本文介绍如何在 Microsoft Defender for Cloud 中启用数据安全态势管理。
在您开始之前
- 在启用数据安全状况管理之前, 请查看支持和先决条件。
- 启用 Defender CSPM 或 Defender for Storage 计划时,会自动启用敏感数据发现扩展插件。 如果不想使用数据安全状况管理,则可以禁用此设置,但建议使用该功能从 Defender for Cloud 获取最大价值。
- 敏感数据是根据 Defender for Cloud 中的数据敏感度设置标识的。 可以 自定义数据敏感度设置 ,以确定组织认为敏感的数据。
- 启用该功能后,最多需要 24 小时才能看到第一个发现的结果。
在 Defender CSPM 中启用 (Azure)
按照以下步骤启用数据安全状况管理。 在开始之前,不要忘记查看 所需的权限 。
导航到“Microsoft Defender for Cloud”“环境设置”。
选择相关 Azure 订阅。
对于 Defender CSPM 计划,请选择“ 启用 ”状态。
如果 Defender CSPM 已打开,请在 Defender CSPM 计划的“监视覆盖范围”列中选择 “设置 ”,并确保 敏感数据发现 组件设置为 “开 ”状态。
在 Defender CSPM 中启用“敏感数据发现”后,随着支持的资源类型不断增加,该功能会自动包含对相应资源类型的支持。
在 Defender CSPM 中启用 (AWS)
在开始使用 AWS 之前
- 不要忘记:审查 AWS 发现的要求及所需权限。
- 检查是否存在阻止与 Amazon S3 存储桶连接的策略。
- 对于 RDS 实例:支持跨帐户 KMS 加密,但 KMS 访问上的其他策略可能会阻止访问。
为 AWS 资源启用
S3 存储桶和 RDS 实例
- 按上文所述启用数据安全态势
- 按照说明下载 CloudFormation 模板并在 AWS 中运行它。
AWS 帐户中 S3 存储桶的自动发现将会自动启动。
对于 S3 存储桶,Defender for Cloud 扫描程序在 AWS 帐户中运行,并连接到 S3 存储桶。
对于 RDS 实例,启用 敏感数据发现 后,将触发发现。 扫描程序会采用实例的最新自动化快照,在源帐户中创建手动快照,并将其复制到同一区域中 Microsoft 拥有的一个独立环境中。
快照用于创建一个实时实例,该实例被启动、扫描,然后立即销毁,同时复制的快照也被销毁。
扫描平台仅报告扫描结果。
检查是否存在 S3 阻止策略
如果启用进程因策略被阻止而不起作用,请检查以下各项:
- 确保 S3 存储桶策略不会阻止连接。 在 AWS S3 存储桶中,选择 “权限 ”选项卡 > 存储桶策略。 检查策略详细信息,确保 AWS Microsoft 帐户中运行的 Microsoft Defender for Cloud 扫描程序服务不会被阻止。
- 确保没有 SCP 策略在阻止与 S3 Bucket 的连接。 例如,SCP 策略可能会阻止对托管 S3 存储桶的 AWS 区域的读取 API 调用。
- 检查 SCP 策略是否允许这些所需的 API 调用:AssumeRole、GetBucketLocation、GetObject、ListBucket、GetBucketPublicAccessBlock
- 检查 SCP 策略是否允许调用 us-east-1 AWS 区域,这是 API 调用的默认区域。
在 Defender for Storage 中启用数据感知监视
在 Defender for Storage 计划中启用敏感数据发现组件时,默认启用敏感数据威胁检测。 了解详细信息。
如果关闭 Defender CSPM 计划,将仅扫描 Azure 存储资源。