monitor工作簿体验。

可以使用新集成开始使用安全中心库中的现用模板。 通过使用工作簿模板，可以访问和生成动态和可视化报表来跟踪组织的安全状况。 此外，还可以基于安全中心数据或任何其他受支持的数据类型创建新工作簿，并从安全中心的GitHub社区快速部署社区工作簿。

提供了三个模板报告：

• 一段时间内的安全功能分数 - 跟踪订阅的分数以及对资源建议的更改
• 系统更新 - 按资源、OS、严重性等查看缺少的系统更新
• 可用性评估结果 - 查看Azure资源的漏洞扫描结果

如需了解如何使用这些报告或生成自己的报告，请参阅创建丰富的交互式安全中心数据报表。

法规合规性仪表板现在包括Azure审核报告（预览版）

从法规合规性仪表板的工具栏中，现在可以下载Azure和Dynamics认证报告。

可以选择用于相关报告类型（PCI、SOC 和 ISO 等）的选项卡，然后使用筛选器来查找所需的特定报告。

有关详细信息，请参阅管理法规合规性仪表板中的标准。

筛选可用Azure Audit reports.

可以使用“在 ARG 中浏览”Azure Resource Graph查看建议数据

建议详细信息页现在包含“在 ARG 中浏览”工具栏按钮。 使用此按钮可打开Azure Resource Graph查询，并浏览、导出和共享建议的数据。

Azure Resource Graph（ARG）提供对云环境中资源信息的即时访问，并提供可靠的筛选、分组和排序功能。 它是以编程方式或从Azure门户中跨Azure订阅查询信息的快速高效方法。

详细了解 Azure Resource Graph。

Azure Resource Graph.

对部署工作流自动化的的策略的更新

自动执行组织的监视和事件响应流程可以显著缩短调查和缓解安全事件所需的时间。

我们提供三Azure Policy“DeployIfNotExist”策略来创建和配置工作流自动化过程，以便你可以在整个组织中部署自动化：

以下是对这些策略的功能进行的两项更新：

• 分配后，它们将通过强制执行保持启用状态。
• 现在可以自定义这些策略，并更新任意参数，即使它们已部署，也是如此。 例如，可以添加或编辑评估密钥。

开始使用 workflow 自动化模板。

了解如何自动响应安全中心触发器。

两项旧版建议不再将数据直接写入Azure活动日志

安全中心将几乎所有安全建议的数据传递给Azure Advisor，进而将其写入Azure活动日志。

对于两个建议，数据同时直接写入Azure活动日志。 通过这项更改，安全中心会停止将这些旧版安全建议的数据直接写入活动日志。 相反，我们将数据导出到Azure Advisor，就像我们针对所有其他建议所做的那样。

这两条旧版建议为：

• 应在计算机上解决 Endpoint Protection 运行状况问题
• 应该修复计算机上安全配置中的漏洞

如果你一直是在活动日志的“TaskDiscovery 类型的建议”类别中访问这两条建议的信息，现在不再可以这样操作。

建议页面功能增强

我们发布了改进版本的建议列表，以便直观地显示更多信息。

此页面现在显示：

1. 每个安全控制措施的最高分数和当前分数。
2. 替换标记（如 修复 和 预览）的图标。
3. 显示与每个建议相关的 策略计划 的新列 - 禁用“按控件分组”时可见。

在 Azure Security Center 安全建议中了解详细信息。

2021 年 2 月

2 月的更新包括：

• 发布正式发布Azure门户中的新安全警报页
• Kubernetes 工作负载保护建议已正式发布 (GA)
• 直接链接到建议详细信息页中的策略
• SQL 数据分类建议不再影响安全功能分数
• 工作流自动化可以由对法规合规性评估的更改触发（预览）
• 资产清单页增强功能

Azure门户中发布的正式发布的新安全警报页（正式版）

Azure Security Center的安全警报页经过重新设计以提供：

• 更好的警报会审体验 - 列表包含可自定义的筛选器和分组选项，有助于减少警报疲劳，让你能够更轻松地专注于相关度最高的威胁。
• 警报列表中包含更多信息 - 例如 MITRE ATT&ACK 策略。
• Button 创建示例警报 - 评估Azure Defender功能和测试警报。 配置（对于 SIEM 集成、电子邮件通知和工作流自动化），可以从所有Azure Defender计划创建示例警报。
• 具有Azure Sentinel 事件体验 - 对于使用这两种产品的客户，在两者之间切换现在是一种更直接的体验，并且很容易从另一种体验中学习。
• 大型警报列表的性能更佳。
• 通过警报列表导航键盘。
• 来自 Azure Resource Graph 的Alerts - 可以查询所有资源的 Azure Resource Graph（类似于 Kusto 的 API）中的警报。 如果要构建自己的警报仪表板，这也很有用。 详细了解 Azure Resource Graph。
• 创建示例警报功能 - 若要从新的警报体验创建示例警报，请参阅 Generate 示例Azure Defender警报。

Kubernetes 工作负载保护建议已正式发布 (GA)

我们很高兴地宣布，已正式发布一组针对 Kubernetes 工作负载保护的建议。

为了确保 Kubernetes 工作负载在默认情况下是安全的，安全中心添加了 Kubernetes 级别的强化建议，其中包括具有 Kubernetes 准入控制的执行选项。

在Azure Kubernetes Service (AKS)群集上安装 Kubernetes Azure Policy时，对 Kubernetes API 服务器的每个请求都将根据预定义的最佳做法集（显示为 13 个安全建议）进行监视，然后再保存到群集。 然后，可以配置为强制实施最佳做法，并规定将其用于未来的工作负载。

例如，可以规定不应创建特权容器，并且阻止以后的任何请求。

有关详细信息，请参阅使用 Kubernetes 准入控制实现工作负载保护最佳做法。

直接链接到建议详细信息页中的策略

查看建议的详细信息时，能够查看基础策略通常会很有帮助。 对于策略支持的每条建议，建议详细信息页面上都有一个新链接：

使用此链接可查看策略定义和计算逻辑。

SQL 数据分类建议不再影响安全功能分数

“应对 SQL 数据库中的敏感数据进行分类”建议不再影响安全功能分数。 安全控制 应用包含它的数据分类 现在的安全功能分数值为 0。

有关所有安全控件的完整列表，以及每个控件中的分数和建议的列表，请参阅 安全控件及其建议。

工作流自动化可以由对法规合规性评估的更改触发（预览）

我们向工作流自动化的触发器选项添加了第三种数据类型：对监管合规性评估的更改。

了解如何使用自动响应安全中心触发器中的工作流自动化工具。

资产清单页增强功能

Azure 安全中心的资产库存页已经过改进：

• 页面顶部的摘要现在包括 “未注册的订阅”，其中显示了未启用安全中心的订阅数。

  

• 筛选器进行了扩展和增强，包括：

  • 计数 - 每个筛选器显示满足每个类别条件的资源数

    在 Azure Security Center.

  • 包含豁免筛选器（可选）- 将结果范围缩小为有/没有豁免的资源。 默认情况下不显示此筛选器，但可从 “添加筛选器 ”按钮访问。

    

详细了解如何利用资产清单浏览和管理资源。

2021 年 1 月

一月的更新包括：

• Azure安全基准现在是 Azure Security Center
• 预览版中现可提供管理组的安全分数
• 安全功能分数 API 已正式发布 (GA)
• 添加到应用服务Azure Defender的>对 DNS 保护
• 35 预览版建议增加了对Azure安全基准的覆盖面
• 将经筛选的建议列表导出为 CSV
• “不适用”资源现在在Azure Policy评估中报告为“合规”
• 通过连续导出（预览版）导出安全分数和法规合规性数据的每周快照

Azure安全基准现在是Azure Security Center的默认策略计划

Azure安全基准是Microsoft创作的、基于常见合规性框架Azure特定指南集的安全与合规性最佳做法。 这一广受人尊敬的基准基于 互联网安全中心（CIS） 和 国家标准与技术研究所（NIST） 的控制，专注于以云为中心的安全。

最近几个月，安全中心的内置安全建议列表已显著增加，从而扩大了此基准的覆盖范围。

在此版本中，基准测试是安全中心建议的基础，并完全集成为默认策略计划。

所有Azure服务在其文档中都有一个安全基线页。 这些基线基于Azure安全基准构建。

如果使用的是安全中心的法规符合性仪表板，则你在过渡期间会看到两个基准实例：

现有建议不受影响，并且随着基准的增加，安全中心内将自动反映出这些更改。

若要了解详细信息，请参阅以下页面：

• 详细了解Azure安全基准
• 在监管合规仪表板中自定义标准集

预览版中现可提供管理组的安全分数

除了订阅级别外，“安全分数”页面现在还会显示管理组的汇总安全分数。 因此，现在可以查看组织中管理组的列表以及每个管理组的分数。

在 Azure Security Center 中了解有关 安全控制的详细信息。

安全功能分数 API 已正式发布 (GA)

现在可以通过安全分数 API 访问分数。 通过 API 方法，可灵活地查询数据，久而久之构建自己的安全功能分数报告机制。 例如：

• 使用 安全功能分数 API 获取特定订阅的分数
• 使用安全功能分数控件 API 列出安全控件和订阅的当前分数

了解在 GitHub社区的安全评分区域。

在 Azure Security Center 中了解有关 安全控制的详细信息。

为应用服务添加到Azure Defender的悬空 DNS 保护

子域接管是组织常见的严重威胁。 当拥有指向已撤销的网站的 DNS 记录时，可能会发生子域接管。 这类 DNS 记录也称为“无关联的 DNS”项。 CNAME 记录特别容易受到此威胁的攻击。

子域接管使威胁参与者能够将针对组织域的流量重定向到执行恶意活动的站点。

应用服务Azure Defender现在在应用服务网站停用时检测悬而未完成的 DNS 条目。 当时，DNS 条目指向不存在的资源，并且网站容易受到子域接管攻击。 无论域是使用Azure DNS还是外部域注册机构进行管理，这些保护都可用，并适用于Windows和App Service on Linux上的应用服务。

了解详细信息：

• 应用服务警报引用表 - 包括两个新的Azure Defender警报，这些警报在检测到悬空 DNS 条目时触发
• 防止无关联的 DNS 条目并避免子域接管 - 了解子域接管威胁和无关联的 DNS 方面
• 应用服务Azure Defender简介

添加了 35 个预览版建议，以提高Azure安全基准的覆盖范围

Azure安全基准是Azure Security Center中的默认策略计划。

为扩大此基准的覆盖范围，安全中心已添加下列 35 条预览建议。

相关链接：

• 详细了解Azure安全基准
• 详细了解 Azure Database for MariaDB
• 详细了解 Azure Database for MySQL
• 详细了解 Azure Database for PostgreSQL

将经筛选的建议列表导出为 CSV

2020 年 11 月，我们向建议页添加了筛选器。

随着此次公告的发布，我们将更改为“下载到 CSV”按钮的行为，使 CSV 导出仅包含经筛选的列表中当前显示的建议。

例如，在下图中，可以看到列表已筛选为显示两个建议。 生成的 CSV 文件包括受这两个建议影响的每项资源的状态详细信息。

在 Azure Security Center 安全建议中了解详细信息。

在Azure Policy评估中，“不适用”资源现在报告为“合规”

以前，针对建议进行评估且发现不适用的资源显示在Azure Policy显示为“不符合”。 任何用户操作都不能将资源状态更改为“合规”。进行此更改后，为了显得更加清楚，将资源报告为“合规”。

唯一的影响将出现在Azure Policy，其中合规资源的数量将增加。 在Azure Security Center中，安全分数不会受到影响。

通过连续导出（预览版）导出安全分数和法规合规性数据的每周快照

我们向 连续导出 工具添加了新的预览功能，用于导出安全评分和法规合规性数据的每周快照。

定义连续导出时，请设置导出频率：

• 流式处理 - 更新资源运行状况时，将发送评估（如果未发生更新，则不会发送任何数据）。
• 快照 - 将每周发送所有法规符合性评估的当前状态的快照（这是安全分数和法规合规性数据的每周快照的预览功能）。

请在持续导出安全中心数据中详细了解此功能的所有性能。

2020 年 12 月

12 月的更新包括：

• 计算机上的 SQL Server Azure Defender 已正式发布
• Azure Defender正式发布Azure Synapse Analytics专用 SQL 池的 SQL 支持
• 两个新的Azure Defender计划：Azure Defender dns 和 Resource Manager Azure Defender（预览版）
• Azure 门户（预览版）
• 在 Azure SQL Database & 中重新获得安全中心体验SQL Managed Instance
• 更新了资产清单工具和筛选器
• 有关请求 SSL 证书的 Web 应用的建议不再属于安全功能分数
• 建议页面包含用于环境、严重性和可用响应的新筛选器
• 连续导出获得新的数据类型和改进的 deployifnotexist 策略

计算机上 SQL Server 的Azure Defender已正式发布

Azure Security Center为 SQL Server 提供两个Azure Defender计划：

• Azure SQL数据库服务器的 Azure Defender - 保护Azure本机 SQL Server
• Azure Defender适用于计算机上的 SQL 服务器 - 将相同的保护扩展到混合、多云和本地环境中的 SQL 服务器

在此公告中，Azure Defender for SQL现在保护数据库及其数据（无论它们位于何处）。

SQL 的Azure Defender包括漏洞评估功能。 漏洞评估工具包括以下高级功能：

• 基线配置 （新增！）可智能地将漏洞扫描结果优化为可能表示实际安全问题的漏洞扫描结果。 建立基线安全状态后，漏洞评估工具仅报告与该基线状态的偏差。 与基线匹配的结果被视为通过后续扫描。 这样，你和你的分析师就可以将注意力集中在重要的方面。
• 详细的基准信息有助于了解已发现的结果，以及这些结果为何与资源相关。
• 修正脚本 ，帮助你缓解已识别的风险。

详细了解适用于 SQL 的 Azure Defender。

Azure Synapse Analytics专用 SQL 池的 SQL 支持Azure Defender已正式发布

Azure Synapse Analytics（前 SQL DW）是一种分析服务，它结合了企业数据仓库和大数据分析。 专用 SQL 池是Azure Synapse的企业数据仓库功能。 在 什么是Azure Synapse Analytics（前 SQL DW）？。

sql 的Azure Defender通过：

• 用于检测威胁和攻击的高级威胁防护
• 用于识别和修正安全错误配置的漏洞评估功能

Azure Defender，SQL 池支持Azure Synapse Analytics SQL 池会自动添加到Azure Security Center中的Azure SQL数据库捆绑包。 Azure 门户中 Synapse 工作区页中有一个新的 sql Azure Defender 选项卡。

详细了解适用于 SQL 的 Azure Defender。

两个新的Azure Defender计划：DNS 的Azure Defender和Resource Manager的Azure Defender（预览版）

我们为Azure环境添加了两个新的云原生威胁防护功能。

这些新保护极大地增强了针对威胁参与者攻击的复原能力，并显著增加了受Azure Defender保护的Azure资源的数量。

• Azure Defender for Resource Manager - 自动监视组织中执行的所有资源管理操作。 有关详细信息，请参见:

  • 引入到 Resource Manager
  • Resource Manager警报的Azure Defender
  • Azure Defender为 Resource Manager

• 针对 DNS 的 Azure Defender - 持续监视来自Azure资源的所有 DNS 查询。 有关详细信息，请参见:

  • DNS 的Azure Defender简介
  • DNS 警报的Azure Defender

Azure门户中的新安全警报页（预览版）

Azure Security Center的安全警报页经过重新设计以提供：

• 更好的警报会审体验 - 帮助减少警报疲劳，让你能够专注于相关度最高的威胁，列表包含可自定义的筛选器和分组选项
• 警报列表中的更多信息 - 例如 MITRE ATT&ACK 策略
• Button 创建示例警报 - 评估Azure Defender功能和测试警报配置（对于 SIEM 集成、电子邮件通知和工作流自动化），可以从所有Azure Defender计划创建示例警报
• 具有Azure Sentinel 事件体验 - 对于使用这两种产品的客户，在两个产品之间进行切换现在是一种更直接的体验，很容易从另一个产品中学习一个
• 大型警报列表的性能更佳
• 通过 警报列表导航键盘
• 来自 Azure Resource Graph 的Alerts - 可以查询所有资源的 Azure Resource Graph（类似于 Kusto 的 API）中的警报。 如果要构建自己的警报仪表板，这也很有用。 详细了解 Azure Resource Graph。

若要访问新体验，请使用安全警报页顶部横幅中的“立即试用”链接。

若要从新的警报体验创建示例警报，请参阅 Generate 示例Azure Defender警报。

振兴了Azure SQL Database的安全中心体验SQL Managed Instance

SQL 中的安全中心体验提供对以下安全中心和 SQL 功能Azure Defender的访问权限：

• 安全建议 - 安全中心定期分析所有连接的Azure资源的安全状态，以确定潜在的安全配置错误。 然后，它提供有关如何修正这些漏洞和改进组织安全状况的建议。
• 安全警报 - 一种检测服务，用于持续监视 SQL 注入、暴力攻击和特权滥用等威胁Azure SQL活动。 此服务在安全中心触发详细的和面向操作的安全警报，并提供用于继续调查Microsoft Sentinel的选项，Microsoft的Azure本机 SIEM 解决方案。
• Findings - 一种漏洞评估服务，可持续监视Azure SQL配置并帮助修正漏洞。 评估扫描概述了Azure SQL安全状态以及详细的安全发现。

Azure Security Center的 SQL 安全功能可从 Azure SQL

更新了资产清单工具和筛选器

Azure Security Center中的清单页已刷新，并进行了以下更改：

• 工具栏上添加了“指南和反馈”。 该操作会打开一个窗格，其中有指向相关信息和工具的链接。

• 已添加到资源可用的默认筛选器的订阅筛选器。

• 打开查询链接，用于将当前筛选器选项作为Azure Resource Graph查询（以前称为“在资源图资源管理器中查看”）。

• 每个筛选器的运算符选项。 现在，可从“=”之外的其他逻辑运算符中进行选择。 例如，你可能想要查找所有具有活动建议且标题包含“encrypt”字符串的资源。

  

有关清单的详细信息，请参阅利用资产清单浏览和管理资源。

有关请求 SSL 证书的 Web 应用的建议不再属于安全功能分数

“Web 应用应请求一个 SSL 证书用于所有传入请求”这一建议已从“管理访问和权限”安全控制（分值最多为 4）移至“实施安全最佳做法”（分值为 0）。

确保 Web 应用请求的是肯定会增强其安全性的证书。 但是，对于面向公众的 Web 应用，这是不相关的。 如果通过 HTTP 而不是 HTTPS 访问站点，不会收到任何客户端证书。 因此，如果应用程序需要客户端证书，则你不应允许通过 HTTP 对应用程序发出请求。 有关详细信息，配置用于 Azure App Service 的 TLS 相互身份验证。

在此更改后，此建议现在已是推荐的最佳做法，不会影响你的分数。

请在安全控件及其建议中了解每个安全控件中的建议。

建议页面包含用于环境、严重性和可用响应的新筛选器

Azure Security Center监视所有连接的资源并生成安全建议。 使用这些建议来强化你的混合云状况，并跟踪与组织、行业和国家/地区相关的策略和标准的合规性。

随着安全中心不断扩展其覆盖范围和功能，安全建议的列表每月都在扩充。 例如，请参阅 Twenty 9 个预览版建议，以增加Azure安全基准的覆盖范围。

随着列表的扩充，需要筛选建议来找出最感兴趣的建议。 11 月，我们在“建议”页面中添加了筛选器（请参阅建议列表现包含筛选器）。

本月添加的筛选器提供了一些选项，可根据以下条件优化建议列表：

• Environment - 查看Azure资源的建议（或任何组合）

• 严重性 - 根据安全中心设置的严重性分类查看建议

• 响应作 - 根据安全中心响应选项的可用性查看建议：修复、拒绝和强制实施

  小窍门

  “响应操作”筛选器替代了“可用的快速修复(是/否)”筛选器。

  请详细了解每个响应选项：

  • “修复”按钮

连续导出获得新的数据类型和改进的 deployifnotexist 策略

Azure Security Center的持续导出工具使你可以导出安全中心的建议和警报，以便在环境中与其他监视工具一起使用。

“连续导出”使你可以完全自定义将要导出的内容，以及要导出到的位置 。 有关完整详细信息，请参阅连续导出安全中心数据。

这些工具已通过以下方式进行了增强和扩展：

• 连续导出的 deployifnotexist 策略已得到增强。 策略目前执行以下操作：

  • 检查配置是否已启用。 如果未启用，策略将显示为不合规，并将创建合规的资源。 在 设置连续导出。

  • 支持导出安全结果。 使用Azure Policy模板时，可以将连续导出配置为包括发现。 这在导出具有子建议的建议时非常重要，例如漏洞评估扫描程序的结果或针对“应在计算机上安装系统更新”这一父建议的特定系统更新。

  • 支持导出安全功能分数数据。

• 已添加合规性评估数据（预览）。 现在可以将更新持续导出到法规合规性评估（包括针对任何自定义计划）导出到Log Analytics工作区或事件中心。 此功能在国家云上不可用。

  

2020 年 11 月

11 月的更新包括：

• 29 预览版建议增加了对Azure安全基准的覆盖面
• 建议列表现包含筛选器
• 自动预配体验得到改进和扩展
• 现可在连续导出中使用安全功能分数（预览）
• “应在计算机上安装系统更新”建议现包含子建议
• Azure门户中的 Policy 管理页现在显示默认策略分配的状态

添加了 29 个预览版建议，以提高Azure安全基准的覆盖范围

Azure安全基准是基于常见合规性框架Microsoft创作的、特定于Azure的一组安全与合规性最佳做法指南。 详细了解Azure安全基准。

已在安全中心添加下列 29 条预览建议，以扩大此基准的覆盖范围。

预览版建议不会显示资源运行不正常，并且在计算安全功能分数时不会包含这些建议。 请尽量修正这些建议，以便在预览期结束之后，借助这些建议提高安全功能分数。 详细了解如何在 Azure Security Center0 中响应这些建议。

相关链接：

• 详细了解Azure安全基准
• 详细了解 Azure API 应用
• 详细了解Azure函数应用
• 详细了解 Azure Web 应用
• 详细了解 Azure Database for MariaDB
• 详细了解 Azure Database for MySQL
• 详细了解 Azure Database for PostgreSQL

建议列表现包含筛选器

现在，你可以根据一系列条件筛选安全建议列表。 在以下示例中，建议列表经过筛选，以显示满足以下条件的建议：

• 已正式发布（即不是预览版）
• 适用于 存储帐户
• 支持 快速修复 修正

自动预配体验得到改进和扩展

自动预配功能通过在新的和现有的 VM 上安装所需的扩展来帮助减少管理开销，Azure VM，以便它们可以从安全中心的保护中受益。

随着Azure Security Center的增长，已开发更多的扩展，安全中心可以监视更大的资源类型列表。 自动预配工具现已扩展，以利用Azure Policy的功能来支持其他扩展和资源类型。

现在可以配置以下项的自动预配：

• Log Analytics代理
• （新）适用于 Kubernetes 的 Azure Policy
• （新）Microsoft依赖关系代理

在 Autoprovisioning agents and extensions from Azure Security Center 中了解详细信息。

现可在连续导出中使用安全功能分数（预览）

通过连续导出安全功能分数，可以实时将分数的更改流式传输到Azure Event Hubs或Log Analytics工作区。 此功能可用于：

• 通过动态报表跟踪一段时间内的安全功能分数
• 将安全评分数据导出到Microsoft Sentinel（或任何其他 SIEM）
• 将此数据与你可能已在使用的任何进程集成来监视你组织中的安全功能分数

详细了解如何连续导出安全中心数据。

“应在计算机上安装系统更新”建议现包含子建议

“应在计算机上安装系统更新”建议已得到增强。 新版本包括针对每个缺失的更新的子建议，其中还引入了以下改进：

• Azure门户Azure Security Center页面中重新设计的体验。 “应在计算机上安装系统更新”的建议详细信息页包括发现结果列表，如下所示。 选择单个发现结果时，结果窗格将打开，并提供指向修正信息和受影响资源列表的链接。

  

• Azure Resource Graph （ARG） 中建议的扩充数据。 ARG 是一项Azure服务，旨在提供高效的资源探索。 可以使用 ARG 在一组给定的订阅中进行大规模查询，以便有效地控制环境。

  对于Azure Security Center，可以使用 ARG 和 Kusto 查询语言（KQL）查询各种安全状况数据。

  以前，如果你在 ARG 中查询此建议，唯一提供的信息就是“需要在计算机上修正建议”。 以下查询的增强版本将返回按计算机分组的每个缺失的系统更新。

  securityresources
  | where type =~ "microsoft.security/assessments/subassessments"
  | where extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) == "4ab6e3c5-74dd-8b35-9ab9-f61b30875b27"
  | where properties.status.code == "Unhealthy"
  

Azure门户中的策略管理页现在显示默认策略分配的状态

现在，可以在Azure门户的安全中心安全策略页中查看订阅是否分配了默认的安全中心策略。

2020 年 10 月

10月更新包括：

• 添加了 Azure Firewall 建议（预览版）
• “应在 Kubernetes 服务上定义已授权的 IP 范围”建议更新了快速修复
• 法规合规性仪表板现在包含用于删除标准的选项
• Microsoft。从 Azure Resource Graph

添加了Azure Firewall建议（预览版）

添加了一项新建议，用于通过Azure Firewall保护所有虚拟网络。

建议应受到 Azure Firewall建议限制对虚拟网络的访问，并使用Azure Firewall防止潜在威胁。

详细了解 Azure Firewall。

“应在 Kubernetes 服务上定义已授权的 IP 范围”建议更新了快速修复

“应在 Kubernetes 服务上定义已授权的 IP 范围”建议现提供一个快速修复选项。

法规合规性仪表板现在包含用于删除标准的选项

安全中心的法规合规性仪表板基于你满足特定合规控制和要求的情况来提供合规态势的见解。

该仪表板包含一组默认的法规标准。 如果提供的任何标准都与你的组织不相关，那么现在简单操作一下就可在订阅的 UI 中将它们删除。 只能在 订阅 级别删除标准;不是管理组范围。

有关详细信息，请参阅从仪表板中删除标准。

Microsoft。从 Azure Resource Graph 中删除了 Security/securityStatuses 表 （ARG）

Azure Resource Graph是Azure中的一项服务，旨在提供高效的资源探索，能够大规模地跨一组给定的订阅进行查询，以便有效地管理环境。

对于Azure Security Center，可以使用 ARG 和 Kusto 查询语言（KQL）查询各种安全状况数据。 例如：

• 资产清单利用 ARG
• 我们提供了一个示例 ARG 查询，说明如何在未启用多重身份验证 (MFA) 的情况下标识帐户

ARG 中提供了可以在查询中使用的数据表。

从此更新中，Microsoft。安全/securityStatuses表已删除。 securityStatuses API 仍可用。

数据替换可由Microsoft使用。安全/评估表。

Microsoft之间的主要区别。Security/securityStatuses 和 Microsoft。安全/评估是，当第一个显示评估聚合时，秒将为每个记录保留一条记录。

例如，Microsoft。Security/securityStatuses 将返回包含两个 policyAssessments 数组的结果：

{
id: "/subscriptions/449bcidd-3470-4804-ab56-2752595 felab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/securityStatuses/mico-rg-vnet",
name: "mico-rg-vnet",
type: "Microsoft.Security/securityStatuses",
properties:  {
    policyAssessments: [
        {assessmentKey: "e3deicce-f4dd-3b34-e496-8b5381bazd7e", category: "Networking", policyName: "Azure DDOS Protection should be enabled",...},
        {assessmentKey: "sefac66a-1ec5-b063-a824-eb28671dc527", category: "Compute", policyName: "",...}
    ],
    securitystateByCategory: [{category: "Networking", securityState: "None" }, {category: "Compute",...],
    name: "GenericResourceHealthProperties",
    type: "VirtualNetwork",
    securitystate: "High"
}

而Microsoft。安全/评估为每个此类策略评估保留记录，如下所示：

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft. Network/virtualNetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/e3delcce-f4dd-3b34-e496-8b5381ba2d70",
name: "e3deicce-f4dd-3b34-e496-8b5381ba2d70",
properties:  {
    resourceDetails: {Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourceGroups/mico-rg/providers/Microsoft.Network/virtualNetworks/mico-rg-vnet"...},
    displayName: "Azure DDOS Protection should be enabled",
    status: (code: "NotApplicable", cause: "VnetHasNOAppGateways", description: "There are no Application Gateway resources attached to this Virtual Network"...}
}

{
type: "Microsoft.Security/assessments",
id:  "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet/providers/Microsoft.Security/assessments/80fac66a-1ec5-be63-a824-eb28671dc527",
name: "8efac66a-1ec5-be63-a824-eb28671dc527",
properties: {
    resourceDetails: (Source: "Azure", Id: "/subscriptions/449bc1dd-3470-4804-ab56-2752595f01ab/resourcegroups/mico-rg/providers/microsoft.network/virtualnetworks/mico-rg-vnet"...),
    displayName: "Audit diagnostic setting",
    status:  {code: "Unhealthy"}
}

将使用 securityStatuses 的现有 ARG 查询转换为现在使用 Assessments 表的示例：

引用 SecurityStatuses 的查询：

SecurityResources
| where type == 'microsoft.security/securitystatuses' and properties.type == 'virtualMachine'
| where name in ({vmnames})
| project name, resourceGroup, policyAssesments = properties.policyAssessments, resourceRegion = location, id, resourceDetails = properties.resourceDetails

Assessments 表的替换查询：

securityresources
| where type == "microsoft.security/assessments" and id contains "virtualMachine"
| extend resourceName = extract(@"(?i)/([^/]*)/providers/Microsoft.Security/assessments", 1, id)
| extend source = tostring(properties.resourceDetails.Source)
| extend resourceId = trim(" ", tolower(tostring(case(source =~ "azure", properties.resourceDetails.Id,
source =~ "aws", properties.additionalData.AzureResourceId,
source =~ "gcp", properties.additionalData.AzureResourceId,
extract("^(.+)/providers/Microsoft.Security/assessments/.+$",1,id)))))
| extend resourceGroup = tolower(tostring(split(resourceId, "/")[4]))
| where resourceName in ({vmnames})
| project resourceName, resourceGroup, resourceRegion = location, id, resourceDetails = properties.additionalData

若要了解详细信息，请参阅下列链接：

• 如何使用 Azure Resource Graph Explorer 创建查询
• Kusto 查询语言 (KQL)

2020 年 9 月

9 月的更新包括：

• 安全中心获得新的外观！
• 已发布Azure Defender
• 资产清单工具现已正式发布
• 对容器注册表和虚拟机的扫描禁用特定漏洞发现结果
• Kubernetes 工作负载保护建议捆绑
• 漏洞评估发现结果现已可以连续导出
• 改进了网络安全组建议
• 弃用了预览 AKS 建议“应在 Kubernetes 服务上定义 Pod 安全策略”
• 改进Azure Security Center邮件通知
• 安全功能分数不包括预览建议
• 建议现在包含严重性指标和新鲜度间隔

安全中心获得新的外观

我们已发布安全中心门户页面的更新 UI。 新页面包括用于安全评分、资产清单和Azure Defender的新概述页和仪表板。

重新设计的概述页面现在有一个磁贴，用于访问安全功能分数、资产清单和Azure Defender仪表板。 它还包含一个可以链接到合规性面板的磁贴。

了解有关 概述页的详细信息。

已发布Azure Defender

Azure Defender是安全中心内集成的云工作负荷保护平台（CWPP），用于高级、智能、保护Azure和混合工作负荷。 它取代了安全中心的标准定价层选项。

从Azure Security Center的 Pricing 和设置区域启用Azure Defender时，将同时启用以下Defender计划，并为环境的计算、数据和服务层提供全面的防御：

• 应用服务的 Azure Defender
• sqlAzure Defender>
• 容器注册表的 Azure Defender

安全中心的文档对其中每个计划单独进行了介绍。

借助专用仪表板，Azure Defender为虚拟机、SQL 数据库、容器、Web 应用程序、网络等提供安全警报和高级威胁防护。

learn 详细了解 Azure Defender

资产清单工具现已正式发布

Azure Security Center的资产清单页提供了一个页面，用于查看已连接到安全中心的资源的安全状况。

安全中心定期分析Azure资源的安全状态，以确定潜在的安全漏洞。 然后会提供有关如何消除这些安全漏洞的建议。

当任何资源具有未完成的建议时，它们将显示在清单中。

有关详细信息，请参阅利用资产清单浏览和管理资源。

对容器注册表和虚拟机的扫描禁用特定漏洞发现结果

Azure Defender包括用于扫描Azure Container Registry和虚拟机中的映像的漏洞扫描程序。

如果您的组织不想修正某个发现，而是选择忽略它，可以选择禁用它。 禁用发现结果不会影响安全功能分数，也不会产生有害的噪音。

当查找与禁用规则中定义的条件匹配时，它不会显示在发现列表中。

此选项在建议详细信息页中提供，用于：

• 应修正Azure Container Registry图像中的 Vulnerabilities
• 应修正虚拟机中的漏洞

Kubernetes 工作负载保护建议捆绑

为了确保 Kubernetes 工作负载在默认情况下是安全的，安全中心将添加 Kubernetes 级别强化建议，其中包括具有 Kubernetes 准入控制的执行选项。

在 AKS 群集上为 Kubernetes 安装Azure Policy后，对 Kubernetes API 服务器的每个请求都将根据预定义的最佳做法集进行监视，然后再保存到群集。 然后，可以配置为强制实施最佳做法，并规定将其用于未来的工作负载。

例如，可以规定不应创建特权容器，并且阻止以后的任何请求。

有关详细信息，请参阅使用 Kubernetes 准入控制实现工作负载保护最佳做法。

漏洞评估发现结果现已可以连续导出

使用连续导出将警报和建议流式传输到Azure Event Hubs、Log Analytics工作区或Azure Monitor。 在此处，可以将此数据与 SIEM 集成，例如Microsoft Sentinel、Power BI、Azure Data Explorer等。

安全中心的集成漏洞评估工具在“父”建议中将有关资源的发现结果作为可操作性建议返回，例如“应修正虚拟机中的漏洞”。

现在选择建议并启用“包括安全性结果”选项时，可以通过连续导出来导出安全性结果。

相关页面：

• 安全中心针对Azure Container Registry映像的集成漏洞评估解决方案
• 连续导出

改进了网络安全组建议

以下与网络安全组相关的安全建议已得到优化，可减少误报。

• 应在与 VM 关联的 NSG 上限制所有网络端口
• 应关闭虚拟机上的管理端口
• 面向 Internet 的虚拟机应使用网络安全组进行保护
• 子网应与网络安全组关联

弃用了预览 AKS 建议“应在 Kubernetes 服务上定义 Pod 安全策略”

预览版建议“应在 Kubernetes 服务上定义 Pod 安全策略”已弃用，如 Azure Kubernetes Service 文档中所述。

Pod 安全策略（预览版）功能已设置为弃用，在 2020 年 10 月 15 日之后将不再可用，以支持 AKS Azure Policy。

弃用 Pod 安全策略（预览版）后，必须使用已弃用的功能禁用任何现有群集上的功能，以执行将来的群集升级并保留在Azure support中。

改进了来自Azure Security Center的电子邮件通知

电子邮件中与安全警报相关的以下部分已得到优化：

• 添加了发送针对所有严重性级别的电子邮件警报通知的功能
• 添加了在订阅上通知具有不同Azure角色的用户的功能
• 默认情况下，我们会主动向订阅所有者通知高严重性警报（这些警报很可能表示真正的漏洞）
• 我们已从电子邮件通知配置页面中删除了电话号码字段

有关详细信息，请参阅设置安全警报的电子邮件通知。

安全功能分数不包括预览建议

安全中心会持续评估资源、订阅和组织的安全问题。 然后，它将所有调查结果汇总成一个分数，让你可以一目了然地了解当前的安全状况：分数越高，识别出的风险级别就越低。

发现新的威胁后，安全中心会通过提出新的建议来提供新的安全建议。 为避免意外更改安全分数，并提供宽限期，可以在新建议影响分数之前浏览新建议，标记为 预览 的建议不再包含在安全功能分数的计算中。 但仍应尽可能按这些建议进行修正，这样在预览期结束时，它们会有助于提升分数。

此外， 预览 建议不会呈现资源“不正常”。

预览建议示例如下：

详细了解安全功能分数。

建议现包含严重性指示器和刷新时间间隔

现在，建议的详细信息页面包括一个刷新时间间隔指示器（如相关），并且清楚显示了建议的严重性。

2020 年 8 月

8 月的更新包括：

• 资产清单 - 功能强大的资产安全状况新视图
• 对Microsoft Entra ID安全默认值（用于多重身份验证）
• 添加了服务主体建议
• VM 上的漏洞评估 - 已合并建议和策略
• 添加到ASC_default计划的新 AKS 安全策略

资产清单 - 功能强大的资产安全状况新视图

安全中心的资产清单页（当前为预览版）提供了一种方法，用于查看已连接到安全中心的资源的安全状况。

安全中心定期分析Azure资源的安全状态，以确定潜在的安全漏洞。 然后会提供有关如何消除这些安全漏洞的建议。 当任何资源具有未完成的建议时，它们将显示在清单中。

你可以使用该视图及其筛选器来浏览安全状况数据，并根据发现结果采取更多操作。

详细了解 资产清单。

添加了对Microsoft Entra ID安全默认值的支持（用于多重身份验证）

安全中心添加了对安全默认值的完全支持，Microsoft的免费标识安全保护。

安全默认值提供了预配置的标识安全设置，以保护组织免受与标识相关的常见攻击。 安全默认值总计已保护了逾 500 万名租户；50,000 名租户也受安全中心的保护。

每当安全中心标识未启用安全默认值的Azure订阅时，安全中心现在都提供安全建议。 到目前为止，安全中心建议使用条件访问启用多重身份验证，这是Microsoft Entra ID高级许可证的一部分。 对于使用免费Microsoft Entra ID的客户，我们现在建议启用安全默认值。

我们的目标是鼓励更多客户使用 MFA 保护其云环境，并缓解也是安全 评分影响最大的风险之一。

详细了解 安全默认值。

添加了服务主体建议

添加了新的建议，建议使用管理证书管理订阅的安全中心客户切换到服务主体。

建议服务主体用于保护订阅而不是管理证书建议使用服务主体或Azure Resource Manager更安全地管理订阅。

详细了解 Microsoft Entra ID 中的 Application 和服务主体对象。

VM 漏洞评估 - 合并了建议和策略

安全中心检查 VM，以检测其是否正在运行漏洞评估解决方案。 如果未找到漏洞评估解决方案，安全中心将建议简化部署。

如果发现漏洞，安全中心将建议总结结果，以便必要时进行调查和修正。

无论用户使用哪些类型的扫描仪，为确保所有用户享受一致的体验，我们已将四条建议统一为以下两条：

现在，你将使用相同的建议部署安全中心的漏洞评估扩展或合作伙伴（例如 Qualys 或 Rapid7）的私下许可解决方案（“BYOL”）。

此外，发现漏洞并报告到安全中心时，无论哪个漏洞评估解决方案标识了结果，都会有一条建议提醒你注意这些结果。

更新依赖项

如果脚本、查询或自动化引用了先前的建议或策略密钥/名称，请使用下表更新引用：

2020 年 8 月之前

2020 年 8 月之后

添加到ASC_default计划的新 AKS 安全策略

为了确保 Kubernetes 工作负载在默认情况下是安全的，安全中心将添加 Kubernetes 级别策略和强化建议，其中包括具有 Kubernetes 准入控制的执行选项。

此项目的早期阶段包括预览版，以及向ASC_default计划添加新（已禁用）策略。

可以放心地忽略这些策略，这些策略不会对环境造成影响。 若要启用预览版，请通过 Microsoft Cloud Security Private Community0 注册预览版，然后从以下选项中进行选择：

1. 单个预览 - 仅加入此预览版。 明确提及将“ASC 连续扫描”作为要加入的预览版。
2. 正在进行的计划 - 要添加到此预览版和将来的预览版。 你需要完成个人资料和隐私协议。

2020 年 7 月

7 月的更新包括：

• 扩展Azure Storage的reat 保护，包括Azure Files和Azure Data Lake Storage Gen2（预览版）
• 启用威胁防护功能的八条新建议
• 容器安全性优化 - 注册表扫描和刷新文档速度更快
• 已弃用六个 SQL 高级数据安全策略

Azure Storage的威胁防护已展开，包括Azure Files和Azure Data Lake Storage Gen2（预览版）

Azure Storage威胁防护可检测Azure Storage帐户上的潜在有害活动。 安全中心在检测到对存储帐户的访问或攻击尝试时会显示警报。

无论数据是存储为 blob 容器、文件共享还是数据湖，都可以为其提供保护。

启用威胁防护功能的八条新建议

添加了八项新建议，以便为以下资源类型启用Azure Security Center的威胁防护功能：虚拟机、应用服务计划、Azure SQL Database服务器、计算机上的 SQL 服务器、Azure Storage帐户、Azure Kubernetes Service群集、Azure Container Registry注册表和Azure Key Vault保管库。

新建议如下所示：

• 应在 Azure SQL Database 服务器上启用Advanced 数据安全性
• 应在计算机的 SQL 服务器上启用高级数据安全
• 应对Azure App Service计划启用 Advanced 威胁防护
• 应在Azure Container Registry注册表上启用Advanced 威胁防护
• 应在Azure Key Vault保管库上启用Advanced 威胁防护
• 应在Azure Kubernetes Service群集上启用Advanced 威胁防护
• 应在 Azure Storage 帐户上启用 Advanced 威胁防护
• 应对虚拟机启用高级威胁防护

建议还包括快速修复功能。

详细了解 Azure Security Center 中的 reat 保护。

容器安全性优化 - 注册表扫描和刷新文档速度更快

作为容器安全域中持续投资的一部分，我们很高兴在安全中心动态扫描存储在Azure Container Registry中的容器映像方面分享显著的性能改进。 目前，扫描通常会在大约两分钟内完成。 在某些情况下，可能最多需要 15 分钟。

为了提高有关Azure Security Center容器安全功能的明确性和指导，我们还刷新了容器安全文档页。

更新了自适应应用程序控制，添加了新建议以及对路径规则中的通配符的支持

自适应应用程序控制功能已收到两个重要更新：

• 一项新的建议指出以前不允许的可能合法的行为。 “应更新自适应应用程序控制策略中的允许列表规则”这一新建议提示向现有策略添加新规则，以减少自适应应用程序控制违规警报的误报数。

• 路径规则现支持通配符。 在此更新中，可以使用通配符配置允许的路径规则。 支持以下两种方案：

  • 在路径末尾使用通配符可允许此文件夹和子文件夹中的所有可执行文件。

  • 如果在路径中间使用通配符，则可在变化的文件夹名称中具有已知的可执行文件名称（例如，使用已知可执行文件的个人用户文件夹、自动生成的文件夹名称等）。

已弃用六个 SQL 高级数据安全性策略

即将弃用与 SQL 计算机的高级数据安全性相关的六个策略：

• 应在 SQL 托管实例的“高级数据安全”设置中将“高级威胁保护类型”设置为“全部”
• 应在 SQL Server 的高级数据安全设置中将“高级威胁防护类型”设置为“全部”
• SQL 托管实例的“高级数据安全性”设置应包含用于接收安全警报的电子邮件地址
• SQL 服务器的“高级数据安全性”设置应包含用于接收安全警报的电子邮件地址
• 应在 SQL 托管实例高级数据安全设置中启用“向管理员和订阅所有者发送电子邮件通知”
• 应在 SQL 服务器高级数据安全设置中为管理员和订阅所有者启用电子邮件通知

详细了解 内置策略。

2020 年 6 月

6 月的更新包括以下内容：

• 安全分数 API（预览）
• SQL 计算机（Azure、其他云和本地）（预览版）
• 将Log Analytics代理部署到Azure Arc计算机（预览版）
• 大规模创建连续导出和工作流自动化配置的新策略
• 使用 NSG 保护非面向 Internet 的虚拟机的新建议
• 启用威胁防护和高级数据安全性的新策略

安全功能分数 API（预览）

可以通过安全功能分数 API（当前处于预览阶段）立即访问分数。 通过 API 方法，可灵活地查询数据，久而久之构建自己的安全功能分数报告机制。 例如，可以使用 安全功能分数 API 获取特定订阅的分数。 此外，还可以使用安全功能分数控件 API 列出安全控件和订阅的当前分数。

有关使用安全功能分数 API 实现的外部工具的示例，请参阅 GitHub社区的安全分数区域。

在 Azure Security Center 中了解有关 安全控制的详细信息。

SQL 计算机的高级数据安全性（Azure、其他云和本地）（预览版）

Azure Security Center SQL 计算机的高级数据安全性现在可保护托管在其他云环境甚至本地计算机上Azure中托管的 SQL Server。 这扩展了Azure本机 SQL Server 的保护，以完全支持混合环境。

高级数据安全可为任何位置的 SQL 计算机提供漏洞评估和高级威胁防护。

设置包含两个步骤：

1. 将Log Analytics代理部署到SQL Server的主机，以提供与 Azure 帐户的连接。

2. 在安全中心的“定价和设置”页中启用可选捆绑。

详细了解 SQL 计算机的高级数据安全。

将Log Analytics代理部署到Azure Arc计算机（预览版）的两个新建议

添加了两个新建议，以帮助将 Log Analytics Agent 部署到Azure Arc计算机，并确保它们受到Azure Security Center的保护：

• Log Analytics代理应安装在基于Windows的Azure Arc计算机上（预览版）
• Log Analytics代理应安装在基于 Linux 的Azure Arc计算机上（预览版）

这些新建议将出现在“应在计算机上安装监视代理”这一现有（相关）建议所在的四个安全控制中：修正安全配置、应用自适应应用程序控制、应用系统更新，以及启用 Endpoint Protection。

建议还包括快速修复功能，可加速部署进程。

详细了解 Azure Arc 计算机的 extensions。

大规模创建连续导出和工作流自动化配置的新策略

自动执行组织的监视和事件响应流程可以显著缩短调查和缓解安全事件所需的时间。

若要在整个组织中部署自动化配置，请使用这些内置的“DeployIfdNotExist”Azure策略来创建和配置连续导出和workflow 自动化过程：

可以在Azure Policy中找到策略定义：

开始使用 workflow 自动化模板。

请参阅使用提供的策略大规模地配置工作流自动化以及设置连续导出，了解关于如何使用两种导出策略的详细信息。

使用 NSG 保护非面向 Internet 的虚拟机的新建议

“实现安全最佳做法”安全控制现包括以下新建议：

• 应使用网络安全组来保护非面向 Internet 的虚拟机

“应使用网络安全组保护面向 Internet 的虚拟机”这一现有建议不区分面向 Internet 的虚拟机和面向非 Internet 的虚拟机。 对于这两种情况，如果未将 VM 分配给网络安全组，则会生成高严重性建议。 这一新建议将区分面向非 Internet 的计算机，以减少误报并避免出现不必要的高严重性警报。

启用威胁防护和高级数据安全性的新策略

下面的新策略定义已添加到 ASC 默认计划中，旨在协助为相关资源类型启用威胁防护或高级数据安全。

可以在Azure Policy中找到策略定义：

详细了解 Azure Security Center 中的 Threat 保护。

2020 年 5 月

5 月的更新包括以下内容：

• 警报抑制规则（预览版）
• 自定义建议已移至单独的安全控件
• 已添加开关，可在控件中显示建议或以简单列表的形式显示
• 具有自定义元数据的自定义策略现已正式发布
• 故障转储分析功能正在迁至无文件攻击检测中

警报抑制规则（预览版）

这项新功能目前为预览版，它可帮助缓解警报疲劳。 可使用规则来自动隐藏已知无害或已知与你组织中的正常活动相关的警报。 这可让你专注于最相关的威胁。

仍将生成与你启用的抑制规则相匹配的警报，但它们的状态将设置为“已取消”。 可以在Azure门户中查看状态，或者访问安全中心安全警报。

抑制规则定义了自动取消警报所应遵循的条件。 通常，使用抑制规则来：

• 取消已标识为“误报”的警报

• 取消限制过于频繁地触发而失去作用的警报

详细了解从Azure Security Center的威胁防护中抑制警报。

自定义建议已移至单独的安全控件

安全分数增强版引入的一个安全控件是“实施安全最佳做法”。为订阅创建的所有自定义建议已自动放入该控件中。

为便于查找自定义建议，我们已将这些建议移到一个名为“自定义建议”的专用安全控件中。此控件不会影响你的安全功能分数。

在 Azure Security Center0 中详细了解安全控制（预览版）。

已添加开关，可在控件中显示建议或以简单列表的形式显示

安全控件是相关安全建议的逻辑组。 它们反映了易受攻击的攻击面。 控件是一组安全建议，附有帮助你实施这些建议的说明。

若要立即查看组织对每个攻击面的保护情况，请查看每个安全控件的分数。

默认情况下，你的建议显示在安全控件中。 通过本次更新，你还可以采用列表形式显示它们。 若要以简单列表的形式查看它们，且列表按受影响的资源的运行状况排序，请使用新的“按控件分组”开关。 开关位于门户中列表的上面。

安全控件及其开关是新的安全功能分数体验的一部分。 请记得在门户中提供反馈。

在 Azure Security Center0 中详细了解安全控制（预览版）。

具有自定义元数据的自定义策略现已正式发布

自定义策略现显示在安全中心的建议体验、安全功能分数和法规符合性标准仪表板中。 此功能现已正式发布，可用于在安全中心扩大你组织的安全评估范围。

在Azure Policy中创建自定义计划，向其添加策略并将其载入Azure Security Center，并将其可视化为建议。

现在，我们还添加了可编辑自定义建议元数据的选项。 元数据选项中有严重级别、修正步骤和威胁信息等。

详细了解利用详细信息增强自定义建议。

故障转储分析功能正在迁至无文件攻击检测中

我们将Windows故障转储分析（CDA）检测功能集成到无文件攻击检测中。 无文件攻击检测分析为Windows计算机带来了以下安全警报的改进版本：发现代码注入、伪装Windows模块检测到、检测到 Shell 代码和检测到可疑代码段。

该转换的一些优势如下：

• 主动及时检测恶意软件 - 使用 CDA 方法时，会等到故障发生后再运行分析来查找恶意项目。 使用无文件攻击检测后，可在内存中威胁正在运行时主动识别它们。

• 扩充的警报 - 来自无文件攻击检测的安全警报包括 CDA 中不可用的扩充，例如活动网络连接信息。

• 警报聚合 - 当 CDA 检测到单个故障转储中的多个攻击模式时，会触发多个安全警报。 而无文件攻击检测将从同一进程中确定的所有攻击模式组合到一个警报中，免去了关联多个警报的必要性。

• 对Log Analytics工作区的要求 - 不再将包含潜在敏感数据的故障转储上传到Log Analytics工作区。

2020 年 4 月

4 月的更新包括：

• 动态符合性包现已正式发布
• 免费层中现在 Azure Security Center包含的Identity 建议

动态符合性包现已正式发布

Azure Security Center法规合规性仪表板现在包括动力学合规性包（现已正式发布），用于跟踪其他行业和法规标准。

可通过安全中心的安全策略页面将动态符合性包添加到订阅或管理组中。 加入标准或基准后，该标准会出现在法规符合性仪表板中，所有关联的符合性数据都映射为评估。 还将提供已加入的所有标准的摘要报表供下载。

现在，你可添加如下标准：

• NIST SP 800-53 R4
• SWIFT CSP CSCF-v2020
• UK Official 和 UK NHS
• 加拿大联邦 PBMM
• Azure CIS 1.1.0 （new）（这是Azure CIS 1.1.0 的更完整表示形式）

此外，我们最近添加了 Azure 安全基准，这是基于常见合规性框架的Microsoft创作Azure特定安全与符合性最佳做法指南。 其他标准一经提供就将在仪表板中受到支持。

详细了解如何在法规符合性仪表板中自定义一组标准。

标识建议现在包含在Azure Security Center免费层中

Azure Security Center免费层上标识和访问的安全建议现已正式发布。 这是我们努力使云安全状态管理 (CSPM) 功能免费而取得的成果之一。 截至目前，这些建议仅在标准定价层中提供。

标识和访问建议的示例包括：

• “应在对订阅拥有所有者权限的帐户上启用多重身份验证。”
• “最多只能为订阅指定 3 个所有者。”
• “应从订阅中删除弃用的帐户。”

如果你有订阅在免费定价层，则此更改将影响它们的安全功能分数，因为它们之前从未接受过标识和访问安全性评估。

2020 年 3 月

3 月的更新包括：

• 工作流自动化现已正式发布
• 适用于 Azure Kubernetes ServiceProtection>
• 弃用了两项针对 Web 应用的安全建议

工作流自动化现已正式发布

Azure Security Center的工作流自动化功能现已正式发布。 它可用于在安全警报和建议上自动触发逻辑应用。 此外，也可对提供了快速修复选项的警报和所有建议执行手动触发。

每个安全计划都包含事件响应的多个工作流。 这些流程可能包含通知相关利益干系人、启动更改管理进程，以及应用特定的修正步骤。 安全专家建议你尽可能多地将这些流程自动化。 自动化可减少开销，还可确保根据你预定义的要求快速、一致地执行处理步骤，从而增强安全性。

有关运行工作流的自动和手动安全中心功能的详细信息，请参阅 工作流自动化。

详细了解如何创建逻辑应用。

保护Azure Kubernetes Service

Azure Security Center正在扩展其容器安全功能，以保护Azure Kubernetes Service (AKS)。

常见的开源平台 Kubernetes 被广泛采用，现在已成为容器业务流程方面的行业标准。 尽管得到了广泛实施，但在如何保护 Kubernetes 环境方面，人们仍然缺少了解。 要抵御容器化应用程序的攻击面，需要具备专业知识来确保基础结构已安全配置且受到持续监视，防范潜在威胁。

安全中心的防范包括：

• 发现和可见性 - 在安全中心内注册的订阅中持续发现托管的 AKS 实例。
• 安全建议 - 可作建议，可帮助你遵守 AKS 的安全最佳做法。 这些建议包含在安全功能分数中，确保被视为组织的安全状态的一部分。 你可能会看到的一个与 AKS 相关的建议示例是，“应使用基于角色的访问控制来限制对 Kubernetes 服务群集的访问”。
• 威胁防护 - 通过持续分析 AKS 部署，安全中心会提醒你在主机和 AKS 群集级别检测到的威胁和恶意活动。

详细了解安全中心内的容器安全功能。

弃用了两项针对 Web 应用的安全建议

即将弃用下面两项与 Web 应用相关的安全建议：

• 应加强 IaaS NSG 上 Web 应用的规则。 （相关策略：应该强化 IaaS 上 Web 应用程序的 NSG 规则）

• 应限制对应用服务的访问。 （相关策略：应限制对应用服务的访问 [预览版]）

这些建议将不再在安全中心的建议列表中显示。 相关策略将不再包含在名为“安全中心默认设置”的计划中。

2020 年 2 月

面向 Linux 的无文件攻击检测（预览版）

随着攻击者越来越多地使用偷窃方法来避免检测，除了Windows外，Azure Security Center还会扩展适用于 Linux 的无文件攻击检测。 无文件攻击利用软件漏洞、将恶意有效负载注入良性系统进程，并隐藏在内存中。 这些技术：

• 最大程度地减少或消除了磁盘上恶意软件的痕迹
• 大大降低了基于磁盘的恶意软件扫描解决方案的检测机会

为了应对此威胁，Azure Security Center于 2018 年 10 月发布了针对 Windows 的无文件攻击检测，现在还扩展了 Linux 上的无文件攻击检测。

2020 年 1 月

安全功能分数增强版（预览版）

Azure Security Center安全功能的增强版本现在以预览版提供。 在此版本中，多个建议被组合到安全控件中，可更好地反映出你易受攻击的攻击面（例如限制对管理端口的访问）。

请在预览阶段熟悉安全功能分数的更改之处，确定可帮助你进一步保护环境的其他修正措施。

详细了解安全功能分数增强版（预览版）。

2019 年 11 月

11 月的更新包括：

• 针对Azure Storage的Rereat 保护包括恶意软件信誉筛选
• 使用逻辑应用实现工作流自动化（预览版）
• 批量资源快速修复功能已推出正式版
• 扫描容器映像的漏洞（预览版）
• 其他监管合规标准（预览版）
• Azure Kubernetes Service（预览版）保护
• Azure Virtual Machines（预览版）
• 支持自定义策略（预览版）
• 使用社区和合作伙伴的平台进行Azure Security Center覆盖
• 支持导出建议和警报的高级集成（预览版）
• 从 Windows Admin Center（预览版）

Azure Storage的威胁防护包括恶意软件信誉筛选

Azure Storage的威胁防护提供由Microsoft威胁情报提供支持的新检测，用于检测恶意软件上传到Azure Storage，使用哈希信誉分析和从活动 Tor 退出节点（匿名代理）进行可疑访问。 现在可以使用Azure Security Center查看存储帐户中检测到的恶意软件。

使用逻辑应用实现工作流自动化（预览版）

在集中管理安全性和 IT/运营的组织的环境中发现差异时，这些组织可以实施内部工作流程来驱动所需的操作。 在许多情况下，这些工作流是可重复的流程，而自动化可以在组织内部大幅简化流程。

今天，我们在安全中心引入了一项新功能，使客户能够利用Azure Logic Apps创建自动化配置，并创建基于特定 ASC 发现（如建议或警报）自动触发的策略。 Azure逻辑应用可配置为执行逻辑应用连接器社区支持的任何自定义操作，或使用安全中心提供的模板之一，例如发送电子邮件或打开 ServiceNow™ 票证。

有关运行工作流的自动和手动安全中心功能的详细信息，请参阅 工作流自动化。

若要了解如何创建逻辑应用，请参阅 Azure Logic Apps。

批量资源快速修复功能已推出正式版

由于用户在安全评分中要执行许多任务，有效修正大型机群中的问题可能会变得困难。

使用“快速修复”修正功能来修复安全配置错误、修正对多个资源的建议并提高安全分数。

此操作允许你选择要对其应用修正的资源，并启动一个将代表你对设置进行配置的修正操作。

现在，安全中心建议页上已向客户推出了快速修复正式版。

扫描容器映像的漏洞（预览版）

Azure Security Center现在可以扫描Azure Container Registry中的容器映像来查找漏洞。

映像扫描的工作原理是分析容器映像文件，然后查看是否存在任何已知漏洞（由 Qualys 提供支持）。

将新的容器映像推送到Azure Container Registry时，会自动触发扫描本身。 发现的漏洞将以安全中心建议的形式显示，其中包括安全评分，以及有关如何修补这些漏洞以减小允许的受攻击面的信息。

其他监管合规标准（预览版）

“监管合规”仪表板基于安全中心评估结果提供合规态势的见解。 该仪表板会显示你的环境是否符合特定法规标准和行业基准指定的控制措施与要求，并提供有关如何符合这些要求的规范性建议。

到目前为止，法规合规性仪表板支持四个内置标准：Azure CIS 1.1.0、PCI-DSS、ISO 27001 和 SOC-TSP。 我们现在宣布公开发布其他受支持的标准：NIST SP 800-53 R4、SWIFT CSP CSCF v2020、加拿大联邦 PBMM 和英国官方以及英国 NHS。 我们还发布了 Azure CIS 1.1.0 的更新版本，涵盖标准中的更多控件并提高可扩展性。

详细了解如何在监管合规仪表板中自定义标准集。

Azure Kubernetes Service威胁防护（预览版）

Kubernetes 很快就成了在云中部署和管理软件的新标准。 只有少量的用户对 Kubernetes 拥有丰富的经验；很多用户只是注重一般的工程和管理，而忽略了安全方面。 需要精心配置 Kubernetes 环境以使其保持安全，确保不会公开任何以容器为中心的受攻击面，避免为攻击者打开后门。 安全中心正在将容器空间中的支持扩展到Azure增长最快的服务之一-Azure Kubernetes Service (AKS)。

此公共预览版中的新功能包括：

• 发现和可见性 - 在安全中心的已注册订阅中持续发现 AKS 托管实例。
• 安全功能分数建议 - 可操作的项目，用于帮助客户遵守 AKS 的安全最佳做法，并提高其安全功能分数。 建议包括诸如“应使用基于角色的访问控制来限制对 Kubernetes 服务群集的访问”之类的项目。
• 威胁检测 - 主机和基于群集的分析，例如“检测到特权容器”。

Azure Virtual Machines上的 SQL Server 的高级数据安全性（预览版）

Azure Security Center对 IaaS VM 上运行的 SQL DB 的威胁防护和漏洞评估的支持现已推出预览版。

漏洞评估 是一种易于配置的服务，可发现、跟踪和帮助你修正潜在的数据库漏洞。 此服务可让你查看以安全评分提供的安全态势，并包含用于解决安全问题和增强数据库防御能力的步骤。

高级威胁防护检测异常活动，这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用你的 SQL 服务器。 它会持续监视数据库中的可疑活动，并针对异常的数据库访问模式提供操作导向的安全警报。 这些警报提供可疑活动的详细信息，以及有助于调查和缓解威胁的建议操作。

支持自定义策略（预览版）

Azure Security Center现在支持自定义策略（预览版）。

我们的客户一直希望根据他们在Azure Policy中创建的策略，使用自己的安全评估来扩展其当前安全评估范围。 由于支持自定义策略，这种愿望已得到实现。

安全中心建议体验、安全评分和监管合规标准仪表板中将会包含这些新策略。 借助对自定义策略的支持，现在可以在Azure Policy中创建自定义计划，然后将其添加为安全中心的策略，并将其可视化为建议。

使用社区和合作伙伴的平台扩展Azure Security Center覆盖范围

使用安全中心不仅从Microsoft接收建议，还接收来自合作伙伴（例如 Check Point、Tenable 和 CyberArk）的现有解决方案的建议，同时提供更多集成。 安全中心的简单加入流可以将你现有的解决方案连接到安全中心，使你能够在一个地方查看安全状况建议、运行统一的报告，以及根据内置的建议和合作伙伴的建议利用安全中心的所有功能。 你还可以将安全中心建议导出到合作伙伴产品。

learn 详细了解 Microsoft Intelligent Security Association。

支持导出建议和警报的高级集成（预览版）

为了在安全中心之上启用企业级方案，现在可以在除Azure门户或 API 以外的其他位置使用安全中心警报和建议。 可以直接将其导出到事件中心和Log Analytics工作区。 下面是可以围绕这些新功能创建的一些工作流：

• 导出到Log Analytics工作区后，可以使用Power BI创建自定义仪表板。
• 导出到事件中心后，可以将安全中心警报和建议导出到第三方 SIEM、第三方解决方案或Azure Data Explorer。

从 Windows Admin Center 将本地服务器载入到安全中心（预览版）

Windows Admin Center是一个管理门户，适用于未部署在Azure中的Windows服务器，提供多个Azure管理功能，例如备份和系统更新。 我们最近添加了载入这些非Azure服务器的功能，以便直接从 Windows Admin Center 体验保护 ASC。

用户现在可以将 WAC 服务器加入Azure Security Center，并在Windows Admin Center体验中直接查看其安全警报和建议。

2019 年 9 月

9 月的更新包括：

• 使用 Azure PolicyControl 容器安全建议>

使用 Azure Policy 控制容器安全建议

现在可以通过Azure Policy启用或禁用Azure Security Center修正容器安全性中的漏洞的建议。

若要查看已启用的安全策略，请在安全中心内打开“安全策略”页。

2019 年 8 月

8 月的更新包括：

• 实时 （JIT） VM 访问 Azure Firewall
• 提升安全态势的一键式修正（预览版）

用于Azure Firewall的实时 （JIT） VM 访问

Azure Firewall的实时 （JIT） VM 访问现已正式发布。 除了 NSG 保护的环境之外，还使用它来保护Azure Firewall受保护的环境。

JIT VM 访问仅在需要时使用 NSG 和Azure Firewall规则提供对 VM 的受控访问，从而减少了网络卷攻击的暴露。

为 VM 启用 JIT 时，可创建一个策略来确定要保护的端口、端口保持打开状态的时间，以及可从哪些已批准的 IP 地址访问这些端口。 此策略可帮助你控制用户在请求访问权限时可执行哪些操作。

请求记录在Azure活动日志中，因此可以轻松监视和审核访问。 此实时页面还可帮助你快速识别已启用 JIT 的现有 VM，以及建议启用 JIT 的 VM。

详细了解 Azure Firewall。

提升安全态势的一键式修正（预览版）

安全评分是一个可帮助你评估工作负荷安全状况的工具。 它会评审你的安全建议并确定其优先级，以便你知道要首先执行哪些建议。 这可帮助你找到最严重的安全漏洞，以确定调查优先级。

为了简化对安全错误配置的修正并帮助你快速提高安全评分，我们添加了一项新功能，允许你通过一次单击执行对大量资源的修正建议。

此操作允许你选择要对其应用修正的资源，并启动一个将代表你对设置进行配置的修正操作。

2019 年 7 月

网络建议的更新

Azure Security Center（ASC）推出了新的网络建议，并改进了一些现有建议。 现在，使用安全中心可以确保进一步为资源提供更好的网络保护。

2019 年 6 月

自适应网络强化 - 正式发布

公有云中运行的工作负荷面对的最大受攻击面之一是与公共 Internet 之间的连接。 我们的客户发现很难知道应制定哪些网络安全组（NSG）规则，以确保Azure工作负载仅适用于所需的源范围。 借助此功能，安全中心了解Azure工作负荷的网络流量和连接模式，并为面向 Internet 的虚拟机提供 NSG 规则建议。 这有助于我们的客户更好地配置其网络访问策略，并限制受到攻击的风险。